IICriptografiaecertificadodigital New
-
Upload
henrique-aguilar -
Category
Documents
-
view
19 -
download
0
description
Transcript of IICriptografiaecertificadodigital New
Professor - Ricardo Leocádio
1Contato- [email protected]
Segurança da Informação
Criptografia e Certificado Digital
• Neste capítulo iremos aprender os conceitos sobre criptografia, certificado digital, assinatura digital e demais elementos desse cenário.
Objetivos
• Apostila de acompanhamento da disciplina, das páginas 45 a 72
Documentos
Professor - Ricardo Leocádio
2Contato- [email protected]
Segurança da Informação
Certificação Digital
Algoritmo simétrico
Algoritmo assimétrico
Algoritmo criptográfico
Assinatura Digital
Autoridade Certificadora
Autoridade de Registro
Certificado de Sigilo Certificado de Assinatura
Chave pública
Chave privada
Hash
PKI
PKCS
Professor - Ricardo Leocádio
3Contato- [email protected]
Segurança da Informação
Solução para o mundo digital:Tornar os dados armazenados e em trânsito ininteligíveis até a chegada ao destinatário pretendido.
Criptografia é a solução!
Mas deve ser:Disponível e de fácil uso;Embutida nas aplicações e transparente para o usuário.
Sigilo e Privacidade
Leitura obrigatória
desse conteúdo.
Página 45
Professor - Ricardo Leocádio
4Contato- [email protected]
Segurança da Informação
Criptografia deve garantir os aspectos de integridade, confidencialidade,
autenticidade e Irretratabilidade
Co
nfi
de
nc
ialid
ad
e
- A
ute
ntic
açã
o
- A
uto
riza
ção
- P
riva
cid
ad
e
- S
igilo
Inte
gri
da
de
Au
ten
tic
ida
de
Irre
tra
tab
ilid
ad
e
- A
ssin
atu
ra
- N
ão
re
pú
dio
Transações digitais Seguras
Sistemas de criptografia
Leitura obrigatória
desse conteúdo.
Página 46
Professor - Ricardo Leocádio
5Contato- [email protected]
Segurança da Informação
Como transferir a credibilidade baseada em conhecimento
e papel para o ambiente virtual?
Problema Central
Professor - Ricardo Leocádio
6Contato- [email protected]
Segurança da Informação
Documento
Original
Timbre
Autenticação, Integridade,
Não repúdio
Assinatura
Assinatura
Original
45c
Confidencialidade
Envelope Selado
Mecanismo de segurança tradicional
Professor - Ricardo Leocádio
7Contato- [email protected]
Segurança da Informação
Confidencialidade: Garantia
de que a informação não pode
ser lida ou copiada por
alguém não autorizado a fazê-
lo.
Fundamental em transações
eletrônicas onde a informação
não pode ser revelada para
terceiros. Exemplo: Dados
pessoais de indivíduos
5 pilares da Segurança
Professor - Ricardo Leocádio
8Contato- [email protected]
Segurança da Informação
Integridade: Garantia de
que a informação se
mantém consistente, ou
seja, não houve
modificação não autorizada
da mesma.
Fundamental em
transações legais;
financeiras etc
5 pilares - continuação
Professor - Ricardo Leocádio
9Contato- [email protected]
Segurança da Informação
Disponibilidade: Garantia
de que a informação está sempre disponível para os usuários autorizados.
Fundamental para prestação de serviços via Internet: Exemplo: agendamento on-line de consultas e exames na saúde pública.
5 pilares - continuação
Professor - Ricardo Leocádio
10Contato- [email protected]
Segurança da Informação
Autenticidade: Garantia de
que a informação só será
criada ou enviada por pessoas
autorizadas.
O pedido de cancelamento de
marca foi feita pelo
representante legal da
empresa ou um impostor?
5 pilares - continuação
Professor - Ricardo Leocádio
11Contato- [email protected]
Segurança da Informação
Não repúdio: Atributo que
protege contra a intenção de
um dos participantes refutar a
ocorrência de uma
comunicação e/ou transação.
Exemplos: recebimento de e-
mail; realização de uma
transação bancária etc
5 pilares - continuação
Professor - Ricardo Leocádio
12Contato- [email protected]
Segurança da Informação
• Confidencialidade
– garantia da privacidade na comunicação
• Integridade
– garantia que as informações não foram modificadas
• Irretratabilidade
- a autoria das comunicações não pode ser contestada
Criptografia
Certificados
Assinatura Digital
Assinatura Digital e Certificados
Confiança eletrônica
• Autenticação
– identificação inequívoca das partes envolvidas no processo
Professor - Ricardo Leocádio
14Contato- [email protected]
Segurança da Informação
História
• Presente nos Hieróglifos Egípcios
Tabela de Hieróglifos
• Os Romanos transmitiam planos de batalha em códigos secretos
• Vastamente utilizado na 2ª Guerra
Mundial
Enigma: Máquina utilizada pelos nazistas para codificar mensagens.
Professor - Ricardo Leocádio
15Contato- [email protected]
Segurança da Informação
Curiosidade
Code Talkers
O exército americano utilizou nativos de várias
tribos indígenas para o envio de mensagens.
Cena do filme: Códigos de Guerra (Windtalkers – 2002)
Professor - Ricardo Leocádio
16Contato- [email protected]
Segurança da Informação
Tipos de Criptografia – Histórico
Técnicas Básicas
Cifra de transposição: Reorganiza a ordem dos bits, caracteres ou bloco de caracteres.
ROT13 – é uma cifra de César, um tipo de cifra de substituição
Cifra de substituição: Troca os bits, caracteres ou bloco de caracteres por outros.
Professor - Ricardo Leocádio
17Contato- [email protected]
Segurança da Informação
Criptografia - Histórico
• Criptografia do grego -
– Kryptos = esconder + Grafia = escrever
• Uso:
– Julio César (56 AC) cada letra era substituida
por uma deslocada de três posições no
alfabetoA palavra CESAR é escrita como FHVDU
abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrst
Por exemplo, a mensagem: onde a chave seja 4
Transmita esta mensagem à tropa
Ficaria
Wudqvplwd hvwd phqvdjhp d wursd
Professor - Ricardo Leocádio
18Contato- [email protected]
Segurança da Informação
Cifra por transposição
Segundo Tanenbaum, nas cifras de transposição as letras
não são disfarçadas como nas cifras de substituição, no
entanto estas aparecem em uma ordem diferente do
texto original
Professor - Ricardo Leocádio
19Contato- [email protected]
Segurança da Informação
Conceito básico de criptografia
• Criptografia é o processo de converter um
texto aberto em um texto cifrado
• Decriptografia é o processo de reconverter um
texto cifrado em texto aberto
• Criptografia / Decriptografia utilizam uma
chave e um algoritmo
• Dois tipos de sistemas criptográficos:
– Simétrico
– Assimétrico
Professor - Ricardo Leocádio
20Contato- [email protected]
Segurança da Informação
Tipos de Criptografia
Criptografia Simétrica
Esse método não agrega a segurança necessária para algumas aplicações, pois a troca de chaves entre seus participantes pode se tornar inviável
Professor - Ricardo Leocádio
21Contato- [email protected]
Segurança da Informação
Características da criptografia Simétrica
• Performance:
– Rápida e Segura (se a chave for boa)
• Administração de Chaves:
– Não é prático para um número grande de usuários
(chave compartilhada)
• Aplicações:
– Sempre que a performance for o fator determinante
• nas comunicações entre duas máquinas
• no armazenamento da informação
Professor - Ricardo Leocádio
22Contato- [email protected]
Segurança da Informação
Tipos de Criptografia
Como funciona?
