Certificado.ppt

MP 202 – Segurança da Informação
Certificado Digital
Gisele Regina Consoline 022511
Maria Betânia Ricci Boer 022525

Introdução

Introdução
A expansão do mundo digital leva à
conclusão de estarmos vivendo uma
revolução, em escala planetária, onde
estamos colaborando, e também
intervindo, na construção de uma nova
sociedade, a chamada Sociedade da
Informação.

Introdução
O paradigma que emerge dessa revolução
é a prevalência da informação eletrônica,
gerando um conjunto de novas relações
econômicas e sociais, vivenciadas pela
sociedade de maneira cada vez mais
natural. Esse conjunto de transações
eletrônicas, denominado negócios
eletrônicos

Introdução
A informação, dentro das transações
eletrônicas,
deve ter os seguintes requisitos:

Introdução
• Disponibilidade: o documento, ou
informação, deve estar disponível
ininterruptamente, para novo tratamento ou
utilização.
• Integridade: fidelidade do documento ao
teor original, sem sofrer qualquer alteração.
• Confidencialidade: a informação
relacionada a um indivíduo, empresa, ou entidade
deve ser protegida da ação indevida de terceiros,
seja para conhecer ou tratar essa informação;

Introdução
• Autenticidade: há que ser garantida a
autoria, origem e destino do documento
eletrônico;
• Irretratabilidade: é a garantia de
que uma transação depois de efetuada não
pode ser negada.

A implementação de uma política de
segurança da informação adequada irá
atender a todos os requisitos de
segurança, fazendo com que a
informação detenha os atributos
necessários a sua utilização de forma
ampla e confiável.

Mundo Virtual,
Segurança Real.
Certificado Digital
Conceito

CONCEITOS DE CERTIFICAÇÃO DIGITAL
Certificado (ou Identidade) Digital é um software que faz o papel de um
documento de identificação, comprovando de forma eletrônica a identidade do
usuário. Assim como o RG ou CPF identificam você, um certificado digital contém
dados que funcionam como um certificado físico, contendo informações referentes
ao usuário. Os certificados digitais são expedidos por uma Autoridade de
Certificação, ou AC, que é responsável pelo seu controle e revogação.
O que é um certificado digital?
mundo real
SSP
Secretaria de
Segurança Pública
AC
Autoridade de
Certificação
RG
Certificado
Digital
?
mundo virtual

Um Certificado Digital contém três elementos:
. informação de atributo: Esta é a informação
sobre o projeto que é certificado. No caso de uma
pessoa, isto pode incluir seu nome, nacionalidade
e endereço e-mail, sua organização e o
departamento desta organização onde trabalha;
.chave de Informação Pública: Esta é a chave
pública da entidade certificada. O certificado atua
para associar a chave pública à informação do
atributo, descrito acima. A chave pública pode ser
qualquer chave assimétrica, mas usualmente é
uma chave RSA.

.assinatura da Autoridade em
Certificação: A autoridade certificadora,
ou Certificate Authority (CA), como é
mais conhecida, assina os dois primeiros
elementos e, então adiciona
credibilidade ao certificado.Quem
recebe o certificado verifica a assinatura
e acreditará na informação de atributo e
chave pública associada se acreditar na
Autoridade em Certificação.

Estrutura do
Certificado Digital

X.509v3
O padrão X.509 hoje em sua
versão 3, está se tornando o
padrão mais utilizado pela
maioria dos grandes fabricantes
de software.

• versão do formato do certificado: Número
da versão, hoje na versão 3;
• número de série: Todo certificado tem que
ter um número de série, e esse número é único para
cada Autoridade Certificadora;
• identificador do algoritmo de assinatura:
Uma assinatura digital pode ser feita de diversas
formas distintas, dependendo do algoritmo utilizado.
Este campo identifica o algoritmo utilizado para o
Certificado;
• emissor : Nome da Autoridade Certificadora
responsável pela emissão deste certificado;
X.509v3

• período de validade: Período de Validade
do Certificado;
• titular: Nome ou identificador do titular
do certificado;
• identificador único do emissor do título:
Estes campos forma criados na versão 2 do
padrão X.509 pensando na possibilidade de reuso
dos nomes do emissor e titular durante o passar
dos anos.Hoje ouso destes campos não é mais
recomendado. A recomendação manda emitir
outro certificado;
X.509v3

