Beruflich Dokumente
Kultur Dokumente
Informática
André Cardia (SC)
08/10/06 - Introdução a Criptografia (parte 2)
1 Introdução
No artigo anterior estudamos as duas formas de realizar criptgrafia de dados: criptografia simétrica
(chave secreta) e assimétrica (chave pública) e suas possíveis propriedades. Neste artigo iríamos
abordar conceitos sobre infra-estrutura de chave pública (PKI) autenticação, resumo de mensagens
(hash), IP Security (IP Sec), Secure Soket Layer (SSL) e Virtual Private Network. Porém, como a
assunto sobre infra-estrutura de chave pública (PKI) é muito extenso, iremos nos ater a este assunto.
PKI é um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar,
gerenciar, armazenar, distribuir e revogar certificados digitais, com base na criptografia de chave
pública.
Uma das desvantagens da utilização de criptografia de chaves simétricas é a necessidade de que as
duas partes comunicantes concordassem com sua chave secreta previamente. Com a criptografia de
chaves assimétricas, esse acordo a priori sobre uma valor secreto não é necessário. A criptografia de
chaves públicas também tem as suas dificuldades, que é obter a chave pública verdadeira de
alguém. O problema é resolvido usando-se um intermédio de confiança. Para a criptografia de
chaves assimétricas, o intermédio de confiança é denomindado Central de Distribuição de Chaves
(KDC – Key Distribution Center), uma entidade de rede única de confiança onde o usuário
estabelece uma chave secreta compartilhada.
No caso de criptografia de chaves públicas, o intermadiário (terceira parte) de confiança é
denominado Autoridade Certificadora (certidication authority – CA). Uma CA certifica que uma
chave pública pertence a uma determinada entidade (uma pessoa, organização ou rede). No caso de
uma chave pública certificada, se a confiança depositada na CA que certificou a chave for absoluta,
poderemos ter certeza quanto a quem pertence à chave pública (AUTENTICIDADE). Uma vez
certificada, uma chave pública pode ser distribuida de qualquer lugar, incluindo um servidor de
distrubuição de chave pública, uma página Web pessoal ou disquete.
Sendo assim, um certificado de chave pública (public-key certificate – PKC) é um documento
eletrônico usado para identificar um indivíduo, um servidor, uma empresa ou outras entidades e
associar sua identidade com uma chave pública. Um formato de certificado amplamente conhecido é
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 2 of 5
NOTA:
Para que serve a assinatura da CA no certificado? Para atestar com idoneidade que determinada
chave pública pertence mesmo a um usuário.
CA = Terceira parte confiável
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 3 of 5
• Certificação - Processo no qual uma CA envia um certificado digital para a entidade que a
solicitou e o coloca em um repositório.
• Recuperação do Par de Chaves - Em algumas situações, uma organização quer ter acesso
a informações que estão protegidas, quando um funcionário não esta disponível (ex: doente).
A PKI deve fornecer um sistema que permita a recuperação de chaves, sem apresentar riscos
inaceitáveis de comprometimento da chave privada.
• Geração de Chaves - Dependendo da política da CA, o par de chaves pode ser gerado pelo
próprio usuário ou pela CA. Se a CA gerar as chaves, elas podem ser distribuídas para o
usuário através de um smart card, cartão PCMCIA, etc.
• Autorização de Chaves - Todo par de chaves precisa ser atualizado regularmente, ou seja,
substituído por um novo par de chaves. Isso pode ocorrer em dois casos: quando a chave
ultrapassa o tempo de validade ou quando a chave privada é comprometida.
• Certificação Cruzada - A certificação cruzada é necessária quando um certificado de uma
CA é enviado a outra CA, de modo que uma entidade de um domínio administrativo pode se
comunicar de modo seguro com uma entidade de outro domínio.
• Revogação – A mudança de nome (mudança de estado civil) ou quebra de sigilo da chave
privada podem levar a revogação do certificado digital.
• Distribuição e Publicação de Certificados Digitais - Transmissão ao proprietário e
publicação em um repositório.
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 4 of 5
NOTA:
A CA jamais pode emitir um certificado para uma entidade falsa (que não seja ela mesma).
Como o RA pode comprovar 100% a identidade de um usuário? (CPF, RG, documentos jurídicos e
presença física).
NOTA:
Devido a natureza da autoverificação de certificados, os próprios diretórios de certificado não são
necessariamente confiáveis. Se um diretório for comprometido, os certificados ainda podem ser
validados por meio do processo padrão de verificação da cadeia de certificado pela CA.
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 5 of 5
3 Conclusão
Estudamos neste artigo os conceitos sobre PKI e suas principais características. Nosso próximo
assunto a ser tratado na série de artigos sobre Criptografia será sobre Resumo de Mensagens (Hash).
E se você ficou com alguma dúvida ou gostaria de fazer algum comentário sobre este artigo, envie
um email para: andre.cardia@cursoaprovacao.com.br .
Até lá.
Prof. André Cardia
http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006