SUMÁRIO Parte 1 - Conceitos.. 1 Capítulo 1 - Segurança em Sistemas ... 3 1.1 Ameaça .. 3 1.2 Medida de Segurança e Ataques .. 4 1.3 Segurança da Informação... 4 1.4 Política de Segurança da Informação .. 6 1.5 Serviços de Segurança da Informação .. 6 1.5.1 Autenticação. 7 1.5.2 Autorização .. 9 1.5.3 Privacidade .. 9 1.5.4 Integridade .. 10 1.5.5 Não-repúdio .. 10 1.5.6 Disponibilidade ... 11 Capítulo 2 - Criptografia .. 13 2.1 Criptosistemas .. 13 2.2 Algoritmos Criptográficos .. 14 2.3 Chaves ... 15 2.4 Criptoanálise... 16 2.5 Dificuldade Computacional .. 16 2.6 Criptografia de Chave Secreta ... 17 2.7 Criptografia de Chave Pública .. 18 XIV _ CERTIFICAÇÃO DIGITAL 2.8 Algoritmos de Resumo .. 20 2.9 Assinatura Digital . 20 2.10 Tamanho da Chave .. 23 Capítulo 3 - Certificação Digital .. 25 3.1 Certificado Digital .. 26 3.2 Padrão X.509 .. 26 3.3 Lista de Certificados Revogados .. 29 3.4 Autoridade Certificadora .. 30 3.5 Registro de Certificados. 30 3.6 Infra-estrutura de Chaves Públicas.. 31 Capítulo 4 - Modelos Otimizados de Emissão de Listas de Certificados Revogados e OCSP... 33 4.1 Listas de Certificados Revogados Sobre-emitidas .. 34 4.2 Listas de Certificados Revogados Segmentadas . 35 4.3 Listas de Certificados Revogados Delta ... 36 4.4 Verificações On-line com OCSP . 37 Capítulo 5 - Problemas de Segurança e Soluções de Certificação Digital 39 5.1 Ataques a Servidores de Correio Eletrônico ... 39 5.2 Ataques Denial of Service (DoS), Spoofing e Sequence Number .. 40 5.3 Envio de Documentos e E-mails sem Autenticidade Comprovada . 42 5.4 Cavalos de Tróia .. 42 5.5 Riscos das Mensagens Instantâneas .. 43 5.6 Minimizando os Riscos com Certificação Digital .. 44 SUMÁRIO _ XV Capítulo 6 - Segurança em Certificação Digital .. 51 6.1 Segurança das Autoridades Certificadoras.. 51 6.2 Autoridades Certificadoras e Autoridades de Registro: Segurança na Emissão de Certificados .. 57 6.3 Segurança na Escolha e Uso de Certificados Digitais .. 60 6.3.1 Escolhendo o Certificado Digital .. 60 6.3.2 Entendendo a Instalação Segura de Certificados no Windows .. 62 6.3.3 Vantagens dos Certificados Armazenados em Dispositivos Criptográficos.. 65 Parte 2 - Modelos de Certificação Digital do Brasil e Austrália .. 67 Capítulo 7 - Auditoria em Infra-estrutura de Chaves Públicas . 69 7.1 Infra-estruturas de Chaves Públicas (ICP).. 69 7.1.1 ICP – Componentes e Processos .. 70 7.2 Objetivos e Escopo de Auditoria em ICP . 72 7.3 Processo de Auditoria em ICP . 76 7.3.1 Planejamento ... 76 7.3.2 Execução.. 77 7.3.3 Emissão de Relatório... 77 Capítulo 8 - Infra-estrutura de Chaves Públicas do Brasil (ICP-Brasil) 79 8.1 Garantias Oferecidas pela ICP-Brasil 80 8.2 Estrutura.. 82 8.2.1 Comitê Gestor... 82 8.2.2 Comitê Técnico (COTEC).. 83 XVI _ CERTIFICAÇÃO DIGITAL 8.2.3 Autoridade Certificadora Raiz (AC-Raiz).. 84 8.2.4 Autoridades Certificadoras (ACs).. 84 8.2.5 Autoridades de Registro (ARs).. 84 8.2.6 Prestador de Serviços de Suporte (PSS.. 85 8.2.7 Auditorias Independentes.. 85 8.2.8 Titulares de Certificados.. 85 8.2.9 Terceiras Partes.. 86 8.3 Credenciamento das Entidades Integrantes da ICP-Brasil.. 86 8.3.1 Critérios para Credenciamento.. 86 8.3.2 Procedimentos. 88 8.3.2.1 Procedimentos para credenciamento de AC .. 89 8.3.2.2 Procedimentos para credenciamento de AR .. 92 8.3.2.3 Procedimentos para Credenciamento de Prestador de Serviços de Suporte . 93 8.3.3 Auditoria Pré-Operacional . 95 8.3.3.1 Auditoria na Autoridade Certificadora .. 95 8.3.3.2 Auditoria na Autoridade de Registro . 95 8.3.3.3 Auditoria na Autoridade no Prestador de Serviços de Suporte ... 96 8.3.4 Ato de Credenciamento .. 96 8.3.4.1 Credenciamento para Autoridade Certificadora .. 96 8.3.4.2 Credenciamento para Autoridade de Registro ... 97 8.3.4.3 Credenciamento para Prestador de Serviços de Suporte .. 