A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Infra-Estrutura de Chaves Públicas PKI Public Key Infrastructure.

Apresentações semelhantes


Apresentação em tema: "Infra-Estrutura de Chaves Públicas PKI Public Key Infrastructure."— Transcrição da apresentação:

1 Infra-Estrutura de Chaves Públicas PKI Public Key Infrastructure

2 Abril de 2006Infra-estrutura de Chave Pública2 Criptografia de Chave Pública A criptografia de chave simétrica (duas pessoas) pode manter seguros seus segredos, mas se precisarmos compartilhar informações secretas com duas ou mais pessoas, devemos também compartilhar as chaves.

3 Abril de 2006Infra-estrutura de Chave Pública3 Compartilhar Chaves O compartilhamento de chaves implica no problema da distribuição de chaves. O que é Distribuição de Chaves ?

4 Abril de 2006Infra-estrutura de Chave Pública4 Distribuição de Chaves O problema da distribuição de chaves: Como duas ou mais pessoas podem, de maneira segura, enviar as chaves por meio de linhas inseguras. Como as pessoas podem de maneira segura enviar informações sigilosas por meio de linhas inseguras ?

5 Abril de 2006Infra-estrutura de Chave Pública5 Criptografia de Chave Pública Antes de utilizar, deve-se lidar com os problemas tais como: - distribuição de chaves. - gerenciamento de chaves.

6 Abril de 2006Infra-estrutura de Chave Pública6 Gerenciamento de Chaves O que é gerenciamento de chaves ? É o processo de gerar, proteger, armazenar, e manter histórico para utilização de chaves.

7 Abril de 2006Infra-estrutura de Chave Pública7 Gerenciamento de Chaves Gerar pares de chaves Proteger chaves privadas Controlar múltiplos pares de chaves Atualizar pares de chaves Manter um histórico de pares de chaves.

8 Abril de 2006Infra-estrutura de Chave Pública8 Criptografia de Chave Pública Oferece criptografia e também uma maneira de identificar e autenticar (através de assinatura) pessoas ou dispositivos.

9 Abril de 2006Infra-estrutura de Chave Pública9 Criptografia de Chave Pública Principal questão: Não somente confidencialidade. Mas a principal questão é a integridade (uma chave é suscetível à manipulação durante o trânsito) e a posse de uma chave pública.

10 Abril de 2006Infra-estrutura de Chave Pública10 Criptografia de Chave Pública Como obter uma chave pública e numa comunicação certificar-se de que essa chave tenha sido recebida da parte intencionada ? Resposta: certificados de chave pública

11 Abril de 2006Infra-estrutura de Chave Pública11 Introdução aos Certificados Com Criptografia de Chave Pública e Assinatura Digital: pessoas podem utilizar a chave pública de uma outra pessoa;.

12 Abril de 2006Infra-estrutura de Chave Pública12 Criptografia de Chave Pública e Assinatura Digital Para enviar uma mensagem segura a uma pessoa, tomamos a chave pública dessa pessoa e criamos um envelope digital.

13 Abril de 2006Infra-estrutura de Chave Pública13 Criptografia de Chave Pública e Assinatura Digital Para verificar a mensagem de uma pessoa, adquire-se a chave pública dessa pessoa e verifica-se a assinatura digital.

14 Abril de 2006Infra-estrutura de Chave Pública14 Assinatura com Chave Pública Chave Privada D A Chave Pública E B Chave Privada D B Chave Pública E B P D A (P) E B (D A (P)) Computador AComputador B P rede Assume-se que os algoritmos de criptografia e decriptografia têm a propriedade que: E B ( D A (P) ) = P e D A ( E B (P) ) = P, onde D A (P) é a assinatura do texto plano P com a chave privada D A e E B (P) é a verificação da assinatura com a chave pública E B. O algoritmo RSA tem esta propriedade.

15 Abril de 2006Infra-estrutura de Chave Pública15 De quem é a chave pública ? Mas, como uma pessoa qualquer pode saber se uma chave pública pertence a pessoa em questão (parte intencionada) ? Veja dois exemplos.

16 Abril de 2006Infra-estrutura de Chave Pública16 Exemplo de Invasão 1 João tem a chave pública de Tati. A chave funciona. Ele é capaz de criar um envelope digital e se comunicar com Tati que é possuidora da chave privada relacionada à chave pública em poder de João.

17 Abril de 2006Infra-estrutura de Chave Pública17 Exemplo de Invasão 1 Mas se Camila, de alguma maneira, invade o computador de João e substitui a chave pública de Tati pela chave pública dela,

18 Abril de 2006Infra-estrutura de Chave Pública18 Exemplo de Invasão 1 quando João enviar o envelope digital, Camila será capaz de interceptá-lo e lê-lo. Tati não será capaz de abri-lo porque ela não tem a chave privada parceira da chave pública utilizada.

19 Abril de 2006Infra-estrutura de Chave Pública19 Exemplo de Invasão 2 Na empresa onde João e Daniel trabalham tem um diretório centralizado que armazena as chaves públicas de todas as pessoas. Quando Daniel quiser verificar a assinatura de João, ele vai ao diretório e localiza a chave pública de João.

