Table Of ContentDayana Spagnuelo é mestre em Ciência da Computa-
A RNP – Rede Nacional de Ensino
ção (2013) formada pela Universidade Federal de Santa
Catarina. Atuou como bolsista no Laboratório de Segu- e Pesquisa – é qualificada como
rança em Computação durante sua formação acadêmica,
uma Organização Social (OS),
se envolvendo em diversos projetos multidisciplinares.
Já lecionou criptografia básica e avançada para cursos de sendo ligada ao Ministério da
pósz graduação em nível de especialização em Gestão de
Ciência, Tecnologia e Inovação
Tecnologia da Informação e Segurança da Informação. Atu-
almente trabalha diretamente com pesquisa acadêmica na (MCTI) e responsável pelo
área de Segurança da Informação.
Programa Interministerial RNP,
que conta com a participação dos
ICPEdu
ministérios da Educação (MEC), da
I
C
Saúde (MS) e da Cultura (MinC).
P
O O curso ICPEdu Introdução a Infraestrutura de Chaves Pú- Ed Pioneira no acesso à Internet no
S u
Introdução a
R blicas e Aplicações apresenta como implantar um serviço I
U n Brasil, a RNP planeja e mantém a
t
O C de geração de certificados digitais para a comunidade de rod rede Ipê, a rede óptica nacional
A ensino e pesquisa, visando o seu uso para autenticação, u Infraestrutura de
O çã acadêmica de alto desempenho.
OI assinatura digital e sigilo. Este curso capacita os profissio- o a Com Pontos de Presença nas
P
A nais envolvidos na implantação da Infraestrutura de Cha- In Chaves Públicas
E fr 27 unidades da federação, a rede
D ves Públicas Acadêmica em suas respectivas instituições. a
e tem mais de 800 instituições
O s
VR Ao final do curso , o aluno conhecerá os fundamentos tru e Aplicações conectadas. São aproximadamente
LI necessários para o estabelecimento e manutenção dos tu
r 3,5 milhões de usuários usufruindo
a
principais componentes que constituem uma ICP: autori- d
e de uma infraestrutura de redes
dades certificadoras e de registro. C
h avançadas para comunicação,
a Marcelo Carlomagno Carlos
v
e computação e experimentação,
s Jeandré Monteiro Sutil
P
ú que contribui para a integração
b Cristian Thiago Moecke
l
i entre o sistema de Ciência e
c
a
s Jonathan Gehard Kohler
Tecnologia, Educação Superior,
Dayana Pierina Brustolini Spagnuelo Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
ISBN 978-85-63630-47-6
Ministério da
Ciência, Tecnologia
e Inovação
9 788563 630476
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
(MCTI) e responsável pelo
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
Ministério da
Ciência, Tecnologia
e Inovação
ICPEdu
Introdução a
Infraestrutura de
Chaves Públicas
e Aplicações
Marcelo Carlomagno Carlos
Jeandré Monteiro Sutil
Cristian Thiago Moecke
Jonathan Gehard Kohler
Dayana Pierina Brustolini Spagnuelo
ICPEdu
Introdução a
Infraestrutura de
Chaves Públicas
e Aplicações
Marcelo Carlomagno Carlos
Jeandré Monteiro Sutil
Cristian Thiago Moecke
Jonathan Gehard Kohler
Dayana Pierina Brustolini Spagnuelo
Rio de Janeiro
Escola Superior de Redes
2015
Copyright © 2015 – Rede Nacional de Ensino e Pesquisa – RNP
Rua Lauro Müller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simões
Diretor de Serviços e Soluções
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação
Luiz Coelho
Edição
Lincoln da Mata
Revisão técnica
Jean Martina
Equipe ESR (em ordem alfabética)
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária
Barbosa Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos
Lobato, Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramação
Tecnodesign
Versão
2.0.2
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de
conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição
Escola Superior de Redes
Rua Lauro Müller, 116 – sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
[email protected]
Dados Internacionais de Catalogação na Publicação (CIP)
I61 ICPEdu Introdução a Infraestrutura de chaves públicas e aplicações / Marcelo Carlomagno
Carlos ... [et. al.]; – Rio de Janeiro: RNP/ESR, 2014.
