Criptografia e Certificao Digital

Alessandro Barbieri, Csar Alberto Bravo Pariente Departamento de Cincias da Computao Universidade Estadual de Santa Cruz (UESC) - Ilhus - BA - Brasil
abarbieri.it@gmail.com, cesarabravo@ieee.org

Abstract. The necessity to protect information made the science of cryptography arose and made possible hide confidential information. Over the time, new and improved algorithms have been created to strengthen the security of digital data, in this way, new methods of what is known as symmetric and asymmetric encryption systems have emerged as technological innovations. This paper discusses the importance of encryption to what we know as digital certification in Brazil, which ensures the authenticity, integrity and confidentiality of digital information, as well as the structure that ensures the functionality of these. Resumo. A necessidade de proteger a informao fez com que a cincia da criptografia surgisse e possibilitasse ocultar informaes sigilosas. Ao longo do tempo, novos e melhores algoritmos foram criados para fortalecer a segurana dos dados digitais, desse modo, novos mtodos conhecidos como sistemas de criptografia simtrica e assimtrica despontaram como inovaes tecnolgicas. Este documento discute a importncia da criptografia para o que conhecemos como certificao digital no Brasil, a qual garante a autenticidade, integridade e confidencialidade de informaes digitais, bem como a estrutura que assegura a funcionalidade destes.

1. Introduo
Com o advento da tecnologia dos computadores eletrnicos, as informaes passaram a ser armazenadas em dispositivos digitais os quais nem sempre esto livres de vulnerabilidades. A rea da segurana da informao [Denning, Dorothy E. 1990] tem como principal finalidade a proteo destas informaes, desse modo, as instituies, pessoas e qualquer agente (pessoa fsica ou jurdica, servidores web e qualquer meio de transmisso de dados digitais) envolvido na transao de dados pode se assegurar da integridade e sigilo dos mesmos. Contudo, o ambiente digital facilita a negligncia de alguns agentes que por sua vez acabam sendo vtimas de usurios mal intencionados que buscam furtar dados digitais. O furto da informao [Terada, Routo 2008] uma prtica que se tornou comum em ambientes digitais. Pensando na necessidade de criar ferramentas capazes de proteger a informao, bem como a de assegurar a transmisso de dados, comeou-se a estudar criptografia, da palavra, Cripto vem da origem grega Kryptos que significa envolto, oculto ou escondido. Tambm do grego, Graphos significa escrever. Atravs dessa rea, matemticos criaram mtodos de cifras que ocultam o contedo de mensagens [Denning, Dorothy E. 1982] sem que a informao original seja corrompida. Posteriormente, estes mtodos foram implementados em ambientes digitais atravs de algoritmos matemticos e linguagens de programao, possibilitando a criao de softwares capazes de cifrar mensagens digitais e transmitir informaes por canais inseguros. Embora a utilizao da criptografia tenha colaborado com a diminuio de incidentes virtuais relacionados ao furto de dados digitais, a falta de autenticidade dos agentes permaneceu. O termo certificado digital surgiu devido necessidade de se autenticar estes usurios em ambientes virtuais, o que possibilitou a atribuio legal e validao de documentos assinados digitalmente. Este sistema de segurana integra mtodos de criptografia de chaves pblicas, o qual fornece mais uma camada de segurana na transmisso de informaes.

2. Criptografia
O processo que converte uma mensagem, palavras ou caracteres em uma cifra (cdigo em bits) denominado de cifragem. Na prtica, qualquer mensagem cifrada o resultado de um sistema ou algoritmo criptogrfico, que varivel, associado a uma chave especfica tambm gerada por um algoritmo criptogrfico, a qual invarivel para cada mensagem. Neste caso, remetente e destinatrio precisam conhecer a chave e o sistema utilizado para acessar a informao original [Denning, Dorothy E. 1982], sendo que, existem diversos algoritmos criptogrficos, cada um possuindo caractersticas e finalidades especficas. O ato de decodificar uma mensagem o processo inverso da encriptao ou codificao e realizado pelo receptor da mensagem, o qual o detentor da chave. A criptografia pode ser entendida como uma funo que torna o contedo da informao ilegvel e seu objetivo geral ocultar a informao [Tkotz, Viktoria 2005], possibilitando a transmisso de dados por canais considerados inseguros.

