Link para Download do slide do Trabalho de FSI.
sexta-feira, 10 de dezembro de 2010
Videos Relacionados
Video da CERTSIGN que mostra os componentes de um certificado digital,assim como suas vantagens.
Outro video da CERTSIGN indicando os meios de comprar um certificado digital
Certificados Digitais - Responsabilidades
A certificação digital traz diversas facilidades, porém seu uso não torna as transações realizadas isenta de responsabilidades. Ao mesmo tempo que o uso da chave privada autentica uma transação ou um documento, ela confere o atributo de não-repúdio à operação, ou seja, o usuário não pode negar posteriormente a realização daquela transação. Por isto, é importante que o usuário tenha condições de proteger de forma
adequada a sua chave privada.
adequada a sua chave privada.
Existem dispositivos que incrementam a proteção das chaves, como os cartões inteligentes (smart cards). Eles se assemelham – em formato e tamanho – a um cartão de crédito convencional. Os smart cards são um tipo de hardware criptográfico dotado de um microprocessador com memória capaz de armazenar e processar diversos tipos de informações.
Com eles é possível gerar as chaves e mantê-las dentro de um ambiente seguro, uma vez que as operações criptográficas podem ser realizadas dentro do próprio dispositivo.
Alguns usuários preferem manter suas chaves privadas no próprio computador. Neste caso, são necessárias algumas medidas preventivas para minimizar a possibilidade de se comprometer a sua chave privada:
- caso o software de geração do par de chaves ofereça a opção de proteção do acesso à chave privada através de senha, essa opção deve ser ativada, pois assim há a garantia de que, na ocorrência do furto da chave privada, a mesma esteja cifrada;
- não compartilhar com ninguém a senha de acesso à chave privada;
- não utilizar como senha dados pessoais, palavras que existam em dicionários ou somente números, pois são senhas facilmente descobertas. Procurar uma senha longa, com caracteres mistos, maiúsculos e minúsculos, números e pontuação;
- em ambiente acessível a várias pessoas, como em um escritório, usar produtos de controle de acesso ou recursos de proteção ao sistema operacional, como uma senha de sistema ou protetor de tela protegido por senha;
- manter atualizado o sistema operacional e os aplicativos, pois versões mais recentes contêm correções que levam em consideração as vulnerabilidades mais atuais;
- não instalar o certificado com a chave privada em computadores de uso público.
Em caso de suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.
Validade dos Certificados Digitais
O certificado digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.
O certificado digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.
A AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.
Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica?
Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.
O usuário pode solicitar a renovação do certificado para a AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.
Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
Existem três tipos de certificados digitais quanto a sua validação, são eles o A1, o A2 e o A3, sendo que o A2 não pode ser encontrado no Brasil. O certificado A1 tem validade de um ano, e o A3 tem validade de três anos.
O certificado digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.
A AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.
Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica?
Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.
O usuário pode solicitar a renovação do certificado para a AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.
Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
Existem três tipos de certificados digitais quanto a sua validação, são eles o A1, o A2 e o A3, sendo que o A2 não pode ser encontrado no Brasil. O certificado A1 tem validade de um ano, e o A3 tem validade de três anos.
quarta-feira, 1 de dezembro de 2010
Aplicações com Certificado Digital
Existe várias aplicações com uso de Certificado Digital, na verdade com apenas algumas variações, em grosso modo substitui a forma de autenticar uma identidade, que antes era por intermédio de assinatura, celos, papel ou outro processo de marcar graficamente.Mas identifico a forma mais usada atualmente é com relação a desmaterialização dos processos burocráticos nos órgão públicos. Essa atinge mais da metade de todas as empresas ativas do Brasil que segundo o IBGE em 2008 eram mais de 100 milhões.
Em 2005 a Caixa Econômica Federal, obrigou as empresas a tirarem o certificado para poderem assinar o envio da SEFIP, todos os empresários donos de empresa tiveram que comparecer as agências para realizar esse processo.
Atualmente o Poder Legislativo, verificando a confiabilidade da Certificação Digital, está migrando o processo de autenticação para Certificação Digital.
Na Receita Federal se verifica que está completamente adaptado ao uso de Certificação Digital, onde podemos fazer até mesmo procurações eletrônicas, onde se dá poder de um Certificado a outro. Nesse órgão me lembro, para tirar uma Certidão de Dívida Ativa da União, tínhamos que comparecer a o prédio da Receita, solicitar a certidão, esperar 5 dias úteis, esperar a certidão tramitar para ao final recebê-la. Hoje apenas alguns cliques no site da receita, pronto sai uma certidão onde no rodapé existe um selo (sequência numérica) que poderá ser autenticada por qualquer posteriormente, muito simples e menos custo de operação.
Autoridades Certificadoras
A primeira autoridade certificadora do Brasil é ICP-Brasil, estando no nível mais alto na hierarquia das autoridades certificadoras. Algumas de suas competências são emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu.
