Certificação Digital ICP-Brasil Infra-Estrutura de Chaves Públicas

Download PPT Report

Upload
internet
View
111
Download
0

Embed Size (px)

Citation preview

Slide 1
Certificao Digital ICP-Brasil Infra-Estrutura de Chaves Pblicas
Slide 2
ICP-Brasil Instituda pela Medida Provisria 2.200-2 de 24/08/2001, que cria o Comit Gestor da ICP-Brasil, a AC Raiz e define as demais entidades que compem a estrutura. Atualmente, 45 resolues regendo as atividades integrantes. www.iti.org
Slide 3
Comit Gestor AC Raiz COTEC AC (Nvel 1) AC (Nvel 2) AR PSS Auditorias Independentes PSS AR ESTRUTURA DA ICP-BRASIL Organograma Simplificado Titulares Fonte: Ribeiro, A. M. et ali
Slide 4
Comit Gestor Coordena a implantao e o funcionamento da ICP-Brasil. Estabelece a poltica, os critrios e normas para credenciamento das ACs (Autoridades Certificadoras), (ARs) (Autoridade de Registro) e prestadores de servios em todos os nveis da cadeia de certificao.
Slide 5
Comit Gestor rgo responsvel por auditar a AC Raiz. Estabelece polticas de certificado e regras operacionais das ACs e ARs e define nveis da cadeia. Atualiza, ajusta e revisa procedimentos e prticas para a ICP- Brasil.
Slide 6
Comit Gestor Promove a atualizao tecnolgica do sistema e sua conformidade com as polticas de segurana. Estabelece a poltica de certificao e as regras operacionais da AC Raiz. Homologa, audita e fiscaliza a AC Raiz e seus prestadores de servio.
Slide 7
Comit Gestor Credencia e autoriza o funcionamento das ACs e das ARs, emitindo o correspondente certificado. Avalia as polticas de ICPs externas. Negocia e aprova acordos bilaterais de certificao e outras formas de cooperao internacional, verificando sua compatibilidade com a ICP-Brasil.
Slide 8
COTEC Comit Tcnico presta suporte tcnico e assistncia ao Comit Gestor, podendo manifestar-se previamente sobre matrias apreciadas e decididas por este.
Slide 9
AC Raiz a primeira da cadeia de certificao. Executa tudo o que aprovado pelo Comit Gestor. Expede, gerencia e revoga os certificados das ACs de nveis susequentes. Executa atividades de auditoria das ACs e ARs e dos PSS habilitados na ICP. Participa na celebrao de convnios internacionais.
Slide 10
ACs Entidades credenciadas a emitir certificados digitais. Expedem, gerenciam e revogam os certificados de titulares- usurios. Mantm as LCRs e registros de suas operaes.
Slide 11
ARs Autoridades de Registro so entidades operacionalmente vinculadas determinada AC. Compete-lhes identificar e cadastrar usurios na presena destes. Encaminhar solicitaes de certificados s ACs. Manter registros de suas operaes.
Slide 12
PSS Prestador de Servios de Suporte so empresas contratadas por uma AC ou AR para realizar: Disponibilizao de infra-estrutura fsica e lgica; Disponibilizao de recursos humanos especializados.
Slide 13
Auditorias Independentes So empresas, autorizadas pela AC Raiz, contratadas pelas ACs para realizar auditorias operacionais em entidades a elas subordinadas.
Slide 14
Titulares de Certificados So pessoas fsicas ou jurdicas que podem ser titulares dos certificados digitais emitidos por uma das ACs integrantes da ICP-Brasil.
Slide 15
Terceira Parte A parte que confia no teor, validade e aplicabilidade do certificado digital por uma das ACs, integrantes da ICP- Brasil.
Slide 16
Garantias da ICP-Brasil O par de chaves criptogrficas deve ser gerado sempre pelo prprio titular e sua chave privada de assinatura de seu exclusivo controle. Os documentos assinados com processo de certificao da ICP-Brasil possuem presuno de validade jurdica. So utilizados padres internacionais: algoritmos criptogrficos e tamanhos de chaves que oferecem segurana.
Slide 17
Garantias da ICP-Brasil As instalaes e procedimentos das entidades credenciadas possuem um nvel pr-estabelecido de segurana fsica, lgica e de pessoal, seguindo padres internacionais. As entidades componentes da ICP-Brasil so obrigadas a declararem em repositrio pblicas prticas de segurana. As entidades esto sujeitas as auditorias, de credenciamento e para manter-se credenciadas.
