Certificação Digital e
Assinaturas Digitais
Adaptado do material cedido por:
Leonardo Garcia de Mello
Conceitos básicos
Esteganografia - conceito
O De origem grega, significa “escrita
escondida”
O Técnicas para ocultar a existência de um
conteúdo em outro, são uma forma de
segurança por obscurantismo
O Abordagens mais comuns incluem:
O Inserção no bit menos significativo (LSB)
O Algoritmos de transformações
Esteganografia - exemplo
– À esquerda: 3 zebras e 1 árvore.
– À direita: 3 zebras, 1 árvore e intercalação de um
texto completo de Shakespeare.
Criptografia - conceito
O De origem grega, significa “escrita oculta”.
O Técnicas e princípios onde informação é
transformada de sua forma original para
outra ilegível, até que atinja seu destinatário
O Possui a finalidade de tornar um conteúdo
indecifrável a terceiros não autorizados,
permitindo-lhe vir a trafegar por meios
inseguros como a Internet
Histórico
Histórico
1900 AC
Faraós empregavam criptografia em mapas
1000 AC
Tábua de Cera, uso de esteganografia na cabeça
dos escravos
Histórico
50 AC
CIFRA DE CESAR
Internet
Lacunas da Internet atual
O Em seu projeto original não previu
O Escalabilidade
O Existem 232 endereços IPv4 (equivalente a
4.294.967.296), para uma população mundial
de 7 bilhões de pessoas
O Aplicações que necessitam de garantia
quanto a autoria, tais como
O Comércio Eletrônico
O Processo Eletrônico
O Contratos Eletrônicos
Premissas de criptografia moderna
O Todos os algoritmos devem ser PÚBLICOS
O A segurança deve resistir nas CHAVES, que
são um dos parâmetros a serem
empregados na criptografia
O Via de regra, quando maior o tamanho da
chave (em bits) tanto melhor será a
segurança oferecida
Criptografia Chaves Assimétricas
Chave Privada Bob
Chave Publica Bob
Transmissão
Cifragem
Texto
Limpo
Decifragem
Texto
Criptografado
Texto
Criptografado
Texto
Limpo
Checando a Chave Pública de Bob
Alice
Bob
Certificação digital
Por que Certificação Digital?
O É um elemento fundamental para determinar-se a
VONTADE NEGOCIAL
O Pode ser empregada em diferentes níveis para
garantir Segurança no que concerne a:
O Confidencialidade
O Conteúdo incompreensível a terceiros não-autorizados
O Integridade
O Permitir detectar se conteúdo foi adulterado
O Autenticação
O Identificação inequivocamente
O não-repúdio
O Impedir que alguém possa fazer uma
negativa/refutação
O que é Certificação Digital?
O Conjunto de procedimentos
baseados em tecnologia digital que
permitem a identificação inequívoca
de indivíduos de maneira altamente
segura e confiável.
Como é o Certificado Digital?
O Arquivo eletrônico contendo a identidade do
seu titular, atestada por um terceiro que é
parte confiável perante todos
O Este terceiro confiável são as Autoridades
Certificadoras (ou AC) e seus afiliados
Como é a Certificação Digital?
O É feita através da Criptografia Assimétrica, onde
O Cada objeto é associado com um par de chaves:
O Chave privada, a ser mantida em sigilo
O Chave pública, a qual deve ser distribuída para
todos
O É impossível derivar uma chave a partir da outra
O Dificuldade prática?
O Distribuição de Chaves
O Ataques Man-in-the-Middle
Assinatura Digital
Chave Publica Alice
Chave Privada Alice
Transmissão
Cifragem
Texto
Limpo
Decifragem
Texto
Criptografado
Texto
Criptografado
Texto
Limpo
Checando a Chave Pública de Alice
Alice
Bob
Funções de hash
O Criptografia assimétrica (com chaves
pública e privada) é lento e unidirecional
O Mas criptografia simétrica é rápida e
bidirecional
O Logo, para fins de eficiência, na assinatura
digital emprega-se criptografia assimétrica
somente sobre um resumo do conteúdo
chamado hash
O Para isso existem funções como SHA, MD5,
etc.
Assinatura Digital e Criptografia
Chave Publica Alice
Chave Privada Alice
Transmissão
Cifragem
Texto
Limpo
Decifragem
Texto
Criptografado
Chave Publica Bob
Alice
Texto
Criptografado
Chave Privada Bob
Texto
Limpo
Bob
Tipos de Certificados Digitais
A1
A2
A3
A4
Mídia
Geração
Chave
Software
Hardware
Hardware
Hardware
Bits da
Chave
1024
1024
1024
2048
Validade
1 ano
2 anos
3 anos
3 anos
Dados de um Certificado Digital
Nome
da Pessoa
CPF ou CNPJ
CPF do Resp. CNPJ
PIS / PASEP
Titulo Eleitor
Registro Geral
Chave Pública
Data de Validade
Nome Autoridade Certificadora
Chave Privada
Ident. Sistema Criptográfico
Hardware para Certificação Digital
Desktop
Leitora Smart Card
Smart Card
Notebook
Token USB
Cartões magnéticos VS SmartCards
Armazena Informações
Armazena Informações
Processa Informações
Não Processa Informações
E a base legal?
