Upload
vankiet
View
218
Download
0
Embed Size (px)
Citation preview
UNIVERSIDADE TUIUTI DO PARANÁ
JOÃO PAULO REBELO BORGES
CERTIFICAÇÃO DIGITAL: UM BREVE ESTUDO DE CASO
CURITIBA
2014
JOÃO PAULO REBELO BORGES
CERTIFICAÇÃO DIGITAL: UM BREVE ESTUDO DE CASO
Monografia apresentada à Universidade Tuiuti do Paraná como requisito parcial para obtenção do titulo de Especialista em Redes e Segurança da Informação.
Professor: Mestre Roberto Neia Amaral
CURITIBA
2014
AGRADECIMENTOS
Em primeiro lugar, e não podia ser diferente, agradeço a Deus por ter
me capacitado, orientado e estado sempre comigo em todos os momentos de
minha vida e, em especial, na confecção dessa monografia. Sem Ele, o êxito
seria impossível. Obrigado Senhor!
Agradeço muito a minha esposa Cibele que me auxiliou, me animou
nos momentos de cansaço e desânimo e que caminha comigo todos os dias,
pro que der e vier, como uma companheira, uma amiga, uma esposa
maravilhosa: amor da minha vida. Esta conquista, com certeza, é dela também.
Agradeço aos meus pais, Ana e Pedro, por terem me dado carinho,
atenção, amor, educação, honestidade e tantos outros dons que me completam
e formam hoje o homem que sou. Aos meus amados irmãos Santina e Ricardo
(in memoriam) agradeço pela presença, pelo amor e pelo carinho que me
norteiam no caminho da vida. Amo vocês com todas as forças do meu coração.
Agradeço a todos os professores que auxiliaram, ensinaram, prestaram
o apoio necessário para o aprendizado e me capacitaram para chegar até aqui.
O mérito para atingir este objetivo não é só meu. Devo muito a vocês. Quero
honrar tudo que aprendi e aperfeiçoar ainda mais o profissional que sou, seja
no trabalho ou na vida. Obrigado queridos professores: André, Ângela, Luiz,
Marcelo e Roberto.
Agradeço aos meus colegas de Pós Graduação, pois em meio a
seriedade dos estudos e as risadas descontraídas também me auxiliaram no
processo de aprendizagem. Algumas amizades vou levar para a vida toda!
Por fim, mas não menos importante, agradeço a UTP – Universidade
Tuiuti do Paraná – pela infraestrutura disponibilizada, pelo corpo docente, pela
limpeza e organização do local, por todos os seus funcionários, mas mais ainda
pelo Curso de Pós Graduação em Redes e Segurança da Informação que está
promovendo este aluno a um nível um pouco mais elevado na escalada dos
estudos.
RESUMO
O assunto principal de que trata o referido trabalho é a Certificação Digital e,
com base neste, faz-se um estudo de caso tomando uma empresa que deseja
tornar-se uma Autoridade Certificadora na hierarquia da ICP Brasil
(Infraestrutura de Chaves Publicas do Brasil) e que para isso precisa atender
alguns requisitos, com enfoque maior em itens de estrutura física e de
segurança. O assunto tem relevância que perpassa os limites da informática já
que trata de assunto que interfere diretamente na vida dos utilizadores da
internet: transmitir dados e documentos com maior segurança e maior
comodidade para quem usa certificados digitais e acabar com o anonimato na
rede é de interesse de todos. Além disso, para facilitar ainda mais a vida das
pessoas é melhor ter, no cenário da certificação digital, mais uma empresa que
possa emitir tais certificados e ampliar a concorrência por menores preços.
Para tanto, foram analisados textos, monografias, normas que tratam sobre o
assunto, bem como feita uma análise do ambiente apresentado pela empresa
atualmente e verificados os pontos de segurança e de estrutura física. A
análise do que fora escrito tornou-se incipiente, pois a comparação de dois
ambientes (um já pronto e outro por ser construído) não pode ser realizada,
sendo possível apenas fazer a comparação com base em normas do ITI
(Instituto Nacional de Tecnologia da Informação), em observações realizadas
pelo próprio autor e por informações repassadas por consultor da empresa,
engajado nos estudos que estão sendo realizados sobre o assunto.
Palavras-chave: Certificação Digital. Segurança. Criptografia. Estudo de Caso.
RESUMEM
El tema principal mencionado en que el trabajo es el certificado digital y, con
base en esto, se trata de un estudio de caso de una empresa que desea
convertirse en una Autoridad de Certificación de la jerarquía de ICP Brasil
(Infraestructura de Clave Pública de Brasil) y que por ello debe cumplir con
ciertos requisitos, con mayor énfasis en los elementos de estructura y
seguridad física. El tema es relevante que se respira en los límites de
ordenador ya que esto es un tema que afecta directamente en la vida de los
usuarios de Internet: transmitir datos y documentos con mayor seguridad y
comodidad para los que utilizan certificados digitales y anonimato extremo en la
red es de interés para todos. Además, para facilitar aún más la vida de las
personas es mejor tener en el escenario de la certificación digital, otra empresa
que puede emitir dichos certificados y aumentar la competencia de precios más
bajos . Por lo tanto, se analizaron textos, monografías , normas que tienen que
ver con el asunto y realizar un análisis ambiental presentado por la empresa
hoy y verificaron los controles de seguridad y estructura física. El análisis de lo
escrito se convirtió incipiente, porque en la comparación de dos ambientes (un
ya listo y otro que se construirá) no se puede hacer, y sólo se puede hacer una
comparación basada en las normas del ITI (Instituto Nacional de Tecnología
información), en las observaciones hechas por el autor y por la información que
pasa por un consultor, que participa de los estudios que se están llevando a
cabo sobre el tema.
Palabras-clave: Certificación Digital. Seguridad. Cifrado. Estudio de caso.
LISTA DE FIGURAS
FIGURA 1 - EXEMPLO DE CRIPTOGRAFIA SIMÉTRICA ...............................17
FIGURA 2 - EXEMPLO DE CRIPTOGRAFIA ASSIMETRICA ..........................18
FIGURA 3 - FUNCIONAMENTO DA ASSINATURA DIGITAL E VALIDAÇÃO .22
FIGURA 4- ANALOGIA ENTRE PROCESSO DE OBTENÇÃO DE UM RG DE
UM CERTIFICADO DIGITAL ............................................................................26
FIGURA 5 – CERTIFICAÇÃO DIGITAL COM PADRÃO X.509 ........................28
FIGURA 6 – DETALHAMENTO INFORMATIVO SOBRE OS CAMPOS DO
CERTIFCADO ...................................................................................................29
FIGURA 7 - ESTRUTURA DA ICP BRASIL ......................................................35
FIGURA 8 – HIERARQUIA ICP BRASIL COM FUNÇOES DAS ENTIDADES
VINCULADAS ...................................................................................................38
LISTA DE QUADROS
QUADRO 1 - COMPARAÇÃO ENTRE OS CERTIFICADOS DAS SERIES A E
DAS SERIES S ................................................................................................30
QUADRO 2 – SERVIÇOS DISPONIVEIS ASOS USUARIOS DO E- CPF E E-
CNPJ .................................................................................................................31
QUADRO 3 - PERÍODOS DE VALIDADE DOS CERTIFICADOS ....................42
SUMARIO
1 INTRODUÇÃO ............................................................................................ 8
2 MOTIVAÇÕES E CONCEITUAÇÃO BÁSICA PARA FALAR EM CERTIFICAÇÃO DIGITAL .................................................................................... 9
2.1 CONCEITUAÇÃO AUXILIAR PARA O ESTUDO DA CERTIFICAÇAO
DIGITAL ................................................................................................................ 10
2.1.1 Garantindo os serviços de segurança: criptografia ...................................... 16
2.1.2 Algoritmo de Resumo ou Função de Resumo (Hash) .................................. 19
2.1.3 Validação dos serviços de segurança .......................................................... 20
2.1.4 Assinatura digital .......................................................................................... 20
2.1.5 Tempestividade – A importância do carimbo de tempo ............................... 23
3 A CERTIFICAÇÃO DIGITAL E A INFRAESTRUTURA DE CHAVES PUBLICAS (ICP’S) ............................................................................................... 24
3.1 CICLO DE VIDA DE UM CERTIFICADO DIGITAL ....................................... 25
3.2 PADRONIZAÇÃO E ESTRUTURA DOS CERTIFICADOS DIGITAIS .......... 26
3.3 TIPOS DE CERTIFICADO DIGITAL ............................................................. 28
3.4 E-CPF E E-CNPJ – CERTIFICADOS DIGITAIS QUE FACILITAM A VIDA.. 30
3.5 A ICP BRASIL: COMPETENCIAS, INFRAESTRUTURA E ENTIDADES
PARTICIPANTES ................................................................................................. 32
3.6 ENFOQUE DO ESTUDO: AUTORIDADE CERTIFICADORA (AC) .............. 35
3.6.1 Critérios da ITI para tornar-se uma Autoridade Certificadora ....................... 35
3.6.2 Normas a serem cumpridas pelas ACs ........................................................ 40
4 EMPRESA C: UM ESTUDO DE CASO ....................................................... 42
4.1 CONHECENDO A RELEVANCIA DA EMPRESA C NO CENARIO ESTADUAL ........................................................................................................... 42
4.2 ANÁLISE DA EMPRESA C QUANTO A POSSIBILIDADE DE SE TORNAR UMA AUTORIDADE CERTIFICADORA ............................................... 45
5 CONCLUSÃO .............................................................................................. 49
REFERENCIAS .................................................................................................... 50
8
1 INTRODUÇÃO
O uso da certificação digital tem crescido de maneira muito efetiva nos
últimos tempos, seja quando queremos garantir a veracidade de alguma
informação que nos foi veiculada ou para conferir caráter de maior segurança a
ela por meio da utilização dos certificados digitais. A substituição dos meios
escritos pelos digitais também é algo que não se pode negar. Cada vez menos
papel e cada vez mais documentos digitalizados, com o mesmo teor e validade
de um assinado e carimbado pelos cartórios.
