CERTI FI CAD O CH AV E PRI V AD A D A CA EM I SSOR I D . ALGORÍ TM O D E ASSI N ATURA GERA ASSI N ATURA D I GI TAL ASSI N ATURA D I GI TAL D A CA EX TEN SÕES ( OPI CI ON AL) I D . ÚN I CO D O TI TULAR( OP.) I D . ÚN I CO D O EM I SSOR( OP.) PERÍ OD O D E V ALI D AD E TI TULAR I N FORM AÇÃO CH . PÚBLI CA
e. Pe r íodo de v a lida de : Dat as e opcionalm ent e hor a de início e de expir ação do cer t ificado.
f. N om e do t it u la r : Especifica o nom e da ent idade pr opr iet ár ia da chave pr ivada cor r espondent e à chave pública ident ificada no cer t ificado. Um a m esm a ent idade pode ser t it ular com o m esm o nom e de m ais de um cert ificado. Porém um a CA não pode em it ir m ais de um cer t ificado com o m esm o nom e de t it ular par a ent idades difer ent es. g. I n for m a çã o da ch a v e pú blica : Especifica a chave pública
pert encent e ao t it ular do cer t ificado, com o t am bém o algor it m o de chave pública e a função hash com a qual a chave pública deve ser usada.
h. I de n t ifica dor ú n ico do e m issor : Cam po opcional par a perm it ir o r euso de nom es do em issor ( aut or idade cer t ificador a em issor a) .
i. I de n t ifica dor ú n ico do t it u la r : Cam po opcional par a perm it ir o r euso de nom es.
j . Ex t e n sõe s: Com ent ado a seguir .
O padr ão X.500 im plem ent a a idéia de r eposit ór ios dist r ibuídos par a que os cer t ificados est ej am disponíveis par a t odos usuár ios da I nt er net . O padr ão especifica a est r ut ur a de infor m ação do dir et ór io e os pr ot ocolos para acessar a infor m ação cont ida no dir et ór io. O X.500 define um a especificação par a dir et ór ios dist r ibuídos baseado em obj et os nom eados hier ar quicam ent e ( ent r adas do dir et ór io) . Cada ent r ada per t ence a um a ou m ais classe de obj et os ( país, pessoa, or ganização, et c.) . Cada ent idade cont ém um conj unt o de at r ibut os que det êm as infor m ações do obj et o, e pelo m enos um at ribut o especifica um nom e par a a ent r ada. Est e nom e é conhecido com o dist inguished nam e ( DN) a qual é um a ident ificação única [ Bat ar fi 2003] . Port ant o, os cam pos “ nom e do em issor ” e “ nom e do t it ular ” dos cer t ificados X.509 descr it os ant er ior m ent e nest a Seção,
especificam os dist inguished nam e ( DN) do padr ão X.500, r espect ivam ent e da ent idade em issor a do cer t ificado e do t it ular do m esm o. Um dist inguished nam e válido ser ia, por exem plo, cn= caio, ou= DI MAP, o= UFRN.
A ver são 3 da r ecom endação X.509 ( X.509 v3) adiciona novos cam pos ao cer t ificado básico cham ados “ ext ensões” [ I SO/ I EC 1995] . Esse cam po é opcional, por t ant o um cer t ificado pode t er zer o ou m ais cam pos de ext ensão. A pr incipal função das ext ensões é per m it ir que novos cam pos sej am adicionados sem m odificar o cer t ificado. As ext ensões per m it em associar infor m ações adicionais sobr e t it ular es, chaves públicas, ger enciam ent o da hier ar quia de cer t ificação e ger enciam ent o da dist r ibuição da list a de r evogação de cer t ificados. Assim , com unidades e or ganizações podem definir seus pr ópr ios cam pos de ext ensões par a at ender às suas necessidades. Por exem plo, um am bient e financeir o, pode pr ecisar est ender um cer t ificado par a codificar dados sobr e o car t ão de cr édit o do pr opr iet ár io t ais com o o núm er o do car t ão de cr édit o e lim it e de cr édit o [ Feghhi at al. 1999] . Cada ext ensão consist e de t r ês cam pos: Tipo, Valor e Gr au de I m por t ância [ Bat ar fi 2003] .
a. Tipo: Cont ém o ident ificador do obj et o que for nece infor m ação de t ipo e sem ânt ica par a o cont eúdo do cam po “ valor ” ( por exem plo, st r ing, dat a, et c.) .
b. V a lor : Cont ém os dados pr esent es na ext ensão, os quais são descr it os pela ext ensão t ipo.
c. Gr a u de I m por t â n cia : Um bit de flag que indica se um valor associado à det erm inada ext ensão é crít ico ou não. Quando o flag indica um a ext ensão cr ít ica, qualquer aplicação que pr ocessar o cer t ificado pr ecisa pr ocessar o valor da ext ensão associada im ediat am ent e; Se a aplicação não pode pr ocessar um a ext ensão cr ít ica por que não r econheceu o t ipo de ext ensão, ela deve r ej eit ar o cert ificado.
