Pular para o conteúdo principal

Assinatura e Certificação Digital

Assinatura Digital

Seu princípio básico reside na obtenção dos princípios de integridade, autenticidade e não-repúdio na troca de mensagens entre dois usuários. O tipo de criptografia utilizada é a assimétrica.

Assinatura Digital

  1. Gera-se o hash da mensagem original (em claro), utilizando uma função de resumo - hash;
  2. Aplica-se o algoritmo de criptografia assimétrica utilizando a chave privada do EMISSOR sobre o HASH gerado no passo 1;
  3. Tem-se a Assinatura Digital;
  4. Envia-se ao destinatário a Assinatura Digital gerada e a mensagem original

No lado do destinatário, este deverá utilizar a chave pública do emissor para verificar a assinatura digital.
Ao realizar tal procedimento, obtém-se o hash gerado pelo emissor no momento da assinatura.
O destinatário, então, aplica a mesma função hash sobre a mensagem recebida e compara os dois valores. Caso os hashes sejam iguais, pode-se afirmar que o emissor é de fato o detentor da chave privada correspondente (garantia de autenticidade) e que a mensagem não foi alterada durante a transmissão (garantia de integridade).

No Brasil, a infraestrutura de certificação digital é regulamentada pela Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que criou a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Certificado Digital

O certificado digital é um documento eletrônico que autentica a identidade de pessoas, empresas ou sistemas no ambiente digital, garantindo segurança e integridade nas comunicações e transações online. Ele funciona como uma assinatura digital, sendo emitido por uma Autoridade Certificadora (AC) confiável e baseado em criptografia assimétrica.

Possibilita em conjunto com a assinatura digital para garantia:

  1. Autenticidade
  2. Integridade
  3. Confidencialidade.

As principais informações contidas em um certificado digital são:

● Chave pública do usuário ou sistemas;
● Dados relativos à sua identidade;
● Prazo de validade;
● Assinatura Digital da Entidade Certificadora que gerou o certificado;
● Chave pública da CA;
● Cadeia de certificados hierarquicamente superiores.

Certificado Digital

Quando um certificado é revogado, ele deixa de ser confiável para futuras operações, mas há uma questão sobre as assinaturas feitas antes dessa revogação.

De acordo com as práticas normais de segurança (como especificado na norma X.509), se um certificado digital for revogado, as assinaturas realizadas com ele antes da revogação continuam válidas, desde que haja carimbos de tempo associados. O carimbo de tempo é um serviço que prova que a assinatura foi feita antes da revogação do certificado, garantindo sua validade retroativa.

📌 Campos principais de um Certificado X.509 📌

🔹 Version – Define a versão do padrão X.509 (v1, v2, v3).
🔹 Serial Number – Número único atribuído pela Autoridade Certificadora (CA).
🔹 Signature Algorithm – Algoritmo usado para assinar o certificado.
🔹 Issuer – Identificação da CA que emitiu o certificado.
🔹 Validity – Período de validade (Data de início e expiração).
🔹 Subject – Identidade do titular do certificado.
🔹 Subject Public Key Info – Contém a chave pública do titular.
🔹 Extensions – Presentes na versão X.509 v3, incluem informações adicionais como Uso da Chave e Identificação do Assunto.

Infraestrutura de Chaves Públicas - ICP

Todo o conjunto de hardware e software, pessoal, políticas e procedimentos necessários para criar e implementar uma infraestrutura de certificação digital chama-se PKI ou ICP. É uma estrutura hierárquica que permite uma melhor organização e gerenciamento dos certificados, além de tratar aspectos de auditabilidade e controle.

Composta por cinco componentes básicos:

Autoridade Certificadora – (CA – Certificate Authority)

Reponsável pela emissão dos certificado. Na requisição devem ter as informações do certificado, algoritmo de assinatura e assinatura digital da informação de requisição.
Ela que mantém a lista de certificados revogados.
Responde as consultasd de verificação de certificados.

A CA Raiz é a entidade com o grau mais elevado da hierarquia e utiliza certificado auto-assinado.

Autoridade Registradora – (RA – Registration Authority)

Atua como intemediário, posto avançado, na comunicação entre os clientes e a CA.
Não é obrigatória.
Ela não emite certificados.

Vamos considerar um Exemplo como sendo o SERPRO CA e a RNP como AR.

A função da AR é a seguinte:

  • Validação de Identidade: A RNP valida a identidade do solicitante antes da emissão do certificado. Isso significa que a RNP confirma que a pessoa ou entidade que está solicitando o certificado é quem diz ser, e que ela está apta a obter um certificado digital.
  • Encaminhamento para CA: Após validar a identidade do solicitante, a RNP envia as informações para a Autoridade Certificadora (CA), como o Serpro, para que o certificado seja emitido.

● Autoridade Certificadora de Tempo (ACT)
● Certificados Digitais
● Lista de Certificados Revogados (CRL – Certification Revocation List)

Protocolos de Gerenciamento

  1. Registro - Este é o processo pelo qual um usuário primeiro se faz conhecido por uma CA (diretamente ou por meio de uma RA), antes de essa CA emitir um certificado ou certificados para esse usuário.

  2. Inicialização - Antes que um sistema cliente possa operar com segurança, é necessário instalar materiais chave que tenham um relacionamento apropriado com chaves armazenadas em outro lugar na infraestrutura. Por exemplo, o cliente precisa ser considerado seguro e inicializado com a chave pública e outras informações garantidas da(s) CA(s) confiável(is), para ser garantida a cadeia de certificados. Além disso, um cliente normalmente precisa ser inicializado com seu(s) próprio(s) par(es) de chaves.

  3. Certificação - Este é o processo no qual uma CA emite um certificado para a chave pública de um usuário e retorna esse certificado para o sistema cliente do usuário e/ou postagens que certificado em um repositório.

  4. Recuperação do Par de Chaves - É possível armazenar informações base que geraram os pares de chaves para posterior recuperação em caso de perda de senha.

  5. Atualização do Par de Chaves - Todas as chaves precisam ser renovadas periodicamente, isto é, gerar um novo par de chaves e novos certificados.

  6. Requisição de Revogação - Uma pessoa ou instância autorizada indica a uma AC sobre um situação anormal exigindo a revogação do certificado.

  7. Certificação Cruzada - Duas ACs trocam informações usadas em estabelecimento de um certificado cruzado. Um certificado cruzado é um certificado emitido por uma CA para outra CA que contém uma CA chave de assinatura usada para emitir certificados.

OCSP

Online Certificate Status Protocol - Protocolo utilizado para verificar em tempo real o status de um certificado digital. Ele permite que sistemas verifiquem se um certificado foi revogado antes de sua data de expiração, garantindo a validez e a confiabilidade do certificado durante sua utilização.

Icp Brasil

Controlada pelo governo brasileiro que agrega legitimidade aos certificados digitais no nosso país.
É importante mencionar que há pessoas jurídicas de direito privado como AC’s e AR’s.