Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduo a Infraestrutura
de Chaves Pblicas
e Aplicaes
Introduo a Infraestrutura de
Chaves Pblicas e Aplicaes
Produo Editorial
Autores
Marcelo Carlomagno Carlos
Jeandr Monteiro Sutil
Cristian Thiago Moecke
Coordenao acadmica
Derlina P. M. Miranda
Design
Reviso final
Tecnodesign
Pedro Sangirardi
Coordenao geral
Luiz Coelho
Verso
1.0.1
Introduo a Infraestrutura de
Chaves Pblicas e Aplicaes
Apresentao
A Escola Superior de Redes da Rede Nacional de Ensino e Pesquisa (RNP) oferece
cursos em tecnologia da informao e da comunicao para quem busca formao
essencialmente prtica. As atividades so situaes-problema semelhantes s que
so encontradas na prtica do profissional de TI. Estas atividades exigem anlise,
sntese e construo de hipteses para a superao do problema. A aprendizagem
torna-se mais efetiva se contextualizada realidade profissional.
Os cursos propostos possuem 40 (quarenta) horas de durao divididas em 10 (dez)
sesses de aprendizagem. Os participantes trabalham em grupo ou em duplas e cada
um pode dispor de sua prpria estao de trabalho. O material de ensino composto
de apostilas contendo slides comentados e roteiro de atividades prticas em laboratrio.
Conhecimentos prvios
\\Conhecimento
bsico em informtica;
\\Conhecimento
Objetivos
\\Adquirir
\\Adquirir
funcionamento interno.
\\Conhecer
Sumrio
Sesso de aprendizagem 1
Fundamentos de criptografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Sesso de aprendizagem 2
Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Sesso de aprendizagem 3
Infraestrutura de Chaves Pblicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Sesso de aprendizagem 4
Servidor Web Seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Sesso de aprendizagem 5
SGCI Conceitos e viso geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Sesso de aprendizagem 6
SGCI Gerenciamento de Entidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Sesso de aprendizagem 7
Gerenciando o ciclo de vida de chaves criptogrficas. . . . . . . . . . . . . . . . . . . 135
Sesso de aprendizagem 8
Utilizando o ASI-HSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Sesso de aprendizagem 9
Simulao de Credenciamento etapa 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Sesso de aprendizagem 10
Simulao de Credenciamento etapa 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Bibliografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
1
Sesso de aprendizagem 1
Fundamentos de criptografia
Sumrio da sesso
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Definies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Criptografia clssica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Criptografia moderna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Criptografia simtrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Criptografia assimtrica I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Funes resumo (hash) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Criptografia assimtrica II. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Certificados digitais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Lista de Certificados Revogados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Formatos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Atividade 1 Cifrar o prprio nome utilizando o cifrador de Csar . . . . . . . . . . 24
Atividade 2 Cifrar texto com o cifrador de Vigenere. . . . . . . . . . . . . . . . . . . . 24
Atividade 3 Trocar mensagens sigilosas com a pessoa no computador ao lado. . 25
Atividade 4 Criao e visualizao de Certificados e LCRs. . . . . . . . . . . . . . . 25
Atividade 5 Converso de formatos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
10
Introduo
Introduo
Criptologia
Criptografia (krypts: escondido; grphein: escrita)
Ocultar informao dos outros
Legvel apenas para o destinatrio
Criptoanlise
Esteganografia
Ocultar mensagens dentro de outras
Definies
Texto claro
Texto cifrado
Cifrar
Decifrar
Chave
Definies
Antes de iniciar, devemos conhecer o significado de
alguns termos que sero utilizados ao longo deste
curso:
\\Texto
\\Texto
\\Cifrar
\\Decifrar
\\Chave
Criptografia
11
Criptografia
Criptografia clssica
Criptografia clssica
Transposio
Original: help
Cifrado: HLEP
Substituio
Original: help
Cifrado: KHOS
12
Criptografia clssica
Cifradores monoalfabticos
Re-arranjo do alfabeto original
400.000.000.000.000.000.000.000.000 possibilidades
Alfabeto original
abcdefghijklmnopqrstuvwxyz
Alfabeto cifrado
JOFPZIDKTMAEGQCSLUVWYXHNBR
Texto original
cifrar
Texto cifrado
FTIUJU
Criptografia clssica
Cifrador de Csar
Texto original: escola superior de redes
Texto cifrado: HVFROD VXSHULRU GH UHGHV
Alfabeto original
abcdefghijklmnopqrstuvwxyz
Alfabeto cifrado
Criptografia clssica
DEFGHIJKLMNOPQRSTUVWXYZABC
Cifrar
E(x) = (x+3) mod 26 exemplo: E(0) = 3 mod 26 = 3
Decifrar
D(x) = (x-3) mod 26 exemplo: D(3) = 0 mod 26 = 0
Cifrador de Csar
Cifrador de Csar
13
\\Permite
Contudo, este tipo de cifragem pode ser facilmente quebrado, uma vez que
existem apenas 25 possveis alfabetos cifrados. Uma simples variao deste
mtodo de cifragem, que ao invs de fazer deslocamentos, embaralhe o alfabeto
cifrado, pode aumentar o nmero possvel de alfabetos para 400.000.000.000.00
0.000.000.000.000 possibilidades.
Criptografia clssica
Ataques
Surgimento da criptoanlise
Decifrar a mensagem sem conhecer a chave
Origem rabe (sculo IX)
Mtodo para quebrar a cifra de substituio
monoalfabtica
Anlise de frequncia
Fundamentos de criptografia
14
Tabela de frequncias
Criptografia clssica
Cifradores polialfabticos
Mais de um alfabeto cifrado
Alfabeto original:
abcdefghijklmnopqrstuvwxyz
Alfabeto cifrado 1:
JCHFZOTXRSLDWBPIVEAYGNMQUK
Alfabeto cifrado 2:
PKBFLRIJEQTMYOAVHDCUXGSNZW
a b c d ... z
Exemplo:
a A B C D ... Z
Quadrado de Vigenere
b B C D E ... A
c C D E F ... B
Palavra-chave: chave
. . . . . ... .
Texto cifrado:
DHZVV
z Z A B C ... Y
Um dos cifradores polialfabticos mais famosos foi o de Vigenere, pelo fato de
ser de fcil entendimento e implementao. A cifra de Vigenere utiliza 26 alfabetos
para cifrar a mensagem.
15
ca
a
azistas
da
nBsndE1IkA
Fundamentos de criptografia
Cifradores de blocos
16
Escola Superior de Redes RNPDividem a mensagem em blocos de tamanho fixo (ex:
128 bits)
Criptografia
DES, moderna
AES
Cifradores de blocos:
Dividem a mensagem
em blocos de tamanho
fixo (ex: 128 bits).
DES, AES
A era da criptografia moderna comea realmente em 1949, com Claude Shannon.
Neste ano, ele publicou um artigo chamado Communication Theory of Secrecy
Systems com Warren Weaver, que foi o primeiro passo para o estabelecimento
de uma base terica slida para criptografia e criptoanlise.
Em 1976 foi publicado, pelo governo americano, o algoritmo DES (Data
Encryption Standard), aberto de criptografia simtrica, selecionado pelo NIST em
um concurso. O DES foi o primeiro algoritmo de criptografia disponibilizado
abertamente ao mercado.
Vale lembrar que todos os algoritmos apresentados at agora, desde os
clssicos, tm caractersticas simtricas, ou seja, para decifrar um texto, basta
utilizar o procedimento oposto ao que foi realizado durante a cifragem dos dados.
Entre os modernos algoritmos de criptografia simtrica, podemos agrupar duas
principais categorias:
\\Cifradores
\\Cifradores
Criptografia moderna
Cifradores de fluxo
Cifram cada dgito do texto plano por vez
Utilizados com maior frequncia quando dficil
conhecer o tamanho do texto plano
RC4
17
Criptografia simtrica
Criptografia simtrica
Como distribuir as chaves de maneira segura?
Como verificar se a mensagem no foi modificada?
Como ter certeza de que a mensagem foi realmente
enviada por quem diz t-la enviado?
Criptografia assimtrica
Como ter certeza de que a mensagem foi realmente enviada por quem diz ter enviado?
- Como
se no h uma terceira parte no autorizada, que descobriu a chave
Parsaber
de chaves
secreta e est enviando mensagens em nome de outras pessoas?
Pblica e Privada
Confidencialidade
Criptografia assimtrica I
Par de chaves
(pblica e privada);
Confidencialidade
Com o intuito de responder as questes levantadas, alm de outras questes,
surgiu a Criptografia Assimtrica. A sua principal diferena em relao
Criptografia Simtrica que utiliza o conceito de par de chaves para cifrar e
decifrar mensagens.
Dessa forma, foi criado um par de chaves, sendo uma chave considerada pblica,
que pode ser disponibilizada livremente, e outra privada, que deve ser mantida
apenas em posse de seu detentor. Essas chaves so complementares, ou seja, uma
mensagem cifrada com uma chave deve ser decifrada por sua chave correspondente.
Fundamentos de criptografia
Criptografia assimtrica
18
Utilizando este conceito, se Beto deseja enviar uma mensagem sigilosa para Alice,
ele deve cifrar o contedo de sua mensagem utilizando a chave pblica de Alice
Par de chaves
(de domnio pblico), e enviar para ela o texto cifrado. Alice, por sua vez, ao
Pblica
e Privada
receber
a mensagem
cifrada, utiliza sua chave privada para decifrar o contedo.
Desta forma, podemos garantir que apenas Alice conseguir decifrar o contedo
Autenticidade
da mensagem enviada por Beto.
Por outro lado, se desejamos provar que a mensagem recebida foi realmente
enviada pela pessoa que diz t-la enviado, o procedimento o seguinte:
Beto cifra o contedo da mensagem utilizando sua chave privada, e envia para
Alice, que por sua vez utiliza a chave pblica de Beto para obter o texto claro. Se
a mensagem foi corretamente decifrada utilizando a chave pblica de Beto, podese entender que a mensagem cifrada foi gerada com a chave privada
correspondente (a qual somente Beto tem acesso). Com isso, podemos ter
certeza de que foi Beto quem criou a mensagem.
Criptografia assimtrica
Diffie Hellman, 1976
Principais algoritmos
RSA
DSA
19
Como a sequncia do hash limitada (128, 256, 512 bits etc), podem existir
colises (sequncias iguais para entradas diferentes). Quanto maior a dificuldade
de produzir colises, mais eficiente o algoritmo.
Assinatura digital
A assinatura digital um mtodo para prover
caractersticas, em meio digital, a um documento, de
maneira semelhante a assinaturas feitas em papel.
A utilizao da assinatura digital gera uma prova de
quem o autor, ou emissor, da mensagem. Alm
disso, prov as seguintes propriedades:
Autenticidade Busca garantir que a mensagem
autntica, o autor da mensagem realmente
quem diz ser.
Integridade Permite verificar se a mensagem
enviada a mesma mensagem que foi recebida
ou se sofreu alguma alterao.
Irretratabilidade O emissor no pode negar a
autenticidade da mensagem.
O processo de assinatura consiste em gerar o resumo criptogrfico da mensagem
e cifrar este resumo com a chave privada do assinante.
Para a verificao de uma assinatura digital, necessrio decifrar a assinatura
gerada com a chave pblica do assinante e comparar o resultado dessa operao
com o resumo do documento original.
Fundamentos de criptografia
Criptografia assimtrica II
Criptografia assimtrica
\\Detectar
\\Ter
Porm, surge uma nova pergunta: j que uma chave um conjunto de bits, como
podemos saber quem o seu detentor?
Certificados digitais
Certificados digitais
Necessidade de relacionar uma chave a um indivduo
Kohnfelder (1978) relaciona um usurio a uma chave
Caractersticas importantes:
Objeto puramente digital
Contm informaes do detentor da chave privada
Criado por uma entidade confivel
Possvel delimitar suas possveis aplicaes
Fcil determinar se foi violado
Possvel verificar seu estado atual
e a um indivduo
rio a uma chave
a chave privada
plicaes
20
21
\\Comprometimento
\\Cancelamento
do uso do certicado;
\\Comprometimento
\\Entre
Fundamentos de criptografia
outros motivos.
Formatos
Formatos
question
da chave privada;
IA5String
22
question
IA5String
Formatos
Base64
Codifica dados binrios tratando-os numericamente
em uma representao de base 64.
