domingo, 30 de novembro de 2008

Certificados Digitais


O que é um Certificado Digital?
 
O Certificado Digital é um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma entidade (pessoa, processo, servidor) a uma chave pública.
 
Na prática, o Certificado Digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar confidencialidade e/ou integridade das informações e confirmação de autoria.

Um Certificado Digital é um arquivo no computador que identifica você. Alguns aplicativos de software utilizam esse arquivo para comprovar sua identidade para outra pessoa ou outro computador. Alguns exemplos típicos são:
 
- Quando você consulta seu banco on-line, este tem que se certificar de que você é a pessoa que pode receber a informação sobre a conta. Como uma carteira de motorista ou um passaporte, um Certificado Digital confirma sua identidade para o banco on-line.
 
- Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o e-mail é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste.
 
Um Certificado Digital normalmente contém as seguintes informações:
 
- Sua chave pública 
- Seu nome e endereço de e-mail;
- A validade da chave pública;
- O nome da empresa (a Autoridade Certificadora - CA ou AC) que emitiu seu Certificado Digital;
- O número de série do Certificado Digital;
- A assinatura digital da CA.
 
 
O que é um par de chaves de Certificado Digital?
 
Quando você se comunica com outra pessoa (ou computador), precisa de um ambiente seguro para trocar informações, de modo que ninguém as possa interceptar e ler. Atualmente, a maneira mais avançada de criptografar (embaralhar) dados é através de um sistema que utiliza pares de chaves. Um par de chaves é formado por uma chave pública e uma privativa. Estas são utilizadas como as chaves de uma fechadura, sendo que uma chave serve para proteger a fechadura e outra, para abri-la.
Quando você tem um par de chaves, seu aplicativo de software utiliza uma chave para criptografar o documento. Este, ao ser recebido, só poderá ser lido com o auxílio de uma chave correspondente, que irá decriptografar a mensagem. O problema com esse processo é como dar a alguém a "chave" para decriptografar sua mensagem, sem que ela caia nas mãos de outra pessoa?
 
A solução está na maneira como as chaves são utilizadas. Você cria uma chave privativa, que só pode ser usada com o Certificado Digital que você pediu, e uma chave pública, que passa a fazer parte do Certificado Digital. O navegador pode pedir a senha quando você acessar a chave privativa. É muito importante que você escolha uma senha que só você conheça. Não escolha seu aniversário, outras datas pessoais ou frases que alguém possa adivinhar.
 
Depois de receber e instalar o Certificado Digital, você pode distribui-lo a quem quiser. O Certificado Digital que você envia contém sua chave pública. Quando alguém quiser enviar uma mensagem criptografada para você, usará sua chave pública. A mensagem criptografada com sua chave pública somente poderá ser decriptografada por você, pois só você possui sua chave privativa.
 
Da mesma forma, quando você quiser enviar uma mensagem criptografada, primeiro você deverá obter a chave pública do destinatário. Isso pode ser feito procurando numa listagem ou pedindo que lhe enviem um e-mail assinado com o respectivo Certificado Digital, contendo a chave pública necessária. Seu aplicativo de e-mail pode guardar o Certificado Digital para quando este for necessário.
 
 
O que é Assinatura Digital?
 
A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento. A assinatura digital fica de tal modo vinculada ao documento eletrônico que caso seja feita qualquer alteração a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma "imutabilidade lógica" de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.
 
 
Quais as aplicações da Assinatura Digital?
 
São infinitas as possibilidades de aplicações da assinatura digital, dentre elas encontram-se as seguintes: - comércio eletrônico; - processos judiciais e administrativos em meio eletrônico; - facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; - assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; - obtenção e envio de documentos cartorários; - transações seguras entre instituições financeiras, como já vêm ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; - Diário Oficial Eletrônico; - identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado;
 
 
O que é uma Autoridade Certificadora (AC)?

