Artigo PKI Tópicos Especiais em Redes de Computadores

Prévia do material em texto

�PAGE �7�
PKI – Public Key Infrastructure
.
Ariadna Lima
Jarylson Silva 
Silvana Correa **
Resumo: PKI se trata de uma estrutura tecnológica que garante a comunicação segura na rede, tornando possível identidade tanto de pessoa física quanto jurídica, no que diz respeito a transações realizadas na rede. Com o aumento dessa tecnologia e da capacidade das máquinas de computar, foi possível gerar protocolos de segurança cada vez mais seguros, alguns procedimentos que anteriormente eram realizados apenas com a presença física e hoje podemos concretizar transações, assinar contratos e até ser representado virtualmente com valor jurídico na internet. Com a ajuda da criptografia de chave assimétrica podemos garantir a identidade de todas as partes envolvidas nos processos informados anteriormente. Muitos recursos somente tiveram implantação através do desenvolvimento do PKI, como por exemplo: Assinatura Digital que é utilizada para autenticar informações, Certificado Digital sendo gerado por uma Autoridade Certificadora e tornando possíveis operações no meio virtual.
Palavras-chave: Criptografia. Assinatura Digital. Segurança. 
1 INTRODUÇÃO
Este artigo foi construído e estruturado para que o assunto de Infraestrutura de Chaves Públicas seja discutido e abordado em sua estrutura técnica e teórica.
Com a era da informação, o “dado” tornou item de valor de acordo com a sua procedência e importância para as partes envolvidas. Pensando no risco do detrimento dos dados, essa solução foi desenvolvida para que o termo segurança seja concretizado, visando suprir a necessidade onde apenas login e senha não sejam suficientes para autenticar o usuário.
2 FUNDAMENTAÇÃO TEÓRICA
Com a evolução dos serviços computacionais disponibilizados na internet, diversos mecanismos de autenticação surgiram com o intuito de aumentar a segurança e confiabilidade dos serviços. 
 É exatamente o real propósito do PKI, permitir a segurança em ambientes inseguros e prover meios para se identificar a origem das informações trocadas. Essa tecnologia utiliza por meio de mecanismos como registro de chaves com a emissão de um novo certificado para uma chave pública, revogação ou cancelamento de certificados, obtenção de chaves públicas de uma autoridade certificadora, e validação de confiança, determinando se o certificado é válido e as quais operações ele está autorizado, para promover os pontos mais importantes da segurança. É viável para atividades onde apenas senhas simples são inadequadas como método de autenticação, sendo assim necessária uma “prova” mais rigorosa para confirmar a identidade das partes envolvidas na comunicação e validação dos dados sendo trafegados. Ou seja, facilitar a segurança na transferência de informação no âmbito de atividades na rede como, por exemplo, comércio eletrônico, internet banking e e-mails confidenciais. 
Utilizando desse conceito evitamos que os dados que podem ser interceptados por crackers serão utilizados para fins maliciosos, pois se é garantido que quem está lendo os dados é apenas quem deverá ler.
No Brasil, o PKI é nomeado de ICP - Brasil e consistem em um conjunto de técnicas, arquitetura, organização, práticas e procedimentos, implantados pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação. O órgão que lidera a cadeia, criadora implementadora do ICP-Brasil é o Instituto Nacional de Tecnologia da Informação - ITI, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil.
2.1 Criptografia 
O conceito geral para criptografia é, técnica que transforma informação inteligível em algo que um agente externo seja incapaz de compreender. Funciona por códigos para que agentes maliciosos ao interceptar o seu acesso, tenha dificuldade de decifrar a informação sigilosa.
É permanentemente usada como um mecanismo de segurança para chaves públicas e privadas, objetivando mascarar seu conteúdo, impedir modificações, uso não autorizado e dar segurança à confidência e autenticação de dados.
 Uma informação pode ser codificada através de algum algoritmo de criptografia, e tendo conhecimento do algoritmo utilizado e da chave utilizada, é possível recuperar a informação original fazendo o percurso contrário da encriptação, a decriptação. Com o aumento da capacidade computacional, podemos hoje utilizar complexos esquemas criptográficos, que antes eram impraticáveis pela demora com os quais eram codificadas pequenas informações. E, além da capacidade técnica, possuímos algumas características na criptografia moderna que a faz se subdividir em dois grandes grupos: criptografia de chave simétrica e criptografia de chave assimétrica.
 Criptografia de chave simétrica usa somente uma chave, tanto para cifrar como para decifrar. Esta chave deve ser mantida secreta para garantir a confidencialidade da mensagem. Também conhecido como algoritmo de chave secreta. Porém o grande problema é informar o destinatário a chave para a decriptação de forma segura. A criptografia simétrica é bastante eficiente em conexões seguras na Internet onde processos computacionais trocam senhas temporárias para algumas transmissões críticas, geralmente é utilizada quando se navega pela Internet e visita sites dito “seguro”, onde geralmente são preenchidos dados sigilosos, onde utilizamos o SSL (Secure Sockets Layer) que funciona à base de criptografia simétrica.
 Com certificados digitais, é utilizada a criptografia de chave assimétrica, nesse tipo são usadas duas chaves ligadas matematicamente, ou seja, se uma é utilizada para criptografar uma mensagem, a outra chave deve ser utilizada para descriptografar. Uma das duas é mantida em segredo e é referenciada como chave privada. Essa chave privada pode ser representada como sendo a identidade do seu proprietário, sua privacidade é crucial. É necessário que o emissor e receptor da mensagem utilizem a mesma mensagem privada sem que ninguém descubra. A outra chave, denominada chave pública é disponível a todos. Qualquer pessoa pode enviar uma mensagem confidencial apenas utilizando chave pública, mas esta mensagem só poderá ser descriptografada com a chave-privada do destinatário.