O trabalho ora apresentado vem explorar não apenas a conceituação
sobre Certificação Digital, mas também o processo pelo qual qualquer empresa
que almeja esta função precisa passar, no intuito da obtenção do grau de
Autoridade Certificadora. Para isso, o autor se vale de pesquisas em livros,
textos, monografias e algumas normas do órgão responsável por ditar as
regras de funcionamento da ICP Brasil (Infraestrutura de Chaves Publicas do
Brasil), o ITI (Instituto Nacional de Tecnologia da Informação), para saber como
funciona o processo.
Por fim, o autor trata do estudo de caso da Empresa C atuante na área
de informática do estado do Paraná e que está passando pelo processo de
angariar a função de emissora de certificados digitais. Ficou delimitado que o
viés a ser utilizado neste estudo é o da segurança e das instalações físicas da
mesma, para melhor delimitar o tema e centrar melhor o trabalho.
9
2 MOTIVAÇÕES E CONCEITUAÇÃO BÁSICA PARA FALAR EM CERTIFICAÇÃO DIGITAL
O fator de motivação que leva ao estudo desse tema é o da exploração
de um processo que está se consolidando aos poucos no ambiente empresarial
em que o autor deste trabalha: a possibilidade da empresa (que será chamada
a partir de agora de “Empresa C”) tornar-se uma entidade credenciada para
emissão de Certificados Digitais em nível de Autoridade Certificadora (AC),
bem como tornar-se uma entidade de suporte ao usuário final, quanto a
utilização, venda e suporte destes mesmos certificados por meio de central de
atendimento e outros níveis de suporte, que é chamada de Prestadora de
Serviço de Suporte (PSS). Por questões de tempo, limitação de informações
coletadas e delimitação do tema e objeto de estudo, será abordado neste
trabalho apenas a questão da Empresa C ser candidata a Autoridade
Certificadora (AC). Além do exposto, o autor do presente trabalho integra um
dos setores mais envolvidos com a guarda do Data Center da Empresa C, e
também faz parte do corpo técnico que auxilia na manutenção da
disponibilidade e performance do ambiente para o usuário final e tem acesso,
embora restrito, ao ambiente de Data Center e das futuras instalações dos
serviços de Certificação Digital fomentando, ainda mais, a vontade de explorar
aspectos técnicos como a sala onde se pretende ficar a guarda dos certificados
digitais, exploração de quesitos de segurança necessários, entre outros fatores.
O processo em si não vem de hoje. A Empresa C, já tradicional no ramo
de Tecnologia da Informação e Telecomunicação no Estado do Paraná, vem se
preparando desde meados de 2006 com o inicio dos estudos sobre o tema e
assinatura de acordo para disseminação do assunto. Atualmente, com a
atualização de seu Centro de Dados (utilizaremos aqui a palavra Data Center)
no ano passado, foram incrementados níveis maiores de segurança,
disponibilidade, acessibilidade, controle de acesso aos dados de maneira que o
processo para tornar-se entidade para emissão de Certificados Digitais fica um
pouco mais evidente.
10
Antes dessa exploração, será necessário contextualizar o trabalho no
âmbito da Certificação Digital. Para isso, serão citadas algumas definições que
auxiliarão no processo de compreensão do assunto abordado, bem como
melhor explorar o estudo de caso de implantação da Certificação Digital na
Empresa C estudada.
Por fim, o trabalho traz em sua conclusão ideias para estudos futuros
sobre o assunto, bem como uma possível nova exploração nos níveis galgados
pela Empresa C no âmbito da Certificação Digital.
2.1 CONCEITUAÇÃO AUXILIAR PARA O ESTUDO DA CERTIFICAÇAO
DIGITAL
As definições/conceitos que são chamadas aqui de auxiliares são
aquelas que ajudarão a complementar o que se quer abordar mais adiante, que
é a certificação digital. Serão utilizados conceitos mais amplos como
segurança, criptografia, confiabilidade e depois alguns mais aprofundados
como o resumo de mensagens criptografadas (também chamado de Hash),
chaves públicas e privadas, entre outros.
Com o crescimento da utilização da internet pela população mundial
em todos os âmbitos, sejam eles para fins corporativos, seja para fins pessoais,
o mais desejável é que encaminhemos nossos dados com a maior segurança
possível, pois não queremos que os mesmos sejam acessados e vistos por
todos, a não ser que isso seja previamente indicado pelo dono dos dados. Da
mesma forma, queremos manter a integridade de nossos computadores, sejam
da empresa ou pessoais, quando navegamos na internet. Estamos falando
sobre segurança. Mas o que é esta tal segurança que tanto queremos e tanto
buscamos?
11
Segurança é assim definida1: “1. Condição ou estado de estar seguro
ou protegido. 2. Capacidade de manter seguro. 3. Proteção contra a fuga ou
escape [...]”. Levando em conta os itens 1 e 2 da definição, podemos relacionar
segurança a um estado: estar seguro ou protegido, manter-se seguro. No
âmbito da certificação digital, a segurança é imprescindível. Ela aparece não só
na concepção do local onde ficarão guardados, por exemplo, os certificados
digitais, mas também no estabelecimento de políticas de segurança que vão
nortear o processo em si, desde a guarda dos dados, até os programas de
antivírus utilizados em servidores e máquinas de usuários da rede,
equipamentos de firewall e regras rígidas para o controle de acesso a rede de
dados, a sala de guarda dos certificados digitais, entre outros. Para Silva et al.
(2011, p.6):
A politica de segurança da informação tem como objetivo prover à direção de uma organização uma orientação e um apoio para a segurança da informação. É conveniente que a direção estabeleça uma política clara, demonstrando apoio e comprometimento com a segurança da informação através da emissão e manutenção dessa política para toda organização.
A parte 3 da definição também nos mostra a importância da guarda dos
dados e de toda estrutura utilizada no ambiente que é candidato a fazer parte
da Certificação Digital: fuga e escape de dados comprometem a confiança da
empresa frente aos seus usuários e a sociedade em si. Zelar pelos dados e
informações dos cidadãos com privacidade, integridade e segurança é o
mínimo que se espera de uma empresa no ramo da Informática e inclusive é
uma das razões de ser da empresa.
Considerando os textos utilizados como bibliografia, notou-se que os
autores não tem um consenso de quantos serviços de segurança estão
presentes no campo da Certificação Digital. Uns citam apenas 4 (privacidade
ou confidencialidade, integridade, autenticação e não repúdio). Outros incluem
1 Definições utilizando-se o dicionário Aurélio, omitindo as partes da definição que fogem do contexto da informática.
12
o item autorização aos serviços. Outros ainda citam além da autorização a
disponibilidade como serviço de segurança. Por falta de experiência do autor
quanto ao tema, mas visando trazer informações mais próximas ao estudo de
caso a ser tratado adiante, foi optado pela definição mais abrangente.
Segundo Silva et al. (2011, p.6), no contexto de certificação digital, “a
segurança da informação formaliza seis serviços de segurança: autenticação,
autorização, privacidade, integridade, não-repúdio e disponibilidade.” Na
sequencia, ainda trata da diferença entre estes serviços de segurança e os
controle e/ou politicas de segurança a serem adotados neste contexto. Para
ele, “um serviço de segurança é uma característica apresentada por um
sistema a fim de satisfazer uma politica de segurança, enquanto o controle de
segurança é um procedimento concreto, usado para realmente fornecer tal
característica.” Grosso modo, seria dizer que o serviço de segurança identifica
o que é preciso fazer e os controles e/ou politicas de seguranças
implementarão a forma como alcançar o que os serviços indicam.
Comparando-se à estrutura de um prédio, a luz do texto de Machado
(2010 p.10-23), vamos definir a Certificação Digital, em sua base teórica, em
dois grandes itens ligados a construção: alicerce e pilares. Como alicerces
podemos citar as Politicas de Segurança e a Infraestrutura de Segurança que a
auxiliam e a norteiam.
Na Cartilha de Segurança para a Internet do Comitê Gestor da Internet
no Brasil (CGIBR), p. 48-49, há uma definição bem interessante sobre a
Politica de Segurança que, em linhas gerais, assim diz:
A politica de segurança define os direitos e responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra [...]. A politica de segurança pode conter outras políticas específicas como: politica de senhas [...], politica de backup [...], politica de privacidade [...], politica de confidencialidade [...] e politica de uso aceitável (PUA) também chamada de “Termo de Uso” ou “Termo de Serviço”.
13
Podemos dizer então que a politica de segurança nos dá as regras
que, tanto usuários quanto empresa, devem cumprir para proteger a
informação. Normas, regras de utilização, circulares e documentos podem ser
expedidos pela empresa a fim de cumprir os requisitos de segurança exigidos.
Em se tratando de Certificação Digital, a segurança é quesito obrigatório.
Com relação à infraestrutura de segurança, nos apoiamos no
informado por Machado (2010, p.12) que nos diz, em linhas gerais:
São os mecanismos básicos para se garantir que as politicas sejam seguidas. Este quesito é composto pela:
Infraestrutura física: servidores, roteadores, hardwares de firewalls, controle de acesso aos CPD’s, etc;
E pela Infraestrutura lógica: todos os sistemas operacionais, sistemas antivírus, sistemas anti-spyware, software de firewalls, etc.”
Esses dois requisitos são normalmente adotados por qualquer empresa (...). Porém, apenas eles não são suficientes para garantir o “Processo Eletrônico Confiável”.
Mais profundamente iremos verificar a diante que o processo para
tornar-se uma entidade credenciada à emissão de certificados digitais exige
muito mais que isso, em termos de infraestrutura propriamente dita.
