ICP-Brasil

A ICP-Brasil, nasceu com o objetivo de regulamentar a certificao digital que est em grande ascenso no Pas. Em sua origem encontramos um conjunto de normas e padres que alm de permitir a compatibilidade entres vrios tipos de certificados existentes e prover um nvel de segurana compatvel com os melhores padres existentes. A estratgia adotada para auditoria nas entidades que compem a ICP-Brasil muito importante, pois ela ajuda aumentar a confiabilidade desses padres.

O que ICP-Brasil?
A ICP-Brasil - Infraestrutura de Chaves Pblicas Brasileira - um conjunto de entidades, padres tcnicos e regulamentos, elaborados para suportar um sistema criptogrfico com base em certificados digitais. Surgiu da percepo do Governo da importncia de regulamentar as atividades de certificao digital no Pas, j que cresce o nmeros de transaes eletrnicas e com isso a necessidade de torn-lo mais seguras. A ICP-Brasil foi instituda pela Medida Provisria 2.200-2, de 24 de agosto de 2001, que cria o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as demais entidades que compem a estrutura. A partir dessa medida foram elaborados os regulamentos que passaram a reger as atividades das entidades integrantes da ICP- Brasil, chamados de Resolues do Comit Gestor da ICPBrasil (at o momento foram aprovadas 37 resolues, que podem ser obtidas no site www.iti.gov.br). Desde as primeiras Resolues ficou clara a importncia da Auditoria para a ICP-Brasil, como forma de assegurar a aplicao dos normativos por parte de todos os envolvidos. As entidades participantes da ICP-Brasil so auditadas previamente ao credenciamento, para verificar se esto aptas a desenvolver suas atividades conforme os regulamentos, e tambm anualmente, para verificar se todos os procedimentos previstos foram executados. A prpria AC Raiz foi auditada por uma comisso composta de membros de diversos rgos do Governo federal, para ter seu funcionamento autorizado pelo Comit Gestor (ver Resoluo 3, de 25 de setembro de 2001, que nomeia a comisso de auditoria e Resoluo 5, de 22 de novembro 2001, que publica o relatrio da auditoria realizada na AC Raiz). Em 2004, a AC Raiz implantou um novo site principal, destinando o site anterior para backup. Tambm foi realizada auditoria por comisso nomeada pelo Comit Gestor.

Entidades que compem a ICP-Brasil

Segue o organograma que retrata a ICP-Brasil de forma simplificada. Segue uma breve descrio de cada tipo de entidade componente.

Figura 1 - A Infraestrutura de Chaves Pblicas Brasileira e suas bases para a Auditoria em Segurana da Informao (fonte: http://www.gta.ufrj.br/grad/07_2/delio/EntidadesquecompemaICP-Brasil.html)

Figura 2 - A Infraestrutura de Chaves Pblicas Brasileira (fonte: http://rtupinamba.blogspot.com.br/p/o-que-eicp-brasil.html)

Comit Gestor
Coordena a implantao e o funcionamento da ICP-Brasil, alm de estabelecer a poltica, os critrios e as normas para credenciamento das AC, AR e demais prestadores de servios de suporte em todos os nveis da cadeia de certificao. O Comit Gestor estabelece diretrizes e normas tcnicas para a formulao de polticas

de certificados e regras operacionais das AC e das AR e define nveis da cadeia de certificao. Tambm atualiza, ajusta e revisa os procedimentos e as prticas estabelecidas para a ICP-Brasil, garante sua compatibilidade e promove a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Estabelece a poltica de certificao e as regras operacionais da AC Raiz, bem como homologa, audita e fiscaliza a AC Raiz e os seus prestadores de servio. Aprova polticas de certificados, prticas de certificao e regras operacionais, credencia e autoriza o funcionamento das AC e das AR, bem como autoriza a AC Raiz a emitir o correspondente certificado. Identifica e avalia as polticas de ICP externas, negocia e aprova acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional. Certifica, quando for o caso, sua compatibilidade com a ICPBrasil, observado o disposto em tratados, acordos ou atos internacionais. O Comit Gestor pode delegar atribuies AC Raiz.

Comit Tcnico
O Comit Tcnico COTEC presta suporte tcnico e assistncia ao Comit Gestor, sendo responsvel por manifestar-se previamente sobre as matrias apreciadas e decididas pelo comit Gestor.

