Ciclo de vida de uma Certificação Digital em .NET– Parte 3
Neste artigo trataremos do Ciclo de Vida de um Certificado Digital, seus principais usos e exemplos de assinatura digital e criptografia com um Certificado de Cliente.
Certificados Digitais em .NET – Parte 1
Certificados Digitais em .NET – Parte 2
Artigo no estilo: Curso
Neste artigo trataremos do Ciclo de Vida
de um Certificado Digital, seus principais usos e exemplos de assinatura
digital e criptografia com um Certificado de Cliente. Teremos em nossa parte
prática as últimas funcionalidades do projeto que iniciamos no primeiro artigo
da série.
Um Certificado Digital é um elemento pouco explorado porque existe uma ideia fixa de que a infraestrutura que envolve uma solução com estes componentes é cara. Em termos de TI tudo depende de “para que” você quer determinado elemento.
Se você tem um sistema interno de uma empresa e quer aprimorar a autenticação de usuários para ter algo além da famosa combinação “usuário e senha” adicionando segurança na mistura, o uso de Certificados Digitais gerados por uma Autoridade Certificadora interna, sem qualquer ligação com Autoridades Raízes de mercado é uma opção viável e barata porque vai demandar, como vimos anteriormente, de um software onde os Certificados possam ser gerados e controlados e um módulo que os autentique. Além disso, você precisa de um Servidor de Banco de Dados que armazene as chaves e Certificados da Autoridade com o nível de segurança que sua rede interna demanda. Nada além.
Claro que se a intenção do seu negócio for a Autenticação de Documentos visando à proteção que a Medida Provisória 2200/02 demanda, você vai precisar aceitar Certificados emitidos sob a hierarquia da ICP-BRASIL ou ter sua própria Autoridade Intermediária, o que vai requerer alguns milhões de reais, locais apropriados com salas-cofre, Auditorias das Entidades Envolvidas (ITI), etc.
Além disso, você deverá se registrar junto ao ITI (Instituto de Tecnologia da Informação), passar por auditorias, cumprir diversos requisitos, entre outras exigências. Felizmente, você pode aceitar certificados gerados sob a hierarquia da ICP-BRASIL e Certificados gerados em sua própria estrutura ao mesmo tempo de forma a tornar sua solução escalável e adaptável ao mercado ao mesmo tempo.
Um exemplo é você ter uma aplicação web que permite que os usuários se autentiquem usando Certificados Digitais tanto de sua árvore interna quanto da ICP-BRASIL. Você pode usar como chave do usuário o CPF que está contido em Certificados ICP e você também pode incrustar essa informação em seus próprios Certificados.
Pilares de Segurança da Informação
O ciclo de uso de um Certificado Digital se baseia na aplicação desta tecnologia em relação a determinados pilares da Segurança da Informação. Portanto, antes de demonstrarmos exemplos de como utilizar essa ferramenta, precisamos entender esses principais conceitos e como a Certificação Digital pode nos auxiliar a implementar determinados controles.
O conceito do que são conhecidos por pilares ou base da Segurança da Informação varia de autor para autor. Em Segurança da Informação, os principais pilares que sustentam o conceito são:
o Autenticação ou Identificação: De uma maneira simples, autenticar ou identificar é ter certeza de que as credenciais que o usuário está apresentando são reais, corretas e não foram adulteradas. Identificar corretamente a credencial com o uso de certificados digitais, ou seja, a autoridade certificadora atesta que a identidade do portador do certificado digital, no momento da assinatura do certificado era válida e que a responsabilidade da proteção do uso indevido do instrumento paira nos ombros do usuário.
Isto quer dizer que com um certificado digital, garante-se que as informações que estão inseridas no mesmo são válidas para os fins descritos em sua política de certificado, permitindo que um sistema que utilize deste certificado tenha plena certeza de sua origem."
[...] continue lendo...Artigos relacionados
-
Artigo
-
Artigo
-
Artigo
-
Artigo
-
Artigo