Com o informado nas ultimas linhas de Machado na citação anterior,
podemos perceber também que além da base ou da estrutura, a Certificação
Digital ainda tem necessidade de se apoiar em pilares que são os seis serviços
mencionados anteriormente por Silva.
Para Machado (2010, p.13) a autenticação é “o ato de estabelecer ou
confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a
veracidade de alguma coisa”. Este autor entende que a autenticação “também
remete à confirmação da procedência de um objeto ou pessoa, neste caso,
frequentemente relacionada com a verificação da sua identidade”.
Saber que um documento é autentico, saber de quem é sua autoria é
uma situação muito importante para a Certificação Digital. As empresas
14
responsáveis pela emissão de certificados digitais conferem a determinado
documento ou a determinada assinatura a sua autenticação podendo ser
verificada por qualquer pessoa, desde que permitido pelo dono do certificado, a
identidade, a validade e de onde procede determinada assinatura ou
documento. O usuário interessado em adquirir um certificado digital dirige-se
até uma Autoridade de Registro (AR) com seus documentos e, após
comprovada a veracidade dos mesmos e assinar um termo de compromisso de
que está assumindo responsabilidades quanto a este certificado, passa a
validar sua assinatura ou documentação utilizando-o.
A autorização, para Machado (2010, p.14) “é o mecanismo responsável
por garantir que apenas usuários autorizados utilizem recursos protegidos de
forma controlada. A autorização garante que o usuário só consiga fazer aquilo
que ele realmente tem autoridade para fazer”. Fazer o controle do que pode ser
acessado ou verificado por um usuário em determinado sistema é comum no
mundo informatizado. Este serviço, segundo Silva et al. (2011, p.9) “é uma
medida que provê segurança aos usuários contra invasões no sistema e
ameaças de violação de acesso”.
A privacidade, para Silva et al. (2011, p.9), “assegura que dados
confidenciais não são revelados a pessoas que não possuem o privilegio de
acesso [...]. O serviço de privacidade protege os dados contra ataques de
espionagem da comunicação”. Uma arma que auxilia na privacidade dos dados
ou das informações é a chamada criptografia, que é uma técnica que visa
misturar ou cifrar dados para que estes fiquem, de certa forma, bagunçados
segundo um algoritmo que foi empregado sobre os dados. Somente a pessoa
que tem privilégio de acesso aos dados poderá decifrar os dados e entender a
mensagem. Existem vários tipos de criptografia, com maior ou menor nível de
segurança. Algumas serão exploradas mais adiante.
Junto com privacidade dos dados, outro serviço de segurança que
precisa ser garantido é a integridade. Silva et. al. (2011, p.10) cita que a
“integridade visa prover proteção contra modificações, duplicação, inserção,
remoção ou re-ordenamento de mensagens”. Para a certificação digital de
15
nada vale manter o sigilo, a privacidade dos dados sem que o usuário final
tenha seus dados íntegros, sem modificações não permitidas. O certificado
digital confere este serviço de segurança ao usuário que o utiliza: sabemos
exatamente quem é o dono do certificado e não existe e não pode existir outro
dono com o mesmo certificado. O usuário fica, de fato, associado ao certificado
e esta associação, desde que solicitado o contrário por aquele ou pela perda
da validade do certificado, não pode ser extinta.
O não-repúdio é, além de um serviço de segurança, uma forma de
comprovar que, de fato, a pessoa que assinou ou que utilizou determinado
certificado digital em um documento, mensagem não possa negar que o fez.
Nas palavras de Monteiro (2007,p.31), o não-repudio “garante que nem o
emissor nem o receptor da informação neguem a autoria ou o recebimento da
informação”. Complementando Machado (2010, p.22) nos relata que “no
mundo virtual, para a garantia de que qualquer processo dependa da
inequívoca identificação das partes envolvidas e que permita garantir o não
repudio dessas partes, existem mecanismos que se baseiam nos certificados
digitais”.
Por fim, disponibilidade, nas linhas mais gerais de Silva et. al (2011,
p.11):
Garante que um sistema de computador, dados e recursos, de
hardware ou software, estão disponíveis para usuários autorizados
sem qualquer impedimento. Garante também que um sistema de
computador estará rapidamente disponível se por acaso algum
desastre ocorrer. O serviço de disponibilidade em um sistema
assegura, por exemplo, que computadores possam usar outra fonte
de energia, no caso de uma queda de energia ocorrer.
Podemos então dizer que a Certificação Digital, por seu alicerce e
pelos pilares que a sustentam é o que cita Machado (2010, p.23) um “processo
eletrônico confiável” inclusive com reconhecimento legal dado pela Medida
16
Provisória nº 2200/2001, na qual foi instituída a ICP-BR – Infraestrutura de
chaves públicas brasileira.
A pergunta que podemos nos fazer no momento é: conceitualmente é
aparentemente fácil definir os serviços de segurança, mas como garantir e
atender estes serviços na Certificação Digital?
2.1.1 Garantindo os serviços de segurança: criptografia
Segundo Machado (2010, p.25), “a origem da criptografia remonta ao
princípio da existência humana, reforçando-se com o inicio da utilização da
comunicação escrita e com a necessidade de encontrar meios para garantir a
confidencialidade das comunicações”.
Define-se criptografia pelas palavras de Medeiros Junior (2008, p.17):
A palavra criptografia é derivada do grego kryptós que significa
escondido, e gráphein que significa escrita. A criptografia pode ser
definida como o estudo dos princípios e técnicas pelas quais a
informação pode ser transformada da sua forma original, através de
um processo de cifragem, por outra ilegível, de forma que possa ser
conhecida, através do processo de decifragem, apenas por seu
destinatário, o que a torna difícil de ser lida por alguém não
autorizado. Esse processo permite que somente o receptor da
mensagem possa ler a informação com facilidade.
Se tomarmos todos os tipos de criptografia existentes e nos focarmos
apenas nisso, com certeza encontraríamos material para escrever outro
trabalho. Contudo, a intenção aqui é focar naquelas utilizadas na certificação
digital, ou seja, a criptografia de chaves simétrica e assimétrica e seus
componentes:
17
Criptografia Simétrica: é também chamada de criptografia de
chave secreta ou única. Como define Medeiros Junior (2008,p.18), “a
criptografia simétrica é fundamentada em operações (algoritmos) que
dependem da mesma chave, conhecida como “chave secreta”. Na
criptografia simétrica, uma única chave é utilizada para codificar (cifrar)
e decodificar (decifrar) uma mensagem”. Por ser mais antiga que a
criptografia assimétrica, a simétrica propõe apenas uma chave de
conhecimento de emissor e receptor. Esta técnica acaba tornando-se
inviável, pois algum software malicioso ou até mesmo usuários com
interesse em dados alheios podem capturar esta chave e decifrar a
mensagem que está sendo encaminhada a outro receptor. Ainda
citando o mesmo autor “os algoritmos simétricos são menos intensivos
computacionalmente, ou seja, mais rápidos que os algoritmos
assimétricos” (Medeiros Junior, 2008), por este fato, podemos perceber
que ambas tem funções diferenciadas no processo de Certificação
Digital. Abaixo, a figura 1 mostra como funciona este tipo de
criptografia. Exemplos: DES – Data Encryption Standard e a
comunicação SSL – Secure Socket Layer.
FIGURA 1 - EXEMPLO DE CRIPTOGRAFIA SIMÉTRICA.
FONTE: MONTEIRO; MIGNONI, 2007, p.23.
Criptografia assimétrica: segundo Medeiros Junior (2008 p.20).
A criptografia por chave pública ou criptografia assimétrica, é
baseada no uso de pares de chaves de caráter complementar para
cifrar/decifrar mensagens. Estas chaves são matematicamente
relacionadas, usando funções matemáticas unidirecionais para a
codificação da informação. O usuário que gera um par de chaves
18
assimétricas permanece com uma das chaves em seu poder,
chamada de chave privada e mantida em sigilo por seu criador, e
outra chave distribuída livremente para qualquer pessoa, chamada de
chave pública. Utiliza-se uma chave para cifrar a mensagem e outra
chave para decifrá-la.
A criptografia assimétrica veio de encontro à necessidade de conferir
maior segurança a Certificação Digital. Garantimos, assim, atender segundo
Machado (2010 p.59).
ao primeiro requisito, a autenticação, usando a criptografia de chaves
públicas [...]. Outro requisito, totalmente atendido é o da privacidade,
em que utilizamos a segurança e rapidez da criptografia simétrica
aliada à flexibilidade para a troca da chave criptográfica oferecida
pela criptografia assimétrica.
Na figura 2 abaixo o esquema de funcionamento da criptografia
assimétrica:
FIGURA 2 - EXEMPLO DE CRIPTOGRAFIA ASSIMETRICA
FONTE: MEDEIROS, 2008, p.23.
Alguns exemplos de criptografia assimétrica: AES – Advanced
Encryption Standard, criptografias RSA, DSA e ECC.
19
2.1.2 Algoritmo de Resumo ou Função de Resumo (Hash)
O algoritmo ou função de resumo permite verificar a integridade de
uma informação enviada seja ela uma mensagem, um arquivo, etc. O resumo
ou hash gera um resultado único que Machado (2010, p.53) chama de
“message digest (MD)”, termo em inglês para “Resumo da Mensagem”, a partir
de um texto qualquer”. Este valor é único, de tamanho fixo e “é composto por
fórmulas e funções matemáticas unidirecionais complexas, que garantem a
irreversibilidade e a unicidade do MD gerado. Isso significa que textos
diferentes não produzem o mesmo MD”. Machado (2010, p.53). A alteração de
um bit na mensagem enviada, gera uma diferença no calculo do hash, logo,
não se pode garantir a integridade da mesma.
