Curso Aprovação | Artigos Page 1 of 5

Informática
André Cardia (SC)
08/10/06 - Introdução a Criptografia (parte 2)

Introdução a Criptografia – Parte 2

1 Introdução

No artigo anterior estudamos as duas formas de realizar criptgrafia de dados: criptografia simétrica
(chave secreta) e assimétrica (chave pública) e suas possíveis propriedades. Neste artigo iríamos
abordar conceitos sobre infra-estrutura de chave pública (PKI) autenticação, resumo de mensagens
(hash), IP Security (IP Sec), Secure Soket Layer (SSL) e Virtual Private Network. Porém, como a
assunto sobre infra-estrutura de chave pública (PKI) é muito extenso, iremos nos ater a este assunto.

2 Infra-estrutura de Chave Pública

(PKI – Public Key Infra-structure)

PKI é um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar,
gerenciar, armazenar, distribuir e revogar certificados digitais, com base na criptografia de chave
pública.
Uma das desvantagens da utilização de criptografia de chaves simétricas é a necessidade de que as
duas partes comunicantes concordassem com sua chave secreta previamente. Com a criptografia de
chaves assimétricas, esse acordo a priori sobre uma valor secreto não é necessário. A criptografia de
chaves públicas também tem as suas dificuldades, que é obter a chave pública verdadeira de
alguém. O problema é resolvido usando-se um intermédio de confiança. Para a criptografia de
chaves assimétricas, o intermédio de confiança é denomindado Central de Distribuição de Chaves
(KDC – Key Distribution Center), uma entidade de rede única de confiança onde o usuário
estabelece uma chave secreta compartilhada.
No caso de criptografia de chaves públicas, o intermadiário (terceira parte) de confiança é
denominado Autoridade Certificadora (certidication authority – CA). Uma CA certifica que uma
chave pública pertence a uma determinada entidade (uma pessoa, organização ou rede). No caso de
uma chave pública certificada, se a confiança depositada na CA que certificou a chave for absoluta,
poderemos ter certeza quanto a quem pertence à chave pública (AUTENTICIDADE). Uma vez
certificada, uma chave pública pode ser distribuida de qualquer lugar, incluindo um servidor de
distrubuição de chave pública, uma página Web pessoal ou disquete.
Sendo assim, um certificado de chave pública (public-key certificate – PKC) é um documento
eletrônico usado para identificar um indivíduo, um servidor, uma empresa ou outras entidades e
associar sua identidade com uma chave pública. Um formato de certificado amplamente conhecido é

http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 2 of 5

X.509 versão 3 da International Telecommunications Union.

Para que precisamos de uma PKI?
• Protege contra eavesdropping, técnica de hacking que se baseia na violação da
confidencialidade. Uma analogia bastante razoável seria a ação de grampear um telefone. É
uma leitura não autorizada de mensagens;
• Protege contra tampering, técnica que altera o conteúdo dos pacotes conforme viajam na
Internet ou ainda, a alteração de dados nos discos de computadores após a penetração de uma
rede. Por exemplo, um intruso pode interceptar pacotes conforme são disponibilizados na
rede. O intruso pode espiar ou alterar a informação que deixa a rede;
• Previne contra spoofing, que é a falsificação de um endereço IP de origem.
2.1 Tipos de Certificados Digitais
Existem dois tipos de Certificados Digitais utilizados para garantir a autenticidade de uma
informação ou identidade:
• Certificado de Identidade – associa uma entidade a uma chave pública.
• Certificado de Atributos - atesta que a entidade possui determinados atributos (ex: nome
completo, residência, e-mail, etc).

2.2 Certificado Raiz

Certificado Raiz é um certificado não assinado que apresenta a chave pública de uma Autoridade
Certificadora (CA). Este certificado é de extrema importância para a PKI, pois a assinatura da CA
será verificada utilizando este certificado.
Os certificados raiz são implicitamente confiáveis. Eles são incluídos em muitos programas
conhecidos, como os Browsers. Precisamos confiar que o fabricante acoplou ao programa
certificados raiz legítimos.

