A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Infra-estrutura de Chaves Públicas

PublicouEric Cordeiro Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Infra-estrutura de Chaves Públicas"— Transcrição da apresentação:

1 Infra-estrutura de Chaves Públicas
ICP Brasil André Amaro Toffanello DATASUS/SNIS

2 Objetivo Conceitos Legislação - MP 2.200-2 - ICPBrasil Aplicação
Infra-estrutura Legislação - MP ICPBrasil Propósito Principais características Aplicação

3 Conceitos

4 ICP - Definição Infra-estrutura de Chaves Públicas
Processos normativos e recursos computacionais para gerência de certificados digitais que visam garantir Integridade, Privacidade, Autenticidade em uma transação eletrônica entre entidades finais. Processos normativos – Normas, políticas e procedimentos para controle de chaves públicas e certificados digitais. Métodos computacionais – Tecnologia de hardware, software e processos matemáticos para emissão e controle de chaves públicas e certificados digitais. Integridade – Garantia por processos matemáticos que o conteúdo de uma transação eletrônica não seja alterado em seu tempo de vida. Privacidade – a privacidade dos dados é mantida através da capacidade de criptografia dos dados. Autenticidade – Garantias por meios de processos matemáticos de autenticação de quem efetuou uma transação eletrônica. Transação eletrônica entre partes – qualquer transação eletrônica – autenticidade de uma pagina de internet banking, autenticidade de uma mensagem de correio eletrônico, transações de uma aplicação.

5 Componentes Política de Certificação
DPC – Declaração de Práticas de Certificação AR – Autoridade Registradora AC – Autoridade Certificadora Repositório – CRL, Chaves Públicas Certificado Digital Componente para a infra-estrutura de chave pública: Política de Certificação e a DPC são documentos que declaram as práticas e métodos para a gerência dos certificados digitais. As políticas podem ser baseadas na NBR ISO/IEC 17799 AC, AR e CRL – são mecanismos computacionais de hardware e software que garantam a gerencia de emissão de certificados digitais, guarda e disponibilização de chaves públicas. Todos estes componentes tem um objetivo: emitir o Certificado Digital. CD

6 Funcionamento Cadeia de Certificação
RFC Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework Cadeia de Certificação AC Raiz AC raiz – Topo da cadeia de Autoridades Certificadoras, São Auto-assinadas e o elemento de mais alta confiança da cadeia, uma vez comprometida a ac raiz ou o certificado digital raiz, toda a estrutura e comprometida. Geralmente não emitem certificados digitais para usuários finais. AC + AR – são infra-estruturas subordinadas a AC-Raiz, neste caso a AC Raiz certifica uma outra AC para emissão de certificados, com em uma cadeia de garantia, O AC-Raiz aprova os procedimentos de certificação de sua AC subordinada, que os mantém de forma independente. AR – esta Autoridade Registradora pode ser desmembrada de sua AC para facilidade de Administração da validação de entrada de registros em uma AC. Todas as AC’s inclusive a AC Raiz teoricamente pode emitir certificados para usuário Final. Repositório AC’s - CRL AC + AR AC AR

7 Certificado Digital É um arquivo de computador gerado por processos matemáticos complexos que tem a capacidade de associar a identidade de uma entidade final (usuário, computador ou sistemas) a uma chave pública que, usadas em conjunto com uma chave privada, fornecem a comprovação da identidade. Certificado Digital Como é obtido o par de chaves? Através de sistemas assimétricos de criptografia, este processo gera um par chaves, uma pública e uma privada Sistemas assimétrico de criptografia Modo de criptografia Modo de autenticação Algoritmos RSA e DAS

8 Legislação

9 ICP Brasil MP MP de agosto de 2001, Institui a ICP Brasil e estabeleceu critérios para o seu funcionamento. Validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras Metas do Governo Eletrônico é a regulamentação e efetivação do documento eletrônico como documento legal de uso pleno. O instrumento utilizado para validação de documentos eletrônicos é a Certificação Digital. Foi então instituída pela MP o ICP-Brasil. Cuja estrutura: Dezoito resoluções da ICP Brasil

10 ICP Brasil MP AGP – Autoridade de Gerência de Política, decreto de 5 de setembro de 2000; ITI – Responsável pelo AC Raiz da ICP Brasil. AC e AR – Qualquer entidade pública ou privada que atenda aos requisitos da ICP Brasil. AGP ITI – AC-Raiz AC AC + AR Responsabilidade de cada entidade da estrutura da ICP-Brasil. AR Certificado Digital

