Criptografia, PKI & Certificados Digitais

Compromisso com segurança 2 Transferir a credibilidade baseada em papel e conhecimento para o ambiente eletrônico! Objetivo

Compromisso com segurança 3 Mais de 70% das fraudes eletrônicas tem origem em público interno As oportunidades de acesso a redes corporativas estão aumentando com o crescimento da Internet 75% das empresas contabilizam perdas por falhas de segurança por fraudes financeiras, roubo de informações proprietárias ou furto de lap-tops Fonte: Forester Research Internet & Segurança

Compromisso com segurança 4 Certificados e Credenciais Definições Certificados: Documento de garantia, válido por tempo determinado Credencial: Poderes outorgados a pessoa ou entidade

Compromisso com segurança 5 Certificados e Credenciais Identificação no Mundo Real Certidão de Nascimento Carteira de Identidade Carteira Profissional Título de Eleitor CIC (CPF/CGC) Certificado de Reservista Licença de Motorista Certidão de Casamento Certidão de Separação Registro Profissional Registro PIS/Pasep Registro INPS Registro FGTS Passaporte Conta(s) Bancária(s) Cartão de Crédito Carteira de Saúde Identidade Funcional Identidade Esportivo/Social Certidão de Óbito

Compromisso com segurança 6 Certificados Digitais Assinaturas Digitais Certificados e Credenciais Identificação no Mundo Virtual

Compromisso com segurança 7 Autenticação Identificação de pessoa ou entidade Confidencialidade Privacidade da informação Integridade Informação não é modificada em trânsito Não Repúdio Origem não pode negar a autoria Fundamentos de Credibilidade

Compromisso com segurança 8 Documento Original Timbre Autêntico, Íntegro, Não pode ser repudiado Assinatura Original 45c Confidencial Envelope Lacrado Segurança baseada em Papel

Compromisso com segurança 9 Segurança Eletrônica Autenticação Integridade Não Repúdio Assinatura Digital Criptografia 45c Confidencialidade

Compromisso com segurança 10 Criptografia / Decriptografia Processo de converter um texto aberto para texto cifrado ou reconverter um texto cifrado para texto aberto Hash: Amostra de um texto cifrado ou aberto C onceitos de S egurança E letrônica

Compromisso com segurança 11 Criptografia / Decriptografia: Algoritmos Chaves Procedimentos Simétricos ou Assimétricos Hash: Algoritmos não reversíveis Conceitos de S egurança

Compromisso com segurança 12 Simétrica Criptografia de Chave Secreta Criptografa e Decriptografa com a mesma chave Assimétrica Criptografia de Chave Pública Duas chaves relacionadas, uma pública e outra privada Modos de Criptografia

Compromisso com segurança 13 Utiliza uma chave compartilhada Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia ++ Algoritmo = Decriptografia Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue ++ = Algoritmo Criptografia Simétrica

Compromisso com segurança 14 Performance: Rápida e Segura Administração de Chaves: Não é adequado para um número grande de usuários (chave compartilhada) Aplicações: Sempre que a performance for determinante Algoritmos: DES, IDEA, Red Pike, RC2, RC4 Criptografia Simétrica Características

Compromisso com segurança 15 Opera com um par de chaves relacionadas, uma pública e uma privada Sem segredos compartilhados Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia ++ Algoritmo = Chave Pública Decriptografia Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue ++ Algoritmo = Chave Privada Criptografia Assimétrica

Compromisso com segurança 16 Criptografia de Chave Pública (Public Key Cryptography) A chave pública é divulgada A chave privada é proprietária (gerada e mantida no ambiente operacional) A chave pública é usada para criptografar e a chave privada para decriptografar Criptografia Assimétrica

Compromisso com segurança 17 Par de Chaves: Relacionadas matematicamente Números primos extremamente grandes Não existe fórmula conhecida de determinar uma a partir da outra A eficiência depende do seu tamanho e de outros fatores Criptografia Assimétrica

Compromisso com segurança 18 Performance: Baixa - não é prática para uso intensivo Administração de Chaves: Chave pública pode ser distribuída livremente Aplicações: Criptografia, Assinatura Digital / Verificação, Troca de chaves Algoritmos: RSA, ECC, Diffie-Hellman, DSA Criptografia Assimétrica Características

