Este artigo objetiva apresentar o que são Certificados
de Atributo, como estão regulamentados para uso na ICP-Brasil, quais suas
possíveis utilizações e como se tornar uma EEA – Entidade Emissora de
Atributos.
O
Certificado de Atributo é uma ferramenta que pode trazer facilidades em termos
de segurança e interoperabilidade na gestão de documentos eletrônicos (GDE),
agregando não só segurança técnica, mas principalmente segurança jurídica aos
processos eletrônicos [1].
Os Certificados de Atributo podem ser usados para as
mais diversas finalidades:
·
identificação
de profissionais que pertencem a determinada categoria;
·
identificação
e definição de cargos/hierarquias de funcionários e servidores de empresas ou
órgãos públicos;
·
identificação
de pessoas que fazem jus a determinado direito;
·
restrição
de acesso de determinados usuários às aplicações;
·
delegação
de poderes (procuração);
·
afirmação
de fatos sobre o titular que sejam do conhecimento da Entidade Emissora de Certificados
de Atributo.
Um certificado de atributo é um documento eletrônico que
contém um conjunto de atributos (qualificações) que se referem a um titular
(normalmente uma pessoa ou empresa). Seu formato e sintaxe estão definidos pelo
padrão X.509 [4], o mesmo padrão utilizado para certificados digitais, o que
pode gerar certa confusão.
O certificado digital associa seu titular a uma chave
pública. É assinado por uma Autoridade Certificadora.
Já o certificado de atributo não possui chave pública. É
assinado digitalmente por uma entidade confiável (chamada de Entidade Emissora
de Certificado de Atributo). Pode ser utilizado isoladamente ou em conjunto com
um certificado digital. Assim, os atributos constantes no certificado de
atributo podem ser alterados ou mesmo revogados sem que isso implique a
revogação do certificado digital.
A tabela a seguir elucida as principais diferenças entre
esses dois tipos de certificados:
Tabela 1 - Comparação entre Certificado Digital e
Certificado de Atributo
Característica
|
Certificado Digital
|
Certificado de Atributo
|
Padrão de formato e sintaxe
|
X.509
|
X.509
|
Emissor do Certificado
|
Autoridade Certificadora (AC)
|
Entidade emissora de
Certificado de Atributo (EEA)
|
Usuário do Certificado
|
Titular do Certificado Digital
|
Titular do Certificado de
Atributo
|
Relação definida no
Certificado
|
Titular ó chave pública
|
Titular ó atributo
|
Revogação
|
Lista de Certificados
Revogados (LCR) ou OCSP
|
Lista de Certificados de
Revogados (LCR) ou OCSP
|
Fonte: [2] e adaptação da autora
Outra boa elucidação sobre o tema pode ser obtida na RFC
5755 [3].
“Algumas
pessoas confundem Certificados Digitais e Certificados de Atributo. Uma
analogia pode fazer a distinção clara. O Certificado Digital pode ser
considerado como um passaporte: identifica o titular, tende a durar por um
longo período de tempo e não deve ser trivial de obter. Um Certificado de
Atributo é mais parecido com um visto de entrada: é normalmente emitido por uma
autoridade diferente e não dura por muito tempo. Obter um visto pode ser um
processo mais simples do que obter um passaporte, já que a obtenção de um visto
normalmente exige a apresentação de um passaporte.”.
No Brasil a utilização de Certificados de Atributo foi
regulamentada pela Resolução 93 do Comitê Gestor da Infraestrutura de Chaves
Públicas Brasileira (ICP-Brasil), de 05 de julho de 2012 [1] que aprovou o
documento DOC-ICP-16 - VISÃO GERAL SOBRE CERTIFICADO DE ATRIBUTO PARA A
ICP-BRASIL.
“1.3
O uso do certificado de atributo, de forma autônoma ou em conjunto ou
diretamente vinculado ao certificado digital pode propiciar um maior fator de
segurança para as aplicações, visto que agrega a possibilidade de verificação
dos atributos de qualificação do titular do certificado digital. A
responsabilidade para emissão de um certificado de atributos é da Entidade
Emissora de Certificado de Atributo (EEA) que de fato possui o direito de
qualificar o requerente do certificado. As qualificações são representadas por
atributos que estão presentes em um certificado de atributos.
