guia identificaÇÃo electrÓnica - secretaria geral - início · guia para a autenticação e...
TRANSCRIPT
Agência para a Modernização Administrativa, IP Rua Abranches Ferrão n.º 10, 3º G 1600-001 LISBOA
email: [email protected] | telefone: 21 723 12 00 | fax: 21 723 12 20 | www.ama.pt
GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA
versão 0.9 25 de Maio de 2009
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 2 de 53
Folha de Controlo
Nome do Documento: Guia para a Autenticação e Assinatura Electrónica
Evolução do Documento
Versão Autor Data Comentários
0.9 AMA 25-05-2009 Versão inicial para discussão pública.
Documentos Relacionados
Nome do documento Tipo Documento Descrição
Controlo de Aprovações
Entidade Nomes Data
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 3 de 53
Índice
1. RESUMO EXECUTIVO .............................................................................................................................. 4
2. ÂMBITO ...................................................................................................................................................... 5
2.1. OBJECTIVO ........................................................................................................................................... 5
2.2. ABRANGÊNCIA ...................................................................................................................................... 5
2.3. APLICABILIDADE & REGULAMENTAÇÃO ................................................................................................... 5
3. ENQUADRAMENTO ................................................................................................................................ 12
4. ESTRUTURA DO DOCUMENTO ............................................................................................................ 14
5. METODOLOGIA DE UTILIZAÇÃO .......................................................................................................... 15
6. CONCEITOS E CONSIDERAÇÕES GERAIS ......................................................................................... 17
6.1. MÉTODOS DE IDENTIFICAÇÃO/AUTENTICAÇÃO ELECTRÓNICA ................................................................ 17
6.1.1. Utilizador e Palavra-Chave ....................................................................................................... 17
6.1.2. Token de Autenticação ............................................................................................................. 18
6.1.3. Certificado Digital não Qualificado............................................................................................ 19
6.1.4. Assinatura Electrónica/Certificado Digital Qualificado ............................................................. 20
6.1.5. Dados biométricos .................................................................................................................... 21
6.2. SMART CARDS .................................................................................................................................... 22
6.3. SINGLE SIGN ON ................................................................................................................................. 22
6.4. INFRA-ESTRUTURA DE CHAVE PÚBLICA ................................................................................................ 23
7. MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA ................................................ 25
7.1. CARTÃO DE CIDADÃO .......................................................................................................................... 26
7.1.1. Certificados Digitais do Cartão de Cidadão .............................................................................. 27
7.1.2. Identificação através do método de Match-On-Card ................................................................ 31
7.1.3. Identificação através de One-Time-Password – OTP (EMV-CAP) .......................................... 31
7.2. FORNECEDOR DE AUTENTICAÇÃO DO CARTÃO DE CIDADÃO .................................................................. 32
7.3. INFRA-ESTRUTURA DE CHAVE PÚBLICA DO CARTÃO DE CIDADÃO .......................................................... 33
7.4. SERVIÇOS DE APOIO À VERIFICAÇÃO .................................................................................................... 35
7.4.1. Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão ................... 35
7.4.2. Verificação através do método de Match-On-Card .................................................................. 39
7.4.3. Serviços a Disponibilizar ........................................................................................................... 39
8. NORMAS & ESPECIFICAÇÕES TÉCNICAS .......................................................................................... 41
8.1. CERTIFICADOS DIGITAIS DE AUTENTICAÇÃO .......................................................................................... 41
8.2. CERTIFICADOS DIGITAIS DE ASSINATURA ELECTRÓNICA ......................................................................... 41
8.3. MATCH-ON-CARD ................................................................................................................................ 42
9. EXEMPLO ................................................................................................................................................ 43
10. ANEXOS ................................................................................................................................................... 45
10.1. ANEXO I – TERMOS E ABREVIATURAS ................................................................................................... 45
10.2. ANEXO II – ATRIBUTOS DO CERTIFICADO DO CARTÃO DE CIDADÃO ........................................................ 47
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 4 de 53
1. RESUMO EXECUTIVO
Este documento tem por objectivo apresentar as linhas orientadoras para a identificação e
autenticação de um Cidadão ou Empresa perante as Entidades da Administração Pública. Neste
âmbito, são detalhados os conceitos de identificação e autenticação e assumido como pressuposto
fundamental a utilização do Cartão de Cidadão enquanto mecanismo essencial neste processo de
identificação/autorização do Cidadão.
São focados em abstracto conceitos e considerações relativamente aos métodos de
identificação/autenticação electrónica existentes, nomeadamente:
� Utilizador e Palavra-Chave;
� Token de Autenticação;
� Certificado Digital não Qualificado;
� Assinatura Electrónica/ Certificado Digital Qualificado;
� Dados biométricos.
Em maior detalhe, são apresentados os mecanismos para identificação do Cidadão existentes no
Cartão de Cidadão e efectuada a sua associação com os conceitos anteriormente expostos, bem
como os serviços de apoio à verificação dos mesmos. Deste modo, os mecanismos existentes no
Cartão de Cidadão são:
� Certificados Digitais que abrangem dois modelos: Certificados de Autenticação e
Certificados de Assinatura Electrónica;
� Identificação através do método de Match-on-Card;
� Identificação através do método de One-Time Password.
São ainda apresentadas recomendações e directrizes para a selecção do(s) método(s) de
autenticação a empregar segundo o canal de atendimento utilizado pela Entidade interessada.
Associadas a esta selecção são referidas as normas e especificações técnicas a assegurar para a
correcta utilização dos processos escolhidos.
Por fim é apresentado um quadro com os Termos e Abreviaturas referidas ao longo deste Guia.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 5 de 53
2. ÂMBITO
2.1. Objectivo
Com a rápida expansão dos serviços electrónicos disponibilizados pelos Organismos da
Administração Pública e com a consolidação do Cartão de Cidadão como principal documento
identificador dos cidadãos nacionais torna-se premente regulamentar sobre as normas a aplicar na
identificação e autenticação electrónica. Alinhado a este facto encontram-se as recomendações
efectuadas pela União Europeia sobre a necessidade de definir regras relativamente à Assinatura
Digital de documentos no espaço Europeu.
É objectivo deste guia ir ao encontro da solução destas problemáticas e regulamentar normas e
recomendações neste âmbito a serem aplicadas pelos Organismos da Administração Pública.
2.2. Abrangência
As normas aqui apresentadas referem-se à identificação electrónica dos cidadãos perante os
Organismos da Administração Pública.
2.3. Aplicabilidade & Regulamentação
Em termos de aplicabilidade das normas e recomendações apresentadas foi definido o seguinte:
� Estas normas apresentam carácter vinculativo para os Organismos da Administração
Pública, sendo que são fortemente recomendadas para as restantes Entidades Privadas;
� São vinculativas para novos serviços e sistemas que venham a ser implementados. Nestes
casos é obrigatória a existência exclusiva de mecanismos de autenticação e identificação
através do Cartão de Cidadão;
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 6 de 53
� São vinculativas para os serviços e sistemas actuais, onde estes têm que ser adaptados de
modo a englobar mecanismos de autenticação e identificação através do Cartão de
Cidadão. Serão definidos os prazos para estas adaptações serem efectuadas. Para os
serviços e sistemas existentes, os actuais métodos de identificação podem-se manter em
funcionamento em paralelo com os mecanismos a implementar para o Cartão de Cidadão.
São agora expostos os métodos a implementar por canal de atendimento. Recomenda-se a
utilização de um dos métodos ou a combinação de um ou mais métodos tendo em conta os vários
canais de atendimento que uma Entidade disponibiliza ao Cidadão/Empresa e o nível de segurança
que pretende dar à informação ou ao serviço.
A definição dos níveis de segurança deve ter em conta os impactos que podem surgir devido à
apropriação indevida da identidade de uma pessoa no acesso à informação ou ao serviço,
nomeadamente:
• Perda de integridade;
• Perda de disponibilidade;
• Perda de confidencialidade;
• Risco da segurança pessoal;
• Perda financeira.
Quanto mais severas forem as consequências desta apropriação indevida e do acesso à
informação ou ao serviço, maior deve ser o nível de segurança a aplicar para as transacções a
efectuar, tendo em conta os vários riscos associados, nomeadamente:
• Falsificação de identidade;
• Roubo do token de acesso;
• Roubo da identidade real;
• Intercepção ou revelação de informação secreta de autenticação;
• Registo de informação secreta de autenticação em sistemas não confiáveis;
• Uso não autorizado do token de acesso;
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 7 de 53
• Uso de uma credencial comprometida;
• Uso de uma credencial alterada/modificada;
• Uso de uma credencial para um intuito indevido;
• Invalidação de uma credencial sem uma causa válida;
• Uso fraudulento de uma credencial;
• Ataque de um hacker;
• Registo disperso da informação.
Tendo em conta os vários impactos e riscos descritos e de acordo com as politicas de segurança
existentes nesta área, podem ser definidos quatro níveis de criticidade no acesso à informação e
serviços disponibilizados:
• Nível 1 – acesso a informação e a serviços do âmbito público;
• Nível 2 – acesso a informação e a serviços do âmbito público, onde se assume que
possa ocorrer algum dano para a Organização, sem nunca comprometer as entidades
(cidadãos/empresas) que a Organização serve;
• Nível 3 – acesso de leitura a informação e a elegibilidade de serviços do âmbito privado
de uma determinada entidade (cidadão/empresa);
• Nível 4 – acesso de alteração da informação e execução de serviços do âmbito privado
de uma determinada entidade (cidadão/empresa).
