Infraestrutura de Chaves Pblicas Brasileira

REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL

DOC-ICP-04 - verso 3.2

18 de novembro de 2010

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

1 /31

Infraestrutura de Chaves Pblicas Brasileira

Sumrio

1. INTRODUO...........................................................................................................................7 1.1. Viso Geral...........................................................................................................................7 1.2. Identificao.........................................................................................................................8 1.3. Comunidade e Aplicabilidade..............................................................................................8 1.3.1. Autoridades Certificadoras...........................................................................................8 1.3.2. Autoridades de Registro...............................................................................................9 1.3.3. Prestador de Servios de Suporte.................................................................................9 1.3.4. Titulares de Certificado..............................................................................................10 1.3.5. Aplicabilidade.............................................................................................................10 1.4. Dados de Contato...............................................................................................................10 2. DISPOSIES GERAIS...........................................................................................................10 2.1. Obrigaes e direitos..........................................................................................................11 2.2. Responsabilidades..............................................................................................................11 2.3. Responsabilidade Financeira..............................................................................................11 2.4. Interpretao e Execuo mesmo tipo ...............................................................................11 2.5. Tarifas de Servio...............................................................................................................11 2.6. Publicao e Repositrio....................................................................................................11 2.7. Auditoria e Fiscalizao.....................................................................................................11 2.8. Sigilo..................................................................................................................................12 2.9. Direitos de Propriedade Intelectual....................................................................................12 3. IDENTIFICAO E AUTENTICAO ................................................................................12 3.1. Registro Inicial...................................................................................................................12 3.2. Gerao de novo par de chaves antes da expirao do atual..............................................12 3.3. Gerao de novo par de chaves aps expirao ou revogao...........................................12 3.4. Solicitao de Revogao...................................................................................................12 4. REQUISITOS OPERACIONAIS..............................................................................................13 4.1. Solicitao de Certificado..................................................................................................13 4.2. Emisso de Certificado.......................................................................................................13 4.3. Aceitao de Certificado....................................................................................................13 4.4. Suspenso e Revogao de Certificado..............................................................................13 4.5. Procedimentos de Auditoria de Segurana.........................................................................13 4.6. Arquivamento de Registros................................................................................................13 4.7. Troca de chave...................................................................................................................14 4.8. Comprometimento e Recuperao de Desastre .................................................................14 4.9. Extino dos servios de AC, AR ou PSS.........................................................................14
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 2 /31

Infraestrutura de Chaves Pblicas Brasileira

5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL...............14 5.1. Controles Fsicos................................................................................................................14 5.2. Controles Procedimentais...................................................................................................14 6. CONTROLES TCNICOS DE SEGURANA........................................................................15 6.1. Gerao e Instalao do Par de Chaves .............................................................................15 6.1.1. Gerao do par de chaves...........................................................................................15 6.1.2. Entrega da chave privada entidade titular................................................................16 6.1.3. Entrega da chave pblica para o emissor de certificado.............................................16 6.1.4. Disponibilizao de chave pblica da AC para usurios............................................16 6.1.5. Tamanhos de chave....................................................................................................17 6.1.6. Gerao de parmetros de chaves assimtricas..........................................................17 6.1.7. Verificao da qualidade dos parmetros...................................................................17 6.1.8. Gerao de chave por hardware ou software..............................................................17 6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3)..............18 6.2. Proteo da Chave Privada.................................................................................................18 6.2.1. Padres para mdulo criptogrfico.............................................................................18 6.2.2. Controle n de m para chave privada.......................................................................18 6.2.3. Custdia (escrow) de chave privada...........................................................................18 6.2.4. Cpia de segurana (backup) de chave privada.........................................................18 6.2.5. Arquivamento de chave privada.................................................................................19 6.2.6. Insero de chave privada em mdulo criptogrfico..................................................19 6.2.7. Mtodo de ativao de chave privada........................................................................19 6.2.8. Mtodo de desativao de chave privada...................................................................19 6.2.9. Mtodo de destruio de chave privada.....................................................................19 6.3. Outros Aspectos do Gerenciamento do Par de Chaves......................................................19 6.3.1. Arquivamento de chave pblica.................................................................................19 6.3.2. Perodos de uso para as chaves pblica e privada......................................................20 6.4. Dados de Ativao.............................................................................................................20 6.4.1. Gerao e instalao dos dados de ativao...............................................................20 6.4.2. Proteo dos dados de ativao..................................................................................20 6.4.3. Outros aspectos dos dados de ativao.......................................................................21 6.5. Controles de Segurana Computacional............................................................................21 6.5.1. Requisitos tcnicos especficos de segurana computacional....................................21 6.5.2. Classificao da segurana computacional................................................................21 6.6. Controles Tcnicos do Ciclo de Vida.................................................................................21 6.6.1. Controles de desenvolvimento de sistema..................................................................21 6.6.2. Controles de gerenciamento de segurana.................................................................21 6.6.3. Classificaes de segurana de ciclo de vida.............................................................21 6.7. Controles de Segurana de Rede........................................................................................21 6.8. Controles de Engenharia do Mdulo Criptogrfico...........................................................22 7. PERFIS DE CERTIFICADO E LCR........................................................................................22 7.1. Perfil do Certificado...........................................................................................................22 7.1.1. Nmero de verso.......................................................................................................22 7.1.2. Extenses de certificado.............................................................................................22
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 3 /31

Infraestrutura de Chaves Pblicas Brasileira

7.1.3. Identificadores de algoritmo.......................................................................................25 7.1.6. OID (Object Identifier) de Poltica de Certificado.....................................................27 7.1.7. Uso da extenso Policy Constraints........................................................................27 7.1.8. Sintaxe e semntica dos qualificadores de poltica....................................................28 7.1.9. Semntica de processamento para extenses crticas.................................................28 7.2. Perfil de LCR.....................................................................................................................28 7.2.1. Nmero de verso.......................................................................................................28 7.2.2. Extenses de LCR e de suas entradas.........................................................................28 8. ADMINISTRAO DE ESPECIFICAO............................................................................28 8.1. Procedimentos de mudana de especificao.....................................................................28 8.2. Polticas de publicao e notificao.................................................................................28 8.3. Procedimentos de aprovao..............................................................................................29 9. DOCUMENTOS REFERENCIADOS......................................................................................29 ANEXO I.......................................................................................................................................30

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

4 /31

Infraestrutura de Chaves Pblicas Brasileira

CONTROLE DE ALTERAES Tabela 1 Tabela de Controle de Alteraes

Resoluo que aprovou alterao

Resoluo 84, de 18.11.2010 (Verso 3.2)

Item Alterado
7.1.2.3-a

Descrio da Alterao
Incluso de campo otherName, obrigatrio para certificado vinculado ao RIC

