ICP BRASIL: RAIZ V2
O QUE ISSO TEM HAVER COM VOCÊ?
 |
| REGINA TUPINAMBÁ |
Assim como os certificados digitais pessoas físicas e jurídicas têm validade, os certificados digitais das Autoridades Certificadoras também têm. E em 1º de janeiro de 2012 entrou em operação o novo certificado da Autoridade Certificadora Raiz da ICP Brasil.
Entenda o que é ICP Brasil.
O sistema de certificação digital está todo baseado em hierarquias de aprovações. É uma cadeia em que a hierarquia superior dá validade a hierarquia subordinada. Essa estrutura é composta por: A Autoridade Certificadora Raiz, que no caso brasileiro chama-se ICP Brasil – Infraestrutura de Chaves Públicas Brasileira, a Autoridade Certificadora de primeiro nível, a Autoridade Certificadora de segundo nível, as Autoridades de Registro, até chegar a você que é o titular do seu certificado digital.
Portanto, a AC Raiz possui o certificado de nível mais alto na ICP Brasil. Esse certificado é utilizado para assinar o seu próprio certificado, os certificados das Autoridades Certificadoras de nível imediatamente subsequentes .
O certificado V2
O Certificado da AC Raiz venceu e foi substituído em janeiro por um novo certificado digital versão 2 que apresenta padrões e algoritmos criptográficos mais fortes. O dobro do poder computacional do certificado anterior e consequentemente o dobro o tamanho das chaves.
Para alterar esses padrões e algoritmos criptográficos foi necessário uma série de procedimentos para garantir a interação entre toda a cadeia. Os certificados precisariam ser compatíveis entre si, do contrário, os certificados dos titulares não seriam reconhecidos e perderiam sua funcionalidade.
A Resolução que regulamenta esses procedimentos estabelece que, obrigatoriamente, devem se adequar ao novo certificado digital da Autoridade Certificadora Raiz as Autoridades Certificadoras, Autoridades de Registro e outras entidades credenciadas ou cadastradas na ICP BRASIL, desenvolvedores de aplicativos que utilizam certificados digitais da ICP BRASIL bem como os titulares finais.
O que coube as Autoridades Certificadoras na mudança para a V2?
Alterar seus próprios certificados digitais para a V2, os certificados emitidos por ela para usuários finais e adequar seus sistemas para a interoperabilidade com certificados digitais para a Versão 2.
O que coube as Autoridades Registro?
Providenciar o fornecimento de mídias armazenadoras: Cartões criptográficos e Tokens, compatíveis com o novo tamanho dos certificados, treinar seus agentes de validação para o reconhecimento dos hardwares criptográficos adequados ao novo certificado e treinar sua equipe para responder às dúvidas dos titulares e seus representantes sobre essa mudança.
O que coube aos titulares dos certificados digitais?
Adquirir, se necessário, as mídias criptográficas adequadas ao tamanho dos novos certificados e baixar a nova cadeia de certificados das ACs para que seus navegadores reconheçam os certificados desta nova versão.
O que coube às organizações que utilizam certificados digitais em suas aplicações?
Aplicações que utilizam certificados digitais emitidos no âmbito da ICP Brasil precisaram ser adequar para terem interoperabilidade com o novo formato dos certificados digitais, por exemplo: o programa e-CAC da Receita, a Conectividade Social da CAIXA, os Tribunais de Justiça e aplicações particulares como empresas em geral, seguradoras, bancos, hospitais etc.
Muito importante
Todos os certificados digitais emitidos antes o dia 31 de dezembro de 2011 continuam válidos de acordo com a data de expiração que consta no certificado.
Os hardwares criptográficos: cartões, tokens e HSM, terão que suportar os novos certificados V2, portanto, no momento da renovação do certificado digital verifique se será necessário adquirir uma nova mídia para armazenar o certificado compatível com a V2.
Nota:
A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009.
Essa resolução trata da necessidade de atualização dos padrões e algoritmos criptográficos da ICP BRASIL (DOC-ICP-01.01)e define prazos limítrofes para as atualizações necessárias.
Para alterar esses padrões e algoritmos criptográficos se faz necessário uma série de procedimentos para que haja interação entre a AC Raiz e as Autoridades Certificadoras subseqüentes até os certificados emitidos para os titulares finais.
A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009.
Para garantir a interoperabilidade e a validação em longo prazo das assinaturas digitais dos documentos eletrônicos do país foi estabelecido o padrão da Assinatura Digital através da Resolução 62 que considera os novos padrões e algoritmos criptográficos da ICP Brasil Versão 2 e excepcionalmente poderá ser adotado formato diverso do padrão de assinatura digital da ICP Brasil, desde que tecnicamente justificável, para uso restrito e acordado entre as partes interessadas.
1. Primeira etapa – data limite: 09.06.2009
1.1. Alterar os normativos da ICP BRASIL para permitir a emissão de certificados para AC e usuários finais contendo chaves ECC. Permitir que esses certificados usem também função hash SHA 256 ou SHA 512 para realização de assinaturas. O objetivo dessa ação é permitir que o mercado comece a se adaptar aos novos padrões.
1.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
2. Segunda etapa – data limite: 31.01.2010
2.1. Criar, na AC Raiz, nova cadeia (V2), que implemente os padrão RSA 4096 bits e função hash SHA 512.
2.2. Criar na AC Raiz, nova cadeia (V3) que implemente os padrão ECDSA 512 bits e função hash SHA 512.
2.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
3. Terceira etapa – data limite: 30.06.20103.1. Avaliar a adesão dos sistemas de mercado e de AC, à adoção de esquemas criptográficos mais seguros e se necessário, adotar ações para ampliação do uso.
3.2. A partir de 01.02.2010, as AC devem adotar as ações necessárias ao inicio do processo de emissão de certificados vinculados à AC Raiz sob a nova hierarquia (V2 ou V3), e adaptar seus sistemas para uso dos novos padrões.
3.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
4. Quarta etapa – data limite: 01.01.2011
4.1. A partir dessa data é recomendado criar certificados que usem pelo menos padrão RSA 2048 bits e função hash SHA 256.
5. Quinta etapa – data limite: 31.12.2011
5.1. A partir desta data, todas as AC já devem estar emitindo certificados vinculados à AC Raiz sob a nova hierarquia (V2 e V3), adaptando seus sistemas para o uso dos novos padrões.
5.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.6. Sexta etapa – data limite: 01.01.20126.1. A partir dessa data, nenhum novo certificado de AC ou de usuários finais poderá ser gerado sob as hierarquias anteriores (V0 e V1).6.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
7. Sétima etapa – data limite: 31.12.20147.1. A partir dessa data, nenhum certificado ICP BRASIL emitido sob as cadeias anteriores (V0 e V1) deverá estar válido, exceto certificados de AC, cuja revogação deve ser avaliada.
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.
