Transcript of Certificação Digital ICP-Brasil Infra-Estrutura de Chaves Públicas.
- Slide 1
- Certificao Digital ICP-Brasil Infra-Estrutura de Chaves
Pblicas
- Slide 2
- ICP-Brasil Instituda pela Medida Provisria 2.200-2 de
24/08/2001, que cria o Comit Gestor da ICP-Brasil, a AC Raiz e
define as demais entidades que compem a estrutura. Atualmente, 45
resolues regendo as atividades integrantes. www.iti.org
- Slide 3
- Comit Gestor AC Raiz COTEC AC (Nvel 1) AC (Nvel 2) AR PSS
Auditorias Independentes PSS AR ESTRUTURA DA ICP-BRASIL Organograma
Simplificado Titulares Fonte: Ribeiro, A. M. et ali
- Slide 4
- Comit Gestor Coordena a implantao e o funcionamento da
ICP-Brasil. Estabelece a poltica, os critrios e normas para
credenciamento das ACs (Autoridades Certificadoras), (ARs)
(Autoridade de Registro) e prestadores de servios em todos os nveis
da cadeia de certificao.
- Slide 5
- Comit Gestor rgo responsvel por auditar a AC Raiz. Estabelece
polticas de certificado e regras operacionais das ACs e ARs e
define nveis da cadeia. Atualiza, ajusta e revisa procedimentos e
prticas para a ICP- Brasil.
- Slide 6
- Comit Gestor Promove a atualizao tecnolgica do sistema e sua
conformidade com as polticas de segurana. Estabelece a poltica de
certificao e as regras operacionais da AC Raiz. Homologa, audita e
fiscaliza a AC Raiz e seus prestadores de servio.
- Slide 7
- Comit Gestor Credencia e autoriza o funcionamento das ACs e das
ARs, emitindo o correspondente certificado. Avalia as polticas de
ICPs externas. Negocia e aprova acordos bilaterais de certificao e
outras formas de cooperao internacional, verificando sua
compatibilidade com a ICP-Brasil.
- Slide 8
- COTEC Comit Tcnico presta suporte tcnico e assistncia ao Comit
Gestor, podendo manifestar-se previamente sobre matrias apreciadas
e decididas por este.
- Slide 9
- AC Raiz a primeira da cadeia de certificao. Executa tudo o que
aprovado pelo Comit Gestor. Expede, gerencia e revoga os
certificados das ACs de nveis susequentes. Executa atividades de
auditoria das ACs e ARs e dos PSS habilitados na ICP. Participa na
celebrao de convnios internacionais.
- Slide 10
- ACs Entidades credenciadas a emitir certificados digitais.
Expedem, gerenciam e revogam os certificados de titulares- usurios.
Mantm as LCRs e registros de suas operaes.
- Slide 11
- ARs Autoridades de Registro so entidades operacionalmente
vinculadas determinada AC. Compete-lhes identificar e cadastrar
usurios na presena destes. Encaminhar solicitaes de certificados s
ACs. Manter registros de suas operaes.
- Slide 12
- PSS Prestador de Servios de Suporte so empresas contratadas por
uma AC ou AR para realizar: Disponibilizao de infra-estrutura fsica
e lgica; Disponibilizao de recursos humanos especializados.
- Slide 13
- Auditorias Independentes So empresas, autorizadas pela AC Raiz,
contratadas pelas ACs para realizar auditorias operacionais em
entidades a elas subordinadas.
- Slide 14
- Titulares de Certificados So pessoas fsicas ou jurdicas que
podem ser titulares dos certificados digitais emitidos por uma das
ACs integrantes da ICP-Brasil.
- Slide 15
- Terceira Parte A parte que confia no teor, validade e
aplicabilidade do certificado digital por uma das ACs, integrantes
da ICP- Brasil.
- Slide 16
- Garantias da ICP-Brasil O par de chaves criptogrficas deve ser
gerado sempre pelo prprio titular e sua chave privada de assinatura
de seu exclusivo controle. Os documentos assinados com processo de
certificao da ICP-Brasil possuem presuno de validade jurdica. So
utilizados padres internacionais: algoritmos criptogrficos e
tamanhos de chaves que oferecem segurana.
- Slide 17
- Garantias da ICP-Brasil As instalaes e procedimentos das
entidades credenciadas possuem um nvel pr-estabelecido de segurana
fsica, lgica e de pessoal, seguindo padres internacionais. As
entidades componentes da ICP-Brasil so obrigadas a declararem em
repositrio pblicas prticas de segurana. As entidades esto sujeitas
as auditorias, de credenciamento e para manter-se
credenciadas.
