Este artigo objetiva apresentar o que são Certificados de Atributo, como estão regulamentados para uso na ICP-Brasil, quais suas possíveis utilizações e como se tornar uma EEA – Entidade Emissora de Atributos.
Publicado em 17 de novembro de 2014 #TBT
Por Viviane Bertol
Utilização dos Certificados de Atributo
O Certificado de Atributo é uma ferramenta que pode trazer facilidades em termos de segurança e interoperabilidade na gestão de documentos eletrônicos (GDE), agregando não só segurança técnica, mas principalmente segurança jurídica aos processos eletrônicos [1]. Os Certificados de Atributo podem ser usados para as mais diversas finalidades:
- identificação de profissionais que pertencem a determinada categoria;
- identificação e definição de cargos/hierarquias de funcionários e servidores de empresas ou órgãos públicos;
- identificação de pessoas que fazem jus a determinado direito;
- restrição de acesso de determinados usuários às aplicações;
- delegação de poderes (procuração);
- afirmação de fatos sobre o titular que sejam do conhecimento da Entidade Emissora de Certificados de Atributo.
Descrição do Certificado de Atributo
Um certificado de atributo é um documento eletrônico que contém um conjunto de atributos (qualificações) que se referem a um titular (normalmente uma pessoa ou empresa). Seu formato e sintaxe estão definidos pelo padrão X.509 [4], o mesmo padrão utilizado para certificados digitais, o que pode gerar certa confusão. O certificado digital associa seu titular a uma chave pública. É assinado por uma Autoridade Certificadora. Já o certificado de atributo não possui chave pública. É assinado digitalmente por uma entidade confiável (chamada de Entidade Emissora de Certificado de Atributo). Pode ser utilizado isoladamente ou em conjunto com um certificado digital. Assim, os atributos constantes no certificado de atributo podem ser alterados ou mesmo revogados sem que isso implique a revogação do certificado digital.
Principais diferenças entre Certificado Digital e de Atributo
A tabela a seguir elucida as principais diferenças entre esses dois tipos de certificados: Tabela 1 – Comparação entre Certificado Digital e Certificado de Atributo
Fonte: [2] e adaptação da autora Outra boa elucidação sobre o tema pode ser obtida na RFC 5755 [3].“Algumas pessoas confundem Certificados Digitais e Certificados de Atributo. Uma analogia pode fazer a distinção clara. O Certificado Digital pode ser considerado como um passaporte: identifica o titular, tende a durar por um longo período de tempo e não deve ser trivial de obter. Um Certificado de Atributo é mais parecido com um visto de entrada: é normalmente emitido por uma autoridade diferente e não dura por muito tempo. Obter um visto pode ser um processo mais simples do que obter um passaporte, já que a obtenção de um visto normalmente exige a apresentação de um passaporte.”.
Certificados de Atributo no âmbito da ICP-Brasil
No Brasil a utilização de Certificados de Atributo foi regulamentada pela Resolução 93 do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), de 05 de julho de 2012 [1] que aprovou o documento DOC-ICP-16 – VISÃO GERAL SOBRE CERTIFICADO DE ATRIBUTO PARA A ICP-BRASIL. “1.3 O uso do certificado de atributo, de forma autônoma ou em conjunto ou diretamente vinculado ao certificado digital pode propiciar um maior fator de segurança para as aplicações, visto que agrega a possibilidade de verificação dos atributos de qualificação do titular do certificado digital. A responsabilidade para emissão de um certificado de atributos é da Entidade Emissora de Certificado de Atributo (EEA) que de fato possui o direito de qualificar o requerente do certificado. As qualificações são representadas por atributos que estão presentes em um certificado de atributos.
Esse tipo de certificado foi criado para atender a uma demanda da sociedade brasileira, que não encontrou no modelo de certificado digital adotado pela ICP-Brasil, em 2001, resposta para várias necessidades de identificação e qualificação dos titulares.
