Escolar Documentos
Profissional Documentos
Cultura Documentos
19 - Certificados Digitais
19 - Certificados Digitais
Esta é a décima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
básicos do protocolo TCP/IP. Na Parte 2falei sobre cálculos binários, um importante
tópico para entender sobre redes, máscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereços, na Parte 4 fiz uma introdução ao roteamento e na Parte
5apresentei mais alguns exemplos e análises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentação de um dos serviços mais utilizados pelo TCP/IP, que é o Domain Name
System: DNS. O DNS é o serviço de resolução de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dúvidas, é a maior rede TCP/IP existente.
Na Parte 9 fiz uma introdução ao serviço Dynamic Host Configuration Protocol – DHCP.
Na Parte 10 fiz uma introdução ao serviço Windows Internet Name Services – WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicação.
Na Parte 12, mostrei como são efetuadas as configurações de portas em diversos
aplicativos que você utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informações sobre portas de comunicação. Na Parte 13 falei sobre a instalação e
a configuração do protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolo
de roteamento dinâmico RIP e na Parte 15 foi a vez de fazer a introdução a um outro
protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um
recurso bem útil: O compartilhamento da conexão Internet, oficialmente conhecida
como ICS – Internet Connection Sharing. Este recurso é útil quando você tem uma
pequena rede, não mais do que cinco máquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das máquinas tem conexão com a Internet. Você
pode habilitar o ICS no computador que tem a conexão com a Internet. Com isso os
demais computadores da rede também passarão a ter acesso à Internet.. Na Parte 17,
você aprendeu a utilizar o IFC – Internet Firewall Connection (Firewall de Conexão com
a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, não estando
disponível no Windows 2000.O IFC tem como objetivo proteger o acesso do
usuário contra “ataques” e “perigos” vindos da Internet. Na Parte 18 fiz uma
apresentação sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows
XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de
comunicação seguro, onde todos os dados que são trocados entre os computaodres
habilitados ao IPSec, são criptografados.
Nesta décima nona parte, farei uma apresentação sobre o conceito de PKI – Public Key
Infrastructure e Certificados Digitais. O Windows 2000 Server e também o Windows
Server 2003 disponibilizam serviços para a emissão, gerenciamento e revogação de
Certificados Digitais. Você também entenderá o papel dos Certificados Digitais em
relação à segurança das informações.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 1/11
24/1/2014 Julio Battisti
Nesta parte do tutorial você entenderá o que vem a ser uma PKI, aprenderá sobre os
conceitos básicos de uso de um par de chaves para fazer a criptografia e proteção dos
dados. Também mostrarei qual o papel do Microsoft Certification Service, que é o
servidor da Microsoft para a emissão e controle de certificados digitais, serviço este
disponível no Windows 2000 Server e também no Windows Server 2003. Com o uso
do Microsoft Certificate Services, a empresa pode montar a sua própria infraestrutura
de certificados digitais, sem depender de uma autoridade certificadora externa.
Uma pergunta que o amigo leitor poderia fazer é a seguinte: “Por que existem tantos
ataques de segurança e por que os hackers parecem conhecer tão bem os sistemas
das empresas?”.
Nota: Um dos pontos onde o Windows Server 2003 melhorou, e muito, em relação ao
Windows 2000 Server foi nas configurações de segurança out of the Box. Ou seja, as
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 2/11
24/1/2014 Julio Battisti
configurações padrão de segurança do Windows Server 2003, são bem mais severas,
restringem bem mais o acesso do que as configurações padrão de segurança do
Windows 2000 Server. A idéia é simples mas muito eficiente. Por padrão, o nível
mínimo de acesso, necessário ao funcionamento do recurso. Se houver necessidade de
modificações nas configurações de segurança, estas poderão ser feitas pelo
administrador.
