Assinatura Digital

1.INTRODUÇÃO

1.1. O objetivo deste procedimento é fornecer uma ferramenta para ajudar a avaliar uma autoridade de certificação (CA), tanto em termos de qualidade dos serviços oferecidos e confiabilidade.

1.2. As técnicas de autenticação desempenham um papel essencial no comércio eletrônico, se eles são usados para fornecer acesso a uma intranet corporativa, ou para identificar as partes que se comunicam ou transacionam (particular ou comercial). Autenticação das partes em uma transação ou comunicação é um método de construção de confiança no comércio electrónico, quando adequadamente realizada por infraestruturas de tecnologia confiável e segura.

1.3. Autenticação pode ser realizada em vários níveis de segurança e por diferentes tecnologias com base nas necessidades do partido e as características da transação ou comunicação. Durante anos, as pessoas têm usado senhas ou métodos semelhantes de autenticação, mas hoje há muitas abordagens mais tecnológicas para ajudar a facilitar esta parte crítica da comunicação.

Hoje há uma variedade de soluções baseadas em chaves biométricas e criptografia usada para autenticação. Eles podem ser usados como sistemas isolados, em combinação, ou como parte de um meio tecnológico maior. Muitas organizações acreditam que a chave de infraestrutura (PKI) ferramentas públicas baseadas em fornecer as soluções mais escaláveis para sistemas de autenticação comercialmente robustos.

2. TERMINOLOGIA E NEUTRALIDADE TECNOLÓGICA

2.1. A autenticação do termo refere-se a uma grande classe de aplicações eletrônicas, cujas funções podem variar de identificação pura e autorização para o reconhecimento legal.

2.2. Referindo-se a técnicas de autenticação específica, os termos de assinatura eletrônica e assinatura digital são freqüentemente usados como sinônimos. Isto tem levado a confusão internacional significativo, devido à utilização dos dois termos. A assinatura digital é um subconjunto funcional da assinatura electrónica mais inclusiva prazo. Terminologias utilizadas neste documento referem-se às definições com certo nível de aceitação internacional alcançado através de fóruns internacionais reconhecidas.

2.2.1. A assinatura electrónica termo foi definido por muitos autores como uma assinatura em formato electrónico na, ou ligados ou logicamente associados, uma mensagem de dados, e usado por ou em nome de uma pessoa com a intenção de identificar essa pessoa e para indicar que aprovação da pessoa do conteúdo da mensagem de dados.

2.2.2. Por conseguinte, a assinatura digital tem sido definida como uma transformação de uma mensagem através de um sistema de criptografia assimétrica de tal modo que uma pessoa que tenha mensagem do assinante e uma chave pública do assinante pode determinar com precisão se a transformação foi criada usando a chave privada que corresponde à chave pública do assinante, e se a mensagem assinada uma vez que tenha sido alterada a transformação foi feita.

2.3. A distinção entre as assinaturas eletrônicas e digitais tem estado no centro das discussões internacionais sobre se as políticas devem se concentrar em assinaturas electrónicas ou assinaturas digitais. A questão ainda está em aberto, e este procedimento se aplica tanto a assinatura eletrônica e técnicas de autenticação de assinatura digital.

3. ASSINATURA DIGITAL E PROCESSO DE GESTÃO KEY

3.1. Verificação dos requisitos de segurança para tecnologia de segurança de chave pública envolve uma terceira parte confiável, conhecida como a autoridade de certificação (CA).

A CA distribui as chaves eletrônicas usadas para criptografar as informações de usuários e servidor, descriptografar, e os certificados eletrônicos são usados para autenticar os usuários e servidores.

Aspecto geral de uma CA

Procedimentos e Perspectivas

Gestão Organizacional

Procedimento sugerido(s): Determinar se ou não o CA tem estrutura organizacional eficaz capaz de facilitar.

Certificação / Credenciação Procedimento sugerido(s): Determinar se ou não o CA recebeu a credenciação por organismos de normalizações internacionais apropriadas, para comunicações seguras.

Perspectiva: As certificações e credenciações do CA receberam dos padrões internacionais aprovados.

Organizações irão fornecer informações valiosas relacionadas com a qualidade de seus produtos e serviços.

Arquitetura Tecnológica Procedimento sugerido(s): Identificar os padrões apropriados e aplicáveis (ou seja, o suporte para certificados X.509 e X.500 diretório) e determinar se é ou não a arquitetura de tecnologia se baseia neles.

Perspectiva: A arquitetura de tecnologia deve ser baseada em padrões para fornecer segurança, escalabilidade e interoperabilidade.

Gestão de Operações Procedimento sugerido(s): Identificar quais serviços às ofertas da CA, como registrar os usuários, emissão de chaves, chaves de atualização, backup e recuperação de chaves, revogação e reemissão de chaves, desativando e reativando chaves.

Determinar ou não a administração de serviços e operação da CA, e serviços externos e terceirização são adequados. Fornecer uma garantia razoável sobre a disponibilidade de um site redundante / back-up e apoio profissional.

Perspectiva: Gestão de operações adequadas irá proporcionar uma garantia razoável de práticas para apoiar se as operações são eficazes.

O objetivo dos controles acima é entender como a CA opera para a coleta de dados e de documentos. Tópicos específicos são cobertos pela seguinte lista:

Aspecto Técnico Específico de uma CA

Procedimentos e Perspectivas

Gestão de Operações Procedimento sugerido(s): Determinar se há ou não um backup on-line para que a CA esteja sempre disponível.

Perspectiva: Mesmo se o servidor CA cair, a organização ainda precisa de

...