No contexto da certificação digital, o algoritmo de Hash é utilizado na
validação de assinaturas digitais que, nas palavras de Silva et. al. (2011, p.20):
É um conjunto de dados usados para garantir a integridade e autenticidade de uma determinada mensagem. O autor da mensagem usa sua chave de assinatura para assinar a mensagem e enviá-la junto com a assinatura digital para um destinatário. O destinatário recebe a mensagem e usa uma chave de verificação para verificar a origem da mensagem e garantir que ela não foi modificada enquanto estava em transito. As chaves de assinatura e verificação são distintas, garantindo que o destinatário possa somente verificar a assinatura, mas não será capaz de forjá-la.
A chave de assinatura citada por Silva nada mais é que a chave
privada do usuário, de uso privativo e exclusivo dele. O receptor da mensagem
possui a chave pública única para decifrar a mensagem encaminhada.
As funções de hash mais utilizadas atualmente são a SHA-1 (Secure
Hash Algorith-1) e a MD5 (Message Digest-5).
Finalizando, o algoritmo de hash tem como função primordial a geração
de uma identidade, uma “impressão digital” da mensagem, que garante a
integridade da mensagem (por calculo e comparação do resumo da origem no
destino). Qualquer alteração é facilmente detectada, pois cada mensagem gera
resumos diferentes.
20
2.1.3 Validação dos serviços de segurança
Retomando os serviços de segurança que norteiam a certificação
digital podemos concluir que:
A autenticação se dá por meio da segurança implementada pelo
algoritmo de Hash, que com o auxilio das chaves privada e
pública da criptografia assimétrica, dá a certeza de que a
mensagem que está sendo veiculada é verdadeira. Da mesma
forma mantemos também a privacidade da mensagem enviada.
A autorização pode ser validada, pois o destinatário pode conferir
níveis de acesso e autorização ao destinatário, informando
exatamente o que este pode ou não acessar. A criptografia
simétrica dá conta disso.
A integridade dos dados é garantida pelas comparações de Hash
realizadas. Se forem idênticos os resumos, a mensagem está
integra.
Conseguimos também validar o não-repudio, pois o emissor da
mensagem assinada não poderá dizer que não a enviou, pois a
chave privada do usuário é única e de sua inteira
responsabilidade.
A disponibilidade também é garantida para usuários autorizados
sem qualquer impedimento, desde que aqueles estejam
vinculados a órgãos que emitem os certificados digitais e estejam
válidos.
2.1.4 Assinatura digital
A assinatura digital é mais uma aliada no propósito de manter o sigilo
(privacidade), a integridade e a autenticidade da documentação utilizada em
meios eletrônicos. Resumidamente, nas palavras de Medeiros Junior (2008,
p.25):
21
O ato de assinar um documento no papel está efetivando a ligação
entre a assinatura propriamente dita e a informação ali impressa. Na
assinatura manuscrita, existe uma ligação entre a pessoa que assina
e o documento, pois no ato em que se assina é impressa no papel
uma escrita que possui dependência das biocaracterísticas da
pessoa. Nos documentos eletrônicos, este efeito não ocorre, pois não
há meio físico que estabeleça uma ligação entre o assinante e a
assinatura. A assinatura eletrônica pode ser entendida como toda
forma de se autenticar um documento eletrônico através da
identificação inequívoca de seu signatário [...]. A assinatura digital é a
forma de assinatura eletrônica mais segura onde se utiliza um
algoritmo de autenticação, que possibilita o criador de um objeto, unir
ao objeto criado, um código que irá agir como uma assinatura.
As propriedades da assinatura digital perpassam sobre todos os
serviços de segurança listados anteriormente, pois a assinatura é autentica
(pela aplicação da criptografia assimétrica associada à função hash,
independente do tipo utilizado), não pode ser falsificada (pois somente o dono
do documento possui a chave privada, única e exclusiva de sua utilização), não
pode ser alterada (a alteração é facilmente identificado pela função de hash e,
se identificado, o documento está falsificado), não pode ser reutilizada (cria-se
um vinculo entre documento e conteúdo) e também não pode ser repudiada
(pois o autor não pode negar que assinou tal documentação).
O procedimento para se assinar um documento digital é descrito por
Medeiros Junior (2008, p.26-27) da seguinte forma:
Para assinar digitalmente um documento o emissor, signatário do
documento, deve gerar o resumo a partir do documento original e
cifrá-lo usando sua chave privada, obtendo assim, uma assinatura
digital que será anexada ao documento, gerando um documento
assinado. O receptor por sua vez, deve decifrar a assinatura anexada
ao documento com a chave púbica do emissor obtendo assim o
resumo originalmente enviado. Em seguida o receptor gera o novo
resumo do documento recebido e compara o resultado obtido com o
resumo enviado. Se forem iguais, a integridade está garantida, e
como apenas o emissor do documento pode ser identificado pela sua
chave pública, pois somente o mesmo detêm posse de sua chave
privada, a autenticidade também está garantida [...]. Para garantir,
22
além da integridade e autenticidade, fornecidas pela assinatura
digital, a confidencialidade do documento, deve-se cifrar o
documento, após ser assinado pelo emissor, com a chave pública do
receptor. O receptor por sua vez, deve decifrar o documento assinado
com sua chave privada e, somente depois, executar o procedimento
verificação da assinatura digital
Por fim, a assinatura digital é forte aliada da certificação digital e faz
parte do processo de uso do certificado digital. Mais adiante, será mostrado
como isso funciona.
Segue uma ilustração de como a assinatura digital funciona:
FIGURA 3 - FUNCIONAMENTO DA ASSINATURA DIGITAL E
VALIDAÇÃO.
FONTE: Atributos digitais II: Assinatura digital. 2014. Disponível em <http://www.bpiropo.com.br/fpc20071210.htm>.
23
2.1.5 Tempestividade – A importância do carimbo de tempo
A datação no ato de assinatura de um documento eletrônico é
importantíssima para que este possa realizar a substituição da documentação
tradicional de papel, mas não só isso: a tempestividade fornece uma referencia
de tempo, comprovando que aquele documento existia em determinado
instante de tempo. Além disso, garante que o par de chaves, pública e privada,
utilizadas naquela datação, estavam válidas no momento da assinatura.
Segundo Medeiros Junior (2008, p.28): “A datação é estabelecida por
uma entidade confiável que produz uma marcação temporal denominada
carimbo de tempo (timestamp)”. No âmbito da ICP Brasil, as Autoridades
Certificadoras de Tempo (ACT’s) possuem esta responsabilidade de datar cada
um dos documentos.
O processo é descrito também por Medeiros Junior (2008, p.28).
Contudo, em sua explanação ele usa o termo PPDE (Protocolizadora Digital de
Documentos Eletrônicos), mas ambas (ACT e PDDE) são a mesma coisa.
Assim, ele cita que:
A datação de um documento eletrônico através do processo de protocolação inicia-se com a geração do resumo do documento a ser datado. O resumo, e não o documento completo,é enviado a uma PDDE que procotoliza o documento gerando um recibo, assinado digitalmente pela PDDE, contendo a data e hora, um número sequencial do documento, e o resumo. O recibo é enviado ao cliente, que verifica a validade da assinatura digital da PDDE e a integridade do resumo, confirmando a protocolação do seu documento.
Em suma, a ACT após ter recebido um documento que tem a
necessidade de ser assinado digitalmente, insere neste os atributos de ano,
mês, dia, hora, minuto e segundo, tudo isso na forma da assinatura por meio
do certificado digital. Esse processo confere a documentação a autenticidade.
É atestado então a questão da tempestividade do documento não apenas a
transação em si, mas também ao seu conteúdo.
24
3 A CERTIFICAÇÃO DIGITAL E A INFRAESTRUTURA DE CHAVES PUBLICAS (ICP’S)
Pesquisando em vários trabalhos, teses e livros sobre Certificação
Digital, a definição que melhor enfoca o que ela é e para que serve, em termos
simples e objetivos é a dada por Medeiros Junior (2008, p.30): “Certificação
Digital é uma tecnologia de segurança para as relações eletrônicas, que provê
um sistema de identificação de pessoas e entidades no meio digital, que
combate o anonimato, a despersonalização e a insegurança em relação ao
interlocutor”.
Para que isso seja possível, a certificação digital lança mão do
certificado digital que é, segundo Medeiros Junior (2008, p.30):
Um documento assinado digitalmente por uma entidade certificante confiável e que cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas num certificado digital são o que possibilita colocá-lo em repositórios públicos para que terceiros possam conferir a autenticidade das assinaturas digitais que vierem examinar.
O certificado digital possui várias informações passando pelo dono do
certificado (nome da pessoa ou entidade detentora da chave pública), a
validade do certificado, o código da chave pública, informações sobre a
emissora do certificado (nome e assinatura da empresa) e um número de
controle quanto a série e emissão do mesmo.
Com outras palavras, mas utilizando-se ainda de Medeiros Junior
(2008, p.31):
Certificação digital é a tecnologia utilizada para dar força probante aos documentos eletrônicos, isto é, torná-los passíveis de serem autenticados e com firma reconhecida como é no mundo real. Assim como a Carteira de Identidade é assinada por um Órgão de Segurança que lhe dá credibilidade, o certificado digital é emitido e assinado (chancelado) por uma Autoridade Certificadora (AC) digital que emite o certificado.
A figura 4 ilustra a comparação (e de certa forma também uma
analogia) entre os processos de obtenção de um RG e de um certificado digital,
inclusive comparando os órgãos que compõem ambos processos:
25
FIGURA 4 - ANALOGIA ENTRE PROCESSO DE OBTENÇÃO DE UM
RG DE UM CERTIFICADO DIGITAL
FONTE: Fundamentos de criptografia, 2014, disponível em http://www.fundacaoaprender.org.br/fundamentos-de-criptografia.
