Instruções Normativas do ITI nºs 15, 16 e 17 de 2020
20 de novembro de 2020Foram publicadas em: 19/11/2020 na Edição: 221, Seção: 1, Página: 1 do Diário Oficial da União as Instruções Normativas nºs 15, 16 e 17 de 2020 que aprovam respectivamente:
A versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01
A versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.
A versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos DOC-ICP-11.01.
Ao todo são 5 documentos aprovados por Resoluções do Comitê Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O site do ITI publica sempre a versão mais atualizada desses documentos e as Resoluções que os aprovaram que devem ser consultados quando necessário.
No final desse artigo incluímos um link para a Instrução Normativas e a versão do Diário Oficial da união.
Confira o sumário
Sumário
1 – INSTRUÇÃO NORMATIVA ITI Nº 15, DE 18 DE NOVEMBRO DE 2020
Aprova a versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICPBrasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
A determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:
Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01.
Art. 2º Fica aprovada a versão 5.0 do documento DOC-ICP-04.01 – Atribuição de OID na ICP-Brasil, anexa a esta Instrução Normativa.
Art. 3º Ficam revogadas:
I – a Instrução Normativa nº 05, de 18 de maio de 2006;
II – a Instrução Normativa nº 04, de 28 de janeiro de 2009;
III – a Instrução Normativa nº 06, de 13 de outubro de 2009;
IV – a Instrução Normativa nº 06, de 17 de maio de 2010;
V – a Instrução Normativa nº 11, de 05 de julho de 2012;
VI – a Instrução Normativa nº 02, de 31 de março de 2016;
VII – a Instrução Normativa nº 10, de 16 de setembro de 2016;
VIII – a Instrução Normativa nº 07, de 14 de maio de 2018; e
IX – a Instrução Normativa nº 06, de 12 de maio de 2020;
Art. 4º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.
CARLOS ROBERTO FORTNER
ATRIBUIÇÃO DE OID NA ICP-BRASIL
DOC-ICP-04.01
Versão 5.0
18 de novembro de 2020
CONTROLE DE ALTERAÇÕES
CONTROLE DE ALTERAÇÕES
| Resolução ou IN que aprovou a alteração | Item alterado | Descrição da alteração |
| IN ITI nº 15, de18/11/2020Versão 5.0 | Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019. | |
| IN nº 06 de12/05/2020Versão 4.0 | Item 2.1Tabela 1 do item 2.5 | Alteração no nome do arco 4.Criação do arco 12 para Documentos digitais. |
| Resolução nº 139de 03.07.2018Versão 3.4 | Tabela do item 2.5 | Criação do arco de OID para Política de Certificado para Objetos Metrológicos – OM-BR no âmbito da ICP-Brasil. |
| IN nº 07 de10/05/2018Versão 3.3 | Item 2.1Tabela 1 do item 2.5 | Acrescenta o Arco de OID 2.16.76.1.11.n, para Declarações de Práticas de Prestador de Serviço de Confiança |
| IN nº 10 de16/09/2016Versão 3.2 | Item 2.1Tabela 1 do item 2.5 | Acrescenta o Arco de OID 2.16.76.1.10.n, para Atributos de Carteira de Identificação Estudantil |
| IN nº02 de31/03/2016Versão 3.1 | Item 2.1Item 2.5 | Acrescenta o Arco de OID para Extensões de Políticas de Assinatura para PAdES.Excluir o Arco 2.16.76.1.2.201.n, referente à identificação de Políticas de Certificados de Autoridade Certificadora |
| Resolução nº 115de 11.11.2015Versão 3.0 | Acrescentar o Arco de OID para Políticas de Certificado A CF-e-SAT da ICP-Brasil | Criação de Política de Certificado A CF-eSAT. |
| IN nº 11de 05.07.2012Versão 2.3 | Item 2.1 h, tabela 1 do item 2.5 | Acrescenta-se o subitem “h” ao item 2.1, OID para Listas de Políticas de Assinatura Aprovadas e acrescenta-se como último elemento da Tabela 1 do item 2.5. |
| IN nº 06de 18.05.2010Versão 2.2 | Atualização da Tabela 1 | Atualização, otimização e padronização das tabelas de alocação de OID na ICP-Brasil de assinatura digital da ICP-Brasil. |
| Item 7.1.2.3 “c” | Retificação na tabela de alocação de OID, | |
