e Certificação Digital Por Rafael Port da Rocha 2006 Versão: 07/04/06 20:28 Notas de ula - 2006 Rafael Port da Rocha 1
Características Básicas para um Processo de Comunicação I B C utenticidade: O usuário que recebeu a informação tem certeza do seu emissor. Garantida através da assinatura digital Privacidade: Informação trocada é compreensível exclusivamente pelos parceiros da comunicação. C não conhece a informação I Garantida através da criptografia Integridade: s informações não podem ser modificadas em trânsito, pela rede. I recebida por B é idêntica de I enviada por Integridade é garantida por função Não-repúdio: autoria das comunicações não pode ser contestada. Evita que um dos participantes da comunicação negue a sua ocorrência não pode negar a autoria de I utenticação: Identificação inequívoca das partes envolvidas no processo de comunicação Capacidade em garantir que alguém é de fato quem diz ser utorização: s informações são acessadas exclusivamente pelas entidades credenciadas uditoria todas as etapas do processo podem ser auditadas Notas de ula - 2006 Rafael Port da Rocha 2
Função Usada para garantir integridade das informações transmitidas Exemplo: Usuário envia para B o texto e o resultado da função aplicada sobre o texto. B, ao receber o texto, aplica sobre este a função, e compara o resultado com o resultado recebido de, se os resultados forem iguais, o texto está íntegro, isto é, não foi modificado durante a transmissão. B Função Função Trasmissão íntegra se resultados forem iguais Resultado Do (em B) (em ) (em ) Notas de ula - 2006 Rafael Port da Rocha 3
Criptografia s informações são embaralhadas pelo emissor, e só o receptor conhece como desembaralhá-las Garante a privacidade das informações No mundo eletrônico, as informações são embaralhadas através de um algoritmo de criptografia. Este algoritmo é um programa de computador que embaralha a informação a partir de uma chave (número muito grande) informação só pode ser desembaralhada pelo mesmo algoritmo, se for fornecida a mesma chave Exemplo: e B conhecem uma mesma chave de criptografia X criptografa o texto usando a chave X e manda o texto criptografado para B B, ao receber o texto, usa a chave X para descriptografá-lo B Chave X Criptografado Criptografado Chave X Notas de ula - 2006 Rafael Port da Rocha 4
Criptografia por Chaves Simétricas São chaves conhecidas tanto pelo emissor quanto pelo receptor Problema: Como fazer com que o emissor e o receptor tenham o conhecimento dessa chave? transmissão da chave pela rede encontraria aos mesmos problemas de transmissão de informação pela rede (autenticidade, privacidade,...) B Chave X? Criptografado Criptografado Chave X Solução 1: Distribuir a chave antes da comunicação, por outro meio (telefone, carta,...) Solução 2: Certificação Digital, usando criptografia por chaves assimétricas Notas de ula - 2006 Rafael Port da Rocha 5
Criptografia por Chaves ssimétricas chave é dividida em duas partes, relacionadas matematicamente. Uma mensagem criptografada por uma parte da chave só pode ser decriptografada com a outra parte e vice-versa Comunicação com privacidade usando chave assimétrica Uma pessoa possui uma chave assimétrica e divulga somente uma parte da chave, chamada de chave pública, mantendo em segredo a outra parte, chamada chave privada Quando alguém necessita enviar uma informação para essa pessoa, ela criptografa a informação usando a chave pública dessa pessoa. Dessa forma, somente essa pessoa poderá descriptografar a informação através de sua chave privada Exemplo: Para enviar um texto à B, primeiramente busca a chave pública de B. seguir, criptografa o texto usando a chave pública de B, e envia o texto criptografado para B. B, ao receber o texto, usa sua chave privada para desciptografar o texto de B Chave de B de B Privada De B B Criptografado Criptografado Notas de ula - 2006 Rafael Port da Rocha 6
Digital Instrumento análogo à assinatura manuscrita que permite verificar a autenticidade da informação eletrônica, isto é, através dela o receptor da informação tem certeza do emissor dessa informação Usa o mecanismo das chaves assimétricas. Comparado com a assinatura não digital, a chave pública corresponde a imagem da assinatura em papel, e a chave privada corresponde aos movimentos motores do indivíduo na produção da sua assinatura Exemplo: passa o texto em uma função, cujo resultado é criptografado por sua chave privada (assinatura digital) O texto e a assinatura são enviados para B B busca a chave pública de para descriptografar a assinatura e comparar seu resultado com o resultado da função aplicada no texto recebido Chave de Privada B Função Função (em ) Trasmissão íntegra se resultados forem iguais (em B) (em ) Digital do texto Digital do texto Notas de ula - 2006 Rafael Port da Rocha 7
