PKI ou ICP - Infraestrutura de Chave Publica

Francisco Marcelo M. Lima, MCSO Coordenador TSI Novembro / 2006

Agenda
s s s s s s s s s s

Criptografia; Viso; Iniciativa do Governo; s Onde so armazenados Mercado de PKI; os certificados; O que PKI; s Aplicaes que usam PKI; Pontos Comuns entre tecnologias; s Obtendo um certificado Pontos comuns entre tecnologias; digital; Novas possibilidades; s Futuro de PKI, e Novas necessidades; s Duvidas e Perguntas. Composio Basica:
x x x

Certificado Digital; Autoritade Certificadora; Diretrio;

Criptografia
s

Criptografia a combinao de uma chave com um algoritmo matemtico baseado em uma funo unidirecional. Este algoritmo aplicado aos dados, juntamente com a chave, de modo a tornlos indecifrveis para qualquer um que os veja. O modo que isso feito garante que somente possvel se obter os dados originais caso se possua o algoritmo e a chave usados inicialmente. Mantendo-se um destes dois componentes secretos (no caso a chave), faz-se com que a visualizao dos dados por terceiros se torne impossvel.

Criptografia
PROTEO / SIGILO Chave Simtrica: A chave que se usa para cifrar a mesma usada para decifrar.
x x

A troca de chaves precisa ser protegida. Dificuldade de distribuio em grande escala.

Asjdfasflkasfhshsdasfashdhdh Querida, iotuitrppyophglhkfgmcm,cv nznnxzv Hoje esqueci de lavar a roupa xskskjshsiutioufdlkjg e enxugar os pratos, me cnxxcz,zxhsajksAdjkldsaiu desculpe... tutuadsjkdsafnsdanvnmcxv Depois que levar os meninos massdsdahwisaoisdagnlvcj para a escola eu termino... vcxz ~sadaslsadjsaujvnvnvxzlka Com amor....... OPSOIDFNKLl\lsjcvlkjcvxl Eu kjpo4e8409ew0salks

Exemplo: DES e 3DES.

Criptografia
Chave Assimtrica: Usa um par de chaves. Uma chave pblica e uma privada. O que uma cifra, somente a outra decifra e vice-versa.
x x

A chave privada deve ficar protegida, somente com o proprietrio. Algoritmo mais lento que o de Chave Simtrica.

Exemplo: RSA e Diffie-Hellman.

Asjdfasflkasfhshsdasfashdhdh Querida, iotuitrppyophglhkfgmcm,cv nznnxzv Hoje esqueci de lavar a roupa xskskjshsiutioufdlkjg e enxugar os pratos, me cnxxcz,zxhsajksAdjkldsaiu desculpe... tutuadsjkdsafnsdanvnmcxv Depois que levar os meninos massdsdahwisaoisdagnlvcj para a escola eu termino... vcxz ~sadaslsadjsaujvnvnvxzlka Com amor....... OPSOIDFNKLl\lsjcvlkjcvxl Eu kjpo4e8409ew0salks

Criptografia
Funo Hash: Algoritmo que a partir de uma mensagem de qualquer tamanho, gera um string (hash) de tamanho fixo, por exemplo 128 bytes. Tem como caractersticas:
x x

Garantir a INTEGRIDADE da mensagem; Envia-se a mensagem com seu HASH anexado. O destinatrio recalcula o HASH usando o mesmo algoritmo e compara. Se o resultado for igual, o contedo da mensagem no foi alterado.
Querida, Hoje esqueci de lavar a roupa e enxugar os pratos, me desculpe... Depois que levar os meninos para a escola eu termino... Com amor....... Eu

Exemplo: MD5 e SHA-1.

ICaVAuB72Qm.......

HASH da mensagem

Certificado Digital
s s s s

Documento de Identidade (usurios, servidores, CAs) Arquivo de computador inviolvel Definido por ITU-T X.509 Composto por:
x x x x x

Dados do Identificado Dados do rgo Emissor Data de Validade Assinatura Digital do rgo Emissor Chave Pblica do Identificado

Est associado com a Chave Privada

Viso

A segurana a principal preocupao nas transaes pela Internet.

Viso
Porque garantir a segurana na Internet importante......

Na Internet ningum sabe que voc um cachorro.

Viso
s

O que se quer garantir nas transaes pela Internet?

x x x

Confidencialidade: privacidade (sigilo); Integridade: no alterao da informao; No Repdio: autor da transao no pode negar em momento algum que realizou a operao;

Autenticao: tem autorizao para fazer a autenticao;

O que PKI / ICP?

INFRA-ESTRUTURA DE CHAVE PBLICA

O que PKI / ICP?

Uma infra-estrutura que contempla uma soluo conjunta de software, hardware, servios e protocolos, com o objetivo de prover segurana a um ambiente de negcios eletrnicos, atravs da gerao, distribuio e gerenciamento de chaves e certificados digitais.

