Apresenta

1
Certificado Digital
Gisele Regina Consoline 022511 Maria Betânia
Ricci Boer 022525
2
Introdução
3
Introdução
A expansão do mundo digital leva à conclusão de
estarmos vivendo uma revolução, em escala
planetária, onde estamos colaborando, e também
intervindo, na construção de uma nova sociedade,
a chamada Sociedade da Informação.
4
Introdução
O paradigma que emerge dessa revolução é a
prevalência da informação eletrônica, gerando um
conjunto de novas relações econômicas e sociais,
vivenciadas pela sociedade de maneira cada vez
mais natural. Esse conjunto de transações
eletrônicas, denominado negócios eletrônicos
5
Introdução
A informação, dentro das transações eletrônicas,
deve ter os seguintes requisitos
6
Introdução
Disponibilidade o documento, ou
informação, deve estar disponível
ininterruptamente, para novo tratamento ou
utilização. Integridade fidelidade do
documento ao teor original, sem sofrer qualquer
alteração. Confidencialidade a informação
relacionada a um indivíduo, empresa, ou entidade
deve ser protegida da ação indevida de terceiros,
seja para conhecer ou tratar essa informação
7
Introdução
Autenticidade há que ser garantida a autoria,
origem e destino do documento eletrônico
Irretratabilidade é a garantia de que uma
transação depois de efetuada não pode ser negada.
8
A implementação de uma política de segurança da
informação adequada irá atender a todos os
requisitos de segurança, fazendo com que a
informação detenha os atributos necessários a sua
utilização de forma ampla e confiável.
9
Certificado Digital Conceito
Mundo Virtual, Segurança Real.
10
CONCEITOS DE CERTIFICAÇÃO DIGITAL
O que é um certificado digital?
Certificado (ou Identidade) Digital é um
software que faz o papel de um documento de
identificação, comprovando de forma eletrônica a
identidade do usuário. Assim como o RG ou CPF
identificam você, um certificado digital contém
dados que funcionam como um certificado físico,
contendo informações referentes ao usuário. Os
certificados digitais são expedidos por uma
Autoridade de Certificação, ou AC, que é
responsável pelo seu controle e revogação.
SSP Secretaria de Segurança Pública
AC Autoridade de Certificação
Certificado Digital
RG
mundo real
mundo virtual
11
Um Certificado Digital contém três elementos
. informação de atributo Esta é a informação
sobre o projeto que é certificado. No caso de uma
pessoa, isto pode incluir seu nome, nacionalidade
e endereço e-mail, sua organização e o
departamento desta organização onde
trabalha .chave de Informação Pública Esta é a
chave pública da entidade certificada. O
certificado atua para associar a chave pública à
informação do atributo, descrito acima. A chave
pública pode ser qualquer chave assimétrica, mas
usualmente é uma chave RSA.
12
.assinatura da Autoridade em Certificação A
autoridade certificadora, ou Certificate
Authority (CA), como é mais conhecida, assina os
dois primeiros elementos e, então adiciona
credibilidade ao certificado.Quem recebe o
certificado verifica a assinatura e acreditará na
informação de atributo e chave pública associada
se acreditar na Autoridade em Certificação.
13
Estrutura do Certificado Digital
14
X.509v3
O padrão X.509 hoje em sua versão 3, está se
tornando o padrão mais utilizado pela maioria dos
grandes fabricantes de software.
15
X.509v3
versão do formato do certificado Número da
versão, hoje na versão 3 número de série
Todo certificado tem que ter um número de série,
e esse número é único para cada Autoridade
Certificadora identificador do algoritmo de
assinatura Uma assinatura digital pode ser feita
de diversas formas distintas, dependendo do
algoritmo utilizado. Este campo identifica o
algoritmo utilizado para o Certificado
emissor Nome da Autoridade Certificadora
responsável pela emissão deste certificado
16
X.509v3
período de validade Período de Validade do
Certificado titular Nome ou identificador do
titular do certificado identificador único do
emissor do título Estes campos forma criados na
versão 2 do padrão X.509 pensando na
possibilidade de reuso dos nomes do emissor e
titular durante o passar dos anos.Hoje ouso
destes campos não é mais recomendado. A
recomendação manda emitir outro certificado
17
X.509v3
extensões A versão 3 do padrão X.509 permite
que o certificado contenha campos fora dos acima
especificados e que, possivelmente, são campos
proprietários. O número de extensões é variável e
limitado
18
X.509v3
assinatura do emissor É a assinatura digital
da Autoridade Certificadora. A assinatura digital
feita para todos os campos acima, inclusive as
extensões. Assim sendo, qualquer alteração nos
dados do certificado é imediatamente
identificável. Por esta razão, um certificado
digital é um documento que não pode ser
adulterado. A única forma de adulterar um
certificado digital é descobrindo a chave privada
da Autoridade Certificadora e gerando um novo
certificado.
19
Infra-Estrutura de Chaves Públicas
20
O que significa ICP?
ICP ou Infra-estrutura de Chaves Públicas (PKI
ou Public Key Infrastructure em inglês) é uma
infra-estrutura de confiança na qual pessoas (ou
sistemas) confiam em uma Autoridade de
Certificação (AC) para verificar e confirmar a
identidade dos usuários certificados. Uma ICP é
na verdade um grande banco de dados, que expede,
entrega, gerencia e revoga certificados digitais.
ICP representa o coração de uma estrutura de
negócios e comunicação segura e eficiente que aos
poucos se consolida no nosso dia-a-dia.
autenticação
pagamentos
privacidade
e-mail
WAP
ICP
web
VPN
e-commerce
21
usuário final aquele que faz uso do
certificado digital autoridade certificadora
(CA) responsável pela emissão do certificado
digital e pela identificação do usuário final
(titular do certificado)
PKI


