Presidência
da República |
DECRETO No 3.587, DE 5 DE SETEMBRO DE 2000.
Revogado pelo Decreto nº 3.996, de 31.10.2001 | Estabelece normas para a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal - ICP-Gov, e dá outras providências |
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, incisos IV e VI, da Constituição,
DECRETA:
Capítulo I
Disposições Preliminares
Art. 1º A Infra-Estrutura de Chaves Públicas do Poder
Executivo Federal - ICP-Gov será instituída nos termos deste Decreto.
Art. 2o A tecnologia da ICP-Gov deverá utilizar criptografia assimétrica para relacionar um certificado digital a um indivíduo ou a uma entidade.
§ 1o A criptografia utilizará duas chaves matematicamente relacionadas, onde uma delas é pública e, a outra, privada, para criação de assinatura digital, com a qual será possível a realização de transações eletrônicas seguras e a troca de informações sensíveis e classificadas.
§ 2o A tecnologia de Chaves Públicas da ICP-Gov viabilizará, no âmbito dos órgãos e das entidades da Administração Pública Federal, a oferta de serviços de sigilo, a validade, a autenticidade e integridade de dados, a irrevogabilidade e irretratabilidade das transações eletrônicas e das aplicações de suporte que utilizem certificados digitais.
Art. 3o A ICP-Gov deverá contemplar, dentre outros, o conjunto de regras e políticas a serem definidas pela Autoridade de Gerência de Políticas - AGP, que visem estabelecer padrões técnicos, operacionais e de segurança para os vários processos das Autoridades Certificadoras - AC, integrantes da ICP-Gov.
Art. 4o Para garantir o cumprimento das regras da ICP-Gov, serão instituídos processos de auditoria, que verifiquem as relações entre os requisitos operacionais determinados pelas características dos certificados e os procedimentos operacionais adotados pelas autoridades dela integrantes.
Parágrafo único. Além dos padrões técnicos, operacionais e de segurança, a ICP-Gov definirá os tipos de certificados que podem ser gerados pelas AC.
CAPÍTULO II
DA ORGANIZAÇÃO DA ICP-Gov
Art. 5o A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto.
Art. 6o À Autoridade de Gerência de Políticas - AGP, integrante da ICP-Gov, compete:
I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;
II - estabelecer e administrar as políticas a serem seguidas pelas AC;
III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov e outras ICP externas;
IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro - AR;
V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento de normas por ela estabelecidas;
VI - definir regras operacionais e normas relativas a:
a) Autoridade Certificadora - AC;
b) Autoridade de Registro - AR;
c) assinatura digital;
d) segurança criptográfica;
e) repositório de certificados;
f) revogação de certificados;
g) cópia de segurança e recuperação de chaves;
h) atualização automática de chaves;
i) histórico de chaves;
j) certificação cruzada;
l) suporte a sistema para garantia de irretratabilidade de transações ou de operações eletrônicas;
m) período de validade de certificado;
n) aplicações cliente;
VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Gov, em especial da Política de Certificados - PC e das Práticas e Regras de Operação da Autoridade Certificadora, de modo a garantir:
a) atendimento às necessidades dos órgãos e das entidades da Administração Pública Federal;
b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e
c) atualização tecnológica.
Art. 7o Para assegurar a manutenção do grau de confiança estabelecido para a ICP-Gov, as AC e AR deverão credenciar-se junto a AGP, de acordo com as normas e os critérios por esta autoridade estabelecidos.
Art. 8o Cabe à AC Raiz a emissão e manutenção dos certificados das AC de órgãos e entidades da Administração Pública Federal e das AC privadas credenciadas, bem como o gerenciamento da Lista de Certificados Revogados - LCR.
Parágrafo único. Poderão ser instituídos níveis diferenciados de credenciamento para as AC, de conformidade com a sua finalidade.
Art. 9o As AC devem prestar os seguintes serviços básicos:
I - emissão de certificados;
II - revogação de certificados;
III - renovação de certificados;
IV - publicação de certificados em diretório;
V - emissão de Lista de Certificados Revogados - LCR;
VI - publicação de LCR em diretório; e
VII - gerência de chaves criptográficas.
Parágrafo único. A disponibilização de certificados emitidos e de LCR atualizada será proporcionada mediante uso de diretório seguro e de fácil acesso.
Art. 10. Cabe às AR:
I - receber as requisições de certificação ou revogação de certificado por usuários, confirmar a identidade destes usuários e a validade de sua requisição e encaminhar esses documentos à AC responsável;
II - entregar os certificados assinados pela AC aos seus respectivos solicitantes.
CAPÍTULO III
DO MODELO OPERACIONAL
Art. 11. A emissão de certificados será precedida de processo de identificação do usuário, segundo critérios e métodos variados, conforme o tipo ou em função do maior ou menor grau de sua complexidade.