Com o uso do TCP/IP como protocolo de comunicação, os dados não são protegidos
por padrão, isto é, não são criptografados. Ou seja, se um hacker interceptar uma
transmissão, terá acesso aos dados sem maiores problemas, uma vez que não é
usada criptografia, por padrão. Claro que para muitas situações, a criptografia e outros
recursos de segurança são perfeitamente dispensáveis. Por exemplo, quando você
acessa o site de uma empresa para obter informações gerais sobre a empresa. Estas
informações são de domínio público (afinal estão no site da empresa) e não há
necessidade de criptografá-las. Agora quando você faz uma compra pela Internet,
usando o seu cartão de crédito, ou quando você faz transações bancárias usando o site
do seu Banco, a coisa muda completamente de figura. Ou seja, você quer o máximo de
segurança possível. De maneira alguma você gostaria que alguém pudesse interceptar o
seu número de conta, agência e senha.
Não. Este método tem dois problemas principais, os quais são descritos a
seguir:
Vejam que somente o uso da criptografia, baseada em uma chave privada (chave
enviada junto com a mensagem), não é tão seguro como pode parecer. Para
solucionar esta questão é que surgiram os Certificados Digitais, com os quais é possível
implementar uma infra-estrutura conhecida como PKI - Public Key Infrastructure
(Infraestrutura de chave pública). Esta infra-estrutura é baseada no uso de certificados
digitais e de um par de chaves: uma chave pública e uma chave privada. A seguir
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 3/11
24/1/2014 Julio Battisti
Em uma rede que usa PKI, um Certificado Digital é criado para cada usuário. O
Certificado Digital fica associado com a conta do usuário no Active Directory. Para cada
usuário é criado um par de chaves: uma chave pública e uma chave privada. A chave
pública fica disponível no Active Directory e a chave privada fica com o usuário. O mais
comum é a chave privada ficar gravada no Certificado Digital do usuário, em um
disquete que fica com o usuário ou, mais comum ainda, em um Smart Card. Agora
vamos entender como funciona a criptografia baseada em um par de chaves: uma
pública e outra privada.
Dados que são criptografados com uma das chaves, somente poderão ser
descriptografados com a outra chave. Por exemplo, se você criptografar dados com a
chave pública do usuário jsilva, estes dados somente poderão ser descriptografados
com a chave privada do usuário jsilva.
Vamos imaginar que o usuário jsilva precisa enviar dados para o usuário maria. Os
dados são criptografados com a chave pública do usuário Maria – chave pública do
destinatário. Com a infraestrutura de PKI, as chaves públicas ficam disponíveis para
serem acessadas por quaisquer usuário. A chave pública fica gravada no Certificado
Digital do usuário e a lista de Certificados Digitais fica publicada para acesso em um
servidor de certificados digitais (este é o papel do Microsoft Certificate Services, ou
seja, emitir, publicar, dar acesso a e revogar certificados digitais para os usuários).
A chave pública do usuário maria é utilizada pelo usuário jsilva para criptografar os
dados, antes de enviá-los para o usuário maria. Como os dados foram criptografados
com a chave pública do usuário maria, a pergunta é: qual a única chave que poderá
descriptografar estes dados? A chave privada do usuário maria, a qual somente
o usuário maria tem acesso. Com este método, quando o usuário maria recebe os
dados, ele utilizará a sua chave privada para descriptografá-los. Se um hacker
interceptar os dados, ele não conseguirá descriptografá-los, pois não tem acesso a
chave privada do usuário maria. Observe que com este método, a chave que será
utilizada para descriptografar os dados, não é enviada junto com a mensagem. Além
disso, a mensagem é criptografada de tal maneira que somente o destinatário é capaz
de descriptografá-la, ou melhor, a chave privada do destinatário. Como a mensagem é
criptografada com a chave pública do destinatário, somente o próprio destinatário (que
é quem tem acesso a sua chave privada), será capaz de descriptografar a mensagem.
Observe que com este método é solucionado o problema de ter que enviar a chave de
criptografia junto com a mensagem. O problema de verificação da identidade, de ter
certeza que o remetente é quem diz realmente ser, é solucionado com o uso de
Certificados digitais. De uma maneira simples, podemos resumir uma PKI como sendo
uma infra-estrutura de segurança, baseada no uso de um par de chaves (uma pública e
uma privada) e de Certificados Digitais.
pública.
