Certificados Digitais

Tópicos

• Station-to-Station (STS)
• PKIs
• x509
• Revogação de Certificados

Preâmbulo

Como continuação às assinaturas digitais, os certificados surgem como uma forma de garantir a associação entre uma dada assinatura (e respetiva chave pública) com a identidade de uma pessoa no mundo real.

Todos os agentes envolvidos devem ter, na sua posse, a chave de uma (ou mais) CA(s)¹.

Station-to-Station (STS)

Este protocolo é muito parecido ao Diffie-Hellman, com a adição de certificados digitais - por forma a garantir algumas propriedades de integridade, autenticidade e não-repúdio extras.

Durante o processo de handshaking são enviadas assinaturas digitais da concatenação das chaves públicas de cada um dos intervenientes.

PKIs

PKIs ou Public-Key Infrastructures são infraestruturas cujo papel é hierarquizar, delegar, gerir, entre outros, tudo o que é relacionado a certificados digitais.

Entidades envolvidas

• Holders (subjects) - quem solicita um certificado para a sua chave pública
• Clientes - quem necessita de usar uma chave pública de um certificado
• CAs - referir a¹.
• RAs - entidades responsáveis por estabelecer a associação entre uma chave pública e a identidade do seu dono (opcional).
• Repositórios - listagem de certificados existentes ou até certificados revogados.

x509

Standard criado para certificados digitais, com o objetivo de facilitar todas as comunicações realizadas e, também, todas as APIs de desenvolvimento criadas.

Um certificado destes inclui informação como:

• Informative Data
  • subject (quem possui a chave privada correspondente à chave pública)
  • holder’s public key
  • issuer (normalmente uma CA)
  • outra informação relevante - serial number, validade, extensões, …
• Assinatura do issuer

É possível que um certificado aponte, em cadeia, para outros certificados. Ou seja, para a validação de um certificado ocorrer com a garantia correta, é necessário ir sempre até à raiz da cadeia, que normalmente é uma das CAs raiz. Este processo de verificação é, portanto, recursivo.

Parâmetros a verificar

• Assinatura
• Aplicabilidade do certificado
• Validade
• Que não foi revogado

Nota sobre os certificados das CAs raiz

Os certificados das CAs raiz são self-signed. Isto é, foram assinados por elas próprias.

Revogação de Certificados

É possível revogar um certificado antes que a sua data de validade termine. Por exemplo, quando a chave privada correspondente foi comprometida.

Para tal, existem umas listas públicas chamadas de CRLs². No entanto, estas listas só são atualizadas, por exemplo, uma vez por dia. Em alternativa, dever-se-á utilizar o protocolo OCSP.

Footnotes

1. CA ou Certification Authority é uma entidade responsável por gerir a geração e distribuição de certificados digitais. É nelas que a confiança é depositada, ou seja, são elas a base do modelo de segurança. ↩ ↩²

2. CRL ou Certificate Revocation List. ↩