3.1 CICLO DE VIDA DE UM CERTIFICADO DIGITAL
O ciclo de vida de um certificado digital (desde sua solicitação feita pelo
usuário até a sua extinção, ou seja, o fim de sua validade que é controlado pela
AC) é mostrado por Medeiros Junior (2008, p.31) em que cita Tadano:
1. Requerimento: é o pedido de expedição do certificado digital feito pela pessoa interessada à Autoridade Certificadora;
26
2. Validação do requerimento: é função da AC garantir que o requerimento seja válido e que os dados do requerente sejam corretos;
3. Emissão do certificado: é o ato de reconhecimento do título do certificado digital pelo requerente e sua emissão;
4. Aceitação do certificado pelo requerente: após emitido, o requerente deve retirá-lo da AC e confirmar a validade do certificado emitido;
5. Uso do certificado: é o período em que o certificado pode ser utilizado,
sendo seu uso de total responsabilidade do requerente;
6. Suspensão do certificado digital: é o ato pelo qual o certificado se torna temporariamente inválido para operações por algum motivo especificado pela AC, como o comprometimento da chave pública;
7. Revogação do certificado: é o processo pelo qual o certificado se torna definitivamente inválido pelo comprometimento da chave privada do titular ou quando ocorrer algum fato que torne o certificado digital pouco seguro
para uso. Um certificado suspenso ou revogado deve ser publicado na lista de certificados revogados (LCR) e estar sempre disponível para consulta;
8. Término da validade e renovação do certificado: o certificado digital tem um período preestabelecido de validade atribuído pela AC. Em geral, este período é de um a três anos, dependendo da importância e finalidade da chave.
3.2 PADRONIZAÇÃO E ESTRUTURA DOS CERTIFICADOS DIGITAIS
O padrão adotado para certificados digitais, que é utilizada
internacionalmente, é o X.509 que, segundo Silva et. al. (2011, p.26):
É um padrão de formato de certificado criado pela International Telecommunication Union – Telecommunication Standartization Sector (ITU-T) e ISSO/International Electrotechnical Commission (IEC), primeiramente publicada em 1988. A versão um (v1) deste formato foi estendida em 1993 para incorporar dois novos campos usados em controle de acesso, resultando na versão dois (v2) do formato. Posteriormente, mais um recurso foi necessário, fazendo com que em 1996 fosse lançada uma terceira versão (v3) com a possibilidade de usar campos de extensão.
27
Atualmente, a versão três (v3) é a mais utilizada por suas
incorporações de itens de segurança mas, ainda se usa a versão dois (v2) dos
certificados.
O formato de um certificado X.509 possui campos definidos, campos
de extensão e traz informações relativas, tanto ao usuário, quanto da empresa
fornecedora do certificado e ainda campos como versão, número de série e
extensões. Seguem, logo abaixo, a figura 5 que mostra o padrão de um
certificado X.509 e logo abaixo a Tabela 1 descrevendo as funções de cada um
dos campos presentes no certificado. Ambas foram retiradas do livro de Silva et
al (2011, pp.27-28).
FIGURA 5 – CERTIFICAÇÃO DIGITAL COM PADRÃO X.509
FONTE: Adaptada de SILVA et al, 2011, p.27.
28
FIGURA 6 – DETALHAMENTO INFORMATIVO SOBRE OS CAMPOS DO
CERTIFCADO
FONTE: SILVA et al,2011, p.28.
3.3 TIPOS DE CERTIFICADO DIGITAL
A ICP Brasil propõe 8 tipos de certificado, separados em duas séries: A
e S. Cada uma das séries possuem 4 tipos de certificado. As diferenças
básicas entre eles estão no tipo de uso, no nível de segurança imposto e a
validade.
A série A (A1, A2, A3 e A4) são certificados de assinatura digital,
utilizados em confirmações de identidade na internet, em e-mails, redes
privadas virtuais (VPNs) e em documentos eletrônicos. Podemos dizer,
29
resumidamente, que esta série é mais utilizada para fins de autenticação e
identificação.
Já a série S (S1, S2, S3 e S4) são os chamados certificados de sigilo
utilizados na codificação de documentos, base de dados, mensagens e
informações digitais sigilosas.
Os certificados digitais mais utilizados no momento são os A1 e A3. O
primeiro é armazenado no computador do usuário e protegido por senha e tem
uma característica menor de segurança, pois é possível fazer a cópia da chave
privada a ele associada. Já o A3, por vir guardado em cartões tipo Smartcard
ou Tokens (hardwares criptográficos) é mais seguro e ainda é protegido por
senha.
QUADRO 1 - COMPARAÇÃO ENTRE OS CERTIFICADOS DAS
SERIES A E DAS SERIES S
.
FONTE: Os tipos de certificado digital, 2014, <http://tecnologia.hsw.uol.com.br/certificado-digital4.htm>.
Deve-se observar que para as ACs, especificamente, existem mais dois
tipos de certificados (T3 e T4) que são emitidos para os equipamentos das
autoridades de Carimbo de Tempo (ACTs) credenciadas ao ICP Brasil. Elas
30
diferem das demais pelo tamanho das chaves de criptografia que são utilizadas
por introduzirem maior segurança ao processo.
3.4 - E-CPF E E-CNPJ – CERTIFICADOS DIGITAIS QUE FACILITAM A
VIDA
Os certificados digitais e-CPF e e-CNPJ da Receita Federal são como
extensões do CPF e CNPJ respectivamente. Com eles, é possível acessar pela
internet diversos serviços da Receita Federal, desonerando alguns serviços
que antes eram conseguidos apenas em postos de atendimento da Receita.
Para o primeiro, é possível o usuário fazer suas declarações de imposto de
renda de forma mais segura, consultar detalhamento dessas declarações,
pesquisar a situação fiscal em que se encontra, realizar pagamentos, verificar
restituições, entre outros serviços. Já para o segundo, a empresa que o possui
obter cópias de declarações, de pagamentos e ainda realizar retificação de
pagamentos, negociar parcelamento de dívidas fiscais, entre outros.
Os dois certificados ficam disponíveis para compra, nos tipos A1 e A3.
Abaixo segue uma tabela de serviços que ficam disponíveis para usuários do e-
CPF e e-CNPJ:
31
QUADRO 2 – SERVIÇOS DISPONIVEIS ASOS USUARIOS DO E-
CPF E E-CNPJ
FONTE: Os tipos de certificado digital, 2014, <http://tecnologia.hsw.uol.com.br/certificado-digital4.htm>.
32
3.5 A ICP BRASIL: COMPETENCIAS, INFRAESTRUTURA E ENTIDADES
PARTICIPANTES
No Brasil, o Instituto Nacional de Tecnologia da Informação (ITI) é o
órgão responsável pela manutenção da ICP-Brasil e suas competências, no
âmbito da Certificação Digital2, são:
• Adotar as medidas necessárias e coordenar o funcionamento da ICP-Brasil;
• Estabelecer a política, os critérios e as normas técnicas para o credenciamento das ACs, das ARs e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;
• Estabelecer a política de certificação e as regras operacionais da AC-Raiz;
• Homologar, auditar e fiscalizar a AC-Raiz e os seus prestadores de serviço;
• Estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das ACs e das ARs e definir níveis da cadeia de certificação;
• Aprovar políticas de certificados, práticas de certificação e regras operacionais, credenciar e autorizar o funcionamento das ACs e das ARs, bem como autorizar a AC-Raiz a emitir o correspondente certificado;
• Identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de certificação bilateral, regras de interoperabilidade e outras formas de cooperação internacional; certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.
• Delegar atribuições à AC-Raiz, primeira autoridade da cadeia de certificação.
2 Retirado de INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. O que fazemos? Disponível em http://www.iti.gov.br/institucional/o-que-fazemos. Acesso em setembro de 2014
33
Em suma, a ICP realiza três processos principais: certificação (que é a
criação do certificado em si autenticado por uma Autoridade Certificadora -
AC), validação (verificar a autenticidade do certificado e checar a lista de
certificados revogados – LCR -, bem como sua validade) e revogação de
certificados com base na LCR emitida pelas ACs, ou seja, torna-lo sem efeito.
Valendo-se das palavras de Medeiros Junior (2008, p.30):
As infra-estruturas de chaves públicas (ICP’s) são um ambiente
criado para autenticar as chaves públicas utilizadas para validação de
assinaturas digitais. O objetivo da ICP é garantir que os sistemas que
utilizem um par de chaves para assinar documentos digitais possam
confirmar inequivocamente que as chaves públicas que serão
utilizadas para validar as assinaturas digitais são de fato de
determinado signatário. O certificado digital é o instrumento utilizado
para a validação das chaves públicas nestas estruturas, sendo ele
próprio um documento eletrônico, assinado digitalmente por uma
autoridade certificadora, que contém diversos dados sobre o emissor
e o titular do certificado, como nome do titular, identificação do
algoritmo de assinatura, assinatura digital do emissor, validade do
certificado, além da própria chave pública vinculada ao titular do
certificado.
Estas ICP’s seguem, rigidamente, uma hierarquia para seu
funcionamento sendo a Autoridade Certificadora Raiz (AC-Raiz) a primeira
autoridade no organograma, seguido pelas Autoridades Certificadoras (AC’s),
Autoridades de Registro (AR’s) e demais prestadores de serviços devidamente
credenciados juntamente a ICP-Brasil. A figura abaixo mostra resumidamente
esta hierarquia (mais detalhadamente será disponibilizado, em anexo a esta
monografia, a estrutura atual da ICP-BR):
34
FIGURA 7 - ESTRUTURA DA ICP BRASIL
FONTE: Certificação Digital e o Processo Judicial Digital, 2014,disponível em http://www.getinews.com.br/volumes/197/certificacao-digital-e-o-processo-judicial-digital
Cada um dos níveis de hierarquia da ICP Brasil possui funções bem
definidas para as entidades que a compõem. Segundo Medeiros Junior, (2008,
p.34) temos os seguintes elementos:
1. O titular do certificado: aquele que faz uso do certificado digital;
2. A autoridade certificadora raiz (AC-Raiz): define e normatiza o funcionamento da ICP e realiza o licenciamento das ACs, emite , mantêm e cancela os certificados das ACs;
3. A autoridade certificadora (AC): responsável pela emissão do certificado digital, pela identificação do titular do certificado e pelo gerenciamento da lista de certificados revogados;
4. A autoridade de registro (AR): responsável pela identificação do usuário final, por receber solicitações de emissão ou de revogação dos certificados, disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes e serve como intermediária entre o usuário e a AC;
35
5. O repositório de certificados e LCR: é um repositório que pode ser acessado por todos os membros da ICP e onde ficam armazenados os certificados emitidos, bem como os revogados;
3.6 ENFOQUE DO ESTUDO: AUTORIDADE CERTIFICADORA (AC)
Para delimitação do trabalho e para dar o referido enfoque que será
explorado no estudo de caso da Empresa C, serão suprimidas informações
sobre as demais entidades presentes na cadeia hierárquica da ICP-Brasil e,
quando necessário for citá-las, será realizada de maneira breve, sem
aprofundamentos, a não ser que seja exigido para explicar o estudo de caso.