O modelo inicialmente adotado pela ICP-Brasil foi um perfil de certificados chamado de centralizado, pois um único certificado reúne as funções de identificação e de qualificação do seu titular. Exemplo de campos de IDENTIFICAÇÃO são o nome e data de nascimento do usuário. Exemplos de campos de QUALIFICAÇÃO são o CPF e Título de Eleitor, informações que conferem atributos ao portador: o de ser contribuinte da Receita Federal do Brasil (RFB) e o de ser eleitor cadastrado no Tribunal Regional Eleitoral (TRE), respectivamente [2]. Houve uma tentativa de incluir ainda outros tipos de atributos nos certificados digitais ICP-Brasil, com a criação de campo específico para números de órgãos de classe[1] mas apenas duas entidades solicitaram sua utilização ao Instituto Nacional de Tecnologia da Informação, que faz a gestão desse campo, o que demonstra as limitações desse modelo. “O problema com o perfil centralizado é que muitas vezes a validade de um atributo é diferente da validade do certificado digital. Além disso, a autoridade que concede um atributo, geralmente não é a mesma que concede o certificado digital [FARRELL et al, 2010, p.2].
Por exemplo: uma Autoridade Certificadora (AC) tem a prerrogativa legal de emitir o certificado digital, mas não pode designar o atributo “médico” ao portador, uma vez que esta prerrogativa é do Conselho Federal de Medicina (CFM). Isso resulta em medidas adicionais para que o emissor do certificado digital obtenha as informações de atributos provenientes da fonte de autorização para que possam ser inseridas no certificado digital”. [2].
Outro problema com o modelo centralizado é que podem ocorrer alterações nos atributos do titular (por exemplo, um profissional registrado no órgão de classe deixa de exercer a profissão). Com isso, o certificado digital deve ser revogado, o que leva à necessidade de gerar um novo certificado digital, com os custos e transtornos associados. Com a Resolução 93, a ICP-Brasil adotou outro modelo de perfil de certificado, que é aquele no qual existe a separação das funções de identificação e de qualificação, chamado de descentralizado. “Neste formato, a identificação fica a cargo de um Certificado Digital de uma ICP e todos os atributos (qualificadores do usuário) apresentam-se no formato de Certificado de Atributo. Esses qualificadores definem os privilégios de acesso dos usuários concedendo-lhes permissões.
Esse perfil apresenta vantagens em relação ao centralizado, pois a revogação do Certificado de Atributo ocorre independentemente da revogação do Certificado Digital. Além disso, existem atributos que, dependendo dos requisitos de segurança da aplicação e dos prazos de vigência, dispensam o uso de mecanismos de revogação. Exemplo: um Certificado de Atributo de estado civil emitido por um cartório não necessita de controle de revogação, basta que a validade seja pequena (algumas horas segundo, FARRELL et al (2010)) e que o sistema usuário não considere a revogação como algo relevante. Nesta situação, apenas a validade do Certificado de Atributo é relevante.
Outra vantagem do Certificado de Atributo é a simplicidade da infraestrutura. Serve para qualificar usuários e, assim, não necessita de validação do usuário para sua emissão ou mesmo da sua autorização. Os serviços eletrônicos que necessitam altos níveis de segurança precisam basicamente de duas verificações: identificação correta do usuário (autenticação) e a concessão dos privilégios aos quais o usuário têm direito de acesso. Uma vez que o processo de identificação ocorra usando um Certificado Digital, de uso geral e comum para todos os sistemas, os privilégios poderiam ser efetuados pelos mais variados Certificados de Atributo. [2].”
Tipos de Certificados de Atributo
Para a ICP-Brasil foram definidos dois tipos de Certificados de Atributo [1]: Certificado de Atributo Autônomo (CAA) – pode ser emitido sem a presença do titular e não requer a existência de um certificado digital associado. “O processo de emissão requer apenas que a EEA seja a entidade gestora do atributo que será inserido no certificado de atributo assinado. Obviamente é necessário que o certificado de atributo guarde alguma relação direta ou referência com alguma informação relativa ao cidadão (RG, CPF, entre outros) ou a empresa (CNAE, CNPJ, entre outros)”. Certificado de Atributo Vinculado ao Certificado Digital (CAV) – “este certificado se caracteriza por ter um vínculo direto com algum certificado digital ICP-Brasil previamente emitido. Isso garante maior segurança ao processo de autenticação e autorização associado ao uso da certificação digital.
