You are on page 1of 53

GUIA IDENTIFICAO ELECTRNICA

AUTENTICAO E ASSINATURA ELECTRNICA

verso 0.9 25 de Maio de 2009

Agncia para a Modernizao Administrativa, IP Rua Abranches Ferro n. 10, 3 G 1600-001 LISBOA
email: ama@ama.pt | telefone: 21 723 12 00 | fax: 21 723 12 20 | www.ama.pt

Guia para a Autenticao e Assinatura Electrnica

Folha de Controlo
Nome do Documento: Guia para a Autenticao e Assinatura Electrnica Evoluo do Documento Verso 0.9 Autor AMA Data 25-05-2009 Comentrios Verso inicial para discusso pblica.

Documentos Relacionados Nome do documento Tipo Documento Descrio

Controlo de Aprovaes Entidade Nomes Data

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 2 de 53

Guia para a Autenticao e Assinatura Electrnica

ndice
1. 2. RESUMO EXECUTIVO .............................................................................................................................. 4 MBITO ...................................................................................................................................................... 5 2.1. 2.2. 2.3. 3. 4. 5. 6. OBJECTIVO ........................................................................................................................................... 5 ABRANGNCIA ...................................................................................................................................... 5 APLICABILIDADE & REGULAMENTAO ................................................................................................... 5

ENQUADRAMENTO ................................................................................................................................ 12 ESTRUTURA DO DOCUMENTO ............................................................................................................ 14 METODOLOGIA DE UTILIZAO .......................................................................................................... 15 CONCEITOS E CONSIDERAES GERAIS ......................................................................................... 17 6.1. MTODOS DE IDENTIFICAO/AUTENTICAO ELECTRNICA ................................................................ 17 6.1.1. Utilizador e Palavra-Chave ....................................................................................................... 17 6.1.2. Token de Autenticao ............................................................................................................. 18 6.1.3. Certificado Digital no Qualificado............................................................................................ 19 6.1.4. Assinatura Electrnica/Certificado Digital Qualificado ............................................................. 20 6.1.5. Dados biomtricos .................................................................................................................... 21 6.2. SMART CARDS .................................................................................................................................... 22 6.3. SINGLE SIGN ON ................................................................................................................................. 22 6.4. INFRA-ESTRUTURA DE CHAVE PBLICA ................................................................................................ 23

7.

MODELO DE REFERNCIA PARA IDENTIFICAO ELECTRNICA ................................................ 25 7.1. CARTO DE CIDADO .......................................................................................................................... 26 7.1.1. Certificados Digitais do Carto de Cidado .............................................................................. 27 7.1.2. Identificao atravs do mtodo de Match-On-Card ................................................................ 31 7.1.3. Identificao atravs de One-Time-Password OTP (EMV-CAP) .......................................... 31 7.2. FORNECEDOR DE AUTENTICAO DO CARTO DE CIDADO .................................................................. 32 7.3. INFRA-ESTRUTURA DE CHAVE PBLICA DO CARTO DE CIDADO .......................................................... 33 7.4. SERVIOS DE APOIO VERIFICAO.................................................................................................... 35 7.4.1. Servios de Apoio Verificao dos Certificados Digitais do Carto de Cidado ................... 35 7.4.2. Verificao atravs do mtodo de Match-On-Card .................................................................. 39 7.4.3. Servios a Disponibilizar ........................................................................................................... 39

8.

NORMAS & ESPECIFICAES TCNICAS .......................................................................................... 41 8.1. 8.2. 8.3. CERTIFICADOS DIGITAIS DE AUTENTICAO .......................................................................................... 41 CERTIFICADOS DIGITAIS DE ASSINATURA ELECTRNICA ......................................................................... 41 MATCH-ON-CARD ................................................................................................................................ 42

9.

EXEMPLO ................................................................................................................................................ 43

10. ANEXOS ................................................................................................................................................... 45 10.1. 10.2. ANEXO I TERMOS E ABREVIATURAS ................................................................................................... 45 ANEXO II ATRIBUTOS DO CERTIFICADO DO CARTO DE CIDADO ........................................................ 47

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 3 de 53

Guia para a Autenticao e Assinatura Electrnica

1.

RESUMO EXECUTIVO

Este documento tem por objectivo apresentar as linhas orientadoras para a identificao e autenticao de um Cidado ou Empresa perante as Entidades da Administrao Pblica. Neste mbito, so detalhados os conceitos de identificao e autenticao e assumido como pressuposto fundamental a utilizao do Carto de Cidado enquanto mecanismo essencial neste processo de identificao/autorizao do Cidado. So focados em abstracto conceitos e consideraes relativamente aos mtodos de identificao/autenticao electrnica existentes, nomeadamente: Utilizador e Palavra-Chave; Token de Autenticao; Certificado Digital no Qualificado; Assinatura Electrnica/ Certificado Digital Qualificado; Dados biomtricos. Em maior detalhe, so apresentados os mecanismos para identificao do Cidado existentes no Carto de Cidado e efectuada a sua associao com os conceitos anteriormente expostos, bem como os servios de apoio verificao dos mesmos. Deste modo, os mecanismos existentes no Carto de Cidado so: Certificados Digitais que abrangem dois modelos: Certificados de Autenticao e Certificados de Assinatura Electrnica; Identificao atravs do mtodo de Match-on-Card; Identificao atravs do mtodo de One-Time Password. So ainda apresentadas recomendaes e directrizes para a seleco do(s) mtodo(s) de autenticao a empregar segundo o canal de atendimento utilizado pela Entidade interessada. Associadas a esta seleco so referidas as normas e especificaes tcnicas a assegurar para a correcta utilizao dos processos escolhidos. Por fim apresentado um quadro com os Termos e Abreviaturas referidas ao longo deste Guia.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 4 de 53

Guia para a Autenticao e Assinatura Electrnica

2.

MBITO

2.1.

Objectivo

Com a rpida expanso dos servios electrnicos disponibilizados pelos Organismos da Administrao Pblica e com a consolidao do Carto de Cidado como principal documento identificador dos cidados nacionais torna-se premente regulamentar sobre as normas a aplicar na identificao e autenticao electrnica. Alinhado a este facto encontram-se as recomendaes efectuadas pela Unio Europeia sobre a necessidade de definir regras relativamente Assinatura Digital de documentos no espao Europeu. objectivo deste guia ir ao encontro da soluo destas problemticas e regulamentar normas e recomendaes neste mbito a serem aplicadas pelos Organismos da Administrao Pblica.

2.2.

Abrangncia

As normas aqui apresentadas referem-se identificao electrnica dos cidados perante os Organismos da Administrao Pblica.

2.3.

Aplicabilidade & Regulamentao

Em termos de aplicabilidade das normas e recomendaes apresentadas foi definido o seguinte: Estas normas apresentam carcter vinculativo para os Organismos da Administrao Pblica, sendo que so fortemente recomendadas para as restantes Entidades Privadas; So vinculativas para novos servios e sistemas que venham a ser implementados. Nestes casos obrigatria a existncia exclusiva de mecanismos de autenticao e identificao atravs do Carto de Cidado;
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 5 de 53

Guia para a Autenticao e Assinatura Electrnica

So vinculativas para os servios e sistemas actuais, onde estes tm que ser adaptados de modo a englobar mecanismos de autenticao e identificao atravs do Carto de Cidado. Sero definidos os prazos para estas adaptaes serem efectuadas. Para os servios e sistemas existentes, os actuais mtodos de identificao podem-se manter em funcionamento em paralelo com os mecanismos a implementar para o Carto de Cidado.

So agora expostos os mtodos a implementar por canal de atendimento. Recomenda-se a utilizao de um dos mtodos ou a combinao de um ou mais mtodos tendo em conta os vrios canais de atendimento que uma Entidade disponibiliza ao Cidado/Empresa e o nvel de segurana que pretende dar informao ou ao servio. A definio dos nveis de segurana deve ter em conta os impactos que podem surgir devido apropriao indevida da identidade de uma pessoa no acesso informao ou ao servio, nomeadamente: Perda de integridade; Perda de disponibilidade; Perda de confidencialidade; Risco da segurana pessoal; Perda financeira.

Quanto mais severas forem as consequncias desta apropriao indevida e do acesso informao ou ao servio, maior deve ser o nvel de segurana a aplicar para as transaces a efectuar, tendo em conta os vrios riscos associados, nomeadamente: Falsificao de identidade; Roubo do token de acesso; Roubo da identidade real; Intercepo ou revelao de informao secreta de autenticao; Registo de informao secreta de autenticao em sistemas no confiveis; Uso no autorizado do token de acesso;

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 6 de 53

Guia para a Autenticao e Assinatura Electrnica

Uso de uma credencial comprometida; Uso de uma credencial alterada/modificada; Uso de uma credencial para um intuito indevido; Invalidao de uma credencial sem uma causa vlida; Uso fraudulento de uma credencial; Ataque de um hacker; Registo disperso da informao.

Tendo em conta os vrios impactos e riscos descritos e de acordo com as politicas de segurana existentes nesta rea, podem ser definidos quatro nveis de criticidade no acesso informao e servios disponibilizados: Nvel 1 acesso a informao e a servios do mbito pblico; Nvel 2 acesso a informao e a servios do mbito pblico, onde se assume que possa ocorrer algum dano para a Organizao, sem nunca comprometer as entidades (cidados/empresas) que a Organizao serve; Nvel 3 acesso de leitura a informao e a elegibilidade de servios do mbito privado de uma determinada entidade (cidado/empresa); Nvel 4 acesso de alterao da informao e execuo de servios do mbito privado de uma determinada entidade (cidado/empresa).

