O ITI e a Infra-estrutura de Chaves Públicas Brasileira

(1)

Instituto Nacional de Tecnologia da Informação

O ITI e a Infra-estrutura de Chaves

Públicas Brasileira

Viviane Regina Lemos Bertol

Coordenadora-Geral

(2)

O ITI

– Autarquia Federal, ligada à Casa Civil da Presidência da República

– Criada para ser a AC-Raiz da ICP-Brasil em 2001 –

MP 2.200-2

– Composta de:

•Diretor-Presidente

•Diretoria de Infra-estrutura de Chaves Públicas

•Diretoria de Auditoria, Fiscalização e Normalização •Procuradoria Especializada

(3)

O ITI

– ICP-Brasil

• AC-Raiz • Auditoria e Fiscalização • Normalização e Pesquisa • Projeto João-de-Barro • Homologação de HW e SW

– Software Livre

(4)

ICP-Brasil

–

Criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País

– Compõe-se de: (1) Entidades, (2) Padrões técnicos

e (3) Regulamentos para suportar um sistema criptográfico de certificados digitais

(5)

Instituto Nacional de Tecnologia da Informação AC 1º. Nível COTEC AC RAIZ Auditoria AC 1º. Nível AR AR AR AC 2º. Nível AC 2º. Nível AR AR PSS Entidades da ICP-Brasil COMITÊ GESTOR LEA Titulares Titulares Titulares

(6)

Entidades da ICP–Brasil

– Comitê Gestor

Responsável pela implantação da ICP-Brasil Estabele políticas, critérios e normas de

funcionamento

Audita e fiscaliza a AC Raiz

– Cotec

Dá assessoria técnica ao CG

(7)

Entidades da ICP–Brasil

–

AC Raiz

Credencia, audita e fiscaliza entidades da ICP-Brasil

Assina seu próprio certificado e os certificados das AC imediatamente abaixo dela

–

AC – Autoridade Certificadora

Emite, renova ou revoga certificados digitais de outras AC ou de titulares finais

Publica LCR

(8)

Entidades da ICP–Brasil

– AR – Autoridade de Registro

Identifica e cadastra usuários na presença destes Encaminha solicitações de certificados às AC

Mantém registros de suas operações

– PSS – Prestador de Serviços de Suporte

Infra-estrutura física e lógica Mão-de-obra especializada

(9)

Entidades da ICP–Brasil

Titular de Certificado

É aquele que é identificado pelo certificado digital Pode ser: pessoa física / jurídica ou equipamento

LEA – Laboratório de Ensaios e Auditoria

Homologação de equipamentos e sistemas de certificação digital

Auditoria Independente / Auditoria Interna

Autorizada pelo ITI Contratada pelas AC

(10)

ICP-Brasil - Padrões Técnicos

FIPS 140-2 – segurança dos módulos criptográficos X-509 – formato do certificado

PKCS – formato de arquivos para solicitação e entrega dos certificados

RFC 3280 – interpretação das extensões do certificado

RFC 2527 – estrutura das declarações de práticas de certificação

(11)

Regulamentos da ICP-Brasil

MP-2200/2, de 24.10.01– criação da ICP-Brasil

Decreto 4.689, de 07.05.2003 – estrutura do ITI

Resoluções do Comitê-Gestor

Instruções Normativas do ITI

Códigos Civil, Penal, Tributário, Direito do

Consumidor

(12)

Por que usar certificados da

ICP-Brasil

–

Validade Jurídica dos documentos assinados

– Padrões Internacionais de segurança nas instalações

e procedimentos

– Declaração Pública de Práticas

– Identificação Presencial do titular do certificado – Seguro de responsabilidade civil

– Guarda dados por tempo ilimitado

– Auditoria prévia e anual nas entidades – Interoperabilidade

(13)

Interoperabilidade

Pessoa Física e Pessoa Jurídica

(14)

Exemplos de Uso de certificados ICP-Brasil

Sistema Brasileiro de Pagamentos – SPB

DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)

Escrituração Fiscal – Secretaria da Fazenda do Estado de Pernambuco

NF-e – Nota Fiscal Eletrônica (SRF/MF, SP,GO,MA,BA,SC,RS)

Contratos de Câmbio - Apólices de Seguros

Pregões Eletrônicos (SP,SC,MG) e COMPRASNET (Federal)

Sistemas Estruturadores do Governo Federal e SCPD Internet Banking e Mobile Banking

(15)

Exemplos de Uso de certificados ICP-Brasil

PROUNI - MEC

e-DOC do TRT 4a. Região e outros cases na esfera do judiciário (TJ-RS, TJ-RJ, e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ)

DETRAN - MG

Licenças Ambientais – CETESB/SP INPI

Contadores, Odontólogos, Médicos, Corretores de Seguros

Servidores do Judiciário Federal, Auditores-fiscais da Receita

(16)

