Você está na página 1de 51

Curso On-Line

Segurana da Informao

Certificao Digital

Prof. M.Sc. Gleyson Azevedo


professor.gleyson@gmail.com

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
Roteiro
Certificao Digital
ICP-Brasil

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital O que ICP?
hardware, criao,
software, gerenciamento, certificados
pessoas, armazenamento, digitais
polticas, distribuio,
procedimentos revogao

criptografia
de chave
pblica

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital O que so
Certificados Digitais?

dados
do
titular H
A resumo
S
extenses H

chave chave
privada pblica

assinatura chave
CRIPTO
digital privada
(AC)
Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital Padres de ICP
Objetivos:
gerenciamento eficiente e confivel de chaves

pblicas/certificados;
interoperabilidade.

Principais padres abertos de ICP:


X.509;

PKIX.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital X.509
Origem: ITU-T.
Verso 3 atualizada em maro de 2000.
ISO/IEC 9594-8.
Inclui infra-estrutura para gerenciamento de certificados
de atributos.
Define estrutura abrangente.
Implementaes X.509 incompatveis entre si.
Necessidade de utilizao de perfis.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital X.509
Origem: ITU-T.
Verso 3 atualizada em maro de 2000.
Dois tipos de certificados:
de chave pblica (autenticao);

de atributos (autorizao).

ISO/IEC 9594-8.
Inclui infra-estrutura para gerenciamento de
certificados de atributos.
Define estrutura abrangente.
Implementaes X.509 incompatveis entre si.
Necessidade de utilizao de perfis.
Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Internet X.509 Public Key Infrastructure.
Internet Engineering Task Force IETF: PKIX Working
Group.
Principais objetivos:
aperfeioar gerncia de certificados;

promover a interoperabilidade de aplicaes.

Baixa demanda de comunicao.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX

perfis
melhor gerncia
protocolos
mais interoperabilidade
restries

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Entidades de uma ICP
Autoridade Certificadora (AC);
Autoridade de Registro (AR);
Repositrio;
Entidade Final (EF).

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Relacionamento entre Entidades
ENTIDADE FINAL
Transaes operacionais e
de gerncia em repositrio Transaes de
R gerncia Usurios de ICP
E
P Entidades de
O gerenciamento
S AR de ICP
Publicao de certificado
I
T

R
AC
I Publicao de certificado e de LCR
O Transaes de
gerncia

Prof. Gleyson AC
(RFC 2459) professor.gleyson@gmail.com
Certificao Digital PKIX
Atribuies das Entidades
Autoridade certificadora (AC): emite, gerencia,
publica e revoga certificados;
Autoridade de registro (AR): sistema opcional que
assegura o vnculo entre chaves pblicas e identidades
de seus proprietrios, dentre outras funes de
gerenciamento, delegadas pela CA;
Entidade final (EF): usurio de certificados ou entidade
de um sistema de usurio final, proprietrios de
certificados;

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Atribuies das Entidades
Repositrio: sistema ou coleo de sistemas distribudos
com a finalidade de armazenar certificados e Listas de
Certificados Revogados (LCR), distribuindo esses
elementos s entidades finais.
registro: processo pelo qual um indivduo faz-se
conhecido pela AC, diretamente, ou por meio de uma AR,
antes da emisso de certificado(s) relativo(s) a esse
indivduo;
inicializao: se d quando um indivduo, usurio ou
cliente, obtm valores necessrios ao incio das
comunicaes com a ICP, como por exemplo, a gerao
de um par de chaves;
Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Atribuies das Entidades
certificao: processo em que a AC emite um certificado
da chave pblica de um indivduo e lhe envia o certificado,
ou publica-o em um repositrio;
recuperao de chave privada: por meio de cpias de
segurana, feitas pela AC, possibilita reaver a chave
privada de um usurio, quando essa perdida, por
exemplo, no caso de um funcionrio aps ele ter sido
demitido, para permitir a recuperao de dados cifrados de
relevncia empresa;

