Slide 1

Esquemas de Autenticao

Senhassegredos pessoais

Chaves simtricassegredos compartilhados

Chaves pblicas segredos so distribudos Infra-estrutura de Chaves Pblicas1Como distribuir chaves pblicas?Luiz Carlos Zancanellae-mail: zancanella@inf.ufsc.br KU: 846dc12ae346cf89462afe58945ab5845213efDistribuio da chave pblica pessoal

No h garantia da identidade

Como avisar quem possuem o carto, no caso de perda da chave privada correspondente a chave pblica INE/UFSCInfra-estrutura de Chaves Pblicas2Como distribuir chaves pblicas?

Infra-estrutura de Chaves Pblicas3

Ataque do homem do meio

Infra-estrutura de Chaves Pblicas4

Entidade ResponsvelInfra-estrutura de Chaves Pblicas5Certificado Ideal

Deveria ser puramente digital, podendo ser distribudo pela internet

Deveria identificar quem possui a chave privada correspondente ao certificado;

Deveria possuir uma entidade responsvel pelos dados contidos nele;

Deveria ser simples de identificar falsificaes;

Alteraes em seu contedo no poderiam ser permitidas;Infra-estruturadeChaves Pblicas

entidades de registro

...

Listas de Certificados emitidos revogadosdiretrio pblico

Entidade ResponsvelInfra-estrutura de Chaves Pblicas7RaizEUABrasilGovIntelGovUFSCJooDN = { C=BR, O=UFSC, CN=Joo }Exemplo de um Nome X.500Certificado Digital

Mecanismo utilizado para fazer uma associao entre o nome da entidade (e informaes associadas a entidade) com a chave pblica correspondente.

X.509 ( ITU-T 1997 ) PGP (Pretty Good Privacy )SPKI (Simple Public Key Infrastructure)

Infra-estrutura de Chaves Pblicas10 Verso

identifica a verso do certificado. O padro X.509 possue as verses 1, 2 e 3;

Infra-estrutura de Chaves Pblicas11 Nmero de Srie

Nmero nico que identifica um certificado em relao a Autoridade Certificadora que o emitiu;

Infra-estrutura de Chaves Pblicas12 Algoritmo de assinatura

Identifica o algoritmo usado pela Autoridade Certificadora para criar o resumo e assinar o certificado.

ex:SHA1 algoritmo de hashRSA algoritmo de criptografia

Infra-estrutura de Chaves Pblicas13 Emissor

Informaes que identificam a Autoridade Certificadora que emitiu o certificado;

Infra-estrutura de Chaves Pblicas14 Perodo de validade

Intervalo de tempo que um certificado pode ser considerado vlido. Este campo possui a data que o certificado foi emitido pela Autoridade Certificadora e sua data de expirao;

Infra-estrutura de Chaves Pblicas15 Assunto ( entidade )

Dados de identificao da entidade para a qual o certificado foi emitido

Infra-estrutura de Chaves Pblicas16 Chave pblica

Chave pblica (e identificao do algoritmo) associada a entidade do certificado.

Infra-estrutura de Chaves Pblicas17 Uso da Chave

Indica o(s) propsito(s) para o qual a chave pblica do certificado pode ser utilizada.

Infra-estrutura de Chaves Pblicas18 Uso estendido da Chave

Indica o propsito para o qual a chave pblica do certificado pode ser utilizada, em adio ou substituio ao propsito definidos no campo "Uso da Chave".

IANA Internet Assigned Number Authority Infra-estrutura de Chaves Pblicas19 Ponto de distribuio da LCR

Indica o local, ou locais, onde a LCR correspondente ao certificado est armazenada. A aplicao cliente encontrar a LCR atualizada, para conferir se o certificado em processamento est revogado.

Infra-estrutura de Chaves Pblicas20 Informaes da autoridade

Extenso utilizada para acessar o certificado da autoridade de certificao que assinou o certificado.

Infra-estrutura de Chaves Pblicas21 Impresso digital

Contm o hash do certificado digital, efetuada pela autoridade certificadora imediantamente acima na hierarquia do caminho de certificao, para garantir a identificao do certificado.

