Legislação
Decreto 3.587, de 05/09/2000
(D.O. 06/09/2000)
- Para instituição da ICP-Gov, deverá ser efetuado levantamento das demandas existentes nos órgãos governamentais quanto aos serviços típicos derivados da tecnologia de Chaves Públicas, tais como, autenticação, sigilo, integridade de dados e irretratabilidade das transações eletrônicas.
- O Glossário constante do Anexo II apresenta o significado dos termos e siglas em português, que são utilizados no sistema de Chaves Públicas.
- Compete ao Comitê Gestor de Segurança da Informação a concepção, a especificação e a coordenação da implementação da ICP-Gov, conforme disposto no art. 4o, inciso XIV, do Decreto 3.505, de 13/06/2000.
- Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de publicação deste Decreto, para especificação, divulgação e início da implementação da ICP-Gov.
- Implementados os procedimentos para a certificação digital de que trata este Decreto, a Casa Civil da Presidência da República estabelecerá cronograma com vistas à substituição progressiva do recebimento de documentos físicos por meios eletrônicos.
- Este Decreto entra em vigor na data de sua publicação.
Brasília, 5 de setembro de 2000; FERNANDO HENRIQUE CARDOSO
ANEXO I - Arquitetura da ICP-Gov ([omissis])
ANEXO II - GLOSSÁRIO
Autenticação (Authentication) | Processo utilizado para confirmar a identidade de umapessoa ou entidade, ou para garantir a fonte de uma mensagem. |
Autoridade Certificadora – AC (Certification Authority – CA) | Entidade que emite certificados de acordo com as práticasdefinidas na Declaração de Regras Operacionais - DRO. É comumenteconhecida por sua abreviatura - AC. |
Autoridade Registradora – AR (Registration Authority – RA) | Entidade de registro. Pode estar fisicamentelocalizada em uma AC ou ser uma entidade de registro remota. É parteintegrante de uma AC. |
Assinatura Digital (Digital Signature) | Transformação matemática de uma mensagem por meioda utilização de uma função matemática e da criptografia assimétricado resultado desta com a chave privada da entidade assinante. |
Autorização (Authorization) | Obtenção de direitos, incluindo a habilidade deacessar uma informação específica ou recurso de uma maneira específica. |
Chave Privada (Private Key) | Chave de um par de chaves mantida secreta pelo seudono e usada no sentido de criar assinaturas para cifrar e decifrarmensagens com as Chaves Públicas correspondentes. |
Certificado de Chave Pública (Certificate) | Declaração assinada digitalmente por uma AC,contendo, no mínimo:
|
Chave Pública (Public Key) | Chave de um par de chaves criptográficas que édivulgada pelo seu dono e usada para verificar a assinatura digitalcriada com a chave privada correspondente ou, dependendo do algoritmocriptográfico assimétrico utilizado, para cifrar e decifrar mensagens. |
Cifração (Encryption) | Processo de transformação de um texto original("plaintext") em uma forma incompreensível("ciphertext") usando um algoritmo criptográfico e uma chavecriptográfica. |
Credenciamento (Accreditation) | Processo de aprovação de políticas e procedimentosde uma AC, de forma que a mesma seja autorizada a participar de uma ICP. |
Criptografia (Cryptography) | Disciplina que trata dos princípios, meios e métodospara a transformação de dados, de forma a proteger a informaçãocontra acesso não autorizado a seu conteúdo. |
| Criptografia de Chave Pública (Public Key Cryptography) | Tipo de criptografia que usa um par de chavescriptográficas matematicamente relacionadas. As Chaves Públicas podemficar disponíveis para qualquer um que queira cifrar informações parao dono da chave privada ou para verificação de uma assinatura digitalcriada com a chave privada correspondente. A chave privada é mantida emsegredo pelo seu dono e pode decifrar informações ou gerar assinaturasdigitais. |
| Declaração de Regras Operacionais – DRO (Certification Practice Statement – CPS) | Documento que contém as práticas e atividades queuma AC implementa para emitir certificados. É a declaração daentidade certificadora a respeito dos detalhes do seu sistema decredenciamento e as práticas e políticas que fundamentam a emissão decertificados e outros serviços relacionados. |
Emissão de Certificado (Certificate Issuance) | Emissão de um certificado por uma AC após a validaçãode seus dados, com a subseqüente notificação do requente sobre oconteúdo do certificado. |
| Gerenciamento de Certificado (CertificateManagement) | Ações tomadas por uma AC, baseadas na sua DRO apósa emissão do certificado, como armazenamento, disseminação e a subseqüentenotificação, publicação e renovação do certificado. Uma ACconsidera certificados emitidos e aceitos como válidos a partir da suapublicação. |
| Infra-Estrutura de Chaves Públicas – ICP (Public Key Infrastructure – PKI) | Arquitetura, organização, técnicas, práticas eprocedimentos que suportam, em conjunto, a implementação e a operaçãode um sistema de certificação baseado em criptografia de Chaves Públicas. |
Integridade de Mensagem (Message Integrity) | Garantia de que a mensagem não foi alterada durantea sua transferência, do emissor da mensagem para o seu receptor. |
| Irretratabilidade(Nonrepudiation) | Garantia de que o emissor da mensagem não irá negarposteriormente a autoria de uma mensagem ou participação em uma transação,controlada pela existência da assinatura digital que somente ele podegerar. |
| Lista de Certificados Revogados – LCR (Certification Revogation List – CRL) | Lista dos números seriais dos certificadosrevogados, que é digitalmente assinada e publicada em um repositório.A lista contém ainda a data da emissão do certificado revogado eoutras informações, tais como as razões específicas para a suarevogação. |
| Mensagem(Message) | Registro contendo uma representação digital dainformação, como um dado criado, enviado, recebido e guardado em formaeletrônica. |
| Par de Chaves(Key Pair) | Chaves privada e pública de um sistema criptográficoassimétrico. A Chave Privada e sua Chave Pública são matematicamenterelacionadas e possuem certas propriedades, entre elas a de que éimpossível a dedução da Chave Privada a partir da Chave Públicaconhecida. A Chave Pública pode ser usada para verificação de umaassinatura digital que a Chave Privada correspondente tenha criado ou aChave Privada pode decifrar a uma mensagem cifrada a partir da suacorrespondente Chave Pública. |
| Política de Certificação – PC(Certificate Police – CP) | Documento que estabelece o nível de segurança de umdeterminado certificado |
| Raiz(Root) | Primeira AC em uma cadeia de certificação, cujocertificado é auto-assinado, podendo ser verificado por meio demecanismos e procedimentos específicos, sem vínculos com este. |
| Registro(Record) | Informação registrada em um meio tangível (umdocumento) ou armazenada em um meio eletrônico ou qualquer outro meioperceptível. |
| Repositório(Repository) | Sistema confiável e acessível "on-line"para guardar e recuperar certificados e informações relacionadas comcertificados. |
| Revogação de Certificado(Certificate Revogation) | Encerramento do período operacional de umcertificado, podendo ser, sob determinadas circunstâncias, implementadoantes do período operacional anteriormente definido. |
| Sigilo(Confidentiality) | Condição na qual dados sensíveis são mantidossecretos e divulgados apenas para as partes autorizadas. |
| Sistema Criptográfico Assimétrico(Asymmetric Criptosystem) | Sistema que gera e usa um par de chaves seguras,consistindo de uma chave privada para a criação de assinaturasdigitais ou decodificar de mensagens criptografadas e uma Chave Públicapara verificação de assinaturas digitais ou de mensagens codificadas. |