Distinguished Encoding Rules (DER)
Representa uma estrutura ASN.1
Privacy Enhanced Mail (PEM)
Base64 com cabealhos
Formatos
Exemplo de arquivo no formato PEM
-----BEGIN CERTIFICATE----MIIDtTCCAp2gAwIBAgIJALgslSVdQqJEMA0GCSqGSIb3DQEBBAUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMDgwOTIyMDMzNTU1WhcNMDgxMDIyMDMzNTU1WjBF
skW3EjU1jQpoU5ovuV4UwLHs73mkz1jRoFxPYW1N7x3b1eXIlpqGZmv6nOc3R3Xm
pIlkUhZ+8cp8G262od50qudiAA4BNfxoK900VCJMlgkGtJAuCIR32NDmgImgqs6t
v3ESAjzOpwafksne2jcnYTt0v8FBli0+MWC9ON709I4JTC+XNvRBZEMF88n+n73h
oNVnZ2qECuiPwTHAjIY3v/5VwYu+vn0Rh6jradZmIGqg8Uq5/CH6aWM=
-----END CERTIFICATE-----
1
Sesso de aprendizagem 1
Fundamentos da criptografia
Roteiro de atividades
Tpicos e conceitos
\\Cifradores
\\Criptografica
Clssica
24
25
Fundamentos de criptografia
26
2
Sesso de aprendizagem 2
Assinatura digital
Sumrio da sesso
Assinatura digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Coliso de hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Assinatura de longo prazo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Formatos de armazenamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Legislao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Assinatura digital na ICP-Brasil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
OpenDocument . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
OpenXML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
PDF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Atividade 1 Assinatura Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Atividade 2 Assinatura digital de documento PDF. . . . . . . . . . . . . . . . . . . . . . 48
Atividade 3 Assinatura Digital no OpenOffice . . . . . . . . . . . . . . . . . . . . . . . . . 49
28
Assinatura digital
Assinatura digital
Autenticidade/No
repdio; Integridade
Nesta sesso, exploraremos mais a fundo o tema Assinatura Digital. Uma vez
Autenticidade/No repdio
compreendido o conceito de hash e de criptografia assimtrica, apresentados na
sesso
anterior, a ideia bsica da assinatura digital torna-se relativamente simples.
Integridade
A assinatura digital lembra, em muitos aspectos, a assinatura de prprio punho.
Ela traz algumas propriedades importantes para os documentos eletrnicos:
\\Integridade
\\Autenticidade
\\No
\\Uma
29
\\Se
Assinatura digital
30
Coliso de hash
Coliso de hash
O hash tem tamanho fixo. Ento existe um nmero
finito de hashes
Existem infinitas mensagens, portanto:
Mais de uma mensagem tem o mesmo hash
=
Coliso de hash
31
Coliso de hash
Exemplo de coliso
Ok, mas... funciona?
J existem exemplos de:
Dois arquivos HTML diferentes, com mesmo hash
MD5
Dois arquivos PostScript diferentes, com mesmo hash
MD5
Dois Certificados Digitais diferentes, com mesmo hash
MD5
\\Dois
\\Uma
carta de recomendao;
\\Uma
\\Dois
Coliso de hash
Sem pnico
possvel que duas mensagens tenham a mesma
assinatura, mas...
... uma boa funo de hash tem as seguintes
caractersticas:
difcil, tendo h(m), achar m
difcil, tendo m1, encontrar m2 tal que h(m1)=h(m2)
E mais difcil que encontrar uma coliso, encontrar
uma coliso til
Por quanto tempo voc quer que a assinatura
continue vlida?
\\Uma
Assinatura digital
32
Carimbo de tempo
33
Carimbo de tempo
Para resolver estas questes, precisamos entender o conceito de Carimbo de
Tempo, ou TimeStamp. Um carimbo de tempo semelhante a uma assinatura
digital, mas contm tambm uma informao de data/hora confivel. Desta forma,
um carimbo de tempo cria uma ncora entre o contedo assinado e uma data,
de forma confivel.
Para isso necessrio uma TimeStamping Authority (TSA), ou Autoridade de
Carimbo de Tempo. Trata-se de uma entidade confivel (assim como uma
Autoridade Certificadora) que fornece o servio de carimbo de tempo.
Assinatura digital
34
\\
\\
Utilizar carimbo
de tempo para conservar a validade por longo prazo
de certificados revogados vlidos na data em que o carimbo de tempo foi
emitido,
para queda
seja
possvel realizar todasanterior
as verificaes necessrias
Antes da
expirao
assinatura/carimbo
sobre a cadeia de certificao. Estes dados podem no estar mais disponveis
Utilizando
algoritmos mais avanados
no dia em que a assinatura for verificada, especialmente a longo prazo.
Formatos de armazenamento
PKCS#7/CMS/CAdES
ASN.1
RFCs:
XML-DSig/XAdES
XML
Padres W3S
Formatos de armazenamento
Uma assinatura digital, na prtica, contm muito
mais informaes do que o resumo criptogrfico da
mensagem cifrado. Entre outros dados, podem
constar data e local onde a assinatura foi realizada,
certificado do signatrio e sua cadeia de certificao,
informaes sobre estado de revogao do
certificado (LCR, resposta OCSP), carimbo de tempo.
Existem duas maneiras principais de representar uma
assinatura digital: Binria e XML.
35
baseado no CMS;
\\XAdES,
baseado no XML-DSig.
Legislao
Legislao
Na ICP-Brasil, a eficcia jurdica garantida pela MP
2200-2
Assinatura digital
36
Formato AD-U
Formato AD-T
Na AD-T, a Assinatura Digital Temporal, insere-se um carimbo de tempo,
ancorando a assinatura a uma data onde ela era vlida.
37
Formato AD-R
O AD-R a Assinatura Digital com Referncias. Adiciona referncias sobre
certificados e LCRs utilizados na assinatura, e coloca um carimbo de tempo sobre
toda essa informao. Desta forma, pode-se consultar um banco de dados
externo para obter os dados necessrios validao da assinatura (certificados e
LCRs, por exemplo).
As referncias podem ser o hash dos certificados/LCRs. Permite que sejam validadas
assinaturas a longo prazo, mesmo aps a expirao/extino das ACs, desde que
AD-Ccom certificados e LCRs disponveis para consulta.
exista oFormato
banco de dados
Formato AD-C
O AD-C a Assinatura Digital Completa. Acrescenta ainda os valores
completos dos certificados, LCRs e outras informaes necessrias
validao da assinatura.
As referncias permanecem pois elas esto sob o carimbo de tempo, ancoradas
ao momento em que os algoritmos envolvidos eram seguros.
Desta forma, fica dispensado o banco de dados de certificados e LCRs.
Assinatura digital
Formato AD-A
Formato AD-A
Finalmente, o AD-A o formato para Assinatura Digital de Arquivamento. colocado
um carimbo de tempo sobre todo o conjunto, utilizando algoritmos fortes. Toda a
estrutura e informaes ficam ancoradas no tempo em que eram seguras.
Deve ser utilizado para documentos que precisam ser mantidos confiveis para
longos prazos.
Devem ser aplicados novos carimbos de tempo frequentemente, com a finalidade
de evitar a perda da eficcia probante por expirao da cadeia de certificao ou
quebra dos algoritmos usados no carimbo de tempo de arquivamento. Este
processo, preferencialmente, deve ser automatizado.
OpenDocument
OpenDocument
Formato proposto pela Sun
XML
Padro aberto ISO/IEC 26300:2006
Assinatura digital
No existe assinatura digital no padro v1.1
O software OpenOffice.org gera assinaturas XML-DSig
Padro v1.2 deve incorporar o padro XadES, e
eventualmente o BrOffice trar suporte ao padro ICPBrasil
39
OpenXML
OpenXML
Formato proposto pela Microsoft
XML
Em fase final para se tornar padro ISO/IEC DIS
29500
Assinatura digital
XML-DSig
PDF
Formato proposto pela Adobe
Subconjunto da linguagem de programao
PostScript: layout e grficos
Sistema de incorporao e substituio de fontes
Sistema de armazenamento estruturado: com
compresso de dados onde adequado
Formado por objetos:
Arrays, Strings, Dicionrios, Streams etc.
Assinatura digital
PKCS#7 no interior de um dicionrio de assinaturas
Assinatura digital
40
Exemplo
de PDF
assinado
Exemplo de PDF
assinado
Exemplo
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont/Helvetica
>>
endobj
2 0 obj
<<
/Length 53
>>
stream
BT
/F1 24 Tf
1 0 0 1 260 600 Tm
(Hello World)Tj
ET
endstream
endobj
5 0 obj
<<
/Type /Pages
/Kids [ 1 0 R ]
/Count 1
/MediaBox
[ 0 0 612 792 ]
>>
endobj
3 0 obj
<<
/ProcSet[/PDF/Text]
/Font <</F1 4 0 R >>
>>
endobj
xref
0000000228 00000 n
0000000424 00000 n
0000000145 00000 n
0000000333 00000 n
0000000009 00000 n
trailer
<<
/Size 7
/Root 6 0 R
>>
startxref
488
%%EOF
07
0000000000 65535 f
0000000060 00000 n
Note-se que apenas ASCII. O PDF suporta tambm contedo binrio codificado
em streams, muito utilizado para armazenamento, por exemplo de imagens.
41
emplo
PDF
Exemplo
Localizao da assinatura
Localizao da
assinatura
Assinatura digital
42
\\Byterange
Mltiplas assinaturas
Mltiplas assinaturas
possvel aplicar mltiplas assinaturas sobre um mesmo documento PDF, graas
ao sistema de atualizaes incrementais. Este sistema permite que se modifique
um documento PDF, adicionando novas verses para objetos modificados,
mantendo os objetos originais intactos. Isso feito adicionando novas
informaes ao final do documento.
Desta forma, novas assinaturas tambm podem ser inseridas, sendo aplicadas
sempre sobre as demais. As assinaturas anteriores no cobriro mais todo o
documento. Entretanto, como os ddados compreendidos no ByteRange no foram
modificados, esta assinatura ainda pode ser validada, com a ressalva de que ela
vlida apenas para a primeira verso do documento, e no para as modificaes
subsequentes. Por esse motivo necessrio avaliar com cautela mltiplas
43
PDF
Tipos de assinaturas
Assinatura de Certificao
\\Assinatura
nica
Primeira assinatura aplicada ao documento
Autor aprova o documento
Assinatura de Documento
Assinaturas simples
Podem existir mltiplas assinaturas
Podem indicar aprovao do contedo, compromisso etc.
\\Assinatura
de documento a assinatura
simples, podendo existir quantas assinaturas
forem necessrias.
Assinatura digital
44
2
Sesso de aprendizagem 2
Assinatura digital
Roteiro de atividades
Tpicos e conceitos
\\Criptografia
\\Assinatura
assimtrica
digital
\\OpenSSL
\\Assinatura
46
Este exerccio foi desenvolvido para ser realizado em duplas, que devem
compartilhar uma mquina. Cada pessoa deve trocar SEU_NOME e
OUTRO_ALUNO pelo seu nome e pelo nome do colega, respectivamente.
O aluno deve iniciar a mquina virtual VMware do sistema operacional Linux
Ubuntu, e logar utilizando login icpedu e senha icpedu. A senha para o
comando sudo (executar comando como administrador do sistema) tambm
icpedu. Cada computador tem pr-instalada a aplicao OpenSSL. O exerccio
consiste em gerar e verificar manualmente uma assinatura digital. Note que o
prprio OpenSSL tem comandos mais simples e diretos para a realizao de
assinaturas digitais, embora este exerccio tenha como objetivo a fixao de cada
etapa do processo de assinatura digital.
Todos os comandos esto descritos em linhas deslocadas direita. Procure
entender a funo de cada comando, associando o mesmo com o contedo visto
em aula. No execute os comandos sem entend-los, e em caso de dvida
consulte o instrutor.
47
Assinatura digital
48
Assinando o arquivo
1. Abra o arquivo ExemploAssinaturaDigitalPDF_distributed.pdf;
2. Clique sobre a rea de assinatura digital (com uma pequena marca vermelha
no canto superior esquerdo);
3. Selecione sua identidade digital e assine o documento, informando sua senha;
4. Salve o arquivo com o nome ExemploAssinaturaDigitalPDF_assinado.pdf.
49
2.
