O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo

Instituto Nacional de Tecnologia da Informação

O ITI e a Infra-estrutura de Chaves Públicas Brasileira

Viviane Regina Lemos BertolCoordenadora-Geral

de Normalização e Pesquisa


O ITI– Autarquia Federal, ligada à Casa Civil daPresidência da República– Criada para ser a AC-Raiz da ICP-Brasil em 2001 –MP 2.200-2– Composta de:

•Diretor-Presidente•Diretoria de Infra-estrutura de Chaves Públicas•Diretoria de Auditoria, Fiscalização e Normalização•Procuradoria Especializada


O ITI– ICP-Brasil

• AC-Raiz• Auditoria e Fiscalização• Normalização e Pesquisa• Projeto João-de-Barro• Homologação de HW e SW

– Software Livre– Inclusão Digital – Casa Brasil


ICP-Brasil– Criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País

– Compõe-se de: (1) Entidades, (2) Padrões técnicose (3) Regulamentos para suportar um sistemacriptográfico de certificados digitais


AC 1º. Nível

COTEC

ACRAIZ Auditoria

AC 1º. NívelAR ARAR

AC 2º. NívelAC 2º. Nível

ARAR

PSS

Entidades

da

ICP-Brasil

COMITÊ GESTOR

LEA

Titulares

TitularesTitulares

Entidades da ICP–Brasil


– Comitê Gestor Responsável pela implantação da ICP-BrasilEstabele políticas, critérios e normas de

funcionamentoAudita e fiscaliza a AC Raiz

– CotecDá assessoria técnica ao CGPropõe criação / alteração de regulamentos

Entidades da ICP–Brasil– AC Raiz

Credencia, audita e fiscaliza entidades da ICP-BrasilAssina seu próprio certificado e os certificados das

AC imediatamente abaixo dela

– AC – Autoridade CertificadoraEmite, renova ou revoga certificados digitais de

outras AC ou de titulares finaisPublica LCR



Entidades da ICP–Brasil– AR – Autoridade de Registro

Identifica e cadastra usuários na presença destesEncaminha solicitações de certificados às ACMantém registros de suas operações

– PSS – Prestador de Serviços de SuporteInfra-estrutura física e lógicaMão-de-obra especializada


Entidades da ICP–BrasilTitular de Certificado

É aquele que é identificado pelo certificado digitalPode ser: pessoa física / jurídica ou equipamento

LEA – Laboratório de Ensaios e AuditoriaHomologação de equipamentos e sistemas de certificação digital

Auditoria Independente / Auditoria InternaAutorizada pelo ITIContratada pelas AC


ICP-Brasil - Padrões TécnicosFIPS 140-2 – segurança dos módulos criptográficos X-509 – formato do certificadoPKCS – formato de arquivos para solicitação e entrega dos certificadosRFC 3280 – interpretação das extensões do certificadoRFC 2527 – estrutura das declarações de práticasde certificação


Regulamentos da ICP-Brasil

MP-2200/2, de 24.10.01– criação da ICP-BrasilDecreto 4.689, de 07.05.2003 – estrutura do ITIResoluções do Comitê-Gestor Instruções Normativas do ITI Códigos Civil, Penal, Tributário, Direito do Consumidor

Por que usar certificados da ICP-Brasil

– Validade Jurídica dos documentos assinados– Padrões Internacionais de segurança nas instalações e procedimentos– Declaração Pública de Práticas– Identificação Presencial do titular do certificado– Seguro de responsabilidade civil– Guarda dados por tempo ilimitado– Auditoria prévia e anual nas entidades– Interoperabilidade


Interoperabilidade


Pessoa Física e Pessoa Jurídica

http://www.certisign.com.br/pernambuco/ecpf/index.html

http://www.certisign.com.br/pernambuco/ecnpj/index.html


Exemplos de Uso de certificados ICP-BrasilSistema Brasileiro de Pagamentos – SPBDCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)Escrituração Fiscal – Secretaria da Fazenda do Estadode PernambucoNF-e – Nota Fiscal Eletrônica (SRF/MF, SP,GO,MA,BA,SC,RS)Contratos de Câmbio - Apólices de SegurosPregões Eletrônicos (SP,SC,MG) e COMPRASNET (Federal)Sistemas Estruturadores do Governo Federal e SCPDInternet Banking e Mobile Banking


Exemplos de Uso de certificados ICP-BrasilPROUNI - MECe-DOC do TRT 4a. Região e outros cases na esfera do judiciário (TJ-RS, TJ-RJ, e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ)DETRAN - MGLicenças Ambientais – CETESB/SPINPIContadores, Odontólogos, Médicos, Corretores de SegurosServidores do Judiciário Federal, Auditores-fiscais daReceita