20 Abril de 2006Infra-estrutura de Chave Pública20 Exemplo de Invasão 2 Mas se Camila tiver invadido esse diretório e substituído a chave pública de João pela chave pública dela, ela (Camila) poderá enviar uma mensagem fraudulenta ao Daniel com uma assinatura digital válida.

21 Abril de 2006Infra-estrutura de Chave Pública21 Exemplo de Invasão 2 Daniel pensará que a mensagem veio de João, porque verificará a assinatura contra o que ele pensa ser, a chave pública de João.

22 Abril de 2006Infra-estrutura de Chave Pública22 Certificado Digital A maneira mais comum de saber se uma chave pública pertence ou não a uma entidade de destino (uma pessoa ou empresa) é por meio de um certificado digital. Um certificado digital associa um nome a uma chave pública.

23 Abril de 2006Infra-estrutura de Chave Pública23 Estrutura Básica de um Certificado Assinatura CA Nome Chave Pública Mensagem Certificado

24 Abril de 2006Infra-estrutura de Chave Pública24 Percepção à Fraude Um certificado é produzido de tal maneira que o torna perceptível se um impostor pegou um certificado existente e substituiu a chave pública ou o nome. Qualquer pessoa ao examinar esse certificado saberá se está errado.

25 Abril de 2006Infra-estrutura de Chave Pública25 Fraude Talvez o nome ou a chave pública esteja errado; Portanto, não se pode confiar nesse certificado, ou seja, o par (nome,chave).

26 Abril de 2006Infra-estrutura de Chave Pública26 Como tudo funciona Tati gera um par de chaves: (chave-privada, chave-pública). Protege a chave privada. Entra em contato com uma Autoridade de Certificação (CA), solicitando um certificado.

27 Abril de 2006Infra-estrutura de Chave Pública27 Como tudo funciona CA verifica se Tati é a pessoa que diz ser, através de seus documentos pessoais. Tati usa sua chave privada para assinar a solicitação do certificado.

28 Abril de 2006Infra-estrutura de Chave Pública28 Como tudo funciona CA sabe, então, que Tati tem acesso à chave privada parceira da chave pública apresentada, assim como sabe que a chave pública não foi substituída.

29 Abril de 2006Infra-estrutura de Chave Pública29 Como tudo funciona CA combina o nome Tati com a chave pública em uma mensagem e assina essa mensagem com sua chave privada (de CA). Tati, agora, tem um certificado e o distribui. Por exemplo, para João.

30 Abril de 2006Infra-estrutura de Chave Pública30 Portanto, quando João coletar a chave pública de Tati, o que ele estará coletando será o certificado dela. Supondo que Camila tente substituir a chave pública de Tati, pela sua própria chave (troca da chave pública dentro do certificado).

31 Abril de 2006Infra-estrutura de Chave Pública31 Como tudo funciona Ela pode localizar o arquivo da chave pública de Tati no laptop de João e substitui as chaves.

32 Abril de 2006Infra-estrutura de Chave Pública32 Como tudo funciona Mas, João, antes de usar o certificado, utiliza a chave pública de CA para verificar se o certificado é válido.

33 Abril de 2006Infra-estrutura de Chave Pública33 Como tudo funciona Pelo fato da mensagem no certificado ter sido alterada (houve troca da chave pública dentro do certificado), a assinatura não é verificada.

34 Abril de 2006Infra-estrutura de Chave Pública34 Como tudo funciona Portanto, João não criará um envelope digital usando essa chave pública e Camila não será capaz de ler qualquer comunicação privada.

35 Abril de 2006Infra-estrutura de Chave Pública35 Como tudo funciona Esse cenário assume que João tem a chave pública de CA e tem a certeza de que ninguém a substituiu com a chave de um impostor.

36 Abril de 2006Infra-estrutura de Chave Pública36 Como tudo funciona Pelo fato dele, João, poder extrair a chave do certificado fornecido pela CA, ele sabe que tem a verdadeira chave pública de CA.

37 Abril de 2006Infra-estrutura de Chave Pública37 Infra-estrutura de Chave Pública Usuários Finais Partes Verificadoras: aquelas que verificam a autenticidade de certificados de usuários finais.

38 Abril de 2006Infra-estrutura de Chave Pública38 Infra-estrutura de Chave Pública Para que usuários finais e partes verificadoras utilizem essa tecnologia, chaves públicas devem ser fornecidas uns aos outros. Problema: uma chave é suscetível de ataque durante o trânsito.

39 Abril de 2006Infra-estrutura de Chave Pública39 Infra-estrutura de Chave Pública Ataque: Se uma terceira parte desconhecida puder substituir uma chave qualquer por uma chave pública válida, o invasor poderá forjar assinaturas digitais e permitir que mensagens criptografadas sejam expostas a partes mal intencionadas.

40 Abril de 2006Infra-estrutura de Chave Pública40 Infra-estrutura de Chave Pública Distribuição manual Solução apropriada: - certificados de chave pública Fornecem um método para distribuição de chaves públicas.

41 Abril de 2006Infra-estrutura de Chave Pública41 Infra-estrutura de Chave Pública Um certificado de chave pública (PKC) é um conjunto de dados à prova de falsificação que atesta a associação de uma chave pública a um usuário final. Para fornecer essa associação, uma autoridade certificadora (CA), confiável, confirma a identidade do usuário.

