Académique Documents
Professionnel Documents
Culture Documents
Digital Tipo A3
da Autoridade Certificadora Certisign
para a Secretaria da Receita Federal do
Brasil
PC A3 da AC Certisign RFB
Verso 2.3 03 de Dezembro de 2008
NDICE
1.
INTRODUO...........................................................................................................6
1.1.VISO GERAL ................................................................................................................. 6
1.2.IDENTIFICAO ............................................................................................................... 6
1.3.COMUNIDADE E APLICABILIDADE ........................................................................................... 6
1.3.1.Autoridades Certificadoras ...................................................................................... 6
1.3.2.Autoridades de Registro ......................................................................................... 7
1.3.3. Prestador de Servio de Suporte ............................................................................ 7
1.3.4.Titulares de Certificado .......................................................................................... 8
1.3.5.Aplicabilidade........................................................................................................ 8
1.4.DADOS DE CONTATO......................................................................................................... 9
2.
3.
2/32
3.1.5.Unicidade de nomes............................................................................................. 12
3.1.6. Procedimento para resolver disputa de nomes........................................................ 12
3.1.7.Reconhecimento, autenticao e papel de marcas registradas ................................... 12
3.1.8.Mtodo para comprovar a posse de chave privada ................................................... 12
3.1.9.Autenticao da identidade de uma organizao...................................................... 12
3.1.9.Autenticao da identidade do indivduo ................................................................. 12
3.1.9.1. Documentos para efeitos de identificao de um indivduo .................................... 12
3.1.9.2 Informaes contidas no certificado emitido para um individuo............................... 12
3.1.10.Autenticao da identidade de uma organizao .................................................... 12
3.1.10.1. Disposies Gerais ......................................................................................... 12
3.1.10.2 Documentos para efeitos de identificao de uma organizao ............................. 12
3.1.10.3. Informaes contidas no certificado emitido para uma organizao ...................... 12
3.1.11.Autenticao da identidade de um equipamento ou aplicao .................................. 12
3.1.10.1. Disposies Gerais ......................................................................................... 12
3.1.10.2 Procedimentos para efeitos de identificao de um equipamento ou aplicao ........ 12
3.1.10.3. Informaes contidas no certificado emitido para um equipamento ou aplicao .... 12
3.2.GERAO DE NOVO PAR DE CHAVES ANTES DA EXPIRAO DO ATUAL................................................. 12
3.3.GERAO DE NOVO PAR DE CHAVES APS REVOGAO................................................................. 12
3.4.SOLICITAO DE REVOGAO ............................................................................................ 13
4.
REQUISITOS OPERACIONAIS.................................................................................13
4.1.SOLICITAO DE CERTIFICADO ........................................................................................... 13
4.2.EMISSO DE CERTIFICADO ................................................................................................ 13
4.3.ACEITAO DE CERTIFICADO ............................................................................................. 13
4.4.SUSPENSO E REVOGAO DE CERTIFICADO ........................................................................... 13
4.4.1.Circunstncias para revogao .............................................................................. 13
4.4.2.Quem pode solicitar revogao.............................................................................. 13
4.4.3.Procedimento para solicitao de revogao ........................................................... 14
4.4.4.Prazo para solicitao de revogao....................................................................... 14
4.4.5.Circunstncias para suspenso .............................................................................. 14
4.4.6.Quem pode solicitar suspenso ............................................................................. 14