Auditoria da ICP-Brasil

Pré-operacional

–Credenciar –Não credenciar

Operacional – anual ou intempestiva

–Manter credenciamento

–Suspender emissão de certificados –Descredenciar

(17)

Itens verificados numa Auditoria

Pré-Operacional de AC

Segurança Pessoas

–Contratação: verificação antecedentes, termos de sigilo, perfil –Treinamento, Avaliação Desempenho

–Desligamento: revogação acessos, assinatura termos

Segurança Física

–6 Níveis de Segurança – Sala Cofre

–Monitoramento permanente: alarmes, câmaras vídeo –Sistemas proteção de incêndio, redundância energia

(18)

Instituto Nacional de Tecnologia da Informação HSM Nível 1 Nível 2 Nível 3 Nível 4

(19)

Itens verificados numa Auditoria

Pré-Operacional de AC

Segurança Lógica

–Controle de acesso: somente funcis autorizados –Guarda / troca senhas administrador e usuários

–Geração e guarda de logs com os registros obrigatórios –Geração e guarda de backups

–Controle softwares instalados nos servidores críiticos:

versão usada, testes de homologação, atualizações de segurança etc

(20)

Instituto Nacional de Tecnologia da Informação HSM AR SERV WEB SERV AUT IDS SERV CERT

(21)

Itens verificados numa Auditoria

Pré-Operacional de AC

Segurança Rede

–Topologia, segmentação da rede –Regras de Firewall, IDS

–Uso de VPN em intranets e extranet –Monitoramento de ataques

–Testes periódicos de vulnerabilidade –Disponibilidade do repositório de LCR

(22)

Itens verificados numa Auditoria

Pré-Operacional de AC

Segurança Informação

–Análise de logs

–Classificação da Informação –Análise de Risco

–Plano de Continuidade de Negócios –Plano de Extinção da AC

–Gerenciamento de Mudanças

–Administração dos procedimentos operacionais da

(23)

Itens verificados numa Auditoria

Pré-Operacional de AC

Gerenciamento da Chave da AC

– Instalação dos sistemas de certificação

– Geração de chaves da Ac e Solicitação de certificado – Recepção de certificado da AC Raiz e instalação no

sistema

– Revogação de certificado da AC

– Guarda da chave privada – partições n/m, cofre,

(24)

Itens verificados numa Auditoria

Pré-Operacional de AC

Gerenciamento dos certificados de titulares

–Geração de certificados para tipo de PC –Revogação dos certificados

–Geração e publicação de LCR –Log dos eventos

(25)

Itens verificados numa Auditoria

Pré-Operacional de AR

Segurança física, lógica e de pessoal

Testes de:

– Validação do solicitante

– Geração de certificados para tipo de PC – Revogação dos certificados

– Guarda da Documentação

(26)

Resultados das Auditorias

Exemplos de problemas solucionados

– Sala-cofre sem estanqueidade – Bases de dados corrompidas

– Não realização das análises de logs obrigatórias

– Emissão de certificados sem respectiva documentação – Emprego de agentes de registro despreparados

(27)

Projeto João-de-Barro

MOTIVA

Ç

ÃO

Independência

Independência de de fornecedoresfornecedores ((caixacaixa pretapreta)) Autonomia

Autonomia TecnolTecnolóógicagica Resgate

Resgate AcadêmicoAcadêmico Nacionaliza

(28)

Projeto João-de-Barro

OBJETIVOS

Criptossistema

Criptossistema dada ACAC--Raiz Raiz dada ICPICP--BrasilBrasil Massa

Massa crcrííticatica emem certificacertificaççãoão digital, auditoria de infradigital, auditoria de infra- -estrutura

(29)

Projeto João-de-Barro

PARTICIPANTES

ITI – Gerência

CASNAV – Especificação Técnica do Projeto ITA - Módulo de Segurança Criptográfica

CEPESQ – Gerador de Números Aleatórios

LABSEC UFSC - Sistema de Gerência de Certificados SERPRO – Metodologia de Desenvolvimento

(30)

Projeto João-de-Barro

CRONOGRAMA

SET 2006 – Integração entre sw SGC e sw MSC

FEV 2007 – Integração entre sw SGC e sw + hw MSC AGO 2007 – Implantação em produção

(31)

Normalização e Pesquisa

Normalização sobre Carimbo de Tempo

Atualização dos algoritmos e padrões técnicos

(32)

Sites para consulta

ITI – www.iti.gov.br e www.iti.br

CEF – www.icp.caixa.gov.br/asp/respositorio.asp PR – https://thor.serpro.gov.br SRF – http://www.receita.fazenda.gov.br/acsrf SERASA – http://certificadodigital.com.br/repositorio SERPRO – https://thor.serpro.gov.br/ACSERPRO CERTISIGN – http://www.icp-brasil.certisign.com.br/repositorio

(33)

Muito Obrigada

VIVIANE REGINA LEMOS BERTOL

Coordenadora Geral de Normalização e Pesquisa e-mail: viviane@planalto.gov.br