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 8 de 53
As tabelas seguintes descrevem as recomendações e obrigações para as Entidades da
Administração Pública na utilização de cada um dos métodos de identificação/autenticação em
cada um dos canais, tendo em conta o nível de criticidade da informação/serviços acedidos, com a
seguinte nomenclatura:
• Interdito – Método de autenticação que não poderá, em caso algum, ser usado para o nível
de criticidade da informação/serviço em causa;
• Não Recomendado – Método de autenticação não aconselhado para nível de criticidade da
informação/serviço em causa. A sua utilização poderá por em causa o nível de segurança
da informação ou serviço, podendo o organismo ser responsabilizado por esse facto;
• Recomendado – Método de autenticação que poderá ser usado para nível de criticidade da
informação/serviço em causa;
• Obrigatório – Método de autenticação que terá de ser usado para nível de criticidade da
informação/serviço em causa;
• Opcional – Método de autenticação que poderá alternativamente (ao recomendado) ser
usado para nível de criticidade da informação/serviço em causa. A sua utilização não sendo
obrigatória, poderá ser usada para assegurar um nível de segurança no acesso à
informação ou serviço similar;
• Não Aplicável – Método de autenticação não aplicável para o nível de criticidade da
informação/serviço em causa.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 9 de 53
Métodos de Autenticação para o canal presencial
Nível de criticidade da informação/serviços
Método de
Identificação Nível 1 Nível 2 Nível 3 Nível 4
Comparação visual de fotografia titular recomendado obrigatório obrigatório obrigatório
Assinatura Digital do Cartão de Cidadão
não recomendado
não recomendado Opcional Opcional
On-Time-Password do Cartão de Cidadão
não recomendado
não recomendado Opcional Opcional
Autenticação com Certificado Digital do Cartão de Cidadão
não recomendado opcional Opcional Opcional
Match-On-Card do Cartão de Cidadão
não recomendado
não recomendado opcional Opcional
Utilizador e Palavra Chave
não recomendado opcional interdito interdito
Métodos de Autenticação para o canal telefónico
Nível de segurança de identificação/autenticação
Método de
Identificação Nível 1 Nível 2 Nível 3 Nível 4
Assinatura Digital do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável
On-Time-Password do Cartão de Cidadão opcional opcional recomendado obrigatório
Autenticação com Certificado Digital do Cartão de Cidadão
não aplicável não aplicável não aplicável não aplicável
Match-On-Card do Cartão de Cidadão
não aplicável não aplicável não aplicável não aplicável
Utilizador e Palavra Chave
não aplicável não aplicável não aplicável não aplicável
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 10 de 53
Métodos de Autenticação para o canal web (sites)
Nível de segurança de identificação/autenticação
Método de
Identificação Nível 1 Nível 2 Nível 3 Nível 4
Assinatura Digital do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável
On-Time-Password do Cartão de Cidadão opcional opcional opcional opcional
Autenticação com Certificado Digital do Cartão de Cidadão
opcional opcional recomendado obrigatório
Match-On-Card do Cartão de Cidadão
não recomendado
não recomendado
não recomendado
não recomendado
Utilizador e Palavra Chave
opcional opcional não recomendado interdito
Métodos de Autenticação de funcionários em Sistemas de Informação
Nível de criticidade da informação/serviços
Método de
Identificação Nível 1 Nível 2 Nível 3 Nível 4
Assinatura Digital do Cartão de Cidadão opcional opcional opcional recomendado
On-Time-Password do Cartão de Cidadão opcional opcional opcional opcional
Autenticação com Certificado Digital do Cartão de Cidadão
opcional opcional recomendado obrigatório
Match-On-Card do Cartão de Cidadão opcional opcional opcional opcional
Utilizador e Palavra Chave
opcional opcional interdito interdito
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 11 de 53
Métodos de Assinatura de Documentos e Transacções
Nível de criticidade da informação/serviços
Método de
Identificação Nível 1 Nível 2 Nível 3 Nível 4
Assinatura Digital do Cartão de Cidadão obrigatório obrigatório obrigatório obrigatório
On-Time-Password do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável
Autenticação com Certificado Digital do Cartão de Cidadão
não aplicável não aplicável não aplicável não aplicável
Match-On-Card do Cartão de Cidadão
não aplicável não aplicável não aplicável não aplicável
Utilizador e Palavra Chave
não aplicável não aplicável não aplicável não aplicável
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 12 de 53
3. ENQUADRAMENTO
No âmbito da modernização da Administração Pública particularmente na interacção entre os seus
Organismos e o Cidadão, a identificação electrónica é um dos alicerces da administração
electrónica, pois permite identificar e autenticar de forma electrónica os Cidadãos e Empresas
perante a Administração Pública, potenciando dessa forma a utilização de serviços electrónicos.
Para identificar e autenticar um dado Cidadão é necessário responder às seguintes questões:
• Quem é a pessoa que se pretende identificar e autenticar?
• Como saber que a pessoa é quem diz ser?
De forma a responder a estas questões, a identificação electrónica disponibiliza os seguintes
mecanismos:
• Identificação: responde à primeira questão e consiste em determinar a identidade de um
Cidadão com base num atributo ou conjunto de atributos de diferentes origens;
• Autenticação: responde à segunda questão e consiste em garantir que a identidade
fornecida por um determinado Cidadão pertence a esse Cidadão.
Através da utilização conjunta destes dois mecanismos, garante-se a identidade do Cidadão para o
acesso e execução de serviços, electrónicos ou físicos, consoante o canal de atendimento.
No presente introduziram-se vários mecanismos de suporte à identificação e autenticação
electrónica de um Cidadão descrevendo os conceitos técnicos associados a cada um deles.
Este documento tem como principal audiência as diversas entidades da Administração Pública que
pretendam utilizar os mecanismos de identificação electrónica dos Cidadãos. Contudo, o âmbito da
mesma estende-se ao sector privado, pelo que a informação aqui apresentada também deve servir
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 13 de 53
como uma referência para as entidades privadas que pretendam utilizar os serviços de
identificação electrónica disponibilizados pela Administração Pública.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 14 de 53
4. ESTRUTURA DO DOCUMENTO
O documento de Guia para a Identificação Electrónica encontra-se nos próximos capítulos
estruturado em:
• Metodologia de utilização: apresenta a forma de aplicação e utilização do documento,
enumerando um conjunto de critérios que devem ser considerados na utilização dos
métodos de identificação electrónica apresentados no âmbito deste documento;
• Conceitos e Considerações Gerais: descreve vários conceitos e considerações gerais na
área da identificação e assinatura electrónica, que devem ser do conhecimento da entidade
que pretende utilizar o documento;
• Modelo de referência: anuncia um modelo de referência de um sistema desta natureza,
onde são apresentados os métodos de identificação electrónica mais recorrentes;
• Recomendações: enumera um conjunto de referências e recomendações que devem ser
consideradas para a aplicação do conteúdo do documento e para a continuidade e evolução
do mesmo, servindo de complemento à metodologia de utilização, conceitos e
considerações gerais e ao próprio modelo de referência;
• Especificações Técnicas: apresenta um conjunto de standards técnicos que devem ser
aplicados para dar suporte aos mecanismos enunciados no modelo de referência;
• Anexos: conjunto de referências a informação auxiliar que complementam o documento.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 15 de 53
5. METODOLOGIA DE UTILIZAÇÃO
Para identificação/autenticação de um Cidadão perante uma Entidade, da Administração Pública,
existem vários métodos de autenticação que se encontram classificados em três grupos:
• Algo que o Cidadão sabe: neste grupo encontram-se os métodos de autenticação que se
baseiam em algo que a Cidadão conhece ou sabe, como por exemplo uma palavra-chave,
um número único de identificação (PIN) ou uma frase de segurança;
• Algo que o Cidadão tem: neste grupo encontram-se os métodos de autenticação que se
baseiam em algo que o Cidadão possui, como por exemplo um token de segurança, um
certificado digital ou smartcard;
• Algo que o Cidadão é: neste grupo encontram-se os métodos de autenticação que se
baseiam em informação biométrica do Cidadão, como por exemplo a sua impressão digital,
o padrão da sua retina, o padrão da sua voz ou a sua forma de escrever.
Apesar de cada um dos métodos fornecer as capacidades para identificação e autenticação de um
determinado Cidadão, o nível de segurança associado a cada um dos níveis varia, pelo que a
escolha de qual o método a utilizar deve ter em conta o nível de segurança que se pretende ter.
Contudo, por vezes, a utilização de apenas um método de autenticação não fornece o nível de
segurança necessária, pelo que a combinação de vários métodos de autenticação é uma das
formas de fortalecer a segurança dos processos de identificação e autenticação. A aplicação de
cada método depende do nível de segurança que se pretende ter no processo de autenticação de
uma determinada entidade.
Tal como descrito anteriormente, os vários métodos de identificação/autenticação oferecem níveis
de segurança que se encontram classificados nos seguintes grupos:
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 16 de 53
• Fraco: métodos de identificação/autenticação em que os níveis de segurança oferecidos
estão dependentes apenas do conhecimento de uma determinada entidade e do sigilo
daquilo que esta conhece e que é utilizado para se autenticar;
• Forte: métodos de identificação/autenticação em que os níveis de segurança oferecidos
não dependem somente do conhecimento de uma determinada entidade mas que também
depende de alguma característica sua ou de algo que ela possui. Tipicamente os métodos
de autenticação forte combinam dois ou mais métodos de autenticação.
Assim sendo, no âmbito de cada projecto de implementação na área da Identificação Electrónica,
cabe à Entidade determinar quais os mecanismos e os requisitos que considera como obrigatórios
e quais os que considera como opcionais, considerando o indicado no capítulo de Aplicabilidade &
Regulamentação1 onde é apresentada a matriz de utilização de cada um dos métodos por canal de
interacção com o Cidadão classificados por nível de segurança.
1 Para maior detalhe consultar capítulo 2.3 - Aplicabilidade & Regulamentação
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 17 de 53
6. CONCEITOS E CONSIDERAÇÕES GERAIS
Neste capítulo são apresentados os métodos de Identificação/Autenticação electrónica existentes,
sendo efectuada uma explicação acerca do seu funcionamento bem como a sua classificação
segundo o nível de segurança a ele associado.
6.1. Métodos de Identificação/Autenticação Electrónica
A presente secção descreve os vários métodos de identificação/autenticação electrónica
existentes. Para cada método é apresentada uma explicação do seu modo de funcionamento e dos
mecanismos de suporte envolvidos.
6.1.1. Utilizador e Palavra-Chave
Método de identificação que se baseia no princípio de que o utilizador e a Entidade que fornece o
serviço ou recurso possuem conhecimento mútuo de uma palavra-chave estática (que pode ser um
palavra, um número ou uma frase) que o utilizador deve fornecer em conjunto com um ou mais
dados de identificação não confidenciais (exemplo: nome de utilizador) à Entidade, sempre que
pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar
se a palavra-chave fornecida é igual à palavra-chave que conhece.
O nível de segurança deste mecanismo de autenticação dependente de vários factores como o
sigilo, a complexidade e a possibilidade de a palavra-chave poder ser adivinhada e/ou calculada
por outros que não o utilizador.
6.1.1.1. Personal Identification Number (PIN)
Um caso particular da autenticação por “Palavra-Chave” é a utilização de um Personal Identification
Number (PIN). Este método de identificação baseia-se no princípio de que o utilizador e a Entidade
que fornece o serviço ou recurso possuem conhecimento mútuo de um número que o utilizador
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 18 de 53
deve fornecer à Organização em conjunto com um ou mais dados de identificação não
confidenciais (exemplo: nome de utilizador), sempre que pretender aceder a recursos desta. Para
validar a identidade do utilizador, a Entidade deve verificar se a número fornecido é igual ao
número que conhece, para os dados de identificação conhecidos.
O nível de segurança deste mecanismo de autenticação está dependente de vários factores como
o sigilo, a complexidade e a possibilidade de o número poder ser adivinhado e/ou calculado por
outros que não o utilizador.
6.1.2. Token de Autenticação
Método de autenticação que consiste, tipicamente na utilização dois factores2 ou chaves para a
identificação do utilizador para além dos dados de identificação não confidenciais (exemplo: nome
de utilizador): uma palavra-chave estática e uma palavra-chave dinâmica (chave), esta última
gerada por um mecanismo externo (token) na posse do utilizador.
A palavra-chave dinâmica obtém-se através de um dispositivo de autenticação autónomo – o token
– que armazena chaves, ou possui a capacidade de gerar/calcular uma chave única no tempo (One
Time Password – OTP), que é utilizada no processo de autenticação, ou tem capacidade de
participar em esquemas de challenge/response com o servidor de autenticação. Geralmente o
token necessita da inserção de uma palavra-chave estática para produzir a chave dinâmica.
Por questões de segurança, recomenda-se que a transmissão da chave dinâmica obtida através do
token seja efectuada através de um meio de comunicação seguro (por exemplo, uma ligação SSL).
Sempre que pretender aceder aos recursos de uma Entidade, o utilizador deve fornecer os dados
de identificação não confidenciais (exemplo: nome de utilizador) e a chave dinâmica, sendo esta
2 Os métodos baseados em dois factores de identificação/autenticação utilizam uma combinação de dois elementos entre os seguintes: algo que o utilizador é (por exemplo: validação de íris ou impressão digital), algo que o utilizador tem (por exemplo: um gerador de tokens), algo que o utilizador sabe (por exemplo: uma palavra-chave). Trata-se de um método mais seguro do que métodos baseados apenas em algo que o utilizador sabe, como a identificação/autenticação por palavra-chave.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 19 de 53
obtida através do token após a inserção da palavra-chave estática neste dispositivo. Por seu turno,
a Entidade deve verificar se a chave dinâmica fornecida é válida para o utilizador em questão.
O nível de segurança do método de autenticação por token gerador de chaves dinâmicas depende
do grau de complexidade do token utilizado, como por exemplo o tipo de criptografia aplicado.
6.1.3. Certificado Digital não Qualificado
Um certificado digital de chave pública não qualificado, doravante designado por certificado digital,
é um documento electrónico que funciona como credencial, relacionando uma chave pública com a
identidade de uma Entidade, Pessoa ou Organização. Trata-se de uma credencial electrónica
emitida por uma Entidade de Certificação fidedigna e que contém a informação necessária para
identificar e autenticar uma determinada Entidade (Pessoa ou Organização) perante outra.
Para além da credencial, o certificado digital possui um par de chaves criptográficas:
• Chave privada: chave do conhecimento do detentor do certificado digital e pode ser
utilizada para cifrar dados e/ou para assinar digitalmente documentos electrónicos;
• Chave pública: chave conhecida e comunicada às Entidades com as quais o detentor do
certificado se pretende relacionar e que é utilizada para decifrar dados e/ou validar a
assinatura digital de documentos electrónicos. A chave pública é associada aos atributos
que identificam o detentor do certificado.
Quando o detentor do certificado pretender aceder aos recursos de uma Entidade, deve fornecer-
lhe o seu certificado digital, sendo a Entidade que disponibiliza os recursos responsável por
verificar se o certificado fornecido é válido junto da Entidade Emissora do Certificado.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 20 de 53
Actualmente o nível de segurança deste método de autenticação pode ser considerado como
seguro quando a Entidade Certificadora é reconhecida pelos seus participantes como uma entidade
fidedigna, tal como numa Infra-estrutura de Chave Pública (PKI)3.
6.1.4. Assinatura Electrónica/Certificado Digital Qualificado
Uma assinatura electrónica pode ser definida como um processo de criptografia electrónico
recorrendo a um par de chaves, tipicamente contidas num certificado digital, através do qual é
gerada uma sequencia de bytes cujo valor não tem significado fora do contexto de um algoritmo
especifico e que acompanha o documento assinado como anexo. A assinatura do documento
implica uma aprovação dos termos e/ou de um documento electrónico pelo signatário, de forma
análoga a uma assinatura física tradicional.
Para além destas características, a assinatura electrónica de um documento assegura a
integridade do mesmo, ou seja, assegura que o documento não foi alterado desde que foi
assinado, bem como a não repudiação do documento, ou seja, garante que o documento foi
assinado pelo signatário cuja assinatura consta no documento.
A assinatura digital baseia-se em dois processos criptográficos que recorrem às chaves
criptográficas e dos algoritmos de hashing:
• Resumo criptográfico do documento a enviar (hash) – A geração do resumo criptográfico do
documento consiste na aplicação de algoritmos de hashing ao documento, como MD54,
SHA-15, SHA-2566, que o reduzem a um resumo de dimensão constante;
• A cifra do resumo.
Associado a uma assinatura electrónica existem sempre dois procedimentos a considerar:
3 Para mais informações sobre PKI, consultar a secção 6.4 deste documento 4 http://www.ietf.org/rfc/rfc1321.txt 5 http://www.ietf.org/rfc/rfc3174.txt
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 21 de 53
• Geração da assinatura – Procedimento segundo o qual o signatário produz a sequência de
bytes (assinatura) a partir do documento e de informação secreta ou privada (a chave
privada). Este procedimento deve assegurar as propriedades requeridas para a assinatura:
autenticidade, integridade e não repudiação do documento;
• Verificação da assinatura – Procedimento segundo o qual o destinatário do documento
assinado consegue assegurar-se de que a sequência de bytes que recebe como assinatura
é um valor válido, gerado pelo signatário para esse fim.
Actualmente o nível de segurança deste método de identificação e autenticação pode ser
considerado como seguro quando a Entidade que emite o certificado que dá suporte à assinatura
digital é reconhecida pelos seus participantes como uma entidade fidedigna7.
6.1.5. Dados biométricos
A identificação e autenticação através de dados biométricos baseia-se nas características humanas
de uma pessoa como a impressão digital, voz, face, íris, entre outras, considerando que essas
características são únicas.
Para a utilização deste método de autenticação, a Entidade que fornece os seus recursos deve
efectuar previamente a recolha dos dados biométricos que pretende utilizar para identificar o
utilizador.
Quando o utilizador pretender aceder aos recursos da Entidade, deve permitir a obtenção dos seus
dados biométricos pela Entidade, que deve verificar se os dados fornecidos são iguais aos dados
recolhidos anteriormente.
6 http://tools.ietf.org/html/draft-ietf-dnsext-ds-sha256-05 7 A assinatura digital tem o valor legal conferido pela lei, nomeadamente no Decreto-Lei nº 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei nº 62/2003, de 3 de Abril e alterado pelos Decretos-Lei nºs 165/2004, de 6 de Julho e 116-A/2006, de 16 de Junho
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 22 de 53
Dependo da característica humana que é utilizada para a identificação, actualmente este método
de autenticação pode ser considerado como um método de identificação seguro, dependendo da
verificação presencial da pessoa que se pretende identificar e autenticar.
6.2. Smart Cards
Os smart cards são o suporte físico (em formato de cartões) para a informação utilizada para
alguns dos métodos de autenticação referidos anteriormente, nomeadamente a autenticação
através de token, certificados digitais ou dados biométricos.
Este tipo de cartões possui o hardware e o software necessário para a realização de operações
importantes na área de identificação electrónica, nomeadamente:
• Guardar e aceder de forma segura os certificados digitais, fornecendo as capacidades
necessárias para autenticação através de certificados digitais;
• Guardar e validar de forma segura os dados biométricos, fornecendo as capacidades
necessárias para a autenticação através de dados biométricos;
• Gerar chaves únicas, fornecendo as capacidades necessárias para a autenticação através
de tokens;
• Assinar e cifrar documentos em formato digital, utilizando os certificados digitais contidos no
cartão, fornecendo as capacidades necessárias para assinatura electrónica de documentos.
Tal como referido anteriormente, a combinação de mais que um método de autenticação permite
fortalecer a segurança do acto de autenticação.
