< voltar

Artigos

Autoridade de Validação (AV) – Garantindo a validade e uso de seus Certificados Digitais


Novembro-2013 - Publicado por Waldemar Felippe

O crescente uso da certificação digital, principalmente através de soluções corporativas, e as regulamentações legais dos padrões de assinatura digital no âmbito da ICP-Brasil, reforçam a necessidade da existência de soluções capazes de verificar certificados digitais e administrar listas de certificados revogados. Neste artigo tratamos das dificuldades encontradas por aqueles que se dispõem a desenvolver soluções de assinatura digital, introduzindo o conceito de Autoridade de Validação, entidade que certamente facilita em muito a vida dos desenvolvedores.

O que é um certificado digital?

Um certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a Internet. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Portanto, trata-se de um documento com valor legal e consequências desagradáveis podem ocorrer caso ocorra sua perda, extravio, roubo ou uso indevido.

O que ocorre quando perdemos um certificado digital?

Quando algum destes eventos ocorre é necessário revogá-lo. Revogar um certificado digital significa torná-lo inválido, impossibilitando, a partir da revogação, seu uso. Para revogar um certificado digital, o seu titular deve acessar a página de revogação da Autoridade Certificadora que o emitiu e informar os dados solicitados para a sua revogação. Caso a operação tenha sido bem sucedida, o certificado será incluído na Lista de Certificados Revogados (LCR ou CRL), não sendo mais possível, em tese, sua utilização.

Como funciona a lista de certificados revogados?

As LCRs são emitidas pelas Autoridades Certificadoras e publicadas periodicamente, de hora em hora de acordo com as regras da ICP-Brasil. Elas contém os certificados que foram revogados antes de sua expiração. Nestas listas são identificadas com o nome da AC emitente, a data de emissão e a data da próxima emissão programada, além dos números de série dos certificados revogados e as respectivas datas de revogação.

Sempre que utilizados, os certificados digitais devem ter sua validade verificada contra as LCRs das ACs emitentes. Também deve ser verificada a autenticidade da AC na LCR da AC-Raiz. Opcionalmente, pode-se consultar a situação de um certificado diretamente na AC emitente, através do uso do protocolo OCSP, um protocolo online para verificar se um Certificado Digital encontra-se revogado. Utilizado por aplicações cujo risco possa justificar eventuais custos e tempo de processamento adicionais, através do OCSP qualquer aplicação pode fazer consultas a um serviço que verifica, em tempo real e diretamente no banco de dados da Autoridade Certificadora, o status de um determinado certificado. As respostas emitidas por este serviço são individuais (uma para cada certificado) e são assinadas digitalmente a fim de garantir sua confiabilidade. Dessa maneira, a lacuna entre o momento da revogação e a emissão da próxima LCR deixa de existir, já que a próxima resposta OCSP apresentará esse status, eliminando a possibilidade de uso não autorizado.

O que mais precisa ser verificado?

Além de não estar revogado, para que um certificado digital seja considerado válido é necessário que ele esteja dentro de seu período de validade e que a cadeia de certificados seja válida. A cadeia de certificados representa a cadeia de confiança do Certificado Digital. Através desta cadeia é que se comprova se o certificado foi emitido por uma entidade AC de confiança (válida). Também é necessário garantir que a hora do computador onde o certificado digital está sendo utilizado está correta ou dentro de tolerâncias aceitáveis.

Todo o software de assinatura digital faz verificação completa do certificado digital? Quais são os riscos se ele não fizer esta validação?

Para garantir que um certificado digital não seja utilizado indevidamente, cada vez que um documento é assinado digitalmente ou um certificado digital é utilizado para autenticar um usuário, faz-se necessária verificação completa da validade do certificado digital. Em aplicações de Assinatura Digital tradicionais, isto implica em estabelecer conexões e processos para verificar a existência de uma nova LCR ou para uma consulta através do protocolo OCSP. Embora muitos sistemas realizem cache das LCRs, estas só poderão ser utilizadas se estiverem dentro da janela da LCR, ou seja, válidas. As LCRs são arquivos sequenciais, com conteúdo em formato binário, o que dificulta e, na maioria dos casos, inviabiliza buscas rápidas. Estas necessidades não são atendidas pelos SDKs (Software Development Kit / Kits de Desenvolvimento de Software) disponíveis no mercado ou exigem grande esforço para o desenvolvimento de processos e funcionalidades que garantam todas as exigências legais e formais da certificação digital.

O crescente uso da certificação digital, principalmente através de soluções corporativas, e as regulamentações legais dos padrões de assinatura digital no âmbito da ICP-Brasil, reforçam a necessidade da existência de soluções capazes de verificar certificados digitais e administrar listas de certificados revogados. Este fato decorre dos seguintes fatos:

a.) A quantidade de autoridades certificadoras (ACs) vem crescendo a passos largos, dificultando a administração e controle, não somente das ACs autorizadas pela empresa, mas também de suas respectivas listas de certificados revogados. Apenas na ICP-Brasil são geradas mais de 4.000 LCRs diariamente;

b.) Com o aumento do volume de certificados digitais emitidos, as listas de certificados revogados tendem a ficar cada vez maiores, dificultando o acesso às suas informações e aumentando o tempo de resposta;

c.) Os mecanismos de armazenamento, pesquisa e recuperação das LCRs implementados nos sistemas operacionais (Certificate Stores) não estão preparados para trabalhar com grandes volumes de dados e não possuem mecanismos para administração e controle das ACs e suas respectivas LCRs;

d.) As políticas de Assinatura Digital definidas pela ICP-Brasil requerem informações que vão desde a simples identificação da LCR utilizada para a validação do Certificado Digital, até a própria LCR.

e.) A hora utilizada no ato de cada assinatura digital é obtida do relógio do computador onde está sendo realizada. Para garantir que a data/hora do computador não foi alterada é necessária a sincronização do computador com uma fonte confiável e auditável de tempo.

Qual é a melhor alternativa de solução para saber se um certificado é válido?

A fim de minimizar os custos decorrentes da implementação de todos estes controles nos aplicativos que demandam a utilização de certificados digitais, a melhor alternativa é usar soluções middle-ware, também conhecidas como Validation Authorities (VA) ou Autoridades de Validação (AV). As AVs fornecem a validação de certificados digitais de forma centralizada para todos os aplicativos, garantindo que certificados inválidos ou revogados não sejam utilizados. É responsalidade das AVs:

• Se comunicar com as ACs habilitadas e fazer o download das respectivas LCRs;

• Consolidar todas as LCRs recebidas das diversas ACs em uma base de dados corporativa, estruturada de modo a prover a melhor performance nas consultas;

• Gerenciar o processo de gravação das LCRs recepcionadas e o armazenamento das LCRs antigas em uma base de dados histórica;

• Disponibilizar infraestrutura local (client side) e webservices (server side) para que as aplicações, client ou server, possam localizar, acessar e verificar a validade dos certificados digitais;

• Garantir que a hora da estação de trabalho onde o certificado esteja sendo utilizado esteja sincronizada com a hora legal brasileira (Brasil) ou outra fonte confiável de tempo;

• Manter histórico das verificações realizadas para fins de auditoria.