Infra-estrutura de Chaves Pblicas22 Extenses

Somente disponvel na verso 3 da recomendao X.509, os campos de extenses tem a finalidade de tornar mais flexvel a utilizao dos certificados digitais.

dois grupos: crticas e no-crticas. Uma aplicao pode ignorar uma extenso no-crtica, caso ele no a reconhea. Porm, a aplicao deve rejeitar um certificado que possua uma extenso crtica que no seja reconhecida.Infra-estrutura de Chaves Pblicas23 Extenses Particulares

Uma AC, ou uma empresa, pode inserir extenses cuja finalidade somente elas conhecem. A criao deste tipo de extenso facilita o desenvolvimento de aplicativos personalizados. Alm disso, possibilita a insero de dados que no podem ser adequados aos campos e extenses definidos pela recomendao.

Um exemplo de uso de extenses particulares a definio de nveis de acesso a um determinado sistema. Pode ser inserida uma ou vrias extenses contendo os privilgios de determinados usurios para aquele sistema. Desse modo possvel validar um usurio atravs de valores contidos em seu certificado.Infra-estrutura de Chaves Pblicas24 Extenses Particulares

OID, Bit de criticalidade, Valor

UFSC OID : 1.3.6.1.4.1.7687

Valor : tipo de dado, valor

Ex: 1.3.6.1.4.1.7687.1 LabSec1.3.6.1.4.1.7687.1.1 Nvel de acesso ao sistema

1.3.6.1.4.1.7687.1.1, 0, 1 acesso a professores1.3.6.1.4.1.7687.1.1, 0, 2 acesso a alunos

Infra-estrutura de Chaves Pblicas25 Caminho de certificao

Consiste em uma cadeia de certificados relacionados.

Infra-estrutura de Chaves Pblicas26 Status do certificado

Indica se o certificados um certificao vlido, ou o motivo pelo qual o certificado est invlidado.

Infra-estrutura de Chaves Pblicas27CertificadoServidor

autenticao servidorAssegura a identidade do site;Garante a integridade dos dados;Troca de dados de modo sigiloso;

CertificadoPessoal

uso em documentos eletrnicosAssinaturaAutenticidade,Integrigade,No-repdio.CriptografiaSigilo

CertificadoPessoal

uso naidentificaode acesso

SITEUso em Protocolos Criptogrficosvotantebase de badosEVVotante, - assina o voto com KRv - cifra o voto com KUEV - envia voto + assinatura para EV

Entidade de Votao, - descifra o voto com KREV - verifica assinatura com KUV Diretrio Pblico

- Local na Internet/Intranet onde ficam disponveis informaes de acesso pblico. Ex: Certificados Digitais, Listas de Certificados Revogados, etc..

- O diretrio no necessita estabelecer uma conexo segura. Porm ele deve garantir a integridade e atualidade das informaes disponveis.Infra-estrutura de Chaves Pblicas32Mdulo Pblico

- Interface disponvel para o usurio interagir com os demais componentes da Infra-estrutura de Chaves Pblicas;

- O usurio no pode ter acesso a determinados componentes, ento usa o mdulo pblico para efetuar as tarefas;Infra-estrutura de Chaves Pblicas33Entidade de Registro

- Responsvel pela verificao das informaes contidas na solicitao de um certificado digital;

- Uma Autoridade Certificadora pode possuir vrias Autoridades de Registro vinculadas;Infra-estrutura de Chaves Pblicas34Listas de Certificados Revogados (CRL)Objetivo:

Manter uma relao dos certificados que no devem mais ser considerados vlidos.

Um certificado somente pode ser revogado durante sua data de validade;

Segue a recomendao X.509 do ITU-TInfra-estrutura de Chaves Pblicas35Listas de Certificados Revogados (CRL)

Possveis motivos para revogao de um certificado

Comprometimento da chave da privada do certificado;Comprometimento da chave da privada da autoridade certificadora;Mudana de filiao;Atualizao cadastral;Cancelamento da operao;Suspenso temporria;No especfico;Infra-estrutura de Chaves Pblicas36Listas de Certificados Revogados (CRL)

Emissoda LCR1Emissoda LCR2EventoComprometedorRequisiode RevogaoRevogaoTempoInfra-estrutura de Chaves Pblicas37Modelos de ConfianaModelo Isolado

- Possui uma nica Autoridade Certificadora Raiz (AC-Raiz);

- A AC Raiz pode assinar vrias Autoridades Certificadoras;

- Podem existir vrios nveis de Autoridades Certificadoras abaixo da AC-Raiz;Infra-estrutura de Chaves Pblicas38