regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

domingo, 28 de agosto de 2011

A Nova Versão da ICP Brasil: Raiz V2




ICP BRASIL: RAIZ V2
O QUE ISSO TEM HAVER COM VOCÊ?
REGINA TUPINAMBÁ


Assim como os certificados digitais pessoas físicas e jurídicas têm validade, os certificados digitais das Autoridades Certificadoras também têm. E em 1º de janeiro de 2012 entrou em operação o novo certificado da Autoridade Certificadora Raiz da ICP Brasil

Entenda o que é ICP Brasil.
O sistema de certificação digital está todo baseado em hierarquias de aprovações. É uma cadeia em que a hierarquia superior dá validade a hierarquia subordinada. Essa estrutura é composta por: A Autoridade Certificadora Raiz, que no caso brasileiro chama-se ICP Brasil – Infraestrutura de Chaves Públicas Brasileira, a Autoridade Certificadora de primeiro nível, a Autoridade Certificadora de segundo nível, as Autoridades de Registro, até chegar a você que é o titular do seu certificado digital.

Portanto, a AC Raiz possui o certificado de nível mais alto na ICP Brasil.  Esse certificado é utilizado para assinar o seu próprio certificado, os certificados das Autoridades Certificadoras  de nível imediatamente subsequentes .

O certificado V2
O Certificado da AC Raiz venceu e foi substituído em janeiro por um novo certificado digital versão 2 que apresenta padrões e algoritmos criptográficos mais fortes. O dobro do poder computacional do certificado anterior e consequentemente o dobro o tamanho das chaves.

Para alterar esses padrões e algoritmos criptográficos foi necessário uma série de procedimentos para garantir a interação entre toda a cadeia. Os certificados precisariam ser compatíveis entre si, do contrário, os certificados dos titulares não seriam reconhecidos e perderiam sua funcionalidade.

A Resolução que regulamenta esses procedimentos estabelece que, obrigatoriamente, devem se adequar ao novo certificado digital da Autoridade Certificadora Raiz as Autoridades Certificadoras, Autoridades de Registro e outras entidades credenciadas ou cadastradas na ICP BRASIL, desenvolvedores de aplicativos que utilizam certificados digitais da ICP BRASIL bem como os titulares finais.

O que coube as Autoridades Certificadoras na mudança para a V2?
Alterar seus próprios certificados digitais para a V2, os certificados emitidos por ela para usuários finais e adequar seus sistemas para a interoperabilidade com certificados digitais  para a Versão 2.

O que coube as Autoridades Registro?
Providenciar o fornecimento de mídias armazenadoras: Cartões criptográficos e Tokens, compatíveis com o novo tamanho dos certificados, treinar seus agentes de validação para o reconhecimento dos hardwares criptográficos adequados ao novo certificado e treinar sua equipe para responder às dúvidas dos titulares e seus representantes sobre essa mudança.

O que coube aos titulares dos certificados digitais?
Adquirir, se necessário, as mídias criptográficas adequadas ao tamanho dos novos certificados e baixar a nova cadeia de certificados das ACs para que seus navegadores reconheçam os certificados desta nova versão.

O que coube às organizações que utilizam certificados digitais em suas aplicações?
Aplicações que utilizam certificados digitais emitidos no âmbito da ICP Brasil precisaram ser adequar para terem interoperabilidade com o novo formato dos certificados digitais, por exemplo: o programa e-CAC da Receita, a Conectividade Social da CAIXA, os Tribunais de Justiça e aplicações particulares como empresas em geral, seguradoras, bancos, hospitais etc.

Muito importante

Todos os certificados digitais emitidos antes o dia 31 de dezembro de 2011 continuam válidos de acordo com a data de expiração que consta no certificado.

Os hardwares criptográficos: cartões, tokens e HSM, terão que suportar os novos certificados V2, portanto, no momento da renovação do certificado digital verifique se será necessário adquirir uma nova mídia para armazenar o certificado compatível com a V2.

Nota:
A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009

Essa resolução trata da necessidade de atualização dos padrões e algoritmos criptográficos da ICP BRASIL (DOC-ICP-01.01) e define prazos limítrofes para as atualizações necessárias.

Site para Atualização de Navegadores e Visualizadores de Arquivos: http://www.iti.gov.br/twiki/bin/view/Certificacao/RepositoriodaACRaiz  


O Certificado da AC Raiz foi substituído por um novo certificado digital versão 2 e apresenta padrões e algoritmos criptográficos mais fortes.



Para alterar esses padrões e algoritmos criptográficos se faz necessário uma série de procedimentos para que haja interação entre a AC Raiz e as Autoridades Certificadoras subseqüentes até os certificados emitidos para os titulares finais.

A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009.

Para garantir a interoperabilidade e a validação em longo prazo das assinaturas digitais dos documentos eletrônicos do país foi estabelecido o padrão da Assinatura Digital através da Resolução 62 que considera os novos padrões e algoritmos criptográficos da ICP Brasil Versão 2 e excepcionalmente poderá ser adotado formato diverso do padrão de assinatura digital da ICP Brasil, desde que tecnicamente justificável, para uso restrito e acordado entre as partes interessadas.

