Introduo Criptografia

Joo Luiz Pereira Marciano

Sumrio
INTRODUO......................................................................................................................................................... 4 HISTRICO ............................................................................................................................................................. 5 FORMAS BSICAS DE CRIPTOGRAFIA .......................................................................................................... 6 CRIPTOGRAFIA DE CHAVE SIMTRICA ..................................................................................................................... 6 CRIPTOGRAFIA DE CHAVE PBLICA ......................................................................................................................... 7 SERVIOS PROVIDOS PELA CRIPTOGRAFIA .............................................................................................. 8 CRIPTOANLISE ................................................................................................................................................... 9 ATAQUE DE TEXTO CIFRADO ................................................................................................................................... 9 ATAQUE DE TEXTO PLENO CONHECIDO ................................................................................................................... 9 ATAQUE DE TEXTO PLENO ESCOLHIDO .................................................................................................................... 9 ATAQUE ADAPTATIVO DE TEXTO PLENO ESCOLHIDO ............................................................................................. 10 OUTRAS FORMAS DE ATAQUE................................................................................................................................ 10 SEGURANA DE ALGORITMOS...................................................................................................................... 10 CIFRAS DE SUBSTITUIO E DE TRANSPOSIO ................................................................................... 11 CIFRAS DE SUBSTITUIO ..................................................................................................................................... 11 CIFRAS DE TRANSPOSIO .................................................................................................................................... 12 ONE-TIME PAD..................................................................................................................................................... 13 PROTOCOLOS CRIPTOGRFICOS................................................................................................................. 15 PROTOCOLOS ARBITRADOS ................................................................................................................................... 15 PROTOCOLOS ADJUDICADOS ................................................................................................................................. 16 PROTOCOLOS AUTO-REFORADOS ........................................................................................................................ 16 ATAQUES CONTRA PROTOCOLOS ........................................................................................................................... 16 COMUNICAO COM O USO DE CRIPTOGRAFIA SIMTRICA ............................................................ 17 FUNES ONE-WAY .............................................................................................................................................. 18 FUNES DE HASH ONE-WAY ................................................................................................................................ 18 CDIGOS DE AUTENTICAO DE MENSAGENS ....................................................................................................... 18 COMUNICAO COM O USO DE CRIPTOGRAFIA DE CHAVES PBLICAS ....................................... 19 ASSINATURAS DIGITAIS ................................................................................................................................... 19 ASSINANDO DOCUMENTOS COM SISTEMAS SIMTRICOS E UM RBITRO ................................................................. 20 ASSINANDO DOCUMENTOS COM CRIPTOGRAFIA DE CHAVES PBLICAS ................................................................ 20 ASSINANDO DOCUMENTOS COM SELOS TEMPORAIS .............................................................................................. 20 ASSINANDO DOCUMENTOS COM CRIPTOGRAFIA DE CHAVES PBLICAS E FUNES HASH ONE-WAY...................... 21 ASSINATURAS MLTIPLAS..................................................................................................................................... 21 NO REPDIO E ASSINATURAS DIGITAIS................................................................................................................ 21 INFRA-ESTRUTURA DE CHAVES PBLICAS............................................................................................... 22 SERVIOS VIABILIZADOS PELA ICP ...................................................................................................................... 22 Comunicao segura ....................................................................................................................................... 22 Cartrio digital................................................................................................................................................ 22 No-repudiao ou irretratabilidade .............................................................................................................. 23 CERTIFICADOS E CERTIFICAO ........................................................................................................................... 23 A GERNCIA DE CHAVES E DE CERTIFICADOS ...................................................................................................... 24 Fase de inicializao....................................................................................................................................... 24 A REVOGAO DE CERTIFICADOS ........................................................................................................................ 25

MODELOS DE CONFIANA ..................................................................................................................................... 26 MLTIPLOS CERTIFICADOS POR ENTIDADE ........................................................................................................... 27 Uso de pares de chaves ................................................................................................................................... 27 Relacionamento entre pares de chaves e certificados ..................................................................................... 28 Suporte no-repudiao ............................................................................................................................... 28 A DISSEMINAO DAS INFORMAES DA ICP: REPOSITRIOS E OUTRAS TCNICAS ........................................... 29 Disseminao privada ..................................................................................................................................... 29 Publicaes e repositrios .............................................................................................................................. 29 Caractersticas de privacidade........................................................................................................................ 30 Opes de implementao de repositrios interdomnios ............................................................................... 31 Intercmbio por protocolos sob demanda...................................................................................................... 33 CONSIDERAES OPERACIONAIS SOBRE ICPS ...................................................................................................... 34 Software de plataforma cliente........................................................................................................................ 34 Segurana fsica .............................................................................................................................................. 36 Componentes de hardware .............................................................................................................................. 36 Comprometimento da chave ............................................................................................................................ 37 Preparao e recuperao de desastres ......................................................................................................... 39 Notificao de parceiros de confiana ............................................................................................................ 39 Preparao...................................................................................................................................................... 40 Recuperao.................................................................................................................................................... 41 Observaes adicionais................................................................................................................................... 41 O ARCABOUO LEGAL (ICP-BRASIL)........................................................................................................... 42 REFERNCIAS BIBLIOGRFICAS .................................................................................................................. 43

Introduo
O uso disseminado de transaes financeiras em modo digital tem aumentado enormemente nos ltimos tempos. Segundo estimativas, o Brasil movimentou no ano de 2001 o equivalente a US$ 6 Bilhes em transaes digitais (e-business), enquanto, no mundo esta cifra teria atingido a ordem de US$600 Bilhes. Espera-se que este volume atinja a ordem de US$6 Trilhes no ano de 2005 (deve-se observar que esta estimativa anterior nova derrocada dos mercados globais, associada s fraudes observadas em mega-corporaes norte-americanas, mas este um assunto bem diverso). No contexto mundial, o Brasil o sexto em Internet Banking, a stima maior indstria de software e o dcimo oitavo em e-Gov (transaes e atendimento por entidades governamentais aos seus cidados), segundo pesquisa de 2001 realizada pela Fundao Getlio Vargas. Ainda segundo esta pesquisa, 9 milhes de brasileiros tm acesso Internet (cerca de 20% da populao do pas), sendo que 15% deste total, ou seja, 1,35 milho de pessoas, realizam compras online. De qualquer modo, a necessidade de segurana premente, e j atinge o usurio comum, embora nem sempre de maneira adequada. Se verdade que existem sempre pelo menos das formas de se fazer qualquer coisa, uma correta e uma errada, no que diz respeito segurana as formas erradas so muito mais numerosas que as corretas, e muitas vezes so justamente as primeiras a serem escolhidas. Por mais cruel que possa parecer, essencial ter em mente que virtualmente impossvel assegurar-se a completa segurana de um sistema computacional, mas sempre possvel demonstrar-se sua fragilidade: basta encontrar uma vulnerabilidade. Isto no dito para trazer desnimo aos que lem estas pginas. Pelo contrrio, o constante desafio o maior motivador dos que se dedicam s atividades de segurana. prefervel ter-se conscincia da eventual fragilidade dos sistemas com os quais se trabalha, do que acreditar cegamente na segurana 100% apregoada por fabricantes e vendedores de muitos produtos. Neste sentido, a criptografia se insere como um dos mecanismos de apoio s atividades de segurana. Ao longo das pginas seguintes, alguns conceitos sero apresentados, e tentar-se apresentar ao leitor um panorama do status atual dos sistemas criptogrficos em uso comercial, alm de padres propostos para utilizao futura. A bibliografia sobre este tema vasta, e apresentam-se alguns livros, autores e sites que podem enriquecer o contedo deste texto nem de longe passa pela mente do autor dissecar este assunto neste material. O objetivo , antes de tudo, provocar a curiosidade dos leitores para o fascinante mundo da segurana digital.

Histrico
Para um perfeito entendimento dos assuntos a serem abordados, deve-se introduzir uma conceituao dos principais temas associados segurana digital. So eles: a) Cifragem ou encriptao: ao de produzir o embaralhamento de um determinado contedo, via de regra com o uso de uma chave; b) Decifragem ou decriptao: ao de reverter a cifragem, obtendo o contedo original; c) Cifra: algoritmo criptogrfico; d) Criptologia (do grego kripts = escondido, oculto; lgos = estudo, cincia): a cincia que se ocupa do estudo dos processos e tcnicas de escrita em cdigo, e sua correspondente inverso; e) Criptografia (kripts; graphein = escrita): ocupa-se dos procedimentos de escrita em cdigo, atravs de cifragem; f) Criptoanlise (kripts; anlysis = decomposio, exame, estudo pormenorizado): estudo da obteno do contedo decifrado, a partir do cifrado, sem o uso da chave, o estudo de obteno da chave. Uma tentativa de criptoanlise chamada ataque. A criptografia, ao contrrio do que muitos pensam, no recente. Pelo contrrio, h registros de sua utilizao ainda na Roma antiga, poca de Jlio Csar, com o uso de substituio de letras na mensagem transmitida (este mtodo ser melhor discutido adiante). Posteriormente, ao longo da histria, vrios outros exemplos formam observados, notadamente na Primeira Guerra e na Segunda Guerra mundiais, aqui j com o uso de mquinas de cifragem (rotores). O uso de criptografia por software teve uma exploso no perodo da Guerra Fria, que ops as duas potncias (Unio Sovitica e Estados Unidos). Como pode-se observar, o uso da criptografia esteve sempre muito associado a aplicaes militares, at a ampla disseminao dos servios em redes digitais, a partir da dcada de setenta do sculo XX.

Formas bsicas de criptografia

Criptografia de chave simtrica De maneira geral, dados que podem ser lidos sem o uso de quaisquer medidas de segurana so chamados texto pleno. O resultado da encriptao de texto pleno gera o chamado texto cifrado, ou encriptado. Por sua vez, o processo reverso, a decriptao, o processo pelo qual a partir do texto cifrado obtm-se de volta o texto pleno. Esquematicamente, tem-se:

abcdef
Texto pleno

encriptao

xtpwyk
Texto cifrado

decriptao

abcdef
Texto pleno

Chave K

Chave K

Figura 1 criptografia de chave simtrica

Na criptografia convencional, tambm chamada criptografia de chave secreta ou de chave simtrica, uma mesma chave utilizada tanto no processo de encriptao quanto no processo de decriptao. Um exemplo amplamente difundido desta modalidade o algoritmo DES (Data Encription Standard) e suas variaes, bastante utilizado pelo governo norteamericano e outros setores pblicos ou privados ao redor do globo. A criptografia de chaves simtricas apresenta diversas vantagens, entre as quais a velocidade de gerao e processamento das chaves. Entretanto, ela apresenta a desvantagem de no se adequar a modelos onde necessria a distribuio de chaves. Considere-se o exemplo de uma aplicao na qual deve-se distribuir chaves para um nmero elevado de participantes. Definindo-se um par de chaves entre cada dupla de interlocutores, tem-se que o nmero de chaves N, para n participantes, de

N=

n * (n 1) 2

Num caso onde houvesse a necessidade de 1000 interlocutores realizarem o intercmbio de dados encriptados, v-se que a quantidade de chaves atingiria a ordem de meio milho de itens a serem gerados, gerenciados e distribudos. Assim, o problema da distribuio de chaves mostra-se extremamente importante.

Criptografia de chave pblica

Os problemas da distribuio de chaves so resolvidos pela criptografia de chaves pblicas, que um esquema assimtrico que usa um par de chaves para o tratamento dos dados: uma chave para a encriptao, e uma outra chave para a decriptao. A chave, dita pblica, difundida para o mundo, real ou virtual, enquanto a chave privada mantida sob absoluto sigilo. Deste modo, qualquer pessoa que tenha conhecimento de uma determinada chave pblica pode enviar dados para o detentor da respectiva chave privada, com a garantia de que somente este detentor poder ler os dados enviados: dados encriptados com uma das chaves s podem ser decriptados com a chave correspondente do mesmo par. Para garantir o sigilo, deve ser computacionalmente impossvel, ou ao menos extremamente improvvel, a obteno da chave privada a partir da chave pblica. Assim, a formulao e a utilizao de algoritmos robustos torna-se imperativa. Esquematicamente:

abcdef
Texto pleno

encriptao

xtpwyk
Texto cifrado

decriptao

abcdef
Texto pleno

Chave K

Chave K

Figura 2 Criptografia de chave pblica

Uma preocupao constante no uso de sistemas criptogrficos de chaves pblicas que as chaves privadas sejam do conhecimento apenas do seu proprietrio. Num ambiente de redes e servidores pblicos, ataques do tipo man-in-the-middle so uma ameaa potencial. Neste tipo de ataque, o atacante pode tentar introduzir uma chave copiada com o nome e identificao do usurio pelo qual pretende se passar. Assim, os dados cifrados enviados ao usurio legtimo tambm sero vistos pelo atacante. Nota-se, ento, a necessidade de garantir-se que a chave pblica com a qual se cifra dados de fato a chave pblica do legtimo destinatrio, e no uma fraude. No caso de pessoas prximas, pode-se fazer a entrega de chaves pessoalmente. Mas o que se pode fazer em ambientes de redes amplas, ou quando necessrio tratar com pessoas e entidades as quais nunca se viu antes, como no caso do comrcio eletrnico? Para simplificar esta tarefa, os certificados digitais estabelecem que uma determinada chave pblica pertence de fato a uma pessoa, equipamento ou servio, ou instituio. Um certificado uma forma de credencial. Analogias no mundo real so a carteira de motorista, a carteira de identidade e o passaporte. Cada um destes documentos tem alguma informao identificando seu portador, e alguma garantia de que algum mais confirmou esta identificao. Nos exemplos citados, esta garantia de tal teor que uma outra pessoa poderia personificar o real detentor de um destes documentos, estando de posse dele.

