Certificado Digital

Adilmar Coelho Dantas¹, Fernando Augusto Zorzeto2, Lucas Nunes Sousa3, Osmar Mariano4

¹²³4 Departamento de Informática – Instituto Federal do Triângulo Mineiro (IFTM)Rua Blanche Galassi, 150, Bairro Morada da Colina, CEP: 38.411-104, Uberlândia/MG,

Brasil.

adilmarcoelho@hotmail.com, fernandozorzeto@gmail.com,

lukas_nunes@hotmail.com , Osmar-mariano@hotmail.com

Abstract. O trabalho a seguir tem como objetivo apresentar uma nova tecnologia que revolucionou a maneira de como as pessoas se identifica na internet atualmente. A certificação digital que tem como principal objetivo transmitir e receber informações de maneira segura sem se preocupar com todos os problemas enfrentados atualmente pela rede mundial de computadores. Tal técnica utiliza princípios matemáticos para criptografar as informações que serão processadas identificando e confirmando a autenticidade das informações. Sem duvida este processo ganhara cada vez mais mercado e funcionara como uma carteira de identificação para que a rede mundial não seja mais a terra de ninguém.

Resumo. The following work aims to present a new technology that has revolutionized the way people identify themselves as on the Internet today. The digital certificates whose main goal is to transmit and receive information securely without worrying about all the problems currently faced by the global network of computers. This technique uses mathematical principles to encrypt the information that will be processed by identifying and confirming the authenticity of the information. Undoubtedly this process increasingly gained market and functioned as an identification card to the global network is no longer a no man's land.

1. Introdução

Na prática, o certificado digital funciona como uma carteira de identidade virtual

que permite a identificação segura do autor de uma mensagem ou transação feita nos

meios virtuais, como a rede mundial de computadores - Internet. Tecnicamente, o

certificado é um documento eletrônico que por meio de procedimentos lógicos e

matemáticos asseguraram a integridade das informações e a autoria das transações.

2. O que e

Um certificado digital é um arquivo de computador que contém um conjunto de

informações referentes a entidade para o qual o certificado foi emitido (seja uma

empresa, pessoa física ou computador) mais a chave pública referente a chave privada

que acredita-se ser de posse unicamente da entidade especificada no certificado,em

outras palavras, e um documento eletrônico gerado e assinado por uma terceira parte

confiável, ou seja, uma Autoridade Certificadora que, seguindo regras emitidas pelo

Comitê Gestor da ICP-Brasil e auditada pelo ITI, associa uma entidade (pessoa,

processo, servidor) a um par de chaves criptográficas.

O certificado contém os dados de seu titular, tais como nome, número do

registro civil, assinatura da Autoridade Certificadora que o emitiu, entre outros,

conforme detalhado na Política de Segurança de cada Autoridade Certificadora.

3. Aplicabilidade

Centros de compra virtuais, transações bancárias eletrônicas e outros serviços viam

Internet estão se tornando cada vez mais comuns. Entretanto, as preocupações que o

utilizador tem quanto à privacidade e à segurança podem impedir que o utilizador se

beneficie deste novo meio de comércio pessoal. Um Certificado Digital pode ajudar.

Os Certificados Digitais são utilizados por sites e aplicativos de rede para

embaralhar os dados permutados entre dois computadores. A criptografia é uma

ferramenta poderosa, mas, por si só, não constitui proteção suficiente para suas

informações.

4. ICP (Infraestrutura de Chaves Públicas Brasileira)

A ICP-Brasil (Infraestrutura de Chaves Pública Brasileira) foi instituída pela Medida

Provisória 2.200-2, de 24 de agosto de 2001, que cria o Comitê Gestor da ICP-Brasil, a

Autoridade Certificadora Raiz Brasileira e define as demais entidades que compõem sua

estrutura.

