Últimas notícias

Fique informado

Instruções Normativas do ITI nºs 15, 16 e 17 de 2020

20/11/2020

Foram publicadas em: 19/11/2020 na  Edição: 221, Seção: 1, Página: 1 do Diário Oficial da União as Instruções Normativas nºs 15, 16 e 17 de 2020 que aprovam respectivamente:

A versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01

A versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.

A versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos DOC-ICP-11.01.

Ao todo são 5 documentos aprovados por Resoluções do Comitê Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O site do ITI publica sempre a versão mais atualizada desses documentos e as Resoluções que os aprovaram que devem ser consultados quando necessário.

No final desse artigo incluímos um link para a Instrução Normativas e a versão do Diário Oficial da união.

Confira o sumário

1 – INSTRUÇÃO NORMATIVA ITI Nº 15, DE 18 DE NOVEMBRO DE 2020

Aprova a versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICPBrasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,

A determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:

Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Atribuição de OID na ICP-Brasil DOC-ICP-04.01.

Art. 2º Fica aprovada a versão 5.0 do documento DOC-ICP-04.01 – Atribuição de OID na ICP-Brasil, anexa a esta Instrução Normativa.

Art. 3º Ficam revogadas:

I – a Instrução Normativa nº 05, de 18 de maio de 2006;

II – a Instrução Normativa nº 04, de 28 de janeiro de 2009;

III – a Instrução Normativa nº 06, de 13 de outubro de 2009;

IV – a Instrução Normativa nº 06, de 17 de maio de 2010;

V – a Instrução Normativa nº 11, de 05 de julho de 2012;

VI – a Instrução Normativa nº 02, de 31 de março de 2016;

VII – a Instrução Normativa nº 10, de 16 de setembro de 2016;

VIII – a Instrução Normativa nº 07, de 14 de maio de 2018; e

IX – a Instrução Normativa nº 06, de 12 de maio de 2020;

Art. 4º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.

CARLOS ROBERTO FORTNER

ATRIBUIÇÃO DE OID NA ICP-BRASIL

DOC-ICP-04.01

Versão 5.0

18 de novembro de 2020

CONTROLE DE ALTERAÇÕES

CONTROLE DE ALTERAÇÕES

Resolução ou IN que aprovou a alteraçãoItem alteradoDescrição da alteração
IN ITI nº 15, de18/11/2020Versão 5.0Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
IN nº 06 de12/05/2020Versão 4.0Item 2.1Tabela 1 do item 2.5Alteração no nome do arco 4.Criação do arco 12 para Documentos digitais.
Resolução nº 139de 03.07.2018Versão 3.4Tabela do item 2.5Criação do arco de OID para Política de Certificado para Objetos Metrológicos – OM-BR no âmbito da ICP-Brasil.
IN nº 07 de10/05/2018Versão 3.3Item 2.1Tabela 1 do item 2.5Acrescenta o Arco de OID 2.16.76.1.11.n, para Declarações de Práticas de Prestador de Serviço de Confiança
IN nº 10 de16/09/2016Versão 3.2Item 2.1Tabela 1 do item 2.5Acrescenta o Arco de OID 2.16.76.1.10.n, para Atributos de Carteira de Identificação Estudantil
IN nº02 de31/03/2016Versão 3.1Item 2.1Item 2.5Acrescenta o Arco de OID para Extensões de Políticas de Assinatura para PAdES.Excluir o Arco 2.16.76.1.2.201.n, referente à identificação de Políticas de Certificados de Autoridade Certificadora
Resolução nº 115de 11.11.2015Versão 3.0Acrescentar o Arco de OID para Políticas de Certificado A CF-e-SAT da ICP-BrasilCriação de Política de Certificado A CF-eSAT.
IN nº 11de 05.07.2012Versão 2.3Item 2.1 h, tabela 1 do item 2.5Acrescenta-se o subitem “h” ao item 2.1, OID para Listas de Políticas de Assinatura Aprovadas e acrescenta-se como último elemento da Tabela 1 do item 2.5.
IN nº 06de 18.05.2010Versão 2.2Atualização da Tabela 1Atualização, otimização e padronização das tabelas de alocação de OID na ICP-Brasil de assinatura digital da ICP-Brasil.
Item 7.1.2.3 “c”Retificação na tabela de alocação de OID,
IN nº 06de 13.2009Versão 2.1como acréscimo do OID 2.16.76.1.3.8,citado no item 7.1.2.3.”c”.
IN nº 04de 28.01.2009Versão 2.0Atualização do DOC-ICP04.01Aprova a versão 2.0 do documentoATRIBUIÇÃO DE OID NA ICP-BRASIL
IN nº 05de 18.05.2006Versão 1.0Criação do DOC-ICP-04.01Aprova a versão 1.0 do documentoATRIBUIÇÃO DE OID NA ICP-BRASIL