Chave
Algoritmo
Dados
Dados Criptografados
Dados
Algoritmo
Professor - Ricardo Leocádio
23Contato- [email protected]
Segurança da Informação
Requer uma chave compartilhada
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 1,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
Criptografia
+ + Algoritmo =
Decriptografia
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 1,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
+ + =Algoritmo
Criptografia Simétrica
Professor - Ricardo Leocádio
24Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
Criptografia Simétrica
DES 3DES AES
Professor - Ricardo Leocádio
25Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
DES 3DES AES
Data Encryption Standard•Chave pequena (56 bits);•Considerado inseguro para muitas aplicações;•A Eletronic Frontier Foundation levou 22 horas e 15 minutos para quebrar uma chave DES.
Criptografia Simétrica
Professor - Ricardo Leocádio
26Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
DES 3DES AES
Triple Data Encryption Standard•Baseado no DES•Utiliza 3 chaves de 64 bits•Mais lento, porém mais seguro
Criptografia Simétrica
Professor - Ricardo Leocádio
27Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
DES 3DES AES
Advanced Encryption Standard•Chave de 128, 192 e 256 bits•Um dos mais populares algoritmos simétricos;•Tornou-se padrão efetivo em 2002.
Criptografia Simétrica
Professor - Ricardo Leocádio
28Contato- [email protected]
Segurança da Informação
Os algoritmos de chave assimétrica (ou de chave
pública e privada), utilizam duas chaves : uma
pública que é divulgada e outra secreta
conhecida somente pôr seu proprietário.
Criptografia Assimétrica
Professor - Ricardo Leocádio
29Contato- [email protected]
Segurança da Informação
Neste sistema, cada pessoa tem duas chaves: a
pública e a privada. As mensagens criptografadas com
uma das chaves do par só podem se decriptografadas
com a outra chave correspondente do par; portanto,
qualquer mensagem cifrada com a chave privada só
pode ser decifrada com a chave pública e vice-versa.
Criptografia Assimétrica
Professor - Ricardo Leocádio
30Contato- [email protected]
Segurança da Informação
Características Criptografia Assimétrica
• Performance:
– Baixa. Não é prática para uso intensivo
• Administração de Chaves:
– A chave pública pode ser distribuída livremente
• Aplicações:
– Criptografia
– Assinatura Digital / Verificação
– Troca de chaves
Professor - Ricardo Leocádio
31Contato- [email protected]
Segurança da Informação
Par de Chaves:
• Relacionadas matematicamente
• Números primos extremamente grandes
• Não existe fórmula matemática
conhecida de determinar uma a partir da
outra
• A eficiência das chaves depende do seu
tamanho e de outros fatores
Criptografia Assimétrica
Professor - Ricardo Leocádio
32Contato- [email protected]
Segurança da Informação
Sem segredos compartilhados
Opera com um par de chaves relacionadas, uma pública e uma privada
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
Criptografia
+ + Algoritmo =Chave Pública
Decriptografia
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
+ + Algoritmo =Chave Privada
Criptografia Assimétrica
Professor - Ricardo Leocádio
33Contato- [email protected]
Segurança da Informação
A criptografia assimétrica é conhecida como
Criptografia de Chave Pública (Public Key
Cryptography)
• A chave pública é divulgada
• A chave privada é proprietária (deve ser
armazenada com segurança)
• A chave pública é usada para criptografar
e só a chave privada pode decriptografar
Criptografia Assimétrica
Professor - Ricardo Leocádio
34Contato- [email protected]
Segurança da Informação
Tipos de Criptografia
Criptografia Assimétrica
Os algoritmos de chave assimétrica (ou de chave pública e privada), utilizam duas chaves: uma pública que é divulgada e outra secreta conhecida somente pôr seu proprietário.
Chave pública Chave privada
Professor - Ricardo Leocádio
35Contato- [email protected]
Segurança da Informação
Tipos de Criptografia
Como Funciona?
Algoritmo
Dados
Dados Criptografados
Chave pública Chave privada
Algoritmo
Dados
Professor - Ricardo Leocádio
36Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
RSADiffie-
Hellman
Criptografia Assimétrica
Professor - Ricardo Leocádio
37Contato- [email protected]
Segurança da Informação
Exemplos:
Tipos de Criptografia
Rivest Shamir Adleman•Foi desenvolvido por 3 professores do MIT;•É considerado o mais seguro (768 a 4096 bits);•Foi o primeiro algoritmo que possibilitou a assinatura digital.
RSADiffie-
Hellman
Criptografia Assimétrica
Professor - Ricardo Leocádio
38Contato- [email protected]
Segurança da Informação
Exemplos de algoritmos:
Tipos de Criptografia
DIFFIE- HELLMAN•Foi desenvolvido por Whitfield Diffie e Martin Hellman;•É utilizado em VPN’s (Virtual Private Network);•Foi o primeiro sistema comercial a utilizar chave pública.
RSADiffie-
Hellman
Criptografia Assimétrica
Professor - Ricardo Leocádio
39Contato- [email protected]
Segurança da Informação
• Usar um algoritmo
assimétrico para informar
as chaves criadas.
(transporte)
• Usar algoritmo assimétrico
para assinatura digital.
Considerando:
Qual a melhor opção?
Simétrico Assimétrico
Performance Alta Baixa
Distribuição das chaves
Complexa Simples
• Usar criptografia simétrica
para aplicações de uso
intensivo. (criar uma
chave nova a cada seção)
Professor - Ricardo Leocádio
40Contato- [email protected]
Segurança da Informação
Assinatura Digital
Professor - Ricardo Leocádio
41Contato- [email protected]
Segurança da Informação
A assinatura digital é uma modalidade de assinatura
eletrônica, resultado de uma operação matemática que
utiliza algoritmos de criptografia assimétrica e permite
aferir, com segurança, a origem e a integridade do
documento assinado.
Assinatura digital
Professor - Ricardo Leocádio
42Contato- [email protected]
Segurança da Informação
HASH
Um hash é uma seqüencia de letras ou números geradas por um
algoritmo de hashing.
