View
239
Download
0
Category
Preview:
Citation preview
PKI (Public Key Infrastructure):
Abordagens Utilizando Sistemas Opensource
Marcelo Santos Daibertcontato@daibert.eti.br
PKI (Public Key Infrastructure) 2
Agenda
• Motivação• Definição• Aplicação• Função Hash e Criptografia• Certificado Digital• ICP Brasil• Estudos de Caso
– CertiSign– Receita Federal– Banco do Brasil– PGP (Pretty Good Privacy)
• Conclusão
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 3
Motivação
• Crescente utilização da internet para negócios e aplicações• Conteúdo aparente = conteúdo real Integridade• Remetente aparente = remetente real Autenticidade• Destinatário aparente = destinatário real Sigilo• Operações eletrônica Legalidade e Força Probatória• Problemas:
– Conectividade X Segurança– Padronização
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 4
Motivação
• Uma informação é considerada segura quando são preservadas suas premissas de:– Confidencialidade– Integridade– Disponibilidade– Autenticação e Identificação– Não-repudiação– Controle de Acesso
Padrão ISO 17799
Derivações
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 5
Definição
• Definição formal: é um conjunto de hw, sw, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados baseados em criptografia de chave pública.
• Composto por:– AC – Autoridades Certificadores– Autoridades de Registro Organizacional– Certificados– Clientes– Repositórios para Listas de Revogação de Certificados– Protocolo para distribuição dos certificados: LDAP
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 6
Definição
PKICriptografiae Hash Certificação
Digital
Assinatura Digital
Fonte: Stefano Kubiça - Governo Federal
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 7
Aplicação
• Email Seguro• VPN (Virtual Private Network)• SSH (Secure Shell)• SSL (Secure Sockets Layer) e TLS (Transport Layer Security)• Autenticação Forte• Comércio Eletrônico• e-GOV• Validação de Documento Eletrônicos• Validação de Remetentes• Validação de Conteúdos• Entre outros
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 8
Função Hash
• Consiste em uma função que mapeia uma entrada de tamanho variável para uma saída de tamanho fixo
• A partir do digest de saída, é impossível obter a mensagem de entrada.
• Entradas diferentes (x e y), idealmente gerarão sempre saídas diferentes H(x) e H(y)
• MAC – Message Authentication Code
• Exemplos: MD5, SHA-1
Função Hash Criptografia Hash x Criptografia ExemplosMotivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 9
Criptografia
• “Codificação de informações de forma que apenas pessoas ou processos autorizados possam lê-las”
• Algoritmos:– Simétricos
• ou convencional, chave privada, chave única
– Assimétricos• ou chave pública (PKI usa algoritmos assimétricos)
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 10
Criptografia - Terminologia
• plaintext – mensagem original• ciphertext – mensagem cifrada• cipher – algoritmo para transformação de “plaintext” para
“ciphertext”• key – informação utilizada em “cipher” e conhecida somente pela
origem e destino• encipher (encrypt) – converter “plaintext” para “ciphertext”• decipher (decrypt) – recuperar “ciphertext” de “plaintext”• cryptography – estudo dos métodos/princípios da encriptação• cryptanalysis (codebreaking) – estudo dos métodos/princípios
de decifrar “ciphertext” sem conhecer a “key” de encriptação• cryptology – ciência que abrange a criptografia e a criptanálise
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 11
Criptografia - História
• Primeira utilização: Época Faraônica• Difundida no Uso militar• Substituição de cada letra do plaintext pela 3a.
Subseqüente - Substituições Simples• Exemplo:
– Me Encontre– Ph Hqfrqwuh
• Com o passar dos anos essas substituições simples foram substituídas por substituições poli alfabéticas e maquinas cifrantes
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 12
Criptografia Simétrica
• Chave única para cifrar e decifrar um conteúdo eletrônico
• Exemplos de algoritmos simétricos:– DES, 3DES, IDEA, RC2, RC5, CAST-128
Plain textEncrypt
Cipher text Plain textDecrypt
Remetente Destinatário
Chave Privada
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 13
Criptografia Assimétrica
• Único par de chaves matematicamente relacionadas ==> pública e privada
• Conteúdo cifrado por qualquer uma, só pode ser decifrado por qualquer outra
• Exemplos de algoritmos assimétricos:– RSA, Diffie-Hellman, DSS
Plain textEncrypt
Cipher text Plain textDecrypt
Remetente Destinatário
PUBPRIV
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 14
Função Hash x Criptografia
• Criptografia = Reversível– Original: 58431720844123736124178 – N+D, D=1: 69542831955234847235289
• Hash = Irreversível– Original: 58431720844123736124178 – ∑ Números: 91
• Composição de Criptografia de chave pública e Funções Hash Permitem:– Verificar o autor, data e hora da assinatura– Autenticar o conteúdo da mensagem
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 15
Criptografia Assimétrica
• Confidencialidade:
PRIV
1. Maria distribui sua chave pública e guarda a chave privada
2. João criptografa a mensagem com a chave pública de Maria, e depois a envia para Maria
3. Maria decriptografa a mensagem com a sua chave privada e a lê
4. João terá certeza que somente Maria poderá ler a mensagem
De: João Para: Maria
De: João Para: Maria
PUB
PRIV
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 16
Criptografia Assimétrica
• Confidencialidade:
PRIV
De: João Para: Maria
De: João Para: Maria
PUB
PRIV
-----BEGIN PGP MESSAGE-----Version: GnuPG
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=YJJE-----END PGP MESSAGE----- Oi Maria,
Como você esta?Ass. João
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 17
Criptografia Assimétrica
• Assinatura Digital:
PRIV
1. João distribui a chave pública e guarda a chave privada
2. João assina a mensagem com sua chave privada e depois a envia para Maria
3. Maria verifica a mensagem com a chave pública de João e a lê
4. Maria terá certeza que a mensagem éde João
De: João Para: Maria
De: João Para: Maria
PUB
PRIV
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 18
Criptografia Assimétrica
• Assinatura Digital:
PRIV
De: João Para: Maria
De: João Para: Maria
PUB
PRIV
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1
Oi Maria,
Como você esta?