A partir dessa MP, foram elaborados os regulamentos que regem as atividades

das entidades integrantes da Infraestrutura de Chaves Públicas Brasileira

O modelo de Infraestrutura adotado pela ICP-Brasil foi o de Certificado com

Raiz única. O Instituto Nacional de Tecnologia da Informação - ITI está na ponta desse

processo como Autoridade Certificadora Raiz. Cabe ao Instituto credenciar os demais

participantes da cadeia, supervisionar e fazer auditoria dos processos.

5. ITI (Instituto Nacional de Tecnologia da Informação)

O Instituto Nacional de Tecnologia da Informação - ITI é uma autarquia federal

vinculada à Casa Civil da Presidência da República, cujo objetivo é manter a Infra-

Estrutura de Chaves Pública Brasileira – ICP-Brasil, sendo a primeira autoridade da

cadeia de certificação – AC Raiz.

O certificado digital da ICP-Brasil, além de personificar o cidadão na rede

mundial de computadores, garante, por força da legislação atual, validade jurídica aos

atos praticados com seu uso. A certificação digital é uma ferramenta que permite que

aplicações, como comércio eletrônico, assinatura de contratos, operações bancárias,

iniciativas de governo eletrônico, entre outras, sejam realizadas. São transações feitas de

forma virtual, ou seja, sem a presença física do interessado, mas que demandam

identificação inequívoca da pessoa que a está realizando pela Internet.

Compete ainda ao ITI estimular e articular projetos de pesquisa científica e de

desenvolvimento tecnológico voltados à ampliação da cidadania digital. Nesse vetor, o

ITI tem como sua principal linha de ação a popularização da certificação digital e a

inclusão digital, atuando sobre questões como sistemas criptográficos, software livre,

hardware compatíveis com padrões abertos e universais, convergência digital de mídias,

entre outras.

5.1. Arquitetura do ITI

A arquitetura do instituto ITI esta representado conforme a legenda abaixo:

AC RAIZ: O próprio instituto ITI responsável por coordenar e fiscalizar as AC.

AC: São as entidades certificadoras, ou seja, as entidades que procuramos

quando queremos obter a certificação digital atualmente temos seis entidades

certificadoras em nossos pais representadas abaixo do fluxograma.

Figura 1. Esta figura representa a arquitetura do ITI.

Os Ac´s podem ser representados pela: Caixa, Serasa, Certising, Fenacon,

Fenacor, Receita Federal, dentre outros.Os AR´s são as associações registradoras.

Figura 2. Esta figura representa a cadeia da arquitetura do ITI representativa.

6. Aquisição do Certificado Digital

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados

digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo

é procurar uma Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR)

para obter um certificado digital. Uma AC tem a função de associar uma identidade a

uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante

deve fornecer documentos que comprovem sua identificação. Já uma AR tem uma

função intermediária, já ela pode solicitar certificados digitais a uma AC, mas não pode

emitir esse documento diretamente.

É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas

(ICP) ou, em inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas,

técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça

benefícios reais à sua população. O Brasil conta com a ICP-Brasil para essa finalidade.

A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição

que gera as chaves das ACs e que regulamenta as atividades de cada uma, é o Instituto

Nacional de Tecnologia da Informação (ITI). A ICP-Brasil tem nove ACs

credenciadas(fevereiro 2010):

• Serpro

• Caixa Econômica Federal

• Serasa

• Receita Federal

• Certisign

• Imprensa Oficial

• AC-JUS (Autoridade Certificadora da Justiça)

• ACPR (Autoridade Certificadora da Presidência da República)

• Casa da Moeda do Brasil

Figura 3. Esta figura representa autoridades certificadoras.

Tipos de Certificado Digital

Figura 4. Esta figura representa os tipos de certificação digital.

• A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;

• A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;

• A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;

• A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é

geralmente armazenado no computador do solicitante, enquanto que o segundo é

guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.

Um certificado normalmente inclui:

• Informações referentes a entidade para o qual o certificado foi emitido (nome,

email, CPF/CNPJ, PIS etc.)

