Infra-Estrutura de Chaves P

1
Infra-Estrutura de Chaves Públicas

• PKI
• Public Key Infrastructure

2
Criptografia de Chave Pública

• A criptografia de chave simétrica (duas pessoas)
  pode manter seguros seus segredos, mas se
  precisarmos compartilhar informações secretas com
  duas ou mais pessoas, devemos também compartilhar
  as chaves.

3
Compartilhar Chaves

• O compartilhamento de chaves implica no problema
  da distribuição de chaves.
• O que é Distribuição de Chaves ?

4
Distribuição de Chaves

• O problema da distribuição de chaves Como duas
  ou mais pessoas podem, de maneira segura, enviar
  as chaves por meio de linhas inseguras.
• Como as pessoas podem de maneira segura enviar
  informações sigilosas por meio de linhas
  inseguras ?

5
Criptografia de Chave Pública

• Antes de utilizar, deve-se lidar com os problemas
  tais como- distribuição de chaves.
• - gerenciamento de chaves.

6
Gerenciamento de Chaves

• O que é gerenciamento de chaves ?
• É o processo de gerar, proteger, armazenar, e
  manter histórico para utilização de chaves.

7
Gerenciamento de Chaves

• Gerar pares de chaves
• Proteger chaves privadas
• Controlar múltiplos pares de chaves
• Atualizar pares de chaves
• Manter um histórico de pares de chaves.

8
Criptografia de Chave Pública

• Oferece criptografia e também uma maneira de
  identificar e autenticar (através de assinatura)
  pessoas ou dispositivos.

9
Criptografia de Chave Pública

• Principal questão Não somente
  confidencialidade. Mas a principal questão é a
  integridade (uma chave é suscetível à manipulação
  durante o trânsito) e a posse de uma chave
  pública.

10
Criptografia de Chave Pública

• Como obter uma chave pública e numa comunicação
  certificar-se de que essa chave tenha sido
  recebida da parte intencionada ?
• Resposta certificados de chave
  pública

11
Introdução aos Certificados

• Com Criptografia de Chave Pública e Assinatura
  Digital pessoas podem utilizar a chave pública
  de uma outra pessoa
• .

12
Criptografia de Chave Pública e Assinatura
Digital

• Para enviar uma mensagem segura a uma pessoa,
  tomamos a chave pública dessa pessoa e criamos um
  envelope digital.

13
Criptografia de Chave Pública e Assinatura
Digital

• Para verificar a mensagem de uma pessoa,
  adquire-se a chave pública dessa pessoa e
  verifica-se a assinatura digital.

14
Assinatura com Chave Pública
rede
Computador A
Computador B
Chave PrivadaDA
Chave PúblicaEB
Chave PrivadaDB
Chave PúblicaEB
P
P
DA(P)
DA(P)
EB(DA(P))
Assume-se que os algoritmos de criptografia e
decriptografia têm a propriedade que EB( DA(P)
) P e DA( EB(P) ) P, onde DA(P) é a
assinatura do texto plano P com a chave privada
DA e EB(P) é a verificação da assinatura com a
chave pública EB . O algoritmo RSA tem esta
propriedade.
15
De quem é a chave pública ?

• Mas, como uma pessoa qualquer pode saber se uma
  chave pública pertence a pessoa em questão (parte
  intencionada) ?
• Veja dois exemplos.

16
Exemplo de Invasão 1

• João tem a chave pública de Tati. A chave
  funciona. Ele é capaz de criar um envelope
  digital e se comunicar com Tati que é possuidora
  da chave privada relacionada à chave pública em
  poder de João.

17
Exemplo de Invasão 1

• Mas se Camila, de alguma maneira, invade o
  computador de João e substitui a chave pública de
  Tati pela chave pública dela,

18
Exemplo de Invasão 1

• quando João enviar o envelope digital, Camila
  será capaz de interceptá-lo e lê-lo. Tati não
  será capaz de abri-lo porque ela não tem a chave
  privada parceira da chave pública utilizada.

19
Exemplo de Invasão 2

• Na empresa onde João e Daniel trabalham tem um
  diretório centralizado que armazena as chaves
  públicas de todas as pessoas.
• Quando Daniel quiser verificar a assinatura de
  João, ele vai ao diretório e localiza a chave
  pública de João.