Além disso, o enfoque na documentação que será explorada é com
base na segurança. As demais vertentes como aspectos jurídicos, aspectos
econômicos, e outros serão desconsiderados, pois já estão previamente
satisfeitos pela Empresa C e também para não tornar o trabalho extenso
demais e perder, assim, a especificidade do que se quer abordar.
3.6.1 Critérios da ITI para tornar-se uma Autoridade Certificadora
O ITI se vale de vários tipos de documentação para definir e
regulamentar as entidades que o compõem, assim como suas obrigações
dentro da estrutura. Contudo a mais importante legislação do ITI é a Medida
Provisória nº 2200-2 de 24 de Agosto de 2001, que criou a Infraestrutura de
Chaves Públicas Brasileira e que a colocou no cenário brasileiro como órgão
que comanda o processo de Certificação Digital.
A partir disso, foram definidos vários decretos, resoluções, instruções
normativas e portarias que compõem a legislação que regem o ICP Brasil,
assim como a parte de normas, que compreende documentos, manuais,
adendos e planos diretores que norteiam o processo como um todo.
36
Levando tudo isso em consideração, mas focando no objeto de estudo,
foram considerados dois documentos que nos auxiliarão no estudo de caso da
Empresa C: o DOC-ICP-03 que trata dos Critérios e Procedimentos para
credenciamento das entidades integrantes da ICP-Brasil (versão 4.7) e o DOC-
ICP-04 que traz informações sobre os requisitos mínimos para as políticas de
certificado na ICP-BR. Os dois estão disponíveis no site da ITI para download
para todos os usuários da internet.
De inicio, traz-se a definição para Autoridade Certificadora (AC) que o
próprio ITI disponibiliza em sua pagina da internet. Ela nos informa que:
Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.
Existem dois níveis de AC: uma diretamente ligada a AC-Raiz (a
autoridade máxima da hierarquia, ou seja, o próprio ITI), e outra de segundo
nível que faz a interface entre a AC de primeiro nível e as ARs. Por fim, as ARs
fazem o contato direto com o usuário. Antes delas, porém, pode haver as PSSs
(Prestadoras de Serviço de Suporte) que também tem uma ligação direta com
o usuário final. A figura a seguir verifica-se esta hierarquia e as funções de
cada uma delas:
37
FIGURA 8 – HIERARQUIA ICP BRASIL COM FUNÇOES DAS
ENTIDADES VINCULADAS
FONTE: Hierarquia da ICP-Brasil, 2014, disponível em <http://www.beneficioscd.com.br/cartilha_online/?pagina=oq06>
Para tornar-se uma AC, a empresa candidata deve atender diversos
quesitos. Daqui por diante, neste trabalho, serão citadas diversas vezes a
documentação disponibilizada pelo ITI, pois objetiva-se manter a fidelidade de
informações, sem correr riscos de má interpretação.
Sendo assim, para efetivar o credenciamento da empresa candidata a
AC, é preciso, inicialmente, atender aos seguintes critérios:
a) ser órgão ou entidade de direito público ou pessoa jurídica de direito privado;
38
b) estar quite com todas as obrigações tributárias e os encargos sociais instituídos por lei;
c) atender aos requisitos relativos à qualificação econômico-financeira estabelecidos, conforme a atividade a ser desenvolvida, nos anexos I, II e III; e
d) atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação técnica, constantes dos documentos relacionados no Anexo I, aplicáveis aos serviços a serem prestados.
Os anexos I, II e III informados na norma tratam sobre a documentação
necessária para realização do credenciamento como AR, AC e PSS
respectivamente. Estes documentos não serão explorados mais a fundo do que
será exposto aqui.
Além dos critérios iniciais, a candidata a AC precisa atender aos
requisitos específicos, que seguem abaixo:
a) apresentar, no mínimo, uma entidade operacionalmente vinculada, candidata ao credenciamento para desenvolver as atividades de AR, ou solicitar o seu próprio credenciamento como AR;
b) apresentar a relação de eventuais candidatos ao credenciamento para desenvolver as atividades de PSS;
c) ter sede administrativa localizada no território nacional; e
d) ter instalações operacionais e recursos de segurança física e lógica, inclusive sala-cofre, compatíveis com a atividade de certificação, localizadas no território nacional, ou contratar PSS que as possua.
Nas diretrizes gerais de funcionamento, a ICP Brasil informa como uma
AC deve portar-se na hierarquia e também informações sobre o
credenciamento:
2.2.1.1 O processo de credenciamento obedece a procedimentos específicos, relacionados com a natureza da atividade a ser desenvolvida no âmbito da ICP-Brasil.
2.2.1.2 Todas as comunicações e requerimentos à AC Raiz deverão ser encaminhados por intermédio da cadeia de AC, ou candidatos a AC, operacionalmente vinculados. Inicia-se a tramitação pela AC, ou candidato a AC, de nível imediatamente superior ao do interessado. A
39
tramitação prossegue, a partir daí, respeitando a hierarquia de AC, ou candidatos a AC, operacionalmente vinculados, até chegar à AC Raiz.
2.2.1.3 As ACs serão responsáveis por comunicar as decisões do CG da ICP-Brasil ou da AC Raiz às entidades que lhes estejam operacionalmente vinculadas, respeitando a hierarquia de AC.
2.2.1.4 As ACTs se comunicarão diretamente com a AC Raiz.
2.2.1.5 O deferimento do pedido de credenciamento será publicado no Diário Oficial da União e importará a autorização para funcionamento no âmbito da ICP-Brasil e, no caso de AC e ACT, a emissão do seu certificado.
2.2.1.6 Em cada etapa da tramitação, a entidade que receber a solicitação de credenciamento de AC, AR, ou ACT tem prazo de até 30 (trinta) dias corridos para analisá-la e encaminhá-la à entidade de nível imediatamente superior, caso a solicitação seja acatada ou, se recusada, devolvê-la ao postulante com fundamentação da recusa.
2.2.1.7 Havendo recusa ou findo o prazo estabelecido no item 2.2.1.6, caberá recurso do postulante a AC Raiz.
Para fins de manutenção de credenciamento da AC, precisam ser
atendidas as seguintes atividades:
a) comunicar, desde logo, à AC Raiz e à AC a que está subordinada:
i. qualquer alteração em seus atos constitutivos, estatuto, contrato social ou administradores;
ii. desvinculação de AC, de AR ou de PSSs credenciados;
iii. violação, de que tenha conhecimento, das diretrizes e normas técnicas da ICP-Brasil, cometida pelas ACs, ARs ou pelos PSSs que lhe sejam operacionalmente vinculados; ou
iv. indício ou fraude comprovada na emissão de certificado por requerente que apresente documento ou informação falsa, no dia útil imediatamente subsequente à confirmação do ato, na forma estabelecida no ADE-ICP-03.H [14]. Caberá a AC Raiz, de posse de qualquer notificação de fraude das AC, propagar, no dia útil subsequente, todos os detalhes da operação fraudulenta constatada, para as AC de primeiro nível;
b) solicitar à AC Raiz autorização para alterar sua DPC, suas PCs ou sua Política de Segurança - PS, constantes dos documentos relacionados no Anexo I;
c) manter os titulares dos certificados informados acerca de eventual sucessão de AC ou AR operacionalmente vinculadas;
40
d) encaminhar à AC Raiz, até o dia 15 (quinze) de março de cada ano, cronograma das auditorias a serem realizadas, durante o ano, nas entidades que lhe sejam operacionalmente vinculadas;
e) encaminhar à AC Raiz relatórios de auditorias realizadas nas entidades que lhe sejam operacionalmente vinculadas, até 30 (trinta) dias após sua conclusão.
O adendo ADE-ICP-03.H trata de Modelo de email para comunicação
de fraude na emissão do certificado. O texto não será tratado no corpo deste
trabalho. Há também no texto da norma a forma como se descredenciar da ICP
Brasil, caso a empresa queira fazê-lo, mas para o trabalho aqui redigido não há
a necessidade dessa citação.
3.6.2 Normas a serem cumpridas pelas ACs
As normas tratam das obrigações que necessitam ser cumpridas pelas
empresas que querem tornar-se uma AC. Além destas, é necessário a norma
DOC-ICP-04 que trata de assuntos como a elaboração das Politicas de
Certificado que serão propostas pela AC (quanto aos tipos de certificado que
serão comercializados e propostas de novos certificados, que estarão sujeitas
a apreciação do Comitê Gestor da ICP Brasil) e ainda do Documento de
Praticas de Certificação (DPC) e procedimentos de certificação, as ARs
vinculadas (que recebem, validam e encaminham solicitações de emissão ou
revogação dos certificados inclusive denotando qual endereço web poderá ser
publicado tais dados) e as PSSs (que podem disponibilizar: infraestrutura física
e lógica ou recursos humanos especializados ou ainda as duas modalidades).