Esse tipo de certificado foi criado para atender a uma
demanda da sociedade brasileira, que não encontrou no modelo de certificado
digital adotado pela ICP-Brasil, em 2001, resposta para várias necessidades de
identificação e qualificação dos titulares.
O modelo inicialmente adotado pela ICP-Brasil foi um
perfil de certificados chamado de centralizado,
pois um único certificado reúne as funções de identificação e de qualificação
do seu titular.
Exemplo de campos de IDENTIFICAÇÃO são o nome e data de
nascimento do usuário. Exemplos de campos de QUALIFICAÇÃO são o CPF e Título de
Eleitor, informações que conferem atributos ao portador: o de ser contribuinte
da Receita Federal do Brasil (RFB) e o de ser eleitor cadastrado no Tribunal
Regional Eleitoral (TRE), respectivamente [2].
Houve uma tentativa de incluir ainda outros tipos de
atributos nos certificados digitais ICP-Brasil, com a criação de campo
específico para números de órgãos de classe[1]
mas apenas duas entidades solicitaram sua utilização ao Instituto Nacional de
Tecnologia da Informação, que faz a gestão desse campo, o que demonstra as
limitações desse modelo.
“O
problema com o perfil centralizado é que muitas vezes a validade de um atributo
é diferente da validade do certificado digital. Além disso, a autoridade que
concede um atributo, geralmente não é a mesma que concede o certificado digital
[FARRELL et al, 2010, p.2]. Por exemplo: uma Autoridade Certificadora (AC) tem
a prerrogativa legal de emitir o certificado digital, mas não pode designar o
atributo “médico” ao portador, uma vez que esta prerrogativa é do Conselho
Federal de Medicina (CFM). Isso resulta em medidas adicionais para que o
emissor do certificado digital obtenha as informações de atributos provenientes
da fonte de autorização para que possam ser inseridas no certificado digital”. [2].
Outro problema com o modelo centralizado é que podem ocorrer
alterações nos atributos do titular (por exemplo, um profissional registrado no
órgão de classe deixa de exercer a profissão). Com isso, o certificado digital
deve ser revogado, o que leva à necessidade de gerar um novo certificado
digital, com os custos e transtornos associados.
Com a Resolução 93, a ICP-Brasil adotou outro modelo de
perfil de certificado, que é aquele no qual existe a separação das funções de
identificação e de qualificação, chamado de descentralizado.
“Neste
formato, a identificação fica a cargo de um Certificado Digital de uma ICP e
todos os atributos (qualificadores do usuário) apresentam-se no formato de
Certificado de Atributo. Esses qualificadores definem os privilégios de acesso
dos usuários concedendo-lhes permissões. Esse perfil apresenta vantagens em
relação ao centralizado, pois a revogação do Certificado de Atributo ocorre
independentemente da revogação do Certificado Digital. Além disso, existem
atributos que, dependendo dos requisitos de segurança da aplicação e dos prazos
de vigência, dispensam o uso de mecanismos de revogação. Exemplo: um
Certificado de Atributo de estado civil emitido por um cartório não necessita
de controle de revogação, basta que a validade seja pequena (algumas horas
segundo, FARRELL et al (2010)) e que o sistema usuário não considere a
revogação como algo relevante. Nesta situação, apenas a validade do Certificado
de Atributo é relevante.
Outra
vantagem do Certificado de Atributo é a simplicidade da infraestrutura. Serve
para qualificar usuários e, assim, não necessita de validação do usuário para
sua emissão ou mesmo da sua autorização.
Os
serviços eletrônicos que necessitam altos níveis de segurança precisam
basicamente de duas verificações: identificação correta do usuário
(autenticação) e a concessão dos privilégios aos quais o usuário têm direito de
acesso. Uma vez que o processo de identificação ocorra usando um Certificado
Digital, de uso geral e comum para todos os sistemas, os privilégios poderiam
ser efetuados pelos mais variados Certificados de Atributo. [2].”
Para a ICP-Brasil foram definidos dois tipos de Certificados
de Atributo [1]:
Certificado de Atributo Autônomo (CAA) - pode ser emitido sem a presença do titular e não
requer a existência de um certificado digital associado. “O processo de emissão requer apenas que a EEA seja a entidade gestora
do atributo que será inserido no certificado de atributo assinado. Obviamente é
necessário que o certificado de atributo guarde alguma relação direta ou
referência com alguma informação relativa ao cidadão (RG, CPF, entre outros) ou
a empresa (CNAE, CNPJ, entre outros)”.