autenticação
pagamentos
privacidade
e-mail
WAP
ICP
web
VPN
e-commerce
22
autoridade de registro (RA) sua existência não
é obrigatória, mas quando está presente, é
responsável pela identificação do usuário final e
serve como intermediária entre o usuário e a
Autoridade Certificadora
PKI


autenticação
pagamentos
privacidade
e-mail
WAP
ICP
web
VPN
e-commerce
23
repositório de certificados e CRL é um
repositório que pode ser acessado por todos os
membros da PKI e onde ficam armazenados os
certificados emitidos, bem como os certificados
cancelados (CRL).
PKI


autenticação
pagamentos
privacidade
e-mail
WAP
ICP
web
VPN
e-commerce
24



25
O processo de obtenção de um certificado digital
segue as seguintes
etapas

• O usuário final envia uma requisição para a RA
  ou CA, dependendo de como a PKI está estruturada
• Caso a requisição tenha sido enviada para a RA,
  esta identifica o cliente de alguma forma (talvez
  exigindo que este envie cópia autenticada de sua
  carteira de identidade) e repassa a requisição
  para a CA

26
O processo de obtenção de um certificado digital
segue as seguintes
etapas

• Caso a requisição tenha sido enviada diretamente
  à CA, é responsabilidade desta fazer a
  identificação do cliente, emitir o certificado
  digital e, possivelmente, publicá-lo no
  repositório
• A CA retorna à RA, caso haja RA, a notificação de
  que o certificado foi emitido. Caso a CA não
  tenha publicado o certificado no Repositório, a
  RA poderá fazê-lo
• A RA notifica o cliente final de que seu
  certificado está disponível para uso. Caso não
  haja RA, a CA fará diretamente a notificação

27
O processo de obtenção de um certificado digital
segue as seguintes
etapas

• O cliente retira o certificado digital e passa a
  utilizá-lo em suas transações
• Faz parte da PKI a possibilidade de Certificação
  Cruzada. Chama-se de Certificação Cruzada a
  capacidade de Autoridades Certificadoras se
  certificarem mutuamente, de tal forma que
  certificados emitidos por uma autoridade seja
  automaticamente aceitos pela outra.

28
Autoridade Certificadora


O termo CA é oriundo de Certificate Authority, a
CA é o órgão emissor do certificado digital e tem
como principal função, além de permitir o
certificado, validar os dados do titular que irão
constar do certificado digital. Em alguns tipos
de transações é imprescindível o papel da CA,
sendo mais usada em transações comerciais pela
Internet onde os participantes de uma transação
comercial podem nunca ter se visto, a exatidão
dos dados no certificado digital é fundamental.