42 Abril de 2006Infra-estrutura de Chave Pública42 Infra-estrutura de Chave Pública CAs emitem certificados digitais para usuários finais, contendo nome, chave pública e outras informações que os identifiquem. Após serem assinados digitalmente, esses certificados podem ser transferidos e armazenados.

43 Abril de 2006Infra-estrutura de Chave Pública43 Infra-estrutura de Chave Pública Tecnologia para utilizar PKI: (1) Padrão X.509 (2) Componentes de PKI para criar, distribuir, gerenciar e revogar certificados.

44 Abril de 2006Infra-estrutura de Chave Pública44 Certificados de Chave Pública Um meio seguro de distribuir chaves públicas para as partes verificadoras dentro de uma rede. Pretty Good Privacy (PGP) SET IPSec X.509 v3 (ITU-1988, 1993, 1995, IETF-RFC )

45 Abril de 2006Infra-estrutura de Chave Pública45

46 Abril de 2006Infra-estrutura de Chave Pública46 Estrutura de Certificado X Versão 2.Número Serial 3.Identificador do algoritmo de assinatura 4.Nome do Emissor – nome DN da CA que cria e emite. 5.Validade

47 Abril de 2006Infra-estrutura de Chave Pública47 Estrutura de Certificado X Nome do Sujeito – nome DN da entidade final (usuário ou uma empresa). 7.Informação da Chave Pública do sujeito: (valor da chave, identificador do algoritmo, parâmetros do mesmo)

48 Abril de 2006Infra-estrutura de Chave Pública48 Estrutura de Certificado X Identificador único do emissor: (não recomendado pela RFC 2459) 9. Identificador único do sujeito: (não recomendado pela RFC2459)

49 Abril de 2006Infra-estrutura de Chave Pública49 Estrutura de Certificado X Extensões v3 Identificador de Chave de Autoridade para qualquer certificado auto-assinado. Identificador de Chave de Sujeito Utilização de chave

50 Abril de 2006Infra-estrutura de Chave Pública50 Estrutura de Certificado X.509 Utilização de Chave Estendida: Para uso de aplicativos e protocolos (TLS, SSL,...), definindo as utilizações da chave pública para servidores de autenticação, autenticação de cliente, registro de data/hora e outros.

51 Abril de 2006Infra-estrutura de Chave Pública51 Estrutura de Certificado X.509 Ponto de distribuição de CRL

52 Abril de 2006Infra-estrutura de Chave Pública52 Estrutura de Certificado X.509 Período de uso de chave privada: (não recomendado pela RFC 2459) Políticas de certificado:

53 Abril de 2006Infra-estrutura de Chave Pública53 Estrutura de Certificado X.509 Mapeamentos de políticas: Quando o sujeito de certificado for uma CA. Nome alternativo do sujeito: Permite o suporte dentro de vários aplicativos que empreguem formas próprias de nomes (vários aplicativos de , EDI, IPSec)

54 Abril de 2006Infra-estrutura de Chave Pública54 Estrutura de Certificado X.509 Nome alternativo do emissor (CA): Permite o suporte dentro de vários aplicativos que empreguem formas próprias de nomes (vários aplicativos de , EDI,IPSec)

55 Abril de 2006Infra-estrutura de Chave Pública55 Estrutura de Certificado X.509 Atributos do diretório do sujeito: (não recomendado pela RFC 2459) Restrições básicas: Se o sujeito pode agir como uma CA. Exemplo: Se a Verisign pode permitir que a RSA Inc. atue como uma CA, mas não permitindo que a RSA Inc. crie novas CAs)

56 Abril de 2006Infra-estrutura de Chave Pública56 Estrutura de Certificado X.509 Restrições de nomes: Apenas dentro de CAs. Especifica o espaço de nomes de sujeito. Restrições de diretiva: Apenas dentro de CAs. Validação de caminho de política.

57 Abril de 2006Infra-estrutura de Chave Pública57 Estrutura de Certificado X Assinatura da CA

58 Abril de 2006Infra-estrutura de Chave Pública58 Nomes de Entidades Certificados X.509 v3 concedem flexibilidade para nomes de entidades. As entidades podem ser identificadas pelas seguintes formas de nomes: - endereço de - domínio de Internet - X nome de diretório X nome de EDI - URI da Web: URN, URL - endereço IP

59 Abril de 2006Infra-estrutura de Chave Pública59 Nomes de Entidades Em um certificado de chave pública, os nomes de entidades (emissor e sujeito) devem ser únicos.

60 Abril de 2006Infra-estrutura de Chave Pública60 Notação e Codificação ASN.1 Regras de sintaxe e de codificação de dados de certificados X.509. ASN.1 (Abstract Sintax Notation 1) - descreve a sintaxe de várias estruturas de dados; - fornece tipos primitivos bem-definidos, e um meio único para definir as combinações complexas desses tipos primitivos.