- Slide 18
- Garantias da ICP-Brasil Os dados de certificados so mantidos
por no mnimo 30 anos. Todas as ACs so obrigadas a contratar seguro
para cobertura de responsabilidade civil suficiente e compatvel com
o risco. obrigatria a validao presencial dos titulares para obteno
de certificados.
- Slide 19
- Abril de 2006 Infra-estrutura de Chave Pblica 19 Certificado
Digital A maneira mais comum de saber se uma chave pblica pertence
ou no a uma entidade de destino (uma pessoa ou empresa) por meio de
um certificado digital. Um certificado digital associa um nome a
uma chave pblica.
- Slide 20
- Abril de 2006 Infra-estrutura de Chave Pblica 20 Estrutura
Bsica de um Certificado Assinatura CA Nome Chave Pblica Mensagem
Certificado
- Slide 21
- Abril de 2006 Infra-estrutura de Chave Pblica 21 Percepo Fraude
Um certificado produzido de tal maneira que o torna perceptvel se
um impostor pegou um certificado existente e substituiu a chave
pblica ou o nome. Qualquer pessoa ao examinar esse certificado
saber se est errado.
- Slide 22
- Abril de 2006 Infra-estrutura de Chave Pblica 22 Fraude Talvez
o nome ou a chave pblica esteja errado; Portanto, no se pode
confiar nesse certificado, ou seja, o par (nome,chave).
- Slide 23
- Abril de 2006 Infra-estrutura de Chave Pblica 23 Certificados
de Chave Pblica Um meio seguro de distribuir chaves pblicas para as
partes verificadoras dentro de uma rede. Pretty Good Privacy (PGP)
SET (Secure Electronic Transactions) IPSec (IP Security) X.509 v3
(padro internacional ITU-1988, 1993, 1995, IETF-RFC2459-1999)
- Slide 24
- Estrutura do Certificado X.509
- Slide 25
- Abril de 2006 Infra-estrutura de Chave Pblica 25 Estrutura de
Certificado X.509 1. Verso 2. Nmero Serial 3. Identificador do
algoritmo de assinatura 4. Nome do Emissor nome DN da CA que cria e
emite. 5. Validade
- Slide 26
- Abril de 2006 Infra-estrutura de Chave Pblica 26 Estrutura de
Certificado X.509 6. Nome do Sujeito nome DN da entidade final
(usurio ou uma empresa). 7. Informao da Chave Pblica do sujeito:
(valor da chave, identificador do algoritmo, parmetros do
mesmo)
- Slide 27
- Abril de 2006 Infra-estrutura de Chave Pblica 27 Estrutura de
Certificado X.509 8. Identificador nico do emissor: (no recomendado
pela RFC 2459) 9. Identificador nico do sujeito: (no recomendado
pela RFC2459)
- Slide 28
- Abril de 2006 Infra-estrutura de Chave Pblica 28 Estrutura de
Certificado X.509 10. E xtenses de verses de certificados.
Identificador de Chave de Autoridade para qualquer certificado
auto-assinado. Identificador de Chave de Sujeito Utilizao de chave
11. Assinatura da CA
- Slide 29
- Abril de 2006 Infra-estrutura de Chave Pblica 29 Nomes de
Entidades Certificados X.509 v3 concedem flexibilidade para nomes
de entidades. As entidades podem ser identificadas pelas seguintes
formas de nomes: - endereo de e-mail - domnio de Internet - e-mail
X.400 - nome de diretrio X.500 - nome de EDI - URI da Web: URN, URL
- endereo IP
- Slide 30
- Abril de 2006 Infra-estrutura de Chave Pblica 30 Nomes de
Entidades Em um certificado de chave pblica, os nomes de entidades
(emissor e sujeito) devem ser nicos.
- Slide 31
- Abril de 2006 Infra-estrutura de Chave Pblica 31 Componentes de
uma ICP (PKI) Autoridade Certificadora (CA) Autoridade Registradora
(RA) Diretrio X.500 Servidor de Recuperao de Chave Usurios Finais 1
2 3 5 4 6 Repositrio de Certificados
- Slide 32
- Abril de 2006 Infra-estrutura de Chave Pblica 32 Componentes de
uma PKI Autoridade Certificadora (CA) Autoridade Registradora (RA)
Diretrio de Certificados (X.500) Servidor de Recuperao de Chave
Protocolos de Gerenciamento Protocolos Operacionais
- Slide 33
- Protocolos de Gerenciamento Comunicao on-line com os usurios
finais e o gerenciamento dentro de uma ICP: Entre RA e um usurio
final. Entre duas CAs. Funes Inicializao Registro Certificao
Recuperao de chave Atualizao de chave Revogao Certificao
cruzada
- Slide 34
- Protocolos Operacionais Permitem a transferncia de certificados
e das informaes de status de revogao, entre diretrios, usurios
finais e parte verificadoras. X.509 no especifica nenhum nico
protocolo operacional para uso dentro de um domnio de ICP.
