cetificado digital e assinatura digital

CCeerrttiiffiiccaaddoo DDiiggiittaall ee AAssssiinnaattuurraa DDiiggiittaall

SSeerrggiioo AAllaabbii LL FF ©©1188..0011..22000066 wwwwww..aallaabbii..nneett ~~ ccoonnccuurrssoo@@aallaabbii..nneett

CCeerrttiiffiiccaaddoo DDiiggiittaall ee AAssssiinnaattuurraa DDiiggiittaall.. Sergio Alabi L F ©18.01.2006

1

O Que é Certificado Digital: Um Certificado Digital é um arquivo no computador que identifica você, funcionando como o RG. Comprova a identidade da pessoa que está usando nos meios eletrônicos, é uma identificação segura, promovendo a segurança em transações eletrônicas (bancos, empresas, comércio eletrônico,...) ou quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o e-mail é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste. É esta segurança que está cada vez mais atraindo empresas, governos e cidadãos comuns a obterem um certificado digital, ao ponto de alguns países já adotarem o Certificado Digital para todos os seus cidadãos, como na Bélgica. Alguns aplicativos de software utilizam esse arquivo para comprovar sua identidade para outra pessoa ou outro computador. Exemplos típicos são:

Informações que o Certificado Digital Possuí:

Nome da empresa (a Autoridade Certificadora - CA) que emitiu seu Certificado Digital; Período de validade do certificado; Chave pública; Seu nome e endereço de e-mail; O número de série do Certificado Digital; A assinatura digital da CA.

Este é um exemplo das informações de um certificado digital, que no caso é o meu:

Informações do Certificado Digital

Organization = CertiSign Certificadora Digital SA Organizational Unit = Classe 1 Organizational Unit = Terms of use at www.certisign.com.br/RPA (c)00 Organizational Unit = Authenticated by Certisign Certificadora Digital Ltda. Organizational Unit = Member, VeriSign Trust Network Organizational Unit = Persona Not Validated Organizational Unit = Digital ID Class 1 Common Name = sergio alabi - Certificado de Teste Email Address = [email protected]

Número de série = 054a24d979b7b851564ed775b39ced78




2

Como Funciona o Certificado Digital: Existem dois tipos de criptografia:

Criptografia Simétrica (Privada): o sistema de Criptografia Simétrica utiliza a mesma chave de criptografia (algoritmo) para cifrar e decifrar as informações. Este método não é confiável para transações eletrônicas na internet, sendo seu uso mais empregado para comunicação entre duas pessoas na internet, onde ambas possuem a mesma chave privada para codificar e decodificar as informações.

Criptografia Assimétrica (Pública): o Certificado Digital funciona com criptografia assimétrica, ou seja, este modelo utiliza um par de chaves, uma chave pública e uma chave privada, onde a chave pública pode ser distribuída livremente e a privada deve ser bem protegida por senha de acesso. A chave pública é usada para cifrar ás informações a serem enviadas e a chave privada é usada para decifrar estas informações. Este cenário é muito conhecido e usado por instituições bancárias (bank on-line) e por empresas de comércio eletrônico (e-commerce). A criptografia mais utilizada em é RSA, em que o seu conceito baseia-se em números primos.




3

Internet

1º MOMENTO

Usuário Banco

O exemplo empregado será a conexão com um banco on-line, em primeira instância o

banco possuiu o par de chaves: pública e privada. A pública é distribuída

livremente para codificar as informações e a privada está guardada de posse do banco bem protegida e será usada para decodificar as informações.

2º MOMENTO

Usuário Banco

’

No segundo momento ao digitar o número da agência e o número da conta, a conexão com o banco de dados se tornará uma conexão segura, pois estará utilizando o protocolo SSL (um cadeado irá aparecer na barra de status do navegador de internet)

, ou seja, um “túnel” é criado entre você e o seu banco, as informações estão criptografadas através da chave de criptografia RSA e neste momento você recebe

a chave pública para codificar as informações a serem enviadas ao banco (sua senha e dados confidenciais). Se um cracker roubar esta informação na rede da Internet, ele passará séculos tentando decifrar a informação, pois a comunicação está protegida por criptografia.