No nível abaixo encontramos entidades e ou órgão como SERPRO que foi a primeira autoridade de segundo nível no Brasil, a Caixa Econômica sendo a única instituição financeira com permissão para atuar como autoridade certificadora, a SERASA que vê a certificação como meio de negócio, a Receita Federal que disponibiliza uma grande quantidade de serviços na WEB incluindo atendimentos a contribuintes, a CERTSIGN com desenvolvimento de tecnologias para certificação digital, Impressa Oficial de São Paulo dando suporte aos três poderes estaduais, AC-JUS dando suporte a esfera do Judiciário brasileiro, ACPR uma autoridade da própria presidência da república e Casa da Moeda sendo a mais nova autoridade certificadora de segunda ordem, uma das instituições mais antigas do pais, conhecida por fazer documentos de segurança agora entra na era digital.
Sendo estas acima a autoridades que compõe a estrutura das autoridades certificadora do Brasil.
quinta-feira, 11 de novembro de 2010
CRIPTOGRAFIA
A palavra criptografia tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, chama-se decifragem.
A cifragem e a decifragem são realizadas por programas de computador chamados de cifradores e decifradores. Um programa cifrador ou decifrador, além de receber a informação a ser cifrada ou decifrada, recebe um número chave que é utilizado para definir como o programa irá se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave. Sem o conhecimento da chave correta não é possível decifrar um dado texto cifrado. Assim, para manter uma informação secreta, basta cifrar a informação e manter em sigilo a chave.
Atualmente existem dois tipos de criptografia: a simétrica e a de chave pública. A criptografia simétrica realiza a cifragem e a decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo sigilo na transmissão e armazenamento de dados. Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados. O processo de compartilhar uma chave é conhecido como troca de chaves. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.
Os algoritmos de chave pública operam com duas chaves distintas: chave privada e chave pública. Essas chaves são geradas simultaneamente e são relacionadas entre si, o que possibilita que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida por quem gerou as chaves. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.
ALGORITMOS CRIPTOGRÁFICOS DE CHAVE PÚBLICA
Os algoritmos criptográficos de chave pública permitem garantir tanto a confidencialidade quanto a autenticidade das informações por eles protegidas.
CONFIDENCIALIDADE
O emissor que deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar a informação. Para isto é importante que o destinatário disponibilize sua chave pública, utilizando, por exemplo, diretórios públicos acessíveis pela Internet.
O sigilo é garantido, já que somente o destinatário que possui a chave privada conseguirá desfazer a operação de cifragem, ou seja, decifrar e recuperar as informações originais.
AUTENTICIDADE
No processo de autenticação, as chaves são aplicadas no sentido inverso ao da confidencialidade. O autor de um documento utiliza sua chave privada para cifrá-lo de modo a garantir a autoria em um documento ou a identificação em uma transação. Esse resultado só é obtido porque a chave privada é conhecida exclusivamente por seu proprietário.
A palavra criptografia tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, chama-se decifragem.
A cifragem e a decifragem são realizadas por programas de computador chamados de cifradores e decifradores. Um programa cifrador ou decifrador, além de receber a informação a ser cifrada ou decifrada, recebe um número chave que é utilizado para definir como o programa irá se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave. Sem o conhecimento da chave correta não é possível decifrar um dado texto cifrado. Assim, para manter uma informação secreta, basta cifrar a informação e manter em sigilo a chave.
Atualmente existem dois tipos de criptografia: a simétrica e a de chave pública. A criptografia simétrica realiza a cifragem e a decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo sigilo na transmissão e armazenamento de dados. Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados. O processo de compartilhar uma chave é conhecido como troca de chaves. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.
Os algoritmos de chave pública operam com duas chaves distintas: chave privada e chave pública. Essas chaves são geradas simultaneamente e são relacionadas entre si, o que possibilita que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida por quem gerou as chaves. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.
ALGORITMOS CRIPTOGRÁFICOS DE CHAVE PÚBLICA
Os algoritmos criptográficos de chave pública permitem garantir tanto a confidencialidade quanto a autenticidade das informações por eles protegidas.
CONFIDENCIALIDADE
O emissor que deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar a informação. Para isto é importante que o destinatário disponibilize sua chave pública, utilizando, por exemplo, diretórios públicos acessíveis pela Internet.
O sigilo é garantido, já que somente o destinatário que possui a chave privada conseguirá desfazer a operação de cifragem, ou seja, decifrar e recuperar as informações originais.