Um certificado digital um conjunto de dados que funciona de forma semelhante a um certificado do mundo fsico. Ele envolve informaes includas junto chave pblica, que ajudam a outros a verificarem que a chave ali contida genuna ou vlida. Deste modo, os certificados digitais so usados para demover tentativas de substituir-se uma chave pblica por outra. Resumidamente, um certificado digital compe-se de trs partes:

Uma chave pblica; Informaes de certificao (como nome, ID de usurio, etc.); Uma ou mais assinaturas digitais.

O propsito da assinatura digital num certificado o de assegurar que a informao contida no certificado foi atestada por alguma outra pessoa ou entidade. Mais adiante, um captulo deste texto ser totalmente dedicado certificao digital.

Servios providos pela criptografia

Quais os objetivos pretendidos ao se implementar criptografia? Em que medida estes objetivos so de fato alcanados? A criptografia de fato eficiente? A fim de se obter respostas objetivas a estas questes, fundamentais no processo de segurana da informao, deve-se conhecer alguns requisitos bsicos que a criptografia capaz de proporcionar, bem como deve-se conhecer as facilidades que ela no capaz de introduzir. Basicamente, a criptografia introduz as seguintes facilidades:
Confidencialidade: garantia de sigilo, atesta que o contedo criptografado somente ser lido por quem de direito; Autenticao: deve ser possvel ao destinatrio de uma mensagem garantir que o seu emissor de fato quem diz ser; Integridade: deve ser possvel ao destinatrio de uma mensagem garantir que ela no foi modificada em trnsito; um intruso no deve ser capaz de substituir uma mensagem legtima por uma falsa; No repdio, ou irretratabilidade: o emissor de uma mensagem no pode ser capaz de negar que a enviou (esta forma, por vezes, chamada de no repdio do emissor; fala-se tambm o no repdio do receptor).

Estes so requisitos vitais para a interao no mundo digital, que encontram contrapartida no mundo analgico. Infelizmente, a passagem de um mundo para outro nem sempre simples.

Criptoanlise
Como j se viu, a criptoanlise ocupa-se da tentativa de obteno do texto pleno de uma mensagem sem acesso chave. Uma criptoanlise bem sucedida pode recuperar o texto pleno ou a chave, ou ambos. Pode, ainda, detectar eventual fragilidade que possa levar queles resultados. A perda da chave atravs de mtodos no-criptoanalticos chamada comprometimento. Uma assero fundamental em criptoanlise, enunciada por Kerckhoffs no sculo XIX, que o segredo deve residir inteiramente na chave. Outra assero de que o atacante possui detalhes do algoritmo criptogrfico e de sua implementao (naturalmente, pode-se desenvolver algoritmos prprios, mas sensato admitir que o atacante sempre pode obter aqueles detalhes atravs da anlise). Existem basicamente quatro tipos de ataques criptoanalticos, vistos a seguir.
Ataque de texto cifrado

O criptoanalista possui o texto cifrado de vrias mensagens, todas cifradas com o mesmo algoritmo. O seu trabalho recuperar o texto pleno de tantas mensagens quanto possvel, ou, o que seria melhor ainda, deduzir a chave (ou chaves) usada para encriptar aquelas mensagens, a fim de decriptar outras mensagens cifradas com a mesma chave. Esquematicamente: Sejam C = texto cifrado; Ek = encriptao com a chave k; P = texto pleno. Dado: C1 = Ek(P1), C2 = Ek(P2), ..., Ci=Ek(Pi) Deduza: Ou P1, P2, ..., Pi, ou k, ou um algoritmo para inferir Pi+1 a partir de Ci+1=Ek(Pi+1).
Ataque de texto pleno conhecido

O criptoanalista possui no somente o texto cifrado de vrias mensagens, mas tambm ao texto pleno das mensagens correspondentes. Seu trabalho deduzir a chave usada para encriptao ou um algoritmo para decriptar quaisquer novas mensagem criptografadas com a mesma chave. Dado: P1, C1 = Ek(P1), P2, C2 = Ek(P2), ..., Pi, Ci=Ek(Pi) Deduza: Ou k, ou um algoritmo para inferir Pi+1 a partir de Ci+1=Ek(Pi+1).
Ataque de texto pleno escolhido

O criptoanalista no s tem acesso ao texto pleno e cifrado de vrias mensagens, como ainda pode escolher o texto pleno a ser cifrado. Seu trabalho deduzir a chave, ou um algoritmo para decriptar quaisquer novas mensagens encriptadas com a mesma chave. Dado: P1, C1 = Ek(P1), P2, C2 = Ek(P2), ..., Pi, Ci = Ek(Pi), onde o criptoanalista pode escolher P1, P2, ... , Pi Deduza: Ou k, ou um algoritmo para inferir Pi+1 a partir de Ci+1=Ek(Pi+1).

Ataque adaptativo de texto pleno escolhido

Este um caso especial do ataque de texto pleno escolhido. O criptoanalista no s pode escolher o texto pleno a ser cifrado, mas pode ainda modificar sua escolha baseado nos resultados da encriptao anterior. Num ataque de texto pleno escolhido, ele pode estar limitado escolha de um nico bloco de texto pleno a ser cifrado. Num ataque adaptativo de texto pleno escolhido, ele pode escolher um bloco de texto pleno a partir do anterior, e assim por diante.
Outras formas de ataque

Naturalmente, as formas de ataque no esto limitadas modalidades digitais. A engenharia social, por exemplo, tem contribudo enormemente para o comprometimento de sistemas completos de segurana. Fraude, chantagem, ameaas, furto, roubo e muitos outros, tambm so formas de se obter, indiretamente, acesso a segredos computacionais. Como se v, o quesito digital apenas uma das facetas da segurana, como um todo.

Segurana de algoritmos
Diferentes algoritmos possuem diferentes graus de segurana. Isto varia conforme o grau de dificuldade em quebr-los. Se o custo requerido para quebrar um algoritmo maior que o valor dos dados encriptados por ele, provavelmente ele estar seguro. Se o tempo requerido para quebrar um algoritmo maior que o tempo durante o qual os dados encriptados devem permanecer em segredo, provavelmente ele estar seguro. O mesmo pode-se dizer no caso da quantidade de informao necessria para quebrar o algoritmo, em contrapartida aos dados encriptados por ele. Diz-se provavelmente porque sempre h uma chance de novos progressos na criptoanlise. Por outro lado, o valor da maior parte das informaes decresce ao longo do tempo. importante que o valor dos dados permanea inferior ao custo da quebra da segurana que os protege. Lars Knudsen classificou as seguintes categorias de quebra de um algoritmo, em ordem decrescente de severidade:
Quebra total: um criptoanalista obtm a chave k, de tal forma que Dk(C) = P. Deduo global: um criptoanalista encontra um determinado algoritmo, A, equivalente a Dk(C), sem conhecer k. Deduo local: um criptoanalista encontra o texto pleno de um texto cifrado interceptado. Deduo de informao: um criptoanalista obtm alguma informao sobre a chave ou sobre o texto pleno. Esta informao pode ser resumir a alguns bits da chave, alguma informao sobre a forma do texto pleno, e assim por diante.

Um algoritmo dito incondicionalmente seguro se, no importando quanto texto cifrado que um criptoanalista possua, no h jamais informao suficiente para recuperar o texto pleno. Com efeito, somente o mtodo conhecido como one-time pad incondicionalmente seguro, dados recursos infinitos ao criptoanalista. Todos os outros criptosistemas so 10

vulnerveis a um ataque de texto cifrado, pela tentativa de gerar-se uma a uma as possveis chaves, e analisando-se se o texto pleno gerado faz sentido. Isto chamado ataque por fora bruta. A criptografia est naturalmente relacionada a criptosistemas que no se possa quebrar. Um algoritmo chamado computacionalmente seguro (ou forte) se ele no puder ser quebrado com recursos disponveis, presentes ou futuros. O que se entende por recursos disponveis est aberto interpretao... A complexidade de um ataque pode ser medida de diferentes formas: a) Complexidade de dados: a quantidade de dados necessria como entrada para a quebra; b) Complexidade de processamento: o tempo necessrio para realizar o ataque; c) Requisitos de armazenamento: o montante de memria necessrio para o ataque. Via de regra, a complexidade de um ataque tomada como sendo o menor dentre estes trs fatores. Alguns ataques envolvem um equilbrio entre as trs complexidades: um ataque mais rpido pode ser possvel s expensas de um requisito maior de armazenamento. A complexidade expressa em ordens de magnitude. Assim, por exemplo, se um algoritmo tem complexidade de processamento de 2128, ento 2128 operaes sero requeridas para quebr-lo. Neste caso, possuindo-se capacidade computacional para executar um milho de operaes por segundo em cada processador e com o uso de um milho de processadores, levarse- um tempo de aproximadamente 1019 anos para a determinao da chave. Isto , um bilho de vezes a idade do universo. Enquanto a complexidade de um ataque constante (at que os criptoanalistas encontrem um ataque melhor, claro), a capacidade computacional constante aumentada. Nem preciso lembrar a lei de Moore1. Alguns ataques so perfeitos para a utilizao de mquinas paralelas. Afirmar que um algoritmo seguro apenas porque ele no pode ser quebrado com os recursos atuais , no mnimo, arriscado. Bons criptosistemas so projetados tendo em vista o poder computacional previsto em anos no futuro.

Cifras de substituio e de transposio

Antes do surgimento dos computadores, a criptografia consistia na aplicao de algoritmos baseados em caracteres. Diferentes algoritmos substituam caracteres, ou transpunham caracteres a fim de gerar o texto cifrado, muitas vezes as duas coisas.
Cifras de substituio

Uma cifra de substituio aquela na qual cada caracter no texto pleno substitudo por outro caracter no texto cifrado. O destinatrio da mensagem inverte a substituio no texto cifrado para recuperar o texto pleno.
Gordon Moore, um dos fundadores da Intel, afirmou certa vez que a capacidade dos processadores dobra, em mdia, a cada dezoito meses. Embora haja limites fsicos para a integrao de componentes, novas tecnologias esto sendo pesquisadas a fim de proporcionar poder computacional cada vez maior.
1

11

Na criptografia clssica, h quatro tipos de cifras de substituio: a) Cifra monoalfabtica ou de substituio simples, na qual cada caracter no texto pleno substitudo por um caracter correspondente no texto cifrado; usada em jogos recreativos e passatempos de jornais; b) Cifra de substituio homofnica: anloga anterior, exceto pelo fato de que um nico caracter no texto pleno pode ser mapeado para vrios caracteres no texto cifrado. Por exemplo, A pode corresponder a 5, 13, 25 ou 56, e B pode corresponder a 7, 19, 31, ou 42, etc.; c) Cifra de substituio poligrmica: blocos de caracteres so cifrados em grupos. Por exemplo, ABA pode corresponder a RTQ, ABB a SLL, etc.; d) Cifra de substituio polialfabtica: feita de mltiplas substituies simples. Por exemplo, pode haver cinco substituies simples usadas; a utilizada varia conforme a posio do caracter no texto pleno. A famosa cifra de Csar uma substituio simples (cada caracter substitudo pelo que est, por exemplo, trs posies depois, mdulo 26 (A por D, B por E, ..., W por Z, X por A, Z por C). ROT13 uma cifra de substituio usada em sistemas UNIX. Nesta cifra, A substitudo por N, B por O, e assim por diante: cada letra sofre uma rotao de treze posies. Encriptando-se um arquivo duas vezes com ROT13 produz o arquivo original. ROT13 no usado para segurana, mas para omitir texto ofensivo, solues de quebra-cabeas, etc. Cifras de substituio simples no omitem a freqncia original dos caracteres no texto, podendo ser facilmente quebradas. Cifras de substituio homofnica foram usadas por volta do ano 1401 pelo Duque de Mntua. So mais complicadas de quebrar que as simples, mas, como tambm no omitem detalhes estatsticos, um programa de computador requer alguns segundos para ter sucesso. Cifras de substituio poligrmica, nas quais grupos de letras so cifradas juntas, foram usadas pelo exrcito ingls na Primeira Guerra mundial. Cifras de substituio polialfabtica foram criadas por Leon Battista em 1568. A cifra de Vigenre, publicada pela primeira vez em 1586 um outro exemplo. Embora quebradas por programas computacionais sem muita complexidade, vrios produtos ainda usam cifras desta forma. Estas cifras possuem mltiplas chaves de uma letra, cada uma das quais usada para encriptar uma letra do texto pleno. A primeira chave encripta a primeira letra, a segunda chave encripta a segunda letra, e assim por diante. Se houver vinte chaves de uma letra, ento cada vigsima letra ser encriptada com a mesma chave. Este nmero chamado perodo da chave.
Cifras de transposio

Numa cifra de transposio, o texto pleno continua o mesmo, mas a ordem dos caracteres modificada. Numa cifra de transposio simples colunar, o texto pleno escrito horizontalmente numa rea de largura fixa, e o texto cifrado lido verticalmente. A decriptao

12

consiste em escrever o texto cifrado verticalmente numa rea de largura igual, e ler o texto horizontalmente. Veja a figura 3: Texto pleno: O RATO ROEU A ROUPA DO REI DE ROMA O R R D D A R O O O E A E U R R T U P E O O A A I M

Texto cifrado: ORRDDAROOOEAEURRTUPEOOAAIM

Figura 3 exemplo de cifra de transposio simples colunar

Mais uma vez, como as letras do texto cifrado so as mesmas do texto pleno, o conhecimento estatstico das letras do alfabeto d uma tima pista sobre a transposio usada. Existem outras ainda mais complexas, mas a maioria computacionalmente quebrvel.

