Ao exigir um HSM interno ao SAS e SCT, a ICP-Brasil garante a confiabilidade na data e hora de um carimbo do tempo. Para garantir que um Servidor de Carimbo do Tempo (SCT) atenda a níveis adequados de funcionamento, principalmente nos quesitos segurança e interoperabilidade, o governo brasileiro criou um processo de avaliação de conformidade, controlado pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Este processo vem sendo incorporado, gradativamente, ao Sistema nacional de Metrologia (SINMETRO), tendendo a se tornar um padrão nacional de qualidade. A proposta é que todo o dispositivo utilizado na gestão, armazenamento e uso de certificados digitais e carimbos do tempo atenda aos requisitos de segurança estabelecidos em manuais técnicos (MCT), disponibilizados publicamente.
No caso dos Servidores de Carimbo do Tempo, um dos requisitos mais importantes, disposto no MCT 10, é a utilização de um HSM interno e controlado exclusivamente pelo SCT. O HSM de um SCT tem dois propósitos distintos: o primeiro é o de abarcar a chave que assina os carimbos, enquanto o segundo consiste em possuir um relógio de alta estabilidade, com acesso restrito a funções de ajuste. O requisito de controle exclusivo sobre o hardware de segurança tem um único objetivo: evitar a possibilidade de emitir carimbos com data e hora não confiáveis.
Ao permitir a emissão de um carimbo do tempo com data diferente da atual, por exemplo, um atacante poderia adulterar um registro de ponto eletrônico, substituir uma petição judicial recebida em tempo hábil por uma adulterada, modificar um laudo médico ou mesmo uma declaração de imposto de renda.
Sem um lastro temporal confiável, torna-se simples "realizar uma nova assinatura" fazendo parecer que tenha sido realizada na data e hora da verdadeira. O controle desta ameaça exige preocupações especiais tanto sobre a chave de assinatura de carimbos quanto sobre o relógio do SCT, que serão detalhadas neste artigo.
O controle de acesso ao relógio é fundamental para que apenas o SCT possa realizar ajustes da data e hora do HSM. Ajustes são realizados apenas mediante solicitação de um SAS (Sistema de Auditoria e Sincronismo), para ajustar desvios mínimos, sendo devidamente registrados em trilhas de auditoria. Esta arquitetura é a base para garantir a confiabilidade na data e hora de um carimbo do tempo. Se qualquer outra aplicação tiver controle sobre o relógio do SCT, poderá alterar a data e hora do equipamento, de forma imperceptível, provocando a emissão de um carimbo com data inválida - principal ameaça a uma Autoridade de Carimbo do Tempo.
Já o controle relacionado à chave de assinatura de carimbos visa evitar qualquer possibilidade de cópia da mesma. A chave de assinatura de um SCT deve possuir uma propriedade importante: a unicidade. Isto porque quando uma chave é copiada, torna-se mais difícil controlar sua utilização. No caso da chave de um SCT, copiá-la significa tornar possível que uma segunda instância da chave seja restaurada em um ambiente que não possui seu relógio controlado por um SAS, o que permitirá também a emissão de carimbos " aparentemente autênticos" com data/hora não confiável. Neste caso, o prejuízo trazido pela perda da unicidade da chave tem ordem muito superior ao causado por eventual indisponibilidade de um equipamento por falha no HSM.
Justifica-se assim a impossibilidade de um backup. Se o HSM de um SCT fosse compartilhado com outro sistema (por exemplo o de gestão de Autoridades Certificadoras), os administradores da AC poderiam facilmente ajustar o relógio utilizado pelo SCT ou mesmo realizar cópias de segurança da chave do SCT, cerimônia que no contexto de uma autoridade certificadora é importantíssima.
Antes de optar por uma tecnologia de carimbo do tempo ou mesmo pelo fornecimento de um serviço dessa natureza, certifique-se de que o fornecedor (ou a ACT no caso de serviço) atendam a esse importante critério de segurança. Você estará mitigando o risco de comprometer todos os registros cuja data/hora tenham sido certificadas pelos carimbos, além de estar aderente aos normativos técnicos da ICP-Brasil.
A BRy Tecnologia é uma ACT ICP-Brasil e a única empresa a ter depositado sua tecnologia de carimbo do tempo para avaliação de conformidade. Além do compromisso com a total aderência aos padrões de qualidade estabelecidos, a BRy também emprega mecanismos adicionais para garantia de confiabilidade nos carimbos do tempo, como a datação relativa, tema que será abordado em um futuro post.
De acordo com o Instituto Nacional de Tecnologia da Informação (ITI), o SCT é o componente responsável por prover o serviço de carimbo de tempo, constituído por um servidor que possui um Módulo de Segurança Criptográfico (HSM) instalado em seu interior, além de um relógio de tempo real (Real Time Clock - RTC), que é utilizada para emissão de carimbo de tempo. O SCT certifica que determinado documento eletrônico existiu em um determinado instante e seus principais empregos são os processos de protocolação digital e a assinatura de documentos.