Art. 12. No processo de credenciamento das AC, deverão ser utilizados, além de critérios estabelecidos pela AGP e de padrões técnicos internacionalmente reconhecidos, aspectos adicionais relacionados a:
I - plano de contingência;
II - política e plano de segurança física, lógica e humana;
III - análise de riscos;
IV - capacidade financeira da proponente;
V - reputação e grau de confiabilidade da proponente e de seus gerentes;
VI - antecedentes e histórico no mercado; e
VII - níveis de proteção aos usuários dos seus certificados, em termos de cobertura jurídica e seguro contra danos.
Parágrafo único. O disposto nos incisos IV a VII não se aplica aos credenciamentos de AC Públicas.
Art. 13. Obedecidas às especificações da AGP, os órgãos e as entidades da Administração Pública Federal poderão implantar sua própria ICP ou ofertar serviços de ICP integrados à ICP-Gov.
Art. 14. A AC Privada, para prestar serviço à Administração Pública Federal, deve observar as mesmas diretrizes da AC Governamental, salvo outras exigências que vierem a ser fixadas pela AGP.
CAPÍTULO IV
DA POLÍTICA DE CERTIFICAÇÃO
Art. 15. Serão definidos tipos de certificados, no âmbito da ICP-Gov, que atendam às necessidades gerais da maioria das aplicações, de forma a viabilizar a interoperabilidade entre ambientes computacionais distintos, dentro da Administração Pública Federal.
§ 1o Serão criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os seguintes níveis de segurança, consoante o processo envolvido:
I - ultra-secretos;
II - secretos;
III - confidenciais;
IV - reservados; e
V - ostensivos.
§ 2o Os certificados, além de outros que a AGP poderá estabelecer, terão uso para:
I - assinatura digital de documentos eletrônicos;
II - assinatura de mensagem de correio eletrônico;
III - autenticação para acesso a sistemas eletrônicos; e
IV - troca de chaves para estabelecimento de sessão criptografada.
Art. 16. À AGP compete tomar as providências necessárias para que os documentos, dados e registros armazenados e transmitidos por meio eletrônico, óptico, magnético ou similar passem a ter a mesma validade, reconhecimento e autenticidade que se dá a seus equivalentes originais em papel.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 17. Para instituição da ICP-Gov, deverá ser efetuado levantamento das demandas existentes nos órgãos governamentais quanto aos serviços típicos derivados da tecnologia de Chaves Públicas, tais como, autenticação, sigilo, integridade de dados e irretratabilidade das transações eletrônicas.
Art. 18. O Glossário constante do Anexo II apresenta o significado dos termos e siglas em português, que são utilizados no sistema de Chaves Públicas.
Art. 19. Compete ao Comitê Gestor de Segurança da Informação a concepção, a especificação e a coordenação da implementação da ICP-Gov, conforme disposto no art. 4o, inciso XIV, do Decreto no 3.505, de 13 de junho de 2000.
Art. 20. Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de publicação deste Decreto, para especificação, divulgação e início da implementação da ICP-Gov.
Art. 21. Implementados os procedimentos para a certificação digital de que trata este Decreto, a Casa Civil da Presidência da República estabelecerá cronograma com vistas à substituição progressiva do recebimento de documentos físicos por meios eletrônicos.
Art. 22. Este Decreto entra em vigor na data de sua publicação.
Brasília, 5 de setembro de 2000; 179o da Independência e 112o da República.