One-time pad
Existe uma esquema criptogrfico de segurana comprovada: one-time pad, criada em 1917 pelo Major Joseph Mauborgne e pelo pesquisador da AT&T Gilbert Vernam. Uma cifra one-time pad consiste num grande conjunto de chaves de letras no repetidas, geradas randomicamente, ajuntadas como num bloco de papel (pad, em ingls). Em sua forma original, era uma fita de papel usada por operadores de teletipo. O emissor usa cada letra da chave para encriptar exatamente um caracter do texto pleno. A encriptao a adio mdulo 26 do caracter do texto pleno com o caracter da chave. Cada letra da chave usada apenas uma vez, para somente uma mensagem. O emissor encripta a mensagem e ento destri as pginas usadas do bloco ou a seo usada da fita do teletipo. O receptor tem um bloco igual e usa cada chave por vez para decriptar cada letra do texto cifrado, aps o que destri o bloco ou a seo da fita usada. A cada nova mensagem, gerase uma nova seqncia de chaves. Por exemplo, se a mensagem for: ONETIMEPAD e a seqncia de chaves gerada for TBFRGFARFM ento o texto cifrado IPKLPSFHGQ 13

por que O + T mod 26 = I N + B mod 26 = P E + F mod 26 = K, etc. Assumindo-se que um atacante no tenha acesso one-time pad usada para encriptar a mensagem, este esquema perfeitamente seguro. Um texto cifrado dado pode corresponder a qualquer texto pleno de igual tamanho. Uma vez que cada seqncia da chave da mesma probabilidade (pela gerao randmica), um atacante no tem informao com a qual possa criptoanalisar o texto cifrado. A seqncia da chave poderia ser POYYAEAAZX que resultaria no texto pleno SALMONEGGS Ou poderia ser BXFGBMTMXM que produziria o texto pleno GREENFLUID O fundamental, aqui, que a seqncia de letras da chave dever ser gerada randomicamente. Qualquer ataque contra este sistema ser feito contra o mtodo de gerao as letras da chave. A gerao realmente randmica de valores computacionais muito mais complexa que o que pode parecer primeira vista. Outro detalhe importante que a mesma chave jamais pode ser usada mais de uma vez. Computacionalmente, usa-se o mtodo de XOR para cifragem e decifragem. H outros problemas: como os bits da chave devem ser randmicos e jamais usados duas vezes, a chave deve ser do tamanho do texto pleno. Alm disso, deve-se possuir duas cpias da chave, uma no emissor e outra no receptor. Isto complica ainda mais a questo do trfego e destruio das chaves j utilizadas. Alm disso, one-time pad no prov autenticidade. O uso de one-time pad no mundo atual est praticamente restrito a canais super-seguros de baixa largura de banda, mas pesquisa-se sua utilizao numa gama maior de aplicaes.

14

Protocolos criptogrficos
Um protocolo uma srie de passos que envolvem dois ou mais participantes, e que tem como objetivo desempenhar uma tarefa determinada. Por uma srie de passos, depreende-se que o protocolo possui uma seqncia, do princpio ao fim, sendo que cada passo deve ser dado em sua vez. Envolvendo dois ou mais participantes implica que a colaborao fundamental para a execuo do protocolo, e , por fim, a tarefa a ser executada conhecida e bem definida para todos os participantes. Embora parea evidente, vale a pena explicitar as caractersticas bsicas de um protocolo:

Todos os participantes no protocolo devem conhec-lo e seus passos previamente; Todos os participantes devem concordar em segui-lo; O protocolo deve ser inequvoco, ou seja, livre de ambigidades; O protocolo deve ser completo: deve haver uma ao especfica para cada situao possvel.

Um protocolo criptogrfico um protocolo que faz uso de criptografia para a sua execuo, e, via de regra, isto mais que apenas sigilo. Os participantes podem desejar compartilhar segredo para o clculo de um valor, gerar em conjunto um valor randmico, convencer-se mutuamente sobre suas identidades, ou assinar um contrato de forma simultnea. Em todos estes casos, deseja-se prevenir ou detectar trapaas ou a tentativa de intruses. Uma regra essencial aos protocolos criptogrficos a seguinte: No deve ser possvel fazer ou aprender nada alm do que est especificado no protocolo [SCH 96]. Como se ver, isto muito mais fcil de dizer do que de implementar.
Protocolos arbitrados

Um rbitro uma terceira parte desinteressada, confivel, utilizada a fim de se completar um protocolo. Isto significa que esta terceira parte totalmente isenta quanto aos participantes do protocolo, e que todas aquelas partes confiam e aceitam o seu julgamento. Como se v, rbitros so fundamentais a fim de se completar protocolos entre partes que no possuem confiana mtua. Exemplos do mundo real seriam bancos, tabelies, etc. No mundo virtual, h alguns problemas:

mais fcil confiar numa parte neutra quando se pode v-la; O rbitro um gargalo na implementao de protocolos de larga escala, uma vez que ele deve interferir em todas as transaes. O aumento do nmero de rbitros pode acelerar esta mediao, mas aumentar o custo envolvido; Uma vez que todos na rede devem confiar no rbitro, ele representa um ponto vulnervel a quem desejar subverter esta confiana.

15

Protocolos adjudicados

Diferentemente do protocolo arbitrado, onde em cada passo a ao do rbitro essencial, no protocolo adjudicado a ao do mediador requerida apenas em caso de disputa. Sua interveno visa a determinar se o protocolo foi executado de forma leal. No mundo real, juzes so adjudicadores profissionais. As partes A e B podem iniciar uma ao, por exemplo, um contrato, sem a interveno de um juiz, que no ver o contrato at que uma das partes, ou ambas, faa uma argio ao adjudicador. Assim, o protocolo pode executar da seguinte forma: Parte no adjudicada: 1. A e B negociam os termos do contrato; 2. A assina o contrato; 3. B assina o contrato. Parte adjudicada (em caso de disputa): 4. 5. 6. 7. A e B se apresentam ao juiz; A apresenta a sua evidncia; B apresenta a sua evidncia; O juiz decide em face das evidncias.

Protocolos auto-reforados

Esta a melhor forma de protocolo. Nenhum rbitro ou adjudicador necessrio: o prprio protocolo se encarrega de garantir o correto comportamento dos participantes. Se uma das partes tenta trapacear, automaticamente a outra detecta esta tentativa e o protocolo se interrompe.
Ataques contra protocolos

Ataques contra protocolos podem ser passivos ou ativos. Num ataque passivo, um indivduo externo execuo do protocolo pode tentar obter informao, de parte ou todo o protocolo, a fim se beneficiar. Um exemplo disto o ataque de texto cifrado, visto anteriormente. Estes ataques podem ser bem dificeis de se detectar. De outra forma, um atacante pode tentar subverter o protocolo a seu favor. Ele pode tentar se passar por outra pessoa, introduzir novas mensagens no protocolo, remover mensagens existentes, alterar contedo de mensagens existentes, repetir mensagens anteriores, etc. Estes so ataques ativos. A forma destes ataques pode variar conforme vrias condies, mas observe que o atacante um dos participantes do protocolo.

16

Comunicao com o uso de criptografia simtrica

Como duas entidades se comunicam de forma segura, numa rede aberta e considerada um ambiente hostil? Encriptando sua comunicao, decerto. Vejamos o que deve acontecer para que A possa enviar uma mensagem para B, de forma segura: 1. A e B entram em acordo quanto ao criptosistema a ser usado; 2. A e B combinam a chave a ser usada; 3. A toma sua mensagem em texto pleno, e a encripta usando o algoritmo e a chave combinados, criando um texto cifrado; 4. A envia o texto cifrado para B; 5. B decripta o texto cifrado com o mesmo algoritmo e chave e o l. O que um atacante poderia fazer, estando entre A e B? De posse da mensagem transmitida no passo 4, poderia realizar criptoanlise sobre ele um ataque de texto cifrado, conforme j foi visto. H algoritmos com robustez suficiente para dar a este atacante trabalho por bilhes de anos. Se ele for esperto, pode ter aceso tambm aos passos 1 e 2. Assim, pode decriptar a mensagem obtida no passo 4 tanto quanto B. Um bom algoritmo aquele em que toda a segurana inerente ao conhecimento da chave, e nenhuma segurana inerente ao conhecimento do algoritmo [SCH 96]. Eis porque a gerncia de chaves to importante em criptografia. Com um algoritmo simtrico, A e B podem realizar o passo 1 em pblico, mas devem realizar o passo 2 e forma totalmente secreta. As chaves devem permanecer em segredo antes, durante e depois do protocolo tanto quanto a mensagem deva permanecer em segredo. A criptografia de chaves pblicas trata este roblema de outra forma, como se ver adiante. Um atacante ativo pode tentar ainda outras coisas. Ele pode tentar interromper a comunicao no passo 4, de forma tal a impedir que A e B se comuniquem. Pode ainda interceptar as mensagens de A e substitu-las pelas suas. Se ele conhecer a chave, pode inserir suas mensagens como se fossem as de A. Alm disso, os prprios participantes A e B podem disseminar a chave ou mesmo a mensagem em texto pleno. Naturalmente, a confiana entre os participantes fundamental num protocolo. Resumidamente, sistemas simtricos tm os seguintes problemas:

As chaves devem ser distribudas em sigilo. O seu valor corresponde ao valor das mensagens cifradas com elas, j que o conhecimento da chave leva ao conhecimento das mensagens. Numa rede aberta, esta tarefa de distribuio extremamente dificultada; Se uma chave comprometida (roubada, deduzida, extorquida, revelada, etc.), o atacante pode decriptar todo o trfego trocado com aquela chave. Pode ainda se fazer passar por uma das partes e produzir falsas mensagens para enganar a outra parte;

17

Como j foi dito antes, assumindo-se que cada par de participantes possui uma chave, p nmero de chaves cresce rapidamente. n usurios requerem n(n-1)/2 chaves.

Funes One-way

Uma funo one-way uma funo de clculo computacional fcil, mas de inverso extremamente difcil. Dito de outra forma, dado x fcil calcular f(x), mas dado f(x) deve ser computacionalmente invivel realizar o clculo de x. Sua aplicao largamente utilizada em criptografia, mas com um acrscimo: uma chave. Com o uso da chave, torna-se fcil realizar a reverso da funo one-way.
Funes de hash one-way

Uma funo de hash one-way posui vrios nomes, no contexto da criptografia: ela ser chamada de funo de compresso, funo de contrao, sinopse da mensagem (message digest), checksum criptogrfico, etc. No importa a nomenclatura usada, funes de hash oneway so essenciais na construo da criptografia moderna. As funes de hash so conhecidas dos projetistas de algoritmos h muito tempo. Entre outras propriedades, elas tomam um string de entrada de tamanho varivel (chamado primagem), e o convertem num string de sada de tamanho fixo, chamado valor de hash. Uma funo de hash one-way uma funo de hash que trabalha numa direo: fcil computar um valor de hash de uma pr-imagem, mas muito difcil gerar uma pr-imagem dado um valor de hash. Alm disso, uma boa funo de hash one-way livre de colises: no se deve ter duas pr-imagens com o mesmo valor de hash. Algumas propriedades essenciais funes de hash one-way so:

A funo de hash pblica, no havendo segredo no processo; A sada no deve ser dependente da entrada; Matematicamente, uma mudana de um bit na pr-imagem gera, em mdia, mudanas em metade dos bits da sada [SCH 96]; Dado um valor de hash, computacionalmente impraticvel encontrar a pr-imagem que gerou aquele valor.

