Projeto de Implementacao de Autoridade Certificadora

27
UNIVERSIDADE PAULISTA JOSÉ ALEXANDRE ROSA VERDEROSA RA 0920667 PROJETO DE IMPLEMENTAÇÃO DA AUTORIDADE CERTIFICADORA DA PREFEITURA DE CURITIBA Marabá – PA 2010

Transcript of Projeto de Implementacao de Autoridade Certificadora

UNIVERSIDADE PAULISTA

JOS ALEXANDRE ROSA VERDEROSA RA 0920667

PROJETO DE IMPLEMENTAO DA AUTORIDADE CERTIFICADORA DA PREFEITURA DE CURITIBA

Marab PA 2010

JOS ALEXANDRE ROSA VERDEROSA RA 0920667

PROJETO DE IMPLEMENTAO DA AUTORIDADE CERTIFICADORA DA PREFEITURA DE CURITIBA

Pr ojeto desenvolvido com a finalidade de obteno de mdia no Projeto Integrado Multidisciplinar para aprovao em semestre da Universidade Paulista UNIP

Orientador: Prof Jos Carlos Lorandi

Marab - PA 2010

RESUMO

Este projeto visa apresentar todos os processos necessrios para a implementao da Autoridade Certificadora da Prefeitura de Curitiba. O projeto engloba as seguintes fases: Projeto de Rede, Banco de Dados e Modelagem, Algoritmos e Criptografia, Processos para Substituio de Documentos e Plano e Treinamento. No Projeto de Rede so abordados tpicos como Autoridade Certificadora, Banco de Dados e Servidor Web. Em Banco de Dados so definidas as tabelas, elementos das mesmas e seus relacionamentos. No tpico Algoritmos e Criptografia so evidenciados o algoritmo escolhido e tamanho da chave e suas respectivas justificativas. Tambm detalhada a sugesto do Processo de Substituio de Documentos e Plano de Treinamento.

Palavra-chave: Autoridade Certificadora.

ABSTRACT

This project aims to provide all the necessary processes to implement the Certification Authority of the City of Curitiba. The project includes the following phases: Network Design, Database and Modeling, Algorithms and Cryptography, Process for Replacement Documents and Planning and Training. On Network Design are addressed topics such as the Certification Authority, Database and Web Server On Database tables are set, the same elements and their relationships. On the topic Encryption Algorithms and the algorithm are demonstrated and key size and their justifications. Also detailed is the suggestion of the Process of Replacing Documents and Training Plan.

Keyword: Certification Authority.

SUMRIO

Introduo...................................................................................................................07 1. Das Obras e Servios.............................................................................................08 1.1. Projeto Bsico.....................................................................................................08 1.1.1. Projeto de Rede................................................................................................08 1.1.2. Banco de Dados...............................................................................................08 1.1.3. Segurana dos Dados......................................................................................09 1.1.4. Processos para Substituio dos Documentos................................................09 1.1.5. Plano de Treinamento......................................................................................09 1.2. Projeto Executivo.................................................................................................09 1.2.1. Projeto de Rede................................................................................................09 1.2.2. Banco de Dados...............................................................................................10 1.2.3. Segurana dos Dados......................................................................................10 1.2.4. Processos para Substituio de Documentos..................................................10 1.2.5. Treinamento.....................................................................................................11 1.3. Execuo dos Servios.......................................................................................11 1.3.1. Projeto de Rede................................................................................................11 1.3.1.1. Servidor AC...................................................................................................11 1.3.1.2. Servidor Banco de Dados..............................................................................12 1.3.1.3. Servidor Web.................................................................................................13

1.3.1.4. Poltica de Segurana da Informao...........................................................15 1.3.1.5. Topologia de Rede e Servidores...................................................................11 1.3.2. Banco de Dados...............................................................................................16 1.3.3. Algoritmos e Criptografia..................................................................................18 1.3.4. Processos para Substituio de Documentos..................................................20 1.3.5. Treinamento.....................................................................................................22 2. Da Especializao dos Profissionais......................................................................25 Concluso...................................................................................................................26 Referncias................................................................................................................27

7

INTRODUO

O principal objetivo deste projeto apresentar uma proposta de substituio dos documentos de papel pelo documento de Identificao Digital. O projeto abrange as etapas de Projeto de Rede, Banco de dados, Segurana dos Dados, Processos para substituio de Documentos e Plano de Treinamento. O documento de Identificao Digital conter o Certificado Digital de cada cidado junto com seus principais dados como: Nmero RG, nmero CPF, nmero Ttulo de Eleitor e nmero CNH, CTPS e Reservista, caso sexo masculino. A presente proposta totalmente compatvel com a lei n 8.666.

