ICP - Brasil + Definições
O DECRETO Nº 3.587, DE 5 DE SETEMBRO DE 2000, define a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal - ICP-Gov. Define também que a tecnologia da ICP-GOV deverá utilizar criptografia assimétrica para relacionar um certificado digital a um indivíduo ou a uma entidade e para realizar a assinatura digital. A PSI deve ser definida pela Autoridade de Gerência de Políticas - AGP. A ICP-Gov definirá os tipos de certificados que podem ser gerados pelas AC, além dos padrões técnicos, operacionais e de segurança.
Compete a AGP:
I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;
II - estabelecer e administrar as políticas a serem seguidas pelas AC;
III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov e outras ICP externas;
IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro - AR;
V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento de normas por ela estabelecidas;
VI - definir regras operacionais e normas relativas a:
a) Autoridade Certificadora - AC;
b) Autoridade de Registro - AR;
c) assinatura digital;
d) segurança criptográfica;
e) repositório de certificados;
f) revogação de certificados;
g) cópia de segurança e recuperação de chaves;
h) atualização automática de chaves;
i) histórico de chaves;
j) certificação cruzada;
l) suporte a sistema para garantia de irretratabilidade de transações ou de operações eletrônicas;
m) período de validade de certificado;
n) aplicações cliente;
VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Gov, em especial da Política de Certificados - PC e das Práticas e Regras de Operação da Autoridade Certificadora, de modo a garantir:
a) atendimento às necessidades dos órgãos e das entidades da Administração Pública Federal;
b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e
c) atualização tecnológica.
__________________________________________________
As AC devem prestar os seguintes serviços básicos:
I - emissão de certificados;
II - revogação de certificados;
III - renovação de certificados;
IV - publicação de certificados em diretório;
V - emissão de Lista de Certificados Revogados - LCR;
VI - publicação de LCR em diretório; e
VII - gerência de chaves criptográficas.
____________________________________________________________
Já o DECRETO Nº 3.996, DE 31 DE OUTUBRO DE 2001, dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração Pública Federal. Ele define que a prestação ou contratação de serviços de certificação digital no âmbito da Administração Pública Federal, direta e indireta, somente será possível mediante prévia autorização do Comitê Executivo do Governo Eletrônico e deverão ser providos no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.
O Comitê Executivo do Governo Eletrônico poderá estabelecer padrões e requisitos administrativos para a instalação de Autoridades Certificadoras - AC e de Autoridades
de Registro – AR próprias na esfera da Administração Pública Federal.
§ 3o As AR de que trata o § 2o serão, preferencialmente, os órgãos integrantes do Sistema de Administração do Pessoal Civil - SIPEC.
Art. 3o A tramitação de documentos eletrônicos para os quais seja necessária ou exigida a utilização de certificados digitais somente se fará mediante certificação disponibilizada por AC integrante da ICP-Brasil.
Art. 4o Será atribuída, na APF, aos diferentes tipos de certificados disponibilizados pela ICP-Brasil, a classificação de informações segundo o estabelecido na legislação específica.
______________________________________________
Glossário
Autenticação - Authentication
Processo utiliizado para confirmar a identidade de uma pessoa ou entidade, ou para garantir a fonte de uma mensagem.
Autoridade Certificadora -AC (Certification Authority - CA)
Entidade que emite certificados de acordo com as práticas definidas na Declaração de Regras Operacionais - DRO. É comumente conhecida por sua abreviatura - AC.
Autoridade Registradora - AR - Registration Authority - RA
Entidade de registro. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota. É parte integrante de uma AC.
Assinatura Digital - Digital Signature
Transformação matemática de uma mensagem por meio da utilização de uma função matemática e da criptografia assimétrica do resultado desta com a chave privada da
entidade assinante.
Autorização - Authorization
Obtenção de direitos, incluindo a habilidade de acessar uma informação específica ou recurso de uma maneira específica.
Chave Privada - Private Key
Chave de um par de chaves mantida secreta pelo seu dono e usada no sentido de criar assinaturas para cifrar e decifrar mensagens com as Chaves Públicas correspondentes.
Certificado de Chave Pública - Certificate
Declaração assinada digitalmente por uma AC, contendo, no mínimo:
a) o nome distinto (DN - Distinguished Name) de uma AC, que emitiu o certificado;
b) o nome distinto de um assinante para quem o certificado foi emitido;
c) a Chave Pública do assinante;
d) o período de validade operacional do certificado;
e) o número de série do certificado, único dentro da AC;
f) e uma assinatura digital da AC que emitiu o certificado com todas as informações citadas acima.