Assinatura digital
50
3
Sesso de aprendizagem 3
Infraestrutura de Chaves Pblicas
Sumrio da sesso
PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
x.509 - ICP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Autoridades certificadoras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Autoridades de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Repositrio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
ACs Intermedirias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Certificao digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Caminhos de certificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Polticas de Certificao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
ICPEDU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
ICP-Brasil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Atividade 1 Criar chave PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Atividade 2 Importar chave da pessoa ao lado. . . . . . . . . . . . . . . . . . . . . . . . 66
Atividade 3 Trocar mensagens utilizando PGP . . . . . . . . . . . . . . . . . . . . . . . . 67
52
PGP
PGP
Utiliza Criptografia de Chaves Pblicas (assimtrica)
para relacionar nome e e-mail de uma pessoa a uma
Chave
Web of trust
No utiliza o conceito de Autoridades Certificadoras
Certificados so criados pelo prprio usurio
Outros usurios atestam a veracidade do certificado
x.509 - ICP
x.509 - ICP
Conjunto de:
Entidades
Polticas
Mecanismos criptogrficos
Tcnicas de gesto
Facilitar o uso de criptografia de chaves pblicas
Principais componentes
Autoridades Certificadoras
Autoridades de Registro
Repositrio
No PGP quem atesta esta relao so os outros usurios; j no x.509 foi criado o
conceito de uma entidade chamada de Autoridade Certicadora (AC), a entidade
responsvel pela identicao do usurio e por atestar que ele possui a chave
privada correspondente chave pblica. Este processo realizado atravs da
assinatura de um documento pela AC, que contm dados de identicao do
usurio, sua chave pblica e outros atributos necessrios. Este documento
chamado de Certicado Digital x.509 e representa o mais bsico elemento de
uma Infraestrutura de Chaves Pblicas (ICP).
Introduo a Infraestrutura de Chaves Pblicas e Aplicaes Sesso de aprendizagem 3
53
\\Uma
\\Entidades
\\Polticas
\\Mecanismos
\\Tcnicas
criptogrficos;
de gesto.
Certificadoras;
\\Autoridades
de Registro;
\\Repositrio.
Autoridades certificadoras
Composio de:
Hardware
Software
Pessoas
Responsveis por:
Emisso de certificados digitais
Emisso de listas de certificados revogados
Gerenciamento das informaes dos certificados
Verificao dos dados das requisies
Delegar tarefas
Autoridades certificadoras
Autoridades certificadoras
A Autoridade Certicadora (AC) composta por
hardware, software e pessoas que a operam. o
elemento de uma ICP responsvel pela emisso de
certicados, emisso de LCRs, gerenciamento e
publicao das informaes sobre certicados
revogados, alm de ser capaz de delegar
determinadas funes a outras entidades.
Ao emitir um certicado, uma AC assegura que a
entidade requisitante detm a chave privada
correspondente chave pblica contida no
certificado. Os certicados emitidos podem ser para
outras Acs (conhecidas como ACs intermedirias),
para entidades nais ou para ambos.
Quando emite LCRs, uma AC gera uma lista assinada
contendo informaes sobre os certicados
revogados, como a data e o motivo da revogao.
De maneira semelhante ao certicado, quando uma
AC assina sua LCR, ela atesta seu conhecimento e a
autenticidade do contedo da lista.
Emisso de certificados
digitais
dades certificadoras
so de listaEscola
de certificados
revogados
Superior de Redes
RNP
54
Autoridades de registro
Composio de:
Hardware
Software
Pessoas
Atua por delegao de uma AC
Responsveis por:
Verificar o contedo de requisies de certificados
Solicitar revogao de certificados
Podem atuar em uma ou mais ACs
Autoridades de registro
Aprovao de certificados
Autoridades de registro
A Autoridade de Registro (AR) uma entidade
composta por software, hardware e operadores para
os quais a AC delega a tarefa de vericar o contedo
de requisies de certicados. Uma AC pode delegar
a tarefa de vericao de informaes para vrias ARs,
que podem desempenhar seu papel para vrias ACs.
A existncia desta entidade em uma ICP faz-se
necessria de acordo com a abrangncia que uma
AC pode ter, seja ela por sua distribuio geogrca,
ou por um elevado nmero de usurios.
Aprovao de
certificados
55
Repositrio
Repositrio
Relao entre os
componentes
Como j vimos, uma AC pode delegar a responsabilidade de emisso de
certificados para uma ou mais ACs Intermedirias. Os motivos pelos quais uma AC
pode fazer isto so:
\\Reduo
\\Facilitar
\\Aumentar
56
ACs Intermedirias
AC pode delegar a responsabilidade de emisso de
certificados para uma ou mais ACs Intermedirias
Reduo da carga de trabalho sobre uma AC
Facilita o crescimento
Aumenta a abrangncia (se necessrio)
Se a AC Raiz autorizar, uma AC Intermediria pode
delegar a tarefa de emisso para outras ACs abaixo
dela
Se desejar, uma AC pode limitar o nmero de ACs
abaixo dela
Cs Intermedirias
Certificao digital
Por que confiar ?
Certificado contm informaes sobre o detentor da
chave privada
Emitido por uma entidade confivel
Dados so verificados
ICPs so auditadas
Utilizam mecanismos que agregam:
Integridade
Autenticidade
No repdio
\\Melhorar
Certificao digital
Por que devemos confiar em toda esta estrutura?
Um dos grandes objetivos de uma ICP que ela
seja confivel, que seus usurios confiem nela. Para
que isso ocorra, uma srie de caractersticas
podem ser encontradas:
\\Os
\\Os
57
\\Os
\\As
ICPs so auditadas.
\\Utilizam
\\Integridade;
\\Autenticidade;
\\No
repdio.
Arquiteturas ICP
Definem como as entidades de uma ICP estabelecem
confiana
Diversas possveis arquiteturas
AC nica
Listas de confiana
Hierrquica
Arquiteturas ICP
Certificao cruzada
Ponte
AC nica
nica
\\Listas
de confiana
\\Hierrquica
\\Certificao
cruzada
\\Ponte
AC nica
as ICP
58
ca
Hierrquica
Caminhos de certificao
Caminhos de certificao
Caminho entre um Certificado de Entidade Final e o
Ponto de Confiana (AC Raiz)
Todos os certificados de ACs Intermedirias entre um
certificado de entidade final e a AC Raiz devem ser
includos
Para considerar um certificado vlido
Verificar o certificado
Verificar TODOS os certificados do caminho de
certificao
Caminhos de certificao
\\Encadeamento
por nome;
\\Encadeamento
59
Caminhos de certificao
AuthorityCertSerialNumber [2]
CertificateSerialNumberOPTIONAL
}
KeyIdentifier::=OCTETSTRING
60
Caminhos de certificao
Validao/Verificao do Caminho de Certificao
Para cada certificado do caminho encontrado,
verificar:
Assinatura digital
Validade
Situao (revogado ou no)
Extenso BasicConstraints
Extenses crticas
\\Data
\\Situao
\\Restries
\\Restries
\\Restries
\\Extenses
Caso alguma das verificaes acima falhe, o caminho deve ser considerado
invlido, caso contrrio o caminho pode ser aceito.
61
Polticas de Certificao
Polticas de Certificao
Documentos que determinam as polticas e prticas
que regem uma ICP
Definem as condies em que uma ICP pode operar
Declarao de Prticas de Certificao
Descreve como a poltica implementada dentro de
uma AC Especfica
PC x DPC
PC um documento de mais alto nvel
DPC mais detalhado
\\Declarao
ICPEDU
Esforo da Rede Nacional de Ensino e Pesquisa (RNP)
para viabilizar a implantao de uma infraestrutura de
chaves pblicas acadmica
Objetivos
Uso acadmico
Autenticao
Desenvolver cultura em certificao digital
Treinamento
Pesquisa
Aplicaes
ICPEDU
O projeto ICPEDU esforo da Rede Nacional de
Ensino e Pesquisa (RNP) para viabilizar a implantao
de uma infraestrutura de chaves pblicas acadmica.
Objetivos deste projeto:
\\Uso
\\Autenticao
\\Desenvolver
\\Treinamento
\\Pesquisa
\\Aplicaes
62
ICPEDU
Histrico
2003 / 2004
SGCI
2005
HSM
2006
Piloto AC Raiz
2007
2008 / 2009
Implantao
Aprimoramentos
ICPEDU
\\ComitGestor
Grupos
Comit Gestor
\\Autoridade
Aprovar polticas
Aprovar criao de ACs
GOPAC
AC Raiz
AC Correio
GOPAR
AR Raiz
\\GOPAC
ICPEDU
\\GOPAR
63
ICP-Brasil
ICP-Brasil
Conjunto de entidades, padres tcnicos e
regulamentos elaborados para suportar um sistema
criptogrfico com base em certificados digitais
Medida Provisria 2.200-2, de 24 de agosto de 2001
Exemplos de ACs credenciadas
Caixa Econmica Federal
CertiSign
Serasa
Serpro
Receita Federal
Diversos rgo emitem certificados ICP-Brasil, sendo todos eles ACs subordinadas
AC Raiz brasileira. Alguns exemplos de ACs credenciadas:
\\Caixa
Econmica Federal;
\\CertiSign;
\\Serasa;
\\Serpro;
\\Receita
Federal;
\\Presidncia
da Repblica.
ICP-Brasil
Exemplos de uso
Sistema de Pagamentos Brasileiro (SPB)
Autenticao
Tramitao e assinatura eletrnica de documentos
oficiais
Assinatura de contratos
Assinatura de documentos
Internet banking
Automao de processos do Poder Judicirio
Declarao de Imposto de Renda
\\Autenticao
em sistemas;
\\Tramitao
e assinatura eletrnica de
documentos oficiais;
\\Assinatura
de contratos;
\\Assinatura
de documentos;
\\Internet
banking;
\\Automao
\\Declarao
de Imposto de Renda.
64
3
Sesso de aprendizagem 3
Infraestrutura de Chaves Pblicas
Roteiro de atividades
Tpicos e conceitos
\\ ICP
\\Criptografia
Assimtrica
minutos
66
Sequncia de passos:
1. Abra a mquina virtual Ubuntu (usurio: icpedu; senha: icpedu);
2. Execute o software Seahorse: Menu Applications -> Acessories -> Password
and Encryption Keys;
3. Crie a chave PGP: Menu Key -> Create New Key -> PGP Key;
3.1. Entrar com nome e senha -> create;
3.2. Criar senha -> ok;
4. Publique a chave criada, clicando com o boto direito na chave -> Sync and Publish.
67
68
4
Sesso de aprendizagem 4
Servidor Web Seguro
Sumrio da sesso
SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Em quem voc confia? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Cadeia de certificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
IIS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Atividade 1 Configurao de Servidor Apache SSL. . . . . . . . . . . . . . . . . . . . . 80
Atividade 2 Configurao de Servidor IIS SSL . . . . . . . . . . . . . . . . . . . . . . . . 83
Atividade 3 Configurao de Servidor Apache SSL com autenticao
do Cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
70
SSL/TLS
SSL/TLS
SSL
Secure Sockets Layer
TLS
Transport Layer Security
SSL/TLS
Objetivos
Autenticao
Autenticao
Normalmente unidirecional
Mas pode prover autenticao bidirecional
Sigilo
Unidirecional: Cliente
Servidor, ou seja, o
cliente pode garantir que est realmente se
comunicando com o servidor que deseja,
enquanto o cliente permanece annimo (no
autenticado).
Bidirecional: Cliente
Servidor, ou seja, ambos
os lados podem ter certeza sobre com quem
esto se comunicando, ambos os lados so
autenticados.
Sigilo
Protege os dados que so trocados pelo cliente e servidor, para que no sejam
compreendidos por uma terceira parte no autorizada, que esteja monitorando a
comunicao.
Iremos analisar com mais detalhes o processo de autenticao unidirecional, que
o mais utilizado atualmente.
Etapa 1
71
Etapa 1
O estabelecimento de uma conexo SSL (handshake) comea com o cliente
solicitanto a conexo:
SSL/TLS
Cliente inicia handshake, informando ao servidor RNc (nmero randmico) sua
\\
Etapa 2
Terminada a primeira etapa, o servidor apresenta ao cliente o seu certificado
digital. O cliente, ento, verifica as informaes do certificado, seu caminho de
certificao, estado de revogao etc.
