Your SlideShare is downloading. ×
Certificação Digital - Aula2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Certificação Digital - Aula2

6,334
views

Published on


0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,334
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
5
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Certificação Digital Certificação Digital
  • 2. Certificação Digital
    • O que é ICP?
      • I nfra-estrutura de C haves P úblicas (ICP), é uma arquitetura que suporta a implementação e operação de um sistema de certificação digital baseado em criptografia de chaves públicas.
      • A ICP é composta por uma cadeia de autoridades certificadoras:
        • Autoridade Certificadora Raíz ( AC-Raíz );
        • Autoridades Certificadoras ( AC's );
        • Autoridades de Registro ( AR's ).
  • 3. Certificação Digital
    • Características em uma ICP?
      • Autenticação : Identificação inequívoca das partes.
        • Assinatura Digital
      • Privacidade : As informações são compreensíveis apenas pelas partes envolvidas na comunicação.
        • Criptografia Assimétrica ou de Chave Pública
      • Integridade : As informações não podem ser modificadas em trânsito na rede.
        • Funções Hash
  • 4. Certificação Digital
    • Características em uma ICP?
      • Não repúdio : A autoria não pode ser contestada.
      • Autorização : As informações são acessíveis exclusivamente para entidades credenciadas.
      • Auditoria : Todas as etapas do processo podem e devem ser auditadas.
  • 5. Certificação Digital
    • Quais as funções de cada autoridade?
      • AC-Raíz : Responsável pelo credenciamento na cadeia hierárquica, como emitir, distribuir e revogar certificados de autoridades de nível imediatamente inferior ao seu, bem como gerenciar a lista de certificados revogados (LCR), emitidos e vencidos;
  • 6. Certificação Digital
    • Quais as funções de cada autoridade?
      • AC : São as entidades credenciadas a emitir certificados digitais vinculando uma chave pública ao seu respectivo titular;
      • AR : São entidades operacionalmente vinculadas a uma determinada AC , a quem compete identificar e cadastrar usuários, encaminhar solicitações de certificados à AC e manter registros de suas operações.
  • 7. Certificação Digital
    • Criação da ICP-Brasil
      • Criada pelo governo brasileiro através de medida provisória n. 2.200-2 , de 24 de agosto de 2001 , como forma de garantir a autenticidade (validade jurídica), confidencialidade e integridade de documentos eletrônicos, bem como a realização de transações eletrônicas seguras.
      • Esta medida provisória também determinou a estrutura hierárquica da ICP-Brasil, estabelecendo as competências de cada tipo de entidade na estrutura.
  • 8. Certificação Digital
    • Estrutura hierárquica da ICP-Brasil
  • 9. Certificação Digital
    • Estrutura hierárquica da ICP-Brasil
      • Comitê Gestor: É a autoridade gestora de políticas, vinculado à casa civil da presidência da república e composto por cinco representantes da sociedade civil e um representante de cada um dos órgãos :
        • Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; Casa Civil e Gabinete de segurança institucional da presidência da república.
  • 10. Certificação Digital
    • Estrutura hierárquica da ICP-Brasil
      • AC-Raíz: É a primeira autoridade da cadeia de certificação, executora das políticas de certificados digitais e normas técnicas e operacionais aprovadas pelo comitê gestor da ICP-Brasil. Compete a AC-Raíz fiscalizar e auditar as AC's e AR's.
      • A AC-Raíz não emite certificados digitais para os usuários finais.
  • 11. Certificação Digital
    • Estrutura hierárquica da ICP-Brasil
      • AC: Entidade integrante da ICP-Brasil em nível imediatamente subsequente à AC-Raíz, responsável pela assinatura dos certificados das autoridades certificadoras habilitadas.
      • As AC's emitem certificados digitais para os usuários finais.
  • 12. Certificação Digital
    • Estrutura hierárquica da ICP-Brasil
      • AR: Entidade vinculada a uma determinada AC .
      • Uma AR tem como função identificar e cadastrar usuários na presença dos agentes registradores e efetuar as solicitações de certificados digitais à AC , bem como manter o registro de suas operações.
  • 13. Certificação Digital
    • Estrutura hierárquica
      • AC-Raíz é uma autarquia federal (ITI – Instituto Nacional de Tecnologia).