20
Exemplo de Invasão 2

• Mas se Camila tiver invadido esse diretório e
  substituído a chave pública de João pela chave
  pública dela,
• ela (Camila) poderá enviar uma mensagem
  fraudulenta ao Daniel com uma assinatura digital
  válida.

21
Exemplo de Invasão 2

• Daniel pensará que a mensagem veio de João,
  porque verificará a assinatura contra o que ele
  pensa ser, a chave pública de João.

22
Certificado Digital

• A maneira mais comum de saber se uma chave
  pública pertence ou não a uma entidade de destino
  (uma pessoa ou empresa) é por meio de um
  certificado digital.
• Um certificado digital associa um nome a uma
  chave pública.

23
Estrutura Básica de um Certificado
Nome
Mensagem
Chave Pública
Certificado
Assinatura CA
24
Percepção à Fraude

• Um certificado é produzido de tal maneira que o
  torna perceptível se um impostor pegou um
  certificado existente e substituiu a chave
  pública ou o nome.
• Qualquer pessoa ao examinar esse certificado
  saberá se está errado.

25
Fraude

• Talvez o nome ou a chave pública esteja errado
• Portanto, não se pode confiar nesse certificado,
  ou seja, o par (nome,chave).

26
Como tudo funciona

• Tati gera um par de chaves
• (chave-privada, chave-pública).
• Protege a chave privada.
• Entra em contato com uma Autoridade de
  Certificação (CA), solicitando um certificado.

27
Como tudo funciona

• CA verifica se Tati é a pessoa que diz ser,
  através de seus documentos pessoais.
• Tati usa sua chave privada para assinar a
  solicitação do certificado.

28
Como tudo funciona

• CA sabe, então, que Tati tem acesso à chave
  privada parceira da chave pública apresentada,
  assim como sabe que a chave pública não foi
  substituída.

29
Como tudo funciona

• CA combina o nome Tati com a chave pública em uma
  mensagem e assina essa mensagem com sua chave
  privada (de CA).
• Tati, agora, tem um certificado e o
  distribui.Por exemplo, para João.

30

• Portanto, quando João coletar a chave pública de
  Tati, o que ele estará coletando será o
  certificado dela.
• Supondo que Camila tente substituir a chave
  pública de Tati, pela sua própria chave (troca da
  chave pública dentro do certificado).

31
Como tudo funciona

• Ela pode localizar o arquivo da chave pública de
  Tati no laptop de João e substitui as chaves.

32
Como tudo funciona

• Mas, João, antes de usar o certificado, utiliza
  a chave pública de CA para verificar se o
  certificado é válido.

33
Como tudo funciona

• Pelo fato da mensagem no certificado ter sido
  alterada (houve troca da chave pública dentro do
  certificado), a assinatura não é verificada.

34
Como tudo funciona

• Portanto, João não criará um envelope digital
  usando essa chave pública e Camila não será capaz
  de ler qualquer comunicação privada.

35
Como tudo funciona

• Esse cenário assume que João tem a chave pública
  de CA e tem a certeza de que ninguém a substituiu
  com a chave de um impostor.

36
Como tudo funciona

• Pelo fato dele, João, poder extrair a chave do
  certificado fornecido pela CA, ele sabe que tem a
  verdadeira chave pública de CA.

37
Infra-estrutura de Chave Pública

• Usuários Finais
• Partes Verificadoras aquelas que verificam a
  autenticidade de certificados de usuários
  finais.

38
Infra-estrutura de Chave Pública

• Para que usuários finais e partes verificadoras
  utilizem essa tecnologia, chaves públicas devem
  ser fornecidas uns aos outros.
• Problema uma chave é suscetível de ataque
  durante o trânsito.

39
Infra-estrutura de Chave Pública

• Ataque Se uma terceira parte desconhecida
  puder substituir uma chave qualquer por uma chave
  pública válida, o invasor poderá forjar
  assinaturas digitais e permitir que mensagens
  criptografadas sejam expostas a partes mal
  intencionadas.

40
Infra-estrutura de Chave Pública

• Distribuição manual
• Solução apropriada - certificados de chave
  pública
• Fornecem um método para distribuição de chaves
  públicas.