Nos DPCs utilizados pela AC precisam estar detalhados vários itens
que irão nortear a vida das ARs e das PSSs vinculadas. Nesses documentos
devem constar: Obrigações, direitos, responsabilidades, legislação (para agir
em casos de interpretação e execução), tarifas que serão aplicadas nos
serviços prestados (renovação, acesso a certificados, suspensão, revogação e
outros serviços, inclusive reembolso se for o caso), endereços web onde
41
ficarão disponíveis publicações, repositórios e informações sobre auditoria e
fiscalização e informações sigilosas. Mais voltada para a área de segurança, as
ACs ainda precisam apresentar arquivamentos de registros de forma segura,
com proteção para estes mesmos arquivos, procedimentos especiais para a
troca de chaves, caso necessário e ainda, comprometimento e recuperação de
desastre, bem como controles de segurança tanto física quanto procedimental
e pessoal, controles técnicos de segurança para a geração do par de chaves e
guarda das mesmas em local propício e backup dessas chaves. E, nos casos
de expiração desses dados, a AC deve implementar uma política de
arquivamento, desativação e destruição das chaves. A tabela a seguir denota
quais os períodos máximos de validade dos certificados que devem ser
respeitados pela AC quanto a emissão dos certificados:
QUADRO 3 - PERÍODOS DE VALIDADE DOS CERTIFICADOS
FONTE: Os tipos de certificado digital, 2014, <http://tecnologia.hsw.uol.com.br/certificado-digital4.htm>.
Quanto à segurança computacional, a Politica de Certificados (PC)
utilizada pela AC deve descrever também os requisitos de segurança
computacional onde serão geradas as chaves dos usuários com controles
técnicos de ciclo de vida do certificado (mesma observação da tabela anterior),
controles de desenvolvimento de sistemas, gerenciamento de segurança tanto
da rede quanto de acesso.
42
4 EMPRESA C: UM ESTUDO DE CASO
Neste capítulo será explorado o estudo de caso da Empresa C com
uma introdução sobre a empresa e sua importância no cenário do Estado do
Paraná e a sua entrada no cenário da certificação digital. Serão analisadas
exclusivamente questões que envolvem critérios de segurança à luz da
disciplina ministrada pelo professor Marcelo Soares Farias, no Curso de Pós-
Graduação da Universidade Tuiuti do Paraná (UTP) e pelos assuntos
abordados anteriormente.
4.1 CONHECENDO A RELEVANCIA DA EMPRESA C NO CENARIO
ESTADUAL
A descrição da empresa e dos seus serviços prestados está baseada
em seu website disponível na internet, bem como da vivencia do autor do
presente trabalho como um dos funcionários colaboradores da mesma. Além
disso, as informações também provem de notícias constantes em reportagens,
disponíveis em sites da internet.
A Empresa C é uma empresa vinculada a Secretaria de Assuntos
Estratégicos do Estado do Paraná (SEAE) e instituída no tipo Sociedade de
Economia Mista, onde mais da metade do capital empregado é do Estado, ou
seja, este é o acionista majoritário da empresa. Foi fundada pela Lei Estadual
4945 de 30 de outubro de 1964, sendo a mais antiga empresa pública no ramo
de Informática em âmbito nacional.
A empresa iniciou os seus trabalhos prestando o serviço de
processamento de dados com a plataforma alta baseada em Mainframe. Hoje,
em um ambiente completamente heterogêneo onde subsistem Mainframe,
servidores de alta performance e desempenho, robô de backup e storages,
atende toda a infraestrutura de secretarias do Estado (como Secretaria de
Educação, Saúde, Segurança, Detran, entre outras) com mais de 900
aplicativos disponíveis via web (inclusive prestando este serviço para
43
prefeituras e outros estados do Brasil), 1600 servidores hospedados em uma
sala cofre com altíssima segurança e disponibilidade e conta ainda com um
capital humano de mais de 1100 funcionários, que atendem o Estado todo em
10 regionais e uma sede localizada na Cidade de Curitiba.
Destacando os serviços que a empresa presta é possível elencar os
seguintes:
Acesso à internet, incluindo proteção por firewall;
Disponibilização de ferramenta de trabalho, correio eletrônico,
agenda e colaboração chamado Expresso Livre;
Acesso a ambiente de grande porte Mainframe;
Gestão de ambiente computacional com desde manutenção de
servidores, ativos de rede até o suporte a estações de trabalho;
Hospedagem de sites na internet;
Hospedagem de sistemas;
Hospedagem de servidores;
Armazenamento (em disco ou fitoteca robotizada) com serviços de
backup e restore de dados;
Consultoria em projetos de tecnologia da informação e comunicação;
Análise, programação e manutenção de sistemas;
Help Desk por meio de Central de Atendimento especializada, em
turnos de 24x7 horas.
Construção de sites tanto para internet quanto para intranet;
Implantação, treinamento e suporte para novas aplicações;
Impressão e preparo de documentos de segurança (carteiras de
identidade em papel moeda e outros serviços como impressão em
44
formulários, etiquetas padronizadas conforme a necessidade de
cada cliente);
Serviços de digitalização como imagens e documentos;
Transmissão de eventos via Webcast;
Solução de gestão corporativa de documentos digitais, chamada
Documentador;
Ambiente virtual de aprendizagem para ensino a distância (EaD).
Citando a reportagem no site JusBrasil3 que resume o exposto
anteriormente, o autor da reportagem cita que a Empresa C:
É a empresa responsável pelo desenvolvimento, manutenção, hospedagem e integração dos sistemas, rede de comunicação, páginas na internet e de toda a organização do ambiente de tecnologia de informação e comunicação do Governo do Paraná. Além disso, ela executa toda a política de inclusão digital e auxilia nos processos de compra de produtos e serviços de informática. Atualmente, [...] é reconhecida internacionalmente por sua excelência no desenvolvimento de software livre, os programas de computador de código aberto, cujas principais características são as liberdades de uso, cópia, adaptação e distribuição dos códigos desses programas.
Levando em consideração a posição de destaque da Empresa C na
sociedade paranaense, que o autor participa da vida da Empresa C e os
estudos propiciados na disciplina de Segurança da Informação, fica evidente a
importância do estudo retratado e a necessidade de se estudar a Certificação
Digital pelo viés da segurança.
Uma empresa tão grande, como a Empresa C, que possui milhares de
clientes e ainda faz a guarda, a proteção de dados confidenciais que são os de
um Estado todo, precisa ter bem pautada uma politica de segurança tanto da 3 SEGURANÇA da informação. Disponível em: <http://esaj.tjce.jus.br/WebHelp/id_seguranca_da_informacao.htm>. Acesso em Novembro de 2014.
45
informação que guarda, como dos acessos ao próprio ambiente da empresa,
bem como dos ambientes confinados onde ficam servidores, storages, e outros
equipamentos para não ser surpreendida com o roubo, a distribuição e quiçá a
comercialização de dados roubados por agentes maliciosos. Em um dos slides
utilizados nas aulas, que trata de uma das finalidades da Segurança da
Informação para a corporação, foi exposto que esta finalidade primordial visa
diminuir a exposição aos riscos existentes ao ambiente, estendendo isso a
produtos e serviços. O resultado disso é uma satisfação maior dos clientes e da
sociedade como um todo.
4.2 ANÁLISE DA EMPRESA C QUANTO A POSSIBILIDADE DE SE TONAR
UMA AUTORIDADE CERTIFICADORA
Segundo informações obtidas com um consultor, que faz parte do
corpo empresarial há muitos anos e que não terá o nome divulgado por
questões éticas, o qual é integrante do projeto para Certificação Digital que
vem ocorrendo na empresa, já é de tempos que a Empresa C pretende entrar
no ramo da Certificação Digital no 1º nível de AC (Autoridade Certificadora) e
em níveis de ACT (Autoridade de Controle de Tempo) e PSS (Prestadoras de
Serviço de Suporte). Estudos têm sido realizados nos últimos anos para se
efetivar tal desejo, mas antes de 2013, as ideias não passavam do papel, já
que a Empresa C não dispunha de estrutura física com condições mínimas
para atender os requisitos de segurança para a implantação da AC.
Em meados de novembro de 2013 foi realizada a Operação Moving
para o novo Data Center da Empresa C, com a participação de vários setores
do corpo técnico da empresa. Foram movimentados todos os servidores, ativos
de rede e cabeamentos para o novo local em forma de Sala Cofre. A operação
durou cerca de 3 dias e afetou o Estado do Paraná como um todo, já que os
serviços e aplicações ficaram indisponíveis em sua totalidade. Em jornal de
grande circulação do Estado do Paraná, foi veiculada a informação sobre tal
movimentação:
46
Os sites do governo do Paraná e os serviços prestados por meio dessas páginas on-line estarão indisponíveis desta sexta-feira (20), às 18 horas, até ao meio-dia de segunda-feira (23). A interrupção ocorre para que a [...] [Empresa A] transfira 750 equipamentos para um novo data center (ambiente que armazena servidores e sistemas de armazenamento de dados).
Sobre as mudanças ocorridas, o mesmo jornal informou ainda que “o
aumento no número de pessoas que usam serviços ou entram em contato com
o governo pela internet forçou a procura por um ambiente mais seguro. Em um
dia, são mais de 10 milhões de acessos em toda a rede”.
A estrutura da sala é informada abaixo, com base no website da
empresa:
Data Center com 270 m²;
Ambiente controlado com temperatura e umidade;
Detecção e combate automático de incêndio;
Monitoramento eletrônico e controle de acesso;
Geradores próprios de energia;
Sala cofre testada de acordo com os requisitos contidos no procedimento de certificação ABNT/INMETRO;
Todos os sistemas e equipamentos possuem duplicidade para que, em caso de falha em um deles, o outro assuma a operação do ambiente sem interrupções;
Em fase de certificação Tier 3.