FERNANDO HENRIQUE CARDOSO
Guilherme Gomes Dias
Alberto Mendes Cardoso
Este texto não substitui o publicado no D.O.U. de 6.9.2000
ANEXO I
ANEXO II
GLOSSÁRIO
Autenticação (Authentication) |
Processo utilizado para confirmar a identidade de uma pessoa ou entidade, ou para garantir a fonte de uma mensagem. |
Autoridade Certificadora AC (Certification Authority CA) |
Entidade que emite certificados de acordo com as práticas definidas na Declaração de Regras Operacionais - DRO. É comumente conhecida por sua abreviatura - AC. |
Autoridade Registradora AR (Registration Authority RA) |
Entidade de registro. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota. É parte integrante de uma AC. |
Assinatura Digital (Digital Signature) |
Transformação matemática de uma mensagem por meio da utilização de uma função matemática e da criptografia assimétrica do resultado desta com a chave privada da entidade assinante. |
Autorização (Authorization) |
Obtenção de direitos, incluindo a habilidade de acessar uma informação específica ou recurso de uma maneira específica. |
Chave Privada (Private Key) |
Chave de um par de chaves mantida secreta pelo seu dono e usada no sentido de criar assinaturas para cifrar e decifrar mensagens com as Chaves Públicas correspondentes. |
Certificado de Chave Pública (Certificate) |
Declaração assinada digitalmente por uma AC, contendo, no mínimo:
|
Chave Pública (Public Key) |
Chave de um par de chaves criptográficas que é divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente ou, dependendo do algoritmo criptográfico assimétrico utilizado, para cifrar e decifrar mensagens. |
Cifração (Encryption) |
Processo de transformação de um texto original ("plaintext") em uma forma incompreensível ("ciphertext") usando um algoritmo criptográfico e uma chave criptográfica. |
Credenciamento (Accreditation) |
Processo de aprovação de políticas e procedimentos de uma AC, de forma que a mesma seja autorizada a participar de uma ICP. |
Criptografia (Cryptography) |
Disciplina que trata dos princípios, meios e métodos para a transformação de dados, de forma a proteger a informação contra acesso não autorizado a seu conteúdo. |
Criptografia de Chave Pública (Public Key Cryptography) |
Tipo de criptografia que usa um par de chaves criptográficas matematicamente relacionadas. As Chaves Públicas podem ficar disponíveis para qualquer um que queira cifrar informações para o dono da chave privada ou para verificação de uma assinatura digital criada com a chave privada correspondente. A chave privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais. |
Declaração de Regras
Operacionais DRO (Certification Practice Statement CPS) |
Documento que contém as práticas e atividades que uma AC implementa para emitir certificados. É a declaração da entidade certificadora a respeito dos detalhes do seu sistema de credenciamento e as práticas e políticas que fundamentam a emissão de certificados e outros serviços relacionados. |
Emissão de Certificado (Certificate Issuance) |
Emissão de um certificado por uma AC após a validação de seus dados, com a subseqüente notificação do requente sobre o conteúdo do certificado. |
Gerenciamento de Certificado (Certificate Management) | Ações tomadas por uma AC, baseadas na sua DRO após a emissão do certificado, como armazenamento, disseminação e a subseqüente notificação, publicação e renovação do certificado. Uma AC considera certificados emitidos e aceitos como válidos a partir da sua publicação. |
Infra-Estrutura de Chaves
Públicas ICP (Public Key Infrastructure PKI) |
Arquitetura, organização, técnicas, práticas e procedimentos que suportam, em conjunto, a implementação e a operação de um sistema de certificação baseado em criptografia de Chaves Públicas. |
Integridade de Mensagem (Message Integrity) |
Garantia de que a mensagem não foi alterada durante a sua transferência, do emissor da mensagem para o seu receptor. |
Irretratabilidade (Nonrepudiation) |
Garantia de que o emissor da mensagem não irá negar posteriormente a autoria de uma mensagem ou participação em uma transação, controlada pela existência da assinatura digital que somente ele pode gerar. |
Lista de Certificados Revogados
LCR (Certification Revogation List CRL) |
Lista dos números seriais dos certificados revogados, que é digitalmente assinada e publicada em um repositório. A lista contém ainda a data da emissão do certificado revogado e outras informações, tais como as razões específicas para a sua revogação. |
Mensagem (Message) |
Registro contendo uma representação digital da informação, como um dado criado, enviado, recebido e guardado em forma eletrônica. |
Par de Chaves (Key Pair) |
Chaves privada e pública de um sistema criptográfico assimétrico. A Chave Privada e sua Chave Pública são matematicamente relacionadas e possuem certas propriedades, entre elas a de que é impossível a dedução da Chave Privada a partir da Chave Pública conhecida. A Chave Pública pode ser usada para verificação de uma assinatura digital que a Chave Privada correspondente tenha criado ou a Chave Privada pode decifrar a uma mensagem cifrada a partir da sua correspondente Chave Pública. |
Política de Certificação
PC (Certificate Police CP) |
Documento que estabelece o nível de segurança de um determinado certificado |
Raiz (Root) |
Primeira AC em uma cadeia de certificação, cujo certificado é auto-assinado, podendo ser verificado por meio de mecanismos e procedimentos específicos, sem vínculos com este. |
Registro (Record) |
Informação registrada em um meio tangível (um documento) ou armazenada em um meio eletrônico ou qualquer outro meio perceptível. |
Repositório (Repository) |
Sistema confiável e acessível "on-line" para guardar e recuperar certificados e informações relacionadas com certificados. |
Revogação de Certificado (Certificate Revogation) |
Encerramento do período operacional de um certificado, podendo ser, sob determinadas circunstâncias, implementado antes do período operacional anteriormente definido. |
Sigilo (Confidentiality) |
Condição na qual dados sensíveis são mantidos secretos e divulgados apenas para as partes autorizadas. |
Sistema Criptográfico
Assimétrico (Asymmetric Criptosystem) |
Sistema que gera e usa um par de chaves seguras, consistindo de uma chave privada para a criação de assinaturas digitais ou decodificar de mensagens criptografadas e uma Chave Pública para verificação de assinaturas digitais ou de mensagens codificadas. |