Segurança da Informação
Roteiro
Certificação Digital
• ICP-Brasil
•
Certificação Digital
Prof. M.Sc. Gleyson Azevedo
[email protected]
2
O que são Certificados Digitais?
dados
do
titular
extensões
t õ
chave
privada
H
A
S
H
O que é ICP?
hardware,
software,
pessoas,
políticas
políticas,
procedimentos
resumo
chave
pública
assinatura
digital
CRIPTO
criação,
gerenciamento,
armazenamento,
distribuição
distribuição,
revogação
certificados
digitais
criptografia
de chave
pública
chave
privada
(AC)
3
4
1
Exercícios
Exercícios
1. [53] (Analista de Sistemas Júnior –
TERMOAÇU/2008 – CESGRANRIO) São benefícios
intrínsecos a uma PKI (Public Key Infrastructure), por
derivarem diretamente do uso da tecnologia de
chaves públicas:
2. [36](Analista de Redes e Comunicação de Dados –
MPE-RO/2005 – CESGRANRIO) Acerca de segurança
de redes e criptografia, é INCORRETO afirmar que:
(A) Integridade,
Integridade Confidencialidade e Auditabilidade
(B) Autenticidade, Integridade e Confidencialidade
(C) Confidencialidade, Autorização e Integridade
(D) Confidencialidade, Autorização e Autenticidade
(A) segundo o Princípio de Kerckhoff, todos os algoritmos
devem ser públicos e apenas as chaves devem ser
secretas.
secretas
(B) os algoritmos de chave assimétrica utilizam a mesma
chave para codificação e decodificação.
(C) o não-repúdio é uma propriedade que deve estar
presente nos esquemas de assinatura digital.
(E) Assinatura Digital, Irretratabilidade e Confidencialidade
Exercícios
Exercícios
(D) a SSL utiliza PKI para compartilhar seguramente uma
chave de sessão entre um cliente e um servidor em uma
conexão HTTPS.
3. [56](Engenheiro de Telecomunicações Jr –
PETROBRAS/2006 – CESGRAN-RIO) A SSL (Secure
Sockets Layer) é um pacote de segurança que fornece
criptografia de dados e autenticação entre um cliente
e um servidor Web. Marque a opção que contém
informações corretas sobre a SSL.
(E) uma função hash para cada bloco de dados de
tamanho diferente gera uma saída de tamanho fixo,
sendo o processo irreversível.
irreversível
(A) Uma característica do SSL é a autenticação do
servidor Web: um browser habilitado para SSL mantém
uma lista de autoridades certificadoras.
(B) A SSL atua entre as camadas de transporte e de rede
da pilha de protocolos TCP/IP.
2
Exercícios
Exercícios
(C) Um servidor Web, no paradigma da SSL, nunca
poderá confirmar a autenticidade de um cliente.
(D) Toda informação trocada entre as partes, enquanto
durar a sessão SSL, será criptografada através de chave
pública, garantindo a segurança e autenticidade das
partes.
partes
(E) O uso da SSL se limita aos navegadores Web.
4. (Perito Criminal Federal – Computação Científica –
PF-Nacional/2004 - CESPE) Julgue os itens a seguir.
1 [109] O reconhecimento da confiança em um certificado
digital pode ser feito por delegação, com uso de
terceiras partes mutuamente confiáveis, denominadas
autoridades certificadoras.
2 [110] Certificados digitais são assinados com criptografia
assimétrica. A mesma chave usada para assinar o
certificado deve ser usada para assinar as requisições
de chave de sessão, o que garante a autenticidade e o
não-repúdio no estabelecimento da sessão e serve
como comprovação da propriedade do certificado.
Padrões de ICP
Certificação Digital – X.509
Origem: ITU-T.
• Versão 3 atualizada em abril de 2002.
Objetivos:
• gerenciamento eficiente e confiável de
chaves públicas/certificados;
• interoperabilidade.
• Principais
P i i i padrões
d õ abertos
b t de
d ICP:
ICP
• X.509;
• PKIX.
•
•
•
Dois tipos de certificados:
• de chave pública (autenticação);
• de atributos (autorização).
ISO/IEC 9594-8.
• Inclui infra-estrutura para gerenciamento de
certificados de atributos.
