Cada elemento/utente de uma infra-estrutura de chaves públicas possui um par de chaves, e através da utilização de uma ou de outra, consegue-se garantir a Autenticação, Integridade, Não-repúdio e Confidencialidade.

Este par de chaves (chave pública/chave privada) não tem qualquer associação directa a uma identidade pessoal. É simplesmente um conjunto de números. Para relacionar inequivocamente uma identidade com um par de chaves, é necessária uma terceira entidade de confiança. Esta entidade é denominada por Autoridade Certificadora ou Entidade Certificadora.

A Entidade Certificadora de confiança é aquela que cria e assina um certificado digital, um documento electrónico que associa inequivocamente a identidade de um indivíduo ou organização a uma chave pública.

Um certificado é constituído por um identificador único (ID), o nome da entidade (empresa ou particular) titular (em casos especiais poderá ser anónimo), chave pública do titular, data de emissão, limite de validade, entidade emissora do certificado, entidade de registo do certificado, CPS (Certificate Practice Statement) e outros dados entre os quais se inclui o endereço e-mail, dados da entidade (localidade, país, morada).

Assim, um certificado digital pode ser utilizado como forma de identificação digital, como se de um passaporte ou bilhete de identidade electrónico se tratasse, podendo igualmente ser utilizado para efectuar transacções electrónicas em redes abertas com segurança, assinar digitalmente documentos, e disponibilizar outros mecanismos para fins de confidencialidade.

2. Porque preciso de um certificado digital?

Na Internet, o potencial de oportunidades de negócio e de serviços convenientes para o consumidor é fenomenal.

A disponibilização de serviços de banca e lojas virtuais, e de informação em tempo real, são algumas das aplicações em que a segurança e a identificação dos utentes continuam a ser uma preocupação crescente, já que a identificação de utentes baseada em passwords não é o processo adequado.

Controlar acessos e identificar utentes através do uso de um segredo conhecido, a password, associado à posse de um elemento, o certificado digital, é enriquecer a segurança.

É crescente o número de empresas que desenvolvem negócios na Internet e que estão a despertar para esta realidade, requerendo a utilização de certificados digitais pelos seus clientes. No entanto, não são somente os clientes que necessitam de certificados digitais, uma vez que os próprios servidores de informação das companhias presentes na Internet entendem igualmente ser fundamental possuir o seu próprio certificado digital a fim de que os consumidores possam atestar indubitavelmente que estão a lidar com um local de negócio legítimo.

Um Certificado Digital permite que entidades diversas, que nunca se encontraram no mundo real, se identifiquem mutuamente e inequivocamente no mundo virtual.

A utilização de Certificados Digitais emitidos por uma entidade de confiança, possibilita a criação de um clima de segurança entre duas entidades que desejem relacionar-se por via electrónica.

Se deseja identificar-se inequivocamente no mundo virtual, efectuar trocas de informação com confidencialidade, assegurar-se de que as mensagens que envia não são alteradas e declarar a autoria de mensagens, então necessita de um Certificado Digital.

3. O que são assinaturas digitais e para que servem?

Tal como hoje a assinatura é utilizada em documentos, as assinaturas digitais estão neste momento a ser utilizadas para identificação de autoria/co-assinatura de dados electrónicos.

As assinaturas digitais podem:

As assinaturas digitais são criadas utilizando a chave privada do utente. Posteriormente são verificadas utilizando a chave pública do utente, a qual se encontra no certificado digital emitido em seu nome.

Para assinar digitalmente qualquer tipo de informação electrónica a fim de comprovar inequivocamente a autoria/co-assinatura dessa mesma informação, o utente deverá possuir um certificado digital, único e pessoal, que comprove indubitavelmente a sua identidade no mundo electrónico e que tenha sido emitido por uma entidade certificadora de confiança.

4. Quem é a Terceira Parte de Confiança (TTP)?

É a Autoridade de Certificação (CA) que emite os certificados e os assina com a sua chave privada. É a assinatura da CA que garante a validade dos mesmos. A confiança na assinatura da CA é fundamental para o bom funcionamento do serviço.