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Atribuies das Entidades
gerao de chaves: o par de chaves pode ser gerado no
ambiente local do usurio, ou pela AC, dependendo da
poltica adotada;
atualizao de chaves: feita regularmente, com uma
transio bem planejada, permite que no haja interrupo
dos servios;
certificao cruzada: utilizada para permitir que
clientes/usurios em um ambiente administrativo
comuniquem-se com parceiros de outros ambientes, em
hierarquias distintas;

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Atribuies das Entidades
revogao: possibilita a divulgao de listas de
certificados que tenham sido revogados antes de seus
respectivos prazos de validade, por meio de LCRs ou
outros mtodos, como a checagem de revogao on-line.
distribuio/publicao de certificados e
notificaes de revogao.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital reas da PKIX
Perfil
Protocolos operacionais
Protocolos de gerenciamento
Delineamento de polticas

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX Perfil
Define o formato e a semntica de certificados e
LCR para a Internet, estabelecendo uma base comum
para aplicaes que requeiram larga interoperabilidade e
requisitos limitados de propsitos especiais.
Como tais aplicaes, podem-se mencionar correio
eletrnico, WWW e IPsec.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Protocolos Operacionais
Necessrios ao transporte de certificados e LCR, ou
outras informaes sobre situao de certificados,
aos sistemas usurios da ICP.
Definem-se nesta rea vrios meios para esse transporte,
inclusive procedimentos de distribuio, baseados em
LDAP, http e ftp.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Protocolos de Gerenciamento
Fornecem interaes on-line de usurios de uma ICP
e suas entidades de gerenciamento.
Um protocolo de gerenciamento pode ser utilizado para
transportar informaes para registro no sistema, ou uma
solicitao de revogao de um certificado.
Esses protocolos so divididos em duas categorias:
primeira definem o formato das mensagens enviadas;
segunda responsveis pela transmisso das
mensagens.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital PKIX
Delineamento de Polticas
A especificao de perfis de certificados e protocolos
operacionais e de gerenciamento trata apenas de parte do
problema do desenvolvimento de uma ICP segura.
Tambm faz-se necessrio o desenvolvimento de uma
Poltica de Certificado (PC) e uma Declarao de
Prticas de Certificao (DPC).
Ambas devem tratar de: segurana fsica e pessoal,
requisitos para identificao de indivduos, poltica de
revogao, etc.

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital RFC 2459
Estrutura de Certificados
Certificate ::= SEQUENCE { (Codificao
tbsCertificate TBSCertificate, ASN.1 DER
signatureAlgorithm AlgorithmIdentifier, ITU-T X.208)
signatureValue BIT STRING
}
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, version shall be v3
}

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital RFC 2459
Principais Extenses
Authority Key Identifier
Subject Key Identifier
Key Usage
Certificate Policies
Policy Mappings
Subject Alternative Name
Issuer Alternative Name
Basic Constraints
Name Constraints
Policy Constraints
Extended key usage field
CRL Distribution Points

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital RFC 2459
Estrutura de LCR
CertificateList ::= SEQUENCE {
tbsCertList TBSCertList,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING
}
TBSCertList ::= SEQUENCE {
version Version OPTIONAL,
-- if present, shall be v2
signature AlgorithmIdentifier,
issuer Name,
thisUpdate Time,
nextUpdate Time OPTIONAL,
revokedCertificates SEQUENCE OF SEQUENCE {
userCertificate CertificateSerialNumber,
revocationDate Time,
crlEntryExtensions Extensions OPTIONAL
-- if present, shall be v2
} OPTIONAL,
crlExtensions [0] EXPLICIT Extensions OPTIONAL
-- if present, shall be v2
}
Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital RFC 2459
Distinguished Names (DN)
Identificao nica em rvores hierrquicas de diretrios
(ITU-T X.500).
Ex.: cn = Jose da Silva,
ou = Centro de Treinamento,
o = Cathedra,
c = BR