2.1. Criptografia simtrica O sistema de criptografia simtrica ou criptografia de chave nica baseia-se em uma chave ou cdigo escolhido pelo usurio, o qual em conjunto com um algoritmo criptogrfico, cifra o texto original [Ribenboim, Paulo 2001] tambm conhecido como texto claro e o torna ilegvel para quem no obtiver a chave utilizada na codificao da mensagem original, necessitando assim que ambas as partes, remetente e destinatrio, compartilhem da mesma chave. Infelizmente este mtodo criptogrfico possui certas caractersticas que desaconselham seu uso para casos que requerem maior prioridade de segurana [Hoglund, Greg. Mcgraw, Gary, 2006]. Em particular, por possuir apenas uma chave de codificao e decodificao, o envio da mesma por meios (e-mail, telefone e afins) considerados com nveis inferiores de segurana torna sua interceptao mais fcil, dessa forma, com posse da nica chave de decodificao o usurio mal intencionado ter acesso informao. O algoritmo DES (Data Encryption Standard), criado no perodo de 1973-1974 um exemplo de criptografia simtrica que foi bastante utilizado quando o mesmo foi selecionado como FIPS oficial (Federal Information Processing Standard) em 1976, tornando-se o algoritmo criptogrfico oficial do governo dos Estados Unidos. 2.2. Criptografia assimtrica O sistema de criptografia assimtrica ou sistema de chave pblica difere do mtodo de criptografia simtrica no nmero de chaves necessrias [Rivest, Shamir and Adleman 1978] para o processo de cifragem do texto claro e decifragem do texto cifrado. Na criptografia assimtrica cada agente possui duas chaves, sendo uma pblica a qual pode ser compartilhada em qualquer meio de comunicao e outra privada, a qual deve ser mantida em sigilo. Em um ambiente simulado de transmisso de uma mensagem cifrada, temos o agente A e o agente B, ambos possuindo chaves pblicas e privadas. Na transmisso da mensagem de A para B, temos que o agente A codifica a mensagem com a sua chave privada e depois com a chave pblica de B e a envia para o mesmo. Assim que o agente B recebe a mensagem, o mesmo utiliza inicialmente sua chave privada para decodificar a mensagem cifrada e depois utiliza a chave pblica do agente A, obtendo por fim a mensagem original. Usualmente o processo de encriptao utilizando o mtodo de criptografia assimtrica mais demorado do que o mtodo de criptografia simtrica. Contudo, o nvel de segurana do sistema de criptografia assimtrica mais alto e eficiente do que o de criptografia simtrica. O RSA um exemplo de criptografia assimtrica [Coutinho, S.C 2000], sendo o primeiro algoritmo que possibilitou a criao do conceito de assinatura digital e considerado uma das grandes inovaes nos mtodos de criptografia assimtrica de sua poca.

Figura 1. Simulao da utilizao do mtodo de chave pblica.

3. Assinatura digital
A assinatura digital um termo dado a uma tecnologia que garante a autenticidade e integridade da informao digital e pode ser tratada como anloga a assinatura fsica em papel. O processo de formao de uma assinatura digital [Rivest, Shamir and Adleman 1978] d-se por um conjunto de operaes criptogrficas aplicadas a um arquivo digital. Essa conveno permite garantir a integridade do contedo de um arquivo digitalmente assinado, bem como a autenticidade do remetente. Para assinar digitalmente um documento, uma funo aplicada inicialmente neste. Terminado o processo, obtm-se um resumo do documento original que convencionalmente denominado de Hash [Justia Federal 2012], assim como a funo matemtica que recebeu o nome de funo Hash. A importncia desta funo d-se na garantia da integridade da informao contida no documento, j que qualquer alterao no documento modificar o valor correspondente de Hash. Isso acontece devido ao clculo da Hash, o qual atribui um valor ou tamanho especfico para o documento. Devido assinatura digital utilizar o mtodo de criptografia de chave pblica, o valor Hash criptografado com a chave privada do signatrio, consequentemente ao criptografar o valor Hash com sua chave privada, o signatrio estar comprovando sua autenticidade. O processo de assinatura digital inerente certificao digital, j que a mesma que autentica a validade da assinatura.

4. Certificado digital e aspectos jurdicos

O certificado digital um arquivo de computador o qual contm um conjunto de informaes do agente para qual o certificado foi emitido, sendo que as informaes presentes nos arquivos so referentes identidade do solicitante tais como: RG, CPF, email, url e afins.

