abordagem sistemática da infra-estrutura de chave pública
TRANSCRIPT
Infra-estrutura de Chave Pública
Bruno Luiz
Infra-estrutura de Chave Pública
Programa Apresentação do sistema
Criptografia assimétrica Assinatura digital Componentes de uma ICP
Entradas Clientes ICP Requisição de certificados (PKCS #10)
Processos de Transformação Protocolos de gerenciamento
Saídas Certificados Digitais (Padrão X.509)
Mecanismos de feedback Revogação de certificado
Infra-estrutura de Chave Pública
Apresentação do sistema
Infra-estrutura de Chave Pública
Criptografia assimétrica A criptografia assimétrica é conhecida como Criptografia de
Chave Pública (Public Key Cryptography)
Opera com um par de chaves relacionadas, uma pública e uma privada
A chave pública é divulgada A chave privada é proprietária A chave pública é usada para criptografar e só a chave privada
pode decriptografar
Infra-estrutura de Chave Pública
Para: BancoDe: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0milhões da conta 254674-12 para a conta 071517-08
Affonso
Para: BancoDe: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0milhões da conta 254674-12 para a conta 071517-08
Affonso
*> *ql3*UY#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@qw9vijhas9djerhp7(*Y23k^wbvlqkwczqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@qw9vijhas9djerhp7(*Y23k^wbvlqkwczqw-_89237xGyjdc
Biskdue di7@94
Criptografia
+ + Algoritmo =Chave Pública
Decriptografia
Para: BancoDe: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0milhões da conta 254674-12 para a conta 071517-08
Affonso
Para: BancoDe: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0milhões da conta 254674-12 para a conta 071517-08
Affonso
*> *ql3*UY#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@qw9vijhas9djerhp7(*Y23k^wbvlqkwczqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@qw9vijhas9djerhp7(*Y23k^wbvlqkwczqw-_89237xGyjdc
Biskdue di7@94
+ + Algoritmo =Chave Privada
Criptografia assimétrica
Infra-estrutura de Chave Pública
Assinatura Digital A assinatura digital é uma técnica que utiliza a criptografia de
chave pública (assimétrica) e os resumos criptográficos e tem como objetivos:
A identificação do usuário que produziu o documento eletrónico Provar que este documento é original e autentico A validação deste documento eletrónico A garantia que este documento não sofreu nenhuma alteração
Infra-estrutura de Chave Pública
Assinatura Digital
Infra-estrutura de Chave Pública
Definição Uma Infra-estrutura de Chaves Públicas (ICP) é um sistema de
segurança baseado em tecnologia de criptografia para estabelecer e garantir a confiabilidade de chaves públicas.
Políticas de segurança que definem as regras de operação de sistemas criptográficos
Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser
criadas, distribuídas e utilizadas
Infra-estrutura de Chave Pública
Características Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e
públicas Facilita a transição para as tecnologias em processo de
desenvolvimento Infraestrutura de chaves públicas e smart cards é o modo mais
seguro de conduzir negócios pela Internet atualmente
Infra-estrutura de Chave Pública
Aplicações Site Seguro ( SSL, WTLS )
– Cliente Web Entrega de Documentos pela Internet E-mail Seguro ( Assinatura e/ou Sigilo ) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) Autenticação
Infra-estrutura de Chave Pública
Componentes de uma ICP UM ICP é uma combinação de produtos de hardware e
software, procedimentos e políticas de segurança O ICP fornece a segurança necessária para
comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade
O ICP utiliza certificados de chave pública ou certificados digitais que vinculam os usuários a uma chave pública
Infra-estrutura de Chave Pública
Uma infraestrutura de chave pública simples consiste de: Autoridades Certificadoras Autoridades de Registro Repositório de certificados (Diretório)
Infra-estrutura de Chave Pública
Arquitetura simplificada de uma ICP
Infra-estrutura de Chave Pública
Entradas
Infra-estrutura de Chave Pública
Clientes ICP Gerar pares de chaves pública
Criar uma solicitação de certificados (PKCS#10) Apresentar um certificado Verificar um certificado Excluir um certificado Habilitar e desabilitar múltiplos certificados Solicitar uma revogação de certificado Armazenar certificados com critérios de segurança (exemplo:
proteção por password) Exportar certificados com segurança (PKCS#12) Selecionar algoritmos, resistência de chaves e controles de
passwords
Infra-estrutura de Chave Pública
Protocolos PKCS
Alguns protocolos foram criados para se utilizar e implementar uma transação de ICP. Definidos como PKCS (Public Key Cryptography Standards).