8

DESENVOLVIMENTO

1. DAS OBRAS E SERVIOS.

A prestao do servio obedecer seguinte seqncia: Projeto Bsico; Projeto Executivo; Execuo do Servio.

1.1. Projeto Bsico

1.1.1. Projeto de Rede:

Arquitetura da Rede; AC: Gerar Certificado Digital; Servidor Banco de Dados: Guardar as informaes dos cidados como

RG, CPF, Certificado Digital, CNH, etc; Servidor Web: Para usurios fazerem a solicitao e Prefeitura

gerenciar o ambiente.

1.1.2. Banco de dados:

9

Segurana da Informao e Modelagem de Sistemas de Informao.

1.1.3. Segurana dos Dados:

Algoritmos e Criptografia.

1.1.4. Processos para substituio de Documentos:

Fases da substituio dos documentos de papel pelo digital.

1.1.5. Plano de Treinamento:

Plano que visa a capacitao dos funcionrios da prefeitura que sero

os administradores do sistema.

1.2. PROJETO EXECUTIVO:

1.2.1. Projeto de Rede:

Servidor AC: Servidor Linux que ser responsvel pela gerao das

chaves pblica e privada de cada cidado;

10

Servidor banco de dados: Servidor Windows que ser responsvel pelo

armazenamento dos dados dos cidados bem como a sua chave pblica; Servidor Web: Servidor Linux para rodar a aplicao web da prefeitura,

onde os cidados podero acessar as informaes, solicitar o documento de identidade, etc; Conexo com a internet protegida por firewall;

1.2.2. Banco de Dados:

Definio de tabelas e elementos dessas tabelas que iro gravar os

dados dos cidados e seus relacionamentos. Ex: Nome, Num Doc, Endereo, Chave Pblica, Digital, etc.

1.2.3. Segurana dos Dados:

Algoritmo escolhido e justificativa; Tamanho da chave e justificativa.

1.2.4. Processos para Substituio de Documentos: Processos que demonstram a maneira como os cidados iro fazer a

substituio do documento de papel; Coleta digital; Gerao da chave pblica e privada;

11

Prazos.

1.2.5. Treinamento: Forma de treinamento; Tempo de treinamento; Custo aproximado do treinamento.

1.3. EXECUO DOS SERVIOS:

1.3.1. Projeto de Rede:

1.3.1.1. Servidor AC:

A Autoridade Certificadora (AC) um intermedirio de confiana em sistemas de certificao digital que assina um certificado digital. Somente atravs da certificao eletrnica possvel garantir autenticidade e integridade de um documento eletrnico. A certificao eletrnica mais comum e eficaz a que utiliza chaves pblicas (assinatura digital por criptografia assimtrica). Para evitar perda tempo, burocracia, no desviar nosso foco de negcio e principalmente oferecer um servio de qualidade, optamos por contratar a Autoridade Certificadora Certisign, que a maior empresa em tecnologia com foco exclusivo nas solues que utilizam Certificado Digital. A Certisign composta por Autoridades Certificadoras e Autoridades de Registro. Outra vantagem em se escolher a Certisign como AC a sua exclusividade, pois a nica no mercado

12

brasileiro operando em mltiplas hierarquias, como ICP-Brasil, VeriSign Trust Network (VTN) e Privada.

1.3.1.2. Servidor Banco de Dados:

Servidor Windows que armazenar alm dos dados a chave pblica dos cidados. Neste Servidor rodar o aplicativo MPKI FULL, que satisfaz a necessidade de se proteger as informaes que circulam na rede com uma moderna tecnologia de Infra-estrutura de Chaves Pblicas, capaz de controlar de maneira integrada todos os Certificados Digitais da Prefeitura. Configuraes do Servidor: Servidor Windows 2 x Xeon Quad Core 2.26 GHz; Memria: 12GB de RAM; Trfego: 3000 GB; Link: 300 Mbps; HD: 2x300GB(SCSI 15.000 RPM); Sistema Operacional: Windows 2008 Server; Gerenciamento completo; Firewall; Suporte tcnico; Monitoramento: visa garantir que uma ao seja tomada em at 3

minutos para restabelecimento dos servios/sistemas afetados;

13

Antivrus; Segurana avanada; Segurana web.

