Escolar Documentos
Profissional Documentos
Cultura Documentos
0
Manual
Sumrio
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Introduo ............................................................................................................... 7 Certificao Digital ................................................................................................. 8 Tipos de Assinaturas Digitais ................................................................................ 8 Como funciona a assinatura digital? .................................................................... 9 Realizando uma assinatura digital ...................................................................... 10 Assinatura sem Carimbo do Tempo ................................................................... 12 Assinatura com Carimbo do Tempo ................................................................... 13 Realizando um Carimbo do Tempo .................................................................... 14 Lista de Certificados Revogados (LCR) ............................................................. 16 Manipulando um Certificado Digital .............................................................. 18 Seleo de Certificados..................................................................................... 20 Verificando uma Assinatura Digital ............................................................... 21 Relatrio de Assinatura ................................................................................... 24 Segurana do seu Certificado Digital ............................................................. 25 Requisitos Mnimos de Sistema ....................................................................... 27 Caractersticas Gerais do BRy Signer ............................................................ 27 Caractersticas diferenciais do BRy Signer .................................................... 28
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Glossrio
Palavra Chave Descrio
Procedimento utilizado para verificar se todos os controles, equipamentos e dispositivos esto preparados e so adequados s regras, normas, objetivos e funes. Inclui o registro e anlise de todas as atividades importantes para detectar vulnerabilidades, determinar se houve violao ou abusos em um sistema de informaes com vista a possibilitar ao auditor formar uma opinio e emitir um parecer sobre a matria analisada. Primeira AC da cadeia de certificao da Infraestrutura de Chaves Pblicas a entidade subordinada hierarquia da ICPBrasil, responsvel por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Cabe tambm AC emitir listas de certificados revogados (LCR) e manter registros de suas operaes sempre obedecendo s prticas definidas na Declarao de Prticas de Certificao (DPC). Desempenha como funo essencial a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde chave pblica que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declarao da identidade do titular, que possui um par nico de chaves (pblica/privada). Na hierarquia dos Servios de Certificao Pblica, as AC esto subordinadas Autoridade Certificadora de nvel hierarquicamente superior. Primeira AC da cadeia de certificao da Infraestrutura de Chaves Pblicas Brasileira (ICPBrasil) cujo certificado autoassinado, podendo ser verificado atravs de mecanismos e procedimentos especficos, sem vnculos com este. Executora das polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICPBrasil. Competelhe emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu; gerenciar a lista de certificados emitidos, revogados e vencidos e executar atividades de fiscalizao e auditoria das AC, das AR e dos PSS habilitados na ICPBrasil, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo CG da ICPBrasil e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. A autoridade na qual os usurios de servios de carimbo do tempo (isto , os subscritores e as terceiras partes) confiam para emitir carimbos do tempo. um mtodo para codificao de dados para transferncia na internet (Content Transfer Enconding). Uma srie hierrquica de certificados assinados por
Fone/Fax (48) 3234-6696
Auditoria
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Certificado digital
Chave Privada
Chave Pblica
Cifrar
Coassinatura
CryptoAPI
sucessivas autoridades certificadoras. Documento eletrnico emitido pela ACT, que serve como evidncia de que uma informao digital existia numa determinada data e hora no passado. Vide Smart Card um conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observncia Recomendao Internacional ITUT X.509, que se destina a registrar, de forma nica, exclusiva e intransfervel, a relao existente entre uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao. Uma das chave de um par de chaves criptogrficas (a outra uma chave pblica) em um sistema de criptografia assimtrica. mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pblica correspondente. Uma das chaves de um par de chaves criptogrficas (a outra uma chave privada) em um sistema de criptografia assimtrica. divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pblica tambm usada para cifrar mensagens ou arquivos que possam, ento, ser decifrados com a chave privada correspondente. i. o processo de transformao de dados ou informao para uma forma ininteligvel usando um algoritmo criptogrfico e uma chave criptogrfica. Os dados no podem ser recuperados sem usar o processo inverso de decifrao. ii. Processo de conversao de dados em "cdigo ilegvel" de forma a impeder que pessoas no autorizadas tenham acesso informao. A coassinatura (cosign) aquela gerada independente das outras assinaturas. Cryptographic Application Programming Interface (tambm conhecida como CryptoAPI, Microsoft Cryptography API, ou simplesmente CAPI) uma interface de programao para aplicaes includa com o sistema operacional Microsoft Windows que prov servios para habilitar desenvolvedores para aplicaes de segurana baseadas em Windows usando criptografia. um conjunto de bibliotecas dinamicamente ligadas que prov um nvel de abstrao que isola programadores do cdigo usado para cifrar dados. Regras para codificao de objetos ASN.1 em uma seqncia de bytes. Corresponde a um caso especial de BER. o resultado da ao de algoritmos que fazem o
