Múltiplas ICPs - O futuro da documentação digital 15/02/2004JHP Consultoria1 Documento Digital...

15/02/2004 JHP Consultoria 1

Múltiplas ICP’s - O futuro da documentação digital

Documento DigitalICP

Múltiplas ICP’s



Arquivo de documentos legais digitalizados Foto, Vídeo, R-X, Som como Documentos Digitais Transmissão de documentos de curso legal Consultas confidenciais a cadastros Certificação de Equipamentos e Programas Correio Eletrônico Seguro Transações Bancárias sem repúdio Compras pela Internet sem repúdio A ICP – Infra-estrutura de Chaves Públicas A ICP – Brasil e Múltiplas ICP’s

Do que vamos falar ...



Agenda Admirável Mundo Novo da WWW Documento Digital Cadeia de Confiança – CD > AC > AC Raiz Certificado Digital AC – Autoridade Certificadora AC Raiz da ICP – Infraestrutura de Chaves Públicas ICP – Brasil – MP 2.200-2 de 24/08/2001 Digitalização de Documentos em papel – cópia Impressão de Documentos Digitais – cópia Múltiplas ICP’s – o futuro da documentação digital



WWW ???

World Wide WebRede Mundial de Computadores



..... o que não se deseja na WWW“Na Internet ninguém sabe que você é um cachorro ....”(NYT)



Quem é o autor do documento ? IDENTIDADE !

Documento foi alterado ? INTEGRIDADE !

Alguém leu o documento ? SIGILO !

Documento foi renegado ? NÃO REPÚDIO !

A solução está no uso de tecnologia de criptografia de chaves públicas, em uma

ICP - Infra-estrutura de Chaves Públicas

PARA ESTAS DÚVIDAS O QUE SE DESEJA

Documento tem curso legal ? ICP - Brasil !



Porque usar a criptografia ?Para OCULTAR INFORMAÇÕES,

impedindo a ação mal intencionada:

- criptografia é a escrita em código

- transformando um texto em algo secreto

- tem origem nas guerras desde Júlio CésarEXEMPLO: DESLOCAMENTO DE 3 LETRAS

A= D D = G G = J

B = E E = H H = K ....

C = F F = I I = L



Criptografia - exemplo

ALO

BRASILIA

ALO

BRASILIA

Codificação

Cifração

Decodificação

Decifração

DOR

EUDVLOLD

ALGORÍTMO: DESLOCAMENTO DE 3 LETRAS

A= D D = G G = J

B = E E = H H = K ....

C = F F = I I = L



Criptografia simétrica

-Mesma chave é utilizada para codificar e decodificar

Uma chave para cada relacionamento

(ex: um CD com 200 pacientes precisaria de 200 chaves)

- Algoritmo utilizado não é mais secreto

- Chave utilizada é secreta

- mais rápida-EXEMPLO: DES



Criptografia simétrica- Mesma chave é utilizada para codificar e decodificar

Remetente codifica arquivo com a chave

Destinatário decodifica o arquivo com a mesma chave

ASSINATURA e/ou SIGILO



Vantagem – um par de chaves por usuário

Criptografia assimétrica

O que uma chave codifica só a outra decodifica

Par de chaves: uma secreta (privada) e outra pública

Chaves usam números primos gigantes, de 240 casas e usam funções irreversíveis de aritmética modular

Desvantagens – mais complexo e lento

EXEMPLO: RSA (Rivest, Shamir e Adlemand)

Fonte: Livro dos Códigos – Simon Singh – Record 2001



por outro lado a decodificação de função irreversível, baseada em aritmética modular, só pode ser realizada na base da tentativa e erro, em tabelas enormes,

PORQUE CHAVE PÚBLICA É ARITMÉTICA !!!

e mais, usando números primos gigantes, a decodificação pode levar alguns milhares ou milhões de anos, mesmo com computadores muito rápidos.

Porque a criptografia assimétrica é segura?

Primeiro, não existe fatoração, ou divisões sucessivas, para os números primos,



Esta tela, uma foto, um Raio-X, um vídeo, um som, uma palestra, um texto, uma planilha, etc, que seja DIGITAL é um conjunto de elementos

onde cada um está codificado em números na base dois, ou seja, dígitos binários, 0 e 1,

Explicando:

portanto processáveis por aritmética, conjunto a que podemos dar o nome de

ARQUIVO DIGITAL



Obtendo a INTEGRIDADE (Resumo de Mensagem )

O arquivo digital compõe-se de números binários e o resumo digital dele (HASH) é um cálculo simples destes números.