Uma CA (Autoridade Certificadora) é a empresa que emite um Certificado Digital para você. A sua CA pode ser a empresa para a qual você trabalha ou uma empresa que você paga para emitir Certificados Digitais.
 
 
O que é infra-estrutura de chave pública (PKI ou ICP)?
 
A PKI refere-se a um processo que utiliza chaves públicas e Certificados Digitais para garantir a segurança do sistema e confirmar a identidade de seus usuários. Por exemplo, uma empresa pode usar a PKI para controlar o acesso a sua rede de computadores. No futuro, as empresas poderiam usar a PKI para controlar o acesso a tudo, desde a entrada nos prédios até a obtenção de mercadorias.
A PKI permite que pessoas e empresas realizem negócios em particular. Os funcionários podem enviar e-mails pela Internet com segurança, sem se preocupar com a sua interceptação por um concorrente. As empresas podem construir sites privativos, enviando informações somente para clientes conhecidos.
 
A PKI baseia-se em um sistema de confiança, no qual duas partes (pessoas ou computadores) confiam mutuamente em uma CA (ou AC - Autoridade Certificadora) para verificar e confirmar a identidade de ambas as partes. Por exemplo, a maioria das pessoas e empresas confia na validade de uma carteira de habilitação de motorista ou em um passaporte. Isto ocorre porque elas confiam na forma pela qual o governo emite estes documentos. Entretanto, uma caderneta de estudante é normalmente aceita como prova de sua identificação apenas para a escola que a emite. O mesmo vale para os Certificados Digitais.
 
Com a PKI, ambas as partes de uma transação (seja ela um banco on-line e seus clientes ou um empregador e seus funcionários) concordam em confiar na CA que emite seus Certificados Digitais. Normalmente, o aplicativo de software que utiliza seu Certificado Digital tem algum mecanismo para confiar nas CAs. Por exemplo, um navegador contém uma lista das CAs em que confia. Quando é apresentado ao navegador um Certificado Digital (por exemplo, de um shopping on-line realizando comércio seguro), ele consulta a CA que emitiu o Certificado Digital. Se a CA estiver na lista de CAs confiáveis, o navegador aceita a identidade do site da Web e exibe a página da Web. Entretanto, se a CA não estiver na lista de CAs confiáveis, o navegador exibe uma mensagem de aviso que lhe pergunta se você deseja confiar na nova CA. Geralmente seu navegador lhe dá opções para confiar permanente ou temporariamente na CA ou não confiar em absoluto. Como usuário, você tem controle sobre em qual(is) CA(s) deseja confiar, porém o gerenciamento da confiança é feito pelo aplicativo de software (neste exemplo, pelo navegador).
 
 
O que é a ICP- Brasil?
 
O Brasil montou sua infra-estrutura de chaves-públicas denominada ICP-Brasil. Trata-se de um conjunto de regras e normas, baseadas em padrões públicos internacionais, que são definidas no país por um comitê gestor composto por representantes do governo e da sociedade civil. Essas técnicas, práticas e procedimentos que foram traçadas pelo seu Comitê Gestor com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública.
 
O modelo adotado foi o de certificação com raíz única. O Instituto Nacional de Tecnologia da Informação - ITI está na ponta desse processo como Autoridade Certificadora Raiz/AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira. Cabe ao instituto credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
 
 
Qual a estrutura da ICP-Brasil?
 
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. COMITÊ GESTOR O Comitê Gestor da ICP-Brasil vincula-se à Casa Civil da Presidência da República.
 
É composto por cinco representantes da sociedade civil, integrantes de setores interessados, e um representante de cada um dos seguintes órgãos: Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; Casa Civil da Presidência da República e Gabinete de Segurança Institucional da Presidência da República.
 
