Cadeia v4, nova plataforma criptográfica da ICP-Brasil – Entrevista com Maurício Coelho
29 de abril de 2015A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil iniciou as atividades de sua nova cadeia de certificação, a v4. A emissão do novo Certificado ocorreu na tarde desta quinta-feira, 23, em Brasília.
Trata-se de um momento importante para a ICP-Brasil uma vez que a nova versão de raíz com algoritmo criptográfico é diferente do comumente utilizado RSA. O novo algoritmo segue a lógica da criptografia assimétrica, no entanto faz uso da tecnologia europeia de Curvas Elípticas – brainpool e usa chaves criptográficas menores e mais robustas.
Recém-inaugurada, a v4 já emitiu, momentos depois de efetivada, o certificado de Autoridade Certificadora do Ministério de Relações Exteriores – AC MRE, viabilizando a assinatura do novo passaporte brasileiro, aderente ao diretório Public Key Directory – PKD da Organização da Aviação Civil Internacional – ICAO, agência especializada das Nações Unidas que promove a segurança e padroniza os aeroportos e passaportes no mundo.
O diretor de Infraestrutura de Chaves Públicas Brasileira do Instituto Nacional de Tecnologia da Informação – ITI, Maurício Coelho, falou sobre o atual cenário criptográfico da ICP-Brasil. Confira a entrevista:
Por que a cadeia v4 utiliza algoritmos de curvas elípticas e não RSA?
A v4 é uma novidade. A tecnologia ICP é realizada com criptografia assimétrica e dispõe de alguns algoritmos para implementação. Talvez o mais famoso e difundido padrão algoritmo seja o RSA, que é o algoritmo com o qual iniciamos na ICP-Brasil, em 2001, com nossa primeira raiz, a v0, que foi emitida com algoritmo RSA com 2048 bits.
A força de um algoritmo pode ser avaliada de acordo com sua resistência a ataques de força bruta, diretamente proporcional a capacidade computacional disponível. A medida em que os computadores tornam-se cada vez mais potentes, há mais condições para efetuar ataques desta natureza. Uma das formas de proteger o algoritmo é aumentar o tamanho da chave, o que o torna mais forte e resistente. Atualmente, já trabalhamos com algoritmos RSA de 4096 bits nos certificados de ACs da raiz v2, porém, a segurança não é baseada apenas em tamanho de chave.
A própria matemática envolvida apresentar vulnerabilidades. No caso do RSA, já existem preocupações que avançam no cerne teórico e que apontam para cenários em que o algoritmo RSA seja comprometido independentemente do tamanho da chave. Dessa forma, o ITI seguiu o entendimento da comunidade criptográfica sobre ser importante cogitar uma alternativa ao algoritmo RSA.
A primeira cadeia da ICP-Brasil em curvas elípticas, v3, utilizava curvas da Suite B do NIST. Por que houve mudança no padrão?
As curvas elípticas possuem uma série de parâmetros que as caracterizam e que, quando não devidamente divulgados, pode gerar uma situação de insegurança. O NIST, departamento americano, padronizou um conjunto de curvas elípticas com uso restrito do governo americano e também para uso geral.
A Suite B tem um conjunto de curvas padronizadas e abertas para uso da sociedade em geral. Nós fizemos uma experiência e emitimos a raiz v3 com algoritmo de curvas elípticas usando curvas padronizadas pela Suite B do NIST. Com o advento das denúncias de espionagem por parte do governo americano, uma série de suspeitas foi lançada sobre o algoritmo de curvas elípticas do NIST. Associado a este cenário, a comunidade criptográfica nacional já havia feito alguns questionamentos sobre as curvas da Suite B, o que resultou em perda de credibilidade. Diante do cenário, a ICP-Brasil optou pela revogação da cadeia v3.
A revogação da v3 trouxe prejuízos para ICP-Brasil?
Apesar de gerada, a raiz v3 jamais foi utilizada no âmbito da ICP-Brasil. Com o surgimento de um ambiente de incerteza em relação as curvas da Suite B, decidiu-se pela revogação visto que ela ainda não estava sendo utilizada e que não traria prejuízos para a infraestrutura. Nós trabalhamos com a questão primordial da credibilidade e confiança, por isso, optamos pela revogação.
Por que a ICP-Brasil optou pelo uso das Curvas Elípticas – Brainpool, padrão europeu, na cadeia v4?