• extensões: A versão 3 do padrão X.509
permite que o certificado contenha campos fora
dos acima especificados e que, possivelmente, são
campos proprietários. O número de extensões é
variável e limitado;
X.509v3

• assinatura do emissor: É a assinatura
digital da Autoridade Certificadora. A assinatura
digital feita para todos os campos acima, inclusive
as extensões. Assim sendo, qualquer alteração nos
dados do certificado é imediatamente identificável.
Por esta razão, um certificado digital é um
documento que não pode ser adulterado. A única
forma de adulterar um certificado digital é
descobrindo a chave privada da Autoridade
Certificadora e gerando um novo certificado.
X.509v3

Infra-Estrutura
de Chaves
Públicas

O que significa ICP?
?
ICP ou Infra-estrutura de Chaves Públicas (PKI ou Public Key
Infrastructure em inglês) é uma infra-estrutura de confiança na qual pessoas
(ou sistemas) confiam em uma Autoridade de Certificação (AC) para verificar e
confirmar a identidade dos usuários certificados. Uma ICP é na verdade um
grande banco de dados, que expede, entrega, gerencia e revoga certificados
digitais.
ICP representa o
coração de uma estrutura de
negócios e comunicação
segura e eficiente que aos
poucos se consolida no
nosso dia-a-dia.
pagamentos
e-mail
VPN
autenticação
privacidade
WAP
web
ICP
e-commerce

PKI
?
pagamentos
e-mail
VPN
autenticação
privacidade
WAP
web
ICP
e-commerce
• usuário final: aquele que faz uso do
certificado digital;
• autoridade certificadora
(CA): responsável pela emissão do
certificado digital e pela identificação
do usuário final (titular do certificado);

PKI
?
pagamentos
e-mail
VPN
autenticação
privacidade
WAP
web
ICP
e-commerce
• autoridade de registro (RA): sua
existência não é obrigatória, mas
quando está presente, é responsável
pela identificação do usuário final e
serve como intermediária entre o
usuário e a Autoridade Certificadora;

PKI
?
pagamentos
e-mail
VPN
autenticação
privacidade
WAP
web
ICP
e-commerce
• repositório de certificados e CRL: é
um repositório que pode ser acessado
por todos os membros da PKI e onde
ficam armazenados os certificados
emitidos, bem como os certificados
cancelados (CRL).

O processo de obtenção de um certificado digital
segue as seguintes etapas:
• O usuário final envia uma requisição para a RA ou
CA, dependendo de como a PKI está estruturada;
• Caso a requisição tenha sido enviada para a RA,
esta identifica o cliente de alguma forma (talvez
exigindo que este envie cópia autenticada de sua
carteira de identidade) e repassa a requisição para a
CA;

• Caso a requisição tenha sido enviada diretamente à
CA, é responsabilidade desta fazer a identificação
do cliente, emitir o certificado digital e,
possivelmente, publicá-lo no repositório;
• A CA retorna à RA, caso haja RA, a notificação de
que o certificado foi emitido. Caso a CA não tenha
publicado o certificado no Repositório, a RA
poderá fazê-lo;
• A RA notifica o cliente final de que seu certificado
está disponível para uso. Caso não haja RA, a CA
fará diretamente a notificação;

• O cliente retira o certificado digital e passa a
utilizá-lo em suas transações;
• Faz parte da PKI a possibilidade de Certificação
Cruzada. Chama-se de Certificação Cruzada a
capacidade de Autoridades Certificadoras se
certificarem mutuamente, de tal forma que
certificados emitidos por uma autoridade seja
automaticamente aceitos pela outra.

