I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora
Certificado Digital Autoridade Certificadora É o documento usado pelos participantes de uma comunicação para a troca confiável de chaves criptográficas públicas. É um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Exemplos semelhantes a um certificado são o RG, CPF e carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de informações que identificam a pessoa e alguma autoridade (para estes exemplos, órgãos públicos) garantindo sua validade. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (AC) garante a veracidade das informações nele contidas.
Algumas ACs e ARs ACs da ICP Brasil Verisign (www.verisign.com) Certisign (www.certisign.com.br) Unicert Brasil (www.unicert.com.br) Thawte (www.thawte.com) Fenacon (www.acfenacon.com.br) Exemplo de AR e AC Externa Ideactiva www.ideactiva.com.br AR que emite Certificado da Comodo e RSA Comodo www.comodo.com RSA Security www.rsa.com
Autoridade Certificadora - AC Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador (servidores), departamento de uma instituição, instituição, etc. Documentos Básicos das ACs: Política de Segurança PS Declaração de Práticas de Certificação DPC Política de Certificado - PC
AC - Documentos Básicos PS Política de Segurança Política de Segurança PS Documento que estabelece as diretrizes de segurança para todos os integrantes do sistema Requisitos de Segurança humana Requisitos de Segurança Física Requisitos de Segurança Lógica Requisitos de Segurança dos Recursos Criptográficos As regras gerais da PS estabelecem o principio de gestão de segurança Abrange todos os recursos humanos, administrativos e tecnológicos das instituições Determina a ampla divulgação de todos os procedimentos previstos para garantir a segurança adequada Níveis de acesso Sala cofre Site de contingência Plano de Continuidade de Negócio como agir em caso de desastre ou falha
AC - Documentos Básicos DPC Declaração de Práticas de Certificação Declaração de Práticas de Certificação DPC Descreve as práticas e procedimentos empregados pelas ACs (Raiz e subordinadas) na execução dos seus serviços: Identificação- O ID específico para cada tipo de certificado Titularidade do certificado Obrigações da AC Notificar, emitir, manter LCR (Lista de Certificados Revogados) Obrigações da AR (Autoridade Registradora) Receber solicitações, validação presencial... Obrigações do Titular Fornecer dados, manter chave privada... Obrigações do Repositório de LCR e certificados (24/7) Responsabilidade financeira Seguro Normas tarifárias O que cobrar Auditoria Tópicos cobertos e periodicidade Perfis de certificado e LCR - Extensões A estrutura da DPC ICP-Brasil esta baseada na RFC 2527 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework)
AC - Documentos Básicos PC Políticas de Certificado Requisitos mínimos das Políticas de Certificado (PC) Políticas de Certificado específico para cada tipo de certificado Declara OIDs, Conteúdo, Tamanho e armazenamento de chaves, validade Certificados de Assinatura (A1... A4) Para identidade web, correio eletrônico, transações on-line, redes privadas virtuais, cifração de sessão e assinatura de documentos eletrônicos com verificação de integridade de suas informações. Certificados de Sigilo (S1... S4) Para cifração de documentos, bases de dados e outras informações eletrônicas.
AC - Documentos Básicos A1 e S1 A2 e S2 A3 e S3 A4 e S4 Tam Chave 1024 1024 1024 2048 Geração Software Hardware Hardware Hardware Mídia Armazenadora Smart Card ou token, ambos sem capacidade de geração de chave e protegidos por senha Smart Card ou token, ambos com capacidade de geração de chave e protegidos por senha, ou hardware criptográfico aprovado pela ICP Smart Card ou token, ambos com capacidade de geração de chave e protegidos por senha, ou hardware criptográfico aprovado pela ICP Validade Máxima do Certificado (ANOS) 1 2 3 3 Frequência de emissão da LCR (HORAS) 48 36 24 12 Tempo limite de Revogação (HORAS) 72 54 36 18
AC - Documentos Básicos Autoridade Certificadora DPC e PS AC A 1 A 4 S 1 S4 PC PF PJ Servidor Aplicação Assinatura de Código
Funções da Autoridade Certificadora Uma Autoridade Certificadora (AC) é responsável por emitir, renovar e revogar certificados digitais. Cada certificado emitido por uma Autoridade Certificadora deve ser assinado digitalmente com sua chave privada. Em termos da hierarquia de confiança, uma Autoridade Certificadora cria um domínio de segurança contendo todos os certificados digitais por ela emitidos. Portanto, o domínio de segurança representa o domínio lógico dentro do qual a AC emite e gerencia os certificados digitais. Por exemplo, o domínio de segurança de uma AC privada e interna a uma corporação é a própria corporação. Uma Autoridade Certificadora pode emitir dois tipos de certificados: Certificado digital para entidade final: Limitado a atender pessoas (e-mail), servidores e outras aplicações de propósito específico; Certificado digital para autoridade certificadora: Este certificado é emitido para ACs subordinadas ou intermediárias. Quando uma AC emite o próprio certificado, este é denominado de Certificado Raiz ou Root.