Desde a revogação da v3 trabalhamos junto à comunidade acadêmica e aos players de mercado para compreender a questão das curvas elípticas. Nesse período, surgiu a demanda do passaporte eletrônico com o prazo de validade de dez anos. Dez anos de validade do certificado impunha à ICP-Brasil o desafio de que, por força de regulamentação internacional da ICAO, o certificado que assina os componentes eletrônicos desses passaportes deveriam ter no mínimo a mesma validade que o passaporte. Na ICP-Brasil não tínhamos até então nenhum certificado com essa duração. Nossos certificados com maior prazo de validade eram os do tipo A3, com três anos de validade, e o A4, com quatro anos.
Com essa importante demanda apresentada pelo MRE, fomos forçados a um estudo ainda mais aprofundado no sentido de prover condições para ICP-Brasil prestar esse serviço. A partir de estudos, verificamos que não havia viabilidade de uso do RSA para um certificado com prazo de validade tão longo, o que nos levou a optar então por trabalhar com curvas elípticas.
As curvas têm chaves menores, mas muito robustas e com uma força criptográfica muito superior ao RSA. Elas proporcionam mais segurança e também são mais performáticas por conta de seu tamanho reduzido. Como a demanda concreta era o passaporte brasileiro, observamos que os algoritmos de curvas elípticas Brainpool já eram utilizados por países da Europa, como a Alemanha, por exemplo.
Durante a seleção das curvas debatemos com nossa comunidade acadêmica, trabalhamos em conjunto com a Sociedade Brasileira de Computação – SBC e fizemos consultas a Agência Federal Alemã de Segurança da Informação – BSI, e tomamos todo o cuidado para selecionar curvas que atendessem aos regulamentos da ICP-Brasil quanto ao tamanho da chave e requisitos de segurança.
Após toda essa pesquisa, chegamos ao duplo conjunto de curvas – com tamanhos de 512 bits no caso dos certificados de ACs e de 256 bits no certificado de usuário final. Após a seleção, fizemos a proposta para o Comitê Gestor da ICP-Brasil, que aprovou os algoritmos apresentados e também o aumento do prazo de validade dos certificados que utilizam esses algoritmos. Nossa plataforma criptográfica, João de Barro, foi adequada para suportar os algoritmos Brainpool, assim, tornou-se viável a emissão da cadeia v4.
A cadeia v4 poderá ser utilizada em outras aplicações ou seu uso é exclusivo para aplicação do novo passaporte brasileiro?
Atualmente, os certificados A4 com curvas elípticas Brainpool são regulamentados para uso nos passaportes e HSM com prazo de validade de até 11 anos. Porém, nós também regulamentamos o certificado A3, com o mesmo padrão algoritmo, que terá prazo máximo de validade de seis anos. Ou seja, já deixamos regulamentado e disponível a opção do A3, com seis anos, e uso de curvas elípticas Brainpool caso exista alguma demanda da sociedade ou mercado para o uso deste padrão. A raiz está criada, então é possível, caso exista interesse, que outras ACs também criem derivações na v4.
Há previsão de demandas do mercado ou da sociedade para o uso da cadeia V4?
No momento ainda não. Atualmente as curvas Brainpool ainda não estão incorporadas em browsers e sistemas operacionais. Além disso, as aplicações de massa que temos hoje no Brasil trabalham com RSA, o movimento de transição ainda deve ser feito e independe da ICP-Brasil. Hoje o Brainpool é a melhor opção para uma aplicação bastante específica e controlada, no caso os novos passaportes, porém continuamos estudando outras curvas, com maior aceitação em termos operacionais, para disponibilizar em nossa infraestrutura caso seja necessário. Porém, é importante salientar que não há nada em curvas difundido e implementado como o RSA, mas há uma preocupação e uma migração crescente. Esse processo vai acontecer gradativamente e o Brasil está preparado, do ponto de vista de regulamentação e operação, para que seja feita essa migração.
A ICP-Brasil abandonará o uso de algoritmos RSA?
Não. No momento temos a cadeia v2, com algoritmos RSA, vigente até 2023. Não há nada preocupante em relação à segurança dessa cadeia. Nossos certificados da Raiz e das ACs têm 4096 bits e o certificado de usuário final 2048 bits, valores considerados seguros para os parâmetros. Não enxergamos nenhuma mudança de cenário a curto prazo. Em breve haverá a necessidade de emissão de uma nova raiz em RSA, pois a regulamentação da ICP-Brasil diz que um certificado não pode ultrapassar a validade do certificado raiz, e a v2 está vigente até 2023.
Até a emissão da nova raiz com algoritmos RSA vamos promover estudos para verificar se mantemos os atuais tamanhos de chaves ou se há necessidade de alteração. A sinalização atual é razoável no sentido de que poderemos manter o atual tamanho com segurança.