Académique Documents
Professionnel Documents
Culture Documents
Certificao Digital
Maring, 2008
Universidade Estadual de Maring Centro de Tecnologia - Departamento de Informtica Especializao em Desenvolvimento de Sistemas para Web
Trabalho submetido Universidade Estadual de Maring como requisito para a obteno do ttulo de Especialista em Desenvolvimento de Sistemas para Web.
Maring, 2008 2
Universidade Estadual de Maring Centro de Tecnologia - Departamento de Informtica Especializao em Desenvolvimento de Sistemas para Web
Certificao Digital
Prof Dr. Dante Alves Medeiros Filho Prof Me. Ayslan T. Possebom (Orientador) Prof Me. Carlos B. Sica de Toledo
AGRADECIMENTOS
Agradeo a Deus pela fora que me proporcionou durante todo esse desafio. minha famlia que me incentivou a seguir em diante acreditando em mim e no meu trabalho. Meus sinceros agradecimentos ao Professor Ayslan Trevisan Possebom, pela orientao e ajuda para a concluso deste trabalho. Aos Professores Dante Alves Medeiros Filho e Carlos Benedito Sica de Toledo pela presena na banca examinadora. Aos demais amigos aqui no citados que de alguma forma me ajudaram e incentivaram.
RESUMO
Este trabalho tem com objetivo mostrar a Certificao Digital, como ela estruturada no Brasil (ICP-Brasil), tornando seu uso de maneira segura pelo povo brasileiro e as leis envolvidas (MP 2.200-2). So apresentados os tipos de certificados pessoais tais como e-CPF e certificados de email, e-CNPJ, e o passo a passo para obt-los. Tambm mostra como identificar um website seguro e como sua segurana est estruturada usando o protocolo SSL. Ao final do trabalho, so mostrados os mtodos de criptografia mais usados e seus algoritmos, incluindo suas vantagens e desvantagens. Finalmente so propostos os trabalhos futuros para os mtodos de criptografia Quntica e Wireless.
ABSTRACT
This work has for objective to show the Digital Certification, how it is structured in Brazil (ICP-Brasil), making its use by a secure mode for Brazilian people and the laws envolved (MP 2.200-2). It presents the types of certificates for personal use such as e-CPF and email certificates, e-CNPJ, and the step by step to get them. It also shows how to identify a secure website and how this security is structured using the SSL protocol. At the end of the work, the most used methods of cryptography and their algorithms are shown, including their advantages and disadvantages. Finally the future works are proposed for Quantum and Wireless cryptography method.
LISTA DE ILUSTRAES
Figura 2.2:
Figura 2.2.2: Estrutura da ICP-Brasil (AC-Raiz).....................................................................21 Figura 2.2.5: Autoridade Certificadora AC JUSTIA e suas Autoridades de Registro.........22 Figura 3.1.1: Encriptamento e desencriptamento utilizando Chave Secreta............................24 Figura 3.1.1-A: Encriptamento e desencriptamento utilizando Chaves Pblicas e Privadas...25 Figura 3.2: Figura 3.3: Figura 3.4: Figura 3.5: Figura 3.8: Exemplo de e-CPF e e-CNPJ.............................................................................26 e-CPF e e-CNPJ ................................................................................................27 Leitora de Smart Cards .....................................................................................27 Token padro ICP-Brasil ...................................................................................28 Smart Cards, leitora de Smart Cards e Token padro ICP-Brasil.....................33
Figura 4.2-A: Interface de acesso ao formulrio para obter o Certificado de Email. ..............35 Figura 4.2-B: Formulrio de preenchimento dos dados do email a ser certificado .................35 Figura 4.2-C: Confirmao da concluso do primeiro passo do processo ..............................36 Figura 4.2-D: Instalando o certificado no computador pessoal ...............................................36 Figura 4.2-E: Concluso da instalao do certificado pessoal de email ..................................37 Figura 4.3: Importao do certificado do usurio para o Outlook Express .........................38
Figura 4.3-A: Gerenciador de certificados no Mozilla Firefox ...............................................39 Figura 4.3-B: Salvando o backup do certificado no Mozilla Firefox........................................40 Figura 4.3-C: Informando uma senha para o backup do certificado........................................40 Figura 4.3-D: Lista dos certificados vlidos ............................................................................41 Figura 4.4: Envio de mensagem assinada digitalmente e criptografada .............................42
Figura 4.4-A: Certificado de Email em mensagens no Microsoft Outlook 2007 .....................43 Figura 4.4-B: Mensagem criptografada recebida .....................................................................43 Figura 4.5: Copiando o certificado do remetente .................................................................44
Figura 4.5-A: Copiando o certificado para gerar a Chave Pblica ..........................................45 Figura 5.1: Figura 5.2: Figura 5.3: Barra de endereo seguro ..................................................................................47 SSL e a pilha de protocolos TCP/IP ..................................................................48 Camadas do Protocolo SSL................................................................................50
LISTA DE QUADROS
LISTA DE SIGLAS
AC ACR AES AR CAC CG CG-ICP COTEC CSR DES e-CNPJ e-CPF ICP ICP-Brasil IDEA
Autoridade Certificadora Autoridade Certificadora Raiz Advanced Encryption Standard (Padro de Encriptao Avanado) Autoridade de Registro Centro de Atendimento ao Contribuinte Comit Gestor Comit Gestor da Infra-estrutura de Chaves Pblicas Comit Tcnico Certificate Signing Request (Solicitao de Certificado de Assinatura) Data Encryption Standard (Padro de Encriptao de Dados) Cadastro Nacional de Pessoa Jurdica eletrnico Cadastro de Pessoa Fsica eletrnico Infra-estrutura de Chaves Pblicas Infra-estrutura de Chaves Pblicas do Brasil International Data Encryption Algorithm (Algoritmo Internacional de Encriptao de Dados)
Instituto Nacional de Tecnologia da Informao Message Authentication Code (Cdigo de Autenticao de Messagens) Medida Provisria Massachussets Institute of Tecnology (Instituto de Tecnologia de Massachussets)