Prof. Gleyson
professor.gleyson@gmail.com
Certificao Digital RFC 2459
Distinguished Names (DN)
c = BR

o = Cathedra o = Empresa XYZ

ou = Centro de
ou = Admin ou = Admin ou = Desenv
Treinamento

cn = Fulano
cn = Jose da Silva cn = Bira dos Anzois
de Tal
Prof. Gleyson
professor.gleyson@gmail.com
TCU Segurana da Informao
Exerccios
43. (Analista de Tecnologia da Informao Redes DATAPREV/2006 CESPE)
Julgue o item subsequente.
1 [77] Os certificados digitais utilizam-se de criptografia assimtrica e das funes
de resumo criptogrfico (funes de hash).
44. (Informtica Anlise de Sistemas Ministrio das Comunicaes CESPE
2008) Acerca de segurana da informao, julgue o item subsequente.
1 [57] Um certificado digital de um indivduo, emitido por certificadora, contm a
chave privada do indivduo junto com outras informaes de identificao.

45. (Analista de Controle Externo Tecnologia da Informao TCU/2008 -


CESPE) Julgue os itens abaixo, relativos segurana da informao.
1 [171] Caso ocorra, na comunicao entre os computadores da rede da
organizao mencionada, o problema conhecido como man-in-the-middle attack,
uma soluo eficaz ser utilizar uma autoridade de certificao, que prov alto
grau de confiana durante o processo de distribuio de chaves pblicas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
TCU Segurana da Informao
Exerccios
2 [172] Se, com o fim de permitir a assinatura de certificados digitais e de
mensagens trocadas entre seus computadores e computadores de redes abertas,
o administrador da rede tiver implementado o uso de sistemas criptogrficos
baseados no algoritmo message-digest 5 (MD5), nesse caso, a partir do instante
em que esse sistema entra em uso efetivo, todos os certificados e mensagens
digitalmente assinados e em que foi empregado o MD5 passam a gerar sumrios
de mensagens com tamanho de 160 bits; alm disso, o uso desse sistema
aumenta a garantia de integridade das comunicaes, quando comparado a
sistemas que no possibilitam assinatura digital.
3 [173] Se a rede de uma organizao atuar de forma integrada a uma infra-
estrutura de chave pblica, de natureza hierrquica, formada por RAs (regional
authorities) e CAs (certification authorities), o administrador da rede, ao analisar
qual foi a entidade que assinou digitalmente o certificado pblico de cada membro
dessa infra-estrutura de chave pblica, constatar que todos os certificados
analisados foram assinados pela autoridade certificadora raiz.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
TCU Segurana da Informao
Exerccios
46. (Perito Criminal Federal Computao Cientfica PF-Nacional/2004 -
CESPE) Julgue os itens a seguir.
1 [109] O reconhecimento da confiana em um certificado digital pode ser feito por
delegao, com uso de terceiras partes mutuamente confiveis, denominadas
autoridades certificadoras.
2 [110] Certificados digitais so assinados com criptografia assimtrica. A mesma
chave usada para assinar o certificado deve ser usada para assinar as
requisies de chave de sesso, o que garante a autenticidade e o no-repdio
no estabelecimento da sesso e serve como comprovao da propriedade do
certificado.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
TCU Segurana da Informao
Exerccios
47. (Tecnologista Pleno Segurana de Sistemas de Informao MCT/2008
CESPE) Acerca das infra-estruturas de chaves pblicas (ICP) e dos
protocolos, algoritmos e normas a elas subjacentes, julgue os itens
seguintes.
1 [110] Todo certificado X.509 possui um campo de assinatura que contm o hash
dos demais campos do certificado. Esse hash cifrado com a chave privada do
usurio ao qual o certificado se refere.
2 [111] Na public key infrastructure X.509 (PKIX), o processo de registro definido
como sendo aquele em que uma autoridade certificadora (CA) se registra junto a
outra CA, tornando-se a primeira uma CA subordinada segunda.
3 [112] O algoritmo de chave pblica RSA pode ser utilizado nos processos de
registro, assinatura e revogao de certificados da PKIX.
4 [113] Uma das extenses de certificados da verso 3 do X.509 permite indicar
uma restrio imposta ao propsito de uso do certificado, ou poltica sob a qual
a chave pblica pode ser usada.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson
ICP-Brasil