Os Certificados Digitais podem ser emitidos para uma série de funções, tais como
autenticação de usuário na Internet, autenticação de um servidor Web, correio
eletrônico seguro (S/MIME), IPSec, para utilização com o protocolo Transaction Layer
Security (TLS, segurança de camada de transação) e assinatura de códigos (por
exemplo, todos os programas desenvolvidos pela Microsoft são assinados,
digitalmente, com o Certificado digital da Microsoft. O Windows 2000 Server pode ser
configurado para não instalar drives ou programas que não estejam assinados
digitalmente ou cujos certificados com os quis foram assinados, não possam ser
verificados quanto a sua autenticidade).
Os certificados digitais tem que ser emitidos por uma Autoridade Certificadora (CA –
Certificate Authority). Uma opção é usar uma autoridade certificadora externa, como
por exemplo a Veri Sign, que é uma empresa especializada em segurança e em
certificação digital (www.verisign.com). Com o Windows 2000 Server (e também com
o Windows Server 2003), está disponível o Microsoft Certificate Services, que é um
servidor que permite criar uma autoridade certificadora na própria rede da empresa,
sem ter que fazer uso de uma entidade certificadora externa. Ao utilizar o Certificate
Services para a emissão e gerenciamento de certificados, os certificados digitais
poderão ser utilizados pelos usuários, para fazer o logon na rede. Os certificados
também são emitidos de uma autoridade de certificação para outra a fim de
estabelecer uma hierarquia de certificação. Usando o Certificate Services você poderá
criar uma hierarquia de certificação na rede da empresa.
A maioria dos certificados em uso hoje em dia são baseados no padrão X.509. Esta é a
tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do
Windows Server 2003.
Em situações em que seja necessário desabilitar um certificado, este pode ser revogado
pelo emissor. Cada emissor mantém uma lista de certificados revogados (CRL –
Certification Revocation List), a qual é usada pelos programas quando a validade de um
determinado certificado está sendo verificada. Por exemplo, programas que usam
certificados para autenticação, ao receberem uma tentativa de acesso, primeiro entram
em contato com a autoridade certificadora (no caso do Windows 2000 Server um
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 5/11
24/1/2014 Julio Battisti
servidor com o Microsoft Certificate Services) para verificar se o certificado que está
sendo apresentado para logon, não está na lista dos certificados revogados – CRL. Se o
certificado estiver na CRL, o logon será negado.
Uma autoridade de certificação pode ser uma empresa que presta o serviço de
autoridade certificadora, como o VeriSign, ou pode ser uma autoridade de certificação
que você cria para ser usada por sua própria organização, instalando os Serviços de
certificados do Windows 2000 Server ou do Windows Server 2003. Cada autoridade de
certificação pode ter requisitos diferentes de prova de identidade, como uma conta de
domínio do Active Directory, crachá de empregado, carteira de motorista, solicitação
autenticada ou endereço físico. Verificações de identificação como essa geralmente
asseguram uma autoridade de certificação no local, de tal modo que as organizações
possam validar seus próprios empregados ou membros.
Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o
administrador também pode utilizar uma CA externa. Porém, com o uso do Microsoft
Certificate Services, o administrador pode criar sua própria autoridade certificadora. O
Certificate Services da Microsoft permite a criação de sofisticados ambientes de
certificação, com a criação de uma hierarquia de CAs. Com o uso do Certificate
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 6/11
24/1/2014 Julio Battisti
A existência de uma autoridade certificadora significa que você tem confiança de que a
autoridade de certificação possui as diretivas corretas no local correto e ao avaliar as
solicitações de certificado, irá negar certificados para qualquer entidade que não atender
a essas diretivas. Esta é uma questão fundamental para garantir a identidade dos
usuários. Ao fazer uma verificação rigorosa dos dados informados, antes de emitir um
certificado para um usuário, servidor ou computador, a CA garante que quem obtém o
certificado realmente é quem diz ser – prova de identidade. Por isso a importância
fundamental de definir uma metodologia clara, simples e de fácil execução, para a
verificação dos dados, antes de emitir os certificados.
