PKI (Public Key Infrastructure) - Daibert.pro Portal Systemdaibert.net/uploads/palestras/IVCONISLI_PKI_DAIBERT.pdf · • Definição formal: é um conjunto de hw, sw, pessoas, políticas

PKI (Public Key Infrastructure):

Abordagens Utilizando Sistemas Opensource

Marcelo Santos [email protected]

PKI (Public Key Infrastructure) 2

Agenda

• Motivação• Definição• Aplicação• Função Hash e Criptografia• Certificado Digital• ICP Brasil• Estudos de Caso

– CertiSign– Receita Federal– Banco do Brasil– PGP (Pretty Good Privacy)

• Conclusão

Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão


Motivação

• Crescente utilização da internet para negócios e aplicações• Conteúdo aparente = conteúdo real Integridade• Remetente aparente = remetente real Autenticidade• Destinatário aparente = destinatário real Sigilo• Operações eletrônica Legalidade e Força Probatória• Problemas:

– Conectividade X Segurança– Padronização



Motivação

• Uma informação é considerada segura quando são preservadas suas premissas de:– Confidencialidade– Integridade– Disponibilidade– Autenticação e Identificação– Não-repudiação– Controle de Acesso

Padrão ISO 17799

Derivações



Definição

• Definição formal: é um conjunto de hw, sw, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados baseados em criptografia de chave pública.

• Composto por:– AC – Autoridades Certificadores– Autoridades de Registro Organizacional– Certificados– Clientes– Repositórios para Listas de Revogação de Certificados– Protocolo para distribuição dos certificados: LDAP



Definição

PKICriptografiae Hash Certificação

Digital

Assinatura Digital

Fonte: Stefano Kubiça - Governo Federal



Aplicação

• Email Seguro• VPN (Virtual Private Network)• SSH (Secure Shell)• SSL (Secure Sockets Layer) e TLS (Transport Layer Security)• Autenticação Forte• Comércio Eletrônico• e-GOV• Validação de Documento Eletrônicos• Validação de Remetentes• Validação de Conteúdos• Entre outros



Função Hash

• Consiste em uma função que mapeia uma entrada de tamanho variável para uma saída de tamanho fixo

• A partir do digest de saída, é impossível obter a mensagem de entrada.

• Entradas diferentes (x e y), idealmente gerarão sempre saídas diferentes H(x) e H(y)

• MAC – Message Authentication Code

• Exemplos: MD5, SHA-1

Função Hash Criptografia Hash x Criptografia ExemplosMotivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão


Criptografia

• “Codificação de informações de forma que apenas pessoas ou processos autorizados possam lê-las”

• Algoritmos:– Simétricos

• ou convencional, chave privada, chave única

– Assimétricos• ou chave pública (PKI usa algoritmos assimétricos)

Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos


Criptografia - Terminologia

• plaintext – mensagem original• ciphertext – mensagem cifrada• cipher – algoritmo para transformação de “plaintext” para

“ciphertext”• key – informação utilizada em “cipher” e conhecida somente pela

origem e destino• encipher (encrypt) – converter “plaintext” para “ciphertext”• decipher (decrypt) – recuperar “ciphertext” de “plaintext”• cryptography – estudo dos métodos/princípios da encriptação• cryptanalysis (codebreaking) – estudo dos métodos/princípios

de decifrar “ciphertext” sem conhecer a “key” de encriptação• cryptology – ciência que abrange a criptografia e a criptanálise



Criptografia - História

• Primeira utilização: Época Faraônica• Difundida no Uso militar• Substituição de cada letra do plaintext pela 3a.