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Objetivos
documentos eletrnicos
autenticidade
aplicaes de suporte
integridade
aplicaes habilitadas
validade jurdica
transaes eletrnicas

(Art. 1, MP 2.200-2)

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Criao

MP 2.200, de 28/6/2001.
7 MP 2.200-2, de 24/8/2001 EC 32, de
11/9/2001.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Entidades
Autoridade Gestora de Polticas;
Autoridade Certificadora Raiz (AC-Raiz);
Autoridades Certificadoras (AC);
Autoridades de Registro (AR).

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Comit Gestor
Autoridade Gestora de Polticas da ICP-Brasil.
Vinculado Casa Civil da Presidncia da Repblica.
Representantes:
sociedade civil;
integrantes de setores interessados, designados pelo
Presidente da Repblica;
ministrios;
Casa Civil;
Gabinete de Segurana Institucional.
Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Hierarquia
CG / ICP-Brasil Acordo entre partes
Normalizao

AC Raiz
AC Razes
ICP-Brasil
Credenciamento

AC AC AC AC
Governo Privadas Privadas Privadas

AC AC AC AC
Gov. Gov. Priv. Priv.

AR Governo AR Privadas AR Privadas


Operao

Usurio Usurio Usurio Usurio Usurio Usurio


Prof. Gleyson
Usurios professor.gleyson@gmail.com
ICP-Brasil Restries na Hierarquia
s AC da ICP-Brasil no permitido certificar outras AC
que no lhe sejam imediatamente subordinadas na
hierarquia.
A AC Raiz pode realizar certificao cruzada com AC Razes
de outros pases, mediante acordo internacional.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Exemplo de Restries
na Hierarquia

AC Raiz AC Raiz
ICP-Brasil ICP-Estrangeira

AC-1 AC-2 AC-5 AC-6

AC-3 AC-4

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Responsabilidades
NORMALIZAO

POLTICAS, DIRETRIZES, NORMAS, REGRAS


Comit Gestor OPERACIONAIS
(CG/ICP-Brasil)

CREDENCIAMENTO
ACREDITAO, AUDITORIA, FISCALIZAO E
AC Raiz CERTIFICAO

OPERAO BASE OPERACIONAL DA ICP- Brasil

EMISSO, GERENCIAMENTO E REVOGAO DE


AC Pb/Priv CERTIFICADOS DE CHAVES PBLICAS
AR Pb/Priv IDENTIFICAO, CADASTRAMENTO,
Prof. LANAMENTO
Gleyson
professor.gleyson@gmail.com
ICP-Brasil Validade Jurdica (MP
2.200-2)
Art. 10: Consideram-se documentos pblicos ou particulares, para
todos os fins legais, os documentos eletrnicos de que trata esta
Medida Provisria.
1 - As declaraes constantes dos documentos em forma eletrnica
produzidos com a utilizao de processo de certificao disponibilizado
pela ICP-Brasil presumem-se verdadeiros em relao aos
signatrios, na forma do art. 131 da Lei no 3.071, de 1 de janeiro
de 1916 - Cdigo Civil.
2 - O disposto nesta Medida Provisria no obsta a utilizao de
outro meio de comprovao da autoria e integridade de documentos
em forma eletrnica, inclusive os que utilizem certificados no
emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido
ou aceito pela pessoa a quem for oposto o documento.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Regulamentao do Art.
10
Projeto de Lei n 7.316/2002, apresentado em
07/11/2002.
Disciplina o uso de assinaturas eletrnicas e a prestao
de servios de certificao.
Atualmente (13/02/2009) aguardando parecer da
Comisso de Defesa do Consumidor (CDC).

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Padronizao Seguida
PKIX.
Extenso subjectAlternativeName:
campos otherName:

Pessoa Fsica (1) : CPF, PIS/PASEP, RG, data de


nascimento;
Pessoa Jurdica (3) : CNPJ, nome do responsvel,
dados do responsvel (CPF ...);
Ttulo de eleitor (5);

novo campo destinado a uso pela Previdncia Social


(Resoluo n 31, de 29 de janeiro de 2004, do
CG/ICP-Brasil).