O termo CA é oriundo de Certificate Authority, a CA
é o órgão emissor do certificado digital e tem como
principal função, além de permitir o certificado,
validar os dados do titular que irão constar do
certificado digital.
Em alguns tipos de transações é imprescindível o
papel da CA, sendo mais usada em transações
comerciais pela Internet onde os participantes de
uma transação comercial podem nunca ter se visto,
a exatidão dos dados no certificado digital é
fundamental.
Autoridade Certificadora

AAutoridade de Registro (RA – Register
Authority) é uma entidade que serve como
intermediária entre o cliente final e a CA. É quem
cuida da verificação dos documentos apresentados
pelo cliente. A RA é opcional dentro de uma PKI.
As possíveis atribuições são:
• identificação do cliente;
• distribuição de token;
• responsável pelo cancelamento;
• geração do par de chaves;
• armazenamento das chaves.
Autoridade Registro

Hierarquia de Certificação-ICP-
Brasil

Hierarquia de Certificação
A Hierarquia de Certificação acontece quando uma
autoridade certificadora certifica uma outra
autoridade certificadora. A emissão de um certificado
digital é tecnicamente simples. Existem softwares
gratuitos capazes de emitir tais certificados. Um
problema que surge é como garantir que uma
determinada Autoridade Certificadora está de fato
autorizada a emitir certificados digitais com um
determinado valor legal.

Um certificado pode ser cancelado, como
foi visto no ciclo de vida de um certificado
digital. Os motivos são vários, por exemplo, a
chave primária do cliente é roubada ou
extraviada, o certificado contém dados
errôneos, ou o titular do certificado altera seus
dados – mudando de companhia ou nome após
o matrimônio, resumindo, quando houver
qualquer comprometimento do certificado.
A Lista de Certificados Cancelados (CRL)

Quando isto acontece, este certificado que foi
cancelado é adiciona à Lista de Certificados
Cancelados (CRL Certificate Revogation List).
Esta lista deve ser consultada sempre que for
fazer qualquer transação envolvendo o
certificado por que o fato do certificado não ter
sido violado não garante que este não tenha sido
cancelado.

Lista de tempo de cancelamento de certificados

Ciclo de Vida do
Certificado Digital

O ciclo de vida de um certificado digital

• requerimento: É o pedido de certificação
digital, pelo qual uma pessoa interessada requer a
emissão de um certificado pela Autoridade
Certificadora.
• validação do requerimento: É função da
Autoridade Certificadora garantir que o requerimento
do certificado seja válido e contenha somente
informações corretas sobre o requerente.Para tal, ela
deve seguir procedimentos rigorosos e criteriosos de
exame e processamento do pedido de emissão do
certificado digital, que minimizem a possibilidade de
fraude ou erro nos dados a serem colocados neste.

• emissão do certificado: É o ato de
reconhecimento do título do certificado digital pelo
requerente e sua emissão.
• aceitação do certificado pelo requerente:
Uma vez emitido o certificado digital, o requerente
deve retirá-lo da Autoridade Certificadora e
confirmar a validade do certificado emitido.
• uso do certificado: Uma vez emitido o
certificado, o seu titular poderá assinar documentos
e/ou receber documentos codificados.

• suspensão do certificado digital: É o ato pelo
qual o certificado se torna temporariamente
inválido para operações. Isto pode ocorrer no caso
de haver alguma incorreção ou dúvida quanto ao
comprometimento da chave privativa do titular, ou
por algum outro motivo especificado pela
Autoridade Certificadora.
• cancelamento do certificado: É o processo pelo
qual o certificado digital é cancelado, ou seja,
torna-se definitivamente inválido para uso.

• término da validade e renovação do
certificado: O certificado digital tem um
período preestabelecido de validade,
atribuído pela Autoridade Certificadora. Em
geral este período é de 1 (um) a 3 (três) anos.

Um certificado digital apresenta três finalidades:
Quais as aplicações de um
certificado digital?
A
A
C
Autenticação: identifica o usuário no mundo digital
Cifragem: proporciona sigilo da informação
Assinatura digital: permite assinar documentos
eletrônicos

Assinatura Digital

Assinatura Digital
A assinatura digital nem sempre é usada para
criptografar documentos. Pode às vezes ser usada
para provar que quem escreveu a mensagem foi
quem diz ser e que o texto não foi modificado
depois de assinado. Para assinar uma mensagem
garantindo esses dois quesitos, procede-se da
seguinte maneira: usa-se uma função message
digest (MD), que é uma função matemática que é
aplicada ao texto. O resultado deste processamento
é um pequeno pedaço de dados de tamanho fixo
chamado hash.