29
Autoridade Registro

• A Autoridade de Registro (RA Register
  Authority) é uma entidade que serve como
  intermediária entre o cliente final e a CA. É
  quem cuida da verificação dos documentos
  apresentados pelo cliente. A RA é opcional dentro
  de uma PKI. As possíveis atribuições são
• identificação do cliente
• distribuição de token
• responsável pelo cancelamento
• geração do par de chaves
• armazenamento das chaves.

30
Hierarquia de Certificação-ICP-Brasil




31
Hierarquia de Certificação


A Hierarquia de Certificação acontece quando uma
autoridade certificadora certifica uma outra
autoridade certificadora. A emissão de um
certificado digital é tecnicamente simples.
Existem softwares gratuitos capazes de emitir
tais certificados. Um problema que surge é como
garantir que uma determinada Autoridade
Certificadora está de fato autorizada a emitir
certificados digitais com um determinado valor
legal.


32
A Lista de Certificados Cancelados (CRL)


Um certificado pode ser cancelado, como foi
visto no ciclo de vida de um certificado digital.
Os motivos são vários, por exemplo, a chave
primária do cliente é roubada ou extraviada, o
certificado contém dados errôneos, ou o titular
do certificado altera seus dados mudando de
companhia ou nome após o matrimônio, resumindo,
quando houver qualquer comprometimento do
certificado.


33
A Lista de Certificados Cancelados (CRL)


Quando isto acontece, este certificado que foi
cancelado é adiciona à Lista de Certificados
Cancelados (CRL Certificate Revogation List).
Esta lista deve ser consultada sempre que for
fazer qualquer transação envolvendo o certificado
por que o fato do certificado não ter sido
violado não garante que este não tenha sido
cancelado.


34
A Lista de Certificados Cancelados (CRL)


Lista de tempo de cancelamento de certificados


35




Ciclo de Vida do Certificado Digital
36
O ciclo de vida de um certificado digital
37
requerimento É o pedido de certificação
digital, pelo qual uma pessoa interessada requer
a emissão de um certificado pela Autoridade
Certificadora. validação do requerimento É
função da Autoridade Certificadora garantir que o
requerimento do certificado seja válido e
contenha somente informações corretas sobre o
requerente.Para tal, ela deve seguir
procedimentos rigorosos e criteriosos de exame e
processamento do pedido de emissão do certificado
digital, que minimizem a possibilidade de fraude
ou erro nos dados a serem colocados neste.
38
emissão do certificado É o ato de
reconhecimento do título do certificado digital
pelo requerente e sua emissão. aceitação do
certificado pelo requerente Uma vez emitido o
certificado digital, o requerente deve retirá-lo
da Autoridade Certificadora e confirmar a
validade do certificado emitido. uso do
certificado Uma vez emitido o certificado, o seu
titular poderá assinar documentos e/ou receber
documentos codificados.
39
suspensão do certificado digital É o ato pelo
qual o certificado se torna temporariamente
inválido para operações. Isto pode ocorrer no
caso de haver alguma incorreção ou dúvida quanto
ao comprometimento da chave privativa do titular,
ou por algum outro motivo especificado pela
Autoridade Certificadora. cancelamento do
certificado É o processo pelo qual o certificado
digital é cancelado, ou seja, torna-se
definitivamente inválido para uso.
40
término da validade e renovação do certificado
O certificado digital tem um período
preestabelecido de validade, atribuído pela
Autoridade Certificadora. Em geral este período é
de 1 (um) a 3 (três) anos.
41
Quais as aplicações de um certificado digital?
Um certificado digital apresenta três finalidades
Autenticação identifica o usuário no mundo
digital Cifragem proporciona sigilo da
informação Assinatura digital permite assinar
documentos eletrônicos

• A
• A
• C

42
Assinatura Digital
43
Assinatura Digital

A assinatura digital nem sempre é usada para
criptografar documentos. Pode às vezes ser usada
para provar que quem escreveu a mensagem foi quem
diz ser e que o texto não foi modificado depois
de assinado. Para assinar uma mensagem garantindo
esses dois quesitos, procede-se da seguinte
maneira usa-se uma função message digest (MD),
que é uma função matemática que é aplicada ao
texto. O resultado deste processamento é um
pequeno pedaço de dados de tamanho fixo chamado
hash.