4.4.7.Procedimento para solicitao de suspenso ........................................................... 14
4.4.8.Limites no perodo de suspenso ........................................................................... 14
4.4.9.Freqncia de emisso de LCR .............................................................................. 14
4.4.10.Requisitos para verificao de LCR ....................................................................... 14
4.4.11.Disponibilidade para revogao ou verificao de status on-line............................... 14
4.4.12.Requisitos para verificao de revogao on-line ................................................... 14
4.4.13.Outras formas disponveis para divulgao de revogao ........................................ 14
4.4.14.Requisitos para verificao de outras formas de divulgao de revogao ................. 14
4.4.15.Requisitos especiais para o caso de comprometimento de chave.............................. 14
4.5.PROCEDIMENTOS DE AUDITORIA DE SEGURANA ....................................................................... 14
4.5.1.Tipos de eventos registrados................................................................................. 14
4.5.2.Freqncia de auditoria de registros (logs) ............................................................. 14
4.5.3.Perodo de reteno para registros (logs) de auditoria.............................................. 14
4.5.4.Proteo de registro (log) de auditoria ................................................................... 14
4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de auditoria .......... 14
4.5.6.Sistema de coleta de dados de auditoria................................................................. 14
4.5.7.Notificao de agentes causadores de eventos ........................................................ 14
4.5.8.Avaliaes de vulnerabilidade................................................................................ 14
4.6.ARQUIVAMENTO DE REGISTROS .......................................................................................... 14
4.6.1.Tipos de registros arquivados................................................................................ 14
4.6.2.Perodo de reteno para arquivo .......................................................................... 15
4.6.3.Proteo de arquivo ............................................................................................. 15
4.6.4.Procedimentos para cpia de segurana (backup) de arquivo .................................... 15
4.6.5.Requisitos para datao (time-stamping) de registros .............................................. 15
4.6.6.Sistema de coleta de dados de arquivo .................................................................. 15
4.6.7.Procedimentos para obter e verificar informao de arquivo...................................... 15
4.7.TROCA DE CHAVE ........................................................................................................... 15
4.8.COMPROMETIMENTO E RECUPERAO DE DESASTRE ................................................................... 15
4.8.1.Recursos computacionais, software, e dados corrompidos ........................................ 15
3/32
6.
4/32
8.
5/32
1.
INTRODUO
1.1.Viso Geral
1.1.1. Esta Poltica de Certificado (PC) descreve as polticas de certificao de
certificados de Assinatura Digital Tipo A3 da Autoridade Certificadora Certisign RFB na
Infra-estrutura de Chaves Pblicas Brasileira.
A estrutura desta PC est baseada no DOC ICP 04 do Comit Gestor da ICP-Brasil
Requisitos Mnimos para as Polticas de Certificados na ICP-Brasil, publicada em
18/04/2006 e na RFC 2527 (Internet X.509 Public Key Infrastructure - Certificate
Policy and Certification Practices Framework).
1.1.2. No se aplica.
1.1.3. No se aplica.
1.1.4. No se aplica.
1.1.5. No se aplica.
1.1.6. No se aplica.
1.2.Identificao
1.2.1. Esta PC chamada Poltica de Certificado de Assinatura Digital Tipo A3 da
Autoridade Certificadora Certisign RFB e referida como PC A3 da AC Certisign RFB.
Esta PC descreve os usos relacionados ao certificado de Assinatura Digital corresponde
ao tipo A3 da Resoluo no. 41 da ICP-Brasil, de 18 de abril de 2006. O OID (object
identifier) desta PC 2.16.76.1.2.3.6.
1.2.2. No se aplica.
1.3.Comunidade e Aplicabilidade
1.3.1.Autoridades Certificadoras
1.3.1.1. Esta PC refere-se exclusivamente AC Subordinada Certisign RFB (AC
Certisign RFB) no mbito da ICP-Brasil.
6/32
e/ou
em
pgina
web
da
AC
Certisign
RFB
(http://icp-
brasil.certisign.com.br/repositorio):
a) relao de todas as AR credenciadas, com informaes sobre as PC que
implementam.
b) para cada AR credenciada, os endereos de todas as instalaes tcnicas,
autorizadas pela AC Raiz a funcionar;
c)
f)
7/32
8/32
1.4.Dados de Contato
2.