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 7 de 53

Guia para a Autenticao e Assinatura Electrnica

As tabelas seguintes descrevem as recomendaes e obrigaes para as Entidades da Administrao Pblica na utilizao de cada um dos mtodos de identificao/autenticao em cada um dos canais, tendo em conta o nvel de criticidade da informao/servios acedidos, com a seguinte nomenclatura: Interdito Mtodo de autenticao que no poder, em caso algum, ser usado para o nvel de criticidade da informao/servio em causa; No Recomendado Mtodo de autenticao no aconselhado para nvel de criticidade da informao/servio em causa. A sua utilizao poder por em causa o nvel de segurana da informao ou servio, podendo o organismo ser responsabilizado por esse facto; Recomendado Mtodo de autenticao que poder ser usado para nvel de criticidade da informao/servio em causa; Obrigatrio Mtodo de autenticao que ter de ser usado para nvel de criticidade da informao/servio em causa; Opcional Mtodo de autenticao que poder alternativamente (ao recomendado) ser usado para nvel de criticidade da informao/servio em causa. A sua utilizao no sendo obrigatria, poder ser usada para assegurar um nvel de segurana no acesso informao ou servio similar; No Aplicvel Mtodo de autenticao no aplicvel para o nvel de criticidade da informao/servio em causa.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 8 de 53

Guia para a Autenticao e Assinatura Electrnica

Mtodos de Autenticao para o canal presencial


Nvel de criticidade da informao/servios Mtodo de Identificao Comparao visual de fotografia titular Assinatura Digital do Carto de Cidado On-Time-Password do Carto de Cidado Autenticao com Certificado Digital do Carto de Cidado Match-On-Card do Carto de Cidado Utilizador e Palavra Chave recomendado no recomendado no recomendado no recomendado no recomendado no recomendado obrigatrio no recomendado no recomendado obrigatrio obrigatrio Nvel 1 Nvel 2 Nvel 3 Nvel 4

Opcional

Opcional

Opcional

Opcional

opcional

Opcional

Opcional

no recomendado opcional

opcional

Opcional

interdito

interdito

Mtodos de Autenticao para o canal telefnico


Nvel de segurana de identificao/autenticao Mtodo de Identificao Assinatura Digital do Carto de Cidado On-Time-Password do Carto de Cidado Autenticao com Certificado Digital do Carto de Cidado Match-On-Card do Carto de Cidado Utilizador e Palavra Chave no aplicvel no aplicvel no aplicvel no aplicvel Nvel 1 Nvel 2 Nvel 3 Nvel 4

opcional

opcional

recomendado

obrigatrio

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 9 de 53

Guia para a Autenticao e Assinatura Electrnica

Mtodos de Autenticao para o canal web (sites)


Nvel de segurana de identificao/autenticao Mtodo de Identificao Assinatura Digital do Carto de Cidado On-Time-Password do Carto de Cidado Autenticao com Certificado Digital do Carto de Cidado Match-On-Card do Carto de Cidado Utilizador e Palavra Chave no aplicvel no aplicvel no aplicvel no aplicvel Nvel 1 Nvel 2 Nvel 3 Nvel 4

opcional

opcional

opcional

opcional

opcional

opcional

recomendado

obrigatrio

no recomendado opcional

no recomendado opcional

no recomendado no recomendado

no recomendado interdito

Mtodos de Autenticao de funcionrios em Sistemas de Informao


Nvel de criticidade da informao/servios Mtodo de Identificao Assinatura Digital do Carto de Cidado On-Time-Password do Carto de Cidado Autenticao com Certificado Digital do Carto de Cidado Match-On-Card do Carto de Cidado Utilizador e Palavra Chave opcional opcional opcional recomendado Nvel 1 Nvel 2 Nvel 3 Nvel 4

opcional

opcional

opcional

opcional

opcional

opcional

recomendado

obrigatrio

opcional

opcional

opcional

opcional

opcional

opcional

interdito

interdito

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 10 de 53

Guia para a Autenticao e Assinatura Electrnica

Mtodos de Assinatura de Documentos e Transaces


Nvel de criticidade da informao/servios Mtodo de Identificao Assinatura Digital do Carto de Cidado On-Time-Password do Carto de Cidado Autenticao com Certificado Digital do Carto de Cidado Match-On-Card do Carto de Cidado Utilizador e Palavra Chave obrigatrio obrigatrio obrigatrio obrigatrio Nvel 1 Nvel 2 Nvel 3 Nvel 4

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

no aplicvel

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 11 de 53

Guia para a Autenticao e Assinatura Electrnica

3.

ENQUADRAMENTO

No mbito da modernizao da Administrao Pblica particularmente na interaco entre os seus Organismos e o Cidado, a identificao electrnica um dos alicerces da administrao electrnica, pois permite identificar e autenticar de forma electrnica os Cidados e Empresas perante a Administrao Pblica, potenciando dessa forma a utilizao de servios electrnicos. Para identificar e autenticar um dado Cidado necessrio responder s seguintes questes: Quem a pessoa que se pretende identificar e autenticar? Como saber que a pessoa quem diz ser?

De forma a responder a estas questes, a identificao electrnica disponibiliza os seguintes mecanismos: Identificao: responde primeira questo e consiste em determinar a identidade de um Cidado com base num atributo ou conjunto de atributos de diferentes origens; Autenticao: responde segunda questo e consiste em garantir que a identidade fornecida por um determinado Cidado pertence a esse Cidado. Atravs da utilizao conjunta destes dois mecanismos, garante-se a identidade do Cidado para o acesso e execuo de servios, electrnicos ou fsicos, consoante o canal de atendimento. No presente introduziram-se vrios mecanismos de suporte identificao e autenticao electrnica de um Cidado descrevendo os conceitos tcnicos associados a cada um deles. Este documento tem como principal audincia as diversas entidades da Administrao Pblica que pretendam utilizar os mecanismos de identificao electrnica dos Cidados. Contudo, o mbito da mesma estende-se ao sector privado, pelo que a informao aqui apresentada tambm deve servir

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 12 de 53

Guia para a Autenticao e Assinatura Electrnica

como uma referncia para as entidades privadas que pretendam utilizar os servios de identificao electrnica disponibilizados pela Administrao Pblica.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 13 de 53

Guia para a Autenticao e Assinatura Electrnica

4.

ESTRUTURA DO DOCUMENTO

O documento de Guia para a Identificao Electrnica encontra-se nos prximos captulos estruturado em: Metodologia de utilizao: apresenta a forma de aplicao e utilizao do documento, enumerando um conjunto de critrios que devem ser considerados na utilizao dos mtodos de identificao electrnica apresentados no mbito deste documento; Conceitos e Consideraes Gerais: descreve vrios conceitos e consideraes gerais na rea da identificao e assinatura electrnica, que devem ser do conhecimento da entidade que pretende utilizar o documento; Modelo de referncia: anuncia um modelo de referncia de um sistema desta natureza, onde so apresentados os mtodos de identificao electrnica mais recorrentes; Recomendaes: enumera um conjunto de referncias e recomendaes que devem ser consideradas para a aplicao do contedo do documento e para a continuidade e evoluo do mesmo, servindo de complemento metodologia de utilizao, conceitos e consideraes gerais e ao prprio modelo de referncia; Especificaes Tcnicas: apresenta um conjunto de standards tcnicos que devem ser aplicados para dar suporte aos mecanismos enunciados no modelo de referncia; Anexos: conjunto de referncias a informao auxiliar que complementam o documento.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 14 de 53

Guia para a Autenticao e Assinatura Electrnica

5.

METODOLOGIA DE UTILIZAO

Para identificao/autenticao de um Cidado perante uma Entidade, da Administrao Pblica, existem vrios mtodos de autenticao que se encontram classificados em trs grupos: Algo que o Cidado sabe: neste grupo encontram-se os mtodos de autenticao que se baseiam em algo que a Cidado conhece ou sabe, como por exemplo uma palavra-chave, um nmero nico de identificao (PIN) ou uma frase de segurana; Algo que o Cidado tem: neste grupo encontram-se os mtodos de autenticao que se baseiam em algo que o Cidado possui, como por exemplo um token de segurana, um certificado digital ou smartcard; Algo que o Cidado : neste grupo encontram-se os mtodos de autenticao que se baseiam em informao biomtrica do Cidado, como por exemplo a sua impresso digital, o padro da sua retina, o padro da sua voz ou a sua forma de escrever. Apesar de cada um dos mtodos fornecer as capacidades para identificao e autenticao de um determinado Cidado, o nvel de segurana associado a cada um dos nveis varia, pelo que a escolha de qual o mtodo a utilizar deve ter em conta o nvel de segurana que se pretende ter. Contudo, por vezes, a utilizao de apenas um mtodo de autenticao no fornece o nvel de segurana necessria, pelo que a combinao de vrios mtodos de autenticao uma das formas de fortalecer a segurana dos processos de identificao e autenticao. A aplicao de cada mtodo depende do nvel de segurana que se pretende ter no processo de autenticao de uma determinada entidade. Tal como descrito anteriormente, os vrios mtodos de identificao/autenticao oferecem nveis de segurana que se encontram classificados nos seguintes grupos:

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 15 de 53

Guia para a Autenticao e Assinatura Electrnica

Fraco: mtodos de identificao/autenticao em que os nveis de segurana oferecidos esto dependentes apenas do conhecimento de uma determinada entidade e do sigilo daquilo que esta conhece e que utilizado para se autenticar; Forte: mtodos de identificao/autenticao em que os nveis de segurana oferecidos no dependem somente do conhecimento de uma determinada entidade mas que tambm depende de alguma caracterstica sua ou de algo que ela possui. Tipicamente os mtodos de autenticao forte combinam dois ou mais mtodos de autenticao.

Assim sendo, no mbito de cada projecto de implementao na rea da Identificao Electrnica, cabe Entidade determinar quais os mecanismos e os requisitos que considera como obrigatrios e quais os que considera como opcionais, considerando o indicado no captulo de Aplicabilidade & Regulamentao1 onde apresentada a matriz de utilizao de cada um dos mtodos por canal de interaco com o Cidado classificados por nvel de segurana.

Para maior detalhe consultar captulo 2.3 - Aplicabilidade & Regulamentao


Pgina 16 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

6.

CONCEITOS E CONSIDERAES GERAIS

Neste captulo so apresentados os mtodos de Identificao/Autenticao electrnica existentes, sendo efectuada uma explicao acerca do seu funcionamento bem como a sua classificao segundo o nvel de segurana a ele associado.
6.1. Mtodos de Identificao/Autenticao Electrnica

A presente seco descreve os vrios mtodos de identificao/autenticao electrnica existentes. Para cada mtodo apresentada uma explicao do seu modo de funcionamento e dos mecanismos de suporte envolvidos.