| IN nº 06de 13.2009Versão 2.1 | como acréscimo do OID 2.16.76.1.3.8,citado no item 7.1.2.3.”c”. | |
| IN nº 04de 28.01.2009Versão 2.0 | Atualização do DOC-ICP04.01 | Aprova a versão 2.0 do documentoATRIBUIÇÃO DE OID NA ICP-BRASIL |
| IN nº 05de 18.05.2006Versão 1.0 | Criação do DOC-ICP-04.01 | Aprova a versão 1.0 do documentoATRIBUIÇÃO DE OID NA ICP-BRASIL |
LISTA DE SIGLAS E ACRÔNIMOS
| SIGLA | DESCRIÇÃO |
| AC | Autoridade Certificadora |
| AC Raiz | Autoridade Certificadora Raiz da ICP-Brasil |
| CEI | Cadastro Específico do INSS |
| CF-e | Cupom Fiscal Eletrônico |
| CNPJ | Cadastro Nacional de Pessoas Jurídicas |
| CPF | Cadastro de Pessoas Físicas |
| ICP-Brasil | Infraestrutura de Chaves Públicas Brasileira |
| INSS | Instituto Nacional do Seguro Social |
| ISO | International Organization for Standardization |
| ITI | Instituto Nacional de Tecnologia da Informação |
| ITU | International Telecommunications Union |
| OID | Object Identifier |
| OM-BR | Objetos Metrológicos ICP-Brasil |
| PASEP | Programa de Formação do Patrimônio do Servidor Público |
| PIS | Programa de Integração Social |
| RG | Registro Geral |
| SAT | Sistema de Autenticação e Transmissão |
1 INTRODUÇÃO
1.1 Object Identifier (OID) é um número único que identifica uma classe de objetos, um atributo, ou uma combinação destes em um diretório. Os OIDs são alocados por entidades emissoras, seguindo uma arquitetura hierárquica. A representação de um OID ocorre a partir de um conjunto de números decimais separados por pontos (ex.: 1.2.3.4).
1.2 Um OID deve ser único em todo o universo considerado. O processo de alocação deve assegurar que objetos definidos por entidades diferentes não entrem em conflito. Os OIDs são alocados pela International Telecommunications Union – Telecomunications (ITU-T), pela International Standards Organization (ISO) ou por entidades delegadas, responsáveis pela alocação hierarquicamente inferior e dentro do próprio arco.
1.3 A partir de um OID-raiz formam-se os OIDs derivados, pela adição de pontos e números decimais após o OID-raiz daquele arco.
1.4 O Brasil recebeu da ISO o OID-raiz 2.16.76.1 e a partir dele o Instituto Nacional de Tecnologia da Informação – ITI criou OID para identificar cada Autoridade Certificadora e cada Política de Certificados, bem como outros elementos necessários ao funcionamento da ICPBrasil. Esses OIDs, incorporados aos certificados emitidos pelas ACs da ICP-Brasil, permitem identificar de forma inequívoca o tipo de certificado, seu titular e a AC emitente.
2. ATRIBUIÇÃO DE OID NA ICP-BRASIL
2.1 A partir do OID 2.16.76.1 foram definidas as seguintes ramificações:
a) 2.16.76.1.1.n – OID para Declarações de Práticas de Certificação
b) 2.16.76.1.2.n – OID para Políticas de Certificados
c) 2.16.76.1.3.n – OID para Atributos Obrigatórios de Certificados
d) 2.16.76.1.4.n – OID para outros Atributos de Certificados
e) 2.16.76.1.5.n – OID para Declaração de Práticas de Carimbo do Tempo
f) 2.16.76.1.6.n – OID para Políticas de Carimbo do Tempo
g) 2.16.76.1.7.n – OID para Políticas de Assinatura
h) 2.16.76.1.8.n – OID para Extensões de Políticas de Assinatura para PAdES
i) 2.16.76.1.9.n – OID para Listas de Políticas de Assinatura Aprovadas
j) 2.16.76.1.10.n – OID para Atributos de Carteira de Identificação Estudantil
k) 2.16.76.1.11.n – OID para Declarações de Práticas de Prestador de Serviço de Confiança
l) 2.16.76.1.12.n – OID para Documentos Digitais
2.2 Os OID 2.16.76.1.1.n, 2.16.76.1.2.n, 2.16.76.1.5.n, 2.16.76.1.6.n e 2.16.76.1.11.n são atribuídos pela Diretoria de Auditoria, Fiscalização e Normalização do ITI, quando do credenciamento das entidades da ICP-Brasil e de suas políticas de certificados, conforme Decreto nº 8.985, de 08 de fevereiro de 2017.