Verificado o certificado, o cliente agora tem o conhecimento da chave pblica do
servidor, indicada na figura com uma chave verde.
SSL/TLS
Escola Superior de Redes RNP
72
Etapa 3
Etapa 3
O cliente ento gera o Pre Master Secret (PMS), um nmero randmico que
servir de base para a gerao da chave. Ele envia este nmero ao servidor
cifrado com a chave pblica do servidor.
O servidor utiliza a sua chave privada para decifrar o PMS. A partir deste
momento, cliente e servidor conhecem PMS, mas um observador que monitore a
comunicao no ter como obter este valor, pois no tem a chave privada
associada chave pblica utilizada na cifragem dos dados.
SSL/TLS
Cliente e servidor ento geram uma chave simtrica Master Secret (MS), utilizando
RNc, RNs e PMS. Esta a chamada chave de sesso.
Etapa 4
Etapa 4
Por fim, cliente e servidor alternam para o modo cifrado, utilizando a cifragem
simtrica com a chave gerada MS (Master Secret).
73
SSL/TLS
Aspectos gerais
Certificado auto-assinado X ICP
Confiana no certicado x Confiana na(s) Autoridade(s)?
Cultura do Cadeado fechado = Site seguro
Common Name (CN) deve conter o hostname do servidor
Demais dados devem ser definidos de acordo com a
poltica da AC
Variaes
EV-SSL
Wildcards
74
Firefox
ertificao
75
Cadeia de certificao
necessrio confiar em algum ponto da cadeia de
certificao. Entretanto, confiar na raiz para tudo no
adequado. Note que dizer que a AC raiz confivel
do ponto de vista da emisso de certificados SSL,
significa dizer que confiamos at mesmo num certificado
SSL que por acaso seja emitido pela AC Correio.
O ideal instalar a AC Raiz sem flags de confiana
(apenas para validao de caminho de certificao/
raiz confivel), e instalar as ACs que realmente
desejamos confiar em cada aplicao (AC SSL no
navegador web, AC Correio no cliente de e-mail etc.).
Apache
Servidor web responsvel por 47.73% dos sites da
internet
Disponvel para diversas plataformas, incluindo:
Windows
Linux
*BSD
MacOS
Software livre
Apache
Analisaremos a configurao do Apache para
utilizao de SSL. O Apache um software para
prover o servio de pginas web, que segundo a
Netcraft, est por detrs de aproximadamente 48%
dos sites da internet (outubro de 2007). um
software livre, com licena prpria pouco restritiva,
disponvel para as mais diversas plataformas,
inclusive Windows, Linux, BSDs, MacOS.
76
Apache
Configurao
\\SSLCerfiticateFile
\\SSLCertificateKeyFile
\\SSLCertificateChainFile
de certificao.
Merece ateno a diretiva de configurao SSLCertificateChainFile. Com a adio
desta diretiva, o Apache fornecer ao cliente no apenas o seu certificado, mas
sim toda a cadeia de certificao correspondente ao seu certificado. Com isso, o
usurio no precisa ter toda a ICP instalada na sua prpria mquina para
estabelecer a sua confiana, basta a AC Raiz.
VirtualHost SSL;
Configurao
NameVirtualHost AA.BB.CC.DD:443
<VirtualHost AA.BB.CC.DD:443>
SSLEngine on
ServerName dominio.instituicao.br
SSLCertificateFile SITE.cer
SSLCertificateKeyFile CHAVE.pem
SSLCertificateChainFile CADEIA.crt
( . . . )
</VirtualHost>
77
Um aspecto importante sobre o SSL que ele faz parte da camada de Sesso, e
o gerenciamento de VirtualHosts (que permite o gerenciamento de mltiplos hosts
em um nico IP) do Apache fica na camada de Aplicao. A consequncia imediata
disso que no possvel utilizar mltiplos hosts SSL num mesmo IP/porta.
Possveis solues incluem:
\\Uso
\\Distribuio
\\Distribuio
Apache
Cuidados com a chave
A chave privada deve ser armazenada com sigilo.
Somente o root (Administrador) deve ter acesso.
78
IIS
Servidor web responsvel por 36.63% dos sites de
internet
Em forte crescimento
Disponvel para:
Windows Server *,
Windows XP Pro;
Software proprietrio
IIS
Internet Information Services (IIS) um software para
servio de pginas web desenvolvido pela Microsoft.
Segundo a Netcraft, responsvel por cerca de 37%
dos sites da internet, e apresenta forte expanso
(outubro de 2007).
um software proprietrio e est disponvel para
diversas verses do sistema operacional Windows.
A instalao de SSL no IIS bastante simples e
intuitiva, realizada toda por interface grfica.
IIS
Configurao
Existe uma maneira de preparar o IIS. No invente!
Windows XP: Painel de Controle, Ferramentas do
Sistema, Internet Information Services
Windows 2003 Server: Menu Iniciar, Todos os
Programas, Ferramentas Administrativas, Gerenciador
dos Servios de Informao da Internet
Toda a configurao feita por ambiente grfico
Para que o servidor disponibilize os certificados da
cadeia, eles precisam apenas estar instalados no
repositrio do Windows
4
Sesso de aprendizagem 4
Servidor Web Seguro
Roteiro de atividades
Tpicos e conceitos
\\ SSL
\\ Apache
\\ IIS
80
81
AC RNP Treinamento
AC SSL Treinamento
2. Vamos assinar um certificado sob a AC SSL Treinamento. Para isso utilize o
seguinte comando OpenSSL:
cd /home/icpedu/ICPEDU_Treinamento
openssl ca -config ACSSL/openssl.cnf \
-out \ ../localhost.cer \
-infiles ../localhost.csr
3. Aps verificar os dados, confirme (y) a emisso do certificado.
4. Copie o certificado para a pasta /etc/apache2/ssl/cert/.
sudo cp ../localhost.cer /etc/apache2/ssl/cert
5. Voc precisar de um arquivo que contm todos os certificados da cadeia da
ICP concatenados, em formato PEM.
cat ACRAIZ.pem ACRNP.pem ACSSL.pem > ACSSL_cadeia.pem
6. Copie este arquivo para o diretrio /etc/apache2/ssl/cert/:
sudo cp ACSSL_cadeia.pem /etc/apache2/ssl/cert
82
83
84
d. A
cesse https://localhost e verifique o resultado. O navegador deve informar
que o certificado no confivel, e permitir o acesso mediante confirmao.
4. Instalar Cadeia de Certificao
1. Instale os certificados utilizando o mmc:
1.1. No menu Iniciar, clique em Executar e execute o comando mmc;
1.2. Clique no menu Arquivo, e selecione a opo Adicionar/Remover Snap-in;
1.3. Utilizando o boto Adicionar, adicione o snap-in de controle de
certificados de todo o computador;
1.4. Clique em Fechar para voltar tela inicial do mmc. Agora voc tem
disposio o controle de confiana de todos os certificados, LCRs e
outros dados relacionados a certificados, no escopo do seu computador.
1.5. Importe, nas sesses adequadas, cada certificado da ICPEDU
experimental:
\\AC-Raiz
\\AC
1.6. A
importao feita atravs do boto esquerdo do mouse, item Todas
as Tarefas/Importar.
2. Acesse https://localhost (atravs do Firefox do Windows, que no utiliza o
repositrio de certificados do Windows onde j temos a ICP instalada) e
verifique o resultado. O navegador ainda deve informar que o certificado no
confivel e permitir o acesso mediante confirmao.
3. Instale o certificado da AC-Raiz ICPEDU como confivel para fim de
autenticao de sites no Firefox. Tente entrar novamente na pgina. A pgina
SSL deve ter sido carregada corretamente, com o cadeado fechado.
85
86
5
Sesso de aprendizagem 5
SGCI Conceitos e viso geral
Sumrio da sesso
SGCI Viso geral. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
rvore de Certificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
SGCI Instalao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Perfis de usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Autoridades Certificadoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Criao de AC-Raiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Criao de AR-Vinculada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Usurios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Criao de AC-Raiz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Atividade 1 Instalao do SGCI e criao de uma AC-Raiz. . . . . . . . . . . . . . . 106
88
Gerenciar a chave-privada
Gerenciamento atravs de hardware mais rigoroso
Templates
Flexibilidade
\\O
\\Todas
89
Entidades no mesmo
computador
Entidades distribudas
Mista
SGCI Conceitos e viso geral
90
\\Administrador
Usurios
Controle de usurios
\\Operador
\\Criador
re de Certificao
rvore de Certificao
Depois de conhecermos o funcionamento das
entidades e os usurios no SGCI, podemos conhecer
a estrutura que ser criada ao final deste curso. Num
primeiro nvel teremos a AC-Raiz, e abaixo dela
teremos a AC UFSC e a AC Instituio. A AC
Instituio representa a instituio do aluno.
91
A princpio parece uma estrutura muito pequena e simples, com apenas 3 entidades.
Porm, ao olharmos detalhadamente a estrutura podemos perceber que ela
composta por vrios elementos. Para cada AC devem existir usurios operadores,
administradores e pelo menos uma AR. Resumidamente, para a estrutura de
exemplo, necessitaro ser criados no mnimo 12 usurios, 3 ACs e 3 ARs.
SGCI Instalao
SGCI Instalao
Site do SGCI:
https://projetos.labsec.ufsc.br/sgci
Passos da instalao:
Download do SGCI
Descompactar SGCI
Configurar Banco de Dados
Configurar permisses de arquivos
Configurar SGCI
Instrues passo-a-passo de instalao:
https://projetos.labsec.ufsc.br/sgci/wiki/instalacao_130
\\Mdulo
\\Modo
SGCI Instalao
92
Perfis de usurio
Criador
Cria entidades
Faz backup
Configura Mdulo de Servio Criptogrfico (MSC)
Extrai logs
Perfis de usurio
Principais funes do usurio criador:
\\Criar
\\Fazer
entidades (AC/AR);
e restaurar backup;
\\Adicionar
\\Extrair
e configurar MSC;
logs.
93
Perfis de usurio
Administrador
Administrador de AC
Altera polticas da AC
Cadastra relaes de confiana
Cadastra templates de certificados
Cadastra operadores
Administrador de AR
polticas da AC;
\\Cadastrar
\\Cadastrar
operadores.
Perfis de usurio
Operador
Operador de AC
Operador de AR
\\Cadastrar
entidades;
\\Cadastrar
operadores.
\\Aprovar
\\Aprovar
\\Emitir
\\Verificar
\\Solicitar
94
Autoridades Certificadoras
Autoridades Certificadoras
AC-Raiz
Certificado auto-assinado.
AC por gerao de requisio (AC-Intermediria)
Cria-se a requisio, esta enviada para uma AC
superior, que emite o certificado da nova AC.
AC por importao de certificado
Importao da chave e do certificado de uma AC j
existente.
Criao de AC-Raiz
95
Criao de AC-Raiz
Para criar uma AC-Raiz, basta logar no mdulo criador, depois ir ao menu
Entidades/Cadastrar AC. Ser exibida uma tela igual figura apresentada no slide.
No primeiro campo, podemos selecionar o tipo de AC que cadastraremos, neste
caso, uma AC-Raiz. Dependendo da opo escolhida neste campo, os campos
disponveis no formulrio sero alterados juntamente. Para uma AC-Raiz, os
campos disponveis inicialmente so:
\\Nome
\\Organizao
\\Unidade
\\Cidade
\\Unidade
\\Pas
Este campo deve ser preenchido com a sigla do pas e somente pode
ter 2 caracteres.
\\Senha
Criao de AC-Raiz
96
Campos avanados
Campos avanados
Clicando sobre a caixa de verificao Campos Avanados, sero exibidas mais
opes para o certificado da AC a ser criada. A figura do slide mostra a tela
exibida. Inicialmente tem-se o campo Campos Adicionais, e nele pode-se adicionar
mais campos ao sujeito do certificado, alm dos apresentados nas opes bsicas.
\\Campo
\\Campo
\\Caixa
97
Se optarmos pelo SGCI gerar a chave privada da AC, ao invs de um HSM, ficam
disponveis 2 campos:
\\Tamanho
\\Algoritmo
Algoritmo que vai ser utilizado para tirar o hash da chave. Esse
hash utilizado para se identificar a chave da AC.