Fone/Fax (48) 3234-6696
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
mapeamento de uma seqncia de bits de tamanho arbitrrio para uma seqncia de bits de tamanho fixo menor conhecido como resultado hash de forma que seja muito difcil encontrar duas mensagens produzindo o mesmo resultado hash (resistncia coliso) e que o processo reverso tambm no seja realizvel (dado um hash, no possvel recuperar a mensagem que o gerou). um conjunto de tcnicas, arquitetura, organizao, prticas e procedimentos, implementados pelas organizaes governamentais e privadas brasileiras que suportam, em conjunto, a implementao e a operao de um sistema de certificao. Tem como objetivo estabelecer os fundamentos tcnicos e metodolgicos de uma sistema de certificao digital baseado em criptografia de chave pblica, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. A ICPBrasil foi criada pela Medida Provisria 22002, de 24.08.2001 e est regulamentada pelas Resolues do ComitGestor da ICPBrasil, disponveis no stio www.iti.gov.br. Lista assinada digitalmente por uma Autoridade Certificadora, publicada periodicamente, contendo certificados que foram revogados antes de suas respectivas datas de expirao. A lista, geralmente, indica o nome de quem a emite, a data de emisso e a data da prxima emisso programada, alm dos nmeros de srie dos certificados revogados e a data da revogao. a pessoa/entidade que cria uma assinatura digital para uma mensagem com a inteno de autenticla. Processo pelo qual dois ou mais relgios passam a indicar o mesmo tempo. Dispositivo constitudo por hardware e software que audita e sincroniza SAS ou SCT. Deve possuir um HSM com relgio para sincronizao e capacidade de processamento criptogrfico para gerao de chaves criptogrficas e realizao de assinaturas digitais. Dispositivo nico constitudo por hardware e software que emite os carimbos de tempo, sob o gerenciamento da ACT. Deve possuir um HSM contendo um relgio a partir do qual so emitidos os carimbos do tempo. Nesse HSM devem ser tambm realizadas as funes
Fone/Fax (48) 3234-6696
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Smart Card
Token
criptogrficas de gerao de chaves e assinaturas digitais. i. um tipo de carto plstico semelhante a um carto de crdito com um ou mais microchips embutidos, capaz de armazenar e processar dados. Um smart card pode ser programado para desempenhar inmeras funes, inclusive pode ter capacidade de gerar chaves pblicas e privadas e de armazenar certificados digitais. Pode ser utilizado tanto para controle de acesso lgico como para controle de acesso fsico. ii. Um pequeno dispositivo, geralmente do tamanho de um carto de crdito, que contm um processador e capaz de armazenar informao criptogrfica (como chaves e certificado) e realizar operaes criptogrficas. i. Dispositivo para armazenamento do Certificado Digital de forma segura, sendo seu funcionamento parecido com o smart card, tendo sua conexo com o computador via USB. ii. Em um HSM (Hardware Security Module), um token a viso lgica de um dispositivo criptogrfico definido em PKCS#11 (Cryptoki).
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
1 Introduo
O BRy Signer um software que tem o objetivo bsico de realizar as operaes de assinatura digital e carimbo de tempo de documentos eletrnicos e verificao de documentos assinados digitalmente. Com o BRy Signer, possvel: Assinar e coassinar qualquer arquivo eletrnico usando certificados digitais; Assinar e coassinar documentos em bloco; Adicionar carimbo do tempo a uma assinatura digital; Abrir um documento eletrnico assinado digitalmente; Verificar a autenticidade das assinaturas digitais; Visualizar as identidades digitais presentes no computador; Instalar os certificados raiz da ICP-Brasil.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
2 Certificao Digital
No mbito da ICP-Brasil est previstos oito tipos de certificados separados em duas sries com quatro tipos cada. A primeira srie de certificados (A1, A2, A3 e A4) composta de certificados de assinatura digital utilizados na confirmao de identidade na web, em emails, redes privadas virtuais e em documentos eletrnicos para verificao da integridade das informaes. A segunda srie de certificados (S1, S2, S3 e S4) so considerados certificados de sigilo. Utilizados na codificao de documentos, base de dados, mensagens e outras informaes eletrnicas sigilosas. Esses dois grupos de certificados se diferem entre si pelo objetivo de uso, nvel de segurana e validade dos certificados. Nos certificados do tipo A1 e S1 as chaves privadas ficam armazenadas no computador do usurio em forma de arquivo. J nos tipos A2, A3, A4, S2, S3 e S4 as chaves privadas e as informaes referentes ao certificado ficam armazenadas em hardware criptogrfico, como um carto inteligente (smartcard) ou em um token USB. A validade dos certificados tambm diferenciada de um tipo para outro, iniciando em 1 ano para os tipos A1 e S1, 2 anos para A2 e S2, e 3 anos para os tipos A3, A4, S3 e S4.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Utilizando o BRy Signer o usurio poder fazer e verificar somente assinaturas do tipo Attached, no formato CMS-Data seguindo todos padres especificados na RFC-3852. Aps ser realizada a assinatura sobre um documento, uma segunda assinatura poder ser colocada caracterizando assim uma coassinatura. No existe um nmero mximo de coassinatura sobre um documento. Para cada assinatura feita pode ser inserido um Carimbo de Tempo garantindo a exata data em que o documento foi assinado.