2.3 Os OID 2.16.76.1.3.n são utilizados para identificação de atributos obrigatórios de certificados, foram definidos por meio de Resoluções do Comitê Gestor da ICP-Brasil. Todos os certificados da ICP-Brasil devem conter este OID, mesmo que os campos estejam vazios.
2.4 Os OID 2.16.76.1.4.n são utilizados para identificação de outros atributos de certificados. São atribuídos pelo ITI às empresas, entidades, categorias profissionais e outras finalidades, mediante solicitação. Seu uso não é obrigatório nos certificados.
2.5 A tabela 1 relaciona os principais subarcos de OID no arco da ICP-Brasil. O detalhamento de cada ramificação está no documento ESQUEMA DE OID NA ICP-BRASIL ADE-ICP-04.01 [1].
Tabela 1 – Regra geral de atribuições de OID da ICP-Brasil
| OID | Utilização |
| 2.16.76.1.1 | Identificação de Declarações de Práticas de Certificação |
| 2.16.76.1.1.n | Identificação de Declarações de Práticas de Certificação de AutoridadesCertificadoras Credenciadas |
| 2.16.76.1.2.1 | Identificação de Políticas de Certificados |
| 2.16.76.1.2.1.n | Identificação de Políticas de Certificados do tipo A1 |
| 2.16.76.1.2.2.n | Identificação de Políticas de Certificados do tipo A2 |
| 2.16.76.1.2.3.n | Identificação de Políticas de Certificados do tipo A3 |
| 2.16.76.1.2.4.n | Identificação de Políticas de Certificados do tipo A4 |
| 2.16.76.1.2.101.n | Identificação de Políticas de Certificados do tipo S1 |
| 2.16.76.1.2.102.n | Identificação de Políticas de Certificados do tipo S2 |
| 2.16.76.1.2.103.n | Identificação de Políticas de Certificados do tipo S3 |
| 2.16.76.1.2.104.n | Identificação de Políticas de Certificados do tipo S4 |
| 2.16.76.1.2.303.n | Identificação de Políticas de Certificados de Carimbo do Tempo T3 |
| 2.16.76.1.2.304.n | Identificação de Políticas de Certificados de Carimbo do Tempo T4 |
| 2.16.76.1.2.500.n | Identificação de Políticas de Certificados do tipo A CF- e-SAT |
| 2.16.76.1.2.550.n | Identificação de Políticas de Certificados do tipo OM-BR |
| 2.16.76.1.3.n | Identificação de Atributos Obrigatórios de Certificados |
| 2.16.76.1.3.1 | Campo otherName em certificado de pessoa física, contento os dados dotitular (data de nascimento, CPF, PIS/PASEP/CI, RG) |
| 2.16.76.1.3.2 | CampootherNameem certificado de pessoa jurídica, contendo o nomedo responsável pelo certificado |
| 2.16.76.1.3.3 | CampootherNameem certificado de pessoa jurídica, contendo oCadastro Nacional de Pessoa Jurídica (CNPJ) da pessoa jurídica titulardo certificado |
| 2.16.76.1.3.4 | CampootherNameem certificado de pessoa jurídica, contendo os dadosdo responsável pelo certificado de pessoa jurídica titular do certificado(data de nascimento, CPF, PIS/PASEP/CI, RG) |
| 2.16.76.1.3.5 | CampootherNameem certificado de pessoa física, contendoinformações sobre o Título de Eleitor do titular |
| 2.16.76.1.3.6 | CampootherNameem certificado de pessoa física, contendo nas 12posições o número do Cadastro Específico do INSS (CEI) da pessoafísica titular do certificado |
| 2.16.76.1.3.7 | CampootherNameem certificado de pessoa jurídica, contendo o númerodo Cadastro Específico do INSS (CEI) da pessoa jurídica titular docertificado |
| 2.16.76.1.3.8 | CampootherNameem certificado de pessoa jurídica, contendo nomeempresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurídica),sem abreviações |
| 2.16.76.1.3.9 | CampootherNameem certificado de pessoa física, contendo nasprimeiras onze posições, o número de Registro de Identidade Civil |
