Upload
ngomien
View
218
Download
0
Embed Size (px)
Citation preview
Instituto Nacional de Tecnologia da Informação
O ITI e a Infra-estrutura de Chaves Públicas Brasileira
Viviane Regina Lemos BertolCoordenadora-Geral
de Normalização e Pesquisa
Instituto Nacional de Tecnologia da Informação
O ITI– Autarquia Federal, ligada à Casa Civil daPresidência da República– Criada para ser a AC-Raiz da ICP-Brasil em 2001 –MP 2.200-2– Composta de:
•Diretor-Presidente•Diretoria de Infra-estrutura de Chaves Públicas•Diretoria de Auditoria, Fiscalização e Normalização•Procuradoria Especializada
Instituto Nacional de Tecnologia da Informação
O ITI– ICP-Brasil
• AC-Raiz• Auditoria e Fiscalização• Normalização e Pesquisa• Projeto João-de-Barro• Homologação de HW e SW
– Software Livre– Inclusão Digital – Casa Brasil
Instituto Nacional de Tecnologia da Informação
ICP-Brasil– Criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País
– Compõe-se de: (1) Entidades, (2) Padrões técnicose (3) Regulamentos para suportar um sistemacriptográfico de certificados digitais
Instituto Nacional de Tecnologia da Informação
AC 1º. Nível
COTEC
ACRAIZ Auditoria
AC 1º. NívelAR ARAR
AC 2º. NívelAC 2º. Nível
ARAR
PSS
Entidades
da
ICP-Brasil
COMITÊ GESTOR
LEA
Titulares
TitularesTitulares
Entidades da ICP–Brasil
Instituto Nacional de Tecnologia da Informação
– Comitê Gestor Responsável pela implantação da ICP-BrasilEstabele políticas, critérios e normas de
funcionamentoAudita e fiscaliza a AC Raiz
– CotecDá assessoria técnica ao CGPropõe criação / alteração de regulamentos
Entidades da ICP–Brasil– AC Raiz
Credencia, audita e fiscaliza entidades da ICP-BrasilAssina seu próprio certificado e os certificados das
AC imediatamente abaixo dela
– AC – Autoridade CertificadoraEmite, renova ou revoga certificados digitais de
outras AC ou de titulares finaisPublica LCR
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–Brasil– AR – Autoridade de Registro
Identifica e cadastra usuários na presença destesEncaminha solicitações de certificados às ACMantém registros de suas operações
– PSS – Prestador de Serviços de SuporteInfra-estrutura física e lógicaMão-de-obra especializada
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–BrasilTitular de Certificado
É aquele que é identificado pelo certificado digitalPode ser: pessoa física / jurídica ou equipamento
LEA – Laboratório de Ensaios e AuditoriaHomologação de equipamentos e sistemas de certificação digital
Auditoria Independente / Auditoria InternaAutorizada pelo ITIContratada pelas AC
Instituto Nacional de Tecnologia da Informação
ICP-Brasil - Padrões TécnicosFIPS 140-2 – segurança dos módulos criptográficos X-509 – formato do certificadoPKCS – formato de arquivos para solicitação e entrega dos certificadosRFC 3280 – interpretação das extensões do certificadoRFC 2527 – estrutura das declarações de práticasde certificação
Instituto Nacional de Tecnologia da Informação
Regulamentos da ICP-Brasil
MP-2200/2, de 24.10.01– criação da ICP-BrasilDecreto 4.689, de 07.05.2003 – estrutura do ITIResoluções do Comitê-Gestor Instruções Normativas do ITI Códigos Civil, Penal, Tributário, Direito do Consumidor
Por que usar certificados da ICP-Brasil
– Validade Jurídica dos documentos assinados– Padrões Internacionais de segurança nas instalações e procedimentos– Declaração Pública de Práticas– Identificação Presencial do titular do certificado– Seguro de responsabilidade civil– Guarda dados por tempo ilimitado– Auditoria prévia e anual nas entidades– Interoperabilidade
Instituto Nacional de Tecnologia da Informação
Interoperabilidade
Instituto Nacional de Tecnologia da Informação
Pessoa Física e Pessoa Jurídica
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-BrasilSistema Brasileiro de Pagamentos – SPBDCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)Escrituração Fiscal – Secretaria da Fazenda do Estadode PernambucoNF-e – Nota Fiscal Eletrônica (SRF/MF, SP,GO,MA,BA,SC,RS)Contratos de Câmbio - Apólices de SegurosPregões Eletrônicos (SP,SC,MG) e COMPRASNET (Federal)Sistemas Estruturadores do Governo Federal e SCPDInternet Banking e Mobile Banking
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-BrasilPROUNI - MECe-DOC do TRT 4a. Região e outros cases na esfera do judiciário (TJ-RS, TJ-RJ, e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ)DETRAN - MGLicenças Ambientais – CETESB/SPINPIContadores, Odontólogos, Médicos, Corretores de SegurosServidores do Judiciário Federal, Auditores-fiscais daReceita
Instituto Nacional de Tecnologia da Informação
Auditoria da ICP-BrasilPré-operacional
