Clique para descarregar o certificado raíz
Certificado Raíz

Logótipo do Selo (ECEE PKI Estado) Infraestrutura de Chaves Públicas

 

Perguntas Frequentes

Nesta secção são dadas respostas de forma simples às perguntas mais frequentes sobre os temas da segurança electrónica, infra-estruturas de chaves públicas, assinatura electrónica e certificação electrónica.

1. Quais os principais aspectos da "Segurança Electrónica"?

A segurança electrónica tem as suas raízes na disciplina da segurança dos sistemas informáticos. Com a evolução verificada ao longo da última década no domínio dos sistemas de computação pessoal, bem como dos sistemas distribuídos e ambientes de "networking", a segurança electrónica passou a estar fortemente interligada com a segurança das redes informáticas e de informação.

A "Segurança electrónica" engloba um conjunto variado de dimensões, que abrangem inclusive os aspectos de infra-estrutura física no acesso aos sistemas informáticos e de informação. São normalmente consideradas como características da segurança electrónica a garantia ou "confiança" dos 5 seguintes aspectos ou propriedades nos processos de transacção ou comunicação electrónica:

  • Autenticidade: A garantia de que a identidade é válida de todos os intervenientes num processo de comunicação electrónica, ou de acesso a um sistema electrónico. Ou seja, de que é "autêntica" a identidade de um utilizador de determinado sistema ou rede electrónica.
  • Integridade: A garantia de que um documento electrónico ou sistema electrónico não sofre ou sofreu alterações durante um processo de comunicação electrónica ou no acesso a esse mesmo objecto ou documento. Ou seja, que determinado documento electrónico ou informação mantém a sua "integridade" não sofrendo alterações.
  • Confidencialidade: A garantia de que uma transacção ou comunicação electrónica é confidencial, ou seja não sofre do problema de acesso não autorizado a essa mesma transacção por parte de terceiros que não são autorizados para tal. Sendo uma informação ou documento considerado como "confidencial" o seu conteúdo só poderá ser acedido por entidade autorizadas para tal.
  • Privacidade: A garantia de que a informação ou conteúdos de um dado documento ou as características de um processo ou transacção electrónicas são preservados como "privados" para quem tenha autorização para o seu acesso. Não é assim violado o aspecto "privado" da posse ou possibilidade de acesso de determinada informação.
  • Não Repúdio: A garantia de que numa dada comunicação ou transacção electrónica, as partes envolvidas estejam dotadas dos meios que lhes permitam "não negar" a efectiva realização de tal transacção ou processo. Ou seja, quaisquer partes envolvidas não repudiam o facto de que em data e tempo específicos, ocorreu o acesso a determinada informação ou a comunicação ou transacção electrónica de determinado documento.

2. O que é uma PKI?

PKI é sigla utilizada para designar uma Public Key Infrastructure, que por sua vez é a designação anglo-saxónica de uma "Infra-estrutura de Chaves Públicas".

Uma "Infra-estrutura de Chaves Públicas"é um sistema formado por componentes de natureza legislativa ou jurídica, de infra-estrutura física e de equipamentos tecnológicos, bem como de normas, regulamentos e procedimentos que definem políticas e práticas de certificação, para garantia da segurança electrónica. A peculiaridade das denominadas "infra-estruturas de chaves públicas" em relação a outros sistemas de segurança, é o facto de estarem suportadas na utilização de tecnologia de criptografia assimétrica de "chaves públicas" em contraposição com a tecnologia de criptografia simétrica.

A partilha de "chaves públicas" e "chaves privadas" entre as várias entidades no sistema de certificação cria a necessária "confiança" para garantia da segurança das transacções electrónicas entre as pessoas e entidades que utilizam determinada PKI.

Existem vários modelos de organização das entidades certificadoras que compõem uma dada "Infra-estrutura de Chaves Públicas", que vão desde modelos federados de PKI, até modelos hierárquicos ou ainda de certificação cruzada. A escolha de um dado modelo de organização deve obedecer a critérios de optimização para a realidade do sistema de segurança que se pretende implementar.

3. O que é uma "Assinatura Electrónica"?

Segundo o Decreto-Lei n.º 290-D/99, de 2 de Agosto, considera-se como um "documento electrónico" um documento elaborado mediante processamento electrónico de dados;

Considera-se ainda como "Endereço electrónico" a identificação de um equipamento informático adequado para receber e arquivar documentos electrónicos.