Sua principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz. AUTORIDADE CERTIFICADORA RAIZ – AC RAIZ A AC-Raiz da ICP-Brasil é o Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada à Casa Civil da Presidência da República. AUTORIDADES CERTIFICADORAS - AC As Autoridades Certificadoras são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. Nos termos do art. 60 da MP 2.200/01, compete-lhes "emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações". AUTORIDADES DE REGISTRO - AR As Autoridades de Registro também podem ser tanto entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão vinculadas operacionalmente a determinada AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes "identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações".
 
Autoridades Certificadoras credenciadas pela ICP-Brasil

. Serpro
. Caixa Econômica Federal
. Serasa
. Secretaria da Receita Federal (SRF)
. Certsign
. Autoridade Certificadora da Presidência da República -ACPR
. Autoridade Certificadora da Justiça (AC-JUS)
. AC-SINCOR
 


quinta-feira, 27 de novembro de 2008

NIST Released 3 Security Publications

NIST is proud to announce the release of 3 documents -
1. Draft FIPS Publication 186-3
2. Draft Special Publication (SP) 800-102
3. Special Publication 800-108
See below for full details on these 3 documents.


Document #1 - Draft FIPS 186-3
As stated in November 12th Federal Register Notice, NIST requests final comments on FIPS 186-3, the proposed revision of FIPS 186-2, the Digital Signature Standard. The draft defines methods for digital signature generation that can be used for the protection of messages, and for the verification and validation of those digital signatures using DSA, RSA and ECDSA. Please submit comments to ebarker@nist.gov with "Comments on Draft 186-3" in the subject line. The comment period closes on Friday, December 12, 2008.

URL to Federal Register Notice:
http://csrc.nist.gov/fedreg/FRN_Nov12-2008_Vol73No219_FIPS186-3.pdf

URL to Draft FIPS 186-3:
http://csrc.nist.gov/publications/PubsDrafts.html#FIPS-186--3


Document #2 - Draft Special Publication (SP) 800-102
NIST requests comments on Draft SP 800-102, Recommendation for Digital Signature Timeliness. This Recommendation provides methods for obtaining assurance about the time that a message was signed. The concepts in this Recommendation were presented in the original public comment draft of FIPS 186,3, The Digital Signature Standard. Please provide comments to ebarker@nist.gov by December 19, 2008, with "Comments on SP 800-102" in the subject line.

URL to Draft SP 800-102:
http://csrc.nist.gov/publications/PubsDrafts.html#800-102


Document #3 - SP 800-108
The National Institute of Standards and Technology (NIST) is pleased to announce the release of Special Publication 800-108. Recommendation for Key Derivation Using Pseudorandom Functions. This Recommendation specifies techniques for the derivation of additional keying material from a secret cryptographic key using pseudorandom functions. This key can be either established through a key establishment scheme or shared through some other manner.

URL to SP 800-108
http://csrc.nist.gov/publications/PubsSPs.html#800-108


terça-feira, 25 de novembro de 2008

Lula sanciona lei contra exploração sexual de crianças na internet

Leia aqui.

Antivirus para Apple

A Apple divulgou uma nota na qual encoraja o uso de antivírus nos Macs. Ela inclusive sugere o uso de três marcas:


. Intego

. Symantec

. Mcafee

Pena que esqueceu do ClamXav...

Veja a nota completa aqui.

quinta-feira, 13 de novembro de 2008

WPA Wi-Fi Encryption Cracked

Macworld is reporting that WPA encryption, the most commonly-used encryption for wi-fi networks, has been cracked. Long considered sturdier than WEP, the original form of encryption used on wi-fi networks, it now seems that WPA will need to be supplanted by a newer, more robust form of encryption.

Researcher Erik Tews found a way to use a "mathematical breakthrough" to find the key and intercept data coming from computers to routers over a wireless network. This is problematic because many businesses have only recently migrated from the less secure WEP, and will now need to move to a newer technology such as WPA2, which will require updating a lot of hardware and software. In addition, many existing devices can only use WPA or the older WEP.

Wi-fi security is essential, because of the way networks are accessible from unprotected points. This new challenge to security will necessitate a rapid response from vendors of wi-fi hardware.