Subseqüente - Substituições Simples• Exemplo:

– Me Encontre– Ph Hqfrqwuh

• Com o passar dos anos essas substituições simples foram substituídas por substituições poli alfabéticas e maquinas cifrantes



Criptografia Simétrica

• Chave única para cifrar e decifrar um conteúdo eletrônico

• Exemplos de algoritmos simétricos:– DES, 3DES, IDEA, RC2, RC5, CAST-128

Plain textEncrypt

Cipher text Plain textDecrypt

Remetente Destinatário

Chave Privada



Criptografia Assimétrica

• Único par de chaves matematicamente relacionadas ==> pública e privada

• Conteúdo cifrado por qualquer uma, só pode ser decifrado por qualquer outra

• Exemplos de algoritmos assimétricos:– RSA, Diffie-Hellman, DSS

Plain textEncrypt

Cipher text Plain textDecrypt

Remetente Destinatário

PUBPRIV



Função Hash x Criptografia

• Criptografia = Reversível– Original: 58431720844123736124178 – N+D, D=1: 69542831955234847235289

• Hash = Irreversível– Original: 58431720844123736124178 – ∑ Números: 91

• Composição de Criptografia de chave pública e Funções Hash Permitem:– Verificar o autor, data e hora da assinatura– Autenticar o conteúdo da mensagem




• Confidencialidade:

PRIV

1. Maria distribui sua chave pública e guarda a chave privada

2. João criptografa a mensagem com a chave pública de Maria, e depois a envia para Maria

3. Maria decriptografa a mensagem com a sua chave privada e a lê

4. João terá certeza que somente Maria poderá ler a mensagem

De: João Para: Maria


PUB

PRIV




• Confidencialidade:

PRIV



PUB

PRIV

-----BEGIN PGP MESSAGE-----Version: GnuPG

qANQR1DBwU4DibaLQxcuaPAQCADYK12F/F8ysyIwZzLqRdYzqE+rs3liWGyHExOpdwwvDvslxMdj3sUrhhgoyh8Au8ujEDuVP0RDq/k4Bbl+JB+6EAjlkQYi6/sTu8CptosY9qHRHsk25c21TUpxa+7jwlMc6JY0PyUEzTlJMJ9FN4xefLPUNyX5cUUBNT5u+nmDg9GxsYbnZYN+nJpJ+a5DypfQTzV+k68CLwLK3Lc4wQl963Zzaz5poS00vS6wWSir8cJGWPnoEO8JjIdWMXCDYmZqErgFMPAdSuV7SeydymiNwRMYs2zVx6fe+Vv3nGWJHmN8rM0WuDk8CDwrdduAG+Bj7HQGzkm844M1221pZogxB/97kh9TTT8SqaWdtI7i7/Yo2HJ7QahFrH4v8Z2NXl20aS+bcCJfP77Axka4lNaAw5DYvhtpevAxMNs8zF8CJm57ldvtntM+JofVCrIZNmOK5tR2UCBrNT34F1omGMSq7KAff+qdndfVe+p8P5VhU2Im/WumOr1TAJQtAiqvbqE8gEkYeVnsKwB6gG1SVP1yOY2QVXcfwhHvyndI+GKdIZjRPljj7Af976x5HKXyDr6Vmpo2s4W3lBdWWCufxyrvaLHtt+UJ+f+8P7wPFh7VAEE65b1vCKB/SNd/cifyZME7ya9b+7rSObmvmYAUajuWC7i273/XzuQBzxOmgi5EuCvx0qoBcJLX9yFrpq+/SlVLMi8jnUW987ZqLhXfB+vLzbve2vowEHGuECt/Ir8uytP6B3Y4UU1CgfbYU/o5sDyURWfjXcoUbqP/uJr1GkpQydfh9RvHScsDkRQ2dk/T5piBNu943+UThuErzUZAusKhC+XBrFvQFCipkoWQKpXSE6kgZWPpVUt8hAO162ZSgoWC3SEndsfj9rwXbMsbEs2A9//uTTFGC2SNhBdUHw===YJJE-----END PGP MESSAGE----- Oi Maria,

Como você esta?Ass. João




• Assinatura Digital:

PRIV

1. João distribui a chave pública e guarda a chave privada

2. João assina a mensagem com sua chave privada e depois a envia para Maria

3. Maria verifica a mensagem com a chave pública de João e a lê

4. Maria terá certeza que a mensagem éde João



PUB

PRIV




• Assinatura Digital:

PRIV



PUB

PRIV

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1

Oi Maria,

Como você esta?

