guia identificaÇÃo electrÓnica - secretaria geral - início · guia para a autenticação e...

Agência para a Modernização Administrativa, IP Rua Abranches Ferrão n.º 10, 3º G 1600-001 LISBOA

email: [email protected] | telefone: 21 723 12 00 | fax: 21 723 12 20 | www.ama.pt

GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA

versão 0.9 25 de Maio de 2009

Guia para a Autenticação e Assinatura

Electrónica

Guia para a Autenticação e Assinatura Electrónica_v09.doc

Página 2 de 53

Folha de Controlo

Nome do Documento: Guia para a Autenticação e Assinatura Electrónica

Evolução do Documento

Versão Autor Data Comentários

0.9 AMA 25-05-2009 Versão inicial para discussão pública.

Documentos Relacionados

Nome do documento Tipo Documento Descrição

Controlo de Aprovações

Entidade Nomes Data


Electrónica


Página 3 de 53

Índice

1. RESUMO EXECUTIVO .............................................................................................................................. 4

2. ÂMBITO ...................................................................................................................................................... 5

2.1. OBJECTIVO ........................................................................................................................................... 5

2.2. ABRANGÊNCIA ...................................................................................................................................... 5

2.3. APLICABILIDADE & REGULAMENTAÇÃO ................................................................................................... 5

3. ENQUADRAMENTO ................................................................................................................................ 12

4. ESTRUTURA DO DOCUMENTO ............................................................................................................ 14

5. METODOLOGIA DE UTILIZAÇÃO .......................................................................................................... 15

6. CONCEITOS E CONSIDERAÇÕES GERAIS ......................................................................................... 17

6.1. MÉTODOS DE IDENTIFICAÇÃO/AUTENTICAÇÃO ELECTRÓNICA ................................................................ 17

6.1.1. Utilizador e Palavra-Chave ....................................................................................................... 17

6.1.2. Token de Autenticação ............................................................................................................. 18

6.1.3. Certificado Digital não Qualificado............................................................................................ 19

6.1.4. Assinatura Electrónica/Certificado Digital Qualificado ............................................................. 20

6.1.5. Dados biométricos .................................................................................................................... 21

6.2. SMART CARDS .................................................................................................................................... 22

6.3. SINGLE SIGN ON ................................................................................................................................. 22

6.4. INFRA-ESTRUTURA DE CHAVE PÚBLICA ................................................................................................ 23

7. MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA ................................................ 25

7.1. CARTÃO DE CIDADÃO .......................................................................................................................... 26

7.1.1. Certificados Digitais do Cartão de Cidadão .............................................................................. 27

7.1.2. Identificação através do método de Match-On-Card ................................................................ 31

7.1.3. Identificação através de One-Time-Password – OTP (EMV-CAP) .......................................... 31

7.2. FORNECEDOR DE AUTENTICAÇÃO DO CARTÃO DE CIDADÃO .................................................................. 32

7.3. INFRA-ESTRUTURA DE CHAVE PÚBLICA DO CARTÃO DE CIDADÃO .......................................................... 33

7.4. SERVIÇOS DE APOIO À VERIFICAÇÃO .................................................................................................... 35

7.4.1. Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão ................... 35

7.4.2. Verificação através do método de Match-On-Card .................................................................. 39

7.4.3. Serviços a Disponibilizar ........................................................................................................... 39

8. NORMAS & ESPECIFICAÇÕES TÉCNICAS .......................................................................................... 41

8.1. CERTIFICADOS DIGITAIS DE AUTENTICAÇÃO .......................................................................................... 41

8.2. CERTIFICADOS DIGITAIS DE ASSINATURA ELECTRÓNICA ......................................................................... 41

8.3. MATCH-ON-CARD ................................................................................................................................ 42

9. EXEMPLO ................................................................................................................................................ 43

10. ANEXOS ................................................................................................................................................... 45

10.1. ANEXO I – TERMOS E ABREVIATURAS ................................................................................................... 45

10.2. ANEXO II – ATRIBUTOS DO CERTIFICADO DO CARTÃO DE CIDADÃO ........................................................ 47


Electrónica


Página 4 de 53

1. RESUMO EXECUTIVO

Este documento tem por objectivo apresentar as linhas orientadoras para a identificação e

autenticação de um Cidadão ou Empresa perante as Entidades da Administração Pública. Neste

âmbito, são detalhados os conceitos de identificação e autenticação e assumido como pressuposto

fundamental a utilização do Cartão de Cidadão enquanto mecanismo essencial neste processo de

identificação/autorização do Cidadão.

São focados em abstracto conceitos e considerações relativamente aos métodos de

identificação/autenticação electrónica existentes, nomeadamente:

� Utilizador e Palavra-Chave;

� Token de Autenticação;

� Certificado Digital não Qualificado;

� Assinatura Electrónica/ Certificado Digital Qualificado;

� Dados biométricos.

Em maior detalhe, são apresentados os mecanismos para identificação do Cidadão existentes no

Cartão de Cidadão e efectuada a sua associação com os conceitos anteriormente expostos, bem

como os serviços de apoio à verificação dos mesmos. Deste modo, os mecanismos existentes no

Cartão de Cidadão são:

� Certificados Digitais que abrangem dois modelos: Certificados de Autenticação e

Certificados de Assinatura Electrónica;

� Identificação através do método de Match-on-Card;

� Identificação através do método de One-Time Password.

São ainda apresentadas recomendações e directrizes para a selecção do(s) método(s) de

autenticação a empregar segundo o canal de atendimento utilizado pela Entidade interessada.

Associadas a esta selecção são referidas as normas e especificações técnicas a assegurar para a

correcta utilização dos processos escolhidos.

Por fim é apresentado um quadro com os Termos e Abreviaturas referidas ao longo deste Guia.


Electrónica


Página 5 de 53

2. ÂMBITO

2.1. Objectivo

Com a rápida expansão dos serviços electrónicos disponibilizados pelos Organismos da

Administração Pública e com a consolidação do Cartão de Cidadão como principal documento

identificador dos cidadãos nacionais torna-se premente regulamentar sobre as normas a aplicar na

identificação e autenticação electrónica. Alinhado a este facto encontram-se as recomendações

efectuadas pela União Europeia sobre a necessidade de definir regras relativamente à Assinatura

Digital de documentos no espaço Europeu.

É objectivo deste guia ir ao encontro da solução destas problemáticas e regulamentar normas e

recomendações neste âmbito a serem aplicadas pelos Organismos da Administração Pública.

2.2. Abrangência

As normas aqui apresentadas referem-se à identificação electrónica dos cidadãos perante os

Organismos da Administração Pública.

2.3. Aplicabilidade & Regulamentação

Em termos de aplicabilidade das normas e recomendações apresentadas foi definido o seguinte:

� Estas normas apresentam carácter vinculativo para os Organismos da Administração

Pública, sendo que são fortemente recomendadas para as restantes Entidades Privadas;

� São vinculativas para novos serviços e sistemas que venham a ser implementados. Nestes

casos é obrigatória a existência exclusiva de mecanismos de autenticação e identificação

através do Cartão de Cidadão;


Electrónica


Página 6 de 53

� São vinculativas para os serviços e sistemas actuais, onde estes têm que ser adaptados de

modo a englobar mecanismos de autenticação e identificação através do Cartão de

Cidadão. Serão definidos os prazos para estas adaptações serem efectuadas. Para os

serviços e sistemas existentes, os actuais métodos de identificação podem-se manter em

funcionamento em paralelo com os mecanismos a implementar para o Cartão de Cidadão.

São agora expostos os métodos a implementar por canal de atendimento. Recomenda-se a

utilização de um dos métodos ou a combinação de um ou mais métodos tendo em conta os vários

canais de atendimento que uma Entidade disponibiliza ao Cidadão/Empresa e o nível de segurança

que pretende dar à informação ou ao serviço.

A definição dos níveis de segurança deve ter em conta os impactos que podem surgir devido à

apropriação indevida da identidade de uma pessoa no acesso à informação ou ao serviço,

nomeadamente:

• Perda de integridade;

• Perda de disponibilidade;

• Perda de confidencialidade;

• Risco da segurança pessoal;

• Perda financeira.

Quanto mais severas forem as consequências desta apropriação indevida e do acesso à

informação ou ao serviço, maior deve ser o nível de segurança a aplicar para as transacções a

efectuar, tendo em conta os vários riscos associados, nomeadamente:

• Falsificação de identidade;

• Roubo do token de acesso;

• Roubo da identidade real;

• Intercepção ou revelação de informação secreta de autenticação;

• Registo de informação secreta de autenticação em sistemas não confiáveis;

• Uso não autorizado do token de acesso;


Electrónica


Página 7 de 53

• Uso de uma credencial comprometida;

• Uso de uma credencial alterada/modificada;

• Uso de uma credencial para um intuito indevido;

• Invalidação de uma credencial sem uma causa válida;

• Uso fraudulento de uma credencial;

• Ataque de um hacker;

• Registo disperso da informação.

Tendo em conta os vários impactos e riscos descritos e de acordo com as politicas de segurança

existentes nesta área, podem ser definidos quatro níveis de criticidade no acesso à informação e

serviços disponibilizados:

• Nível 1 – acesso a informação e a serviços do âmbito público;

• Nível 2 – acesso a informação e a serviços do âmbito público, onde se assume que

possa ocorrer algum dano para a Organização, sem nunca comprometer as entidades

(cidadãos/empresas) que a Organização serve;

• Nível 3 – acesso de leitura a informação e a elegibilidade de serviços do âmbito privado

de uma determinada entidade (cidadão/empresa);

• Nível 4 – acesso de alteração da informação e execução de serviços do âmbito privado

de uma determinada entidade (cidadão/empresa).