Slide 18
Garantias da ICP-Brasil Os dados de certificados so mantidos por no mnimo 30 anos. Todas as ACs so obrigadas a contratar seguro para cobertura de responsabilidade civil suficiente e compatvel com o risco. obrigatria a validao presencial dos titulares para obteno de certificados.
Slide 19
Abril de 2006 Infra-estrutura de Chave Pblica 19 Certificado Digital A maneira mais comum de saber se uma chave pblica pertence ou no a uma entidade de destino (uma pessoa ou empresa) por meio de um certificado digital. Um certificado digital associa um nome a uma chave pblica.
Slide 20
Abril de 2006 Infra-estrutura de Chave Pblica 20 Estrutura Bsica de um Certificado Assinatura CA Nome Chave Pblica Mensagem Certificado
Slide 21
Abril de 2006 Infra-estrutura de Chave Pblica 21 Percepo Fraude Um certificado produzido de tal maneira que o torna perceptvel se um impostor pegou um certificado existente e substituiu a chave pblica ou o nome. Qualquer pessoa ao examinar esse certificado saber se est errado.
Slide 22
Abril de 2006 Infra-estrutura de Chave Pblica 22 Fraude Talvez o nome ou a chave pblica esteja errado; Portanto, no se pode confiar nesse certificado, ou seja, o par (nome,chave).
Slide 23
Abril de 2006 Infra-estrutura de Chave Pblica 23 Certificados de Chave Pblica Um meio seguro de distribuir chaves pblicas para as partes verificadoras dentro de uma rede. Pretty Good Privacy (PGP) SET (Secure Electronic Transactions) IPSec (IP Security) X.509 v3 (padro internacional ITU-1988, 1993, 1995, IETF-RFC2459-1999)
Slide 24
Estrutura do Certificado X.509
Slide 25
Abril de 2006 Infra-estrutura de Chave Pblica 25 Estrutura de Certificado X.509 1. Verso 2. Nmero Serial 3. Identificador do algoritmo de assinatura 4. Nome do Emissor nome DN da CA que cria e emite. 5. Validade
Slide 26
Abril de 2006 Infra-estrutura de Chave Pblica 26 Estrutura de Certificado X.509 6. Nome do Sujeito nome DN da entidade final (usurio ou uma empresa). 7. Informao da Chave Pblica do sujeito: (valor da chave, identificador do algoritmo, parmetros do mesmo)
Slide 27
Abril de 2006 Infra-estrutura de Chave Pblica 27 Estrutura de Certificado X.509 8. Identificador nico do emissor: (no recomendado pela RFC 2459) 9. Identificador nico do sujeito: (no recomendado pela RFC2459)
Slide 28
Abril de 2006 Infra-estrutura de Chave Pblica 28 Estrutura de Certificado X.509 10. E xtenses de verses de certificados. Identificador de Chave de Autoridade para qualquer certificado auto-assinado. Identificador de Chave de Sujeito Utilizao de chave 11. Assinatura da CA
Slide 29
Abril de 2006 Infra-estrutura de Chave Pblica 29 Nomes de Entidades Certificados X.509 v3 concedem flexibilidade para nomes de entidades. As entidades podem ser identificadas pelas seguintes formas de nomes: - endereo de e-mail - domnio de Internet - e-mail X.400 - nome de diretrio X.500 - nome de EDI - URI da Web: URN, URL - endereo IP
Slide 30
Abril de 2006 Infra-estrutura de Chave Pblica 30 Nomes de Entidades Em um certificado de chave pblica, os nomes de entidades (emissor e sujeito) devem ser nicos.
Slide 31
Abril de 2006 Infra-estrutura de Chave Pblica 31 Componentes de uma ICP (PKI) Autoridade Certificadora (CA) Autoridade Registradora (RA) Diretrio X.500 Servidor de Recuperao de Chave Usurios Finais 1 2 3 5 4 6 Repositrio de Certificados
Slide 32
Abril de 2006 Infra-estrutura de Chave Pblica 32 Componentes de uma PKI Autoridade Certificadora (CA) Autoridade Registradora (RA) Diretrio de Certificados (X.500) Servidor de Recuperao de Chave Protocolos de Gerenciamento Protocolos Operacionais
Slide 33
Protocolos de Gerenciamento Comunicao on-line com os usurios finais e o gerenciamento dentro de uma ICP: Entre RA e um usurio final. Entre duas CAs. Funes Inicializao Registro Certificao Recuperao de chave Atualizao de chave Revogao Certificao cruzada