44
Assinatura Digital

Entra-se com os dados a serem digeridos e o
algoritmo gera um hash de 128 ou 160 bits. Uma
vez computada uma message digest, criptografa-se
o hash gerado com uma chave privada. O resultado
de todo este procedimento é chamado de assinatura
digital da informação. A assinatura digital é uma
garantia que o documento criptografa-se o hash
gerado com uma chave privada. O resultado desse
processo é a assinatura digital da informação


45
Assinatura Digital

• O destinatário ao receber a mensagem irá usar a
  chave pública do remetente para decriptografar o
  hash que foi enviado junto com a mensagem.
• Uma vez decriptografado aplica-se novamente a MD
  que gerou o hash e compara-se os tamanhos do novo
  hash gerado pelo destinatário.
• Se os dois tiverem o mesmo tamanho, a mensagem
  não foi alterada.

46
Assinatura Digital

• A assinatura digital diz apenas se o texto foi
  ou não modificado, mas não consegue identificar o
  que foi alterado.
• Usa-se funções message digest para não ser
  preciso criptografar todo o texto da mensagem, o
  que poderia gastar muito tempo dependendo do
  tamanho do texto. Criptografando apenas o hash
  pode-se perfeitamente definir-se uma mensagem foi
  ou não alterada.

47
Assinatura Digital

• Para ser possível que um documento ou uma
  assinatura adulterada não seja detectada, o
  atacante deve ter acesso a chave privada de quem
  assinou esse documento.
• A assinatura digital também é valiosa, pois se
  pode assinar informações em um sistema computador
  e depois provar sua autenticidade sem se
  preocupar com a segurança do sistema que as
  armazena.

48
Assinatura Digital

• A figura abaixo mostra o processo de geração e
  verificação de assinatura digital, utilizando o
  algoritmo de criptografia de chave pública RSA.

49
Assinatura Digital

• Algoritmos utilizados na assinatura digital

Algoritmo Descrição
RSA Como já mencionado, o RSA também é comutativo e pode ser utilizado para a geração de assinatura digital. A matemática é a mesma há uma chave pública e uma chave privada, e a segurança do sistema baseia-se na dificuldade da fatoração de números grandes.
ElGamal Como o RSA, o ElGamal também é comutativo, podendo ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves assim, ele obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito.
DAS O Digital Signature Algorithm, unicamente destinado a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão DSS (Digital Signature Standard). Adotado como padrão final em dezembro de 1994, trata-se de uma variação dos algoritmos de assinatura ElGamal e Schnorr. Foi inventado pela NSA e patenteado pelo governo americano.
50



Exemplos de protocolos que empregam sistemas
criptográficos híbridos
51
PGP (Pretty Good Privacy)
PGP é um software que implementa um sistema de
criptografia de chave pública, disponível
gratuitamente na Internet, que oferece serviços
de sigilo e autenticidade de informação para
armazenamento ou transmissão via correio
eletrônico. Sua criação deve-se em grande parte,
ao esforço do norte americano Phil Zimmermann.
52
PGP (Pretty Good Privacy)
É empregado o algoritmo RSA para a troca de uma
chave temporária de 128 bits gerada
aleatoriamente que é , então, utilizada com o
algoritmo IDEA (International Data Encrpytion
Algorithm), considerado um dos melhores
algoritmos de ciframento de bloco hoje
disponível. Apesar dos algoritmos de
criptografia utilizados no sistema PGP serem os
mesmos utilizados nos que utilizam certificados
X.509, os sistemas
53
PGP (Pretty Good Privacy)
divergem na forma de distribuição das chaves
públicas. Enquanto o X.509 depende de uma
Autoridade Certificadora que assine o certificado
digital, no PGP não existem certificados
digitais. Nele, as chaves públicas são assinadas
por outros membros da comunidade PGP, formando
uma cadeia de
54
PGP (Pretty Good Privacy)
confiança.Por exemplo, vamos supor que Maria
receba uma mensagem assinada digitalmente por
José, pessoa que Lea não conhece e, assim, em
cuja assinatura não confia. No entanto, Maria
conhece e confia na assinatura digital de Pedro.
Pedro, que conhece José assina sua chave pública.
Maria pode assim, por meio de Pedro, saber que
José é quem diz ser e aceitar sua correspondência
como verdadeira. O sistema PGP permite configurar
o tamanho das cadeias de confiança.
55
PGP (Pretty Good Privacy)
O sucesso do PGP pode ser atribuído aos seguintes
fatores utilização dos melhores algoritmos
disponíveis para ciframento de mensagens (RSA,
IDEA), assinatura digital (RSA, MD5) e compressão
(ZIP) integração destes algoritmos numa
aplicação independente de sistema operacional ou
CPU (há versões para UNIX, DOS/Windows,
Macintosh, Amiga,etc) livre acesso, via
Internet, ao seu código fonte e à sua
documentação (este acesso é afetado em parte,
pelas restrições do governo americano à
exportação de software para criptografia)