3º MOMENTO

Usuário Banco




4

No terceiro momento ao enviar informações sigilosas, o banco irá utilizar a chave

privada para decodificação das informações recebidas , pois somente a instituição (no caso o banco) possuí o segredo para decifrar estas informações (senha da sua conta).

Assinatura Digital: Assinatura Digital é muito utilizada para assinar documentos (textos, planilhas,...), desta forma atesta que o documento não foi alterado por um terceiro e que o mesmo é de sua autoria. Imagine o seguinte exemplo: você está fechando um pedido de compra entre a empresa em trabalha e o meu seu principal fornecedor de matéria prima. A compra é da ordem de 1 milhão de reais e será concretizada através do envio do documento por e-mail validando a operação. Quem garante que quando o seu fornecedor receber o documento, este não foi alterado e que realmente foi você que enviou? A resposta para este tipo de problema é: Assinatura Digital. Ao assinar um documento, este tem validade jurídica e atesta que o documento é original (não alterado) e também de sua autoria. Processo quando eu envio o e-mail para o meu fornecedor:

função hash

126598745213500542

documento original

chave privada

algoritmo criptografado

assinatura digital

Processo quando o meu fornecedor recebe o meu e-mail assinado digitalmente:

documento orignal

assinatura digital

função hash

algoritmo criptografado

minha

chave pública

126598745213500542

126598745213500542




5

Hash do documento

Hash do documento

Comparação Conferência da Assinatura Digital

Ao assinar digitalmente um documento, é criado um resumo deste documento chamado ”Digest”, que nada mais é que um “hash”. O hash é um resultado seqüencial numérico (ex: 37856592002574122548) quando aplicado um algoritmo (MD5. SHA-1, SHA-2, 3 ou SHA-4) ao documento original. Importante: não existe a possibilidade de através do hash obter o documento original. Ao assinar digitalmente um e-mail, é gerado um resumo do corpo do e-mail (hash) e este será cifrado com a sua chave privada, quando o seu fornecedor receber o e-mail, ele recebe sua chave pública. Ele utilizará a sua chave pública para decifrar o e-mail e comparar o hash decifrado com o hash gerado do corpo do e-mail, se os valores forem iguais, significa que o e-mail não foi alterado, e o mesmo é valido para documentos (word, excel,...).

Modalidades do Certificado Digital: Atualmente o Brasil dispõe dos modelos: A1, A2, A3 e A4. Os modelos A2 e A4 não são inda comercializados. O modelo A1 tem validade de 1 ano e o par de chaves são gerados no computador no momento da solicitação de emissão do certificado. A chave pública será enviada para a Autoridade Certificadora (AC) com a solicitação de emissão do certificado, enquanto a chave privada ficará armazenada em seu computador, devendo, obrigatoriamente, ser protegida por senha de acesso. através do navegador. O modelo A3 tem validade de 3 anos e é mais seguro e portável, pois as chaves são geradas em um cartão SmartCard ou Token.

SmartCard: cartão similar ao cartão de crédito e uma vez gerada essas chaves, elas estarão totalmente protegidas, não sendo possível exportá-las para uma outra mídia nem retirá-las do SmartCard. Mesmo que o computador seja atacado por um vírus ou, até mesmo, um cracker essas chaves estarão seguras e protegidas, não sendo expostas a risco de roubo ou violação.

