Instituto Nacional de Tecnologia da Informação
O ITI e a Infra-estrutura de Chaves
Públicas Brasileira
Viviane Regina Lemos Bertol
Coordenadora-Geral
Instituto Nacional de Tecnologia da Informação
O ITI
– Autarquia Federal, ligada à Casa Civil da Presidência da República
– Criada para ser a AC-Raiz da ICP-Brasil em 2001 –
MP 2.200-2
– Composta de:
•Diretor-Presidente
•Diretoria de Infra-estrutura de Chaves Públicas
•Diretoria de Auditoria, Fiscalização e Normalização •Procuradoria Especializada
Instituto Nacional de Tecnologia da Informação
O ITI
– ICP-Brasil
• AC-Raiz • Auditoria e Fiscalização • Normalização e Pesquisa • Projeto João-de-Barro • Homologação de HW e SW– Software Livre
Instituto Nacional de Tecnologia da Informação
ICP-Brasil
–
Criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País– Compõe-se de: (1) Entidades, (2) Padrões técnicos
e (3) Regulamentos para suportar um sistema criptográfico de certificados digitais
Instituto Nacional de Tecnologia da Informação AC 1º. Nível COTEC AC RAIZ Auditoria AC 1º. Nível AR AR AR AC 2º. Nível AC 2º. Nível AR AR PSS Entidades da ICP-Brasil COMITÊ GESTOR LEA Titulares Titulares Titulares
Entidades da ICP–Brasil
Instituto Nacional de Tecnologia da Informação
– Comitê Gestor
Responsável pela implantação da ICP-Brasil Estabele políticas, critérios e normas de
funcionamento
Audita e fiscaliza a AC Raiz
– Cotec
Dá assessoria técnica ao CG
Entidades da ICP–Brasil
–
AC Raiz
Credencia, audita e fiscaliza entidades da ICP-Brasil
Assina seu próprio certificado e os certificados das AC imediatamente abaixo dela
–
AC – Autoridade Certificadora
Emite, renova ou revoga certificados digitais de outras AC ou de titulares finais
Publica LCR
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–Brasil
– AR – Autoridade de Registro
Identifica e cadastra usuários na presença destes Encaminha solicitações de certificados às AC
Mantém registros de suas operações
– PSS – Prestador de Serviços de Suporte
Infra-estrutura física e lógica Mão-de-obra especializada
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–Brasil
Titular de Certificado
É aquele que é identificado pelo certificado digital Pode ser: pessoa física / jurídica ou equipamento
LEA – Laboratório de Ensaios e Auditoria
Homologação de equipamentos e sistemas de certificação digital
Auditoria Independente / Auditoria Interna
Autorizada pelo ITI Contratada pelas AC
Instituto Nacional de Tecnologia da Informação
ICP-Brasil - Padrões Técnicos
FIPS 140-2 – segurança dos módulos criptográficos X-509 – formato do certificado
PKCS – formato de arquivos para solicitação e entrega dos certificados
RFC 3280 – interpretação das extensões do certificado
RFC 2527 – estrutura das declarações de práticas de certificação
Instituto Nacional de Tecnologia da Informação
Regulamentos da ICP-Brasil
MP-2200/2, de 24.10.01– criação da ICP-Brasil
Decreto 4.689, de 07.05.2003 – estrutura do ITI
Resoluções do Comitê-Gestor
Instruções Normativas do ITI
Códigos Civil, Penal, Tributário, Direito do
Consumidor
Por que usar certificados da
ICP-Brasil
–
Validade Jurídica dos documentos assinados– Padrões Internacionais de segurança nas instalações
e procedimentos
– Declaração Pública de Práticas
– Identificação Presencial do titular do certificado – Seguro de responsabilidade civil
– Guarda dados por tempo ilimitado
– Auditoria prévia e anual nas entidades – Interoperabilidade
Instituto Nacional de Tecnologia da Informação
Interoperabilidade
Instituto Nacional de Tecnologia da Informação
Pessoa Física e Pessoa Jurídica
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-Brasil
Sistema Brasileiro de Pagamentos – SPB
DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
Escrituração Fiscal – Secretaria da Fazenda do Estado de Pernambuco
NF-e – Nota Fiscal Eletrônica (SRF/MF, SP,GO,MA,BA,SC,RS)
Contratos de Câmbio - Apólices de Seguros
Pregões Eletrônicos (SP,SC,MG) e COMPRASNET (Federal)
Sistemas Estruturadores do Governo Federal e SCPD Internet Banking e Mobile Banking
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-Brasil
PROUNI - MEC
e-DOC do TRT 4a. Região e outros cases na esfera do judiciário (TJ-RS, TJ-RJ, e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ)
DETRAN - MG
Licenças Ambientais – CETESB/SP INPI
Contadores, Odontólogos, Médicos, Corretores de Seguros
Servidores do Judiciário Federal, Auditores-fiscais da Receita
Instituto Nacional de Tecnologia da Informação
