Abordagem sistemática da infra-estrutura de chave pública

Infra-estrutura de Chave Pública

Bruno Luiz


Programa Apresentação do sistema

Criptografia assimétrica Assinatura digital Componentes de uma ICP

Entradas Clientes ICP Requisição de certificados (PKCS #10)

Processos de Transformação Protocolos de gerenciamento

Saídas Certificados Digitais (Padrão X.509)

Mecanismos de feedback Revogação de certificado


Apresentação do sistema


Criptografia assimétrica A criptografia assimétrica é conhecida como Criptografia de

Chave Pública (Public Key Cryptography)

Opera com um par de chaves relacionadas, uma pública e uma privada

A chave pública é divulgada A chave privada é proprietária A chave pública é usada para criptografar e só a chave privada

pode decriptografar


Para: BancoDe: Affonso

Data: 16, Abr, 2001

Transferir R$ 2,0milhões da conta 254674-12 para a conta 071517-08

Affonso


Data: 16, Abr, 2001


Affonso

*> *ql3*UY#~00873/JDI

c4(DH: IWB(883

LKS9UI29as9%#@qw9vijhas9djerhp7(*Y23k^wbvlqkwczqw-_89237xGyjdc

Biskdue di7@94

*> *ql3*UY#~00873/JDI

c4(DH: IWB(883


Biskdue di7@94

Criptografia

+ + Algoritmo =Chave Pública

Decriptografia


Data: 16, Abr, 2001


Affonso


Data: 16, Abr, 2001


Affonso

*> *ql3*UY#~00873/JDI

c4(DH: IWB(883


Biskdue di7@94

*> *ql3*UY#~00873/JDI

c4(DH: IWB(883


Biskdue di7@94

+ + Algoritmo =Chave Privada

Criptografia assimétrica


Assinatura Digital A assinatura digital é uma técnica que utiliza a criptografia de

chave pública (assimétrica) e os resumos criptográficos e tem como objetivos:

A identificação do usuário que produziu o documento eletrónico Provar que este documento é original e autentico A validação deste documento eletrónico A garantia que este documento não sofreu nenhuma alteração


Assinatura Digital


Definição Uma Infra-estrutura de Chaves Públicas (ICP) é um sistema de

segurança baseado em tecnologia de criptografia para estabelecer e garantir a confiabilidade de chaves públicas.

Políticas de segurança que definem as regras de operação de sistemas criptográficos

Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser

criadas, distribuídas e utilizadas


Características Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e

públicas Facilita a transição para as tecnologias em processo de

desenvolvimento Infraestrutura de chaves públicas e smart cards é o modo mais

seguro de conduzir negócios pela Internet atualmente


Aplicações Site Seguro ( SSL, WTLS )

– Cliente Web Entrega de Documentos pela Internet E-mail Seguro ( Assinatura e/ou Sigilo ) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) Autenticação


Componentes de uma ICP UM ICP é uma combinação de produtos de hardware e

software, procedimentos e políticas de segurança O ICP fornece a segurança necessária para

comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade

O ICP utiliza certificados de chave pública ou certificados digitais que vinculam os usuários a uma chave pública


Uma infraestrutura de chave pública simples consiste de: Autoridades Certificadoras Autoridades de Registro Repositório de certificados (Diretório)


Arquitetura simplificada de uma ICP


Entradas


Clientes ICP Gerar pares de chaves pública

Criar uma solicitação de certificados (PKCS#10) Apresentar um certificado Verificar um certificado Excluir um certificado Habilitar e desabilitar múltiplos certificados Solicitar uma revogação de certificado Armazenar certificados com critérios de segurança (exemplo:

proteção por password) Exportar certificados com segurança (PKCS#12) Selecionar algoritmos, resistência de chaves e controles de

passwords


Protocolos PKCS

Alguns protocolos foram criados para se utilizar e implementar uma transação de ICP. Definidos como PKCS (Public Key Cryptography Standards).