LISTA DE SIGLAS E ACRÔNIMOS

SIGLADESCRIÇÃO
ACAutoridade Certificadora
AC RaizAutoridade Certificadora Raiz da ICP-Brasil
CEICadastro Específico do INSS
CF-eCupom Fiscal Eletrônico
CNPJCadastro Nacional de Pessoas Jurídicas
CPFCadastro de Pessoas Físicas
ICP-BrasilInfraestrutura de Chaves Públicas Brasileira
INSSInstituto Nacional do Seguro Social
ISOInternational Organization for Standardization
ITIInstituto Nacional de Tecnologia da Informação
ITUInternational Telecommunications Union
OIDObject Identifier
OM-BRObjetos Metrológicos ICP-Brasil
PASEPPrograma de Formação do Patrimônio do Servidor Público
PISPrograma de Integração Social
RGRegistro Geral
SATSistema de Autenticação e Transmissão

1 INTRODUÇÃO

1.1 Object Identifier (OID) é um número único que identifica uma classe de objetos, um atributo, ou uma combinação destes em um diretório. Os OIDs são alocados por entidades emissoras, seguindo uma arquitetura hierárquica. A representação de um OID ocorre a partir de um conjunto de números decimais separados por pontos (ex.: 1.2.3.4).

1.2 Um OID deve ser único em todo o universo considerado. O processo de alocação deve assegurar que objetos definidos por entidades diferentes não entrem em conflito. Os OIDs são alocados pela International Telecommunications Union – Telecomunications (ITU-T), pela International Standards Organization (ISO) ou por entidades delegadas, responsáveis pela alocação hierarquicamente inferior e dentro do próprio arco.

1.3 A partir de um OID-raiz formam-se os OIDs derivados, pela adição de pontos e números decimais após o OID-raiz daquele arco.

1.4 O Brasil recebeu da ISO o OID-raiz 2.16.76.1 e a partir dele o Instituto Nacional de Tecnologia da Informação – ITI criou OID para identificar cada Autoridade Certificadora e cada Política de Certificados, bem como outros elementos necessários ao funcionamento da ICPBrasil. Esses OIDs, incorporados aos certificados emitidos pelas ACs da ICP-Brasil, permitem identificar de forma inequívoca o tipo de certificado, seu titular e a AC emitente.

2. ATRIBUIÇÃO DE OID NA ICP-BRASIL

2.1 A partir do OID 2.16.76.1 foram definidas as seguintes ramificações:

a) 2.16.76.1.1.n – OID para Declarações de Práticas de Certificação

b) 2.16.76.1.2.n – OID para Políticas de Certificados

c) 2.16.76.1.3.n – OID para Atributos Obrigatórios de Certificados

d) 2.16.76.1.4.n – OID para outros Atributos de Certificados

e) 2.16.76.1.5.n – OID para Declaração de Práticas de Carimbo do Tempo

f) 2.16.76.1.6.n – OID para Políticas de Carimbo do Tempo

g) 2.16.76.1.7.n – OID para Políticas de Assinatura

h) 2.16.76.1.8.n – OID para Extensões de Políticas de Assinatura para PAdES

i) 2.16.76.1.9.n – OID para Listas de Políticas de Assinatura Aprovadas

j) 2.16.76.1.10.n – OID para Atributos de Carteira de Identificação Estudantil

k) 2.16.76.1.11.n – OID para Declarações de Práticas de Prestador de Serviço de Confiança

l) 2.16.76.1.12.n – OID para Documentos Digitais

2.2 Os OID 2.16.76.1.1.n, 2.16.76.1.2.n, 2.16.76.1.5.n, 2.16.76.1.6.n e 2.16.76.1.11.n são atribuídos pela Diretoria de Auditoria, Fiscalização e Normalização do ITI, quando do credenciamento das entidades da ICP-Brasil e de suas políticas de certificados, conforme Decreto nº 8.985, de 08 de fevereiro de 2017.

