Artigo no estilo: Curso

Por que eu devo ler este artigo:Esta série de artigos trata dos conceitos de Certificação Digital e PKI e é um tutorial para o desenvolvimento de uma Autoridade Certificadora simples, uma Autoridade de Registro, módulos de Assinatura, Validação e Criptografia usando Certificados Digitais colocando em prática os conceitos aprendidos para fortalecer as comunicações de qualquer aplicação a custo zero ou estar em acordo com a legislação vigente.

Neste artigo trataremos do Ciclo de Vida de um Certificado Digital, seus principais usos e exemplos de assinatura digital e criptografia com um Certificado de Cliente. Teremos em nossa parte prática as últimas funcionalidades do projeto que iniciamos no primeiro artigo da série.

Um Certificado Digital é um elemento pouco explorado porque existe uma ideia fixa de que a infraestrutura que envolve uma solução com estes componentes é cara. Em termos de TI tudo depende de “para que” você quer determinado elemento.

Se você tem um sistema interno de uma empresa e quer aprimorar a autenticação de usuários para ter algo além da famosa combinação “usuário e senha” adicionando segurança na mistura, o uso de Certificados Digitais gerados por uma Autoridade Certificadora interna, sem qualquer ligação com Autoridades Raízes de mercado é uma opção viável e barata porque vai demandar, como vimos anteriormente, de um software onde os Certificados possam ser gerados e controlados e um módulo que os autentique. Além disso, você precisa de um Servidor de Banco de Dados que armazene as chaves e Certificados da Autoridade com o nível de segurança que sua rede interna demanda. Nada além.

Claro que se a intenção do seu negócio for a Autenticação de Documentos visando à proteção que a Medida Provisória 2200/02 demanda, você vai precisar aceitar Certificados emitidos sob a hierarquia da ICP-BRASIL ou ter sua própria Autoridade Intermediária, o que vai requerer alguns milhões de reais, locais apropriados com salas-cofre, Auditorias das Entidades Envolvidas (ITI), etc.

Além disso, você deverá se registrar junto ao ITI (Instituto de Tecnologia da Informação), passar por auditorias, cumprir diversos requisitos, entre outras exigências. Felizmente, você pode aceitar certificados gerados sob a hierarquia da ICP-BRASIL e Certificados gerados em sua própria estrutura ao mesmo tempo de forma a tornar sua solução escalável e adaptável ao mercado ao mesmo tempo.

Um exemplo é você ter uma aplicação web que permite que os usuários se autentiquem usando Certificados Digitais tanto de sua árvore interna quanto da ICP-BRASIL. Você pode usar como chave do usuário o CPF que está contido em Certificados ICP e você também pode incrustar essa informação em seus próprios Certificados.

Pilares de Segurança da Informação

O ciclo de uso de um Certificado Digital se baseia na aplicação desta tecnologia em relação a determinados pilares da Segurança da Informação. Portanto, antes de demonstrarmos exemplos de como utilizar essa ferramenta, precisamos entender esses principais conceitos e como a Certificação Digital pode nos auxiliar a implementar determinados controles.

O conceito do que são conhecidos por pilares ou base da Segurança da Informação varia de autor para autor. Em Segurança da Informação, os principais pilares que sustentam o conceito são:

o Autenticação ou Identificação: De uma maneira simples, autenticar ou identificar é ter certeza de que as credenciais que o usuário está apresentando são reais, corretas e não foram adulteradas. Identificar corretamente a credencial com o uso de certificados digitais, ou seja, a autoridade certificadora atesta que a identidade do portador do certificado digital, no momento da assinatura do certificado era válida e que a responsabilidade da proteção do uso indevido do instrumento paira nos ombros do usuário.

Isto quer dizer que com um certificado digital, garante-se que as informações que estão inseridas no mesmo são válidas para os fins descritos em sua política de certificado, permitindo que um sistema que utilize deste certificado tenha plena certeza de sua origem.

o Confidencialidade: Este conceito trata da proteção por criptografia de informações de modo que acessos não autorizados não possam ser obtidos. A informação deve ser ilegível a olhos não autorizados. Toda a estrutura de chaves públicas usada em certificados digitais permite o uso de criptografia assimétrica, de modo que a chave pública de um certificado, que pode ser exposta para uso de qualquer pessoa no mundo, irá gerar um nível de proteção ...

Quer ler esse conteúdo completo? Tenha acesso completo