Assinatura Digital
Entra-se com os dados a serem digeridos e o
algoritmo gera um hash de 128 ou 160 bits. Uma
vez computada uma message digest, criptografa-se
o hash gerado com uma chave privada. O resultado
de todo este procedimento é chamado de assinatura
digital da informação. A assinatura digital é uma
garantia que o documento criptografa-se o hash
gerado com uma chave privada.
O resultado desse processo é a assinatura digital da
informação

Assinatura Digital
• O destinatário ao receber a mensagem irá
usar a chave pública do remetente para
decriptografar o hash que foi enviado junto com a
mensagem.
•Uma vez decriptografado aplica-se novamente a
MD que gerou o hash e compara-se os tamanhos do
novo hash gerado pelo destinatário.
•Se os dois tiverem o mesmo tamanho, a mensagem
não foi alterada.

Assinatura Digital
• A assinatura digital diz apenas se o texto foi
ou não modificado, mas não consegue identificar o
que foi alterado.
•Usa-se funções message digest para não ser
preciso criptografar todo o texto da mensagem, o
que poderia gastar muito tempo dependendo do
tamanho do texto. Criptografando apenas o hash
pode-se perfeitamente definir-se uma mensagem
foi ou não alterada.

Assinatura Digital
• Para ser possível que um documento ou uma
assinatura adulterada não seja detectada, o atacante
deve ter acesso a chave privada de quem assinou
esse documento.
•A assinatura digital também é valiosa, pois se pode
assinar informações em um sistema computador e
depois provar sua autenticidade sem se preocupar
com a segurança do sistema que as armazena.

Assinatura Digital
• A figura abaixo mostra o processo de geração e
verificação de assinatura digital, utilizando o
algoritmo de criptografia de chave pública RSA.

Assinatura Digital
•Algoritmos utilizados na assinatura digital:
Algoritmo Descrição
RSA Como já mencionado, o RSA também é comutativo e pode ser utilizado
para a geração de assinatura digital. A matemática é a mesma: há uma
chave pública e uma chave privada, e a segurança do sistema baseia-se na
dificuldade da fatoração de números grandes.
ElGamal Como o RSA, o ElGamal também é comutativo, podendo ser utilizado tanto
para assinatura digital quanto para gerenciamento de chaves; assim, ele
obtém sua segurança da dificuldade do cálculo de logaritmos discretos em
um corpo finito.
DAS O Digital Signature Algorithm, unicamente destinado a assinaturas digitais,
foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão
DSS (Digital Signature Standard). Adotado como padrão final em dezembro
de 1994, trata-se de uma variação dos algoritmos de assinatura ElGamal e
Schnorr. Foi inventado pela NSA e patenteado pelo governo americano.

Exemplos de protocolos
que empregam sistemas
criptográficos híbridos

PGP é um software que
implementa um sistema de criptografia de
chave pública, disponível gratuitamente na
Internet, que oferece serviços de sigilo e
autenticidade de informação para
armazenamento ou transmissão via correio
eletrônico. Sua criação deve-se em grande
parte, ao esforço do norte americano Phil
Zimmermann.
PGP (Pretty Good Privacy)

É empregado o algoritmo RSA
para a troca de uma chave temporária de
128 bits gerada aleatoriamente que é ,
então, utilizada com o algoritmo IDEA
(International Data Encrpytion Algorithm),
considerado um dos melhores algoritmos
de ciframento de bloco hoje disponível.
Apesar dos algoritmos de
criptografia utilizados no sistema PGP
serem os mesmos utilizados nos que
utilizam certificados X.509, os sistemas

divergem na forma de
distribuição das chaves públicas. Enquanto
o X.509 depende de uma Autoridade
Certificadora que assine o certificado
digital, no PGP não existem certificados
digitais.
Nele, as chaves públicas são assinadas por
outros membros da comunidade PGP,
formando uma cadeia de

confiança.Por exemplo, vamos supor que
Maria receba uma mensagem assinada
digitalmente por José, pessoa que Lea não
conhece e, assim, em cuja assinatura não
confia. No entanto, Maria conhece e confia na
assinatura digital de Pedro. Pedro, que conhece
José assina sua chave pública. Maria pode
assim, por meio de Pedro, saber que José é
quem diz ser e aceitar sua correspondência
como verdadeira. O sistema PGP permite
configurar o tamanho das cadeias de confiança.