Art. 5º Todos são iguais perante a lei, sem distinção de
qualquer natureza, garantindo-se aos brasileiros e aos
estrangeiros residentes no País a inviolabilidade do
direito à vida, à liberdade, à igualdade, à segurança e à
propriedade, nos termos seguintes:
II - ninguém será obrigado a fazer ou deixar de fazer
alguma coisa senão em virtude de lei;
O A Medida Provisória no. 2.200/2001, instituiu a
Infraestrutura de Chaves Públicas Brasileiras (ICP –
Brasil).
O Marco da validade jurídica para documentos
eletrônicos no País.
ICP Brasil
O A Infraestrutura de Chaves Públicas Brasileira
(ICP-Brasil) é uma cadeia hierárquica e de
confiança que viabiliza a emissão de
certificados digitais para identificação virtual do
cidadão.
O O modelo adotado pelo Brasil foi o de
certificação com raíz única, sendo
desempenhado pelo ITI com papel de
Autoridade Certificadora Raiz (AC-Raiz), e
também de credenciar e descredenciar os
demais participantes da cadeia, supervisionar e
fazer auditoria dos processos.
Estrutura Hierárquica
Comitê
Gestor
AC – Raiz
AC – Autoridade
Certificadora
AR – Autoridade de Registro
Autoridade Certificadora Raiz
AC - Raiz
O A Autoridade Certificadora Raiz da ICP-Brasil é a primeira
autoridade da cadeia de certificação. Executa as Políticas de
Certificados e normas técnicas e operacionais aprovadas pelo
Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir,
expedir, distribuir, revogar e gerenciar os certificados das
autoridades certificadoras de nível imediatamente subsequente ao
seu.
O A AC-Raiz também está encarregada de emitir a lista de
certificados revogados e de fiscalizar e auditar as autoridades
certificadoras, autoridades de registro e demais pretadores de
serviço habilitados na ICO-Brasil. Ele verifica ainda se as
Autoridades Certificadoras - ACs estão atuando em conformidade
com as diretrizes e as normas técnicas estabelecidas pelo Comitê
Gestor.
Autoridade Certificadora (AC)
AC - Autoridade Certificadora
O Uma Autoridade Certificadora é uma entidade, pública ou
privada, subordinada à hierarquia da ICP-Brasil, responsável
por emitir, distribuir, renovar, revogar e gerenciar certificados
digitais. Desempenha como função essencial a
responsabilidade de verificar se o titular do certificado possui
a chave privada que corresponde à chave pública que faz
parte do certificado. Cria e assina digitalmente o certificado
do assinante, onde o certificado emitido pela AC representa a
declaração da identidade do titular, que possui um par único
de chaves (pública/privada).
O Cabe também à AC emitir listas de certificados revogados LCR e manter registros de suas operações sempre
obedecendo às práticas definidas na Declaração de Práticas
de Certificação - DPC. Além de estabelecer e fazer cumprir,
pelas Autoridades Registradoras a ela vinculadas, as políticas
de segurança necessárias para garantir a autenticidade da
identificação feita.
Autoridade de Registro (AR)
AR - Autoridade de Registro
O Entidade responsável pela interface entre o
usuário e a Autoridade Certificadora.
Vinculada a uma AC que tem por objetivo o
recebimento, validação, encaminhamento
de solicitações de emissão ou revogação de
certificados digitais às AC e identificação, de
forma presencial, de seus solicitantes. É
responsabilidade da AR manter registros de
suas operações. Pode estar fisicamente
localizada em uma AC ou ser uma entidade
de registro remota.
Estrutura da ICP Brasil
RECOMENDAÇÃO QUANTO
AOS CERTIFICADOS
DIGITAIS
Validade Certificado e Assinatura
Solicitação
Certificado
Inicio
Validade
Revogação
Certificado
Período Assinaturas Válidas
Período Assinaturas Válidas
Emissão
Certificado
Tempo
Em caso de perda ou furto
O Solicitar revogação à Autoridade de
Registro
O A revogação deve ser solicitada
também quando a chave privada ou
a senha estiverem comprometida
Vantagens da Certificação Digital
O Segurança nas transações eletrônicas
O Redução no uso de papel
O Redução de custos de escrituração e
armazenamento de livros fiscais
obrigatórios
O Escrituração Contábil (Resolução CFC n.º
1020/05)
O Uso de uma senha para acesso a vários
sistemas
O Inclusive “Home Banking”