Por Evandro Oliveira
Minha primeira publicação aqui no CryptoId tratava do “Princípio de Tudo – Criptografia”, mas com enfoque mostrando que a criptografia assimétrica era a origem das possibilidades e existência de uma PKI. Imaginada uma PKI, como é a ICP-Brasil, o “princípio de tudo” – Parte 2, é como se inicia a montagem da estrutura e como se constroem as normas para operação desta infraestrutura. Chamamos de Declaração de Práticas de Certificação. A definição que tomamos emprestado do glossário do ITI é:
“DPC é um documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados por uma Autoridade Certificadora a execução de seus serviços.
É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados.
É utilizada pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliara adequação dos padrões.”
Quando se realiza uma auditoria em uma candidata à ser uma AC da ICP-Brasil, ou nas auditorias de manutenção anuais, é a partir da DPC que tudo começa. Quais certificados a AC assinará, onde ela estará localizada, quem são seus trabalhadores habilitados a atuarem na entidade, como utilizaá hw e sw para a gestão completa do ciclo de vida de um certificado. Uma DPC deve prever todas as ações de uma AC. Embora muitas de suas cláusulas e itens sejam parecidos com de todas outras AC e até da própria AC Raiz, nenhuma DPC é igual a DPC de outra AC e detalhes, muitas vezes imperceptíveis, fazem enorme diferença entre uma AC e outra.
A montagem de uma DPC exige cuidado pois além de prever como irá funcionar uma AC, sua AR vinculada e prestadores de serviço de suporte, determina quais certificados digitais serão assinados e suas especificidades. Estas especificações únicas são descritas no documento denominado Política de Certificado (PC), um para cada certificado de tipo diferente. A partir da definição de uma PC é que os auditores verificam se todas as informações são reproduzidas fielmente para a mídia que abrigará o certificado digital. É o princípio de tudo, ao dominar a construção e as finalidades e aplicações de uma DPC e uma PC, uma empresa crescerá no conhecimento de como opera e funciona uma AC e sua hierarquia de forma obediente e que promova a uma cadeia de confiança sólida.
Uma DPC determina tudo que é necessário para uma AC funcionar de maneia plena, na ICP-Brasil é assim. Após estabelecido este normativo, parte-se para os detalhes técnicos e operativos, importantes mas que não funcionam sem estarem orientados pela DPC e PC. Tenho visto, ao longo destes anos atuando com TI, sempre que se deseja que uma pessoa adquira conhecimento sobre alguma coisa, mandar ler manuais e calhamaços de literatura técnica. Minha experiência determina que este procedimento é equivocado e com o normativo da ICP-Brasil não seria diferente.
A estrutura da ICP-Brasil tem um arcabouço de legislação imenso, DOC, ADE, Portaria, etc. Ler tudo não possibilita, de maneira racional, entender uma PKI ou as suas regras específicas. Para entender a ICP-Brasil, tem que ler, entender e relacionar as conexões, desde o princípio de tudo: A DPC.
Sobre Evandro Oliveira
Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.
Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.
Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.
Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.
Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)
Palestrante e Conferencista.
Colunista do Portal CryptoID.
Leia outros artigos do colunista Evandro Oliveira aqui!
Dúvidas e sugestões sobre conhecimento básico, terminologia, e esclarecimentos podem ser feitas nos comentários abaixo ou no e-mail evandro.oliveira@bhzlabs.com.br
Leia também: O que é DPC? Declaração de Práticas de Certificação