Novo padrão dos certificados digitais ICP Brasil
A Nova Versão da ICP Brasil: Raiz V2
Assim como os certificados digitais para servidores web, pessoas físicas e jurídicas têm validade, os certificados digitais das Autoridades Certificadoras também têm.
Está programado para 1º de janeiro de 2012 entrar em operação o novo certificado da Autoridade Certificadora Raiz da ICP Brasil.
A AC Raiz possui o certificado de nível mais alto na ICP Brasil.
Está programado para 1º de janeiro de 2012 entrar em operação o novo certificado da Autoridade Certificadora Raiz da ICP Brasil.
A AC Raiz possui o certificado de nível mais alto na ICP Brasil.
Esse certificado contém a chave pública correspondente à chave privada da AC Raiz, utilizada para assinar o seu próprio certificado, os certificados das ACS de nível imediatamente subseqüente ao seu e a sua Lista de Certificados Revogados, LCR.
O Certificado da AC Raiz será substituído por um novo certificado digital versão 2 e apresenta padrões e algoritmos criptográficos mais fortes.
Para alterar esses padrões e algoritmos criptográficos se faz necessário uma série de procedimentos para que haja interação entre a AC Raiz e as Autoridades Certificadoras subseqüentes até os certificados emitidos para os titulares finais.
A Migração para a Raiz V2 é oficializada através da Resolução nº 65, de 09 de junho de 2009.
Essa resolução trata da necessidade de atualização dos padrões e algoritmos criptográficos da ICP BRASIL (DOC-ICP-01.01) e define prazos limítrofes para as atualizações necessárias.
As diretrizes que constam na Resolução nº 65 devem ser obrigatoriamente observadas pelas Autoridades Certificadoras, Autoridades de Registro, Prestadores de Serviço de Suporte, Empresas de Auditoria Independente, Laboratórios de Ensaios e Auditoria, e outras entidades credenciadas ou cadastradas na ICP BRASIL, bem como pelos titulares finais e desenvolvedores de aplicativos que utilizam certificados digitais da ICP BRASIL.
Sendo assim, com a migração da cadeia de certificação digital atual para a da nova Raiz V2 em 31 de dezembro de 2011 todas as aplicações que utilizam os respectivos certificados digitais emitidos no âmbito da ICP Brasil deverão ser adaptadas até esta data para terem interoperabilidade com o novo formato dos certificados digitais.
Para garantir a interoperabilidade e a validação em longo prazo das assinaturas digitais dos documentos eletrônicos do país foi estabelecido o padrão da Assinatura Digital através da Resolução 62 que considera os novos padrões e algoritmos criptográficos da ICP Brasil Versão 2 e excepcionalmente poderá ser adotado formato diverso do padrão de assinatura digital da ICP Brasil, desde que tecnicamente justificável, para uso restrito e acordado entre as partes interessadas.
PLANO DE MIGRAÇÃO
1. Primeira etapa – data limite: 09.06.2009
1.1. Alterar os normativos da ICP BRASIL para permitir a emissão de certificados para AC e usuários finais contendo chaves ECC. Permitir que esses certificados usem também função hash SHA 256 ou SHA 512 para realização de assinaturas. O objetivo dessa ação é permitir que o mercado comece a se adaptar aos novos padrões.
1.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
2. Segunda etapa – data limite: 31.01.2010
2.1. Criar, na AC Raiz, nova cadeia (V2), que implemente os padrão RSA 4096 bits e função hash SHA 512.
2.2. Criar na AC Raiz, nova cadeia (V3) que implemente os padrão ECDSA 512 bits e função hash SHA 512.
2.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
3. Terceira etapa – data limite: 30.06.2010
3.1. Avaliar a adesão dos sistemas de mercado e de AC, à adoção de esquemas criptográficos mais seguros e se necessário, adotar ações para ampliação do uso.
3.2. A partir de 01.02.2010, as AC devem adotar as ações necessárias ao inicio do processo de emissão de certificados vinculados à AC Raiz sob a nova hierarquia (V2 ou V3), e adaptar seus sistemas para uso dos novos padrões.
3.3. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
4. Quarta etapa – data limite: 01.01.2011
4.1. A partir dessa data é recomendado criar certificados que usem pelo menos padrão RSA 2048 bits e função hash SHA 256.
5. Quinta etapa – data limite: 31.12.2011
5.1. A partir desta data, todas as AC já devem estar emitindo certificados vinculados à AC Raiz sob a nova hierarquia (V2 e V3), adaptando seus sistemas para o uso dos novos padrões.
5.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
6. Sexta etapa – data limite: 01.01.2012
6.1. A partir dessa data, nenhum novo certificado de AC ou de usuários finais poderá ser gerado sob as hierarquias anteriores (V0 e V1).
6.2. Definir e adotar ações para viabilizar a realização da próxima etapa no prazo previsto.
7. Sétima etapa – data limite: 31.12.2014
7.1. A partir dessa data, nenhum certificado ICP BRASIL emitido sob as cadeias anteriores (V0 e V1) deverá estar válido, exceto certificados de AC, cuja revogação deve ser avaliada.
7.1. A partir dessa data, nenhum certificado ICP BRASIL emitido sob as cadeias anteriores (V0 e V1) deverá estar válido, exceto certificados de AC, cuja revogação deve ser avaliada.
ATENÇÃO
Todos os certificados digitais emitidos antes o dia 31 de dezembro de 2011 continuam válidos de acordo com a data de expiração que consta no certificado.
Os hardwares criptográficos: cartões, tokens e HSM, terão que suportar os novos certificados V2, portanto, fique atento a partir de 1 de janeiro de 2012 no momento da renovação do certificado digital verifique se será necessário adquirir uma nova mídia para armazenar o certificado compatível com a V2.