6.3. Single Sign On
O mecanismo de Single Sign On (SSO) é o mecanismo através do qual, numa única acção de
identificação e autenticação, permite a um utilizador adquirir acesso a vários recursos
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 23 de 53
(computadores, sistemas, serviços, informações) que requerem identificação e respectiva
autenticação e para os quais o utilizador tem permissões de acesso, sem que seja necessário
repetir a acção de identificação e/ou autenticação para cada recurso específico.
Com este mecanismo, a identificação e autenticação do utilizador é efectuada numa única
entidade, designada por entidade fornecedora de autenticação ou servidor de autenticação, o qual
emite um certificado de autenticação8, após a identificação e autenticação do cidadão através de
métodos de identificação electrónica com nível de segurança adequado ao tipo de recursos a que
pretende aceder.
As credenciais indicadas pelo utilizador nunca saem da entidade fornecedora de autenticação. Ao
invés, todos os recursos a que o utilizador pode aceder utilizando SSO devem confiar na entidade
fornecedora de autenticação e no certificado por ela emitido, validando-o sempre que o utilizador
pretenda interagir com cada um dos recursos.
6.4. Infra-estrutura de Chave Pública
Uma infra-estrutura de chave pública – PKI ou public key infrastructure – é o conjunto formado pela
arquitectura, organização, técnicas, práticas, procedimentos e serviços que, no seu todo, suporta a
implementação, fornecimento e gestão de certificados X.5099 para criptografia de chave pública.
Estes certificados identificam o indivíduo a quem o certificado diz respeito e ligam-na a um
determinado par de chaves pública/privada.
Uma infra-estrutura de chave pública é composta por quatro componentes fundamentais:
8 Nota: os fornecedores de autenticação podem emitir diferentes tipos de artefactos que permitam a cada um dos recursos identificar e autenticar o utilizador: certificado de autenticação ou certificados X.509, token ou ticket one-time passord, token ou ticket baseados em criptografia (kerberos), cookies. No âmbito do presente documento são considerados apenas os certificados de autenticação. 9 Para a documentação completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 24 de 53
• A entidade certificadora10 – Certificate Authority ou CA – que é responsável pela emissão e
validação de certificados digitais;
• Entidade de registo – Registration Authority ou RA – que dá suporte à entidade
certificadora, efectuando as validações prévias necessárias para a emissão de certificados
digitais;
• Um ou mais directórios de suporte, que armazenam aos certificados e as respectivas
chaves públicas;
• Um sistema de gestão de certificados.
Para além destes componentes, numa infra-estrutura de chave pública estão incluídas políticas de
organização relacionadas com a utilização de certificados digitais, que documentam as regras de
operação, as politicas de procedimentos e a politica de confiança entre as entidades que operam e
interagem na infra-estrutura.
Para uma compreensão abrangente dos requisitos de uma infra-estrutura de chave pública,
nomeadamente infra-estruturas que operem com certificados de assinatura digital recomenda-se a
consulta das normas e recomendações da European Telecommunications Standards Institute
(ETSI), nomeadamente o documento ETSI TST 101 456 v1.4.311, disponível em http://www.etsi.org.
10 Uma Entidade Certificadora (CA) é a entidade que, numa rede, emite e gere as credenciais de segurança e as chaves públicas utilizadas na encriptação. Numa PKI, uma CA verifica, junto da Entidade de Registo (RA), a informação fornecida pelo requerente de um certificado digital. Se a RA verificar com sucesso a informação fornecida, então a CA pode emitir o certificado digital. 11 http://www.t-systems-zert.com/pdf/bas_03_kri/etsi1.pdf
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 25 de 53
7. MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA
O modelo de Identificação de um Cidadão perante as Entidades da Administração Pública
apresentado neste documento tem por base o pressuposto da utilização do Cartão de Cidadão
como meio essencial neste processo. Neste procedimento entre o Cidadão e a Entidade onde este
se pretende identificar são utilizados os diferentes mecanismos existentes no Cartão de Cidadão
consoante o tipo de Canal utilizado e o nível de segurança protocolado.
Fornecedor de Autenticação
(Cartão de Cidadão)
Canal TelefónicoCanal Presencial
(Forças de Segurança)Canal Web
PKI
(Cartão de Cidadão)EMV-CAP
(Cartão de Cidadão)
Cidadão
Cartão de Cidadão
Identificação(Certificado D
igital)
Identifica
ção (MatchOnCard) Id
entificação (One-Time-Password)
Canal Presencial
(Atendimento Público)
Identif icação (Cer tificado Digital)
Integração
Sistemas da AP
Identificação (Certificado Digital)
Figura 7-1 – Modelo de referência para Identificação Electrónica do Cidadão perante a Administração Pública
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 26 de 53
É objectivo desta secção apresentar os mecanismos contidos no Cartão de Cidadão utilizados no
processo de identificação e autenticação do Cidadão. Posteriormente são expostos diferentes
métodos de identificação passíveis de aplicação por parte das Entidades interessadas.
7.1. Cartão de Cidadão
O Cartão de Cidadão é um documento físico e electrónico que permite a identificação de cidadãos
de nacionalidade portuguesa ou brasileira, desde que ao Abrigo do Tratado de Porto Seguro,
através de diversos canais de comunicação com a Administração Pública e Entidades Privadas.
Suporta interacções presenciais físicas e electrónicas, assim como interacções não presenciais,
garantindo, sempre que possível, equivalência ao nível da segurança e de valor legal com os meios
tradicionais de identificação presencial.
O Cartão de Cidadão apresenta-se como um certificado de cidadania assumindo a forma dupla de
um documento físico, que identifica visual e presencialmente o cidadão, e documento digital, que
permite ao cidadão identificar se e autenticar-se electronicamente nos actos em que intervenha
perante Entidades públicas e privadas.
No âmbito do presente documento é analisada com maior detalhe a componente electrónica do
Cartão de Cidadão, residente no chip, que disponibiliza as funcionalidades necessárias para a
identificação electrónica dos cidadãos de forma segura.
De acordo com o modelo de referencia definido para a Identificação Electrónica, assume-se que os
mecanismos de autenticação electrónica do Cartão de Cidadão devem ser utilizados como meio
preferencial de identificação electrónica segura na Administração Pública, nos diversos canais não
presenciais, para o universo de possíveis titulares deste documento.
Ainda de acordo com o actual modelo de referência, todos os canais não presenciais de interacção
com a Administração Pública que necessitem de autenticação electrónica segura devem permitir
sempre a autenticação através do Cartão de Cidadão, sem prejuízo da manutenção de formas
alternativas de autenticação segura ou do estabelecimento de relações de confiança ou
associações entre as diversas formas de identificação existentes.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 27 de 53
Efectuando o elo com os conceitos expostos na secção anterior, o Cartão de Cidadão materializa
um Smart Card onde está contido um conjunto de mecanismos de identificação/autenticação
segura, nomeadamente:
• Certificado de autenticação protegido por PIN;
• Certificado para a assinatura digital protegido por PIN;
• Mecanismo de Match-on-Card, que permite a validação dos dados biométricos do titular
(impressões digitais) de forma segura;
• Mecanismo de geração de OTP (One-Time-Password) segundo a norma EMV-CAP12.
Para além dos mecanismos técnicos mencionados, o Cartão de Cidadão cumpre com as normas
de segurança exigidas pela legislação e normas Internacionais para um documento de identificação
físico e electrónico de elevada segurança.
7.1.1. Certificados Digitais do Cartão de Cidadão
Conforme definido no modelo de dados do Cartão de Cidadão, encontram-se armazenados no chip
do cartão os seguintes certificados e chaves criptográficas:
� Certificados de entidades:
o Certificado público da Root CA13 Estado – incluído no circuito integrado do cartão,
acessível do exterior para permitir validar offline certificados de CA’s subordinadas14;
o Certificado público da CA do Cidadão – incluído no circuito integrado do cartão,
acessível do exterior para permitir validar offline assinatura digital de dados
armazenados no cartão;
o Certificado público da sub-CA do Cidadão emissora de certificados de autenticação
do cidadão – incluído no circuito integrado do cartão, acessível do exterior para
permitir validar offline certificados de autenticação do cidadão;
12 https://emvcap.com/EMV_Go_CAP.pdf 13 Certificate authority ou Entidade Certificadora. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas 14 Encontra-se em detalhe no capítulo 7.2 – Fornecedor de Autenticação do Cartão de Cidadão as CA´s subordinadas associadas ao Cartão de Cidadão
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 28 de 53
o Certificado público da sub-CA do Cidadão emissora de certificados de assinatura
digital qualificada do cidadão – incluído no circuito integrado do cartão, acessível do
exterior para permitir validar offline certificados de assinatura do cidadão.
� Chaves criptográficas do cartão:
o Chave privada do Cartão (1024 bit) – incluída no circuito integrado do cartão, não
acessível do exterior, destina-se a permitir comunicação segura entre o cartão (chip)
e aplicações externas;
o Chave pública do Cartão (1024 bit) armazenada em certificado de formato CVC15 –
incluída no circuito integrado do cartão, acessível do exterior, destina-se a permitir
comunicação segura entre o cartão (chip) e aplicações externas.
� Chaves do Cidadão para autenticação segura:
o Chave privada de autenticação do Cidadão (1024 bit) – incluída no circuito integrado
do cartão, não acessível do exterior;
o Chave pública de autenticação do Cidadão (1024 bit), incluída em certificado público
do Cidadão em formato X.509v3 – incluída no circuito integrado do cartão, acessível
do exterior para leitura.
� Chaves do Cidadão para assinatura electrónica qualificada:
o Chave privada de assinatura digital do Cidadão (1024 bit) – incluída no circuito
integrado do cartão, não acessível do exterior;
o Chave pública de assinatura digital do Cidadão (1024 bit), incluída em certificado
público do Cidadão em formato X.509v3 – incluída no circuito integrado do cartão,
acessível do exterior.