Compromisso com segurança 19 Produzido por um algoritmo que usa como entrada a informação transmitida Resulta em uma “impressão digital” com tamanho fixo de 128 ou 160 bits Verifica se a informação foi alterada Impossível recriar um documento a partir de seu hash Alteração de um único bit da informação produz um hash diferente Hash – Amostra da Informação

Compromisso com segurança 20 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Características: Sem chaves Irreversível Algoritmos: MD5, SHA-1 Verifica integridade dos dados Produz assinaturas digitais Hash – Amostra da Informação

Compromisso com segurança 21 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Transmite para o destino Iguais ? Hash - I ntegridade da I nformação

Compromisso com segurança 22 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Algoritmo de Assinatura Assinatura Digital Chave Privada Do Remetente Assinatura Digital

Chave de Seção Ana Chave Pública Chave Privada Chave Privada Chave Pública Carlos Criando uma Mensagem Segura Assinando a Mensagem Ordem de Pagamento Para Carlos SHA-1 Hash RSA Assinatura Digital de Ana Ana Criptografando A Mensagem Ordem de Pagamento Para Carlos DES X15/^ ow83h7ERH39DJ3H nI2jR 98Fd z(q6 Ana RSA Criptografando a Chave de Seção Bloco Transmitido

Decriptografando a Mensagem Segura nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H DES Ordem de Pagamento Para Carlos Ana Decriptando a mensagem Decriptografando A chave de seção nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H RSA nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H + Verificando a assinatura e Integridade da mensagem Ordem de Pagamento Para Carlos SHA-1 Hash SimNão Ana RSA Hash Iguais? Chave de Seção Ana Chave Pública Chave Privada Chave Privada Chave Pública Carlos

Certificados Digitais & Infraestrutura de Chave Pública (PKI)

Compromisso com segurança 26 Para obter comunicação segura, Ana criptografa sua mensagem com a chave pública de Carlos Dúvidas: Como e de onde Ana consegue a chave pública de Carlos? Como Ana tem certeza que a chave obtida é realmente de Carlos e não uma tentativa de fraude? Dúvidas …

Compromisso com segurança 27 Ana confia que tem a chave de Carlos porque obteve esta informação em um certificado digital O certificado foi emitido e assinado por uma Autoridade Certificadora A Autoridade Certificadora é uma entidade confiável (TTP – Trusted Third Party) Respostas …

Compromisso com segurança 28 Equivalente eletrônico às provas físicas de identificação que auxiliam a autenticação de usuários em redes de comunicações Pode estar residente em uma estação, um disquete ou em um dispositivo de segurança como um smart-card Certificados Digitais são os elementos básicos de uma Infraestrutura de Chaves Públicas (PKI) Certificados Digitais

Compromisso com segurança 29 Informações sobre o proprietário Informações sobre o emitente A chave pública do proprietário Datas de emissão e expiração Algoritmos de criptografia e hash Assinatura digital do emitente (CA), avalizando o conteúdo do certificado C onteúdo dos C ertificados D igitais

Compromisso com segurança 30 Baseados em um Diretório Público implementado por uma Autoridade Certificadora (CA) que emite certificados para que assinantes (Clientes da CA) possam ser verificados por usuários (público em geral) Certificados Digitais

Compromisso com segurança 31 O certificado digital uma credencial que identifica e autentica seu proprietário O certificado herda a credibilidade da entidade emitente Credibilidade do C ertificado D igital

Compromisso com segurança 32 As relações técnicas e legais entre CAs, assinantes e usuários são reguladas por um documento público chamado Declaração de Práticas de Certificação, emitido pela CA para definir procedimentos e especificar limites de responsabilidade As DPCs não são padronizadas (O padrão X.509 especifica apenas alguns itens que devem constar em seu texto) Questões Técnicas e Legais

Compromisso com segurança 33 Identificador do Emitente Versão Número Serial Algoritmo de Assinatura CA Emitente Período de Validade Nome Único (X.500) Do Proprietário Algoritmo de identificação da chave pública Chave pública Identificador do Proprietário Extensão Assinatura Digital da CA Formato do Certificado O padrão X.509 especifica uma seqüência campos obrigatórios nos certificados e contempla a possibilidade de extensões para atender necessidades específicas

Compromisso com segurança 34 Políticas de segurança que definem as regras de operação de sistemas criptográficos Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser criadas, distribuídas e utilizadas Criptografia de Chaves Públicas Assinaturas Digitais PKI – I nfraestrutura de C have P ública