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Tipos de Certificados
A1 A2 A3 A4
ASSINATURA:

SIGILO: S1 S2 S3 S4

nvel de segurana

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Exemplos de Aplicao
Assinatura
Confirmao de identidade na Web;
correio eletrnico;
transaes on-line;
redes privativas virtuais (VPN);
cifrao de chaves de sesso (SSL/TLS);
assinatura de documentos eletrnicos com verificao da
integridade de suas informaes.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Exemplos de Aplicao
Sigilo
Cifrao de:
documentos;
bases de dados;
mensagens;
outras informaes eletrnicas, com a finalidade de
garantir o seu sigilo.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil O que envolve?
padres;
normas;
seguranas: fsica, lgica, humana;
autenticao de: pessoas, empresas, instituies,
mquinas, aplicaes;
auditoria e fiscalizao;
tecnologias de: hardware e software;
presuno de validade jurdica de documentos eletrnicos.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Instituto Nacional de
Tecnologia da Informao (ITI)
Autarquia vinculada Casa Civil da Presidncia da
Repblica.
AC-Raiz da ICP-Brasil.
No pode emitir certificados para usurios.
Pode emitir certificados cruzados com outras ICP.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Atribuies do ITI (MP
2.200-2)
Executa polticas e normas do CG/ICP-Brasil;
emite, expede, distribui, revoga e gerencia os certificados
das AC de nvel imediatamente subsequente ao seu;
fiscaliza e audita AC, AR e prestadores de servio
habilitados;
pode exercer outras atribuies definidas pelo CG/ICP-
Brasil.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil ACs Credenciadas*
(13/02/2009)
Presidncia da Repblica;
Servio Federal de Processamento de Dados (SERPRO);
Centralizao dos Servios dos Bancos S.A (SERASA);
Secretaria da Receita Federal (SRF);
CertiSign;
Caixa Econmica Federal (CEF);
AC-Jus;
AC-IMESP.
* Algumas possuem AC subseqentes.

Prof. Gleyson
professor.gleyson@gmail.com
ICP-Brasil Legislao Pertinente
Medida Provisria n 2.200-2, de 24/08/2004 institui
a Infra-estrutura de Chaves Pblicas Brasileira ICP-Brasil,
e d outras providncias.
Decreto n 3.872, de 18/07/2001 dispe sobre o
CG/ICP-Brasil, sua Secretaria-Executiva, sua Comisso
Tcnica Executiva e d outras providncias.
Decreto n 3.996, de 31/10/2001 dispe sobre a
prestao de servios de certificao digital no mbito da
Administrao Pblica Federal.
Decreto n 4.414, de 07/10/2002 Altera o Dec. 3.996,
de 31 de outubro de 2001.
Prof. Gleyson
professor.gleyson@gmail.com
Gabarito das Questes
1. 1C 10. 1C-2C-3C 19. 1X 28. 4E-5E 37. 1E 46. 1C-2E
2. 1E-2E-3C-4E 11. 1C-2E-3C 20. 1C 29. 1E 38. 1E-2E-3E 47. 1C-2C-
3. 1E 12. 1C-2C-3E 21. 1C 30. 1C-2E 39. 1C 3E-4C
4. 1C 13. 1C-2E 22. 1C*-2C 31. 1E-2C 40. 1E
5. 1E 14. 1C-2E 23. 1C* 32. 1E 41. 1E*
6. 1E-2E-3E 15. 1E 24. 1C-2E-3C 33. 1E-2C 42. 1E
7. 1C-2E-3C 16. 1E 25. 1E 34. 1E 43. 1C
8. 1C-2C-3E-4E-5C 17. 1C-2C-3E 26. 1C 35. 1C 44. 1E
9. 1C-2E-3E-4C-5E 18. 1E 27. 1C 36. 1C 45. 1C-2E-3E

Prof. Gleyson
professor.gleyson@gmail.com

Você também pode gostar