•
•
11
Necessidade de utilização de perfis.
12
3
Certificação Digital – PKIX
•
Internet X.509 Public Key Infrastructure.
•
Internet Engineering Task Force – IETF:
PKIX Working Group.
•
p
j
Principais
objetivos:
•
aperfeiçoar gerência de certificados;
•
promover a interoperabilidade de
aplicações.
PKIX
perfis
melhor
lh gerência
ê i
protocolos
mais interoperabilidade
restrições
Baixa demanda de comunicação.
•
13
PKIX – Entidades de uma ICP
•
Autoridade Certificadora (AC);
•
Autoridade de Registro (AR);
•
Repositório;
•
Entidade Final (EF).
(EF)
14
PKIX – Entidades de uma ICP
Transações operacionais e
de gerência em repositório
R
E
P
O
S
I
T
Ó
R
I
O
15
ENTIDADE FINAL
Transações de
gerência
Usuários de ICP
Entidades de
gerenciamento
de ICP
AR
Publicação de certificado
AC
Publicação de certificado e de LCR
Transações de
gerência
AC
(RFC 2459)
16
4
PKIX – Atribuições das Entidades
•
Autoridade certificadora (AC): emite,
gerencia, publica e revoga certificados.
•
Autoridade de registro (AR): sistema
opcional que assegura o vínculo entre
chaves públicas e identidades de seus
proprietários, dentre outras funções de
gerenciamento, delegadas pela CA.
PKIX – Atribuições das Entidades
•
Repositório: sistema ou coleção de
sistemas distribuídos com a finalidade de
armazenar certificados e Listas de
Certificados Revogados (LCR), distribuindo
esses elementos às entidades finais.
•
Inicialização: se dá quando um indivíduo,
usuário ou cliente, obtém valores
necessários ao início das comunicações
com a ICP, como por exemplo, a geração
de um par de chaves.
Entidade final (EF): usuário de certificados
ou entidade de um sistema de usuário final,
proprietários de certificados.
•
17
18
PKIX – Atribuições das Entidades
PKIX – Atribuições das Entidades
•
Geração de chaves: o par de chaves
pode ser gerado no ambiente local do
usuário, ou pela AC, dependendo da
política adotada.
•
Certificação: processo em que a AC emite
um certificado da chave pública de um
indivíduo e lhe envia o certificado, ou
publica-o em um repositório.
•
Registro: processo pelo qual um indivíduo
faz-se conhecido pela AC, diretamente, ou
por meio de uma AR, antes da emissão de
certificado(s) relativo(s) a esse indivíduo.
•
Certificação cruzada: utilizada para
permitir que clientes/usuários em um
ambiente administrativo comuniquem-se
com parceiros de outros ambientes, em
hierarquias distintas.
19
20
5
PKIX – Atribuições das Entidades
•
atualização de chaves: feita regularmente,
com uma transição bem planejada, permite
que não haja interrupção dos serviços.
•
recuperação de chave privada: por meio
p
g
ç , feitas pela
p
de cópias
de segurança,
AC,,
possibilita reaver a chave privada de um
usuário, quando essa é perdida, por
exemplo, no caso de um funcionário após ele
ter sido demitido, para permitir a
recuperação de dados cifrados de relevância
à empresa.
PKIX – Atribuições das Entidades
•
revogação: possibilita a divulgação de listas
de certificados que tenham sido revogados
antes de seus respectivos prazos de validade,
por meio de LCRs ou outros métodos, como a
g
g ç on-line.
de revogação
checagem
•
distribuição/publicação de certificados
e notificações de revogação.
21
22
Exercícios
Exercícios
5. [64] (Análise de Sistemas – Suporte – BNDES/2007 CESGRANRIO) Sendo P um pedido de certificação
segundo o padrão PKCS#10, é correto afirmar que P
(A) contém a chave privada do ente solicitante, que será
assinada pela chave privada da autoridade certificadora.
(B) contém o hash da chave privada gerada pelo titular,
mas não a chave pública,
pública que será gerada pela autoridade
certificadora a partir desse hash.
(C) garante que a entidade solicitante de P teve sua
identidade comprovada.
(D) deve ser encriptado pela senha gerada, previamente,
por uma autoridade registradora.
