Dayana Spagnuelo é mestre em Ciência da Computa- A RNP – Rede Nacional de Ensino ção (2013) formada pela Universidade Federal de Santa Catarina. Atuou como bolsista no Laboratório de Segu- e Pesquisa – é qualificada como rança em Computação durante sua formação acadêmica, uma Organização Social (OS), se envolvendo em diversos projetos multidisciplinares. Já lecionou criptografia básica e avançada para cursos de sendo ligada ao Ministério da pósz graduação em nível de especialização em Gestão de Ciência, Tecnologia e Inovação Tecnologia da Informação e Segurança da Informação. Atu- almente trabalha diretamente com pesquisa acadêmica na (MCTI) e responsável pelo área de Segurança da Informação. Programa Interministerial RNP, que conta com a participação dos ICPEdu ministérios da Educação (MEC), da I C Saúde (MS) e da Cultura (MinC). P O O curso ICPEdu Introdução a Infraestrutura de Chaves Pú- Ed Pioneira no acesso à Internet no S u Introdução a R blicas e Aplicações apresenta como implantar um serviço I U n Brasil, a RNP planeja e mantém a t O C de geração de certificados digitais para a comunidade de rod rede Ipê, a rede óptica nacional A ensino e pesquisa, visando o seu uso para autenticação, u Infraestrutura de O çã acadêmica de alto desempenho. OI assinatura digital e sigilo. Este curso capacita os profissio- o a Com Pontos de Presença nas P A nais envolvidos na implantação da Infraestrutura de Cha- In Chaves Públicas E fr 27 unidades da federação, a rede D ves Públicas Acadêmica em suas respectivas instituições. a e tem mais de 800 instituições O s VR Ao final do curso , o aluno conhecerá os fundamentos tru e Aplicações conectadas. São aproximadamente LI necessários para o estabelecimento e manutenção dos tu r 3,5 milhões de usuários usufruindo a principais componentes que constituem uma ICP: autori- d e de uma infraestrutura de redes dades certificadoras e de registro. C h avançadas para comunicação, a Marcelo Carlomagno Carlos v e computação e experimentação, s Jeandré Monteiro Sutil P ú que contribui para a integração b Cristian Thiago Moecke l i entre o sistema de Ciência e c a s Jonathan Gehard Kohler Tecnologia, Educação Superior, Dayana Pierina Brustolini Spagnuelo Saúde e Cultura. Ministério da Cultura Ministério da Saúde Ministério da Educação ISBN 978-85-63630-47-6 Ministério da Ciência, Tecnologia e Inovação 9 788563 630476 A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI) e responsável pelo Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Ministério da Cultura Ministério da Saúde Ministério da Educação Ministério da Ciência, Tecnologia e Inovação ICPEdu Introdução a Infraestrutura de Chaves Públicas e Aplicações Marcelo Carlomagno Carlos Jeandré Monteiro Sutil Cristian Thiago Moecke Jonathan Gehard Kohler Dayana Pierina Brustolini Spagnuelo ICPEdu Introdução a Infraestrutura de Chaves Públicas e Aplicações Marcelo Carlomagno Carlos Jeandré Monteiro Sutil Cristian Thiago Moecke Jonathan Gehard Kohler Dayana Pierina Brustolini Spagnuelo Rio de Janeiro Escola Superior de Redes 2015 Copyright © 2015 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Coordenação Luiz Coelho Edição Lincoln da Mata Revisão técnica Jean Martina Equipe ESR (em ordem alfabética) Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária Barbosa Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.2 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br [email protected] Dados Internacionais de Catalogação na Publicação (CIP) I61 ICPEdu Introdução a Infraestrutura de chaves públicas e aplicações / Marcelo Carlomagno Carlos ... [et. al.]; – Rio de Janeiro: RNP/ESR, 2014. 