Compromisso com segurança 35 Estabelecer e manter a credibilidade de um ambiente de rede com total transparência para as aplicações Proporcionar a redução dos custos operacionais, facilidade de assimilação pelo usuário e tolerância a processos com alta demanda Função do PKI

Compromisso com segurança 36 Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e públicas Facilita a transição para as tecnologias em processo de desenvolvimento Infraestrutura de chaves públicas associada a smart cards é o modo mais seguro de conduzir negócios pela Internet Características do PKI

Compromisso com segurança 37 PKI é uma combinação de produtos de hardware e software, procedimentos e políticas de segurança Fornece a segurança necessária para comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade Utiliza certificados digitais que vinculam o usuário a uma chave pública Componentes do PKI

Compromisso com segurança 38 Políticas de segurança que definam as regras para os sistemas criptográficos operar Produtos para gerar, armazenar e administrar chaves Processos que definam como as chaves e os certificados devem ser gerados, distribuídos e utilizados A criptografia por chave pública não é suficiente para recriar todo o ambiente do comércio tradicional baseado em papel no meio eletrônico São necessárias as seguintes condições: Criptografia de Chave Pública

Compromisso com segurança 39 Um PKI consiste de: Autoridades Certificadoras Autoridades de Registro Diretórios Aplicações que contemplam características PKI Políticas & Procedimentos Elementos do PKI

Compromisso com segurança 40 CA Usuário RA Diretório Emitir Certificado Gerar Certificado Expirar o Certificado Armazenar o Certificado Aplicação Revogar Certificado Ciclo de Vida do Certificado

Compromisso com segurança 41 CA RA Diretório Usuário A CA é a base de credibilidade do PKI e administra o ciclo de vida dos certificados A CA emite certificados associando uma identificação única a uma chave pública Programa datas de expiração para certificados Publica Relações de Certificados Revogados (CRLs) Uma empresa pode operar sua própria CA ou usar os serviços de uma terceira parte confiável Autoridade Certificadora

Compromisso com segurança 42 Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários CA RA Diretório Usuário Autoridade de Registro

Compromisso com segurança 43 Ponto de distribuição para certificados e relações de certificados revogados Distribuídos em redes Padrão X.500 Podem armazenar outras informações CA RA Diretório Usuário Diretórios

Compromisso com segurança 44 Comunicações entre servidores web e browsers Electronic Data Interchange (EDI) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) CA RA Diretório Usuário Aplicações

CA RA Usuário Diretório A informação do usuário e a Chave Pública são enviados para o RA RA verifica as informações e solicita a emissão do certificado CA emite o certificado e o remete para o RA CA divulga o certificado em um diretório O RA envia o certificado para o usuário O usuário gera um par de chaves e solicita um certificado Processo de Registro de Certificados

Transação Comercial com Certificados O lojista pode Verificar:  Detalhes do certificado  Relações de revogação  Validade dos certificados  Assinaturas  Decriptar dados A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora Transações Comerciais via Internet CA Diretório Usuário Lojista CA divulga o certificado em um diretório

Compromisso com segurança 47 Brasil - A instrução normativa da SRF nº 156, de 22/Dez/1999 instituiu os Certificados Eletrônicos e-CPF e e-CNPJ Brasil - Decreto n º de 13/Jun/2000 criou a Política de Segurança da Informação nos órgãos e entidades da administração Pública Federal EUA - A Lei das Assinaturas Digitais (US Digital Signature Law) vigora desde 01/Out/2000 Irlanda - Digital Signature Law efetiva a partir de 07/Out/2000 Legislação

UniCERT Brasil UniCERT Brasil

Compromisso com segurança 49 Autoridade Certificadora neutra e confiável Equipe técnica para auxiliar a implementação de infraestruturas de chave pública UniCERT Brasil

Compromisso com segurança 50 Autoridade Certificadora Comercial Hospedagem e administração de Autoridades Certificadoras Serviços Profissionais Soluções Escaláveis Administração do ciclo de vida de certificados  Registro  Autorização  Processamento  Emissão  Revogação Produtos e Serviços