Nome:
Endereo:
Telefone:
(21) 4501-1800
Fax:
(21) 4501-1801
Nome:
Telefone:
(21) 4501-1840
Fax:
(21) 2580-1285
E-mail:
icpbrasil@certisign.com.br
DISPOSIES GERAIS
9/32
2.1.Obrigaes e Direitos
2.1.1.Obrigaes da AC Certisign RFB
2.1.2.Obrigaes das AR
2.1.3.Obrigaes dos Titulares do Certificado
2.1.4.Direitos da Terceira Parte (Relying Party)
2.1.5.Obrigaes do Repositrio
2.2.Responsabilidades
2.2.1.Responsabilidades da AC Certisign RFB
2.2.2.Responsabilidades das AR
2.3.Responsabilidade Financeira
2.3.1.Indenizaes devidas pela terceira parte (Relying Party)
2.3.2.Relaes Fiducirias
2.3.3.Processos Administrativos
2.4.Interpretao e Execuo
2.4.1.Legislao
2.4.2.Forma de interpretao e notificao
2.4.3.Procedimentos de soluo de disputa
2.5.Tarifas de Servio
2.5.1 Tarifas de emisso e renovao de certificados
2.5.2 Tarifas de acesso ao certificado
2.5.3 Tarifas de revogao ou de acesso informao de status
2.5.4 Tarifas para outros servios
2.5.5 Poltica de reembolso
2.6.Publicao e Repositrio
2.6.1 Publicao de informao da AC
PC A3 da AC Certisign RFB v2.3
10/32
2.6.2.Freqncia de publicao
2.6.3.Controles de acesso
2.6.4.Repositrios
2.7.Auditoria e Fiscalizao
2.8.Sigilo
2.8.1.Tipos de informaes sigilosas
2.8.2.Tipos de informaes no-sigilosas
2.8.3.Divulgao de informao de revogao ou suspenso de certificado
2.8.4.Quebra de sigilo por motivos legais
2.8.5.Informaes a terceiros
2.8.6.Divulgao por solicitao do Titular do Certificado
2.8.7.Outras circunstncias de divulgao de informao
2.9. Direitos de Propriedade Intelectual
3.
IDENTIFICAO E AUTENTICAO
11/32
3.1.Registro Inicial
3.1.1.Disposies Gerais
3.1.2.Tipos de nomes
3.1.3.Necessidade de nomes significativos
3.1.4.Regras para interpretao de vrios tipos de nomes
3.1.5.Unicidade de nomes
3.1.6. Procedimento para resolver disputa de nomes
3.1.7.Reconhecimento, autenticao e papel de marcas registradas
3.1.8.Mtodo para comprovar a posse de chave privada
3.1.9.Autenticao da identidade de uma organizao
3.1.9.Autenticao da identidade do indivduo
3.1.9.1. Documentos para efeitos de identificao de um indivduo
3.1.9.2 Informaes contidas no certificado emitido para um individuo
3.1.10.Autenticao da identidade de uma organizao
3.1.10.1. Disposies Gerais
3.1.10.2 Documentos para efeitos de identificao de uma organizao
3.1.10.3.
Informaes
contidas
no
certificado
emitido
para
uma
organizao
3.1.11.Autenticao da identidade de um equipamento ou aplicao
3.1.10.1. Disposies Gerais
3.1.10.2
Procedimentos
para
efeitos
de
identificao
de
um
para
um
equipamento ou aplicao
3.1.10.3.
Informaes
contidas
no
certificado
emitido
equipamento ou aplicao
3.2.Gerao de novo par de chaves antes da expirao do atual
3.3.Gerao de novo par de chaves aps revogao
12/32
3.4.Solicitao de Revogao
4.