Requisição de certificados (PKCS#10) Sintaxe para a solicitação de certificados Nome único (DN), chave pública e conjunto opcional de

atributos, assinados digitalmente pela entidade solicitante A CA transforma a solicitação em um certificado X.509 ou em

um certificado PKCS#6 Não define a forma pela qual a CA envia o certificado para o

solicitante


Requisiçao de certificados (PKCS#10)


Processos de transformação


Autoridade Certificadora (CA) Geração, emissão, investigação, revogação, renovação e

políticas de armazenamento de certificados Declaração de Práticas de Certificação Políticas de atributos e extensões de certificados Administração de certificados, relatórios para auditorias e

procedimentos para recuperação/ciclo de vida dos dados Armazenamento seguro da(s) chave(s) privada(s) Acordos para certificação cruzada


Autoridade Registradora (RA) Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de

credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários


Repositório de certificados (Diretório) Aceitar a autenticação de rede por endereço IP ou DNS e a

autenticação do usuário por nome e password LDAP ou certificado X.509 versão 3

Ponto de distribuição para certificados e relações de certificados revogados

Controlar a habilidade do usuário em executar comandos de leitura, gravação, busca ou comparação no nível de atributos

Prover privacidade (SSL) e integridade de mensagens para todas as comunicações


CA

RA Usuário

Diretório

A informação do usuário e a Chave Pública são enviados para o RA

RA verifica as informações e solicita a emissão do certificado

CA emite o certificado e o remete para o RA

CA divulga o certificado em um diretório

O RA envia o certificado para o usuário

O usuário gera um par de chaves e solicita um certificado


O lojista pode Verificar: Detalhes do certificado Relações de revogação Validade dos certificados Assinaturas Decriptar dados

A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora

Transações Comerciais via Internet

CA

Usuário

Diretório

CA divulga o certificado em um diretório

Lojista


Saída


Certificados Digitais Certificados Digitais são equivalentes eletrônicos às provas

físicas de identificação, como passaporte e cédulas de identidade, que auxiliam a autenticação de usuários em redes de comunicações

O certificado digital pode estar armazenado em uma estação, um disquete ou em um dispositivo de segurança como um smart-card

Certificados Digitais são elementos essenciais em um ICP


Um certificado digital contém: Informações sobre o proprietário Informações sobre o emitente Chave pública do proprietário Datas de validade e expiração Assinatura digital do emitente (CA), avaliando o conteúdo do

certificado


Certificado Digital (Padrao X.509)


Emissão de Certificados É preenchido um formulário ou colhida as informações

pessoalmente por uma autoridade de registro, sendo colhidos nome, endereço, CPF, etc.

É gerada no equipamento do requisitante as chaves pública e privada

Os dados colhidos sao assinados digitalmente utilizando a chave privada gerada e enviados para a autoridade certificadora a chave pública e os dados assinados

A autoridade certificadora confirma a veracidade dos dados enviados, emite o certificado digital, o assinando com sua chave privada

O certificado digital é enviado para o requisitante, que instala o certificado no equipamento ou dispositivo de segurança onde ficará armazenado.


Ciclo de Vida do Certificado

CA

Usuário

RA

Diretório

Emissão doCertificado

Geração doCertificado

Expirar oCertificado

Armazenar oCertificado

Aplicação

RevogaçãoDo Certificado


Feedback


Revogaçao de Certificado Os certificados devem ser revogados pela AC e comunicados

de alguma forma aos outros, sempre que:

A chave secreta do usuário for comprometida Os dados do usuário forem modificados. Por exemplo, o usuário

mudou de organização O usuário não deseja mais ser certificado pela AC O certificado da própria AC foi comprometido O usuário violou a política de segurança da AC


Revogação de certificado


Obrigado pela atenção!


Perguntas?

Technology

Abordagem sistemática da infra-estrutura de chave pública