Resoluo 77, de 7.1.2.2-e, 7.1.2.2-f, 7.2.2.2-c Incluso do campo de extenso de Authority 31.03.2010 Information Access (Verso 3.1) Resoluo 53, de 1.1.3, 1.1.6, 1.2.2, 1.3.5.6, Incluso de referncias a Carimbo de Tempo 19.11.2008 6.1.1.7, 6.1.8, 6.2.4.1, 6.3.2.3, (Verso 3.0) 7.1.2.2, 7.1.4.2, Anexo I 7.1.2.4 Incluso do formato PRINTABLE STRING como alternativa ao formato OCTET STRING para armazenamento das informaes definidas nos campos otherName Criao do DOC-ICP-04, documentos anteriores consolidando

Resoluo 41, de 18.04.2006 (Verso 2.0)

Diversos

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

5 /31

Infraestrutura de Chaves Pblicas Brasileira

SIGLAS Tabela 2 Tabela de Siglas

SIGLA
AC AC Raiz ACT AR CEI CG CMM-SEI CMVP CN CNE CNPJ COBIT COSO CPF DMZ DN DPC ICP-Brasil IDS IEC ISO ITSEC ITU LCR

DESCRIO
Autoridade Certificadora Autoridade Certificadora Raiz da ICP-Brasil Autoridade de Carimbo do Tempo Autoridades de Registro Cadastro Especfico do INSS Comit Gestor Capability Maturity Model do Software Engineering Institute Cryptographic Module Validation Program Common Name Carteira Nacional de Estrangeiro Cadastro Nacional de Pessoas Jurdicas Control Objectives for Information and related Technology Comitee of Sponsoring Organizations Cadastro de Pessoas Fsicas Zona Desmilitarizada Distinguished Name Declarao de Prticas de Certificao Infraestrutura de Chaves Pblicas Brasileira Intrusion Detection System International Electrotechnical Commission International Organization for Standardization European Information Technology Security Evaluation Criteria International Telecommunications Union Lista de Certificados Revogados Continua na prxima pgina

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

6 /31

Infraestrutura de Chaves Pblicas Brasileira

Tabela 2 Concluso da Tabela de Siglas

SIGLA
NBR NIS NIST OCSP OID OU PASEP PC PCN PIS POP PS PSS RFC RG SNMP TCSEC TSDM UF URL

DESCRIO
Norma Brasileira Nmero de Identificao Social National Institute of Standards and Technology Online Certificate Status Protocol Object Identifier Organization Unit Programa de Formao do Patrimnio do Servidor Pblico Polticas de Certificado Plano de Continuidade de Negcio Programa de Integrao Social Proof of Possession Poltica de Segurana Prestadores de Servio de Suporte Request For Comments Registro Geral Simple Network Management Protocol Trusted System Evaluation Criteria Trusted Software Development Methodology Unidade de Federao Uniform Resource Locator

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

7 /31

Infraestrutura de Chaves Pblicas Brasileira

1. INTRODUO 1.1. Viso Geral 1.1.1. Este documento estabelece requisitos mnimos a serem obrigatoriamente observados pelas Autoridades Certificadoras - AC integrantes da Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) na elaborao de suas Polticas de Certificado (PC). 1.1.2. Toda PC elaborada no mbito da ICP-Brasil deve obrigatoriamente adotar a mesma estrutura empregada neste documento. 1.1.3. So 10 (dez) os tipos, inicialmente previstos, de certificados digitais para usurios finais da ICP-Brasil, sendo 6 (seis) relacionados com assinatura digital e 4 (quatro) com sigilo, conforme o descrito a seguir: a) Tipos de Certificados de Assinatura Digital: i. A1

ii. A2 iii. A3 iv. A4 v. T3 vi. T4 b) Tipos de Certificados de Sigilo: i. S1

ii. S2 iii. S3 iv. S4 1.1.4. Os tipos de certificados indicados acima, de A1 a A4 e de S1 a S4, definem escalas de requisitos de segurana, nas quais os tipos A1 e S1 esto associados aos requisitos menos rigorosos e os tipos A4 e S4 aos requisitos mais rigorosos. 1.1.5. Certificados dos tipos de A1 a A4 e de S1 a S4, de assinatura ou de sigilo, podem, conforme a necessidade, ser emitidos pelas ACs para pessoas fsicas, pessoas jurdicas, equipamentos ou aplicaes. 1.1.6. Certificados do tipo T3 e T4 somente podem ser emitidos para equipamentos das Autoridades de Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil. Os certificados do tipo
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 8 /31

Infraestrutura de Chaves Pblicas Brasileira

T3 e T4 esto associados aos mesmos requisitos de segurana, exceto pelo tamanho das chaves criptogrficas utilizadas. 1.1.7. Outros tipos de certificado, alm dos dez anteriormente relacionados, podem ser propostos para a apreciao do Comit Gestor da ICP-Brasil CG da ICP-Brasil. As propostas sero analisadas quanto conformidade com as normas especficas da ICP-Brasil e, quando aprovadas, sero acrescidas aos tipos de certificados aceitos pela ICP-Brasil. 1.2. Identificao 1.2.1. Neste item deve ser identificada a PC e indicado, no mnimo, o tipo de certificado a que est associada. Exemplo: Poltica de Certificado de Assinatura Digital, tipo A1, do(a) <nome da instituio>. O OID (Object Identifier) da PC deve tambm ser includo neste item. 1.2.2. No mbito da ICP-Brasil, os OIDs das PCs sero atribudos na concluso do processo de credenciamento da AC, conforme a Tabela 3 a seguir: Tabela 3 - OID de PC na ICP-Brasil

Tipo de Certificado
A1 A2 A3 A4 S1 S2 S3 S4 T3 T4

OID
2.16.76.1.2.1.n 2.16.76.1.2.2.n 2.16.76.1.2.3.n 2.16.76.1.2.4.n 2.16.76.1.2.101.n 2.16.76.1.2.102.n 2.16.76.1.2.103.n 2.16.76.1.2.104.n 2.16.76.1.2.303.n 2.16.76.1.2.304.n

1.3. Comunidade e Aplicabilidade 1.3.1. Autoridades Certificadoras 1.3.1.1 Neste item deve ser identificada a AC integrante da ICP-Brasil que implementa a PC. 1.3.1.2. Deve tambm ser identificado o documento Declarao de Prticas de Certificao (DPC) dessa AC, onde estaro descritas suas prticas e procedimentos de certificao.
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 9 /31