61 Abril de 2006Infra-estrutura de Chave Pública61 Notação e Codificação ASN.1 Regras de codificação para representar os tipos específicos de ASN.1 em strings de 0s e 1s: - Basic Encoding Rules (BER) - Distinguished Encoding Rules (DER)

62 Abril de 2006Infra-estrutura de Chave Pública62 Componentes PKI Autoridade Certificadora (CA) Autoridade Registradora (RA) Diretório X.500 Servidor de Recuperação de Chave Usuários Finais Repositório de Certificados

63 Abril de 2006Infra-estrutura de Chave Pública63 Componentes de uma PKI Autoridade Certificadora (CA) Autoridade Registradora (RA) Diretório de Certificado (X.500) Servidor de Recuperação de Chave Protocolos de Gerenciamento Protocolos Operacionais

64 Abril de 2006Infra-estrutura de Chave Pública64 Partes de sistema PKI Infra-estrutura PKI Usuário Final / Empresa Parte Verificadora

65 Abril de 2006Infra-estrutura de Chave Pública65 Interação das partes em PKI Infra-estrutura de PKI Usuário Final ou Empresa Parte Verificadora Certificado X.509 Informação de Status de Revogação de Certificado LDAP, HTTP, FTP, LDAP OCSP / CRL

66 Abril de 2006Infra-estrutura de Chave Pública66 Autoridade Certificadora

67 Abril de 2006Infra-estrutura de Chave Pública67 Autoridade Registradora

68 Abril de 2006Infra-estrutura de Chave Pública68 Diretório Um diretório é um arquivo, freqüentemente de um tipo especial, que provê um mapeamento de nomes-texto para identificadores internos de arquivo.

69 Abril de 2006Infra-estrutura de Chave Pública69 Diretórios Diretórios podem incluir nomes de outros diretórios, correspondendo ao esquema familiar hierárquico de nomeação de arquivos e nomes de caminhos (pathnames) para arquivos usados em sistemas operacionais.

70 Abril de 2006Infra-estrutura de Chave Pública70 Arquitetura de Serviço de Arquivos

71 Abril de 2006Infra-estrutura de Chave Pública71 File Service Architecture Client computerServer computer Application program Application program Client module Flat file service Directory service

72 Abril de 2006Infra-estrutura de Chave Pública72 Arquitetura de Serviço de Arquivos UFID (Unique File IDentifiers) são sequências longas de bits de modo que cada arquivo no Flat File Service tenha uma identificação interna única entre todos os arquivos em um sistema distribuído.

73 Abril de 2006Infra-estrutura de Chave Pública73 UFIDs UFIDs são usados para referenciar arquivos em todas as solicitações (requests) para o Flat File Service.

74 Abril de 2006Infra-estrutura de Chave Pública74 Flat File Service É o módulo da arquitetura de serviço de arquivo que implementa operações sobre arquivos. Exemplo: o Flat File Service recebe um pedido para criar um arquivo. Ele gera um novo UFID para esse arquivo e retorna o UFID ao requerente.

75 Abril de 2006Infra-estrutura de Chave Pública75 Flat File Service Operations

76 Abril de 2006Infra-estrutura de Chave Pública76 Flat file service operations Read(FileId, i, n) -> Data throws BadPosition If 1 i Length(File): Reads a sequence of up to n items from a file starting at item i and returns it in Data. Write(FileId, i, Data) throws BadPosition If 1 i Length(File)+1: Writes a sequence of Data to a file, starting at item i, extending the file if necessary. Create() -> FileIdCreates a new file of length 0 and delivers a UFID for it. Delete(FileId) Removes the file from the file store. GetAttributes(FileId) -> Attr Returns the file attributes for the file. SetAttributes(FileId, Attr) Sets the file attributes (only those attributes that are not shaded in ).

77 Abril de 2006Infra-estrutura de Chave Pública77 Directory Service É um serviço que armazena coleções de ligações entre nomes e atributos, e que procura entradas (entries) que correspondem a especificação baseada em atributo. Também chamado: serviço de nome baseado em atributo.

78 Abril de 2006Infra-estrutura de Chave Pública78 Directory Service É o módulo da arquitetura de serviço de arquivo que provê um mapeamento entre nomes-texto para arquivos e seus UFIDs. Provê as funções necessárias para gerar diretórios, adicionar novos nomes de arquivos a diretórios e obter UFIDs de diretórios.

79 Abril de 2006Infra-estrutura de Chave Pública79 Directory Service Diretory Service é cliente do Flat File Service. Seus arquivos de diretório são armazenados em arquivos do Flat File Service. No esquema hierárquico de nomeação de arquivos, como em UNIX, diretórios podem fazer referência a outros diretórios.

80 Abril de 2006Infra-estrutura de Chave Pública80 Directory service operations Lookup(Dir, Name) -> FileId throws NotFound Locates the text name in the directory and returns the relevant UFID. If Name is not in the directory, throws an exception. AddName(Dir, Name, File) throws NameDuplicate If Name is not in the directory, adds (Name, File) to the directory and updates the files attribute record. If Name is already in the directory: throws an exception. UnName(Dir, Name) throws NotFound If Name is in the directory: the entry containing Name is removed from the directory. If Name is not in the directory: throws an exception. GetNames(Dir, Pattern) -> NameSeq Returns all the text names in the directory that match the regular expression Pattern.