Por sua vez considera-se como uma "assinatura electrónica" o resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:

i. Identifique de forma unívoca o titular como autor do documento;
ii. A sua aposição ao documento dependa apenas da vontade do titular;
iii. A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste;

4. O que são "Assinaturas Electrónicas Avançadas"?

Segundo a Wikipedia, considera-se em criptografia como uma assinatura digital um método de autenticação de informação digital tipicamente tratada, por vezes com demasiada confiança, como análoga à assinatura física em papel. Embora existam analogias, também existem diferenças que podem ser importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem electrónica.

Considera-se ainda como "assinatura digital" o processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura.

A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:

  • autenticação - o receptor deve poder confirmar a assinatura do emissor;
  • integridade - a assinatura não pode ser falsificável;
  • não repúdio - o emissor não pode negar a sua autenticidade;

5. O que é um "Certificado Digital"?

Considera-se como um "Certificado de assinatura" um documento electrónico autenticado com assinatura digital e que certifique a titularidade de uma chave pública e o prazo de validade da mesma chave.

6. O que é um "Certificado Digital Qualificado"?

Considera-se como um "certificado digital qualificado" um certificado digital tal como definido acima, ao qual é aposta uma assinatura electrónica qualificada, ou seja uma assinatura electrónica emitida por uma entidade certificadora credenciada.

7. O que é uma "Entidade Certificadora"?

Considera-se como "entidade certificadora" uma entidade ou pessoa singular ou colectiva credenciada que cria ou fornece meios para a criação das chaves, emite os certificados de assinatura, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas digitais.

8. O que é a "Criptografia Simétrica e Assimétrica"?

Segundo a Wikipedia, designa-se por "criptografia simétrica" um sistema convencional criptográfico, geralmente referido como Sistemas de Chaves Simétricas, criptografia de chave única, ou criptografia de chave secreta, baseia-se numa única chave, usada por ambos interlocutores, e na premissa de que esta é conhecida apenas por eles. Este sistema é tanto ou mais seguro quanto o for (1) a própria chave e (2) o meio em que ela foi dada a conhecer a ambos interlocutores ? é comum a chave estar guardada num local que se "pensa" ser seguro.

Por sua vez designa-se por "criptografia assimétrica" A criptografia de chave pública ou criptografia assimétrica é um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.

Em um algoritmo de criptografia assimétrica, uma mensagem criptografada com a chave pública pode somente ser descriptografada pela sua chave privada correspondente. Do mesmo modo, uma mensagem criptografada com a chave privada pode somente ser descriptografada pela sua chave pública correspondente.

Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para criptografar mensagens, com isso apenas o dono da chave privada pode descriptografá-la. Para autenticidade, a chave privada é usada para criptografar mensagens, como isso garante-se que apenas o dono da chave privada poderia ter criptografado a mensagem que foi descriptografada com a chave pública.

9. O que são "Chaves Públicas"?

Considera-se como "Chave pública", no contexto das tecnologias de criptografia assimétrica o elemento do par de chaves assimétricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par de chaves assimétricas, ou se cifra um documento electrónico a transmitir ao titular do mesmo par de chaves.

10. O que são "Chaves privadas"?

Considera-se como "Chave privada", no contexto das tecnologias de criptografia assimétrica o elemento do par de chaves assimétricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico previamente cifrado com a correspondente chave pública.

11. O que é um HSM?

HSM é a sigla utilizada para designar um "Hardware Security Module", para designar um dispositivo de segurança utilizado em criptografia na geração de certificados digitais com níveis de segurança elevados. A principal função de um HSM é a de gerar chaves secretas de longo prazo para protecção e segurança.

12. O que é a "Autoridade Credenciadora"?

Segundo o Decreto-Lei n.º 290-D/99, de 2 de Agosto, considera-se como Autoridade credenciadora a entidade competente para a credenciação e fiscalização das entidades certificadoras a prestarem serviços de certificação electrónica.

É considerado como "Credenciação" o acto pelo qual é reconhecido a uma entidade que o solicite e que exerça actividade de entidade certificadora o preenchimento de um conjunto de requisitos tais como:

13. O que é a "validação cronológica"?

Considera-se como "validação cronológica" a declaração de uma entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico.

Símbolo de Acessibilidade à Web [D]