Infraestrutura de Chaves Pblicas Brasileira

1.3.2. Autoridades de Registro 1.3.2.1. Neste item deve ser identificado o endereo da pgina web (URL) onde esto publicados os dados a seguir, referentes s Autoridades de Registro (AR) utilizadas pela AC para os processos de recebimento, validao e encaminhamento de solicitaes de emisso ou de revogao de certificados digitais e de identificao de seus solicitantes: a) relao de todas as ARs credenciadas, com informaes sobre as PCs que implementam; b) para cada AR credenciada, os endereos de todas as instalaes tcnicas, autorizadas pela AC Raiz a funcionar; c) para cada AR credenciada, relao de eventuais postos provisrios autorizados pela AC Raiz a funcionar, com data de criao e encerramento de atividades; d) relao de AR que tenham se descredenciado da cadeia da AC, com respectiva data do descredenciamento; e) relao de instalaes tcnicas de AR credenciada que tenham deixado de operar, com respectiva data de encerramento das atividades; f) acordos operacionais celebrados pelas ARs vinculadas com outras ARs da ICPBrasil, se for o caso. 1.3.2.2. A AC responsvel dever manter as informaes acima sempre atualizadas. 1.3.3. Prestador de Servios de Suporte 1.3.3.1. Neste item deve ser identificado o endereo da pgina web (URL) onde est publicada a relao de todos os Prestadores de Servios de Suporte (PSS) vinculados AC responsvel, seja diretamente seja por intermdio de suas ARs. 1.3.3.2. PSSs so entidades utilizados pela AC ou pelas ARs para desempenhar atividade descrita nesta PC ou na DPC implementada pela AC e se classificam em trs categorias, conforme o tipo de atividade prestada: a) disponibilizao de infraestrutura fsica e lgica; b) disponibilizao de recursos humanos especializados; ou c) disponibilizao de infraestrutura fsica e lgica e de recursos humanos especializados. 1.3.3.3. A AC responsvel dever manter as informaes acima sempre atualizadas.

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

10 /31

Infraestrutura de Chaves Pblicas Brasileira

1.3.4. Titulares de Certificado Neste item devem ser caracterizadas as entidades (pessoas fsicas ou jurdicas) que podero ser titulares dos certificados emitidos segundo a PC. 1.3.5. Aplicabilidade 1.3.5.1. Neste item devem ser relacionadas as aplicaes para as quais os certificados definidos pela PC so adequados e, quando cabveis, as aplicaes para as quais existam restries ou proibies para o uso desses certificados. 1.3.5.2. As aplicaes e demais programas que admitirem o uso de certificado digital de um determinado tipo contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou superior, emitido por qualquer AC credenciada pela AC Raiz. 1.3.5.3. Na definio das aplicaes para o certificado definido pela PC, a AC responsvel deve levar em conta o nvel de segurana previsto para o tipo do certificado. Esse nvel de segurana caracterizado pelos requisitos mnimos definidos para aspectos como: tamanho da chave criptogrfica, mdia armazenadora da chave, processo de gerao do par de chaves, procedimentos de identificao do titular de certificado, freqncia de emisso da correspondente Lista de Certificados Revogados (LCR) e extenso do perodo de validade do certificado, apresentados na tabela constante do Anexo I. 1.3.5.4. Certificados de tipos A1, A2, A3 e A4 sero utilizados em aplicaes como confirmao de identidade e assinatura de documentos eletrnicos com verificao da integridade de suas informaes. 1.3.5.5. Certificados de tipos S1, S2, S3 e S4 sero utilizados em aplicaes como cifrao de documentos, bases de dados, mensagens e outras informaes eletrnicas, com a finalidade de garantir o seu sigilo. 1.3.5.6. Certificados de tipos T3 e T4 sero utilizados em aplicaes mantidas por autoridades de carimbo do tempo credenciadas na ICP-Brasil, para assinatura de carimbos do tempo. 1.4. Dados de Contato Neste item devem ser includos nome, endereo, telefone e outras informaes da AC responsvel pela PC. Devem ser tambm informados o nome, os nmeros de telefone e de fax e o endereo eletrnico de uma pessoa para contato. 2. DISPOSIES GERAIS Nos itens seguintes devem ser referidos os itens correspondentes da DPC da AC responsvel ou detalhados aspectos especficos para a PC, se houver.
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 11 /31

Infraestrutura de Chaves Pblicas Brasileira

2.1. Obrigaes e direitos 2.1.1. Obrigaes da AC 2.1.2. Obrigaes das ARs 2.1.3. Obrigaes do Titular do Certificado 2.1.4. Direitos da terceira parte (Relying Party) 2.1.5. Obrigaes do Repositrio 2.2. Responsabilidades 2.2.1. Responsabilidades da AC 2.2.2. Responsabilidades da AR 2.3. Responsabilidade Financeira 2.3.1. Indenizaes devidas pela terceira parte (Relying Party) 2.3.2. Relaes Fiducirias 2.3.3. Processos Administrativos 2.4. Interpretao e Execuo mesmo tipo 2.4.1. Legislao 2.4.2. Forma de interpretao e notificao 2.4.3. Procedimentos de soluo de disputa 2.5. Tarifas de Servio 2.5.1. Tarifas de emisso e renovao de certificados 2.5.2. Tarifas de acesso a certificados 2.5.3. Tarifas de revogao ou de acesso informao de status 2.5.4. Tarifas para outros servios 2.5.5. Poltica de reembolso 2.6. Publicao e Repositrio 2.6.1. Publicao de informao da AC 2.6.2. Freqncia de publicao 2.6.3. Controles de acesso 2.6.4. Repositrios 2.7. Auditoria e Fiscalizao

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

12 /31

Infraestrutura de Chaves Pblicas Brasileira

2.8. Sigilo 2.8.1. Tipos de informaes sigilosas 2.8.2. Tipos de informaes no sigilosas 2.8.3. Divulgao de informao de revogao e de suspenso de certificado 2.8.4. Quebra de sigilo por motivos legais 2.8.5. Informaes a terceiros 2.8.6. Divulgao por solicitao do titular 2.8.7. Outras circunstncias de divulgao de informao 2.9. Direitos de Propriedade Intelectual 3. IDENTIFICAO E AUTENTICAO Nos itens seguintes devem ser referidos os itens correspondentes da DPC da AC responsvel ou detalhados aspectos especficos para a PC, se houver. 3.1. Registro Inicial 3.1.1. Disposies Gerais 3.1.2. Tipos de nomes 3.1.3. Necessidade de nomes significativos 3.1.4. Regras para interpretao de vrios tipos de nomes 3.1.5. Unicidade de nomes 3.1.6. Procedimento para resolver disputa de nomes 3.1.7. Reconhecimento, autenticao e papel de marcas registradas 3.1.8. Mtodo para comprovar a posse de chave privada 3.1.9. Autenticao da identidade de um indivduo 3.1.9.1. Documentos para efeitos de identificao de um indivduo 3.1.9.2. Informaes contidas no certificado emitido para um indivduo 3.1.10. Autenticao da identidade de uma organizao 3.1.10.1. Disposies Gerais 3.1.10.2. Documentos para efeitos de identificao de uma organizao 3.1.10.3. Informaes contidas no certificado emitido para uma organizao 3.1.11. Autenticao da identidade de equipamento ou aplicao 3.1.11.1. Disposies Gerais 3.1.11.2. Procedimentos para efeitos de identificao de um equipamento ou aplicao 3.1.11.3 - Informaes contidas no certificado emitido para um equipamento ou aplicao 3.2. Gerao de novo par de chaves antes da expirao do atual 3.3. Gerao de novo par de chaves aps expirao ou revogao 3.4. Solicitao de Revogao
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 13 /31