Essa seqüencia busca identificar um arquivo ou informação
unicamente. Por exemplo, um e-mail, uma senha, uma chave ou
mesmo um arquivo. Ele é um método para transformar dados de tal
forma que o resultado seja (quase) exclusivo. Além disso, funções
usadas em criptografia garantem que não é possível a partir de um
valor de hash retornar à informação original.
Como a seqüencia do hash é limitada, muitas vezes não
passando de 512 bytes, existem diversas colisões (seqüencias iguais
para dados diferentes). Quanto maior for a dificuldade de se criar
colisões intencionais, melhor é o algoritmo.
Os mais usados algoritmos de hash são os de 16 bytes: MD2, MD4,
MD5 ou o SHA-1, de 20 bytes.
Professor - Ricardo Leocádio
43Contato- [email protected]
Segurança da Informação
• É impossível produzir um documento que resulte em um determinado hash
• É matematicamente intratável encontrar outra mensagem com o mesmo hashing.
• A alteração de um único bit da informação produz um hash completamente diferente
• Não usa chaves
• Usado para:
–verificar a integridade dos dados
–produzir assinaturas digitais
Características de Hashing
Professor - Ricardo Leocádio
44Contato- [email protected]
Segurança da Informação
D4 21 F5 3D 22 9A
CC B7 3C AA E2 DC
12 1A A1 CB
Entrada: String de bits de tamanho variável.
Saída: String de bits de tamanho fixo (128 ou 160bits).
Exemplos de algoritmos:
MD-5 (128 bits)
SHA-1 (160 bits)
Hash
HASH – Uma amostra
Professor - Ricardo Leocádio
45Contato- [email protected]
Segurança da Informação
D4 21 F5 3D 22 9A
CC B7 3C AA E2Enviar 1.000
Unidades por
R$ 10 cada
D4 21 F5 3D 22
9A CC B7 3C
AA E2
D4 21 F5 3D 22 9A
CC B7 3C AA E2Enviar 1.000
Unidades por
R$ 10 cada
Transmite para
o destino
D4 21 F5 3D 22
9A CC B7 3C
AA E2
Iguais ?
Hash
Hash
HASH – Integridade
Professor - Ricardo Leocádio
46Contato- [email protected]
Segurança da Informação
Algoritmo de HASH - MD5
O MD5 (Message-Digest algorithm 5) é um algoritmo de hash de 128 bits
unidirecional desenvolvido pela RSA, descrito na RFC 1321, usado por
softwares com protocolo ponto-a-ponto (P2P), verificação de integridade e
logins.
Foi desenvolvido em 1991por Ronald Rivest para suceder ao MD4 que
tinha alguns problemas de segurança. Por ser um algoritmo unidirecional, um
hash md5 não pode ser transformada novamente na password (ou texto)
que lhe deu origem, o método de verificação é, então, feito pela
comparação das duas hash (uma da base de dados, e a outra da tentativa
de login).
O MD5 também é usado para verificar a integridade de um arquivo
através, por exemplo, do programa MD5SUM, que cria um hash de um
arquivo. Isto pode-se tornar muito útil para downloads de arquivos grandes,
para programas P2P que constroem o arquivo através de pedaços e estão
sujeitos à corrupção. Como login é utilizada em vários sistemas operacionais
unix e em muitos sites como autenticação.
Professor - Ricardo Leocádio
47Contato- [email protected]
Segurança da Informação
Algoritmo de HASH - SHA-1
O SHA-1, é uma revisão do SHA ( Secure Hash Algorithm, Algoritmo de Resumo Seguro),
desenvolvido por sua vez pelo NIST (National Institute of Standards and Technology),
dos EUA. Este algoritmo recebe como entrada um documento qualquer sob a forma
digital com um tamanho de até 2 elevado a 64 bits (18.446.744.073.709.551.616 bits)
ou 2.305.843.009.213.693.952 "Bytes" ou caracteres, e gera como saída um resumo de
160 bits ou 20 Bytes.
Ele é um pouco mais lento que o MD5 mas em compensação mais difícil de ser
quebrado. Como exemplo o SHA-1 do parágrafo seguinte, é:
"e93d2b15501fee757c4cfce88af338c5088adf66"
11111111111111111111111111111111111111111111111111111111111111111
Se trocarmos o 1 inicial por 2 o SHA-1 será:
"7a291e85bfd89446ffe55a43fcaaa3de09c23cf2"
21111111111111111111111111111111111111111111111111111111111111111
Como pode ser observado a simples mudança de um caractere alterou
completamente o resultado do cálculo do SHA-1.
A título de curiosidade o SHA-1 do Hino Nacional Brasileiro completo
é: "1760600b0dd84f970f6287a422801a869190d699"
Professor - Ricardo Leocádio
48Contato- [email protected]
Segurança da Informação
Colisão de HASH
Uma das particularidades da assinatura digital e que a confianca
estabelecida sobre ela depende da confianc a nos algoritmos
envolvidos. E um dos algoritmos utilizados e um algoritmo de resumo
criptogra fico ou hash.
Ao olhar com mais atencao para a funcao de resumo, percebe-se
algumas caracteristicas importantes. Entre elas, destaca-se o fato de
que a func ao resumo tem tamanho fixo limitado. Por exemplo, o
MD5 tem 128 bits, o SHA-1 tem 160 bits.
Mas se olharmos para as mensagens, nao ha limite de tamanho. Eu
posso escrever quantas mensagens eu desejar, potencialmente
infinitas mensagens.
Desta forma, torna-se evidente que necessariamente mais de uma
mensagem vai ter o mesmo hash. Este evento recebe o nome de
colisao de hash, e e critico para a confianca em uma assinatura
digital.
Professor - Ricardo Leocádio
49Contato- [email protected]
Segurança da Informação
Assinatura digital
O uso da criptografia assimétrica garante a confiabilidade
e a autenticidade da comunicação. Mas como assegurar sua
integridade e origem?
A saída foi combinar o uso de chaves públicas com uma
assinatura digital.
Assim como a criptografia assimétrica, a assinatura digital é
uma sequência de bits resultante de uma operação
matemática conhecida como função hashing. Essa função
analisa todo o documento ou arquivo e, com base no
algoritmo matemático, gera um valor de tamanho fixo para
ele. Esse valor varia de acordo com a sequência de bits do
documento, e como cada caractere tem uma composição
binária, qualquer mudança no arquivo original fará com que o
valor hash seja diferente e a assinatura se torne inválida.