81 Abril de 2006Infra-estrutura de Chave Pública81

82 Abril de 2006Infra-estrutura de Chave Pública82 Local and remote file systems accessible on an NFS client Note: The file system mounted at /usr/students in the client is actually the sub-tree located at /export/people in Server 1; the file system mounted at /usr/staff in the client is actually the sub-tree located at /nfs/users in Server 2.

83 Abril de 2006Infra-estrutura de Chave Pública83 X.500 Directory Service Dados armazenados em servidores X.500 (Directory Service Agent – DSA) são organizados numa estrutura de árvore com nodos nomeados.

84 Abril de 2006Infra-estrutura de Chave Pública84 X.500 Directory Service Em X.500, atributos são armazenados em cada nodo na árvore. O acesso é por nome, mas também, por busca de entradas com qualquer combinação de atributos.

85 Abril de 2006Infra-estrutura de Chave Pública85 X.500 Directory Service A estrutura de diretório inteira incluindo os dados associados com os nodos é chamada Directory Information Base (DIB). Um servidor X.500 é um Directory Service Agents (DSA).

86 Abril de 2006Infra-estrutura de Chave Pública86 X.500 Directory Service Um cliente X.500 é chamado Directory User Agent (DUA). A árvore de nomes X.500 é chamada Diretory Information Tree (DIT).

87 Abril de 2006Infra-estrutura de Chave Pública87 X.500 Directory Service Clientes (DUA) e Servidores X.500 (DAS) se comunicam através do LDAP (Lightweight Directory Access Protocol), no qual um DUA acessa um DSA diretamente sobre TCP/IP (RFC 2251).

88 Abril de 2006Infra-estrutura de Chave Pública88 Certificados no X.500 Certificados são armazenados em um diretório, cujo objetivo é fornecer uma infra-estrutura para nomear todas as entidades.

89 Abril de 2006Infra-estrutura de Chave Pública89 Servidor de Recuperação de Chave

90 Abril de 2006Infra-estrutura de Chave Pública90 Protocolos de Gerenciamento Comunicação on-line com os usuários finais e o gerenciamento dentro de uma PKI. Entre RA e um usuário final. Entre duas CAs. Certificate Management Protocol (CMP) Certificate Management Message Format (CMMF) PKCS #10

91 Abril de 2006Infra-estrutura de Chave Pública91 Protocolos de Gerenciamento Funções - Inicialização (auto-escola) - Registro (solicitação da carteira) - Certificação (emissão da carteira) - Recuperação de chave (segunda via) - Atualização de chave (renovação) - Revogação (suspensão) - Certificação cruzada (informação entre DETRANs)

92 Abril de 2006Infra-estrutura de Chave Pública92 Protocolos Operacionais Permitem a transferência de certificados e das informações de status de revogação, entre diretórios, usuários finais e parte verificadoras. X.509 não especifica nenhum único protocolo operacional para uso dentro de um domínio de PKI.

93 Abril de 2006Infra-estrutura de Chave Pública93 Protocolos Operacionais Protocolos usados: - HTTP, - FTP, - - LDAP Lightweight Diretory Access Protocol RFC 1777 e RFC 1778 Projetado para aplicativos acessarem diretórios X.500. Não é específico de diretório, pode ser adotado em vários ambientes.

94 Abril de 2006Infra-estrutura de Chave Pública94 Registro de Certificados Usuários finais se registram na CA ou na RA, via Internet, utilizando um navegador da Web. É nesse ponto que usuário final e CA estabelecem uma relação de confiança.

95 Abril de 2006Infra-estrutura de Chave Pública95 Revogação de Certificado Certificados são criados para serem usados pelo tempo de vida indicado no campo de validade. Entretanto, alguns casos, não deverá ser mais utilizado. Exemplo: Chave Privada comprometida, CA cometeu um equívoco ou possuidor da chave não mais trabalha numa empresa.

96 Abril de 2006Infra-estrutura de Chave Pública96 Revogação de Certificado CAs precisam de uma maneira de revogar um certificado ainda em vigor e notificar as partes verificadoras sobre a revogação. Método comum: - Certificate Revogation List (CRL) - Estrutura de dados assinada contendo uma lista de data/hora dos certificados revogados.

97 Abril de 2006Infra-estrutura de Chave Pública97 Estrutura de uma CRL

98 Abril de 2006Infra-estrutura de Chave Pública98 Protocolo On-Line de Status de Certificado OCSP Dependendo do tamanho da população da PKI, a carga de trabalho associada às CRLs pode tornar-se pesada, utilizando- se as técnicas convencionais de processamento de CRLs e download.

99 Abril de 2006Infra-estrutura de Chave Pública99 Protocolo On-Line de Status de Certificado OCSP Partes verificadoras devem gastar recursos consideráveis para obter a CRL mais atual. Um protocolo mais recente: OCPS, Online Certificate Status Protocol, pode ser utilizado por uma parte verificadora para verificar a validade de um certificado digital, no momento de uma transação (tempo real).

100 Abril de 2006Infra-estrutura de Chave Pública100 Status de Certificado On-Line A CA fornece um servidor de OCSP, que contém as informações atuais de revogação de certificados. Esse servidor é diretamente atualizado na CA.