O sucesso do PGP pode ser atribuído aos seguintes fatores:
• utilização dos melhores algoritmos disponíveis para
ciframento de mensagens (RSA, IDEA), assinatura digital
(RSA, MD5) e compressão (ZIP);
• integração destes algoritmos numa aplicação
independente de sistema operacional ou CPU (há versões para
UNIX, DOS/Windows, Macintosh, Amiga,etc);
• livre acesso, via Internet, ao seu código fonte e à sua
documentação (este acesso é afetado em parte, pelas
restrições do governo americano à exportação de software
para criptografia);

• disponibilidade de versão comercial de
baixo custo, com suporte e manutenção
(através da empresa norte americana Via
Crypt);
• não ter sido desenvolvido, nem
controlado, por nenhum governo ou
instituição normativa.
Este sistema está mais de acordo
com a proposta de ser um sistema
criptográfico para uso das “massas”, tal
como colocou seu criador.

Criado em 1995 a partir da
associação de um grupo de empresas
(RSA, Microsoft, Lótus e Novel)
para criar uma especificação de
correio eletrônico seguro, com o
propósito de evitar a interceptação,
alteração e a falsificação de
mensagens trocadas eletronicamente.
S/MIME (Security Multipurpose
Internet Mail Extensions)

O S/MIME ainda não é considerado um padrão
Internet, mas foi adotado pelas empresas que dominam o
mercado de ferramentas para correio eletrônico, o que fez
com se disseminasse internacionalmente. Por ser um padrão
aberto vários mailers diferentes trocam mensagens entre si.
Entre os mailers que suportam S/MIME destacam-se o
Microsoft Outollok e o Outlook Express (que acompanha o
Internet Explorer), o Netscape Messenger (que integra o
Netscape Communicator) e o Eudora Pro (com a ajuda do
plug-in WordSecure da World Talk).

O S/MIME utiliza os certificados no padrão
X.509 por isso pode ser usado em escala global, o
que não acontece com o PGP que é restrito a uma
cadeia de confiança como já foi descrito. Isto,
associado ao fato de que as maiores empresas de
navegadores para Internet Microsft e Netscape
usam o S/MIME, faz com que o S/MIME tenha
mais chance de se tornar padrão na Internet para
correio eletrônico seguro do que o PGP.

SSL (Secure Socket Layer ) RFC 3207 é uma camada do
protocolo de rede, situada abaixo da camada de aplicação, com
a responsabilidade de gerenciar um canal de comunicação
seguro entre o cliente e o servidor. O SSL foi desenvolvido
pela Netscape Communications Corporation . Atualmente é
implementado na maioria dos browsers. A palavra-chave
https:// é usualmente empregada para designar uma conexão
segura.
O SSL preenche os seguintes critérios que o fazem
aceitável para o uso nas transmissões das mais sensíveis
informações, como dados pessoais e números do cartão de
crédito:
SSL/TLS

SSL/TLS
Autenticidade: De modo a garantir a
autenticidade de A no caso anterior, um
sistema de códigos um pouco mais
complexo é necessário. A mensagem de A
para B é primeiramente criptografada com
a chave privada de A e posteriormente
com a chave pública de B. Para
decodificar a mensagem B usa primeiro
sua chave privada e depois a chave
pública de A. Agora B pode ter

SSL/TLS
certeza de que A é realmente quem
diz ser, pois ninguém mais poderia
criptografar a mensagem usando a
chave privada de A. Isso é
desenvolvido pelo SSL com o uso
de certificados.

SSL/TLS
Privacidade: Digamos que uma
mensagem é transmitida de A para B.
Neste caso A usa a chave pública de B
para criptografar a mensagem, tornando B
a única pessoa que pode decodificar a
mensagem, usando a sua chave privada.