O arquivo digital resultante do cálculo tem tamanho pequeno e fixo;

É seguro pois não permite a operação reversa, ou seja, dado o valor HASH não é possível obter o arquivo.

É seguro pois não existem dois conteúdos para um mesmo valor de HASH .



Remetentecalcula resumo do arquivotransmite o arquivo e o seu resumo

Destinatáriorecebe o arquivo e o seu resumocalcula novo resumo do arquivoDestinatáriocompara os dois resumos do arquivo

Se forem iguais o arquivo está íntegro

Verificando a INTEGRIDADE




Remetentecodifica (assina) o resumo (HASH) do arquivo

com sua chave privadaDestinatário decodifica (verifica) o resumo (HASH) do arquivo

com a chave pública do remetente

Criptografia assimétrica

Obtendo a AUTORIA (assinatura)




Remetentecodifica (cifra) arquivo com chave pública do destinatário

Destinatário (somente ele)decodifica (decifra) o arquivo com sua chave privada

Criptografia assimétricaObtendo o SIGILO



O que é o Documento Digital ?

O Documento Digital é composto de:

do conteúdo do arquivoe do resumo digital (HASH) deste,assinado (ou seja, cifrado)com a CHAVE PRIVADA DO AUTOR.



Cópia Digital de um DocumentoDa digitalização de uma foto ou texto ou chapa de Raio X ou qualquer documento, obtemos um arquivo digital com a cópia digitalizada daquele documento.

Este arquivo será um documento digital sealem do seu conteúdo,

contiver o resumo digital (HASH) deste,assinado com a CHAVE PRIVADA DO AUTOR.

Para ter curso legal deverá ser autenticado digitalmente por alguém de fé pública, ou seja, um tabelião ou o funcionário público a que for apresentado.



Documento Digital OriginalQualquer arquivo digital, uma foto, um texto, um RaioX, ou qualquer outro, será um documento digital original se

alem do seu conteúdo,contiver o resumo digital (HASH) deste,

assinado com a CHAVE PRIVADA DO AUTOR.

Para ter curso legal deverá estar assinado por uma Chave Privada contida em Certificado Digital emitido por Autoridade Certificadora credenciada pela ICP Brasil ou de AC reconhecida por quem receber o documento.



Documento Digital é IndivisívelQualquer documento digital original ou cópia tem

o seu HASH correspondente assinado pela CHAVE PRIVADA do AUTOR.

Assim, se considerarmos como documento um conjunto de fotos ou de textos ou de chapas de Raio-x, uma parte deste conjunto, que vier a ser utilizada individualmente deverá ser novamente assinada pelo autor.

Isto porque ao retirar-se esta parte, a assinatura existente (HASH) considera o conjunto todo e não a parte ou o que restou do conjunto sem aquela parte.



A Guarda da Documentação Digital,

exige do autor ou usuário um planejamento cuidadoso, face à indivisibilidade do documento digital de forma confiável para que ele não perca suas informações no futuro ou que elas sejam objeto de contestação.

Por exemplo, os cheques processados por um banco são guardados e assinados individualmente, assim como as transferências eletrônicas pela Internet.



Quebra da Integridade do Documento Notas Fiscais de Saída podem ser guardadas em

bloco a partir da via fixa e fotos e chapas de Raio-X de um mesmo tratamento podem ser arquivadas em conjunto, mas tratamentos distintos de um mesmo paciente devem ser arquivadas em separado.

Ao retirar-se uma parte de um conjunto digital, a assinatura existente (HASH) considera o conjunto todo e não a parte ou o que restou do conjunto sem aquela parte e assim a verificação da assinatura acusará o arquivo como não confiável, pela QUEBRA DA SUA INTEGRIDADE.



Certificado Digital, o que é ? É um arquivo digital que contém as informações

necessárias à identificação de um indivíduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pública;

Através do uso de Certificados Digitais podemos saber se uma chave pública pertence realmente a uma determinada pessoa ou organização

Usualmente está disponível em uma base de acesso livre na Internet (diretório X.500).



Correio Eletrônico seguro Transações Bancárias sem repúdio Compras pela Internet sem repúdio Consultas confidenciais a cadastros Arquivo de documentos legais digitalizados Transmissão de documentos de curso legal Contratos digitais de curso legal Certificação de Equipamentos Certificação de Programas de Computador Certificação de vídeo, som e comandos digitais

Certificado, para que serve ?



Certificado Digital é confiável ? Para se garantir que um certificado não seja

falso é necessário que ele seja emitido por uma Autoridade Certificadora (AC), entidade reconhecida pelos seus elevados padrões de segurança, cujos certificados são considerados confiáveis no contexto de sua utilização;

Para tanto o certificado contém a assinatura digital da AC emissora.