(E) não pode ter seu conteúdo alterado, já que é assinado
digitalmente com a chave privada da entidade solicitante.
6. [19] (Analista de Nível Superior – Desenvolvimento
de Sistemas – CASA DA MOEDA/2009 - CESGRANRIO)
José deseja invalidar seu certificado digital ICP-Brasil
de pessoa física, de modo a impossibilitar o seu uso.
Para isso, ele
provedor p
para 00000000.
((A)) deve mudar a senha de seu p
(B) deve instalar um firewall em sua máquina pessoal.
(C) pode solicitar a revogação de seu certificado.
(D) está impedido e deve aguardar a expiração do
certificado.
(E) está impedido porque a autoridade certificadora detém
seu certificado.
6
Exercícios
Exercícios
7. [13] (Analista de Nível Superior – Negócios em TI –
CASA DA MOEDA/2009 - CESGRANRIO) Um sistema
de vendas pela Internet detectou que o certificado
digital ICP-Brasil de pessoa física, utilizado para
autenticação, está revogado. Isso significa que a(o)
(A) autoridade certificadora raiz da ICP-Brasil está
congestionada.
(B) autoridade certificadora raiz da ICP-Brasil foi invadida.
(C) pessoa física identificada pelo certificado está com
firewall ativado.
(D) sistema não deve autenticar o usuário, pois o
certificado está inválido.
(E) certificado digital está expirado e, portanto,
desapropriado para uso.
8. [45] (Analista de Sistemas – DETRAN-AC/2009 CESGRANRIO) No âmbito de certificação digital, qual
o papel de um servidor OCSP?
Exercícios
Exercícios
9. (Analista de Controle Externo – Tecnologia da
Informação – TCU/2008 – CESPE) Julgue os itens
abaixo, relativos à segurança da informação.
1 [171] Caso ocorra, na comunicação entre os
computadores da rede da organização mencionada, o
problema conhecido como man-in-the-middle
man in the middle attack,
attack
uma solução eficaz será utilizar uma autoridade de
certificação, que provê alto grau de confiança durante
o processo de distribuição de chaves públicas.
(A) Gerar certificados auto-assinados.
(B) Acelerar o procedimento de assinaturas digitais.
(C) Informar o estado de revogação de um certificado.
(D) Registrar a data (carimbo de tempo) de transações
digitais.
(E) Oferecer funções criptográficas para plataformas de
desenvolvimento.
2 [173] Se a rede de uma organização atuar de forma
integrada a uma infra-estrutura de chave pública, de
natureza hierárquica, formada por RAs (regional
authorities) e CAs (certification authorities), o
administrador da rede, ao analisar qual foi a entidade
que assinou digitalmente o certificado público de cada
membro dessa infra-estrutura de chave pública,
constatará que todos os certificados analisados foram
assinados pela autoridade certificadora raiz.
7
Exercícios
Áreas da PKIX
10. (Tecnologista Pleno – Segurança de Sistemas de
Informação – MCT/2008 – CESPE) Acerca das infraestruturas de chaves públicas (ICP) e dos
protocolos, algoritmos e normas a elas
subjacentes, julgue os itens seguintes.
1 [111] Na public key infrastructure X.509 (PKIX), o
processo de registro é definido como sendo aquele em
que uma autoridade certificadora (CA) se registra junto
a outra CA, tornando-se a primeira uma CA
subordinada à segunda.
•
Perfil
•
Protocolos operacionais
•
Protocolos de gerenciamento
•
Delineamento de políticas
2 [112] O algoritmo de chave pública RSA pode ser
utilizado nos processos de registro, assinatura e
revogação de certificados da PKIX.
30
PKIX – Perfil
•
•
PKIX – Protocolos Operacionais
Define o formato e a semântica de
certificados e LCR para a Internet,
estabelecendo uma base comum para
aplicações que requeiram larga
p
e requisitos
q
limitados de
interoperabilidade
propósitos especiais.
Como tais aplicações, podem-se mencionar
correio eletrônico, WWW e IPsec.
31
•
Necessários ao transporte de
certificados e LCR, ou outras
informações sobre situação de
certificados, aos sistemas usuários da ICP.
•
Definem se nesta área vários meios para
Definem-se
esse transporte, inclusive procedimentos de
distribuição, baseados em LDAP, http e ftp.