5. O que é a Autoridade de Registo (RA) e qual a sua função?

A Autoridade de Registo é um dos elementos, ou até talvez o elemento mais importante e mais complexo da PKI. Serve de interface entre cliente, Autoridade de Certificação, Directoria X.500 e Base de Dados de Autenticação, validando e garantindo a identidade da entidade que submete a sua chave pública para certificação. Esta tarefa é tão mais complexa, já que também tem que garantir a política e práticas de emissão de certificados definida no CPS (Certification Practice Statement).

6. O que é a encriptação dos dados?

É a codificação/escurecimento dos dados, de modo a que apenas o destinatário os possa reconhecer. Deste modo, pode enviar os seus dados através de redes abertas (por exemplo, Internet), tendo a garantia que apenas o destinatário as consegue ler.

7. O que são chaves públicas? E chaves privadas? Para que servem?

A criptografia de chave assimétrica caracteriza-se pela existência de um par de chaves por titular: chave privada e chave pública.

A chave privada é utilizada pelo titular para decifrar as mensagens cifradas com a sua chave pública, enviadas por terceiros. Também é utilizada para assinar digitalmente as mensagens que envia para terceiros.

A chave pública é utilizada por terceiros para enviar mensagens cifradas ou para verificarem a assinatura digital das mensagens recebidas.

Na infra-estrutura de chave pública MULTICERT, as chaves públicas encontram-se num directório X.500 acedido publicamente.

8. O que se entende por criptografia de chave pública?

A Criptografia é a ciência de disfarçar informação através de processos de codificação, e de repor essa mesma informação no seu estado original através de processos de descodificação.

Num sistema de criptografia de chaves públicas (ou criptografia assimétrica) são usadas duas chaves distintas para cifrar e decifrar uma mensagem. Cada titular tem um par de chaves que estão relacionadas matematicamente, mas que não podem ser obtidas uma da outra; uma das chaves (chave privada ou secreta) nunca sai da posse do titular, enquanto que a outra (chave pública) é disponibilizada publicamente. Qualquer informação que seja cifrada com uma das chaves só poderá ser decifrada com a outra.

Estando o par ?chave pública/chave privada? matematicamente relacionado, é computacionalmente impossível derivar o conteúdo de uma chave através do conhecimento da outra. Isto possibilita, por exemplo, que a chave privada seja protegida de duplicação ou falseamento, mesmo que se saiba o conteúdo da chave pública. Desta forma, é seguro distribuir abertamente a chave pública para todos os usos, mas é essencial que a chave privada permaneça bem secreta e salvaguardada.

Pense no seu caso: Se alguém lhe deseja enviar uma mensagem cifrada, esse remetente cifra o conteúdo com a sua chave pública, e como você é o único que tem acesso à chave privada correspondente, é igualmente a única pessoa que poderá decifrar a mensagem original.

A Criptografia de Chave Pública é utilizada para assegurar a privacidade da informação, mas também possibilita outra função vital para assegurar a troca de informação electrónica: a autenticação. A autenticação, neste contexto, refere-se ao processo que o destinatário de uma mensagem electrónica deverá efectuar para verificar a identidade de quem a enviou, bem como para assegurar a integridade da mensagem que recebeu. Tal como a criptografia é utilizada para se garantir privacidade, também a assinatura digital é usada para verificar a autoria/co-assinatura de uma mensagem.

Para criar uma assinatura digital, o signatário cria um código (Hash), uma versão reduzida e única da mensagem original. Seguidamente utiliza a sua chave privada para cifrar o código (Hash) da mensagem. Este resultado, o valor Hash cifrado, é a assinatura digital. Se a mensagem for alterada, mesmo minimamente, o resultado do Hash da mensagem alterada será diferente. A assinatura digital é única para a mensagem e para a chave privada que a criou, e como tal não pode ser falsificada.