Professor - Ricardo Leocádio
50Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Assinatura Digital – Assinando documento
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do
algoritmo de Hash
KXLO90282HDG28271K
Hash encriptado
com a chave
privada
Texto assinado
digitalmente -15 KB
Texto
–10K
B
MENSAGEM DIGEST
Professor - Ricardo Leocádio
51Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do
algoritmo de Hash
Texto
assin
ado d
igitalm
ente
-15 K
B
Texto – 10KB
KXLO90282HDG28271K
D4 21 F5 3D 22 9A CC B7 3C AA
Hash – Resultado
do processo de
descriptografia
Ação de descriptografar
a informação
Se os Hash’s são iguais, o
texto não foi alterado.
Assinatura Digital – Assinando documento
Algoritmo
de Hash
Professor - Ricardo Leocádio
52Contato- [email protected]
Segurança da Informação
Certificado Digital
Professor - Ricardo Leocádio
53Contato- [email protected]
Segurança da Informação
O que é certificado digital
O certificado digital é um documento eletrônico que contém informações
que identificam uma pessoa, uma máquina ou uma instituição na Internet.
Para fazer isso, ele usa um software como intermediário - pode ser o
navegador, o cliente de e-mail ou outro programa qualquer que reconheça
essa informação. O certificado digital é emitido a pessoas físicas (cidadão
comum) e jurídicas (empresas ou municípios), equipamentos e aplicações.
A emissão é feita por uma entidade considerada confiável, chamada
Autoridade Certificadora. É ela quem vai associar ao usuário um par de
chaves criptográficas (pública e privada). São essas chaves, emitidas e
geradas pelo próprio usuário no momento da aquisição do certificado, que
transformam um documento eletrônico em códigos indecifráveis que
trafegam de um ponto a outro sigilosamente.
Enquanto a chave pública codifica o documento, a chave privada
associada à ela decodifica. E vice-versa. Um certificado pode ser usado em
conjunto com uma assinatura digital. Neste caso, a assinatura digital fica de
tal modo vinculado ao documento eletrônico que qualquer alteração o
torna inválido.
Professor - Ricardo Leocádio
54Contato- [email protected]
Segurança da Informação
Certificados Digitais
Os certificados digitais podem ser armazenados por
usuários em Tokens, em Smart Card, ou em discos
locais provendo juntamente com senhas de acesso, a
autenticação forte.
Por possuírem a garantia da assinatura digital do seu
possuidor servem como elemento de não repúdio em
transações digitais as mais variadas.
Tipos de Certificados Digitais
Professor - Ricardo Leocádio
55Contato- [email protected]
Segurança da Informação
Para dar validade jurídica aos documentos
eletrônicos.
• Permite cifrar o conteúdo das mensagens
para que elas cheguem integras e
confidenciais ao destinatário.
• Atribuir a característica do não-repudio
Prover autenticação forte.
• Permite ao titular se autenticar como autor da
mensagem
Certificado digital – Para que serve?
Professor - Ricardo Leocádio
56Contato- [email protected]
Segurança da Informação
A estrutura de um certificado
Os certificados digitais e as listas de certificados
revogados sa o armazenados em arquivos, e sua
estrutura, ou seja, a forma que seus dados sao
estruturados sa o definidos utilizando o Abstract Syntax
Notation One (ASN.1).
A ASN.1 e uma notacao padra o que permite a
representac ao, codificaca o/decodificac ao e
transmissao de dados. Este formato possui uma se rie de
regras para a descrica o e codificacao das estruturas de
forma precisa, evitando ambiguidades.
Professor - Ricardo Leocádio
57Contato- [email protected]
Segurança da Informação
Os Certificados Digitais são compostos por:
Dados do portador
Chave pública do portador
Dados da AC emissora
Assinatura digital da AC emissora
Período de validade do certificado
Número de série do certificado
Outros dados complementares
A estrutura de um certificado
Professor - Ricardo Leocádio
58Contato- [email protected]
Segurança da Informação
A estrutura de um certificado
Um certificado digital contém
dois tipos de informação: as
gerais e as detalhadas. Nas
informações gerais é possível
saber:
• A quem pertence o
certificado (titular do
certificado)
• Quem o emitiu (autoridade
certificadora)
• Qual a sua validade
Método criptográfico da
assinatura do certificado
Professor - Ricardo Leocádio
59Contato- [email protected]
Segurança da Informação
A estrutura de um certificado
Nos detalhes do certificado há
três áreas em que é possível
obter mais informações sobre a
hierarquia e sobre cada campo
do certificado.
Ao selecionar um item no
campo (Certificate Fields), seus
dados são exibidos no campo
Valor (Field Value).
Sobre o dono do certificado,
pode-se saber nome, e-mail ou
CPF/CNPJ, por exemplo. Sobre o
emissor, seus dados e suas
assinaturas.
Professor - Ricardo Leocádio
60Contato- [email protected]
Segurança da Informação
Princípio da relação de confiança de uma
Autoridade Certificadora.
Cartório
A A
A
A
OK!
Cartório
tal
Professor - Ricardo Leocádio
61Contato- [email protected]
Segurança da Informação
Teia de confiança
Apesar de serem os elementos principais da certificação digital, a
assinatura e o certificado são como a ponta de um iceberg. Sob a
superfície da água se encontra toda uma cadeia que envolve
protocolos de segurança, políticas de uso, entidades certificadoras,
salas-cofre e autoridades de registro, que seguem diretrizes e normas
técnicas determinadas por uma entidade ou comitê gestor. Essa
cadeia é chamada de Infra-estrutura de Chaves Públicas (ICP, em
português, ou PKI, em inglês). Uma empresa pode criar sua própria
ICP. Um país pode ter uma ou várias ICPs. Um certificado digital só é
válido se ele segue os políticas e protocolos de segurança
determinados por uma ICP, e isso vale para qualquer lugar do
mundo.
Os elementos que compõem a teia de confiança da certificação
digital tanto para órgãos públicos quanto para a iniciativa privada
são:
Professor - Ricardo Leocádio
62Contato- [email protected]
Segurança da Informação
Teia de confiança
• Autoridade Certificadora Suprema
(AC-Raiz) - autoriza as operações das
autoridades certificadoras;
• Autoridades Certificadoras (AC) -
emitem o certificado digital das
autoridades de registro e de
autoridades certificadoras por ela
credenciadas, além de atestar a
identidade do titular do documento;
• Autoridades de Registro (AR) -
comprovam fisicamente a identidade
do usuário, podendo auxiliá-lo na
geração do par de chaves, solicita os
certificados a uma AC;
Professor - Ricardo Leocádio
63Contato- [email protected]
Segurança da Informação
Carimbo de tempo
Um carimbo de tempo e semelhante a uma assinatura digital, mas
contem tambem uma informacao de data/hora confiavel. Desta
forma, um carimbo de tempo cria uma “ancora” entre o conteu do
assinado e uma data, de forma confiavel.
Para isso e necessario uma TimeStamping Authority (TSA), ou
Autoridade de Carimbo de Tempo. Trata-se de uma entidade
confiavel (assim como e uma Autoridade Certificadora) que fornece
o servic o de carimbo de tempo.