Certificado de Atributo Vinculado ao Certificado Digital
(CAV) – “este certificado se caracteriza por ter um vínculo direto com algum
certificado digital ICP-Brasil previamente emitido. Isso garante maior
segurança ao processo de autenticação e autorização associado ao uso da
certificação digital. Enquanto o certificado digital permite a identificação de
seu titular, o certificado de atributos qualifica este mesmo titular para um
determinado ato. Para a emissão de um CAV, a EEA tem que necessariamente ter
acesso ao certificado digital do titular para poder associar as informações
constantes do certificado digital ao certificado de atributo a ser emitido.”
Um
exemplo de utilização de Certificados de Atributo Autônomos seria a emissão
desses certificados por instituições públicas, para servirem como certidões ou
declarações a respeito do titular. Essa estratégia traria diversos benefícios:
a) emissão de um documento eletrônico, neste caso uma certidão eletrônica, com
valor probante; b) a certidão eletrônica, na forma de um certificado de
atributo, poderia ser tratada (interpretada) eletronicamente, seja para aferir
a autenticidade, seja ainda para dar a devido tratamento em um processo
eletrônico; c) interoperabilidade em operações eletrônicas seguras [1].
Um
Certificado de Atributo Vinculado pode ser usado em conjunto com o certificado
digital para autenticação em sistemas, por exemplo. O certificado digital
serviria para a autenticação do titular no sistema, enquanto o certificado de
atributo seria utilizado para permitir seu acesso às transações para as quais
estivesse autorizado.
O caso
mais importante de utilização de certificado de atributo no país, até o
momento, é a emissão de carteiras estudantis.
“O certificado digital no padrão da
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil será o certificado de
atributos, modelo que tem validade jurídica quando assinado com um certificado
digital da ICP-Brasil de propriedade da entidade que conceda determinado
atributo. Na prática, o cidadão terá sua carteira estudantil emitida quando uma
das entidades estudantis, em posse de seu certificado digital ICP-Brasil,
assinar digitalmente a emissão do atributo. Declarando eletronicamente que
determinada pessoa é estudante, a entidade estudantil responsabiliza-se pela
emissão, data de validade e que efeitos legais o título de estudante concederá
proprietário desta identidade estudantil.“ [5].
Os Certificados de Atributo são emitidos por uma
Entidade Emissora de Atributos (EEA), que é a entidade que detém prerrogativa
legal na verificação e gestão do atributo conferido. Segundo [1], a premissa para que uma instituição, empresa
ou entidade seja também uma EEA é que essa seja responsável pela gestão do
ciclo de vida daqueles atributos e do respectivo certificado gerado a partir
dos atributos escolhidos. Há inúmeros exemplos de atributos, assim como são
inúmeras as entidades candidatas a emitirem Certificados de Atributo. A relação
desta entidade com a ICP-Brasil se faz tão somente quando esta mesma entidade
emissora assina o certificado de atributo com um certificado digital
pertencente à cadeia de confiança da ICP-Brasil. O simples fato de assinar um
certificado de atributos com um certificado digital padrão ICP-Brasil confere a
esse todas as prerrogativas legais, já que um certificado de atributos é um
documento eletrônico assinado num formato específico, neste caso no formato
X.509.”
Exemplos de entidades que podem
se tornar Emissoras de Certificados de Atributo:
·
órgãos de classe
– OAB, CAU, CREA, CFM etc. podem utilizar essa tecnologia para identificar seus
profissionais para acesso aos sistemas informatizados respectivos. Um exemplo
seria a utilização de certificados de atributo emitidos pelo CREA para limitar aos
engenheiros em situação regular o acesso a sistemas eletrônicos de
preenchimento de Anotações de Responsabilidade Técnica;
·
faculdades e escolas
- podem emitir diplomas e certificados de conclusão para seus alunos, utilizando
formato que poderá ser reconhecido por diferentes aplicações;
·
cartórios e registadores - podem utilizá-lo para emitir certidões dos mais
diversos tipos;
·
laboratórios -
podem emitir laudos de exames
realizados;
·
órgãos públicos –
podem emitir certificados de atributos para concessão de benefícios à população
em geral, como bolsa-família;
·
empresas em geral -
podem emitir certificados de atributo para limitar as operações que cada
funcionário pode realizar com seu certificado digital, de acordo com o cargo
que ocupa; podem emitir certificados de atributos para concessão de benefícios
aos seus funcionários, como vale-alimentação, vale-cultura etc.