1.3.1.3. Servidor Web:

Servidor Linux responsvel por rodar a aplicao web da prefeitura, onde os cidados podero acessar as informaes e solicitar o documento de identidade. Este Servidor receber o certificado para Servidor Web ICP-Brasil, nico certificado para Servidor Web no mbito do ICP-Brasil com Protocolo On-line de Status de Certificados. Portanto, a Certisign ser a nica capaz de verificar a validade do certificado em tempo real. Configuraes do Servidor: Servidor Linux 2 x Xeon Quad Core 2.26 GHz; Memria: 12GB de RAM; Trfego: 3000 GB; Link: 300 Mbps; HD: 2x300GB(SCSI 15.000 RPM); Sistema Operacional: Ubuntu; Gerenciamento completo; Firewall; Suporte tcnico;

14

Monitoramento: visa garantir que uma ao seja tomada em at 3

minutos para restabelecimento dos servios/sistemas afetados; Antivrus; Segurana avanada; Segurana web.

CRONOGRAMA DE IMPLEMENTAO

ETAPA 1

ETAPA 2

ETAPA 3

CRIAO DA

CONFIGURAO CONFIGURAO DO SERVIDOR DO SERVIDOR WEB E DE ALOCAO DOS CERTIFICADOS

CERTIFICAO BANCO DE DADOS

15

1.3.1.4. Poltica de Segurana da Informao:

Poltica de Segurana da Informao um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. A maioria dos incidentes de segurana causada por falhas humanas e tcnicas que poderiam facilmente ser evitadas caso uma poltica de segurana da informao fosse adotada e seguida. A poltica de segurana estabelece regras e normas de conduta que diminuiro a probabilidade da ocorrncia de incidentes que provoquem, por exemplo, a indisponibilidade, furto ou perda de informaes. Ela pode abranger entre outras coisas: Padres para utilizao de criptografia; Regras para utilizao do e-mail e acesso internet; Normas para utilizao de programas e equipamentos; Procedimentos para guarda adequada das informaes; Definio de responsabilidades e permetros de segurana; Plano de Contingncia; e Segurana lgica (polticas de senha, sistemas de autenticao do usurio, programas de deteco de vrus).

1.3.1.5. Topologia de Rede e Servidores:

16

O ambiente ser instalado em um Datacenter, onde os requisitos mnimos de segurana sero: Acesso restrito a pessoal autorizado; Guarda e proteo de equipamentos; Condies climticas favorveis; Instalaes eltricas adequadas; Sistema contra-incndio; e Espelhamento de Servidores.

1.3.2. Banco de Dados: O Banco de Dados nos permite ter o comando dos dados, atravs dele podemos recuper-los, classific-los, analis-los, resumi-los, bem como relatar resultado em segundos. Ele pode combinar dados de vrios arquivos para que as informaes no precisem ser inseridas mais de uma vez, e pode at mesmo tornar a entrada de dados mais eficiente e precisa.

17

O banco de dados utilizado ser o relacional, onde os dados sero armazenados em duas tabelas de acordo com o assunto. As tabelas criadas sero: CIDADO e DOC. A tabela CIDADO ser composta dos seguintes campos: Chave Pblica, Nome, Sexo, DN, Filiao, Endereo, Digital e Num Doc. A chave primria ser o campo Chave Pblica, e a chave secundria ser o campo Num Doc. A tabela DOC ser composta dos seguintes campos: Num Doc, RG, CPF, CNH, TTULO, CTPS e RESERVISTA. A chave primria ser o campo Num Doc. O Sistema de Gerenciamento de Banco de Dados utilizado ser o MySQL. A Chave Privada ser de posse exclusivamente do cidado, no poder ficar armazenada no Servidor Pblico.