41
Infra-estrutura de Chave Pública

• Um certificado de chave pública (PKC) é um
  conjunto de dados à prova de falsificação que
  atesta a associação de uma chave pública a um
  usuário final.
• Para fornecer essa associação, uma autoridade
  certificadora (CA), confiável, confirma a
  identidade do usuário.

42
Infra-estrutura de Chave Pública

• CAs emitem certificados digitais para usuários
  finais, contendo nome, chave pública e outras
  informações que os identifiquem.
• Após serem assinados digitalmente, esses
  certificados podem ser transferidos e armazenados.

43
Infra-estrutura de Chave Pública

• Tecnologia para utilizar PKI
• (1) Padrão X.509 (2) Componentes de
  PKI para criar, distribuir, gerenciar
  e revogar certificados.

44
Certificados de Chave Pública

• Um meio seguro de distribuir chaves públicas para
  as partes verificadoras dentro de uma rede.
• Pretty Good Privacy (PGP)
• SET
• IPSec
• X.509 v3 (ITU-1988, 1993, 1995,
  IETF-RFC2459-1999)

45
(No Transcript)
46
Estrutura de Certificado X.509

• Versão
• Número Serial
• Identificador do algoritmo de assinatura
• Nome do Emissor nome DN da CA que cria e emite.
• Validade

47
Estrutura de Certificado X.509

• Nome do Sujeito nome DN da entidade final
  (usuário ou uma empresa).
• Informação da Chave Pública do sujeito
  (valor da chave, identificador do
  algoritmo, parâmetros do mesmo)

48
Estrutura de Certificado X.509

• Identificador único do emissor
• (não recomendado pela RFC 2459)
• 9. Identificador único do sujeito (não
  recomendado pela RFC2459)

49
Estrutura de Certificado X.509

• 10. Extensões v3 Identificador de Chave de
  Autoridade para qualquer certificado
  auto-assinado. Identificador de Chave de
  Sujeito
• Utilização de chave

50
Estrutura de Certificado X.509

• Utilização de Chave Estendida
  Para uso de aplicativos e protocolos
  (TLS, SSL, ...), definindo as utilizações
  da chave pública para servidores de
  autenticação, autenticação de cliente,
  registro de data/hora e outros.

51
Estrutura de Certificado X.509

• Ponto de distribuição de CRL

52
Estrutura de Certificado X.509

• Período de uso de chave privada
• (não recomendado pela RFC 2459)
• Políticas de certificado

53
Estrutura de Certificado X.509

• Mapeamentos de políticas
• Quando o sujeito de certificado for
  uma CA.
• Nome alternativo do sujeito Permite
  o suporte dentro de vários aplicativos que
  empreguem formas próprias de nomes (vários
  aplicativos de e-mail, EDI, IPSec)

54
Estrutura de Certificado X.509

• Nome alternativo do emissor (CA)
  Permite o suporte dentro de vários
  aplicativos que empreguem formas próprias
  de nomes (vários aplicativos de
  e-mail, EDI,IPSec)

55
Estrutura de Certificado X.509

• Atributos do diretório do sujeito
  (não recomendado pela RFC 2459) Restrições
  básicas Se o sujeito pode agir como uma
  CA. Exemplo Se a Verisign pode
  permitir que a RSA Inc. atue como uma CA,
  mas não permitindo que a RSA Inc. crie
  novas CAs)

56
Estrutura de Certificado X.509

• Restrições de nomes Apenas dentro
  de CAs. Especifica o espaço de
  nomes de sujeito. Restrições de diretiva
  Apenas dentro de CAs. Validação de
  caminho de política.

57
Estrutura de Certificado X.509

• 11. Assinatura da CA

58
Nomes de Entidades

• Certificados X.509 v3 concedem flexibilidade para
  nomes de entidades.
• As entidades podem ser identificadas pelas
  seguintes formas de nomes
• - endereço de e-mail
• - domínio de Internet
• - e-mail X.400
• - nome de diretório X.500
• - nome de EDI
• - URI da Web URN, URL
• - endereço IP

59
Nomes de Entidades

• Em um certificado de chave pública, os nomes de
  entidades (emissor e sujeito) devem ser únicos.

