A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Copyright DigiSign 2003 Conceituação de Assinatura e Certificação Digital Carlos A. Viceconti.

Apresentações semelhantes


Apresentação em tema: "Copyright DigiSign 2003 Conceituação de Assinatura e Certificação Digital Carlos A. Viceconti."— Transcrição da apresentação:

1 Copyright DigiSign 2003 Conceituação de Assinatura e Certificação Digital Carlos A. Viceconti

2 Esta apresentação permite a navegação entre os slides, de forma a dar uma explicação mais detalhada dos conceitos apresentados. Nos pontos onde é apresentado o ícone, clique para obter mais informações. Ao ser apresentado um slide com o ícone, clique para retornar ao fluxo original da apresentação.

3 O que é uma ICP? Uma infra-estrutura composta por um conjunto de software, hardware (opcional) e serviços, para a geração, certificação (garantia), distribuição e gerenciamento de chaves criptográficas e seus certificados digitais, viabilizando seu uso por aplicações e serviços, com o objetivo de prover segurança a ambientes e redes computacionais.

4 ICP: Suprindo Necessidades de Segurança... para atender muitas necessidades Identificação / autenticação Duas funções básicas... Criptografia de chave pública Assinatura digital... garantidas pela certificação das chaves públicas... Sigilo / confidencialidade Não repúdio Auditoria Integridade

5 ICP - Componentes Básicos Chaves criptográficas Certificados digitais Autoridade Certificadora (AC) Autoridade Registradora (AR) Repositório de certificados (Diretório)

6 Certificado Digital Documento de garantia da associação de chaves públicas e seus portadores ( pessoas ou entidades ) Definido por ITU-T X.509 Composto por: Dados do portador Chave pública do portador Dados da AC emissora Assinatura digital da AC emissora Período de validade do certificado Outros dados complementares DN:cn=Fulano de Tal, o=Organização, c=BR, ….

7 Autoridade Certificadora (AC) O aspecto principal de uma ICP é o da confiança Autoridades Certificadoras são instituições em que as partes envolvidas na transação confiam Tem a função de garantir a associação de um portador ( pessoa ou entidade ) com seu par de chaves Emite os certificados digitais a partir de uma política estabelecida, que define como deve ser verificada a identidade do portador, e quais devem ser as regras e condições de segurança da própria AC

8 Autoridade Registradora (AR) Autoridades Registradoras implementam a interface entre os usuários e a Autoridade Certificadora A Autoridade Registradora (AR) encarrega-se de receber as requisições de emissão ou de revogação de certificado do usuário, confirmar a identidade destes usuários e a validade de sua requisição, assim como do encaminhamento destes para a AC responsável, e entregar os certificados assinados pela AC aos seus respectivos solicitantes

9 Diretório Armazena e disponibiliza os certificados, como um dos elementos pertencentes a um participante Padrão de acesso LDAP Controle de acesso e segurança embutidos Necessidade de escalabilidade e alta performance

10 3. AR comprova dados cadastrais e solicita emissão do certificado Autoridade de Registro (AR) 5. Certificado é instalado no cliente e publicado no Diretório Autoridade Certificadora (AC) 2. Dados cadastrais e chave pública Diretório 4. AC emite o certificado, assinando com sua própria chave 1. As chaves são geradas Obtendo um Certificado Digital

11 Quais Chaves Criptográficas ? a criptografia é uma tecnologia essencial para garantir as funções da segurança, desde que usando chaves secretas de tamanho adequado mas não se trata da criptografia convencional, simétrica, que usa uma chave secreta compartilhada pelos dois lados, pois ela tem vários inconvenientes trata-se da criptografia assimétrica, mais avançada, e que usa um par de chaves : uma secreta ou privada, que fica somente com seu dono, e uma pública, que pode ser compartilhada com todos

12 Código Mensagem Encriptar Emissor Decriptar Receptor do Receptor Chave pública do Receptor Chave privada o que for encriptado com a chave pública só pode ser aberto com a privada Criptografia de Chave Pública

13 Assinatura Digital Uma assinatura é algo que só pode ser feito pelo seu autor, provando assim sua participação / autoria Como a chave privada do signatário só pode ser usada por êle, ao encriptar algo com a mesma é gerada uma assinatura digital Como é inadequado encriptar a mensagem inteira com a chave privada, usamos um identificador seguro da mensagem, calculado por uma função hash A assinatura é verificada por decriptação usando a chave pública do signatário

14 Funções hash São funções que, para um string digital de tamanho qualquer, calculam um identificador digital confiável, de tamanho fixo, usualmente de 16 ou 20 bytes A primeira propriedade básica de uma função hash é a de que qualquer alteração do string original, por menor que seja ( 1 bit, por ex. ) gera uma alteração significativa no valor do hash correspondente A segunda propriedade é a de que deve ser impossível gerar intencionalmente um string digital diferente do original, e que resulte no mesmo valor de hash Desta maneira, o valor do hash pode ser usado no lugar do string original em várias funções

15 Gerar Assinatura Digital Verificar Assinatura Digital SignatárioReceptor Assinatura Digital Chave pública do Signatário o que for encriptado com a chave privada só pode ser aberto com a pública Signatário Chave privada do MensagemhashMensagemhash Geração e Verificação da Assinatura Digital

16 Assinatura Digital - uma Revolução ! Garante simultaneamente a integridade e autoria de documentos e transações digitais Pode ser armazenada e enviada junto com o documento ou transação digital, sendo persistente e auditável Viabiliza deste modo sua utilização de modo seguro, eliminando ainda a possibilidade de repúdio E ainda fornece uma alternativa segura para autenticação da identidade dos participantes em acessos digitais, sem compartilhamento de nenhum segredo !

