Slide 1

Certificao Digital ICP-Brasil Infra-Estrutura de Chaves PblicasICP-BrasilInstituda pela Medida Provisria 2.200-2 de 24/08/2001, que cria o Comit Gestor da ICP-Brasil, a AC Raiz e define as demais entidades que compem a estrutura.

Atualmente, 45 resolues regendo as atividades integrantes.

www.iti.org

Comit GestorAC RaizCOTECAC (Nvel 1)AC (Nvel 1)AC (Nvel 1)AC (Nvel 2)AC (Nvel 2)ARARPSSAuditorias IndependentesPSSARAR ESTRUTURA DA ICP-BRASIL Organograma Simplificado Titulares Titulares TitularesTitularesFonte: Ribeiro , A. M. et ali Comit GestorCoordena a implantao e o funcionamento da ICP-Brasil.

Estabelece a poltica, os critrios e normas para credenciamento das ACs (Autoridades Certificadoras), (ARs) (Autoridade de Registro) e prestadores de servios em todos os nveis da cadeia de certificao.Comit Gestorrgo responsvel por auditar a AC Raiz.

Estabelece polticas de certificado e regras operacionais das ACs e ARs e define nveis da cadeia.

Atualiza, ajusta e revisa procedimentos e prticas para a ICP-Brasil.Comit Gestor Promove a atualizao tecnolgica do sistema e sua conformidade com as polticas de segurana.

Estabelece a poltica de certificao e as regras operacionais da AC Raiz.

Homologa, audita e fiscaliza a AC Raiz e seus prestadores de servio.Comit Gestor Credencia e autoriza o funcionamento das ACs e das ARs, emitindo o correspondente certificado.

Avalia as polticas de ICPs externas.

Negocia e aprova acordos bilaterais de certificao e outras formas de cooperao internacional, verificando sua compatibilidade com a ICP-Brasil.COTECComit Tcnico presta suporte tcnico e assistncia ao Comit Gestor, podendo manifestar-se previamente sobre matrias apreciadas e decididas por este.AC Raiz a primeira da cadeia de certificao.Executa tudo o que aprovado pelo Comit Gestor.Expede, gerencia e revoga os certificados das ACs de nveis susequentes.Executa atividades de auditoria das ACs e ARs e dos PSS habilitados na ICP.Participa na celebrao de convnios internacionais.ACsEntidades credenciadas a emitir certificados digitais.

Expedem, gerenciam e revogam os certificados de titulares-usurios.

Mantm as LCRs e registros de suas operaes.ARsAutoridades de Registro so entidades operacionalmente vinculadas determinada AC.

Compete-lhes identificar e cadastrar usurios na presena destes.

Encaminhar solicitaes de certificados s ACs.

Manter registros de suas operaes.PSSPrestador de Servios de Suporte so empresas contratadas por uma AC ou AR para realizar:

Disponibilizao de infra-estrutura fsica e lgica;

Disponibilizao de recursos humanos especializados.Auditorias IndependentesSo empresas, autorizadas pela AC Raiz, contratadas pelas ACs para realizar auditorias operacionais em entidades a elas subordinadas.Titulares de CertificadosSo pessoas fsicas ou jurdicas que podem ser titulares dos certificados digitais emitidos por uma das ACs integrantes da ICP-Brasil.Terceira ParteA parte que confia no teor, validade e aplicabilidade do certificado digital por uma das ACs, integrantes da ICP-Brasil.Garantias da ICP-BrasilO par de chaves criptogrficas deve ser gerado sempre pelo prprio titular e sua chave privada de assinatura de seu exclusivo controle.

Os documentos assinados com processo de certificao da ICP-Brasil possuem presuno de validade jurdica.

So utilizados padres internacionais: algoritmos criptogrficos e tamanhos de chaves que oferecem segurana.

Garantias da ICP-BrasilAs instalaes e procedimentos das entidades credenciadas possuem um nvel pr-estabelecido de segurana fsica, lgica e de pessoal, seguindo padres internacionais.

