Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Helton Molina Sapia 1 Negócios e Comércio Eletrônico Certificação Digital Prof. Helton Molina Sapia 2 Negócios e Comércio Eletrônico Acordos virtuais que envolvem responsabilidades ou direitos (ex: operações de compra e venda via internet) Assinatura de Contratos Transferência de fundos (ex: SPB) Autenticidade e Não-Repúdio (A & NR) (meio eletrônico como instrumento) Prof. Helton Molina Sapia 3 Negócios e Comércio Eletrônico ● Para garantir a Autenticidade e Não-Repúdio foi desenvolvida a Infraestrutura de Chaves Públicas – ICP (Private Key Infrastructure – PKI). ● Baseando-se no principio da terceira parte confiável, oferece mediação de credibilidade e confiança nas transações realizadas em ambiente eletrônico através de certificados digitais. ● No Brasil, foi instituída pela Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001 Prof. Helton Molina Sapia 4 Negócios e Comércio Eletrônico ● A Autoridade Certificadora Raiz da ICP-Brasil é a primeira autoridade da cadeia de certificação. É executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu. Prof. Helton Molina Sapia 5 Negócios e Comércio Eletrônico ● A AC-Raiz também está encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de serviço habilitados na ICP-Brasil. Além disso, verifica se as Autoridades Certificadoras (ACs) estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor. ● Estrutura ICP-Brasil Prof. Helton Molina Sapia 6 Negócios e Comércio Eletrônico ● Objetivo: ● Gerenciamento dos processos associados ao ciclo de vida e utilização de chaves assimétricas: – Chave privada ● Algoritmo RSA, ECDSA – Chave pública ● Algoritmo RSA, ECDSA – Certificados digitais ● Padrão X.509 ● Contem informações como: Emitido para: proprietário, Emitido por: Autoridade Certificadora, Validade de até, Uso da chave, Caminho de certificação, etc ... Prof. Helton Molina Sapia 7 Negócios e Comércio Eletrônico ● Principais componentes ● Entidades – AC - Autoridade Certificadora – AR - Autoridade Registradora – EF - Entidade Final ● Infraestrutura – RC - Repositório de Certificados Prof. Helton Molina Sapia 8 Negócios e Comércio Eletrônico Repositório de Certificados Autoridade Certificadora CERT ACRepositório de Certificados Autoridade Registradora CERT AR Entidade Final1 CERT E1 CERT E2 Entidade Final2 Internet Prof. Helton Molina Sapia 9 Negócios e Comércio Eletrônico ● AC-Autoridade Certificadora é responsável por: ● Emitir certificados ● Renovar certificados ● Revogar certificados ● Um certificado emitido por uma AC é assinado digitalmente com sua chave privada. ● O domínio lógico dentro do qual a AC emite e gerencia os certificados é conhecido como domínio de segurança. Prof. Helton Molina Sapia 10 Negócios e Comércio Eletrônico ● Uma AC pode emitir três tipos de certificados ● Certificado para entidade final – Está limitado a atender pessoas (e-mail), servidores e outras aplicações de propósito específico ● Certificado para Autoridade Certificadora – É emitido para ACs subordinadas – Quando uma AC emite o próprio certificado, este é denominado de “Certificado Raiz ou Root” ● Certificado cruzado – Processo de autenticação entre diferentes domínios de segurança Prof. Helton Molina Sapia 11 Negócios e Comércio Eletrônico ● RC – Repositório de Certificados ● Objetivo – Armazenar e disponibilizar …. ● Certificados emitidos ● CRL (Certificate Revocation List) ● Implementação através de … – LDAP (Lightweight Directory Access Protocol) – HTTP Prof. Helton Molina Sapia 12 Negócios e Comércio Eletrônico ● AR – Autoridade Registradora ● Responsabilidades da AR – Receber requisições de certificados digitais – Confirmação da identidade de entidades finais – Tornar disponível informações sobre certificados revogados ● Cadeia de certificação – Subordinada à AC ● AR não emite certificados Prof. Helton Molina Sapia 13 Negócios e Comércio Eletrônico ● Entidade Final ● Usuário de serviço ICP: – Usuário humano – Servidor – Aplicação – Organização ● Designa um usuário para os serviços ou funções do sistema PKI. Prof. Helton Molina Sapia 14 Negócios e Comércio Eletrônico ● Certificados digitais ● Antes de utilizar um certificado digital, deve ser verificado: – A assinatura do certificado – Deve estar assinado por uma AC reconhecida – Deve estar dentro do período de validade – O certificado não deve estar revogado – O certificado deve estar sendo utilizado para uma função prevista em sua política de utilização Prof. Helton Molina Sapia 15 Negócios e Comércio Eletrônico ● Deve estar disponível para qualquer usuário a política de utilização de um determinado certificado digital. ● Entre as possíveis utilizações de um certificado, destacam-se: – Autenticação de Clientes – Troca de correspondência eletrônica segura – Autenticação e comunicação segura entre empresas – Assinatura Digital Prof. Helton Molina Sapia 16 Negócios e Comércio Eletrônico ● Certificado Digital do site americanas.com. ● Politica de utilização: ● Garante a identidade de um computador remoto ● Período de validade: ● De 28/06/2010 até 29/06/2011 Prof. Helton Molina Sapia 17 Negócios e Comércio Eletrônico ● Detalhes: ● Versão ● Algoritmo de assinatura ● Emissor ● Assunto ● Chave pública ● ETC . . . Prof. Helton Molina Sapia 18 Negócios e Comércio Eletrônico ● Caminho: ● Apresenta o caminho de certificação desde a Entidade Final a a Autoridade Certificadora RAIZ, passando pela Autoridade Certificadora. Prof. Helton Molina Sapia 19 Negócios e Comércio Eletrônico ● Outros componentes ● CRL (Certification Revocation List) – Possibilita a uma entidade final verificar se o certificado foi revogado – Circunstâncias para a revogação de um certificado: ● Quando o proprietário do certificado foi removido do domínio de segurança ● Quando o proprietário do certificado reconhece que sua chave privada foi comprometida ● Quando alguma informação contida no certificado estiver incorreta ● Quando o proprietário do certificado esquece o PIN Prof. Helton Molina Sapia 20 Negócios e Comércio Eletrônico ● ARL (Authority Revocation List) – Possibilita a uma entidade verificar se o certificado de uma AC foi revogado. – Normalmente uma ARL é emitida por uma AC pertencente a um nível superior de hierarquia de confiança. – Na ARL estão presentes Certificados Digitais revogados de entidades certificadoras subordinadas. Prof. Helton Molina Sapia 21 Negócios e Comércio Eletrônico ● Criptografia de Chave Pública ou Criptografia Assimétrica – Consiste em um método de criptografia que utiliza um par de chaves: a chave privada e a chave pública. – Tudo que se criptografa com uma chave somente pode ser descriptografado com a outra chave. – Este modelo garante confidencialidade e/ou autenticidade. – A chave pública é distribuída livremente para qualquer destinatário. – A chave privada é conhecida apenas pelo seu proprietário. Prof. Helton Molina Sapia 22 Negócios e Comércio Eletrônico ● Para prover a autenticidade utiliza-se a chave privada do emissor para realizar a criptografia, de forma que é possível decifrá- la utilizando a chave públicado mesmo, garantindo assim a sua autoria. KPri E KPub E Prof. Helton Molina Sapia 23 Negócios e Comércio Eletrônico ● Para prover a confidencialidade utiliza-se a chave pública do destinatário para realizar a criptografia, de forma que somente o possuidor da chave privada conseguirá decifrá-la. KPub D KPri D Prof. Helton Molina Sapia 24 Negócios e Comércio Eletrônico ● A combinação dos dois métodos garantirá autenticidade a confidencialidade. KPri E KPub D KPri D KPub E Prof. Helton Molina Sapia 25 Negócios e Comércio Eletrônico ● Assinatura Digital – Deve garantir o mesmo que a assinatura em papel garante: ● Assinatura sem garantia da data de assinatura – Autoria da assinatura – Irretratabilidade de geração – Integridade (não pode haver rasuras) – Aceite (o autor concorda com o conteúdo do documento) – Verificação da assinatura por um terceiro ● Assinatura com garantia da data de