O certificado digital usualmente utilizado para garantir a autenticidade, integridade da informao [Cordeiro, Luiz Gustavo 2008], por consequente tambm garante o no repdio da entidade certificada. Um exemplo comum da utilizao da certificao digital d-se quando uma pessoa (fsica ou jurdica) acessa sua conta corrente atravs de plataformas web, nesse caso, so utilizados certificados digitais para garantir a identidade do usurio que est realizando operaes financeiras no banco. Certificados digitais tm data de validade e por isso, o usurio notificado pelo software utilizado que o prazo se aproxima do fim. Documentos assinados digitalmente aps o vencimento do certificado no tm validade jurdica [Clementino, Edilberto Barbosa 2007], porm arquivos assinados dentro do prazo de validade ainda possuem validade legal. A transmisso de certificados digitais deve ser feita atravs de conexes seguras, tais como as que utilizam de protocolo como o SSL (Secure Socket Layer) o qual especfico para o envio de informaes criptografadas. O no repdio um atributo legal que prev a garantia de que um emissor de uma mensagem assinada digitalmente ou autor de uma transao eletrnica, no poder posteriormente negar sua autoria.

5. Infraestrutura de Chaves Pblicas (ICP)

Devido tendncia mundial da utilizao das certificaes digitais, foi necessrio criar uma infraestrutura de controle para gerir a emisso destes certificados digitais. Uma ICP todo o conjunto de solues que d sustentao s tcnicas e processos para implantao da Certificao Digital. A principal finalidade de uma ICP garantir a legitimidade e autenticidade das informaes contidas em um certificado. 5.1. Tipos de certificaes Existem diferentes tipos de certificaes e cada uma possui uma finalidade especfica de uso. No Brasil existem quatro diferentes tipos de certificaes distintas por gerao (mecanismo usado para gerar as chaves), tamanho ou comprimento em bits da chave, tipo de Storage (armazenamento) e validade da certificao. A tabela 1 representa um resumo destas informaes.

Tipos A1 A2 A3 A4

Gerao Software Software Hardware Hardware

Tamanho (Chave) 1024 bits + 1024 bits + 1024 bits + 2048 bits +

Storage CD/DVD Token Token Token

Validade Um ano Dois anos Trs anos Quatro anos

Tabela 1. Tipos de certificaes da ICP Brasil

Quanto maior o tamanho (em bits) de uma chave, maior o nvel de segurana, bem como as chaves geradas via hardware que tambm so consideradas mais seguras.

Os dispositivos Token so bem comuns para acesso em contas bancrias por plataformas web e cada dispositivo possui um hardware criptogrfico, ou seja, so mais seguros do que mdias convencionais tais como CD/DVD. 5.2. ICP Brasil A ICP Brasil foi instituda em agosto de 2001 pela medida provisria N 2.200-2. A estrutura compe-se por ACs (Autoridades Certificadoras) e ARs (Autoridades de Registro) as quais realizam o controle da emisso de certificados [Cordeiro, Luiz Gustavo 2008] e autenticao de agentes. Uma entidade AC, pblica ou privada, responsvel por identificar o futuro portador do certificado digital atravs de documentos (RG, CPF,...). Uma entidade AR o intermedirio entre uma AC e um agente, sendo responsvel por conferir a requisio do usurio e subsequentemente enviar a requisio para a AC. Cada instituio possui normas, requisitos e preos diferentes uma vez que cada entidade pode emitir certificados para finalidades distintas. No modelo de ICP, existe uma AC denominada de AC-raiz, a qual responsvel por gerir a ACs de nvel inferior, no Brasil a entidade raiz o ITI (Instituto Nacional de Tecnologia da Informao), as entidades de segundo nvel so (dados de 2012): CEF (Caixa Econmica Federal) CertiSign Imprensa Oficial SP AC-JUS (Autoridade Certificadora da Justia) PR (Autoridade Certificadora da Presidncia da Repblica) Serasa Serpro (Servio Federal de Processamento de Dados) RFB (Receita Federal do Brasil) CMB (Casa da Moeda do Brasil) Valid Soluti Correios