2.3 Os OID 2.16.76.1.3.n são utilizados para identificação de atributos obrigatórios de certificados, foram definidos por meio de Resoluções do Comitê Gestor da ICP-Brasil. Todos os certificados da ICP-Brasil devem conter este OID, mesmo que os campos estejam vazios.

2.4 Os OID 2.16.76.1.4.n são utilizados para identificação de outros atributos de certificados. São atribuídos pelo ITI às empresas, entidades, categorias profissionais e outras finalidades, mediante solicitação. Seu uso não é obrigatório nos certificados.

2.5 A tabela 1 relaciona os principais subarcos de OID no arco da ICP-Brasil. O detalhamento de cada ramificação está no documento ESQUEMA DE OID NA ICP-BRASIL ADE-ICP-04.01 [1].

Tabela 1 – Regra geral de atribuições de OID da ICP-Brasil

OIDUtilização
2.16.76.1.1Identificação de Declarações de Práticas de Certificação
2.16.76.1.1.nIdentificação de Declarações de Práticas de Certificação de AutoridadesCertificadoras Credenciadas
2.16.76.1.2.1Identificação de Políticas de Certificados
2.16.76.1.2.1.nIdentificação de Políticas de Certificados do tipo A1
2.16.76.1.2.2.nIdentificação de Políticas de Certificados do tipo A2
2.16.76.1.2.3.nIdentificação de Políticas de Certificados do tipo A3
2.16.76.1.2.4.nIdentificação de Políticas de Certificados do tipo A4
2.16.76.1.2.101.nIdentificação de Políticas de Certificados do tipo S1
2.16.76.1.2.102.nIdentificação de Políticas de Certificados do tipo S2
2.16.76.1.2.103.nIdentificação de Políticas de Certificados do tipo S3
2.16.76.1.2.104.nIdentificação de Políticas de Certificados do tipo S4
2.16.76.1.2.303.nIdentificação de Políticas de Certificados de Carimbo do Tempo T3
2.16.76.1.2.304.nIdentificação de Políticas de Certificados de Carimbo do Tempo T4
2.16.76.1.2.500.nIdentificação de Políticas de Certificados do tipo A CF- e-SAT
2.16.76.1.2.550.nIdentificação de Políticas de Certificados do tipo OM-BR
2.16.76.1.3.nIdentificação de Atributos Obrigatórios de Certificados
2.16.76.1.3.1Campo otherName em certificado de pessoa física, contento os dados dotitular (data de nascimento, CPF, PIS/PASEP/CI, RG)
2.16.76.1.3.2CampootherNameem certificado de pessoa jurídica, contendo o nomedo responsável pelo certificado
2.16.76.1.3.3CampootherNameem certificado de pessoa jurídica, contendo oCadastro Nacional de Pessoa Jurídica (CNPJ) da pessoa jurídica titulardo certificado
2.16.76.1.3.4CampootherNameem certificado de pessoa jurídica, contendo os dadosdo responsável pelo certificado de pessoa jurídica titular do certificado(data de nascimento, CPF, PIS/PASEP/CI, RG)
2.16.76.1.3.5CampootherNameem certificado de pessoa física, contendoinformações sobre o Título de Eleitor do titular
2.16.76.1.3.6CampootherNameem certificado de pessoa física, contendo nas 12posições o número do Cadastro Específico do INSS (CEI) da pessoafísica titular do certificado
2.16.76.1.3.7CampootherNameem certificado de pessoa jurídica, contendo o númerodo Cadastro Específico do INSS (CEI) da pessoa jurídica titular docertificado
2.16.76.1.3.8CampootherNameem certificado de pessoa jurídica, contendo nomeempresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurídica),sem abreviações
2.16.76.1.3.9CampootherNameem certificado de pessoa física, contendo nasprimeiras onze posições, o número de Registro de Identidade Civil
2.16.76.1.3.10CampootherNameem certificado do tipo A CF-e-SAT, contendo dadosdo contribuinte e do equipamento emissor do cupom fiscal eletrônico
2.16.76.1.3.11CampootherNameem certificado para servidor público da ativa emilitar da União, contendo dados de cadastro nos sistemas de gestão depessoal
2.16.76.1.3.12CampootherNameem certificado para equipamentos OM-BR,contendo a data de fabricação e os dados de identificação doequipamento.
2.16.76.1.4Identificação de Outros Atributos de Certificados
2.16.76.1.4.nIdentificação do ramo de atividade (Entidades sindicais / empresas /juntas comerciais etc.)
2.16.76.1.4.n.nIdentificação da entidade(numeração concedida conforme solicitação)
2.16.76.1.4.n.n.nOID para uso específico daquela entidade
(numeração concedida conforme solicitação)
2.16.76.1.5.nOID para Declarações de Práticas de Carimbo do Tempo
2.16.76.1.6.nOID para Políticas de Carimbo do Tempo
2.16.76.1.7.nOID para Políticas de Assinaturas
2.16.76.1.8.nOID para Extensões de Políticas de Assinatura para PAdES
2.16.76.1.9.nOID para Listas de Políticas de Assinaturas Aprovadas
2.16.76.1.10.nOID para Atributos de Carteira de Identificação Estudantil
2.16.76.1.11.nOID para Declarações de Práticas de Prestador de Serviço de Confiança
2.16.76.1.12.nOID para Documentos Digitais
2.16.76.1.12.1.nOID para Documentos Digitais da Saúde
2.16.76.1.12.2.nOID para Documentos Médico-legais Digitais
2.16.76.1.12.3.nOID para Documentos Digitais das Juntas Comerciais