Se for feita a opo por utilizar uma chave em HSM, ser necessrio selecionar o
HSM que vai ser utilizado e o identificador da chave.
\\URL
\\OID
\\URL
\\User
\\Subject
\\Key
Criao de AC-Raiz
Escola Superior de Redes RNP
98
Tela de confirmao do
cadastro da AC-Raiz
Aps cadastrar a entidade, o SGCI mostra a tela de confirmao do cadastro, que
demonstrada no slide. Nesta tela exibido o nome da entidade, o status dessa
entidade (ativa/inativa), a data de criao e os campos bsicos do certificado.
Tambm possvel fazer o download do certificado da AC.
Um dado muito importante mostrado nesta tela o hash do certificado. Este hash
normalmente publicado para as pessoas poderem verificar se o certificado que
elas possuem realmente o certificado original da AC. Nesta tela tambm existe
a opo de cadastrar uma AR-Vinculada. No SGCI, os certificados devem ser
aprovados por uma AR, para depois serem emitidos pela AC. Porm, como
possvel emitir o certificado da primeira AR, se no existe uma AR para aprovar?
Para solucionar este problema, o SGCI utiliza uma AR-Vinculada. Uma AR-Vinculada
a primeira AR criada para a entidade. Esta AR a nica entidade que possui o
certificado emitido sem a aprovao de uma AR.
Criao de AR-Vinculada
Criao de AR-Vinculada
Usurios
99
Criao de usurios
Usurios
Criao de usurios
Aps a criao da AC-Raiz e de sua respectiva AR-Vinculada, necessrio criar os
usurios que faro a operao dessas entidades. No SGCI um mesmo usurio
pode participar de diferentes papis em diferentes entidades. Por exemplo, o
usurio Pedro pode ser Administrador da AC-Raiz e Operador da AR-Vinculada.
Para cada papel do usurio Pedro, ele pode utilizar uma senha diferente, porm
ser utilizado sempre o mesmo login. No exemplo anterior, para o papel de
Administrador da AC-Raiz, o usurio Pedro pode usar a senha 12345, e para o
papel de Operador da AR-Vinculada, a senha 5678. Dependendo das polticas da
entidade, um usurio tambm pode ter vrios logins.
Usurios
Atribuio do papel de
Administrador
Como um usurio pode ter vrios papis no SGCI, aps cadastrar o usurio
necessrio atribuir um papel a ele. O usurio criador atribui os papis de
administradores aos usurios, enquanto que os administradores atribuem os
papis de operadores aos usurios.
Para atribuir o papel de administrador a um usurio cadastrado, basta logar como
criador, ir no menu Administradores e depois selecionar Cadastrar Novo
Administrador. Ser exibida uma tela igual do slide.
No primeiro campo seleciona-se o usurio, depois o tipo de entidade. Dependendo
do tipo de entidade, so mostradas diferentes entidades no terceiro campo.
Depois necessrio entrar com a senha do administrador, uma confirmao da
senha do administrador, e a senha do usurio criador, para autorizar a operao.
100
Atribuio do papel de
Operador
Polticas
Polticas
Editar polticas de AC
Editar polticas de AC
Para editar as configuraes de operao de uma AC, um dos administradores da
mesma deve se logar, e escolher a opo Poltica no menu. Ser listado um
resumo das polticas e dos templates existentes. As polticas da AC definem como
ela se comportar durante o seu ciclo de vida.
\\Para
\\No
101
\\No
\\Na
\\A
\\A
\\A
mplates
\\Os
\\Aps
dastro de templates
Templates
No SGCI possvel cadastrar templates, que so
configuraes pr-determinadas para a emisso de
certificados. Por exemplo, um certificado SSL tem
certas propriedades, e sem os templates, toda vez
que o operador fosse emitir um certificado SSL, ele
teria que selecionar essas propriedades.
O SGCI traz 4 templates pr-configurados:
\\Autoridade
Certificadora;
\\Autoridade
de Registro;
\\Servidor;
\\E-mail.
Cadastro de templates
102
\\Manter
\\Manter
\\Path
O campo Subject Key Identifier configura se esta extenso deve estar presente no
certificado ou no. O mesmo ocorre para o campo Authority Key Identifier.
Os campos Uso da Chave, Uso Estendido da Chave, URL da LCR, OID da PC, URL
da DPC e Texto da DPC possuem a mesma configurao que os campos do
cadastro de AC, explicados anteriormente.
Aps configurado, para salvar o template bastar clicar em Cadastrar Template.
103
Criao de AC-Raiz
Criao de AC-Raiz
Criao da chave e do certificado auto-assinado da AC
Criao da AR-Vinculada
Criao dos usurios
Atribuio do papel de Administrador
Atribuio do papel de Operador
Configurao das polticas da AC
Configurao dos templates de certificados (opcional)
\\Criao
\\Criao
\\Atribuio
\\Configurao
\\Configurao
104
5
Sesso de aprendizagem 5
SGCI Conceitos e viso geral
Roteiro de atividades
Tpicos e conceitos
\\Conceitos
gerais do SGCI:
\\Entidades
\\Usurios
(AC-Raiz e AR-Vinculada)
\\Templates
de certificados
do SGCI
\\Criao
de AC-Raiz no SGCI
\\Criao
de Usurio no SGCI
minutos
106
Instalao do SGCI
assinador-x.x.x.tar.gz
107
$password = `teste`;
Por exemplo, se a senha escolhida foi abc123, esta linha ficar da seguinte maneira:
$password = `abc123`;
Criao da AC-Raiz
1. Abra o navegador e acesse o SGCI (http://localhost). Escolha o mdulo de
gerenciamento Criador. Entre com o usurio criador e senha padro rnp.
2. Escolha o menu Entidades e a opo Cadastrar AC.
3. Escolha a Opo de Cadastro AC-Raiz, e preencha os dados da entidade.
4. Digite a senha do criador no campo correspondente, e clique em Cadastrar.
5. Ser exibida uma tela de confirmao do cadastro da AC-Raiz. O prximo
passo cadastrar uma AR-Vinculada.
6. Para cadastrar uma AR-Vinculada, basta clicar no boto Cadastrar, em AR-Vinculada.
7. Agora devem ser preenchidos os dados da AR-Vinculada, digitando a senha
do usurio criador no respectivo campo, e clicando em Cadastrar. O prximo
passo o cadastro de usurios.
8. Para cadastrar um usurio, necessrio selecionar a opo Usurios no
menu, e em seguida a opo Cadastrar Novo Usurio. Os dados do novo
usurio so preenchidos, e em seguida basta clicar em Cadastrar. Repita o
processo para o usurio que ser operador. Repita o processo para os
usurios Administrador e Operador da AR-Vinculada.
9. Aps cadastrar os usurios, ser atribudo a um deles o papel de
Administrador. Para isso, seleciona-se a opo Administradores no menu,
e a sub-opo Cadastrar Novo Administrador.
10. Na tela de cadastro de administradores, primeiro necessrio selecionar o
usurio que se quer vincular ao papel de administrador, depois o tipo de
entidade, a entidade, e finalmente colocar a senha deste usurio e a senha do
criador. Aps todos os dados preenchidos, basta clicar no boto Cadastrar.
Efetue este passo para a AC-Raiz e para a AR-Vinculada.
108
11. Agora sero criados os Operadores. Primeiro voc deve sair do mdulo de
gerenciamento Criador, e fazer login no mdulo de gerenciamento Autoridade
Certificadora, utilizando a funo Administrador. Utilize o login e senha
cadastrados nos passos anteriores. Depois, selecione o menu Operadores, e
a opo Cadastrar Novo Operador. Ser exibida a tela de cadastro de
operadores. Selecione o usurio que deseja que se torne operador da AC-Raiz,
digite a senha deste usurio e a senha do Administrador. Clique em Cadastrar.
Efetue este mesmo passo para a AR-Vinculada.
12. Agora vamos editar as configuraes da AC-Raiz. Para isto, como Administrador
da AC-Raiz, v at o menu Poltica, e selecione a opo Editar Poltica.
Selecione corretamente as configuraes da AC-Raiz, e clique em Atualizar.
13. Para cadastrar um novo template, o usurio deve se logar com o perfil de
Administrador na AC-Raiz, ir ao menu Poltica, e escolher a opo Cadastrar
template. Selecione as opes corretamente, e clique no boto Cadastrar Template.
6
Sesso de aprendizagem 6
SGCI Gerenciamento de Entidades
Sumrio da sesso
Criao de Autoridades Certificadoras - I. . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Emisso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Criao de Autoridades Certificadoras - II. . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Criao de Autoridades de Registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Vnculo de entidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Relacionamentos de confiana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Revogao de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Lista de Certificados Revogados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
SGCI 2.0.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Atividade 1 Criao da AC Instituio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Atividade 2 Criao da AR Instituio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Atividade 3 Vincular a AR INSTITUICAO AC INSTITUICAO . . . . . . . . . . . . . . 134
110
Criao de uma AC
Intermediria
Para criar uma AC Intermediria no SGCI, deve-se entrar no mdulo criador,
selecionar a opo Entidades, Cadastar Nova Autoridade Certificadora, e no
campo Opo de Cadastro, selecionar a opo AC Intermediria por gerao de
Requisio. Ser exibida uma tela igual apresentada no slide.
Os campos bsicos do certificado so iguais aos campos do cadastro de AC.
Porm, existem 2 campos novos:
\\Encaminhar
111
\\Encaminhar
Criao de uma AC
Intermediria campos
avanados
Criao de uma AC
Intermediria tela de
confirmao
Depois de criada a requisio de certificado de AC Intermediria, exibida a tela
de confirmao, que pode ser vista no slide.
interessante notar a diferena desta tela, em relao tela de cadastro da
AC-Raiz. Na tela de cadastro da AC-Raiz, era feito o download do CERTIFICADO,
enquanto que nesta tela feito o download da REQUISIO. Isto acontece porque
SGCI Gerenciamento de Entidades
112
uma AC-Raiz tem o seu certificado auto-assinado, ento uma vez gerada a chave
da entidade, possvel assinar imediatamente o certificado. J uma AC
Intermediria tem o seu certificado assinado por outra AC, ento necessrio
enviar uma requisio para alguma AC superior assinar o seu certificado.
O SGCI utiliza o padro PKCS#10, ento qualquer software de AC que utilize esse
padro consegue abrir o arquivo de requisio gerado pelo SGCI. Agora, esta
requisio gerada deve ser enviada para a AR (selecionada anteriormente).
Emisso de certificados
Emisso de certificados
Verificao da
requisio pela AR
Quando uma AR recebe uma requisio necessrio verificar os dados da
requisio. Para isso, o Operador da AR precisa ir ao menu Gerenciamento de
Requisies, e clicar na opo Informaes da requisio correspondente. Ser
mostrada uma tela igual do slide.
O operador da AR pode ver as informaes bsicas da requisio, e se
necessrio, pode ver opes mais avanadas utilizando o OpenSSL, clicando
sobre a opo Ver Requisio com OpenSSL. Aps o operador verificar os dados
da requisio, ele pode decidir por aprovar a requisio ou rejeit-la.
113
Emisso de certificados
Aprovao da
requisio pela AR
Emisso de certificados
Aps o operador tomar a deciso sobre o que fazer com uma requisio, ele
pode consultar o status dessas requisies. Para isso, basta ele ir ao menu
Gerenciamento de Requisies, e selecionar as requisies pelo seu estado.
Requisies aprovadas
esperando emisso do
certificado
114
Emisso do certificado
da entidade
Certificados emitidos
pela AC
115
Emisso de certificados
Aps o certificado ser emitido, quem envia este certificado para o sujeito do
Verificao do status do certificado na AR
certificado a AR. O operador pode baixar o certificado atravs da opo
Download Certificado.
Verificao do status
do certificado na AR
Importao do certificado da AC
Importao do
certificado da AC
Aps o certificado ser emitido, a AC Intermediria receber o seu certificado da
AR que o aprovou, e deve importar este certificado no SGCI, para tornar a sua
entidade operante. Para isto, deve ser logado no mdulo criador, selecionado o
menu Entidades, e selecionada a entidade correspondente.
Ser exibida uma tela igual do slide. Note que a situao atual da AC
pendente. Nesta tela pode-se importar o certificado da AC atravs do campo
Certificado. Aps o certificado ser selecionado, a operao deve ser confirmada
com a senha do usurio criador.