18

1.3.3. Algoritmos e Criptografia: Na comunicao de dados atravs de uma rede de computadores, desejvel manter-se o sigilo da mensagem gerada, garantir que a mensagem no seja alterada e certificar-se de que o remetente realmente quem alega ser. Para tratar estes problemas, tecnologias de chave pblica, de sesso e funes de hash so empregadas. A segurana na comunicao de dados est associada a alguns elementos em particular: o sigilo, a integridade da mensagem, e a autenticao. Sigilo implica em que somente remetente e destinatrio devem compreender o contedo da mensagem. Para tal, so empregadas tecnologias de criptografia para cifrar e decifrar a mensagem. Integridade visa garantir que o contedo da comunicao no seja alterado acidentalmente ou de propsito. Contudo, mesmo que uma mensagem cifrada seja recebida sem alteraes no possvel conhecer a identidade da outra parte envolvida na comunicao. Tecnologias de autenticao so utilizadas para confirmar se o outro elemento na comunicao realmente quem alega ser. O sigilo pode ser obtido com criptografia de chaves simtricas ou pblicas. Em qualquer tipo de criptografia os dados originais, chamados de texto claro, so cifrados por um algoritmo de criptografia que produz o texto criptografado conhecido como texto cifrado. Em geral os algoritmos de criptografia so pblicos. No entanto parte da informao utilizada para cifrar o texto claro secreta. Esta informao secreta chamada de chave. Na criptografia de chaves simtricas, remetente e destinatrio compartilham a mesma chave. Assim se a mensagem for interceptada seu contedo no poder ser compreendido. O principal problema desta tecnologia que em geral a chave simtrica precisa ser enviada a uma das partes atravs da prpria rede.

19

Neste caso a chave poderia ser copiada por um intruso. O Idea, DES (data encription standard) e sua verso melhorada (DES3), chamada DES triplo, so algoritmos de chave simtrica bastante utilizados. A criptografia de chave pblica ou criptografia assimtrica um mtodo de criptografia que utiliza um par de chaves: uma chave pblica e uma chave privada. A chave pblica distribuda livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono. Num algoritmo de criptografia assimtrica, uma mensagem cifrada com a chave pblica pode somente ser decifrada pela sua chave privada correspondente. Os algoritmos de chave pblica podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pblica usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifr-la. Para autenticidade, a chave privada usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a 'chave pblica'. O padro de criptografia escolhido foi o AES, atual padro de criptografia simtrico dos EUA. O AES mais seguro e eficiene do que o DES, alm de apresentar outras qualidades como segurana, flexibilidade e bom desempenho em software e hardware. O tamanho da chave ser de 256 bits para garantir uma melhor segurana.

20

1.3.4. Processo para Sustituio de Documentos: Este tpico visa apresentar uma proposta, atravs de fluxograma, que demonstre como os cidados iro fazer a substituio dos documentos de papel pelo digital. Cada faixa etria ter data e prazo conhecidos:

Para evitar aglomerao de pessoas e filas astronmicas, a populao ser separada por faixa etria. De acordo com a tabela abaixo:

1 2 3 4 5

Atendimento Preferencial Adultos Jovens Adolescentes Juvenis

Apresentao a uma unidade de recadastramento:

A prefeitura ter que disponibilizar um local com bastante espao, arejado, de fcil localizao, coberto, com boa infra-estrutura, e que possa oferecer um mnimo de conforto populao. Para que a troca de documentos seja o menos desgastante e stressante possvel; Entregar documentos de papel:

A populao dever levar todos os documentos para que sejam todos arquivados como forma de segurana caso se percam os dados dos banco de dados; Tirar fotografia:

21

Todos devero tirar fotografias de frente e perfil, para serem registradas no banco de imagens; Atualizar dados:

Os dados devero ser verificados e atualizados. Para tal procedimento faz-se necessrio que seja apresentado comprovante de residncia atualizado no nome do cidado que est realizando recadastramento. Caso no esteja no nome do cidado comprovar o grau de parentesco do titular do comprovante com o cidado. Caso o cidado more em imvel alugado apresentar contrato de locao; Coleta digital:

Na ocasio do comparecimento deve ser efetuada a coleta digital para que seja lanada no sistema juntamente com todos os dados; Gerao da chave pblica e privada:

A gerao da chave pblica e privada ser realizada na hora pelo sistema; Receber protocolo de atendimento:

Todos recebero um protocolo de atendimento que ir comprovar que o recadastramento foi realizado. No protocolo estar registrado o dia e hora do recadastramento, data de recebimento do documento digital e nmeros dos documentos.