Requisição de certificados (PKCS#10) Sintaxe para a solicitação de certificados Nome único (DN), chave pública e conjunto opcional de
atributos, assinados digitalmente pela entidade solicitante A CA transforma a solicitação em um certificado X.509 ou em
um certificado PKCS#6 Não define a forma pela qual a CA envia o certificado para o
solicitante
Infra-estrutura de Chave Pública
Requisiçao de certificados (PKCS#10)
Infra-estrutura de Chave Pública
Processos de transformação
Infra-estrutura de Chave Pública
Autoridade Certificadora (CA) Geração, emissão, investigação, revogação, renovação e
políticas de armazenamento de certificados Declaração de Práticas de Certificação Políticas de atributos e extensões de certificados Administração de certificados, relatórios para auditorias e
procedimentos para recuperação/ciclo de vida dos dados Armazenamento seguro da(s) chave(s) privada(s) Acordos para certificação cruzada
Infra-estrutura de Chave Pública
Autoridade Registradora (RA) Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de
credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários
Infra-estrutura de Chave Pública
Repositório de certificados (Diretório) Aceitar a autenticação de rede por endereço IP ou DNS e a
autenticação do usuário por nome e password LDAP ou certificado X.509 versão 3
Ponto de distribuição para certificados e relações de certificados revogados
Controlar a habilidade do usuário em executar comandos de leitura, gravação, busca ou comparação no nível de atributos
Prover privacidade (SSL) e integridade de mensagens para todas as comunicações
Infra-estrutura de Chave Pública
CA
RA Usuário
Diretório
A informação do usuário e a Chave Pública são enviados para o RA
RA verifica as informações e solicita a emissão do certificado
CA emite o certificado e o remete para o RA
CA divulga o certificado em um diretório
O RA envia o certificado para o usuário
O usuário gera um par de chaves e solicita um certificado
Infra-estrutura de Chave Pública
O lojista pode Verificar: Detalhes do certificado Relações de revogação Validade dos certificados Assinaturas Decriptar dados
A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora
Transações Comerciais via Internet
CA
Usuário
Diretório
CA divulga o certificado em um diretório
Lojista
Infra-estrutura de Chave Pública
Saída
Infra-estrutura de Chave Pública
Certificados Digitais Certificados Digitais são equivalentes eletrônicos às provas
físicas de identificação, como passaporte e cédulas de identidade, que auxiliam a autenticação de usuários em redes de comunicações
O certificado digital pode estar armazenado em uma estação, um disquete ou em um dispositivo de segurança como um smart-card
Certificados Digitais são elementos essenciais em um ICP
Infra-estrutura de Chave Pública
Um certificado digital contém: Informações sobre o proprietário Informações sobre o emitente Chave pública do proprietário Datas de validade e expiração Assinatura digital do emitente (CA), avaliando o conteúdo do
certificado
Infra-estrutura de Chave Pública
Certificado Digital (Padrao X.509)
Infra-estrutura de Chave Pública
Emissão de Certificados É preenchido um formulário ou colhida as informações
pessoalmente por uma autoridade de registro, sendo colhidos nome, endereço, CPF, etc.
É gerada no equipamento do requisitante as chaves pública e privada
Os dados colhidos sao assinados digitalmente utilizando a chave privada gerada e enviados para a autoridade certificadora a chave pública e os dados assinados
A autoridade certificadora confirma a veracidade dos dados enviados, emite o certificado digital, o assinando com sua chave privada
O certificado digital é enviado para o requisitante, que instala o certificado no equipamento ou dispositivo de segurança onde ficará armazenado.
Infra-estrutura de Chave Pública
Ciclo de Vida do Certificado
CA
Usuário
RA
Diretório
Emissão doCertificado
Geração doCertificado
Expirar oCertificado
Armazenar oCertificado
Aplicação
RevogaçãoDo Certificado
Infra-estrutura de Chave Pública
Feedback
Infra-estrutura de Chave Pública
Revogaçao de Certificado Os certificados devem ser revogados pela AC e comunicados
de alguma forma aos outros, sempre que:
A chave secreta do usuário for comprometida Os dados do usuário forem modificados. Por exemplo, o usuário
mudou de organização O usuário não deseja mais ser certificado pela AC O certificado da própria AC foi comprometido O usuário violou a política de segurança da AC
Infra-estrutura de Chave Pública
Revogação de certificado
Infra-estrutura de Chave Pública
Obrigado pela atenção!
Infra-estrutura de Chave Pública
Perguntas?