Se a importao do certificado ocorrer com sucesso, a situao da AC muda para ativa.
116
Agora, para a entidade estar apta a emitir certificados, basta cadastrar uma AR
Vinculada, administradores e operadores. Estes passos so os mesmos que
foram Criao
efetuados da
paraAR
a AC-Raiz.
Vinculada
Criao da AR
Vinculada
\\Aprovao
\\Emisso
\\Importao
do certificado da AC Intermediria;
\\Criao
da AR-Intermediria-Vinculada;
\\Criao
dos usurios;
\\Atribuio
do papel de administrador;
\\Atribuio
do papel de operador;
\\Configurao
\\Configurao
117
Quando uma AR criada, ela tambm deve ter o seu certificado emitido por uma
AC. O processo de criao de uma AR parecido com o processo de criao de
uma AC Intermediria. Primeiro necessrio criar uma requisio para a AR,
depois a requisio enviada para uma AR que aprova a requisio e a envia para
uma AC que emite o certificado da nossa AR.
118
\\AR
Vnculo de entidades
Vnculo de entidades
Uma AC somente pode emitir certificados aprovados
por uma AR confivel. Portanto, necessrio
estabelecer algum tipo de vnculo estre estas
entidades.
A relao de confiana criada somente aps a
entidade ter capacidade de entrar em funcionamento
(o certificado da entidade j foi emitido).
119
Vnculo de entidades
\\Autoridade
\\Autoridade
120
Relacionamentos de confiana
Como vincular uma AR a uma AC remota de forma
confivel?
Exportar arquivo de configurao da entidade A
Exportar arquivo de configurao da entidade B
Importar o arquivo de configurao da entidade A, na
entidade B, e vice-versa
Relacionamentos de confiana
Para criar uma relao de confiana entre duas
entidades remotas (em mquinas diferentes),
necessrio primeiro exportar o arquivo de configurao
delas, depois importar os arquivos de configuraes
remotos, e estabelecer o vnculo entre elas.
elacionamentos de confiana
Relacionamentos de confiana
Exportar arquivo de
configurao
Relacionamentos de confiana
121
Disponibilizar arquivo de
configurao de uma
AC; Exportar arquivo de
configurao de uma AC
igual a exportar
arquivo de configurao
de uma AR
Relacionamentos de confiana
Importar arquivo de
configurao na AR
Para a AC importar o arquivo de configurao da AR, o administrador da AC deve
entrar no sistema, selecionar o menu Relaes de Confiana e escolher a opo
Cadastrar Novo Relacionamento de Confiana. Depois, ele seleciona a opo Autoridade
No Cadastrada, seleciona o arquivo de configurao da AR e clica em Cadastrar.
Agora, as requisies que vierem da AR cadastrada anteriormente sero aceitas
como vlidas. Note que a criao de relao de confiana entre entidades externas
deve ser efetuada tanto na AR, quando na AC. J para autoridades internas, somente
a AC pode criar a relao de confiana. Isto acontece porque quando forem entidades
internas, o SGCI j faz automaticamente a troca de arquivos de configurao. Ento,
para autoridades internas, quem escolhe se deseja estabelecer vnculo de confiana
ou no a AC. E, uma vez que o administrador de uma AC escolheu criar um vnculo
com a AR, o vnculo da AR com a AC criado automaticamente nessas entidades.
SGCI Gerenciamento de Entidades
Relacionamentos de confiana
122
Importar arquivo de
configurao na AC
Revogao de certificados
Revogao de certificados
Passos para a revogao:
O usurio do certificado solicita a revogao do seu
certificado para a AR
A AR efetua o pedido de revogao e o encaminha
para a AC
A AC recebe o pedido, revoga o certificado, e envia a
resposta para a AR
O usurio avisado de que o seu certificado est
revogado
A comunicao pblica de que um certificado est
revogado feita atravs da LCR
\\A
\\A
\\A
Revogao de certificados
123
Solicitao de
revogao pela AR
Ser exibida uma tela para o operador selecionar qual AC ele quer enviar o
pedido de revogao. Aps selecionada a AC, so exibidos os certificados emitidos
por aquela AC e aprovados pela AR. O operador deve selecionar o certificado para
o qual deseja fazer o pedido de revogao, e depois digitar uma justificativa para a
revogao, digitar a sua senha, e clicar em Solicitar Revogao.
Revogao de certificados
Exibir solicitaes de
revogao aprovadas
pela AR e em anlise
pela AC
Revogao de certificados
Exibir pedidos de
revogao pendentes
na AC
SGCI Gerenciamento de Entidades
124
Revogao de certificados
Revogar certificado
Salvar LCR
125
Backup
Backup
Criar backup
O backup contm as chaves privadas que foram
geradas no disco rgido
O backup cifrado a partir da senha do usurio criador
Backup
Criar backup
O obackup
as chaves
privadas
foram
Para realizar
backup, contm
basta o usurio
criador
entrar noque
sistema
e selecionar o
geradas
no
disco
rgido
menu backup. Ser exibida uma tela igual mostrada no slide. O usurio criador
digita a suaOsenha,
clica sobre
o boto
Criar,
o backup
gerado. Para
salvar o
backup
cifrado
a partir
daesenha
dousurio
criador
backup, basta clicar sobre o nome do arquivo de backup.
Criar backup
Para restaurar o backup do SGCI, necessrio primeiro instalar uma cpia do
SGCI, depois o usurio criador entrar no sistema e selecionar o menu Backup.
Ser exibida uma tela igual mostrada no slide. Nesta tela, o usurio criador
seleciona o arquivo de backup, digita a senha do backup, a sua senha, e clica
sobre o boto Recuperar. Se o backup for concludo com sucesso, ser mostrada
Restaurar backup
uma mensagem ao usurio.
Backup
Restaurar backup
126
Logs
Logs
Como j foi mencionado, o SGCI grava todas as atividades que foram efetuadas.
E, para exportar estes logs, o usurio criador deve entrar no sistema e selecionar
o menu Exportar Log. Ser exibido o arquivo de log, bem como o seu tamanho.
Exportar
Se o usurio
desejar exportar o log, basta clicar em Download. Se desejar excluir
o log, basta selecion-lo e clicar em Excluir selecionados.
Exportar
SGCI 2.0.0
Nas prximas imagens, sero apresentadas algumas telas do SGCI verso 2.0.0,
que est em desenvolvimento. A verso apresentada apenas um prottipo, e
provavelmente ainda ter muitas modificaes. Atualmente esta verso est
apenas disponvel para os desenvolvedores.
SGCI 2.0.0
Na primeira tela, vemos a rea de login de usurios e uma das novidades da verso
2.0.0, o acesso ao sistema atravs da autenticao por certificados digitais.
SGCI 2.0.0
127
A verso 2.0.0 vai fazer uso de uma identidade visual mais forte. Um exemplo que
pode ser visto nesta tela que o status de uma entidade diferenciado visualmente.
Outra diferena est no canto superior direito, onde destacado o mdulo em
que o usurio est trabalhando. Cada mdulo possui uma cor diferenciada.
SGCI 2.0.0
128
6
Sesso de aprendizagem 6
SGCI Gerenciamento de Entidades
Roteiro de atividades
Tpicos e conceitos
\\Conceitos
gerais do SGCI:
\\Entidades
\\Usurios
\\Templates
de certificados
\\Entidades
(AR no vinculada)
\\Relaes
de confiana
de AC Intermediria no SGCI
\\Aprovao
\\Emisso
de requisies de certificado
de certificados
\\Importao
\\Criao
de certificado de AC Intermediria
\\Importao
de certificado de AR
minutos
130
Esta atividade foi desenvolvida para ser realizada em duplas, que devem
compartilhar uma mquina. Cada pessoa deve trocar INSTITUICAO pelo
nome da sua respectiva instituio.
O aluno deve iniciar a mquina virtual VMware do sistema operacional Linux
Ubuntu, e logar utilizando login icpedu e senha icpedu. A senha para o comando
sudo (executar comando como administrador do sistema) tambm icpedu. O
exerccio consiste em executar todos os passos para a criao de uma AC
Intermediria no SGCI. Esta atividade pressupe que a Atividade 1 da sesso 5 foi
executada com sucesso.
Procure entender a funo de cada campo a ser preenchido no SGCI,
associando-o com o contedo visto em aula. No preencha os campos sem
entend-los, e em caso de dvidas, consulte o instrutor.
1. Criao da AC Intermediria
1. Abra o navegador e acesse o SGCI (http://localhost). Escolha o mdulo de
gerenciamento Criador. Entre com o usurio criador, e a sua senha padro, rnp.
2. Escolha o menu Entidades, e a opo Cadastrar AC.
3. Escolha a Opo de Cadastro Intermediria por gerao de requisio, e
preencha os dados da entidade. O nome da sua entidade deve ser AC
INSTITUICAO (sem acentuao). Neste passo selecionado o local para onde
ser enviada a requisio. Ela ser enviada para alguma AR confivel da AC
Raiz. Na atividade 1, foi criada uma AR Vinculada, de confiana da AC Raiz.
Aps todos os dados preenchidos, digite a senha do criador no campo
correspondente, e clique em Cadastrar.
4. Como a requisio de certificado da AC INSTITUICAO foi criada no mesmo
computador em que est a AC Raiz, o SGCI vai enviar automaticamente a
requisio para a AC e a AR selecionadas.
2. Aprovao da requisio de certificado da AC Intermediria pela AR
Vinculada
1. Saia do mdulo de gerenciamento Criador. Entre como Operador da AR
Vinculada, selecione o menu Gerenciamento de Requisies. Ser exibida a
requisio de certificado da AC INSTITUICAO. Clique na opo Informaes
para verificar se os dados esto corretos. Se estiverem corretos, selecione a
requisio e clique em Aprovar selecionadas.
2. Na prxima tela, confirme se a entidade selecionada foi a correta, e digite a
senha do operador da AR Vinculada.
131
132
Esta atividade foi desenvolvida para ser realizada em duplas, que devem
compartilhar uma mquina. Cada pessoa deve trocar INSTITUICAO pelo
nome da sua respectiva instituio.
O aluno deve iniciar a mquina virtual VMware do sistema operacional Linux Ubuntu,
e logar utilizando login icpedu e senha icpedu. A senha para o comando sudo
(executar comando como administrador do sistema) tambm icpedu. O exerccio
consiste em executar todos os passos para criao de uma AR Instituio no
SGCI. Esta atividade pressupe que a Atividade 1 da sesso 5 e a Atividade
Criao da AR Instituio 1 da sesso 6 j foram executadas com sucesso.
Procure entender a funo de cada campo a ser preenchido no SGCI,
associando-o com o contedo visto em aula. No preencha os campos sem
entend-los, e em caso de dvidas, consulte o instrutor.
1. Criao da AR INSTITUICAO
1. Abra o navegador e acesse o SGCI (http://localhost). Escolha o mdulo de
gerenciamento Criador. Entre com o usurio criador e a sua senha padro, rnp.
2. Escolha o menu Entidades e a opo Cadastrar AR.
3. Escolha a Opo de Cadastro AR por gerao de requisio, e preencha os
dados da entidade. O nome da sua entidade deve ser AR INSTITUICAO (sem
acentuao). Neste passo selecionado o local para onde ser enviada a
requisio. Ela ser enviada para alguma AR confivel da AC INSTITUICAO. Na
atividade 2, foi criada uma AR Vinculada, de confiana da AC INSTITUICAO.
Aps todos os dados preenchidos, digite a senha do criador no campo
correspondente, e clique em Cadastrar.
Introduo a Infraestrutura de Chaves Pblicas e Aplicaes Sesso de aprendizagem 6
133
134
7
Sesso de aprendizagem 7
Gerenciando o ciclo de vida de chaves
criptogrficas
Sumrio da sesso
O que um HSM?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Para que serve?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Ciclo de vida de Chaves Criptogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Caractersticas de um HSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Normas e Certificaes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Conhecendo e Inicializando o ASI-HSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Por que mais um HSM?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
ASI-HSM Diferenciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
ASI-HSM Componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
ASI-HSM Caractersticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
ASI-HSM Boas prticas de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
ASI-HSM Perfis de usurio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Preparando a instalao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Instalao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Inicializao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Preparao do HSM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Preparao para uso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Atividade 1 Instalao e configurao do ASI-HSM. . . . . . . . . . . . . . . . . . . . 158
136
O que um HSM?