22

1.3.5. Treinamento: Plano de treinamento e capacitao para os funcionrios da Central de Atendimento. o sistema; Pblico-alvo: Funcionrios da prefeitura que iro lidar diretamente com

23

Perodo: O prazo para concluso do treinamento de 30 dias,

ressalvados os casos em que por motivo de fora maior, no for possvel dar continuidade no treinamento. Nestes casos os dias sero compensados e consequentemente prorrogado o prazo. Este prazo pode ainda ser prorrogado caso haja necessidade; Carga horria: 30 horas; Local de realizao do evento:

Bsico, distncia via web. Avanado, aulas prticas no rgo. Contedo:

Mdulo 1 Bsico 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. Introduo A internet Princpios da Internet confivel Criptografia Clssica, Simtrica e Assimtrica Resumo de mensagens Assinaturas digitais Certificados Digitais ICP e Autoridades Certificadoras Exemplos e demonstraes prticas

1.10. Estrutura Normativa da ICP-Brasil 1.11. Projeto de Lei 7.316

24

1.12. Credenciamento das entidades integrantes da ICP-Brasil 1.13. Polticas de Segurana e de Certificao na ICP-Brasil 1.14. Auditoria e Fiscalizao das entidades integrantes da ICP-Brasil 1.15. Homologao de sistemas e equipamentos 1.16. Casos de sucesso na Certificao Digita Mdulo 2 Avanado 2.1. Infraestrutura de Chave Pblica 2.2. Exemplo da Segurana Fsica 2.3. Certificado Digital X.509 2.4. Exemplos de Certificados 2.5. Linguagem da Certificao Digital 2.6. ASN.1 2.7. Utilitrios para Manipulao de Objetos da Certificao Digital 2.8. PKCS 2.9. PKCS#7 2.10. Comunicaes Seguras 2.11. Correio Eletrnico Seguro 2.12. Backup de Chave Privada 2.13. TimeStamp 2.14. Assinatura Digital de Longa Durao 2.15. XMLDsig

25

2.16. Exemplos com openssl Investimento:

At 10 funcionrios: R$2.500,00 (dois mil e quinhentos reais) por funcionrio; De 11 15 funcionrios: R$2.400,00 (dois mil e quatrocentos reais) por funcionrio; De 16 20 funcionrios: R$2.300,00 (dois mil e trezentos reais) por funcionrio; Acima de 20 funcionrios: R$2.200,00 (dois mil e duzentos reais) por funcionrio.

2.

DA ESPECIALIZAO DOS PROFISSIONAIS:

Nossos profissionais possuem slida formao e especializao em Tecnologia da Informao, com viso de processos de negcios. Altamente capacitados, possuem as certificaes mais renomadas do mercado, como PMP (Project Management Professional), ITIL (Information Technology Infraestruture Library), Cobit, CISCO, JAVA, ORACLE, etc. Outro diferencial a larga experincia que possumos em implantao de projetos. O domnio do conhecimento tcnico e prtico permite passar uma abordagem ampla e aprofundada aos participantes.

26

CONCLUSO

A presente proposta de projeto encontra-se totalmente de acordo com os padres da lei N 8.666, que estabelece normas gerais sobre licitaes e contratos administrativos pertinentes a obras, servios, inclusive de publicidade, compras, alienaes e locaes no mbito dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios. Estamos certos de que atendemos a todos os requisitos necessrios e apresentamos a proposta mais vantajosa para a administrao.

27

REFERNCIAS: http://www.certisign.com.br/produtos-e-servicos/certificados-digitais/e-cpf http://www.certisign.com.br/certificacao-digital/por-dentro-da-certificacao-digital http://www.certisign.com.br/certificacao-digital/por-dentro-da-certificacaodigital/guias-gratuitos http://www.serpro.gov.br/servicos/certificacao_digital http://www.serpro.gov.br/imprensa/publicacoes/Tema/tema-195/materias/livro http://www.planalto.gov.br/ccivil_03/Leis/L8666compilado.htm http://pt.wikipedia.org/wiki/OpenSSL http://www.hwservidores.com.br/detalhes-dos-planos.php http://rxmartins.pro.br/redes/art-openssl-e-lvs.pdf