O carimbo de tempo pode ser feito sobre qualquer dado. Mas um
dos usos mais comuns e a aplicaca o do carimbo de tempo apenas
a assinatura digital, já que ancorando-a ao tempo, estará sendo
ancorado todo o documento junto.
Professor - Ricardo Leocádio
64Contato- [email protected]
Segurança da Informação
Carimbo de tempo
Desta forma, o carimbo de
tempo permite se ter certeza da
existencia de um documento em
determinada data.
Com esta garantia, caso o
certificado do signatario venha a
expirar, ou o algoritmo/hash da
assinatura esteja comprometido,
o carimbo garantirá que a
assinatura ocorreu antes da
existencia destes problemas, e
que portanto a assinatura pode
ser validada com base na data
do carimbo, e nao na data
atual.
Professor - Ricardo Leocádio
65Contato- [email protected]
Segurança da Informação
ICP-Brasil - Infra-Estrutura de Chaves Públicas do Brasil, criada
pela Medida Provisória Nº 2.200-2 (24/8/01).
As atividades do Comitê Gestor ICP-Brasil foram
regulamentadas e redefinidas pelo decreto 3.872.
Estrutura da ICP-Brasil
Professor - Ricardo Leocádio
66Contato- [email protected]
Segurança da Informação
Classe 1:
A AC exige apenas o endereço eletrônico do
proponente para emitir o certificado.
Identificação para acesso a alguns serviços.
Classe 2:
A AC exige a confirmação dos dados do
proponente a partir de uma fonte confiável.
Transações de pequena soma/e-mail seguro
Classe 3 e 4:
Exige-se a presença do proponente perante
uma Autoridade de Registro (Cartório).
Transações de alto valor.
Classe de Certificados Digitais
Professor - Ricardo Leocádio
67Contato- [email protected]
Segurança da Informação
Lista de Certificados Revogados
Para que seja possi vel determinar se as informac o es contidas
em um certificado digital sao validas em um determinado
momento no tempo, foram criadas as listas de certificados
revogados (LCR), que sao listas emitidas periodicamente por
uma Autoridade Certificadora ou por uma entidade para a
qual foi delegada esta funca o, que conte m a relaca o dos
certificados que na o sa o mais va lidos.
Uma LCR e um objeto digital, o que permite a distribuica o,
processamento e validaca o de forma eletro nica, de maneira
semelhante a um certificado. A LCR e assinada pela entidade
que a emitiu, permitindo a verificac a o de sua integridade, e
possui dois campos de data, um com a data de sua emissao e
outro com a data de expiraca o, a lista dos numeros seriais dos
certificados emitidos, a data da revogaca o do certificado e
extenso es (opcional).
Professor - Ricardo Leocádio
68Contato- [email protected]
Segurança da Informação
Lista de Certificados Revogados
Varios motivos podem gerar a
necessidade de revogacao
de um certificado digital:
• A atualizac ao de dados
nele contidos;
• Comprometimento da
chave privada;
• Cancelamento do uso do
certificado;
• Comprometimento da
chave privada da
Autoridade Certificadora;
• Entre outros motivos.
Professor - Ricardo Leocádio
69Contato- [email protected]
Segurança da Informação
Certificados TipoA – Assinatura Digital
Certificados TipoS – Sigilo
Tipos de Certificados Digitais
Professor - Ricardo Leocádio
70Contato- [email protected]
Segurança da Informação
Tipos de Certificados Digitais
Tipo de certificado
Chave criptográfica
Tamanho(bits)
Processo de geração Mídia armazenadora Validade máxima (anos)
A1 e S1 1024 Software Arquivo 1
A2 e S2 1024 SofwareSmart card ou token, sem capacidade de geração de chave 2
A3 e S3 2048 HardwareSmart card ou token, com capacidade de geração de chave 3
A4 e S4 4096 HardwareSmart card ou token, com capacidade de geração de chave 3
Professor - Ricardo Leocádio
71Contato- [email protected]
Segurança da Informação
3. AR comprova
dados cadastrais
e solicita emissão
do certificado
Autoridade de
Registro (AR)
5. Certificado é instalado no
cliente e publicado no
Diretório
Autoridade
Certificadora
(AC)
2. D
ad
os
cad
astr
ais
e c
have
pú
bli
ca
Diretório
4. AC emite o certificado,
assinando com sua própria
chave privada
1. As
chaves são
geradas
ICP componentes básicos
Obtendo um certificado Digital
Professor - Ricardo Leocádio
72Contato- [email protected]
Segurança da Informação
Obtendo um certificado Digital
[email protected] GeraisBrazil
Conteúdo da
Chave pública
23723hhw282hqwrq3i8ruqruoweuqurquriquroiqroiqurqiuqurqruiquroiuqerqirqwerqwerqwerq
Conteúdo da
Chave privada
Conteúdo
protegido por
senha
Passo1 - Algoritmo assimétrico (Par de Chaves):
• Relacionadas matematicamente
• Números primos extremamente grandes
• Não existe fórmula matemática conhecida de determinar uma a partir da outra
Request
(PKCS#10)
98q23ruhfqiu3r4y8qfjpdp83q4ufjrqu
Professor - Ricardo Leocádio
73Contato- [email protected]
Segurança da Informação
Obtendo um certificado Digital
Cartório
Passo 2
Cartório solicita documentos comprobatórios
da identidade apresentada. Comprovado os
dados cadastrais solicita emissão do
certificado
[email protected] GeraisBrazil
Chave Pública Cartório
98q23ruhfqiu3r4y8qfjpdp83q4ufjrqu
Professor - Ricardo Leocádio
74Contato- [email protected]
Segurança da Informação
Obtendo um certificado Digital
CartórioPasso 3
Acrescenta dados de controle e assina o certificado
digital
[email protected] GeraisBrazil
Validade 01/01/10Issuer: XPTO.com
Chave Pública Cartório
7WUULASDFASDFQWEIRQWERUPJAFAEEWRWCWERGW
HASH
33KJDH383YUDHWHEUWJDSHHWE
CERTIFICADO
DIGITAL CRIADO
98q23ruhfqiu3r4y8qfjpdp83q4ufjrqu
Professor - Ricardo Leocádio
75Contato- [email protected]
Segurança da Informação
Certificados Digitais e Cadeias de Confiança com SSL
Secure Sockets Layer V3 pode utilizar os certificados
digitais do servidor bem como os do cliente. Os
certificados digitais do servidor são obrigatórios para uma
sessão SSL, enquanto os certificados digitais do cliente
são opcionais, dependendo dos requisitos de
autenticação do cliente. Vide
O PKI (public key infrastructure) utilizado pelo SSL permite
quaisquer números de autoridades de certificação de
raiz. Uma organização ou um usuário final deve decidir
quais CAs serão aceitas como confiáveis. Para poder
verificar os certificados digitais do servidor, o cliente deve
possuir os certificados digitais de raiz CA utilizados pelo
servidor.
