Link para Download do slide do Trabalho de FSI.
sexta-feira, 10 de dezembro de 2010
Videos Relacionados
Video da CERTSIGN que mostra os componentes de um certificado digital,assim como suas vantagens.
Outro video da CERTSIGN indicando os meios de comprar um certificado digital
Certificados Digitais - Responsabilidades
A certificação digital traz diversas facilidades, porém seu uso não torna as transações realizadas isenta de responsabilidades. Ao mesmo tempo que o uso da chave privada autentica uma transação ou um documento, ela confere o atributo de não-repúdio à operação, ou seja, o usuário não pode negar posteriormente a realização daquela transação. Por isto, é importante que o usuário tenha condições de proteger de forma
adequada a sua chave privada.
adequada a sua chave privada.
Existem dispositivos que incrementam a proteção das chaves, como os cartões inteligentes (smart cards). Eles se assemelham – em formato e tamanho – a um cartão de crédito convencional. Os smart cards são um tipo de hardware criptográfico dotado de um microprocessador com memória capaz de armazenar e processar diversos tipos de informações.
Com eles é possível gerar as chaves e mantê-las dentro de um ambiente seguro, uma vez que as operações criptográficas podem ser realizadas dentro do próprio dispositivo.
Alguns usuários preferem manter suas chaves privadas no próprio computador. Neste caso, são necessárias algumas medidas preventivas para minimizar a possibilidade de se comprometer a sua chave privada:
- caso o software de geração do par de chaves ofereça a opção de proteção do acesso à chave privada através de senha, essa opção deve ser ativada, pois assim há a garantia de que, na ocorrência do furto da chave privada, a mesma esteja cifrada;
- não compartilhar com ninguém a senha de acesso à chave privada;
- não utilizar como senha dados pessoais, palavras que existam em dicionários ou somente números, pois são senhas facilmente descobertas. Procurar uma senha longa, com caracteres mistos, maiúsculos e minúsculos, números e pontuação;
- em ambiente acessível a várias pessoas, como em um escritório, usar produtos de controle de acesso ou recursos de proteção ao sistema operacional, como uma senha de sistema ou protetor de tela protegido por senha;
- manter atualizado o sistema operacional e os aplicativos, pois versões mais recentes contêm correções que levam em consideração as vulnerabilidades mais atuais;
- não instalar o certificado com a chave privada em computadores de uso público.
Em caso de suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.
Validade dos Certificados Digitais
O certificado digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.
O certificado digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.
A AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.
Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica?
Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.
O usuário pode solicitar a renovação do certificado para a AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.
Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
Existem três tipos de certificados digitais quanto a sua validação, são eles o A1, o A2 e o A3, sendo que o A2 não pode ser encontrado no Brasil. O certificado A1 tem validade de um ano, e o A3 tem validade de três anos.
O certificado digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.
A AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.
Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica?
Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.
O usuário pode solicitar a renovação do certificado para a AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.
Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
Existem três tipos de certificados digitais quanto a sua validação, são eles o A1, o A2 e o A3, sendo que o A2 não pode ser encontrado no Brasil. O certificado A1 tem validade de um ano, e o A3 tem validade de três anos.
quarta-feira, 1 de dezembro de 2010
Aplicações com Certificado Digital
Existe várias aplicações com uso de Certificado Digital, na verdade com apenas algumas variações, em grosso modo substitui a forma de autenticar uma identidade, que antes era por intermédio de assinatura, celos, papel ou outro processo de marcar graficamente.Mas identifico a forma mais usada atualmente é com relação a desmaterialização dos processos burocráticos nos órgão públicos. Essa atinge mais da metade de todas as empresas ativas do Brasil que segundo o IBGE em 2008 eram mais de 100 milhões.
Em 2005 a Caixa Econômica Federal, obrigou as empresas a tirarem o certificado para poderem assinar o envio da SEFIP, todos os empresários donos de empresa tiveram que comparecer as agências para realizar esse processo.
Atualmente o Poder Legislativo, verificando a confiabilidade da Certificação Digital, está migrando o processo de autenticação para Certificação Digital.
Na Receita Federal se verifica que está completamente adaptado ao uso de Certificação Digital, onde podemos fazer até mesmo procurações eletrônicas, onde se dá poder de um Certificado a outro. Nesse órgão me lembro, para tirar uma Certidão de Dívida Ativa da União, tínhamos que comparecer a o prédio da Receita, solicitar a certidão, esperar 5 dias úteis, esperar a certidão tramitar para ao final recebê-la. Hoje apenas alguns cliques no site da receita, pronto sai uma certidão onde no rodapé existe um selo (sequência numérica) que poderá ser autenticada por qualquer posteriormente, muito simples e menos custo de operação.
Autoridades Certificadoras
A primeira autoridade certificadora do Brasil é ICP-Brasil, estando no nível mais alto na hierarquia das autoridades certificadoras. Algumas de suas competências são emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu.
No nível abaixo encontramos entidades e ou órgão como SERPRO que foi a primeira autoridade de segundo nível no Brasil, a Caixa Econômica sendo a única instituição financeira com permissão para atuar como autoridade certificadora, a SERASA que vê a certificação como meio de negócio, a Receita Federal que disponibiliza uma grande quantidade de serviços na WEB incluindo atendimentos a contribuintes, a CERTSIGN com desenvolvimento de tecnologias para certificação digital, Impressa Oficial de São Paulo dando suporte aos três poderes estaduais, AC-JUS dando suporte a esfera do Judiciário brasileiro, ACPR uma autoridade da própria presidência da república e Casa da Moeda sendo a mais nova autoridade certificadora de segunda ordem, uma das instituições mais antigas do pais, conhecida por fazer documentos de segurança agora entra na era digital.
Sendo estas acima a autoridades que compõe a estrutura das autoridades certificadora do Brasil.
Assinar:
Comentários (Atom)