32
8
PKIX – Protocolos de Gerenciamento
•
Fornecem interações on-line de usuários
de uma ICP e suas entidades de
gerenciamento.
•
Um protocolo de gerenciamento pode ser
utilizado para transportar informações para
registro no sistema, ou uma solicitação de
revogação de um certificado.
PKIX – Protocolos de Gerenciamento
•
Esses protocolos são divididos em duas
categorias:
•
primeira – definem o formato das
mensagens enviadas;
•
segunda – responsáveis pela transmissão
das mensagens.
33
34
PKIX – Delineamento de Políticas
X.509 – Estrutura de Certificado
•
A especificação de perfis de certificados e
protocolos operacionais e de gerenciamento
trata apenas de parte do problema do
desenvolvimento de uma ICP segura.
•
Também faz-se necessário o
desenvolvimento de uma Política de
Certificado (PC) e uma Declaração de
Práticas de Certificação (DPC).
•
Ambas devem tratar de: segurança física e
pessoal, requisitos para identificação de
indivíduos, política de revogação, etc.
Certificate ::= SEQUENCE {
(Codificação
tbsCertificate
TBSCertificate,
signatureAlgorithm
AlgorithmIdentifier,
ASN.1 DER –
signatureValue
BIT STRING
ITU-T X.208)
}
TBSCertificate ::= SEQUENCE {
version
[0] EXPLICIT Version DEFAULT v1,
serialNumber
CertificateSerialNumber,
signature
AlgorithmIdentifier,
issuer
Name
Name,
validity
Validity,
subject
Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
extensions
[3] EXPLICIT Extensions OPTIONAL
-- If present, version shall be v3
}
35
36
9
RFC 3280 – Principais Extensões
RFC 3280 – Principais Extensões
•
Authority Key Identifier
•
Basic Constraints
•
Subject Key Identifier
•
Name Constraints
•
Key Usage
•
Policy Constraints
•
Certificate Policies
•
Extended key usage field
•
Policy Mappings
•
CRL Distribution Points
•
Subject Alternative Name
•
Issuer Alternative Name
37
X.509 – Estrutura de LCR
38
RFC 3280 – Distinguished Names
CertificateList ::= SEQUENCE {
tbsCertList
TBSCertList,
signatureAlgorithm
AlgorithmIdentifier,
signatureValue
BIT STRING
}
TBSCertList ::= SEQUENCE {
version
Version OPTIONAL,
-- if present, shall be v2
signature
AlgorithmIdentifier,
issuer
Name,
thi
thisUpdate
d t
Time,
i
nextUpdate
Time OPTIONAL,
revokedCertificates
SEQUENCE OF SEQUENCE {
userCertificate
CertificateSerialNumber,
revocationDate
Time,
crlEntryExtensions
Extensions OPTIONAL
-- if present, shall be v2
} OPTIONAL,
crlExtensions
[0] EXPLICIT Extensions OPTIONAL
-- if present, shall be v2
}
39
•
Identificação única em árvores hierárquicas
de diretórios (ITU-T X.500).
•
Ex.: cn = Jose da Silva,
ou = Centro de Treinamento,,
o = LFG,
c = BR
40
10
RFC 3280 – Distinguished Names
11. (Tecnologista Pleno – Segurança de Sistemas de
Informação – MCT/2008 – CESPE) Acerca das infraestruturas de chaves públicas (ICP) e dos
protocolos, algoritmos e normas a elas
subjacentes, julgue os itens seguintes.
c = BR
o = LFG
ou = Centro de
Treinamento
ou = Admin
o = Empresa XYZ
ou = Admin
cn = Jose da Silva cn = Bira dos Anzois
Exercícios
1 [110] Todo certificado X.509 possui um campo de
assinatura que contém o hash dos demais campos do
certificado. Esse hash é cifrado com a chave privada
do usuário ao qual o certificado se refere.
ou = Desenv
2 [113] Uma das extensões de certificados da versão 3
do X.509 permite indicar uma restrição imposta ao
propósito de uso do certificado, ou à política sob a qual
a chave pública pode ser usada.