As entidades componentes da ICP-Brasil so obrigadas a declararem em repositrio pblicas prticas de segurana.

As entidades esto sujeitas as auditorias, de credenciamento e para manter-se credenciadas.Garantias da ICP-BrasilOs dados de certificados so mantidos por no mnimo 30 anos.

Todas as ACs so obrigadas a contratar seguro para cobertura de responsabilidade civil suficiente e compatvel com o risco.

obrigatria a validao presencial dos titulares para obteno de certificados.Abril de 2006Infra-estrutura de Chave Pblica19Certificado DigitalA maneira mais comum de saber se uma chave pblica pertence ou no a uma entidade de destino (uma pessoa ou empresa) por meio de um certificado digital.

Um certificado digital associa um nome a uma chave pblica.

Abril de 2006Infra-estrutura de Chave Pblica20Estrutura Bsica de um CertificadoAssinatura CANomeChavePblicaMensagemCertificadoAbril de 2006Infra-estrutura de Chave Pblica21Percepo FraudeUm certificado produzido de tal maneira que o torna perceptvel se um impostor pegou um certificado existente e substituiu a chave pblica ou o nome.

Qualquer pessoa ao examinar esse certificado saber se est errado.Abril de 2006Infra-estrutura de Chave Pblica22FraudeTalvez o nome ou a chave pblica esteja errado;

Portanto, no se pode confiar nesse certificado, ou seja, o par (nome,chave).

Abril de 2006Infra-estrutura de Chave Pblica23Certificados de Chave PblicaUm meio seguro de distribuir chaves pblicas para as partes verificadoras dentro de uma rede.

Pretty Good Privacy (PGP)

SET (Secure Electronic Transactions)

IPSec (IP Security)

X.509 v3 (padro internacional ITU-1988, 1993, 1995, IETF-RFC2459-1999)Estrutura do Certificado X.509

Abril de 2006Infra-estrutura de Chave Pblica25Estrutura de Certificado X.509VersoNmero SerialIdentificador do algoritmo de assinaturaNome do Emissor nome DN da CA que cria e emite.Validade

Abril de 2006Infra-estrutura de Chave Pblica26Estrutura de Certificado X.509Nome do Sujeito nome DN da entidade final (usurio ou uma empresa).

Informao da Chave Pblica do sujeito: (valor da chave, identificador do algoritmo, parmetros do mesmo)

Abril de 2006Infra-estrutura de Chave Pblica27Estrutura de Certificado X.509Identificador nico do emissor: (no recomendado pela RFC 2459)

9. Identificador nico do sujeito: (no recomendado pela RFC2459)Abril de 2006Infra-estrutura de Chave Pblica28Estrutura de Certificado X.50910. Extenses de verses de certificados. Identificador de Chave de Autoridade para qualquer certificado auto-assinado. Identificador de Chave de Sujeito Utilizao de chave

11. Assinatura da CA

Abril de 2006Infra-estrutura de Chave Pblica29Nomes de EntidadesCertificados X.509 v3 concedem flexibilidade para nomes de entidades.

As entidades podem ser identificadas pelas seguintes formas de nomes: - endereo de e-mail - domnio de Internet - e-mail X.400 - nome de diretrio X.500 - nome de EDI - URI da Web: URN, URL - endereo IPAbril de 2006Infra-estrutura de Chave Pblica30Nomes de EntidadesEm um certificado de chave pblica, os nomes de entidades (emissor e sujeito) devem ser nicos.

Abril de 2006Infra-estrutura de Chave Pblica31Componentes de uma ICP (PKI)Autoridade Certificadora (CA)Autoridade Registradora (RA)DiretrioX.500Servidor de Recuperao de ChaveUsurios FinaisUsurios Finais123546Repositrio deCertificadosAbril de 2006Infra-estrutura de Chave Pblica32Componentes de uma PKIAutoridade Certificadora (CA)Autoridade Registradora (RA)Diretrio de Certificados (X.500)Servidor de Recuperao de Chave Protocolos de GerenciamentoProtocolos OperacionaisProtocolos de GerenciamentoComunicao on-line com os usurios finais e o gerenciamento dentro de uma ICP:

Entre RA e um usurio final.Entre duas CAs.