Armazenamento do Certificado No Navegador Internet de sua preferência Em disquete No HD do seu Microcomputador Em disquete protegido por SW criptográfico, Em CD ROM, protegido por SW criptográfico Em SMART CARD, com processador Em TOKEN, com processador

(EM ORDEM CRESCENTE DE SEGURANÇA)



Autoridade Certificadora (AC) o que é ? Uma AC é quem recebe solicitações de certificados, as

autentica, emite os certificados solicitados, informa se os certificados estão revogados ou não.

Estabelece regras de emissão e manutenção de seus certificados, que definem o seu método de trabalho e o grau de confiança de seus certificados.

Pode emitir diversos tipos de certificados, uns mais complexos e mais seguros que outros, mais simples.

Suas regras de funcionamento estão registradas no documento Declaração de Práticas de Certificação, DPC.

Cada Certificado tem suas características definidas no documento Política de Certificado – PC, usualmente disponíveis na página da AC na Internet.



ICP – Infra-estrutura de Chaves Públicas Regras de Credenciamento Regras de Auditoria Autoridades Certificadoras (AC’s) Políticas de Segurança (PS’s) Declaração de Práticas de Certificação (DPC’s) Políticas de Certificados (PC’s) Listas de Certificados Revogados (LCR’s) Autoridades de Registro (AR’s) Autoridades de Registro Local (ARL) Repositórios de chaves, certificados, LCR’s



A Cadeia de Confiança da Certificação

“Em geral, uma entidade CONFIA numa segunda entidade quando a primeira entidade assume que a segunda entidade se comporta exatamente como a primeira entidade espera”.

O COMPORTAMENTO de uma AC é definido nos seus documentos de Política de Segurança - PS, Declaração de Prática de Certificação – DPC e nas Políticas de cada Certificado - PC

A AUDITORIA é necessária exatamente para avaliar se o que está escrito existe, se os procedimentos são realizados e se os sistemas funcionam conforme previsto.



A Cadeia de Confiança do Certificado

ACAC AC

AC AC

AC Raiz da ICP

......................................................................................

...........................

Tipos de Cert.

A1,A2,A3

S1,S2,S3 Certificados Certificados

CertificadosCertificados



Credenciamento de uma AC

Elaboração da PS – Política de Segurança Elaboração da DPC – Declaração de

Práticas de Certificação Elaboração das PC’s - Políticas de

Certificados Submissão e aprovação pela Auditoria da

AC Raiz da ICP Definição das Autoridades de Registro

(AR’s)



ICP Brasil

Criada pela MP 2.200-2 de 24/08/2001, mantida pelo Art. 2º da Emenda Constitucional 32 de 16/09/2001

A MP estabelece no artigo 10 parágrafo primeiro a presunção legal para os documentos digitais assinados por Certificados Digitais emitidos por AC credenciada pela AC Raiz da ICP Brasil

Documentação : na AC Raiz, o ITI, no site www.iti.gov.br



ICP Brasil – Estrutura Atual

AC SRFAC

CertSign

AC

SERPRO

AC

SERASA

AC

CaiXa

AC

CertSignSRF

AC

SerproSRF

AC Raiz



ICP Brasil – Alguns fatos e-Gov PR – desde Janeiro de 2002 SPB – Sistema de Pagamentos Brasileiro, desde 22 de abril de

2002, R$1,5 Trilhão até hoje DOU – Diário Oficial da União, dez/2002 Receita 222 – IN 222 – Cria o e-CPF e o e-CNPJ e permite

consulta aos dados fiscais do contribuinte Tabelionatos – desde abril de 2002 Acórdão TST AIRO 76.787/2003-900-2-00-4, não conhecendo

de agravo de instrumento enviado por e-mail sem certificação da ICP Brasil, www.tst.gov.br

Lei Estadual de Pernambuco, determinando a remessa de documentos fiscais assinados por Certificados ICP Brasil, a partir de Julho de 2003



Múltiplas ICP’s - Regras

Regras Técnicas:

protocolos, formatos, interoperação, etc ...

Regras de Relacionamento e Auditoria:

aderência de PS’s, DPC’s e PC’s, parciais ou não

Regras para o Curso Legal dos documentos

aderência entre si da Legislação em cada domínio



Múltiplas ICP’s - Sugestões

Certificação Cruzada

AC Ponte (Bridge CA)

Reconhecimento Cruzado

CTL – Lista de Certificados Confiáveis

Certificado Legalmente Aceito

Hierarquia Absoluta

Validação Delegada a Terceiro



Certificação Cruzada de Múltiplas ICP’s

AC

AC Raiz da ICP 1

......................