Chave Pública - Public Key
Chave de um par de chaves criptográficas que é divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente ou, dependendo do algoritmo criptográfico assimétrico utilizado, para cifrar e decifrar mensagens.
Cifração - Encryption
Processo de transformação de um texto original ("plaintext") em uma forma incompreensível ("ciphertext") usando um algoritmo criptográfico e uma chave criptográfica.
Credenciamento - Accreditation
Processo de aprovação de políticas e procedimentos de uma AC, de forma que a
mesma seja autorizada a participar de uma ICP.
Criptografia - Cryptography
Disciplina que trata dos princípios, meios e métodos para a transformação de dados, de forma a proteger a informação contra acesso não autorizado a seu conteúdo.
Criptografia de Chave Pública - Public Key Cryptography
Tipo de criptografia que usa um par de chaves criptográficas matematicamente relacionadas. As Chaves Públicas podem ficar disponíveis para qualquer um que queira cifrar informações para o dono da chave privada ou para verificação de uma assinatura digital criada com a chave privada correspondente. A chave privada é
mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.
Declaração de Regras Operacionais - DRO - Certification Practice Statement - CPS
Documento que contém as práticas e atividades que uma AC implementa para emitir certificados. É a declaração da entidade certificadora a respeito dos detalhes do seu sistema de credenciamento e as práticas e políticas que fundamentam a emissão de certificados e outros serviços relacionados.
Emissão de Certificado - Certificate Issuance
Emissão de um certificado por uma AC após a validação de seus dados, com a subseqüente notificação do requente sobre o conteúdo do certificado.
Gerenciamento de Certificado - Certificate Management
Ações tomadas por uma AC, baseadas na sua DRO após a emissão do certificado, como
armazenamento, disseminação e a subseqüente notificação, publicação e renovação do
certificado. Uma AC considera certificados emitidos e aceitos como válidos a partir da sua publicação.
Integridade de Mensagem - Message Integrity
Garantia de que a mensagem não foi alterada durante a sua transferência, do emissor da mensagem para o seu receptor.
Irretratabilidade - Nonrepudiation
Garantia de que o emissor da mensagem não irá negar posteriormente a autoria de uma
mensagem ou participação em uma transação, controlada pela existência da assinatura digital que somente ele pode gerar.
Lista de Certificados - Revogados - LCR Certification Revogation List - CRL
Lista dos números seriais dos certificados revogados, que é digitalmente assinada e publicada em um repositório. A lista contém ainda a data da emissão do certificado revogado e outras informações, tais como as razões específicas para a sua revogação.
Mensagem - Message
Registro contendo uma representação digital da informação, como um dado criado, enviado, recebido e guardado em forma eletrônica.
Par de Chaves - Key Pair
Chaves privada e pública de um sistema criptográfico assimétrico. A Chave Privada e sua Chave Pública são matematicamente relacionadas e possuem certas propriedades,
entre elas a de que é impossível a dedução da Chave Privada a partir da Chave Pública conhecida. A Chave Pública pode ser usada para verificação de uma assinatura digital que a Chave Privada correspondente tenha criado ou a Chave Privada pode decifrar a uma mensagem cifrada a partir da sua correspondente Chave Pública.
Política de Certificação - PC - Certificate Police - CP
Documento que estabelece o nível de segurança de um determinado certificado
Raiz - Root
Primeira AC em uma cadeia de certificação, cujo certificado é auto-assinado, podendo ser verificado por meio de mecanismos e procedi-mentos específicos, sem vínculos com este.
Registro - Record
Informação registrada em um meio tangível (um documento) ou armazenada em um meio eletrônico ou qualquer outro meio perceptível.
Repositório - Repository
Sistema confiável e acessível "on-line" para guardar e recuperar certificados e informações relacionadas com certificados.
Revogação de Certificado - Certificate Revogation
Encerramento do período operacional de um certificado, podendo ser, sob determinadas circunstâncias, implementado antes do período operacional anteriormente definido.
Sigilo - Confidentiality
Condição na qual dados sensíveis são mantidos secretos e divulgados apenas para as partes autorizadas.
Sistema Criptográfico Assimétrico - Asymmetric Criptosystem
Sistema que gera e usa um par de chaves seguras, consistindo de uma chave privada para a criação de assinaturas digitais ou decodificar de mensagens criptografadas e uma Chave Pública para verificação de assinaturas digitais ou de mensagens
codificadas.
Comentários