101 Abril de 2006Infra-estrutura de Chave Pública101 Status de Certificado On-Line CA encaminha uma notificação imediata de revogação de um certificado, tornando- o instantaneamente disponível aos usuários. Uma parte verificadora pode consultar esse servidor, para determinar o status de um certificado.

102 Abril de 2006Infra-estrutura de Chave Pública102 Status de Certificado On-Line O servidor OCSP fornece uma resposta assinada digitalmente para cada um dos certificados, cujas validades são solicitadas.

103 Abril de 2006Infra-estrutura de Chave Pública103 Status de Certificado On-Line Respostas OCSP consistem em: - identificador de certificado, - valor do status (good, revoke, unknown), - intervalo de validade, - tempo de revogação, - razão da revogação.

104 Abril de 2006Infra-estrutura de Chave Pública104 Gerenciamento de Pares de Chaves Gerando pares de chaves Protegendo chaves privadas Gerenciando múltiplos pares de chaves Atualizando pares de chaves Mantendo um histórico de pares de chaves.

105 Abril de 2006Infra-estrutura de Chave Pública105 Gerenciamento de Pares de Chaves Políticas pelas quais os pares de chave (privada, pública) são gerados e protegidos. Decisões de política dependem dos propósitos das chaves. Chaves para não-repúdio, chaves para segurança de , têm métodos de armazenamento diferentes.

106 Abril de 2006Infra-estrutura de Chave Pública106 Gerando Pares de Chaves Primeira alternativa: O usuário final gera um par de chaves (privada e pública) no seu sistema e fornece a chave pública na forma de um padrão de solicitação de assinatura de certificado (certificate-signing request) de PKCS #10.

107 Abril de 2006Infra-estrutura de Chave Pública107 Gerando Pares de Chaves Segunda alternativa: CA ou RA gera um par de chaves (privada e pública) em favor do usuário final.

108 Abril de 2006Infra-estrutura de Chave Pública108 Gerando Pares de Chaves Terceira opção: Uso de múltiplos pares de chaves. Usuários finais podem ter mais de um certificado para diferentes propósitos. O usuário final gera as chaves para fornecer não-repúdio e a CA fornece as chaves de criptografia.

109 Abril de 2006Infra-estrutura de Chave Pública109 Atualizando Pares de Chaves

110 Abril de 2006Infra-estrutura de Chave Pública110 Mantendo histórico de Pares de Chaves

111 Abril de 2006Infra-estrutura de Chave Pública111 Certificados Roaming

112 Abril de 2006Infra-estrutura de Chave Pública112 Certificado de Atributo

113 Abril de 2006Infra-estrutura de Chave Pública113 Políticas de Certificado

114 Abril de 2006Infra-estrutura de Chave Pública114 Prática de Certificação

115 Abril de 2006Infra-estrutura de Chave Pública115 Produtos PKI

116 PKI no Brasil Instituto Nacional de Tecnologia da Informação ITI

117 Abril de 2006Infra-estrutura de Chave Pública117 ITI O Instituto Nacional de Tecnologia da Informação - ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República.

118 Abril de 2006Infra-estrutura de Chave Pública118 O ITI é a Autoridade Certificadora Raiz - AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.

119 Abril de 2006Infra-estrutura de Chave Pública119 Como tal é a primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil.

120 Abril de 2006Infra-estrutura de Chave Pública120 O ITI integra o Comitê Executivo do Governo Eletrônico, no qual coordena o Comitê Técnico de Implementação do Software Livre no Governo Federal.

121 Abril de 2006Infra-estrutura de Chave Pública121 Compete ainda ao ITI estimular e articular projetos de pesquisa científica e de desenvolvimento tecnológico voltados à ampliação da cidadania digital.

122 Abril de 2006Infra-estrutura de Chave Pública122 Neste vetor, o ITI tem como sua principal linha de ação a popularização da certificação digital e a inclusão digital,

123 Abril de 2006Infra-estrutura de Chave Pública123 atuando sobre questões como sistemas criptográficos, software livre, hardware compatíveis com padrões abertos e universais, convergência digital de mídias, entre outras.

124 Abril de 2006Infra-estrutura de Chave Pública124 PKI no Brasil - ICP-Brasil Conjunto de técnicas, práticas e procedimentos elaborados para suportar um sistema criptográfico.Conjunto de técnicas, práticas e procedimentos elaborados para suportar um sistema criptográfico.

125 Abril de 2006Infra-estrutura de Chave Pública125 PKI no Brasil - ICP

126 Abril de 2006Infra-estrutura de Chave Pública126 PKI no Brasil - ICP No Brasil, a ICP-Brasil controla seis ACs:ICP-Brasil –a Presidência da República,Presidência da República –a Receita Federal,Receita Federal –o SERPRO (CORREIOS),SERPRO –a Caixa Econômica Federal,Caixa Econômica Federal –a Serasa eSerasa –a CertiSign.CertiSign

127 Abril de 2006Infra-estrutura de Chave Pública127 PKI no Brasil - ICP Isso significa que, para que tenha valor legal diante do governo brasileiro, uma dessas instituições deve prover o certificado.