COMO FOI O PLANO DE MIGRAÇÃO
1. Primeira etapa – data limite: 09.06.2009

1.1. Alterar os normativos da ICP BRASIL para permitir a emissão de certificados para AC e usuários finais contendo chaves ECC. Permitir que esses certificados usem também função hash SHA 256 ou SHA 512 para realização de assinaturas. O objetivo dessa ação é permitir que o mercado comece a se adaptar aos novos padrões.

1.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

2. Segunda etapa – data limite: 31.01.2010

2.1. Criar, na AC Raiz, nova cadeia (V2), que implemente os padrão RSA 4096 bits e função hash SHA 512.

2.2. Criar na AC Raiz, nova cadeia (V3) que implemente os padrão ECDSA 512 bits e função hash SHA 512.

2.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

3. Terceira etapa – data limite: 30.06.2010

3.1. Avaliar a adesão dos sistemas de mercado e de AC, à adoção de esquemas criptográficos mais seguros e se necessário, adotar ações para ampliação do uso.

3.2. A partir de 01.02.2010, as AC devem adotar as ações necessárias ao inicio do processo de emissão de certificados vinculados à AC Raiz sob a nova hierarquia (V2 ou V3), e adaptar seus sistemas para uso dos novos padrões.

3.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

4. Quarta etapa – data limite: 01.01.2011

4.1. A partir dessa data é recomendado criar certificados que usem pelo menos padrão RSA 2048 bits e função hash SHA 256.

5. Quinta etapa – data limite: 31.12.2011

5.1. A partir desta data, todas as AC já devem estar emitindo certificados vinculados à AC Raiz sob a nova hierarquia (V2 e V3), adaptando seus sistemas para o uso dos novos padrões.

5.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.

6. Sexta etapa – data limite: 01.01.2012

6.1. A partir dessa data, nenhum novo certificado de AC ou de usuários finais poderá ser gerado sob as hierarquias anteriores (V0 e V1).

6.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
 
7. Sétima etapa – data limite: 31.12.2014

7.1. A partir dessa data, nenhum certificado ICP BRASIL emitido sob as cadeias anteriores (V0 e V1) deverá estar válido, exceto certificados de AC, cuja revogação deve ser avaliada.

10 comentários:

  1. Como descobrir se um usuário que acessa um site têm a cadeia de certificado necessária (SSL) no seu navegador?

    Jose Geraldo

    ResponderExcluir
  2. Jose, se souber me avise, pois no navegador, quando abrimos opções da internet, conteudo certificados, na aba autoridades e autoridades raiz confiaveis, existe uma lista imensa, como saber qual a nova cadeia v2:

    ResponderExcluir
  3. Regina,
    Clique no certificado da AC e abrirá uma janela nessa janela tem a identificação: Emitido Por e ai tem que esta : Pela Autoridade Certificadora Raiz Brasileira V2. Esse é um certificado da nova cadeia V2.

    ResponderExcluir
  4. Possuo um certificado emitido poe esta nova cadeia, mas ao tentar utilizá-lo não consigo.
    Ao dar o clique no certificado aparece a sequinte mensagem na janela Geral / Informações Sobre o Certificado.

    "ESTE CERTIFICADO NÃO PODE SER VERIFICADO JUNTO A UMA AUTORIEDADE CONFIAVEL".

    O que isto significa?

    Deste já, muito obrigado.

    Att
    Philipe.

    ResponderExcluir
  5. Philipe,
    Não há nada de errado com seu certificado. A aplicação que vc tenta acessar não está adaptada para a interoperabilidade com a nova cadeia e segundo a resolução 65 apresentada acima, os administradores dos sistemas tem obrigação de tornar suas aplicações compatíveis com a Raiz V2.

    ResponderExcluir
  6. Boa tarde

    estou tentando fazer um credenciamento no site da SEFAZ DO RJ e na hora de selecionar o certificado já sendo o v2 me aparece a seguinte mensagem "Para acessar o sistema é necessário ativar o dispositivo de certificação digital.
    O navegador deverá ser aberto novamente para que o mesmo seja reconhecido pelo sistema."

    e não consigo passar para fazer o credenciamento

    ResponderExcluir
    Respostas
    1. Flavio tb não estou conseguindo... vc sabe me informar se o site da fazenda do rj ainda não está lendo certificados de cadeia v2?

      Excluir
    2. Flavio tb não estou conseguindo... vc sabe me informar se o site da fazenda do rj ainda não está lendo certificados de cadeia v2?

      Excluir
  7. Bom dia! Estou com vários clientes com erro para gerar NF-e que utilizam certificado A3 do Serasa. Mesmo instalando a cadeia que ESTAVA disponível: http://serasa.certificadodigital.com.br/ajuda/cadeia-v2/dicas/ Alguém poderia me ajudar? Grata!

    ResponderExcluir
  8. Oi, Regina. Sou contabilista com a nova carteira do CRC e, quando fui efetuar a renovação do meu e-CPF, precisamente no momento da validação presencial pois acabei perdendo o prazo e precisei adquirir outro, me informaram que minha carteira não poderia receber a nova mídia por ter sido emitida em 2010... e agora preciso ter o custo e o trabalho de solicitar outra via para o CRC e agendar novamente a validação presencial. Espero que isso não aconteça com frequência, achei muito ruim ter que trocar uma carteira profissional que já era tida como um modelo para muito tempo, atual. Sua postagem me esclareceu muito bem o que aconteceu, agora me resta correr atrás do CRC.... Obrigada.

    ResponderExcluir

Agradecemos sua participação.