SSL/TLS
Integridade: a integridade é garantida pelo
uso do MAC (Message Authentication Code)
com as necessárias funções da tabela hash. Na
geração de uma mensagem, o MAC é obtido
por aplicação das funções da tabela hash e é
codificado junto com a mensagem. Após a
mensagem ser recebida sua validade pode ser
checada comparando-se o MAC com o
resultado obtido pelas funções hash. Isto
previne mensagens alteradas por terceiros
durante a transmissão.

SSL/TLS
Não repudiação: Um sistema totalmente
seguro deve ser capaz de detectar
impostores ou, ainda melhor, se prevenir
contra a duplicação das chaves.

SSL/TLS

O protocolo de transações eletrônicas seguras é um
protocolo especificamente projetado para transações
seguras com cartões de pagamento pela Internet. Ele
foi originalmente desenvolvido pela Visa International
e MasterCard International em fevereiro de 1996 com
a participação de empresas de tecnololgia expoentes
de todo o mundo. O protocolo SET LLC, comumente
conhecido como SETCo, foi estabelecido em
dezembro de 1997 como entidade legal para
administrar e promover a adoção do protocolo SET.
SET

Características:
Criptografar tipos específicos de mensagens
relacionadas com cartões de pagamento;
Envolve três participantes do ato de uma
compra: o cliente, o comerciante e o banco do
comerciante.Todas as informações são criptografadas.
Requer que os três participantes tenham
certificados.
SET

Em uma transação SET, o número do cartão de
pagamento do cliente é passado ao banco do
comerciante sem que ele nunca veja esse número em
texto aberto.
Uma transação de SET usa três componentes de
software:
Carteira do browser: Ela responde a mensagens
SET do comerciante, solicitando ao cliente que
escolha um cartão de pagamento para o pagamento da
compra.
SET

Servidor do comerciante: O servidor do comerciante é
o mecanismo da comercialização e do fechamento de
pedidos de compra para os c comerciantes que
vendem pela WEB. Processa as transações do
portador do cartão e se comunica com o banco do
comerciante para aprovação e subseqüente captura do
pagamento.
Gateway do adquirente: O gateway do
adquirente é o comprovante do software no banco do
comerciante. Ele processa a transação do cartão de
pagamento do comerciante referente à aprovação e ao
pagamento.
SET

OpenCa
Seu objetivo é montar uma completa interface para
o gerenciamento de toda a arquitetura para
operações comuns na emissão de certificados
digitais, ou seja, elaborar uma CA usando software
livre em um sistema operacional livre como os
sistemas GNU/Linux.

IPSEC
É um padrão de protocolos criptográficos
desenvolvidos para o IPv6. Realiza também o
tunelamento de IP sobre IP. É composto de três
mecanismos criptográficos: Authentication Header
(define a função hashing para assinatura digital),
Encapsulation Security Payload (define o algoritmo
simétrico para ciframento) e ISAKMP (define o
algoritmo assimétrico para gerência e troca de
chaves de criptografia). Criptografia e tunelamento
são independentes. Permite Virtual Private Network
fim-a-fim.

Certificação e o
Direito

Certificação e o Direito
A MP 2.200-2 assegura que as declarações
constantes dos documentos em forma eletrônica,
produzidos com a utilização de processo de
certificação, presumem-se verdadeiros em relação
aos signatários, da mesma forma que o Código Civil
(art. 10 § 1º da MP 2.200-2 e art. 131 do CC),
inovando e preenchendo a lacuna legislativa
existente. Todavia, acrescente-se que o tema trará,
sem sombra de dúvida, inúmeras questões, naturais
quando se trata de

Certificação e o Direito
tecnologia, ciência em evolução permanente e que
exige do direito o constante aperfeiçoamento.

Conclusão

Os certificados digitais, provenientes da criptografia
de chaves públicas, têm um papel importante em um
ambiente coorporativo ao facilitar, principalmente, a
autenticação entre usuários de organizações
diferentes, de modo mais seguro que o tradicional,
Isso faz com que uma infra-estrutura de chave pública
(PKI) seja importante de ser considerada. Outro
benefício de uma PKI é que ela oferece, por meio dos
certificados digitais, uma plataforma única de
autenticação e assinatura digital.

Fim

Certificado.ppt

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Certificado.ppt

Semelhante a Certificado.ppt (20)

Certificado.ppt