Personal Identification Number (Nmero de Identificao Pessoal) Public Key Infrastructure (Infra-estrutura de Chaves Pblicas) Pseudo Number Ramdon Generator (Gerador Randmico de Pseudo Nmeros) Personal Unblocking Key (Chave Pessoal de Desbloqueio) Quantum Key Distribuition (Distribuio de Chave Quntica)
SISCOMEX Sistema Integrado de Comrcio Exterior SPED SSL STF Servio Pblico de Escriturao Digital Secure Sockets Layer Supremo Tribunal Federal 9
TCP-IP
Universal Serial Bus (Porta Serial Universal) Virtual Private Net (Redes Privadas Virtuais) Wired Equivalent Privacy WI-FI Protected Access (Acesso Protegido Wi-Fi)
10
SUMRIO
1. INTRODUO .............................................................................................................13 1.1 Justificativa para o Desenvolvimento do Trabalho....................................................14 1.2 Objetivos do Trabalho ..............................................................................................14 1.3 Metodologia de Desenvolvimento ............................................................................15 2. CERTIFICAO DIGITAL.......................................................................................16 2.1 Lei MP 2200-02 .......................................................................................................16 2.2 ICP- Brasil (Infra-Estrutura de Chaves Pblicas Brasileira) ...................................17 2.2.1 Comit Gestor ................................................................................................19 2.2.2 Comit Tcnico (COTEC) e Secretaria Executiva..........................................20 2.2.3 Autoridade Certificadora Raiz ........................................................................21 2.2.4 Autoridades Certificadoras .............................................................................22 2.2.5 Autoridades de Registro..................................................................................22 3. CERTIFICADO DIGITAL...........................................................................................23 3.1 Criptografia ...............................................................................................................23 3.1.1 Conceito de Chaves Secretas, Pblicas, Privadas, Simtricas e Assimtricas..24 3.2 Conceitos de e-CPF e e-CNPJ ..................................................................................26 3.3 Smart Card ................................................................................................................27 3.4 Leitora de Smart Cards..............................................................................................27 3.5 Token .........................................................................................................................27 3.6 Diferenas entre Smart Cards e Tokens.....................................................................28 3.7 Tipos de Certificados ................................................................................................28 3.7.1 Tipo de Certificado A1 ....................................................................................30 3.7.2 Tipo de Certificado A3 ....................................................................................30 3.8 Obteno dos Certificados A1 ou A3........................................................................31 4. EMAILS E O CERTIFICADO DIGITAL ...................................................................34 4.1 Conceito de Certificado de Email ..............................................................................34 4.2 Como obter um Certificado de Email.........................................................................34 4.3 Como Instalar .............................................................................................................37 4.4 Como Utilizar os Certificados ....................................................................................42 4.5 Trocando Chaves Pblicas...........................................................................................44 11
5. PROTOCOLO SSL ........................................................................................................47 5.1 Identificando um Site Seguro......................................................................................47 5.2 Caractersticas do SSL ................................................................................................48 5.3 Camadas do SSL..........................................................................................................49 5.4 Processos no SSL ........................................................................................................50 5.4.1 Processo de Fragmentao...................................................................................51 5.4.2 Processo de Compactao ...................................................................................51 5.4.3 Processo de Cifragem ..........................................................................................51 5.5 Sesses no SSL.............................................................................................................51 5.5.1 Protocolo Alert .....................................................................................................52 5.5.2 Protocolo ChangeCipherSpec................................................................................53 5.5.3 Protocolo Handshake.............................................................................................54 5.6 Como Gerar um Certificado SSL..................................................................................54 6. QUESTES TCNICAS ENVOLVIDAS NA CERTIFICAO DIGITAL............56 6.1. Criptografia...................................................................................................................56 6.2. Tipos de Criptografias...................................................................................................57 6.2.1 Algoritmos Simtricos ou de Chave Privada.......................................................57 6.2.2 Algoritmos Assimtricos ou de Chave Pblica....................................................58 6.2.3 Funo Hashing....................................................................................................59 6.2.4 Criptografia Quntica...........................................................................................60 6.2.5 Criptografia nas Redes Sem Fio............................................................................60 6.3 Pontos Falhos na Criptografia........................................................................................61 CONSIDERAES FINAIS.................................................................................................62 TRABALHOS FUTUROS.....................................................................................................63 REFERNCIAS .....................................................................................................................64