Onde: né um número inteiro atribuído pelo ITI para cada OID.

3 DOCUMENTOS REFERENCIADOS

3.1. O documento abaixo é aprovado pela AC Raiz, podendo ser alterado, quando necessário, mediante publicação de uma nova versão do sítio http://www.iti.gov.br .

Ref.Nome do documentoCódigo
[1]ESQUEMA DE OID NA ICP-BRASILADE-ICP-04.01

2 – INSTRUÇÃO NORMATIVA ITI Nº 16, DE 17 DE NOVEMBRO DE 2020

Aprova a versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,

CONSIDERANDO a determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:

Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior DOC-ICP-05.01.

Art. 2º Fica aprovada a versão 2.0 do documento DOC-ICP-05.01 – Procedimentos para Identificação de Servidores de Serviço Exterior Brasileiro em Missão Permanente no Exterior.

Art. 3º Fica revogada a Instrução Normativa nº 01, de 18 de abril de 2008.

Art. 4º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.

CARLOS ROBERTO FORTNER

PROCEDIMENTOS PARA IDENTIFICAÇÃO DE SERVIDORES DO SERVIÇO EXTERIOR BRASILEIRO EM MISSÃO PERMANENTE NO EXTERIOR

DOC-ICP-05.01

Versão 2.0

18 de novembro de 2020

CONTROLE DE ALTERAÇÕES

Resolução ou IN que aprovou a alteraçãoItem alteradoDescrição da alteração
IN ITI nº 16 de18/11/2020Versão 2.0Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
IN 01/2008, de18.04.2008Criação do DOC-ICP 05.01.Aprovação da versão 1.0 do DOC-ICP-05.01

LISTA DE SIGLAS E ACRÔNIMOS

SIGLADESCRIÇÃO
ARAutoridade de Registro
ICP-BrasilInfraestrutura de Chaves Públicas Brasileira
MREMinistério das Relações Exteriores

1 DISPOSIÇÕES GERAIS

1.1 Este documento se aplica ao processo de confirmação da identidade de servidores do Serviço Exterior Brasileiro, em missão permanente no exterior e que sirvam em postos no exterior, assim caracterizados conforme a Lei nº 11.440, de 29 de dezembro de 2006.

1.1.1 Consideram-se postos no exterior as repartições do Ministério das Relações Exteriores – MRE sediadas em país estrangeiro.