56
PGP (Pretty Good Privacy)
disponibilidade de versão comercial de baixo
custo, com suporte e manutenção (através da
empresa norte americana Via Crypt) não ter
sido desenvolvido, nem controlado, por nenhum
governo ou instituição normativa. Este sistema
está mais de acordo com a proposta de ser um
sistema criptográfico para uso das massas, tal
como colocou seu criador.

57
S/MIME (Security Multipurpose Internet Mail
Extensions)

Criado em 1995 a partir da associação de um
grupo de empresas (RSA, Microsoft, Lótus e
Novel) para criar uma especificação de correio
eletrônico seguro, com o propósito de evitar a
interceptação, alteração e a falsificação de
mensagens trocadas eletronicamente.
58
S/MIME (Security Multipurpose Internet Mail
Extensions)
O S/MIME ainda não é considerado um padrão
Internet, mas foi adotado pelas empresas que
dominam o mercado de ferramentas para correio
eletrônico, o que fez com se disseminasse
internacionalmente. Por ser um padrão aberto
vários mailers diferentes trocam mensagens entre
si. Entre os mailers que suportam S/MIME
destacam-se o Microsoft Outollok e o Outlook
Express (que acompanha o Internet Explorer), o
Netscape Messenger (que integra o Netscape
Communicator) e o Eudora Pro (com a ajuda do
plug-in WordSecure da World Talk).

59
S/MIME (Security Multipurpose Internet Mail
Extensions)

O S/MIME utiliza os certificados no padrão X.509
por isso pode ser usado em escala global, o que
não acontece com o PGP que é restrito a uma
cadeia de confiança como já foi descrito. Isto,
associado ao fato de que as maiores empresas de
navegadores para Internet Microsft e Netscape
usam o S/MIME, faz com que o S/MIME tenha mais
chance de se tornar padrão na Internet para
correio eletrônico seguro do que o PGP.
60
SSL/TLS
SSL (Secure Socket Layer ) RFC 3207 é uma camada
do protocolo de rede, situada abaixo da camada de
aplicação, com a responsabilidade de gerenciar um
canal de comunicação seguro entre o cliente e o
servidor. O SSL foi desenvolvido pela Netscape
Communications Corporation . Atualmente é
implementado na maioria dos browsers. A
palavra-chave https// é usualmente empregada
para designar uma conexão segura. O SSL preenche
os seguintes critérios que o fazem aceitável para
o uso nas transmissões das mais sensíveis
informações, como dados pessoais e números do
cartão de crédito


61
SSL/TLS
Autenticidade De modo a garantir a
autenticidade de A no caso anterior, um sistema
de códigos um pouco mais complexo é necessário. A
mensagem de A para B é primeiramente
criptografada com a chave privada de A e
posteriormente com a chave pública de B. Para
decodificar a mensagem B usa primeiro sua chave
privada e depois a chave pública de A. Agora B
pode ter


62
SSL/TLS



certeza de que A é realmente quem diz ser, pois
ninguém mais poderia criptografar a mensagem
usando a chave privada de A. Isso é desenvolvido
pelo SSL com o uso de certificados.
63
SSL/TLS



Privacidade Digamos que uma mensagem é
transmitida de A para B. Neste caso A usa a chave
pública de B para criptografar a mensagem,
tornando B a única pessoa que pode decodificar a
mensagem, usando a sua chave privada.
64
SSL/TLS
Integridade a integridade é garantida pelo uso
do MAC (Message Authentication Code) com as
necessárias funções da tabela hash. Na geração de
uma mensagem, o MAC é obtido por aplicação das
funções da tabela hash e é codificado junto com a
mensagem. Após a mensagem ser recebida sua
validade pode ser checada comparando-se o MAC com
o resultado obtido pelas funções hash. Isto
previne mensagens alteradas por terceiros durante
a transmissão.