CertificadosCertificados

AC AC AC

Certificados Certificados

......................

AC Raiz da ICP n

Uma AC assina o Certificado de outra AC (unilateral) e vice versa (mútua)



AC Ponte para Múltiplas ICP’s

AC Raiz

ICP 1

AC Ponte (Bridge CA)

................................ ASSINA .................................

AC Raiz

ICP 3

AC Raiz

ICP n

Uma AC Raiz aceita pelas outras AC Raiz

assina o Certificado de cada AC Raiz

AC Raiz

ICP 4

AC Raiz

ICP 2

..........



Reconhecimento Cruzado

AC Raiz

ICP 1

TERCEIRO CONFIÁVEL LICENCIA ou AUDITA

AC Raiz

ICP 3

“Uma AC Raiz é aceita como confiável pelas outras AC Raiz se a primeira tiver sido licenciada

ou auditada por uma terceira parte confiável”

AC Raiz

ICP 4

AC Raiz

ICP 2

AC Raiz

ICP n

..........



CTL – LISTA DE CERTIFICADOS CONFIÁVEIS

Ch.Púb.

AC Raiz

ICP 1

TERCEIRO CONFIÁVEL DISTRIBUI LISTA

Ch.Púb.

AC Raiz

ICP 3

“Trata-se de uma estrutura de dados (PKCS#7) assinada digitalmente por terceira parte confiável, que contem uma lista de HASH da Chave Pública

das Autoridades Certificadoras Confiáveis, os identificadores das políticas praticadas por elas e

permite o uso de extensões”

Ch.Púb.

AC Raiz

ICP 4

Ch.Púb.

AC Raiz

ICP 2

Ch.Púb.

AC Raiz

ICP n

..........



CERTIFICADOS LEGALMENTE ACEITOS

Ch.Púb.

AC Raiz

ICP 1

ENTIDADE CREDENCIADORA LEGAL ASSINA

Ch.Púb.

AC Raiz

ICP 3

“Entidade do Governo credenciada para tal, conforme a legislação do País, assina a Chave

Pública de uma Autoridade Certificadora, sem obediência a PS, DPC ou PC padronizadas e esta

pode ter a sua chave pública auto-assinada.”

Ch.Púb.

AC Raiz

ICP 4

Ch.Púb.

AC Raiz

ICP 2

Ch.Púb.

AC Raiz

ICP n

..........



Hierarquia Estrita

AC

Certificados

AC...........................

AC

Certificados

AC

Certificados

AC

Certificados

AC Raiz da ICP......................................................................................

“A AC Raiz única comum é quem assina e emana a CONFIANÇA para toda a cadeia de AC’s a ela

subordinadas em dois níveis, e nenhuma delas pode auto assinar sua chave pública.”



Validação Delegada a Terceiro

Ch.Púb.

AC Raiz

ICP 1

TERCEIRO CONFIÁVEL RESPONDE CONSULTA

Ch.Púb.

AC Raiz

ICP 3

“As decisões de CONFIANÇA, tipo - Devo confiar neste Certificado? - são tomadas pelo cliente mediante a consulta a um servidor de uma

terceira parte confiável, mediante processos e protocolos de comunicação segura padronizados”

Ch.Púb.

AC Raiz

ICP 4

Ch.Púb.

AC Raiz

ICP 2

Ch.Púb.

AC Raiz

ICP n

..........



[email protected]

(61) 9986 9305



Segunda ParteDetalhamento Técnico

[email protected]

(61) 9986 9305



2 – Quem quiser usa este número N para criptografar a MENSAGEM DIGITAL M em C, que vai enviar para o Destinatário, usando a função exponencial modular, C = M ** e (mod N), aritmeticamente irreversível Detalhes

1 – O Destinatário transmite para o mundo inteiro a sua chave pública, ou seja, dois números e e N, este o resultado da multiplicação de dois números primos gigantes, que só ele sabe quais são: p x q = N Detalhes

3 - Destinatário recebe a mensagem e como só ele sabe os dois números p e q que foram usados para gerar N, só ele consegue decifrar a mensagem recebida Detalhes

Repassando: criptografia assimétrica



- O que uma chave codifica só a outra decodifica- Par de chaves: uma secreta (privada) e outra pública- Chaves baseadas em números primos muito grandes, 240 casas- Vantagem – um par de chaves para cada usuário- Desvantagens – mais complexo e lento