1.2 Este documento suplementa o subitem referente a procedimentos específicos de validação inicial da identidade para Servidores do Serviço Exterior Brasileiro do documento REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL – DOC-ICP-05 [1].

1.3 Esse processo faz parte da etapa de validação inicial da identidade, devendo ser utilizado quando houver impedimentos para que a identificação ocorra conforme o disposto no subitem que trata desse procedimento no DOC-ICP-05.

2 PROCEDIMENTOS

2.1 Procedimentos no exterior

2.1.1 A confirmação da identidade do solicitante do certificado digital será realizada por servidor do Serviço Exterior Brasileiro das Carreiras de Diplomata, Oficial de Chancelaria e Assistente de Chancelaria.

2.1.1.1 O servidor responsável pela confirmação da identidade será formalmente designado por superior hierárquico, que esteja no exercício de um dos seguintes cargos: Cônsul Geral, Cônsul Geral Adjunto, Cônsul, Cônsul Adjunto, Embaixador e Encarregado de Negócios.

2.1.1.2 Caso seja designado servidor da Carreira de Oficial de Chancelaria ou de Assistente de Chancelaria, esse deve exercer o cargo de vice-cônsul ou ser autoridade responsável pelo Setor Consular.

2.1.2 O servidor responsável pela confirmação da identidade deverá assinar o Termo de Titularidade como responsável pela identificação do solicitante do certificado digital.

2.1.3 Os documentos de identificação, coletados na etapa da confirmação da identidade do indivíduo, comporão os dossiês dos Titulares de Certificado, que serão enviados em caráter sigiloso, por mala diplomática ao MRE no Brasil.

2.2 Procedimentos no Brasil

2.2.1 O MRE encaminhará os dossiês à Autoridade de Registro (AR) responsável pela emissão dos certificados digitais, resguardando seu caráter sigiloso.

2.2.2 As conferências para a validação da solicitação de certificado, a confirmação da validação, assim como a emissão do certificado serão realizadas por Agente de Registro devidamente cadastrado na ICP-Brasil.

3 DOCUMENTOS REFERENCIADOS

3.1. O documento abaixo é aprovado pela AC Raiz, podendo ser alterado, quando necessário, mediante publicação de uma nova versão do sítio http://www.iti.gov.br .

Ref.Nome do documentoCódigo
[1]REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASILAprovado pela Resolução nº 08, de 12 de dezembro de 2001DOC-ICP-05

3 – INSTRUÇÃO NORMATIVA ITI Nº 17, DE 18 DE NOVEMBRO DE 2020

Aprova a versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos DOC-ICP-11.01.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,

CONSIDERANDO a necessidade de avanço para protocolo aberto de carimbo do tempo, resolve:

Art. 1º Aprovar a versão 1.0 do documento DOC-ICP-11.01 – Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos.

Art. 2º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2020.

CARLOS ROBERTO FORTNER

REDE DE CARIMBO DO TEMPO NA ICP-BRASIL

RECURSOS TÉCNICOS

DOC-ICP-11.01

Versão 1.0

18 de novembro de 2020

CONTROLE DE ALTERAÇÕES

Resolução ou IN que aprovou a alteraçãoItem alteradoDescrição da alteração
Instrução Normativa ITI nº 17, de 18.11.2020Versão 1.0Aprova a versão 1.0 do documento Rede de Carimbo do Tempo na ICP-Brasil – Recursos Técnicos.

LISTA DE SIGLAS E ACRÔNIMOS

SIGLADESCRIÇÃO
ACAutoridade Certificadora
AC RAIZAutoridade Certificadora Raiz da ICP-Brasil
ASSistemas Autônomos
EATEntidade de Auditoria do Tempo
ETSIEuropean Telecommunication Standard Institute
FCTFonte Confiável do Tempo
ICP-BrasilInfraestrutura de Chaves Públicas Brasileira
IETFInternet Engineering Task Force
MSCMódulo de Segurança Criptográfico
RCTRede de Carimbo do Tempo da ICP-Brasil
RFCRequest For Comments
SASSistemas de Auditoria e Sincronismo
SCTSistema de Carimbo do Tempo
TLSTransport Layer Security

1 INTRODUÇÃO

1.1 Este documento faz parte de um conjunto de normativos criados para regulamentar a geração e uso de carimbos do tempo no âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Tal conjunto se compõe dos seguintes documentos:

a) VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASIL [1];

b) REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP- BRASIL [2];

c) REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO NA ICP-BRASIL [3];

d) PROCEDIMENTOS PARA AUDITORIA DO TEMPO NA ICP-BRASIL [4]; e

e) REDE DE CARIMBO DO TEMPO NA ICP-BRASIL – RECURSOS TÉCNICOS, este documento.

