Últimas notícias

Fique informado
O protocolo OCSP ajudando a elevar a segurança da Internet

O protocolo OCSP ajudando a elevar a segurança da Internet

27 de fevereiro de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Validando uma Assinatura Digital

Por Eder Alvares P. Souza Como minha primeira contribuição ao

6 de janeiro de 2015
eder-03

Eder Souza- Colunista CryptoID

Como no artigo passado falei um pouco sobre o CASC e a sua importância para a segurança da internet, acredito ser natural citar uma das suas iniciativas e apresentar um protocolo fundamental para a garantia da integridade e idoneidade de sites e serviços online.

Mas primeiramente é importante esclarecer o que é e para que serve os serviços de revogação de certificados digitais.

A revogação de certificados digitais é um mecanismo fundamental para a proteção dos titulares dos cerificados digitais e dos interessados em ter acesso aos serviços digitais prestados por estes ou validar a identidade digital destes titulares.

Imagine se, em decorrência de uma invasão aos servidores corporativos de uma empresa prestadora de serviços online, os seus certificados digitais são furtados e posteriormente utilizados em servidores falsos, destinados a se passar pelos legítimos e roubar dados dos seus clientes. Como essa empresa pode comunicar a todos sobre esse risco?

Outra situação possível seria, após o furto de um computador corporativo, certificados digitais destinados a assinatura de documentos eletrônicos caírem em mãos erradas. Como comunicar aos interessados que, a partir daquele momento, qualquer documento digital assinado com os certificados digitais perdidos deve ser desconsiderado e os titulares destes certificados digitais isentos de qualquer responsabilidade sobre o seu conteúdo?

A ação a ser adotada com o objetivo de comunicar de forma eficiente sobre os incidentes é solicitar a revogação dos certificados digitais e assim, após essa revogação, todos os interessados em verificar a situação destes certificados digitais serão notificados e poderão desconsiderar documentos eletrônicos assinados com estes ou finalizar qualquer comunicação estabelecida com os servidores maliciosos.

Atualmente existem dois métodos principais pelos quais a revogação pode ser comunicada, através da Lista de Certificados Revogados (LCR) ou do serviço Online Certificate Status Protocol (OCSP).

A LCR está descrita na RFC5280 e é uma lista, emitida pela Autoridade Certificadora (AC) e que contêm todos os certificados digitais emitidos por esta AC e revogados pelos seus titulares ou por entidades autorizadas.

A principal questão sobre o uso da LCR é a periodicidade para a sua emissão, pois cada AC ou Infraestrutura de Chaves Públicas (ICP) adota uma regra distinta sobre o intervalo para emissão da LCR, que pode variar de 1 hora a até 24 horas, dependendo  da política adotada e esse intervalo está descrito na Declaração de Práticas de Certificação (DPC), que é um documento destinado a descrever às práticas dotadas por cada AC.

Assim, após a revogação do certificado digital o seu número serial é inserido na próxima LCR a ser pública pela AC e em algumas situações, esse intervalo de tempo entre a revogação do certificado digital e a comunicação através da LCR pode representar um grande risco às empresas.

Com o objetivo de reduzir o risco referente a esse intervalo de tempo entre a revogação e a comunicação aos interessados, foi desenvolvido o protocolo OCSP, que é um protocolo destinado a permitir a consulta sobre o estado de um certificado digital de maneira on-line e assim, é possível saber se um certificado digital deixou de ser válido logo após a sua revogação.

O protocolo OCSP está descrito na RFC2560 e as respostas são assinadas digitalmente pela AC responsável por sua emissão, impossibilitando que um atacante o substituía ou altere seu conteúdo.

Consequentemente, esse protocolo tem se tornado um grande aliado na adoção dos certificados digitais para autenticação de servidores, componentes web e qualquer outra necessidade que faça uso dos certificados digitais para garantir a origem e integridade de um elemento eletrônico.

Ainda é possível garantir a privacidade dos usuários que estão verificando a validade de um certificado digital utilizando uma importante extensão do protocolo TLS 1.2 e que está descrito na RFC6066.

Através dessa extensão, o usuário pode solicitar e já receber, durante o processo de estabelecimento da conexão TLS também conhecido como handshake, a resposta OCSP contendo o estado de revogação do certificado digital utilizado pelo servidor.

Esse mecanismo garante a privacidade do usuário e reduz o consumo de recursos de conectividade, pois o servidor onde o serviço está hospedado e que possui o certificado digital a ser verificado, já efetua a solicitação da resposta OCSP a AC responsável pelo certificado digital e envia essa resposta ao usuário durante o processo de conexão com o serviço. Essa técnica é conhecida também como OCSP Stapling.

Enxergando esses benefícios, o CASC tem investido esforços com o objetivo de educar a sociedade sobre a utilização do OCSP e, em parceria com as ACs, disponibilizar esse serviço às empresas usuárias da certificação digital.

O CASC também tem atuando junto com as empresas desenvolvedoras de software, e que permitem a utilização dos certificados digitais para a proteção dos seus usuários, para compatibilizar seus softwares com o protocolo OCSP, disponibilizando mais essa opção de verificação sobre a revogação dos certificados digitais.

Nesse momento, para a ICP-Brasil, o OCSP ainda não é um serviço obrigatório por parte das ACs, sendo a LCR a opção exigida para essas verificações. Acredito que em um momento próximo o Comitê Gestor da ICP-Brasil irá se pronunciar sobre os benefícios da migração para o OCSP e solicitar o apoio das ACs credenciadas para a transição e adoção deste protocolo.

Para os interessados em adquirir tecnologias que fazem uso dos certificados digitais na proteção das identidades e informações a recomendação é verificar a disponibilidade e compatibilidade com o OCSP e assim, se beneficiar da segurança proporcionada pelo protocolo nas consultas sobre a revogação dos certificados digitais utilizados.

Até a próxima!

Eder Alvares P. Souza

  • Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
  • Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
  • Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
  • Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
  • Eder é colunista e membro do conselho editorial do Instituto CryptoID.

CATEGORIAS

Destaques