Os certificados digitais do cidadão seguem o perfil de certificado definido pelas normas PKIX (RFC
2459)16, conforme recomendado no CWA 15264-117.
15 Country Verifying Certificate. 16 http://www.ietf.org/rfc/rfc2459.txt 17 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 29 de 53
Estes certificados são compostos por três componentes:
� Algoritmo de assinatura do certificado;
� Valor da assinatura do certificado (assinatura digital do corpo do certificado);
� Corpo do certificado18.
Nos cenários de utilização dos certificados do cidadão, estes interagem com Terceiras Entidades
(isto é, no âmbito do modelo de certificação, entidades para além do próprio cidadão e da PKI).
Estes cenários são dos seguintes tipos:
� Realização e validação de assinaturas digitais: um cidadão gera uma assinatura digital
qualificada, utilizando o seu cartão como meio seguro de geração, e uma entidade terceira
(a qual pode ser um outro cidadão ou uma organização) recorre aos serviços de PKI para
verificar a validade do certificado utilizado pelo cidadão (seja por meio de mecanismos de
CRL19 ou OCSP20);
� Autenticação on-line utilizando certificado digital: um cidadão autentica-se num serviço on-
line, utilizando para o efeito o seu certificado de autenticação. Neste caso, a entidade que
verifica a autenticação do cidadão deve igualmente verificar a validade do certificado
utilizado, utilizando os mecanismos adequados (CRL ou OCSP).
7.1.1.1. Certificado de Autenticação
Existe no Cartão de Cidadão uma funcionalidade que permite autenticar o cidadão on-line perante
um serviço ou Entidade da Administração Pública ou Privada, utilizando certificados digitais.
Previamente à autenticação do cidadão, este deve confirmar a sua identidade, inserindo o seu PIN.
O papel do Cartão de Cidadão é o de uma ferramenta criptográfica, que fornece a funcionalidade
necessária a um computador pessoal ou sistema. Nomeadamente, é responsável pela geração de
uma assinatura digital no âmbito de um protocolo de autenticação baseado em mecanismos de
challenge/response.
18 Ver detalhe nos quadros apresentados no anexo 10.2 – Anexo II – Atributos do Certificado do Cartão de Cidadão 19 Certificate Revocation List. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas 20 On-line Certificate Status Protocol. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 30 de 53
O par de chaves utilizado para a autenticação on-line é o corresponde às Chaves do Cidadão
para autenticação segura anteriormente referido, que é dedicado a esta funcionalidade, não
sendo o mesmo que é utilizado para a geração de assinaturas digitais qualificadas, nem para a
autenticação de dispositivos.
Deve ser utilizado o algoritmo criptográfico RSA para implementação desta funcionalidade. A
implementação e estrutura desta funcionalidade devem estar de acordo com a norma CWA 14890-
221 e CEN/TS 15480 (em draft).
7.1.1.2. Certificado de Assinatura Digital
Esta mecanismo destina-se a permitir a geração de assinaturas digitais qualificadas, de acordo
com as normas legais nacionais em vigor, a directiva 1999/93/EC22 da União Europeia, de
Dezembro de 1999, para assinaturas digitais, e em conformidade com as orientações actualmente
existentes, publicadas pelo CEN para um futuro Cartão de Cidadão europeu (CWA 1526423, CWA
14890 e CEN/TS 15480 – em draft).
O par de chaves utilizado para a assinatura digital é o corresponde às Chaves do Cidadão para
assinatura electrónica qualificada anteriormente referido, que é dedicado exclusivamente a este
procedimento, não sendo o mesmo que é utilizado para a autenticação de dispositivos.
No início de uma operação de assinatura digital qualificada deve ser sempre introduzido o PIN
respectivo.
A mensagem ou documento a ser assinado é processado por uma função de dispersão (hash
function), sendo que a última iteração da função é realizada forçosamente no Cartão de Cidadão. A
função de dispersão a utilizar não deve ser vulnerável contra ataques criptográficos existentes.
21 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14890-02-2004-May.pdf 22 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:PT:PDF 23 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 31 de 53
De seguida o Cartão de Cidadão deve utilizar a chave privada do cidadão, reservada para a
assinatura digital qualificada, para assinar o resultado da função de dispersão, utilizando o
algoritmo criptográfico RSA, e retornar o resultado.
7.1.2. Identificação através do método de Match-On-Card
O Cartão de Cidadão tem associado um mecanismo de validação biométrico denominado Match-
On-Card, que permite confirmar a identidade do cidadão presencialmente, sem necessidade de
possuir qualquer comunicação com sistemas centrais, através da recolha das impressões digitais
do cidadão, e comparação com as residentes no chip do Cartão de Cidadão.
A aplicação é composta por um sistema de armazenamento seguro dos templates de duas
impressões digitais, e por um componente de reconhecimento da impressão digital, directamente
no chip do cartão.
O Match-On-Card existente no Cartão de Cidadão cumpre a norma NISTIR 652924 – Common
Biometric Exchange File Format (CBEFF), o que permite a compatibilidade e interoperabilidade
com as diferentes máquinas de recolha de impressões digitais, bem como a troca de informação
biométrica entre diversos sistemas.
7.1.3. Identificação através de One-Time-Password – OTP (EMV-CAP)
O Cartão de Cidadão possui um mecanismo de geração de OTP através de EMV-CAP que permite
a identificação inequívoca e autenticação do cidadão em ambientes onde não existam
infra-estruturas de comunicação on-line (por exemplo, em cenários de comunicação telefónica ou
quando não exista um leitor de cartões adequado à autenticação por certificado digital).
Para o efeito, o Cartão de Cidadão possui uma funcionalidade que permite autenticar o cidadão
através de um mecanismo de challenge/response e de um dispositivo de autenticação offline (leitor
de cartões desconectado). A interacção do Cartão de Cidadão com este dispositivo gera uma OTP,
24 http://csrc.nist.gov/publications/nistir/NISTIR6529A.pdf
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 32 de 53
representada por uma sequência de 7 algarismos (após introdução com sucesso do PIN do
cidadão).
Estes mecanismos encontram-se implementados no Cartão de Cidadão e seguem as
especificações EMV 4.125 e MasterCard Chip Authentication Program (CAP).
Esta aplicação é inter operável com os leitores de cartões indicados pelas entidades bancárias
portuguesas para uso pelos seus clientes (e.g. SIBS), sendo possível realizar a autenticação
multicanal utilizando o Cartão de Cidadão e qualquer um destes leitores. Segundo a tabela de AIDs
existente na SIBS a referente ao Cartão de Cidadão é 604632FF000001.
7.2. Fornecedor de Autenticação do Cartão de Cidadão
O Fornecedor de Autenticação tem como função proporcionar um mecanismo aberto e comum para
que qualquer Cidadão interaja com uma Entidade, como um Portal ou outro sistema, se possa
autenticar dispondo ainda de um mecanismo de transporte da prova dessa autenticação.
Deste modo, a Entidade com a qual o Cidadão pretende interagir efectua um pedido de
autenticação acompanhado pelas credencias para serem verificadas pelo Fornecedor de
Autenticação e, em resposta, este emite um token de segurança (Token SAML26) com a identidade
do Cidadão que faz prova da sua autenticação no Fornecedor de Autenticação.
Trata-se assim do estabelecimento de um nível de confiança com base nos processos, nas
tecnologias e métodos de autenticação, cuja utilização é suportada pelos mecanismos de
autorização dos serviços com o intuito de identificar as operações que o utilizador tem permissão
para fazer.
A invocação ao Fornecedor de Autenticação é efectuada utilizando os certificados digitais contidos
no Cartão de Cidadão.
25 http://www.emvco.com/specifications.aspx?id=61 26 http://www.oasis-open.org/committees/download.php/16768/wss-v1.1-spec-os-SAMLTokenProfile.pdf
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 33 de 53
7.3. Infra-estrutura de Chave Pública do Cartão de Cidadão
Para permitir a emissão de certificados digitais válidos para o Cartão de Cidadão, foi implementada,
na PKI do Cartão de Cidadão27, a cadeia de confiança de CA representada na figura seguinte.
Figura 7-2 – Hierarquia de CA do Estado e de CA do Cartão de Cidadão
A CA do “Cartão de Cidadão” é reconhecida e certificada pela CA Raiz do Estado português, que
por sua ver é reconhecida pela CA raiz, através da seguinte cadeia de confiança:
� Certificado Raiz do Estado português (ECRaizEstado) – certificado cuja função é
estabelecer a raiz da cadeia de confiança da infra-estrutura de chaves públicas (PKI). Esta
EC não emite certificados para utilizadores finais, emitindo apenas certificados para assinar
as Entidades Certificadoras do Estado. Este certificado assina-se a si próprio;
� Certificado da CA do Cartão de Cidadão – certificado emitido pela CA Raiz do Estado
(ECRaizEstado) para a CA “Cartão de Cidadão”. CA que se encontram a este nível são
conferidos a entidades que se encontram no nível imediatamente abaixo da EC Raiz, sendo
27 Para maior detalhe consultar http://www.scee.gov.pt/ecee/pt/
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 34 de 53
a sua função principal providenciar a gestão de serviços de certificação: emissão, operação,
suspensão, revogação para os seus subscritores.
Para além dos certificados de autenticação e de assinatura digital do titular do Cartão de Cidadão,
a CA do “Cartão de Cidadão” assume as funções de emissão de outros certificados específicos do
documento, nomeadamente:
� Emissão de certificado para assinatura digital de dados colocados no chip do Cartão de
Cidadão (a utilizar pela entidade certificadora dos dados colocados no cartão – document
signer de dados);
� Emissão de certificado para assinatura digital de chaves dos chips de cartões do cidadão,
para suportar mecanismos de active authentication entre o cartão e terminais externos (a
utilizar pela entidade personalizadora – document signer de chaves de chips);
� Emissão de certificado para assinatura digital de respostas do serviço de OCSP;
� Emissão de certificado para assinatura digital de respostas do serviço de timestamping;
� Assinatura de certificados das sub-entidades certificadoras (Sub-CA) do Cartão de Cidadão
(que emitem certificados dos cidadãos e certificados de chaves públicas de sistemas
informáticos de Organismos, para controlo de acessos privilegiados na comunicação com
os cartões emitidos).