60
Notação e Codificação ASN.1

• Regras de sintaxe e de codificação de dados de
  certificados X.509.
• ASN.1 (Abstract Sintax Notation 1) - descreve a
  sintaxe de várias estruturas de dados
• - fornece tipos primitivos bem-definidos, e um
  meio único para definir as combinações
  complexas desses tipos primitivos.

61
Notação e Codificação ASN.1

• Regras de codificação para representar os tipos
  específicos de ASN.1 em strings de 0s e 1s
• - Basic Encoding Rules (BER)
• - Distinguished Encoding Rules (DER)

62
Componentes PKI
Repositório deCertificados
3
Autoridade Certificadora (CA)
4
DiretórioX.500
2
5
Servidor de Recuperação de Chave
Autoridade Registradora (RA)
1
6
Usuários Finais
Usuários Finais
63
Componentes de uma PKI

• Autoridade Certificadora (CA)
• Autoridade Registradora (RA)
• Diretório de Certificado (X.500)
• Servidor de Recuperação de Chave
• Protocolos de Gerenciamento
• Protocolos Operacionais

64
Partes de sistema PKI

• Infra-estrutura PKI
• Usuário Final / Empresa
• Parte Verificadora

65
Interação das partes em PKI

Informação de Status de Revogação de Certificado
Infra-estrutura de PKI
OCSP / CRL
LDAP
Certificado X.509
LDAP, HTTP, FTP, e-mail
Usuário Finalou Empresa
Parte Verificadora
66
Autoridade Certificadora
67
Autoridade Registradora
68
Diretório

• Um diretório é um arquivo, freqüentemente de um
  tipo especial, que provê um mapeamento de
  nomes-texto para identificadores internos de
  arquivo.

69
Diretórios

• Diretórios podem incluir nomes de outros
  diretórios, correspondendo ao esquema familiar
  hierárquico de nomeação de arquivos e nomes de
  caminhos (pathnames) para arquivos usados em
  sistemas operacionais.

70
Arquitetura de Serviço de Arquivos
71
File Service Architecture
72
Arquitetura de Serviço de Arquivos

• UFID (Unique File IDentifiers) são sequências
  longas de bits de modo que cada arquivo no Flat
  File Service tenha uma identificação interna
  única entre todos os arquivos em um sistema
  distribuído.

73
UFIDs

• UFIDs são usados para referenciar arquivos em
  todas as solicitações (requests) para o Flat File
  Service.

74
Flat File Service

• É o módulo da arquitetura de serviço de arquivo
  que implementa operações sobre arquivos.
• Exemplo o Flat File Service recebe um pedido
  para criar um arquivo. Ele gera um novo UFID para
  esse arquivo e retorna o UFID ao requerente.

75
Flat File Service Operations
76
Flat file service operations
77
Directory Service

• É um serviço que armazena coleções de ligações
  entre nomes e atributos, e que procura entradas
  (entries) que correspondem a especificação
  baseada em atributo.
• Também chamado serviço de nome baseado em
  atributo.

78
Directory Service

• É o módulo da arquitetura de serviço de arquivo
  que provê um mapeamento entre nomes-texto para
  arquivos e seus UFIDs.
• Provê as funções necessárias para gerar
  diretórios, adicionar novos nomes de arquivos a
  diretórios e obter UFIDs de diretórios.

79
Directory Service

• Diretory Service é cliente do Flat File Service.
• Seus arquivos de diretório são armazenados em
  arquivos do Flat File Service.
• No esquema hierárquico de nomeação de arquivos,
  como em UNIX, diretórios podem fazer referência a
  outros diretórios.

80
Directory service operations
81
(No Transcript)
82
Local and remote file systems accessible on an
NFS client
Note The file system mounted at /usr/students in
the client is actually the sub-tree located at
/export/people in Server 1 the file system
mounted at /usr/staff in the client is actually
the sub-tree located at /nfs/users in Server 2.
83
X.500 Directory Service

• Dados armazenados em servidores X.500 (Directory
  Service Agent DSA) são organizados numa
  estrutura de árvore com nodos nomeados.

84
X.500 Directory Service

• Em X.500, atributos são armazenados em cada nodo
  na árvore.
• O acesso é por nome, mas também, por busca de
  entradas com qualquer combinação de atributos.