Eis um exemplo: caso voc queira verificar se algum possui determinado arquivo (que voc tambm possui), mas no quer que ele o envie a voc, pea a ele que envie o hash do arquivo se ele enviar o hash correto, provavelmente possui o arquivo (lembre-se, h outras condies no consideradas aqui).
Cdigos de autenticao de mensagens

Um cdigo de autenticao de mensagem (do ingls message authentication code MAC), uma funo de hash one-way com a adio de uma chave secreta. O valor de hash uma funo tanto da pr-imagem quanto da chave somente quem possui a chave pode obter a pr-imagem.

18

Comunicao com o uso de criptografia de chaves pblicas

Em 1976, Whitfield Diffie e Martin Hellman apresentaram o conceito de criptografia de chaves pblicas. Eles usaram duas chaves diferentes uma pblica e uma privada, sendo computacionalmente invivel, como j vimos, deduzir-se a chave privada a partir da chave publica. Eis um exemplo: 1. 2. 3. 4. 5. A e B concordam quanto ao criptosistema de chave pblica; B envia a A a sua chave pblica; A encripta sua mensagem usando a chave pblica de B; A envia a mensagem a B; B decripta a mensagem de A com sua chave privada.

Observe que a criptografia de chave pblica soluciona o problema de gerenciamento de chaves: sem arranjo prvio quanto chave, A pode enviar sua mensagem para B. Um atacante pode obter a mensagem, mas sem a chave privada de B no poder abri-la. De forma mais comum, vrios usurios podem combinar o uso de um criptosistema de chave pblica. As chaves pblicas so, ento, postadas num repositrio (um banco de dados, ou um diretrio de uso comum). Agora, o protocolo ainda mais fcil: 1. A obtm a chave pblica de B a partir do banco ou diretrio; 2. A encripta sua mensagem e a envia a B; 3. B decripta a mensagem de A com sua chave privada.

Assinaturas digitais
Assinaturas manuais tm sido usadas h muito tempo como prova de autenticidade ou de concordncia com o contedo de um documento. Eis algumas de suas caractersticas, que levam uma assinatura a ter valor legal:

A assinatura autntica a assinatura convence o recebedor do documento que o assinante deliberadamente assinou o documento; A assinatura no passvel de fraude uma prova de que o autor, e no outra pessoa, deliberadamente assinou o documento; No reutilizvel a assinatura parte do documento; uma pessoa inescrupulosa no pode remover a assinatura de um documento e coloc-la em outro; O documento assinado no altervel uma vez assinado, ele no pode ser alterado; A assinatura no pode ser repudiada o assinante no pode alegar que no assinou o documento.

Na verdade, nenhuma das afirmaes acima completamente verdadeira. Contudo, convivemos com os problemas decorrentes da crena nestas caractarsticas. No mundo digital, fcil imaginar que os problemas so ainda maiores.

19

Assinando documentos com sistemas simtricos e um rbitro

A deseja assinar uma mensagem digital e envi-la a B. Com a ajuda de um rbitro e um criptosistema simtrico, isto possvel. O rbitro, digamos, T, pode se comunicar com A e B (e quem mais desejar assinar um documento digital). T compartilha uma chave secreta com A, KA, e uma chave secreta diferente KB, com B. Estas chaves foram estabelecidas antes do incio do protocolo e podem ser usadas mltiplas vezes para mltiplas assinaturas. 1. A encripta sua mensagem para B com KA e envia para T; 2. T decripta a mensagem com KA; 3. T toma a mensagem decriptada junto com uma declarao de que a recebeu de A e encripta o conjunto com KB; 4. T envia o conjunto criptografado para B; 5. B decripta o conjunto com KB. Ele agora pode ler a mensagem e ter a certificao de T de que ela veio de A. Mantidas as condies de confiana, o protocolo acima possui as caractersticas de uma assinatura conforme vistas antes. Este protocolo funciona, mas consome tempo excessivo de T, alm de ele ter de posuir uma chave nica para todos os participantes. Alm disso, T deve ser completamente seguro algo extremamente difcil em termos prticos.
Assinando documentos com criptografia de chaves pblicas

H algoritmos de chave pblica que podem ser usados para assinaturas digitais. Em alguns deles, como RSA (Rivest-Shamir-Adleman), tanto a chave pblica como a privada podem ser usadas para encriptao. O protocolo bsico simples: 1. A encripta o documento com sua chave privada, assinando-o; 2. A envia o documento assinado para B; 3. B decripta o documento com a chave pblica de A, e assim verifica a assinatura. Este protocolo muito melhor que o anterior. No a necessidade de um rbitro para assinar ou verificar assinaturas ele necessrio para atestar que a chave pblica de A pertence de fato a A. Caso B no consiga executar o passo 3, ele sabe que a assinatura no vlida. Alm disso, este protocolo corresponde s caractersticas anteriores.
Assinando documentos com selos temporais

No exemplo anterior, B pode reutilizar a mensagem assinada por A. E se for uma ordem de pagamento? Para impedir a reutilizao, assinaturas digitais possuem selos temporais (time stamping). A cada vez que o documento digitalmente assinado apresentado, confere-se o selo temporal nele colocado para saber se ele j no foi (e se poderia ser) apresentado.

20

Assinando documentos com criptografia de chaves pblicas e funes hash one-way

Para efeitos prticos, algoritmos de chave pblica so ineficientes para assinar documentos longos. Para poupar tempo, protocolos de assinatura digital so freqentemente utilizados com funes de hash one-way. Ao invs de assinar um documento, A assina o hash do documento. Neste protocolo, tanto a funo de hash como o algoritmo de assinatura digital so acordados antecipadamente: A produz um hash one-way de um documento; A encripta o hash com sua chave privada, assinando-o; A envia o documento e o hash assinado para B; B produz o hash one-way do documento enviado por A. Decripta o hash assinado por A com a chave pblica deste, e compara o hash produzido com aquele assinado. A velocidade grandemente aumentada e, uma vez que as chances de dois documentos diferentes terem o mesmo hash de, digamos, 160 bits de uma em 2160, tem-se uma enorme garantia de que a assinatura no hash equivale a uma assinatura no documento. Este protocolo possui outros benefcios: Pode-se ter um repositrio para hashes de documentos; em caso de disputa, por exemplo, de patentes, os contendores so chamados a apresentar o documento cujo hash est contido no repositrio; um selo temporal pode ser ponto em cada hash, de modo tal a garantir a ordem de apresentao de documentos: pode-se requerer direitos autorais de um documento sem traz-lo a pblico.
Assinaturas mltiplas

E no caso de uma transao com mais de dois participantes, por exemplo, um contrato de compra e venda? Vejamos: 1. 2. 3. 4. A assina o hash do documento; B assina o hash do documento; B envia o resultado de sua assinatura para A; A envia o documento, sua assinatura e a de B para um terceiro (por exemplo, o cartrio C); 5. C verifica a assinatura de A e de B.

A e B podem executar os passos 1 e 2 em srie ou em paralelo. De qualquer modo, C pode verificar a assinatura de um de modo independente da do outro.
No repdio e assinaturas digitais

A pode trapacear com sua assinatura digital. Pode, por exemplo, assinar um documento e depois alegar que no o fez. Primeiro, assina o documento normalmente. Depois, divulga, anonimamente, sua chave privada. Alega, ento, que sua chave foi comprometida e outros a esto usando.

21

O uso de selos temporais pode minorar este efeito, mas A sempre dizer que o comprometimento ocorreu antes. Este problema deriva do fato da chave privada estar em algum recipiente violvel ou transmissvel.

Infra-estrutura de chaves pblicas

Conforme j se disse anteriormente, os certificados digitais so utilizados quando h a necessidade de trocar-se chaves pblicas com algum mais. Para pequenos grupos de pessoas que desejam comunicar-se seguramente, mais fcil proceder a uma distribuio manual, atravs de disquetes ou e-mail, desde que confiveis, contendo as chaves pblicas a serem comunicadas. Esta a chamada distribuio manual de chaves pblicas, e, claramente, s prtica at um certo ponto. Alm deste ponto, torna-se necessrio utilizar sistemas que garantam os mecanismos segurana, armazenamento e intercmbio de chaves pblicas, para ambientes do cooperao, parceiros comerciais e destinatrios dos mais variados alcances. Estas estruturas podem ser apenas repositrios de certificados, os chamados Servidores de Certificados, ou podem acrescentar caractersticas completas para a gerncia de chaves, num conjunto chamado Infra-estrutura de chaves pblicas - ICP (do ingls, Public Key Infrastructures PKI). Alm de contar com um servidor para o armazenamento das chaves, uma ICP conta ainda com facilidades completas de gerenciamento de chaves, tais como as facilidades de emitir, revogar, armazenar, distribuir e autenticar certificados. A principal caracterstica de uma ICP a introduo da chamada Autoridade Certificadora AC (do ingls Certificate Authority CA), que a entidade pessoa, grupo, departamento, empresa ou outra associao que assegura a uma organizao a capacidade de emitir certificados a seus usurios. Uma AC cria certificados e os assina digitalmente com a chave privada da AC, autenticando sua originalidade e confiabilidade. Pelo seu papel na criao de certificados, a AC o componente central de uma ICP. Usando a chave pblica da AC, qualquer pessoa que deseje assegurar a autenticidade de um certificado pode verificar a assinatura digital da AC, e garantir, assim, a integridade do contedo deste certificado (mais importante ainda, da chave pblica e da identidade do detentor do certificado).
Servios Viabilizados pela ICP

Dentre os servios que se pode prover tendo como base uma ICP, pode-se citar:
Comunicao segura

Entendida como a transmisso de dados com uma ou mais da propriedades de autenticidade, integridade e confidencialidade. Este servio se baseia, alm das caractersticas da ICP, em protocolos de redes e de comunicaes para criar um servio expandido, que pode atender a correio eletrnico, web servers, redes privadas virtuais (do ingls Virtual Private Network VPN), etc.
Cartrio digital

Oferece as facilidades de certificao de dados, ou seja, atesta que os dados em questo so vlidos, atravs da verificao da assinatura digital com a chave pblica contida no certificado emitido pela AC, e que a entidade envolvida de fato a detentora do certificado.

22

No-repudiao ou irretratabilidade

Servio atravs do qual uma pessoa ou entidade no pode negar ter cometido uma ao que de fato realizou, seno por impercia ou m-f. Como um exemplo, o emissor de uma mensagem com assinatura digital no pode afirmar no t-la mandado, uma vez que, quando o receber decriptar a mensagem com o uso da chave pblica correspondente, apenas o detentor daquela chave privada poderia ter feito a assinatura. Desta forma, ou sua chave est comprometida, ou ele de fato enviou a mensagem. Esta a chamada no-repudiao de envio. H ainda a no-repudiao de recebimento, de criao, de aprovao e de intermediao, que operam de modos anlogos.
Certificados e Certificao

Toda a segurana de uma transao realizada atravs de certificados digitais baseia-se nas seguintes premissas: a) a integridade da chave pblica, e de quaisquer outras informaes a elas associadas, deve ser assegurada; b) a chave pblica, bem como quaisquer outras informaes a ela associadas, est relacionada a quem alega ser seu proprietrio, de forma confivel. A fim de assegurar estas premissas, e para garantir a interoperabilidade dos certificados entre diferentes plataformas, a ITU-T (International Telecommunication Union Telecom Standardization) definiu um padro de certificados digitais, chamado X.509, que apresenta o seguinte formato: Campo Verso Nmero serial Assinatura Emissor Validade Detentor Chave pblica Campos opcionais Utilizao Identifica a verso do certificado. A verso corrente v3 Identifica univocamente este certificado junto ao seu emissor (AC) Indica o algoritmo utilizado para gerar a assinatura do certificado Nome nico (Distinguished name DN) do emissor Indica a data de validade do certificado, a menos que ele seja revogado Nome nico (DN) do proprietrio do certificado Chave e identificador do algoritmo de chave pblica utilizado Podem incluir extenses e outras informaes que se considere relevantes

Naturalmente, os certificados em si, se no forem devidamente gerados, mantidos e utilizados, no so capazes de garantir a segurana que deles se espera. Nos casos de troca de certificados entre domnios de mltiplas ICPs, um conjunto de normas e polticas de certificao deve ser estabelecido, a fim de garantir a interoperabilidade entre as distintas AC envolvidas. Alm disso, uma outra entidade fundamental numa ICP a Autoridade Registradora AR (do ingls Registration Authority, RA). Ela atua em conjunto com a AC para aumentar a escalabilidade do funcionamento desta ltima, alm de operacionalizar os custos envolvidos com a gerncia dos certificados. Embora as funes de AR possam variar, via de regra ela responsvel por:

23

Estabelecer e confirmar a identidade de um indivduo como parte do processo de inicializao da certificao (ou seja, coletar informaes, documentos, etc.; Iniciar o processo de certificao junto AC para os usurios finais; Gerar material de apoio em benefcio do usurio final; Realizar algumas atividades de gerenciamento no ciclo de vida das chave e do certificado, tais como iniciar um processo de revogao.