2 . 4 L i s t a d e R e v o g a ç ã o d e C e r t i f i c a d o s
Um cert ificado digit al t em um período de validade durant e o qual ele é confiável. Após seu per íodo de validade, um cer t ificado t or na- se inválido e não é m ais confiáv el. Durant e o período de validade do cer t ificado, a CA que o em it iu m ant ém e for nece infor m ação sobr e o st at us do m esm o. O st at us “ r evogado” indica que o per íodo de validade do cer t ificado foi pr em at ur am ent e encer r ado, e, por t ant o não é m ais confiável.
Um a aut or idade cer t ificador a deve r evogar um cer t ificado por r azões com o: ( a) Com pr om et im ent o da chave pr ivada do t it ular ; ( b) Com prom et im ent o da chave pr ivada da aut or idade cer t ificador a, o que significa que t odos os cert ificados em it idos pela CA são pot encialm ent e não confiáveis e devem ser r evogados; ( c) Mudanças nas infor m ações r elat ivas ao t it ular do cer t ificado; ( d) Violação da polít ica de segur ança da aut or idade cer t ificador a pelo assinant e.
A CA deve divulgar um a list a de r evogação de cer t ificados ( CRL – Cer t ificat e Revocat ion List ) . Essa list a é um a est r ut ur a de dados digit alm ent e assinada pela CA em issora dos m esm os, que cont ém : ( a) a dat a e a hora de sua publicação; ( b) o nom e da CA em issor a; ( c) o núm er o de sér ie dos cer t ificados r evogados que ainda não expir ar am .
Par a poder confiar em um cer t ificado, a aplicação deve ver ificar se o núm er o de sér ie do m esm o não const a da list a de r evogação de cer t ificados. Para t al, vár ios m ét odos difer ent es podem ser em pr egados. A list a de r evogação de cer t ificados pode ser consult ada pela aplicação acessando a CA e fazendo o dow nload da list a. Nest e caso, a aplicação dever á conhecer a pr óx im a dat a de at ualização da list a par a fazer novo dow nload da m esm a. Out r a for m a de divulgação da list a é o envio da m esm a pela CA par a as aplicações, t ão logo um cer t ificado sej a r evogado. I sso pode acar r et ar car ga excessiva na r ede, além de
não se t er cer t eza de que as infor m ações não vão ser apagadas por um int r uso quando est iver em em t r ânsit o.
A for m a m ais pr át ica de ver ificação da r evogação de um det er m inado cert ificado é o envio pela aplicação de um a solicit ação do st at us de r evogação do m esm o à CA.
Um a solicit ação de r evogação pode ser or iginada pelo t it ular do cer t ificado ou por um a aut or idade local de r egist r o. A CA deve validar a or igem e aut ent icidade de um a solicit ação de r evogação, ant es de r evogar um cer t ificado. A I TU- T e a I SO/ I EC desenvolver am na r ecom endação X.509, um padr ão de for m at o da list a de r evogação de cer t ificados. A Figur a 2.8 m ost r a o for m at o da list a de r ev ogação de cer t ificados est abelecido na ver são 2, incluindo os cam pos básicos pr é- definidos, e zer o ou m ais cam pos de ext ensão e zer o ou m ais cam pos de ext ensões de ent r ada. Os cam pos básicos do for m at o da list a de r evogação de cer t ificados est abelecido na ver são 2, são os m esm os da ver são 1 e são list ados a seguir [ Feghhi 1999] :
a. V e r sã o: Deve especificar a ver são 2 se algum cam po de ext ensão est á pr esent e, e om it ido se não exist em cam pos de ext ensão.
b. Assin a t u r a : Cont ém o ident ificador do algor it m o usado par a assinar a list a de revogação de cert ificados.
c. N om e do e m issor : Nom e da ent idade que em it iu e assinou a list a de r evogação de cer t ificados.
d. At u a liz a çã o: I ndica a dat a e hora de em issão da list a de r evogação de cer t ificados.
e. Pr óx im a a t u a liz a çã o: I ndica a dat a e hor a de em issão da pr óxim a list a de revogação de cert ificados. Pode ser om it ido se a próx im a at ualização for conhecida por t odos os sist em as. Um a at ualização pode ser em it ida ant es da dat a indicada, m as não depois dest a dat a.
f. Ce r t ifica do do u su á r io: Cont ém o núm er o de série de um cert ificado r evogado.
g. D a t a de r e v oga çã o: I ndica a dat a efet iva da r evogação.
Com o m ost r ado na Figur a 2.8, o cam po cer t ificados r evogados é com post o pelos dados do conj unt o de t odos cer t ificados r evogados. Assim , cada cert ificado revogado é especificado no cam po cer t ificados r evogados
Figu r a 2 .8 : For m a t o da list a de r e v oga çã o de ce r t ifica dos X .5 0 9 v e r sã o 2 .
at r avés de t r ês sub- cam pos, a saber : cer t ificado do usuár io, dat a de r evogação e ext ensões de ent r ada da list a de r evogação de cer t ificados. Esses t r ês sub- cam pos r eúnem as infor m ações necessár ias par a especificar t ot alm ent e o cer t ificado r evogado e a dat a da r evogação do m esm o.
A ANSI X9, I SO/ I EC e o I TU t am bém definir am um conj unt o de ext ensões padr ões par a as list as de r evogação de cer t ificados ( X. 509 v2 CRL) ,
I D .ALGORÍ TI M O