INFRAESTRUTURA DE GERENCIAMENTO DE PRIVILÉGIOS (Privilege Management Infrastructure) CERTIFICADO DE ATRIBUTOS IGP • Surgiu com a necessidade de oferecer um serviço forte de autorização independente de autenticação. • Apesar do certificado de chave pública oferecer esse tipo de serviço, tanto como informações adicionais do titular do certificado, através da utilização de extensões, seu uso tem alguns aspectos negativos envolvidos. ICP • Um aspecto negativo: Complexidade para se obter informações sobre as autorizações de um determinado usuário torna-se maior quando a entidade certificadora não tem acesso a esses dados na hora de emitir seu certificado. ICP • Outro aspecto negativo: Os certificados de chave pública emitidos por uma AC de uma ICP, pode possuir um tempo de vida geralmente maior do que as informações e atributos fornecidos. IGP • Devido a isso foi criado a IGP que através de um certificado chamado de certificado de atributos (CA – Atribute Certificate) atribui privilégios independentes das infraestruturas de chave publica. IGP • IGP o conjunto de recursos e serviços disponibilizado para gestão de Certificado de Atributos – Entidade Emissora de Certificado de Atributo (EEA). – Software utilizado pela EEA na gestão de Certificados de Atributos. – Conjunto de Certificados de Atributos emitidos pela EEA. – Base de privilégios disponível para uso da EEA. – Repositório de Certificados de Atributos emitidos e revogados. – Solução de autorização e verificação de privilégios. Certificado de Atributo • É um documento eletrônico assinado digitalmente e que contém qualificações do seu titular atribuídas (atributos) por uma Entidade Emissora de Certificado de Atributo (EEA). • Médicos • Advogados • Contadores • Engenheiros • Estudantes Exemplos de EEA • • • • • CFM qualifica médicos OAB qualifica advogados CFC qualifica contadores CFE qualifica engenheiros UNE qualifica estudantes EEA • Ao assinar um Certificado de Atributo com um Certificado Digital padrão ICP-Brasil é atribuído ao mesmo prerrogativas legais. • Um Certificado de Atributo é um documento eletrônico e quando assinado digitalmente passa a ter validade jurídica. Certificado de Atributo • Podem provar, no mundo eletrônico, suas titulações através de Certificado de Atributos emitidos pelos conselhos profissionais respectivos. • Funcionários e Servidores: Podem provar seus atributos e autorizações para acessos, operações e ações em sistemas. EEA - Entidade Emissora de Certificado de Atributo • É a instituição com a responsabilidade de emissão de um Certificado de Atributo. • Uma EEA possui o direito de qualificar o titular do Certificado de Atributo. IGP Entidade Final: É representada pelos usuários finais, como os titulares dos certificados de atributos. Autoridade de Atributos (AA): Responsável por toda a parte de gerenciamentos dos certificados, atribuição e revogação. Trabalha de forma semelhante a AC, mas apenas para certificados de atributo. AA e a apresentação de CA • Fonte de Autoridade (FA): Num ambiente onde haja uma hierarquia de Autoridades de Atributos a Fonte de Autoridade seria considerada a entidade raiz dessa hierarquia. • Verificador de Privilégios: Verifica se os certificados quando um objeto é solicitado está dentro dos padrões de segurança exigidos, validando o certificado e liberando o acesso do usuário ao objeto. • Objeto: É o recurso a ser acessado e obtido, possuindo métodos de acesso bem definidos que são controlados pelo verificador de privilégio. • Repositório: Local onde ficam armazenados tanto os certificados como a Lista de Certificados Revogados. CA • Um certificado de atributo é uma estrutura separada do certificado de chave pública de um sujeito, o qual pode ter múltiplos certificados de atributo associado com cada um de seus certificados de chave pública. Analogia: Passaporte x Visto • O passaporte é análogo ao certificado de chave pública que não somente fornece as informações do titular como autentica sua existência e tem um prazo de validade relativamente longo. • E o visto é análogo ao certificado de atributos que ele contém, dando lhe acesso e privilégios a determinados serviços e, geralmente, com curto período de duração. ICP x IGP • Apesar de estarem relacionados não há exigência de que uma mesma autoridade emita tanto o certificado de chave pública como o certificado de atributo. Mercado Atual • Visa uma solução cloud para autenticação e autorização. • Integrando as tecnologias de certificado digital e de certificado de atributo para autenticação em sistemas seguros. Os três A´s dos Sistemas Seguros • A implementação de soluções computacionais, de Internet ou não, exigem a implementação de técnicas de segurança da informação que envolvem três aspectos essenciais: Autenticação, processo de validação da identidade do usuário. Autorização, processo de verificação das permissões do usuário. Auditoria, processo de análise sobre ações realizadas. Os três A´s dos Sistemas Seguros • A utilização de Certificado Digital e de Certificado de Atributo englobam estes três aspectos, resolvendo questões fundamentais para a segurança da informação. Contextualização CD x CA • Quem eu sou ? ► certificado digital • O que eu posso fazer ? ► certificado de atributo • O que eu fiz ? ► certificado digital • Eu estava autorizado ? ► certificado de atributo Recursos de Auditoria • Validade do Certificado de Atributo. • Atualização da Lista de Certificados Revogados em tempo real. • Verificação automática de atributos e permissões. Padrões Internacionais (ISO/IEC 17799:2005) • São considerados as seguintes propriedades: Confidencialidade - Propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Padrões Internacionais (ISO/IEC 17799:2005) • Integridade - Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). Padrões Internacionais (ISO/IEC 17799:2005) • Disponibilidade - Propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Padrões Internacionais (ISO/IEC 17799:2005) • Autenticidade - Propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alteração ao longo de sua vida. Padrões Internacionais (ISO/IEC 17799:2005) • Irretratabilidade ou Não Repúdio - Propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente realizada. Recursos • Para suportar essas propriedades, levando-se em consideração todos os aspectos que envolvem a segurança da informação, devem ser utilizados os seguintes recursos e tecnologias: Recursos e Tecnologias • Certificado Digital Utilizado como mecanismo de autenticação de curto e longo prazo. Isto é, na identificação do usuário no acesso a sistemas e para comprovação da autoria das ações realizadas pelo usuário. Recursos e Tecnologias • Assinatura Digital Utilizada com dois propósitos distintos: validade jurídica dos documentos observando os padrões da ICP-Brasil e para garantir responsabilidade e integridade aos processos. Recursos e Tecnologias • Certificado de Atributo Utilizado para garantir poderes do usuário no acesso a sistemas e para garantir poderes do autor ao atribuir validade jurídica aos documentos. O Certificado de Atributo também é utilizado como padrão de interoperabilidade, por ser um documento com padrão universal e validade jurídica. Recursos e Tecnologias • Carimbo de Tempo Utilizado como garantia temporal de documentos e eventos, isto é, garantir que um determinado documento existia na data e hora determinada, além de garantir a ordem cronológica da ocorrência de ações dos eventos. Recursos e Tecnologias • Criptografia Utilizada para garantir confidencialidade aos processos sigilosos e garantir sigilo às informações publicadas nos ambientes computacionais. Recursos e Tecnologias • Protocolo Criptográfico Utilizado para modelar as ações necessárias para caracterizar um sistema seguro e imune a fraudes. O protocolo criptográfico representa para a segurança da informação o mesmo que o esqueleto representa para o corpo humano, sem o qual não há sustentação. Legislação para CA • Certificado de Atributo (CA) RESOLUÇÃO No 93, DE 05 DE JULHO DE 2012. • http://portal.safeweb.com.br/pca/CA/Legislaç ão