AC-Raiz
Primeira autoridade da cadeia de certificao e executa as polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor. Emite, expede, distribui, revoga e gerencia os certificados das AC de nvel imediatamente subsequente ao seu; gerencia a lista de certificados revogados. Executa atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP- Brasil Participa de tratativas para celebrao de convnios e polticas de certificao internacionais (Argentina, Venezuela etc.).

Autoridades Certificadoras - AC
So entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular. Emitem, expedem, distribuem, revogam e gerenciam os certificados, bem como colocam disposio dos usurios listas de certificados revogados e outras informaes pertinentes e mantm o registro de suas operaes.

Autoridades de Registro - AR
As AR so entidades operacionalmente vinculadas determinada AC. Compete-lhes identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes.

Prestador de Servios de Suporte - PSS

So empresas contratadas por uma AC ou AR para realizar atividades de:

Disponibilizao de infraestrutura fsica e lgica; Disponibilizao de recursos humanos especializados; Disponibilizao de infraestrutura fsica e lgica e de recursos humanos especializados.

Auditorias Independentes
As empresas de Auditoria Independentes, autorizadas pela AC-Raiz para atuar na ICPBrasil, so contratadas pelas autoridades certificadoras para realizar auditorias operacionais em entidades a elas subordinadas.

Titulares de Certificados
So as entidades - pessoas fsicas ou jurdicas que podem ser titulares dos certificados digitais emitidos por uma das AC integrantes da ICP-Brasil.

Terceiras Partes
Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital emitido por uma das AC integrantes da ICP-Brasil.

Normativos usados na criao da ICP-Brasil

As Resolues do Comit Gestor foram elaboradas tendo em mente a interoperabilidade da ICP-Brasil com outras estruturas de certificao, inclusive as de outros pases. Para tanto, foi necessrio seguir padres internacionais, em especial no que se refere a formatos de certificados, algoritmos criptogrficos e padres de segurana. Os principais normativos internacionais utilizados na ICP-Brasil so:

Tabela 1 Normativos usados na criao da ICP-Brasil (fonte: http://www.gta.ufrj.br/grad/07_2/delio/NormativosusadosnacriaodaICP-Brasil.html)

Tambm so utilizadas normas nacionais, como a NBR 11.515, que define critrios de segurana fsica relativos a armazenamento de dados e a norma ABNT que trata dos aspectos relativos alimentao eltrica para redes.

Para as regulamentaes que envolvem aspectos legais, so utilizados apenas leis brasileiras, como a MP 2.200-2, os Cdigos Civil, Penal, Tributrio, Direito do Consumidor etc. Para a realizao das auditorias so utilizadas as seguintes normas e recomendaes:

BS 7799 e NBR 17799; American Institute of Certified Public Accountants AICPA; Information Systems Audit and Control Association ISACA.

O que diferencia a ICP-Brasil de outras cadeias de certificao

Qualquer pessoa, rgo ou empresa pode criar sua prpria cadeia de certificao. Existem sistemas pagos ou gratuitos, que podem ser buscados na Internet, com alto nvel de sofisticao. A prpria MP 2.200-2 no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Uma cadeia de certificao, entretanto, para ser amplamente aceita, precisa oferecer diversas garantias aos titulares e usurios de certificados. A ICP-Brasil se destaca nesse ponto, uma vez que:
o o o

O par de chaves criptogrficas deve ser gerado sempre pelo prprio titular e sua chave privada de assinatura de seu exclusivo controle, uso e conhecimento. Os documentos assinados com processo de certificao da ICP- Brasil possuem presuno de validade jurdica; So utilizados padres internacionais para os certificados bem como algoritmos criptogrficos e tamanhos de chaves que oferecem nvel de segurana aceitvel internacionalmente; As instalaes e procedimentos das entidades credenciadas possuem nvel de segurana fsica, lgica, de pessoal e procedimental em padres internacionais; As entidades componentes da ICP-Brasil so obrigadas a declarar em repositrio pblico as prticas de segurana utilizadas em todos os seus processos; As entidades esto sujeitas a auditoria prvia ao credenciamento e anualmente, para manter-se credenciadas; Os dados relativos aos certificados so mantidos por no mnimo 30 anos, para permitir comprovao e dirimir dvidas sobre a assinatura de documentos, atendendo legislaes especficas de guarda de documentos; Todas as AC so obrigadas a contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificao digital e de registro, com cobertura suficiente e compatvel com o risco; obrigatria a validao presencial dos titulares para obteno de certificados.

o o o o

Referncias:
SILVA, P. C., SILVA, L. G. Certificao digital Conceitos e aplicaes. 1 ed. Rio de Janeiro: Cincia Moderna, 2008.