Validação de certificados digitais

3,942 views
3,695 views

Published on

Apresentação criada com intuito de explanar de forma rápida, conceitos relacionados a validação de certificados digitais X509.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,942
On SlideShare
0
From Embeds
0
Number of Embeds
79
Actions
Shares
0
Downloads
36
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Validação de certificados digitais

  1. 1. Validação de Certificados Digitais Natanael Fonseca Arquiteto de Software
  2. 2. Validações <ul><li>Para a utilização correta de certificados digitais, diversas validações são necessárias sobre os certificados contidos na “Cadeia de Confiança”, como, por exemplo: </li></ul><ul><ul><li>Verificar a data de validade (Inicial e Final); </li></ul></ul><ul><ul><li>Verificar se cada certificado da cadeia de confiança não foi revogado ou encontra-se expirado. </li></ul></ul>
  3. 3. Cadeia de Confiança Um certificado digital é um documento que associa uma chave publica a uma determinada entidade, este documento é assinado digitalmente pela chave privada de uma outra entidade, muitas vezes chamada de Autoridade Certificadora (AC). Dessa forma garante-se atraves do conceito de “Cadeia de confiança” a autenticidade das informações.
  4. 4. Revogação de Certificados <ul><li>Revogar significa tornar sem efeito , ou seja, o certificado digital deverá ser revogado, sempre que ocorrer um dos seguintes eventos: </li></ul><ul><ul><li>Houver mudança em qualquer informação contida no Certificado Digital; </li></ul></ul><ul><ul><li>Em caso de suspeita ou evidência de comprometimento de chaves privadas ou das senhas, ou da mídia de armazenamento; </li></ul></ul><ul><ul><li>A pedido formal do Titular do Certificado Digital, quando não houver mais interesse na utilização do Certificado Digital, conforme procedimentos e prazos constantes nos itens 4.4.3 e 4.4.4 das Políticas de Certificados Digitais. </li></ul></ul>
  5. 5. Validação de Revogação <ul><li>Online Certificate Status Protocol (OCSP) </li></ul><ul><ul><li>Validação acontece de forma online, através de um serviço disponibilizado pela Autoridade Certificadora, cabe ao sistema apenas a criação da requisição OCSP perguntando pelo status do certificado. </li></ul></ul><ul><li>Certificate Revocation List </li></ul><ul><ul><li>Validação acontece de forma Off-Line com base em um arquivo que é baixado da Autoridade Certificadora, cabe ao sistema verificar se o certificado em questão encontra-se neste arquivo. </li></ul></ul>
  6. 6. O que é LCR ? È Uma estrutura de dados assinada por uma AC contendo a lista de certificados que não devem ser considerados válidos. Normalmente o endereço onde este arquivo pode ser baixado, pode ser encontrado no próprio certificado.   Pontos de distribuição.
  7. 7. OCSP <ul><li>Este protocolo é uma alternativa rápida e leve para CRLs tradicionais, o qual permite que os aplicativos cliente façam consultas em busca do status do certificado diretamente a um “Responder OCSP”. </li></ul>
  8. 8. ACs que suportam o protocolo OCSP <ul><li>AC JUS </li></ul><ul><li>http://www.acjus.gov.br/acjus/dpcacjus.pdf (Vide item 4.4.3.2 - d ) </li></ul><ul><li>CERTSIGN MULTIPLA </li></ul><ul><li>http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_Multipla/DPC_AC_Certisign_Multipla_v3.0.pdf (Vide item 4.4.3.2 - d ) </li></ul><ul><li>AC PETROBRAS </li></ul><ul><li>http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PETROBRAS/DPC_AC_PETROBRAS_v5.0.pdf (Vide item 4.4.11 ) </li></ul><ul><li>CERTSIGN </li></ul><ul><li>http://icp-brasil.certisign.com.br/repositorio/dpc/AC_Certisign_RFB/DPC_AC_Certisign_RFB_v4.0.pdf (Vide item 2.8.4.1) </li></ul><ul><li>SINCOR </li></ul><ul><li>http://icp-brasil.acsincor.com.br/repositorio/dpc/AC_SINCOR_RFB/DPC_AC_SINCOR_RFB_v4.0.pdf </li></ul><ul><li>(Vide item 2.8.4) </li></ul><ul><li>FENACON </li></ul><ul><li>http://icp-brasil.acfenacon.com.br/repositorio/dpc/AC_FENACON_CERTISIGN_RFB/DPC_AC_FENACON_CERTISIGN_RFB_v4.0.pdf (Vide item 2.8.4) </li></ul><ul><li>PRODEMGE </li></ul><ul><li>http://icp-brasil.certisign.com.br/repositorio/dpc/AC_PRODEMGE_RFB/DPC_AC_PRODEMGE_RFB_v4.0.pdf (Vide item 2.8.4) </li></ul><ul><li>SERASA </li></ul><ul><li>http://publicacao.certificadodigital.com.br/repositorio/dpc/declaracao-scd.pdf (vide item 4.4.11 ) </li></ul>
  9. 9. CRL vs OCSP CARACTERÍSTICAS CRL OCSP Cadeia de Confiança Disponível localmente nas listas, sendo um arquivo para cada AC. Não necessita de acesso a cadeia, o servidor OCSP fica responsável pela atualização da cadeia de confiança. Recurso de Rede Necessário acesso a internet para download dos arquivos LCR. Quanto maior a taxa de atualizações, maior a necessidade de banda disponível. Necessário o acesso a internet. Requisições request/response com resposta quase imediata. Recursos de Armazenamento em Disco Rígido Necessário espaço em disco disponível para armazenamento dos arquivos. Tamanho total pode variar de acordo com a quantidades de ACs contempladas. Não é necessário armazenamento em disco algum. Recursos computacionais Necessário acesso a todos os registros de todas as listas da cadeia de confiança. Consumo alto de recursos computacionais. Consumo quase zero de recursos, somente requisição request/response. Lógica de validação Acesso de forma recursiva a cadeia de confiança, arquivo por arquivo. Requisição request/response com resposta quase imediata. Confiabilidade Necessário atualização constante das listas. Existe a possibilidade de um certificado estar revogado, porém a lista não ter sido atualizada a tempo, botando em risco a confiabilidade da assinatura. ACs responsáveis pela manutenção e atualização dos servidores OCSP. Muito improvável ter o serviço estar indisponível ou ter dados desatualizados. Disponibilidade no mercado Primeiro modelo de validação, disponível por praticamente todas as ACs. Tecnologia mais recente. Depende da AC ter implementado o serviço.
  10. 10. Referencias <ul><li>Public Key Infrastructure – PKI </li></ul><ul><ul><li>http://novateceditora.com.br/livros/pki/ </li></ul></ul><ul><li>Beginning Cryptography with Java </li></ul><ul><ul><li>http://www.wrox.com/WileyCDA/WroxTitle/Beginning-Cryptography-with-Java.productCd-0764596330.html </li></ul></ul><ul><li>Resoluções da ICP-Brasil em vigor </li></ul><ul><ul><li>http://www.iti.gov.br/twiki/bin/view/Certificacao/DocIcp </li></ul></ul>

×