Imprensa

Blog / Notícias

[Blog da Certificação]
Como funciona o fluxo de infraestrutura de chaves públicas no Brasil?
IMPRENSA DATABITS

DatabitsConexe
Tel. +55 47 3521.3115

databits@databits.com.br




Desativamos nossos perfis no Twitter e Youtube por não concordarmos com a

CENSURA

que sofremos.

Crime de Opinião
NÃO EXISTE
A ICP-Brasil é o que podemos chamar de uma cadeia hierárquica de confiança, que possibilita a emissão de certificados digitais para a identificação virtual de um cidadão. Ela foi instituída no Brasil a partir da Medida Provisória 2.200-2, de 24 de agosto de 2001, e define um conjunto de entidades, padrões técnicos e regulamentos criados para dar suporte a um sistema criptográfico com base nos certificados digitais.

O processo de funcionamento da ICP-Brasil é um tanto complexo e, por isso, neste post vamos explicar melhor como funciona o fluxo dela, e quais funcionalidades do sistema BRy ICP são estratégicas para sua organização nesse funcionamento. Acompanhe e boa leitura!


Componentes da ICP-Brasil


De forma geral, uma ICP é composta por um conjunto de entidades (máquinas, pessoas, servidores etc.), políticas (conjunto de normas e práticas que regem uma ICP), mecanismos criptográficos e técnicas de gestão. O objetivo da ICP é fazer com que a utilização de criptografia de chaves públicas se torne mais fácil, tendo como principais componentes as autoridades certificadoras, autoridades de registro e o repositório.

As Autoridades Certificadoras (ACs) são responsáveis por gerenciar o ciclo de vida dos certificados digitais, controlando os processos de solicitação, emissão e revogação dos mesmos.

Uma ICP pode ser composta de uma única AC, mas, em algumas situações, é preciso que algumas tarefas sejam delegadas a outras entidades para minimizar a carga de atividades da AC.

Nestes casos, a AC Raiz delega às ACs Intermediárias a responsabilidade de emissão de certificados, reduzindo sua carga de trabalho, facilitando o crescimento da estrutura e aumentando a abrangência e o escopo das emissões de certificados digitais. Se autorizado pela AC Raiz, uma AC Intermediária pode delegar a tarefa de emissão para outras ACs que estiverem abaixo dela.

A Autoridade de Registro (AR) e o Repositório de Certificados Digitais também recebem tarefas delegadas da AC Raiz. À AR cabe a tarefa de verificar o conteúdo de requisições de certificados, enquanto que o Repositório de Certificados Digitais tem como objetivo publicar os certificados digitais e as listas de certificados revogados emitidos por uma ou mais ACs.



Com a criação da ICP-Brasil, o Brasil passou a ter uma Autoridade Certificadora (AC) governamental, cujos certificados podem ser usados em ferramentas do governo. As assinaturas realizadas a partir desse uso passaram a ter eficácia probante.


Arquitetura da ICP-Brasil


As arquiteturas de ICPs mais utilizadas são a AC Única e a AC Hierárquica. No ICP-Brasil, o modelo adotado foi o de certificação com raiz hierárquica.

Nessa arquitetura, a AC Raiz emite seu próprio certificado e também os certificados das ACs intermediárias, que por sua vez podem emitir certificados para usuários ou outras ACs e assim por diante.


Como funciona a arquitetura hierárquica?


Quando se utiliza a arquitetura hierárquica, surge um novo conceito para a verificação de certificados digitais, o caminho de certificação. Em outras palavras, para considerar um certificado válido, é preciso verificar cada certificado desse caminho (sendo que todos devem ser válidos). Há dois principais tipos desse encadeamento: encadeamento por nome e encadeamento por identificador de chave.

No encadeamento por nomes, a validação se faz através da comparação do campo emissor do certificado atual com o campo sujeito do próximo certificado da cadeia e assim por diante.



Já no encadeamento por identificador de chave, a montagem do caminho é semelhante, mas difere pelo fato de que a verificação se dá pelo valor do Subject Key Identifier (SKID) e do Authority Key Identifier (AKID), identificadores únicos referentes às chaves dos certificados. Nestes identificadores, geralmente são usados os resumos criptográficos da chave pública do detentor do certificado.

Para cada certificado do caminho encontrado, deve-se verificar: assinatura digital, data de validade, situação de revogação, restrições básicas, restrições de políticas, restrições de nomes e extensões críticas.


Por que devemos confiar nessa estrutura?


Um dos objetivos de uma ICP é que os usuários possam confiar nela. Assim, todos os passos apontados anteriormente possuem algumas características que garantem essa confiança:

  • Os certificados possuem informações sobre o detentor da chave privada;
  • Os certificados são emitidos por uma entidade confiável (uma AC);
  • Os dados do requisitante são verificados, e a forma de verificação está disponível em documentação;
  • As ICPs são auditadas, e usam mecanismos que agregam integridade, autenticidade e não repúdio.


    • 16 de julho de 2019