Introdução à noção de certificado

Os algoritmos de codificação assimétrica baseiam-se na partilha, entre os diferentes utilizadores, de uma chave pública. Geralmente, a partilha desta chave faz-se através de um anuário electrónico (geralmente no formato LDAP) ou de um site web.

Contudo, este modo de partilha tem uma grande lacuna : nada garante que a chave é efectivamente a do utilizador a que está associada. Com efeito, um pirata pode corromper a chave pública presente no anuário, substituindo-a pela sua chave pública. Assim, o pirata estará em condições de decifrar todas as mensagens que foram codificadas com a chave presente no anuário.

Assim, um certificado permite associar uma chave pública a uma entidade (uma pessoa, uma máquina, …) a fim de assegurar a sua validade. O certificado é o bilhete de identidade da chave pública, em certa medida emitido por um organismo chamado autoridade de certificação (frequentemente notado CA para Certification Authority).

A autoridade de certificação está encarregue de emitir os certificados, atribuir-lhes uma data de validade (equivalente ao prazo de validade dos produtos alimentares), bem como anular eventualmente certificados antes daquele prazo, no caso de comprometimento da chave (ou do proprietário).

Estrutura de um certificado?

Os certificados são pequenos ficheiros divididos em duas partes :

• A parte que contém as informações
• A parte que contém a assinatura da autoridade de certificação

A estrutura dos certificados é normalizada pelo standard X.509 da 'UIT (mais exactamente X.509v3), que define as informações contidas no certificado :

• A versão de X.509 à qual o certificado corresponde;
• O número de série do certificado;
• O algoritmo de codificação utilizado para assinar o certificado;
• O nome (DN, pour Distinguished Name) da autoridade de certificação emissora;
• A data de início de validade do certificado;
• A data de fim de validade do certificado;
• O objecto da utilização da chave pública;
• A chave pública do proprietário do certificado;
• A assinatura do emissor do certificado (thumbprint).

O conjunto destas informações (informações + chave pública do requerente) é assinado pela autoridade de certificação, isto significa que uma função de corte cria uma impressão destas informações, seguidamente este condensado é calculado com ajuda da chave privada da autoridade de certificação; a chave pública foi de antemão difundida largamente para permitir aos utilizadores verificar a assinatura com a chave pública da autoridade de certificação.

Quando um utilizador deseja comunicar com outra pessoa, basta obter o certificado do destinatário. Este certificado contém o nome do destinatário, bem como a sua chave pública e é assinado pela autoridade de certificação. É por conseguinte possível verificar a validade da mensagem aplicando, por um lado, a função de corte às informações contidas no certificado, decifrando por outro lado a assinatura da autoridade de certificação com a chave pública desta última e comparando estes dois resultados.

Assinaturas de certificados

Distinguem-se diferentes tipos de certificados de acordo com o nível de assinatura :

• Os certificados auto-assinados são certificados de uso interno. Assinados por um servidor local, este tipo de certificado permite garantir a confidencialidade das trocas numa organização; por exemplo, para as necessidades de uma intranet. É assim possível efectuar uma autenticação dos utilizadores graças a certificados auto-assinados.
• Os certificados assinados por um organismo de certificação são necessários quando se trata de assegurar a segurança das trocas com utilizadores anónimos, por exemplo no caso de um site web protegido, acessível ao grande público. O certificador terceiro permite assegurar ao utilizador que o certificado pertence bem à organização à qual declara pertencer.

Tipos de usos

Os certificados servem principalmente em três tipos de contextos:

• Certificado cliente, armazenado no computador do utilizador ou embarcado num recipiente como um cartão com chip, permite identificar um utilizador e associar-lhe direitos. Na maior parte dos cenários, é transmitido ao servidor aquando de uma conexão, que afecta direitos em função da acreditação do utilizador. Trata-se de um autêntico bilhete de identidade numérico que utiliza um par de chave assimétricas de um comprimento de 512 a 1024 bits.
• O certificado servidor instalado num servidor web permite assegurar a relação entre o serviço e o proprietário do serviço. No caso de um site web, permite garantir que a URL e em especial o domínio da página web pertencem realmente a tal ou tal empresa. Além disso, permite proteger as transacções com os utilizadores graças ao protocolo SSL.
• O certificado VPN é um tipo de certificado instalado no equipamentos de rede, permitindo codificar os fluxos de comunicação de extremidade em extremidade entre dois pontos (por exemplo, dois sites de uma empresa). Neste tipo de cenário, os utilizadores possuem um certificado cliente, os servidores aplicam um certificado servidor e os equipamentos de comunicação utilizam um certificado específico (geralmente um certificado IPSec.