Professor - Ricardo Leocádio
76Contato- [email protected]
Segurança da Informação
Certificados Digitais e Cadeias de Confiança com SSL
Se uma sessão SSL está para ser estabelecida com um
servidor que envia um certificado digital com raiz CA que
não está definido no arquivo “truststore" do cliente, a
sessão SSL não será estabelecida. Para evitar essa
situação, importe o certificado digital de raiz CA para o
armazenamento de chave ou o truststore do cliente.
Se a autenticação do cliente for utilizada, o servidor
exigirá a posse dos certificados digitais de raiz CA
utilizados pelos clientes. Todos os certificados digitais de
raiz CA que não fazem parte do armazenamento de
chave de servidor padrão devem ser instalados.
Professor - Ricardo Leocádio
77Contato- [email protected]
Segurança da Informação
Observações importantes
Professor - Ricardo Leocádio
78Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Assinatura Digital – Assinando documento
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do algoritmo de Hash
KXLO90282
HDG28271K
Hash encriptado
com a chave
privada
Texto assinado
digitalmente -15 KB
Te
xto
–10K
B
Professor - Ricardo Leocádio
79Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do
algoritmo de Hash
KXLO90282HDG28271K
Hash encriptado
com a chave
privada
Texto assinado
digitalmente -15 KB
Texto
–10K
B
MENSAGEM DIGEST
Assinatura Digital – Assinando documento
Alguns padrões arquivo inserem os elementos da assinatura digital em sua estrutura.Ex.: Word, Excel e etc
Professor - Ricardo Leocádio
80Contato- [email protected]
Segurança da Informação
Assinatura Digital – Assinando documento
Estrutura de arquivos de um DOCX
Professor - Ricardo Leocádio
81Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Assinatura Digital – Verificando a Assinatura
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do algoritmo de Hash
Texto
assin
ado d
igitalm
ente
-15 K
B
Texto – 10KB
KXLO90282HDG28271K
Ação de descriptografar
a informação
Se os Hash’s são iguais, o
texto não foi alterado.
É necessário verificar/validar a chave pública
do usuário que assinou esse documento
Professor - Ricardo Leocádio
82Contato- [email protected]
Segurança da Informação
Você tem a
chave pública do
cartório que
assinou esse
certificado?
Assinatura Digital – Verificando a Assinatura
[email protected] GeraisBrazilValidade 01/01/10Issuer: XPTO.com
7WUULASDFASDFQWEIRQWERUPJAFAEEWRWCWERG Chave Pública Cartório
33KJDH383YUDHWHEUWJDSHHWE
33KJDH383YUDHWHEUWJDSHHWE
HASH
Se os Hash’s são iguais, o certificado não foi alterado desde que
assinado pela chave privada do cartório. Portanto o certificado é
válido.
Ter a chave pública do cartório (certificado) instalado, significa que
seu equipamento confia nos certificados gerados por ele.
Verificar a chave pública do usuário
Validade 01/01/10Issuer: XPTO.com
98q23ruhfqiu3r4y8qfjpdp83q4ufjrqu
Professor - Ricardo Leocádio
83Contato- [email protected]
Segurança da Informação
Algoritmo
de Hash
Assinatura Digital – Verificando a Assinatura
Os desabores
da vida tem
mais valor
hoje, pois
olhando pra
eles vejo
como é
louvável meu
sucesso de
hoje.
Input
D4 21 F5 3D 22 9A CC B7 3C AA
Resultado do
algoritmo de Hash
Texto
assin
ado d
igitalm
ente
-1
5 K
B
Texto – 10KB
KXLO90282HDG28271K
D4 21 F5 3D 22 9A CC B7 3C AA
Hash – Resultado
do processo de
descriptografia
Ação de descriptografar
a informação
Se os Hash’s são iguais, o texto não foi
alterado e sua autenticidade de
assinante foi confirmada
Professor - Ricardo Leocádio
85Contato- [email protected]
Segurança da Informação
Protocolo TCP/IP GET
Dns = 200.251.91.67HTTP = PORTA 80
Item a ser processado pelo servidor WEB
(IIS, APACHE, WebSphere e etc)
Obs.: Alguns cabeçalhos do TCP/IP foram omitidos nesse exemplo.
Professor - Ricardo Leocádio
86Contato- [email protected]
Segurança da Informação
Princípio da relação de confiança de uma
Autoridade Certificadora no uso do HTTPS.
1) Solicita
Conexão
2) OK! Segue
meu
certificado
Ops! Não sei abrir
esse certificado.
Como posso confiar
em quem ele diz ser?
OK! Certificado
validado após inserido
certificado do cartório.
Segue valor cifrado
com seu certificado
público.
8765I*LD
3) Segue informação protegidaI*LD
IIS – Session = adsfaksdfasdfkasdklfasdf = O desafio é 8765
Cartório
Chave
privada
Certificado
digital
Certificado
digital da CA
Chave
privada
Certificado
digital da CA
Professor - Ricardo Leocádio
87Contato- [email protected]
Segurança da Informação
Informações sobre o SSL
O SSL é um protocolo que fornece privacidade e integridade
entre os dois aplicativos de comunicação, utilizando TCP/IP.
Os dados que vem e voltam entre o cliente e o servidor são
criptografados utilizando um algoritmo simétrico, como DES ou
RC4. Um algoritmo de chave pública -normalmente RSA é
utilizado para trocar as chaves criptografadas e para as
assinaturas digitais.
O algoritmo utiliza a chave pública no certificado digital do
servidor. Com o certificado digital do servidor, o cliente pode
verificar a identidade do servidor. As versões 1 e 2 do
protocolo SSL fornecem somente autenticação de servidor. A
versão 3 inclui autenticação de cliente, utilizando os
certificados digitais do servidor e do cliente.
Professor - Ricardo Leocádio
88Contato- [email protected]
Segurança da Informação
Uma conexão SSL é iniciada sempre pelo cliente.
No início da sessão do SSL, um protocolo de reconhecimento SSL é
executado. Esse protocolo de reconhecimento produz os
parâmetros criptográficos da sessão. Uma visão geral simplificada de
como o protocolo de reconhecimento é processado.
Esse exemplo assume que a conexão SSL está sendo estabelecida
numa conexão TCP/IP entre um cliente e um servidor socket
Professor - Ricardo Leocádio
90Contato- [email protected]
Segurança da Informação
Protocolo TCP/IP
GET
Dns = 200.251.91.67HTTPS = PORTA 443
Item a ser processado pelo servidor WEB
(IIS, APACHE, WebSphere e etc)
Obs.: Alguns cabeçalhos do TCP/IP foram omitidos nesse exemplo.