A Gerncia de Chaves e de Certificados

Dados volumes de informaes que as aplicaes do mundo real exigem, para o correto estabelecimento e funcionamento de uma ICP, e tendo em vista os requisitos de funcionalidade que uma tal infra-estrutura precisa ter para ser de fato til e prtica, deve-se ter em mente as seguintes caractersticas:

O gerenciamento do ciclo de vida da chave e do certificado por parte da entidade final no prtico; Este gerenciamento deve ser o mais automatizado possvel; ciclo de vida deve ser o menos invasivo o possvel na rotina de seus usurios e participantes; O gerenciamento completo do ciclo de vida requer a operao e cooperao seguras de entidades confiveis tais como a AC e a AR, assim como de software para usurios finais que interajam com estes componentes, quando necessrio.

As vrias fases do gerenciamento do ciclo de vida das chaves e dos certificados pode ser esquematizada pela figura 4.
Fase de inicializao

Antes que os usurios possam utilizar os servios providos pela ICP, eles devem passar pelas etapas ilustradas na figura acima. O processo de registro pode ser feito de diversas maneiras, sendo que uma das possveis ilustrada pela figura 4. Ali esto envolvidos o usurio, a AC e a AR, sendo que esta ltima, em algumas aplicaes, pode estar ausente deste processo. O processo de gerao do par de chaves (pblica e privada) pode ser realizado no sistema do usurio (por exemplo, atravs de um browser), na AR, ou na AC. Em alguns ambientes, um uma facilidade de gerao de chaves confivel, provida por terceiro, pode ser necessria. O local de gerao do par de chaves uma considerao de grande importncia, e objeto de debates. Fatores que podem influir nesta escolha incluem a capacidade, performance, segurana, requisitos legais, e uso pretendido da chave. Tambm a realizao ou no do backup da chave objeto de acalorados debates, pois pode ensejar, se mal utilizado, o uso indevido de um item que deveria ser de propriedade exclusiva do usurio.

24

inicializao

Registro; Gerao do par de chaves; Criao do certificado e distribuio da chave e do certificado; Disseminao do certificado; Backup da chave (se apropriado)

Certificado uso

em

Acesso ao certificado; Validao do certificado; Recuperao de chaves; Atualizao de chaves

Cancelamento

Expirao do certificado; Revogao do certificado; Histrico da chave; Armazenamento da chave.

Figura 4 Ciclo de vida de gerenciamento de chaves e certificados

A Revogao de Certificados

Os certificados somente so teis enquanto so vlidos. altamente inseguro assumir que um certificado tenha validade indefinida. Em todas as ICPs, certificados tm um tempo de vida til limitado, o que restringe o perodo no qual um sistema se torna vulnervel, caso ocorra um comprometimento do certificado respectivo. Assim, os certificados so criados com um perodo de validade, conforme indicado em sua estrutura, perodo durante o qual espera-se que o certificado preserve sua utilidade. Quando o certificado expira, ele no ser mais vlido, uma vez que a autenticidade do seu par chave/identificao no ser mais assegurada. Pode-se, quando muito, usar este certificado para confirmar informaes que foram encriptadas ou assinadas durante seu perodo de validade mas nada alm deste ponto. H, ainda, situaes em que pode ser necessrio invalidar um certificado antes de sua data de expirao. Por exemplo, quando o empregado que seu detentor encerra seu contrato de trabalho com a empresa, ou quando exista a suspeita de que chave privada correspondente quele certificado tenha sido comprometida. Este ltimo processo e chamado revogao. Um certificado revogado muito mais suspeito que um certificado expirado. Certificados expirados no so teis, exceto quanto ressalva feita anteriormente, mas no trazem o mesmo comprometimento que um certificado revogado. Qualquer usurio que tenha assinado um certificado pode revogar sua assinatura (desde que use a mesma chave privada utilizada quando da criao do certificado). Uma assinatura

25

revogada indica que o assinante no confia mais na associao entre chave pblica e informaes de identificao, ou que a chave pblica do certificado (ou a chave privada correspondente) foi comprometida. No caso dos certificados X.509, uma assinatura revogada tem praticamente a mesma importncia que um certificado revogado, desde que a assinatura de revogao seja a mesma que tornou o certificado vlido inicialmente a assinatura da AC - somente o emissor do certificado pode revog-lo. Quando um certificado revogado, fundamental que os seus potenciais usurios sejam informados de que ele no mais vlido. Num ambiente de ICP, a comunicao dos certificados revogados feita atravs de uma estrutura chamada Lista de Revogao de Certificados LRC (do ingls Certificate Revocation List), que publicada pela AC. A LRC contm uma lista de todos os certificados revogados e no expirados do sistema. Aps a expirao, os certificados so retirados da lista. A AC distribui LRC para os seus usurios em intervalos regulares, ou potencialmente quando um certificado revogado, o que, teoricamente, previne que se confie num certificado comprometido. Contudo, caso no haja um mecanismo de temporizao extremamente confivel, possvel que se utilize um certificado comprometido entre duas emisses da LRC.
Modelos de Confiana

Em ambientes menores, a confiana entre entidades estabelecida diretamente. No caso de grandes redes, a confiana entre entidades e principalmente entre certificados deve ser transmitida de outras formas. Na maioria dos casos, em ambiente de ICP, os participantes confiam completamente na AC para estabelecer a validade dos seus certificados. Isto implica que todos se fiam na AC para realizar as tarefas de validao. Neste contexto, a AC atua como um meta-apresentador, que prov no apenas a validade das chaves, mas tambm a habilidade de confiar nesta validade. Ou seja, da mesma forma que um rei, ao apor seu selo num dito levado por ser seus enviados, a AC pode delegar a capacidade de validao a apresentadores confiveis. Estes podem validar chaves da mesma forma que o meta-apresentador, mas no podem estabelecer novos apresentadores. A primeira AC, naquela em qual todos confiam, chamada AC raiz, enquanto as demais so chamadas ACs subordinadas. A AC Raiz usa uma chave privada associada com um tipo especial de certificado, chamado certificado de AC raiz, para assinar seus certificados. Qualquer certificado assinado pelo certificado da AC raiz visto como vlido por todas as outras ACs cujos certificados foram assinados pela AC raiz. Este processo de verificao regressiva a fim de verificar quem assinou qual certificado chamado caminho ou cadeia de certificao. Um modelo de confiana o mecanismo pelo qual os usurios estabelecero a validade dos seus certificados. Existem trs tipos bsicos de modelos: a) Confiana direta, que o modelo mais simples, no qual os participantes sabem de onde vem o certificado e conhecem o seu detentor;

26

b) Confiana hierrquica, na qual atribui-se confiana a certificados atravs da confiana em seu emissor, num caminho ascendente at uma AC raiz, e c) Rede de confiana, que envolve ambos modelos anteriores, e no qual a confiana em um certificado obtida parte pelo seu emissor, parte por informao adicional que se possua sobre seu detentor.
Mltiplos Certificados por Entidade

Para finalidades distintas, pode-se utilizar diferentes pares de chaves digitais. Por exemplo, indivduos podem usar um certificado para e-mails pessoais, outro para transaes financeiras, e assim por diante. Alm disso, o emissor dos certificados pode aplicar a cada um restries e privilgios distintos, bem como associar a eles atividades especficas, como procedimentos de backup, alm da aplicao de regulamentos e normatizao especficos para cada caso. Num contexto de mltiplas atribuies, torna-se comum que uma mesma entidade possua vrios pares de chaves para as suas diferentes tarefas.
Uso de pares de chaves

Alm de determinaes de regulamentos ou da prtica, a utilizao de pares de chaves tambm pode ser restrita pelas sua prpria construo, a partir do seu algoritmo gerador. Particularmente, um par de chaves gerado pelo DAS (Digital Signature Algorithm) no pode ser usado para encriptao e decriptao quando implementado conforme as especificaes do algoritmo. De modo similar, um par de chaves Diffie-Hellman no pode ser usado para assinar dados e verificar as assinaturas. Alm disso, uma par de chaves gerado pelo algoritmo RSA (Rivest-Shamir-Adleman), embora possa ser aritmeticamente utilizado para autenticao, integridade, confidencialidade ou troca de chaves, pode ter sua aplicabilidade reduzida, por opes de implementao, polticas de uso ou legislao, a apenas alguns casos. Assim, um par de chaves pode estar associado com uma poltica especfica para Uma qualidade ou quantidade particular de uso (por exemplo, transaes de compra at determinado valor), associado a Um tipo de uso particular (por exemplo, a autorizao de transaes de compra), associado a Uma categoria de uso particular (por exemplo, verificao de contedo de dados), associado a Um servio de uso particular (por exemplo, autenticao). Outro tipo de restrio de uso pode ser uma aplicao ou protocolo em particular. Por exemplo, um par de chaves pode ser utilizado para autenticao de entidades sob o protocolo IPSec, mas no sob o protocolo SSL. Uma ICP que se proponha completa e abrangente deve estar apta a lidar com estas situaes.

27

Relacionamento entre pares de chaves e certificados

Se uma determinada entidade, afiliada a uma ICP, possui mltiplos pares de chaves, de se esperar que ela tenha mltiplos certificados, pois o formato de um certificado no permite naturalmente que ele contenha mais que um par de chaves. Contudo, isto no impede que o mesmo par de chaves possa aparecer em vrios certificados simultaneamente vlidos. O benefcio mais citado de se permitir que um mesmo par de chaves aparea em mais de um certificado a simplicidade de renovao do certificado. Se um par de chaves no foi comprometido (ou seja, a chave privada no foi descoberta por eventuais atacantes), e apresenta segurana criptogrfica contra ataques iminentes, pelo tamanho de sua chave, ento, por simplificao, pode-se supor que ao aproximar-se sua data de expirao, sua chave pblica possa ser colocada num novo certificado, com um novo perodo de validade. Esta ao estende a vida til do par de chaves, e no exige que as partes que nele confiam precisem atualizar seu conhecimento sobre a chave pblica associada. Alm disso, o detentor do certificado no precisa mudar sua chave, e fica assim livre de ter de manter um histrico das chaves, ao longo do tempo. Deve ficar claro que o argumento acima relativamente fraco para muitos ambientes. Um implementaes de ICP, no se trata apenas a chave, mas sim o certificado, e assim as partes que necessitam transacionar com a entidade atualizam integralmente o certificado recebido, atualizando tambm o valor da chave ali contida. Alm disso, a possibilidade de que um mesmo par de chaves exista em diferentes certificados vlidos pode ensejar tentativas de ataques por substituio, tentando usar um certificado para determinada finalidade com a inteno de atingir outro objetivo. Uma ltima considerao diz respeito revogao: se uma mesmo para de chaves usado em vrios certificados, e a chave privada comprometida, deve-se proceder imediata revogao de todos os certificados associados, sob pena de criar-se uma gravssima falha de segurana.
Suporte no-repudiao

Para a implementao do servio de no-repudiao, a habilidade de tratar-se mltiplos pares de chaves um requisito fundamental. Uma condio necessria no-repudiao que a chave privada envolvida na ao no seja conhecida por nenhum outra entidade que no a sua detentora. Esta caracterstica difere claramente do caso em que uma chave usada para cifragem, por exemplo. Em muitos ambientes, polticas determinam que as chaves privadas de decriptao sejam copiadas por uma entidade confivel, de tal forma que, se o seu detentor perder ou esquecer a chave, os dados possam ser recuperados. Chaves de decriptao, portanto, devem ser recuperveis. Chaves de assinatura, por outro lado, especialmente no caso de aes onde se pretenda usar o argumento da no-repudiao, jamais devem ser copiadas, devendo ser atribudas e ser do conhecimento exclusivo do detentor do respectivo certificado . Tendo em vista estas consideraes, alguns ambientes determinam a existncia de pelo menos trs pares de chaves por entidade:

28

a) Um para encriptao/decriptao; b) Um para assinatura/verificao de propsitos gerais; c) Um para assinatura/verificao para casos de no-repudiao.
A Disseminao das Informaes da ICP: Repositrios e Outras Tcnicas

A troca de informaes relativas aos certificados, sua revogao e outras informaes de controle pode ser feita de variadas formas.
Disseminao privada

Talvez o mecanismo de distribuio mais bsico seja a chamada disseminao privada, na qual cada indivduo troca certificados diretamente com os demais, seja manualmente, atravs de disquetes, seja atravs de e-mail. Nesta modalidade, a revogao de certificados tipicamente informal e no confivel. Claramente, limita-se, em termos prticos, a grupos de usurios pequenos e presumivelmente amigveis entre si. O protocolo PGP (Pretty Good privacy), e posteriormente o OpenPGP, baseiam-se nesta modalidade. Embora haja um nmero elevado de usurios, em escala real os nveis de confiabilidade se restringem a grupos pequenos, onde o conhecimento pessoal norteia a confiabilidade no grupo. Este modelo no se aplica ao domnio das grandes corporaes, principalmente devido aos seguintes motivos: a) A disseminao privada de certificados no escalvel; b) Como j se viu, a disseminao da revogao de certificados no confivel, principalmente quando a agilidade da disseminao torna-se crtica; c) Um modelo de confiana centrado no usurio inconsistente com o modelo operacional dos domnios corporativos, nos quais o controle centralizado sobre aes dos usurios requerida.
Publicaes e repositrios

O mtodo mais comum para a distribuio de certificados e informao de revogao a publicao. O conceito baseia-se na colocao da informao num local conhecido, de acesso pblico e fcil. um mtodo bastante atrativo para grandes comunidades de usurios que so, em geral, desconhecidos pessoalmente uns dos outros. No meio corporativo, mais usual disponibilizar as informaes num repositrio, que pode ser qualquer base de dados capaz de armazenar informaes, e de disponibiliz-las quando necessrio. Neste meio, repositrios so tipicamente baseados no protocolo LDAP (Lightweight Directory Access Protocol RFC 2251) e/ou na srie de recomendaes X.500. Alguns exemplos que se incluem sob o conceito de repositrios, alm dos servidores LDAP, so:

DASs (Directory System Agents) X.500 ;

29

DNS (Domain Name System) com suporte a informaes de certificados e revogaes (RFC 2538); Servidores web com o mesmo suporte (RFC 2585); Bases de dados corporativas, com prticas de acesso e gerenciamento bem definidas; Mdulos de resposta OCSP (Online Certificate Status Protocol), para o caso das informaes de revogao.