Funes

InicializaoRegistro Certificao Recuperao de chave Atualizao de chave Revogao Certificao cruzada Protocolos OperacionaisPermitem a transferncia de certificados e das informaes de status de revogao, entre diretrios, usurios finais e parte verificadoras.

X.509 no especifica nenhum nico protocolo operacional para uso dentro de um domnio de ICP.

Protocolos usados:HTTP,FTP,LDAP-LightweightDiretoryAccessProtocolEmail Abril de 2006Infra-estrutura de Chave Pblica35Partes de sistema PKI Infra-estrutura PKI

Usurio Final / Empresa

Parte VerificadoraAbril de 2006Infra-estrutura de Chave Pblica36Interao das partes em PKI Infra-estrutura de PKIUsurio Finalou EmpresaParte Verificadora Certificado X.509 Informao de Status de Revogao de CertificadoLDAP, HTTP, FTP, e-mailLDAPOCSP / CRLOnline Certificate Status Protocol (OCSP)The Online Certificate Status Protocol (OCSP) um protocolo Internet usado para obter o status is an Internet protocol used for obtaining the revocation status of an X.509 digital certificate. It is described in RFC 2560 and is on the Internet standards track. It was created as an alternative to certificate revocation lists (CRL)Online Certificate Status Protocol (OCSP)Alice and Bob have public key certificates issued by Ivan, the Certificate Authority (CA).

Alice and Bob have public key certificates issued by Ivan, the Certificate Authority (CA).

Bob, concerned that Alice's key may have been compromised, creates an 'OCSP request' that contains Alice's certificate serial number and sends it to Ivan.Online Certificate Status Protocol (OCSP)4. Ivan's OCSP responder reads the certificate serial number from Bob's request. The OCSP responder uses the certificate serial number to look up the revocation status of Alice's certificate.

The OCSP responder looks in a CA database that Ivan maintains. In this scenario, Ivan's CA database is the only trusted location where a compromise to Alice's certificate would be recorded.Online Certificate Status Protocol (OCSP)5. Ivan's OCSP responder confirms that Alice's certificate is still OK, and returns a signed, successful 'OCSP response' to Bob.

6. Bob cryptographically verifies Ivan's signed response. Bob has stored Ivan's public key sometime before this transaction. Bob uses Ivan's public key to verify Ivan's response.

7. Bob completes the transaction with Alice.Abril de 2006Infra-estrutura de Chave Pblica41Tipo de Autoridades CertificadoraAutoridades de Certificao de Raiz (ou Autoridades de Certificao Superiores ou ainda Autoridades de Certificao de Maior Nvel), que emitem diretamente os certificados, ... ...

Autoridades de Certificao Intermedirias, cujos certificados so emitidos indiretamente pelas Autoridades de Certificao Raiz. Autoridades de CertificaoPodemos pensar no caminho entre a Autoridades de Certificao Raiz e o Cliente como uma cadeia de certificao, j que existe a Autoridades de Certificao Raiz, que emitem os certificados para as Autoridades de Certificao Intermedirias, se existirem, e essas para o Cliente (ou utilizador final) que aplica o certificado.

Autoridades de CertificaoCaso o certificado no seja emitido por uma Autoridade de Certificao, este chamado auto-assinado, ou seja, o proprietrio ocupa os lugares de Autoridade de Certificao, Autoridade de Registo e Cliente.

Este o caso quando se utiliza o OpenSSL.Autoridades de CertificaoExemplos de Autoridades de Certificao internacionais so a americana VeriSign ou a britnica Equifax.

Exemplos de Autoridades de Certificao Intermedirias so a portuguesa Saphety, a tambm portuguesa Multicert e a Brasiliera Certisign.