      • Utilizado em países como: Brasil, Alemanha, Coréia do Sul, Índia, Austrália, México e Japão.
    • Teia de confiança
      • Não há AC-Raíz.
      • Utilizado no PGP (Pretty Good Privacy ) , onde os usuários assinam os certificados de outros usuários de sua confiança.
  • 14. Certificação Digital
    • O que é certificado digital?
      • O certificado digital é um documento eletrônico assinado digitalmente por uma Autoridade Certificadora (AC), que contém diversos dados sobre o emissor e o seu titular.
      • A principal função do certificado digital é a de vincular uma pessoa ou uma entidade a uma chave pública. Ou seja, a chave pública de um usuário ou entidade é distribuída através do seu certificado.
  • 15. Certificação Digital
    • Quais as principais informações que constam em um certificado digital?
      • 1) Finalidades do certificado.
      • 2) Nome do titular do certificado, ou seja, para quem foi emitido.
      • 3) Nome da AC que emitiu o certificado.
      • 4) Período de validade do certificado.
      • 5) Número de série do certificado digital.
      • 6) Chave pública do titular.
      • 7) Assinatura digital da AC.
  • 16. Certificação Digital
    • Mozilla Firefox
    • 1) Usos do Certificado;
    • 2) Nome do titular do certificado, ou seja, para quem foi emitido;
    • 3) Nome da AC que emitiu o certificado;
    • Período de validade do certificado;
  • 17. Certificação Digital
    • Mozilla Firefox
    • 5) Número de série do certificado;
    • 6) Chave pública do titular;
    • 7) Assinatura digital da AC;
  • 18. Certificação Digital
    • Mozilla Firefox
    • 5) Número de série do certificado;
    • 6) Chave pública do titular;
    • 7) Assinatura digital da AC;
  • 19. Certificação Digital
    • Quais são os tipos de certificados emitidos pela ICP-Brasil?
      • São 8 (oito) os tipos inicialmente previstos de certificados digitais para usuários finais da ICP-Brasil, sendo 4 (quatro) relacionados com assinatura digital e 4 (quatro) com sigilo, conforme o descrito a seguir:
        • Certificados de Assinatura Digital: A1, A2, A3 e A4.
        • Certificados de Sigilo: S1, S2, S3 e S4.
  • 20. Certificação Digital
    • Quais são os tipos de certificados emitidos pela AC Serpro?
      • A AC Serpro emite certificados dos tipos A1 e A3, para Pessoa Física e Pessoa Jurídica. Emite ainda um certificado denominado e-Equipamento, que é do tipo A1, para utilização em equipamentos ou aplicações.
  • 21. Certificação Digital
    • Quais as características desses tipos de certificados?
      • Certificados dos tipos A1 e S1 são menos rigorosos e A4 e S4 são mais rigorosos em relação a quesitos de segurança.
      • Certificados de tipos A1, A2, A3 e A4 serão utilizados em aplicações como confirmação de identidade na Web, correio eletrônico, transações on-line, redes privadas virtuais, transações eletrônicas, informações eletrônicas, criação de chaves de sessão e assinatura de documentos eletrônicos com verificação da integridade de suas informações.
  • 22. Certificação Digital
    • Quais as características desses tipos de certificados?
      • Certificados de tipos S1, S2, S3 e S4 serão utilizados em aplicações como cifração de documentos, bases de dados, mensagens e outras informações eletrônicas, com a finalidade de garantir o seu sigilo .
  • 23. Certificação Digital
    • Qual a diferença entre os certificados do tipo A1 e A3 ?
    • CERTIFICADO A1 :
      • O par de chaves pública e privada é gerado por software pelo titular em seu computador , utilizando as bibliotecas criptográficas disponíveis através do navegador ou software específico. Quando ocorre a geração das chaves, a chave privada é armazenada no disco rígido do computador e deve obrigatoriamente ser protegida por senha de acesso .
  • 24. Certificação Digital
    • Qual a diferença entre os certificados do tipo A1 e A3 ?
    • CERTIFICADO A1 :
      • Utiliza um tamanho de chave de no mínimo 1024 bits .
      • O período de validade do certificado Tipo A1 é de 1 (um) ano , e só poderá ser instalado na mesma máquina e no mesmo navegador em que o certificado foi solicitado.
  • 25. Certificação Digital
    • Qual a diferença entre os certificados do tipo A1 e A3 ?