No âmbito do presente documento, aconselha-se a consulta das políticas associadas aos
certificados (Certificate Policies e Certification Practice Statements), CA e sub-CA do Cartão de
Cidadão, que seguem as normas definidas pela legislação e regulamentação nacional para
credenciação de uma Entidade Certificadora e que se encontram disponíveis em
http://pki.cartaodecidadao.pt/.
A Infra-estrutura de chave pública (Public Key Infrastructure – PKI) do Cartão de Cidadão suporta
as funcionalidades de identificação digital baseadas nos certificados presentes no Cartão de
Cidadão e emitidos para o titular do documento.
A PKI do Cartão de Cidadão desempenha um papel na identificação digital de titulares deste
documento desde a personalização pois, aquando do pedido de Cartão de Cidadão, é a CA da PKI
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 35 de 53
do Cartão de Cidadão quem gera os certificados digitais do titular que são inseridos no chip do
novo documento: certificado de autenticação on-line e certificado de assinatura digital qualificada.
Após a emissão dos certificados dos titulares do Catão de Cidadão, o papel da PKI é o de publicar
informação sobre os certificados que não devem ser considerados válidos. Um certificado é por
definição válido, desde que assinado pelo certificado de emissão válido para a CA do Cidadão, a
menos que esteja ultrapassada a sua data de expiração ou que esteja explicitamente identificado
pela PKI como suspenso ou revogado.
A PKI do Cartão de Cidadão enquadra-se no Sistema de Certificação Electrónica do Estado,
introduzido pelo Decreto-Lei 116-A/200628 de 16 de Junho;
7.4. Serviços de Apoio à Verificação
Nesta secção são apresentados os serviços e métodos existentes para a efectuar a
identificação/autenticação de um Cidadão perante uma entidade segundo a utilização dos
mecanismos existentes no Cartão de Cidadão.
7.4.1. Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão
A PKI é responsável por prestar os seguintes serviços de apoio à utilização do Cartão de
Cidadão no âmbito do suporte à verificação da validade dos certificados digitais:
• Certificate Revocation Lists (CRL) – Após a emissão dos certificados, a CA da PKI é
responsável por colocar os novos certificados nas Certificate Revocation List29 (CRL)
apropriadas (CRL de certificados de autenticação e CRL de certificado de assinatura
digital), no estado “on Hold”, até receber indicação de que Cartão foi entregue e os
28 https://www.incm.pt/actos/docs/DL116_A.pdf 29 CRL – lista que contém certificados emitidos por determinada CA e que não se encontram activos, ou seja no estado de suspensos ou de revogados.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 36 de 53
certificados activados, situação em que os certificados são retirados da CRL30. Caso o
Cartão não seja entregue ao titular, a CA recebe informação para revogar os certificados,
sendo o seu estado actualizado para “Revoked” nas CRL correspondentes.
Aquando da renovação de um Cartão de Cidadão, é enviada à CA da PKI a indicação de
que deve revogar os certificados do Cartão anterior, o que é reflectivo na CRL
correspondente.
As CRL do Cartão de Cidadão são actualizadas periodicamente, tipicamente de sete em
sete dias, e encontram-se disponíveis nos endereços indicados na tabela seguinte (também
se encontram no próprio certificado nos atributos “CRL Distribution Points”):
Tipo de Certificado Endereço das CRL dos Certificados de Autenticação31
Certificado de
Autenticação –
Teste
http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl
Certificado de
Autenticação –
Produção
http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl
Certificado de
Assinatura Digital –
Testes
http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl
Certificado de
Assinatura Digital –
Produção
http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl
Tabela 7.1 – URL das CRL dos Certificados Digitais do Cartão de Cidadão
Entre as actualizações das CRL, as actualizações à lista dos certificados que não se
encontram activos são publicadas em Delta CRL (ou DCRL), que são actualizadas
diariamente. Os endereços onde se encontram publicadas as Delta CRL do Cartão de
30 Nota: aquando da entrega com sucesso do Cartão de Cidadão, o certificado de autenticação é sempre activado. No entanto, a activação do certificado de assinatura digital qualificada é opcional. 31 Nos endereços apresentados os valores de XXXX correspondem ao código do ano de referência: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 37 de 53
Cidadão encontram-se na tabela seguinte (também se encontram no próprio certificado nos
atributos “Delta CRL Distribution Point”)
Tipo de
Certificado Endereço das Delta CRL dos Certificados de Autenticação32
Certificado de
Autenticação –
Teste
http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl
Certificado de
Autenticação –
Produção
http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl
Certificado de
Assinatura Digital
– Testes
http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX_delta.crl
Certificado de
Assinatura Digital
– Produção
http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl
Tabela 7.2 – URL das Delta CRL dos Certificados Digitais do Cartão de Cidadão
As CRL e Delta-CRL da PKI do Cartão de Cidadão seguem todos requisitos da norma X.50933.
Nomeadamente, a existência do atributo “Next update” que indica a data e hora em que é
disponibilizada a nova CRL ou Delta CRL.
• On-line Certificate Status Protocol (OCSP) – O serviço OCSP permite que fornecedores
de serviços electrónicos ou de aplicações que utilizem os certificados digitais do Cartão de
Cidadão determinem o estado de um determinado certificado (certificado de autenticação ou
certificado de assinatura digital).
Trata-se de um serviço actualizado com maior regularidade que as CRL ou Delta CRL,
fornecendo por isso informação mais actualizada, e que permite obter mais informações
sobre o estado de um certificado, ao invés da CRL e Delta CRL que disponibilizam apenas
32 Nos endereços apresentados os valores de XXXX correspondem ao código do ano de referência: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente. 33 Para a documentação completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 38 de 53
o estado dos certificados que não se encontram activos. As suas respostas baseiam-se na
versão mais actualizada do repositório de certificados emitidos e incluem um timestamp
assinado digitalmente.
O endereço onde se encontram publicado o serviço OCSP do Cartão de Cidadão encontra-
se na tabela seguinte (também se encontra no próprio certificado nos atributos “Authority
Info Access”)
Tipo de Certificado Endereço do serviço OCSP dos Certificados Digitais do Cartão de Cidadão
Todos – Produção http://ocsp.auc.cartaodecidadao.pt/publico/ocsp
Todos – Teste http://ocsp.auc.teste.cartaodecidadao.pt/publico/ocsp
Tabela 7.3 – URL do serviço OCSP dos Certificados Digitais do Cartão de Cidadão
Para mais informações sobre o serviço OCSP da PKI do Cartão de Cidadão, recomenda-se
a consulta dos documentos “Política de Certificados de Validação on-line OCSP emitidos
pela EC AuC”, disponível em http://pki.cartaodecidadao.pt/ e do RFC 256034, que especifica
os dados a trocar entre o fornecedor do serviço e o serviço de OCSP para verificação do
estado de um certificado.
A PKI do Cartão de Cidadão publica as CRL, Delta CRL e disponibiliza o OCSP. No entanto, a
verificação da validade do certificado é da responsabilidade do fornecedor do serviço electrónico
que utiliza identificação baseada nos certificados do Cartão de Cidadão.
Assim, os fornecedores de serviços não devem aceitar como válido um certificado de Cartão de
Cidadão até confirmarem o seu estado através de um dos serviços disponibilizados pela PKI do
Cartão de Cidadão.
34 Para a documentação completa do RFC 2560, consultar http://www.ietf.org/rfc/rfc2560.txt.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 39 de 53
7.4.2. Verificação através do método de Match-On-Card
A verificação através de Match-On-Card, é efectuada na presença do cidadão, mas sem
necessidade de ligação a qualquer outro sistema. Os métodos de comparação e reconhecimento
estão embebidos no chip do Cartão de Cidadão, o que significa que todo o processo é efectuado
de forma segura.
O processo de verificação é efectuado recorrendo a um leitor biométrico de impressões digitais
com interface para cartões smart card, onde é introduzido o Cartão de Cidadão, e recolhida uma
impressão digital. O template criado com a impressão digital recolhida é então enviado para a
aplicação Match-On-Card, onde é efectuada a comparação com o template armazenado no Cartão
de Cidadão, e devolvido o resultado dessa validação (identificação positiva ou negativa).
Este processo de verificação é extremamente rápido, e sendo efectuado num ambiente isolado
(leitor e cartão), evita a transferência de informação sensível para sistemas externos, sendo que os
templates das impressões digitais não são extraíveis do Cartão de Cidadão, e o template recolhido
no leitor é somente enviado directamente para o Cartão de Cidadão introduzido.
O Match-On-Card é uma funcionalidade de utilização possível também na gestão de acesso a
instalações, com o Cartão de Cidadão, apesar de neste momento não estar prevista esta utilização
na Administração Pública.
7.4.3. Serviços a Disponibilizar
O modelo definido para a PKI do Cartão de Cidadão prevê a existência dos serviços que se listam
abaixo mas que ainda não se encontram disponíveis:
• Serviço EMV-CAP – permite verificação de One-Time-Passwords geradas pelas aplicações
do chip do Cartão de Cidadão.
• Serviço de timestamping – trata-se de um serviço para apoio à verificação, realização e
verificação de assinaturas digitais.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 40 de 53
A PKI do Cartão de Cidadão prevê disponibilizar um serviço de marca de data e hora
electrónica, que permite assinar digests de documentos (ou qualquer ficheiro electrónico),
incluindo nesta assinatura de forma não repudiável a data e hora desta assinatura.