Infraestrutura de Chaves Pblicas Brasileira

4. REQUISITOS OPERACIONAIS Nos itens seguintes devem ser referidos os itens correspondentes da DPC da AC responsvel ou detalhados aspectos especficos para a PC, se houver. 4.1. Solicitao de Certificado 4.2. Emisso de Certificado 4.3. Aceitao de Certificado 4.4. Suspenso e Revogao de Certificado 4.4.1. Circunstncias para revogao 4.4.2. Quem pode solicitar revogao 4.4.3. Procedimento para solicitao de revogao 4.4.4. Prazo para solicitao de revogao 4.4.5. Circunstncias para suspenso 4.4.6. Quem pode solicitar suspenso 4.4.7. Procedimento para solicitao de suspenso 4.4.8. Limites no perodo de suspenso 4.4.9. Freqncia de emisso de LCR 4.4.10. Requisitos para verificao de LCR 4.4.11. Disponibilidade para revogao ou verificao de status on-line 4.4.12. Requisitos para verificao de revogao on-line 4.4.13. Outras formas disponveis para divulgao de revogao 4.4.14. Requisitos para verificao de outras formas de divulgao de revogao 4.4.15. Requisitos especiais para o caso de comprometimento de chave 4.5. Procedimentos de Auditoria de Segurana 4.5.1. Tipos de eventos registrados 4.5.2. Freqncia de auditoria de registros (logs) 4.5.3. Perodo de reteno para registros (logs) de auditoria 4.5.4. Proteo de registro (log) de auditoria 4.5.5. Procedimentos para cpia de segurana (backup) de registro (log) de auditoria 4.5.6. Sistema de coleta de dados de auditoria 4.5.7. Notificao de agentes causadores de eventos 4.5.8. Avaliaes de vulnerabilidade 4.6. Arquivamento de Registros 4.6.1. Tipos de registros arquivados 4.6.2. Perodo de reteno para arquivo 4.6.3. Proteo de arquivo
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 14 /31

Infraestrutura de Chaves Pblicas Brasileira

4.6.4. Procedimentos para cpia de segurana (backup) de arquivo 4.6.5. Requisitos para datao (time-stamping) de registros 4.6.6. Sistema de coleta de dados de arquivo 4.6.7. Procedimentos para obter e verificar informao de arquivo 4.7. Troca de chave 4.8. Comprometimento e Recuperao de Desastre 4.8.1. Recursos computacionais, software ou dados so corrompidos 4.8.2. Certificado de entidade revogado 4.8.3. Chave de entidade comprometida 4.8.4. Segurana dos recursos aps desastre natural ou de outra natureza 4.8.5. Atividades das Autoridades de Registro 4.9. Extino dos servios de AC, AR ou PSS 5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL Nos itens seguintes devem ser referidos os itens correspondentes da DPC da AC responsvel ou detalhados aspectos especficos para a PC, se houver. 5.1. Controles Fsicos 5.1.1. Construo e localizao das instalaes 5.1.2. Acesso fsico 5.1.3. Energia e ar condicionado 5.1.4. Exposio gua 5.1.5. Preveno e proteo contra incndio 5.1.6. Armazenamento de mdia 5.1.7. Destruio de lixo 5.1.8. Instalaes de segurana (backup) externas (off-site) 5.2. Controles Procedimentais 5.2.1. Perfis qualificados 5.2.2. Nmero de pessoas necessrio por tarefa 5.2.3. Identificao e autenticao para cada perfil 5.3. Controles de Pessoal 5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade 5.3.2. Procedimentos de verificao de antecedentes 5.3.3. Requisitos de treinamento 5.3.4. Freqncia e requisitos para reciclagem tcnica 5.3.5. Freqncia e seqncia de rodzio de cargos 5.3.6. Sanes para aes no autorizadas
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 15 /31

Infraestrutura de Chaves Pblicas Brasileira

5.3.7. Requisitos para contratao de pessoal 5.3.8. Documentao fornecida ao pessoal 6. CONTROLES TCNICOS DE SEGURANA Nos itens seguintes, a PC deve definir as medidas de segurana necessrias para proteger as chaves criptogrficas dos titulares de certificados emitidos segundo a PC. Devem tambm ser definidos outros controles tcnicos de segurana utilizados pela AC e pelas ARs vinculadas na execuo de suas funes operacionais. 6.1. Gerao e Instalao do Par de Chaves Compete AC Raiz acompanhar a evoluo tecnolgica e, quando necessrio, atualizar os padres e algoritmos criptogrficos utilizados na ICP-Brasil, publicando nova verso do documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.1. Gerao do par de chaves 6.1.1.1. Quando o titular de certificado for uma pessoa fsica, esta ser a responsvel pela gerao dos pares de chaves criptogrficas. Quando o titular de certificado for uma pessoa jurdica, esta indicar por seu(s) representante(s) legal(is), a pessoa responsvel pela gerao dos pares de chaves criptogrficas e pelo uso do certificado. 6.1.1.2. Neste item, a PC deve descrever todos os requisitos e procedimentos referentes ao processo de gerao de chaves aplicvel ao certificado que define. 6.1.1.3. O algoritmo a ser utilizado para as chaves criptogrficas de titulares de certificados est definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.1.4. Ao ser gerada, a chave privada da entidade titular dever ser gravada cifrada, por algoritmo simtrico aprovado no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1], no meio de armazenamento definido para cada tipo de certificado previsto pela ICP-Brasil, conforme a Tabela 4 a seguir. 6.1.1.5. A chave privada dever trafegar cifrada, empregando os mesmos algoritmos citados no pargrafo anterior, entre o dispositivo gerador e a mdia utilizada para o seu armazenamento. 6.1.1.6. A mdia de armazenamento da chave privada dever assegurar, por meios tcnicos e procedimentais adequados, no mnimo, que: a) a chave privada nica e seu sigilo suficientemente assegurado; b) a chave privada no pode, com uma segurana razovel, ser deduzida e deve estar protegida contra falsificaes realizadas atravs das tecnologias atualmente disponveis; e
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 16 /31