assinatura – As garantias anteriores – Garantia que o certificado não tenha sido revogado na data da assinatura Prof. Helton Molina Sapia 26 Negócios e Comércio Eletrônico – Portanto, devem ser atendidos os seguintes requisitos : ● A assinatura deve depender da mensagem assinada ● A assinatura deve usar alguma informação secreta ao transmissor, para prevenir a falsificação e a repudiação ● Deve ser relativamente fácil produzir a assinatura digital ● Deve ser relativamente fácil verificar a assinatura digital ● Deve ser computacionalmente inviável falsificar uma mensagem assinada digitalmente: – Gerando uma nova mensagem para uma assinatura digital existente – Construindo uma assinatura digital falsa para uma determinada mensagem (ex, utilizando a assinatura de uma outra msg) ● Deve ser viável o armazenamento da mensagem assinada. Prof. Helton Molina Sapia 27 Negócios e Comércio Eletrônico – Para implementar a assinatura digital é necessário utilizar o HASH – HASH é uma sequência de bits gerada a partir de uma fonte por um algoritmo, transformando uma grande quantidade de informações em uma pequena quantidade de informações. – Espera-se que o resultado seja (quase) exclusivo. – Não pode ser possível a partir do resultado do HASH recuperar a informação original. – O processo deve garantir que se um único bit for alterado na informação original o seu HASH também será alterado. Prof. Helton Molina Sapia 28 Negócios e Comércio Eletrônico ● Assinatura Digital Direta – Envolve somente a entidade Geradora – É suposto que a assinatura esteja sendo realizada naquele instante – Verificar o Certificado Digital do emissor ● Validade ● Caminho de certificação ● Assinatura da Autoridade Certificadora ● Revogação Prof. Helton Molina Sapia 29 Negócios e Comércio Eletrônico M A Entidade A H H(M) E KPri A M A Ass A KPub A M A Ass A H D H(M) H(M) Comp Entidade B Prof. Helton Molina Sapia 30 Negócios e Comércio Eletrônico ● Emissor – Gera um código hash da mensagem – Emissor criptografa com sua chave privada o código hash da mensagem (assinatura). – Mensagem assinada é composta pela mensagem e pelo bloco de assinatura ● Receptor – O receptor produz o código hash da mensagem recebida e compara com o obtido pela decodificação da assinatura recebida utilizando a chave pública do emitente – Se os dois correspondem, a assinatura é aceita como válida Prof. Helton Molina Sapia 31 Negócios e Comércio Eletrônico Autoridade Certificadora Cert AC KPub AC KPri Ac Requisição e Emissão de Certificado Fluxo Básico (1) A entidade gera seu par de chaves assimétrica Entidade Final A KPubAKPriA G A Prof. Helton Molina Sapia 32 Negócios e Comércio Eletrônico Autoridade Certificadora(2) Gera a requisição de um certificado, informando sua identificação, sua chave pública, etc Entidade Final A (3) Assina a requisição com sua chave privada seguindo o padrão PKCS#10 (Certification Request) ID Kpub A ... M A H H(M) E KPri A M A Ass A KPub A M A Ass A Req A Certification Request Formato PKCS#10 (4) Envia o “Certification Request” para a AC Cert AC KPub AC KPri Ac Prof. Helton Molina Sapia 33 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A M A Ass A (5) Verifica Assinatura e Extrai Informações Cert AC KPub AC KPri Ac ID Kpub A ... Prof. Helton Molina Sapia 34 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A (6) Verifica a autenticidade da entidade e se é o representante autorizado Cert AC KPub AC KPri Ac ID KpubA ... Entidade - Autêntica? - Autorizada? Prof. Helton Molina Sapia 35 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A (7) AC compõe os campos do certificado no formato X.509 Cert AC KPub AC KPri Ac E M ID A Validade KPub A N. Série ID AC . . .H(M) M Ass AC (8) AC assina o certificado (M) com sua chave privada H Prof. Helton Molina Sapia 36 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A Cert AC KPub AC KPri Ac M Ass AC (9) O resultado desta operação é o certificado digital da entidade Final A Cert A Prof. Helton Molina Sapia 37 