85
X.500 Directory Service

• A estrutura de diretório inteira incluindo os
  dados associados com os nodos é chamada Directory
  Information Base (DIB).
• Um servidor X.500 é um Directory Service Agents
  (DSA).

86
X.500 Directory Service

• Um cliente X.500 é chamado Directory User Agent
  (DUA).
• A árvore de nomes X.500 é chamada Diretory
  Information Tree (DIT).

87
X.500 Directory Service

• Clientes (DUA) e Servidores X.500 (DAS) se
  comunicam através do LDAP (Lightweight Directory
  Access Protocol), no qual um DUA acessa um DSA
  diretamente sobre TCP/IP (RFC 2251).

88
Certificados no X.500

• Certificados são armazenados em um diretório,
  cujo objetivo é fornecer uma infra-estrutura para
  nomear todas as entidades.

89
Servidor de Recuperação de Chave
90
Protocolos de Gerenciamento

• Comunicação on-line com os usuários finais e o
  gerenciamento dentro de uma PKI.
• Entre RA e um usuário final.
• Entre duas CAs.
• Certificate Management Protocol (CMP)
• Certificate Management Message Format (CMMF)
• PKCS 10

91
Protocolos de Gerenciamento

• Funções
• - Inicialização (auto-escola)
• - Registro (solicitação da carteira)
• - Certificação (emissão da carteira)
• - Recuperação de chave (segunda via)
• - Atualização de chave (renovação)
• - Revogação (suspensão)
• - Certificação cruzada (informação entre
  DETRANs)

92
Protocolos Operacionais

• Permitem a transferência de certificados e das
  informações de status de revogação, entre
  diretórios, usuários finais e parte
  verificadoras.
• X.509 não especifica nenhum único protocolo
  operacional para uso dentro de um domínio de PKI.

93
Protocolos Operacionais

• Protocolos usados
• - HTTP,
• - FTP,
• - e-mail
• - LDAP
• Lightweight Diretory Access Protocol
  RFC 1777 e RFC 1778 Projetado
  para aplicativos acessarem diretórios
  X.500.
• Não é específico de diretório, pode ser
  adotado em
• vários ambientes.

94
Registro de Certificados

• Usuários finais se registram na CA ou na RA, via
  Internet, utilizando um navegador da Web.
• É nesse ponto que usuário final e CA estabelecem
  uma relação de confiança.

95
Revogação de Certificado

• Certificados são criados para serem usados pelo
  tempo de vida indicado no campo de validade.
• Entretanto, alguns casos, não deverá ser mais
  utilizado.
• Exemplo Chave Privada comprometida, CA cometeu
  um equívoco ou possuidor da chave não mais
  trabalha numa empresa.

96
Revogação de Certificado

• CAs precisam de uma maneira de revogar um
  certificado ainda em vigor e notificar as partes
  verificadoras sobre a revogação.
• Método comum
• - Certificate Revogation List (CRL) -
  Estrutura de dados assinada contendo uma
  lista de data/hora dos certificados revogados.

97
Estrutura de uma CRL
98
Protocolo On-Line de Status de CertificadoOCSP

• Dependendo do tamanho da população da PKI, a
  carga de trabalho associada às CRLs pode
  tornar-se pesada, utilizando-se as técnicas
  convencionais de processamento de CRLs e download.

99
Protocolo On-Line de Status de CertificadoOCSP

• Partes verificadoras devem gastar recursos
  consideráveis para obter a CRL mais atual.
• Um protocolo mais recente OCPS,Online
  Certificate Status Protocol, pode ser utilizado
  por uma parte verificadora para verificar a
  validade de um certificado digital, no momento de
  uma transação (tempo real).

100
Status de Certificado On-Line

• A CA fornece um servidor de OCSP, que contém as
  informações atuais de revogação de certificados.
• Esse servidor é diretamente atualizado na CA.

101
Status de Certificado On-Line

• CA encaminha uma notificação imediata de
  revogação de um certificado, tornando-o
  instantaneamente disponível aos usuários.
• Uma parte verificadora pode consultar esse
  servidor, para determinar o status de um
  certificado.

102
Status de Certificado On-Line

• O servidor OCSP fornece uma resposta assinada
  digitalmente para cada um dos certificados, cujas
  validades são solicitadas.

