Glossário da certificação

Agora que você já sabe tudo sobre certificados digitais, fique por dentro dos termos* mais utilizados:

Algoritmo - série de etapas utilizadas para completar uma tarefa, procedimento ou fórmula na solução de um problema. Usado como chaves para criptografia de dados.

Algoritmo assimétrico - algoritmo de criptogtafia que usa duas chaves: uma pública e outra privada. A chave pública pode ser distribuída abertamente, enquanto a chave privada é mantida secreta. Alguns algoritmos assimétricos são capazes de muitas operações, incluindo criptografia, assinaturas digitais e acordo de chave.

Algoritmo simétrico - operação criptográfica que usa somente uma chave para cifrar e decifrar.

Algoritmo criptográfico - processo matemático definido para cifrar e decifrar mensagens e informações.

Assinatura digital - código anexado ou logicamente associado a uma mensagem eletrônica que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto de dados. A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de próprio punho comprova a autoria de um documento escrito. A verificação da origem do dado é feita com a chave pública do remetente.

Autenticação - processo de confirmação da identidade de uma pessoa física ou jurídica através das documentações apresentadas pelo solicitante e da confirmação dos dados solicitados. Executada por agentes de registro, como parte do processo de aprovaçao de uma solicitação de certificado digital.

Autenticidade - qualidade de um documento ser o que diz ser, independente de se tratar de minuta, original ou cópia, e que é livre de adulterações ou qualquer outro tipo de corrupção.

Autoridade Certificadora - entidade da hierarquia da ICP-Brasil responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Sua função essencial é a responsabilidade de verificar se o titular do certificado possui chave privada que corresponde à chave pública que faz parte do certificado.

Autoridade Certificadora Raiz - primeira autoridade certificadora da ICP Brasil, executa políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Emite, expede, distribui, revoga e gerencia os certificados das Acs de nível imediatamente subseqüente ao seu, além de gerenciar a lista de certificado emitidos, revogados e vencidos e de fiscalizar e auditar ACs e ARs habilitados.

Autoridade de Registro - entidade responsável pela interface entre o usuário e a AC. Ela recebe, valida, encaminha solicitações de emissão e revogação de certificados digitais às Acs e identifica os solicitantes de forma presencial. Subordinada à AC, pode ser ou não uma unidade remota.

Cadeia da certificação - série hierárquica de certificados assinados por sucessivas autoridades certificadoras.

Certificado digital - documento eletrônico único e instransferível que funciona como uma carteira de identidade em transações online.

Certificado de assinatura digital - certificado usado na confirmação de identidade na web, no correio eletrônico, nas transações online, em redes privadas virtuais (VPN), transações eletrônicas (EDI) e assinatura de documentos com verificação de integridade de suas informações.

Certificado de sigilo - certificados usados para cifração de documentos, bases de dados, mensagens e outras informações eletrônicas.

Certificado tipo A1 e S1 - certificados em que a geração de chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.

Certificado tipo A2 e S2 - certificados em que a geração de chaves criptográficas é feita em software, e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.

Certificado do tipo A2 e S2 - certificado em que a geração das chaves criptográficas é feita em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem capacidade de geração de chave e protegidos por senha. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de dois anos.

Certificado do Tipo A3 e S3 - certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICPBrasil. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos.

Certificado do tipo A4 e S4 - certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chaves criptográficas têm no mínimo 2048 bits. A validade máxima do certificado é de três anos.

Chave Criptográfica - é o valor numérico ou código usado com um algoritmo criptográfico para transformar, validar, autenticar, cifrar e decifrar dados.

Chave Privada - uma das chaves de um par de chaves criptográficas (a outra é uma chave pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pública correspondente.

Chave Pública - uma das chaves de um par de chaves criptográficas (a outra é uma chave privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam, então, ser decifrados com a chave privada correspondente.

Chave Simétrica - chave criptográfica gerada por um algoritmo simétrico.

Chaves Assimétricas - chaves criptográficas geradas por um algoritmo assimétrico.

Comitê Gestor da ICP-Brasil - autoridade gestora de políticas da ICPBrasil que tem suas competências definidas na Medida Provisória 2.2002. É responsável, dentre outras coisas, por estabelecer a política e as normas de certificação, fiscaliza a atuação da Autoridade Certificadora Raiz, cuja atividade é exercida pelo Instituto Nacional de Tecnologia da Informação.

Confidencialidade - propriedade de certos dados ou informações que não podem ser disponibilizadas ou divulgadas sem autorização para pessoas, entidades ou processos. Assegurar a confidencialidade de documentos é assegurar que apenas pessoas autorizadas tenham acesso à informação.