Enquanto o certificado digital permite a identificação de seu titular, o certificado de atributos qualifica este mesmo titular para um determinado ato. Para a emissão de um CAV, a EEA tem que necessariamente ter acesso ao certificado digital do titular para poder associar as informações constantes do certificado digital ao certificado de atributo a ser emitido.” Um exemplo de utilização de Certificados de Atributo Autônomos seria a emissão desses certificados por instituições públicas, para servirem como certidões ou declarações a respeito do titular.
Essa estratégia traria diversos benefícios: a) emissão de um documento eletrônico, neste caso uma certidão eletrônica, com valor probante; b) a certidão eletrônica, na forma de um certificado de atributo, poderia ser tratada (interpretada) eletronicamente, seja para aferir a autenticidade, seja ainda para dar a devido tratamento em um processo eletrônico; c) interoperabilidade em operações eletrônicas seguras [1]. Um Certificado de Atributo Vinculado pode ser usado em conjunto com o certificado digital para autenticação em sistemas, por exemplo.
O certificado digital serviria para a autenticação do titular no sistema, enquanto o certificado de atributo seria utilizado para permitir seu acesso às transações para as quais estivesse autorizado. O caso mais importante de utilização de certificado de atributo no país, até o momento, é a emissão de carteiras estudantis. “O certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil será o certificado de atributos, modelo que tem validade jurídica quando assinado com um certificado digital da ICP-Brasil de propriedade da entidade que conceda determinado atributo. Na prática, o cidadão terá sua carteira estudantil emitida quando uma das entidades estudantis, em posse de seu certificado digital ICP-Brasil, assinar digitalmente a emissão do atributo. Declarando eletronicamente que determinada pessoa é estudante, a entidade estudantil responsabiliza-se pela emissão, data de validade e que efeitos legais o título de estudante concederá proprietário desta identidade estudantil.“ [5].
Quem serão as Entidades Emissoras de Certificados de Atributo no Brasil?
Os Certificados de Atributo são emitidos por uma Entidade Emissora de Atributos (EEA), que é a entidade que detém prerrogativa legal na verificação e gestão do atributo conferido. Segundo [1], a premissa para que uma instituição, empresa ou entidade seja também uma EEA é que essa seja responsável pela gestão do ciclo de vida daqueles atributos e do respectivo certificado gerado a partir dos atributos escolhidos.
Há inúmeros exemplos de atributos, assim como são inúmeras as entidades candidatas a emitirem Certificados de Atributo. A relação desta entidade com a ICP-Brasil se faz tão somente quando esta mesma entidade emissora assina o certificado de atributo com um certificado digital pertencente à cadeia de confiança da ICP-Brasil.
O simples fato de assinar um certificado de atributos com um certificado digital padrão ICP-Brasil confere a esse todas as prerrogativas legais, já que um certificado de atributos é um documento eletrônico assinado num formato específico, neste caso no formato X.509.” Exemplos de entidades que podem se tornar Emissoras de Certificados de Atributo:
- órgãos de classe – OAB, CAU, CREA, CFM etc. podem utilizar essa tecnologia para identificar seus profissionais para acesso aos sistemas informatizados respectivos. Um exemplo seria a utilização de certificados de atributo emitidos pelo CREA para limitar aos engenheiros em situação regular o acesso a sistemas eletrônicos de preenchimento de Anotações de Responsabilidade Técnica;
- faculdades e escolas – podem emitir diplomas e certificados de conclusão para seus alunos, utilizando formato que poderá ser reconhecido por diferentes aplicações;
- cartórios e registadores – podem utilizá-lo para emitir certidões dos mais diversos tipos;
- laboratórios – podem emitir laudos de exames realizados;
- órgãos públicos – podem emitir certificados de atributos para concessão de benefícios à população em geral, como bolsa-família;
- empresas em geral – podem emitir certificados de atributo para limitar as operações que cada funcionário pode realizar com seu certificado digital, de acordo com o cargo que ocupa; podem emitir certificados de atributos para concessão de benefícios aos seus funcionários, como vale-alimentação, vale-cultura etc.