Ass. João

-----BEGIN PGP SIGNATURE-----Version: GnuPG

iQA/AwUBQ1Ldcg84EGvjFq3VEQJXSACg3RJvObJg9Ra6LB+qHJNrhTIU0fsAoNpF

qp5QE0nuodb5Ta0jHlUlbFsY=YBA6-----END PGP SIGNATURE-----



Certificado Digital

• Expedição e controle de Certificados Digitais (carteiras de identidade eletrônicas) por Autoridades Certificadoras – AC’s

• Componente de confiança (ISO x509v3)

• Permite a qualquer momento atestar a titularidade de uma chave criptográfica



Certificado Digital

• O padrão X.509 é aceito como base para a PKI, definindo formatos de dados e procedimentos relativos a distribuição de chaves públicas usando certificados assinados digitalmente

• X.509 v3:– Versão– Serial Number– Issuer– Subject– Subject Public Key (algoritmo, chave)– Período de validade– Extensões– Algoritmo de Assinatura– Assinatura digital



Certificado Digital - Exemplo

• SSL e TLS (OpenSSL - http://www.openssl.org/)



Certificado Digital - Exemplo

• SSL e TLS (OpenSSL - http://www.openssl.org/)– Apache + OpenSSL

SSLEnableSSLCertificateFile /usr/share/ssl/certs/webmail.daibert.net.crtSSLCertificateKeyFile /usr/share/ssl/private/webmail.daibert.net.keySSLLogFile /usr/local/apache/domlogs/webmail.daibert.net-ssl_data_logSetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown



ICP Brasil - Conceito

• ICP, ou Infra-estrutura de Chaves Públicas, é a sigla no Brasil para PKI - Public Key Infrastructure.

• Conjunto de técnicas, práticas e procedimentos elaborado para suportar um sistema criptográfico com base em certificados digitais.

• Torna possível estabelecer transações e comunicações sem risco para as partes.

• Quando se utiliza um certificado digital, as partes envolvidas tornam-se responsáveis.

• A ICP-Brasil foi instituída pela Medida Provisória 2.200.• Possui Comitê Gestor ICP-Brasil que adota as medidas

necessárias e coordenar a implantação e o funcionamento.

Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoConceito Estrutura ACs Legislação


ICP Brasil - Estrutura


Comitê Gestor da ICP-BR

Autoridade Certificadora Raiz

Autoridade Certificadora

Autoridade de Registro

Determina as políticas a serem executadas pela Autoridade Certificadora Raiz.

Aplicação das políticas da ICP-Brasil. Instituto Nacional de Tecnologia da Informação – ITI.

Emite certificados, vinculando pares de chaves criptográficas ao respectivo titular.

Identifica presencialmente, cadastra e encaminha solicitações de certificados às ACs.

Conceito Estrutura ACs Legislação


ICP Brasil - ACs

• Algumas Autoridades Certificadoras: – Tem por função administrar os certificados e controla a

emissão, revogação, validação e aprovação de procedimentos de segurança.



ICP Brasil - Legislação

• MP Nº 2.200-2 agosto 2001: Institui a Infraestrutura de Chaves Públicas – Regulamenta que os documentos eletrônicos assinados digitalmente com

o uso de certificados emitidos no âmbito da ICP-Brasil têm a mesma validade jurídica que os documentos escritos com assinaturas autógrafas.

• Decreto: 3.505 (06/2000): Institui a Política de Segurança da Informação no âmbito da adm. Pública – Determina que as ações relativas à segurança de informação no País

sejam tomadas pela Secretaria-Executiva do Conselho da Defesa Nacional.

– Assegura a garantia ao direito individual e coletivo das pessoas, àinviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Brasileira.

– Criação dos cartórios eletrônicos necessários para o uso da criptografia assimétrica na comunicação da informação governamental.



Estudos de Caso – CertiSign

• Autoridade Certificadora atuante no território brasileiro, com diversas soluções para certificação digital e PKI.

