Embed Size (px)
DESCRIPTION
Apresentação criada com intuito de explanar de forma rápida, conceitos relacionados a validação de certificados digitais X509.
Citation preview
Validação de Certificados Digitais
Natanael FonsecaArquiteto de Software
ValidaçõesPara a utilização correta de certificados digitais, diversas validações são necessárias sobre os certificados contidos na “Cadeia de Confiança”, como, por exemplo:
– Verificar a data de validade (Inicial e Final);– Verificar se cada certificado da cadeia de confiança não foi revogado
ou encontra-se expirado.
Cadeia de Confiança
Um certificado digital é um documento que associa uma chave publica a uma determinada entidade, este documento é assinado digitalmente pela chave privada de uma outra entidade, muitas vezes chamada de Autoridade Certificadora (AC). Dessa forma garante-se atraves do conceito de “Cadeia de confiança” a autenticidade das informações.
Revogação de Certificados
Revogar significa tornar sem efeito, ou seja, o certificado digital deverá ser revogado, sempre que ocorrer um dos seguintes eventos:
– Houver mudança em qualquer informação contida no Certificado Digital;– Em caso de suspeita ou evidência de comprometimento de chaves privadas ou das
senhas, ou da mídia de armazenamento;– A pedido formal do Titular do Certificado Digital, quando não houver mais interesse
na utilização do Certificado Digital, conforme procedimentos e prazos constantes nos itens 4.4.3 e 4.4.4 das Políticas de Certificados Digitais.
Validação de Revogação
• Online Certificate Status Protocol (OCSP)
– Validação acontece de forma online, através de um serviço disponibilizado pela Autoridade Certificadora, cabe ao sistema apenas a criação da requisição OCSP perguntando pelo status do certificado.
• Certificate Revocation List
– Validação acontece de forma Off-Line com base em um arquivo que é baixado da Autoridade Certificadora, cabe ao sistema verificar se o certificado em questão encontra-se neste arquivo.
O que é LCR ?
È Uma estrutura de dados assinada por uma AC contendo a lista de certificados que não devem ser considerados válidos. Normalmente o endereço onde este arquivo pode ser baixado, pode ser encontrado no próprio certificado.
Pontos de distribuição.
OCSP• Este protocolo é uma alternativa rápida e leve para CRLs tradicionais, o
qual permite que os aplicativos cliente façam consultas em busca do status do certificado diretamente a um “Responder OCSP”.
ACs que suportam o protocolo OCSP• AC JUS
http://www.acjus.gov.br/acjus/dpcacjus.pdf (Vide item 4.4.3.2 - d)• CERTSIGN MULTIPLA
http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_Multipla/DPC_AC_Certisign_Multipla_v3.0.pdf (Vide item 4.4.3.2 - d )
• AC PETROBRAShttp://icp-brasil.certisign.com.br/repositorio/dpc/AC_PETROBRAS/DPC_AC_PETROBRAS_v5.0.pdf (Vide item 4.4.11)
• CERTSIGNhttp://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_RFB/DPC_AC_Certisign_RFB_v4.0.pdf (Vide item 2.8.4.1)
• SINCORhttp://icp-brasil.acsincor.com.br/repositorio/dpc/AC_SINCOR_RFB/DPC_AC_SINCOR_RFB_v4.0.pdf (Vide item 2.8.4)
• FENACON
http://icp-brasil.acfenacon.com.br/repositorio/dpc/AC_FENACON_CERTISIGN_RFB/DPC_AC_FENACON_CERTISIGN_RFB_v4.0.pdf(Vide item 2.8.4)
• PRODEMGEhttp://icp-brasil.certisign.com.br/repositorio/dpc/AC_PRODEMGE_RFB/DPC_AC_PRODEMGE_RFB_v4.0.pdf (Vide item 2.8.4)
• SERASA http://publicacao.certificadodigital.com.br/repositorio/dpc/declaracao-scd.pdf (vide item 4.4.11)
CRL vs OCSPCARACTERÍSTICAS CRL OCSP
Cadeia de ConfiançaDisponível localmente nas listas, sendo um arquivo para cada AC.
Não necessita de acesso a cadeia, o servidor OCSP fica responsável pela atualização da cadeia de confiança.
Recurso de Rede
Necessário acesso a internet para download dos arquivos LCR. Quanto maior a taxa de atualizações, maior a necessidade de banda disponível.
Necessário o acesso a internet. Requisições request/response com resposta quase imediata.
Recursos de Armazenamento em
Disco Rígido
Necessário espaço em disco disponível para armazenamento dos arquivos. Tamanho total pode variar de acordo com a quantidades de ACs contempladas.
Não é necessário armazenamento em disco algum.
Recursos computacionais
Necessário acesso a todos os registros de todas as listas da cadeia de confiança. Consumo alto de recursos computacionais.
Consumo quase zero de recursos, somente requisição request/response.
Lógica de validaçãoAcesso de forma recursiva a cadeia de confiança, arquivo por arquivo.
Requisição request/response com resposta quase imediata.
Confiabilidade
Necessário atualização constante das listas. Existe a possibilidade de um certificado estar revogado, porém a lista não ter sido atualizada a tempo, botando em risco a confiabilidade da assinatura.
ACs responsáveis pela manutenção e atualização dos servidores OCSP. Muito improvável ter o serviço estar indisponível ou ter dados desatualizados.
Disponibilidade no mercado
Primeiro modelo de validação, disponível por praticamente todas as ACs.
Tecnologia mais recente. Depende da AC ter implementado o serviço.
Referencias
• Public Key Infrastructure – PKI– http://novateceditora.com.br/livros/pki/
• Beginning Cryptography with Java– http://www.wrox.com/WileyCDA/WroxTitle/Beginning-Cryptography-
with-Java.productCd-0764596330.html
• Resoluções da ICP-Brasil em vigor– http://www.iti.gov.br/twiki/bin/view/Certificacao/DocIcp