Após a geração da assinatura digital, esta é ligada à mensagem e ambas são enviadas para o destinatário, o qual recria o Hash (repete o processo de geração de código) sobre a mensagem recebida e, utilizando a chave pública do signatário/rementente para decifrar a assinatura digital original, obtém o valor da mensagem original.

Se os valores forem idênticos, verifica-se o seguinte:

- Que a assinatura digital foi criada através da utilização da chave privada correspondente ao signatário/remetente.

- Que ninguém está maliciosa ou pretensamente a assumir a identidade de outrém.

- Que o signatário é autêntico, sendo que este não pode afirmar que não assinou digitalmente tal mensagem.

- Que o conteúdo da mensagem não sofreu alterações no seu trajecto.

9. Quais são os mecanismos de assinatura/cifra de uma mensagem?

Para cifrar uma mensagem, o emissor utiliza a chave pública do receptor, assegurando deste modo, que apenas a chave privada do receptor pode ser usada para decifrar a mensagem.

Para assinar uma mensagem, calcula-se um digest da mensagem que posteriormente é cifrada com a chave privada do emissor ? a isto chama-se de assinatura digital. Qualquer receptor pode recalcular o digest da mensagem, decifrar a assinatura com a chave pública do emissor e, se os dois digest forem iguais, o receptor tem a garantia que foi cifrada com a chave privada correspondente e que a mensagem não foi alterada.

A assinatura e cifragem simultânea de uma mensagem permite garantir que é entregue de um modo seguro e com a garantia de integridade e não repudiação para ambas as partes.

10. Qual o nível de segurança garantido pelas tecnologias de encriptação?

É preciso ter a noção que qualquer que seja a tecnologia utilizada, não se consegue garantir uma segurança de 100%. Garantimos que utilizaremos em todos os momentos as mais avançadas tecnologias de encriptação conhecidas, de modo a garantirmos o nível mais elevado de segurança necessário à encriptação dos dados.

11. A informação que envio através da Internet pode ser interceptada por terceiros?

Qualquer tipo de informação que seja enviada através da Internet pode ser interceptada e visualizada por terceiros. Contudo, se essa informação for cifrada, embora continue a poder ser interceptada, passa a ser virtualmente impossível visualizar o texto original, já que o que obtém é um criptograma (um conjunto de caracteres sem significado, a não ser que possua a chave privada do receptor).

12. Como é que sei quando entro numa sessão segura?

Pode certificar a existência de uma sessão segura através do cadeado visível na parte inferior do seu browser.

A utilização de uma cifra de 128 bits numa sessão segura, exige que o acesso ao site Web seja efectuado com browsers que suportem essa tecnologia, nomeadamente MS Internet Explorer versão 4.0 (ou superior), ou Nestcape Navigator 4.04 (ou superior).

13. Um certificado assegura a identidade do emissor? E do receptor?

O emissor para cifrar uma mensagem tem que possuir o certificado (chave pública) do receptor - pode obter o certificado directamente do receptor ou a partir de um directório X.509. Se o emissor tem o certificado do receptor, tem a certeza que a chave pública é do receptor, se confiar na Autoridade de Certificação que assina o Certificado.

O receptor tem a certeza que a mensagem é enviada pelo emissor, se este assinar a mensagem e se possuir o certificado do emissor para decifrar a assinatura (claro que mais uma vez terá que confiar na Autoridade de Certificação e em todos os mecanismos da PKI que garantem que a chave pública do certificado pertence ao seu titular).

14. Alguém pode solicitar um certificado em meu nome?

Os certificados solicitam-se à Autoridade de Registo e é esta que é responsável por verificar a identidade do titular, pelo que não é possível que alguém peça o certificado em nome de outra.

15. Pode-se falsificar um certificado?

Um certificado não se pode falsificar, já que estão assinados pela Autoridade de Certificação. Se algum dado for modificado, a assinatura não corresponderia aos dados que foram assinados, pelo que o software que utiliza daria uma mensagem de erro.