17 Certificação dos Usuários É o processo de garantir que uma chave pública pertence efetivamente a uma pessoa ou entidade O certificado associa a identidade e a chave pública correspondente, além de outros dados, e é garantido pela assinatura digital de uma pessoa ou entidade confiável, a Autoridade Certificadora (AC) A AC pode ser a própria entidade a ser acessada, ou outra dedicada apenas a essa função O certificado é conferido com a chave pública da AC, que por sua vez pode ser também certificada, criando-se uma hierarquia de certificação A certificação pode ser feita de diversas formas, de acordo com o projeto e o tipo de usuários

18 Autenticação de Identidade usando Assinatura Digital Protocolo Desafio - Resposta baseado em assinatura digital e executado no início de cada sessão A sorteia e manda para B uma mensagem aleatória (desafio) B assina com sua chave privada e manda de volta (resposta) a mensagem assinada A recupera a chave pública de B e verifica a assinatura Se a resposta confere com o desafio, B está autenticado Um protocolo similar pode ser executado de B para A

19 Assinatura Digital + Certificado Autenticando o Usuário O certificado do usuário pode ser enviado junto com o desafio ou documento assinado digitalmente A assinatura do certificado é conferida com a chave pública da AC, e a chave pública do usuário é obtida do mesmo para conferir a sua assinatura Esse processo pode ser realizado sem consulta a qualquer cadastro e sem ter tido qualquer contato anterior com o usuário (se a AC for outra entidade) ! Ficam resolvidos todos os problemas decorrentes do uso de senhas para autenticação de usuários, exceto o de compartilhamento voluntário !

20 Esquema Híbrido de Encriptação Melhorando o Desempenho Algoritmos assimétricos não são adequados para encriptar grandes volumes de dados, pois são mais lentos devido à sua complexidade; deve ser usado um esquema híbrido Sorteio de uma chave simétrica para ser usada apenas numa sessão ou num documento ou arquivo Chave simétrica transferida encriptada pela chave pública do receptor ( primeiro bloco de dados ) Encriptação rápida dos dados usando simétrico ( segundo bloco de dados )

21 Esquema Híbrido Protegendo Conteúdo ou Transmissão Proteção de conteúdo ou persistente - aplicada a documentos digitais, mensagens de , arquivos uma vez aplicada, protege sempre, seja no armazenamento seja na transmissão chave simétrica encriptada com chave pública do receptor é enviada junto Proteção de transmissão ou sessão só protege durante a transmissão, nas pontas os dados ficam desprotegidos a chave simétrica de sessão é transferida no início da sessão e destruída no final da sessão

22 Não Repúdio A negação posterior da autoria de um documento ou transação digital é chamada de repúdio Qualquer documento ou transação baseado na identificação do usuário por senha, ou mesmo usando só criptografia simétrica, permite o repúdio pois se baseia num segredo compartilhado Isto permite que o autor diga que o outro lado é que forjou em seu nome ! Como a assinatura digital é gerada pela chave privada, de posse e uso apenas de seu dono, ela garante o não repúdio !

23 Como Guardar as Chaves As chaves criptográficas não podem ser memorizadas, devendo ser gravadas digitalmente, mas devem também ser protegidas por criptografia A solução mais usada é a escolha, pelo usuário dono das chaves, de um código pessoal de acesso Este código é transformado numa chave, que é então usada para encriptar as outras Quando é necessário o acesso às suas chaves, o usuário deve fornecer o código, que será convertido na chave de encriptação de suas chaves Se a decriptação for legível, o programa sabe que o código está correto; após alguns códigos errados, o programa deve destruir as chaves por segurança O código não é uma senha, não está gravado em lugar nenhum e não é verificado por comparação

24 Meios para Registro e Proteção das Chaves Privadas Nível básico de segurança - Arquivo de Chaves Chaves gravadas em arquivo encriptado Acesso por código, usado como chave de encriptação Nível intermediário de segurança - Key Diskette Diskette com o arquivo de chaves Usuário deve possuir o diskette e abrí-lo com código Nível máximo de segurança – Smartcard ou Token Guarda as chaves e não pode ser copiado ! Usuário deve possuir o dispositivo e abrí-lo com código

25 Portabilidade das Chaves Se as chaves são usadas sempre no mesmo micro, o arquivo é adequado Para que as chaves sejam portáteis, o disquete pode ser utilizado, mas não é conveniente O meio mais conveniente é o smartcard, além de ser mais seguro pois não pode ser copiado No entanto, o acesso e utilização de smartcards são ainda restritos, devido aos custos envolvidos Como alternativa apresentamos o miniCD que possibilita a portabilidade das chaves, com baixo custo de implementação

26 Identificação Biométrica Garante uma identificação segura da pessoa, sem necessidade de memorização de segredo Só funciona localmente Remotamente tem de ser combinada com criptografia, para ser segura O mais indicado é combinar com assinatura digital e certificado, substituindo apenas o código pessoal de acesso à chave privada É a única tecnologia que impede o compartilhamento voluntário de chaves ! O método mais acessível é com impressão digital ( fingerprint )

27 Áreas de Aplicação de ICP ICP VPN Web Controle de acesso Documentos digitais


Carregar ppt "Copyright DigiSign 2003 Conceituação de Assinatura e Certificação Digital Carlos A. Viceconti."

Apresentações semelhantes


Anúncios Google