Autoridades de Certificação UNIVERSIDADE DO PORTO FACULDADE DE ENGENHARIA MESTRADO EM CIÊNCIA DA INFORMAÇÃO DISCIPLINA: Segurança da Informação PROFESSORES: José Manuel Magalhães Cruz Autoridades de Certificação importância e necessidade para uma infra-estrutura de chave pública (PKI). AUTORES: Francisco Noberto e Suzilaine Sbroglio
Autoridades de Certificação AGENDA 1 Infra-estruturas de chaves públicas (PKI) 2 Autoridades de Certificação e Certificados Digitais 2.1 Tipos de Autoridades de Certificação 2.2 Autoridades de Certificação – Órgão Regulador Brasileiro 2.3 Autoridades de Certificação – Órgão Regulador Português 2.4 Uso dos Certificados Digitais 3 Considerações Finais Referências Bibliográficas Ao falar da agenda, falar da introdução – objetivo do trabalho – e introduzir o item 1 05/12/2011 Autoridades de Certificação
1. INFRA-ESTRUTURAS DE CHAVES PÚBLICAS (PKI) São sistemas de certificação eletrônica que suportam um conjunto de procedimentos, normas e técnicas que, recorrendo a especialidades da criptografia, asseguram a segurança em ambientes eletrônicos. Baseiam-se em certificados digitais que, por sua vez, além de confirmar a identidade de um usuário visam garantir integridade, privacidade e autenticidade em transações eletrônicas. 05/12/2011 Autoridades de Certificação
2. AUTORIDADES DE CERTIFICAÇÃO E CERTIFICADOS DIGITAIS Autoridade de Certificação origem do inglês Certification Authority, AC ou CA. é quem está autorizado a emitir, renovar e cancelar certificados digitais após verificar a identidade e a legitimidade da parte solicitante. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Certificação Digital: Atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação. Esse reconhecimento é inserido em um Certificado Digital, por uma Autoridade Certificadora. (INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO-Glossário ICP-Brasil) 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Certificado Digital: Arquivo de computador gerado por processos matemáticos complexos que tem a capacidade de associar a identidade de uma entidade final (utilizador, computador ou sistemas) a uma chave pública que, usadas em conjunto com uma chave privada, fornecem a comprovação da identidade. 05/12/2011 Autoridades de Certificação
2.1 TIPOS DE AUTORIDADES DE CERTIFICAÇÃO Hierarquia: Autoridades de Certificação Raiz – AC Raiz; Autoridades de Certificação Intermediárias – AC; Autoridade de Registro – AR; 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Autoridades de Certificação Raiz: autorizam as operações; estão no topo da cadeia de Autoridades Certificadoras; são auto-assinadas ; elemento de mais alta confiança da cadeia. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação As Autoridades de Certificação Intermediárias: infra-estruturas subordinadas a AC-Raiz; certificadas pela AC Raiz para emissão de certificados; Autoridades de Registro: vinculada a uma Autoridade Certificadora; recebe, valida, encaminha solicitações de emissão ou revogação de certificados digitais às AC; identifica, de forma presencial os solicitantes de certificados digitais. 05/12/2011 Autoridades de Certificação
Informações de um certificado digital 05/12/2011 Autoridades de Certificação
Informações de um certificado digital 05/12/2011 Autoridades de Certificação
2.2 AUTORIDADE DE CERTIFICAÇÃO - ÓRGÃO REGULADOR BRASILEIRO Infra-Estrutura de Chaves Públicas Brasileira ICP – Brasil Primeira autoridade da cadeia de certificação – AC Raiz; Mantida pela autarquia Instituto Nacional de Tecnologia da Informação – ITI; A implantação do sistema nacional de certificação digital da ICP-Brasil teve início com a Medida Provisória 2.200-2 de 24 de agosto de 2001. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Modelo de certificação com raíz única: AC-Raiz Assinam os certicados das AC de primeiro nivel; tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos; Autoridades Certificadoras de primeiro nível Assinam os certificados das AC de segundo nível ; Autoridades certificadoras de segundo nivel Responsáveis pelos certificados emitidos pelas AR; Autoridades de Registro as unidades que fazem o serviço de balcão, ou seja, o atendimento direto ao cidadão.; 05/12/2011 Autoridades de Certificação
Autoridades certificadoras de primeiro e segundo nível 05/12/2011 Autoridades de Certificação
AC-Raiz, AC de primeiro e segundo nível e Autoridades de Registro 05/12/2011 Autoridades de Certificação