Electrónica


Página 8 de 53

As tabelas seguintes descrevem as recomendações e obrigações para as Entidades da

Administração Pública na utilização de cada um dos métodos de identificação/autenticação em

cada um dos canais, tendo em conta o nível de criticidade da informação/serviços acedidos, com a

seguinte nomenclatura:

• Interdito – Método de autenticação que não poderá, em caso algum, ser usado para o nível

de criticidade da informação/serviço em causa;

• Não Recomendado – Método de autenticação não aconselhado para nível de criticidade da

informação/serviço em causa. A sua utilização poderá por em causa o nível de segurança

da informação ou serviço, podendo o organismo ser responsabilizado por esse facto;

• Recomendado – Método de autenticação que poderá ser usado para nível de criticidade da

informação/serviço em causa;

• Obrigatório – Método de autenticação que terá de ser usado para nível de criticidade da

informação/serviço em causa;

• Opcional – Método de autenticação que poderá alternativamente (ao recomendado) ser

usado para nível de criticidade da informação/serviço em causa. A sua utilização não sendo

obrigatória, poderá ser usada para assegurar um nível de segurança no acesso à

informação ou serviço similar;

• Não Aplicável – Método de autenticação não aplicável para o nível de criticidade da

informação/serviço em causa.


Electrónica


Página 9 de 53

Métodos de Autenticação para o canal presencial

Nível de criticidade da informação/serviços

Método de

Identificação Nível 1 Nível 2 Nível 3 Nível 4

Comparação visual de fotografia titular recomendado obrigatório obrigatório obrigatório

Assinatura Digital do Cartão de Cidadão

não recomendado

não recomendado Opcional Opcional

On-Time-Password do Cartão de Cidadão

não recomendado

não recomendado Opcional Opcional

Autenticação com Certificado Digital do Cartão de Cidadão

não recomendado opcional Opcional Opcional

Match-On-Card do Cartão de Cidadão

não recomendado

não recomendado opcional Opcional

Utilizador e Palavra Chave

não recomendado opcional interdito interdito

Métodos de Autenticação para o canal telefónico

Nível de segurança de identificação/autenticação

Método de


Assinatura Digital do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável

On-Time-Password do Cartão de Cidadão opcional opcional recomendado obrigatório


não aplicável não aplicável não aplicável não aplicável






Electrónica


Página 10 de 53

Métodos de Autenticação para o canal web (sites)

Nível de segurança de identificação/autenticação

Método de


Assinatura Digital do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável

On-Time-Password do Cartão de Cidadão opcional opcional opcional opcional


opcional opcional recomendado obrigatório


não recomendado

não recomendado

não recomendado

não recomendado


opcional opcional não recomendado interdito

Métodos de Autenticação de funcionários em Sistemas de Informação


Método de


Assinatura Digital do Cartão de Cidadão opcional opcional opcional recomendado

On-Time-Password do Cartão de Cidadão opcional opcional opcional opcional


opcional opcional recomendado obrigatório

Match-On-Card do Cartão de Cidadão opcional opcional opcional opcional


opcional opcional interdito interdito


Electrónica


Página 11 de 53

Métodos de Assinatura de Documentos e Transacções


Método de


Assinatura Digital do Cartão de Cidadão obrigatório obrigatório obrigatório obrigatório

On-Time-Password do Cartão de Cidadão não aplicável não aplicável não aplicável não aplicável








Electrónica


Página 12 de 53

3. ENQUADRAMENTO

No âmbito da modernização da Administração Pública particularmente na interacção entre os seus

Organismos e o Cidadão, a identificação electrónica é um dos alicerces da administração

electrónica, pois permite identificar e autenticar de forma electrónica os Cidadãos e Empresas

perante a Administração Pública, potenciando dessa forma a utilização de serviços electrónicos.

Para identificar e autenticar um dado Cidadão é necessário responder às seguintes questões:

• Quem é a pessoa que se pretende identificar e autenticar?

• Como saber que a pessoa é quem diz ser?

De forma a responder a estas questões, a identificação electrónica disponibiliza os seguintes

mecanismos:

• Identificação: responde à primeira questão e consiste em determinar a identidade de um

Cidadão com base num atributo ou conjunto de atributos de diferentes origens;

• Autenticação: responde à segunda questão e consiste em garantir que a identidade

fornecida por um determinado Cidadão pertence a esse Cidadão.

Através da utilização conjunta destes dois mecanismos, garante-se a identidade do Cidadão para o

acesso e execução de serviços, electrónicos ou físicos, consoante o canal de atendimento.

No presente introduziram-se vários mecanismos de suporte à identificação e autenticação

electrónica de um Cidadão descrevendo os conceitos técnicos associados a cada um deles.

Este documento tem como principal audiência as diversas entidades da Administração Pública que

pretendam utilizar os mecanismos de identificação electrónica dos Cidadãos. Contudo, o âmbito da

mesma estende-se ao sector privado, pelo que a informação aqui apresentada também deve servir


Electrónica


Página 13 de 53

como uma referência para as entidades privadas que pretendam utilizar os serviços de

identificação electrónica disponibilizados pela Administração Pública.


Electrónica


Página 14 de 53

4. ESTRUTURA DO DOCUMENTO

O documento de Guia para a Identificação Electrónica encontra-se nos próximos capítulos

estruturado em:

• Metodologia de utilização: apresenta a forma de aplicação e utilização do documento,

enumerando um conjunto de critérios que devem ser considerados na utilização dos

métodos de identificação electrónica apresentados no âmbito deste documento;

• Conceitos e Considerações Gerais: descreve vários conceitos e considerações gerais na

área da identificação e assinatura electrónica, que devem ser do conhecimento da entidade

que pretende utilizar o documento;

• Modelo de referência: anuncia um modelo de referência de um sistema desta natureza,

onde são apresentados os métodos de identificação electrónica mais recorrentes;

• Recomendações: enumera um conjunto de referências e recomendações que devem ser

consideradas para a aplicação do conteúdo do documento e para a continuidade e evolução

do mesmo, servindo de complemento à metodologia de utilização, conceitos e

considerações gerais e ao próprio modelo de referência;

• Especificações Técnicas: apresenta um conjunto de standards técnicos que devem ser

aplicados para dar suporte aos mecanismos enunciados no modelo de referência;

• Anexos: conjunto de referências a informação auxiliar que complementam o documento.


Electrónica


Página 15 de 53

5. METODOLOGIA DE UTILIZAÇÃO

Para identificação/autenticação de um Cidadão perante uma Entidade, da Administração Pública,

existem vários métodos de autenticação que se encontram classificados em três grupos:

• Algo que o Cidadão sabe: neste grupo encontram-se os métodos de autenticação que se

baseiam em algo que a Cidadão conhece ou sabe, como por exemplo uma palavra-chave,

um número único de identificação (PIN) ou uma frase de segurança;

• Algo que o Cidadão tem: neste grupo encontram-se os métodos de autenticação que se

baseiam em algo que o Cidadão possui, como por exemplo um token de segurança, um

certificado digital ou smartcard;

• Algo que o Cidadão é: neste grupo encontram-se os métodos de autenticação que se

baseiam em informação biométrica do Cidadão, como por exemplo a sua impressão digital,

o padrão da sua retina, o padrão da sua voz ou a sua forma de escrever.

Apesar de cada um dos métodos fornecer as capacidades para identificação e autenticação de um

determinado Cidadão, o nível de segurança associado a cada um dos níveis varia, pelo que a

escolha de qual o método a utilizar deve ter em conta o nível de segurança que se pretende ter.

Contudo, por vezes, a utilização de apenas um método de autenticação não fornece o nível de

segurança necessária, pelo que a combinação de vários métodos de autenticação é uma das

formas de fortalecer a segurança dos processos de identificação e autenticação. A aplicação de

cada método depende do nível de segurança que se pretende ter no processo de autenticação de

uma determinada entidade.

Tal como descrito anteriormente, os vários métodos de identificação/autenticação oferecem níveis

de segurança que se encontram classificados nos seguintes grupos:


Electrónica


Página 16 de 53

• Fraco: métodos de identificação/autenticação em que os níveis de segurança oferecidos

estão dependentes apenas do conhecimento de uma determinada entidade e do sigilo

daquilo que esta conhece e que é utilizado para se autenticar;

• Forte: métodos de identificação/autenticação em que os níveis de segurança oferecidos

não dependem somente do conhecimento de uma determinada entidade mas que também

depende de alguma característica sua ou de algo que ela possui. Tipicamente os métodos

de autenticação forte combinam dois ou mais métodos de autenticação.

Assim sendo, no âmbito de cada projecto de implementação na área da Identificação Electrónica,

cabe à Entidade determinar quais os mecanismos e os requisitos que considera como obrigatórios

e quais os que considera como opcionais, considerando o indicado no capítulo de Aplicabilidade &

Regulamentação1 onde é apresentada a matriz de utilização de cada um dos métodos por canal de

interacção com o Cidadão classificados por nível de segurança.

1 Para maior detalhe consultar capítulo 2.3 - Aplicabilidade & Regulamentação


Electrónica


Página 17 de 53

6. CONCEITOS E CONSIDERAÇÕES GERAIS

Neste capítulo são apresentados os métodos de Identificação/Autenticação electrónica existentes,

sendo efectuada uma explicação acerca do seu funcionamento bem como a sua classificação

segundo o nível de segurança a ele associado.

6.1. Métodos de Identificação/Autenticação Electrónica

A presente secção descreve os vários métodos de identificação/autenticação electrónica

existentes. Para cada método é apresentada uma explicação do seu modo de funcionamento e dos

mecanismos de suporte envolvidos.

6.1.1. Utilizador e Palavra-Chave

Método de identificação que se baseia no princípio de que o utilizador e a Entidade que fornece o

serviço ou recurso possuem conhecimento mútuo de uma palavra-chave estática (que pode ser um

palavra, um número ou uma frase) que o utilizador deve fornecer em conjunto com um ou mais

dados de identificação não confidenciais (exemplo: nome de utilizador) à Entidade, sempre que

pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar

se a palavra-chave fornecida é igual à palavra-chave que conhece.