    • CERTIFICADO A3 :
      • Oferecem maior segurança , pois o par de chaves é gerado e armazenado em hardware específico ( cartão inteligente ou token ) e protegidos por senha.
      • A chave privada não é exportada em nenhum momento, e só é possível acessá-la através do hardware .
  • 26. Certificação Digital
    • Qual a diferença entre os certificados do tipo A1 e A3 ?
    • CERTIFICADO A3 :
      • Utiliza um tamanho de chave de no mínimo 1024 bits .
      • O período de validade do certificado Tipo A3 é de 3 (três) anos .
  • 27. Certificação Digital
    • Que aplicações utilizam certificação digital?
      • Os certificados digitais podem ser utilizados em aplicações como correio eletrônico, conexão segura (HTTPS), redes privadas virtuais (VPN), gestão eletronica de documentos (GED), confirmação de identidade na web, assinatura de documentos eletrônicos, entre outros.
  • 28. Certificação Digital
    • Que aplicações utilizam certificação digital?
  • 29. Certificação Digital
    • Os bancos possuem um certificado de servidor para autenticar-se perante o cliente.
    • O cliente ao solicitar o saldo pode utilizar o seu certificado para autenticar-se perante ao banco.
  • 30. Certificação Digital
    • Certificado de servidor : É muito utilizado pelos serviços que envolvem transações financeiras online e de comércio eletrônico, assegurando que o acesso está sendo realizado com o servidor que hospeda o sistema responsável pela prestação do serviço.
  • 31. Certificação Digital
    • Outras Aplicações no governo federal:
      • e-CPF / e-CNPJ;
      • e-CAC;
      • ProUni;
      • Siscomex;
      • Peticionamento eletrônico;
  • 32. Certificação Digital
    • e-CPF / e-CNPJ
      • São certificados digitais emitidos por Autoridade Certificadora credenciada pela ICP-Brasil e habilitada pela Autoridade Certificadora da SRF (AC-SRF), com o objetivo de certificar a autenticidade dos emissores e destinatários dos documentos e dados que trafegam em uma rede de comunicação, bem como assegurar sua privacidade e inviolabilidade.
  • 33. Certificação Digital
    • e-CPF / e-CNPJ
  • 34. Certificação Digital
    • e-CAC
      • Centro Virtual de Atendimento ao Contribuinte da Receita Federal, possibilita, mediante assinatura digital, a entrega do Imposto de Renda, consultar e regularizar a situação cadastral e fiscal dos contribuintes pessoa física e jurídica, verificar a situação na “malha fina”, emitir certidões, acompanhar a tramitação de processos fiscais, entre outros serviços, sem a necessidade de deslocar-se até um posto de atendimento da Receita.
      • O usuário deve possuir um e-CPF ou e-CNPJ.
  • 35. Certificação Digital
    • ProUni
      • Programa Universidade para Todos - que é um programa de bolsas de estudo para educação superior do Governo Federal.
      • O acesso ao Sistema do ProUni - SISPROUNI - é realizado, exclusivamente, com a utilização de certificados digitais emitidos no âmbito da Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil.
      • Possibilita o registro de assinatura digital em todos os  documentos emitidos.
  • 36. Certificação Digital
    • Siscomex
      • Sistema disponibilizado pela Receita Federal, onde os contribuintes portadores do e-CPF, e-CNPJ ou certificado digital emitido no âmbito da ICP-Brasil têm acesso aos seguintes serviços de comércio exterior: Lince-Aladi, Cadastro de Representante Legal, Trânsito Aduaneiro, Siscomex Internação Zona Franca de Manaus, Mantra, Gerencial Trânsito Aduaneiro, Siscomex Carga, CMS e Siscomex Exportação.
  • 37. Certificação Digital
    • Peticionamento eletrônico
      • É um serviço promovido pelo Tribunal Regional do Trabalho da 4ª Região que permite o envio eletrônico de petições, através da Internet, sem a necessidade da apresentação posterior dos originais.
      • A petição enviada através desse serviço, assinada digitalmente com a utilização de certificados digitais ICP-Brasil, possui validade jurídica conforme MP2200-2 de 24 de agosto de 2001 .
  • 38. Certificação Digital
    • Métodos de armazenamento de Certificados
      • O certificado digital do tipo A1 e a sua chave privada podem ser armazenados em qualquer mídia de dados como o  disco rígido (HD) do computador, disquete, CD, pen drive etc.