• Emissão e gestão de certificados digitais para Entidades Públicas – trata-se de um
conjunto de serviços de emissão, gestão e apoio à validação de certificados com pares de
chaves públicas/privadas, para Entidades Públicas previamente autorizadas e para
situações previstas na lei.
Estes certificados que permitem a realização de operações específicas sobre os dados do
Cartão de Cidadão como, por exemplo, a leitura de dados do chip sem introdução de PIN
por autoridades policiais ou judiciárias em situações previstas na lei35.
Existe uma CA ou sub-CA que emite certificados para estas chaves, os quais permitem aos
cartões do cidadão verificar se um dado sistema e Entidade foram certificados como
possuidores de privilégios associados a um determinado role id incluído no certificado.
Este mecanismo permite que o chip restrinja o acesso a determinados dados ou aplicações,
garantindo o cumprimento das regras de controlo de acessos à informação residente no
chip do cartão.
35 Lei n.º 7/2007, de 5 de Fevereiro
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 41 de 53
8. NORMAS & ESPECIFICAÇÕES TÉCNICAS
Nesta secção são apresentadas as recomendações técnicas para cada um dos tipos de verificação
referidos anteriormente.
8.1. Certificados digitais de Autenticação
Descrição Especificação Recomendação
Tipo de Certificados Digitais X.509 v3 Obrigatório
Protocolo de comunicação de suporte
com segurança Web HTTPS Obrigatório
Segurança de integridade e
confidencialidade da comunicação Web WS-Security Recomendado
Standards para a troca de
autenticações e autorizações entre
domínios seguros
SAML Token Profile Recomendado
Validação de Certificados
CRL
OCSP
Obrigatório
Recomendado
8.2. Certificados digitais de Assinatura electrónica
Descrição Especificação Recomendação
Tipo de Certificados Digitais X.509 v3 Obrigatório
Validação de Certificados CRL Obrigatório
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 42 de 53
Descrição Especificação Recomendação
OCSP Recomendado
8.3. Match-on-Card
Descrição Especificação Recomendação
Aplicação para verificação biométrica
de impressões digitais Match-On-Card Obrigatório
A aplicação da classificação das recomendações indicadas nas tabelas anteriores devem ser
interpretadas da seguinte forma36:
� Obrigatório: indica que o objecto, conceito, especificação ou standard com esta
classificação deve ser obrigatoriamente aplicado, sendo que as Entidades que não o
implementem e utilizem se encontram em infracção;
� Recomendado: indica que o objecto, conceito, especificação ou standard com esta
classificação deve passar a ser aplicado, devendo as Entidades tomar as medidas
necessárias para a sua implementação e utilização, considerando que assumirá carácter
obrigatório futuramente, de acordo com um período transitório a especificar
� Opcional – indica que objecto, conceito, especificação ou standard com esta classificação é
de aplicação opcional. No entanto, se for necessário comunicar ou integrar dados com
aplicações ou sistemas que suportem a opção, deve ser permitida a intercomunicação,
mesmo que com algumas funcionalidades limitadas.
36 Os adjectivos “Opcional”, “Recomendado”, “Obrigatório” correspondem às key words definidas no RFC 2119 (http://www.ietf.org/rfc/rfc2119.txt)
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 43 de 53
9. EXEMPLO
De modo a clarificar a execução desta normas/recomendações é apresentado um exemplo de
implementação de um sistema de autenticação e identificação dos cidadãos através do Cartão de
Cidadão.
A Entidade A, que corresponde a um Organismo Público, disponibiliza diversos serviços ao cidadão
através do seu portal na Internet bem como através de uma linha de atendimento. Após ter sido
efectuada uma auditoria à qualidade dos serviços fornecidos pela Entidade A, foram detectadas
diversas situações de falha no acesso aos sistemas, nomeadamente foi permitido o acesso à
alteração de informação confidencial de diversos cidadãos por utilizadores que não estavam
autorizados a tal. Concluiu-se que a origem desta situação foi a apropriação indevida das
credencias de acesso ao sistema desses cidadãos por parte de hackers.
Sendo esta uma situação grave, a Entidade A decidiu que tinha que aumentar a nível de segurança
de acesso aos sistemas. Para tal, informou-se junto da AMA sobre quais as recomendações que
teria que adoptar.
A Entidade A numa primeira fase consultou as tabelas com os métodos de
identificação/autenticação segundo canal de atendimento, e definiu que devido ao facto da
informação por si gerida poder ser acedida e alterada pelos cidadãos teriam que implementar a
Autenticação com Certificado Digital do Cartão de Cidadão para o seu portal.
Seguidamente a Entidade A teve que proceder à alteração no servidor que suporta o portal de
modo a este suportar a autenticação através de utilização do Cartão de Cidadão. As tarefas
associadas a esta alteração foram as seguintes37:
� Configurar o servidor para ligações SSL – foi necessário obter um certificado para o site em
questão e proceder à sua instalação no servidor web, de modo a ser possível estabelecer
comunicações seguras entre o servidor e as aplicações clientes. Este certificado foi obtido
junto da CA (Certificate Authority), entidade externa que é responsável pela emissão e
gestão dos certificados do cartão;
37 Para maior detalhe aconselha-se a leitura do manual de Autenticação com o Cartão de Cidadão disponibilizado no Portal de Cidadão - http://www.cartaodecidadao.pt/images/stories/Manual%20Autenticacao%20com%20Cartao%20de%20Cidadao_%20v1.7
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 44 de 53
� Configurar o servidor para aceitar certificados de clientes – neste passo configurou-se o
servidor de modo a este efectuar o pedido ao cliente de um certificado digital;
� Configurar o servidor para pedir e aceitar o certificado do Cartão de Cidadão – os servidores
estavam apenas preparados para pedir e aceitar certificados clientes que fossem emitidos
pelo seu LDAP. Teve que se configurar o servidor de modo a ele aceitar igualmente
certificados emitidos pela CA (Certification Authority);
� Validação aplicacional do certificado – De forma a garantir que só são aceites certificados
presentes nos Cartões de Cidadão, o código desenvolvido para autenticação, teve que
validar um conjunto de parâmetros presentes no certificado, de forma a garantir a origem do
certificado;
� Validação de validade do certificado – A última validação é efectuada pela entidade
emissora do certificado, de modo a garantir que o certificado não foi revogado, tendo sido
utilizado o método CRL (Certificate Revocation List).
Após terem sido implementadas a alteração ao servidor foram efectuados testes integrados de
forma a assegurar o correcto funcionamento do sistema tendo por base uma matriz de testes
definidos à priori. Com o sucesso destes testes o sistema encontra-se em condições para
disponibilização em ambiente real.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 45 de 53
10. ANEXOS
10.1. Anexo I – Termos e Abreviaturas
Neste capítulo são apresentados e descritos os acrónimos utilizados no documento.
Termo/abreviatura Descrição
CA Certificate authority ou Entidade Certificadora. Trata-se da autoridade que, numa rede, emite e
gere as credenciais de segurança e as chaves públicas utilizadas para encriptação.
CRL Certificate Revocation List – lista que contém certificados emitidos por determinada CA e que não
se consideram válidos, apesar de estarem dentro do prazo de validade.
EMV-CAP Europay, MasterCards, Visa – Chip Authentication Program.
Hash
Sequência de bits gerada por um algoritmo de dispersão, em geral representada em base
hexadecimal, que permite a visualização em letras (A a F) e números, representando 2 bytes cada.
O conceito teórico diz que "hash é a transformação de uma grande quantidade de informações em
uma pequena quantidade de informações".
Hashing Hashing é a transformação de uma sequência de caracteres em uma sequência de caracteres
curta e única, geralmente de comprimento fixo.
IAS Acrónimo de Identification, Authentication, Signature que consiste num standard europeu para a
identificação, autenticação e assinatura electrónica.
LDAP Lightweight Directory Access Protocol – protocolo e modelo de informação, sobre TCP/IP, que
permite procurar e manipular informações num servidor.
Match-on-Card Técnica que consiste em validar os dados internamente no cartão através de software embebido
no próprio cartão.
MD5 Acrónimo de Message-Digest algorithm 5. É um algoritmo de hash de 128 bits unidireccional
desenvolvido pela RSA Data Security.
OCSP On-line Certificate Status Protocol – Serviço que permite consultar informações sobre o estado de
determinado certificado digital.
OTP Acrónimo de One-Time-Password que significa palavra-chave única no tempo.
PKI Public Key Infrastructure, infra-estrutura de chave pública.
SHA-1 É um algoritmo de hash.
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 46 de 53
Termo/abreviatura Descrição
SHA-256 É um algoritmo de hash.
Smart Card Pode ser traduzido para “cartão inteligente”, tipicamente caracterizado por possuir um chip
embebido com capacidades de processamento e armazenamento de informação.
SSO Single Sign-On – mecanismo de identificação e autenticação em vários recursos através de um
único passo.
Token Dispositivo físico electrónico destinado a autenticar o acesso de um utilizador a determinados
recursos informáticos (computadores, redes, serviços).
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 47 de 53
10.2. Anexo II – Atributos do Certificado do Cartão de Cidadão
O quadro seguinte sistematiza os atributos que os certificados do cidadão deverão possuir, no caso
dos certificados para autenticação on-line.
Atributo Descrição Exemplo Atributos X.509v1 version Deve indicar X.509V3. 3 serialNumber Nº de série único do certificado,
sequencial, a atribuir pela CA (assegurar que mudança de CA mantém unicidade do nº)
04 00 00 00 00 00 f3 00 72 c4 a7
signature Algoritmo – SHA-1 ou SHA-256 para geração do hash e RSA para assinatura do hash
sha1RSA
issuer Distinguished name da entidade emissora. Deve permitir identificar a CA de forma única, incluindo referência ao tipo de CA (no caso do Cartão de Cidadão, se emite certificados para autenticação ou assinatura).