6.1.1.

Utilizador e Palavra-Chave

Mtodo de identificao que se baseia no princpio de que o utilizador e a Entidade que fornece o servio ou recurso possuem conhecimento mtuo de uma palavra-chave esttica (que pode ser um palavra, um nmero ou uma frase) que o utilizador deve fornecer em conjunto com um ou mais dados de identificao no confidenciais (exemplo: nome de utilizador) Entidade, sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a palavra-chave fornecida igual palavra-chave que conhece. O nvel de segurana deste mecanismo de autenticao dependente de vrios factores como o sigilo, a complexidade e a possibilidade de a palavra-chave poder ser adivinhada e/ou calculada por outros que no o utilizador.

6.1.1.1. Personal Identification Number (PIN)

Um caso particular da autenticao por Palavra-Chave a utilizao de um Personal Identification Number (PIN). Este mtodo de identificao baseia-se no princpio de que o utilizador e a Entidade que fornece o servio ou recurso possuem conhecimento mtuo de um nmero que o utilizador
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 17 de 53

Guia para a Autenticao e Assinatura Electrnica

deve fornecer Organizao em conjunto com um ou mais dados de identificao no confidenciais (exemplo: nome de utilizador), sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a nmero fornecido igual ao nmero que conhece, para os dados de identificao conhecidos. O nvel de segurana deste mecanismo de autenticao est dependente de vrios factores como o sigilo, a complexidade e a possibilidade de o nmero poder ser adivinhado e/ou calculado por outros que no o utilizador.

6.1.2.

Token de Autenticao

Mtodo de autenticao que consiste, tipicamente na utilizao dois factores2 ou chaves para a identificao do utilizador para alm dos dados de identificao no confidenciais (exemplo: nome de utilizador): uma palavra-chave esttica e uma palavra-chave dinmica (chave), esta ltima gerada por um mecanismo externo (token) na posse do utilizador. A palavra-chave dinmica obtm-se atravs de um dispositivo de autenticao autnomo o token que armazena chaves, ou possui a capacidade de gerar/calcular uma chave nica no tempo (One Time Password OTP), que utilizada no processo de autenticao, ou tem capacidade de participar em esquemas de challenge/response com o servidor de autenticao. Geralmente o token necessita da insero de uma palavra-chave esttica para produzir a chave dinmica. Por questes de segurana, recomenda-se que a transmisso da chave dinmica obtida atravs do token seja efectuada atravs de um meio de comunicao seguro (por exemplo, uma ligao SSL). Sempre que pretender aceder aos recursos de uma Entidade, o utilizador deve fornecer os dados de identificao no confidenciais (exemplo: nome de utilizador) e a chave dinmica, sendo esta

Os mtodos baseados em dois factores de identificao/autenticao utilizam uma combinao de dois elementos entre os seguintes: algo que o utilizador (por exemplo: validao de ris ou impresso digital), algo que o utilizador tem (por exemplo: um gerador de tokens), algo que o utilizador sabe (por exemplo: uma palavra-chave). Trata-se de um mtodo mais seguro do que mtodos baseados apenas em algo que o utilizador sabe, como a identificao/autenticao por palavra-chave.
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 18 de 53

Guia para a Autenticao e Assinatura Electrnica

obtida atravs do token aps a insero da palavra-chave esttica neste dispositivo. Por seu turno, a Entidade deve verificar se a chave dinmica fornecida vlida para o utilizador em questo. O nvel de segurana do mtodo de autenticao por token gerador de chaves dinmicas depende do grau de complexidade do token utilizado, como por exemplo o tipo de criptografia aplicado.

6.1.3.

Certificado Digital no Qualificado

Um certificado digital de chave pblica no qualificado, doravante designado por certificado digital, um documento electrnico que funciona como credencial, relacionando uma chave pblica com a identidade de uma Entidade, Pessoa ou Organizao. Trata-se de uma credencial electrnica emitida por uma Entidade de Certificao fidedigna e que contm a informao necessria para identificar e autenticar uma determinada Entidade (Pessoa ou Organizao) perante outra. Para alm da credencial, o certificado digital possui um par de chaves criptogrficas: Chave privada: chave do conhecimento do detentor do certificado digital e pode ser utilizada para cifrar dados e/ou para assinar digitalmente documentos electrnicos; Chave pblica: chave conhecida e comunicada s Entidades com as quais o detentor do certificado se pretende relacionar e que utilizada para decifrar dados e/ou validar a assinatura digital de documentos electrnicos. A chave pblica associada aos atributos que identificam o detentor do certificado. Quando o detentor do certificado pretender aceder aos recursos de uma Entidade, deve fornecerlhe o seu certificado digital, sendo a Entidade que disponibiliza os recursos responsvel por verificar se o certificado fornecido vlido junto da Entidade Emissora do Certificado.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 19 de 53

Guia para a Autenticao e Assinatura Electrnica

Actualmente o nvel de segurana deste mtodo de autenticao pode ser considerado como seguro quando a Entidade Certificadora reconhecida pelos seus participantes como uma entidade fidedigna, tal como numa Infra-estrutura de Chave Pblica (PKI)3.

6.1.4.

Assinatura Electrnica/Certificado Digital Qualificado

Uma assinatura electrnica pode ser definida como um processo de criptografia electrnico recorrendo a um par de chaves, tipicamente contidas num certificado digital, atravs do qual gerada uma sequencia de bytes cujo valor no tem significado fora do contexto de um algoritmo especifico e que acompanha o documento assinado como anexo. A assinatura do documento implica uma aprovao dos termos e/ou de um documento electrnico pelo signatrio, de forma anloga a uma assinatura fsica tradicional. Para alm destas caractersticas, a assinatura electrnica de um documento assegura a integridade do mesmo, ou seja, assegura que o documento no foi alterado desde que foi assinado, bem como a no repudiao do documento, ou seja, garante que o documento foi assinado pelo signatrio cuja assinatura consta no documento. A assinatura digital baseia-se em dois processos criptogrficos que recorrem s chaves criptogrficas e dos algoritmos de hashing: Resumo criptogrfico do documento a enviar (hash) A gerao do resumo criptogrfico do documento consiste na aplicao de algoritmos de hashing ao documento, como MD54, SHA-15, SHA-2566, que o reduzem a um resumo de dimenso constante; A cifra do resumo.

Associado a uma assinatura electrnica existem sempre dois procedimentos a considerar:

3 4 5

Para mais informaes sobre PKI, consultar a seco 6.4 deste documento http://www.ietf.org/rfc/rfc1321.txt http://www.ietf.org/rfc/rfc3174.txt
Pgina 20 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

Gerao da assinatura Procedimento segundo o qual o signatrio produz a sequncia de bytes (assinatura) a partir do documento e de informao secreta ou privada (a chave privada). Este procedimento deve assegurar as propriedades requeridas para a assinatura: autenticidade, integridade e no repudiao do documento; Verificao da assinatura Procedimento segundo o qual o destinatrio do documento assinado consegue assegurar-se de que a sequncia de bytes que recebe como assinatura um valor vlido, gerado pelo signatrio para esse fim.

Actualmente o nvel de segurana deste mtodo de identificao e autenticao pode ser considerado como seguro quando a Entidade que emite o certificado que d suporte assinatura digital reconhecida pelos seus participantes como uma entidade fidedigna7.

6.1.5.

Dados biomtricos

A identificao e autenticao atravs de dados biomtricos baseia-se nas caractersticas humanas de uma pessoa como a impresso digital, voz, face, ris, entre outras, considerando que essas caractersticas so nicas. Para a utilizao deste mtodo de autenticao, a Entidade que fornece os seus recursos deve efectuar previamente a recolha dos dados biomtricos que pretende utilizar para identificar o utilizador. Quando o utilizador pretender aceder aos recursos da Entidade, deve permitir a obteno dos seus dados biomtricos pela Entidade, que deve verificar se os dados fornecidos so iguais aos dados recolhidos anteriormente.

http://tools.ietf.org/html/draft-ietf-dnsext-ds-sha256-05 A assinatura digital tem o valor legal conferido pela lei, nomeadamente no Decreto-Lei n 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei n 62/2003, de 3 de Abril e alterado pelos Decretos-Lei ns 165/2004, de 6 de Julho e 116A/2006, de 16 de Junho
7

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 21 de 53

Guia para a Autenticao e Assinatura Electrnica

Dependo da caracterstica humana que utilizada para a identificao, actualmente este mtodo de autenticao pode ser considerado como um mtodo de identificao seguro, dependendo da verificao presencial da pessoa que se pretende identificar e autenticar.

6.2.

Smart Cards

Os smart cards so o suporte fsico (em formato de cartes) para a informao utilizada para alguns dos mtodos de autenticao referidos anteriormente, nomeadamente a autenticao atravs de token, certificados digitais ou dados biomtricos. Este tipo de cartes possui o hardware e o software necessrio para a realizao de operaes importantes na rea de identificao electrnica, nomeadamente: Guardar e aceder de forma segura os certificados digitais, fornecendo as capacidades necessrias para autenticao atravs de certificados digitais; Guardar e validar de forma segura os dados biomtricos, fornecendo as capacidades necessrias para a autenticao atravs de dados biomtricos; Gerar chaves nicas, fornecendo as capacidades necessrias para a autenticao atravs de tokens; Assinar e cifrar documentos em formato digital, utilizando os certificados digitais contidos no carto, fornecendo as capacidades necessrias para assinatura electrnica de documentos. Tal como referido anteriormente, a combinao de mais que um mtodo de autenticao permite fortalecer a segurana do acto de autenticao.

6.3.