Comunicação com texto assinado e criptografado criptografa o texto junto com sua assinatura usando a chave pública de B Chave de Privada B Chave de B De B Privada De B Função Trasmissão íntegra se resultados forem iguais (em ) (em ) (em B) lgorit mo Função ss Dig ss Dig lgorit -mo ss Dig ss Dig Notas de ula - 2006 Rafael Port da Rocha 8
Verificação de não Digital Como verificar a autoridade da pessoa que assinou um documento? través de Registro de em Cartório: Uma pessoa registra sua assinatura em um cartório. Para efetuar esse registro, o cartório confere a autoridade dessa pessoa e cria uma ficha com os dados pessoais dessa pessoa, juntamente com a sua assinatura Quando um terceiro necessita verificar a assinatura de um documento, este procura o Cartório que, baseado nas suas fichas, irá comprovar a identidade da pessoa que assinou o documento Procuração Bla bla bla bla bla bla... Fulano Cartório Nome: Beltrano Nome: Idade: Fulano... Idade:...... Notas de ula - 2006 Rafael Port da Rocha 9
Verificação da Digital Como o verificador da assinatura pode estar certo de que a pessoa que assinou a mensagem é quem diz ser? Exemplo: Como B pode estar certo que é quem diz ser? Um falso poderia dizer para B que é. Nesse caso, o falso poderia mandar uma informação assinada para B através de sua chave, e entregar sua chave pública para B. B não saberia se essa chave pública é de ou do falso Solução 1: troca presencial de chaves Uma alternativa é fornecer pessoalmente sua chave pública para B, em um encontro presencial com B Entretanto, esta solução torna-se inviável no cenário da Internet, pois exigiria muitas trocas presenciais de chaves entre clientes e consumidores Privada B Função Função (em ) Trasmissão íntegra se resultados forem iguais (em B) (em ) Digital do texto Digital do texto Solução 2: Certificação Digital Notas de ula - 2006 Rafael Port da Rocha 10
Certificação Digital Mecanismo de verificação de assinatura bastante semelhante ao modelo não digital de registro de assinatura em cartório Funcionamento: Uma pessoa dirige-se a uma utoridade Certificadora com sua chave pública. utoridade Certificadora irá conferir autoridade dessa pessoa e cria um Certificado Digital, que contém: Dados públicos da pessoa chave pública da pessoa utoridade Certificadora assina digitalmente este certificado e o publica na Internet Chave de C Privada C utoridade Certificadora C C Privada C Certificado de Nome: Idade:...... Internet Certificado de Nome: Idade:...... Notas de ula - 2006 Rafael Port da Rocha 11
Quando se necessita verificar a assinatura de um documento de uma pessoa, busca-se, na Internet, o certificado desta pessoa (que foi assinado por uma autoridade certificadora), para usar a chave pública contida neste certificado para verificar a assinatura digital do documento Isso requer que o terceiro conheça e acredite na chave pública da autoridade certificadora Chave de Privada 3) envia texto assinado para B B 5) B verifica a autenticidade do de usando o Certificado de OK = C 1) registra sua chave pública 4) B busca e verifica a autenticidade do certificado e OK = utoridade Certificadora C C Nome: Idade:...... Privada C Internet Nome: Idade:...... 2) C cria e assina o certificado digital de, e o publica na Internet Problema: uma pessoa teria que conhecer e acreditar em uma grande quantidade de autoridades certificadoras Solução: modelo de confiança entre certificadoras Notas de ula - 2006 Rafael Port da Rocha 12
Modelo de Confiança entre utoridades Certificadoras Modelo em que utoridades Certificadoras confiam umas nas outras. Modelos de confiança estabelecem uma cadeia de confiança entre autoridades certificadoras, chamado de caminho de certificação través destes modelos, um certificado emitido por uma utoridade Certificadora por ser aceito e validado por outra Certificadora Tipos de Modelos de Confiança Hierárquico: as utoridades Certifiadoras estão organizadas entre si de forma hierárquica Em malha: as autoridades Certificadoras independentes autenticam-se mutuamente (ponto a ponto) Ponte: diferentes modelos de confiança são ligados através de uma ponte Hierárquico Malha C Ponte C C C C C C C C C Notas de ula - 2006 Rafael Port da Rocha 13
