m3d4 - certificados digitais aula 1 – certificado digital e suas aplicações prof. fernando...
TRANSCRIPT
M3D4 - Certificados Digitais
Aula 1 – Certificado Digital e suas aplicações
Prof. Fernando Augusto Teixeira
ObjetivosConhecer os impactos do Certificado Digital no dia-a-dia da contabilidade digital. Compreender o conceito de segurança e criptografia e sua relação com Certificado Digital;Identificar os principais tipos de certificados digitais, suas diferenças e aplicabilidade;Compreender como funciona uma assinatura digital e sua relação com certificado digital; Explicar o papel e a relevância da utilização de um canal seguro de comunicação através de túnel ssl ou https; Argumentar sobre a importância e eficácia dos Certificados Digitais como mecanismo de suporte tecnológico para Contabilidade Digital;
Agenda da Disciplina
Certificado Digital e suas aplicaçõesSegurançaCriptografia Simétrica Criptografia AssimétricaAssinatura Digital Segurança do Canal de Comunicação (SSL/TSL)Entidades Certificadoras e aspectos práticos
Certificado Digital e suas aplicações
Introdução
Comprovação da identidade em um documento já é feita há tempos:assinaturas à caneta, selos, carimbos, etc.Documento:fonte de informação, em forma material, capaz de ser usada para referência ou estudos. manuscritos, ilustrações, diagramas, espécimes de museus etc. Documento não é necessariamente papel.
Introdução
Muitos documentos são criados no computador e transferidos pela InternetMas como garantir a segurança e confiar em algo que não é assinado fisicamente?Como confiar em um documento eletrônico recebido pela Internet?
Introdução
Certificação Digital. Através da Certificação Digital é possível garantir:AutenticidadeConfidencialidadeNão repudiação Integridade A Certificação Digital utiliza um documento chamado Certificado Digital
Certificado DigitalCertificado Digital:O certificado digital equivale a uma carteira de identidade virtual. É usado no envio de mensagens ou em transações pela Internet que necessitem de validade legal e identificação inequívoca. Um certificado digital contém:
dados de seu titular (nome, identidade civil, e-mail)assinatura da Autoridade Certificadora que o emitiuentre outras informações.
Certificado DigitalUm certificado digital contém:dados de seu titular
nome, identidade civil, e-mailassinatura da Autoridade Certificadora que o emitiuentre outras informações.
Certificado Digital Aspectos Legais
O certificado digital confere validade jurídica ao documento digital:Medida provisória 2.200-2:
Qualquer documento digital tem validade legal se for certificado pela ICP-Brasil .Certificados emitidos por outras infra-estruturas de chaves públicas também são válidos, desde que as partes que assinam reconheçam previamente a validade destes
Certificado DigitalAspectos Legais
O certificado digital confere validade jurídica ao documento digital:A Lei 11.419 de 19 de dezembro de 2006 fundamenta os processos judiciais eletrônicos no Brasil
artigo 20 do capítulo 4, altera o artigo 38 do Código de Processo Civil (Lei 5.869, de 11 de janeiro de 1973) de forma que a autenticação por certificados digitais também seja legalmente válida
Resolução CGSN nº 94, de 29 de novembro de 2011 trata de aspectos relacionados a ME e EPP
Certificado Digital – AplicaçõesReceita Federal:Nota Fiscal Eletrônica (NF-e) e-CPF Simples Sistema Público de Escrituração Digital (SPED) Central Virtual de Atendimento ao Contribuinte (e-CAC) Registro de operações e prestação de impostos federais, como: DCTF, DIRPF, DIRPJ, PAF (SRF/MF)e-CPF e-CNPJ
Certificado Digital – Aplicações
Outras aplicações na esfera Federal:Programa Universidade para Todos – PROUNIPrograma Juros Zero (FINEP)Troca de Informações de Saúde Suplementar – TISS (ANS)Instituto Nacional da Propriedade Industrial – INPIComprasNET (certificação dos pregoeiros)
Certificado Digital – Aplicações
Outras aplicações na esfera Federal:Sistema de Diárias e PassagensServiço de Documentos Oficiais – SIDOFSistema de Pagamentos Brasileiro – SPBSistema do Banco Central do Brasil – SisbacenSistema Integrado de Comércio Exterior – SISCOMEX
Certificado Digital – AplicaçõesPoder Judiciário:A Lei 11.419/2006 regulamentou o processo eletrônico no JudiciárioSistema de Peticionamento Eletrônico (SIPE) e e-JUS – documentos de julgamentos.
TRT da 4ª Região: Implantaram iniciativas que dispensam o uso de documentos em papel em várias etapas do processo.