128 Abril de 2006Infra-estrutura de Chave Pública128 PKI no Brasil - ICP Porém, para que isso seja feito, cada instituição pode ter requisitos e custos diferentes para a emissão, uma vez que cada entidade pode emitir certificados para finalidades distintas. E isso se aplica a qualquer AC no mundo.

129 Abril de 2006Infra-estrutura de Chave Pública129 PKI no Brasil - ICP Agora, uma coisa que você deve saber é que qualquer instituição pode criar uma ICP, independente de seu porte. Por exemplo, se uma empresa criou uma política de uso de certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil.

130 Abril de 2006Infra-estrutura de Chave Pública130 PKI no Brasil - ICP A própria empresa pode criar sua ICP e fazer com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionários.

131 Abril de 2006Infra-estrutura de Chave Pública131 PKI no Brasil - ICP Ainda demorará para que o uso do papel na emissão de documentos seja uma segunda opção. Talvez, isso nem venha acontecer. No entanto, o uso de assinaturas e certificados digitais é extremamente importante, principalmente pela velocidade com que as coisas acontecem na internet.

132 Abril de 2006Infra-estrutura de Chave Pública132 PKI no Brasil - ICP Além disso, determinadas aplicações, como as bancárias, são consideradas cruciais para a manutenção de um negócio. Logo, o uso de certificados digitais pode chegar ao ponto de ser imprescindível.

133 Abril de 2006Infra-estrutura de Chave Pública133 PKI no Brasil - ICP Há muito ainda a ser discutido sobre o assunto, mas entre as divergências existentes, é unânime a importância dessa tecnologia para a era da informação eletrônica na qual adentramos.

134 Abril de 2006Infra-estrutura de Chave Pública134 Links Para obter mais detalhes sobre assinatura e certificação digital, acesse os seguintes links: FreeICP.ORG - ICP-Brasil - Instituto Nacional de Tecnologia da Informação - IBP Brasil -

135 Abril de 2006Infra-estrutura de Chave Pública135 Como obter um Certificado Digital A obtenção de um Certificado Digital é um procedimento que deve ser realizado junto a uma Autoridade Certificadora (AC),

136 Abril de 2006Infra-estrutura de Chave Pública136 Como obter um Certificado Digital que é em termos digitais o correspondente a um cartório que faz o registro de uma firma para assinaturas de documentos de "próprio punho".

137 Abril de 2006Infra-estrutura de Chave Pública137 Como obter um Certificado Digital É importante ressaltar que não é papel da Secretaria de Fazenda do GDF emitir Certificados Digitais.

138 Abril de 2006Infra-estrutura de Chave Pública138 Como obter um Certificado Digital A emissão, renovação e revogação de certificados deve ser realizada por uma empresa autorizada pela Secretaria de Fazenda do Distrito Federal.

139 Abril de 2006Infra-estrutura de Chave Pública139 Como obter um Certificado Digital É pré-requisito que esta Autoridade Certificadora esteja subordinada à hierarquia da Infra-Estrutura de Chaves Públicas Brasileiras, a ICP-Brasil.

140 Abril de 2006Infra-estrutura de Chave Pública140 Como obter um Certificado Digital No site dessas Autoridades Certificadoras você encontrará maiores orientações sobre os procedimentos a serem seguidos para obtenção de um Certificado Digital. Em linhas gerais, os passos são os seguintes:

141 Abril de 2006Infra-estrutura de Chave Pública141 Como obter um Certificado Digital 1) Acesse o site da Autoridade Certificadora; 2) Escolha o tipo de Certificado que deseja e preencha o formulário disponibilizado; 3) Realize o pagamento do Certificado; 4) Compareça a uma Autoridade de Registro indicada pela Autoridade Certificadora para validação de seus documentos.

142 Abril de 2006Infra-estrutura de Chave Pública142 Como obter um Certificado Digital Apresentamos a seguir a relação de sites de Autoridades Certificadoras subordinadas à ICP-Brasil e que comercializam Certificados Digitais: –Caixa Econômica FederalCaixa Econômica Federal –CertiSignCertiSign –SERASASERASA –SERPROSERPRO

143 Abril de 2006Infra-estrutura de Chave Pública143 Softwares Desenvolvidos - ITI o Instituto Nacional de Tecnolgia da Informação - ITI coloca à disposição da sociedade, três softwares desenvolvidos sob o comando do Instituto com licença GNU/GPL.

144 Abril de 2006Infra-estrutura de Chave Pública144 o licenciamento de programas de computador em regime livre é uma forma de compartilhamento dos bens públicos,

145 Abril de 2006Infra-estrutura de Chave Pública145 e o uso deste bem por um cidadão não exclui a utilização deste mesmo bem pelos demais, inserindo essa iniciativa no contexto da colaboração solidária e de participação no desenvolvimento da inteligência coletiva.

146 Abril de 2006Infra-estrutura de Chave Pública146 Os programas disponibilizados servem para facilitar a utilização da certificação digital no mundo Linux.

147 Abril de 2006Infra-estrutura de Chave Pública147 Assim: –assinar contratos digitalmente; –criptografar/descriptografar mensagens ou dados; –e se relacionar pela Internet com o fisco.

148 Abril de 2006Infra-estrutura de Chave Pública148 São algumas das iniciativas que ficaram mais fáceis com o desenvolvimento de três softwares.