• Afiliada exclusiva da ViriSign no Brasil• Site: http://www.certisign.com.br

Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP



• Principais Soluções Disponibilizadas:– Assinador de Documentos– Certificados para Servidores WEB (SSL / TLS)– Email Seguro Corporativo– SDK CertSign– CertJUS – Certificado Digital do Poder Judiciário Brasileiro

• Tipo A1• Tipo A3




• Principais Soluções Disponibilizadas:– e-CPF





• Principais Soluções Disponibilizadas:– e-CNPJ


– Identidade Digital




• Principais Soluções Disponibilizadas:– Notebook Seguro– PKI Gerenciada

• Pacote para Rede - VPN

– Workflow CertiSign (GED)– KMS CertiSign

• Gerencia do Ambiente PKI




• Passos para registro de um certificado:

1. Escolha do certificado no site da autoridade certificadora

2. Preencha o formulário online3. Vá em um ponto de validação presencial com os

documentos exigido para cada certificado



Estudos de Caso – Receita Federal

• e-CAC (Antigo Receita 222):– Centro Virtual de Atendimento ao Contribuinte– Serviço criado com o objetivo de proporcionar aos

contribuintes que dispões de certificado digital, atendimento de forma interativa, por intermédio da internet.

– Contribuinte tem que possuir cerificação digital da SRF, e-CPF ou e-CNPJ



Estudos de Caso – Receita Federal

• Serviços Disponibilizados e-CAC:– Caixa Portal– Cadastros (CPF – CNPJ)– Declaração de Imposto de Renda– Cópias de declarações anteriores– Pagamentos (Ex.: DARF – Documento de Arrecadação da

Receita Federal)– Parcelamento de Débitos– Emissão de Declaração Eletrônica– Situação Fiscal– SISCOMEX (Sistema Integrado de Comércio Exterior)



Estudos de Caso – Banco do Brasil

• Engenharia Social X Segurança• Contrato de Câmbio – Desde Outubro de 2005• Troca de arquivos com clientes e parceiros

– Certificado Tipo A3 – Desde Março 2006• Internet Banking Pessoa Física

– Certificado Tipo A1 – Desde 2000– Certificado Tipo A3 – Desde Março 2006

• e-CPF – Smart Card









Estudos de Caso – PGP


• GnuPG - http://www.gnupg.org/• OpenPGP – Aliança Mundial• Padrão OpenPGP:

– Phil Zimmermann– 1991

• Internet Engineering Task Force (IETF)




• $ gpg --gen-key• $ gpg -s nome-do-arquivo

You need a passphrase to unlock the secret key foruser: "Marcelo Daibert <[email protected]>"2048-bit RSA key, ID 8FA87238, created 2006-05-22 (main key ID

5684E6E0)

• $gpg --verify nome-do-arquivogpg: Signature made 09/16/06 05:11:52 using RSA key ID 8FA87238gpg: Good signature from "Marcelo Daibert <[email protected]>"




• $ gpg -e -r destinatário nome-do-arquivo• $ gpg --export > todas-as-chaves• $ gpg --export --armor > pubring.asc• $ gpg --export --armor seu-nome > pubring.asc• $ gpg --import [arquivos] • $ gpg --fingerprint nome-do-usuário


Conclusão

• A certificação digital busca garantir:– Privacidade nas transações– Integridade das Mensagens– Autenticidade– Assinatura digital– Não-repúdio

• O PKI (Public Key Infrastructure) garante a infra-estrutura necessária para criar, gerenciar, armazenar, distribuir e revogar certificados baseados em criptografia de chave pública


PKI (Public Key Infrastructure):

Abordagens Utilizando Sistemas Opensource

Marcelo Santos [email protected]

Documents

PKI (Public Key Infrastructure) - Daibert.pro Portal Systemdaibert.net/uploads/palestras/IVCONISLI_PKI_DAIBERT.pdf · • Definição formal: é um conjunto de hw, sw, pessoas, políticas