Funções da Autoridade Registradora. Em uma Autoridade Registradora (AR), sua principal responsabilidade é confirmar ou validar a identidade das entidades finais requisitantes de um certificado digital. Além disso, uma AR também pode ser responsável por receber requisições de certificados digitais e tornar disponível informações sobre certificados digitais revogados. É importante mencionar que uma Autoridade Registradora não emite certificados e para desempenhar suas responsabilidades, uma Autoridade Registradora pode ser uma entidade independente ou vinculada a uma Autoridade Certificadora.
OPÇÕES Pode-se criar uma AR que emita certificados digitais de uma AC que faça parte da ICP Brasil ou até mesmo de uma AC externa, como é o caso da AR Ideactiva que emite certificados a partir da AC Comodo Group. Pode-se adquirir uma AR ou AC com estrutura já montada, contando assim com a carteira de clientes da mesma.
Processo detalhado de emissão de um certificado digital. Todos os passos enumerados e ordenados em função da execução para que a emissão seja válida. 1. O primeiro contato é realizado por intermédio de uma autoridade registradora, que coleta as informações e verifica a identificação do usuário através de documentos como RG e CPF. 2. O usuário então gera o par de chaves que será enviada por ele ou pela própria autoridade registradora no momento do primeiro contato para a requisição. 3. Uma vez em posse das chaves do requisitante, a autoridade certificadora, checa as informações enviadas, e emite o certificado digital e o envia ao requisitante. 4. O certificado digital contém a chave pública da autoridade certificadora como seu carimbo que garante a identificação do proprietário do certificado como sendo uma pessoa válida. 5. O certificado terá o prazo de validade estipulado para autoridade certificadora podendo ser revogado pelo seu proprietário a qualquer momento.
Certificado Digital O Certificado contém os seguintes campos: Informações Identificação do dono do certificado Chave pública do dono do certificado Prazo de validade do certificado Identificação da AC Numero de Série (é o numero único por AC) Outros Assinatura do certificado pela AC Requisitos que devem ser atendidos por um certificado digital: Qualquer usuário pode consultar as informações de um certificado para determinar o nome e a chave pública do proprietário do certificado Qualquer usuário pode verificar a integridade e autenticidade (certeza de quem gerou) do certificado digital. Somente uma AC pode criar os certificados
Certificado Digital e CRL Antes de utilizar um certificado, deve ser verificado: Sua Assinatura Sua validade A máquina deve estar com a hora e data corretamente configurada Se não foi revogado Um certificado pode ser revogado nas seguintes situações, por exemplo: Suspeita de comprometimento da chave criptográfica (Chave privada) Alteração de informações armazenadas no certificado a respeito da entidade CRL (Certificate Revocation List) A autoridade Certificadora (AC) deve manter uma lista com os números de série dos certificados revogados. Esta lista é assinada digitalmente pela AC.
Certificados Digitais Padrão X509 v3 Campos básicos
Especificação x.509 Objetivo: Disponibilizar de maneira segura a chave pública de uma entidade Composto por três campos obrigatórios: tbscertificate to besigned ( Contém informações a serem assinadas) signaturealgorithm Identificação do algoritmo signaturevalue bloco da assinatura da AC SignatureAlgorithm: Identifica o algoritmo criptográfico usado pela AC para assinar o certificado. Campo deve conter um AlgorithmIdentifier Autoria A assinatura é utilizada para validar o autor da assinatura Irretratabilidade de geração somente o autor da assinatura pode ter assinado o documento Aceite o autor da assinatura concorda
Referências Bibliográficas Serviços de Certificação Digital e PKI - Faculdade Senac São Paulo http://www.acfenacon.com.br http://www.icpbrasil.gov.br http://iti.gov.br http://iti.br