REQUISITOS OPERACIONAIS
13/32
para
verificao
de outras
formas
de divulgao
de
revogao
4.4.15.Requisitos especiais para o caso de comprometimento de chave
4.5.Procedimentos de Auditoria de Segurana
4.5.1.Tipos de eventos registrados
4.5.2.Freqncia de auditoria de registros (logs)
4.5.3.Perodo de reteno para registros (logs) de auditoria
4.5.4.Proteo de registro (log) de auditoria
4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de
auditoria
4.5.6.Sistema de coleta de dados de auditoria
4.5.7.Notificao de agentes causadores de eventos
4.5.8.Avaliaes de vulnerabilidade
4.6.Arquivamento de Registros
4.6.1.Tipos de registros arquivados
PC A3 da AC Certisign RFB v2.3
14/32
15/32
5.1.Controles Fsicos
5.1.1.Construo e localizao das instalaes
5.1.2. Acesso fsico
5.1.3. Energia e ar condicionado
5.1.4 Exposio gua
5.1.5 Preveno e proteo contra incndio
5.1.6. Armazenamento de mdia
5.1.7. Destruio de lixo
5.1.8. Instalaes de segurana (backup) externas (off-site)
5.2. Controles Procedimentais
5.2.1 Perfis qualificados
5.2.2. Nmero de pessoas necessrio por tarefa
5.2.3. Identificao e autenticao para cada perfil
5.3. Controles de Pessoal
5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade
5.3.2. Procedimentos de verificao de antecedentes
5.3.3. Requisitos de treinamento
5.3.4. Freqncia e requisitos para reciclagem tcnica
5.3.5. Freqncia e seqncia de rodzio de cargos
5.3.6. Sanes para aes no autorizadas
5.3.7. Requisitos para contratao de pessoal
5.3.8. Documentao fornecida ao pessoal
6.
16/32
est
definido
no
documento
PADRES
ALGORITMOS
17/32
18/32
certificados tm
ativados os
bits digitalSignature,
nonRepudiation
keyEncipherment.
Os pares de chaves correspondentes aos certificados emitidos pela AC Certisign
RFB podem ser utilizados para a assinatura digital (chave privada), para a
verificao dela (chave pblica), para a garantia do no repdio e para cifragem
de chaves.
6.2. Proteo da Chave Privada
6.2.1.Padres para mdulo criptogrfico
No existe requerimento mnimo para mdulos criptogrficos de armazenamento
de chave privada de titular de certificado .
6.2.2.Controle n de m para chave privada
No se aplica.
6.2.3.Recuperao (escrow) de chave privada
No permitida, no mbito da ICP-Brasil, a recuperao (escrow) de chaves
privadas de assinatura, isto , no se permite que terceiros possam obter uma
chave privada de assinatura sem o consentimento do titular do certificado.
6.2.4.Cpia de segurana (backup) de chave privada
6.2.4.1. Qualquer entidade titular de certificado pode, a seu critrio, manter
cpia de segurana de sua chave privada.
6.2.4.2. A AC Certisign RFB no mantm cpia de segurana de chave privada
de titular de certificado de assinatura digital por ela emitido.
6.2.4.3. Em qualquer caso, a cpia de segurana armazenada, cifrada, por
algoritmo simtrico 3-DES, IDEA, SAFER+ ou outros aprovados pelo CG da ICPBrasil, e protegida com um nvel de segurana no inferior quele definido para
a chave original.
19/32
titular
de
certificado
pode
definir
20/32
21/32
AC
Certisign
RFB
utiliza
um
modelo
clssico
espiral
no
22/32
7.1.1.Nmero de verso
Os certificados emitidos pela AC Certisign RFB implementam a verso 3 do
padro ITU X.509, de acordo com o perfil estabelecido na RFC 3280.
7.1.2.Extenses de certificado
7.1.2.1. Este item descreve todas as extenses de certificado utilizadas e sua
criticidade.
7.1.2.2. Os certificados emitidos pela AC Certisign RFB contm as seguintes
extenses obrigatrias:
a) Authority Key Identifier, no crtica: o campo keyIdentifier
contm o
23/32
24/32
25/32
e-CNPJ:
e-Servidor:
e-Aplicao:
PC A3 da AC Certisign RFB v2.3
26/32
e-Cdigo:
7.1.3.Identificadores de algoritmo
Os certificados emitidos pela AC Certisign RFB so assinados com o uso do algoritmo
RSA com SHA-1 como funo de hash (OID = 1.2.840.113549.1.1.5), conforme o
padro PKCS#1.
7.1.4.Formatos de nome
O nome do titular do certificado, constante do campo "Subject", adota o "Distinguished
Name" (DN) do padro ITU X.500/ISO 9594.