103
Status de Certificado On-Line

• Respostas OCSP consistem em
• - identificador de certificado,
• - valor do status (good, revoke,
  unknown), - intervalo de validade, - tempo de
  revogação, - razão da revogação.

104
Gerenciamento de Pares de Chaves

• Gerando pares de chaves
• Protegendo chaves privadas
• Gerenciando múltiplos pares de chaves
• Atualizando pares de chaves
• Mantendo um histórico de pares de chaves.

105
Gerenciamento de Pares de Chaves

• Políticas pelas quais os pares de chave (privada,
  pública) são gerados e protegidos.
• Decisões de política dependem dos propósitos das
  chaves.
• Chaves para não-repúdio, chaves para segurança de
  email, têm métodos de armazenamento diferentes.

106
Gerando Pares de Chaves

• Primeira alternativa
• O usuário final gera um par de chaves (privada e
  pública) no seu sistema e fornece a chave pública
  na forma de um padrão de solicitação de
  assinatura de certificado (certificate-signing
  request) de PKCS 10.

107
Gerando Pares de Chaves

• Segunda alternativa
• CA ou RA gera um par de chaves (privada e
  pública) em favor do usuário final.

108
Gerando Pares de Chaves

• Terceira opção
• Uso de múltiplos pares de chaves.
• Usuários finais podem ter mais de um certificado
  para diferentes propósitos.
• O usuário final gera as chaves para fornecer
  não-repúdio e a CA fornece as chaves de
  criptografia.

109
Atualizando Pares de Chaves
110
Mantendo histórico de Pares de Chaves
111
Certificados Roaming
112
Certificado de Atributo
113
Políticas de Certificado
114
Prática de Certificação
115
Produtos PKI
116
PKI no Brasil

• Instituto Nacional de Tecnologia da Informação
• ITI

117
ITI

• O Instituto Nacional de Tecnologia da Informação
  - ITI é uma autarquia federal vinculada à Casa
  Civil da Presidência da República.

118

• O ITI é a Autoridade Certificadora Raiz - AC Raiz
  da Infra-Estrutura de Chaves Públicas Brasileira
  - ICP-Brasil.

119

• Como tal é a primeira autoridade da cadeia de
  certificação, executora das Políticas de
  Certificados e normas técnicas e operacionais
  aprovadas pelo Comitê Gestor da ICP-Brasil.

120

• O ITI integra o Comitê Executivo do Governo
  Eletrônico, no qual coordena o Comitê Técnico de
  Implementação do Software Livre no Governo
  Federal.

121

• Compete ainda ao ITI estimular e articular
  projetos de pesquisa científica e de
  desenvolvimento tecnológico voltados à ampliação
  da cidadania digital.

122

• Neste vetor, o ITI tem como sua principal linha
  de ação a popularização da certificação digital e
  a inclusão digital,

123

• atuando sobre questões como sistemas
  criptográficos, software livre, hardware
  compatíveis com padrões abertos e universais,
  convergência digital de mídias, entre outras.

124
PKI no Brasil - ICP-Brasil

• Conjunto de técnicas, práticas e procedimentos
  elaborados para suportar um sistema
  criptográfico.

125
PKI no Brasil - ICP
126
PKI no Brasil - ICP

• No Brasil, a ICP-Brasil controla seis ACs
• a Presidência da República,
• a Receita Federal,
• o SERPRO (CORREIOS),
• a Caixa Econômica Federal,
• a Serasa e
• a CertiSign.

127
PKI no Brasil - ICP

• Isso significa que, para que tenha valor legal
  diante do governo brasileiro, uma dessas
  instituições deve prover o certificado.

128
PKI no Brasil - ICP

• Porém, para que isso seja feito, cada instituição
  pode ter requisitos e custos diferentes para a
  emissão, uma vez que cada entidade pode emitir
  certificados para finalidades distintas.
• E isso se aplica a qualquer AC no mundo.

129
PKI no Brasil - ICP

• Agora, uma coisa que você deve saber é que
  qualquer instituição pode criar uma ICP,
  independente de seu porte.
• Por exemplo, se uma empresa criou uma política de
  uso de certificados digitais para a troca de
  informações entre a matriz e sua filiais, não vai
  ser necessário pedir tais certificados a uma AC
  controlada pela ICP-Brasil.