Auditoria da ICP-BrasilPré-operacional

–Credenciar –Não credenciarOperacional – anual ou intempestiva

–Manter credenciamento–Suspender emissão de certificados–Descredenciar

Itens verificados numa Auditoria Pré-Operacional de AC


Segurança Pessoas–Contratação: verificação antecedentes, termos de sigilo, perfil –Treinamento, Avaliação Desempenho–Desligamento: revogação acessos, assinatura termos

Segurança Física–6 Níveis de Segurança – Sala Cofre–Monitoramento permanente: alarmes, câmaras vídeo–Sistemas proteção de incêndio, redundância energia


HSM

Nível 1

Nível 2Nível 3

Nível 4



Segurança Lógica–Controle de acesso: somente funcis autorizados –Guarda / troca senhas administrador e usuários–Geração e guarda de logs com os registros obrigatórios–Geração e guarda de backups–Controle softwares instalados nos servidores críiticos: versão usada, testes de homologação, atualizações de segurança etc


HSM

AR

SERVWEB

SERV AUT

IDS

SERV CERT



Segurança Rede–Topologia, segmentação da rede–Regras de Firewall, IDS –Uso de VPN em intranets e extranet–Monitoramento de ataques–Testes periódicos de vulnerabilidade–Disponibilidade do repositório de LCR



Segurança Informação–Análise de logs –Classificação da Informação–Análise de Risco–Plano de Continuidade de Negócios–Plano de Extinção da AC–Gerenciamento de Mudanças–Administração dos procedimentos operacionais da AC



Gerenciamento da Chave da AC – Instalação dos sistemas de certificação– Geração de chaves da Ac e Solicitação de certificado– Recepção de certificado da AC Raiz e instalação no

sistema– Revogação de certificado da AC– Guarda da chave privada – partições n/m, cofre,

gabinetes



Gerenciamento dos certificados de titulares –Geração de certificados para tipo de PC–Revogação dos certificados–Geração e publicação de LCR–Log dos eventos

Itens verificados numa Auditoria Pré-Operacional de AR


Segurança física, lógica e de pessoalTestes de:

– Validação do solicitante– Geração de certificados para tipo de PC– Revogação dos certificados– Guarda da Documentação

Ênfase no treinamento dos agentes de registro


Resultados das Auditorias

Exemplos de problemas solucionados

– Sala-cofre sem estanqueidade– Bases de dados corrompidas– Não realização das análises de logs obrigatórias– Emissão de certificados sem respectiva documentação– Emprego de agentes de registro despreparados– Perda de imagens das câmaras de vídeo


Projeto João-de-Barro

MOTIVAMOTIVAÇÇÃOÃOIndependênciaIndependência de de fornecedoresfornecedores ((caixacaixa pretapreta))AutonomiaAutonomia TecnolTecnolóógicagicaResgateResgate AcadêmicoAcadêmicoNacionalizaNacionalizaççãoão dada PlataformaPlataforma TecnolTecnolóógicagica



OBJETIVOSOBJETIVOSCriptossistemaCriptossistema dada ACAC--Raiz Raiz dada ICPICP--BrasilBrasilMassaMassa crcrííticatica emem certificacertificaççãoão digital, auditoria de infradigital, auditoria de infra--estruturaestrutura de de chaveschaves ppúúblicasblicas e e criptografiacriptografia



PARTICIPANTESITI – GerênciaCASNAV – Especificação Técnica do ProjetoITA - Módulo de Segurança CriptográficaCEPESQ – Gerador de Números Aleatórios LABSEC UFSC - Sistema de Gerência de CertificadosSERPRO – Metodologia de DesenvolvimentoFINEP – Financiadora do Projeto


Projeto João-de-BarroCRONOGRAMASET 2006 – Integração entre sw SGC e sw MSC FEV 2007 – Integração entre sw SGC e sw + hw MSCAGO 2007 – Implantação em produção


Normalização e Pesquisa

Normalização sobre Carimbo de TempoAtualização dos algoritmos e padrões técnicosManual de Condutas Técnicas para homologação de sw e hw

Sites para consultaITI – www.iti.gov.br e www.iti.brCEF – www.icp.caixa.gov.br/asp/respositorio.aspPR – https://thor.serpro.gov.brSRF – http://www.receita.fazenda.gov.br/acsrfSERASA – http://certificadodigital.com.br/repositorioSERPRO – https://thor.serpro.gov.br/ACSERPROCERTISIGN – http://www.icp-brasil.certisign.com.br/repositorio



Muito Obrigada

VIVIANE REGINA LEMOS BERTOLCoordenadora Geral de Normalização e Pesquisa

e-mail: [email protected]

Documents

O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo