VISÃO GERAL DA IMPLEMENTAÇÃO DA INFRAESTRUTURA DE CHAVES PÚBLICAS E PRIVADAS NO BRASIL
Por Nayara García da Costa | 03/04/2013 | DireitoVISÃO GERAL DA IMPLEMENTAÇÃO DA INFRAESTRUTURA DE CHAVES PÚBLICAS E PRIVADAS NO BRASIL¹
NAYARA GARCIA DA COSTA²
RAYSSA PIRES AMORIM CARDOSO²
SUMÁRIO
Introdução; 1.Noções Gerais; 2.ICP-Brasil; 3.Considerações Finais. Referencias
Introdução
As redes de computadores não são mais sistemas fechados, nos quais a mera presença de um usuário na rede pode servir como prova de identidade. Na atual era de informações interconectadas, a identidade de um usuário ou a autenticidade de documentos enviados por meio eletrônico ficam comprometidos pela dinamização do acesso às mídias eletrônicas e, consequentemente, às informações nelas contidas.
Tendo em vista o avanço tecnológico, hodiernamente, é comum o acesso não autorizado as informações que circulam em rede. Desta forma, uma pessoa pode monitorar ou alterar informações, como email, transações de comércio eletrônico, transferências de arquivos, entre outras possibilidades. Tais problemas podem ser resolvidos por meio de uma infra-estrutura de chave pública bem planejada.
A infra-estrutura de chave pública - ICP (ou PKI) é um sistema de certificados digitais, autoridades de certificação - AC e outras autoridades de registro - AR que verificam e autenticam a validade de cada parte envolvida em uma transação eletrônica por meio do uso de uma criptografia de chave pública. A implementação dessas chaves públicas ainda estão em evolução, mas já se configuram como um elemento necessário no meio eletrônico.
No Brasil a ICP foi estabelecida através da Medida Provisória 2.200-2, de 24 de agosto de 2001, que instituiu a ICP-Brasil, através da qual formou uma estrutura composta de um ou mais certificadores denominados de Autoridades Certificadoras que, através de um conjugado de técnicas e procedimentos de suporte a um sistema criptográfico, que tem por base certificados digitais, consegue garantir a identificação de um usuário de mídia eletrônica ou assegurar a autenticidade de um documento suportado ou conservado em mídia eletrônica.
As diversas Infra-estruturas de Chaves Públicas existentes hoje no mundo conseguem assegurar a autenticidade de assinaturas digitais utilizadas atualmente na rede mundial de computadores de modo a possibilitar, com elevadíssimo grau de segurança, que um usuário de email, por exemplo, seja realmente o emissor da mensagem e de que o receptor seja realmente quem ele diz ser. No caso brasileiro a ICP-Brasil se caracteriza pela presença de um sistema hierárquico ou vertical, no qual há a presença de uma AC-raiz (papel realizado pelo Instituto Nacional de Tecnologia da Informação), que credencia e audita as ACs pertencentes ao sistema.
A este passo, este artigo visa traçar uma visão geral da implementação do sistema de infra-estrutura de chaves públicas e privadas no Brasil partido da analise da adoção desses sistemas pelo país a partir da criação da MP 2.200-2/01.
- Noção geral
1.1 Infraestrutura de chaves públicas
A ICP diz respeito a um processo que utiliza chaves públicas e Certificados Digitais para garantir a segurança do sistema e confirmar a identidade de seus usuários.
Portanto, a ICP se fundamenta em um sistema de confiança, no qual duas partes (pessoas ou computadores) confiam, mutuamente, em uma AC para verificar e confirmar a identidade das partes envolvidas.
A maioria das pessoas e empresas confiam na validade de uma carteira de habilitação de motorista ou em um passaporte. Isto ocorre porque elas confiam na forma pela qual o governo emite estes documentos. Entretanto, uma caderneta de estudante é normalmente aceita como prova de sua identificação apenas para a escola que a emite. O mesmo vale para os Certificados Digitais.
Com a PKI, ambas as partes de uma transação (seja ela um banco on-line e seus clientes ou um empregador e seus funcionários) concordam em confiar na AC que emite seus Certificados Digitais. Normalmente, o aplicativo de software que utiliza seu Certificado Digital tem algum mecanismo para confiar nas ACs. Por exemplo, um navegador contém uma lista das ACs em que confia. Quando é apresentado ao navegador um Certificado Digital (por exemplo, de um shopping on-line realizando comércio seguro), ele consulta a AC que emitiu o Certificado Digital. Se a AC estiver na lista de ACs confiáveis, o navegador aceita a identidade do site da Web e exibe a página da Web. Entretanto, se a AC não estiver na lista de ACs confiáveis, o navegador exibe uma mensagem de aviso que lhe pergunta se você deseja confiar na nova AC. Geralmente seu navegador lhe dá opções para confiar permanente ou temporariamente na AC ou não confiar em absoluto. Como usuário, você tem controle sobre em qual(is) AC(s) deseja confiar, porém o gerenciamento da confiança é feito pelo aplicativo de software (neste exemplo, pelo navegador).
(UFGRS)
O funcionamento de uma ICP está relacionado às decisões tomadas durante o projeto da arquitetura do sistema. As funções das entidades participantes, assim como a definição do processo de operação, são conseqüências dessas decisões. (MARTINS, 2004, P. 26). A composição de uma ICP se dá por três elementos,
as autoridades: as principais são as de registro e certificação. Em algumas implementações outras autoridade com funções auxiliares podem ser utilizadas;
os clientes: separados em duas outras classes não mutuamente exclusivas: os detentores dos certificados, que os utilizam nas assinaturas de documentos, por exemplo, e os verificadores de certificados, que não possuem obrigatoriamente um certificado, mas querem validar uma assinatura, por exemplo.
o repositório de armazenamento e disponibilização dos certificados, LCRs e informações afins. (MARTINS, 2004, P. 27-28 – grifo meu)
1.2 Certificados digitais
Um certificado digital é uma declaração cuja emissão é dada por uma autoridade que garante a identidade do proprietário do certificado. Desta forma, o certificado digital é o meio que liga uma chave pública à identidade da pessoa, do computador ou do serviço que detém a chave particular correspondente e é utilizado por diversos aplicativos e serviços de segurança de chave pública que fornece autenticação, integridade de dados e comunicação segura através de redes, como a Internet. (MICROSOFT)
Em regra, um certificado digital contém os seguintes campos:
- A chave pública;
- O nome e endereço de e-mail;
- A validade da chave pública;
- O nome da empresa (AC) que emitiu seu Certificado Digital;
- O número de série do Certificado Digital;
- A assinatura digital da AC
1.3 Chaves Públicas e Privadas
Ao se comunicar com uma pessoa no ambiente virtual (ou rede de computadores), faz-se necessário estabelecer um nível de segurança para que se possa trocar informações sem ser interceptado, e, atualmente, essa segurança é estabelecida através da criptografia.
Atualmente, a maneira mais avançada de criptografar (embaralhar) dados é através de um sistema que utiliza pares de chaves. Um par de chaves é formado por uma chave pública e uma privativa. Estas são utilizadas como as chaves de uma fechadura, sendo que uma chave serve para proteger a fechadura e outra, para abri-la. (UFRGS)
- ICP-Brasil
A Infraestrutura de Chaves Públicas (ICPs) Brasileira foi instituída pela Medida Provisória (MP) 2.200-2, de 24 de agosto de 2001, que criou o Comitê Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira, e que define as demais entidades que compõem sua estrutura. A partir da criação dessa MP, foram formados os sistemas de normas e procedimentos que regem as atividades das entidades integrantes da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil..., 2010).
Nesse viés, para desempenhar seu papel, a infra-estrutura de chave pública deve ser capaz de desempenhar todo o processo de emissão de certificados, armazenamento, publicação (ou acesso on-line), revogação e arquivamento para verificação futura. Em consequência disso, esse sistema constitui um elemento computacional complexo, com capacidade de comunicação, processamento e armazenamento com requisitos muito específicos. Além disso, tanto as comunicações internas (entre componentes) como as externas (entre ICPs) desse sistema também devem ser seguras (MARTINS, 2004, p.29).
2.1 Autoridade Certificadora- Raiz
O modelo de Infraestrutura adotado pela ICP-Brasil foi o de Certificado com Raiz única. O Instituto Nacional de Tecnologia da Informação (ITI) está na ponta desse processo como Autoridade Certificadora Raiz. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subseqüente ao seu. Além disso, verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor. (ICP-Brasil..., 2010).
Nesse sentido, a utilização de formatos padronizados de assinatura digital no âmbito da ICP-Brasil se torna fundamental para a criação de confiabilidade e credibilidade do processo de criação e validação da assinatura. Sendo que a não utilização desse formato compromete a interoperabilidade e pode ocasionar a utilização de formatos de assinatura inadequados para o tipo de documento ou para o tipo de compromisso que está sendo selado com aquela assinatura (Infra..., 2008, p.4).
2.2 Autoridade Certificadora e Autoridade Registradora
Estabelecer uma autoridade certificadora é uma responsabilidade que acarreta a administração de uma base de certificados, o estabelecimento de procedimentos técnicos e a criação de uma estrutura para o gerenciamento das chaves. Autoridades certificadoras não apenas emitem certificados, mas também devem gerenciá-los, determinando a validade de cada certificado e as condições de renovação e possivelmente gerando e armazenando uma lista de certificados que já foram emitidos, porém não são mais válidos, ou seja, foram revogados.
Observando essa lista de atribuições, pode-se concluir que a responsabilidade da AC não termina após a emissão do certificado e nem após a sua revogação. A emissão de um certificado deve, ao menos em parte, ocorrer de maneira off-line e não ser desenvolvida através de um mecanismo automático de solicitação/resposta. Antes da AC assinar um certificado, ela deve verificar os dados da solicitação, pois quando o certificado é gerado, a AC está garantindo que os dados do certificado são confiáveis. É importante que a transferência das informações necessárias à emissão do certificado para a autoridade certificadora não sejam comprometidas e que a segurança física da AC seja garantida (se a chave privada da AC tornar-se pública, todos os certificados assinado tornam-se inseguros).
Finalmente, para completar a gestão de certificados, uma operação de revogação deve ser provida pela AC (MARTINS, 2004, p.30). Os certificados devem ser revogados pela AC e comunicados de alguma forma aos outros, sempre que:
• A chave secreta do usuário for comprometida.
• Os dados do usuário forem modificados.
• O usuário não deseja mais ser certificado pela AC.
• O certificado da própria AC foi comprometido.
• O usuário violou a política de segurança da AC.
Deve-se observar, ainda, que, depois de revogados, os certificados não deixam de existir, passam somente a não ser mais válidos, podendo ser arquivados para efeito de comprovação futura.
Um certificado pode ter sido emitido pela AC, sanando a questão da associação entre chave e entidade, mas a menos que se possa localizar este certificado facilmente, ele efetivamente não seria diferente de um certificado que nunca tivesse sido criado e a ICP seria inútil. Essa é a função principal do repositório: armazenar e tornar disponível os certificados e as listas de certificados revogados aos usuários da ICP. Para isso, algum tipo de repositório robusto, escalável e on-line deve existir (MARTINS, 2004, p.31).
Em contra partida, a Autoridade Registradora- AR atua recebendo as requisições de certificado e executando uma fase preliminar de checagem dos dados. Sua função principal é aliviar a carga da Autoridade Certificadora e tornar a natureza distribuída do processo viável, ou seja, atua como a porta de entrada do sistema repassando para as outras partes as informações recebidas e disparando vários processos, quando necessário. Sua presença é opcional em ambientes pequenos, mas quando adotada, geralmente possui dois pontos de acesso: o primeiro faz o papel de coletor de informações, implementado em muitos casos como um sistema web consistindo de um formulário e alguns scripts de apoio; o segundo é utilizado pelo pessoal da gerência da AR.
Essa divisão torna-se importante para separar o operador da AR, que executa ações de gerência, em processos off-line, da parte de captação de informações, uma tarefa intrinsicamente on-line. É importante destacar que os níveis de segurança da AC e da AR são bem diferentes (e conseqüentemente, os custos associados) o que torna mais viável e comum ter uma série de ARs executando um pre-processamento e depois fazendo o repasse para um pequeno conjunto de ACs (MARTINS, 2004, p.29).
Temos como exemplos de Autoridades Certificadoras instituídas pela ICP-Brasil o Serpro, que foi a primeira AC credenciada, em 1999, também temos a Caixa Econômica Federal, como única instituição financeira credenciada como autoridade certificadora, a Serasa, a Receita Federal, a Imprensa Oficial, esta ultima credenciada para oferecer produtos e serviços de certificação digital para os poderes executivo, legislativo e judiciário, incluindo todas as esferas da administração pública, direta e indireta, nos âmbitos federal, estadual e municipal, entre outras. (ITI – ICP-BRASIL)
- 3. Considerações Finais
Em vista do supracitado, depreende-se, a partir da percepção do avanço tecnológico globalizado e do amplo acesso à rede mundial de computadores, a necessidade de se obter meios que visem à segurança e à integridade da transmissão de dados e informações que são veiculados através desse meio eletrônico, uma vez que, pela facilidade de acesso oferecida atualmente, ficam vulneráveis a interceptações e alterações.
Neste sentido, observamos a implementação da infra-estrutura de chaves públicas e privadas (ICP) como meio de conferir maior confiabilidade às informações prestadas no ambiente virtual. No Brasil, a implementação da ICP se deu através da MP 2200, que instituiu um sistema hierárquico com uma AC- raiz, Ac e Ar, do qual constatamos uma maior eficácia, na medida em que a cada autoridade instituída corresponde uma determinada atribuição.
A julgar pelas consideráveis contribuições das certificações e autorizações digitais concedidas às informações no meio virtual, nota-se que a implementação da ICP – Brasil se torna fundamental, principalmente na esfera de prestações de serviços públicos, uma vez que trabalham com um grande fluxo de informação dos indivíduos, no qual se faz mister um alto grau de confiabilidade.
REFERÊNCIAS
ICP-Brasil. Infraestrutura de Chaves Públicas Brasileira. Disponível em:
http://www.certisign.com.br/certificacao-digital/infra-estrutura-de-chave-publica/icp-brasil
MARTINS, Alessandro. Estudo e implementação de infra-estrutura de chaves públicas com aplicação em controle de acesso a redes sem fio. Disponível em: http://www.ravel.ufrj.br/sites/ravel.ufrj.br/files/publicacoes/tesealessandro.pdf
http://www.iti.gov.br/twiki/pub/ITI/ConsultaPublica/DOC-ICP-15_-_Assinaturas_digitais_na_ICP-Brasil.pdf
Implantando uma Infra-estrutura de Chave Pública. Disponível em: http://technet.microsoft.com/pt-br/library/cc776679(WS.10).aspx
Distribuição de Certificados da UFRGS. Disponível em: http://www1.ufrgs.br/pki/mp;S�!3cI�� ��� AB01622-7C49-420B-9F76-
15A4137F1CCD}.Acesso em 15.10.12.
MORAES, Alexandre de. Direitos Humanos Fundamentais: Teoria geral, comentários aos arts. 1º a 5º da Constituição da Repúbica Federativa do Brasil, doutrina e jurisprudência. São Paulo: Atlas, 2003.
NASSARO, Adilson Luís Franco. A busca pessoal e suas classificações. Jus Navigandi, Teresina, ano 12, n. 1356, 19 mar. 2007. Disponível em: <http://jus.com.br/revista/texto/9608>. Acesso em: 15.10.12.
SANCHEZ, Anderson Pereira. Revista íntima: A violação do princípio da responsabilidade pessoal da sanção penal. Rio de Janeiro: 2010. Disponível em: http://www.bibliotecapolicial.com.br/upload/documentos/REVISTA-INTIMA-21069_2011_5_7_27_4.pdf Acesso em 15.10.12.
LEANDRO, Cínthia Mendes. Segurança Pública e Direitos Sociais. 2012. Disponível em: http://www.egov.ufsc.br/portal/conteudo/seguran%C3%A7a-p%C3%BAblica-e-direitos-sociais. Acesso em: 15.10.12.
[1]Paper apresentado à disciplina de Informática aplicada ao direito como requisito para obtenção de nota, da Unidade de Ensino Superior Dom Bosco - UNDB
[2] Acadêmicas do Curso de Direito.