O nível de segurança deste mecanismo de autenticação dependente de vários factores como o

sigilo, a complexidade e a possibilidade de a palavra-chave poder ser adivinhada e/ou calculada

por outros que não o utilizador.

6.1.1.1. Personal Identification Number (PIN)

Um caso particular da autenticação por “Palavra-Chave” é a utilização de um Personal Identification

Number (PIN). Este método de identificação baseia-se no princípio de que o utilizador e a Entidade

que fornece o serviço ou recurso possuem conhecimento mútuo de um número que o utilizador


Electrónica


Página 18 de 53

deve fornecer à Organização em conjunto com um ou mais dados de identificação não

confidenciais (exemplo: nome de utilizador), sempre que pretender aceder a recursos desta. Para

validar a identidade do utilizador, a Entidade deve verificar se a número fornecido é igual ao

número que conhece, para os dados de identificação conhecidos.

O nível de segurança deste mecanismo de autenticação está dependente de vários factores como

o sigilo, a complexidade e a possibilidade de o número poder ser adivinhado e/ou calculado por

outros que não o utilizador.

6.1.2. Token de Autenticação

Método de autenticação que consiste, tipicamente na utilização dois factores2 ou chaves para a

identificação do utilizador para além dos dados de identificação não confidenciais (exemplo: nome

de utilizador): uma palavra-chave estática e uma palavra-chave dinâmica (chave), esta última

gerada por um mecanismo externo (token) na posse do utilizador.

A palavra-chave dinâmica obtém-se através de um dispositivo de autenticação autónomo – o token

– que armazena chaves, ou possui a capacidade de gerar/calcular uma chave única no tempo (One

Time Password – OTP), que é utilizada no processo de autenticação, ou tem capacidade de

participar em esquemas de challenge/response com o servidor de autenticação. Geralmente o

token necessita da inserção de uma palavra-chave estática para produzir a chave dinâmica.

Por questões de segurança, recomenda-se que a transmissão da chave dinâmica obtida através do

token seja efectuada através de um meio de comunicação seguro (por exemplo, uma ligação SSL).

Sempre que pretender aceder aos recursos de uma Entidade, o utilizador deve fornecer os dados

de identificação não confidenciais (exemplo: nome de utilizador) e a chave dinâmica, sendo esta

2 Os métodos baseados em dois factores de identificação/autenticação utilizam uma combinação de dois elementos entre os seguintes: algo que o utilizador é (por exemplo: validação de íris ou impressão digital), algo que o utilizador tem (por exemplo: um gerador de tokens), algo que o utilizador sabe (por exemplo: uma palavra-chave). Trata-se de um método mais seguro do que métodos baseados apenas em algo que o utilizador sabe, como a identificação/autenticação por palavra-chave.


Electrónica


Página 19 de 53

obtida através do token após a inserção da palavra-chave estática neste dispositivo. Por seu turno,

a Entidade deve verificar se a chave dinâmica fornecida é válida para o utilizador em questão.

O nível de segurança do método de autenticação por token gerador de chaves dinâmicas depende

do grau de complexidade do token utilizado, como por exemplo o tipo de criptografia aplicado.

6.1.3. Certificado Digital não Qualificado

Um certificado digital de chave pública não qualificado, doravante designado por certificado digital,

é um documento electrónico que funciona como credencial, relacionando uma chave pública com a

identidade de uma Entidade, Pessoa ou Organização. Trata-se de uma credencial electrónica

emitida por uma Entidade de Certificação fidedigna e que contém a informação necessária para

identificar e autenticar uma determinada Entidade (Pessoa ou Organização) perante outra.

Para além da credencial, o certificado digital possui um par de chaves criptográficas:

• Chave privada: chave do conhecimento do detentor do certificado digital e pode ser

utilizada para cifrar dados e/ou para assinar digitalmente documentos electrónicos;

• Chave pública: chave conhecida e comunicada às Entidades com as quais o detentor do

certificado se pretende relacionar e que é utilizada para decifrar dados e/ou validar a

assinatura digital de documentos electrónicos. A chave pública é associada aos atributos

que identificam o detentor do certificado.

Quando o detentor do certificado pretender aceder aos recursos de uma Entidade, deve fornecer-

lhe o seu certificado digital, sendo a Entidade que disponibiliza os recursos responsável por

verificar se o certificado fornecido é válido junto da Entidade Emissora do Certificado.


Electrónica


Página 20 de 53

Actualmente o nível de segurança deste método de autenticação pode ser considerado como

seguro quando a Entidade Certificadora é reconhecida pelos seus participantes como uma entidade

fidedigna, tal como numa Infra-estrutura de Chave Pública (PKI)3.

6.1.4. Assinatura Electrónica/Certificado Digital Qualificado

Uma assinatura electrónica pode ser definida como um processo de criptografia electrónico

recorrendo a um par de chaves, tipicamente contidas num certificado digital, através do qual é

gerada uma sequencia de bytes cujo valor não tem significado fora do contexto de um algoritmo

especifico e que acompanha o documento assinado como anexo. A assinatura do documento

implica uma aprovação dos termos e/ou de um documento electrónico pelo signatário, de forma

análoga a uma assinatura física tradicional.

Para além destas características, a assinatura electrónica de um documento assegura a

integridade do mesmo, ou seja, assegura que o documento não foi alterado desde que foi

assinado, bem como a não repudiação do documento, ou seja, garante que o documento foi

assinado pelo signatário cuja assinatura consta no documento.

A assinatura digital baseia-se em dois processos criptográficos que recorrem às chaves

criptográficas e dos algoritmos de hashing:

• Resumo criptográfico do documento a enviar (hash) – A geração do resumo criptográfico do

documento consiste na aplicação de algoritmos de hashing ao documento, como MD54,

SHA-15, SHA-2566, que o reduzem a um resumo de dimensão constante;

• A cifra do resumo.

Associado a uma assinatura electrónica existem sempre dois procedimentos a considerar:

3 Para mais informações sobre PKI, consultar a secção 6.4 deste documento 4 http://www.ietf.org/rfc/rfc1321.txt 5 http://www.ietf.org/rfc/rfc3174.txt


Electrónica


Página 21 de 53

• Geração da assinatura – Procedimento segundo o qual o signatário produz a sequência de

bytes (assinatura) a partir do documento e de informação secreta ou privada (a chave

privada). Este procedimento deve assegurar as propriedades requeridas para a assinatura:

autenticidade, integridade e não repudiação do documento;

• Verificação da assinatura – Procedimento segundo o qual o destinatário do documento

assinado consegue assegurar-se de que a sequência de bytes que recebe como assinatura

é um valor válido, gerado pelo signatário para esse fim.

Actualmente o nível de segurança deste método de identificação e autenticação pode ser

considerado como seguro quando a Entidade que emite o certificado que dá suporte à assinatura

digital é reconhecida pelos seus participantes como uma entidade fidedigna7.

6.1.5. Dados biométricos

A identificação e autenticação através de dados biométricos baseia-se nas características humanas

de uma pessoa como a impressão digital, voz, face, íris, entre outras, considerando que essas

características são únicas.

Para a utilização deste método de autenticação, a Entidade que fornece os seus recursos deve

efectuar previamente a recolha dos dados biométricos que pretende utilizar para identificar o

utilizador.

Quando o utilizador pretender aceder aos recursos da Entidade, deve permitir a obtenção dos seus

dados biométricos pela Entidade, que deve verificar se os dados fornecidos são iguais aos dados

recolhidos anteriormente.

6 http://tools.ietf.org/html/draft-ietf-dnsext-ds-sha256-05 7 A assinatura digital tem o valor legal conferido pela lei, nomeadamente no Decreto-Lei nº 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei nº 62/2003, de 3 de Abril e alterado pelos Decretos-Lei nºs 165/2004, de 6 de Julho e 116-A/2006, de 16 de Junho


Electrónica


Página 22 de 53

Dependo da característica humana que é utilizada para a identificação, actualmente este método

de autenticação pode ser considerado como um método de identificação seguro, dependendo da

verificação presencial da pessoa que se pretende identificar e autenticar.

6.2. Smart Cards

Os smart cards são o suporte físico (em formato de cartões) para a informação utilizada para

alguns dos métodos de autenticação referidos anteriormente, nomeadamente a autenticação

através de token, certificados digitais ou dados biométricos.

Este tipo de cartões possui o hardware e o software necessário para a realização de operações

importantes na área de identificação electrónica, nomeadamente:

• Guardar e aceder de forma segura os certificados digitais, fornecendo as capacidades

necessárias para autenticação através de certificados digitais;

• Guardar e validar de forma segura os dados biométricos, fornecendo as capacidades

necessárias para a autenticação através de dados biométricos;

• Gerar chaves únicas, fornecendo as capacidades necessárias para a autenticação através

de tokens;

• Assinar e cifrar documentos em formato digital, utilizando os certificados digitais contidos no

cartão, fornecendo as capacidades necessárias para assinatura electrónica de documentos.

Tal como referido anteriormente, a combinação de mais que um método de autenticação permite

fortalecer a segurança do acto de autenticação.

6.3. Single Sign On

O mecanismo de Single Sign On (SSO) é o mecanismo através do qual, numa única acção de

identificação e autenticação, permite a um utilizador adquirir acesso a vários recursos


Electrónica


Página 23 de 53

(computadores, sistemas, serviços, informações) que requerem identificação e respectiva

autenticação e para os quais o utilizador tem permissões de acesso, sem que seja necessário

repetir a acção de identificação e/ou autenticação para cada recurso específico.

Com este mecanismo, a identificação e autenticação do utilizador é efectuada numa única

entidade, designada por entidade fornecedora de autenticação ou servidor de autenticação, o qual

emite um certificado de autenticação8, após a identificação e autenticação do cidadão através de

métodos de identificação electrónica com nível de segurança adequado ao tipo de recursos a que

pretende aceder.

