INFRAESTRUTURA DE
GERENCIAMENTO DE PRIVILÉGIOS
(Privilege Management
Infrastructure)
CERTIFICADO DE ATRIBUTOS
IGP
• Surgiu com a necessidade de oferecer um serviço
forte de autorização independente de
autenticação.
• Apesar do certificado de chave pública oferecer
esse tipo de serviço, tanto como informações
adicionais do titular do certificado, através da
utilização de extensões, seu uso tem alguns
aspectos negativos envolvidos.
ICP
• Um aspecto negativo:
Complexidade para se obter informações
sobre as autorizações de um determinado
usuário torna-se maior quando a entidade
certificadora não tem acesso a esses dados na
hora de emitir seu certificado.
ICP
• Outro aspecto negativo:
Os certificados de chave pública emitidos por
uma AC de uma ICP, pode possuir um tempo
de vida geralmente maior do que as
informações e atributos fornecidos.
IGP
• Devido a isso foi criado a IGP que através de
um certificado chamado de certificado de
atributos (CA – Atribute Certificate) atribui
privilégios independentes das infraestruturas
de chave publica.
IGP
• IGP o conjunto de recursos e serviços disponibilizado
para gestão de Certificado de Atributos
– Entidade Emissora de Certificado de Atributo (EEA).
– Software utilizado pela EEA na gestão de Certificados de
Atributos.
– Conjunto de Certificados de Atributos emitidos pela EEA.
– Base de privilégios disponível para uso da EEA.
– Repositório de Certificados de Atributos emitidos e
revogados.
– Solução de autorização e verificação de privilégios.
Certificado de Atributo
• É um documento eletrônico assinado
digitalmente e que contém qualificações do seu
titular atribuídas (atributos) por uma Entidade
Emissora de Certificado de Atributo (EEA).
• Médicos
• Advogados
• Contadores
• Engenheiros
• Estudantes
Exemplos de EEA
•
•
•
•
•
CFM qualifica médicos
OAB qualifica advogados
CFC qualifica contadores
CFE qualifica engenheiros
UNE qualifica estudantes
EEA
• Ao assinar um Certificado de Atributo com um
Certificado Digital padrão ICP-Brasil é
atribuído ao mesmo prerrogativas legais.
• Um Certificado de Atributo é um documento
eletrônico e quando assinado digitalmente
passa a ter validade jurídica.
Certificado de Atributo
• Podem provar, no mundo eletrônico, suas
titulações através de Certificado de Atributos
emitidos pelos conselhos profissionais
respectivos.
• Funcionários e Servidores: Podem provar
seus atributos e autorizações para acessos,
operações e ações em sistemas.
EEA - Entidade Emissora de
Certificado de Atributo
• É a instituição com a responsabilidade de
emissão de um Certificado de Atributo.
• Uma EEA possui o direito de qualificar o titular
do Certificado de Atributo.
IGP
Entidade Final: É representada pelos usuários finais,
como os titulares dos certificados de atributos.
Autoridade de Atributos (AA): Responsável por toda
a parte de gerenciamentos dos certificados,
atribuição e revogação.
Trabalha de forma semelhante a AC, mas apenas
para certificados de atributo.
AA e a apresentação de CA
• Fonte de Autoridade (FA): Num ambiente
onde haja uma hierarquia de Autoridades de
Atributos a Fonte de Autoridade seria
considerada a entidade raiz dessa hierarquia.
• Verificador de Privilégios: Verifica se os
certificados quando um objeto é solicitado
está dentro dos padrões de segurança
exigidos, validando o certificado e liberando o
acesso do usuário ao objeto.
• Objeto: É o recurso a ser acessado e obtido,
possuindo métodos de acesso bem definidos
que são controlados pelo verificador de
privilégio.
• Repositório: Local onde ficam armazenados
tanto os certificados como a Lista de
Certificados Revogados.
CA
• Um certificado de atributo é uma estrutura
separada do certificado de chave pública de
um sujeito, o qual pode ter múltiplos
certificados de atributo associado com cada
um de seus certificados de chave pública.
Analogia: Passaporte x Visto
• O passaporte é análogo ao certificado de chave
pública que não somente fornece as informações
do titular como autentica sua existência e tem
um prazo de validade relativamente longo.
• E o visto é análogo ao certificado de atributos
que ele contém, dando lhe acesso e privilégios a
determinados serviços e, geralmente, com curto
período de duração.
ICP x IGP
• Apesar de estarem relacionados não há
exigência de que uma mesma autoridade
emita tanto o certificado de chave pública
como o certificado de atributo.