A ideia original desse trabalho de conclusão seria o de comparação
entre as instalações de uma empresa já funcionando como Autoridade
Certificadora e as instalações da Empresa C, que pretende ser uma AC. O
procedimento seria realizado por meio de uma visita técnica a uma dessas ACs
analisando quesitos físicos e de segurança por meio de vídeos, se estes
fossem permitidos, fotos e anotações do autor sobre o assunto e ainda
informações conseguidas de funcionários locados nessas empresas sobre o
47
processo de certificação digital. Contudo, devido ao curto espaço de tempo
para entrega do presente trabalho e a indisponibilidade de acesso a esta
estrutura nas empresas, ficou inviabilizada esta parte do projeto. Então o
trabalho ficou focado apenas na análise da estrutura física e de segurança
presente hoje na empresa C e de informações conseguidas através de
informações cedidas por um consultor que está engajado no processo para
implantação da Certificação Digital na Empresa C, bem como de observações
do próprio autor quanto à estrutura física e os quesitos de segurança da sala
que será utilizada no processo.
A análise para tornar-se uma AC, pelo viés da segurança e levando em
consideração a visão geral dada pelo consultor, está ainda em suas fases
iniciais. Foi construída uma sala ao lado da Sala Cofre para possibilitar a
guarda dos certificados digitais bem como a visita dos usuários para obtenção
de tal certificado. A sala tem o mesmo padrão de Sala Cofre, provida de
dispositivos para controles de incêndio (detecção e combate), com controle de
temperatura e umidade, é atendida por duas fontes de energia redundantes,
que fazem com que a disponibilidade dos serviços cheguem a 99,95% e ainda
conta com controles de acesso por digital e monitoramento por câmeras. É
dividida em dois ambientes distintos: uma antessala para se realizar os
atendimentos ao público interessado e onde ficariam os atendentes e o
segurança necessários para se obter o requisito de segurança proposto pela
ICP Brasil e um cofre provido de porta “corta-fogo” também a prova de
incêndios e com toda a segurança citada anteriormente provida de um cofre
menor, para a guarda devida dos certificados digitais.
Quanto ao acesso a sala de certificação digital, existem dois acessos:
um interno a empresa, que é mais utilizado pelos técnicos e analistas que
atuam no ambiente e, eventualmente, por técnicos de empresas contratadas
que prestam suporte em equipamentos dentro da garantia na área de redes, de
servidores e da própria sala cofre. O outro acesso é dado por uma porta “corta-
fogo” utilizada em docas para retirada de materiais, com controle de acesso por
digital.
48
Atualmente as salas ainda estão equipadas, já que estão em processo
de adequação do ambiente. Contam apenas com algumas mesas que serão
utilizadas por funcionários, máquinas e outros dispositivos necessários. Por
falta da estrutura de máquinas e materiais a serem utilizados neste ambiente,
não é possível neste estudo fazer uma análise mais detalhada neste quesito.
Também, por questões de segurança, não é possível dizer se o atendimento ao
público se dará diretamente nesta sala até porque, por questões de segurança,
a sala está muito próxima do ambiente da Sala Cofre que é usada como Data
Center.
Pelo explanado pelo consultor, a sala de guarda dos certificados
digitais deve ter uma “segurança como as apresentadas em filmes” e até o
momento não foram ainda contratadas pessoas de empresas terceirizadas
para fazer a guarda armada do local. Por fim, pode-se dizer que a estrutura
física atende aos requisitos de segurança indicados pela ICP Brasil, contudo
como a sala ainda carece de equipamentos e de capital humano atuante neste
serviço a análise a que se propôs este é breve e, no momento, não pode ser
melhor aprofundada.
49
5 CONCLUSÃO
O estudo mostrou-se incipiente, pois a exploração deu-se apenas na
estrutura física e de segurança da sala que será utilizada para a certificação
digital. Contudo, conseguiu contemplar ou ao menos dar uma noção do quão
grande é o processo para obtenção do grau de Autoridade Certificadora, para
qualquer empresa que almeja este título. Mesmo focando o item segurança,
que é um das milhares de possibilidades que se apresentam, explorá-lo não foi
tarefa fácil.
O autor encontrou dificuldade em obter a legislação e normas que
mostrassem, efetivamente e exatamente, como deve ser uma sala
certificadora, quais os itens que esta deveria contemplar e quais seriam
imprescindíveis para o funcionamento – estrutura física – desde máquinas,
funcionários (secretariado, funcionários que fazem a segurança), mobiliário,
etc. Nas duas normas exploradas, estes itens eram apenas informados de
maneira geral, mas sem especificidade. Nenhum dos livros utilizados trouxeram
as especificidades que o autor necessitaria para dar uma incremento a mais no
trabalho.
O estudo ora explorado foi de suma importância para o autor, visto que
não participa diretamente dos estudos que estão sendo desenvolvidos na
empresa sobre o assunto e também não possuía um conhecimento prévio do
processo de Certificação Digital.
Para estudos futuros, a visita técnica em outra empresa já Autoridade
Certificadora seria muito interessante para fins de comparação e retirada de
maiores conclusões sobre o assunto. O estudo pode ser também melhorado e
ampliado a partir do avanço da Empresa C na busca pelo processo de tornar-
se uma empresa certificadora.
50
REFERENCIAS
ATRIBUTOS digitais II: Assinatura digital. 2007. Disponível em <http://www.bpiropo.com.br/fpc20071210.htm>. Acesso em Novembro de 2014.
BRASIL. Ministério da Justiça. MEDIDA PROVISÓRIA No 2.200-2. Brasília, DF, 2001.
CELEPAR comemora 44 anos de atividades. Disponível em <http://gov-pr.jusbrasil.com.br/noticias/242739/celepar-comemora-44-anos-de-atividades>. Acesso em Setembro de 2014
COMITE GESTOR DA INTERNET NO BRASIL. Cartilha para segurança na internet (Versão 4.0). São Paulo, 2012.
ENTENDENDO a certificação digital. Disponível em: <http://www.infowester.com/assincertdigital.php >Acesso em junho de 2014.
FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio eletrônico. Disponível em: < http://www.dicionariodoaurelio.com/>. Acesso em: 14/10/2014.
FREITAS, Cristiana; VERNESE, Alexandre. Segredo e democracia: certificação digital e software Livre. Trabalho apresentado ao grupo de trabalho sobre sociedade de informação no XII congresso brasileiro de sociologia (01 de junho de 2005; Belo Horizonte, MG). Disponível em <http://www.ip.pbh.gov.br/ANO8_N2_PDF/artigos%20anteriores/artigo-segredo-e-democracia.pdf>. Acesso em Julho de 2014.
FUNDAMENTOS e criptografia. Disponível em <http://www.fundacaoaprender.org.br/fundamentos-de-criptografia>. Acesso em Agosto de 2014.
GAZETA do Povo. 2013. Sites do governo do PR saem do ar hoje e voltam na segunda. Disponível em <www.gazetadopovo.com.br/vidaecidadania/conteudo.phtml?id=1410259>. Acesso em Outubro de 2014.
HIERARQUIA da ICP-Brasil. Disponível em <http://www.beneficioscd.com.br/cartilha_online/?pagina=oq06>. Acesso em Outubro de 2014
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. O que fazemos? Disponível em http://www.iti.gov.br/institucional/o-que-fazemos. Acesso em setembro de 2014.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Norma: DOC-ICP-03: Credenciamento das Entidades Integrantes da ICP-Brasil. Brasília, 2014. Disponível em: < http://www.iti.gov.br/images/twiki/URL/pub/Certificacao/DocIcp/DOC-ICP-03_-
51
_Versao_4.7__CRIT._E_PROCED._PARA_CRED._DAS_ENT._INTEG._DA_ICP-BRASIL_29.04.2014.pdf>. Acesso em 30/10/2014
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Norma: DOC-ICP-04: Requisitos mínimos para as políticas de certificado na ICP-Brasil. Brasília, 2014. Disponível em: < http://www.iti.gov.br/images/legislacao/Docicp/DOC-ICP-04_-_Versao_5.3_-_REQ._MIN._PARA_AS_PCs_NA_ICP-BRASIL_29.04.2014.pdf >. Acesso em 30/10/2014
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Norma: ADE-ICP-03.H v.1.0: Modelo de e-mail comunicando indício ou fraude na emissão de certificado. Brasília, 2014. Disponível em: < http://www.iti.gov.br/images/twiki/URL/pub/Certificacao/AdeIcp/ADE-ICP-03.H_-_v_1.0.pdf >. Acesso em 01/12/2014
MACHADO, Robson. Certificação digital ICP-Brasil: Os caminhos do documento eletrônico no Brasil. Niteroi ; RJ: Impetus, 2010.
MEDEIROS JUNIOR, F. M. da S. Certificação Digital no Poder Judiciário do Estado do Ceará. 71p. Trabalho de Conclusão de Curso (Especialização em Administração Judiciária). Universidade Estadual Vale do Acaraú, Fortaleza, 2008.
MONTEIRO, Emiliano S; MIGNONI, Maria Eloisa. Certificados digitais conceitos e práticas. [S.L.]. Cooperativa Mista de Trabalho Multidisciplinar LTDA, 2007.
O QUE é certificação digital? Disponível em: <https://www.oficioeletronico.com.br/Downloads/CartilhaCertificacaoDigital.pdf> Acesso em junho de 2014.
OS TIPOS de certificado digital. Disponível em <http://tecnologia.hsw.uol.com.br/certificado-digital4.htm>. Acesso em Setembro de 2014.
SARAIVA, Maurício de Oliveira. Certificação Digital e o Processo Judicial Digital. Disponível em <http://www.getinews.com.br/volumes/197/certificacao-digital-e-o-processo-judicial-digital>. Acesso em Outubro de 2014.
SEGURANÇA da informação. Disponível em: <http://esaj.tjce.jus.br/WebHelp/id_seguranca_da_informacao.htm>. Acesso em Novembro de 2014.
SILVA, et al. Certificação digital: conceitos e aplicações. Rio de Janeiro: Ciência Moderna, 2011.