2.2 Hash (Função de Resumo)
Trata-se de um mecanismo criptográfico criado para mascarar um valor ou informações em um arquivo, tem como função resumir as informações contidas naquele arquivo para que se possa atestar a veracidade das informações e ser mais uma ferramenta de segurança que quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo. Podendo ser utilizado em:
Verificar a integridade de um arquivo armazenado em seu computador ou em seus backups, arquivos obtidos da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado);
Gerar assinaturas digitais.
2.3 Assinaturas Digitais
A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo, e vice-versa.
2.4 Certificados Digitais
É um arquivo gerado pela Autoridade Certificadora para autenticar as operações realizadas por pessoas físicas e/ou jurídicas no meio virtual, com validade jurídica e que garante autenticidade, confidencialidade, integridade e não repúdio destas operações.
2.4.1 Autoridade Certificadora (AC)
Entidade que emite, renova ou revoga certificados digitaisde outras ACs ou de titulares finais. Além disso, emite e publica a Lista de Certificados Revogados, (LCR).
2.4.2 Autoridade de Registro (AR)
Entidade responsável pela conexão entre o solicitante e Autoridade Certificadora. Sendo esta vinculada a uma AC que irá receber, validar e encaminhar solicitações de emissão ou revogação de certificados digitais às AC e identificação, de forma presencial, de seus solicitantes. 
2.4.3 Repositório
Sistema confiável e acessível on-line, mantido por uma Autoridade Certificadora, para publicar sua Declaração de Práticas de Certificação - DPC, Políticas de Certificado - PC, Política de Segurança - PS, Lista de Certificados Revogados - LCR e endereços das instalações técnicas das AR vinculadas.
2.5 Vantagens
Existe garantia de identidade das partes envolvidas, pois temos toda uma infraestrutura que organiza e garante as identidades mediante a visita dos solicitantes dos certificados na autoridade certificadora, além disso, garante o princípio do não repúdio, um dos princípios da segurança em redes de computadores uma vez que as chaves são verificadas antes da comunicação, e temos ainda como vantagem a possibilidade de que a hierarquia de controle e distribuição seja aumentada garantindo assim, escalabilidade.
2.6 Desvantagens
Um dos pontos fracos dessa tecnologia é que seus algoritmos são um pouco lentos para que tenha toda uma estrutura confiável de segurança, por terem uma natureza matemática complexa, são computacionalmente intensivos, ou seja, exigem um desempenho superior quando se trata de computar. É necessário que os dados sejam confiáveis, para que isso seja possível é utilizada uma entidade de certificação responsável por gerenciar validar tanto os certificados quanto os solicitantes, assim como informar em uma lista quais os certificados já não são mais válidos.
3 RESULTADOS
Para o tema a aplicação pode ser exemplificada para uma empresa do ramo de projetos em eficiência energética, que viu a necessidade de se autenticar e se certificar perante a instituições financeiras para realização de pagamentos e emissão de notas fiscais eletrônicas onde um representante legal (Entidade Final) da empresa se dirige até o prédio da AR (Autoridade de Registro) e após solicitar que o certificado seja criado, atualizado ou revogado, então a solicitação será encaminhada para AC (Autoridade Certificadora), e depois que for processada e validada é enviada ao repositório, que a Entidade Final acesse e realize o download. 
Também podemos exemplificar o uso de PKI ao falar de Conectividade Social ICP, ou seja, canal eletrônico de relacionamento para troca de informações referentes ao FGTS entre a Caixa Econômica Federal, agente operador do fundo, e as empresas, escritórios de contabilidade, sindicatos, prefeituras e outros entes, deve ser acessado com certificado digital.
4 CONCLUSÃO 
De acordo com Serasa Experian (22/08/2016) acesso em 24/09/17.
“Além disso, o uso do certificado por pessoas físicas vem aumentando e deve ser ampliado nos próximos anos. O crescimento da ICP-Brasil torna-se mais perceptível quando observados os mais de 3 milhões de certificados digitais emitidos em 2015, fato que aponta a abrangência desta tecnologia.”
Concluímos que com o auxílio dessa tecnologia temos mais um mecanismo para fortalecer a segurança na rede, disponibilizando autenticidade e legalidade uma vez que esses pontos são importantes a serem respeitados. No entanto, é uma tecnologia que usa tanto do ativo humano quanto tecnológico, o que dificulta no processo de implantação, por ser matematicamente forte pode gerar gargalos na aplicação, entretanto sua estrutura física e manuseio são seus pontos fracos. Uma tecnologia que vem sendo atualizada e utilizada em larga escala no mundo todo, em breve será acessível por grande parte da parcela populacional.
REFERÊNCIAS
EXPERIAN, SERASA. ICP-Brasil completa 15 anos com evolução tecnológica e fortalecimento dos processos ago. 2016; Disponível em:
https://serasa.certificadodigital.com.br/novidades/icp-brasil-completa-15-anos-com-evolucao-tecnologica-e-fortalecimento-dos-processos/>. Acesso em:
24 agosto 2017.
TECNOLOGIA DA INFORMAÇÃO, INSTITUTO NACIONAL. Cases - Instituto Nacional de Tecnologia da Informação jul. 2017; Disponível em:
<http://www.iti.gov.br/certificado-digital/cases>. Acesso em:
13 setembro 2017.
TECNOLOGIA DA INFORMAÇÃO, INSTITUTO NACIONAL. Cases - Instituto Nacional de Tecnologia da Informação jun. 2017; Disponível em:
<http://www.iti.gov.br/glossario>. Acesso em:
28 agosto 2017.
** Profª Msc Silvana Carla Soares Correa, e-mail: silvana.correa@estacio.br