Qualquer empresa pode estabelecer uma ICP interna, como por exemplo, estabelecer uma poltica de certificados entre matriz e filial. Em suma, uma instituio pode gerenciar a emisso de certificados para garantir a troca de informaes entre funcionrios. As autoridades certificadoras possuem deveres que esto descritos em um documento denominado DCP (Declarao de Prticas de Certificao). O documento pblico e tem como finalidade esclarecer como os certificados so emitidos por aquela entidade. 5.3. Adquirindo um certificado digital Para solicitar um certificado digital necessrio como primeiro passo identificar uma AC pertencente ICP Brasil, entrar na pgina web (site) a qual pertence e fazer uma solicitao de emisso de certificado para pessoa fsica ou jurdica. Para finalizar o

processo, preciso procurar a AR que corresponde com a AC em que foi solicitado o certificado levando consigo os documentos a seguir. Pessoa fsica: Carteira de identidade ou passaporte (estrangeiro) CPF Ttulo de eleitor Comprovante de residncia

Pessoa jurdica: Documentos de pessoa fsica (solicitante) Registro comercial CNPJ

Existem diferentes preos de certificaes os quais so relacionados suas validades, tipo de segurana, dispositivos de armazenamento/leitura e tipo de certificao. O E-CPF, E-CNPJ e a NF-e so os principais e mais requeridos tipos de certificaes disponveis no mercado brasileiro. A tabela 2 representa um resumo destas informaes.

Certificao E-CPF

Segurana A1 A3

Validade 12 meses 36 meses 12 meses 36 meses 12 meses 36 meses

Armazenamento CD/DVD CD/DVD CD/DVD CD/DVD CD/DVD Carto

Preo (a partir de) R$ 80,00 R$ 110,00 R$ 130,00 R$ 220,00 R$ 250,00 R$ 450,00

E-CNPJ

A1 A3

NF-e

A1 A3

Tabela 2. Quadro de preos dos principais tipos de certificaes da ICP-Brasil.

Mais informaes sobre tipos e preos das certificaes disponibilizadas pela ICPBrasil, podem ser encontradas nos sites referentes s ACs correspondentes.

6. Consideraes finais
O servio de certificao digital permite que os agentes tenham mais segurana em suas transaes virtuais, assim como garante a autenticidade e integridade da informao. O certificado digital, ento, funciona como uma espcie de documento de identidade, que comprovar a autenticidade das informaes daqueles que realizam estas transaes. Algumas instituies j utilizam este documento eletrnico para alguns servios, porm seu uso ser mais popular nos prximos anos, quando mais servios em plataformas virtuais utilizarem este sistema de autenticao digital. No Brasil, a infraestrutura de chaves pblicas ICP Brasil criada em 2001 j oferece diversos servios de certificao digital, tais como a emisso de notas fiscais eletrnicas, a qual j de uso obrigatrio.

7. Referncias

Clementino, Edilberto Barbosa. Processo Judicial Eletrnico. Curitiba, Ed. Juru, 2007. Cordeiro, Luiz Gustavo. Certificao Digital Conceitos e Aplicaes. Modelos Brasileiro e Australiano, 1 Edio, Editora Cincia Moderna Ltda (2008). Coutinho, S.C. Nmeros inteiros e criptografia RSA. Rio de Janeiro, IMPA/SBM, 2000. 226 pp. (Srie de Computao e Matemtica). Denning, Dorothy E., (Dorothy Elizabeth) - 1982, Cryptography and data security. ADDISON-WESLEY PUBLISHING COMPANY. Denning, Dorothy E., (Dorothy Elizabeth) - 1990. Concerning Hackers Who Break into Computer Systems. Digital Equipment Systems Research Center. Hefez, Abramo. Villela, Maria Lucia Tavares. Cdigos Corretores de Erros 2004 Edio nmero 1. IMPA. Coleo: Coleo Matemtica e Aplicaes. Hoglund, Greg. Mcgraw, Gary. Como quebrar cdigos: a arte de explorar e proteger software, Makron Books (2006). Justia Federal (2012). O que assinatura digital?. Acedido em: 06/01/2013, em: http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-eassinatura-digital. Rivest, R. L., Shamir, A., and Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Commun. ACM, 21(2):120126.NIST. Ribenboim, Paulo. Nmeros Primos: Mistrios e Recordes. 280 pginas. Publicao: IMPA, 2001. Terada, Routo. Segurana de dados - criptografia em redes de computador, Segunda Edio (livro p/ Ed. E. Blcher, 2008). Tkotz, Viktoria. Criptografia - Segredos Embalados para Viagem. Novatec Editora, 2005.