cn = Fulano
de Tal
41
Exercícios
ICP-Brasil
12. [23] (Analista de Nível Superior – Suporte em TI –
CASA DA MOEDA/2009 - CESGRANRIO) Uma livraria
deseja vender seus produtos pela Internet de forma
segura e, para isso, adquire um certificado digital X de
servidor WEB SSL. X está assinado por um certificado
intermediário Y que, por sua vez, está assinado por
outro certificado intermediário Z e esse está assinado
por um certificado raiz R. Para que os usuários
estabeleçam uma conexão segura com a livraria
virtual, é suficiente e necessário que os navegadores
(firefox, p. ex.) possuam, em sua lista de certificados
confiáveis, o(s) certificado(s)
(A) R. (B) X e Y. (C) Z e R. (D) X, Y e Z. (E) X, Y, Z e R.
44
11
ICP-Brasil – Objetivos
ICP-Brasil – Criação
 MP 2.200, de 28/6/2001.
documentos eletrônicos
autenticidade
integridade
validade jurídica
aplicações de suporte

MP 2.200-2, de 24/8/2001  EC 32, de
11/9/2001.
aplicações habilitadas
transações eletrônicas
(Art. 1º, MP 2.200-2)
45
46
ICP-Brasil – O que envolve?
ICP-Brasil – Entidades
•
padrões;
•
Autoridade Gestora de Políticas;
•
normas;
•
Autoridade Certificadora Raiz (AC-Raiz);
•
seguranças: física, lógica, humana;
autenticação
ç de: p
pessoas,, empresas,
p
,
instituições, máquinas, aplicações;
•
Autoridades Certificadoras (AC);
•
•
Autoridades de Registro (AR).
(AR)
•
auditoria e fiscalização;
•
tecnologias de: hardware e software;
•
presunção de validade jurídica de documentos
eletrônicos.
47
48
12
ICP-Brasil – Hierarquia
ICP-Brasil – Comitê Gestor
Autoridade Gestora de Políticas da ICP-Brasil.
• Vinculado à Casa Civil da Presidência da
República.
• Representantes:
• sociedade civil;
• integrantes de setores interessados,
designados pelo Presidente da República;
• ministérios;
• Casa Civil;
• Gabinete de Segurança Institucional.
•
49
Restrições na Hierarquia
•
•
CG / ICP-Brasil
Acordo entre partes
Normalização
AC Raiz
ICP-Brasil
AC Raízes
Credenciamento
AC
Governo
AC
Gov.
AC
Privadas
AC
Gov.
AC
Privadas
AC
Priv.
AR Governo
Operação
Usuário
Usuários
AC
Privadas
AC
Priv.
AR Privadas
Usuário
Usuário
AR Privadas
Usuário
Usuário
Usuário
50
Restrições na Hierarquia
Às AC da ICP-Brasil não é permitido certificar
outras AC que não lhe sejam imediatamente
subordinadas na hierarquia.
A AC Raiz pode realizar certificação cruzada
com AC Raízes de outros países,
países mediante
acordo internacional.
AC Raiz
AC Raiz
ICP-Brasil
ICP-Estrangeira
AC-1
AC-2
AC-3
51
AC-5
AC-6
AC-4
52
13
ICP-Brasil – Responsabilidades
Validade Jurídica (MP 2.200-2)
•
Art. 10: Consideram-se documentos públicos
ou particulares, para todos os fins legais, os
documentos eletrônicos de que trata esta
Medida Provisória.
•
§ 1º - As declarações constantes dos
documentos em forma eletrônica
produzidos
ô
com a utilização de processo de certificação
disponibilizado pela ICP-Brasil presumem-se
verdadeiros em relação aos signatários,
na forma do art. 131 da Lei no 3.071, de 1º
de janeiro de 1916 - Código Civil.