149 Abril de 2006Infra-estrutura de Chave Pública149 Softwares Desenvolvidos - ITI Módulo PAM *(7,1MB) - (Pluggable Authentication Module) – esse sistema se destina a empresas e corporações.Módulo PAM Ele viabiliza a troca do tradicional par login & senha pelo uso de um certificado digital. Isso dá maior segurança à autenticação de usuários em rede de computadores

150 Abril de 2006Infra-estrutura de Chave Pública150 Softwares Desenvolvidos - ITI Chaveiro Eletrônico (5,6MB) - esse sistema permite que o usuário assine e cifre s e mensagens enviadas pelo correio eletrônico,Chaveiro Eletrônico

151 Abril de 2006Infra-estrutura de Chave Pública151 além de possibilitar o acessa as funcionalidades dos navegadores de Internet, principalmente o Mozzila, quando esses requererem serviços com certificação, dando suporte aos dispositivos de segurança como cartões inteligentes (smart cards) e tokens.

152 Abril de 2006Infra-estrutura de Chave Pública152 Softwares Desenvolvidos - ITI Chaveiro.pkcs7: Esse arquivo foi assinado digitalmente e permite que você verifique a autenticidade e a integridade dos programas baixados.

153 Abril de 2006Infra-estrutura de Chave Pública153 Softwares Desenvolvidos - ITI Assinador (20,5MB) - uma interface gráfica padrão KDE para a assinatura e encriptação de qualquer arquivo digital.Assinador Possibilita a execução de tradicionais tarefas de PKI, como gestão de chaves, LCRs, etc. Este software também poderá usar os certificados ICP-Brasil tipo A3, ou seja, aqueles que estão num smart card ou token.

154 Abril de 2006Infra-estrutura de Chave Pública154 Softwares Desenvolvidos - ITI Assinador.pkcs7: Esse arquivo foi assinado digitalmente e permite que você verifique a autenticidade e a integridade dos programas baixados.

155 Abril de 2006Infra-estrutura de Chave Pública155 A Certisign A Certisign é líder no mercado de certificação digital brasileiro e atua desde 1996 com foco exclusivo em certificação digitalA Certisign é líder no mercado de certificação digital brasileiro e atua desde 1996 com foco exclusivo em certificação digital

156 Abril de 2006Infra-estrutura de Chave Pública156 A VeriSign A VeriSign Inc. (Nasdaq:VRSN) é líder mundial na prestação de serviços de confiança - identificação, autenticação, validação e pagamento - em redes de comunicação.

157 Abril de 2006Infra-estrutura de Chave Pública157 A VeriSign Os serviços da VeriSign permitem que pessoas físicas e jurídicas, em qualquer lugar do mundo, se comuniquem, transacionem e comercializem com segurança em meio eletrônico.

158 Abril de 2006Infra-estrutura de Chave Pública158 A VeriSign Utilizando uma gigantesca infra-estrutura internacional, a VeriSign controla mais de 5 bilhões de conexões de redes e transações por dia.

159 Abril de 2006Infra-estrutura de Chave Pública159 A VeriSign A VeriSign mantém alianças estratégicas com empresas como a Microsoft, a Netscape, a Cisco e a British Telecommunications. Entre seus mais de 10 milhões de clientes estão o Bank of América, a Hewlett Packard, a Receita Federal norte- americana e a VISA.

160 Abril de 2006Infra-estrutura de Chave Pública160 A VeriSign Mais de 1 milhão de sites possuem certificados da VeriSign e mais de 10 milhões de pessoas físicas utilizam os certificados de da empresa. Em 6 anos de operação mundial, jamais foi detectada uma fraude.

161 Abril de 2006Infra-estrutura de Chave Pública161 A VeriSign Os serviços e produtos da VeriSign são oferecidos no Brasil exclusivamente pela Certisign Certificadora Digital S.A., única afiliada brasileira da VeriSign Trust Network, rede mundial de confiança.

162 Abril de 2006Infra-estrutura de Chave Pública162 A VeriSign A VeriSign tem uma rede de 48 afiliadas, em mais de 80 países, em todo o mundo. África e Oriente Médio América Latina Ásia e Oceania Europa

163 Abril de 2006Infra-estrutura de Chave Pública163 Estas afiliadas prestam serviços de confiança através de relacionamentos licenciados que envolvem o uso compartilhado de marca e utilizam a tecnologia e as práticas comerciais da VeriSign.

164 Abril de 2006Infra-estrutura de Chave Pública164 Assinatura com Chave Pública Chave Privada D A Chave Pública E B Chave Privada D B Chave Pública E B P D A (P) E B (D A (P)) Computador AComputador B P rede Assume-se que os algoritmos de criptografia e decriptografia têm a propriedade que: E B ( D A (P) ) = P e D A ( E B (P) ) = P, onde D A (P) é a assinatura do texto plano P com a chave privada D A e E B (P) é a verificação da assinatura com a chave pública E B. O algoritmo RSA tem esta propriedade.


Carregar ppt "Infra-Estrutura de Chaves Públicas PKI Public Key Infrastructure."

Apresentações semelhantes


Anúncios Google