Professor - Ricardo Leocádio
91Contato- [email protected]
Segurança da Informação
Protocolo TCP/IP
GETQwertyuiopasdfghjkloiu
qwemnbzxcjhsggqyqtwwuil
skuqrshojwtwdnpsleu
OPS!
É SSL
Three way Handshake1) Preciso transmitir algo sigiloso, vamos combinar um segredo?
2) Segue meu certificado pessoal, criptografe o segredo usando esse
certificado
Dados do Certificado
Nome: www.mercantil.com.br
Validade: 10/2020
Cartório: Verisign
Repositório de
Certificados (SO)
Certificado público
Verisign
OK! Certificado realmente é do Mercantil.
Nosso segredo
será 789
Nosso segredo
será 789
3) Envio do segredo encriptado com a chave do servidor
Nosso segredo
será 789
IIS – Session = adsfaksdfasdfkasdklfasdf = O segredo é 789
Professor - Ricardo Leocádio
92Contato- [email protected]
Segurança da Informação
Nosso segredo
será 789
GET
Three way Handshake1) Preciso transmitir algo sigiloso, vamos combinar um segredo?
2) Segue meu certificado pessoal, criptografe o segredo usando esse
certificado
Nosso segredo
será 789
3) Envio do segredo encriptado com a chave do servidor
Nosso segredo
será 789
IIS – Session = adsfaksdfasdfkasdklfasdf = O segredo é 789
KEY CIPHER HASH
RSA RC4 MD5
DIFFIE-HELLMAN 3DES SHA128
DSA AES SHA256
KEY CIPHER HASH
RSA RC4 MD5
DIFFIE-HELLMAN 3DES SHA128
DSA AES SHA256
Como acontece a criptografia de dados no SSL
CLIENT SERVIDOR
VERSION 3.3
RANDOM NUMBER 2348712394732465761351874127112348971234761328512740819234712948109837489127401287340192837412 …….
Professor - Ricardo Leocádio
93Contato- [email protected]
Segurança da Informação
O uso do Certificado em outros serviços
X - Não, acesso negado.
1) Quero acesso
Servidor Metaframe
2) Segue meu certificado
SSL Público.
+
Preciso do seu certificado
de cliente.
3) Segue meu
certificado pessoal
dentro do SSL
Esse certificado foi
emitido por uma AC que
confio e que esteja
autorizada?
X - Sim, mas o certificado esta revogado ou data vencida.
OK – Sim! Acesso liberado.
4) Segue página de acesso 1) Quero acesso
2) Segue meu certificado
SSL Público.
+
Preciso do seu certificado
de cliente.
3) Segue meu
certificado pessoal
dentro do SSL
Esse certificado foi
emitido por uma AC que
confio e que esteja
autorizada?
4) Segue IP de acesso
VPN
Professor - Ricardo Leocádio
94Contato- [email protected]
Segurança da Informação
PKCS
Na criptografia, PKCS refere-se a “Public Key Cryptography
Standards” elaborado e publicado pela RSA Security.
A RSA Data Security Inc era dententora das licenças para os
direitos de patentes (que expirou no final de 2000), onde a RSA
adquiriu os direitos de licenciamento para várias outras
patentes essenciais.
Como tal, RSA Security e sua divisão de investigação, RSA
Labs, estavam interessados em promover e facilitar a utilização
de técnicas de chaves públicas. Para esse efeito, eles
desenvolveram as normas PKCS. Eles tiveram o controle sobre
elas, anunciando que iriam fazer alterações / melhorias, uma
vez que era considera necessária, assim, as normas PKCS não
foram tidas como muito importante,não se tornando um
padrão da indústria, apesar do nome.
Professor - Ricardo Leocádio
95Contato- [email protected]
Segurança da Informação
Tipos de PKCS
PKCS Normas Resumo
Versão Nome Comentários
PKCS #1 2.1 RSA Cryptography Standard
RFC 3447. Define as propriedades matemáticas e
formato da RSA chaves públicas e privadas (ASN.1-
codificado em texto-claro), e algoritmos de base e
codificação / acolchoamentos sistemas para a realização
de criptografia RSA, decriptografia, e produzir e verificar
assinaturas.
PKCS #2 - -- WithdrawnNão está ativa. Coberto de criptografia RSA mensagem
digere, mas foi incorporada PKCS # 1.
PKCS #3 1.4Diffie-Hellman Key
Agreement Standard
Um protocolo criptográfico que permite que duas partes
que não têm nenhum conhecimento prévio de cada um
dos outros para estabelecer conjuntamente uma chave
secreta compartilhada sobre um canal inseguro
comunicações.
PKCS #4 - -- Withdrawn Não está ativa. Coberto chave RSA sintaxe, mas foi
incorporada PKCS # 1.
PKCS #5 2.0Password-based Encryption
Standard RFC 2898 e PBKDF2.
Professor - Ricardo Leocádio
96Contato- [email protected]
Segurança da Informação
Tipos de PKCS
PKCS Normas Resumo
Versão Nome Comentários
PKCS #6 1.5Extended-Certificate
Syntax Standard Define as extensões para o velho v1 X.509 certificado
especificação. Obsoleto por v3 da mesma.
PKCS #7 1.5Cryptographic Message
Syntax Standard
RFC 2315. Usado também para o certificado divulgação
(por exemplo, como uma resposta a uma mensagem PKCS
# 10). Serviu de base para S / MIME, que agora é baseado
no RFC 3852, uma atualização Cryptographic Message
Syntax Standard (CMS). Freqüentemente utilizado para
single sign-on.
PKCS #8 1.2Private-Key Information
Syntax Standard.Usado para transportar privado certificado keypairs
(codificado ou não criptografado).
PKCS #9 2.0Selected Attribute
Types
Define atributo tipos selecionados para uso em PKCS # 6
prorrogado certificados, PKCS # 7 assinado digitalmente
mensagens, PKCS # 8-privadas informações importantes, e
PKCS # 10 pedidos de assinatura de certificado.
PKCS #10 1.7Certification Request
Standard
RFC 2986 .Formato das mensagens enviadas para uma
autoridade de certificação para pedido de certificação de
uma chave pública.
Professor - Ricardo Leocádio
97Contato- [email protected]
Segurança da Informação
Tipos de PKCS
PKCS Normas Resumo
Versão Nome Comentários
PKCS #11 2.30Cryptographic Token Interface
Standard
Este padrão especifica uma API, chamada Cryptoki, aos dispositivos que
possuem informações de criptografia e executam funções criptográficas.
Cryptoki, pronunciado cripto-chave e curto para interface token
criptográfico, segue uma abordagem simples baseada em objeto,
abordando os objetivos de independência tecnológica (qualquer tipo de
dispositivo) e compartilhamento de recursos (acesso a múltiplas aplicações
de vários dispositivos), apresentando aos pedidos de uma abordagem
comum, visão lógica do dispositivo chamado token criptográfico.