Slide 34
Protocolos Operacionais Permitem a transferncia de certificados e das informaes de status de revogao, entre diretrios, usurios finais e parte verificadoras. X.509 no especifica nenhum nico protocolo operacional para uso dentro de um domnio de ICP. Protocolos usados: HTTP, FTP, LDAP-LightweightDiretoryAccessProtocol Email
Slide 35
Abril de 2006 Infra-estrutura de Chave Pblica 35 Partes de sistema PKI Infra-estrutura PKI Usurio Final / Empresa Parte Verificadora
Slide 36
Abril de 2006 Infra-estrutura de Chave Pblica 36 Interao das partes em PKI Infra-estrutura de PKI Usurio Final ou Empresa Parte Verificadora Certificado X.509 Informao de Status de Revogao de Certificado LDAP, HTTP, FTP, e-mail LDAP OCSP / CRL
Slide 37
Online Certificate Status Protocol (OCSP) The Online Certificate Status Protocol (OCSP) um protocolo Internet usado para obter o status is an Internet protocol used for obtaining the revocation status of an X.509 digital certificate. It is described in RFC 2560 and is on the Internet standards track. It was created as an alternative to certificate revocation lists (CRL)Internet protocolX.509 digital certificateRFC 2560 Internet standards certificate revocation lists
Slide 38
Online Certificate Status Protocol (OCSP) 1. Alice and Bob have public key certificates issued by Ivan, the Certificate Authority (CA). Alice and Bobpublic key certificatesCertificate Authority 2. Alice and Bob have public key certificates issued by Ivan, the Certificate Authority (CA). Alice and Bobpublic key certificatesCertificate Authority 3. Bob, concerned that Alice's key may have been compromised, creates an 'OCSP request' that contains Alice's certificate serial number and sends it to Ivan.
Slide 39
Online Certificate Status Protocol (OCSP) 4. Ivan's OCSP responder reads the certificate serial number from Bob's request. The OCSP responder uses the certificate serial number to look up the revocation status of Alice's certificate. The OCSP responder looks in a CA database that Ivan maintains. In this scenario, Ivan's CA database is the only trusted location where a compromise to Alice's certificate would be recorded.
Slide 40
Online Certificate Status Protocol (OCSP) 5. Ivan's OCSP responder confirms that Alice's certificate is still OK, and returns a signed, successful 'OCSP response' to Bob.signed 6. Bob cryptographically verifies Ivan's signed response. Bob has stored Ivan's public key sometime before this transaction. Bob uses Ivan's public key to verify Ivan's response. 7. Bob completes the transaction with Alice.
Slide 41
Abril de 2006 Infra-estrutura de Chave Pblica 41 Tipo de Autoridades Certificadora Autoridades de Certificao de Raiz (ou Autoridades de Certificao Superiores ou ainda Autoridades de Certificao de Maior Nvel), que emitem diretamente os certificados,...... Autoridades de Certificao Intermedirias, cujos certificados so emitidos indiretamente pelas Autoridades de Certificao Raiz.
Slide 42
Autoridades de Certificao Podemos pensar no caminho entre a Autoridades de Certificao Raiz e o Cliente como uma cadeia de certificao, j que existe a Autoridades de Certificao Raiz, que emitem os certificados para as Autoridades de Certificao Intermedirias, se existirem, e essas para o Cliente (ou utilizador final) que aplica o certificado.
Slide 43
Autoridades de Certificao Caso o certificado no seja emitido por uma Autoridade de Certificao, este chamado auto-assinado, ou seja, o proprietrio ocupa os lugares de Autoridade de Certificao, Autoridade de Registo e Cliente. Autoridade de Registo Este o caso quando se utiliza o OpenSSL.
Slide 44
Autoridades de Certificao Exemplos de Autoridades de Certificao internacionais so a americana VeriSign ou a britnica Equifax.VeriSignEquifax Exemplos de Autoridades de Certificao Intermedirias so a portuguesa Saphety, a tambm portuguesa Multicert e a Brasiliera Certisign.SaphetyMulticertCertisign