NOTA:
Para que serve a assinatura da CA no certificado? Para atestar com idoneidade que determinada
chave pública pertence mesmo a um usuário.
CA = Terceira parte confiável

2.3 Funções de uma PKI

Como mencionamos, as CAs servem como terceiros confiáveis para associar a identidade de uma
pessoa a sua chave pública. CAs emitem certificados que contêm o nome de usuário, a chave
pública e outras informações de identificação. Assinados pela CA, esses certificados são
armazenados em diretórios públicos e podem ser recuperados para verificar assinaturas ou cifrar
documentos. Observe as funções de uma PKI:
• Registro – Processo no qual uma entidade se registra a uma autoridade certificadora,
geralmente por meio de uma Autoridade de Registro (RA).

http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 3 of 5

• Certificação - Processo no qual uma CA envia um certificado digital para a entidade que a
solicitou e o coloca em um repositório.
• Recuperação do Par de Chaves - Em algumas situações, uma organização quer ter acesso
a informações que estão protegidas, quando um funcionário não esta disponível (ex: doente).
A PKI deve fornecer um sistema que permita a recuperação de chaves, sem apresentar riscos
inaceitáveis de comprometimento da chave privada.
• Geração de Chaves - Dependendo da política da CA, o par de chaves pode ser gerado pelo
próprio usuário ou pela CA. Se a CA gerar as chaves, elas podem ser distribuídas para o
usuário através de um smart card, cartão PCMCIA, etc.
• Autorização de Chaves - Todo par de chaves precisa ser atualizado regularmente, ou seja,
substituído por um novo par de chaves. Isso pode ocorrer em dois casos: quando a chave
ultrapassa o tempo de validade ou quando a chave privada é comprometida.
• Certificação Cruzada - A certificação cruzada é necessária quando um certificado de uma
CA é enviado a outra CA, de modo que uma entidade de um domínio administrativo pode se
comunicar de modo seguro com uma entidade de outro domínio.
• Revogação – A mudança de nome (mudança de estado civil) ou quebra de sigilo da chave
privada podem levar a revogação do certificado digital.
• Distribuição e Publicação de Certificados Digitais - Transmissão ao proprietário e
publicação em um repositório.

2.4 Entidades de uma PKI

Uma infra-estrutura de chave pública envolve um processo colaborativo entre várias entidades: a
CA, uma autoridade de registro (registration authority – RA), um repositório de certificado e o

http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 4 of 5

usuário final. Vejamos com mais detalhes essas entidades:

• Autoridade Certificadora – Responsável pela emissão, gerência e revogação de
certificados para uma comunidade de usuários finais. A CA assume as tarefas de
autenticação dos seus usuários finais e então, assinam digitalmente as informações sobre o
certificado antes de disseminá-lo. A CA é responsável pela autenticidade dos seus usuários
finais. A CA pode ser interna a uma organização (privadas), ou atuar como um terceiro
confiável (públicas), operando via Internet e fornecendo serviços de certificação para o
público em geral.
• Autoridade de Registro (Registration Authority RA) – Pode ser considerada uma
entidade intermediária entra a CA e seus usuários finais, ajudando a CA em suas funções
rotineiras para o processamento de certificados. A RA é responsável pelo registro dos
usuários e requisições de certificados. Uma RA pode ser uma função de uma Autoridade
Certificadora.

NOTA:
A CA jamais pode emitir um certificado para uma entidade falsa (que não seja ela mesma).
Como o RA pode comprovar 100% a identidade de um usuário? (CPF, RG, documentos jurídicos e
presença física).

• Repositório de certificado (Serviço de Diretório) – Depois que um certificado for gerado,

ele deve ser armazenado para uma utilização posterior. Para atenuarmos a necessidade dos
usuários finais de armazenar o certificado em máquinas locais, as CAs frequentemente
utilizam um diretório de certificado ou uma localização central de armazenamento, além de
funcionar como repositório de chaves, certificados e lista de certificados revogados (CRL).

NOTA:
Devido a natureza da autoverificação de certificados, os próprios diretórios de certificado não são
necessariamente confiáveis. Se um diretório for comprometido, os certificados ainda podem ser
validados por meio do processo padrão de verificação da cadeia de certificado pela CA.

• Usuário Final – Validam as assinaturas digitais e os caminhos de certificação.

A figura abaixo ilustra os passos para a solicitação de um certificado digital.

http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006
Curso Aprovação | Artigos Page 5 of 5

3 Conclusão

Estudamos neste artigo os conceitos sobre PKI e suas principais características. Nosso próximo
assunto a ser tratado na série de artigos sobre Criptografia será sobre Resumo de Mensagens (Hash).
E se você ficou com alguma dúvida ou gostaria de fazer algum comentário sobre este artigo, envie
um email para: andre.cardia@cursoaprovacao.com.br .
Até lá.
Prof. André Cardia

Os conceitos e opiniões veiculadas nos textos são de responsabilidade exclusiva do autor.

http://www.cursoaprovacao.com.br/cms/artigo.php?cod=34252822 10/11/2006