Ass. João
-----BEGIN PGP SIGNATURE-----Version: GnuPG
iQA/AwUBQ1Ldcg84EGvjFq3VEQJXSACg3RJvObJg9Ra6LB+qHJNrhTIU0fsAoNpF
qp5QE0nuodb5Ta0jHlUlbFsY=YBA6-----END PGP SIGNATURE-----
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoFunção Hash Criptografia Hash x Criptografia Exemplos
PKI (Public Key Infrastructure) 19
Certificado Digital
• Expedição e controle de Certificados Digitais (carteiras de identidade eletrônicas) por Autoridades Certificadoras – AC’s
• Componente de confiança (ISO x509v3)
• Permite a qualquer momento atestar a titularidade de uma chave criptográfica
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 20
Certificado Digital
• O padrão X.509 é aceito como base para a PKI, definindo formatos de dados e procedimentos relativos a distribuição de chaves públicas usando certificados assinados digitalmente
• X.509 v3:– Versão– Serial Number– Issuer– Subject– Subject Public Key (algoritmo, chave)– Período de validade– Extensões– Algoritmo de Assinatura– Assinatura digital
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 21
Certificado Digital - Exemplo
• SSL e TLS (OpenSSL - http://www.openssl.org/)
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 22
Certificado Digital - Exemplo
• SSL e TLS (OpenSSL - http://www.openssl.org/)– Apache + OpenSSL
SSLEnableSSLCertificateFile /usr/share/ssl/certs/webmail.daibert.net.crtSSLCertificateKeyFile /usr/share/ssl/private/webmail.daibert.net.keySSLLogFile /usr/local/apache/domlogs/webmail.daibert.net-ssl_data_logSetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure) 23
ICP Brasil - Conceito
• ICP, ou Infra-estrutura de Chaves Públicas, é a sigla no Brasil para PKI - Public Key Infrastructure.
• Conjunto de técnicas, práticas e procedimentos elaborado para suportar um sistema criptográfico com base em certificados digitais.
• Torna possível estabelecer transações e comunicações sem risco para as partes.
• Quando se utiliza um certificado digital, as partes envolvidas tornam-se responsáveis.
• A ICP-Brasil foi instituída pela Medida Provisória 2.200.• Possui Comitê Gestor ICP-Brasil que adota as medidas
necessárias e coordenar a implantação e o funcionamento.
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoConceito Estrutura ACs Legislação
PKI (Public Key Infrastructure) 24
ICP Brasil - Estrutura
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
Comitê Gestor da ICP-BR
Autoridade Certificadora Raiz
Autoridade Certificadora
Autoridade de Registro
Determina as políticas a serem executadas pela Autoridade Certificadora Raiz.
Aplicação das políticas da ICP-Brasil. Instituto Nacional de Tecnologia da Informação – ITI.
Emite certificados, vinculando pares de chaves criptográficas ao respectivo titular.
Identifica presencialmente, cadastra e encaminha solicitações de certificados às ACs.
Conceito Estrutura ACs Legislação
PKI (Public Key Infrastructure) 25
ICP Brasil - ACs
• Algumas Autoridades Certificadoras: – Tem por função administrar os certificados e controla a
emissão, revogação, validação e aprovação de procedimentos de segurança.
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoConceito Estrutura ACs Legislação
PKI (Public Key Infrastructure) 26
ICP Brasil - Legislação
• MP Nº 2.200-2 agosto 2001: Institui a Infraestrutura de Chaves Públicas – Regulamenta que os documentos eletrônicos assinados digitalmente com
o uso de certificados emitidos no âmbito da ICP-Brasil têm a mesma validade jurídica que os documentos escritos com assinaturas autógrafas.
• Decreto: 3.505 (06/2000): Institui a Política de Segurança da Informação no âmbito da adm. Pública – Determina que as ações relativas à segurança de informação no País
sejam tomadas pela Secretaria-Executiva do Conselho da Defesa Nacional.