65
SSL/TLS



Não repudiação Um sistema totalmente seguro deve
ser capaz de detectar impostores ou, ainda
melhor, se prevenir contra a duplicação das
chaves.
66
SSL/TLS



67
SET

O protocolo de transações eletrônicas seguras é
um protocolo especificamente projetado para
transações seguras com cartões de pagamento pela
Internet. Ele foi originalmente desenvolvido pela
Visa International e MasterCard International em
fevereiro de 1996 com a participação de empresas
de tecnololgia expoentes de todo o mundo. O
protocolo SET LLC, comumente conhecido como
SETCo, foi estabelecido em dezembro de 1997 como
entidade legal para administrar e promover a
adoção do protocolo SET.

68
SET

Características Criptografar tipos específicos
de mensagens relacionadas com cartões de
pagamento Envolve três participantes do ato de
uma compra o cliente, o comerciante e o banco do
comerciante.Todas as informações são
criptografadas. Requer que os três participantes
tenham certificados.

69
SET

Em uma transação SET, o número do cartão de
pagamento do cliente é passado ao banco do
comerciante sem que ele nunca veja esse número em
texto aberto. Uma transação de SET usa três
componentes de software Carteira do browser
Ela responde a mensagens SET do comerciante,
solicitando ao cliente que escolha um cartão de
pagamento para o pagamento da compra.

70
SET

Servidor do comerciante O servidor do
comerciante é o mecanismo da comercialização e do
fechamento de pedidos de compra para os c
comerciantes que vendem pela WEB. Processa as
transações do portador do cartão e se comunica
com o banco do comerciante para aprovação e
subseqüente captura do pagamento. Gateway do
adquirente O gateway do adquirente é o
comprovante do software no banco do comerciante.
Ele processa a transação do cartão de pagamento
do comerciante referente à aprovação e ao
pagamento.

71
OpenCa


Seu objetivo é montar uma completa interface para
o gerenciamento de toda a arquitetura para
operações comuns na emissão de certificados
digitais, ou seja, elaborar uma CA usando
software livre em um sistema operacional livre
como os sistemas GNU/Linux.
72
IPSEC

É um padrão de protocolos criptográficos
desenvolvidos para o IPv6. Realiza também o
tunelamento de IP sobre IP. É composto de três
mecanismos criptográficos Authentication Header
(define a função hashing para assinatura
digital), Encapsulation Security Payload (define
o algoritmo simétrico para ciframento) e ISAKMP
(define o algoritmo assimétrico para gerência e
troca de chaves de criptografia). Criptografia e
tunelamento são independentes. Permite Virtual
Private Network fim-a-fim.

73

Certificação e o Direito

74
Certificação e o Direito


A MP 2.200-2 assegura que as declarações
constantes dos documentos em forma eletrônica,
produzidos com a utilização de processo de
certificação, presumem-se verdadeiros em relação
aos signatários, da mesma forma que o Código
Civil (art. 10 1º da MP 2.200-2 e art. 131 do
CC), inovando e preenchendo a lacuna legislativa
existente. Todavia, acrescente-se que o tema
trará, sem sombra de dúvida, inúmeras questões,
naturais quando se trata de


75
Certificação e o Direito


tecnologia, ciência em evolução permanente e que
exige do direito o constante aperfeiçoamento.


76




Conclusão
77


Os certificados digitais, provenientes da
criptografia de chaves públicas, têm um papel
importante em um ambiente coorporativo ao
facilitar, principalmente, a autenticação entre
usuários de organizações diferentes, de modo mais
seguro que o tradicional, Isso faz com que uma
infra-estrutura de chave pública (PKI) seja
importante de ser considerada. Outro benefício de
uma PKI é que ela oferece, por meio dos
certificados digitais, uma plataforma única de
autenticação e assinatura digital.


78




Fim