O documento original (a) passa por uma funo de resumo criptogrfico, tambm chamado de hash (b);
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC Fone/Fax (48) 3234-6696
escolhido o certificado digital que ir assinar o documento (c); O resumo criptogrfico assinado com a chave privada e a assinatura concatenada junto ao documento original (d). Para proceder verificao da assinatura, deve ser novamente realizada a funo de resumo criptogrfico no documento digital e comparar com o resumo que est assinado. Os passos so os seguintes: O documento original (a) submetido a funo de resumo criptogrfico para gerar um hash que ser utilizado na comparao; Decifrar a assinatura digital (d) com a chave pblica (e); Comparar os resultados, indicando se o documento foi ou no alterado.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Nesta tela, selecionado o arquivo a ser assinado, o usurio pode acionar o boto Assinar ou clicar com o boto direito e utilizar a opo Assinar. Uma vez iniciado esse processo, o prximo passo selecionar o certificado da assinatura. Esse certificado (e toda sua cadeia) validado e apresentado seu status e a tela seguinte indaga o usurio se deseja adicionar um comentrio assinatura. Ao final desse processo exibida uma mensagem de assinatura realizada com sucesso. De acordo com configuraes pr-estabelecidas, o arquivo assinado (.p7s) fica armazenado na mesma pasta que o documento original ou em uma pasta separada. Tambm possvel prselecionar o certificado da assinatura.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Aps a assinatura ser concluda, o documento original permanece inalterado e no mesmo local onde estava armazenado.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Quando o usurio do BRy Signer Tempo em uma assinatura digital carimbo do tempo para a Autoridade que repassa ao Sistema de Carimbo do
opta por utilizar o Carimbo do realizado uma solicitao de de Carimbo do Tempo (ACT) Tempo (SCT).
O SCT possui um alvar de sincronismo garantindo confiabilidade junto ao Sistema de Auditoria e Sincronismo de Tempo (SAS), que possui um relgio atmico onde so aplicadas calibraes peridicas pela AC Raiz . Ao final retornado ao BRy Signer o Carimbo do Tempo para que possa ser anexado assinatura.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Para a validao da LCR so verificados se a LCR est assinada e ntegra, se foi assinada pela mesma AC que emitiu o certificado, se o certificado que assinou a LCR possui o propsito cRLSign na extenso KeyUsage. verificado o instante corrente de uso da LCR com o valor de tempo registrado no campo nextUpdate. O instante de tempo de uso deve ser anterior ao valor de tempo do
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC Fone/Fax (48) 3234-6696
nextUpdate e posterior a data de publicao da LCR presente no campo thisUpdate Os processos de verificao de LCR so realizados pelo componente BRyCom.dll com a ajuda da CryptoAPI (biblioteca de criptografia do Microsoft Windows) seguindo os padres especificados na RFC-3280 e ao final se a LCR for considerada vlida, a opo Exibir LCR mostrada ao usurio e a validao do certificado pode ser iniciada. Utilizando a opo Exibir LCR o usurio do BRy Signer pode visualizar alguns detalhes da LCR, tais como: verso e nmero da LCR, data da LCR, data da prxima atualizao da LCR. A tela abaixo mostra os detalhes de uma LCR.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Durante a validao da revogao do certificado existe a possibilidade de no haver uma LCR instalada. Caso isso acontea apresentado um alerta ao usurio informando que no foi possvel verificar a revogao do certificado. Aconselha-se fazer a instalao da LCR para que o certificado possa ser validado. Na figura seguinte apresentado um caso em que no existe uma LCR instalada e mostrado um aviso ao usurio de que o certificado no pde ser validado quanto a revogao.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Todas as verificaes acima citadas, tambm so aplicadas cadeia de certificao do certificado selecionado.