As vantagens de usar-se um ou mais repositrios so vrias. Uma delas o fato de que muitas organizaes j tm instalado um servidor corporativo, e basta incorporar sua infraestrutura as informaes relativas ICP. Tambm se prov uma localizao centralizada a partir da qual se pode recuperar as informaes. Isto reduz significativamente a quantidade de certificados e de LRCs que se necessita armazenar localmente. Em contrapartida, gera-se um overhead de trfego de informaes em rede, alm da performance do servidor de repositrio dever ser compatvel com a demanda gerada pelos usurios, a fim de evitar-se gargalos de performance.
Caractersticas de privacidade

A existncia de repositrios de acesso pblico introduz a preocupao com a privacidade da informao ali colocada, principalmente se ela for sensvel (no recomendvel a colocao de deste tipo de informao nos certificados ou nas LRCs). Ainda que cada certificado, por si mesmo, no seja considerado sensvel, a colocao de um grande volume destes em um mesmo local pode atrair a ateno de potenciais atacantes (interessados, por exemplo, na informao das pessoas e entidades ali representadas). Num contexto de intercmbio de informaes de diferentes domnios, mormente com o mundo externo, quando uma corporao deseja comunicar-se com outras, fica evidente a necessidade de que os certificados de uma organizao, assim como suas LRCs, sejam vistas e compatveis com as das outras, e vice-versa. Numa ICP corporativa, os certificados e as informaes de revogao so tipicamente colocadas num repositrio pblico (por exemplo, um servidor LDAP), e as informaes de revogao so colocadas na forma de LRCs em pontos de distribuio de LRCs. O software cliente recupera os certificados e LRCs sob demanda. No contexto interdomnios, o mtodo usado para disponibilizar estas informaes, e a freqncia com a qual elas so atualizadas, so objeto de acordo entre os domnios cooperantes. Existe uma preocupao crescente no nvel corporativo, com relao disseminao descontrolada de certificados e de informaes de revogao. Neste caso, o conceito de um repositrio numa base de dados acessvel publicamente vai de encontro polticas que determinam tais informaes so sensveis e, portanto, de acesso restrito. Informaes sensveis podem incluir dados referentes a usurios externos, infra-estrutura da organizao, nomes e dados de empregados, etc. Deve-se estabelecer mtodos que possibilitem a correta disseminao das informaes que se deve propagar, mas com requisitos adequados de segurana, atentos a estes problemas. Alguns artifcios usados compreendem a substituio do DN (Distinguished Name) por um cdigo que seja de conhecimento apenas interno, gerando os chamados certificados annimos esta uma das suas vrias formas de gerao.

30

Estes mtodos, no entanto, so de utilizao restrita.

Opes de implementao de repositrios interdomnios

A figura 5 ilustra algumas configuraes associadas com a implementao de repositrios no cenrio interdomnios. A opo A mostra o uso de acesso direto a partir de entidades externas ao repositrio corporativo. A opo B ilustra outras duas alternativas possveis. A primeira a replicao parcial dos dados armazenados no repositrio corporativo num local fora da fronteira do firewall corporativo. O repositrio que hospeda esta informao parcialmente replicada denominado repositrio de borda. A segunda alternativa mostrada na opo B que o repositrio de borda torna-se um repositrio intermedirio, ou proxy, e as solicitaes que chegam so encadeadas ao repositrio alvo sem qualquer outro envolvimento do usurio. Observe-se que as opes A e B podem ser usadas em conjunto em alguns ambientes, assim como as duas derivaes da opo B. Naturalmente, as necessidades de implementao iro determinar a configurao adequada a cada situao. A seguir, cada uma destas arquiteturas discutida com maiores detalhes.

Figura 5 Opes de implementao de repositrio interdomnio

31

Acesso direto A alternativa de acesso direto permite o software cliente de usurio final em um domnio possa obter acesso ao repositrio em outro domnio, e vice-versa; pode, ainda, permitir que um repositrio externo encadeie suas requisies de acesso diretamente ao repositrio corporativo interno. Isto pode ser apropriado quando a relao de confiana entre os dois domnios recproco e/ou o prprio repositrio seguro e protegido contra acesso no autorizado. Alm do controle de acesso, um mecanismo de confidencialidade pode ser exigido para prevenir o acesso no autorizado a informaes, quando elas so transmitidas de um domnio corporativo para outro. Isto pode ser realizado de variadas formas (por exemplo, atravs do uso de protocolos de segurana como TLS Transport Layer Security; recursos de encapsulamento do IPSec; ou com o uso de protocolos da camada de aplicao como o DAP Directory Access Protocol do X.500). Repositrio compartilhado Um repositrio compartilhado permite que cada domnio da ICP poste suas informaes de certificados e de revogaes num repositrio comum, de modo tal que outros domnios da ICP possam recuperar estas informaes, quando necessrio. O repositrio compartilhado pode ser de propriedade e operao conjunta de dois ou mais domnios, ou servio provido por terceiros. Os mecanismos de postagem e recuperao de cada domnio podem ser distintos, desde que a estrutura e a freqncia das atualizaes sejam mantidas como acordadas, e desde que o repositrio compartilhado suporte mltiplos protocolos para este propsito. Pode-se implementar controle de acesso ao repositrio compartilhado para prevenir o acesso no autorizado, e servios de reforo de confiabilidade (como TLS) podem ser usados para prevenir a revelao de informaes em trnsito. Replicao interdomnios Esta opo compreende a cpia das informaes de certificados e de revogao, para os casos em que for aplicvel, diretamente de um domnio para o outro, e vice-versa. Deve-se observar que a capacidade de automatizao deste processo depende do protocolo, ou conjunto de protocolos, sendo utilizado. Por exemplo, se ambos domnios suportam servios de diretrios baseados em X.500, isto pode ser realizado atravs dos mecanismos existentes no prprio protocolo (especificamente, o DISP Directory Information Shadowing Protocol). Por outro lado, se o nico protocolo comum entre os dois domnios LDAP, ainda se dispe de protocolo padro na indstria para a replicao, embora haja grupos trabalhando neste sentido. Espera-se por uma soluo do IETF (Internet Engineering Task Force) neste sentido. Outra alternativa seria o LDIF LDAP Data Interchange Format. Algumas consideraes sobre o protocolo LDAP se fazem necessrias. Embora o LDAPv2 tenha sido amplamente utilizado nas implementaes anteriores de ICPs, ele , geralmente, considerado deficiente nas seguintes reas:

O mecanismo de autenticao de implementao obrigatria entre um cliente e um repositrio baseado em identificao do usurio e senha que trafegam em claro; No existe esquema de controle de acesso padronizado; No existe mecanismo padro de replicao de dados entre repositrios LDAP (de fato, no existe suporte para comunicao servidor-a-servidor); Os filtros de pesquisa LDAP existentes so considerados inadequados; 32

No existe mecanismo de confidencialidade acordado, para proteger dados armazenados ou em trnsito; No existe a facilidade de operaes assinadas, padronizadas.

Estas limitaes do LDAPv2 so amplamente conhecidas, e novas caractersticas esto sendo introduzidas com o advento do LDAPv3 (RFC 2251), a fim de corrigi-las. Particularmente, o Grupo de Trabalho do IETF LDAPext est trabalhando num grupo de melhorias, incluindo, alm de outras:

Mecanismos fortes de autenticao; Modelo padronizado de controle de acesso; Suporte a referncias e orientaes tcnicas; Suporte a confidencialidade de sesso; Suporte a operaes digitalmente assinadas. de Trabalho podem ser obtidos em

Maiores detalhes sobre este Grupo www.ietf.org/html.charters/ldapext-charter.html Repositrio de borda

Talvez uma das mais difundidas opes, nesta arquitetura um repositrio em separado mantido fora dos limites do firewall corporativo de qualquer uma das corporaes participantes. As informaes de certificado e de revogao so postadas neste repositrio conforme a determinao e controle de cada organizao, ou pode ser recuperada a partir do repositrio de borda por encadeamento. Neste caso, requer-se o uso de DSP (Directory System Protocol) do X.500, ou a existncia de um mecanismo proprietrio. A especificao atual do LDAP no suporta encadeamento, explicitamente. O acesso externo ao repositrio de borda pode ser ou no controlado, dependendo-se dos requisitos e sensibilidade das informaes ali concentradas. Em qualquer caso, os clientes remotos estaro aptos a obter o acesso informao sem a necessidade de passar atravs do firewall corporativo, e, conseqentemente, sem acessar diretamente as bases de dados corporativas (vide opo B da figura 5). Guarda Esta opo envolve a implementao de um mecanismo de guarda que aceitaria requisies externas e, aps verificaes adequadas de controle de acesso, recuperaria a informao solicitada dos repositrios internos, retornando a resposta entidade final externa. Embora similar a um firewall corporativo, esta opo difere no sentido de que ela no permite que a requisio original atravesse a rede interna corporativa e obtenha acesso direto ao repositrio alvo. Pode-se considerar este mecanismo como um proxy: as requisies externas so interceptadas, e a informao apropriada recuperada pelo guarda somente quando permitido. Os resultados (que podem ser ainda filtrados pelo guarda), so ento passados em resposta ao solicitante.
Intercmbio por protocolos sob demanda

Publicao e disseminao privativas no so os nicos mtodos que podem ser usados para transportar informaes de certificados e de revogao. O intercmbio por protocolos sob 33

demanda pode ser suportado como parte dos protocolos de comunicao. Por exemplo, isto pode ser provido com e-mail implementado a verso 3 de S/MIME (Secure/Multipurpose Internet Mail Extensions). Outros protocolos que tm a capacidade de realizar a troca de informaes de certificados e revogao incluem TSL e IPSec (especificamente, o protocolo IKE, ou Internet Key Exchange). Em alguns ambientes, o intercmbio de informaes da ICP por protocolos sob demanda pode ser a nica forma de conduzir esta informao aos seus destinatrios. Por exemplo, a Internet confia neste mecanismo, pois no existe nenhum sistema de repositrios nico, de forma tal a disseminar todas as informaes de ICPs. Contudo, j se observa uma mudana em direo a uma verificao de status de certificados na Internet, para alguma aplicaes. Entretanto, se existir um sistema de repositrio nico (talvez baseado em DNS) na Internet ainda uma questo a se ver no futuro. Observe-se que o uso de intercmbio de informaes por protocolos sob demanda pode complementar o uso de repositrio, mas no o substitui. Por exemplo, o certificado de verificao de um emissor pode ser enviado juntamente com um e-mail digitalmente assinado. Isto permite ao destinatrio a verificao da assinatura digital do emissor sem a necessidade de consulta a um repositrio. Contudo, o certificado de encriptao para o destinatrio pretendido pode ser recuperado de um repositrio na origem da mensagem, e a informao de revogao associada ao certificado do emissor pode tambm ser recuperada de um repositrio como parte de um processo de verificao de assinatura digital. Esta orientao comumente encontrada em prticas de implementao correntes.
Consideraes Operacionais sobre ICPs

A fim de se operar com sucesso uma ICP, deve-se levar em conta determinados requisitos, caractersticas e opes de carter operacional. Algumas delas so discutidas a seguir.
Software de plataforma cliente