Infraestrutura de Chaves Pblicas Brasileira

c) a chave privada pode ser eficazmente protegida pelo legtimo titular contra a utilizao por terceiros. 6.1.1.7. Essa mdia de armazenamento no deve modificar os dados a serem assinados, nem impedir que esses dados sejam apresentados ao signatrio antes do processo de assinatura. Tabela 4 Mdias Armazenadoras de Chaves Criptogrficas

Tipo de Certificado
A1 e S1 A2 e S2 A3 e S3 A4 e S4 T3 e T4

Mdia Armazenadora de Chave Criptogrfica (Requisitos Mnimos)

Repositrio protegido por senha e/ou identificao biomtrica, cifrado por software na forma definida acima Carto Inteligente ou Token, ambos sem capacidade de gerao de chave e protegidos por senha e/ou identificao biomtrica Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos por senha e/ou identificao biomtrica, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos por senha e/ou identificao biomtrica, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil Hardware criptogrfico aprovado pelo CG da ICP-Brasil

6.1.2. Entrega da chave privada entidade titular Item no aplicvel. 6.1.3. Entrega da chave pblica para o emissor de certificado A PC deve detalhar os procedimentos utilizados para a entrega da chave pblica de titular de certificado AC responsvel. Nos casos em que houver solicitao de certificado pelo seu titular ou por AR vinculada, dever ser adotado formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.4. Disponibilizao de chave pblica da AC para usurios Neste item, a PC deve definir as formas para a disponibilizao do certificado da AC responsvel, e de todos os certificados de sua cadeia de certificao, para os usurios da ICPBrasil, formas essas que podero compreender, entre outras: a) no momento da disponibilizao de um certificado para seu titular; usando formato
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 17 /31

Infraestrutura de Chaves Pblicas Brasileira

definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]; b) diretrio; c) pgina web da AC; e d) outros meios seguros aprovados pelo CG da ICP-Brasil. 6.1.5. Tamanhos de chave 6.1.5.1. Este item deve definir o tamanho das chaves criptogrficas associadas aos certificados emitidos segundo a PC. 6.1.5.2. Os algoritmos e o tamanhos de chaves a serem utilizados nos diferentes tipos de certificados da ICP-Brasil esto definidos no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.6. Gerao de parmetros de chaves assimtricas A PC deve prever que os parmetros de gerao de chaves assimtricas das entidades titulares de certificados adotaro o padro estabelecido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.7. Verificao da qualidade dos parmetros Os parmetros devero ser verificados de acordo com as normas estabelecidas pelo padro definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.1.8. Gerao de chave por hardware ou software O processo de gerao de chaves criptogrficas definido pela PC dever ser realizado, para cada tipo correspondente de certificado previsto pela ICP-Brasil, conforme a Tabela 5 a seguir: Tabela 5 Processos de Gerao de Chaves Criptogrficas

Tipo de Certificado
A1 e S1 A2 e S2 A3, S3, T3 A4, S4, T4

Processo de Gerao de Chave Criptogrfica

Software Software Hardware Hardware

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

18 /31

Infraestrutura de Chaves Pblicas Brasileira

6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) Neste item, a PC deve especificar os propsitos para os quais podero ser utilizadas as chaves criptogrficas dos titulares de certificados, bem como as possveis restries cabveis, em conformidade com as aplicaes definidas para os certificados correspondentes (item 1.3.4). 6.2. Proteo da Chave Privada Nos itens seguintes, a PC deve definir os requisitos para a proteo das chaves privadas dos titulares de certificados emitidos segundo a PC. 6.2.1. Padres para mdulo criptogrfico Neste item, quando cabveis, devem ser especificados os padres requeridos para os mdulos de gerao de chaves criptogrficas, observados os padres definidos no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 6.2.2. Controle n de m para chave privada Item no aplicvel. 6.2.3. Custdia (escrow) de chave privada Neste item, a PC deve observar que no permitida, no mbito da ICP-Brasil, a custdia (escrow) de chaves privadas, isto , no se permite que terceiros possam legalmente obter uma chave privada sem o consentimento de seu titular. 6.2.4. Cpia de segurana (backup) de chave privada 6.2.4.1. Com exceo das chaves privadas vinculadas a certificados do tipo T3 e T4, que no podem possuir cpia de segurana, qualquer titular de certificado dos demais tipos poder, a seu critrio, manter cpia de segurana de sua prpria chave privada. 6.2.4.2. A AC responsvel pela PC no poder manter cpia de segurana de chave privada de titular de certificado de assinatura digital por ela emitido. Por solicitao do respectivo titular, ou de empresa ou rgo, quando o titular do certificado for seu empregado ou cliente, a AC poder manter cpia de segurana de chave privada correspondente a certificado de sigilo por ela emitido. 6.2.4.3. Em qualquer caso, a cpia de segurana dever ser armazenada cifrada por algoritmo simtrico aprovado pelo documento PADRES E ALGORITMOS CRIPTOGRFICOS NA ICP-BRASIL [1] e protegida com um nvel de segurana no inferior quele definido para a chave original.

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

19 /31

Infraestrutura de Chaves Pblicas Brasileira

6.2.4.4. Alm das observaes acima, a PC deve descrever todos os requisitos e procedimentos aplicveis ao processo de gerao de uma cpia de segurana. 6.2.5. Arquivamento de chave privada 6.2.5.1. Neste item de uma PC que defina certificados de sigilo, devem ser descritos, quando cabveis, os requisitos para arquivamento de chaves privadas. No devem ser arquivadas chaves privadas de assinatura digital. 6.2.5.2. Define-se arquivamento como o armazenamento da chave privada para seu uso futuro, aps o perodo de validade do certificado correspondente. 6.2.6. Insero de chave privada em mdulo criptogrfico Neste item, quando aplicveis, devem ser definidos os requisitos para insero da chave privada de titular em mdulo criptogrfico. 6.2.7. Mtodo de ativao de chave privada Neste item da PC devem ser descritos os requisitos e os procedimentos necessrios para a ativao da chave privada de entidade titular. Devem ser definidos os agentes autorizados a ativar essa chave, o mtodo de confirmao da identidade desses agentes (senhas, tokens ou biometria) e as aes necessrias para a ativao. 6.2.8. Mtodo de desativao de chave privada Neste item da PC devem ser descritos os requisitos e os procedimentos necessrios para desativao da chave privada de entidade titular. Devem ser definidos os agentes autorizados, o mtodo de confirmao da identidade desses agentes e as aes necessrias. 6.2.9. Mtodo de destruio de chave privada Neste item da PC devem ser descritos os requisitos e os procedimentos necessrios para destruio da chave privada de titular e de suas cpias de segurana. Devem ser definidos os agentes autorizados, o mtodo de confirmao da identidade desses agentes e as aes necessrias, tais como destruio fsica, sobrescrita ou apagamento das mdias de armazenamento. 6.3. Outros Aspectos do Gerenciamento do Par de Chaves 6.3.1. Arquivamento de chave pblica A PC deve prever que as chaves pblicas de titulares dos certificados de assinatura digital e as LCR sero armazenadas pela AC emissora, aps a expirao dos certificados correspondentes, permanentemente, para verificao de assinaturas geradas durante seu perodo de validade.
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 20 /31