• A chave pública referente a chave privada de posse da entidade especificada no

certificado

• O período de validade

• A localização do "centro de revogação" (uma URL para download da LCR, ou

local para uma consulta OCSP)

• A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida

naquele certificado confere com as informações contidas no mesmo

Atualmente o padrão comum e o X.509 que possui os seguintes campos:

• Versão - Contem a versão do certificado X.509, atualmente versão 3

• Número serial - Todo certificado possui um, não é globalmente único, mas único

no âmbito de uma AC, ac LCRs usam o serial para apontar quais certificados se

encontram revogados

• Tipo de algoritmo - Contem um identificador do algoritmo criptográfico usado

pela AC para assinar o certificado juntamente com o tipo de função de hash

criptográfica usada no certificado

• Nome do titular - Nome da entidade para o qual o certificado foi emitido

• Nome do emitente - Autoridade Certificadora que emitiu/assinou o certificado

• Período de validade - Mostra o período de validade do certificado no formato

"Não antes" e "Não depois" (Ex. "Não antes de 05/03/2006 - 14:35:02" "Não

depois de 05/03/2007 - 14:03:20")

• Informações de chave pública da entidade

• Algoritmo de chave pública

• Chave pública

• Assinatura da AC - A garantia que a AC provê sobre a veracidade das

informações contidas neste certificado de acordo com as políticas da AC

• Identificador da chave do titular - É uma extensão do X.509 que possui um

identificador numérico para a chave pública contida neste certificado,

especialmente útil para que programas de computador possam se referir a ela

• Identificador da chave do emitente - A mesma idéia mencionada anteriormente,

só que se referindo a chave pública da AC que emitiu o certificado

• Atributos ou extensões - A vasta maioria dos certificados X.509 possui campos

chamados extensões (OID) que provêem algumas informações extras, como

cadastros adicionais do titular e do emitente, especificações de propósito do

certificado e etc.

7. Nível de Segurança dos Certificados

Os Certificados Digitais são muito seguros, desde que o utilizador não divulgue sua

chave privativa e sua senha para ninguém. Pense em sua senha como a chave de um

cofre. Se o utilizador é a única pessoa a possuir a chave, o conteúdo do cofre estará

seguro.

Os Certificados Digitais também são apresentados em diversos níveis de

criptografia, com chaves de 40 e de 128 bits. Uma chave de 40 bits pode ser decifrada

em 4 horas, porém, para decodificar uma chave de 128 bits seria necessário mais tempo

que a idade do universo.

8. Criptografia

A criptografia é uma técnica de processamento de dados que procura “disfarçar” as

mensagens de forma a que uma entidade não autorizada não entenda o seu verdadeiro

conteúdo. A primeira e principal garantia oferecida pela criptografia é a

confidencialidade.

8.1. Criptografia Assimétrica

A criptografia de chave pública ou criptografia assimétrica é um método de

criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A

chave pública é distribuída livremente para todos os correspondentes via e-mail ou

outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.

Num algoritmo de criptografia assimétrica, uma mensagem cifrada com a

chave pública pode somente ser decifrada pela sua chave privada correspondente.

Os algoritmos de chave pública podem ser utilizados para autenticidade e

confidencialidade. Para confidencialidade, a chave pública é usada para cifrar

mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para

autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que

apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a

'chave pública'.

Exemplo:

Figura 5. Esta figura representa um exemplo de criptografia assimétrica.

Neste exemplo uma chave publica e gerada simetricamente por Alice uma chave publica

contendo o algoritmo capaz de descriptografar as informações e enviada para Bob que

utiliza esta chave publica para cifrar a informação.

9. Anatomia do Certificado

A anatomia dos certificados digitais utilizados recentemente é a anatomia x 509 que

contem as seguintes características.