      • Para certificados do tipo A3 é necessário o armazenamento em dispositivos criptográficos como cartão inteligente (smart card) ou token, nos quais as operações criptográficas, como geração das chaves pública e privada,  são realizadas dentro do próprio dispositivo.
  • 39. Certificação Digital
    • Ciclo de vida de um certificado digital
      • Todo certificado digital será objeto de uma Solicitação, uma Validação após o pagamento das taxas e comprovação da documentação pelo AR, uma Emissão, o Uso durante o seu Período de Validade, uma Renovação ou uma Revogação.
  • 40. Certificação Digital
    • Solicitação
      • Acesse o site de uma Autoridade Certificadora
        • Ex: https://ccd.serpro.gov.br/serproacf/
      • Escolha o tipo de certificado A1 ou A3 e se ele será emitido para pessoa física ou jurídica.
      • Através de um formulário serão solicitadas informações pessoais e uma frase senha. Esta frase senha é muito importante, pois possibilitará ao usuário Baixar, Revogar ou Consultar o certificado solicitado.
  • 41. Certificação Digital
    • Solicitação
      • Após o preenchimento, no navegador Firefox, será solicitada a definição do tamanho da chave, cuja recomendação é de que seja 1024 bits, e no navegador Internet Explorer será solicitada a escolha do Provedor de Informações Criptográficas (CSP) adequado para o dispositivo utilizado.
      • Neste momento as chaves pública e privada são geradas, e o pedido de certificado digital é enviado para a Autoridade Certificadora juntamente com a chave pública.
  • 42. Certificação Digital
    • Solicitação
      • Na seqüência será apresentado o Termo de Titularidade, que deverá ser impresso em três vias, assinado e apresentado à AR.
      • Termo de Titularidade: Deve ser preenchido e identifica os Titulares de Certificados Digitais, que são as pessoas físicas ou jurídicas, identificadas e autorizadas por uma AR.
  • 43. Certificação Digital
    • Validação
      • O solicitante se dirige a uma das AR's indicadas pela ACSerpro, munido dos documentos exigidos para comprovação dos atributos de identificação constantes do certificado e do comprovante de depósito bancário.
      • Após verificar a solicitação e documentação, o responsável pela AR aprova a solicitação através do software da AC, disponibilizando o certificado para a instalação por seu solicitante.
  • 44. Certificação Digital
    • Emissão
      • Acesse novamente o site da Autoridade Certificadora e selecione a opção baixar certificado.
      • Informe o número da sua solicitação, para em seguida instalar o certificado em sua estação (Tipo A1), ou instalar no dispositivo criptográfico (Tipo A3).
  • 45. Certificação Digital
    • Uso durante o seu Período de Validade
      • O certificado digital possui um período de validade.
      • Só é possível assinar um documento, por exemplo, enquanto o certificado é válido.
      • É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.
  • 46. Certificação Digital
    • Renovação
      • Os titulares de certificado serão comunicados da necessidade da renovação com uma antecedência mínima de 30 dias pela Autoridade Certificadora Serpro.
      • As solicitações de renovação de certificados serão feitas pelos próprios Titulares de Certificado quando do recebimento dessa notificação, por meio eletrônico e assinado digitalmente com o uso do certificado vigente de mesmo nível de segurança.
  • 47. Certificação Digital
    • Revogação
      • O certificado poderá ser revogado a pedido do titular nos seguintes casos:
        • Houve mudança em qualquer informação contida no certificado;
        • Em caso de suspeita ou evidência de comprometimento de chaves privadas ou senhas, assim como do dispositivo criptográfico;
        • Quando não houver mais interesse na utilização do certificado;
  • 48. Certificação Digital
    • Revogação
      • O certificado poderá ser revogado pela Autoridade Certificadora nos seguintes casos:
        • Emissão imprópria ou defeituosa do certificado;
        • Encerramento das operações da AC;
        • Revogação de qualquer dos certificados da cadeia de confiança;
  • 49. Certificação Digital
    • Cuidados com o certificado digital
      • A certificação digital traz diversas facilidades, porém aumenta o nível de  responsabilidade do usuário.