11 ICP Brasil MP 2.200-2 Confiança Pontos Relevantes
Art.6º parágrafo único. O par de chaves criptográficas será gerado pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento Art.10 §1º. Declarações constantes em documentos em forma eletrônica produzidos com a utilização de processos de certificação disponibilizados pela ICP Brasil presumem-se verdadeiros aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916. Art.10 § 2º. O disposto nesta MP não obsta a utilização de outro meio de comprovação de autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP Brasil, desde que adminitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. Confiança Transferência de Responsabilidade para o Usuário do uso da chave. E de responsabilidade da ICP manter a estrutura de forma que não seja comprometida. Art.131 Lei Art. 131.  As declarações constantes de documentos assinados presumem-se verdadeiras em relação aos signatários. Parágrafo único.  Não tendo relação direta, porém, com as disposições principais, ou com a legitimidade das partes, as declarações enunciativas não eximem os interessados em sua veracidade do ônus de prová-las. (Redação dada pelo Decreto do Poder Legislativo nº 3.725, de ) Artigo 6: Retira a responsabilidade pela guarda e uso da chave privada da autoridade certificadora. Art.10 – Não repúdio – atributo de uma comunicação que protege contra um dos participantes dita comunicação negar que a mesma tenha ocorrido, (detalhe: não repúdio não significa que os participantes tendem a não repudiar, mas sim que é fácil provar que o repúdio é falso. O termo não repúdio ainda não foi utilizado legalmente para indicar que existe uma forma técnica de fazer o que a definição propõe. Confiança, a relação básica para as ICPs.

12 ICP Brasil Situação Atual

13 ICP Brasil Políticas Política de Certificado
Obrigações e responsabilidades da AC Raiz, AC e AR Identificação e Autenticação Requisitos Operacionais Segurança Física, Procedimental e de pessoal Controles Técnicos de Segurança Perfis de Certificados e da CRL Obrigações e responsabilidades da AC Raiz, AC e AR Abrangência e Aplicabilidade Auditoria Confidencialidade Direitos de Propriedade Intelectual Identificação e Autenticação Registro Inicial do requerente Autenticação para rotina de renovação automática de chave Autenticação para renovação automática de chave após revogação Autenticação para requisição de revogação Requisitos operacionais Solicitação de emissão de um certificado Emissão de certificado Aceitação de certificado Suspensão e Revogação de Certificados Procedimentos de auditoria do sistema de segurança Arquivo de registros Comprometimento e recuperação de desastre Extinção de AC Segurança Física, Procedimental e de Pessoal Controles Físicos Procedimentos de Controle Controles de segurança pessoal Controles técnicos de Segurança Instalação e geração do par de Chaves Padrões para o Módulo de criptografia Dados de Ativação Controles Técnicos do Ciclo de vida Controles de Segurança de Rede Perfis de certificados e de LCR

14 ICP Brasil Políticas Tipos de Certificados Assinatura Digital
A1, A2, A3 E A4 Sigilo S1, S2, S3 E S4 Resolução nº 7 de 12 de Dezembro de 2001 – Requisitos mínimos para políticas de certificado na ICP Brasil Os tipos de A1 a A4 e de S1 a S4, indicados acima, definem escalas de requisitos de segurança, nas quais os tipos A1 e S1 estão associados aos requisitos menos rigorosos e os tipos A4 e S4 aos requisitos mais rigorosos. Certificados de tipos A1, A2, A3 e A4 serão utilizados em aplicações como confirmação de identidade na Web, correio eletrônico, transações on-line, redes privadas virtuais, cifração de chaves de sessão e assinatura de documentos eletrônicos com verificação da integridade de suas informações. Certificados de tipos S1, S2, S3 e S4 serão utilizados em aplicações como cifração de documentos, bases de dados, mensagens e outras informações eletrônicas, com a finalidade de garantir o seu sigilo.