As credenciais indicadas pelo utilizador nunca saem da entidade fornecedora de autenticação. Ao

invés, todos os recursos a que o utilizador pode aceder utilizando SSO devem confiar na entidade

fornecedora de autenticação e no certificado por ela emitido, validando-o sempre que o utilizador

pretenda interagir com cada um dos recursos.

6.4. Infra-estrutura de Chave Pública

Uma infra-estrutura de chave pública – PKI ou public key infrastructure – é o conjunto formado pela

arquitectura, organização, técnicas, práticas, procedimentos e serviços que, no seu todo, suporta a

implementação, fornecimento e gestão de certificados X.5099 para criptografia de chave pública.

Estes certificados identificam o indivíduo a quem o certificado diz respeito e ligam-na a um

determinado par de chaves pública/privada.

Uma infra-estrutura de chave pública é composta por quatro componentes fundamentais:

8 Nota: os fornecedores de autenticação podem emitir diferentes tipos de artefactos que permitam a cada um dos recursos identificar e autenticar o utilizador: certificado de autenticação ou certificados X.509, token ou ticket one-time passord, token ou ticket baseados em criptografia (kerberos), cookies. No âmbito do presente documento são considerados apenas os certificados de autenticação. 9 Para a documentação completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.


Electrónica


Página 24 de 53

• A entidade certificadora10 – Certificate Authority ou CA – que é responsável pela emissão e

validação de certificados digitais;

• Entidade de registo – Registration Authority ou RA – que dá suporte à entidade

certificadora, efectuando as validações prévias necessárias para a emissão de certificados

digitais;

• Um ou mais directórios de suporte, que armazenam aos certificados e as respectivas

chaves públicas;

• Um sistema de gestão de certificados.

Para além destes componentes, numa infra-estrutura de chave pública estão incluídas políticas de

organização relacionadas com a utilização de certificados digitais, que documentam as regras de

operação, as politicas de procedimentos e a politica de confiança entre as entidades que operam e

interagem na infra-estrutura.

Para uma compreensão abrangente dos requisitos de uma infra-estrutura de chave pública,

nomeadamente infra-estruturas que operem com certificados de assinatura digital recomenda-se a

consulta das normas e recomendações da European Telecommunications Standards Institute

(ETSI), nomeadamente o documento ETSI TST 101 456 v1.4.311, disponível em http://www.etsi.org.

10 Uma Entidade Certificadora (CA) é a entidade que, numa rede, emite e gere as credenciais de segurança e as chaves públicas utilizadas na encriptação. Numa PKI, uma CA verifica, junto da Entidade de Registo (RA), a informação fornecida pelo requerente de um certificado digital. Se a RA verificar com sucesso a informação fornecida, então a CA pode emitir o certificado digital. 11 http://www.t-systems-zert.com/pdf/bas_03_kri/etsi1.pdf


Electrónica


Página 25 de 53

7. MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA

O modelo de Identificação de um Cidadão perante as Entidades da Administração Pública

apresentado neste documento tem por base o pressuposto da utilização do Cartão de Cidadão

como meio essencial neste processo. Neste procedimento entre o Cidadão e a Entidade onde este

se pretende identificar são utilizados os diferentes mecanismos existentes no Cartão de Cidadão

consoante o tipo de Canal utilizado e o nível de segurança protocolado.

Fornecedor de Autenticação

(Cartão de Cidadão)

Canal TelefónicoCanal Presencial

(Forças de Segurança)Canal Web

PKI

(Cartão de Cidadão)EMV-CAP

(Cartão de Cidadão)

Cidadão

Cartão de Cidadão

Identificação(Certificado D

igital)

Identifica

ção (MatchOnCard) Id

entificação (One-Time-Password)

Canal Presencial

(Atendimento Público)

Identif icação (Cer tificado Digital)

Integração

Sistemas da AP

Identificação (Certificado Digital)

Figura 7-1 – Modelo de referência para Identificação Electrónica do Cidadão perante a Administração Pública


Electrónica


Página 26 de 53

É objectivo desta secção apresentar os mecanismos contidos no Cartão de Cidadão utilizados no

processo de identificação e autenticação do Cidadão. Posteriormente são expostos diferentes

métodos de identificação passíveis de aplicação por parte das Entidades interessadas.

7.1. Cartão de Cidadão

O Cartão de Cidadão é um documento físico e electrónico que permite a identificação de cidadãos

de nacionalidade portuguesa ou brasileira, desde que ao Abrigo do Tratado de Porto Seguro,

através de diversos canais de comunicação com a Administração Pública e Entidades Privadas.

Suporta interacções presenciais físicas e electrónicas, assim como interacções não presenciais,

garantindo, sempre que possível, equivalência ao nível da segurança e de valor legal com os meios

tradicionais de identificação presencial.

O Cartão de Cidadão apresenta-se como um certificado de cidadania assumindo a forma dupla de

um documento físico, que identifica visual e presencialmente o cidadão, e documento digital, que

permite ao cidadão identificar se e autenticar-se electronicamente nos actos em que intervenha

perante Entidades públicas e privadas.

No âmbito do presente documento é analisada com maior detalhe a componente electrónica do

Cartão de Cidadão, residente no chip, que disponibiliza as funcionalidades necessárias para a

identificação electrónica dos cidadãos de forma segura.

De acordo com o modelo de referencia definido para a Identificação Electrónica, assume-se que os

mecanismos de autenticação electrónica do Cartão de Cidadão devem ser utilizados como meio

preferencial de identificação electrónica segura na Administração Pública, nos diversos canais não

presenciais, para o universo de possíveis titulares deste documento.

Ainda de acordo com o actual modelo de referência, todos os canais não presenciais de interacção

com a Administração Pública que necessitem de autenticação electrónica segura devem permitir

sempre a autenticação através do Cartão de Cidadão, sem prejuízo da manutenção de formas

alternativas de autenticação segura ou do estabelecimento de relações de confiança ou

associações entre as diversas formas de identificação existentes.


Electrónica


Página 27 de 53

Efectuando o elo com os conceitos expostos na secção anterior, o Cartão de Cidadão materializa

um Smart Card onde está contido um conjunto de mecanismos de identificação/autenticação

segura, nomeadamente:

• Certificado de autenticação protegido por PIN;

• Certificado para a assinatura digital protegido por PIN;

• Mecanismo de Match-on-Card, que permite a validação dos dados biométricos do titular

(impressões digitais) de forma segura;

• Mecanismo de geração de OTP (One-Time-Password) segundo a norma EMV-CAP12.

Para além dos mecanismos técnicos mencionados, o Cartão de Cidadão cumpre com as normas

de segurança exigidas pela legislação e normas Internacionais para um documento de identificação

físico e electrónico de elevada segurança.

7.1.1. Certificados Digitais do Cartão de Cidadão

Conforme definido no modelo de dados do Cartão de Cidadão, encontram-se armazenados no chip

do cartão os seguintes certificados e chaves criptográficas:

� Certificados de entidades:

o Certificado público da Root CA13 Estado – incluído no circuito integrado do cartão,

acessível do exterior para permitir validar offline certificados de CA’s subordinadas14;

o Certificado público da CA do Cidadão – incluído no circuito integrado do cartão,

acessível do exterior para permitir validar offline assinatura digital de dados

armazenados no cartão;

o Certificado público da sub-CA do Cidadão emissora de certificados de autenticação

do cidadão – incluído no circuito integrado do cartão, acessível do exterior para

permitir validar offline certificados de autenticação do cidadão;

12 https://emvcap.com/EMV_Go_CAP.pdf 13 Certificate authority ou Entidade Certificadora. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas 14 Encontra-se em detalhe no capítulo 7.2 – Fornecedor de Autenticação do Cartão de Cidadão as CA´s subordinadas associadas ao Cartão de Cidadão


Electrónica


Página 28 de 53

o Certificado público da sub-CA do Cidadão emissora de certificados de assinatura

digital qualificada do cidadão – incluído no circuito integrado do cartão, acessível do

exterior para permitir validar offline certificados de assinatura do cidadão.

� Chaves criptográficas do cartão:

o Chave privada do Cartão (1024 bit) – incluída no circuito integrado do cartão, não

acessível do exterior, destina-se a permitir comunicação segura entre o cartão (chip)

e aplicações externas;

o Chave pública do Cartão (1024 bit) armazenada em certificado de formato CVC15 –

incluída no circuito integrado do cartão, acessível do exterior, destina-se a permitir

comunicação segura entre o cartão (chip) e aplicações externas.

� Chaves do Cidadão para autenticação segura:

o Chave privada de autenticação do Cidadão (1024 bit) – incluída no circuito integrado

do cartão, não acessível do exterior;

o Chave pública de autenticação do Cidadão (1024 bit), incluída em certificado público

do Cidadão em formato X.509v3 – incluída no circuito integrado do cartão, acessível

do exterior para leitura.

� Chaves do Cidadão para assinatura electrónica qualificada:

o Chave privada de assinatura digital do Cidadão (1024 bit) – incluída no circuito

integrado do cartão, não acessível do exterior;

o Chave pública de assinatura digital do Cidadão (1024 bit), incluída em certificado

público do Cidadão em formato X.509v3 – incluída no circuito integrado do cartão,

acessível do exterior.

Os certificados digitais do cidadão seguem o perfil de certificado definido pelas normas PKIX (RFC

2459)16, conforme recomendado no CWA 15264-117.

15 Country Verifying Certificate. 16 http://www.ietf.org/rfc/rfc2459.txt 17 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf


Electrónica


Página 29 de 53

Estes certificados são compostos por três componentes:

� Algoritmo de assinatura do certificado;

� Valor da assinatura do certificado (assinatura digital do corpo do certificado);

� Corpo do certificado18.