Infraestrutura de Chaves Pblicas Brasileira

6.3.2. Perodos de uso para as chaves pblica e privada 6.3.2.1. Caso a PC se refira a certificados de assinatura digital, ela deve prever que as chaves privadas dos respectivos titulares devero ser utilizadas apenas durante o perodo de validade dos certificados correspondentes. As correspondentes chaves pblicas podero ser utilizadas durante todo o perodo de tempo determinado pela legislao aplicvel, para verificao de assinaturas geradas durante o prazo de validade dos respectivos certificados. 6.3.2.2. Caso a PC se refira a certificados de sigilo, ela deve definir os perodos de uso das chaves correspondentes. 6.3.2.3. A Tabela 6, a seguir, define os perodos mximos de validade admitidos para cada tipo de certificado previsto pela ICP-Brasil: Tabela 6 Perodos de Validade dos Certificados

Tipo de Certificado
A1 e S1 A2 e S2 A3, S3, T3 A4, S4, T4

Perodo Mximo de Validade do Certificado (em anos)

1 2 3 3

6.4. Dados de Ativao Nos itens seguintes da PC devem ser descritos os requisitos de segurana referentes aos dados de ativao. Os dados de ativao, distintos das chaves criptogrficas, so aqueles requeridos para a operao de alguns mdulos criptogrficos. 6.4.1. Gerao e instalao dos dados de ativao A PC deve garantir que os dados de ativao da chave privada da entidade titular do certificado, se utilizados, sero nicos e aleatrios. 6.4.2. Proteo dos dados de ativao A PC deve garantir que os dados de ativao da chave privada da entidade titular do certificado, se utilizados, sero protegidos contra uso no autorizado.

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

21 /31

Infraestrutura de Chaves Pblicas Brasileira

6.4.3. Outros aspectos dos dados de ativao Neste item, quando for o caso, devem ser definidos outros aspectos referentes aos dados de ativao. Entre esses outros aspectos podem ser considerados alguns daqueles tratados, em relao s chaves, nos itens de 6.1 a 6.3. 6.5. Controles de Segurana Computacional 6.5.1. Requisitos tcnicos especficos de segurana computacional A PC deve descrever os requisitos de segurana computacional do equipamento onde sero gerados os pares de chaves criptogrficas dos titulares de certificados, observados os requisitos gerais previstos na DPC. 6.5.2. Classificao da segurana computacional Item no aplicvel. 6.6. Controles Tcnicos do Ciclo de Vida Caso a AC responsvel exija um software especfico para a utilizao dos certificados emitidos segundo a PC, nos itens seguintes devem ser descritos os controles implementados no desenvolvimento e no gerenciamento de segurana referentes a esse software. 6.6.1. Controles de desenvolvimento de sistema Neste item da PC devem ser abordados aspectos tais como: segurana do ambiente e do pessoal de desenvolvimento, prticas de engenharia de software adotadas, metodologia de desenvolvimento de software, entre outros. 6.6.2. Controles de gerenciamento de segurana Neste item devem ser descritos os procedimentos e as ferramentas empregados para garantir que o software e seu ambiente operacional implementem os nveis configurados de segurana. 6.6.3. Classificaes de segurana de ciclo de vida Neste item deve ser informado, quando disponvel, o nvel de maturidade atribudo ao ciclo de vida do software, com base em critrios como: Trusted Software Development Methodology (TSDM) ou o Capability Maturity Model do Software Engineering Institute (CMM-SEI). 6.7. Controles de Segurana de Rede Caso o ambiente de utilizao do certificado definido pela PC exija controles especficos de segurana de rede, esses controles devem ser descritos neste item da PC, de acordo com as
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 22 /31

Infraestrutura de Chaves Pblicas Brasileira

normas, critrios, prticas e procedimentos da ICP-Brasil. 6.8. Controles de Engenharia do Mdulo Criptogrfico Este item da PC deve descrever os requisitos aplicveis ao mdulo criptogrfico utilizado para armazenamento da chave privada da entidade titular de certificado. Podero ser indicados padres de referncia, observados os padres definidos no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. 7. PERFIS DE CERTIFICADO E LCR Os itens seguintes devem especificar os formatos dos certificados e das LCR gerados segundo a PC. Devem ser includas informaes sobre os padres adotados, seus perfis, verses e extenses. Os requisitos mnimos estabelecidos nos itens seguintes devero ser obrigatoriamente atendidos em todos os tipos de certificados admitidos no mbito da ICP-Brasil. 7.1. Perfil do Certificado Todos os certificados emitidos pela AC responsvel, segundo a PC, devero estar em conformidade com o formato definido pelo padro ITU X.509 ou ISO/IEC 9594-8. 7.1.1. Nmero de verso Todos os certificados emitidos pela AC responsvel, segundo a PC, devero implementar a verso 3 de certificado definida no padro ITU X.509, de acordo com o perfil estabelecido na RFC 5280. 7.1.2. Extenses de certificado 7.1.2.1. Neste item, a PC deve descrever todas as extenses de certificado utilizadas e sua criticalidade. 7.1.2.2. A ICP-Brasil define como obrigatrias as seguintes extenses: a) "Authority Key Identifier", no crtica: o campo keyIdentifier deve conter o hash SHA-1 da chave pblica da AC; b) "Key Usage", crtica: em certificados de assinatura digital, somente os bits digitalSignature, nonRepudiation e keyEncipherment podem estar ativados; em certificados de sigilo, somente os bits keyEncipherment e dataEncipherment podem estar ativados; c) "Certificate Policies", no crtica: deve conter o OID da PC correspondente e o endereo Web da DPC da AC que emite o certificado; d) "CRL Distribution Points", no crtica: deve conter o endereo na Web onde se obtm a LCR correspondente;
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 23 /31