Um componente da ICP para o lado cliente essencial, dadas as limitaes nas aplicaes atuais (por exemplo, com respeito verificao de revogao, gerncia do ciclo de vida da chaves, ou ao reforo da poltica de certificao durante a validao). No se deve considerar que o aumento da segurana em aplicaes de prateleira, como browsers, geraro um decrscimo na necessidade de software cliente. Deve-se lembrar que, por mais poderosa que seja uma ferramenta como um browser, em termos de segurana, ela apenas uma das vrias aplicaes que um usurio utiliza ou executa em sua plataforma. Para acesso consistente e uniformemente seguro entre plataformas (cliente-servidor), a funcionalidade e segurana deve se posicionar fora (e ainda assim ser chamada a partir) de qualquer aplicao em particular. Esta a arquitetura escalvel e gerencivel que se reflete na definio de uma ICP. Observe-se que inserir a funcionalidade de segurana no sistema operacional ainda no uma soluo genrica o suficiente, pois isto poderia impedir uniformidade de segurana multiplataforma. O componente da ICP do lado cliente deveria ser uma biblioteca (ou mdulo, toolkit, applet, ou que forma tenha) independente, passvel de ser chamada pelo sistema operacional. importante notar que, a menos que todos os sistemas operacionais e aplicaes utilizem o mesmo componente de ICP do lado cliente, a uniformidade multiplataforma no

34

poder ser alcanada. Pode-se argumentar, ainda, que o suporte a funes de ICP no espao do usurio e da aplicao mais vulnervel a ataques e modificaes do que funes embutidas no sistema operacional. Contudo, no garantido que o sistema operacional sempre menos vulnervel. Alm disso, diferentes sistemas operacionais provero diferentes nveis de segurana e diferentes funcionalidades de ICPs. Por estes motivos, a uniformidade de segurana atravs de componentes do lado cliente mais facilmente alcanvel, ao menos a curto e mdio prazos. Em algumas circunstncias, pode ser desejvel deslocar funcionalidades mais complexas, computacionalmente pesadas e de consumo intensivo de memria, dos clientes. Dispositivos como os PDAs (Personal Digital Assistants), telefones celulares, pagers, etc., podem no ter capacidades para incorporar estas funcionalidades localmente. O uso destes mecanismos pode trazer baila os benefcios da autenticao, integridade e confidencialidade, mas os dispositivos, em si, podem ser fisicamente incapazes de implementar operaes completas de uma ICP (por exemplo, validao completa do caminho de um certificado, e gerenciamento do ciclo de vida de chaves). Uma soluo possvel (alm de esperar que estes dispositivos atinjam maturidade tecnolgica adequada), dividir a funcionalidade. O dispositivo, assim , em vez de fazer por si mesmo o processamento do caminho de um certificado, envia o certificado para algum servidor confivel, recebendo apenas um O.k. ou no quanto confiabilidade do certificado em tratamento. Naturalmente, consideraes a respeito deste modelo devem ser tomadas. Esta arquitetura parece vir ao encontro de componentes de ICP sem lado do cliente, pois um servidor central pode realizar todas as operaes da ICP, enquanto os dispositivos da plataforma local apenas enviam suas requisies e aguardam pela resposta. Recursos do lado do cliente protegem os dispositivos (seus sistemas operacionais, aplicaes locais, etc.) da necessidade de compreender e processar a segurana corretamente, alm de facilitar a administrao. Por exemplo, se uma falha de segurana encontrada no protocolo de requisio/resposta, pode ser muito mais fcil atualizar um mdulo do lado do cliente do que modificar um nmero potencialmente numeroso de aplicaes cliente que implementarem o protocolo diretamente. Estas consideraes, nitidamente operacionais, tm grande impacto sobre a escolha dos dispositivos que iro compor a arquitetura da ICP. Operaes off-line Uma deciso de arquitetura que deve ser feita dia respeito preocupao quanto operao dos requisitos on-line/off-line da ICP: os usurios da ICP devem estar on-line a fim de que com ela interagirem, ou a operao off-line permitida? Esta deciso importante porque deve-se reconhecer que ao menos alguns dos usurios estaro desconectados (por exemplo, em viagem). A funcionalidade obtida por estes usurios uma funo das aplicaes sendo implementadas no ambiente da ICP. Algumas requerem conectividade, e assim os usurios devem estar conectados. Outras so projetadas para funcionar em esquemas de enfileiramento, permitindo o seu uso quando o usurio estiver desconectado da rede. Um exemplo de uso off-line a composio de e-mail, num laptop. Se a operao da ICP off-line possvel, o e-mail composto pode ser assinado digitalmente, e tambm cifrado para seus destinatrios, usando-se certificados, informaes de revogao e outras contidas no cache da

35

mquina. Por outro lado, se a operao off-line no permitida (por exemplo, desabilitando-se o cache local de dados da ICP), o e-mail pode ser redigido, mas no pode ser cifrado. Isto significa que ele deve ser armazenado em claro na mquina local (a menos que se use uma ferramenta para cifragem de armazenamento), at que o usurio possa reconectar-se rede, cifrar a mensagem e transmiti-la. Ainda com respeito operao off-line, certas implicaes de segurana devem ser levadas em considerao. Por exemplo, embora a informao de revogao (como as LRCs) possam ser armazenadas em cache local, esta informao pode ficar congelada pelo tempo em que o usurio no a atualiza. Ou seja, fora da rede, ele pode no ter acesso informao de revogao mais atualizada, podendo aceitar um certificado que j no mais vlido. Alm disso, um servidor de temporizaes, por exemplo, estaria indisponvel para os usurios off-line, assim como quaisquer servios de cartrio digital e no-repudiao. Em ambientes tpicos, vrios usurios da ICP iro requerer tanto acesso on-line quanto off-line.
Segurana fsica

Os componentes mais sensveis da ICP deveriam ser protegidos fisicamente em ambientes de alta segurana, prevenindo o acesso indevido, modificao ou destruio destes componentes. A segurana fsica inclui um ou mais dentre os seguintes aspectos:
Restrio ou eliminao do acesso via rede; Concentrao dos componentes numa sala reforada, fechada; Instalao de dispositivos de controle de acesso adequados (talvez com a incluso de recursos biomtricos); Uso de salvaguardas adequadas em backups em fitas e CDs.

Alm disso, qualquer transferncia de dados entre a rede e os componentes fisicamente seguros deve se dar de forma limpa (ou seja, demonstradamente, sem a presena de vrus, backdoors, etc.). Deve-se observar que sempre existe uma permuta entre a segurana e a facilidade de uso dos sistemas. A segurana fsica tende a introduzir a interveno manual, operaes complexas e retardo de performance que no existiriam em ambientes onde a segurana fosse menor. Costuma-se dizer que segurana o inverso da convenincia, ou Segurana = 1 Convenincia

Componentes de hardware

Uma instalao de ICP baseada apenas em software (particularmente para a operao da entidade final) perfeitamente adequada para alguns ambientes. Contudo, software aplicativo pode ser vulnervel a hackers, cavalos de Tria, vrus, e uma ampla gama de tipos de ataque.

36

Mesmo usurios bem-intencionados podem causar falhas de segurana pela modificao inadvertida de componentes do sistema. A fim de ampliar a proteo contra os riscos associados implementao de ICPs apenas por software, alguns componentes de hardware podem ser agregados. Por exemplo, segurana adicional pode ser obtida atravs da combinao dos seguintes componentes:

Dispositivos de hardware para realizar operaes criptogrficas; Smart cards, cartes PCMCIA (PC cards), ou outros tokens de hardware para armazenar chaves privadas ou outras informaes sensveis; Dispositivos biomtricos para habilitar a identificao de usurios (e permitir funcionalidade da ICP do lado cliente).

Assim como no caso da segurana fsica, h uma permuta entre a segurana e a facilidade de uso. Porm, o impacto aqui maior: com o acrscimo de componentes de hardware, a degradao da facilidade de acesso atinge uma parcela maior da populao de usurios da ICP do que a atingida pela insero de salvaguardas fsicas. Alm disso, o uso de componentes de hardware tem grande impacto sobre a performance (especialmente smarts cards, com requisitos de memria e E/S), apelo e aceitao pelos usurios, e sobre os custos totais da soluo.
Comprometimento da chave

O comprometimento da chave (ou seja, a revelao de uma chave privada para algum no autorizado a sab-lo), pode ser considerado em dois contextos: Comprometimento da chave de uma entidade final, e Comprometimento da chave privada de uma AC. Esta seo trata do primeiro caso, ficando o segundo para a sesso seguinte. Como um usurio toma conhecimento de que sua chave foi comprometida? Isto no imediatamente bvio (algo como algum invadindo a residncia de outrem, memorizando seu nmero de carto de crdito, sem lev-lo e sem qualquer furto evidente). As entidades finais de ICP devem ser treinadas a observar qualquer atividade suspeita em seus ambientes, tais como arquivos movidos ou apagados, diretrios modificados, ou objetos que aparecem sem razo. Qualquer atividade no usual deveria levar a possibilidade de comprometimento da chave privada. Isto inclui o caso da plataforma como um notebook ou um desktop ser roubada ou extraviada. Naturalmente, h total grau de certeza no caso da chave sob suspeita ser utilizada por outros. Nestes casos, a revogao do par de chaves, com a sua substituio por um novo par, deve ser imediata. To logo se perceba (ou se suspeite) que a chave privada est comprometida, deve-se tomar as seguintes aes:

37

a) Enviar um pedido de revogao autoridade apropriada, de tal forma que esta informao seja divulgada aos parceiros relevantes, para que interrompam o uso da chave pblica correspondente, e b) Proceder-se, caso desejado, gerao de um novo par de chaves, de tal forma a continuar a comunicao segura com os parceiros. A primeira ao acima criticamente importante, e deve ser realizada com a mxima urgncia, pois a demora causa uma janela maior de oportunidades para a entidade que agora faz uso ilegtimo da chave comprometida. Num esforo para minimizar o tamanho desta janela, algumas das tcnicas de revogao, como a usada pelo X.509 e PKIX-CMP (RFC 2510), incluem o conceito de uma data de comprometimento, tanto na solicitao da revogao quanto na LRC resultante. Assim, pode-se dizer, descobriu-se o comprometimento hoje, mas acabo de voltar de uma semana de frias, e assim o comprometimento pode ter ocorrido em algum instante na semana passada. Por favor, revogue este certificado imediatamente, e informe aos usurios que a data estimada de comprometimento de uma semana atrs. Entretanto, este mecanismo sujeito m utilizao, particularmente com respeito ao servio de no-repudiao. Um usurio que deseja repudiar sua assinatura num contrato de trs dias atrs, precisa apenas enviar uma mensagem autoridade apropriada e alegar um comprometimento suspeito h quatro dias, uma semana, ou qualquer data de seu interesse. O certificado revogado, a notificao de revogao reflete a data apresentada, e este usurio no est mais sujeito quele contrato. Observe-se que no h modos de prevenir este mal uso por parte de usurios mal intencionados, mas legtimos. Em particular, se a no-repudiao dever ser implementada, a data estimada de comprometimento no deveria estar disponvel para as entidades da ICP. A segunda ao listada, a certificao de um novo para de chaves, teoricamente opcional, mas tipicamente realizada, para que as entidades envolvidas continuem a fazer uso confivel das operaes da ICP. Este processo de recertificao pode ser automatizado, ou pode requerer quase tanta operao manual e comunicao quanto o processo de inicializao original. O fator determinante se os usurio ainda possui uma chave de assinatura no comprometida e o correspondente certificado de verificao. Se for este o caso, e a depender da flexibilidade do protocolo sendo usado, uma mensagem de solicitao de certificao para o novo par pode ser assinada pela chave no comprometida, e a validade do certificado de verificao atesta a autenticidade da solicitao. Por outro lado, uma chave de assinatura vlida pode no estar mais disponvel (por exemplo, se a entidade tem somente uma chave de assinatura e esta chave que est comprometida). O processo de certificao de um novo par de chaves pode ento exigir uma troca no automtica de informaes com a AC ou a AR, possivelmente incluindo um encontro fsico ou uma chamada telefnica, para estabelecer a autenticidade exigida. As conseqncias especficas do comprometimento de uma chave para uma entidade final dependem do tipo da chave. Por exemplo, se uma chave de assinatura comprometida, o usurio pode revogar o certificado imediatamente, mas, com o mecanismo de temporizao adequado, pode no precisar tomar qualquer outra ao. A revogao impede que o atacante possa personificar o usurio lesado. Contudo, sem temporizao, todos os documentos assinados pelo usurio com esta chave se tornam suspeitos, pois no se pode provar conclusivamente quais foram assinados por ele antes do comprometimento. Mesmo que a temporizao seja implementada, h algumas consideraes que se deve tomar. Por exemplo, o atacante pode usar seu conhecimento da chave pblica do usurio, e seu novo conhecimento da

38

chave privada, para solicitar um certificado de verificao para si prprio, associando este par de chaves ao seu nome. Ele pode, ento, substituir seu certificado pelo do usurio numa mensagem assinada, e assim personalizar o usurio lesado. Este ataque no funcionar se os dados originalmente incluem uma cpia do certificado a ser usado para verificar a assinatura (prtica sempre recomendada), mas poucos protocolos de envelope digital incluem esta facilidade como um padro. Se a chave comprometida de decriptao ou de troca de informaes, o usurio no somente deve revogar o certificado imediatamente, como tambm deve encontrar todos os documentos importantes que forma encriptados com uma chave simtrica que era protegida pelo par comprometido. Este documentos devem ento reprotegidos (caso contrrio, o atacante pode ler seu contedo). Novamente, esta soluo no perfeita. Cpias dos documentos do usurio podem existir noutros lugares, sem seu conhecimento (alguns podem j estar de posse do atacante). Por serem encriptados, o usurio pode no ter tomado os necessrios cuidados na guarda ou cpia (backup) destes documentos. Da discusso acima, nota-se a importncia de manter-se os usurios cientes das preocupaes quanto segurana, no apenas a sua prpria, mas de toda a ICP.
Preparao e recuperao de desastres