98 SUMÁRIO _ XVII Capítulo 9 - Auditoria na ICP-Brasil .. 99 9.1 Tipos e freqüência de Auditoria .. 99 9.2 Executores das Auditorias.. 100 9.3 Etapas de uma Auditoria .. 101 9.4 Resultados das Auditorias... 107 Capítulo 10 - Infra-estrutura de Chaves Públicas da Australia (Gatekeeper).. 109 10.1 Credenciamento na ICP-Australiana (Gatekeeper) .. 109 10.1.1 Integrantes do Gatekeeper e suas Relações ... 111 10.1.1.1 A Posição do Governo Australiano no Gatekeeper .. 112 10.1.1.2 Autoridades Certificadoras e Autoridades de Registro .. 112 10.1.1.3 Assinantes .. 113 10.1.1.4 Terceiras Partes .. 113 10.2 Credenciamento de Autoridades de Certificação .. 114 10.2.1 Visão Geral . 114 10.2.1.1 Requisitos Fundamentais . 115 10.2.1.2 Mudança nos Critérios .. 116 10.2.2 Processo de Credenciamento.. 116 10.2.3 Critérios .. 119 10.2.3.1 Conformidade com a Política de Compras e Contratações do Governo Federal . 120 10.2.3.2 Política de Segurança . 121 10.2.3.3 Segurança Física ... 130 XVIII _ CERTIFICAÇÃO DIGITAL 10.2.3.4 Avaliação de Tecnologia. 131 10.2.3.5 Administração da Autoridade de Certificação .. 132 10.2.3.6 Investigação de Pessoal .. 133 10.2.3.7 Políticas da Autoridade de Certificação .. 135 10.2.3.8 Contratos .. 137 10.2.3.9 Considerações à Privacidade . 138 10.3 Credenciamento de Autoridades de Registro (ARs) e Autoridade de Registro Com Serviços Estendidos (ARSEs)... 139 10.3.1 Autoridade de Registro (AR) .. 139 10.3.2 Autoridade Básica de Registro (ABR) .. 140 10.3.3 Autoridade de Registro com Serviços Estendidos (ARSE) . 141 10.3.4 Requisitos Fundamentais.. 141 10.3.5 Processo de Credenciamento ... 141 10.3.6 Critérios para Credenciamento de Autoridades Básicas de Registrado (ABR). 142 10.3.7 Critérios para Credenciamento das ARSEs.. 142 Capítulo 11 - Auditoria no Gatekeeper .. 145 11.1 Programa de Auditoria de Conformidade do Gatekeeper 145 11.1.1 Objetivos do GCAP .. 146 11.1.2 Escopo do GCAP .. 147 11.1.3 Procedimentos do GCAP . 148 11.1.3.1 Procedimentos de Tomada Decisão do GCAP . 148 11.1.3.1.1 Fluxograma de Decisões GCAP para AC .. 150 SUMÁRIO _ XIX 11.1.3.1.2 Fluxograma de Decisão GCAP para AR/ARSE .. 151 11.1.3.2 Relatório da Auditoria para o AGIMO .. 152 11.1.3.3 Emissão do Relatório do GCAP .. 153 11.1.3.3.1 Relatório do GCAP Adverso .. 153 11.1.3.4 Uso de Outros Trabalhos de Auditoria ... 154 11.1.3.4.1 Considerações a Trabalho Anteriores ... 155 11.1.3.4.2 Considerando Trabalho Realizado num Outro Provedor de Serviços.. 157 11.1.3.4.3 Considerando Programas de Trabalho – Procedimentos Adicionais. 157 11.1.4 Questionário de Auto-Avaliação .. 158 11.1.4.1 Instruções ao Provedor de Serviços .. 159 11.1.4.2 Questionário de Auto-Avaliação .. 159 11.1.5 Programa de Auditoria de Conformidade do Gatekeeper (GCAP) para AC .. 161 11.1.5.1 Amostra de Itens do Programa de Trabalho para o Plano de Gerenciamento de Chaves . 165 11.1.5.2 Amostra de Pontos com Questões de Verificação sobre Segurança do Local Altamente Protegido: . 165 11.1.6 Programa de Auditoria de Conformidade do Gatekeeper (GCAP) para AR . 166 11.1.7 Programa de Auditoria de Conformidade do Gatekeeper (GCAP) para ARSE 167 XX _ CERTIFICAÇÃO DIGITAL Capítulo 12 - Comparativo dos Modelos da ICP-Brasil e do Gatekeeper 169 12.1 Conceito dos Modelos . 169 12.2 Estrutura .. 170 12.3 Credenciamento . 172 12.4 Objetivos de Auditoria .. 174 12.5 Tipos de Auditoria .. 174 12.6 Etapas de uma Auditoria . 176 12.7 Escopo de Auditoria .. 177 12.8 CONCLUSÃO.. 178 Parte 3 - Aplicações de Certificação Digital ... 181 Capítulo 13 - A Biblioteca CAPICOM.. 183 13.1 A Biblioteca CAPICOM .. 183 13.2 Assinatura XML .. 186 Capítulo 14 - Proposta de um Modelo de Distribuição de Relatórios Financeiros Baseado em Linguagem XBRL e Certificação Digital .. 191 Bibliografia Consultada .. 199