Leitora e cartão SmartCard (e-CFP e e-CNFP) da Receita Federal

Token: é um hardware capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais. Uma vez geradas estas chaves estarão totalmente protegidas, pois não




6

será possível exportá-las ou retirá-las do token (seu hardware criptográfico), além de protegê-las de riscos como roubo ou violação. Sua instalação e utilização é simples: conecte-o a qualquer computador através de uma porta USB depois de instalar seu driver e um gerenciador criptográfico (software). Dessa forma logo que o token seja conectado será reconhecido pelo sistema operacional. Token

Como Obter um Certificado Digital: Para obter um Certificado Digital é necessário procurar os órgãos homologados pela ICP-Brasil preenchendo uma ficha de solicitação, onde este deve ser levado pessoalmente ao órgão escolhido (autoridade de registro) com documento de identidade, CPF, comprovante de residência e uma foto 3x4 e o pagamento do certificado na modalidade escolhida (A1 ou A3). Após o termo de titularidade assinado na presença da autoridade registradora, basta baixar pela web o certificado digital (modelo A1) ou pegar o SmartCard ou Token (modelo A3) na própria autoridade de registro. A empresa certificadora, CertiSign (www.certisign.com.br) oferece assinatura digital válida por um período de 60 dias gratuitamente.

Como Associar um Certificado Digital a sua conta de E-mail:

Microsoft Outlook Express:

Selecione Contas, no menu Ferramentas e, em seguida, a guia Correio. Selecione a sua conta de Correio, clique no botão Propriedades e selecione a guia Segurança.

Marque a caixa "Utilizar certificado digital ao enviar mensagens seguras". Em seguida, clique no botão Certificados Digitais.

Escolha o certificado que você deseja utilizar para assinar digitalmente os seus e-mails.

Autoridade Certificadora (CA): Entre os campos obrigatórios em um certificado digital encontra-se a identificação e a assinatura da entidade que o emitiu, a Autoridade Certificadora (CA), os quais permitem verificar a autenticidade e a integridade do certificado digital. A AC é o principal componente de uma Infra-Estrutura de Chaves Públicas e é responsável pela emissão dos certificados digitais.




7

Estrutura organizacional das emissoras de certificado digital. ICP-Brasil é a autoridade certificadora raiz.

Empresas de Autoridade de Registro (RA): Através dos site: http://www.iti.br/twiki/bin/view/Main/AutCerti há uma lista de empresas autorizadas a registrar os certificados digitais (Serpro, Caixa, Serasa, Receita Federal, CertSign,...).




8

Apêndice:

Cracker: invade sistemas, rouba dados, arquivos, números de cartão de crédito, faz espionagem industrial e quase sempre provoca algum tipo de destruição, principalmente de dados.

SSL (Security Socket Layer): Um protocolo de segurança que fornece privacidade de comunicação. O SSL permite que aplicativos do cliente e servidor comuniquem-se de uma forma que é projetada para evitar intrusões, violação e falsificação de mensagens. A tecnologia usada é a tecnologia RSA, de chave dupla, pública e privada. Quando o SSL é aplicado, o cliente usa o protocolo HTTPS (e especifica uma URL https://).

Criptografia: tem origem grega e significa a “arte de escrever em códigos” de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem (criptografar), e o processo inverso, ou seja, obter a informação original a partir do texto cifrado chama-se decifragem (decriptografar).

Hash: é usado para gerar um valor do hash de alguns dados, como um e-mail, uma senha ou uma chave. A função do hash verifica qualquer modificação em um dado. O hash é um método para transformar dados de tal forma que o resultado seja exclusivo e não possa ser retornado ao formato original. Sua característica principal é a não-duplicidade de dados. Os mais usados algoritmos de hash são: MD2, MD4, MD5, SHA-1, SHA-2, SHA-3 e SHA-4.

RSA (Rivest, Shamir e Adleman algorithm): a mais bem sucedida implementação de sistemas de chaves assimétricas (públicas) baseadas na fatoração de números primos. São geradas duas chaves, de tal forma que uma mensagem encriptada com a primeira chave possa ser apenas decriptada com a segunda chave. A primeira chave é divulgada a alguém que pretenda enviar uma mensagem encriptada ao detentor da segunda chave, já que apenas essa pessoa pode decriptar a mensagem. O primeiro par é designado como chave pública, e o segundo como chave secreta.

ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira): é a Autoriadade Certificadora (CA) raiz no Brasil, responsável por emissão de Certificados Digitais.

cetificado digital e assinatura digital

Documents