Single Sign On

O mecanismo de Single Sign On (SSO) o mecanismo atravs do qual, numa nica aco de identificao e autenticao, permite a um utilizador adquirir acesso a vrios recursos
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 22 de 53

Guia para a Autenticao e Assinatura Electrnica

(computadores, sistemas, servios, informaes) que requerem identificao e respectiva autenticao e para os quais o utilizador tem permisses de acesso, sem que seja necessrio repetir a aco de identificao e/ou autenticao para cada recurso especfico. Com este mecanismo, a identificao e autenticao do utilizador efectuada numa nica entidade, designada por entidade fornecedora de autenticao ou servidor de autenticao, o qual emite um certificado de autenticao8, aps a identificao e autenticao do cidado atravs de mtodos de identificao electrnica com nvel de segurana adequado ao tipo de recursos a que pretende aceder. As credenciais indicadas pelo utilizador nunca saem da entidade fornecedora de autenticao. Ao invs, todos os recursos a que o utilizador pode aceder utilizando SSO devem confiar na entidade fornecedora de autenticao e no certificado por ela emitido, validando-o sempre que o utilizador pretenda interagir com cada um dos recursos.

6.4.

Infra-estrutura de Chave Pblica

Uma infra-estrutura de chave pblica PKI ou public key infrastructure o conjunto formado pela arquitectura, organizao, tcnicas, prticas, procedimentos e servios que, no seu todo, suporta a implementao, fornecimento e gesto de certificados X.5099 para criptografia de chave pblica. Estes certificados identificam o indivduo a quem o certificado diz respeito e ligam-na a um determinado par de chaves pblica/privada. Uma infra-estrutura de chave pblica composta por quatro componentes fundamentais:

Nota: os fornecedores de autenticao podem emitir diferentes tipos de artefactos que permitam a cada um dos recursos identificar e autenticar o utilizador: certificado de autenticao ou certificados X.509, token ou ticket one-time passord, token ou ticket baseados em criptografia (kerberos), cookies. No mbito do presente documento so considerados apenas os certificados de autenticao.
9

Para a documentao completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.


Pgina 23 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

A entidade certificadora10 Certificate Authority ou CA que responsvel pela emisso e validao de certificados digitais; Entidade de registo Registration Authority ou RA que d suporte entidade certificadora, efectuando as validaes prvias necessrias para a emisso de certificados digitais; Um ou mais directrios de suporte, que armazenam aos certificados e as respectivas chaves pblicas; Um sistema de gesto de certificados.

Para alm destes componentes, numa infra-estrutura de chave pblica esto includas polticas de organizao relacionadas com a utilizao de certificados digitais, que documentam as regras de operao, as politicas de procedimentos e a politica de confiana entre as entidades que operam e interagem na infra-estrutura. Para uma compreenso abrangente dos requisitos de uma infra-estrutura de chave pblica, nomeadamente infra-estruturas que operem com certificados de assinatura digital recomenda-se a consulta das normas e recomendaes da European Telecommunications Standards Institute (ETSI), nomeadamente o documento ETSI TST 101 456 v1.4.311, disponvel em http://www.etsi.org.

Uma Entidade Certificadora (CA) a entidade que, numa rede, emite e gere as credenciais de segurana e as chaves pblicas utilizadas na encriptao. Numa PKI, uma CA verifica, junto da Entidade de Registo (RA), a informao fornecida pelo requerente de um certificado digital. Se a RA verificar com sucesso a informao fornecida, ento a CA pode emitir o certificado digital.
11

10

http://www.t-systems-zert.com/pdf/bas_03_kri/etsi1.pdf
Pgina 24 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

7.

MODELO DE REFERNCIA PARA IDENTIFICAO ELECTRNICA

O modelo de Identificao de um Cidado perante as Entidades da Administrao Pblica apresentado neste documento tem por base o pressuposto da utilizao do Carto de Cidado como meio essencial neste processo. Neste procedimento entre o Cidado e a Entidade onde este se pretende identificar so utilizados os diferentes mecanismos existentes no Carto de Cidado consoante o tipo de Canal utilizado e o nvel de segurana protocolado.

Fornecedor de Autenticao (Carto de Cidado)

PKI (Carto de Cidado)

EMV-CAP (Carto de Cidado)

Integrao

Canal Web

Canal Presencial (Foras de Segurana)

Canal Presencial (Atendimento Pblico)

Canal Telefnico

Sistemas da AP

Identificao (Certificado Digital)

On e-T im e-P as sw ord )

Id en tif

ic a o (

Ide nti fica o(

C er tif ic

ad o

D ig ita l)

if nt de

o ica

o ad ic tif er (C

ta gi Di

l)

Figura 7-1 Modelo de referncia para Identificao Electrnica do Cidado perante a Administrao Pblica

ica ntif Ide o h atc (M rd) Ca On

Cidado Carto de Cidado

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 25 de 53

Guia para a Autenticao e Assinatura Electrnica

objectivo desta seco apresentar os mecanismos contidos no Carto de Cidado utilizados no processo de identificao e autenticao do Cidado. Posteriormente so expostos diferentes mtodos de identificao passveis de aplicao por parte das Entidades interessadas.

7.1.

Carto de Cidado

O Carto de Cidado um documento fsico e electrnico que permite a identificao de cidados de nacionalidade portuguesa ou brasileira, desde que ao Abrigo do Tratado de Porto Seguro, atravs de diversos canais de comunicao com a Administrao Pblica e Entidades Privadas. Suporta interaces presenciais fsicas e electrnicas, assim como interaces no presenciais, garantindo, sempre que possvel, equivalncia ao nvel da segurana e de valor legal com os meios tradicionais de identificao presencial. O Carto de Cidado apresenta-se como um certificado de cidadania assumindo a forma dupla de um documento fsico, que identifica visual e presencialmente o cidado, e documento digital, que permite ao cidado identificar se e autenticar-se electronicamente nos actos em que intervenha perante Entidades pblicas e privadas. No mbito do presente documento analisada com maior detalhe a componente electrnica do Carto de Cidado, residente no chip, que disponibiliza as funcionalidades necessrias para a identificao electrnica dos cidados de forma segura. De acordo com o modelo de referencia definido para a Identificao Electrnica, assume-se que os mecanismos de autenticao electrnica do Carto de Cidado devem ser utilizados como meio preferencial de identificao electrnica segura na Administrao Pblica, nos diversos canais no presenciais, para o universo de possveis titulares deste documento. Ainda de acordo com o actual modelo de referncia, todos os canais no presenciais de interaco com a Administrao Pblica que necessitem de autenticao electrnica segura devem permitir sempre a autenticao atravs do Carto de Cidado, sem prejuzo da manuteno de formas alternativas de autenticao segura ou do estabelecimento de relaes de confiana ou associaes entre as diversas formas de identificao existentes.
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 26 de 53

Guia para a Autenticao e Assinatura Electrnica

Efectuando o elo com os conceitos expostos na seco anterior, o Carto de Cidado materializa um Smart Card onde est contido um conjunto de mecanismos de identificao/autenticao segura, nomeadamente: Certificado de autenticao protegido por PIN; Certificado para a assinatura digital protegido por PIN; Mecanismo de Match-on-Card, que permite a validao dos dados biomtricos do titular (impresses digitais) de forma segura; Mecanismo de gerao de OTP (One-Time-Password) segundo a norma EMV-CAP12.

Para alm dos mecanismos tcnicos mencionados, o Carto de Cidado cumpre com as normas de segurana exigidas pela legislao e normas Internacionais para um documento de identificao fsico e electrnico de elevada segurana.

7.1.1.

Certificados Digitais do Carto de Cidado

Conforme definido no modelo de dados do Carto de Cidado, encontram-se armazenados no chip do carto os seguintes certificados e chaves criptogrficas: Certificados de entidades: o Certificado pblico da Root CA13 Estado includo no circuito integrado do carto, acessvel do exterior para permitir validar offline certificados de CAs subordinadas14; o Certificado pblico da CA do Cidado includo no circuito integrado do carto, acessvel do exterior para permitir validar offline assinatura digital de dados armazenados no carto; o Certificado pblico da sub-CA do Cidado emissora de certificados de autenticao do cidado includo no circuito integrado do carto, acessvel do exterior para permitir validar offline certificados de autenticao do cidado;
12 13

Abreviaturas
14

https://emvcap.com/EMV_Go_CAP.pdf Certificate authority ou Entidade Certificadora. Para maior detalhe consultar captulo 10.1 Anexo I Termos e

Encontra-se em detalhe no captulo 7.2 Fornecedor de Autenticao do Carto de Cidado as CAs subordinadas associadas ao Carto de Cidado
Pgina 27 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

Certificado pblico da sub-CA do Cidado emissora de certificados de assinatura digital qualificada do cidado includo no circuito integrado do carto, acessvel do exterior para permitir validar offline certificados de assinatura do cidado.

Chaves criptogrficas do carto: o Chave privada do Carto (1024 bit) includa no circuito integrado do carto, no acessvel do exterior, destina-se a permitir comunicao segura entre o carto (chip) e aplicaes externas; o Chave pblica do Carto (1024 bit) armazenada em certificado de formato CVC15 includa no circuito integrado do carto, acessvel do exterior, destina-se a permitir comunicao segura entre o carto (chip) e aplicaes externas. Chaves do Cidado para autenticao segura: o Chave privada de autenticao do Cidado (1024 bit) includa no circuito integrado do carto, no acessvel do exterior; o Chave pblica de autenticao do Cidado (1024 bit), includa em certificado pblico do Cidado em formato X.509v3 includa no circuito integrado do carto, acessvel do exterior para leitura. Chaves do Cidado para assinatura electrnica qualificada: o Chave privada de assinatura digital do Cidado (1024 bit) includa no circuito integrado do carto, no acessvel do exterior; o Chave pblica de assinatura digital do Cidado (1024 bit), includa em certificado pblico do Cidado em formato X.509v3 includa no circuito integrado do carto, acessvel do exterior. Os certificados digitais do cidado seguem o perfil de certificado definido pelas normas PKIX (RFC 2459)16, conforme recomendado no CWA 15264-117.

15 16 17

Country Verifying Certificate. http://www.ietf.org/rfc/rfc2459.txt ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf


Pgina 28 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

Estes certificados so compostos por trs componentes: Algoritmo de assinatura do certificado; Valor da assinatura do certificado (assinatura digital do corpo do certificado); Corpo do certificado18.