O certificado de chaves pública X.509 pode ser utilizado para transportar

vários tipos de informações, que são colocados em dois tipos de campos pré-definidos:

os obrigatórios e os opcionais.Os certificados possuem um conjunto padrões de campos

e podem incluir um número opcional de extensões. Campos obrigatórios:

• Número de série;

• Algoritmo identificador da assinatura do certificado;

• Período de validade do certificado;

• Chave pública e

• Nome do sujeito

Opcionais:

• Número da versão;

• Dois identificadores únicos, o emissor e do sujeito

• Extensões

10. Confidencialidade

Figura 6. Esta figura representa um exemplo de criptografia e sobre sua confidencialidade.

Neste exemplo uma chave publica contendo três informações (Encrypt A, Encrypt B,

Encrypt C) do tipo texto criptografado envia uma requisição para a chave privada

solicitando decriptação das informações por ela transmitida. O único problema gerado

por este tipo de criptografia e o alto custo de processamento.

11. Assinatura Digital

A integridade das mensagens encriptadas trocadas entre entidades pode ser garantida

através da utilização da criptografia assimétrica. A propriedade que confere esta

possibilidade é a reversibilidade do algoritmo.

A autenticação de dados e feitos por meio de uma assinatura digital que

acompanha um determinado dado e que tem duas funções: Confirmar a origem do dado

e certificar que o dado não foi modificado.

12. Algoritmo RSA da Certificação Digital

RSA é um algoritmo de criptografia de dados, que deve o seu nome a três professores

do Instituto MIT (fundadores da atual empresa RSA Data Security, Inc.), Ronald Rivest,

Adi Shamir e Leonard Adleman, que inventaram este algoritmo — até a data (2008), a

mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se

em teorias clássicas dos números. É considerado dos mais seguros, já que mandou por

terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar

criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave

pública.

12.1. Funcionamento

O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos

e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando

uma chave pública só pode ser decifrada usando a respectiva chave privada. A

criptografia RSA atua diretamente na internet, por exemplo, em mensagens de emails,

em compras on-line e o que você imaginar; tudo isso é codificado e recodificado pela

criptografia RSA.

13. Certificação Digital no Brasil

Falar de certificação digital no Brasil freqüentemente remete a duas importantes

iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital

direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de

Pessoa Física), enquanto que o segundo é um certificado digital que se destina a

empresas ou entidades, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro

Nacional da Pessoa Jurídica).

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços

da Receita Federal, muitos dos quais até então disponíveis apenas em postos de

atendimento da instituição. É possível, por exemplo, transmitir declarações de imposto

de renda de maneira mais segura, consultar detalhes das declarações, pesquisar situação

fiscal, corrigir erros de pagamentos, entre outros. No caso do e-CNPJ, os benefícios são

semelhantes.

O e-CPF e o e-CNPJ estão disponíveis nos tipos A1 e A3.

Figura 6. Esta figura representa os modelos dos cartões inteligentes e-CPF e e-CNPJ tipo A3.

14. Conclusão

A criptografia assimétrica é uma ferramenta poderosa na segurança de um sistema

distribuído. A sua utilização justifica-se claramente para a obtenção de

confidencialidade, integridade e autorização. A confidencialidade é garantida através da

criptografia forte, dependendo do algoritmo e da chave utilizada; a integridade passa

pela utilização de assinaturas digitais.

15. Referências

Certificado Digital. Disponível em http://loja.certificadodigital.com.br/serasa/, acesso em: 05 de dezembro de 2010.

Certificado Digital. Disponível em http://www.receita.fazenda.gov.br/atendvirtual/defaultatendCertDigital.htm/, acesso em: 05 de dezembro de 2010.

Certificado Digital. Disponível em http://www.infowester.com/assincertdigital.php/, acesso em: 07 de dezembro de 2010.

ITI. Disponível em http://www.iti.gov.br/twiki/bin/view/Main/WebHome/, acesso em: 05 de dezembro de 2010.