Nos cenários de utilização dos certificados do cidadão, estes interagem com Terceiras Entidades

(isto é, no âmbito do modelo de certificação, entidades para além do próprio cidadão e da PKI).

Estes cenários são dos seguintes tipos:

� Realização e validação de assinaturas digitais: um cidadão gera uma assinatura digital

qualificada, utilizando o seu cartão como meio seguro de geração, e uma entidade terceira

(a qual pode ser um outro cidadão ou uma organização) recorre aos serviços de PKI para

verificar a validade do certificado utilizado pelo cidadão (seja por meio de mecanismos de

CRL19 ou OCSP20);

� Autenticação on-line utilizando certificado digital: um cidadão autentica-se num serviço on-

line, utilizando para o efeito o seu certificado de autenticação. Neste caso, a entidade que

verifica a autenticação do cidadão deve igualmente verificar a validade do certificado

utilizado, utilizando os mecanismos adequados (CRL ou OCSP).

7.1.1.1. Certificado de Autenticação

Existe no Cartão de Cidadão uma funcionalidade que permite autenticar o cidadão on-line perante

um serviço ou Entidade da Administração Pública ou Privada, utilizando certificados digitais.

Previamente à autenticação do cidadão, este deve confirmar a sua identidade, inserindo o seu PIN.

O papel do Cartão de Cidadão é o de uma ferramenta criptográfica, que fornece a funcionalidade

necessária a um computador pessoal ou sistema. Nomeadamente, é responsável pela geração de

uma assinatura digital no âmbito de um protocolo de autenticação baseado em mecanismos de

challenge/response.

18 Ver detalhe nos quadros apresentados no anexo 10.2 – Anexo II – Atributos do Certificado do Cartão de Cidadão 19 Certificate Revocation List. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas 20 On-line Certificate Status Protocol. Para maior detalhe consultar capítulo 10.1 – Anexo I – Termos e Abreviaturas


Electrónica


Página 30 de 53

O par de chaves utilizado para a autenticação on-line é o corresponde às Chaves do Cidadão

para autenticação segura anteriormente referido, que é dedicado a esta funcionalidade, não

sendo o mesmo que é utilizado para a geração de assinaturas digitais qualificadas, nem para a

autenticação de dispositivos.

Deve ser utilizado o algoritmo criptográfico RSA para implementação desta funcionalidade. A

implementação e estrutura desta funcionalidade devem estar de acordo com a norma CWA 14890-

221 e CEN/TS 15480 (em draft).

7.1.1.2. Certificado de Assinatura Digital

Esta mecanismo destina-se a permitir a geração de assinaturas digitais qualificadas, de acordo

com as normas legais nacionais em vigor, a directiva 1999/93/EC22 da União Europeia, de

Dezembro de 1999, para assinaturas digitais, e em conformidade com as orientações actualmente

existentes, publicadas pelo CEN para um futuro Cartão de Cidadão europeu (CWA 1526423, CWA

14890 e CEN/TS 15480 – em draft).

O par de chaves utilizado para a assinatura digital é o corresponde às Chaves do Cidadão para

assinatura electrónica qualificada anteriormente referido, que é dedicado exclusivamente a este

procedimento, não sendo o mesmo que é utilizado para a autenticação de dispositivos.

No início de uma operação de assinatura digital qualificada deve ser sempre introduzido o PIN

respectivo.

A mensagem ou documento a ser assinado é processado por uma função de dispersão (hash

function), sendo que a última iteração da função é realizada forçosamente no Cartão de Cidadão. A

função de dispersão a utilizar não deve ser vulnerável contra ataques criptográficos existentes.

21 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14890-02-2004-May.pdf 22 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:PT:PDF 23 ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf


Electrónica


Página 31 de 53

De seguida o Cartão de Cidadão deve utilizar a chave privada do cidadão, reservada para a

assinatura digital qualificada, para assinar o resultado da função de dispersão, utilizando o

algoritmo criptográfico RSA, e retornar o resultado.

7.1.2. Identificação através do método de Match-On-Card

O Cartão de Cidadão tem associado um mecanismo de validação biométrico denominado Match-

On-Card, que permite confirmar a identidade do cidadão presencialmente, sem necessidade de

possuir qualquer comunicação com sistemas centrais, através da recolha das impressões digitais

do cidadão, e comparação com as residentes no chip do Cartão de Cidadão.

A aplicação é composta por um sistema de armazenamento seguro dos templates de duas

impressões digitais, e por um componente de reconhecimento da impressão digital, directamente

no chip do cartão.

O Match-On-Card existente no Cartão de Cidadão cumpre a norma NISTIR 652924 – Common

Biometric Exchange File Format (CBEFF), o que permite a compatibilidade e interoperabilidade

com as diferentes máquinas de recolha de impressões digitais, bem como a troca de informação

biométrica entre diversos sistemas.

7.1.3. Identificação através de One-Time-Password – OTP (EMV-CAP)

O Cartão de Cidadão possui um mecanismo de geração de OTP através de EMV-CAP que permite

a identificação inequívoca e autenticação do cidadão em ambientes onde não existam

infra-estruturas de comunicação on-line (por exemplo, em cenários de comunicação telefónica ou

quando não exista um leitor de cartões adequado à autenticação por certificado digital).

Para o efeito, o Cartão de Cidadão possui uma funcionalidade que permite autenticar o cidadão

através de um mecanismo de challenge/response e de um dispositivo de autenticação offline (leitor

de cartões desconectado). A interacção do Cartão de Cidadão com este dispositivo gera uma OTP,

24 http://csrc.nist.gov/publications/nistir/NISTIR6529A.pdf


Electrónica


Página 32 de 53

representada por uma sequência de 7 algarismos (após introdução com sucesso do PIN do

cidadão).

Estes mecanismos encontram-se implementados no Cartão de Cidadão e seguem as

especificações EMV 4.125 e MasterCard Chip Authentication Program (CAP).

Esta aplicação é inter operável com os leitores de cartões indicados pelas entidades bancárias

portuguesas para uso pelos seus clientes (e.g. SIBS), sendo possível realizar a autenticação

multicanal utilizando o Cartão de Cidadão e qualquer um destes leitores. Segundo a tabela de AIDs

existente na SIBS a referente ao Cartão de Cidadão é 604632FF000001.

7.2. Fornecedor de Autenticação do Cartão de Cidadão

O Fornecedor de Autenticação tem como função proporcionar um mecanismo aberto e comum para

que qualquer Cidadão interaja com uma Entidade, como um Portal ou outro sistema, se possa

autenticar dispondo ainda de um mecanismo de transporte da prova dessa autenticação.

Deste modo, a Entidade com a qual o Cidadão pretende interagir efectua um pedido de

autenticação acompanhado pelas credencias para serem verificadas pelo Fornecedor de

Autenticação e, em resposta, este emite um token de segurança (Token SAML26) com a identidade

do Cidadão que faz prova da sua autenticação no Fornecedor de Autenticação.

Trata-se assim do estabelecimento de um nível de confiança com base nos processos, nas

tecnologias e métodos de autenticação, cuja utilização é suportada pelos mecanismos de

autorização dos serviços com o intuito de identificar as operações que o utilizador tem permissão

para fazer.

A invocação ao Fornecedor de Autenticação é efectuada utilizando os certificados digitais contidos

no Cartão de Cidadão.

25 http://www.emvco.com/specifications.aspx?id=61 26 http://www.oasis-open.org/committees/download.php/16768/wss-v1.1-spec-os-SAMLTokenProfile.pdf


Electrónica


Página 33 de 53

7.3. Infra-estrutura de Chave Pública do Cartão de Cidadão

Para permitir a emissão de certificados digitais válidos para o Cartão de Cidadão, foi implementada,

na PKI do Cartão de Cidadão27, a cadeia de confiança de CA representada na figura seguinte.

Figura 7-2 – Hierarquia de CA do Estado e de CA do Cartão de Cidadão

A CA do “Cartão de Cidadão” é reconhecida e certificada pela CA Raiz do Estado português, que

por sua ver é reconhecida pela CA raiz, através da seguinte cadeia de confiança:

� Certificado Raiz do Estado português (ECRaizEstado) – certificado cuja função é

estabelecer a raiz da cadeia de confiança da infra-estrutura de chaves públicas (PKI). Esta

EC não emite certificados para utilizadores finais, emitindo apenas certificados para assinar

as Entidades Certificadoras do Estado. Este certificado assina-se a si próprio;

� Certificado da CA do Cartão de Cidadão – certificado emitido pela CA Raiz do Estado

(ECRaizEstado) para a CA “Cartão de Cidadão”. CA que se encontram a este nível são

conferidos a entidades que se encontram no nível imediatamente abaixo da EC Raiz, sendo

27 Para maior detalhe consultar http://www.scee.gov.pt/ecee/pt/


Electrónica


Página 34 de 53

a sua função principal providenciar a gestão de serviços de certificação: emissão, operação,

suspensão, revogação para os seus subscritores.

Para além dos certificados de autenticação e de assinatura digital do titular do Cartão de Cidadão,

a CA do “Cartão de Cidadão” assume as funções de emissão de outros certificados específicos do

documento, nomeadamente:

� Emissão de certificado para assinatura digital de dados colocados no chip do Cartão de

Cidadão (a utilizar pela entidade certificadora dos dados colocados no cartão – document

signer de dados);

� Emissão de certificado para assinatura digital de chaves dos chips de cartões do cidadão,

para suportar mecanismos de active authentication entre o cartão e terminais externos (a

utilizar pela entidade personalizadora – document signer de chaves de chips);

� Emissão de certificado para assinatura digital de respostas do serviço de OCSP;

� Emissão de certificado para assinatura digital de respostas do serviço de timestamping;

� Assinatura de certificados das sub-entidades certificadoras (Sub-CA) do Cartão de Cidadão

(que emitem certificados dos cidadãos e certificados de chaves públicas de sistemas

informáticos de Organismos, para controlo de acessos privilegiados na comunicação com

os cartões emitidos).