Nos cenrios de utilizao dos certificados do cidado, estes interagem com Terceiras Entidades (isto , no mbito do modelo de certificao, entidades para alm do prprio cidado e da PKI). Estes cenrios so dos seguintes tipos: Realizao e validao de assinaturas digitais: um cidado gera uma assinatura digital qualificada, utilizando o seu carto como meio seguro de gerao, e uma entidade terceira (a qual pode ser um outro cidado ou uma organizao) recorre aos servios de PKI para verificar a validade do certificado utilizado pelo cidado (seja por meio de mecanismos de CRL19 ou OCSP20); Autenticao on-line utilizando certificado digital: um cidado autentica-se num servio online, utilizando para o efeito o seu certificado de autenticao. Neste caso, a entidade que verifica a autenticao do cidado deve igualmente verificar a validade do certificado utilizado, utilizando os mecanismos adequados (CRL ou OCSP).

7.1.1.1. Certificado de Autenticao

Existe no Carto de Cidado uma funcionalidade que permite autenticar o cidado on-line perante um servio ou Entidade da Administrao Pblica ou Privada, utilizando certificados digitais. Previamente autenticao do cidado, este deve confirmar a sua identidade, inserindo o seu PIN. O papel do Carto de Cidado o de uma ferramenta criptogrfica, que fornece a funcionalidade necessria a um computador pessoal ou sistema. Nomeadamente, responsvel pela gerao de uma assinatura digital no mbito de um protocolo de autenticao baseado em mecanismos de challenge/response.
18 19 20

Ver detalhe nos quadros apresentados no anexo 10.2 Anexo II Atributos do Certificado do Carto de Cidado Certificate Revocation List. Para maior detalhe consultar captulo 10.1 Anexo I Termos e Abreviaturas On-line Certificate Status Protocol. Para maior detalhe consultar captulo 10.1 Anexo I Termos e Abreviaturas
Pgina 29 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

O par de chaves utilizado para a autenticao on-line o corresponde s Chaves do Cidado para autenticao segura anteriormente referido, que dedicado a esta funcionalidade, no sendo o mesmo que utilizado para a gerao de assinaturas digitais qualificadas, nem para a autenticao de dispositivos. Deve ser utilizado o algoritmo criptogrfico RSA para implementao desta funcionalidade. A implementao e estrutura desta funcionalidade devem estar de acordo com a norma CWA 14890221 e CEN/TS 15480 (em draft).

7.1.1.2. Certificado de Assinatura Digital

Esta mecanismo destina-se a permitir a gerao de assinaturas digitais qualificadas, de acordo com as normas legais nacionais em vigor, a directiva 1999/93/EC22 da Unio Europeia, de Dezembro de 1999, para assinaturas digitais, e em conformidade com as orientaes actualmente existentes, publicadas pelo CEN para um futuro Carto de Cidado europeu (CWA 1526423, CWA 14890 e CEN/TS 15480 em draft). O par de chaves utilizado para a assinatura digital o corresponde s Chaves do Cidado para assinatura electrnica qualificada anteriormente referido, que dedicado exclusivamente a este procedimento, no sendo o mesmo que utilizado para a autenticao de dispositivos. No incio de uma operao de assinatura digital qualificada deve ser sempre introduzido o PIN respectivo. A mensagem ou documento a ser assinado processado por uma funo de disperso (hash function), sendo que a ltima iterao da funo realizada forosamente no Carto de Cidado. A funo de disperso a utilizar no deve ser vulnervel contra ataques criptogrficos existentes.

21 22 23

ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14890-02-2004-May.pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:PT:PDF ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eAuth/cwa15264-01-2005-Apr.pdf


Pgina 30 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

De seguida o Carto de Cidado deve utilizar a chave privada do cidado, reservada para a assinatura digital qualificada, para assinar o resultado da funo de disperso, utilizando o algoritmo criptogrfico RSA, e retornar o resultado.

7.1.2.

Identificao atravs do mtodo de Match-On-Card

O Carto de Cidado tem associado um mecanismo de validao biomtrico denominado MatchOn-Card, que permite confirmar a identidade do cidado presencialmente, sem necessidade de possuir qualquer comunicao com sistemas centrais, atravs da recolha das impresses digitais do cidado, e comparao com as residentes no chip do Carto de Cidado. A aplicao composta por um sistema de armazenamento seguro dos templates de duas impresses digitais, e por um componente de reconhecimento da impresso digital, directamente no chip do carto. O Match-On-Card existente no Carto de Cidado cumpre a norma NISTIR 652924 Common Biometric Exchange File Format (CBEFF), o que permite a compatibilidade e interoperabilidade com as diferentes mquinas de recolha de impresses digitais, bem como a troca de informao biomtrica entre diversos sistemas.

7.1.3.

Identificao atravs de One-Time-Password OTP (EMV-CAP)

O Carto de Cidado possui um mecanismo de gerao de OTP atravs de EMV-CAP que permite a identificao inequvoca e autenticao do cidado em ambientes onde no existam infra-estruturas de comunicao on-line (por exemplo, em cenrios de comunicao telefnica ou quando no exista um leitor de cartes adequado autenticao por certificado digital). Para o efeito, o Carto de Cidado possui uma funcionalidade que permite autenticar o cidado atravs de um mecanismo de challenge/response e de um dispositivo de autenticao offline (leitor de cartes desconectado). A interaco do Carto de Cidado com este dispositivo gera uma OTP,
24

http://csrc.nist.gov/publications/nistir/NISTIR6529A.pdf
Pgina 31 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

representada por uma sequncia de 7 algarismos (aps introduo com sucesso do PIN do cidado). Estes mecanismos encontram-se implementados no Carto de Cidado e seguem as especificaes EMV 4.125 e MasterCard Chip Authentication Program (CAP). Esta aplicao inter opervel com os leitores de cartes indicados pelas entidades bancrias portuguesas para uso pelos seus clientes (e.g. SIBS), sendo possvel realizar a autenticao multicanal utilizando o Carto de Cidado e qualquer um destes leitores. Segundo a tabela de AIDs existente na SIBS a referente ao Carto de Cidado 604632FF000001.

7.2.

Fornecedor de Autenticao do Carto de Cidado

O Fornecedor de Autenticao tem como funo proporcionar um mecanismo aberto e comum para que qualquer Cidado interaja com uma Entidade, como um Portal ou outro sistema, se possa autenticar dispondo ainda de um mecanismo de transporte da prova dessa autenticao. Deste modo, a Entidade com a qual o Cidado pretende interagir efectua um pedido de autenticao acompanhado pelas credencias para serem verificadas pelo Fornecedor de Autenticao e, em resposta, este emite um token de segurana (Token SAML26) com a identidade do Cidado que faz prova da sua autenticao no Fornecedor de Autenticao. Trata-se assim do estabelecimento de um nvel de confiana com base nos processos, nas tecnologias e mtodos de autenticao, cuja utilizao suportada pelos mecanismos de autorizao dos servios com o intuito de identificar as operaes que o utilizador tem permisso para fazer. A invocao ao Fornecedor de Autenticao efectuada utilizando os certificados digitais contidos no Carto de Cidado.
25 26

http://www.emvco.com/specifications.aspx?id=61 http://www.oasis-open.org/committees/download.php/16768/wss-v1.1-spec-os-SAMLTokenProfile.pdf
Pgina 32 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

7.3.

Infra-estrutura de Chave Pblica do Carto de Cidado

Para permitir a emisso de certificados digitais vlidos para o Carto de Cidado, foi implementada, na PKI do Carto de Cidado27, a cadeia de confiana de CA representada na figura seguinte.

Figura 7-2 Hierarquia de CA do Estado e de CA do Carto de Cidado

A CA do Carto de Cidado reconhecida e certificada pela CA Raiz do Estado portugus, que por sua ver reconhecida pela CA raiz, atravs da seguinte cadeia de confiana: Certificado Raiz do Estado portugus (ECRaizEstado) certificado cuja funo estabelecer a raiz da cadeia de confiana da infra-estrutura de chaves pblicas (PKI). Esta EC no emite certificados para utilizadores finais, emitindo apenas certificados para assinar as Entidades Certificadoras do Estado. Este certificado assina-se a si prprio; Certificado da CA do Carto de Cidado certificado emitido pela CA Raiz do Estado (ECRaizEstado) para a CA Carto de Cidado. CA que se encontram a este nvel so conferidos a entidades que se encontram no nvel imediatamente abaixo da EC Raiz, sendo

27

Para maior detalhe consultar http://www.scee.gov.pt/ecee/pt/


Pgina 33 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

a sua funo principal providenciar a gesto de servios de certificao: emisso, operao, suspenso, revogao para os seus subscritores. Para alm dos certificados de autenticao e de assinatura digital do titular do Carto de Cidado, a CA do Carto de Cidado assume as funes de emisso de outros certificados especficos do documento, nomeadamente: Emisso de certificado para assinatura digital de dados colocados no chip do Carto de Cidado (a utilizar pela entidade certificadora dos dados colocados no carto document signer de dados); Emisso de certificado para assinatura digital de chaves dos chips de cartes do cidado, para suportar mecanismos de active authentication entre o carto e terminais externos (a utilizar pela entidade personalizadora document signer de chaves de chips); Emisso de certificado para assinatura digital de respostas do servio de OCSP; Emisso de certificado para assinatura digital de respostas do servio de timestamping; Assinatura de certificados das sub-entidades certificadoras (Sub-CA) do Carto de Cidado (que emitem certificados dos cidados e certificados de chaves pblicas de sistemas informticos de Organismos, para controlo de acessos privilegiados na comunicao com os cartes emitidos). No mbito do presente documento, aconselha-se a consulta das polticas associadas aos certificados (Certificate Policies e Certification Practice Statements), CA e sub-CA do Carto de Cidado, que seguem as normas definidas pela legislao e regulamentao nacional para credenciao de uma Entidade Certificadora e que se encontram disponveis em http://pki.cartaodecidadao.pt/. A Infra-estrutura de chave pblica (Public Key Infrastructure PKI) do Carto de Cidado suporta as funcionalidades de identificao digital baseadas nos certificados presentes no Carto de Cidado e emitidos para o titular do documento. A PKI do Carto de Cidado desempenha um papel na identificao digital de titulares deste documento desde a personalizao pois, aquando do pedido de Carto de Cidado, a CA da PKI
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 34 de 53

Guia para a Autenticao e Assinatura Electrnica

do Carto de Cidado quem gera os certificados digitais do titular que so inseridos no chip do novo documento: certificado de autenticao on-line e certificado de assinatura digital qualificada. Aps a emisso dos certificados dos titulares do Cato de Cidado, o papel da PKI o de publicar informao sobre os certificados que no devem ser considerados vlidos. Um certificado por definio vlido, desde que assinado pelo certificado de emisso vlido para a CA do Cidado, a menos que esteja ultrapassada a sua data de expirao ou que esteja explicitamente identificado pela PKI como suspenso ou revogado. A PKI do Carto de Cidado enquadra-se no Sistema de Certificao Electrnica do Estado, introduzido pelo Decreto-Lei 116-A/200628 de 16 de Junho;

7.4.