1.2. Este documento foi elaborado com base nas normas da ICP-Brasil, nas RFC 3628 e 3161 do IETF e no documento TS 101861 do ETSI.

1.3 Este documento define recursos técnicos adotados para a Rede de Carimbo do Tempo da ICP-Brasil – RCT, como protocolos para sincronismo, auditoria e outros aspectos de segurança.

2 SINCRONISMO DO TEMPO

2.1 Os recursos usados para manter o sincronismo dos relógios dos equipamentos que compõem a Rede de Carimbo do tempo da ICP-Brasil são os seguintes:

a) o sincronismo entre a FCT e o SAS deve empregar o protocolo PTPv2.1 – IEEE 1588v2-2008, com uso de estampas do tempo produzidas pelo hardware das interfaces de rede (hardware timestamping);

b) o sincronismo dos relógios dos SCT com o SAS deve ocorrer permanentemente, em períodos variáveis definidos e iniciados por equipamentos da EAT, utilizando o protocolo PTPv2 – IEEE 1588v2-2008. A fim de prover autenticação de dados no protocolo PTP deve-se associá-lo ao subprotocolo NTS-KE – “NTS Key Establishment”, parte do protocolo para segurança do tempo em redes para o protocolo NTP (Network Time Security for the Network Time Protocol), servindo para iniciar a troca de chaves criptográficas e outros dados de segurança, por meio do protocolo TLS, entre servidor (SAS) e o cliente (SCT). O sincronismo entre SAS e SCT deve ser permitido somente para equipamentos autorizados.

2.2 Os SCT devem gerar Árvores de Encadeamento do Tempo, que é uma estrutura de encadeamento de carimbos do tempo e dados sincronismo empregando recursos criptográficos baseados em Árvores de Merkle;

2.2.1 O SCT, ao receber um novo alvará, inicia uma nova Árvore;

2.2.2 Cada Árvore, indexada por 1 (um) alvará, formará um bloco, o qual conterá:

i) estampa do tempo de finalização do bloco;

ii) o número sequencial do bloco [bloco gênese terá o número 0 (zero)];

iii) quantos nós (transações) aconteceram no bloco;

iv) tamanho em bits do bloco;

v) a raíz de Merkle da árvore;

vi) o resumo criptográfico do bloco anterior;

vii) o resumo criptográfico do bloco atual, resultado das alíneas ‘i’ a ‘vi”.

2.2.3 Os nós da Árvore de Encadeamento do Tempo deverão ser construídos da seguinte forma:

i) cada operação de sincronismo deverá ter seus dados de estampa do tempo no SCT (timestamp), desvio médio (offset) e atraso médio (delay), resumidos criptograficamente e registrados em 1 (um) nó da árvore;

ii) cada carimbo do tempo emitido pelo SCT deve ser resumido criptograficamente e registrado em 1 (um) nó da árvore;

iii) os registros acontecem sequencialmente e os nós devem ter um indexador, também sequencial, com a localização do mesmo na Árvore de Merkle.

2.2.4 O algoritmo de resumo criptográfico deve ser SHA-256, descrito no DOC-ICP-01.01 [5].

2.3 Os dados usados para gerar os resumos criptográficos da Árvore deverão ser armazenados em registros de eventos (logs), com indexador de cada nó da árvore ao qual ele pertence;

