Por Viviane Bertol
Como divulgado pelo ITI em seu site, foi emitida em 02.03.2016 a nova raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, denominada V5.
A emissão teve por objetivo atender o determinado nos normativos DOC-ICP-01, item 7.2, e DOC-ICP-05, item 6.3, que afirmam que nenhum certificado digital poderá ultrapassar a validade do seu certificado hierárquico superior.
Para compreender melhor as afirmações acima, vamos fazer um retrospecto do que ocorreu na ICP-Brasil até o momento, com relação a cadeias de certificação.
Cadeia V0
A cadeia inicial da ICP-Brasil, chamada de V0, teve o certificado da AC Raiz emitido em 30.11.2001 com validade de 10 anos e expirou em 30.11.2011. Essa cadeia utilizava algoritmo criptográfico RSA e chaves de 1024 e 2048 bits, com algoritmo de hash SHA-1.
Naquele momento, o prazo de validade dos certificados das ACs de 1º Nível era de 10 anos, e das ACs de 2º Nível era de 8 anos. Os certificados de titular final, do tipo A3 tinham validade de 3 anos. Então, a partir de 30.11.2008 não seria mais possível emitir certitificados A3 com o prazo máximo permitido.
Cadeia V1
Para que as ACs subordinadas pudessem continuar emitindo certificados com 3 anos de validade, foi preciso criar uma nova cadeia, chamada de V1, o que foi feito a partir da geração do certificado da AC Raiz V1, em 29.07.2008.
Ele possui validade de 13 anos e irá expirar em 29.07.2021. Naquela ocasião, foram mantidos os mesmos algoritmos e tamanho das chaves criptográficas usados na cadeia V0.
Os certificados das ACs Nivel 1 e Nível 2 emitidos na época possuíam prazo de validade de 10 anos e 8 anos, respectivamente. Os certificados A3 permaneceram com prazo de validade de até 3 anos.
Cadeia V2
Em função da evolução no poder de processamento dos computadores e das técnicas de ataques criptográficos, que poderiam colocar em risco a segurança das assinaturas digitais realizadas, foi criado um plano de migração para novos algoritmos criptográficos da ICP-Brasil, que resultou na cadeia V2.
Essa cadeia possui tamanhos maiores de chaves criptográficas RSA, de 2048 e 4096 bits. O algoritmo de hash passou a ser SHA-256 ou SHA-512.
Em 21.06.2010 foi gerado o certificado da AC Raiz V2, com validade até 21.06.2023.
Novamente o prazo de validade dos certificados das ACs de 1º Nível foi de 10 anos e o das ACs de 2 Nível foi de 8 anos. Os certificados A3 poderiam ter validade de até 5anos, embora o mercado os tenha mantido com validade de 3 anos.
Assim, caso a AC tenha gerado seu certificado em 2011, com validade de 8 anos, em 2019 esse certificado expirará. E em algum momento de 2016, já não será possível emitir certificados de 3 anos. È por esse motivo que chegamos na cadeia V5.
Cadeia V3
A cadeia V3 utiliza outro tipo de algoritmo criptográfico, conhecido como algoritmo de curvas elípticas.
A cadeia V3 utilizava curvas da Suite B do NIST (National Institute of Standards and Technology (NIST), órgão do Governo Americano que trata de padrões e metrologia.
O certificado da AC Raiz V3 foi criado em 2013 e revogado em 26.02.2014, por decisão do Comitê Gestor da ICP-Brasil, que entendeu não ser apropriado utilizar a tecnologia norte-americana na ICP-Brasil, em função das denúncias de espionagem por parte do governo americano.
Cadeia V4
A cadeia V4, da mesma forma que a V3, utiliza algoritmo criptográfico de curvas elípticas, porém de tecnologia europeia.
A cadeia V4 teve seu certificado gerado em 23.04.2015, o qual permanence em vigor, com validade até 23.04.2035 (apesar de usar chaves menores, a segurança desse tipo de algoritmo é considerada maior do que a do RSA e por esse motivo o certificado pode ter uma validade mais longa).
A cadeia V4 ainda é pouco utilizada nas aplicações comerciais, visto que os aplicativos de mercado estão preparados, em sua maioria, para trabalhar com o algoritmo RSA. Mas a existência dessa cadeia é necessária para que o Brasil possa emitir passaportes com o requisitos de segurança estabelecidos pelos organismos internacionais, que exigem que os dados contidos no chip do passaporte sejam assinados digitalmente com algoritmo criptográfico desse tipo.
Cadeia V5
Como vimos, agora estamos chegando no limite de validade da cadeia V2. Em pouco tempo nenhuma AC de 2º Nível poderá emitir certificados com validade de 3 anos e por isso foi criada a nova cadeia, chamada de V5.
O certificado da AC Raiz V5 foi emitido em 02.03.2016 e terá validade até 02.03.2029. Utiliza também chaves RSA 2048 e 4096 bits e algoritmo de hash SHA-256 ou SHA-512.
Impactos da migração
O Comitê Gestor da ICP-Brasil aprovou também mudanças no prazo de validade dos certificados de AC, que atualmente são:
Entidade Prazo algoritmo RSA Prazo Algoritmo ECC
AC Raiz 13 anos 20 anos
AC 1 Nível Até 13 anos (não pode ultrapassar o prazo da AC superior) Até 20 anos (não pode ultrapassar o prazo da AC superior)
AC 2 Nível Até 13 anos (não pode ultrapassar o prazo da AC superior) Até 20 anos (não pode ultrapassar o prazo da AC superior)
Espera-se, com essa alteração, que a nova cadeia possa ser utilizada por cerca de 10 anos, um período maior do que a cadeia V2, que teve duração de 6 anos, na prática.