Além disso, você confia que a autoridade de certificação irá revogar certificados que não
devem mais ser considerados válidos, através da publicação de uma lista de certificados
revogados, sempre atualizada (CRL – Certificate Revocation List). As listas de
certificados revogados são consideradas válidas até expirarem. Logo, mesmo que a CA
publique uma nova lista de certificados revogados com os certificados recém revogados
listados, todos os clientes que possuírem uma lista de revogação de certificados antiga
não irão procurar nem recuperar a lista nova até que a antiga expire ou seja excluída.
Os clientes podem usar uma página Web da CA para recuperar manualmente a lista de
certificados revogados mais atual, caso seja necessário.
Caso sua empresa esteja usando o Active Directory, a confiança nas autoridades de
certificação da organização será estabelecida automaticamente, baseada nas decisões
e configurações realizadas pelo administrador do sistema e nas relações de confiança
criadas automaticamente pelo Active Directory.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 7/11
24/1/2014 Julio Battisti
Corporativa root CA
Corporativa subordinada CA
Autônoma root CA
Autônoma subordinada CA
Uma autoridade de certificação raiz, mais conhecida como autoridade root, é encarada
como o tipo mais confiável de autoridade de certificação na PKI de uma organização.
Geralmente, tanto a segurança física como a diretiva de emissão de certificados de uma
autoridade de certificação raiz são mais rigorosas do que as de autoridades de
certificação subordinadas.
Você pode instalar o Microsoft Certificate Services para criar uma autoridade de
certificação corporativa, na Intranet da empresa. Autoridades de certificação
corporativas podem emitir certificados para várias finalidades, tais como assinaturas
digitais, correio eletrônico seguro usando S/MIME (extensões multipropósito do Internet
Mail protegidas), autenticação para um servidor Web seguro usando Secure Sockets
Layer (SSL, camada de soquetes de segurança) ou segurança da camada de transporte
(TLS) e logon em um domínio do Windows 2000 Server ou Windows Server 2003,
usando um cartão inteligente (smart card).
Quando você instala uma autoridade de certificação corporativa raiz, ela é automaticamente
adicionada ao armazenamento de certificados das Autoridades de certificação raiz confiáveis,
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 8/11
24/1/2014 Julio Battisti
para todos os usuários e computadores do domínio. Você precisa ser administrador de domínio
ou administrador com direito de gravação no Active Directory para instalar uma autoridade de
certificação corporativa raiz.
Os certificados podem ser emitidos para efetuar logon em um domínio do Windows 2000 Server
ou Windows Server 2003, usando cartões inteligentes (smart cards).
Uma autoridade de certificação corporativa usa tipos de certificados, que são baseados
em um modelo de certificado. A seguinte funcionalidade é possível devido ao uso de
modelos de certificado:
Além da segurança lógica, no acesso aos dados, é muito importante cuidar também da
segurança física, controlando quem tem acesso ao servidor configurado como servidor
corporativo root.
Você pode instalar os serviços de certificados para criar uma autoridade de certificação
autônoma. Autoridades de certificação autônomas podem emitir certificados para
finalidades diversas, tais como assinaturas digitais, correio eletrônico seguro usando
S/MIME (extensões multipropósito do Internet Mail protegidas) e autenticação para um
servidor Web seguro usando camada de soquetes de segurança (SSL) ou segurança da
camada de transporte (TLS).
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 9/11
24/1/2014 Julio Battisti
pela sua diretiva personalizada.
Não são usados modelos de certificados, a exemplo do que acontece com as autoridades
certificadores corporativas.
Nenhum certificado pode ser emitido para efetuar logon em um domínio do Windows 2000 Server
ou do Windows Server 2003 usando cartões inteligentes, mas outros tipos de certificados podem
ser emitidos e armazenados em um cartão inteligente.
Quando uma autoridade de certificação autônoma usa o Active Directory, ela tem esses
recursos adicionais:
acima dela). Isso é que caracteriza esta autoridade como uma autoridade certificadora
root.
Conclusão
Nesta parte do tutorial fiz uma breve apresentação sobre PKI, Certificados Digitais e
Autoridades Certificadores. Você também aprendeu sobre a criptografia baseada no uso
de um par de chaves: pública e privada e como utilizar o Microsoft Certificate Services
para criar uma autoridade certificadora na própria rede da empresa.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 11/11