| 2.16.76.1.3.10 | CampootherNameem certificado do tipo A CF-e-SAT, contendo dadosdo contribuinte e do equipamento emissor do cupom fiscal eletrônico |
| 2.16.76.1.3.11 | CampootherNameem certificado para servidor público da ativa emilitar da União, contendo dados de cadastro nos sistemas de gestão depessoal |
| 2.16.76.1.3.12 | CampootherNameem certificado para equipamentos OM-BR,contendo a data de fabricação e os dados de identificação doequipamento. |
| 2.16.76.1.4 | Identificação de Outros Atributos de Certificados |
| 2.16.76.1.4.n | Identificação do ramo de atividade (Entidades sindicais / empresas /juntas comerciais etc.) |
| 2.16.76.1.4.n.n | Identificação da entidade(numeração concedida conforme solicitação) |
| 2.16.76.1.4.n.n.n | OID para uso específico daquela entidade |
| (numeração concedida conforme solicitação) | |
| 2.16.76.1.5.n | OID para Declarações de Práticas de Carimbo do Tempo |
| 2.16.76.1.6.n | OID para Políticas de Carimbo do Tempo |
| 2.16.76.1.7.n | OID para Políticas de Assinaturas |
| 2.16.76.1.8.n | OID para Extensões de Políticas de Assinatura para PAdES |
| 2.16.76.1.9.n | OID para Listas de Políticas de Assinaturas Aprovadas |
| 2.16.76.1.10.n | OID para Atributos de Carteira de Identificação Estudantil |
| 2.16.76.1.11.n | OID para Declarações de Práticas de Prestador de Serviço de Confiança |
| 2.16.76.1.12.n | OID para Documentos Digitais |
| 2.16.76.1.12.1.n | OID para Documentos Digitais da Saúde |
| 2.16.76.1.12.2.n | OID para Documentos Médico-legais Digitais |
| 2.16.76.1.12.3.n | OID para Documentos Digitais das Juntas Comerciais |
Onde: né um número inteiro atribuído pelo ITI para cada OID.
3 DOCUMENTOS REFERENCIADOS
3.1. O documento abaixo é aprovado pela AC Raiz, podendo ser alterado, quando necessário, mediante publicação de uma nova versão do sítio http://www.iti.gov.br .
| Ref. | Nome do documento | Código |
| [1] | ESQUEMA DE OID NA ICP-BRASIL | ADE-ICP-04.01 |
2 – INSTRUÇÃO NORMATIVA ITI Nº 16, DE 17 DE NOVEMBRO DE 2020
Aprova a versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
CONSIDERANDO a determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:
Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.
Art. 2º Fica aprovada a versão 2.0 do documento DOC-ICP-05.01 – Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior.
Art. 3º Fica revogada a Instrução Normativa nº 01, de 18 de abril de 2008.
Art. 4º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.
CARLOS ROBERTO FORTNER
PROCEDIMENTOS PARA IDENTIFICAÇÃO DE SERVIDORES DO SERVIÇO EXTERIOR BRASILEIRO EM MISSÃO PERMANENTE NO EXTERIOR
DOC-ICP-05.01
Versão 2.0
18 de novembro de 2020
CONTROLE DE ALTERAÇÕES
| Resolução ou IN que aprovou a alteração | Item alterado | Descrição da alteração |
| IN ITI nº 16 de18/11/2020Versão 2.0 | Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019. | |
| IN 01/2008, de18.04.2008 | Criação do DOC-ICP 05.01.Aprovação da versão 1.0 do DOC-ICP-05.01 |
LISTA DE SIGLAS E ACRÔNIMOS
| SIGLA | DESCRIÇÃO |
| AR | Autoridade de Registro |
| ICP-Brasil | Infraestrutura de Chaves Públicas Brasileira |
| MRE | Ministério das Relações Exteriores |
1 DISPOSIÇÕES GERAIS
1.1 Este documento se aplica ao processo de confirmação da identidade de servidores do Serviço Exterior Brasileiro, em missão permanente no exterior e que sirvam em postos no exterior, assim caracterizados conforme a Lei nº 11.440, de 29 de dezembro de 2006.