Infraestrutura de Chaves Pblicas Brasileira

e) "Extended Key Usage", crtica: deve conter somente o sub-campo KeyPurposeID contendo o valor id-kp-timeStamping com OID 1.3.6.1.5.5.7.3.8, nos certificados de equipamentos de carimbo do tempo de ACT credenciada na ICP-Brasil. Este OID no deve ser empregado em qualquer outro tipo de certificado. f) "Authority Information Access", no crtica: A primeira entrada deve conter o mtodo de acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP, para a recuperao da cadeia de certificao. A segunda entrada pode conter o mtodo de acesso id-ad-ocsp, com o respectivo endereo do respondedor OCSP, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP. Esta extenso somente aplicvel para certificado de usurio final. 7.1.2.3. A ICP-Brasil tambm define como obrigatria a extenso "Subject Alternative Name", no crtica, e com os seguintes formatos: a) Para certificado de pessoa fsica: a.1) 3 (trs) campos otherName, obrigatrios, contendo: i. OID = 2.16.76.1.3.1 e contedo = nas primeiras 8 (oito) posies, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posies subseqentes, o Cadastro de Pessoa Fsica (CPF) do titular; nas 11 (onze) posies subseqentes, o Nmero de Identificao Social - NIS (PIS, PASEP ou CI); nas 15 (quinze) posies subseqentes, o nmero do Registro Geral - RG do titular; nas 6 (seis) posies subseqentes, as siglas do rgo expedidor do RG e respectiva UF. ii. OID = 2.16.76.1.3.6 e contedo = nas 12 (doze) posies o nmero do Cadastro Especifico do INSS (CEI) da pessoa fsica titular do certificado. iii. OID = 2.16.76.1.3.5 e contedo = nas primeiras 12 (doze) posies, o nmero de inscrio do Ttulo de Eleitor; nas 3 (trs) posies subseqentes, a Zona Eleitoral; nas 4 (quatro) posies seguintes, a Seo; nas 22 (vinte e duas) posies subseqentes, o municpio e a UF do Ttulo de Eleitor. a.2) campos otherName, no obrigatrios, contendo: OID = 2.16.76.1.4.n e contedo = de tamanho varivel correspondente ao nmero de habilitao ou identificao profissional emitido por conselho de classe ou rgo competente. A AC Raiz, por meio do documento ATRIBUIO DE OID NA ICP-BRASIL [2] regulamentar a correspondncia de cada conselho de classe ou rgo competente ao conjunto de OID acima definido.

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

24 /31

Infraestrutura de Chaves Pblicas Brasileira

a.3) 1 (um) campo otherName, obrigatrio, para certificados vinculados Documento RIC, contendo: OID = 2.16.76.1.3.9 e contedo = nas primeiras 11 (onze) posies, o nmero de Registro de Identidade Civil. b) Para certificado de pessoa jurdica, 4 (quatro) campos otherName, obrigatrios, contendo, nesta ordem: i. OID = 2.16.76.1.3.4 e contedo = nas primeiras 8 (oito) posies, a data de nascimento do responsvel pelo certificado, no formato ddmmaaaa; nas 11 (onze) posies subseqentes, o Cadastro de Pessoa Fsica (CPF) do responsvel; nas 11 (onze) posies subseqentes, o nmero de Identificao Social NIS (PIS, PASEP ou CI); nas 15 (quinze) posies subseqentes, o nmero do RG do responsvel; nas 6 (seis) posies subseqentes, as siglas do rgo expedidor do RG e respectiva UF; ii. OID = 2.16.76.1.3.2 e contedo = nome do responsvel pelo certificado; iii. OID = 2.16.76.1.3.3 e contedo = Cadastro Nacional de Pessoa Jurdica (CNPJ) da pessoa jurdica titular do certificado; iv. OID = 2.16.76.1.3.7 e contedo = nas 12 (doze) posies o nmero do Cadastro Especifico do INSS (CEI) da pessoa jurdica titular do certificado. c) Para certificado de equipamento ou aplicao, 4 (quatro) campos otherName, obrigatrios, contendo, nesta ordem: i. OID = 2.16.76.1.3.8 e contedo = nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica), sem abreviaes, se o certificado for de pessoa jurdica; ii. OID = 2.16.76.1.3.3 e contedo = Cadastro Nacional de Pessoa Jurdica (CNPJ), se o certificado for de pessoa jurdica; iii. OID = 2.16.76.1.3.2 e contedo = nome do responsvel pelo certificado; iv. OID = 2.16.76.1.3.4 e contedo = nas primeiras 8 (oito) posies, a data de nascimento do responsvel pelo certificado, no formato ddmmaaaa; nas 11 (onze) posies subseqentes, o Cadastro de Pessoa Fsica (CPF) do responsvel; nas 11 (onze) posies subseqentes, o nmero de Identificao Social NIS (PIS, PASEP ou CI); nas 15 (quinze) posies subseqentes, o nmero do RG do responsvel; nas 6 (seis) posies subseqentes, as siglas do rgo expedidor do RG e respectiva UF.

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

25 /31

Infraestrutura de Chaves Pblicas Brasileira

7.1.2.4. Os campos otherName definidos como obrigatrios pela ICP-Brasil devem estar de acordo com as seguintes especificaes: a) O conjunto de informaes definido em cada campo otherName deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING; b) Quando os nmeros de CPF, NIS (PIS, PASEP ou CI), RG, CNPJ, CEI, ou Ttulo de Eleitor no estiverem disponveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero"; c) Se o nmero do RG no estiver disponvel, no se deve preencher o campo de rgo emissor e UF. O mesmo ocorre para o campo de municpio e UF, se no houver nmero de inscrio do Ttulo de Eleitor; d) Quando a identificao profissional no estiver disponvel, no dever ser inserido o campo (OID) correspondente. No caso de mltiplas habilitaes profissionais, devero ser inseridos e preenchidos os campos (OID) correspondentes s identidades profissionais apresentadas; e) Todas informaes de tamanho varivel referentes a nmeros, tais como RG, devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu mximo tamanho possvel; f) As 6 (seis) posies das informaes sobre rgo emissor do RG e UF referem-se ao tamanho mximo, devendo ser utilizadas apenas as posies necessrias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica s 22 (vinte e duas) posies das informaes sobre municpio e UF do Ttulo de Eleitor; g) Apenas os caracteres de A a Z e de 0 a 9 podero ser utilizados, no sendo permitidos caracteres especiais, smbolos, espaos ou quaisquer outros. 7.1.2.5. Campos otherName adicionais, contendo informaes especficas e forma de preenchimento e armazenamento definidas pela AC, podero ser utilizados com OID atribudos ou aprovados pela AC Raiz. 7.1.2.6. Os outros campos que compem a extenso "Subject Alternative Name" podero ser utilizados, na forma e com os propsitos definidos na RFC 5280. 7.1.3. Identificadores de algoritmo Neste item da PC deve ser indicado o OID (Object Identifier) do algoritmo criptogrfico utilizado para assinatura do certificado, observados os algoritmos admitidos no mbito da ICPBrasil, conforme documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [1].

