A Nova Versão da ICP Brasil: Raiz V2



ICP BRASIL: RAIZ V2

O QUE ISSO TEM HAVER COM VOCÊ?

REGINA TUPINAMBÁ

Assim como os certificados digitais pessoas físicas e jurídicas têm validade, os certificados digitais das Autoridades Certificadoras também têm. E em 1º de janeiro de 2012 entrou em operação o novo certificado da Autoridade Certificadora Raiz da ICP Brasil. 

Entenda o que é ICP Brasil.

O sistema de certificação digital está todo baseado em hierarquias de aprovações. É uma cadeia em que a hierarquia superior dá validade a hierarquia subordinada. Essa estrutura é composta por: A Autoridade Certificadora Raiz, que no caso brasileiro chama-se ICP Brasil – Infraestrutura de Chaves Públicas Brasileira, a Autoridade Certificadora de primeiro nível, a Autoridade Certificadora de segundo nível, as Autoridades de Registro, até chegar a você que é o titular do seu certificado digital.

Portanto, a AC Raiz possui o certificado de nível mais alto na ICP Brasil.  Esse certificado é utilizado para assinar o seu próprio certificado, os certificados das Autoridades Certificadoras  de nível imediatamente subsequentes .

O certificado V2

O Certificado da AC Raiz venceu e foi substituído em janeiro por um novo certificado digital versão 2 que apresenta padrões e algoritmos criptográficos mais fortes. O dobro do poder computacional do certificado anterior e consequentemente o dobro o tamanho das chaves.

Para alterar esses padrões e algoritmos criptográficos foi necessário uma série de procedimentos para garantir a interação entre toda a cadeia. Os certificados precisariam ser compatíveis entre si, do contrário, os certificados dos titulares não seriam reconhecidos e perderiam sua funcionalidade.

A Resolução que regulamenta esses procedimentos estabelece que, obrigatoriamente, devem se adequar ao novo certificado digital da Autoridade Certificadora Raiz as Autoridades Certificadoras, Autoridades de Registro e outras entidades credenciadas ou cadastradas na ICP BRASIL, desenvolvedores de aplicativos que utilizam certificados digitais da ICP BRASIL bem como os titulares finais.

O que coube as Autoridades Certificadoras na mudança para a V2?

Alterar seus próprios certificados digitais para a V2, os certificados emitidos por ela para usuários finais e adequar seus sistemas para a interoperabilidade com certificados digitais  para a Versão 2.

O que coube as Autoridades Registro?

Providenciar o fornecimento de mídias armazenadoras: Cartões criptográficos e Tokens, compatíveis com o novo tamanho dos certificados, treinar seus agentes de validação para o reconhecimento dos hardwares criptográficos adequados ao novo certificado e treinar sua equipe para responder às dúvidas dos titulares e seus representantes sobre essa mudança.

O que coube aos titulares dos certificados digitais?

Adquirir, se necessário, as mídias criptográficas adequadas ao tamanho dos novos certificados e baixar a nova cadeia de certificados das ACs para que seus navegadores reconheçam os certificados desta nova versão.

O que coube às organizações que utilizam certificados digitais em suas aplicações?
Aplicações que utilizam certificados digitais emitidos no âmbito da ICP Brasil precisaram ser adequar para terem interoperabilidade com o novo formato dos certificados digitais, por exemplo: o programa e-CAC da Receita, a Conectividade Social da CAIXA, os Tribunais de Justiça e aplicações particulares como empresas em geral, seguradoras, bancos, hospitais etc.

Muito importante

Todos os certificados digitais emitidos antes o dia 31 de dezembro de 2011 continuam válidos de acordo com a data de expiração que consta no certificado.

Os hardwares criptográficos: cartões, tokens e HSM, terão que suportar os novos certificados V2, portanto, no momento da renovação do certificado digital verifique se será necessário adquirir uma nova mídia para armazenar o certificado compatível com a V2.

Nota:
A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009. 

Essa resolução trata da necessidade de atualização dos padrões e algoritmos criptográficos da ICP BRASIL (DOC-ICP-01.01) e define prazos limítrofes para as atualizações necessárias.

Site para Atualização de Navegadores e Visualizadores de Arquivos: http://www.iti.gov.br/twiki/bin/view/Certificacao/RepositoriodaACRaiz  

O Certificado da AC Raiz foi substituído por um novo certificado digital versão 2 e apresenta padrões e algoritmos criptográficos mais fortes.

Para alterar esses padrões e algoritmos criptográficos se faz necessário uma série de procedimentos para que haja interação entre a AC Raiz e as Autoridades Certificadoras subseqüentes até os certificados emitidos para os titulares finais.

A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009.

Para garantir a interoperabilidade e a validação em longo prazo das assinaturas digitais dos documentos eletrônicos do país foi estabelecido o padrão da Assinatura Digital através da Resolução 62 que considera os novos padrões e algoritmos criptográficos da ICP Brasil Versão 2 e excepcionalmente poderá ser adotado formato diverso do padrão de assinatura digital da ICP Brasil, desde que tecnicamente justificável, para uso restrito e acordado entre as partes interessadas.

COMO FOI O PLANO DE MIGRAÇÃO

1. Primeira etapa – data limite: 09.06.2009

1.1. Alterar os normativos da ICP BRASIL para permitir a emissão de certificados para AC e usuários finais contendo chaves ECC. Permitir que esses certificados usem também função hash SHA 256 ou SHA 512 para realização de assinaturas. O objetivo dessa ação é permitir que o mercado comece a se adaptar aos novos padrões.

1.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

2. Segunda etapa – data limite: 31.01.2010

2.1. Criar, na AC Raiz, nova cadeia (V2), que implemente os padrão RSA 4096 bits e função hash SHA 512.

2.2. Criar na AC Raiz, nova cadeia (V3) que implemente os padrão ECDSA 512 bits e função hash SHA 512.

2.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

3. Terceira etapa – data limite: 30.06.2010

3.1. Avaliar a adesão dos sistemas de mercado e de AC, à adoção de esquemas criptográficos mais seguros e se necessário, adotar ações para ampliação do uso.

3.2. A partir de 01.02.2010, as AC devem adotar as ações necessárias ao inicio do processo de emissão de certificados vinculados à AC Raiz sob a nova hierarquia (V2 ou V3), e adaptar seus sistemas para uso dos novos padrões.

3.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

4. Quarta etapa – data limite: 01.01.2011

4.1. A partir dessa data é recomendado criar certificados que usem pelo menos padrão RSA 2048 bits e função hash SHA 256.

5. Quinta etapa – data limite: 31.12.2011

5.1. A partir desta data, todas as AC já devem estar emitindo certificados vinculados à AC Raiz sob a nova hierarquia (V2 e V3), adaptando seus sistemas para o uso dos novos padrões.

5.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

6. Sexta etapa – data limite: 01.01.2012

6.1. A partir dessa data, nenhum novo certificado de AC ou de usuários finais poderá ser gerado sob as hierarquias anteriores (V0 e V1).

6.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

 

7. Sétima etapa – data limite: 31.12.2014

7.1. A partir dessa data, nenhum certificado ICP BRASIL emitido sob as cadeias anteriores (V0 e V1) deverá estar válido, exceto certificados de AC, cuja revogação deve ser avaliada.