1.1.1 Consideram-se postos no exterior as repartições do Ministério das Relações Exteriores – MRE sediadas em país estrangeiro.
1.2 Este documento suplementa o subitem referente a procedimentos específicos de validação inicial da identidade para Servidores do Serviço Exterior Brasileiro do documento REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL – DOC-ICP-05 [1].
1.3 Esse processo faz parte da etapa de validação inicial da identidade, devendo ser utilizado quando houver impedimentos para que a identificação ocorra conforme o disposto no subitem que trata desse procedimento no DOC-ICP-05.
2 PROCEDIMENTOS
2.1 Procedimentos no exterior
2.1.1 A confirmação da identidade do solicitante do certificado digital será realizada por servidor do Serviço Exterior Brasileiro das Carreiras de Diplomata, Oficial de Chancelaria e Assistente de Chancelaria.
2.1.1.1 O servidor responsável pela confirmação da identidade será formalmente designado por superior hierárquico, que esteja no exercício de um dos seguintes cargos: Cônsul Geral, Cônsul Geral Adjunto, Cônsul, Cônsul Adjunto, Embaixador e Encarregado de Negócios.
2.1.1.2 Caso seja designado servidor da Carreira de Oficial de Chancelaria ou de Assistente de Chancelaria, esse deve exercer o cargo de vice-cônsul ou ser autoridade responsável pelo Setor Consular.
2.1.2 O servidor responsável pela confirmação da identidade deverá assinar o Termo de Titularidade como responsável pela identificação do solicitante do certificado digital.
2.1.3 Os documentos de identificação, coletados na etapa da confirmação da identidade do indivíduo, comporão os dossiês dos Titulares de Certificado, que serão enviados em caráter sigiloso, por mala diplomática ao MRE no Brasil.
2.2 Procedimentos no Brasil
2.2.1 O MRE encaminhará os dossiês à Autoridade de Registro (AR) responsável pela emissão dos certificados digitais, resguardando seu caráter sigiloso.
2.2.2 As conferências para a validação da solicitação de certificado, a confirmação da validação, assim como a emissão do certificado serão realizadas por Agente de Registro devidamente cadastrado na ICP-Brasil.
3 DOCUMENTOS REFERENCIADOS
3.1. O documento abaixo é aprovado pela AC Raiz, podendo ser alterado, quando necessário, mediante publicação de uma nova versão do sítio http://www.iti.gov.br .
| Ref. | Nome do documento | Código |
| [1] | REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASILAprovado pela Resolução nº 08, de 12 de dezembro de 2001 | DOC-ICP-05 |
3 – INSTRUÇÃO NORMATIVA ITI Nº 17, DE 18 DE NOVEMBRO DE 2020
Aprova a versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos DOC-ICP-11.01.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
CONSIDERANDO a necessidade de avanço para protocolo aberto de carimbo do tempo, resolve:
Art. 1º Aprovar a versão 1.0 do documento DOC-ICP-11.01 – Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos.
Art. 2º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.
CARLOS ROBERTO FORTNER
REDE DE CARIMBO DO TEMPO NA ICP-BRASIL
RECURSOS TÉCNICOS
DOC-ICP-11.01
Versão 1.0
18 de novembro de 2020
CONTROLE DE ALTERAÇÕES
| Resolução ou IN que aprovou a alteração | Item alterado | Descrição da alteração |
| Instrução Normativa ITI nº 17, de 18.11.2020Versão 1.0 | Aprova a versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos. |
LISTA DE SIGLAS E ACRÔNIMOS
| SIGLA | DESCRIÇÃO |
| AC | Autoridade Certificadora |
| AC RAIZ | Autoridade Certificadora Raiz da ICP-Brasil |
| AS | Sistemas Autônomos |
| EAT | Entidade de Auditoria do Tempo |
| ETSI | European Telecommunication Standard Institute |
| FCT | Fonte Confiável do Tempo |
| ICP-Brasil | Infraestrutura de Chaves Públicas Brasileira |
| IETF | Internet Engineering Task Force |
| MSC | Módulo de Segurança Criptográfico |
| RCT | Rede de Carimbo do Tempo da ICP-Brasil |
| RFC | Request For Comments |
| SAS | Sistemas de Auditoria e Sincronismo |
| SCT | Sistema de Carimbo do Tempo |
| TLS | Transport Layer Security |
1 INTRODUÇÃO
1.1 Este documento faz parte de um conjunto de normativos criados para regulamentar a geração e uso de carimbos do tempo no âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Tal conjunto se compõe dos seguintes documentos:
a) VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASIL [1];
b) REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP- BRASIL [2];
c) REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO NA ICP-BRASIL [3];
d) PROCEDIMENTOS PARA AUDITORIA DO TEMPO NA ICP-BRASIL [4]; e
e) REDE DE CARIMBO DO TEMPO NA ICP-BRASIL – RECURSOS TÉCNICOS, este documento.