Iniciativa do Governo
s

Decreto Lei Nr. 3.587, 05/09/2000 x Dispe sobre a utilizao de Assinaturas Digitais, o desenvolvimento da Infra-estrutura de Chave Pblica e a utilizao das tecnologias de Comrcio Eletrnico pelas entidades da Administrao Pblica Federal Direta e Indireta. Legislao - Necessidades:
xRegulamentao

do Comrcio Eletrnico xReconhecimento de documentos digitais xProteo ao Consumidor xProteo Privacidade xReconhecimento de Assinaturas Eletrnicas xPunio de infratores

Infra-estrutura
s s

O usurio dos servios no precisa conhecer os detalhes de emisso, distribuio, revogao, validao e renovao de chaves e certificados, nem tampouco entender os algoritmos de ciframento, deciframento, assinatura e validao. Do mesmo modo como usamos energia eltrica sem conhecer detalhes da gerao, distribuio e instalao da Infra-estrutura de Energia Eltrica.
Expirao das Chaves

Gerao das Chaves

Gerenciamento das Chaves e Certificados Transparente para o Usurio Final

Emisso do Certificado Uso das Chaves Validao dos Certificados

Chave Pblica
AMPLO ALCANCE A Chave Pblica disponibilizada num servio de diretrios, onde os interessados podem ter acesso, como os endereos em uma lista telefnica. A Chave Pblica pode ser distribuda, via Internet, a todos com que se deseja estabelecer transaes eletrnicas seguras. Permite estabelecer negcios, com segurana, com qualquer um em qualquer lugar do mundo.
s

Pontos comuns entre as tecnologias

PKI - Composio Bsica

s

Certificado Digital Autoridade Certificadora (CA) Repositrio de Certificados (Diretrio) Aplicaes

Certificado + CA + Diretrio + Aplicaes = PKI

Certificado Digital
s s s s

Documento de Identidade (usurios, servidores, CAs) um arquivo de computador inviolvel Definido por ITU-T X.509 Composto por:
x x x x x

Dados do Identificado Dados do rgo Emissor Data de Validade Assinatura Digital do rgo Emissor Chave Pblica do Identificado

Est associado com a Chave Privada

Criptografia
Exemplo.

Querida, Hoje esqueci de lavar a roupa e enxugar os pratos, me desculpe... Depois que levar os meninos para a escola eu termino... Com amor....... Eu dfsafsfdasfdasfd ICaVAuB72Qm.......

HASH da mensagem

Autoridade Certificadora (CA)

s s s

O ponto crucial de uma PKI. Autoridades Certificadoras so instituies em que as partes envolvidas na transao confiam. Tem a funo de garantir a associao de um usurio (pessoa, empresa ou mquina) com seu par de chaves. Emite os certificados digitais a partir de uma poltica estabelecida, assim como alguns rgos emitem carteira de identidade, carteira de motorista, reconhecimento de firma, etc.

Diretri o
s s s s

Armazena e disponibiliza as informaes pblicas dos certificados Padro de acesso LDAP Controle de acesso e segurana embutidos Necessidade de escalabilidade e alta performance

Onde so armazenados os certificados?

s

O mais comum, armazenar a chave e o certificado na prpria estao do usurio. Isso vale duas grandes observaes:
x

Portabilidade: s ser possvel fazer uso de toda a infra-estrutura da rede atravs da estao onde est armazenada a chave pblica e o certificado. A chave pblica est em uma estao de trabalho que alvo de vrios usurios maliciosos e hackers.

Para se evitar este problema recomenda-se o uso de SmartCard

Aplicaes que usam PKI

E-mail Web Desktop

PKI
VPN ERP

Obtendo um Certificado Digital

Autoridade de Registro (RA) 2. RA comprova dados cadastrais Autoridade Certificadora (CA)

1. Dados cadastrais

4. CA emite o certificado, assinando com sua prpria chave Diretrio 5. Certificado instalado no cliente e publicado no Diretrio

3. As chaves so geradas

Caractersticas da Soluo
s

Facilidade de Uso
x x

Transparncia para o usurio Menor custo de Help Desk

Manuteno de histrico de chaves

x

Acesso a documentos criptografados mesmo com chaves expiradas ou canceladas

Single Sign On
x x x

Integrao com Mainframe, ERP, desktop, VPN, etc. Informaes de usurio e senha no trafegam pela rede Menor custo de Help Desk

Caractersticas da Soluo
s

Back-up de chaves de criptografia

x

Recuperao de informaes criptografadas com chaves perdidas ou esquecidas Dois pares de chaves distintos: um para criptografia, outro para assinatura digital Chave privada de assinatura no tem back-up, dando suporte ao norepdio As CRLs (listas de revogao de certificados) so automaticamente publicadas no diretrio Checagem automtica das listas de revogao de certificados Principais operaes realizadas automaticamente Transparncia para o usurio

Sistema de revogao
x

x
s

Certificados gerenciados
x x

Caractersticas da Soluo
s

Flexibilidade
x

Capacidade de adaptao s prticas e polticas da empresa

Interoperabilidade
x x x

Baseada em padres aceitos internacionalmente Poltica de certificao cruzada flexvel Estruturas de confiana variadas: rvore, peer-to-peer ou hbrida

Escalabilidade
x

Capacidade e disponibilidade para Infra-estrutura de misso crtica

Recursos Adicionais de Chaves e Certificados; Renovao automtica

s s

Back-up e Recuperao de Chaves de Criptografia; Histrico de Chaves; Dois pares de Chaves: um para Criptografia, outro para Assinatura Digital; Certificao Cruzada; Timestamping; Key-Scrow, e Suporte a usurios remotos.

O Futuro de PKI
s

Nos prximos 5 anos os equipamentos sem fio sero responsveis por 45% do mercado total de comrcio eletrnico (fonte:IDC) Os PCs sero numericamente superados no acesso Internet em 2002 (fonte: The Standard) 1B de pessoas vo usar servios de dados mveis at 2005 (fonte: ARC group) 4 vezes mais telefones celulares do que PCs em 2005 (fonte: Gartner)

Mercado de PKI
s

Crescimento do Segmento de PKI

xEntre

todos os produtos de segurana, PKI o que projeta maior crescimento xO market share de PKI vai responder por 17% de todo o mercado de segurana
Evoluo do Mercado Mundial de PKI
1600 Em Milhes de US$ 1400 1200 1000 800 600 400 200 0 1998 1999 2000 2001 2002 2003

Datamonitor - 1999

Duvidas e perguntas