190 p. : il. ; 27,5 cm. Bibliografia: p.173-174. ISBN 978-85-63630-47-6 1. Segurança de Computadores. 2. Criptografia. 3. RNP. I. Carlos, Marcelo Carlomagno. II. Título CDD 005.8 Sumário Escola Superior de Redes A metodologia da ESR ix Sobre o curso  x A quem se destina xi Convenções utilizadas neste livro xi Permissões de uso xii Sobre o autor xii 1. Fundamentos de criptografia Introdução 1 Definições 2 Criptografia 2 Criptografia clássica 2 Criptografia moderna 7 Criptografia simétrica 8 Como distribuir as chaves de maneira segura?   8 Como verificar se a mensagem não foi modificada? 8 Como ter certeza de que a mensagem foi realmente enviada por quem diz ter enviado?  8 Criptografia assimétrica 8 Funções-resumo (hash) 10 Assinatura digital 10 Criptografia assimétrica 11 Certificados digitais 11 iii Lista de Certificados Revogados 12 Formatos 13 2. Assinatura digital Assinatura digital 15 Colisão de hash 17 Assinatura de longo prazo 19 Formatos de armazenamento 22 Legislação 23 Assinatura digital na ICP-Brasil 24 OpenDocument 26 OpenXML 27 PDF 27 3. Infraestrutura de Chaves Públicas X.509: ICP 33 Autoridades certificadoras 34 Autoridades de registro 35 Repositório 36 ACs Intermediárias 37 Certificação digital 37 Arquiteturas ICP 38 Caminhos de certificação 39 Políticas de Certificação 42 ICPEDU 42 ICP-Brasil 44 4. Servidor Web Seguro SSL/TLS 47 Autenticação  48 Sigilo 48 Em quem você confia? 51 Apache 52 iv 5. SGCI – Conceitos e visão geral SGCI – Visão geral 55 Árvore de Certificação 58 SGCI – Instalação 59 Perfis de usuário 61 Autoridades Certificadoras 63 Criação de AC Raiz 64 Campos avançados 65 Usuários 68 Configurações 70 Modelo de Certificado 71 Criação de AC Raiz 72 6. SGCI – Gerenciamento de Entidades Criação de Autoridades Certificadoras Intermediárias 75 Criação de Autoridades de Registro 78 Relacionamentos de Confiança 78 Emissão de certificados 82 Revogação de certificados 84 Lista de Certificados Revogados (LCR) 86 Cópias de Segurança (backups) 87 Registro de atividades (logs) 88 7. Gerenciando o ciclo de vida de chaves criptográficas O que é um HSM? 89 Para que serve? 90 Ciclo de vida de chaves criptográficas 91 Características de um HSM 92 Hardware 92 Software 93 Normas e Certificações 93 Conhecendo e Inicializando o ASI-HSM 93 Por que mais um HSM? 94 ASI-HSM – Diferenciais 94 v ASI-HSM – Componentes 95 ASI-HSM – Características 95 ASI-HSM – Boas práticas de uso 98 ASI-HSM – Perfis de usuário 99 Perfil de Administração 99 Perfil de auditoria 100 Perfil de Operação 100 Operações comuns  100 Preparando a instalação 101 Instalação 101 Certificado SSL 104 Preparação do HSM 104 Preparação para uso 105 Configuração 106 Configuração dos parâmetros internos do HSM 107 8. Usando o ASI-HSM Criação dos perfis de usuário 109 Criação de administradores 110 Demais perfis (Audit e Oper) 112 Geração e liberação de chave para uso 113 Geração de chaves 113 Importação de chaves 116 Liberação (carga) de chaves para uso 118 Exportação de logs gerenciais 121 Procedimento de backup 124 Importação da chave de backup 127 Geração de backup 129 Restauração de backup 132 Ativar perfis de operação 134 Colocar o HSM em Modo Operacional 134 Atualização de firmware 135 Teste das Funções Criptográficas 139 Apagar as configurações do HSM 141 vi