EXEMPLO: RSA

Repassando: criptografia assimétrica

- Remetente codifica mensagem com chave pública do destinatário

- Destinatário decodifica mensagem com sua chave privada

- Remetente codifica mensagem com sua chave privada- Destinatário decodifica a mensagem

com a chave publica do remetente

ASSINATURA

SIGILO



Como funciona? Assinatura Digital

2 – Remetente codifica o resumo digital (HASH) da mensagem com sua chave privada, assinando-a então

ASSINATURA DO DOCUMENTO1 – Remetente obtém resumo digital (HASH) da mensagem

3 – Remetente envia a mensagem e o resumo assinado, ou seja, o DOCUMENTO DIGITAL, para o destinatário



Como funciona? Verificando assinatura

4 - Destinatário decodifica o resumo da mensagem recebido com a chave publica do remetente, verificando assim a assinatura documento5 - Destinatário calcula novo resumo digital da mensagem6 - Destinatário compara os dois resumos da mensagem, aquele recebido e o novo calculado

7 - Se forem iguais a mensagem está íntegra

VERIFICAÇÃO DA ASSINATURA E INTEGRIDADE



Como funciona? Criando Sigilo Digital

3 - Remetente codifica o resumo digital (HASH) da mensagem com sua chave privada, assinando-a então

CIFRANDO E ASSINANDO O DOCUMENTO

2 - Remetente obtém resumo digital da mensagem

4 - Remetente codifica a chave simétrica usada acima com a chave pública do destinatário

1 - Remetente codifica a mensagem usando uma chave simétrica

5 - Remetente envia a mensagem codificada, o seu resumo digital e a chave simétrica codificada, ou seja, o DOCUMENTO DIGITAL CONFIDENCIAL,

para o destinatário


Múltiplas ICP’s - O futuro da documentação digitalComo funciona? Abrindo Sigilo Digital

DECIFRANDO, VERIFICANDO ASSINATURA E INTEGRIDADE DO DOCUMENTO

8 - Destinatário decodifica o resumo da mensagem recebido do remetente com a chave publica do remetente, verificando assim a assinatura do documento

9 - Destinatário calcula novo resumo digital da mensagem

10 - Destinatário compara os dois resumos da mensagem, aquele recebido e o novo calculado

11 - Se forem iguais a mensagem está íntegra

6 - Destinatário decodifica a chave simétrica codificada recebida do remetente com a sua chave privada7 - Destinatário decodifica a mensagem codificada recebida do remetente com a chave simétrica decodificada acima



[email protected]

(61) 9986 9305



Terceira ParteDetalhamento Aritmético

[email protected]

(61) 9986 9305



1 – O remetente transmite para o mundo inteiro a sua

chave pública, ou seja, dois números e e N, este N o resultado da multiplicação de dois números primos

gigantes, que só ele sabe quais são: p x q = N

Por exemplo:

e = 7 (escolhido aleatoriamente)

p = 17, q = 11

Então, N = 187 VOLTAR

Explicando: criptografia assimétrica



2 – Quem quiser usa este número N para criptografar a

MENSAGEM DIGITAL M, dando o nome de C, que vai enviar para o Destinatário, usando a

função exponencial modular, C = M ** e (mod N), aritmeticamente irreversível


Usa, por exemplo, a letra X (“kiss”) equivalente ao número binário “0101 1000”, ou o decimal “88”, ou seja, M = 88

Cifra a mensagem usando C = 88 ** 7 (mod 187), que

é C = 894.432 (mod 187), ou C = 11 (mod 187), C = ao RESTO de 894.432 / 187. VOLTAR



3 - Destinatário recebe a mensagem


como só ele sabe os dois números p e q que foram usados para gerar N, só ele consegue calcular um

número d, a chave de decifragem, conhecida como CHAVE PARTICULAR, calculada como

d = 1 (mod (p-1) x (q-1) ) / e,

d = 1 (mod 160) / 7, d = [160/7],

ou seja d = 23 VOLTAR


Múltiplas ICP’s - O futuro da documentação digitalExplicando: criptografia assimétrica

3 - Destinatário então decifra a mensagem na fórmula:

M = C ** d (mod N),

M = 11 ** 23 (mod 187),

M = 11 ** 16 (mod 187) x 11 ** 4 (mod 187) x 11 ** 2 (mod 187) x 11 (mod 187),

M = 154 x 55 x 121 x 11 (mod 187)

M = 88

M = X (“kiss”) VOLTAR



[email protected]

(61) 9986 9305

Múltiplas ICPs - O futuro da documentação digital 15/02/2004JHP Consultoria1 Documento Digital...

Documents

Transcript of Múltiplas ICPs - O futuro da documentação digital 15/02/2004JHP Consultoria1 Documento Digital...