190 p. : il. ; 27,5 cm.
Bibliografia: p.173-174.
ISBN 978-85-63630-47-6
1. Segurança de Computadores. 2. Criptografia. 3. RNP. I.
Carlos, Marcelo Carlomagno. II. Título
CDD 005.8
Sumário
Escola Superior de Redes
A metodologia da ESR ix
Sobre o curso x
A quem se destina xi
Convenções utilizadas neste livro xi
Permissões de uso xii
Sobre o autor xii
1. Fundamentos de criptografia
Introdução 1
Definições 2
Criptografia 2
Criptografia clássica 2
Criptografia moderna 7
Criptografia simétrica 8
Como distribuir as chaves de maneira segura? 8
Como verificar se a mensagem não foi modificada? 8
Como ter certeza de que a mensagem foi realmente enviada por quem diz ter enviado? 8
Criptografia assimétrica 8
Funções-resumo (hash) 10
Assinatura digital 10
Criptografia assimétrica 11
Certificados digitais 11
iii
Lista de Certificados Revogados 12
Formatos 13
2. Assinatura digital
Assinatura digital 15
Colisão de hash 17
Assinatura de longo prazo 19
Formatos de armazenamento 22
Legislação 23
Assinatura digital na ICP-Brasil 24
OpenDocument 26
OpenXML 27
PDF 27
3. Infraestrutura de Chaves Públicas
X.509: ICP 33
Autoridades certificadoras 34
Autoridades de registro 35
Repositório 36
ACs Intermediárias 37
Certificação digital 37
Arquiteturas ICP 38
Caminhos de certificação 39
Políticas de Certificação 42
ICPEDU 42
ICP-Brasil 44
4. Servidor Web Seguro
SSL/TLS 47
Autenticação 48
Sigilo 48
Em quem você confia? 51
Apache 52
iv
5. SGCI – Conceitos e visão geral
SGCI – Visão geral 55
Árvore de Certificação 58
SGCI – Instalação 59
Perfis de usuário 61
Autoridades Certificadoras 63
Criação de AC Raiz 64
Campos avançados 65
Usuários 68
Configurações 70
Modelo de Certificado 71
Criação de AC Raiz 72
6. SGCI – Gerenciamento de Entidades
Criação de Autoridades Certificadoras Intermediárias 75
Criação de Autoridades de Registro 78
Relacionamentos de Confiança 78
Emissão de certificados 82
Revogação de certificados 84
Lista de Certificados Revogados (LCR) 86
Cópias de Segurança (backups) 87
Registro de atividades (logs) 88
7. Gerenciando o ciclo de vida de chaves criptográficas
O que é um HSM? 89
Para que serve? 90
Ciclo de vida de chaves criptográficas 91
Características de um HSM 92
Hardware 92
Software 93
Normas e Certificações 93
Conhecendo e Inicializando o ASI-HSM 93
Por que mais um HSM? 94
ASI-HSM – Diferenciais 94
v
ASI-HSM – Componentes 95
ASI-HSM – Características 95
ASI-HSM – Boas práticas de uso 98
ASI-HSM – Perfis de usuário 99
Perfil de Administração 99
Perfil de auditoria 100
Perfil de Operação 100
Operações comuns 100
Preparando a instalação 101
Instalação 101
Certificado SSL 104
Preparação do HSM 104
Preparação para uso 105
Configuração 106
Configuração dos parâmetros internos do HSM 107
8. Usando o ASI-HSM
Criação dos perfis de usuário 109
Criação de administradores 110
Demais perfis (Audit e Oper) 112
Geração e liberação de chave para uso 113
Geração de chaves 113
Importação de chaves 116
Liberação (carga) de chaves para uso 118
Exportação de logs gerenciais 121
Procedimento de backup 124
Importação da chave de backup 127
Geração de backup 129
Restauração de backup 132
Ativar perfis de operação 134
Colocar o HSM em Modo Operacional 134
Atualização de firmware 135
Teste das Funções Criptográficas 139
Apagar as configurações do HSM 141
vi