AUTENTICIDADE
No processo de autenticação, as chaves são aplicadas no sentido inverso ao da confidencialidade. O autor de um documento utiliza sua chave privada para cifrá-lo de modo a garantir a autoria em um documento ou a identificação em uma transação. Esse resultado só é obtido porque a chave privada é conhecida exclusivamente por seu proprietário.
terça-feira, 9 de novembro de 2010
Assinatura Digital
Quando queremos dar fé (dizer que aquilo que está escrito é verdade) sobre um documento qualquer, assinamos a caneta, talvez havendo necessidade de algo mais burocrático levamos esse documento a um cartório é autenticamos essa assinatura.
Não diferente é a Assinatura Digital, serve para identificar uma vontade e ou identidade daquela pessoa (Física ou Jurídica).
Para termos uma assinatura digital, precisamos obter um Certificado Digital de uma entidade constituída para tal fim, fazendo papel do cartório. No Brasil essa entidade é a ICP-Brasil (Infraestrutura de Chaves Públicas), sendo um órgão dentro do ITI (Instituto Nacional de Tecnologia da Informação).
Documentos assinados digitalmente pelos certificados válidos no Brasil tem validade legal perante a Lei.
Mais informações de como obter uma assinatura digital acesse "Certificado digital, como obter?".
Uma dica para quem já tem o certificado digital e quer usar imediatamente a Assinatura Digital. Pode usar o próprio BR-Office, digita o documento e vai no menu Arquivos->Assinatura Digital.
quarta-feira, 3 de novembro de 2010
Certificação Digital - Beneficíos
A Internet e o mundo digital nos proporcionam acesso ilimitado a qualquer tipo de informação, trazendo facilidades na comunicação entre pessoas e instituições.
Por outro lado, ela também traz algumas inseguranças. Como garantir que quem está acessando um site ou fazendo uma compra é realmente quem diz ser? Como garantir que um documento digital foi realmente gerado por uma determinada pessoa e que o mesmo não foi adulterado? O anonimato nas comunicações gera risco à segurança dos dados e informações que estão sendo acessados.
A Certificação Digital foi criada justamente para solucionar essas e outras preocupações relacionadas à segurança e proteção na Internet. Com o objetivo de combater a fraude e os crimes digitais, inclusive o pishing (roubo da identidade), os certificados garantem a identificação do autor de uma transação, mensagem, documento, e asseguram que nenhuma informação foi alterada, garantindo a sua integridade.
Hoje, cada vez mais à medida em que as aplicações e os sistemas passam a exigir documentos eletrônicos, como vem sendo aprovado diversos projetos de lei e amplamente discutido em alguns segmentos de negócios, a identificação dos usuários na web vai está ficando mais necessária e crescente na vida das pessoas e empresas.
A adoção da certificação como recurso tecnológico ainda traz como benefícios a desoneração de atividades burocráticas, o aumento de produtividade das empresas, os avanços efetivos para transações econômicas privadas ou com o governo, diminuição a drástica redução de custos operacionais e a total economia de papel com a sua eliminação.
O que é Certificado Digital?
O Certificado Digital é uma credencial que identifica uma entidade, seja ela empresa, pessoa física, máquina, aplicação ou site na web. Documento eletrônico seguro, permite ao usuário se comunicar e efetuar transações na internet de forma mais rápida, sigilosa e com validade jurídica.
O arquivo de computador gerado pelo Certificado Digital contém um conjunto de informações que garante a autenticidade de autoria na relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.
Os Certificados Digitais são compostos por um par de chaves (Chave Pública e Privativa) e a assinatura de uma terceira parte confiável - a Autoridade Certificadora – AC.
As Autoridades Certificadoras emitem, suspendem, renovam ou revogam certificados, vinculando pares de chaves criptográficas ao respectivo titular. Essas entidades devem ser supervisionadas e submeter-se à regulamentação e fiscalização de organismos técnicos.
No meio físico, para que uma credencial de identificação seja aceita em qualquer estabelecimento, a mesma deverá ser emitida por um órgão habilitado pelo governo. No meio digital ocorre o mesmo - devemos apenas aceitar Certificados Digitais que foram emitidos por Autoridades Certificadoras de confiança.
O arquivo de computador gerado pelo Certificado Digital contém um conjunto de informações que garante a autenticidade de autoria na relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.
Os Certificados Digitais são compostos por um par de chaves (Chave Pública e Privativa) e a assinatura de uma terceira parte confiável - a Autoridade Certificadora – AC.
As Autoridades Certificadoras emitem, suspendem, renovam ou revogam certificados, vinculando pares de chaves criptográficas ao respectivo titular. Essas entidades devem ser supervisionadas e submeter-se à regulamentação e fiscalização de organismos técnicos.
No meio físico, para que uma credencial de identificação seja aceita em qualquer estabelecimento, a mesma deverá ser emitida por um órgão habilitado pelo governo. No meio digital ocorre o mesmo - devemos apenas aceitar Certificados Digitais que foram emitidos por Autoridades Certificadoras de confiança.
Assinar:
Comentários (Atom)