–Credenciar –Não credenciarOperacional – anual ou intempestiva
–Manter credenciamento–Suspender emissão de certificados–Descredenciar
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Pessoas–Contratação: verificação antecedentes, termos de sigilo, perfil –Treinamento, Avaliação Desempenho–Desligamento: revogação acessos, assinatura termos
Segurança Física–6 Níveis de Segurança – Sala Cofre–Monitoramento permanente: alarmes, câmaras vídeo–Sistemas proteção de incêndio, redundância energia
Instituto Nacional de Tecnologia da Informação
HSM
Nível 1
Nível 2Nível 3
Nível 4
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Lógica–Controle de acesso: somente funcis autorizados –Guarda / troca senhas administrador e usuários–Geração e guarda de logs com os registros obrigatórios–Geração e guarda de backups–Controle softwares instalados nos servidores críiticos: versão usada, testes de homologação, atualizações de segurança etc
Instituto Nacional de Tecnologia da Informação
HSM
AR
SERVWEB
SERV AUT
IDS
SERV CERT
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Rede–Topologia, segmentação da rede–Regras de Firewall, IDS –Uso de VPN em intranets e extranet–Monitoramento de ataques–Testes periódicos de vulnerabilidade–Disponibilidade do repositório de LCR
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Informação–Análise de logs –Classificação da Informação–Análise de Risco–Plano de Continuidade de Negócios–Plano de Extinção da AC–Gerenciamento de Mudanças–Administração dos procedimentos operacionais da AC
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento da Chave da AC – Instalação dos sistemas de certificação– Geração de chaves da Ac e Solicitação de certificado– Recepção de certificado da AC Raiz e instalação no
sistema– Revogação de certificado da AC– Guarda da chave privada – partições n/m, cofre,
gabinetes
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento dos certificados de titulares –Geração de certificados para tipo de PC–Revogação dos certificados–Geração e publicação de LCR–Log dos eventos
Itens verificados numa Auditoria Pré-Operacional de AR
Instituto Nacional de Tecnologia da Informação
Segurança física, lógica e de pessoalTestes de:
– Validação do solicitante– Geração de certificados para tipo de PC– Revogação dos certificados– Guarda da Documentação
Ênfase no treinamento dos agentes de registro
Instituto Nacional de Tecnologia da Informação
Resultados das Auditorias
Exemplos de problemas solucionados
– Sala-cofre sem estanqueidade– Bases de dados corrompidas– Não realização das análises de logs obrigatórias– Emissão de certificados sem respectiva documentação– Emprego de agentes de registro despreparados– Perda de imagens das câmaras de vídeo
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
MOTIVAMOTIVAÇÇÃOÃOIndependênciaIndependência de de fornecedoresfornecedores ((caixacaixa pretapreta))AutonomiaAutonomia TecnolTecnolóógicagicaResgateResgate AcadêmicoAcadêmicoNacionalizaNacionalizaççãoão dada PlataformaPlataforma TecnolTecnolóógicagica
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
OBJETIVOSOBJETIVOSCriptossistemaCriptossistema dada ACAC--Raiz Raiz dada ICPICP--BrasilBrasilMassaMassa crcrííticatica emem certificacertificaççãoão digital, auditoria de infradigital, auditoria de infra--estruturaestrutura de de chaveschaves ppúúblicasblicas e e criptografiacriptografia
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
PARTICIPANTESITI – GerênciaCASNAV – Especificação Técnica do ProjetoITA - Módulo de Segurança CriptográficaCEPESQ – Gerador de Números Aleatórios LABSEC UFSC - Sistema de Gerência de CertificadosSERPRO – Metodologia de DesenvolvimentoFINEP – Financiadora do Projeto
Instituto Nacional de Tecnologia da Informação
Projeto João-de-BarroCRONOGRAMASET 2006 – Integração entre sw SGC e sw MSC FEV 2007 – Integração entre sw SGC e sw + hw MSCAGO 2007 – Implantação em produção
Instituto Nacional de Tecnologia da Informação
Normalização e Pesquisa
Normalização sobre Carimbo de TempoAtualização dos algoritmos e padrões técnicosManual de Condutas Técnicas para homologação de sw e hw
Sites para consultaITI – www.iti.gov.br e www.iti.brCEF – www.icp.caixa.gov.br/asp/respositorio.aspPR – https://thor.serpro.gov.brSRF – http://www.receita.fazenda.gov.br/acsrfSERASA – http://certificadodigital.com.br/repositorioSERPRO – https://thor.serpro.gov.br/ACSERPROCERTISIGN – http://www.icp-brasil.certisign.com.br/repositorio
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
Muito Obrigada
VIVIANE REGINA LEMOS BERTOLCoordenadora Geral de Normalização e Pesquisa
e-mail: [email protected]