Credenciamento - processo em que o ITI avalia e aprova os documentos
legais, técnicos, as práticas e os procedimentos das entidades que desejam ingressar na ICP-Brasil. Aplica-se a Autoridades Certificadoras, Autoridades de Registro e Prestadores de Serviços de Suporte. Quando aprovados, os credenciamentos são publicados no Diário Oficial da União.

Criptografia - área da criptologia que trata dos princípios, dos meios e dos métodos de transformação de documentos com o objetivo de mascarar seu conteúdo, impedir modificações, uso não autorizado e dar segurança à confidência e autenticação de dados. Ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações, através de um processo de cifragem, e para restaurar informações cifradas para sua forma original, inteligível, através de um processo de decifragem. A criptografia também se preocupa com as técnicas de criptoanálise, que dizem respeito a formas de recuperar aquela informação sem se ter os parâmetros completos para a decifragem.

Criptografia Assimétrica - tipo de criptografia que usa um par de chaves criptográficas distintas (privada e pública) e matematicamente relacionadas. A chave pública está disponível para todos que queiram cifrar informações para o dono da chave privada ou para verificação de uma assinatura digital criada com a chave privada correspondente; a chave privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.

Declaração de Praticas de Certificação (DPC) - documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pela Autoridade Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequação dos padrões de segurança empregados as necessidades de segurança de suas aplicações.

Hash - resultado da ação de algoritmos que fazem o mapeamento de uma seqüência de bits de tamanho arbitrário para uma seqüência de bits de tamanho fixo menor conhecido como resultado hash de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash (resistência à colisão), e que o processo reverso também não seja realizável (dado um hash, não é possível recuperar a mensagem que o gerou).

Hierarquia do Certificado - estrutura de certificados digitais que permite a indivíduos verificarem a validade de um certificado. O certificado é emitido e assinado por uma Autoridade Certificadora que está numa posição superior na hierarquia dos certificados. A validade de um certificado específico é determinada, entre outras coisas, pela validade correspondente ao certificado da AC que fez a assinatura.

Infraestrutura de chaves públicas brasileira (ICP-Brasil) - É um conjunto de técnicas, arquitetura, organização, práticas e procedimentos, implementados pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação. Tem como objetivo estabelecer os fundamentos técnicos e metodológicos de uma sistema de certificação digital baseado em criptografia de chave pública, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. A ICP-Brasil foi criada pela Medida Provisória 22002, de 24.08.2001, e encontra-se regulamentada pelas Resoluções do Comitê Gestor da ICP-Brasil.

Não repúdio - ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica, não poderá posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos de um uso indevido do certificado digital, fato que não exime de responsabilidade, o autor não pode negar a autoria da transação. Transações digitais estão sujeitas a fraude, quando sistemas de computador são acessados indevidamente ou infectados por cavalos-de-tróia ou vírus. Assim os participantes podem, potencialmente, alegar fraude para repudiar uma transação.

Par de chaves - chaves privada e pública de um sistema criptográfico assimétrico. A chave privada e sua chave pública são matematicamente relacionadas e possuem certas propriedades, entre elas a de que é impossível a dedução da chave privada a partir da chave pública conhecida. A chave pública pode ser usada para verificação de uma assinatura digital que a chave privada correspondente tenha criado ou a chave privada pode decifrar a uma mensagem cifrada a partir da sua correspondente chave pública. A chave privada é de conhecimento exclusivo do titular do certificado.

Política de Certificação (PC) - documento que descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital.

Repositório - sistema confiável e acessível online, mantido por uma Autoridade Certificadora, para publicar sua Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC), Política de Segurança (PS), Lista de Certificados Revogados (LCR) e endereços das instalações técnicas das AR vinculadas.

Sala-cofre - área de segurança restrita, formada por cofre com proteção eletromagnética, física e contra fogo, afim de proteger as chaves privativas que assinam os certificados digitais.

Smart card - pequeno dispositivo, geralmente do tamanho de um cartão de crédito, que contém um processador e é capaz de armazenar informação criptográfica (como chaves e certificado) e realizar operações criptográficas.

Token - dispositivo para armazenamento do certificado digital de forma segura, com funcionamento parecido com o smart card, mas conexão com o computador via USB.

X.509 - padrão que especifica o formato dos certificados digitais, de tal maneira que se possa amarrar firmemente um nome a uma chave pública, permitindo autenticação forte. Faz parte das séries X.500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para localização. Na ICP-Brasil utilizam-se certificados no padrão X509 V3.

(*) Fonte: ITI