12
1. INTRODUO
A preocupao com a segurana na navegao na Internet hoje se tornou cada vez maior. Devido a ofertas de inmeras facilidades dos servios disponveis na WEB, o usurio e os profissionais da rea sentem a necessidade de efetivar essa segurana. Hoje temos como ferramenta a Certificao Digital que nos possibilita fazer inmeras dessas transaes de uma forma segura e gil. O Brasil est entre os pases lderes da utilizao de tecnologias. Em razo disso ele se destaca tambm em inovaes e implementaes tecnolgicas. Muitos rgos pblicos brasileiros j adotaram a Certificao Digital e entre eles temos o Supremo Tribunal Federal (STF). O STF adotou a Certificao Digital em junho de 2006 com um acordo com a Caixa Econmica Federal. Desde ento, os ministros do STF podem fazer os seus trmites legais eletronicamente como se fossem pelo papel. A Receita Federal, bem como o SPED (Servio Pblico de Escriturao Digital), tambm so usurios da Certificao Digital atualmente. Embora seja um processo j existente h alguns anos, ele continua desconhecido por muitos usurios da web e profissionais da rea. Existem estruturas, legislaes e normas a serem seguidas para a efetivao da Certificao Digital, que depois de efetivadas, tornam-se, em alguns casos, transparentes ao usurio final. Para que o processo de certificao digital tenha validade, necessrio ter uma autoridade confivel que ateste e emita os certificados, uma ICP (Infra-estrutura de Chaves-Pblicas). A funo da ICP a definio de tcnicas, prticas e procedimentos que sero adotados pelas entidades para ento ser possvel um sistema de certificao digital baseado em chave pblica. No Brasil, em 24 de agosto de 2001, foi definida pela Medida Provisria n 2200-2 a Infra-estrutura de Chaves Pblicas Brasileira, ou ICP-Brasil. A Autoridade Certificadora Raiz a primeira na cadeia de certificao e executa as polticas de certificado e normas tcnicas e operacionais aprovadas pelo Comit Gestor. As Autoridades Certificadoras so organizaes confiveis (credenciadas) a emitir certificados digitais, vinculando pares de chaves criptogrficas ao respectivo titular. As Autoridades de Registros (A.R.) so entidades vinculadas operacionalmente uma determinada Autoridade Certificadora e tem a competncia de identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes.
13
Por meio deste estudo, pretende-se fazer um levantamento de conceitos, entidades oficiais envolvidas e os mtodos utilizados para a certificao digital a fim de esclarecer o que , como funciona o processo e como obter a Certificao Digital.
tcnicos para facilitar o entendimento dessas ferramentas pelos usurios de todos os nveis de conhecimento na rea. Nos demais captulos esse propsito no se faz possvel, pois o assunto envolve a parte tcnica da certificao como tipos de criptografias e o protocolo SSL.
15
2. CERTIFICAO DIGITAL
A certificao digital utilizada para autenticar programas, assinaturas de mensagens, documentos eletrnicos, controle de acessos e outros. O certificado digital um documento eletrnico que atesta a identidade do usurio. Em outras palavras, ele a verso digital do documento de identidade. Para que este documento eletrnico possa ser disponibilizado e utilizado pelos usurios, surgiu a necessidade de se regulamentar as atividades de certificao digital no Brasil. Foi criada ento, a ICP-Brasil. importante conhecer toda a estrutura que envolve este processo para ento se ter a confiabilidade nos resultados apresentados ao se utilizar um certificado digital. A estrutura da ICP-Brasil foi definida pela Medida Provisria MP 2200-02. Neste captulo ser abordado o seu contedo, bem como o decreto 3872 de 18/07/2001 que regulamenta um dos principais rgos da estrutura, o Comit Gestor. Tambm sero abordadas neste captulo, as partes integrantes fundamentais para a certificao digital, incluindo os rgos utilizados para fornecer e regulamentar tais servios.
16
17
18
A coordenao do Comit Gestor da ICP-Brasil exercida pelo representante da Casa Civil da Presidncia da Repblica.
19
Prestar assistncia direta e imediata ao Coordenador do Comit Gestor; Preparar as reunies do Comit Gestor; Coordenar e acompanhar a implementao das deliberaes e diretrizes fixadas pelo Comit Gestor;
Coordenar os trabalhos do COTEC; Cumprir outras atribuies que lhe forem conferidas por delegao do Comit Gestor. A estrutura da ICP-Brasil composta ento de uma Autoridade Certificadora Raiz, vrias Autoridades Certificadoras e suas respectivas Autoridades de Registro. Essa estrutura pode ser observada na Figura 2.2.2, retirada do site do Instituto Nacional da Tecnologia da Informao-ITI (http://www.iti.gov.br/twiki/bin/view/Certificacao/WebHome).
20
Figura 2.2.5: Estrutura da AC JUS com suas Autoridades Certificadoras e respectivas Autoridades de Registro.
22
3. CERTIFICADO DIGITAL
De acordo com o SERASA (2008), o certificado digital um documento eletrnico que possibilita comprovar a identidade de uma pessoa, uma empresa ou um site, para assegurar as transaes on-line e a troca eletrnica de documentos, mensagens e dados. Essa tecnologia permite assinar, digitalmente, qualquer tipo de documento, conferindo-lhe a mesma validade jurdica dos equivalentes em papel assinados de prprio punho. Este captulo apresenta os conceitos de certificados digitais e os elementos que os compem como criptografia, chaves pblicas e privadas, simtricas e assimtricas, encriptamento e desencriptamento. Tambm sero abordados os tipos de certificados digitais utilizados no Brasil e a funo de cada um. Complementando o captulo, ser mostrado o conceito e um passo a passo da obteno de um e-CPF ou e-CNPJ, ou seja, um certificado digital para uso de pessoas fsicas/pessoas jurdicas respectivamente.