16. Qual é a melhor maneira de autentificar os dados nas Intranets/Extranets/Internet e e-mail?

A autenticação é efectuada através da assinatura digital, para o que é necessário obter um certificado electrónico que garanta a identidade do titular.

Relativamente ao correio electrónico, bastará obter um certificado para o seu browser (MSIE ou Netscape), passando imediatamente a poder assinar electronicamente todo o correio que envia. Para cifrar as mensagens, de modo a que só o seu destinatário as consiga ler, tem que obter o certificado digital do destinatário, o que poderá ser conseguido através de pesquisa numa directoria X.500 (possivelmente, no caso do destinatário já lhe ter enviado uma mensagem assinada, já o tem no seu browser).

17. Que significa https?

Significa que está a comunicar com um servidor Web que detém um certificado, sendo por isso a comunicação cifrada.

Contudo, é importante que comprove o certificado do servidor Web, de forma a poder ficar descansado no que se refere à segurança que lhe é realmente oferecida.

18. Recebi o certificado digital num CD-ROM. O que preciso de ter para o utilizar?

Para os serviços disponibilizados pelas empresas que o estão a disponibilizar nesta forma, não necessita de instalar o Certificado Digital no computador. Bastará inserir o CD-ROM no leitor de CD do computador e poderá imediatamente identificar-se perante a empresa e assinar/cifrar as suas transacções.

A MULTICERT garante que o par de chaves assimétricas e o certificado digital foram gerados, emitidos e gravados em ambientes que seguem os mais altos padrões de segurança e sem intervenção humana, de tal modo que apenas o utilizador final tem acesso simultâneo ao CD-ROM e à password que permite o acesso à chave privada de assinatura. Deste modo, torna-se possível transportar a segurança e facilidade de utilização de um cartão MULTIBANCO para as transacções no Mundo on-line

19. Com o Certificado Digital o processo de navegação torna-se mais lento?

Usualmente, o Certificado Digital só é utilizado para identificar o cliente e assinar digitalmente as transacções. Este processo não torna a navegação mais lenta.

20. Qual o processo mais seguro: o Certificado Digital ou a password?

A utilização de certificado digital permite-lhe assinar digitalmente os dados, tendo deste modo a garantia que qualquer alteração na sua transacção/mensagem poderá ser detectada.

21. Que recomendações devo seguir para garantir o máximo de segurança com os meus dados?

Se resolver instalar os pares de chaves e certificado no seu computador, deverá utilizar as opções de segurança máxima, de modo a ser necessário uma password para aceder à chave privada. Esta opção só deverá ser considerada em casos em que esteja a utilizar um computador pessoal.

22. O que é a assinatura electrónica?

A assinatura electrónica é o resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:

i. Identifique de forma unívoca o titular como autor do documento;

ii. A sua aposição ao documento dependa apenas da vontade do titular;

iii. A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste.

[in Decreto-Lei relativo à Assinatura Digital (n.º 290-D/99)]

23. O que é a assinatura digital?

A Assinatura Digital é um processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura.

[in Decreto-Lei relativo à Assinatura Digital (n.º 290-D/99)]

24. O que é um documento electrónico?

Um documento electrónico é documento elaborado mediante processamento electrónico de dados.

[in Decreto-Lei relativo à Assinatura Digital (n.º 290-D/99)]

25. O que é que se garante com a assinatura digital de um documento?

Garante:

i. a autenticação da identidade da entidade que assinou o documento (o emissor do documento),

ii. a não alteração (acidental ou maliciosa) do documento durante a sua transmissão (i.e., protege a integridade do documento),

iii. o não repúdio do documento por parte do emissor (i.e., o emissor não pode reclamar que não foi ele que assinou o documento).

26. O que é que se garante com a cifragem de um documento?

Garante-se que só o destinatário do documento o consegue ler na sua forma original, sendo incompreensível para terceiros que o consigam interceptar.