Autenticação de Usuários com Certificados Digitais

Atualmente todos est�o preocupados com a seguran�a e autenticidade de documentos e relacionamentos eletr�nicos, uma vez que muitos usu�rios utilizam a internet para enviar documentos, consultar processos e realizar transa��es.

No Brasil foi lan�ado o programa ICP-Brasil (Infra-estrutura de Chaves Publicas) juntamente com seus agregados de identifica��o, o e-CPF e o e-CNPJ, que respectivamente identificam uma pessoa f�sica e uma jur�dica.

A aceita��o deste m�todo de autentica��o e seguran�a ainda � baixa, em primeiro lugar porque o custo � relativamente alto iniciando com o modelo A1 em R$ 100,00 e chegando ao kit do modelo A3 em R$ 700,00. Outro problema � que os usu�rios em geral ainda n�o se deram conta do risco que existe no uso da internet sem o certificado nas duas pontas e as empresas ainda podem se esquivar de responsabilidades por utilizar m�ltiplos m�todos de seguran�a.

Em primeiro lugar abordemos a quest�o do custo e tipo dos certificados. O certificado do modelo A1 � um arquivo de pouco mais de 1 Kb (isto mesmo, em geral n�o ultrapassa 2 Kb), e nada mais � do que uma m�dia com o arquivo que contem as duas chaves, a p�blica e a privada. J� o modelo A3 � o conhecido �smartcard�, que agora bancos como Ita� e Bradesco passaram a distribuir a seus clientes. A utiliza��o dos cart�es A3 tem seu custo mais elevado em raz�o do leitor que � necess�rio adquirir. Algumas empresas vendem o kit A3, como a Itautec, contendo o cart�o, a m�dia com o arquivo, o leitor de smartcard que � conectado na USB e uma visita t�cnica para instala��o. Como o A1 � apenas distribu�do com uma m�dia simples, pode-se encontr�-lo ao pre�o de R$ 100,00 no site do SERASA, CertSign e outros. O A3 tamb�m pode ser comprado nos mesmos lugares ao pre�o m�dio de R$ 300,00. Mas neste caso a leitora n�o est� inclu�da. Como em qualquer negocia��o � poss�vel procurar a �concorr�ncia�, j� que os certificados s�o vendidos por diversas empresas alem destas citadas.

O segundo problema da baixa utiliza��o � que n�s, usu�rios, ainda n�o nos demos conta do real perigo oferecido pela certifica��o como � utilizada atualmente. Para entendermos este risco veja a Figura 1. Podemos notar que o modelo tradicional apenas o servidor da empresa possui a chave de autentica��o, portanto ela � quem diz ser. Mas quem garante que �voc� realmente � quem diz ser? A �nica garantia que um banco ou uma empresa tem � pela utiliza��o de sua agencia e conta no caso dos bancos ou o seu email em outros casos. Viu-se com o tempo que este m�todo � facilmente burlado, algu�m utiliza um trojan e descobria o que voc� digitou. Ent�o come�aram nos bancos os irritantes m�todos f�sicos, cart�o com c�digos, letras que mudam de posi��o, teclado que se movimenta na tela, n�mero de confirma��o grafado no cart�o e outros que muitas vezes nos fazem desistir da transa��o.

**Figura 1**. Utiliza��es padr�o de certificados

J� considerado o risco de utilizarmos os m�todos convencionais de autentica��o e a vantagem do modelo PKI (o termo original que foi traduzido para ICP), como ele funciona? A Figura 2 demonstra como ele funciona e suas vantagens em uma aplica��o corporativa. Claro que aqui estamos apenas alistando um exemplo de aplica��o, sendo que os certificados s�o emitidos pela pr�pria empresa e n�o utilizando o modelo e-CPF/e-CNPJ.

**Figura 2**. Modelo b�sico com acesso utilizando certificados

Detalhando melhor os principais componentes PKI, podemos destacar quatro componentes principais:

CA (Autorizada de Certifica��o) que emite os certificados. As certificadoras s�o bem conhecidas empresas que mant�m um banco de dados com os certificados emitidos, bem como o CRL atualizado. Nem sempre se utiliza a CA para emiss�o de certificados e sim um subordinado.
Subordinate CA (Autoridade de Certifica��o Subordinada) que tamb�m emite os certificados, mas utilizando uma �corrente� ligada a CA raiz. Este modelo � utilizado pela maior parte das certificadoras conhecidas, como a VeriSign, CertSign e outras. No Brasil, como exemplo, o SERASA emite certificados SSL que s�o subordinados a GlobalSign. O motivo � muito simples, as �certificadoras confi�veis� j� est�o pr�-configuradas nos sistemas operacionais, como pode ser visto na Figura 3. Esta lista � uma parte na encontrada no Internet Explorer ao entrar em �Op��es-Conteudo-Certificados� e o SERASA n�o consta na lista, obviamente porque � uma empresa que n�o � conhecida fora do Brasil para ser inclu�da. Algumas semanas atr�s foi noticiado que o IE7 trar� embutido na sua lista de certificadoras confi�veis o ICP, o que permitir� que as empresas brasileiras deixem de ser subordinadas a uma CA internacional.
CRL (Certificate Revogation List) � um servidor mantido pela CA ou subordinada e que mant�m uma lista dos certificados que foram revogados ou cancelados. Esta lista nos protege contra o mau uso ou desvio do certificado para outros fins. A Verisign � alguns anos atr�s teve que noticiar que havia emitido dois certificados para a Microsoft quando na verdade os solicitantes utilizaram documentos falsos. A solu��o neste caso � revogar os certificados e public�-lo na CRL.
Certificado Digital, arquivo que contem as chaves p�blica e privada. A chave privada s� � conhecida do propriet�rio e da CA que a emitiu. A chave p�blica � conhecida por todos os que se comunicam com o propriet�rio da chave. O modelo de criptografia utilizado � assim�trico, o propriet�rio utiliza a chave privada para criptografar suas mensagens e a chave p�blica cont�m o algoritmo para descriptografar. O inverso na comunica��o ocorre quando o destinat�rio envia para o propriet�rio utilizando a chave p�blica para criptografar, garantindo que apenas o propriet�rio conseguir� descriptografar, uma vez que ele � o �nico que tem a chave inversa, neste caso a privada. O certificado contem um importante dado dentro dele chamado de �subject�, onde consta os dados de quem � o propriet�rio da chave e outros dados que a certificadora queira incluir como mostra a Figura 4.

Agora que j� temos um bom panorama do porque os certificados s�o importantes e como sua infra-estrutura foi planejada vamos configurar o IIS para utilizar os certificados. Utilizaremos uma certificadora baseada no Windows 2003 para a emiss�o, j� que para podermos fazer o processo de autentica��o por certificados precisamos que o servidor IIS esteja com SSL habilitado. O meu servidor j� est� certificado e abordaremos como este processo foi feito em um artigo pr�ximo. Utilizarei neste exemplo um certificado pr�prio emitido pelo Windows 2003, mas o processo � o mesmo para o e-CPF/e-CNPF, apenas ao inv�s de utilizar um servidor pr�prio utilizaria um do ICP Brasil.

Veja na Figura 5 que para utilizar a op��o �Require client certificate� � necess�rio tamb�m ter o servidor certificado. Caso n�o possua o seu servidor com SSL poder� utilizar a op��o �Accept client certificate� que n�o exige, apenas permite o uso de certificados pelo cliente, n�o garantindo assim um bom m�todo de autentica��o.

**Figura 5**. Habilitando o uso de certificados no IIS

A Figura 6 demonstra o que acontece ao tentar acessar um servidor certificado e com obrigatoriedade de certificado pelo cliente. O erro �403.7� obviamente pode ser redirecionado para uma p�gina de erro customizada que informe ao usu�rio que ele precisa comprar um certificado e a lista de onde isto pode ser feito, por exemplo. N�o tente fazer este processo por try-catch, pois a exig�ncia do certificado � tratada no IIS e n�o na p�gina.

**Figura 6**. Acesso proibido por falta de um certificado

Ap�s instalar o certificado para o meu usu�rio a Figura 7 mostra uma lista dos certificados que eu possuo na maquina e permite que eu escolha qual utilizar. Esta lista s� aparece caso o usu�rio solicite ou se existirem m�ltiplos certificados.

**Figura 7**. Certificado sendo solicitado ao usu�rio

O pr�ximo passo � ler os dados do certificado para validar o usu�rio, e isto aconteceu na Figura 8, onde est� listado o conte�do do �subject�, com os dados utilizados quando comprei o certificado. Para extrair estes dados foi utilizado o c�digo da Listagem 1, que � extremamente simples.

**Figura 8**. Acesso permitido e os dados do certificado exibidos


<HTML>
  <BODY>
   <H1>Bem-vindo </H1>
   <%=Request.ClientCertificate.Subject%><
 </BODY>
</HTML>

Listagem 1. C�digo para extrair o subject com os dados do propriet�rio

Neste artigo abordamos o que s�o os certificados digitais, como funcionam, a estrutura que existe para funcionamento e sua utiliza��o no servidor web. Vale a pena lembrar novamente que o e-CPF/e-CNPJ s�o certificados e que o ICP-Brasil nada mais � do que uma certificadora, portanto todos os exemplos aqui s�o v�lidos.

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Devmedia Em 2008

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Autentica��o de Usu�rios com Certificados Digitais

Atualmente todos est�o preocupados com a seguran�a e autenticidade de documentos e relacionamentos eletr�nicos...