Para assinar o certificado de atributo, a Entidade
Emissora de Atributo deve utilizar um certificado digital ICP-Brasil de Pessoa
Jurídica do tipo A3 ou A4, sendo recomendado que a instituição reserve um
certificado digital exclusivamente para essa finalidade.
Para garantir a interoperabilidade dos sistemas, a
ICP-Brasil recomenda que a EEA padronize os atributos cuja gestão está a seu
cargo, bem como obtenha um. Os OIDs podem ser solicitados à IANA (Internet
Assigned Number Authority), de forma gratuita.
O investimento para se tornar
uma EEA não é muito expressivo, se escolhidas as soluções adequadas. Para isso
recomenda-se a contratação de assessoria especializada, que ajudará na
concepção geral do modelo de negócios, na escolha das ferramentas e no registro
dos Identificadores de Objeto (OID) para cada atributo.
Conclusão
O uso de Certificados de
Atributo ainda está embrionário no País, possivelmente por falta de
conhecimento desse poderoso recurso tecnológico e dos benefícios que pode
trazer, principalmente por parte da comunidade desenvolvedora de sistemas e de
gestores de negócios das empresas privadas e organizações públicas.
O Instituto Nacional de
Tecnologia da Informação está empenhado em fomentar o uso de Certificados de
Atributo. Para tanto, está desenvolvendo um Sistema Gerenciador de Certificados
de Atributo, em parceria, com o Laboratório de Segurança em Computação – LabSEC
da Universidade Federal de Santa Catarina – UFSC.
Algumas
empresas também já oferecem soluções para as Entidades Emissoras de
Certificados de Atributo, como plataformas completas que facilitam a criação e
gestão desses certificados, bem como sua utilização para autenticação e
autorização de acesso a sistemas seguros.
Espera-se que com isso a
sociedade brasileira comece a utilizar essa tecnologia de forma mais abrangente
e efetiva essa importante ferramenta tecnológica.
Sobre a Autora
Viviane Bertol - CEO da PKI Consulting.
Doutora em
Engenharia Elétrica pela Universidade de Brasília (UnB), com ênfase nas áreas
de Segurança da Informação e Certificação Digital.
|
.
|
Possui certificação
internacional como Auditora Certificada em Sistemas da Informação (CISA) pelo
Information Systems Audit and Control Association (ISACA).’
|
|
Trabalhou no
Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral
de Auditoria e Fiscalização e também na Coordenadoria -Geral de Normalização
e Pesquisa.
|
|
Atuou como Consultora em Segurança de Redes e Certificação Digital pela União Europeia para difundir o uso da Certificação Digital nos países do Mercosul, de 2009 a 2011 |
Publica artigos e ministra palestras em seminários e congressos de Segurança da Informação com regularidade , no Brasil e no exterior.
Atualmente é CEO da PKI Consulting.
Bibliografia
[1] Comitê Gestor da ICP-Brasil. Resolução n° 93, de
05 de julho de 2012 – Estabelece o documento visão geral sobre Certificado de
Atributo versão 1.0 para a ICP- Brasil (DOC-ICP-16). Infraestrutura de
Chaves Públicas Brasileira. Disponível em:
. Acesso
em: 24 mar 2014
[2]
Fukushima C. Aplicabilidade de Certificados de Atributo no Âmbito da
ICP-Brasil. 176 p. Dissertação (Mestrado em Engenharia da Computação) -
Instituto de Pesquisas Tecnológicas do Estado de São Paulo - IPT, São Paulo,
2010.
[3] Farrell, S; Housley, R.
- RFC 5755 – An Internet Attribute Certificate Profile for Authorization, jan,
2000.
[4] ITU-T Rec. X.509
ISO/IEC 9594-8 - The Directory: Public-key and attribute certificate
framework, mar, 2000.
[5]
ITI Notícias – Disponível em: http://www.iti.gov.br/noticias/indice-de-noticias/4186-une-lanca-carteira-estudantil-com-certificado-digital-icp-brasil Acesso em: 25 mar 2014.
[6]
ITI Notícias – Disponível em: http://www.iti.gov.br/noticias/indice-de-noticias/4592-iti-e-ufsc-apresentam-sistema-gerenciador-de-certificados-de-atributos. Acesso em:
25 mar 2014.
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.