Isso é importante, pois a criação de uma nova cadeia de certificação gera muito trabalho e impacta todas as entidades da ICP.
Para dar uma ideia desse impacto, listamos a seguir uma relação não exaustiva de atividades que deverão ser executadas pelas entidades da ICP-Brasil, para implantação da V5.
AC Raiz
A AC Raiz deve adaptar seus sistemas, alterar sua DPC e gerar seu novo par de chaves e novo certificado digital autoassinado (evento ocorrido em 02.03.2016).
A seguir, irá receber, examinar e validar novas versões de DPC das ACs de 1º Nível e de 2º Nível e fazer auditoria dessas ACs (provavelmente à distância, em ambiente de homologação) para verificar se estão aptas a começar e emissão de certificados da nova cadeia.
Também precisará montar uma agenda para gerar certificados para todas as ACs de 1º Nível.
Um ponto fundamental é divulgar amplamente as atividades, para que todo o mercado saiba o que está ocorrendo e se prepare. Além das ACs, os desenvolvedores de aplicação que utilizam certificação digital precisarão adaptá-las, para reconhecer os novos certificados das ACs.
Paralelamente, deve buscar publicar o novo certificado da AC Raiz nos principais browsers de mercado.
AC de 1º Nível
As ACs de 1º Nível deverão ajustar seus sistemas para operar com as novas chaves e certificados da cadeia V5.
Também deverão produzir e encaminhar à AC Raiz nova versão de sua DPC (e PC, quando for o caso) para análise e aprovação, e preparar-se para auditoria que será realizada pela AC Raiz.
Devem acertar agenda com a AC Raiz para gerar seu certificado e, no caso de ACs privadas, pagar a taxa de renovação de R$ 100 mil.
Antes da data agendada, devem gerar seu par de chaves e a solicitação do certificado da AC. No dia aprazado devem comparecer na AC Raiz para geração do seu novo certificado.
A partir daí, devem instalar o novo certificado em seu sistema e montar uma agenda para gerar certificados para todas as ACs de 2º Nível que lhe são subordinadas.
Também deverão divulgar seu novo certificado para os desenvolvedores de aplicação.
AC de 2º Nível
As ACs de 2º Nível também deverão ajustar seus sistemas para operar com as novas chaves e certificados da cadeia V5.
Como no caso das ACs de 1º Nível, deverão produzir e encaminhar à AC Raiz nova versão de sua DPC e PCs para análise e aprovação, e preparar-se para auditoria que será realizada pela AC Raiz.
Depois de auditadas pela AC Raiz, devem acertar agenda com a AC de 1º Nível para gerar seu certificado.
Antes da data agendada, devem gerar seu par de chaves e a solicitação do certificado da AC. No dia aprazado devem comparecer na AC de 1º Nível para geração do seu novo certificado.
A partir daí, devem instalar o novo certificado em seu sistema e podem começar a utilizá-lo.
Como essas ACs emitem certificados para os usuários finais, será preciso programar com cuidado a entrada em produção da nova cadeia.
Isso porque, além de divulgar seu novo certificado para os desenvolvedores de aplicação, precisam preparar a mídias criptográficas com a nova cadeia e enviar para seus pontos de venda.
Também precisam orientar suas Autoridades de Registro sobre as alterações havidas e sobre eventuais problemas que possam surgir, como aplicações que ainda não estejam preparadas para aceitar a nova cadeia.
Autoridades de Registro
Como os certificados utilizarão os mesmos algoritmos, não será preciso trocar a mídia por outra, de outro tipo, mas apenas alterar seu conteúdo, incluindo os certificados da nova cadeia e substituindo os da cadeia antiga.
Em relação a logística de suporte para algumas Autoridades Certificadoras será mais fácil gerar outras mídias com as novas cadeias e enviar às Autoridades de Registro em substituição às anteriores em estoque, que serão devolvidas e poderão ser reaproveitadas.
Também precisarão realizar, possivelmente, um esforço extra de suporte, nas primeiras semanas, sobretudo em função de aplicações que ainda não reconheçam as novas cadeias.
E o que acontecerá com a cadeia V2 antiga?
Após a entrada em produção da cadeia V5, todas as ACs deverão manter em funcionamento a cadeia V2 apenas para emissão de LCRs, até a expiração do último certificado emitido com ela.
Conclusão
Todo esse movimento demandará muitas horas de trabalho por parte dos envolvidos e possivelmente trará algum transtorno para os usuários finais, que terão de incluir as novas cadeias em seus browsers e talvez se deparem com algumas aplicações que ainda não reconheçam os certificados da nova cadeia.
Esse esforço, porém, é necessário e resultará numa infraestrutura renovada, apta a prestar serviços por mais uma década.
Sobre: Viviane Bertol
- Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
- Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
- Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
- Participou da elaboração de diversos normativos da ICP-Brasil.
- Colunista e membro do conselho editorial do Instituto CryptoID.
Leia outros artigos escritos pela Colunista Viviane Bertol
Contato:
Viviane Bertol viviane@pkiconsulting.com
Leia também: Maurício Coelho do ITI fala ao CryptoID sobre a nova Raiz V5 da ICP-Brasil
O ITI – Instituto Nacional de Tecnologia da Informação anunciou a emissão da nova raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, denominada V5.