3.1 Criptografia
Para melhor compreenso do assunto a seguir, importante esclarecer os conceitos de criptografia, chaves pblicas e privadas, chaves simtricas e assimtricas. A criptografia consiste na escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da informao. Segundo Silva et al (2008), a criptografia a cincia de fazer com que o custo de adquirir uma informao de maneira imprpria seja maior do que o custo obtido com a informao. Para a realizao da criptografia, faz-se necessrio a utilizao de uma chave numrica. Tal chave consiste em um valor matemtico gerado para ser utilizado no processo de criptografia. Pelo uso dela, sero codificadas e descodificadas as mensagens criptografadas, por meio de clculos matemticos.
23
Figura 3.1.1: Encriptamento e desencriptamento utilizando Chave Secreta (SILVA et al, 2008).
24
Para as chaves assimtricas, a chave privada se torna diferente para cada combinao de pares de chave (privada e pblica). O algoritmo utilizado que gera esta chave de complexidade maior, e quanto maior o tamanho da chave privada, maior ser a segurana. Esse algoritmo chamado de Algoritmo de Resumo ou simplesmente, Algoritmo Hash, conforme apresentado na seo 6.2.3. A Figura 3.1.1-A, mostra o fluxo deste processo.
25
26
3.3 SmartCard
Smart card um carto contendo um chip responsvel pela gerao e o armazenamento de certificados digitais. Neste carto podemos gerar e armazenar chaves criptogrficas que iro compor os certificados digitais. Aps a gerao dessas chaves, estas estaro totalmente protegidas, pois no ser possvel export-las para uma outra mdia ou retir-las do Smart Card. A Figura 3.3 mostra mais um exemplo de Smart Cards para CPF e CNPJ.
3.5 Token
um dispositivo com capacidade de gerar e armazenar as chaves criptogrficas para compor certificados digitais. Aps geradas, estas chaves no podero ser exportadas ou retiradas do Token (seu hardware criptogrfico). Para utiliz-lo, deve-se conect-lo em uma porta USB 27
(Universal Serial Bus Porta Serial Universal) e instalar o driver apropriado. possvel visualizar um exemplo de Token na Figura 3.5.
28
29
Os tipos A1 e A3 so os mais indicados para serem utilizados por pessoas fsicas. O que difere de um tipo A1 para o tipo A3 o grau de segurana que determinado pelo modo de gerao e de armazenamento das chaves criptogrficas. O tipo A2 est entre os tipos A1 e A3, pois se iguala ao A1 pelo tamanho da chave e processo de gerao da mesma e se iguala ao A3 pela mdia de armazenamento (Smart Card ou Token). O tipo A4 similar ao A3, porm diferem-se no tamanho em bits da chave (2048 e 1024). A validade e o preo tambm variam. As mesmas comparaes so vlidas para a srie S.
30
Para que um certificado seja emitido, necessrio solicit-lo pela internet, cadastrando uma senha de identificao alfanumrica. Depois, preciso valid-lo presencialmente em um ponto de atendimento credenciado, mediante agendamento prvio. L, um agente de validao receber a documentao necessria. Finalmente, ser solicitado que as senhas padro do certificado sejam alteradas. Essas senhas devem ser uma password e/ou PIN (Personal Identification Number Nmero de Identificao Pessoal) e PUK (Personal Unblocking Key Chave Pessoal de Desbloqueio) de conhecimento exclusivo do titular. No caso do Token, utilizada somente a senha PIN. Com o Certificado Digital tipo A3, o usurio transporta a sua chave privada de maneira segura, realizando transaes eletrnicas onde desejar, com garantia de segurana e integridade das informaes.
c) Os documentos exigidos para o e-CPF devem ser originais ou cpias autenticadas e so: cdula de identidade ou passaporte (se estrangeiro); CPF; comprovante de residncia (emitido h, no mximo, trs meses); foto3x4 recente; comprovante de depsito de pagamento do certificado e termo de titularidade devidamente preenchido. O nmero de identificao social, ttulo de eleitor e o cadastro especfico do INSS so opcionais. d) J para o e-CNPJ, so necessrios: o registro comercial (em caso de empresa individual); o ato construtivo; estatuto ou contrato social em vigor; o CNPJ e os documentos da pessoa fsica responsvel pela certificao (cdula de identidade, CPF, comprovante de residncia e uma foto 3x4). O cadastro especfico do INSS, termo de titularidade e de responsabilidade devidamente preenchido e o comprovante de depsito de pagamento do certificado tambm so opcionais para este caso. Toda essa documentao conferida, e caso esteja correta, os representantes da empresa devem assinar um termo de titularidade, na presena de um funcionrio responsvel por sua identificao fsica. 3) Obteno do Certificado Digital para iniciar o uso: a) Aps isso, possvel baixar o certificado pela internet (tipo A1) ou ento pegar o Smart card, ou o Token, na prpria autoridade de registro (tipo A3). A Figura 3.8 mostra exemplos de Smart Cards, Leitora de Smart Cards e um Token, utilizados para certificados do tipo A3.
32
Figura 3.8: Smart Cards (e-CPF e e-CNPJ), leitora de Smart Cards e Token padro ICP.
33
A necessidade de segurana em emails surge quando ocorre a violao destes ou mesmo quando no se tem a certeza de que estes no tiveram o contedo violado. So muitas informaes sigilosas que trafegam na web por meio de emails. Para o usurio que tem essa necessidade de sigilo, possvel empregar o uso do certificado de email. Neste captulo ser apresentado o Certificado de Email mostrando passo a passo como obter um gratuitamente e como utiliz-lo em mensagens assinadas digitalmente e/ou criptografadas.
Passo 1: Informar o endereo www.comodo.com na barra de endereos do seu browser; Passo 2: Ao selecionar a opo FREE Email Security Certificate, ser apresentada a tela conforme a Figura 4.2-A.
Passo 3: Nesta tela, selecione a opo GET YOUR FREE EMAIL CERT NOW!. Ao selecionar esta opo, ser apresentado o formulrio para preenchimento dos dados sobre o email que utilizar/receber o certificado (Figura 4.2-B)
Figura 4.2-B: Formulrio para preenchimento dos dados do email a ser certificado.
35
Aps este passo, ser enviado o email com o link que ser acessado ao clicar no boto vermelho conforme pode ser observado na Figura 4.2-D. Caso ocorra algum problema de acesso, podemos acessar via browser utilizando o link e senhas de ativao, mencionados logo abaixo deste boto.
36
Aps este processo, a certificadora emite a mensagem conforme a Figura 4.2-E a seguir:
Aps esta etapa, o certificado j est presente no computador do requisitante, sendo necessrio que se faa a importao para o gerenciador de email para que possam ser efetivamente utilizados.
37
Passo 1: Utilizando o Outlook Express 6.0, acesse o menu Ferramentas, Contas, selecione a conta que receber o certificado e clique em propriedades; Passo 2: Selecione a aba Segurana; Passo 3: Clique no boto Selecionar do Certificado de Autenticao; Passo 4: Selecione o certificado que deseja usar, conforme solicitado na interface e clique em OK. Passo 5: Clique no boto Aplicar, Ok e Fechar. A Figura 4.3 exibe o certificado do usurio Sandra Macedo para ser importado para o Outlook Express.
Caso o certificado no seja encontrado na interface descrita no passo 4 deste processo, pode ter ocorrido alguma falha ao receber o certificado automaticamente no Passo 3 do processo anterior (Como obter um certificado de email). Isso pode ocorrer devido incompatibilidade de browsers, ou seja, utilizar browsers e gerenciadores de email de softwares diferentes. Por 38
exemplo: utilizar o browser Mozilla Firefox e o gerenciador de email Outlook Express. Para solucionar esta questo basta exportar o certificado pelo browser no qual ele foi obtido para um arquivo salvo no disco, e em seguida import-lo pelo browser compatvel com o gerenciador de email. O exemplo a seguir utilizar um certificado solicitado pelo Mozilla Firefox para ser utilizado no Outlook Express 6.0. Acompanhe os seguintes passos: Passo 1: No Mozilla Firefox, acesse a opo Ferramentas /Opes /Avanado /Certificados /Seus Certificados, (Figura 4.3-A). Nesta interface estaro os certificados obtidos.
No Internet Explorer, acesse em Ferramentas/Opes de Internet/Contedo/Certificados. Passo 2: Selecione o certificado na lista apresentada e faa um backup do certificado clicando no boto Backup. 39
Passo 3: Deve ser especificada uma senha para o backup do certificado. Informe uma senha e clique em OK.
Aps este procedimento, deve ser importado o certificado no browser compatvel com o gerenciador de email. Neste exemplo utilizamos o Internet Explorer acessando Ferramentas /Opes de Internet /Contedo/Certificados. Nesta interface, o certificado deve ser importado. Antes de ser importado, ele no aparecer na lista de certificados. Neste caso, clique em 40
Importar e localize o arquivo exportado pelo Mozilla Firefox no procedimento anterior. Aps isso, o certificado estar nesta lista apresentada na figura a seguir. A figura 4.3-D exibe a lista de certificados vlidos para utilizao nos gerenciadores de email compatveis com o Internet Explorer.
41
Na Figura 4.4-A, pode-se visualizar o envio de mensagem com disponibilidade de certificado de email no Microsoft Outlook 2007. Observe tambm que no so apresentados os cones direita dos campos ao acionar os botes de assinatura digital e criptografia. Isso uma particularidade de cada gerenciador de email.
42
O gerenciador de email permite que se configure o envio da assinatura digital e/ou criptografia em todas as mensagens automaticamente. Porm podemos configurar tambm para que utilizemos estes botes de assinatura digital e criptografia quando desejarmos. Na Figura 4.4-B podemos ver uma mensagem criptografada recebida no gerenciador de email. Observe que ela est assinalada com um cone especfico de criptografia, um cadeado. A criptografia no permite que o contedo da mensagem seja visvel no painel de leitura.
43
Como esta mensagem foi recebida pelo destinatrio que possui a chave pblica do remetente, a mensagem poder ser visualizada normalmente logo ao ser aberta. Para que seja possvel trocar mensagens criptografadas, necessrio que tenhamos a chave pblica do destinatrio, caso contrrio, o gerenciador de email no permitir o envio da mensagem com a criptografia. A assinatura digital independe desse detalhe, ou seja, possvel enviar mensagens com a assinatura digital para qualquer destinatrio.
44
Para enviar ou receber mensagens criptografadas, necessrio ter as chaves pblicas trocadas entre o destinatrio e remetente da mensagem. Desta forma, o arquivo com a chave do usurio dever ser exportado acessando as propriedades da conta do usurio, segurana, em preferncias de criptografia, clique em selecionar, exibir certificado, aba detalhes e copiar para arquivo. Observe a Figura 4.5-A que exemplifica este procedimento:
Um assistente para a exportao ser executado, bastando seguir os passos sugeridos. Um nome para a chave pblica ser solicitado. Observe o local no qual ser armazenada a chave para poder encaminh-la para o destinatrio que se deseja compartilhar o recurso de criptografia. Ao receber uma chave pblica, basta fazer a importao da mesma para o contato de email. No Outlook Express, acesse o catlogo de endereos; 45
Passo 1: Selecione o contato e clique em propriedades; Passo 2: Selecione a aba Identificaes Digitais; Passo 3: Clique em Importar e localize o arquivo recebido, clique em Abrir e confirme a mensagem de alerta.
46
5. PROTOCOLO SSL
Neste captulo ser abordado o protocolo SSL e como obter um certificado SSL. Com o aumento das transaes financeiras na WEB, surgiu uma necessidade maior de segurana dos dados trafegados. Isso sentido tanto pelo internauta que expe seus dados pessoais para efetivarem uma transao bancria, financeira, fiscal ou uma simples compra, quanto para o dono do site que se preocupa em disponibilizar segurana para o seu cliente. Para suprir essa necessidade surgiu o protocolo SSL que possui um mecanismo que possibilita o sigilo absoluto dos dados e a garantia de autenticidade dos mesmos nas transaes eletrnicas on-line.
47
Segurana em conexes cliente/servidor O SSL, segundo Sousa e Puttini (2008), faz uso de criptografia simtrica garantindo o sigilo dos dados trocados entre as partes envolvidas na conexo. adicionado um MAC (Message Authentication Code) em todas as mensagens, a fim de evitar que as mesmas, apesar de decifradas, sejam modificadas e com isso um ataque de escuta ativa seja possvel. O MAC calculado a partir de funes de hash seguras, garantindo a integridade das mensagens trocadas. Alm de sigilo e integridade, o SSL ainda faz a autenticao das partes envolvidas para garantir e verificar a identidade das mesmas, utilizando criptografia assimtrica e certificados digitais.
48
Independncia de protocolo O SSL roda sobre qualquer outro protocolo de transporte confivel, mas suas implementaes so direcionadas para as redes com o protocolo TCP-IP por ser o mais utilizado.
Interoperabilidade Permite a comunicao com outra aplicao sem a necessidade do detalhamento de sua implementao;
Extensibilidade Admite a criao de novas rotinas e funcionalidades baseadas em mecanismos pr-existentes do protocolo. Temos como exemplo, a incorporao de novos parmetros e mtodos de criptografia (assimtrica ou simtrica) ao SSL sem que seja necessrio implementar uma nova biblioteca ou mesmo criar um novo protocolo.
Eficincia O protocolo SSL dispe da opo de armazenamento em cache de informaes referentes sesso, diminuindo o esforo computacional em sucessivas conexes. Isto o torna eficiente devido demanda por recursos computacionais que este tipo de operao requer.
Vantagens do SSL O SSL preenche todos os critrios necessrios para transmisses das informaes mais sigilosas, como dados pessoais e nmeros do carto de crdito. As aplicaes podem optar por utilizar todos ou somente uma parte desses critrios dependendo do tipo e natureza das transaes que esto sendo efetuadas.
autenticao MAC. Estes blocos so encriptados pelos algoritmos e chaves definidos pelo processo de Handshake, e enviados a seguir. A numerao destas informaes importante para que o receptor possa detectar se h blocos em falta, alterados ou injetados por terceiros. A figura 5.3 apresenta em destaque as camadas Record e Handshake no protocolo SSL.
A camada Handshake est entre as camadas superiores e estabelece os parmetros criptogrficos da sesso. Ela permite que a aplicao servidora e a aplicao cliente autentiquem-se e negociem os algoritmos de cifragem e as chaves criptogrficas antes que o protocolo de aplicao receba ou envie a informao (seu primeiro byte).
50
Uma sesso dada como sendo dependente do estado. O protocolo Handshake quem mantm a consistncia dos estados de uma sesso tanto no cliente quanto no servidor. Uma mesma sesso SSL pode incluir vrias conexes, ou seja, a partir dos mesmos dados que formam uma sesso possvel abrir mltiplas conexes SSL (SOUSA e PUTTINI, 2008). Os dados que compem uma sesso so:
session ID - um valor arbitrrio escolhido pelo servidor para identificar esta sesso; peer certificate - usado para certificar uma organizao. Est no formato X.509 e dentre outras coisas encontra-se dentro dele a chave pblica da entidade que est utilizando aquela aplicao;
compression method - algoritmo usado na compresso dos dados; cipherspec - especifica que conjunto de algoritmos de cifragem e de hash sero utilizados;
Mastersecret - um segredo de 48 bytes compartilhado pelo servidor e pelo cliente; IsResumable - flag utilizado para indicar se a sesso pode ou no ser retomada ao iniciar uma nova conexo.
close_notify: warning, sinaliza o fechamento de uma conexo SSL; unexpected_message: fatal, indica o recebimento de uma mensagem fora de ordem; bad_Record_mac: fatal, indica que a verificao do MAC da mensagem recebida no coincidiu;
decompression_failure: fatal, indica que o processo de descompactao resultou num bloco maior que 214 bytes;
no_certificate: indica que o cliente no possui nenhum certificado que coincida com os tipos pedidos;
bad_certificate: indica que o certificado recebido possui uma assinatura no vlida; unsupported_certificate: indica recepo de certificado cujo o tipo no suportado; certificate_revoked: indica que o certificado foi revogado por quem o assinou; certificate_expired: indica que a data de validez do certificado expirou ou, de que este ainda no esta vlido;
illegal_parameter: fatal, indica que algum campo de alguma mensagem trafegada durante o Handshake est fora do seu intervalo ou incoerente com outro campo.