11 Seleo de Certificados
Na tela de seleo de certificados do BRy Signer possvel obter algumas informaes sobre os certificados, tais como: tipo do certificado, caminho de certificao, dados pessoais do responsvel, dados do emissor, campos ICP-Brasil, propsito de uso, datas de incio e trmino da validade, poltica de certificao, nmero serial, etc. O BRy Signer consegue identificar e manipular todas as extenses de certificados digitais previstas no padro ITU-T X.509v3 e certificados no formato DER codificados em base64 ou PEM. Essas extenses podem ser visualizadas na tela de detalhes do certificado digital. A tela abaixo mostra a seleo de um certificado e os detalhes, status e a cadeia do certificado.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Da mesma maneira que possvel exibir dados de um certificado do usurio, tambm possvel mostrar os dados dos certificados das Autoridades Certificadoras (AC). Alguns dos dados apresentados so: caminho de certificao, dados do proprietrio e do emissor, propsito de uso, nmero serial, datas de incio e trmino da validade, poltica de certificao, etc. O usurio do BRy Signer pode facilmente diferenciar certificados ICP-Brasil de outros pelo cone na tela de seleo de certificado e pelos dados mostrados em destaque na seo Detalhes do Certificado. Para melhor visualizao dos certificados, existe um componente que faz uma filtragem de certificados ICP-Brasil, certificados emitidos pela AC BRy Tecnologia, certificados vlidos ou qualquer certificado. A figura abaixo ilustra o componente responsvel por essa ao.
Atravs dessas verificaes possvel apresentar ao usurio os detalhes de cada assinatura ou coassinaturas, como o resultado da verificao, a visualizao do horrio da assinatura (Signing Time) entre outros. Tambm mostrado ao usurio alguns detalhes do certificado tais como o tipo do certificado, cadeia, propsito de uso, nmero serial, etc. Se existirem erros ou alertas quanto assinatura ou os certificados exibidos identificadores de status. A imagem abaixo mostra uma das telas de verificao.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
possvel ainda abrir o documento assinado pelo BRy Singer e visualizar seu contedo original. O usurio pode extrair uma cpia do documento original e visualizar os detalhes da assinatura. Identificadores de status ilustram os detalhes das assinaturas como mostra a figura abaixo:
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
13 Relatrio de Assinatura
Na tela de detalhes da assinatura possvel acionar o boto Relatrio para gerar um relatrio da(s) assinatura(s). Este documento contm alguns dados sobre o documento, os assinantes, as assinaturas e os certificados envolvidos. A tela abaixo mostra o boto Relatrio em destaque.
A figura abaixo demonstra um exemplo de relatrio de assinatura gerado pelo Bry Signer.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Revogao - senha composta por nmeros e/ou letras, de 8 a 20 caracteres. Essa senha destinada exclusivamente para a revogao (cancelamento) do certificado digital. Ela informada no site da AC e deve ser usada em caso de perda, roubo, modificao, acesso indevido ou comprometimento da chave privada ou do dispositivo. Certificados tipo A1 e S1 nesses tipos de certificados a gerao de chaves criptogrficas feita por software e seu armazenamento pode ser feito em hardware ou repositrio protegido por senha, cifrado por software. Tem a validade mxima de um ano. Certificados tipo A2 e S2 esses tipos de certificados tm a gerao de chaves criptogrficas atravs de software e seu armazenamento pode ser carto inteligente (smartcard) ou em token, ambos com capacidade de gerao de chaves e protegido por senha. As chaves criptogrficas tem no mnimo 1024 bits e a validade mxima do certificado de dois anos. Certificados tipo A3 e S3 certificados em que a gerao e armazenamento das chaves criptogrficas so feitos em carto inteligente (smartcard) ou token, ambos com capacidade de gerao de chave e protegidos por senha, ou hardware criptogrfico aprovado pela ICP-Brasil. As chaves criptogrficas tem no mnimo 1024 bits e validade do certificado no mxima trs anos. Certificados tipo A4 e S4 esse tipo de certificado a gerao e o armazenamento de chaves criptogrficas feito em carto inteligente (smartcard) ou token, ambos com capacidade de gerao de chaves e protegidos por senha, ou hardware criptogrfico aprovado pela ICP-Brasil. As chaves criptogrficas tm no mnimo 2048 bits e a validade do certificado de no mximo trs anos. O BRy Signer possui alguns mecanismos para garantir a segurana do software. Entre eles podemos citar a Assinatura de Cdigo que garante a integridade e origem do software e ainda na pgina do BRy Signer disponibilizado o hash em SHA1 para uma possvel verificao.
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC
Rua Lauro Linhares, 2123 Trindade Center Torre B 3 andar sala 306 88036-002 Florianpolis SC