No âmbito do presente documento, aconselha-se a consulta das políticas associadas aos

certificados (Certificate Policies e Certification Practice Statements), CA e sub-CA do Cartão de

Cidadão, que seguem as normas definidas pela legislação e regulamentação nacional para

credenciação de uma Entidade Certificadora e que se encontram disponíveis em

http://pki.cartaodecidadao.pt/.

A Infra-estrutura de chave pública (Public Key Infrastructure – PKI) do Cartão de Cidadão suporta

as funcionalidades de identificação digital baseadas nos certificados presentes no Cartão de

Cidadão e emitidos para o titular do documento.

A PKI do Cartão de Cidadão desempenha um papel na identificação digital de titulares deste

documento desde a personalização pois, aquando do pedido de Cartão de Cidadão, é a CA da PKI


Electrónica


Página 35 de 53

do Cartão de Cidadão quem gera os certificados digitais do titular que são inseridos no chip do

novo documento: certificado de autenticação on-line e certificado de assinatura digital qualificada.

Após a emissão dos certificados dos titulares do Catão de Cidadão, o papel da PKI é o de publicar

informação sobre os certificados que não devem ser considerados válidos. Um certificado é por

definição válido, desde que assinado pelo certificado de emissão válido para a CA do Cidadão, a

menos que esteja ultrapassada a sua data de expiração ou que esteja explicitamente identificado

pela PKI como suspenso ou revogado.

A PKI do Cartão de Cidadão enquadra-se no Sistema de Certificação Electrónica do Estado,

introduzido pelo Decreto-Lei 116-A/200628 de 16 de Junho;

7.4. Serviços de Apoio à Verificação

Nesta secção são apresentados os serviços e métodos existentes para a efectuar a

identificação/autenticação de um Cidadão perante uma entidade segundo a utilização dos

mecanismos existentes no Cartão de Cidadão.

7.4.1. Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão

A PKI é responsável por prestar os seguintes serviços de apoio à utilização do Cartão de

Cidadão no âmbito do suporte à verificação da validade dos certificados digitais:

• Certificate Revocation Lists (CRL) – Após a emissão dos certificados, a CA da PKI é

responsável por colocar os novos certificados nas Certificate Revocation List29 (CRL)

apropriadas (CRL de certificados de autenticação e CRL de certificado de assinatura

digital), no estado “on Hold”, até receber indicação de que Cartão foi entregue e os

28 https://www.incm.pt/actos/docs/DL116_A.pdf 29 CRL – lista que contém certificados emitidos por determinada CA e que não se encontram activos, ou seja no estado de suspensos ou de revogados.


Electrónica


Página 36 de 53

certificados activados, situação em que os certificados são retirados da CRL30. Caso o

Cartão não seja entregue ao titular, a CA recebe informação para revogar os certificados,

sendo o seu estado actualizado para “Revoked” nas CRL correspondentes.

Aquando da renovação de um Cartão de Cidadão, é enviada à CA da PKI a indicação de

que deve revogar os certificados do Cartão anterior, o que é reflectivo na CRL

correspondente.

As CRL do Cartão de Cidadão são actualizadas periodicamente, tipicamente de sete em

sete dias, e encontram-se disponíveis nos endereços indicados na tabela seguinte (também

se encontram no próprio certificado nos atributos “CRL Distribution Points”):

Tipo de Certificado Endereço das CRL dos Certificados de Autenticação31

Certificado de

Autenticação –

Teste

http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl

Certificado de

Autenticação –

Produção

http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl

Certificado de

Assinatura Digital –

Testes

http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl

Certificado de

Assinatura Digital –

Produção

http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl

Tabela 7.1 – URL das CRL dos Certificados Digitais do Cartão de Cidadão

Entre as actualizações das CRL, as actualizações à lista dos certificados que não se

encontram activos são publicadas em Delta CRL (ou DCRL), que são actualizadas

diariamente. Os endereços onde se encontram publicadas as Delta CRL do Cartão de

30 Nota: aquando da entrega com sucesso do Cartão de Cidadão, o certificado de autenticação é sempre activado. No entanto, a activação do certificado de assinatura digital qualificada é opcional. 31 Nos endereços apresentados os valores de XXXX correspondem ao código do ano de referência: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente.


Electrónica


Página 37 de 53

Cidadão encontram-se na tabela seguinte (também se encontram no próprio certificado nos

atributos “Delta CRL Distribution Point”)

Tipo de

Certificado Endereço das Delta CRL dos Certificados de Autenticação32

Certificado de

Autenticação –

Teste

http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl

Certificado de

Autenticação –

Produção

http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl

Certificado de

Assinatura Digital

– Testes

http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX_delta.crl

Certificado de

Assinatura Digital

– Produção

http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl

Tabela 7.2 – URL das Delta CRL dos Certificados Digitais do Cartão de Cidadão

As CRL e Delta-CRL da PKI do Cartão de Cidadão seguem todos requisitos da norma X.50933.

Nomeadamente, a existência do atributo “Next update” que indica a data e hora em que é

disponibilizada a nova CRL ou Delta CRL.

• On-line Certificate Status Protocol (OCSP) – O serviço OCSP permite que fornecedores

de serviços electrónicos ou de aplicações que utilizem os certificados digitais do Cartão de

Cidadão determinem o estado de um determinado certificado (certificado de autenticação ou

certificado de assinatura digital).

Trata-se de um serviço actualizado com maior regularidade que as CRL ou Delta CRL,

fornecendo por isso informação mais actualizada, e que permite obter mais informações

sobre o estado de um certificado, ao invés da CRL e Delta CRL que disponibilizam apenas

32 Nos endereços apresentados os valores de XXXX correspondem ao código do ano de referência: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente. 33 Para a documentação completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.


Electrónica


Página 38 de 53

o estado dos certificados que não se encontram activos. As suas respostas baseiam-se na

versão mais actualizada do repositório de certificados emitidos e incluem um timestamp

assinado digitalmente.

O endereço onde se encontram publicado o serviço OCSP do Cartão de Cidadão encontra-

se na tabela seguinte (também se encontra no próprio certificado nos atributos “Authority

Info Access”)

Tipo de Certificado Endereço do serviço OCSP dos Certificados Digitais do Cartão de Cidadão

Todos – Produção http://ocsp.auc.cartaodecidadao.pt/publico/ocsp

Todos – Teste http://ocsp.auc.teste.cartaodecidadao.pt/publico/ocsp

Tabela 7.3 – URL do serviço OCSP dos Certificados Digitais do Cartão de Cidadão

Para mais informações sobre o serviço OCSP da PKI do Cartão de Cidadão, recomenda-se

a consulta dos documentos “Política de Certificados de Validação on-line OCSP emitidos

pela EC AuC”, disponível em http://pki.cartaodecidadao.pt/ e do RFC 256034, que especifica

os dados a trocar entre o fornecedor do serviço e o serviço de OCSP para verificação do

estado de um certificado.

A PKI do Cartão de Cidadão publica as CRL, Delta CRL e disponibiliza o OCSP. No entanto, a

verificação da validade do certificado é da responsabilidade do fornecedor do serviço electrónico

que utiliza identificação baseada nos certificados do Cartão de Cidadão.

Assim, os fornecedores de serviços não devem aceitar como válido um certificado de Cartão de

Cidadão até confirmarem o seu estado através de um dos serviços disponibilizados pela PKI do

Cartão de Cidadão.

34 Para a documentação completa do RFC 2560, consultar http://www.ietf.org/rfc/rfc2560.txt.


Electrónica


Página 39 de 53

7.4.2. Verificação através do método de Match-On-Card

A verificação através de Match-On-Card, é efectuada na presença do cidadão, mas sem

necessidade de ligação a qualquer outro sistema. Os métodos de comparação e reconhecimento

estão embebidos no chip do Cartão de Cidadão, o que significa que todo o processo é efectuado

de forma segura.

O processo de verificação é efectuado recorrendo a um leitor biométrico de impressões digitais

com interface para cartões smart card, onde é introduzido o Cartão de Cidadão, e recolhida uma

impressão digital. O template criado com a impressão digital recolhida é então enviado para a

aplicação Match-On-Card, onde é efectuada a comparação com o template armazenado no Cartão

de Cidadão, e devolvido o resultado dessa validação (identificação positiva ou negativa).

Este processo de verificação é extremamente rápido, e sendo efectuado num ambiente isolado

(leitor e cartão), evita a transferência de informação sensível para sistemas externos, sendo que os

templates das impressões digitais não são extraíveis do Cartão de Cidadão, e o template recolhido

no leitor é somente enviado directamente para o Cartão de Cidadão introduzido.

O Match-On-Card é uma funcionalidade de utilização possível também na gestão de acesso a

instalações, com o Cartão de Cidadão, apesar de neste momento não estar prevista esta utilização

na Administração Pública.

7.4.3. Serviços a Disponibilizar

O modelo definido para a PKI do Cartão de Cidadão prevê a existência dos serviços que se listam

abaixo mas que ainda não se encontram disponíveis:

• Serviço EMV-CAP – permite verificação de One-Time-Passwords geradas pelas aplicações

do chip do Cartão de Cidadão.

• Serviço de timestamping – trata-se de um serviço para apoio à verificação, realização e

verificação de assinaturas digitais.


Electrónica


Página 40 de 53

A PKI do Cartão de Cidadão prevê disponibilizar um serviço de marca de data e hora

electrónica, que permite assinar digests de documentos (ou qualquer ficheiro electrónico),

incluindo nesta assinatura de forma não repudiável a data e hora desta assinatura.

• Emissão e gestão de certificados digitais para Entidades Públicas – trata-se de um

conjunto de serviços de emissão, gestão e apoio à validação de certificados com pares de

chaves públicas/privadas, para Entidades Públicas previamente autorizadas e para

situações previstas na lei.