15 Aplicação

16 Protocolos que utilizam CD
SSL – Security Socket Layer S/MIME – Secured Multipurpose Mail extensions Form Signing Autenticode / Objectsigning O SSL é talvez a mais difundida aplicação para os certificados digitais e é usado em praticamente todos os sites que fazem comércio eletrônico na rede (livrarias, lojas de CD, bancos etc.). O SSL teve uma primeira fase de adoção onde apenas os servidores estavam identificados com certificados digitais, e assim tínhamos garantida, além da identidade do servidor, o sigilo na sessão. Entretanto, apenas com a chegada dos certificados para os browsers é que pudemos contar também com a identificação na ponta cliente, eliminando assim a necessidade do uso de senhas e logins.  O S/Mime é também um protocolo muito popular, pois permite que as mensagens de correio eletrônico trafeguem encriptadas e/ou assinadas digitalmente. Desta forma os s não podem ser lidos ou adulterados por terceiros durante o seu trânsito entre a máquina do remetente e a do destinatário. Além disso, o destinatário tem a garantia da identidade de quem enviou o .  O Form Signing é uma tecnologia que permite que os usuários emitam recibos online com seus certificados digitais. Por exemplo: o usuário acessa o seu internet banking e solicita uma transferência de fundos . O sistema do banco, antes de fazer a operação, pede que o usuário assine com seu certificado digital um recibo confirmando a operação. Esse recibo pode ser guardado pelo banco para servir como prova, caso o cliente posteriormente negue ter efetuado a transação.  O Authenticode e o Object Signing são tecnologias que permitem que um desenvolvedor de programas de computador assine digitalmente seu software. Assim, ao baixar um software pela Internet, o usuário tem certeza da identidade do fabricante do programa e que o software se manteve íntegro durante o processo de download. Os certificados digitais se dividem em basicamente dois formatos: os certificados de uso geral (que seriam equivalentes a uma certeira de identidade) e os de uso restrito (equivalentes a cartões de banco, carteiras de clube etc.). Os certificados de uso geral são emitidos diretamente para o usuário final, enquanto que os de uso restrito são voltados basicamente para empresas ou governo.

Carregar ppt "Infra-estrutura de Chaves Públicas"

Apresentações semelhantes

Procedimento de uso do Token em

Procedimento de uso do Token em
A FORMA SEGURA DE NAVEGAR NA REDE

A FORMA SEGURA DE NAVEGAR NA REDE
Sistemas da Informação e Tecnologia Prof. Luciel Henrique de Oliveira Tecnologias e Ferramentas para Garantir a segurança Trabalho 6 – Adriano Montico.

Sistemas da Informação e Tecnologia Prof. Luciel Henrique de Oliveira Tecnologias e Ferramentas para Garantir a segurança Trabalho 6 – Adriano Montico.
Tecnologias e ferramentas para garantir a segurança de informações

Tecnologias e ferramentas para garantir a segurança de informações
Trabalho 6 – Tecnologias e Ferramentas para garantir a Segurança

Trabalho 6 – Tecnologias e Ferramentas para garantir a Segurança
Tecnologias e Ferramentas para Garantir a Segurança

Tecnologias e Ferramentas para Garantir a Segurança
TECNOLOGIAS E FERRAMENTAS PARA GARANTIR A SEGURANÇA Aluno: Alexander Foldes Professor: Luciel.

TECNOLOGIAS E FERRAMENTAS PARA GARANTIR A SEGURANÇA Aluno: Alexander Foldes Professor: Luciel.
TECNOLOGIAS E FERRAMENTAS PARA GARANTIR A SEGURANÇA.

TECNOLOGIAS E FERRAMENTAS PARA GARANTIR A SEGURANÇA.
Trabalho 6 Fernando Baliani da Silva. Certificação digital Tecnologias e Ferramentas para Garantir a Segurança.

Trabalho 6 Fernando Baliani da Silva. Certificação digital Tecnologias e Ferramentas para Garantir a Segurança.
Prof. Dr. Josemar Henrique de Melo Aula 1

Prof. Dr. Josemar Henrique de Melo Aula 1
Professor: Alex Avellar

Professor: Alex Avellar
NAS RELAÇÕES COM O GOVERNO

NAS RELAÇÕES COM O GOVERNO
Conceituação de Assinatura e Certificação Digital

Conceituação de Assinatura e Certificação Digital
1 Documento RestritoRN #### Fernando Nery Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação.

1 Documento RestritoRN #### Fernando Nery Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação.
CONGRESSO BRASILEIRO DE CONTABILIDADE 29/08/2012

CONGRESSO BRASILEIRO DE CONTABILIDADE 29/08/2012
II SEMINÁRIO REGISTRAL CIVIL - CERTIFICAÇÃO DIGITAL- CURITIBA, JUNHO DE 2010.

II SEMINÁRIO REGISTRAL CIVIL - CERTIFICAÇÃO DIGITAL- CURITIBA, JUNHO DE 2010.
Infra-estrutura de Chaves Públicas

Infra-estrutura de Chaves Públicas
Certificação Eletrônica e Assinatura Digital ANVISA

Certificação Eletrônica e Assinatura Digital ANVISA
TELECOM USERS FORUM2005 Inovar Valorizando Processos, Pessoas e Tecnologias TELECOM USERS FORUM 2 a 5 de Junho de 2005 Buenos Aires Como identificar os.

TELECOM USERS FORUM2005 Inovar Valorizando Processos, Pessoas e Tecnologias TELECOM USERS FORUM 2 a 5 de Junho de 2005 Buenos Aires Como identificar os.
Segurança em documentos eletrônicos Softplan/Poligraph

Segurança em documentos eletrônicos Softplan/Poligraph

Apresentações semelhantes

Anúncios Google