O qque um HSM?
Significado
Hardware Security Module
Sinnimo
MSC - Mdulo de Segurana
g
Criptogrfico
p g
Conjunto
Conjunto Hardware/Software voltado proteo e
gerncia do ciclo de vida de chaves criptogrficas
O qque um HSM?
Hardware
Hardware
S ft
Software
137
Software
IInfraestruturas
f
t t
d
de Ch
Chaves Pbli
Pblicas
Segurana da ICP baseia-se na segurana de suas
Escola Superior de Redes RNP
chaves privadas
138
Ch
Chave
comprometida
tid
Estrutura
comprometida
Infraestruturas de
Chaves Pblicas:
Segurana da ICP
baseia-se na segurana
de suas chaves
privadas
\\Armazenamento
\\Controle
139
\\Backup/Recuperao
\\Destruio
Caractersticas de um HSM
Hardware
H
d
Sensores (fronteira criptogrfica)
Proteo fsica (lacre)
Mitigao de ataques
Registro completo de atividades
T k
t ti
Tokens
para autenticao
Software
Sistema Operacional
Provedor de servios criptogrficos
Interface de administrao remota
Caractersticas de um HSM
Hardware
Com respeito ao hardware, o HSM um sistema
desenvolvido para inibir todo e qualquer acesso
indevido ao material sigiloso contido em seu interior.
Tal material composto geralmente por chaves
criptogrficas simtricas, assimtricas, configuraes
internas, chaves secretas internas ao mdulo etc.
140
Normas e Certificaes
FIPS 140
Norma norte-americana (NIST)
Define 4 nveis de segurana incrementais
ICP Brasil
ICP-Brasil
Norma do governo brasileiro (ITI)
V lt d para ICP
Voltado
Define 3 nveis de segurana incrementais
Define 2 nveis de segurana fsica incrementais
ISO Common Criteria
Normas e Certificaes
H trs normas bastante conhecidas e aceitas que
avaliam, regulamentam e homologam hardwares
criptogrficos.
A primeira e mais conhecida a FIPS 140, norma
norte-americana mantida por um rgo do governo
americano NIST (National Institute of Standards and
Technology). A segunda uma norma criada pelo
governo brasileiro para homologao de solues
aptas a serem utilizadas no mbito da ICP-Brasil. A
terceira a Common Criteria, norma responsvel
pela homologao de solues em geral, como
sistemas operacionais e dispositivos, como HSMs.
Perfis de Usurio
141
Problemas
P
bl
d
das solues
l atuais
t i
HSMs so caixas-pretas
Difcil instalao e manuseio
Sequestro de chaves
Reserva de mercado?
Solues importadas
\\HSMs
Alto custo
Dificuldade de importao
Criptografia forte?
\\Em
\\Em
\\Como
142
ASI-HSM Diferenciais
ASI-HSM Diferenciais
Tecnologia
T
l i 100% nacional
i l
Parceria RNP + Kryptus + LabSEC
Software livre
Baixo custo
Protocolo aberto
A dit l
Auditvel
Amplamente documentado
Artigo EuroPKI
Artigo ID Trust (...)
ASI-HSM Componentes
ASI-HSM Componentes
p
Mdulo
Md
l C
Criptogrfico
i t fi
Interface de Gesto Remota
Cliente grfico em Java
Cliente texto em C
Token para autenticao
L it dde smartt cards
d
Leitora
Conjunto de smart cards
Engine OpenSSL
Acesso aos servios criptogrficos
\\Clientes
\\Token
\\Engine
143
ASI-HSM Caractersticas
ASI-HSM Caractersticas
\\Hardware
Hardware
Sensores
Luminosidade
Variao de tenso
Perfurao
Violao (lacre)
Temperatura
Interferncia eletromagntica
Gaiola de Faraday
TRNG
RTC
\\Um
\\Um
\\Um
ASI-HSM Caractersticas
Arquitetura interna do
ASI-HSM
Gerenciando o ciclo de vida de chaves criptogrficas
144
ASI-HSM Caractersticas
Arquitetura externa
Interface de
Gesto Remota
Sistema Gerenciador
de Certificados
SSL
OpenSSL
Engine
Engine
Software
ASI-HSM
Host
Gerncia de Chaves
OpenHSM
BIO
ASI-HSM
Arquitetura externa
A arquitetura externa ou ambiente operacional de um HSM geralmente consiste
em uma mquina host (para HSMs off-line) ou um conjunto de mquinas (HSMs
on-line), conectados ao mdulo por uma interface confivel. No caso do ASI-HSM,
esta conexo realizada via interface de rede (Ethernet). Na mquina host,
encontram-se instaladas as aplicaes cliente que interagiro com o mdulo. No
ASI-HSM, tais interfaces so o Cliente de Gesto Remota, para administrao do
mdulo e a Engine OpenSSL, para uso de chaves gerenciadas.
145
146
Bloquear
HSM
q
Recuperar backup (c/ administradores)
Apagar logs (c/ administradores)
147
Preparando
p
a instalao
Material
M
t i l
Mdulo criptogrfico (ASI-HSM)
Fonte de alimentao
Mquina Host
Interface de Gesto Remota
Engine OpenSSL
Preparando a instalao
Antes de inicializar o mdulo criptogrfico, os clientes
de gesto remota devem ser instalados na mquina
hospedeira a que estar conectado o HSM. Para o
cliente grfico, basta instalar uma mquina virtual
Java, verso 1.5 ou posterior. No caso da ferramenta
em linha de comando, necessria uma verso
especfica para o sistema operacional da mquina. A
engine OpenSSL dever tambm ser instalada e
configurada na aplicao a que o HSM ser integrado.
148
Instalao
Conectar
C
t leitora
l it porta
t USB do
d HSM ((apenas AHX1)
Colocar carto na leitora
Conectar HSM mquina host via cabo ethernet
Configurar IP da mquina host
192.168.1.5
Inicializao
Objetivo
Obj
ti
Configurar idioma e conectar ao HSM
Passos
Executar interface de gesto remota
Instalao
No caso do ASI-HSM AHX1, a leitora dever ser
conectada ao mdulo, visto que trata-se de uma
leitora externa. Na verso AHX2, a leitora interna,
podendo-se assim passar prxima etapa. O HSM
vem pr-configurado com o endereo de rede
192.168.1.1; sendo assim, necessrio configurar
a interface de rede da mquina host com o IP
192.168.1.5. Com a instalao finalizada, o HSM
pode ento ser ligado.
Inicializao
Com o HSM ligado e pronto para receber conexes,
o cliente de gesto remota deve ser executado. As
configuraes padro devem ser mantidas para o
estabelecimento da conexo.
ASI-HSM-Client.jar
Definir linguagem:
Arquivo Preferncias
Conectar ao HSM
IP: 192.168.1.1
Porta: 5000
izao
149
uagem
Linguagem
Definio da linguagem
O HSM possui internacionalizao em portugus e ingls, sendo que esta opo pode
ser selecionada no menu Arquivo -> Preferncias (Portugus) ou File -> Preferences
(Ingls). A partir deste ponto, o texto ser baseado na interface em ingls, enquanto
os slides contero as ilustraes correspondentes, na verso em portugus.
ao
gem
Linguagem
150
zao
151
xo:
etros
Conexo: parmetros
Estabelecimento de conexo
Inicialmente, pressiona-se o boto Connect to HSM. Ao clicarmos, nos ser
solicitado informar o endereo IP e a porta para conexo ao ASI-HSM. Os
parmetros de conexo vm pr-configurados de acordo com a configurao
padro do HSM. Sendo assim, se a instalao do ambiente operacional foi
efetuada com sucesso, basta clicar em OK para estabelecer a conexo.
zao
152
xo
:
Conexo: SSL
Certificado SSL
A conexo entre HSM e a mquina Host feita atravs de um tnel SSL. Logo, no
incio da conexo solicitado ao usurio que confira e aceite o certificado SSL
utilizado para estabelecer o caminho seguro. Inicialmente, exibido apenas o
campo Common Name do certicado que o ASI-HSM apresenta na conexo. A
partir desta janela pode-se conrmar a conexo, ou pode-se visualizar de forma
completa o certicado usado pelo ASI- HSM para a referida conexo.
zao
153
o
elecida
Conexo estabelecida
Preparao do HSM
Preparao
p do HSM
Duas possibilidades
D
ibilid d
Preparao para uso
\\Primeira
HSM no
Preparao
para uso
HSM
Operacional
Restaurao
configurado
Preparao
para backup
HSM
Backup
\\Segunda
Preparao
Escola Superior de Redes
RNP
154
HSM no
Preparao
para uso
HSM
Operacional
Restaurao
configurado
Preparao
para backup
Preparao
p ppara uso
Objetivo
Obj
ti
Preparar HSM para gerenciar chaves criptogrficas
Passos
Configurar data e hora
Configurar parmetros internos
HSM
Backup
urao
155
Configurao
e hhora
Data e hora
Configurao de data e hora
O primeiro passo para a correta configurao do HSM a configurao da data
e hora internas do HSM. Como o HSM ainda no possui perfil de administrao,
tal configurao realizada sem a necessidade de autenticao. Aps a criao
do perfil, tal atividade passa a ser administrativa, exigindo a autenticao do
respectivo perfil.
156
HSM
7
Sesso de aprendizagem 7
Gerenciando o ciclo de vida de chaves
criptogrficas
Roteiro de atividades
Tpicos e conceitos
\\ Preparao
\\ Instalao
da instalao
do mdulo
\\ Conexo
\\ Definio
da linguagem
\\ Configurao
minutos
158
Material necessrio:
\\ Mdulo
\\ Fonte
criptogrfico (ASI-HSM);
de alimentao;
\\ Mquina
host;
\\ Interface
de gesto remota;
\\ Engine
\\ Cabo
OpenSSL;
de rede crossover;
\\ Leitora
\\ Smart
de smart cards;
cards.
carto na leitora;
\\ Conectar
\\ Configurar
\\ Conectar
\\ Ligar
HSM;
\\ Observar
estado da leitora.
linguagem:
\\ Arquivo
\\Conectar
\\ Clicar
\\Manter
\\ IP:
g Preferncias
ao HSM:
no boto no centro da tela.
192.168.1.1
\\ Porta:
\\Verificar
5000
159
data e hora:
\\ Digitar
\\Configurar
\\ Dados
\\ Algoritmo
padro
\\ Tamanhos
das chaves
\\ Endereo
IP e porta de servio
\\ Firewall
\\ Clique
em Aplicar;
\\ Aguarde
\\ Repita
\\ Acesse
\\ Perceba
Mais informaes
Manual tcnico do ASI-HSM, disponvel em: http://projetos.labsec.ufsc.br/openhsmd
160
8
Sesso de aprendizagem 8
Utilizando o ASI-HSM
Sumrio da sesso
Criao dos perfis de usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Criao de Administradores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Demais perfis (Audit e Oper). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Gerao e liberao de chave para uso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Gerao de chaves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Liberao (carga) de chaves para uso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Listar chaves carregadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Exportao de logs gerenciais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Procedimento de backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Preparao para backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Importao da chave de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Gerao de backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Restaurao de backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Ativar perfis de operao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Atividade 1 Criao de perfis de Usurio. . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Atividade 2 Gerao de Chave RSA e liberao para uso. . . . . . . . . . . . . . . 196
Atividade 3 Exportar registros de logs gerenciais. . . . . . . . . . . . . . . . . . . . . 197
Atividade 4 Procedimento de backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
162
Criao
dos pperfis de usurio
Objetivo
Obj
ti
Criar grupos de usurios para cada um dos trs papis
responsveis pelo uso do HSM
Passos
Criar perfil de Administrao
Criar perfil de Auditoria
Criar perfil de Operao
Criao
de Administradores
Criao de Administradores
Criao
de Administradores
163
Utilizando o ASI-HSM
Criao
de Administradores
Escola Superior de Redes RNP
164
Nos passos seguintes, deve-se inserir o PIN para proteger o uso do smart card do
membro. Este valor deve ser numrico e estar entre a faixa 1000 e 99999999.