– Assegura a garantia ao direito individual e coletivo das pessoas, àinviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Brasileira.
– Criação dos cartórios eletrônicos necessários para o uso da criptografia assimétrica na comunicação da informação governamental.
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoConceito Estrutura ACs Legislação
PKI (Public Key Infrastructure) 27
Estudos de Caso – CertiSign
• Autoridade Certificadora atuante no território brasileiro, com diversas soluções para certificação digital e PKI.
• Afiliada exclusiva da ViriSign no Brasil• Site: http://www.certisign.com.br
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 28
Estudos de Caso – CertiSign
• Principais Soluções Disponibilizadas:– Assinador de Documentos– Certificados para Servidores WEB (SSL / TLS)– Email Seguro Corporativo– SDK CertSign– CertJUS – Certificado Digital do Poder Judiciário Brasileiro
• Tipo A1• Tipo A3
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 29
Estudos de Caso – CertiSign
• Principais Soluções Disponibilizadas:– e-CPF
• Tipo A1• Tipo A3
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 30
Estudos de Caso – CertiSign
• Principais Soluções Disponibilizadas:– e-CNPJ
• Tipo A1• Tipo A3
– Identidade Digital
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 31
Estudos de Caso – CertiSign
• Principais Soluções Disponibilizadas:– Notebook Seguro– PKI Gerenciada
• Pacote para Rede - VPN
– Workflow CertiSign (GED)– KMS CertiSign
• Gerencia do Ambiente PKI
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 32
Estudos de Caso – CertiSign
• Passos para registro de um certificado:
1. Escolha do certificado no site da autoridade certificadora
2. Preencha o formulário online3. Vá em um ponto de validação presencial com os
documentos exigido para cada certificado
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 33
Estudos de Caso – Receita Federal
• e-CAC (Antigo Receita 222):– Centro Virtual de Atendimento ao Contribuinte– Serviço criado com o objetivo de proporcionar aos
contribuintes que dispões de certificado digital, atendimento de forma interativa, por intermédio da internet.
– Contribuinte tem que possuir cerificação digital da SRF, e-CPF ou e-CNPJ
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 34
Estudos de Caso – Receita Federal
• Serviços Disponibilizados e-CAC:– Caixa Portal– Cadastros (CPF – CNPJ)– Declaração de Imposto de Renda– Cópias de declarações anteriores– Pagamentos (Ex.: DARF – Documento de Arrecadação da
Receita Federal)– Parcelamento de Débitos– Emissão de Declaração Eletrônica– Situação Fiscal– SISCOMEX (Sistema Integrado de Comércio Exterior)
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 35
Estudos de Caso – Banco do Brasil
• Engenharia Social X Segurança• Contrato de Câmbio – Desde Outubro de 2005• Troca de arquivos com clientes e parceiros
– Certificado Tipo A3 – Desde Março 2006• Internet Banking Pessoa Física
– Certificado Tipo A1 – Desde 2000– Certificado Tipo A3 – Desde Março 2006
• e-CPF – Smart Card
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 36
Estudos de Caso – Banco do Brasil
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 37
Estudos de Caso – Banco do Brasil
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
PKI (Public Key Infrastructure) 38
Estudos de Caso – PGP
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
• GnuPG - http://www.gnupg.org/• OpenPGP – Aliança Mundial• Padrão OpenPGP:
– Phil Zimmermann– 1991
• Internet Engineering Task Force (IETF)
PKI (Public Key Infrastructure) 39
Estudos de Caso – PGP
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
• $ gpg --gen-key• $ gpg -s nome-do-arquivo
You need a passphrase to unlock the secret key foruser: "Marcelo Daibert <contato@daibert.net>"2048-bit RSA key, ID 8FA87238, created 2006-05-22 (main key ID
5684E6E0)
• $gpg --verify nome-do-arquivogpg: Signature made 09/16/06 05:11:52 using RSA key ID 8FA87238gpg: Good signature from "Marcelo Daibert <contato@daibert.net>"
PKI (Public Key Infrastructure) 40
Estudos de Caso – PGP
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso ConclusãoCertiSign Receita Federal Banco do Brasil PGP
• $ gpg -e -r destinatário nome-do-arquivo• $ gpg --export > todas-as-chaves• $ gpg --export --armor > pubring.asc• $ gpg --export --armor seu-nome > pubring.asc• $ gpg --import [arquivos] • $ gpg --fingerprint nome-do-usuário
PKI (Public Key Infrastructure) 41
Conclusão
• A certificação digital busca garantir:– Privacidade nas transações– Integridade das Mensagens– Autenticidade– Assinatura digital– Não-repúdio
• O PKI (Public Key Infrastructure) garante a infra-estrutura necessária para criar, gerenciar, armazenar, distribuir e revogar certificados baseados em criptografia de chave pública
Motivação Definição Aplicação Função Hash e Criptografia Certificado Digital ICP Brasil Estudos de Caso Conclusão
PKI (Public Key Infrastructure):
Abordagens Utilizando Sistemas Opensource
Marcelo Santos Daibertcontato@daibert.eti.br
Recommended