PKCS #12 1.0Personal Information Exchange
Syntax Standard
Define um formato de arquivo comumente usado para armazenar chaves
privadas acompanham com chave pública de certificados, protegido com
uma senha-baseada chave simétrica. PFX é um antecessor a PKCS # 12.
Este é um formato contêiner que pode conter vários objectos incorporados,
por exemplo, vários certificados. Normalmente protegido / codificado com
uma senha.
PKCS #13 – --Elliptic Curve Cryptography
Standard (Em desenvolvimento).
PKCS #14 – --Pseudo-random Number
Generation (Em desenvolvimento).
PKCS #15 1.1Cryptographic Token
Information Format Standard
Define um padrão que permite usuários de tokens criptográficos para se
identificarem perante os pedidos, independente da aplicação do Cryptoki
implementação (PKCS # 11) ou outras API. RSA tenha renunciado IC-
card-relacionados a partes da presente norma ISO / IEC 7816-15.
Professor - Ricardo Leocádio
98Contato- [email protected]
Segurança da Informação
Formatos de arquivos de certificado padrão
É possível importar e exportar certificados nos seguintes formatos:
(PKCS #12)
O formato de troca de informações (PFX), também chamado
PKCS#12, permite a transferência de certificados e das chaves
particulares correspondentes entre computadores ou de um
computador para mídia removível.
PKCS #12 (padrão de criptografia de chave pública #12) é um
formato industrial adequado ao transporte ou backup e restauração
de um certificado e é associado à chave particular. Isso pode ser
feito entre produtos do mesmo fornecedor ou de diferentes
fornecedores.
Para usar o formato PKCS #12, o provedor de serviços de criptografia
(CSP) deve reconhecer o certificado e as chaves como exportáveis.
Professor - Ricardo Leocádio
99Contato- [email protected]
Segurança da Informação
Formatos de arquivos de certificado padrão
(PKCS #7)
Padrão de sintaxe de mensagens criptografadas
O formato PKCS #7 permite a transferência de um ou todos os
certificados no caminho de certificação entre computadores ou de
um computador para a mídia removível. Os arquivos PKCS nº 7
geralmente utilizam a extensão .p7b e são compatíveis com o
padrão X.509 do ITU-T. O PKCS #7 permite que alguns atributos, como
as referendas, sejam associados a assinaturas e outros, como a hora
da assinatura, sejam autenticados com o conteúdo da mensagem.
Professor - Ricardo Leocádio
100Contato- [email protected]
Segurança da Informação
Formatos de arquivos de certificado padrão
X.509 binário codificado por DER
O DER (Distinguished Encoding Rules) para ASN.1, conforme definido
na Recomendação X.509 do ITU-T, é um padrão de codificação mais
restritivo do que o BER (Basic Encoding Rules) alternativo para ASN.1,
conforme definido na recomendação X.209 do ITU-T, na qual o DER
sebaseia. O BER e o DER fornecem um método de codificação de
objetos (como certificados e mensagens), independente de
plataforma, paratransmissão entre dispositivos e aplicativos.
Durante a codificação de certificado, a maioria dos aplicativos
utiliza DER porque uma parte do certificado (as informações da
solicitação de certificação) deve ser codificada por DER para que
seja assinada.
Esse formato pode ser usado por autoridades de certificação que
não estão em computadores com a família Windows Server, para
que seja permitida a interoperabilidade. Arquivos de certificado DER
usam a extensão .cer.
Professor - Ricardo Leocádio
101Contato- [email protected]
Segurança da Informação
Formatos de arquivos de certificado padrão
X.509 codificado na Base64
Trata-se de um método de codificação desenvolvido para uso com
extensões multipropósito do Internet Mail protegidas (S/MIME), que é um
método padrão popular para transferência de anexos binários pela Internet.
A Base64 codifica arquivos no formato de texto ASCII, tornando a corrupção
dos dados menos provável, já que os arquivos são enviados através de
gateways da Internet. O S/MIME oferece alguns serviços de segurança
criptográficos para aplicativos de e-mail, como não-repúdio de origem
utilizando assinaturas digitais, privacidade e segurança de dados com
criptografia, autenticação e integridade de mensagens.
A especificação MIME (extensões multipropósito do Internet Mail), como RFC
1341 e seus sucessores, define um mecanismo para codificação de
informações binárias arbitrárias para transmissão via email.
Como todos os clientes compatíveis com MIME podem decodificar arquivos
Base64, esse formato pode ser usado por autoridades de certificação que
não estão em computadores com a família Windows Server, para que seja
permitida a interoperabilidade. Os arquivos de certificado na Base64 usam a
extensão .cer.
Professor - Ricardo Leocádio
102Contato- [email protected]
Segurança da Informação
ICP
Secure
DesktopWeb
VPN
Wireless
ERP-
Enterprise
Resource
Planning
Aplicabilidade da Certificação
Professor - Ricardo Leocádio
103Contato- [email protected]
Segurança da Informação
Cuidados com o certificado
Toda vez que for utilizar um certificado digital será solicitada uma senha,
a mesma que foi definida no momento da gravação do certificado digital.
Caso você esqueça sua senha, não há como recuperá-la ou substituí-la, e o
certificado estará inválido. Por isso, em caso de perda da mídia
armazenadora ou de esquecimento da senha, é preciso:
• Solicitar a revogação do certificado digital invalidado, mas certifique-se
antes de que a chave pública anterior não mais está sendo usada;
• Solicitar um novo certificado digital, com encargos por sua conta,
seguindo o mesmo procedimento inicialmente adotado para o
certificado digital anterior;
• Solicitar a alteração dos acessos, anteriormente vinculados ao certificado
digital inutilizado, vinculando-os ao novo certificado digital;
• Atualizar a chave pública eventualmente distribuída, substituindo-a pela
nova, pertencente ao novo certificado digital.
Professor - Ricardo Leocádio
105Contato- [email protected]
Segurança da Informação
Pós-Graduação LATO SENSU em Gestão de Segurança da Informação
e-CPF / e-CNPJ
Característica do
cartão e-CPF:
Dimensões 85 mm
x 54 mm
Material: PVC
semi-rígido e chip
criptográfico
Professor - Ricardo Leocádio
106Contato- [email protected]
Segurança da Informação
A partir de 2006, 18 empresas começam a emitir a
nota eletrônica: Petrobrás, Kaiser, Ultragaz, Ford, GM,
Volkswagen, Sadia, Siemens, Gerdau, Souza Cruz e
Eurofarma fazem parte deste grupo.
Arqui
vo
XML
Nota assinada
digitalmente e
transmitida
para a SEF
Nota fiscal sem papel
Professor - Ricardo Leocádio
107Contato- [email protected]
Segurança da Informação
RIC – Registro de identidade Civil