1.2. Este documento foi elaborado com base nas normas da ICP-Brasil, nas RFC 3628 e 3161 do IETF e no documento TS 101861 do ETSI.
1.3 Este documento define recursos técnicos adotados para a Rede de Carimbo do Tempo da ICP-Brasil – RCT, como protocolos para sincronismo, auditoria e outros aspectos de segurança.
2 SINCRONISMO DO TEMPO
2.1 Os recursos usados para manter o sincronismo dos relógios dos equipamentos que compõem a Rede de Carimbo do tempo da ICP-Brasil são os seguintes:
a) o sincronismo entre a FCT e o SAS deve empregar o protocolo PTPv2.1 – IEEE 1588v2-2008, com uso de estampas do tempo produzidas pelo hardware das interfaces de rede (hardware timestamping);
b) o sincronismo dos relógios dos SCT com o SAS deve ocorrer permanentemente, em períodos variáveis definidos e iniciados por equipamentos da EAT, utilizando o protocolo PTPv2 – IEEE 1588v2-2008. A fim de prover autenticação de dados no protocolo PTP deve-se associá-lo ao subprotocolo NTS-KE – “NTS Key Establishment”, parte do protocolo para segurança do tempo em redes para o protocolo NTP (Network Time Security for the Network Time Protocol), servindo para iniciar a troca de chaves criptográficas e outros dados de segurança, por meio do protocolo TLS, entre servidor (SAS) e o cliente (SCT). O sincronismo entre SAS e SCT deve ser permitido somente para equipamentos autorizados.
2.2 Os SCT devem gerar Árvores de Encadeamento do Tempo, que é uma estrutura de encadeamento de carimbos do tempo e dados sincronismo empregando recursos criptográficos baseados em Árvores de Merkle;
2.2.1 O SCT, ao receber um novo alvará, inicia uma nova Árvore;
2.2.2 Cada Árvore, indexada por 1 (um) alvará, formará um bloco, o qual conterá:
i) estampa do tempo de finalização do bloco;
ii) o número sequencial do bloco [bloco gênese terá o número 0 (zero)];
iii) quantos nós (transações) aconteceram no bloco;
iv) tamanho em bits do bloco;
v) a raíz de Merkle da árvore;
vi) o resumo criptográfico do bloco anterior;
vii) o resumo criptográfico do bloco atual, resultado das alíneas ‘i’ a ‘vi”.
2.2.3 Os nós da Árvore de Encadeamento do Tempo deverão ser construídos da seguinte forma:
i) cada operação de sincronismo deverá ter seus dados de estampa do tempo no SCT (timestamp), desvio médio (offset) e atraso médio (delay), resumidos criptograficamente e registrados em 1 (um) nó da árvore;
ii) cada carimbo do tempo emitido pelo SCT deve ser resumido criptograficamente e registrado em 1 (um) nó da árvore;
iii) os registros acontecem sequencialmente e os nós devem ter um indexador, também sequencial, com a localização do mesmo na Árvore de Merkle.