CN = Cartão de Cidadão – CA Autenticação 0001, OU = Autenticação do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT
validity Data de emissão e data limite de validade do certificado.
notBefore = 20061230120000Z notAfter = 20111229120000Z
subject Distinguished name do cidadão detentor do certificado. Deve permitir identificar o cidadão de forma unívoca, recorrendo ao uso do atributo Serial Number, OID 2.5.4.5. Este atributo deve conter um código de identificação de tipo de documento e o nº do documento (ex. BI123456789). Adicionalmente, o campo CN deve concatenar o nome próprio (G) e apelidos (S) do cidadão, juntamente com um indicador da finalidade do certificado (Autenticação ou Assinatura).
SN = BI123456789, G = Ana Luísa, S = Costa, CN = Ana Luísa Costa (Authentication), OU = Autenticação do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT
subjectPublicKeyInfo subjectPublicKeyAlgorithm Descrição do algoritmo de
geração da chave. RSA (1024 Bits)
subjectPublicKeyValue Chave pública de assinatura digital do cidadão.
30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 48 de 53
Atributo Descrição Exemplo 4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e
Extensões X.509v3 Subject Directory Attributes (extensão não crítica)
Permite adicionar informação pessoal do cidadão, nomeadamente a sua data de nascimento. Esta extensão não faz parte do CWA 15264.
Subject Directory Attributes: dateOfBirth = 19501102120000Z
Key Usage (extensão crítica)
Identificação das utilizações a que se destina o certificado do cidadão. No caso do certificado para autenticação on-line, apenas deve seleccionar-se a função de “Digital Signature”.
Digital Signature = 1 Non Repudiation = 0 Key Encipherment = 0 Data Encipherment = 0 (...)
Netscape Certificate Type (extensão não crítica)
Destinado a limitar o uso do certificado. Deve seleccionar-se apenas as funções “SSL Client Authentication” e “S/MIME”.
SSL Client Authentication = 1 SSL Server Authentication = 0 S/MIME = 1 (...)
Certificate Policies (extensão não crítica)
Para as políticas de certificação da CA, URL onde podem ser obtidas.
Certificate Policy: Policy Identifier=0.3.2062.9.6.1.31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier ="http://www.cartaodocidadao.pt/public/pol/cc_ca_aut_cps_001.html"
Authority Key Identifier (extensão não crítica)
Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado público correspondente).
Par “subject / nº de série do certificado público” da entidade emissora usado para assinar o certificado do cidadão OU hash calculado a partir desse certificado público
CRL Distribution Points (extensão não crítica)
URL’s de Distribution Points (endereços de acesso à CRL em que o certificado é colocado, se revogado).
Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_a
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 49 de 53
Atributo Descrição Exemplo ut_crl_00000010.crl
Freshest CRL (extensão não crítica)
URL de Delta CRL’s. Esta extensão não faz parte do CWA 15264.
Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_aut_crl_00000010_delta.crl
Authority Information Access (extensão não crítica)
URL para certificado público da CA emissora
Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocidadao.pt/public/cert/cc_ca_aut_0001.crt
URL para serviço de OCSP (on-line certificate status protocol).
Access Method = On-line Certificate Status Protocol Alternative Name: URL = http://www.cartaodocidadao.pt/public/serv/ocsp
Subject Alternative Name Contém uma representação em
formato Base64, de uma string que contém:
� Nº Identificação Civil, cifrado
com uma chave pública do
Ministério da Justiça
� Nº Identificação Fiscal,
cifrado com uma chave
pública do Ministério das
Finanças e Administração
Pública
� Nº Identificação de
Segurança Social, cifrado
com uma chave pública do
Ministério do Trabalho e da
Segurança Social
� Nº Utente de Saúde, cifrado
CPvLj0u3IwwawPWaWNSpESsmqr600OLTAMSnk3u+rdZTQGgiwAt5hj34monxCF8S ISaxtCBMm13anfnSNlBjVPMj8ZyuYgKLkbbgVQfOq4tIC5FE5vhy6ItWe/Hochd/ 6abx7OfM/NJmSoADF3oZlcVm3okqU7s/lnnAKHdMyq0=:n6Bh3+V7Gs7jSPgyG7PHGEb46SOna4wgKKUsox/rVA+SC4WpY2eZ0ARi0ctsW+Jy xpeYmaYAMWUipmte8+243uIoaJx4FO+9IQjAr0qgiWFUKUTDxsu6Xyd8Qu6hz05y rErmI+oLPq7LR3LbY+U2lsT1Wv3bleg+Akklf3eInl4=:DJxiwAul2y1wkamxoX57Ffqsb9EsVOZQ01mYH3G5OgavQOnsAGe9owER2TIyyNZD eGxN8zr98Nz+MEBIrQ0tL7/7uRt6FkAxeCVhrEw7hMFdKssjJ7ZO5mceaGb73NFL
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 50 de 53
Atributo Descrição Exemplo
com uma chave pública do
Ministério da Saúde Deve ser utilizado o separador “:” entre as representações Base64 dos campos cifrados.
u8Rm5TcaRuKd3AoPMOYHQ0jPZyFXqm+3RGCtkq40Jyk=:oL1cFe2MoTEAc1A40OvSQTyRX0YtYk40+E4kPoibj7ZS47Yng3NgpNvPkT278WW2 ZRjrK/8JxtYmxHKwm1s3zFK7COARZvRaQejE4+JNEMxCd+02bCFKJT/m8mKBu1+h ZUr/rtvQu8Y/51jjm72EeqUAEFfBXd8bhhhnTIvP6Mk=
Atributos para certificado de autenticação – cidadão
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 51 de 53
O quadro seguinte sistematiza os atributos que os certificados do cidadão deverão possuir, no caso
dos certificados para assinatura digital qualificada.
Atributo Descrição Exemplo
Atributos X.509v1 Version Deve indicar X.509V3. 3 serialNumber Nº de série único, sequencial, a
atribuir pela CA (assegurar que mudança de CA mantém unicidade do nº)
04 00 00 00 00 00 f3 00 72 c4 a7
Signature Algoritmo – SHA-1 para geração do hash e RSA para assinatura do hash
sha1RSA
Issuer Distinguished name da entidade emissora. Deve permitir identificar a CA de forma única, incluindo referência ao tipo de CA (no caso do Cartão de Cidadão, se emite certificados para autenticação ou assinatura).
CN = Cartão de Cidadão – CA AssinaturaQ 0001, OU = Assinatura Digital Qualificada do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT
Validity Data de emissão e data limite de validade do certificado.
notBefore = 20061230120000Z notAfter = 20111229120000Z
Subject Distinguished name do cidadão detentor do certificado. Deve permitir identificar o cidadão de forma unívoca, recorrendo ao uso do campo Serial Number, OID 2.5.4.5. Adicionalmente, o campo CN deve concatenar o nome próprio (G) e apelidos (S) do cidadão, juntamente com um indicador da finalidade do certificado (Autenticação ou Assinatura).
SN = BI123456789, G = Ana Luísa, S = Costa, CN = Ana Luísa Costa (Signature), OU = Assinatura Qualificada do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT
subjectPublicKeyInfo subjectPublicKeyAlgorithm Descrição do algoritmo de
geração da chave. RSA (1024 Bits)
subjectPublicKeyValue Chave pública de assinatura digital do cidadão.
30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18 4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e
Extensões X.509v3 Subject Directory Attributes (extensão não crítica)
Permite adicionar informação Subject Directory Attributes:
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 52 de 53
Atributo Descrição Exemplo pessoal do cidadão, nomeadamente a sua data de nascimento. Esta extensão não faz parte do CWA 15264.
dateOfBirth = 19501102120000Z
Key Usage (extensão crítica)
Identificação das utilizações a que se destina o certificado do cidadão. No caso do certificado para assinatura digital qualificada, apenas deve seleccionar-se a função de “Non Repudiation”.
Digital Signature = 1 Non Repudiation = 1 Key Encipherment = 0 Data Encipherment = 0 (…)
Netscape Certificate Type (extensão não crítica)
Destinado a limitar o uso do certificado. Deve seleccionar-se apenas a função “S/MIME”.
SSL Client Authentication = 0 SSL Server Authentication = 0 S/MIME = 1 (...)
Certificate Policies (extensão não crítica)
Para as políticas de certificação da CA, URL onde podem ser obtidas.
Certificate Policy: Policy Identifier=0.3.2062.9.6.1.31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier = http://www.cartaodocidadao.pt/public/pol/cc_ca_assq_cps_001.html
Authority Key Identifier (extensão não crítica)
Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado público correspondente).
Par “subject / nº de série do certificado público” da entidade emissora usado para assinar o certificado do cidadão OU hash calculado a partir desse certificado público
CRL Distribution Points (extensão não crítica)
URL’s de Distribution Points (endereços de acesso à CRL a que o certificado fica associado, se revogado).
Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_assq_crl_00000010.crl
Freshest CRL (extensão não crítica)
URL de Delta CRL’s. Esta extensão não faz parte do CWA 15264.
Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_assq_crl_00000010_delta.crl
Qualified Certificate Statement (extensão não crítica)
Definido pelo CWA 15264 e ETSI TS 101 862, identifica as declarações específicas associadas a certificados digitais qualificados.
qcStatement = {id-etsi-qcs 1}
Authority Information Access (extensão não crítica)
URL para certificado público da CA emissora
Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocidadao.pt/p
Guia para a Autenticação e Assinatura
Electrónica
Guia para a Autenticação e Assinatura Electrónica_v09.doc
Página 53 de 53
Atributo Descrição Exemplo ublic/cert/cc_ca_assq_0001.crt
URL para serviço de OCSP (on-line certificate status protocol).
Access Method = On-line Certificate Status Protocol Alternative Name: URL = http://www.cartaodocidadao.pt/public/serv/ocsp
Atributos para certificado de assinatura digital qualificada – cidadão