      • Ao mesmo tempo em que o uso da chave privada autentica uma transação ou um documento, ela confere o atributo de não-repúdio à operação, ou seja, o usuário não poderá negar posteriormente a autoria daquela transação.
      • Assim, é extremamente importante que o usuário proteja de forma adequada a sua chave privada.
  • 50. Certificação Digital
    • Medidas de proteção do certificado
      • Sempre usar senha para certificados Tipo A1 para que os mesmos sejam criptografados no disco, pen drive...
      • Utilize senhas longas com números, caracteres especiais, letras maiúsculas e minúsculas.
      • Manter atualizado o sistema operacional.
      • Nunca instalar seus certificados com a chave privada em computadores públicos.
      • Nunca compartilhe senhas, tokens e smart cards.
  • 51. Certificação Digital
    • Medidas de proteção do certificado
      • Em caso de suspeita ou evidência do comprometimento da chave privada, a revogação deve ser solicitada o mais rapidamente a AC.
  • 52. Política de Segurança
    • O que é uma política de segurança: São regras pelas quais, é fornecido acesso aos recursos tecnológicos da empresa.
    • Objetivos:
      • Informar aos usuários, gerentes e a diretoria as suas obrigações para a proteção da tecnologia e da informação.
      • Deve permitir que sistemas computacionais e redes possam ser auditados, para que sejam adequados aos requisitos propostos.
  • 53. Política de Segurança
    • O sucesso de uma política de segurança depende de uma conscientização top-down (presidente -> diretores -> gerentes -> funcionários).
    • O uso de ferramentas de segurança sem um esboço de uma política de segurança não faz o menor sentido.
  • 54. Política de Segurança
    • Uma boa política deve:
      • 1 – Ser implantada por meio de procedimentos de administração com a publicação das regras;
      • 2 – Definir claramente as áreas de responsabilidade para os usuários, gerentes, diretores, presidentes etc.;
      • 3 – Prever sanções e punições;
      • 4 – Desativar serviços desnecessários nas estações;
      • 5 – Utilizar-se de senhas rígidas;
      • 6 – Informar e treinar os usuários;
  • 55. Política de Segurança
    • Uma boa política deve:
      • 7 – Recomendar e definir a realização de auditorias e avaliações frequentes dos processos internos e externos.
      • 8 – Definir procedimentos para backup e eliminação de toda a documentação obsoleta.
      • 9 – Definir a utilização de ferramentas de monitoração;
      • 10 – Definir métodos para análise de logs de sistemas;
      • 11 – Definir procedimentos para a investigação de anormalidades.
  • 56. Certificação Digital
    • Glossário
      • Identidade Digital: O Certificado Digital representa a “identidade” de uma pessoa no mundo virtual, permitindo a identificação segura do usuário. Qualquer pessoa que tenha um CPF válido pode solicitar às Autoridades Certificadoras uma identidade digital.
      • Titular do certificado: Os Titulares de Certificados Digitais são as pessoas físicas ou jurídicas, identificadas e autorizadas por uma AR.
  • 57. Certificação Digital
    • Glossário
      • e-CPF/e-CNPJ: É o documento eletrônico de identidade emitido por Autoridade Certificadora credenciada pela Autoridade Certificadora Raiz da ICP-Brasil – AC Raiz e habilitada pela Autoridade Certificadora da SRF (AC-SRF), que certifica a autenticidade dos emissores e destinatários dos documentos e dados que trafegam numa rede de comunicação, bem como assegura a privacidade e a inviolabilidade destes.
  • 58. Certificação Digital
    • Glossário
      • Chave de 1024 bits: O número de bits indica o tamanho da chave criptográfica e está diretamente ligado ao nível de segurança da chave.
      • Cadeia de Certificados: Lista ordenada de certificados contendo um certificado de usuário (entidade final) e um ou mais certificados de nível superior até a Autoridade Certificadora Raiz, que permite a um destinatário verificar que o remetente e todas as ACs envolvidas são confiáveis.
  • 59. Certificação Digital
    • Glossário
      • Caminho de Certificação : É o conjunto hierárquico de autoridades certificadoras intermediárias entre o certificado digital e Autoridade Certificadora Raiz. Um certificado digital solicitado através do Serpro tem o seguinte caminho de certificação: Autoridade Certificadora do Serpro Final,  Autoridade Certificadora do Serpro e ICP-Brasil.

×