Protocolos usados: HTTP, FTP,
LDAP-LightweightDiretoryAccessProtocol Email
- Slide 35
- Abril de 2006 Infra-estrutura de Chave Pblica 35 Partes de
sistema PKI Infra-estrutura PKI Usurio Final / Empresa Parte
Verificadora
- Slide 36
- Abril de 2006 Infra-estrutura de Chave Pblica 36 Interao das
partes em PKI Infra-estrutura de PKI Usurio Final ou Empresa Parte
Verificadora Certificado X.509 Informao de Status de Revogao de
Certificado LDAP, HTTP, FTP, e-mail LDAP OCSP / CRL
- Slide 37
- Online Certificate Status Protocol (OCSP) The Online
Certificate Status Protocol (OCSP) um protocolo Internet usado para
obter o status is an Internet protocol used for obtaining the
revocation status of an X.509 digital certificate. It is described
in RFC 2560 and is on the Internet standards track. It was created
as an alternative to certificate revocation lists (CRL)Internet
protocolX.509 digital certificateRFC 2560 Internet standards
certificate revocation lists
- Slide 38
- Online Certificate Status Protocol (OCSP) 1. Alice and Bob have
public key certificates issued by Ivan, the Certificate Authority
(CA). Alice and Bobpublic key certificatesCertificate Authority 2.
Alice and Bob have public key certificates issued by Ivan, the
Certificate Authority (CA). Alice and Bobpublic key
certificatesCertificate Authority 3. Bob, concerned that Alice's
key may have been compromised, creates an 'OCSP request' that
contains Alice's certificate serial number and sends it to
Ivan.
- Slide 39
- Online Certificate Status Protocol (OCSP) 4. Ivan's OCSP
responder reads the certificate serial number from Bob's request.
The OCSP responder uses the certificate serial number to look up
the revocation status of Alice's certificate. The OCSP responder
looks in a CA database that Ivan maintains. In this scenario,
Ivan's CA database is the only trusted location where a compromise
to Alice's certificate would be recorded.
- Slide 40
- Online Certificate Status Protocol (OCSP) 5. Ivan's OCSP
responder confirms that Alice's certificate is still OK, and
returns a signed, successful 'OCSP response' to Bob.signed 6. Bob
cryptographically verifies Ivan's signed response. Bob has stored
Ivan's public key sometime before this transaction. Bob uses Ivan's
public key to verify Ivan's response. 7. Bob completes the
transaction with Alice.
- Slide 41
- Abril de 2006 Infra-estrutura de Chave Pblica 41 Tipo de
Autoridades Certificadora Autoridades de Certificao de Raiz (ou
Autoridades de Certificao Superiores ou ainda Autoridades de
Certificao de Maior Nvel), que emitem diretamente os
certificados,...... Autoridades de Certificao Intermedirias, cujos
certificados so emitidos indiretamente pelas Autoridades de
Certificao Raiz.
- Slide 42
- Autoridades de Certificao Podemos pensar no caminho entre a
Autoridades de Certificao Raiz e o Cliente como uma cadeia de
certificao, j que existe a Autoridades de Certificao Raiz, que
emitem os certificados para as Autoridades de Certificao
Intermedirias, se existirem, e essas para o Cliente (ou utilizador
final) que aplica o certificado.
- Slide 43
- Autoridades de Certificao Caso o certificado no seja emitido
por uma Autoridade de Certificao, este chamado auto-assinado, ou
seja, o proprietrio ocupa os lugares de Autoridade de Certificao,
Autoridade de Registo e Cliente. Autoridade de Registo Este o caso
quando se utiliza o OpenSSL.
- Slide 44
- Autoridades de Certificao Exemplos de Autoridades de Certificao
internacionais so a americana VeriSign ou a britnica
Equifax.VeriSignEquifax Exemplos de Autoridades de Certificao
Intermedirias so a portuguesa Saphety, a tambm portuguesa Multicert
e a Brasiliera Certisign.SaphetyMulticertCertisign