Últimas notícias

Fique informado
O protocolo OCSP ajudando a elevar a segurança da Internet

O protocolo OCSP ajudando a elevar a segurança da Internet

27/02/2015

Spotlight

A MP 983 e a classificação das assinaturas eletrônicas: comparação com a MP 2.200-2 | Por Fabiano Menke

Em 16 de junho de 2020 foi editada a Medida Provisória nº 983 (MP 983), que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde, e trata sobre as licenças de softwares desenvolvidos por entes públicos.

29/06/2020

Quem é o CASC e qual a sua importância para a segurança da Internet

Sabemos que com o destaque da internet e o avanço

27/01/2015

Validando uma Assinatura Digital

Por Eder Alvares P. Souza Como minha primeira contribuição ao

06/01/2015
eder-03

Eder Souza- Colunista CryptoID

Como no artigo passado falei um pouco sobre o CASC e a sua importância para a segurança da internet, acredito ser natural citar uma das suas iniciativas e apresentar um protocolo fundamental para a garantia da integridade e idoneidade de sites e serviços online.

Mas primeiramente é importante esclarecer o que é e para que serve os serviços de revogação de certificados digitais.

A revogação de certificados digitais é um mecanismo fundamental para a proteção dos titulares dos cerificados digitais e dos interessados em ter acesso aos serviços digitais prestados por estes ou validar a identidade digital destes titulares.

Imagine se, em decorrência de uma invasão aos servidores corporativos de uma empresa prestadora de serviços online, os seus certificados digitais são furtados e posteriormente utilizados em servidores falsos, destinados a se passar pelos legítimos e roubar dados dos seus clientes. Como essa empresa pode comunicar a todos sobre esse risco?

Outra situação possível seria, após o furto de um computador corporativo, certificados digitais destinados a assinatura de documentos eletrônicos caírem em mãos erradas. Como comunicar aos interessados que, a partir daquele momento, qualquer documento digital assinado com os certificados digitais perdidos deve ser desconsiderado e os titulares destes certificados digitais isentos de qualquer responsabilidade sobre o seu conteúdo?

A ação a ser adotada com o objetivo de comunicar de forma eficiente sobre os incidentes é solicitar a revogação dos certificados digitais e assim, após essa revogação, todos os interessados em verificar a situação destes certificados digitais serão notificados e poderão desconsiderar documentos eletrônicos assinados com estes ou finalizar qualquer comunicação estabelecida com os servidores maliciosos.

Atualmente existem dois métodos principais pelos quais a revogação pode ser comunicada, através da Lista de Certificados Revogados (LCR) ou do serviço Online Certificate Status Protocol (OCSP).

A LCR está descrita na RFC5280 e é uma lista, emitida pela Autoridade Certificadora (AC) e que contêm todos os certificados digitais emitidos por esta AC e revogados pelos seus titulares ou por entidades autorizadas.

A principal questão sobre o uso da LCR é a periodicidade para a sua emissão, pois cada AC ou Infraestrutura de Chaves Públicas (ICP) adota uma regra distinta sobre o intervalo para emissão da LCR, que pode variar de 1 hora a até 24 horas, dependendo  da política adotada e esse intervalo está descrito na Declaração de Práticas de Certificação (DPC), que é um documento destinado a descrever às práticas dotadas por cada AC.

Assim, após a revogação do certificado digital o seu número serial é inserido na próxima LCR a ser pública pela AC e em algumas situações, esse intervalo de tempo entre a revogação do certificado digital e a comunicação através da LCR pode representar um grande risco às empresas.

Com o objetivo de reduzir o risco referente a esse intervalo de tempo entre a revogação e a comunicação aos interessados, foi desenvolvido o protocolo OCSP, que é um protocolo destinado a permitir a consulta sobre o estado de um certificado digital de maneira on-line e assim, é possível saber se um certificado digital deixou de ser válido logo após a sua revogação.

O protocolo OCSP está descrito na RFC2560 e as respostas são assinadas digitalmente pela AC responsável por sua emissão, impossibilitando que um atacante o substituía ou altere seu conteúdo.

Consequentemente, esse protocolo tem se tornado um grande aliado na adoção dos certificados digitais para autenticação de servidores, componentes web e qualquer outra necessidade que faça uso dos certificados digitais para garantir a origem e integridade de um elemento eletrônico.

Ainda é possível garantir a privacidade dos usuários que estão verificando a validade de um certificado digital utilizando uma importante extensão do protocolo TLS 1.2 e que está descrito na RFC6066.

Através dessa extensão, o usuário pode solicitar e já receber, durante o processo de estabelecimento da conexão TLS também conhecido como handshake, a resposta OCSP contendo o estado de revogação do certificado digital utilizado pelo servidor.

Esse mecanismo garante a privacidade do usuário e reduz o consumo de recursos de conectividade, pois o servidor onde o serviço está hospedado e que possui o certificado digital a ser verificado, já efetua a solicitação da resposta OCSP a AC responsável pelo certificado digital e envia essa resposta ao usuário durante o processo de conexão com o serviço. Essa técnica é conhecida também como OCSP Stapling.

Enxergando esses benefícios, o CASC tem investido esforços com o objetivo de educar a sociedade sobre a utilização do OCSP e, em parceria com as ACs, disponibilizar esse serviço às empresas usuárias da certificação digital.

O CASC também tem atuando junto com as empresas desenvolvedoras de software, e que permitem a utilização dos certificados digitais para a proteção dos seus usuários, para compatibilizar seus softwares com o protocolo OCSP, disponibilizando mais essa opção de verificação sobre a revogação dos certificados digitais.

Nesse momento, para a ICP-Brasil, o OCSP ainda não é um serviço obrigatório por parte das ACs, sendo a LCR a opção exigida para essas verificações. Acredito que em um momento próximo o Comitê Gestor da ICP-Brasil irá se pronunciar sobre os benefícios da migração para o OCSP e solicitar o apoio das ACs credenciadas para a transição e adoção deste protocolo.

Para os interessados em adquirir tecnologias que fazem uso dos certificados digitais na proteção das identidades e informações a recomendação é verificar a disponibilidade e compatibilidade com o OCSP e assim, se beneficiar da segurança proporcionada pelo protocolo nas consultas sobre a revogação dos certificados digitais utilizados.

Até a próxima!

Eder Alvares P. Souza

  • Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
  • Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
  • Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
  • Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
  • Eder é colunista e membro do conselho editorial do Instituto CryptoID.

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<