NORMALIZAÇÃO
Comitê Gestor
(CG/ICP-Brasil)
POLÍTICAS, DIRETRIZES, NORMAS, REGRAS
OPERACIONAIS
CREDENCIAMENTO
AC Raiz
OPERAÇÃO
AC Púb/Priv
AR Púb/Priv
ACREDITAÇÃO, AUDITORIA, FISCALIZAÇÃO E
CERTIFICAÇÃO
BASE OPERACIONAL DA ICP- Brasil
EMISSÃO, GERENCIAMENTO E REVOGAÇÃO DE
CERTIFICADOS DE CHAVES PÚBLICAS
IDENTIFICAÇÃO, CADASTRAMENTO,
LANÇAMENTO
53
54
Validade Jurídica (MP 2.200-2)
•
Regulamentação do Art. 10
§ 2º - O disposto nesta Medida Provisória não
obsta a utilização de outro meio de
comprovação da autoria e integridade de
documentos em forma eletrônica, inclusive os
que utilizem certificados não emitidos pela
ICP-Brasil, desde que admitido pelas partes
como válido ou aceito pela pessoa a quem for
oposto o documento.
55
•
Projeto de Lei nº 7.316/2002, apresentado
em 07/11/2002.
•
Disciplina o uso de assinaturas eletrônicas e a
prestação de serviços de certificação.
•
Atualmente aguardando parecer da Comissão
de Defesa do Consumidor (CDC), onde se
encontra desde 26/03/2008.
56
14
ICP-Brasil – Padronização Seguida
PKIX.
• Extensão subjectAlternativeName:
• campos otherName:
• Pessoa Física (1) : CPF, PIS/PASEP, RG, data
de nascimento;
• Pessoa Jurídica (3) : CNPJ, nome do
responsável, dados do responsável (CPF ...);
• Título de eleitor (5);
• novo campo destinado a uso pela
Previdência Social (Resolução nº 31, de 29
de janeiro de 2004, do CG/ICP-Brasil).
ICP-Brasil – Tipos de Certificados
•
ASSINATURA: A1
SIGILO:
S1
S2
A2
A4
A3
S3
S4
nível de segurança
57
58
Exemplos – Assinatura
Exemplos – Sigilo
•
Confirmação de identidade na Web;
•
correio eletrônico;
•
documentos;
•
transações on-line;
•
bases de dados;
•
redes privativas virtuais (VPN);
•
mensagens;
•
cifração de chaves de sessão (SSL/TLS);
•
•
assinatura de documentos eletrônicos com
verificação da integridade de suas
informações.
outras informações eletrônicas, com a
finalidade de garantir o seu sigilo.
•
59
Cifração de:
60
15
ICP-Brasil – ITI
Atribuições do ITI (MP 2.200-2)
•
Autarquia vinculada à Casa Civil da
Presidência da República.
•
AC-Raiz da ICP-Brasil.
•
p
Não p
pode emitir certificados para
usuários.
•
Pode emitir certificados cruzados com outras
ICP.
•
Executa políticas e normas do CG/ICP-Brasil;
•
emite, expede, distribui, revoga e gerencia os
certificados das AC de nível imediatamente
subsequente ao seu;
•
fiscaliza e audita AC, AR e prestadores de
serviço habilitados;
•
pode exercer outras atribuições definidas
pelo CG/ICP-Brasil.
61
ICP-Brasil – ACs Credenciadas*
•
•
•
•
•
•
•
•
62
Exercícios
Presidência da República;
Serviço Federal de Processamento de Dados
(SERPRO);
Centralização dos Serviços dos Bancos S.A
(SERASA);
Secretaria da Receita Federal (SRF);
CertiSign;
Caixa Econômica Federal (CEF);
AC-Jus;
* Algumas possuem AC subsequentes.
AC-IMESP.
13. [64](Analista em Ciência e Tecnologia Jr I – Análise
de Sistemas – Informática – CAPES/2008 –
CESGRANRIO) Observe as afirmativas abaixo sobre
certificados digitais ICP-Brasil.
I - Somente as Autoridades Certificadoras ligadas
diretamente à AC Raiz da ICP-Brasil podem emitir
certificados para pessoa física.
II - A ICP-Brasil mantém, por segurança, uma cópia das
chaves privadas de cada certificado A3 emitido.
III - Um certificado digital contém, entre outros itens, a
chave pública do proprietário e a assinatura digital do
emissor.
Está(ão) correta(s) SOMENTE a(s) afirmativa(s)
(A) II
(B) III
(C) I e II
(D) I e III
(E) II e III
63
16
Gabarito das Questões
1. B
11. 1E-2C
2. B
12. A
3. A
13. B
4. 1C-2E
5. E
6. C
7. D
8. C
9. 1C-2E
10. 1E-2C
65
17