Criao
de Administradores
165
Utilizando o ASI-HSM
Criao
de Administradores
166
Aps efetuar-se tal processo para cada um dos m smart cards, um dilogo
exibido, informando o sucesso na criao do grupo de administradores.
Sequncia
q
obrigatria
g
Auditores
Operadores
167
Gerao
e liberao
de chave para
p uso
Objetivo
Obj
ti
Gerar chave criptogrfica e liber-la para uso
Passos
Gerar par de chaves RSA
Carregar chave, disponibilizando-a para acesso via
engine OpenSSL
Listar chave carregada para garantir que tudo correu
conforme
f
o esperado
d
Gerao
de chaves
Gerao de chaves
O processo de criao de chaves atravs da interface grca se inicia acessandose o item Accounts and Keys e, em seguida, Keys, ambos localizados no canto
superior esquerdo da tela principal. Em seguida, denem-se um nome para a
chave e o identicador do grupo de operadores que ser responsvel por ela.
Logo, pressiona-se o boto Generate Key.
Utilizando o ASI-HSM
Gerao
de chaves
Escola Superior de Redes RNP
168
Gerao
de chaves
169
Utilizando o ASI-HSM
Gerao
de chaves
Escola Superior de Redes RNP
170
Liberao
(carga)
( g ) de chaves ppara uso
171
Para que uma chave possa ser utilizada via Engine OpenSSL para assinaturas
digitais, ela deve ser carregada em memria. Para liberar o uso de uma chave
gerenciada, necessrio que o perfil de operao responsvel pela custdia da
mesma se autentique. Para isto, acessam-se os itens Accounts and Keys e
Keys. Em seguida, a aba Load Key. No primeiro campo de texto entra-se com
o nome da chave assimtrica. No campo abaixo informa-se o perodo de tempo
em que a chave permanecer aberta. No campo abaixo encontra-se a unidade de
tempo desejada. No ltimo campo dene-se um nmero limite de usos antes que
chave seja descarregada. Mais abaixo h opes de se tornarem os limites de
uso e de tempo indenidos. Em seguida, pressiona-se o boto Load Key.
Utilizando o ASI-HSM
Liberao
(carga)
( g ) de chaves ppara uso
Escola Superior de Redes RNP
172
Liberao
(carga)
( g ) de chaves ppara uso
173
Utilizando o ASI-HSM
174
Para listar chaves liberadas para uso, inicialmente acessam-se os itens Accounts
and Keys e Keys e, em seguida, a aba List Loaded Keys. Por ltimo, pressiona-se
o boto List Key e um dilogo contendo informaes a respeito da chave exibido.
Entre as informaes, a hora em que a chave foi aberta, quando ela ser fechada
(caso tenha sido definido um limite de tempo), bem como o nmero de usos que
ainda podem ser feitos da mesma, caso tenha sido definido o limite de usos.
Utilizando o ASI-HSM
176
Exportao
p de logs
g gerenciais
g
Objetivo
Obj
ti
Extrair logs internos do HSM para posterior anlise por
parte dos auditores
Passos
Exportar registros de logs para mquina hospedeira
Exportao
p de logs
g ggerenciais
Exportao
p de logs
g ggerenciais
177
Uma janela ser aberta para possibilitar a escolha do arquivo de destino contendo
os registros de logs exportados. Este arquivo ser exportado no formato PKCS#7
assinado pelo certificado interno do perfil de auditoria, sendo necessria uma
ferramenta externa para sua extrao e visualizao. Indica-se a ferramenta
Cryptonit para tal fim.
Utilizando o ASI-HSM
Exportao
p de logs
g ggerenciais
Escola Superior de Redes RNP
178
Exportao
p de logs
g ggerenciais
179
Utilizando o ASI-HSM
180
Procedimento de backupp
Objetivo
Obj
ti
Replicar o ambiente operacional de um HSM em um
novo HSM, permitindo a continuidade do ciclo de vida
de chaves, em caso de indisponibilidade do primeiro
Passos
Preparar HSM para backup
Importar chave de backup em HSM operacional
E
Exportar
t iimagem dde bbackup
k
Restaurar backup em HSM preparado
Ativar perfis de operao
rocedimento de backupp
B k di
Backup
direcionado
i d
Procedimento de backup
Como exposto anteriormente, o esquema de backup
do ASI-HSM direcionado, ou seja, antes de gerar
uma imagem do ambiente operacional, o HSM j tem
conhecimento do destino da cpia, permitindo assim
um rastreamento das cpias da chave privada.
Quando um HSM preparado para backup (passo 1),
gerado em seu interior um par de chaves de backup,
cuja chave pblica deve ser exportada para uma
mquina hospedeira e posteriormente importada em
um HSM Operacional (passos 2 e 3). A partir da, todo
o backup gerado pelo HSM Operacional ser cifrado
com a chave pblica de backup do HSM, sendo que
se for a do permetro criptogrfico, a cpia da chave
sempre estar protegida por criptografia forte.
Backup direcionado
Preparao
p ppara backupp
181
Utilizando o ASI-HSM
Preparao
p ppara backupp
Escola Superior de Redes RNP
182
Preparao
p ppara backupp
183
Utilizando o ASI-HSM
mportao
p da chave de backupp
Escola Superior de Redes RNP
184
Importao
p da chave de backupp
185
Ao clicar no boto Import Backup Key, ser solicitada a seleo do arquivo que
contm a chave pblica de backup.
Utilizando o ASI-HSM
mportao
p da chave de backupp
Escola Superior de Redes RNP
186
Importao
p da chave de backupp
187
Utilizando o ASI-HSM
Gerao
de backupp
Escola Superior de Redes RNP
188
Gerao de backup
Gerao
de backupp
189
Utilizando o ASI-HSM
Gerao
de backupp
Escola Superior de Redes RNP
190
Gerao
de backupp
191
Utilizando o ASI-HSM
Restaurao
de backupp
Escola Superior de Redes RNP
192
Restaurao de backup
Restaurao
de backupp
193
Utilizando o ASI-HSM
194
8
Sesso de aprendizagem 8
Utilizando o ASI-HSM
Roteiro de atividades
Tpicos e conceitos
\\ Criao
de perfis de usurio
\\ Gerao
\\ Exportao
de logs gerenciais
\\ Procedimento
\\ Ativao
de backup
do Perfil de Operao
minutos
\\ Disponibilizar
mquina virtual
196
\\ Operadores:
Gerar chave
1. Acesse o menu lateral Chaves e Contas de UsuriogChaves;
2. Acesse a aba Gerar Chave;
3. Entre com um nome para a chave. Exemplo: chave-raiz;
4. Selecione um perfil de Operao para ser responsvel pela chave a ser criada
(manter opo padro);
5. Escolha um tamanho para a chave (manter opo padro);
6. Clique no boto Gerar Chave;
197
Utilizando o ASI-HSM
198
Gerao de backup
1. Acessar menu lateral Chaves e Contas de UsuriogAdministradores;
2. Acessar aba Backup;
3. Clicar no boto Fazer o backup;
4. Selecionar o arquivo de destino da imagem de backup;
5. A
utenticar o mnimo de componentes necessrios para compor o perfil
de administrao;
6. Aguardar a exibio da mensagem de sucesso.
199
Restaurao de backup
1. Conectar ao HSM preparado para backup;
2. Acesse o menu lateral Chaves e Contas de UsuriogAdministradores;
3. Acessar aba Recuperar Backup;
4. E
ntrar com o nome de um dos grupos de auditoria presentes no HSM em
operao. Este grupo dever se autenticar para liberar a restaurao de backup;
5. Selecionar o arquivo contendo a imagem de backup do HSM operacional;
6. Clicar no boto Recuperar o Backup;
7. S
er solicitada a autenticao dos perfis de administrao e auditoria,
respectivamente;
8. Aguardar exibio da mensagem de sucesso;
9. O HSM ser reiniciado aps a concluso do procedimento.
Aps a restaurao do backup, os HSMs possuiro exatamente os mesmos perfis
e chaves gerenciadas. Contudo, para que estejam em estados completamente
idnticos, necessrio ainda ativar os perfis de operao.
Mais informaes
Manual tcnico do ASI-HSM, disponvel em: http://projetos.labsec.ufsc.br/openhsmd
Utilizando o ASI-HSM
200
9
Sesso de aprendizagem 9
Simulao de Credenciamento etapa 1
Sumrio da sesso
Atividade final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Atividade final - Fluxo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Atividade 1 Preparao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Atividade 2 Criao do par de chaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
202
Atividade final
Atividade final
Nesta
N
t sesso,
ser realizada
li d uma simulao
i l de
d
credenciamento de uma AC Institucional ICPEDU
Esta atividade tem como pr-requisitos todas as
sesses anteriores e envolver os conceitos de:
Infraestrutura de Chaves Pblicas
Hardware criptogrfico
Software de Gerenciamento de Certificados Digitais
Cerimnias e procedimentos prticos de credenciamento
Atividade final
Etapa 1
Et
Na primeira etapa simularemos o primeiro dia de uma
cerimnia de criao da AC Instituio
Nesta pprimeira pparte sero realizadas:
Configurao do sistema (SGCI + HSM)
Gerao da requisio da instituio
Envio da requisio para a AR (neste caso, o professor)
203
204
9
Sesso de aprendizagem 9
Simulao de Credenciamento etapa 1
Roteiro de atividades
Tpicos e conceitos
\\Credenciamento
de instituio
\\Cerimnia
\\ Integrao
o processo de credenciamento
o funcionamento da integrao do SGCI com o HSM RNP
minutos
206
Atividade 1 Preparao
o HSM.
\\Comandos:
207
Comum: AC <NOME_DA_INSTITUICAO>
\\Organizao:
ICPEDU
\\Organizao:
RNP
\\ Cidade:
\\Pas:
Cidade da Instituio
BR
208
10
Sesso de aprendizagem 10
Simulao de Credenciamento etapa 2
Sumrio da sesso
Atividade final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Atividade final - Fluxo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Roteiro de atividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Atividade 1 Importar o certificado emitido . . . . . . . . . . . . . . . . . . . . . . . . . 214
Atividade 2 Emitir um certificado para usurios/ACs credenciadas. . . . . . . . 214
210
Atividade final
Atividade final
Esta
E
t sesso
apresenta
t a segunda
d etapa
t
ddas atividades
ti id d
iniciadas na Sesso de Aprendizagem 9
Esta sesso prev a emisso do Certificado Digital da
AC Instituio e o posterior uso do sistema
Atividade final
Etapa 2
Et
Nesta etapa simularemos o segundo dia de uma
cerimnia de criao da AC Instituio
Importao do certificado emitido pela AC Raiz
Emisso de certificados e LCRs para simulao do dia-a-dia
da AC
211
212
10
Sesso de aprendizagem 10
Simulao de Credenciamento etapa 2
Roteiro de atividades
Tpicos e conceitos
\\ Credenciamento
de instituio
\\ Cerimnia
\\ Integrao
o processo de credenciamento
o funcionamento da integrao do SGCI com o HSM RNP
minutos
214
Bibliografia
\\HOUSLEY,
R.; POLK, T. Planning for PKI: Best Practices Guide for Deploying Public
Key Infrastructure. John Willey & Sons.
\\HOUSLEY,
\\MARTINA,
\\MOULDS,
\\SOUZA,
\\SOUZA,
\\SCHNEIER,
\\STALLINGS,
\\Manual
tcnico do ASI-HSM:
http://projetos.labsec.ufsc.br/openhsmd/attachment/wiki/WikiStart/Manual-doUsuario-OpenHSM-v0.9.pdf
\\Site
216
Conhea a Infraestrutura de
Chaves Pblicas para Ensino e
Pesquisa (ICPEDU) e aprenda a
implantar Autoridades
Certificadoras e de Registro
Introduo a Infraestrutura de Chaves Pblicas
e Aplicaes
O projeto ICPEDU tem como objetivo implantar um servio de
gerao de certificados digitais para a comunidade de ensino
e pesquisa, visando o seu uso para autenticao, assinatura
digital e sigilo. Este curso capacita os profissionais envolvidos
na implantao da Infraestrutura de Chaves Pblicas Acadmica
em suas respectivas instituies. Ao final do curso, o aluno
conhecer os fundamentos necessrios para o estabelecimento
e manuteno dos principais componentes que constituem uma
ICP: autoridades certificadoras e de registro.
esr.rnp.br