Servios de Apoio Verificao

Nesta seco so apresentados os servios e mtodos existentes para a efectuar a identificao/autenticao de um Cidado perante uma entidade segundo a utilizao dos mecanismos existentes no Carto de Cidado.

7.4.1.

Servios de Apoio Verificao dos Certificados Digitais do Carto de Cidado

A PKI responsvel por prestar os seguintes servios de apoio utilizao do Carto de Cidado no mbito do suporte verificao da validade dos certificados digitais: Certificate Revocation Lists (CRL) Aps a emisso dos certificados, a CA da PKI responsvel por colocar os novos certificados nas Certificate Revocation List29 (CRL) apropriadas (CRL de certificados de autenticao e CRL de certificado de assinatura digital), no estado on Hold, at receber indicao de que Carto foi entregue e os

28

29

https://www.incm.pt/actos/docs/DL116_A.pdf CRL lista que contm certificados emitidos por determinada CA e que no se encontram activos, ou seja no estado de suspensos ou de revogados.
Pgina 35 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

certificados activados, situao em que os certificados so retirados da CRL30. Caso o Carto no seja entregue ao titular, a CA recebe informao para revogar os certificados, sendo o seu estado actualizado para Revoked nas CRL correspondentes. Aquando da renovao de um Carto de Cidado, enviada CA da PKI a indicao de que deve revogar os certificados do Carto anterior, o que reflectivo na CRL correspondente. As CRL do Carto de Cidado so actualizadas periodicamente, tipicamente de sete em sete dias, e encontram-se disponveis nos endereos indicados na tabela seguinte (tambm se encontram no prprio certificado nos atributos CRL Distribution Points):

Tipo de Certificado Endereo das CRL dos Certificados de Autenticao31 Certificado de Autenticao Teste Certificado de Autenticao Produo Certificado de Assinatura Digital Testes Certificado de Assinatura Digital Produo Tabela 7.1 URL das CRL dos Certificados Digitais do Carto de Cidado http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX.crl

Entre as actualizaes das CRL, as actualizaes lista dos certificados que no se encontram activos so publicadas em Delta CRL (ou DCRL), que so actualizadas diariamente. Os endereos onde se encontram publicadas as Delta CRL do Carto de
30

Nota: aquando da entrega com sucesso do Carto de Cidado, o certificado de autenticao sempre activado. No entanto, a activao do certificado de assinatura digital qualificada opcional. 31 Nos endereos apresentados os valores de XXXX correspondem ao cdigo do ano de referncia: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente.
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 36 de 53

Guia para a Autenticao e Assinatura Electrnica

Cidado encontram-se na tabela seguinte (tambm se encontram no prprio certificado nos atributos Delta CRL Distribution Point)
Tipo de Certificado Certificado de Autenticao Teste Certificado de Autenticao Produo Certificado de Assinatura Digital http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX_delta.crl Testes Certificado de Assinatura Digital http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_assinatura_crlXXXX.crl Produo Tabela 7.2 URL das Delta CRL dos Certificados Digitais do Carto de Cidado http://pki.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl http://pki.teste.cartaodecidadao.pt/publico/lrc/cc_sub-ec_cidadao_autenticacao_crlXXXX_delta.crl

Endereo das Delta CRL dos Certificados de Autenticao32

As CRL e Delta-CRL da PKI do Carto de Cidado seguem todos requisitos da norma X.50933. Nomeadamente, a existncia do atributo Next update que indica a data e hora em que disponibilizada a nova CRL ou Delta CRL. On-line Certificate Status Protocol (OCSP) O servio OCSP permite que fornecedores de servios electrnicos ou de aplicaes que utilizem os certificados digitais do Carto de Cidado determinem o estado de um determinado certificado (certificado de autenticao ou certificado de assinatura digital). Trata-se de um servio actualizado com maior regularidade que as CRL ou Delta CRL, fornecendo por isso informao mais actualizada, e que permite obter mais informaes sobre o estado de um certificado, ao invs da CRL e Delta CRL que disponibilizam apenas
32

Nos endereos apresentados os valores de XXXX correspondem ao cdigo do ano de referncia: 0001 para 2007, 0002 para 2008, 0003 para 2009 e assim sucessivamente. 33 Para a documentao completa da norma X.509, consultar http://www.itu.int/rec/T-REC-X.509/en.
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 37 de 53

Guia para a Autenticao e Assinatura Electrnica

o estado dos certificados que no se encontram activos. As suas respostas baseiam-se na verso mais actualizada do repositrio de certificados emitidos e incluem um timestamp assinado digitalmente. O endereo onde se encontram publicado o servio OCSP do Carto de Cidado encontrase na tabela seguinte (tambm se encontra no prprio certificado nos atributos Authority Info Access)

Tipo de Certificado Endereo do servio OCSP dos Certificados Digitais do Carto de Cidado Todos Produo Todos Teste http://ocsp.auc.cartaodecidadao.pt/publico/ocsp http://ocsp.auc.teste.cartaodecidadao.pt/publico/ocsp Tabela 7.3 URL do servio OCSP dos Certificados Digitais do Carto de Cidado

Para mais informaes sobre o servio OCSP da PKI do Carto de Cidado, recomenda-se a consulta dos documentos Poltica de Certificados de Validao on-line OCSP emitidos pela EC AuC, disponvel em http://pki.cartaodecidadao.pt/ e do RFC 256034, que especifica os dados a trocar entre o fornecedor do servio e o servio de OCSP para verificao do estado de um certificado. A PKI do Carto de Cidado publica as CRL, Delta CRL e disponibiliza o OCSP. No entanto, a verificao da validade do certificado da responsabilidade do fornecedor do servio electrnico que utiliza identificao baseada nos certificados do Carto de Cidado. Assim, os fornecedores de servios no devem aceitar como vlido um certificado de Carto de Cidado at confirmarem o seu estado atravs de um dos servios disponibilizados pela PKI do Carto de Cidado.

34

Para a documentao completa do RFC 2560, consultar http://www.ietf.org/rfc/rfc2560.txt.


Pgina 38 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

7.4.2.

Verificao atravs do mtodo de Match-On-Card

A verificao atravs de Match-On-Card, efectuada na presena do cidado, mas sem necessidade de ligao a qualquer outro sistema. Os mtodos de comparao e reconhecimento esto embebidos no chip do Carto de Cidado, o que significa que todo o processo efectuado de forma segura. O processo de verificao efectuado recorrendo a um leitor biomtrico de impresses digitais com interface para cartes smart card, onde introduzido o Carto de Cidado, e recolhida uma impresso digital. O template criado com a impresso digital recolhida ento enviado para a aplicao Match-On-Card, onde efectuada a comparao com o template armazenado no Carto de Cidado, e devolvido o resultado dessa validao (identificao positiva ou negativa). Este processo de verificao extremamente rpido, e sendo efectuado num ambiente isolado (leitor e carto), evita a transferncia de informao sensvel para sistemas externos, sendo que os templates das impresses digitais no so extraveis do Carto de Cidado, e o template recolhido no leitor somente enviado directamente para o Carto de Cidado introduzido. O Match-On-Card uma funcionalidade de utilizao possvel tambm na gesto de acesso a instalaes, com o Carto de Cidado, apesar de neste momento no estar prevista esta utilizao na Administrao Pblica.

7.4.3.

Servios a Disponibilizar

O modelo definido para a PKI do Carto de Cidado prev a existncia dos servios que se listam abaixo mas que ainda no se encontram disponveis: Servio EMV-CAP permite verificao de One-Time-Passwords geradas pelas aplicaes do chip do Carto de Cidado.

Servio de timestamping trata-se de um servio para apoio verificao, realizao e verificao de assinaturas digitais.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 39 de 53

Guia para a Autenticao e Assinatura Electrnica

A PKI do Carto de Cidado prev disponibilizar um servio de marca de data e hora electrnica, que permite assinar digests de documentos (ou qualquer ficheiro electrnico), incluindo nesta assinatura de forma no repudivel a data e hora desta assinatura. Emisso e gesto de certificados digitais para Entidades Pblicas trata-se de um conjunto de servios de emisso, gesto e apoio validao de certificados com pares de chaves pblicas/privadas, para Entidades Pblicas previamente autorizadas e para situaes previstas na lei. Estes certificados que permitem a realizao de operaes especficas sobre os dados do Carto de Cidado como, por exemplo, a leitura de dados do chip sem introduo de PIN por autoridades policiais ou judicirias em situaes previstas na lei35. Existe uma CA ou sub-CA que emite certificados para estas chaves, os quais permitem aos cartes do cidado verificar se um dado sistema e Entidade foram certificados como possuidores de privilgios associados a um determinado role id includo no certificado. Este mecanismo permite que o chip restrinja o acesso a determinados dados ou aplicaes, garantindo o cumprimento das regras de controlo de acessos informao residente no chip do carto.

35

Lei n. 7/2007, de 5 de Fevereiro


Pgina 40 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

8.

NORMAS & ESPECIFICAES TCNICAS

Nesta seco so apresentadas as recomendaes tcnicas para cada um dos tipos de verificao referidos anteriormente.

8.1.