2.2.4 O algoritmo de resumo criptográfico deve ser SHA-256, descrito no DOC-ICP-01.01 [5].
2.3 Os dados usados para gerar os resumos criptográficos da Árvore deverão ser armazenados em registros de eventos (logs), com indexador de cada nó da árvore ao qual ele pertence;
2.4 Ao receber novo alvará, a Árvore de Encadeamento do Tempo é finalizada e consolidada.
3 AUDITORIA
3.1 O processo de auditoria realizado pelo SAS deve ser composto das seguintes etapas:
a) O SAS envia alvará ao SCT;
b) O SCT recebe alvará e inicia, com este alvará, nova Árvore de Encadeamento do Tempo;
c) O SAS solicita os dados usados para gerar os resumos criptográficos que compõe a árvore de encadeamento encerrada pelo SCT;
d) O SCT envia os dados do item c) ao SAS para análise, junto a respectiva Árvore de Encadeamento do Tempo;
e) Para emissão de alvará o SAS deve avaliar a precisão e exatidão do relógio do SCT por meio de avaliação estatística dos dados da alínea c);
f) O resultado final do processo de auditoria é a emissão pela EAT, através do SAS, de um alvará que permite ao SCT continuar operando por mais um período de tempo, se seu relógio estiver dentro dos padrões pré-definidos, ou, caso contrário, de um alvará com prazo de validade igual a zero, o que significa que o SCT não poderá emitir carimbos do tempo até ter seu relógio novamente sincronizado com a FCT. Os principais atributos do alvará são: ano, mês, dia, hora, minuto, segundo, compensação e retardo.
3.2 O envio de dados de auditoria será realizado com uso do Protocolo Websocket (RFC 6455 e atualizações) encapsulado pelo Protocolo Transport Layer Security (TLS) v 1.3 ou posterior (RFC 8446 e atualizações).
3.3 Os SCT deverão dispor de recurso para envio das Árvores de Encadeamento do Tempo
4 ASPECTOS DE SEGURANÇA
4.1 Aspectos Gerais de Segurança da Entidade de Auditoria do Tempo
A AC Raiz da ICP-Brasil, como Entidade de Auditoria do Tempo, obriga-se a:
a) adotar medidas de segurança física, lógica e de pessoal compatíveis, no mínimo, com as estabelecidas para as Autoridades de Carimbo do Tempo da ICP- BRASIL;
b) utilizar, para as operações de auditoria e sincronismo da Rede de Carimbo do Tempo da ICP-Brasil, SASs cujos MSCs associados possuam capacidade de processamento criptográfico para geração de chaves e realização de assinaturas digitais;
c) manter os relógios de seus SASs sincronizados com a FCT;
d) garantir que a emissão dos alvarás seja feita em conformidade com o tempo constante do relógio interno do SAS e que a assinatura digital do alvará seja realizada dentro do MSC a ele associado;
e) manter seus SASs com disponibilidade mínima de 99% do tempo;
f) analisar e emitir relatórios dos registros de auditoria e sincronismo dos SASs;
g) utilizar, em seus SAS, somente certificados digitais ICP-Brasil para assinatura de alvarás;
h) identificar e registrar as ações que executar, conforme as normas, práticas e regras estabelecidas pelo Comitê Gestor da ICP-Brasil;
i) dispor no mínimo de duas linhas de comunicação com a Internet, providas por diferentes sistemas autônomos (AS).
5 DOCUMENTOS DA ICP-BRASIL
5.1 Os documentos abaixo são aprovados por Resoluções do Comitê Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os aprovaram.
| Ref. | Nome do documento | Código |
| [1] | VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 58, de 28 de novembro de 2008 | DOC-ICP-11 |
| [2] | REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP- BRASILAprovado pela Resolução nº 59, de 28 de novembro de 2008 | DOC-ICP-12 |
| [3] | REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 60, de 28 de novembro de 2008 | DOC-ICP-13 |
| [4] | PROCEDIMENTOS PARA AUDITORIA DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 61, de 28 de novembro de 2008 | DOC-ICP-14 |
5.2 Os documentos abaixo são aprovados por Instrução Normativa da AC Raiz, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Instruções Normativas que os aprovaram.
| Ref. | Nome do documento | Código |
| [5] | PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASILAprovado pela Instrução Normativa nº 04, de 18 de maio de 2006 | DOC-ICP-01.01 |
6 REFERÊNCIAS
RFC 3161, IETF – Public Key Infrastructure Time Stamp Protocol (TSP), august 2001.
RFC 3628, IETF – Policy Requirements for Time Stamping Authorities, november 2003.
RFC 6455, IETF – The WebSocket Protocol, December 2011
RFC 8446, IETF – The Transport Layer Security (TLS) Protocol Version 1.3, august 2018
ETSI TS 101.861 – v 1.2.1 Technical Specification / Time Stamping Profile, march 2002.