Compromisso com segurança 51 UniCERT Brasil Nível 5 Nível 4 Nível 3 Nível 2 Chave Privada Cofres duais, classe 5, com duas chaves Chave Privada dividida, uma parte em cada cofre Nível 1 Funcionários Treinamento Contínuo Políticas Operacionais Investigação do passado e situação financeira Prédio Guarda 7x24 Controle Central Crachá com Foto Circuito de TV Estrutura da Facilidade Controle de Acesso Controle de Intrusos Auto-Suficiência em energia Sala Segura Paredes com malha metálica Controle de acesso biométrico Circuito fechado de TV Alarme de Movimento Estrutura Operacional

Compromisso com segurança 52 Apoio da Baltimore Technologies, que tem mais de 20 anos de experiência em sistemas de certificação digital Administração de dados sensíveis Proteção por múltiplas técnicas de segurança integrando procedimentos físicos, eletrônicos e administrativos Procedimentos de resposta a emergências Histórico de eventos Help-Desk Suporte 24 horas por dia, 7 dias por semana Características Funcionais

Compromisso com segurança 53 Certificação ICSA Compatibilidade com os padrões:  X.509 (ISO ), certificados v1 e v3, CRLs v2  RSA PKCS#10, PKCS#7 e PKCS#1  SET (Secure Electronic Transaction)  Diretório: Interface LDAP v3 para X.500 ou outros diretórios  SSL (Secure Socket Layer) v2 e v3  TCP/IP: Interfaces de certificação HTTP, HTTP/S e S/MIME (Secure Multipurpose Internet Mail Extensions) Características dos Produtos

Compromisso com segurança 54 Certificados digitais para servidores e clientes (B2B, B2C) Certificados digitais para integradores e fornecedores de soluções PKI Certificados digitais integrados a soluções desenvolvidas por empresas ou usuários Hospedagem de servidores dedicados para CAs de empresas ou outras entidades Hospedagem de arquivos em dispositivos de armazenamento fisicamente seguros Serviços UniCERT Brasil

Compromisso com segurança 55 Home banking Aplicações EDI (Transações B2B) Identrus SHTTP/SSL Controle de Acesso SET (a ser implementado) WAP Estabelecimento de Servidores Seguros Aplicações

Compromisso com segurança 56 Permite que empresas utilizem os seus recursos e serviços para fornecer certificados digitais com a sua marca Soluções compatíveis com as necessidades do cliente Serviço fornece aos clientes um diferencial de credibilidade sobre a concorrência CA Brand

Compromisso com segurança 57 Serviço de hospedagem em instalações seguras de CAs proprietárias de clientes Possibilita a operacionalização de autoridades certificadoras sem as preocupações (e custos) que uma instalação deste tipo exige em termos de tecnologia e segurança A operação da CA pode ser realizada por técnicos da UniCERT Brasil Hospedagem de CAs

Cases

Compromisso com segurança 59 Identrus – Consórcio formado por um grupo internacional de grandes bancos Aplicações Comerciais

Compromisso com segurança 60 Banco A Banco B Banco C Autoridade Certificadora Autoridade Cert Identrus

Compromisso com segurança 61 Identrus permite a credibilidade das comunicações entre associados em redes públicas A infraestrutura permite que instituições financeiras possam ter uma identificação conclusiva dos seus parceiros em comunicações via Internet A autoridade certificadora raíz do Identrus utiliza tecnologia Baltimore (Unicert) Os bancos associados podem escolher qualquer PKI compatível para implementar suas CAs Implementações Identrus

Compromisso com segurança 62 ABN Amro utiliza PKI para implementar a sua Infraestrutura Criptográfica Corporativa (CCI) O CCI responde pela segurança de qualquer atividade bancária e serviços criptográficos para qualquer cliente ou qualquer aplicação em qualquer lugar do mundo ABN Amro

Compromisso com segurança 63 ABN Amro

SSL

Compromisso com segurança 65 Servidor Web Autoridade Certificadora SSL – Visão Geral SSL

Compromisso com segurança Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5. O browser usa a chave pública do Lojista para criptografar a chave de seção 6. O lojista usa a sua chave privada para decriptar a chave de seção Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro SSL – v2.0

Compromisso com segurança Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL3.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5.O browser usa a chave pública do Lojista para criptografar a chave de seção e remete junto o seu certificado 6. O lojista usa a sua chave privada para decriptar a chave de seção e verifica a assinatura digital do cliente Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro SSL – v3.0

Carlos Alberto Goldani Joice Beatriz Ferreira