Para assinar o certificado de atributo, a Entidade Emissora de Atributo deve utilizar um certificado digital ICP-Brasil de Pessoa Jurídica do tipo A3 ou A4, sendo recomendado que a instituição reserve um certificado digital exclusivamente para essa finalidade. Para garantir a interoperabilidade dos sistemas, a ICP-Brasil recomenda que a EEA padronize os atributos cuja gestão está a seu cargo, bem como obtenha um.
Os OIDs podem ser solicitados à IANA (Internet Assigned Number Authority), de forma gratuita. O investimento para se tornar uma EEA não é muito expressivo, se escolhidas as soluções adequadas. Para isso recomenda-se a contratação de assessoria especializada, que ajudará na concepção geral do modelo de negócios, na escolha das ferramentas e no registro dos Identificadores de Objeto (OID) para cada atributo.
Conclusão
O uso de Certificados de Atributo ainda está embrionário no País, possivelmente por falta de conhecimento desse poderoso recurso e dos benefícios que pode trazer, principalmente por parte da comunidade desenvolvedora de sistemas e de gestores de negócios das empresas privadas e organizações públicas. O Instituto Nacional de Tecnologia da Informação está empenhado em fomentar o uso de Certificados de Atributo. Para tanto, está desenvolvendo um Sistema Gerenciador de Certificados de Atributo, em parceria, com o Laboratório de Segurança em Computação – LabSEC da Universidade Federal de Santa Catarina – UFSC. Algumas empresas também já oferecem soluções para as Entidades Emissoras de Certificados de Atributo, como plataformas completas que facilitam a criação e gestão desses certificados, bem como sua utilização para autenticação e autorização de acesso a sistemas seguros. Espera-se que com isso a sociedade brasileira comece a utilizar de forma mais abrangente e efetiva essa importante ferramenta tecnológica.
Bibliografia
[1] Comitê Gestor da ICP-Brasil. Resolução n° 93, de 05 de julho de 2012 – Estabelece o documento visão geral sobre Certificado de Atributo versão 1.0 para a ICP- Brasil (DOC-ICP-16). Infraestrutura de Chaves Públicas Brasileira. Disponível em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/Legislacao>. Acesso em: 24 mar 2014 [2] Fukushima C. Aplicabilidade de Certificados de Atributo no Âmbito da ICP-Brasil. 176 p. Dissertação (Mestrado em Engenharia da Computação) – Instituto de Pesquisas Tecnológicas do Estado de São Paulo – IPT, São Paulo, 2010. [3] Farrell, S; Housley, R. – RFC 5755 – An Internet Attribute Certificate Profile for Authorization, jan, 2000. [4] ITU-T Rec. X.509 ISO/IEC 9594-8 – The Directory: Public-key and attribute certificate framework, mar, 2000. [5] ITI Notícias – Disponível em: http://www.iti.gov.br/noticias/indice-de-noticias/4186-une-lanca-carteira-estudantil-com-certificado-digital-icp-brasil Acesso em: 25 mar 2014. [6] ITI Notícias – Disponível em: http://www.iti.gov.br/noticias/indice-de-noticias/4592-iti-e-ufsc-apresentam-sistema-gerenciador-de-certificados-de-atributos. Acesso em: 25 mar 2014.
[1] OID 2.16.76.1.4 – Identificação de Atributos Opcionais de Certificado
Viviane Bertol – viviane@pkiconsulting.com |
Conheça outros artigos escritos pela autora
Fonte: PKI Consulting
- Conheça o ID Cast, o podcast oficial do Crypto ID!
- Viviane Bertol explica o que é AR Eletrônica e fala sobre os novos procedimentos de validação da ICP-Brasil
- Entenda o Universo dos Certificados de Atributo
- AARB firma parceria com PKI Consulting, maior autoridade em auditoria de ACs e ARs da ICP-Brasil – Ouça
- PKI Consulting é credenciada a Webtrust como Practitioner
- Certificado Digital na Internet das Coisas
- Pontos de Atendimento na ICP-Brasil: ter ou não ter?
- Certificação digital. De onde surgiu e por que ela me interessaria?
- Uso de HSM para guarda de certificados digitais – Por Viviane Bertol e Fabiano Menke
- As mudanças trazidas pela certificação digital ao mercado de tecnologia