Certificados digitais de Autenticao


Descrio Tipo de Certificados Digitais Protocolo de comunicao de suporte com segurana Web Segurana de integridade e Especificao X.509 v3 Recomendao Obrigatrio

HTTPS

Obrigatrio

confidencialidade da comunicao Web Standards autenticaes para e a troca de entre

WS-Security

Recomendado

autorizaes

SAML Token Profile

Recomendado

domnios seguros CRL Validao de Certificados OCSP Recomendado Obrigatrio

8.2.

Certificados digitais de Assinatura electrnica


Especificao X.509 v3 CRL Recomendao Obrigatrio Obrigatrio

Descrio Tipo de Certificados Digitais Validao de Certificados

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 41 de 53

Guia para a Autenticao e Assinatura Electrnica

Descrio

Especificao OCSP

Recomendao Recomendado

8.3.

Match-on-Card
Descrio Aplicao para verificao biomtrica de impresses digitais Especificao Match-On-Card Recomendao Obrigatrio

A aplicao da classificao das recomendaes indicadas nas tabelas anteriores devem ser interpretadas da seguinte forma36: Obrigatrio: indica que o objecto, conceito, especificao ou standard com esta classificao deve ser obrigatoriamente aplicado, sendo que as Entidades que no o implementem e utilizem se encontram em infraco; Recomendado: indica que o objecto, conceito, especificao ou standard com esta classificao deve passar a ser aplicado, devendo as Entidades tomar as medidas necessrias para a sua implementao e utilizao, considerando que assumir carcter obrigatrio futuramente, de acordo com um perodo transitrio a especificar Opcional indica que objecto, conceito, especificao ou standard com esta classificao de aplicao opcional. No entanto, se for necessrio comunicar ou integrar dados com aplicaes ou sistemas que suportem a opo, deve ser permitida a intercomunicao, mesmo que com algumas funcionalidades limitadas.

36

Os adjectivos Opcional, Recomendado, Obrigatrio correspondem s key words definidas no RFC 2119 (http://www.ietf.org/rfc/rfc2119.txt)
Pgina 42 de 53

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

9.

EXEMPLO

De modo a clarificar a execuo desta normas/recomendaes apresentado um exemplo de implementao de um sistema de autenticao e identificao dos cidados atravs do Carto de Cidado. A Entidade A, que corresponde a um Organismo Pblico, disponibiliza diversos servios ao cidado atravs do seu portal na Internet bem como atravs de uma linha de atendimento. Aps ter sido efectuada uma auditoria qualidade dos servios fornecidos pela Entidade A, foram detectadas diversas situaes de falha no acesso aos sistemas, nomeadamente foi permitido o acesso alterao de informao confidencial de diversos cidados por utilizadores que no estavam autorizados a tal. Concluiu-se que a origem desta situao foi a apropriao indevida das credencias de acesso ao sistema desses cidados por parte de hackers. Sendo esta uma situao grave, a Entidade A decidiu que tinha que aumentar a nvel de segurana de acesso aos sistemas. Para tal, informou-se junto da AMA sobre quais as recomendaes que teria que adoptar. A Entidade A numa primeira fase consultou as tabelas com os mtodos de identificao/autenticao segundo canal de atendimento, e definiu que devido ao facto da informao por si gerida poder ser acedida e alterada pelos cidados teriam que implementar a Autenticao com Certificado Digital do Carto de Cidado para o seu portal. Seguidamente a Entidade A teve que proceder alterao no servidor que suporta o portal de modo a este suportar a autenticao atravs de utilizao do Carto de Cidado. As tarefas associadas a esta alterao foram as seguintes37: Configurar o servidor para ligaes SSL foi necessrio obter um certificado para o site em questo e proceder sua instalao no servidor web, de modo a ser possvel estabelecer comunicaes seguras entre o servidor e as aplicaes clientes. Este certificado foi obtido junto da CA (Certificate Authority), entidade externa que responsvel pela emisso e gesto dos certificados do carto;

37

Para maior detalhe aconselha-se a leitura do manual de Autenticao com o Carto de Cidado disponibilizado no Portal de Cidado http://www.cartaodecidadao.pt/images/stories/Manual%20Autenticacao%20com%20Cartao%20de%20Cidadao_%20v1.7 .pdf
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 43 de 53

Guia para a Autenticao e Assinatura Electrnica

Configurar o servidor para aceitar certificados de clientes neste passo configurou-se o servidor de modo a este efectuar o pedido ao cliente de um certificado digital; Configurar o servidor para pedir e aceitar o certificado do Carto de Cidado os servidores estavam apenas preparados para pedir e aceitar certificados clientes que fossem emitidos pelo seu LDAP. Teve que se configurar o servidor de modo a ele aceitar igualmente certificados emitidos pela CA (Certification Authority); Validao aplicacional do certificado De forma a garantir que s so aceites certificados presentes nos Cartes de Cidado, o cdigo desenvolvido para autenticao, teve que validar um conjunto de parmetros presentes no certificado, de forma a garantir a origem do certificado; Validao de validade do certificado A ltima validao efectuada pela entidade emissora do certificado, de modo a garantir que o certificado no foi revogado, tendo sido utilizado o mtodo CRL (Certificate Revocation List). Aps terem sido implementadas a alterao ao servidor foram efectuados testes integrados de forma a assegurar o correcto funcionamento do sistema tendo por base uma matriz de testes definidos priori. Com o sucesso destes testes o sistema encontra-se em condies para disponibilizao em ambiente real.

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 44 de 53

Guia para a Autenticao e Assinatura Electrnica

10.

ANEXOS

10.1.

Anexo I Termos e Abreviaturas

Neste captulo so apresentados e descritos os acrnimos utilizados no documento.


Termo/abreviatura CA Descrio Certificate authority ou Entidade Certificadora. Trata-se da autoridade que, numa rede, emite e gere as credenciais de segurana e as chaves pblicas utilizadas para encriptao. Certificate Revocation List lista que contm certificados emitidos por determinada CA e que no se consideram vlidos, apesar de estarem dentro do prazo de validade. Europay, MasterCards, Visa Chip Authentication Program. Sequncia de bits gerada por um algoritmo de disperso, em geral representada em base Hash hexadecimal, que permite a visualizao em letras (A a F) e nmeros, representando 2 bytes cada. O conceito terico diz que "hash a transformao de uma grande quantidade de informaes em uma pequena quantidade de informaes". Hashing Hashing a transformao de uma sequncia de caracteres em uma sequncia de caracteres curta e nica, geralmente de comprimento fixo. Acrnimo de Identification, Authentication, Signature que consiste num standard europeu para a identificao, autenticao e assinatura electrnica. Lightweight Directory Access Protocol protocolo e modelo de informao, sobre TCP/IP, que permite procurar e manipular informaes num servidor. Tcnica que consiste em validar os dados internamente no carto atravs de software embebido no prprio carto. Acrnimo de Message-Digest algorithm 5. um algoritmo de hash de 128 bits unidireccional desenvolvido pela RSA Data Security. On-line Certificate Status Protocol Servio que permite consultar informaes sobre o estado de determinado certificado digital. Acrnimo de One-Time-Password que significa palavra-chave nica no tempo. Public Key Infrastructure, infra-estrutura de chave pblica. um algoritmo de hash.
Pgina 45 de 53

CRL EMV-CAP

IAS

LDAP

Match-on-Card

MD5

OCSP OTP PKI SHA-1

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Guia para a Autenticao e Assinatura Electrnica

Termo/abreviatura SHA-256 Smart Card

Descrio um algoritmo de hash. Pode ser traduzido para carto inteligente, tipicamente caracterizado por possuir um chip embebido com capacidades de processamento e armazenamento de informao. Single Sign-On mecanismo de identificao e autenticao em vrios recursos atravs de um nico passo. Dispositivo fsico electrnico destinado a autenticar o acesso de um utilizador a determinados recursos informticos (computadores, redes, servios).

SSO

Token

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 46 de 53

Guia para a Autenticao e Assinatura Electrnica

10.2.

Anexo II Atributos do Certificado do Carto de Cidado

O quadro seguinte sistematiza os atributos que os certificados do cidado devero possuir, no caso dos certificados para autenticao on-line.
Atributo
Atributos X.509v1 version serialNumber

Descrio
Deve indicar X.509V3. N de srie nico do certificado, sequencial, a atribuir pela CA (assegurar que mudana de CA mantm unicidade do n) Algoritmo SHA-1 ou SHA-256 para gerao do hash e RSA para assinatura do hash Distinguished name da entidade emissora. Deve permitir identificar a CA de forma nica, incluindo referncia ao tipo de CA (no caso do Carto de Cidado, se emite certificados para autenticao ou assinatura). Data de emisso e data limite de validade do certificado. Distinguished name do cidado detentor do certificado. Deve permitir identificar o cidado de forma unvoca, recorrendo ao uso do atributo Serial Number, OID 2.5.4.5. Este atributo deve conter um cdigo de identificao de tipo de documento e o n do documento (ex. BI123456789). Adicionalmente, o campo CN deve concatenar o nome prprio (G) e apelidos (S) do cidado, juntamente com um indicador da finalidade do certificado (Autenticao ou Assinatura).

Exemplo
3 04 00 00 00 00 00 f3 00 72 c4 a7 sha1RSA

signature

issuer

validity

subject

CN = Carto de Cidado CA Autenticao 0001, OU = Autenticao do Cidado, OU = Cidados, O = Carto de Cidado, C = PT notBefore = 20061230120000Z notAfter = 20111229120000Z SN = BI123456789, G = Ana Lusa, S = Costa, CN = Ana Lusa Costa (Authentication), OU = Autenticao do Cidado, OU = Cidados, O = Carto de Cidado, C = PT

subjectPublicKeyInfo subjectPublicKeyAlgorithm subjectPublicKeyValue

Descrio do algoritmo de gerao da chave. Chave pblica de assinatura digital do cidado.

RSA (1024 Bits) 30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 47 de 53

Guia para a Autenticao e Assinatura Electrnica

Atributo

Descrio

Exemplo
4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e

Extenses X.509v3 Subject Directory Attributes (extenso no crtica) Permite adicionar informao pessoal do cidado, nomeadamente a sua data de nascimento. Esta extenso no faz parte do CWA 15264. Identificao das utilizaes a que se destina o certificado do cidado. No caso do certificado para autenticao on-line, apenas deve seleccionar-se a funo de Digital Signature. Destinado a limitar o uso do certificado. Deve seleccionar-se apenas as funes SSL Client Authentication e S/MIME. Subject Directory Attributes: dateOfBirth = 19501102120000Z Digital Signature = 1 Non Repudiation = 0 Key Encipherment = 0 Data Encipherment = 0 (...) SSL Client Authentication = 1 SSL Server Authentication = 0 S/MIME = 1 (...)