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A Cert AC KPub AC KPri Ac (11) Envia o certificado digital para a entidade Final A Cert A Cert A Cert A(10) Armazena uma cópia do certificado digital no Repositório de Certificados (RC) Prof. Helton Molina Sapia 38 Negócios e Comércio Eletrônico Autoridade Certificadora Entidade Final A KPri A KPub A Cert AC KPub AC KPri Ac (12) O certificado digital é associado ao “invólucro” do par de chaves assimétricas: ●Arquivo (formato PKCS#12) ●SmartCard ●HSM (Hardware Secure Module) Cert A Cert A Prof. Helton Molina Sapia 39 Negócios e Comércio Eletrônico – HSM: Hardware Secure Module, é um dispositivo baseado em hardware que gera, guarda e protege chaves criptográficas, além de ter a capacidade de executar operações criptográficas, como assinatura digital. Prof. Helton Molina Sapia 40 Negócios e Comércio Eletrônico ● SSL - Secure Socket Layer – O SSL foi desenvolvido pela Netscape ● Existe um padrão semelhante, padronizado pela IETF, com o nome de TLS – TLS - Transport Layer Security – Atua entre a camada de transporte e a aplicação – Serviços oferecidos ● Confidencialidade ● Autenticação do servidor, do cliente ou de ambos ● Integridade ● Proporciona comunicação segura independentemente do protocolo de aplicação Prof. Helton Molina Sapia 41 Negócios e Comércio Eletrônico ● Exemplo de utilização – Internet Banking (HTTPS) – Compras através da Internet (HTTPS) Internet Prof. Helton Molina Sapia 42 Negócios e Comércio Eletrônico ● A seguir será mostrado um exemplo simplificado do funcionamento do SSL – Neste exemplo será realizada somente autenticação do servidor – A chave de sessão utiliza algoritmos de criptografia simétricos. Prof. Helton Molina Sapia 43 Negócios e Comércio Eletrônico Versão Nro aleatório Session ID Algor.Criptogra Met.Compress. Client Hello CertS KPub S KPri S ServidorCliente (1) Cliente requisita uma conexão e disponibiliza seus parâmetros Prof. Helton Molina Sapia 44 Negócios e Comércio Eletrônico VersãoNro aleatório Session ID Algor.Criptogra Met.Compress. CertS KPub S KPri S ServidorCliente (2) Servidor aceita conexão e disponibiliza seus parâmetros, além de seu certificado CertS Prof. Helton Molina Sapia 45 Negócios e Comércio Eletrônico CertS KPub S KPri S ServidorCliente (3) Cliente gera uma chave e disponibiliza para o servidor de forma sigilosa Cliente Key Exchange G K Session E CertS D KPub S K Session Prof. Helton Molina Sapia 46 Negócios e Comércio Eletrônico CertS KPub S KPri S ServidorCliente (4) Troca de dados de maneira sigilosa utilizando os algoritmos de criptografia e de compressão negociados. K Session E CertS D K Session D E Prof. Helton Molina Sapia 47 Negócios e Comércio Eletrônico Algoritmos simétricos Algoritmos assimétricos Algoritmos de Hash criptográfico DES/TripleDES Diffie-Hellman MD4/MD5 RC4/RC5/RC6 DSA SHA1 IDEA RSA AES ● Criptografia assimétrica – O que se criptografa com a chave pública somente pode ser decifrado pela chave privada correspondente e vice versa. Prof. Helton Molina Sapia 48 Negócios e Comércio Eletrônico ● Criptografia simétrica – A chave utilizada para criptografar e a mesma utilizada para decifrar. – A chave torna-se um “segredo” que somente pode ser conhecido pelas partes interessadas. – Os algoritmos de chaves simétricas consomem menos recurso computacional que os algoritmos de chaves assimétricas, centenas ou milhares de vezes. – É mais indicado para troca de uma grande de quantidade de informações. Prof. Helton Molina Sapia 49 Negócios e Comércio Eletrônico ● Hash criptográfico – HASH é uma sequência de bits gerada a partir de uma fonte por um algoritmo, transformando uma grande quantidade de informações em uma pequena quantidade de informações. – Espera-se que o resultado seja (quase) exclusivo. – Não pode ser possível a partir do resultado do HASH recuperar a informação original. – O processo deve garantir que se um único bit for alterado na informação original o seu HASH também será alterado.
Compartilhar