130
PKI no Brasil - ICP

• A própria empresa pode criar sua ICP e fazer com
  que um departamento das filiais atue como AC ou
  AR, solicitando ou emitindo certificados para
  seus funcionários.

131
PKI no Brasil - ICP

• Ainda demorará para que o uso do papel na emissão
  de documentos seja uma segunda opção. Talvez,
  isso nem venha acontecer.
• No entanto, o uso de assinaturas e certificados
  digitais é extremamente importante,
  principalmente pela velocidade com que as coisas
  acontecem na internet.

132
PKI no Brasil - ICP

• Além disso, determinadas aplicações, como as
  bancárias, são consideradas cruciais para a
  manutenção de um negócio.
• Logo, o uso de certificados digitais pode chegar
  ao ponto de ser imprescindível.

133
PKI no Brasil - ICP

• Há muito ainda a ser discutido sobre o assunto,
  mas entre as divergências existentes, é unânime a
  importância dessa tecnologia para a era da
  informação eletrônica na qual adentramos.

134
Links

• Para obter mais detalhes sobre assinatura e
  certificação digital, acesse os seguintes links
• FreeICP.ORG - www.freeicp.orgICP-Brasil -
  www.icpbrasil.gov.brInstituto Nacional de
  Tecnologia da Informação - www.iti.brIBP
  Brasil - www.ibpbrasil.com.br.

135
Como obter um Certificado Digital

• A obtenção de um Certificado Digital é um
  procedimento que deve ser realizado junto a uma
  Autoridade Certificadora (AC),

136
Como obter um Certificado Digital

• que é em termos digitais o correspondente a um
  cartório que faz o registro de uma firma para
  assinaturas de documentos de "próprio punho".

137
Como obter um Certificado Digital

• É importante ressaltar que não é papel da
  Secretaria de Fazenda do GDF emitir Certificados
  Digitais.

138
Como obter um Certificado Digital

• A emissão, renovação e revogação de certificados
  deve ser realizada por uma empresa autorizada
  pela Secretaria de Fazenda do Distrito Federal.

139
Como obter um Certificado Digital

• É pré-requisito que esta Autoridade Certificadora
  esteja subordinada à hierarquia da
  Infra-Estrutura de Chaves Públicas Brasileiras, a
  ICP-Brasil.

140
Como obter um Certificado Digital

• No site dessas Autoridades Certificadoras você
  encontrará maiores orientações sobre os
  procedimentos a serem seguidos para obtenção de
  um Certificado Digital. Em linhas gerais, os
  passos são os seguintes

141
Como obter um Certificado Digital

• 1) Acesse o site da Autoridade Certificadora
  2) Escolha o tipo de Certificado que deseja e
  preencha o formulário disponibilizado 3)
  Realize o pagamento do Certificado 4)
  Compareça a uma Autoridade de Registro indicada
  pela Autoridade Certificadora para validação de
  seus documentos.

142
Como obter um Certificado Digital

• Apresentamos a seguir a relação de sites de
  Autoridades Certificadoras subordinadas à
  ICP-Brasil e que comercializam Certificados
  Digitais
• Caixa Econômica Federal
• CertiSign
• SERASA
• SERPRO

143
Softwares Desenvolvidos - ITI

• o Instituto Nacional de Tecnolgia da Informação -
  ITI coloca à disposição da sociedade, três
  softwares desenvolvidos sob o comando do
  Instituto com licença GNU/GPL.

144

• o licenciamento de programas de computador em
  regime livre é uma forma de compartilhamento dos
  bens públicos,

145

• e o uso deste bem por um cidadão não exclui a
  utilização deste mesmo bem pelos demais,
  inserindo essa iniciativa no contexto da
  colaboração solidária e de participação no
  desenvolvimento da inteligência coletiva.

146

• Os programas disponibilizados servem para
  facilitar a utilização da certificação digital no
  mundo Linux.

147

• Assim
• assinar contratos digitalmente
• criptografar/descriptografar mensagens ou dados
• e se relacionar pela Internet com o fisco.

148

• São algumas das iniciativas que ficaram mais
  fáceis com o desenvolvimento de três softwares.