informaes tais como endereo, documentao e pessoa de contato. partir desses dados gerado um par de chaves de criptografia para a codificao dos dados sendo uma chave privada e outra chave pblica. A privada ficar no servidor e a pblica juntamente com as informaes cadastrais, ser utilizada para gerar um CSR (Certificate Signing Request). O CSR submetido a uma Autoridade Certificadora (CA) que validar os dados cadastrais comprovando sua autenticidade bem como a propriedade do website, garantindo que aquele certificado foi realmente emitido para o proprietrio do website. Aps a Autoridade Certificadora gerar o certificado, este dever ser instalado pelo provedor responsvel pela hospedagem do website. 54
Segundo consta no site da Laniway, para a escolha de um certificado apropriado deve-se observar se este reconhecido pela maioria dos navegadores. Caso este problema ocorra, o acesso ao website pode ficar comprometido devido s mensagens de alerta de incompatibilidades que aparecero durante os acessos. Para evitar isso, importante procurar um certificado de uma Autoridade Certificadora de renome no mercado e que tenha a aprovao dos usurios que a utilizam, e tambm dos desenvolvedores dos navegadores. indicado usar um certificado a partir de 128 de bits de codificao para maior segurana nas informaes trafegadas.
55
6.
QUESTES
TCNICAS
ENVOLVIDAS
NA
CERTIFICAO
DIGITAL
Neste captulo ser abordada a parte tcnica que envolve a certificao digital como a utilizao de criptografias, quais os tipos de criptografia utilizados, alguns dos algoritmos mais utilizados e o conceito e utilizao de chaves pblicas e privadas.
6.1. Criptografia
A palavra CRIPTOGRAFIA tem origem das palavras gregas krypts que significa oculto e graph que significa escrever. Segundo Silva et al (2008), Criptografia a cincia de fazer com que o custo de adquirir uma informao de maneira imprpria seja maior do que o custo obtido com a informao.
A criptografia deve seguir quatro princpios bsicos: 1) Confidencialidade; 2) Autenticao; 3) Integridade da informao e 4) No repudiabilidade (o remetente no pode negar o envio da informao).
Alguns conceitos so importantes no processo da criptografia. Criptosistemas Fornecem tcnicas para cifrar ou embaralhar textos. Estes textos quando cifrados, tornam-se aparentemente ilegveis, sendo posteriormente obtida sua forma original e legvel. O texto original chamado de texto pleno ou texto claro e o texto ilegvel conhecido como texto cifrado.
56
Encriptamento ou Encriptao o processo de embaralhar ou cifrar textos ou mensagens, sendo o processo inverso denominado desencriptamento ou desencriptao. O encriptamento baseia-se em dois componentes bsicos: um algoritmo e uma chave.
Algoritmos Criptogrficos a funo matemtica que identifica os passos de encriptao ou desencriptao. Os criptosistemas so baseados em apenas trs tipos de algoritmos criptogrficos: chave secreta, chave pblica e resumo.
57
O processo de criptografia para chaves simtricas est presente nos seguintes algoritmos de encriptao:
DES (Data Encryption Standard) Este algoritmo utiliza um sistema de cifragem em blocos. Foi criado em 1977 pela IBM e permite cerca de 72 quadrilhes de combinaes, mas seu tamanho de chave (56 bits) considerado pequeno, tendo sido quebrado por "fora bruta" em 1997 em um desafio lanado na Internet ( PORTAL ICP-BRASIL, 2008) .
IDEA (International Data Encryption Algorithm) O IDEA o algoritmo para criptografia de email pessoal mais disseminado no mundo. Seu tamanho de chave de 128 bits. Foi criado em 1991 por James Massey e Xuejia Lai e estruturado de forma semelhante ao DES, mas na maioria dos microprocessadores, uma implementao por software do IDEA mais rpida do que uma implementao por software do DES (PORTAL ICP-BRASIL, 2008).
RC (Ron's Code ou Rivest Cipher) Este algoritmo, criado por Ron Rivest na empresa RSA Data Security, muito utilizado em emails e faz uso de chaves que vo de 8 a 1024 bits. Possui vrias verses: RC2, RC4, RC5 e RC6 diferenciando-se entre elas pelo tamanho das chaves. Podemos citar alguns outros algoritmos conhecidos, como o AES (Advanced Encryption Standard), baseado no DES, o 3DES, o Twofish, outros (ALECRIM, 2008).
RSA o mtodo de criptografia de chave pblica mais utilizado. Ele foi inventado em 1978 por Rivest, Shamir e Adleman, que ento trabalhavam no Massachussets Institute of 58
Technology (M.T.I). Este algoritmo baseado na multiplicao de dois nmero primos resultando num terceiro valor que corresponde chave privada. A chave pblica composta pelos dois nmeros primos que foram multiplicados.
ElGamal Criado por Taher ElGamal, freqente em assinaturas digitais. Este algoritmo garante a autenticidade da mensagem mesmo em canais no seguros, fazendo uso do problema de logaritmo de algoritmo discreto. A gerao de chaves segue o padro das chaves pblicas, onde cada entidade gera um par de chaves e acertam a forma como vo distribuir as chaves pblicas.