2.4 Ao receber novo alvará, a Árvore de Encadeamento do Tempo é finalizada e consolidada.

3 AUDITORIA

3.1 O processo de auditoria realizado pelo SAS deve ser composto das seguintes etapas:

a) O SAS envia alvará ao SCT;

b) O SCT recebe alvará e inicia, com este alvará, nova Árvore de Encadeamento do Tempo;

c) O SAS solicita os dados usados para gerar os resumos criptográficos que compõe a árvore de encadeamento encerrada pelo SCT;

d) O SCT envia os dados do item c) ao SAS para análise, junto a respectiva Árvore de Encadeamento do Tempo;

e) Para emissão de alvará o SAS deve avaliar a precisão e exatidão do relógio do SCT por meio de avaliação estatística dos dados da alínea c);

f) O resultado final do processo de auditoria é a emissão pela EAT, através do SAS, de um alvará que permite ao SCT continuar operando por mais um período de tempo, se seu relógio estiver dentro dos padrões pré-definidos, ou, caso contrário, de um alvará com prazo de validade igual a zero, o que significa que o SCT não poderá emitir carimbos do tempo até ter seu relógio novamente sincronizado com a FCT. Os principais atributos do alvará são: ano, mês, dia, hora, minuto, segundo, compensação e retardo.

3.2 O envio de dados de auditoria será realizado com uso do Protocolo Websocket (RFC 6455 e atualizações) encapsulado pelo Protocolo Transport Layer Security (TLS) v 1.3 ou posterior (RFC 8446 e atualizações).

3.3 Os SCT deverão dispor de recurso para envio das Árvores de Encadeamento do Tempo

4 ASPECTOS DE SEGURANÇA

4.1 Aspectos Gerais de Segurança da Entidade de Auditoria do Tempo

A AC Raiz da ICP-Brasil, como Entidade de Auditoria do Tempo, obriga-se a:

a) adotar medidas de segurança física, lógica e de pessoal compatíveis, no mínimo, com as estabelecidas para as Autoridades de Carimbo do Tempo da ICP- BRASIL;

b) utilizar, para as operações de auditoria e sincronismo da Rede de Carimbo do Tempo da ICP-Brasil, SASs cujos MSCs associados possuam capacidade de processamento criptográfico para geração de chaves e realização de assinaturas digitais;

c) manter os relógios de seus SASs sincronizados com a FCT;

d) garantir que a emissão dos alvarás seja feita em conformidade com o tempo constante do relógio interno do SAS e que a assinatura digital do alvará seja realizada dentro do MSC a ele associado;

e) manter seus SASs com disponibilidade mínima de 99% do tempo;

f) analisar e emitir relatórios dos registros de auditoria e sincronismo dos SASs;

g) utilizar, em seus SAS, somente certificados digitais ICP-Brasil para assinatura de alvarás;

h) identificar e registrar as ações que executar, conforme as normas, práticas e regras estabelecidas pelo Comitê Gestor da ICP-Brasil;

i) dispor no mínimo de duas linhas de comunicação com a Internet, providas por diferentes sistemas autônomos (AS).

5 DOCUMENTOS DA ICP-BRASIL

5.1 Os documentos abaixo são aprovados por Resoluções do Comitê Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os aprovaram.

Ref.Nome do documentoCódigo
[1]VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 58, de 28 de novembro de 2008DOC-ICP-11
[2]REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP- BRASILAprovado pela Resolução nº 59, de 28 de novembro de 2008DOC-ICP-12
[3]REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 60, de 28 de novembro de 2008DOC-ICP-13
[4]PROCEDIMENTOS PARA AUDITORIA DO TEMPO NA ICP-BRASILAprovado pela Resolução nº 61, de 28 de novembro de 2008DOC-ICP-14

5.2 Os documentos abaixo são aprovados por Instrução Normativa da AC Raiz, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Instruções Normativas que os aprovaram.

Ref.Nome do documentoCódigo
[5]PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASILAprovado pela Instrução Normativa nº 04, de 18 de maio de 2006DOC-ICP-01.01

6 REFERÊNCIAS

RFC 3161, IETF – Public Key Infrastructure Time Stamp Protocol (TSP), august 2001.

RFC 3628, IETF – Policy Requirements for Time Stamping Authorities, november 2003.

RFC 6455, IETF – The WebSocket Protocol, December 2011

RFC 8446, IETF – The Transport Layer Security (TLS) Protocol Version 1.3, august 2018

ETSI TS 101.861 – v 1.2.1 Technical Specification / Time Stamping Profile, march 2002.

DOU | Instruções Normativas do ITI nºs 15, 16 e 17 de 2020