Validação de certificados digitais
Upcoming SlideShare
Loading in...5
×
 

Validação de certificados digitais

on

  • 3,978 views

Apresentação criada com intuito de explanar de forma rápida, conceitos relacionados a validação de certificados digitais X509.

Apresentação criada com intuito de explanar de forma rápida, conceitos relacionados a validação de certificados digitais X509.

Statistics

Views

Total Views
3,978
Views on SlideShare
3,906
Embed Views
72

Actions

Likes
1
Downloads
29
Comments
0

4 Embeds 72

http://thecodingoflife.blogspot.com 39
http://www.natanaelfonseca.com.br 21
http://thecodingoflife.blogspot.com.br 11
http://6906320108469679693_9789ecd219b4070785e61ee3379ce7196ce0d730.blogspot.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Validação de certificados digitais Validação de certificados digitais Presentation Transcript

  • Validação de Certificados Digitais Natanael Fonseca Arquiteto de Software
  • Validações
    • Para a utilização correta de certificados digitais, diversas validações são necessárias sobre os certificados contidos na “Cadeia de Confiança”, como, por exemplo:
      • Verificar a data de validade (Inicial e Final);
      • Verificar se cada certificado da cadeia de confiança não foi revogado ou encontra-se expirado.
  • Cadeia de Confiança Um certificado digital é um documento que associa uma chave publica a uma determinada entidade, este documento é assinado digitalmente pela chave privada de uma outra entidade, muitas vezes chamada de Autoridade Certificadora (AC). Dessa forma garante-se atraves do conceito de “Cadeia de confiança” a autenticidade das informações.
  • Revogação de Certificados
    • Revogar significa tornar sem efeito , ou seja, o certificado digital deverá ser revogado, sempre que ocorrer um dos seguintes eventos:
      • Houver mudança em qualquer informação contida no Certificado Digital;
      • Em caso de suspeita ou evidência de comprometimento de chaves privadas ou das senhas, ou da mídia de armazenamento;
      • A pedido formal do Titular do Certificado Digital, quando não houver mais interesse na utilização do Certificado Digital, conforme procedimentos e prazos constantes nos itens 4.4.3 e 4.4.4 das Políticas de Certificados Digitais.
  • Validação de Revogação
    • Online Certificate Status Protocol (OCSP)
      • Validação acontece de forma online, através de um serviço disponibilizado pela Autoridade Certificadora, cabe ao sistema apenas a criação da requisição OCSP perguntando pelo status do certificado.
    • Certificate Revocation List
      • Validação acontece de forma Off-Line com base em um arquivo que é baixado da Autoridade Certificadora, cabe ao sistema verificar se o certificado em questão encontra-se neste arquivo.
  • O que é LCR ? È Uma estrutura de dados assinada por uma AC contendo a lista de certificados que não devem ser considerados válidos. Normalmente o endereço onde este arquivo pode ser baixado, pode ser encontrado no próprio certificado.   Pontos de distribuição.
  • OCSP
    • Este protocolo é uma alternativa rápida e leve para CRLs tradicionais, o qual permite que os aplicativos cliente façam consultas em busca do status do certificado diretamente a um “Responder OCSP”.
  • ACs que suportam o protocolo OCSP
    • AC JUS
    • http://www.acjus.gov.br/acjus/dpcacjus.pdf (Vide item 4.4.3.2 - d )
    • CERTSIGN MULTIPLA
    • http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_Multipla/DPC_AC_Certisign_Multipla_v3.0.pdf (Vide item 4.4.3.2 - d )
    • AC PETROBRAS
    • http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PETROBRAS/DPC_AC_PETROBRAS_v5.0.pdf (Vide item 4.4.11 )
    • CERTSIGN
    • http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_RFB/DPC_AC_Certisign_RFB_v4.0.pdf (Vide item 2.8.4.1)
    • SINCOR
    • http://icp-brasil.acsincor.com.br/repositorio/dpc/AC_SINCOR_RFB/DPC_AC_SINCOR_RFB_v4.0.pdf
    • (Vide item 2.8.4)
    • FENACON
    • http://icp-brasil.acfenacon.com.br/repositorio/dpc/AC_FENACON_CERTISIGN_RFB/DPC_AC_FENACON_CERTISIGN_RFB_v4.0.pdf (Vide item 2.8.4)
    • PRODEMGE
    • http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PRODEMGE_RFB/DPC_AC_PRODEMGE_RFB_v4.0.pdf (Vide item 2.8.4)
    • SERASA
    • http://publicacao.certificadodigital.com.br/repositorio/dpc/declaracao-scd.pdf (vide item 4.4.11 )
  • CRL vs OCSP CARACTERÍSTICAS CRL OCSP Cadeia de Confiança Disponível localmente nas listas, sendo um arquivo para cada AC. Não necessita de acesso a cadeia, o servidor OCSP fica responsável pela atualização da cadeia de confiança. Recurso de Rede Necessário acesso a internet para download dos arquivos LCR. Quanto maior a taxa de atualizações, maior a necessidade de banda disponível. Necessário o acesso a internet. Requisições request/response com resposta quase imediata. Recursos de Armazenamento em Disco Rígido Necessário espaço em disco disponível para armazenamento dos arquivos. Tamanho total pode variar de acordo com a quantidades de ACs contempladas. Não é necessário armazenamento em disco algum. Recursos computacionais Necessário acesso a todos os registros de todas as listas da cadeia de confiança. Consumo alto de recursos computacionais. Consumo quase zero de recursos, somente requisição request/response. Lógica de validação Acesso de forma recursiva a cadeia de confiança, arquivo por arquivo. Requisição request/response com resposta quase imediata. Confiabilidade Necessário atualização constante das listas. Existe a possibilidade de um certificado estar revogado, porém a lista não ter sido atualizada a tempo, botando em risco a confiabilidade da assinatura. ACs responsáveis pela manutenção e atualização dos servidores OCSP. Muito improvável ter o serviço estar indisponível ou ter dados desatualizados. Disponibilidade no mercado Primeiro modelo de validação, disponível por praticamente todas as ACs. Tecnologia mais recente. Depende da AC ter implementado o serviço.
  • Referencias
    • Public Key Infrastructure – PKI
      • http://novateceditora.com.br/livros/pki/
    • Beginning Cryptography with Java
      • http://www.wrox.com/WileyCDA/WroxTitle/Beginning-Cryptography-with-Java.productCd-0764596330.html
    • Resoluções da ICP-Brasil em vigor
      • http://www.iti.gov.br/twiki/bin/view/Certificacao/DocIcp