Estes certificados que permitem a realização de operações específicas sobre os dados do

Cartão de Cidadão como, por exemplo, a leitura de dados do chip sem introdução de PIN

por autoridades policiais ou judiciárias em situações previstas na lei35.

Existe uma CA ou sub-CA que emite certificados para estas chaves, os quais permitem aos

cartões do cidadão verificar se um dado sistema e Entidade foram certificados como

possuidores de privilégios associados a um determinado role id incluído no certificado.

Este mecanismo permite que o chip restrinja o acesso a determinados dados ou aplicações,

garantindo o cumprimento das regras de controlo de acessos à informação residente no

chip do cartão.

35 Lei n.º 7/2007, de 5 de Fevereiro


Electrónica


Página 41 de 53

8. NORMAS & ESPECIFICAÇÕES TÉCNICAS

Nesta secção são apresentadas as recomendações técnicas para cada um dos tipos de verificação

referidos anteriormente.

8.1. Certificados digitais de Autenticação

Descrição Especificação Recomendação

Tipo de Certificados Digitais X.509 v3 Obrigatório

Protocolo de comunicação de suporte

com segurança Web HTTPS Obrigatório

Segurança de integridade e

confidencialidade da comunicação Web WS-Security Recomendado

Standards para a troca de

autenticações e autorizações entre

domínios seguros

SAML Token Profile Recomendado

Validação de Certificados

CRL

OCSP

Obrigatório

Recomendado

8.2. Certificados digitais de Assinatura electrónica


Tipo de Certificados Digitais X.509 v3 Obrigatório

Validação de Certificados CRL Obrigatório


Electrónica


Página 42 de 53


OCSP Recomendado

8.3. Match-on-Card


Aplicação para verificação biométrica

de impressões digitais Match-On-Card Obrigatório

A aplicação da classificação das recomendações indicadas nas tabelas anteriores devem ser

interpretadas da seguinte forma36:

� Obrigatório: indica que o objecto, conceito, especificação ou standard com esta

classificação deve ser obrigatoriamente aplicado, sendo que as Entidades que não o

implementem e utilizem se encontram em infracção;

� Recomendado: indica que o objecto, conceito, especificação ou standard com esta

classificação deve passar a ser aplicado, devendo as Entidades tomar as medidas

necessárias para a sua implementação e utilização, considerando que assumirá carácter

obrigatório futuramente, de acordo com um período transitório a especificar

� Opcional – indica que objecto, conceito, especificação ou standard com esta classificação é

de aplicação opcional. No entanto, se for necessário comunicar ou integrar dados com

aplicações ou sistemas que suportem a opção, deve ser permitida a intercomunicação,

mesmo que com algumas funcionalidades limitadas.

36 Os adjectivos “Opcional”, “Recomendado”, “Obrigatório” correspondem às key words definidas no RFC 2119 (http://www.ietf.org/rfc/rfc2119.txt)


Electrónica


Página 43 de 53

9. EXEMPLO

De modo a clarificar a execução desta normas/recomendações é apresentado um exemplo de

implementação de um sistema de autenticação e identificação dos cidadãos através do Cartão de

Cidadão.

A Entidade A, que corresponde a um Organismo Público, disponibiliza diversos serviços ao cidadão

através do seu portal na Internet bem como através de uma linha de atendimento. Após ter sido

efectuada uma auditoria à qualidade dos serviços fornecidos pela Entidade A, foram detectadas

diversas situações de falha no acesso aos sistemas, nomeadamente foi permitido o acesso à

alteração de informação confidencial de diversos cidadãos por utilizadores que não estavam

autorizados a tal. Concluiu-se que a origem desta situação foi a apropriação indevida das

credencias de acesso ao sistema desses cidadãos por parte de hackers.

Sendo esta uma situação grave, a Entidade A decidiu que tinha que aumentar a nível de segurança

de acesso aos sistemas. Para tal, informou-se junto da AMA sobre quais as recomendações que

teria que adoptar.

A Entidade A numa primeira fase consultou as tabelas com os métodos de

identificação/autenticação segundo canal de atendimento, e definiu que devido ao facto da

informação por si gerida poder ser acedida e alterada pelos cidadãos teriam que implementar a

Autenticação com Certificado Digital do Cartão de Cidadão para o seu portal.

Seguidamente a Entidade A teve que proceder à alteração no servidor que suporta o portal de

modo a este suportar a autenticação através de utilização do Cartão de Cidadão. As tarefas

associadas a esta alteração foram as seguintes37:

� Configurar o servidor para ligações SSL – foi necessário obter um certificado para o site em

questão e proceder à sua instalação no servidor web, de modo a ser possível estabelecer

comunicações seguras entre o servidor e as aplicações clientes. Este certificado foi obtido

junto da CA (Certificate Authority), entidade externa que é responsável pela emissão e

gestão dos certificados do cartão;

37 Para maior detalhe aconselha-se a leitura do manual de Autenticação com o Cartão de Cidadão disponibilizado no Portal de Cidadão - http://www.cartaodecidadao.pt/images/stories/Manual%20Autenticacao%20com%20Cartao%20de%20Cidadao_%20v1.7

.pdf


Electrónica


Página 44 de 53

� Configurar o servidor para aceitar certificados de clientes – neste passo configurou-se o

servidor de modo a este efectuar o pedido ao cliente de um certificado digital;

� Configurar o servidor para pedir e aceitar o certificado do Cartão de Cidadão – os servidores

estavam apenas preparados para pedir e aceitar certificados clientes que fossem emitidos

pelo seu LDAP. Teve que se configurar o servidor de modo a ele aceitar igualmente

certificados emitidos pela CA (Certification Authority);

� Validação aplicacional do certificado – De forma a garantir que só são aceites certificados

presentes nos Cartões de Cidadão, o código desenvolvido para autenticação, teve que

validar um conjunto de parâmetros presentes no certificado, de forma a garantir a origem do

certificado;

� Validação de validade do certificado – A última validação é efectuada pela entidade

emissora do certificado, de modo a garantir que o certificado não foi revogado, tendo sido

utilizado o método CRL (Certificate Revocation List).

Após terem sido implementadas a alteração ao servidor foram efectuados testes integrados de

forma a assegurar o correcto funcionamento do sistema tendo por base uma matriz de testes

definidos à priori. Com o sucesso destes testes o sistema encontra-se em condições para

disponibilização em ambiente real.


Electrónica


Página 45 de 53

10. ANEXOS

10.1. Anexo I – Termos e Abreviaturas

Neste capítulo são apresentados e descritos os acrónimos utilizados no documento.

Termo/abreviatura Descrição

CA Certificate authority ou Entidade Certificadora. Trata-se da autoridade que, numa rede, emite e

gere as credenciais de segurança e as chaves públicas utilizadas para encriptação.

CRL Certificate Revocation List – lista que contém certificados emitidos por determinada CA e que não

se consideram válidos, apesar de estarem dentro do prazo de validade.

EMV-CAP Europay, MasterCards, Visa – Chip Authentication Program.

Hash

Sequência de bits gerada por um algoritmo de dispersão, em geral representada em base

hexadecimal, que permite a visualização em letras (A a F) e números, representando 2 bytes cada.

O conceito teórico diz que "hash é a transformação de uma grande quantidade de informações em

uma pequena quantidade de informações".

Hashing Hashing é a transformação de uma sequência de caracteres em uma sequência de caracteres

curta e única, geralmente de comprimento fixo.

IAS Acrónimo de Identification, Authentication, Signature que consiste num standard europeu para a

identificação, autenticação e assinatura electrónica.

LDAP Lightweight Directory Access Protocol – protocolo e modelo de informação, sobre TCP/IP, que

permite procurar e manipular informações num servidor.

Match-on-Card Técnica que consiste em validar os dados internamente no cartão através de software embebido

no próprio cartão.

MD5 Acrónimo de Message-Digest algorithm 5. É um algoritmo de hash de 128 bits unidireccional

desenvolvido pela RSA Data Security.

OCSP On-line Certificate Status Protocol – Serviço que permite consultar informações sobre o estado de

determinado certificado digital.

OTP Acrónimo de One-Time-Password que significa palavra-chave única no tempo.

PKI Public Key Infrastructure, infra-estrutura de chave pública.

SHA-1 É um algoritmo de hash.


Electrónica


Página 46 de 53

Termo/abreviatura Descrição

SHA-256 É um algoritmo de hash.

Smart Card Pode ser traduzido para “cartão inteligente”, tipicamente caracterizado por possuir um chip

embebido com capacidades de processamento e armazenamento de informação.

SSO Single Sign-On – mecanismo de identificação e autenticação em vários recursos através de um

único passo.

Token Dispositivo físico electrónico destinado a autenticar o acesso de um utilizador a determinados

recursos informáticos (computadores, redes, serviços).


Electrónica


Página 47 de 53

10.2. Anexo II – Atributos do Certificado do Cartão de Cidadão

O quadro seguinte sistematiza os atributos que os certificados do cidadão deverão possuir, no caso

dos certificados para autenticação on-line.

Atributo Descrição Exemplo Atributos X.509v1 version Deve indicar X.509V3. 3 serialNumber Nº de série único do certificado,

sequencial, a atribuir pela CA (assegurar que mudança de CA mantém unicidade do nº)

04 00 00 00 00 00 f3 00 72 c4 a7

signature Algoritmo – SHA-1 ou SHA-256 para geração do hash e RSA para assinatura do hash

sha1RSA

issuer Distinguished name da entidade emissora. Deve permitir identificar a CA de forma única, incluindo referência ao tipo de CA (no caso do Cartão de Cidadão, se emite certificados para autenticação ou assinatura).

