Aqui no blog, falamos muito sobre a Infraestrutura de Chaves Públicas no Brasil, também conhecida como ICP-Brasil.

A ICP-Brasil é o que podemos chamar de uma cadeia hierárquica de confiança, que possibilita a emissão de certificados digitais para a identificação virtual de um cidadão. Ela foi instituída no Brasil a partir da Medida Provisória 2.200-2, de 24 de agosto de 2001, e define um conjunto de entidades, padrões técnicos e regulamentos criados para dar suporte a um sistema criptográfico com base nos certificados digitais.

O processo de funcionamento da ICP-Brasil é um tanto complexo e, por isso, neste post vamos explicar melhor como funciona o fluxo dela, e quais funcionalidades do sistema BRy ICP são estratégicas para sua organização nesse funcionamento. Acompanhe e boa leitura!

Componentes da ICP-Brasil

De forma geral, uma ICP é composta por um conjunto de entidades (máquinas, pessoas, servidores etc.), políticas (conjunto de normas e práticas que regem uma ICP), mecanismos criptográficos e técnicas de gestão. O objetivo da ICP é fazer com que a utilização de criptografia de chaves públicas se torne mais fácil, tendo como principais componentes as autoridades certificadoras, autoridades de registro e o repositório.

As Autoridades Certificadoras (ACs) são responsáveis por gerenciar o ciclo de vida dos certificados digitais, controlando os processos de solicitação, emissão e revogação dos mesmos. 

Uma ICP pode ser composta de uma única AC, mas, em algumas situações, é preciso que algumas tarefas sejam delegadas a outras entidades para minimizar a carga de atividades da AC.

Nestes casos, a AC Raiz delega às ACs Intermediárias a responsabilidade de emissão de certificados, reduzindo sua carga de trabalho, facilitando o crescimento da estrutura e aumentando a abrangência e o escopo das emissões de certificados digitais. Se autorizado pela AC Raiz, uma AC Intermediária pode delegar a tarefa de emissão para outras ACs que estiverem abaixo dela.

A Autoridade de Registro (AR) e o Repositório de Certificados Digitais também recebem tarefas delegadas da AC Raiz. À AR cabe a tarefa de verificar o conteúdo de requisições de certificados, enquanto que o Repositório de Certificados Digitais tem como objetivo publicar os certificados digitais e as listas de certificados revogados emitidos por uma ou mais ACs.

Com a criação da ICP-Brasil, o Brasil passou a ter uma Autoridade Certificadora (AC) governamental, cujos certificados podem ser usados em ferramentas do governo. As assinaturas realizadas a partir desse uso passaram a ter eficácia probante.

Arquitetura da ICP-Brasil

As arquiteturas de ICPs mais utilizadas são a AC Única e a AC Hierárquica. No ICP-Brasil, o modelo adotado foi o de certificação com raiz hierárquica.

Nessa arquitetura, a AC Raiz emite seu próprio certificado e também os certificados das ACs intermediárias, que por sua vez podem emitir certificados para usuários ou outras ACs e assim por diante.

Como funciona a arquitetura hierárquica?

Quando se utiliza a arquitetura hierárquica, surge um novo conceito para a verificação de certificados digitais, o caminho de certificação. Em outras palavras, para considerar um certificado válido, é preciso verificar cada certificado desse caminho (sendo que todos devem ser válidos). Há dois principais tipos desse encadeamento: encadeamento por nome e encadeamento por identificador de chave.

No encadeamento por nomes, a validação se faz através da comparação do campo emissor do certificado atual com o campo sujeito do próximo certificado da cadeia e assim por diante.

Já no encadeamento por identificador de chave, a montagem do caminho é semelhante, mas difere pelo fato de que a verificação se dá pelo valor do Subject Key Identifier (SKID) e do Authority Key Identifier (AKID), identificadores únicos referentes às chaves dos certificados. Nestes identificadores, geralmente são usados os resumos criptográficos da chave pública do detentor do certificado.

Para cada certificado do caminho encontrado, deve-se verificar: assinatura digital, data de validade, situação de revogação, restrições básicas, restrições de políticas, restrições de nomes e extensões críticas.

Por que devemos confiar nessa estrutura?

Um dos objetivos de uma ICP é que os usuários possam confiar nela. Assim, todos os passos apontados anteriormente possuem algumas características que garantem essa confiança:

  • Os certificados possuem informações sobre o detentor da chave privada;
  • Os certificados são emitidos por uma entidade confiável (uma AC);
  • Os dados do requisitante são verificados, e a forma de verificação está disponível em documentação;
  • As ICPs são auditadas, e usam mecanismos que agregam integridade, autenticidade e não repúdio.

A solução BRy ICP

O BRy ICP é a plataforma que permite a gestão total do ciclo dos certificados digitais desde a solicitação, passando pela validação, aprovação, emissão, renovação e revogação. É uma solução completa para organizações que pretendem atuar como ACs e emitir certificados digitais, operando com o conjunto de normas estabelecido pelo Comitê Gestor da ICP-Brasil.

A solução tem como principais características a emissão de certificados, a geração e instalação de chaves, listas de certificados revogados, auditoria de segurança e comunicação segura.

Os certificados emitidos pelo BRy ICP estão de acordo com o padrão ITU X.509 ou ISO/IEC 9594-8, e são assinados por meio do algoritmo RSA, ECDSA e funções de hash SHA-2. O sistema está aderente também aos perfis de certificados de assinatura, sigilo e carimbo do tempo para uso no âmbito da ICP-Brasil.

E você, já possui sua plataforma BRy IPC? Então entre em contato conosco e saiba mais sobre nossa solução!