Tribunais de Justiça de São Paulo, do Paraná, do Rio de Janeiro e do Rio Grande do Sul.
Certificado Digital – Aplicações
Poder Judiciário:STJ apto a receber por meio eletrônico petições referentes a processos de competência:
originária do presidente do Tribunalaos habeas-corpus (HC) aos recursos em habeas-corpus (RHC).
Diário da Justiça On-line: permite que o cidadão verifique a autenticidade e integridade das informações.
Certificado Digital – Aplicações
Mais exemplos: Cartório Eletrônico:
Certidão de protesto; Registro Civil (certidão de nascimento, casamento, óbito); Certidão de Registro; Registro de Imóveis; Tabelionato de Notas (certidão de escritura e de procuração).http://www.cartorio24horas.com.br/
Certificado DigitalImportante entender: como funciona o Certificado Digital?de que forma ele pode ser usado no nosso dia-a-dia?Para tanto é importante ter noções de:Segurança da InformaçãoCriptografiaAssinatura digitalEntidades CertificadorasTipos de Certificados
SEGURANÇA DA iNFORMAÇÃO
Segurança da InformaçãoSegurança da informação pode ser vista sobre três aspectos: Ataques de segurançaMecanismos de segurança Serviços de segurança
Ataques de segurançaQualquer iniciativa que comprometa a segurança das informações de propriedade de uma organizaçãoPodem ser classificados em:Ataques passivos Ataques ativos
Ataques de segurançaAtaques passivos:
Ataques Ativos
Ataques PassivosObjetivos :Captura da informação transmitidaAnálise do tráfego de informações
Exemplos: escuta de uma ligação telefônicaAcesso a e-mails transmitidosAcesso a um arquivo transferido com informações confidenciais
Ataques PassivosAnálise de tráfego:Adversário observa o padrão das mensagens.
Localização e identidade de máquinas que se comunicamFreqüência e o comprimento de mensagens trocadas.
Adivinhar a natureza da comunicação que está acontecendo.
Ataques PassivosAtaques passivos são muito difíceis de detectarNão implicam qualquer alteração de dados.Mensagem é enviada e recebida e não se sabe se um terceiro interceptou. Mas é possível evitar o sucesso desses ataques.Geralmente por meio de criptografia.Contra ataques passivos a ênfase é a prevenção em vez de detecção.
Ataques Ativos
Envolvem: Modificação do fluxo de dados ou Criação de informações falsas
Pode ser subdividido em: Disfarce (masquerade)Repetição Modificação de mensagens Negação de serviço
Ataques AtivosDisfarce (Masquerade):Uma entidade finge ser uma entidade diferenteGeralmente é um passo inicial para as outras formas de ataque ativo
Ataques AtivosRepetição:envolve a captura passiva de uma unidade de dados e a sua subseqüente retransmissão a fim de produzir um efeito não autorizado
Ataques AtivosModificações de Mensagens:significa simplesmente que uma parte de uma mensagem legítima é alterada, ou que as mensagens são atrasadas ou reordenadas, para produzir um efeito não autorizadoPor exemplo, uma mensagem do tipo "Autorizar João a ler arquivos confidenciais" é modificada para "Autorizar Carlos a ler arquivos confidenciais."
Ataques AtivosNegação de Serviço:Impede ou inibe utilização normal dos sistemas. Adversário pode suprimir todas as mensagens dirigidas a um determinado destinoOu provocar a desativação ou sobrecarga da rede
Ataques Ativos
Difícil evitar ataques ativos absolutamentePor causa da grande variedade de potencial físico, software e vulnerabilidades da rede. Mas é possível evitar o sucesso desses ataques.Em vez disso, o objetivo é:Detectar ataques ativos Se recuperar de qualquer interrupção ou atrasos causados por eles. Se a detecção tem um efeito inibidor, pode também contribuir para a prevenção.
AtaquesContra os ataque há a necessidade de formas de proteção ou inibição:Os certificados digitais e a proteção do meio de transmissão via túnel ssl ou HTTPSSe baseiam em técnicas de criptografiaPara se proteger dos ataques é necessário:Mecanismos de Segurança
Exemplo: Criptografia e Assinatura DigitalServiços
Certificados digitais, túnel SSL, HTTPS
ConclusãoDocumento e assinatura digital estão cada vez mais comuns no dia-a-diaCertificado Digital garante a validade do documento.Certificado Digital é aceito legalmente.Há aplicações em diferentes sistemas da Receita Federal e de outros órgãos do governo.Há vários tipos de ataques que podem ser classificados em Passivos e Ativos.Necessidade de diferentes mecanismos e serviços de segurança.