Cada PC implemtada pela AC Certisign RFB especifica corretamente os formatos dos
certificados gerados e das correspondentes LCRs. As PC incluem informaes sobre os
padres adotados, seus perfis, verses extenses.
e-CPF:
O contedo do DN apresenta-se da seguinte forma para os certificados de Pessoa
Fsica:
C = BR
O = ICP-Brasil
OU = Secretaria da Receita Federal do Brasil - RFB
OU = RFB e-CPF A3
OU = <Domnio do certificado>
OU = <Identificao da AR>
PC A3 da AC Certisign RFB v2.3
27/32
Onde:
O Common Name (CN) composto do nome da pessoa fsica, obtido do Cadastro de
Pessoas Fsicas (CPF) da RFB, com cumprimento mximo de 52 (cinqenta e dois)
caracteres, acrescido do sinal de dois pontos (:) mais o nmero de inscrio da pessoa
fsica do titular neste cadastro composto por 11 (onze) caracteres.
Um OU com contedo varivel, informando o nome da Autoridade de Registro
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
Onde:
28/32
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
empresa est localizada. O campo deve ser preenchido sem acentos nem abreviaturas.
O campo state or province name ( S ) com contedo correspondente a sigla do estado
onde a empresa est localizada.
e-Servidor:
Onde:
O Common Name (CN) composto pelo DNS do servidor.
Campo OU com contedo varivel, informando o nome da Autoridade de Registro
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
e-Aplicao:
29/32
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
e-Cdigo:
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
7.1.5.Restries de nome
7.1.5.1. As restries aplicveis para os nomes dos titulares de certificado
emitidos pela AC Certisign RFB so as seguintes:
No so admitidos sinais de acentuao, trema ou cedilhas;
,
.
/
:
;
=
2C
2D
2E
2F
3A
3B
3D
web
da
DPC
da
AC
Certisign
RFB
(http://icp-
brasil.certisign.com.br/repositorio/dpc)
7.1.9.Semntica de processamento para extenses crticas
Extenses crticas devem ser interpretadas conforme a RFC 3280.
7.2.Perfil de LCR
7.2.1.Nmero(s) de verso
As LCR geradas pela AC Certisign RFB implementam a verso 2 do padro ITU
X.509, de acordo com o perfil estabelecido na RFC 3280.
7.2.2.Extenses de LCR e de suas entradas
7.2.2.1. Neste item esto descritas todas as extenses de LCR utilizadas e sua
criticidade.
7.2.2.2. A ICP-Brasil define como obrigatrias as seguintes extenses de LCR
geradas pela AC Certisign RFB:
a) Authority Key Identifier: contm o hash SHA-1 da chave pblica da AC
Certisign RFB.
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR
emitida pela AC Certisign RFB.
PC A3 da AC Certisign RFB v2.3
31/32
8.
ADMINISTRAO DE ESPECIFICAO
8.1.Procedimentos de mudana de especificao
Alteraes nesta PC podem ser solicitadas e/ou definidas pelo Grupo de Prticas e
Polticas da AC Certisign RFB. A aprovao e conseqente adoo de nova verso
estaro sujeitas autorizao da AC Raiz.
8.2.Polticas de publicao e notificao
A AC Certisign RFB mantm pgina especfica com a verso corrente desta PC para
consulta pblica, a qual est disponibilizada no endereo Web:
(http://icp-brasil.certisign.com.br/repositorio/pc)
8.3.Procedimentos de aprovao
Esta DPC da AC Certisign RFB foi submetida aprovao, durante o processo de
credenciamento da AC Certisign RFB, conforme o determinado CRITRIOS E
PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICPBRASIL [6].
Novas verses sero igualmente submetidas aprovao da AC Raiz.
9. DOCUMENTOS REFERENCIADOS
9.1 Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
Nome do documento
Cdigo
[3]
DOC-ICP-03
INTEGRANTES DA ICP-BRASIL
9.2 Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser
alterados,
quando
necessrio,
pelo
mesmo
tipo
de
dispositivo
legal.
stio
Nome do documento
Cdigo
[1]
DOC-ICP-01.01
[2]
DOC-ICP-04.01
32/32