Conforme pode-se observar pela sesso anterior, o comprometimento de uma chave pode envolver a chave privada de uma entidade final ou de uma autoridade (por exemplo, AC ou AR). Em geral, o comprometimento da chave de uma autoridade um problema maior que a perda do uso de uma chave: ambos eventos requerem o estabelecimento da confiana numa nova chave, mas o comprometimento da chave destri a confiana das entidades nos documentos assinados por aquela entidade (tais como certificados). Se um atacante pode obter o conhecimento da chave privada de assinatura de certificados de AC, ele se torna, para todos os efeitos, a prpria AC, e pode emitir os certificados que quiser no domnio daquela AC, com os prazos de validade que desejar. Pode ainda criar certificados cruzados, que podem fazer com que entidades dentro do domnio da ICP comprometida estendam sua confiana a AC que de outra maneira no seriam confiveis. As implicaes de segurana destes eventos so extremas, e podem levar a ICP a um cenrio francamente desastroso.
Notificao de parceiros de confiana

Uma das razes pelas quais o comprometimento da chave de uma AC no tem uma srie de passos de tratamento padronizada que, para alguns ambientes, simplesmente informar as comunidades de confiana que um desastre ocorreu um problema no resolvido. Por exemplo, num modelo de confiana em rede, uma AC cuja chave pblica esteja inserida em um mais browsers populares no pode conhecer quem so, precisamente, os seus parceiros de confiana. Browsers so instalados por milhes de usurios, e baixados de milhares de diferentes servidores; virtualmente impossvel determinar que usurios tm que browsers, em quem, dentre estes usurios, confia em que chaves ali inseridas. Assim, se a chave privada de uma AC comprometida, no existe maneira confivel de informar s entidades da ICP que isto ocorreu, e alert-las a no aceitar certificados assinados com esta chave. Para alguns ambientes, o problema de notificar os parceiros de confiana pode ser parcialmente resolvido pela colocao do certificado auto-assinado correspondente chave 39

privada comprometida da AC numa LRA - Lista de Revogao de Autoridades LRA (ARL Authority Revocation List). Embora contra a intuio comum (no imediatamente bvio porque uma lista de revogao assinada com uma chave que se proclama comprometida deva obter a confiana de algum), isto pode ter seu valor. Se um atacante descobre a chave privada de uma AC, precisamente, a ltima coisa que ele deseja fazer tornar seu novo poder, revogando o certificado correspondente. Ainda que ele deseja perpetrar uma ou duas atividades e depois revogar o certificado, tentando cobrir sua trilha, uma LRA alegando que a chave privada de AC foi comprometida deveria ser vista com seriedade pela entidades da ICP atingida. Assim, a confiana na chave pblica correspondente deve ser interrompida. Uma forma alternativa de habilitar-se a notificao de LRAs a implementada nas especificao do SET (Secure Electronic Transaction). Neste mecanismo, uma LRA contendo a chave comprometida expedida, assinada pela nova chave privada da AC (ou seja, a que substitui a comprometida). Os parceiros de confiana esto aptos a validar esta assinatura recuperando a nova chave pblica da AC, calculando o hash desta chave, e comparando o resultado com o valor do hash inserido no velho certificado da AC. Este mtodo funciona bem, mas ele exige que a AC gere seu novo par de chaves (o de substituio) no momento de certificao de seu par de chaves atual (de tal forma que ele possa incluir o hash da prxima chave pblica no certificado atual). Assim, os pares de chaves atual e prximo existem simultaneamente, aumentando a probabilidade de que o comprometimento de uma leve ao comprometimento da outra (por exemplo, se forem armazenadas no mesmo local). Em qualquer caso, incluso numa LRA uma soluo parcial, por ao menos duas razes. Primeiro, a chave pblica de uma AC nem sempre empacotada como um certificado auto-assinado, no ambiente local de um parceiro de confiana (ela pode ser gravada como uma chave nua, exposta). Nestes casos, no h como apontar esta chave numa LRA, como hoje definidas as LRAs, pois a sintaxe das LRAs aponta para certificados usando nome do emissor e nmero serial do certificado. Depois, e talvez mais importante, o software dos parceiros de confiana pode ser capaz de verificar uma LRC por um certificado de entidade, mas no ser geral genrico o suficiente para tambm verificar uma LRA (porque tal lista de revogao so tipicamente usadas somente em ambientes que suportam certificao cruzada). Assim, a notificao no automtica do comprometimento da chave de uma AC sempre til e sempre recomendada. Isto pode ter a forma de mensagem direta e direcionada (sempre que os membros da comunidade de parceiros de confiana so conhecidos da AC), pode usar comunicaes de massa (algo que a AC pode relutar em utilizar), e ainda outros mtodos.
Preparao

Obviamente, a melhor forma de preparar-se para uma catstrofe tentar assegurar-se de que a catstrofe jamais ocorra. Assim, cada AC deve seguir todos os passos imaginveis para proteger sua(s) chave(s) privada(s). No caso de comprometimento, uma AC pode tomar um ou mais dos seguintes caminhos para ajudar a minimizar o dano decorrente:

Tentar, de todos os modos possveis, obter conhecimento detalhado de quem a comunidade de confiana, de tal modo que notificaes possam ser enviadas

40

somente a este conjunto, se o comprometimento ocorrer. Isto extremamente difcil, se no impossvel, num ambiente de Internet; Armazenar a chave pblica confivel como um certificado no domnio local dos parceiros de confiana, suportar a publicao peridica de uma LRA, e encorajar que o software relevante ICP dos parceiros, realize a verificao da LRA. Isto pode ajudar a minimizar o dano porque a confiana na chave comprometida pode ser cancelada de forma automtica, sem a interveno das entidades finais. Este mecanismo mais adequado a ambientes que verificam o status do certificado via listas de revogao, mas tambm pode ser apropriado para ambientes nos quais o status verificado via outros servidores autorizados (por exemplo, usando OCSP ou outros protocolos similares); Tem um perodo de validade razovel para o par de chaves de assinatura. Um chave comprometida depois de 10 anos de uso tipicamente resulta em mais danos que uma chave comprometida aps um ano; contudo, deve-se analisar os custos de uma troca freqente de chaves; Implementar um mecanismo controlado e automatizado de mudana de chave da AC. Este mecanismo, como o PKIX-CMP (RFC 2510) pode ajudar a minimizar o dano causado por tal comprometimento de duas formas. Primeiramente, torna-se transparente aos parceiros, em alguns ambientes, diminuindo assim o tempo de aceitao dos certificados da AC. Em segundo lugar, permite uma fase de passagem para a comunidade para a prxima chave da AC, de tal modo que a qualquer tempo o nmero de entidades afetadas pelo comprometimento da chave da AC seja menor que a comunidade de confiana completa.

altamente recomendado que os administradores da AC planejam criteriosamente as atitudes a serem tomadas em caso de comprometimento da chave da AC.
Recuperao

Se a chave privada de uma AC foi comprometida, no h atalhos para o processo de recuperao. Nada mais assinado por aquela chave pode ser digno de confiana, incluindo certificados, LRCs e LRAs (exceto o caso notado anteriormente). Caso esta chave de assinatura tenha sido usado para outros propsitos, tais como autenticao de mensagens de protocolos, ou comandos de polticas e prticas, estas tambm no podem ser mais confiveis. O caminho completo para a recuperao em caso de comprometimento de uma chave de uma AC : a ICP deve ser reinicializada, essencialmente desde o incio, para toda a comunidade de confiana afetada. Ou seja, um novo par de chaves de assinatura deve ser gerado, e algum processo no automatizado, confivel, deve ser usado para instalar uma cpia da chave pblica no ambiente local de todas as entidades relevantes ICP. Nenhum mecanismo envolvendo o uso da chave comprometida pode ser digno de confiana para facilitar, simplificar ou contornar este processo. A ICP deve ser reconstruda tal como se ela jamais tivesse existido para este conjunto de entidades.
Observaes adicionais

O comprometimento da chave privada de uma AC traz consigo serssimas conseqncias de segurana. Para aqueles que possuem diretamente uma cpia da chave pblica correspondente, como um fator de confiabilidade, um verdadeiro desastre operacional. Para os que indiretamente so membros da comunidade de confiana atravs de certificao cruzada, o 41

dano , de algum modo, menos extensivo. Isto se deve ao fato de que a revogao do certificado cruzado pela AC confivel cancela automtica e imediatamente qualquer confiana adicional na AC comprometida e, por extenso, nos certificados de sua comunidade. Para ambos os conjuntos de entidades (comunidades diretas e indiretas) tudo o que foi assinado pela chave comprometida imediatamente invlido, a menos que seu uso tenha a corroborao de servidores de temporizao confiveis. Neste caso, deve ser provado, para todos os efeitos, precisamente que assinaturas foram criadas antes do comprometimento. Estas aes ilustram a importncia de uma preparao cuidadosa pelos administradores da AC antes da implementao da ICP.

O Arcabouo Legal (ICP-Brasil)

Observando a evoluo da tecnologia de ICPs e sua utilizao, como meio seguro, para a garantia dos servios listados anteriormente, como autenticao, integridade e confidencialidade, o governo federal brasileiro instituiu, atravs do Decreto No. 3505, de 13 de junho de 2000, a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal. Entre os seus pressupostos, figura o de assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio (Art. 1, Inciso I). Em seu artigo 6 , o Decreto instituiu o Comit Gestor da Segurana da Informao, rgo interministerial com a atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, bem como na avaliao e anlise de assuntos relativos aos objetivos estabelecidos neste Decreto. Em 5 de setembro de 2000, atravs do Decreto no. 3587, estabelecia-se normas para a Infra-estrutura de Chaves Pblicas do Poder Executivo Federal ICP-Gov. Em 18 de julho de 2001, o Decreto no. 3.872 dispunha sobre o Comit Gestor da InfraEstrutura de Chaves Pblicas brasileira CG ICP-Brasil. A Medida Provisria no. 2200-2, de 24 de agosto de 2001, institui a Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil. Eis seu Art. 1 : Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. O Decreto no. 3996, de 31 de outubro de 2001, revoga o Decreto no. 3587, e estabelece em seu Art. 2 que somente mediante prvia autorizao do Comit Executivo do Governo Eletrnico, os rgos e as entidades da Administrao Pblica Federal podero prestar ou contratar servios de certificao digital. A Resoluo no. 1 do Comit Gestor da ICP-Brasil, de 25 de setembro de 2001, aprova a Declarao de Prticas de Certificao da AC Raiz da ICP-Brasil, que o Instituto Nacional de Tecnologia da Informao, rgo do Ministrio da Cincia e Tecnologia.

42

A Resoluo no. 2 do Comit Gestor da ICP-Brasil, da mesma data, aprova a Poltica de Segurana da ICP-Brasil, abrangendo requisitos de segurana humana, fsica, lgica, e dos recursos criptogrficos. A Resoluo no. 6 do mesmo Comit, de 22 de novembro de 2001, aprova os critrios e procedimentos de credenciamento dos integrantes da ICP-Brasil. O Decreto no. 4036, de 28 de novembro de 2001, vincula o Instituto Nacional de Tecnologia da Informao diretamente Presidncia da Repblica. Em 30 de dezembro de 2001 foi gerado o par de chaves criptogrficas e o respectivo certificado da AC Raiz da ICP-Brasil, nas instalaes do SERPRO, no Rio de Janeiro. A partir desta data, portanto, possvel emitir certificados para as AC que desejarem compor a ICPBrasil. A Resoluo no. 7 do mesmo Comit, de 12 de dezembro de 2001, aprova os requisitos mnimos para polticas de certificado na ICP-Brasil. A Resoluo no. 11 do mesmo Comit, de 14 de fevereiro de 2002, altera os requisitos mnimos para as polticas de certificado na ICP-Brasil, a declarao de prticas de certificao da AC Raiz da ICP-Brasil e delega novas atribuies AC Raiz da ICP-Brasil, tais como aprovar polticas de certificados e regras de certificao das AC, e credenciar e autorizar o funcionamento das AC e das AR. Por fim, a Resoluo no. 11, da mesma data, estabelece regras processuais para credenciamento na ICP-Brasil.

Referncias bibliogrficas
[SCH 96] Schneier, Bruce. Applied Cryptography. John Wiley and Sons. 1996. Menezes, A, Oorschot, P. Van, & Vanstone, S. Handbook of applied cryprography. CRC Press. 1996. Adams, Carlisle & Lloyd, Steve. Understanding public-key infrastructure. McMillan Technical Publishing. 1999.

43