149
Softwares Desenvolvidos - ITI

• Módulo PAM (7,1MB) - (Pluggable Authentication
  Module) esse sistema se destina a empresas e
  corporações.
• Ele viabiliza a troca do tradicional par login
  senha pelo uso de um certificado digital.
• Isso dá maior segurança à autenticação de
  usuários em rede de computadores

150
Softwares Desenvolvidos - ITI

• Chaveiro Eletrônico (5,6MB) - esse sistema
  permite que o usuário assine e cifre e-mails e
  mensagens enviadas pelo correio eletrônico,

151

• além de possibilitar o acessa as funcionalidades
  dos navegadores de Internet, principalmente o
  Mozzila,
• quando esses requererem serviços com
  certificação, dando suporte aos dispositivos de
  segurança como cartões inteligentes (smart cards)
  e tokens.

152
Softwares Desenvolvidos - ITI

• Chaveiro.pkcs7 Esse arquivo foi assinado
  digitalmente e permite que você verifique a
  autenticidade e a integridade dos programas
  baixados.

153
Softwares Desenvolvidos - ITI

• Assinador (20,5MB) - uma interface gráfica padrão
  KDE para a assinatura e encriptação de qualquer
  arquivo digital.
• Possibilita a execução de tradicionais tarefas de
  PKI, como gestão de chaves, LCRs, etc.
• Este software também poderá usar os certificados
  ICP-Brasil tipo A3, ou seja, aqueles que estão
  num smart card ou token.

154
Softwares Desenvolvidos - ITI

• Assinador.pkcs7 Esse arquivo foi assinado
  digitalmente e permite que você verifique a
  autenticidade e a integridade dos programas
  baixados.

155
A Certisign

• A Certisign é líder no mercado de certificação
  digital brasileiro e atua desde 1996 com foco
  exclusivo em certificação digital
• http//www.certisign.com.br/

156
A VeriSign

• A VeriSign Inc. (NasdaqVRSN) é líder mundial na
  prestação de serviços de confiança -
  identificação, autenticação, validação e
  pagamento - em redes de comunicação.

157
A VeriSign

• Os serviços da VeriSign permitem que pessoas
  físicas e jurídicas, em qualquer lugar do mundo,
  se comuniquem, transacionem e comercializem com
  segurança em meio eletrônico.

158
A VeriSign

• Utilizando uma gigantesca infra-estrutura
  internacional, a VeriSign controla mais de 5
  bilhões de conexões de redes e transações por
  dia.

159
A VeriSign

• A VeriSign mantém alianças estratégicas com
  empresas como a Microsoft, a Netscape, a Cisco e
  a British Telecommunications.
• Entre seus mais de 10 milhões de clientes estão o
  Bank of América, a Hewlett Packard, a Receita
  Federal norte-americana e a VISA.

160
A VeriSign

• Mais de 1 milhão de sites possuem certificados da
  VeriSign e mais de 10 milhões de pessoas físicas
  utilizam os certificados de e-mail da empresa.
• Em 6 anos de operação mundial, jamais foi
  detectada uma fraude.

161
A VeriSign

• Os serviços e produtos da VeriSign são oferecidos
  no Brasil exclusivamente pela Certisign
  Certificadora Digital S.A., única afiliada
  brasileira da VeriSign Trust Network, rede
  mundial de confiança.

162
A VeriSign

• A VeriSign tem uma rede de 48 afiliadas, em mais
  de 80 países, em todo o mundo.
• África e Oriente Médio
• América Latina
• Ásia e Oceania
• Europa

163

• Estas afiliadas prestam serviços de confiança
  através de relacionamentos licenciados que
  envolvem o uso compartilhado de marca e utilizam
  a tecnologia e as práticas comerciais da
  VeriSign.

164
Assinatura com Chave Pública
rede
Computador A
Computador B
Chave PrivadaDA
Chave PúblicaEB
Chave PrivadaDB
Chave PúblicaEB
P
P
DA(P)
DA(P)
EB(DA(P))
Assume-se que os algoritmos de criptografia e
decriptografia têm a propriedade que EB( DA(P)
) P e DA( EB(P) ) P, onde DA(P) é a
assinatura do texto plano P com a chave privada
DA e EB(P) é a verificação da assinatura com a
chave pública EB . O algoritmo RSA tem esta
propriedade.