Mercado Atual
• Visa uma solução cloud para autenticação e
autorização.
• Integrando as tecnologias de certificado digital
e de certificado de atributo para autenticação
em sistemas seguros.
Os três A´s dos Sistemas Seguros
• A implementação de soluções computacionais, de
Internet ou não, exigem a implementação de técnicas
de segurança da informação que envolvem três
aspectos essenciais:
Autenticação, processo de validação da identidade do
usuário.
Autorização, processo de verificação das permissões do
usuário.
Auditoria, processo de análise sobre ações realizadas.
Os três A´s dos Sistemas Seguros
• A utilização de Certificado Digital e de
Certificado de Atributo englobam estes
três aspectos, resolvendo questões
fundamentais para a segurança da
informação.
Contextualização CD x CA
• Quem eu sou ? ► certificado digital
• O que eu posso fazer ? ► certificado de atributo
• O que eu fiz ? ► certificado digital
• Eu estava autorizado ? ► certificado de atributo
Recursos de Auditoria
• Validade do Certificado de Atributo.
• Atualização da Lista de Certificados Revogados
em tempo real.
• Verificação automática de atributos e
permissões.
Padrões Internacionais
(ISO/IEC 17799:2005)
• São considerados as seguintes propriedades:
Confidencialidade - Propriedade que limita o
acesso à informação tão somente às entidades
legítimas, ou seja, àquelas autorizadas pelo
proprietário da informação.
Padrões Internacionais
(ISO/IEC 17799:2005)
• Integridade - Propriedade que garante que a
informação manipulada mantenha todas as
características originais estabelecidas pelo
proprietário da informação, incluindo controle
de mudanças e garantia do seu ciclo de vida
(nascimento, manutenção e destruição).
Padrões Internacionais
(ISO/IEC 17799:2005)
• Disponibilidade - Propriedade que garante que
a informação esteja sempre disponível para o
uso legítimo, ou seja, por aqueles usuários
autorizados pelo proprietário da informação.
Padrões Internacionais
(ISO/IEC 17799:2005)
• Autenticidade - Propriedade que garante que
a informação é proveniente da fonte
anunciada e que não foi alvo de alteração ao
longo de sua vida.
Padrões Internacionais
(ISO/IEC 17799:2005)
• Irretratabilidade ou Não Repúdio -
Propriedade que garante a impossibilidade de
negar a autoria em relação a uma transação
anteriormente realizada.
Recursos
• Para suportar essas propriedades, levando-se
em consideração todos os aspectos que
envolvem a segurança da informação, devem
ser utilizados os seguintes recursos e
tecnologias:
Recursos e Tecnologias
• Certificado Digital
Utilizado como mecanismo de autenticação de curto
e longo prazo. Isto é, na identificação do usuário no
acesso a sistemas e para comprovação da autoria
das ações realizadas pelo usuário.
Recursos e Tecnologias
• Assinatura Digital
Utilizada com dois propósitos distintos: validade
jurídica dos documentos observando os padrões da
ICP-Brasil e para garantir responsabilidade e
integridade aos processos.
Recursos e Tecnologias
• Certificado de Atributo
Utilizado para garantir poderes do usuário no
acesso a sistemas e para garantir poderes do
autor ao atribuir validade jurídica aos
documentos.
O Certificado de Atributo também é utilizado como
padrão de interoperabilidade, por ser um documento
com padrão universal e validade jurídica.
Recursos e Tecnologias
• Carimbo de Tempo
Utilizado como garantia temporal de documentos e
eventos, isto é, garantir que um determinado
documento existia na data e hora determinada, além
de garantir a ordem cronológica da ocorrência de
ações dos eventos.
Recursos e Tecnologias
• Criptografia
Utilizada para garantir confidencialidade aos
processos sigilosos e garantir sigilo às informações
publicadas nos ambientes computacionais.
Recursos e Tecnologias
• Protocolo Criptográfico
Utilizado para modelar as ações necessárias para
caracterizar um sistema seguro e imune a fraudes.
O protocolo criptográfico representa para a
segurança da informação o mesmo que o esqueleto
representa para o corpo humano, sem o qual não há
sustentação.
Legislação para CA
• Certificado de Atributo (CA)
RESOLUÇÃO No 93, DE 05 DE JULHO DE 2012.
• http://portal.safeweb.com.br/pca/CA/Legislaç
ão
Download

INFRAESTRUTURA DE GERENCIAMENTO DE PRIVILÉGIOS