Key Usage (extenso crtica)

Netscape Certificate Type (extenso no crtica)

Certificate Policies (extenso no crtica) Para as polticas de certificao da CA, URL onde podem ser obtidas. Certificate Policy: Policy Identifier=0.3.2062.9.6.1 .31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier ="http://www.cartaodoci dadao.pt/public/pol/cc_c a_aut_cps_001.html" Par subject / n de srie do certificado pblico da entidade emissora usado para assinar o certificado do cidado OU hash calculado a partir desse certificado pblico

Authority Key Identifier (extenso no crtica)

Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado pblico correspondente).

CRL Distribution Points (extenso no crtica) URLs de Distribution Points (endereos de acesso CRL em que o certificado colocado, se revogado).
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 48 de 53

Distribution Point Name: Full Name: URL = http://www.cartaodocida dao.pt/public/crl/cc_ca_a

Guia para a Autenticao e Assinatura Electrnica

Atributo
Freshest CRL (extenso no crtica)

Descrio

Exemplo
ut_crl_00000010.crl

URL de Delta CRLs. Esta extenso no faz parte do CWA 15264.

Distribution Point Name: Full Name: URL = http://www.cartaodocida dao.pt/public/crl/cc_ca_a ut_crl_00000010_delta.c rl

Authority Information Access (extenso no crtica) URL para certificado pblico da CA emissora Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocida dao.pt/public/cert/cc_ca _aut_0001.crt Access Method = Online Certificate Status Protocol Alternative Name: URL = http://www.cartaodocida dao.pt/public/serv/ocsp CPvLj0u3IwwawPWaW NSpESsmqr600OLTAM Snk3u+rdZTQGgiwAt5hj 34monxCF8S ISaxtCBMm13anfnSNlBj VPMj8ZyuYgKLkbbgVQf Oq4tIC5FE5vhy6ItWe/H ochd/ 6abx7OfM/NJmSoADF3 oZlcVm3okqU7s/lnnAKH dMyq0=:n6Bh3+V7Gs7j SPgyG7PHGEb46SOna 4wgKKUsox/rVA+SC4W pY2eZ0ARi0ctsW+Jy xpeYmaYAMWUipmte8 +243uIoaJx4FO+9IQjAr 0qgiWFUKUTDxsu6Xyd 8Qu6hz05y rErmI+oLPq7LR3LbY+U 2lsT1Wv3bleg+Akklf3eI nl4=:DJxiwAul2y1wkam xoX57Ffqsb9EsVOZQ01 mYH3G5OgavQOnsAG e9owER2TIyyNZD eGxN8zr98Nz+MEBIrQ0 tL7/7uRt6FkAxeCVhrEw 7hMFdKssjJ7ZO5mcea Gb73NFL

URL para servio de OCSP (online certificate status protocol).

Subject Alternative Name Contm uma representao em formato Base64, de uma string que contm: N Identificao Civil, cifrado com uma chave pblica do Ministrio da Justia N Identificao Fiscal, cifrado com uma chave pblica do Ministrio das Finanas e Administrao Pblica N Identificao de Segurana Social, cifrado com uma chave pblica do Ministrio do Trabalho e da Segurana Social N Utente de Sade, cifrado

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 49 de 53

Guia para a Autenticao e Assinatura Electrnica

Atributo

Descrio
com uma chave pblica do Ministrio da Sade Deve ser utilizado o separador : entre as representaes Base64 dos campos cifrados.

Exemplo
u8Rm5TcaRuKd3AoPM OYHQ0jPZyFXqm+3RG Ctkq40Jyk=:oL1cFe2Mo TEAc1A40OvSQTyRX0 YtYk40+E4kPoibj7ZS47 Yng3NgpNvPkT278WW 2 ZRjrK/8JxtYmxHKwm1s 3zFK7COARZvRaQejE4 +JNEMxCd+02bCFKJT/ m8mKBu1+h ZUr/rtvQu8Y/51jjm72Ee qUAEFfBXd8bhhhnTIvP 6Mk=

Atributos para certificado de autenticao cidado

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 50 de 53

Guia para a Autenticao e Assinatura Electrnica

O quadro seguinte sistematiza os atributos que os certificados do cidado devero possuir, no caso dos certificados para assinatura digital qualificada.
Atributo
Atributos X.509v1 Version serialNumber

Descrio
Deve indicar X.509V3. N de srie nico, sequencial, a atribuir pela CA (assegurar que mudana de CA mantm unicidade do n) Algoritmo SHA-1 para gerao do hash e RSA para assinatura do hash Distinguished name da entidade emissora. Deve permitir identificar a CA de forma nica, incluindo referncia ao tipo de CA (no caso do Carto de Cidado, se emite certificados para autenticao ou assinatura). Data de emisso e data limite de validade do certificado. Distinguished name do cidado detentor do certificado. Deve permitir identificar o cidado de forma unvoca, recorrendo ao uso do campo Serial Number, OID 2.5.4.5. Adicionalmente, o campo CN deve concatenar o nome prprio (G) e apelidos (S) do cidado, juntamente com um indicador da finalidade do certificado (Autenticao ou Assinatura). Descrio do algoritmo de gerao da chave. Chave pblica de assinatura digital do cidado.

Exemplo
3 04 00 00 00 00 00 f3 00 72 c4 a7

Signature Issuer

sha1RSA CN = Carto de Cidado CA AssinaturaQ 0001, OU = Assinatura Digital Qualificada do Cidado, OU = Cidados, O = Carto de Cidado, C = PT notBefore = 20061230120000Z notAfter = 20111229120000Z SN = BI123456789, G = Ana Lusa, S = Costa, CN = Ana Lusa Costa (Signature), OU = Assinatura Qualificada do Cidado, OU = Cidados, O = Carto de Cidado, C = PT

Validity Subject

subjectPublicKeyInfo subjectPublicKeyAlgorithm subjectPublicKeyValue

RSA (1024 Bits) 30 81 89 02 81 81 00 de 56 9e a4 0d 39 cd 7f cd ff a0 f7 5e 00 78 3c f2 54 8f 9c a1 44 1a 6e ff 2a 2b cf 49 ea 65 3a 18 4e 94 ed 76 cf 44 38 66 98 b5 3d 4e 12 b2 6e 20 2e 43 7b cf 75 76 fc 57 6b 91 b9 cc 68 1f 00 0e 0d a3 4a 88 58 a3 f8 08 73 87 15 4c 13 de fd 32 02 d0 c7 f0 02 e0 cb 3d 13 4f db 9c 2f 95 f6 82 90 09 e0 1c 76 47 34 19 1b 70 31 b1 94 33 d3 c2 89 98 ad 98 2c 8e

Extenses X.509v3 Subject Directory Attributes (extenso no crtica) Permite adicionar informao
Guia para a Autenticao e Assinatura Electrnica_v09.doc Pgina 51 de 53

Subject Directory Attributes:

Guia para a Autenticao e Assinatura Electrnica

Atributo

Descrio
pessoal do cidado, nomeadamente a sua data de nascimento. Esta extenso no faz parte do CWA 15264. Identificao das utilizaes a que se destina o certificado do cidado. No caso do certificado para assinatura digital qualificada, apenas deve seleccionar-se a funo de Non Repudiation. Destinado a limitar o uso do certificado. Deve seleccionar-se apenas a funo S/MIME.

Exemplo
dateOfBirth = 19501102120000Z

Key Usage (extenso crtica)

Digital Signature = 1 Non Repudiation = 1 Key Encipherment = 0 Data Encipherment = 0 () SSL Client Authentication = 0 SSL Server Authentication = 0 S/MIME = 1 (...)

Netscape Certificate Type (extenso no crtica) Certificate Policies (extenso no crtica)

Para as polticas de certificao da CA, URL onde podem ser obtidas.

Authority Key Identifier (extenso no crtica)

Identificador da chave utilizada pela entidade emissora do certificado (subject key identifier do seu certificado pblico correspondente).

Certificate Policy: Policy Identifier=0.3.2062.9.6.1.31.3.1 Policy Qualifier Info: Policy Qualifier Id: CPS Qualifier = http://www.cartaodocidadao.pt/p ublic/pol/cc_ca_assq_cps_001.ht ml Par subject / n de srie do certificado pblico da entidade emissora usado para assinar o certificado do cidado OU hash calculado a partir desse certificado pblico

CRL Distribution Points (extenso no crtica) URLs de Distribution Points (endereos de acesso CRL a que o certificado fica associado, se revogado). Freshest CRL (extenso no crtica) URL de Delta CRLs. Esta extenso no faz parte do CWA 15264. Qualified Certificate Statement (extenso no crtica) Definido pelo CWA 15264 e ETSI TS 101 862, identifica as declaraes especficas associadas a certificados digitais qualificados. Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/p ublic/crl/cc_ca_assq_crl_000000 10_delta.crl qcStatement = {id-etsi-qcs 1} Distribution Point Name: Full Name: URL = http://www.cartaodocidadao.pt/p ublic/crl/cc_ca_assq_crl_000000 10.crl

Authority Information Access (extenso no crtica) URL para certificado pblico da CA emissora Access Method = Certification Authority Issuer Alternative Name: URL = http://www.cartaodocidadao.pt/p

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 52 de 53

Guia para a Autenticao e Assinatura Electrnica

Atributo

Descrio
URL para servio de OCSP (online certificate status protocol).

Exemplo
ublic/cert/cc_ca_assq_0001.crt Access Method = On-line Certificate Status Protocol Alternative Name: URL = http://www.cartaodocidadao.pt/p ublic/serv/ocsp

Atributos para certificado de assinatura digital qualificada cidado

Guia para a Autenticao e Assinatura Electrnica_v09.doc

Pgina 53 de 53

You might also like