CN = Cartão de Cidadão – CA Autenticação 0001, OU = Autenticação do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT

validity Data de emissão e data limite de validade do certificado.

notBefore = 20061230120000Z notAfter = 20111229120000Z

subject Distinguished name do cidadão detentor do certificado. Deve permitir identificar o cidadão de forma unívoca, recorrendo ao uso do atributo Serial Number, OID 2.5.4.5. Este atributo deve conter um código de identificação de tipo de documento e o nº do documento (ex. BI123456789). Adicionalmente, o campo CN deve concatenar o nome próprio (G) e apelidos (S) do cidadão, juntamente com um indicador da finalidade do certificado (Autenticação ou Assinatura).

SN = BI123456789, G = Ana Luísa, S = Costa, CN = Ana Luísa Costa (Authentication), OU = Autenticação do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT

subjectPublicKeyInfo subjectPublicKeyAlgorithm Descrição do algoritmo de

geração da chave. RSA (1024 Bits)

subjectPublicKeyValue Chave pública de assinatura digital do cidadão.

30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18


Electrónica


Página 48 de 53

Atributo Descrição Exemplo 4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e

Extensões X.509v3 Subject Directory Attributes (extensão não crítica)

Permite adicionar informação pessoal do cidadão, nomeadamente a sua data de nascimento. Esta extensão não faz parte do CWA 15264.

Subject Directory Attributes: dateOfBirth = 19501102120000Z

Key Usage (extensão crítica)

Identificação das utilizações a que se destina o certificado do cidadão. No caso do certificado para autenticação on-line, apenas deve seleccionar-se a função de “Digital Signature”.

Digital Signature = 1 Non Repudiation = 0 Key Encipherment = 0 Data Encipherment = 0 (...)

Netscape Certificate Type (extensão não crítica)

Destinado a limitar o uso do certificado. Deve seleccionar-se apenas as funções “SSL Client Authentication” e “S/MIME”.

SSL Client Authentication = 1 SSL Server Authentication = 0 S/MIME = 1 (...)

Certificate Policies (extensão não crítica)

Para as políticas de certificação da CA, URL onde podem ser obtidas.

Certificate Policy: Policy Identifier=0.3.2062.9.6.1.31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier ="http://www.cartaodocidadao.pt/public/pol/cc_ca_aut_cps_001.html"

Authority Key Identifier (extensão não crítica)

Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado público correspondente).

Par “subject / nº de série do certificado público” da entidade emissora usado para assinar o certificado do cidadão OU hash calculado a partir desse certificado público

CRL Distribution Points (extensão não crítica)

URL’s de Distribution Points (endereços de acesso à CRL em que o certificado é colocado, se revogado).

Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_a


Electrónica


Página 49 de 53

Atributo Descrição Exemplo ut_crl_00000010.crl

Freshest CRL (extensão não crítica)

URL de Delta CRL’s. Esta extensão não faz parte do CWA 15264.

Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_aut_crl_00000010_delta.crl

Authority Information Access (extensão não crítica)

URL para certificado público da CA emissora

Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocidadao.pt/public/cert/cc_ca_aut_0001.crt

URL para serviço de OCSP (on-line certificate status protocol).

Access Method = On-line Certificate Status Protocol Alternative Name: URL = http://www.cartaodocidadao.pt/public/serv/ocsp

Subject Alternative Name Contém uma representação em

formato Base64, de uma string que contém:

� Nº Identificação Civil, cifrado

com uma chave pública do

Ministério da Justiça

� Nº Identificação Fiscal,

cifrado com uma chave

pública do Ministério das

Finanças e Administração

Pública

� Nº Identificação de

Segurança Social, cifrado


Ministério do Trabalho e da

Segurança Social

� Nº Utente de Saúde, cifrado

CPvLj0u3IwwawPWaWNSpESsmqr600OLTAMSnk3u+rdZTQGgiwAt5hj34monxCF8S ISaxtCBMm13anfnSNlBjVPMj8ZyuYgKLkbbgVQfOq4tIC5FE5vhy6ItWe/Hochd/ 6abx7OfM/NJmSoADF3oZlcVm3okqU7s/lnnAKHdMyq0=:n6Bh3+V7Gs7jSPgyG7PHGEb46SOna4wgKKUsox/rVA+SC4WpY2eZ0ARi0ctsW+Jy xpeYmaYAMWUipmte8+243uIoaJx4FO+9IQjAr0qgiWFUKUTDxsu6Xyd8Qu6hz05y rErmI+oLPq7LR3LbY+U2lsT1Wv3bleg+Akklf3eInl4=:DJxiwAul2y1wkamxoX57Ffqsb9EsVOZQ01mYH3G5OgavQOnsAGe9owER2TIyyNZD eGxN8zr98Nz+MEBIrQ0tL7/7uRt6FkAxeCVhrEw7hMFdKssjJ7ZO5mceaGb73NFL


Electrónica


Página 50 de 53

Atributo Descrição Exemplo


Ministério da Saúde Deve ser utilizado o separador “:” entre as representações Base64 dos campos cifrados.

u8Rm5TcaRuKd3AoPMOYHQ0jPZyFXqm+3RGCtkq40Jyk=:oL1cFe2MoTEAc1A40OvSQTyRX0YtYk40+E4kPoibj7ZS47Yng3NgpNvPkT278WW2 ZRjrK/8JxtYmxHKwm1s3zFK7COARZvRaQejE4+JNEMxCd+02bCFKJT/m8mKBu1+h ZUr/rtvQu8Y/51jjm72EeqUAEFfBXd8bhhhnTIvP6Mk=

Atributos para certificado de autenticação – cidadão


Electrónica


Página 51 de 53

O quadro seguinte sistematiza os atributos que os certificados do cidadão deverão possuir, no caso

dos certificados para assinatura digital qualificada.

Atributo Descrição Exemplo

Atributos X.509v1 Version Deve indicar X.509V3. 3 serialNumber Nº de série único, sequencial, a

atribuir pela CA (assegurar que mudança de CA mantém unicidade do nº)

04 00 00 00 00 00 f3 00 72 c4 a7

Signature Algoritmo – SHA-1 para geração do hash e RSA para assinatura do hash

sha1RSA

Issuer Distinguished name da entidade emissora. Deve permitir identificar a CA de forma única, incluindo referência ao tipo de CA (no caso do Cartão de Cidadão, se emite certificados para autenticação ou assinatura).

CN = Cartão de Cidadão – CA AssinaturaQ 0001, OU = Assinatura Digital Qualificada do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT

Validity Data de emissão e data limite de validade do certificado.

notBefore = 20061230120000Z notAfter = 20111229120000Z

Subject Distinguished name do cidadão detentor do certificado. Deve permitir identificar o cidadão de forma unívoca, recorrendo ao uso do campo Serial Number, OID 2.5.4.5. Adicionalmente, o campo CN deve concatenar o nome próprio (G) e apelidos (S) do cidadão, juntamente com um indicador da finalidade do certificado (Autenticação ou Assinatura).

SN = BI123456789, G = Ana Luísa, S = Costa, CN = Ana Luísa Costa (Signature), OU = Assinatura Qualificada do Cidadão, OU = Cidadãos, O = Cartão de Cidadão, C = PT

subjectPublicKeyInfo subjectPublicKeyAlgorithm Descrição do algoritmo de

geração da chave. RSA (1024 Bits)

subjectPublicKeyValue Chave pública de assinatura digital do cidadão.

30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18 4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e

Extensões X.509v3 Subject Directory Attributes (extensão não crítica)

Permite adicionar informação Subject Directory Attributes:


Electrónica


Página 52 de 53

Atributo Descrição Exemplo pessoal do cidadão, nomeadamente a sua data de nascimento. Esta extensão não faz parte do CWA 15264.

dateOfBirth = 19501102120000Z

Key Usage (extensão crítica)

Identificação das utilizações a que se destina o certificado do cidadão. No caso do certificado para assinatura digital qualificada, apenas deve seleccionar-se a função de “Non Repudiation”.

Digital Signature = 1 Non Repudiation = 1 Key Encipherment = 0 Data Encipherment = 0 (…)

Netscape Certificate Type (extensão não crítica)

Destinado a limitar o uso do certificado. Deve seleccionar-se apenas a função “S/MIME”.

SSL Client Authentication = 0 SSL Server Authentication = 0 S/MIME = 1 (...)

Certificate Policies (extensão não crítica)

Para as políticas de certificação da CA, URL onde podem ser obtidas.

Certificate Policy: Policy Identifier=0.3.2062.9.6.1.31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier = http://www.cartaodocidadao.pt/public/pol/cc_ca_assq_cps_001.html

Authority Key Identifier (extensão não crítica)

Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado público correspondente).

Par “subject / nº de série do certificado público” da entidade emissora usado para assinar o certificado do cidadão OU hash calculado a partir desse certificado público

CRL Distribution Points (extensão não crítica)

URL’s de Distribution Points (endereços de acesso à CRL a que o certificado fica associado, se revogado).

Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_assq_crl_00000010.crl

Freshest CRL (extensão não crítica)

URL de Delta CRL’s. Esta extensão não faz parte do CWA 15264.

Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/public/crl/cc_ca_assq_crl_00000010_delta.crl

Qualified Certificate Statement (extensão não crítica)

Definido pelo CWA 15264 e ETSI TS 101 862, identifica as declarações específicas associadas a certificados digitais qualificados.

qcStatement = {id-etsi-qcs 1}

Authority Information Access (extensão não crítica)

URL para certificado público da CA emissora

Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocidadao.pt/p


Electrónica


Página 53 de 53

Atributo Descrição Exemplo ublic/cert/cc_ca_assq_0001.crt

URL para serviço de OCSP (on-line certificate status protocol).

Access Method = On-line Certificate Status Protocol Alternative Name: URL = http://www.cartaodocidadao.pt/public/serv/ocsp

Atributos para certificado de assinatura digital qualificada – cidadão

guia identificaÇÃo electrÓnica - secretaria geral - início · guia para a autenticação e...

Documents