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

26 /31

Infraestrutura de Chaves Pblicas Brasileira

7.1.4. Formatos de nome 7.1.4.1. O nome do titular do certificado, constante do campo Subject, dever adotar o Distinguished Name (DN) do padro ITU X.500/ISO 9594, como exemplo, da seguinte forma: C O = BR = ICP-Brasil

OU = nome da AC emitente CN = nome do titular do certificado em certificado de pessoa fsica; em um certificado de pessoa jurdica, dever conter o nome empresarial constante do Cadastro Nacional de Pessoa Jurdica (CNPJ); em um certificado de equipamento ou aplicao, o identificador CN dever conter o URL correspondente ou o nome da aplicao 7.1.4.2. O certificado digital emitido para o equipamentos de carimbo do tempo de Autoridade de Carimbo do Tempo credenciada na ICP-Brasil dever adotar o Distinguished Name (DN) do padro ITU X.500/ISO 9594, da seguinte forma: C O = BR = ICP-Brasil

OU = < nome da Autoridade de Carimbo do Tempo > CN = < nome do Servidor de Carimbo do Tempo (incluindo o serial do SCT) > NOTA: Ser escrito o nome at o limite do tamanho do campo disponvel, vedada a abreviatura. 7.1.5. Restries de nome 7.1.5.1. Neste item da PC, devem ser descritas as restries aplicveis para os nomes dos titulares de certificados. 7.1.5.2. A ICP-Brasil estabelece as seguintes restries para os nomes, aplicveis a todos os certificados: a) no devero ser utilizados sinais de acentuao, tremas ou cedilhas; e b) alm dos caracteres alfanumricos, podero ser utilizados somente os seguintes caracteres especiais:

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

27 /31

Infraestrutura de Chaves Pblicas Brasileira

Tabela 7 - Caracteres especiais admitidos em nomes

Caractere
branco ! " # $ % & ' ( ) * + , . / : ; = ? @ \

Cdigo NBR9611 (hexadecimal)

20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 3A 3B 3D 3F 40 5C

7.1.6. OID (Object Identifier) de Poltica de Certificado Neste item, deve ser informado o OID atribudo PC. Todo certificado emitido segundo a PC dever conter, na extenso Certificate Policies, o OID correspondente. 7.1.7. Uso da extenso Policy Constraints Item no aplicvel.
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 28 /31

Infraestrutura de Chaves Pblicas Brasileira

7.1.8. Sintaxe e semntica dos qualificadores de poltica Nos certificados emitidos segundo a PC, o campo policyQualifiers da extenso Certificate Policies dever conter o endereo Web (URL) da DPC da AC responsvel. 7.1.9. Semntica de processamento para extenses crticas Extenses crticas devem ser interpretadas conforme a RFC 5280. 7.2. Perfil de LCR 7.2.1. Nmero de verso As LCR geradas pela AC responsvel, segundo a PC, devero implementar a verso 2 de LCR definida no padro ITU X.509, de acordo com o perfil estabelecido na RFC 5280. 7.2.2. Extenses de LCR e de suas entradas 7.2.2.1. Neste item, a PC deve descrever todas as extenses de LCR utilizadas e sua criticalidade. 7.2.2.2. A ICP-Brasil define como obrigatrias as seguintes extenses de LCR: a) Authority Key Identifier, no crtica: deve conter o hash SHA-1 da chave pblica da AC 'que assina a LCR; b) CRL Number, no crtica: deve conter um nmero seqencial para cada LCR emitida; e c) Authority Information Access, no crtica: deve conter somente o mtodo de acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP, para a recuperao da cadeia de certificao. No deve ser utilizado nenhum outro mtodo de acesso diferente de id-ad-caIssuer. 8. ADMINISTRAO DE ESPECIFICAO Os itens seguintes devem definir como ser mantida e administrada a PC. 8.1. Procedimentos de mudana de especificao Neste item devem ser descritos a poltica e os procedimentos utilizados para realizar alteraes na PC. Qualquer alterao na PC dever ser submetida aprovao da AC Raiz. 8.2. Polticas de publicao e notificao Neste item devem ser descritos os mecanismos empregados para a distribuio da PC comunidade envolvida.
Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2 29 /31

Infraestrutura de Chaves Pblicas Brasileira

8.3. Procedimentos de aprovao Toda PC dever ser submetida aprovao, durante o processo de credenciamento da AC responsvel, conforme o estabelecido no documento CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. Como parte desse processo, alm da conformidade com este documento, dever ser verificada a compatibilidade entre a PC e a DPC da AC responsvel. 9. DOCUMENTOS REFERENCIADOS 9.1. Os documentos abaixo so aprovados por Resolues do Comit-Gestor da ICP-Brasil, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues que os aprovaram.

Ref.
[3]

Nome do documento
CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL

Cdigo
DOC-ICP-03

9.2. Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues Normativas que os aprovaram.

Ref.
[1] [2] PADRES E ICP-BRASIL

Nome do documento
ALGORITMOS CRIPTOGRFICOS NA

Cdigo
DOC-ICP-01.01 DOC-ICP-04.01

ATRIBUIO DE OID NA ICP-BRASIL

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.2

30 /31

Infraestrutura de Chaves Pblicas Brasileira

ANEXO I Tabela Comparativa de Requisitos Mnimos por Tipo de Certificado
Chave Criptogrfica Tipo de Certificado Tamanh Processo de o (bits) Gerao

Mdia Armazenadora

Validade Freqncia mxima do de emisso certificado de LCR (anos) (horas)

Tempo limite para revogao (horas)

A1 e S1

1024

Software

Repositrio protegido por senha e/ou identificao biomtrica, cifrado por software na forma do item 6.1.1 Carto Inteligente ou Token, ambos sem capacidade de gerao de chave e protegidos por senha e/ou identificao biomtrica

12

A2 e S2

1024

Software

12

A3 e S3

1024

Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos Hardware por senha e/ou identificao biomtrica, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil Hardware criptogrfico Hardware aprovado pelo CG da ICPBrasil Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos Hardware por senha e/ou identificao biomtrica, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil Hardware criptogrfico Hardware aprovado pelo CG da ICPBrasil

12

T3

1024

12

A4 e S4

2048

12

T4

2048

Requisitos Mnimos para as Polticas de Certificado na ICP-Brasil DOC-ICP-04 - verso 3.1

31 /31