60
61
CONSIDERAES FINAIS
A segurana na Web pode ser obtida desde que aplicadas s devidas medidas para tal objetivo. A falta de conhecimento de como utilizar e quais as ferramentas utilizar, deixam vrias pessoas fora da rede, ou seja, da web, por serem temerosas com os perigos de fraudes existentes no mundo virtual, ou mesmo a invaso de privacidade. A MP 2200-2, criada em agosto de 2001, define toda a cadeia da certificao no Brasil e a funo de cada rgo dentro desta cadeia. Podemos observar que a implantao da criptografia para a proteo de mensagens eletrnicas (emails) simples e existem sistemas gratuitos que disponibilizam tal servio, mas na sua maioria so empresas estrangeiras. Tambm existe a necessidade da utilizao de softwares gerenciadores de emails para configurar as chaves de criptografia. Existem 8 tipos de certificados no Brasil, sendo 4 deles para uso em assinaturas digitais e 4 para a codificao de documentos, base de dados e outras informaes sigilosas. Atualmente no Brasil, o tipo de certificado para assinatura digital A3 o mais procurado devido segurana que o mesmo proporciona, a facilidade de configurao e de uso, e o custo/benefcio. O protocolo SSL mundialmente o mais utilizado para a segurana na troca de informaes entre websites. Ele facilmente adaptvel maioria dos protocolos, entre os quais se destaca o TCP-IP que o mais utilizado. Devido a esse fato, a maioria das implementaes do SSL so feitas visando a utilizao com o TCP-IP, mas mantendo sempre a caracterstica de adaptabilidade aos demais protocolos. No futuro, a segurana na rede tende a ser cada vez mais aprimorada e verstil dando oportunidades cada vez maiores da disseminao da informao. Existe uma forte tendncia utilizao da computao quntica, o que promete tornar a web e todos os sistemas informatizados mais seguros. As redes wireless ganharam um espao considervel e merecem especial ateno no que envolve a segurana.
62
TRABALHOS FUTUROS
No decorrer do desenvolvimento deste trabalho podemos vislumbrar algumas possibilidades de trabalhos futuros, tais como:
Utilizao da criptografia quntica. Abordando seus princpios, mecanismo, histrico, como funciona a criptografia em relao aos algoritmos aplicados, exemplos de aplicaes deste mtodo de criptografia.
Utilizao da criptografia em redes wireless. Detalhamento do funcionamento dessas criptografias, tipos de algoritmos
criptogrficos utilizados (WPA, WPA2 que so os mais recentes e mais usados), comparao com os demais mtodos existentes.
63
REFERNCIAS
SILVA, Luiz Gustavo C., et al. Certificao Digital - Conceitos e Aplicaes. 1 ed. Rio de Janeiro: Editora Cincia Moderna, 2008. 201p.
PRESIDNCIA DE REPBLICA-CASA CIVIL. Medida Provisria N 2.200-2, de 24 de agosto de 2001, disponvel em: https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm, Acessado em Nov.2008
INFOMONEY. Certificao digital: saiba quanto custa e como obter seu e-CPF ou eCNPJ, disponvel em: http://dinheiro.br.msn.com/especiais/ir/artigo.aspx?cpdocumentid=4139155, Acessado em jul. 2008.
RIBEIRO, Gisele. Como funciona o certificado digital, disponvel em: http://informatica.hsw.uol.com.br/certificado-digital7.htm, Acessado em Nov. 2008.
AC-JUS, Normas ICP-Brasil - Resoluo 41 de 18 de Abril de 2006, disponvel em: https://www.gestao.acjus.gov.br/legislacao/icp-brasil, Acessado em Nov.2008.
TORRES, Gabriel. Smart Card, disponvel em: http://www.clubedohardware.com.br/artigos/665, Acessado em set. 2008
COMODO- Authentic & Secure, Free email secure certificate, disponvel em: HTTP://www.comodo.com, Acessado em Out.2008.
MAIA, Luis Paulo; PAGLIUSI, Paulo Srgio. Criptografia e certificao digital, disponvel em: http://www.training.com.br/lpmaia/pub_seg_cripto.htm, Acessado em set. 2008.
GOMES, Rodrigo. Conceitos de criptografia com chave simtrica e assimtrica, disponvel em: http://www.vivaolinux.com.br/artigo/Conceitos-de-criptografia-com-chavesimetrica-e-assimetrica/?pagina=3, Acessado em set. 2008. 64
UNO, Daniel Nobuo, FALEIROS, Antnio Cndido. Princpios de criptografia quntica, disponvel em: http://www.bibl.ita.br/ixencita/artigos/FundDanielNobuo.pdf, Acessado em Nov. 2008.
ICP-BRASIL. DES Data encryption standard, disponvel em : https://www.icpbrasil.gov.br/duvidas/glossary/des-data-encryption-standard, Acessado em set. 2008.
ICP-BRASIL. IDEA International data encryption algorithm, disponvel em : https://www.icpbrasil.gov.br/duvidas/glossary/idea-international-data-encryption-algorithm, Acessado em set. 2008.
OLIVEIRA, Ivan S., Computao quntica, disponvel em: http://www.comciencia.br/reportagens/nanotecnologia/nano16.htm, Acessado em Nov.2008.
SANTOS JR, Arthur R. O uso do WEP (Wired Equivalent Privacy), disponvel em: http://www.instonline.com.br/index2.php?option=com_content&do_pdf=1&id=54, Acessado em Nov.2008.
SOUSA Jr., Rafael T., PUTTINI, Ricardo. SSL3., disponvel em: http://www.redes.unb.br/security/ssl3/protocolo.html#protocolo, Acessado em Set.2008.
65