O documento discute validações necessárias para certificados digitais, incluindo verificar datas de validade e revogação, cadeia de confiança, protocolos de validação de revogação como OCSP e CRL, e características de cada protocolo.

1. Validação de Certificados Digitais Natanael Fonseca Arquiteto de Software

2. Validações Para a utilização correta de certificados digitais, diversas validações são necessárias sobre os certificados contidos na “Cadeia de Confiança”, como, por exemplo: Verificar a data de validade (Inicial e Final); Verificar se cada certificado da cadeia de confiança não foi revogado ou encontra-se expirado.

3. Cadeia de Confiança Um certificado digital é um documento que associa uma chave publica a uma determinada entidade, este documento é assinado digitalmente pela chave privada de uma outra entidade, muitas vezes chamada de Autoridade Certificadora (AC). Dessa forma garante-se atraves do conceito de “Cadeia de confiança” a autenticidade das informações.

4. Revogação de Certificados Revogar significa tornar sem efeito , ou seja, o certificado digital deverá ser revogado, sempre que ocorrer um dos seguintes eventos: Houver mudança em qualquer informação contida no Certificado Digital; Em caso de suspeita ou evidência de comprometimento de chaves privadas ou das senhas, ou da mídia de armazenamento; A pedido formal do Titular do Certificado Digital, quando não houver mais interesse na utilização do Certificado Digital, conforme procedimentos e prazos constantes nos itens 4.4.3 e 4.4.4 das Políticas de Certificados Digitais.

5. Validação de Revogação Online Certificate Status Protocol (OCSP) Validação acontece de forma online, através de um serviço disponibilizado pela Autoridade Certificadora, cabe ao sistema apenas a criação da requisição OCSP perguntando pelo status do certificado. Certificate Revocation List Validação acontece de forma Off-Line com base em um arquivo que é baixado da Autoridade Certificadora, cabe ao sistema verificar se o certificado em questão encontra-se neste arquivo.

6. O que é LCR ? È Uma estrutura de dados assinada por uma AC contendo a lista de certificados que não devem ser considerados válidos. Normalmente o endereço onde este arquivo pode ser baixado, pode ser encontrado no próprio certificado. Pontos de distribuição.

7. OCSP Este protocolo é uma alternativa rápida e leve para CRLs tradicionais, o qual permite que os aplicativos cliente façam consultas em busca do status do certificado diretamente a um “Responder OCSP”.

8. ACs que suportam o protocolo OCSP AC JUS http://www.acjus.gov.br/acjus/dpcacjus.pdf (Vide item 4.4.3.2 - d ) CERTSIGN MULTIPLA http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_Multipla/DPC_AC_Certisign_Multipla_v3.0.pdf (Vide item 4.4.3.2 - d ) AC PETROBRAS http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PETROBRAS/DPC_AC_PETROBRAS_v5.0.pdf (Vide item 4.4.11 ) CERTSIGN http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_RFB/DPC_AC_Certisign_RFB_v4.0.pdf (Vide item 2.8.4.1) SINCOR http://icp-brasil.acsincor.com.br/repositorio/dpc/AC_SINCOR_RFB/DPC_AC_SINCOR_RFB_v4.0.pdf (Vide item 2.8.4) FENACON http://icp-brasil.acfenacon.com.br/repositorio/dpc/AC_FENACON_CERTISIGN_RFB/DPC_AC_FENACON_CERTISIGN_RFB_v4.0.pdf (Vide item 2.8.4) PRODEMGE http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PRODEMGE_RFB/DPC_AC_PRODEMGE_RFB_v4.0.pdf (Vide item 2.8.4) SERASA http://publicacao.certificadodigital.com.br/repositorio/dpc/declaracao-scd.pdf (vide item 4.4.11 )

9. CRL vs OCSP CARACTERÍSTICAS CRL OCSP Cadeia de Confiança Disponível localmente nas listas, sendo um arquivo para cada AC. Não necessita de acesso a cadeia, o servidor OCSP fica responsável pela atualização da cadeia de confiança. Recurso de Rede Necessário acesso a internet para download dos arquivos LCR. Quanto maior a taxa de atualizações, maior a necessidade de banda disponível. Necessário o acesso a internet. Requisições request/response com resposta quase imediata. Recursos de Armazenamento em Disco Rígido Necessário espaço em disco disponível para armazenamento dos arquivos. Tamanho total pode variar de acordo com a quantidades de ACs contempladas. Não é necessário armazenamento em disco algum. Recursos computacionais Necessário acesso a todos os registros de todas as listas da cadeia de confiança. Consumo alto de recursos computacionais. Consumo quase zero de recursos, somente requisição request/response. Lógica de validação Acesso de forma recursiva a cadeia de confiança, arquivo por arquivo. Requisição request/response com resposta quase imediata. Confiabilidade Necessário atualização constante das listas. Existe a possibilidade de um certificado estar revogado, porém a lista não ter sido atualizada a tempo, botando em risco a confiabilidade da assinatura. ACs responsáveis pela manutenção e atualização dos servidores OCSP. Muito improvável ter o serviço estar indisponível ou ter dados desatualizados. Disponibilidade no mercado Primeiro modelo de validação, disponível por praticamente todas as ACs. Tecnologia mais recente. Depende da AC ter implementado o serviço.

10. Referencias Public Key Infrastructure – PKI http://novateceditora.com.br/livros/pki/ Beginning Cryptography with Java http://www.wrox.com/WileyCDA/WroxTitle/Beginning-Cryptography-with-Java.productCd-0764596330.html Resoluções da ICP-Brasil em vigor http://www.iti.gov.br/twiki/bin/view/Certificacao/DocIcp