Modelo de Confiança Hierárquico utoridades Certificadoras (Cs) são dispostas hierarquicamente, sendo que a C superior emite certificados para as Cs inferiores Todas as partes confiam na chave pública da raiz C1 Privada C1 C1 confiança Usuário C Raiz Privada CR CR Certificado C1... C1 ss de CRaiz confiança Cert. usuário... de usuario ss de C1 Cert. UsuárioB... de usuariob ss de C1 Privada De Usu De Usu 0... ss de Usu Certificado C2... C2 ss de CRaiz Certificado CR... CR ss de CRaiz a) D acredita no certificado C2, pois C2 assinou o seu certificado b) D acredita no certificado CRaiz, pois CRaiz assinou o certificado de C2 confiança Cert. CR de CRaiz C2 Privada C2 C2 Cert. C1 de C1 ss de CR = OK Cert. usuárioc... de usuarioc ss de C2 Cert. usuáriod... de usuariod ss de C2 confiança Cert. usuário de usuario ss de C1 = Usuário D... ss de Usu OK = c) D autentica a assinatura do usuário no texto através do certificado do usuário d) D autentica a assinatura de C1 no certificado do usuário através do certificado C1 e) D autentica a assinatura de CRaiz pois acredita em CRaiz f) CR é o ponto de confiança entre e D e) d) c) OK Notas de ula - 2006 Rafael Port da Rocha 14
Infra-estrutura de Chaves-s (ICP) Conjunto de componentes que cooperam entre si no processo, emissão, revogação e publicação de certificados digitais, assim como de listas de certificados revogados Principais componentes de uma ICP: utoridade Certificadora, utoridade de Registro e Diretório Público utoridade Certificadora (C) Responsável por emitir os certificados digitais Principais campos de um certificado digital (X.509) Versão Número de Série (algoritmo) Emissor (C) Validade Proprietário (Sujeito) Chave pública do proprietário e algoritmo... Funções da C Emitir e publicar Certificados Digitais Válidos Emitir e publicar Lista de Certificados Revogados (LCR) Manter informações sobre certificados emitidos, revogados e expirados utoridade de Registro (R) Responsável pela identificação dos futuros integrantes da ICP Função da R: nalisar e validar os dados constantes em uma Requisição de Certificado, feita por um usuário Requisições com dados validados pela R são assinadas digitalmente pela R e encaminhadas para a C, que irá emitir o Certificado Diretório Público (DP) Responsável pela publicação e distribuição dos certificados digitais e das listas de certificados revogados Notas de ula - 2006 Rafael Port da Rocha 15
ICP-Brasil Infra-estrutura de Chaves s Brasileira É um conjunto de técnicas, arquitetura, organização, práticas e procedimentos, implementados pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em criptografia de chave pública, garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. [Glossário ICP-Brasil] Estabelecida pela medida provisória n. 2200 de 24 de agosto de 2001 Possui um modelo de confiança hierárquico [MP2200-2 rt. 10 $1], embora não impede que sejam utilizados em transações certificados de entidades não credenciadas pela ICP-Brasil [MP2200-2 rt. 10 $2 ] É formada por: um Comitê Gestor uma utoridade Certificadora Raiz, utoridades Certificadoras utoridades Registradoras Titulares (usuários) Possui uma arquitetura em três níveis Nível de Gestão: gestão geral e normatização da ICP Nível de Credenciamento: conformidade dos métodos e processos utilizados pelas instituições do sistema Nível de Operação: executa atividades de registro, certificação e guarda de documentos de usuários, para emissão do certificado Notas de ula - 2006 Rafael Port da Rocha 16
Comitê Gestor da ICP-Brasil utoridade Gestora de Políticas da ICP-Brasil Funções (definidas na Medida Provisória 2.200-2): Estabelecer, avaliar e aprovar políticas critérios e normas Fiscalizar a atuação da utoridade Certificadora Raiz utoridade Certificadora Raiz (C Raiz) da ICP-Brasil Executora das políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. É utoridade Certificadora Raiz da ICP-Brasil É de competência do Instituto Nacional de Tecnologia da Informação, que é uma autarquia federal vinculada à Casa Civil da Presidência da República Site: http://www.icpbrasil.gov.br/ Funções: Emitir, expedir, distribuir, revogar e gerenciar os certificados das C de nível imediatamente subseqüente; Gerenciar a lista de certificados emitidos, revogados e vencidos Executar atividades de fiscalização e auditoria das C, das Rs e prestadores de serviços habilitados na ICP-Brasil utoridades Certificadoras da ICP-Brasil Funções: Emitir, expedir, distribuir, revogar certificados Divulgar aos usuários as listas de certificados revogados Manter registro de suas operações lgumas C credenciadas pela ICP-Brasil Caixa Econômica: http://icp.caixa.gov.br Presidência da República: https://thor.serpro.gov.br/cpr RRF: www.receita.fazenda.gov.br/acsrf/index.htm Certisign: http://icp-brasil.certisign.com.br Notas de ula - 2006 Rafael Port da Rocha 17
utoridades de Registro da ICP-Brasil Estabelece a interface da ICP-Brasil com o usuário final Está vinculara a utoridade Certificadora Funções Identificar e cadastrar usuários (presencial) Encaminhar solicitações de certificados à C Manter registros de suas operações Notas de ula - 2006 Rafael Port da Rocha 18