2.3 AUTORIDADE DE CERTIFICAÇÃO - ÓRGÃO REGULADOR PORTUGUÊS Entidade de Certificação Electrónica do Estado - Infra-Estrutura de Chaves Públicas ECEE fortalecimento da sociedade de informação e do governo eletrônico; criada e aprovada através da Resolução do Conselho de Ministros n.º 171/2005 e publicada no Diário da República em 3 de Novembro de 2005; transações de informações eletrônicas de caráter público e oficial; 05/12/2011 Autoridades de Certificação
Estrutura funcional e hierárquica: Entidade Certificadora Raiz do Estado (ECEE) no primeiro nível: executora das políticas de certificados; não emite certificados para utilizadores finais, emitindo apenas certificados para assinar as Entidades Certificadoras do Estado; ECEE assina-se a si própria; Entidades Certificadoras do Estado (EC) - segundo nível: função principal de providenciar a gestão de serviços de certificação: emissão, operação, suspensão, revogação para os seus subscritores; O seu certificado é assinado pela EC Raiz; Entidades Certificadoras Subordinadas do Estado (subEC) e as Entidades de Registro do Estado (ER) - no terceiro nível: As subEC prestam serviços de certificação para o utilizador final. O seu certificado é assinado pela respectiva EC; ER são as que prestam serviços de identificação e registro de utilizadores, bem como a gestão de pedidos de revogação de certificados. 05/12/2011 Autoridades de Certificação
Estrutura funcional e hierárquica da ECEE 05/12/2011 Autoridades de Certificação
2.4 USO DOS CERTIFICADOS DIGITAIS Permite a identificação segura do autor de uma mensagem ou transação eletrônica; Assegura garantia de confidencialidade, integridade, autenticidade e não-repúdio das informações; certificados digitais para correio eletrônico e páginas de internet; certificados digitais para documentação de caráter oficial. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Certificados digitais para correio eletrônico: utilizados para assinar ou cifrar digitalmente as mensagens enviadas; Certificados digitais para documentos oficiais: Necessitam ser adquiridos junto a uma AC credenciada; Certificados para servidores WEB: Uso do protocolo SSL (Secure Socket Layer); a aquisição é feita através do preenchimento de um formulário e envio a AC; o endereço de páginas web passa a ser feito no formato “https://endereço_web”. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Informações de um certificado digital: identificação do titular com nome e endereço de e-mail; sua chave pública; período de validade; informações sobre a AC que emitiu o certificado. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação FEUP: Certificados para e-mail; Certificados para servidores WEB; Alguns certificados para documentos oficiais, adquiridos na AC Multicert. 05/12/2011 Autoridades de Certificação
Informações e detalhes de um certificado digital 05/12/2011 Autoridades de Certificação
Informações de um certificado digital em e-mail 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Conexão via SSL 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 05/12/2011 Autoridades de Certificação
Autoridades de Certificação 3. CONSIDERAÇÕES FINAIS Importância das Autoridades de Cerfificação para a Segurança das Informações eletrônicas. Garantia de informações autênticas, íntegras e confiáveis. 05/12/2011 Autoridades de Certificação
REFERÊNCIAS BIBLIOGRÁFICAS BRASIL. Instituto Nacional de Tecnologia da Informação. Disponível em: <http://www.iti.gov.br/twiki/bin/view/Main/WebHome>. Acesso em: 19 out. 2011. BRASIL. INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. O que é certificação digital. Disponível em: <http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf>. Acesso em: 20 out. 2011. CARVALHO, Hugo Eiji Tibana. PKI – Infra-estrutura de Chaves Públicas. Disponível em: <http://www.gta.ufrj.br/ensino/eel879/Anos-anteriores/2008-2/trabalhos_vf/hugo/index.html>. Acesso em: 20 out. 2011. MULTICERT - Serviços de Certificação Electrónica. Disponível em: <https://www.multicert.com/empresa;jsessionid=5309BECA7B58A36BADE3EC786634AC09> Acesso em: 26 out. 2011. PORTUGAL. Sistema de Certificação Eletrónica do Estado. Disponível em: <http://www.scee.gov.pt/ECEE/pt/egp>. Acesso em: 19 out. 2011. 05/12/2011 Autoridades de Certificação
Autoridades de Certificação Agradecemos a Atenção! Francisco Noberto <mci11002@fe.up.pt> Suzilaine Sbroglio <mci11001@fe.up.pt> 05/12/2011 Autoridades de Certificação