Auditoria da ICP-Brasil
Pré-operacional
–Credenciar –Não credenciarOperacional – anual ou intempestiva
–Manter credenciamento
–Suspender emissão de certificados –Descredenciar
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Pessoas
–Contratação: verificação antecedentes, termos de sigilo, perfil –Treinamento, Avaliação Desempenho
–Desligamento: revogação acessos, assinatura termos
Segurança Física
–6 Níveis de Segurança – Sala Cofre
–Monitoramento permanente: alarmes, câmaras vídeo –Sistemas proteção de incêndio, redundância energia
Instituto Nacional de Tecnologia da Informação HSM Nível 1 Nível 2 Nível 3 Nível 4
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Lógica
–Controle de acesso: somente funcis autorizados –Guarda / troca senhas administrador e usuários
–Geração e guarda de logs com os registros obrigatórios –Geração e guarda de backups
–Controle softwares instalados nos servidores críiticos:
versão usada, testes de homologação, atualizações de segurança etc
Instituto Nacional de Tecnologia da Informação HSM AR SERV WEB SERV AUT IDS SERV CERT
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Rede
–Topologia, segmentação da rede –Regras de Firewall, IDS
–Uso de VPN em intranets e extranet –Monitoramento de ataques
–Testes periódicos de vulnerabilidade –Disponibilidade do repositório de LCR
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Informação
–Análise de logs
–Classificação da Informação –Análise de Risco
–Plano de Continuidade de Negócios –Plano de Extinção da AC
–Gerenciamento de Mudanças
–Administração dos procedimentos operacionais da
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento da Chave da AC
– Instalação dos sistemas de certificação
– Geração de chaves da Ac e Solicitação de certificado – Recepção de certificado da AC Raiz e instalação no
sistema
– Revogação de certificado da AC
– Guarda da chave privada – partições n/m, cofre,
Itens verificados numa Auditoria
Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento dos certificados de titulares
–Geração de certificados para tipo de PC –Revogação dos certificados
–Geração e publicação de LCR –Log dos eventos
Itens verificados numa Auditoria
Pré-Operacional de AR
Instituto Nacional de Tecnologia da Informação
Segurança física, lógica e de pessoal
Testes de:
– Validação do solicitante
– Geração de certificados para tipo de PC – Revogação dos certificados
– Guarda da Documentação
Instituto Nacional de Tecnologia da Informação
Resultados das Auditorias
Exemplos de problemas solucionados
– Sala-cofre sem estanqueidade – Bases de dados corrompidas
– Não realização das análises de logs obrigatórias
– Emissão de certificados sem respectiva documentação – Emprego de agentes de registro despreparados
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
MOTIVA
MOTIVA
Ç
Ç
ÃO
ÃO
Independência
Independência de de fornecedoresfornecedores ((caixacaixa pretapreta)) Autonomia
Autonomia TecnolTecnolóógicagica Resgate
Resgate AcadêmicoAcadêmico Nacionaliza
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
OBJETIVOS
OBJETIVOS
CriptossistemaCriptossistema dada ACAC--Raiz Raiz dada ICPICP--BrasilBrasil Massa
Massa crcrííticatica emem certificacertificaççãoão digital, auditoria de infradigital, auditoria de infra- -estrutura
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
PARTICIPANTES
ITI – Gerência
CASNAV – Especificação Técnica do Projeto ITA - Módulo de Segurança Criptográfica
CEPESQ – Gerador de Números Aleatórios
LABSEC UFSC - Sistema de Gerência de Certificados SERPRO – Metodologia de Desenvolvimento
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
CRONOGRAMA
SET 2006 – Integração entre sw SGC e sw MSC
FEV 2007 – Integração entre sw SGC e sw + hw MSC AGO 2007 – Implantação em produção
Instituto Nacional de Tecnologia da Informação
Normalização e Pesquisa
Normalização sobre Carimbo de Tempo
Atualização dos algoritmos e padrões técnicos
Sites para consulta
ITI – www.iti.gov.br e www.iti.br
CEF – www.icp.caixa.gov.br/asp/respositorio.asp PR – https://thor.serpro.gov.br SRF – http://www.receita.fazenda.gov.br/acsrf SERASA – http://certificadodigital.com.br/repositorio SERPRO – https://thor.serpro.gov.br/ACSERPRO CERTISIGN – http://www.icp-brasil.certisign.com.br/repositorio
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
Muito Obrigada
VIVIANE REGINA LEMOS BERTOL
Coordenadora Geral de Normalização e Pesquisa e-mail: viviane@planalto.gov.br