INSTRUÇÃO NORMATIVA ITI Nº 17, DE 7 DE OUTUBRO DE 2021
Data de publicação | 13 Outubro 2021 |
Data | 07 Outubro 2021 |
Páginas | 2-7 |
Órgão | Presidência da República,Casa Civil,Instituto Nacional de Tecnologia da Informação |
Seção | DO1 |
INSTRUÇÃO NORMATIVA ITI Nº 17, DE 7 DE OUTUBRO DE 2021
Aprova a versão 1.0 do documento Protocolos de Auditoria e Sincronismo do Tempo da Rede de Carimbo do Tempo da ICP-Brasil - DOC-ICP-11.02.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO,no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de fevereiro de 2017, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, de 17 de abril de 2020, resolve:
Art. 1° Aprovar a versão 1.0 do documento DOC-ICP-11.02 - Protocolos de Auditoria e Sincronismo do Tempo da Rede de Carimbo do Tempo da ICP-Brasil.
Art. 2° Os interessados deverão obter do Instituto Nacional de Tecnologia da Informação a autorização para promover suas implementações nos protocolos de auditoria e sincronismo de tempo.
Art. 3° Esta Instrução Normativa entra em vigor em 1° de novembro de 2021.
CARLOS ROBERTO FORTNER
ANEXO
PROTOCOLOS DE AUDITORIA E SINCRONISMO DO TEMPO DA REDE DE CARIMBO DO TEMPO DA ICP-BRASIL
DOC-ICP-11.02
Versão 1.0
CONTROLE DE ALTERAÇÕES
Ato que aprovou a alteração |
Item alterado |
Descrição da alteração |
IN ITI nº 17, de 07.10.2021 Versão 1.0 |
Aprova a versão 1.0 do documento Protocolos de Auditoria e Sincronismo do Tempo da Rede de Carimbo do Tempo da ICP-Brasil. |
LISTA DE SIGLAS E ACRÔNIMOS
SIGLA |
DESCRIÇÃO |
AC |
Autoridade Certificadora |
AC RAIZ |
Autoridade Certificadora Raiz da ICP-Brasil |
ACT |
Autoridade de Carimbo do Tempo |
DER |
Distinguished Encoding Rules |
EAT |
Entidade de Auditoria do Tempo |
FCT |
Fonte Confiável do Tempo |
HTTPS |
Hypertext Transfer Protocol Secure |
JSON |
JavaScript Object Notation |
MCT |
Manual de Condutas Técnicas |
PTP |
Precision Time Protocol |
RCT |
Rede de Carimbo do Tempo |
RFC |
Request For Comments |
SAS |
Sistema de Auditoria e Sincronismo |
SCT |
Servidor de Carimbo do Tempo |
TCR |
Time Calibration Report |
TCT |
Time Chaining Tree |
TLS |
Transport Layer Security |
VPN |
Virtual Private Network |
LISTA DE FIGURAS
Figura 1: Componentes da RCT e suas Relações
Figura 2: Organização das Redes e Rotas
Figura 3: Troca de mensagens entre SAS e SCT durante processo de auditoria
Figura 4:Exemplo de uma Árvore de Merkle
LISTA DE TABELAS
Tabela 1: Formato das Mensagens do Protocolo de Auditoria
Tabela 2: Códigos de Operação Utilizados no Processo de Auditoria
Tabela 3: Estrutura de dados TCT
Tabela 4: OIDs utilizados para os atributos do TCR
Tabela 5: OID para inclusão do TCR como uma extensão do Timestamp
Tabela 6: Estrutura de Dados Leaves
Tabela 7:Estrutura de Dados Leaf
Tabela 8: Estrutura do Registro de Sincronismo
Tabela 9: Estrutura do registro de carimbo do tempo
Tabela 10:Estrutura do AuditResult
Tabela 11: Estrutura Reason
Tabela 12: Razões para a Rejeição de Emissão do Alvará
Tabela 13: Parâmetros da Auditoria
Tabela 14: Estrutura PTPClient Request
Tabela 15: Estrutura PTPServerResponse
1. INTRODUÇÃO
1.1 Este documento descreve os protocolos de auditoria e sincronismo do tempo da Rede de Carimbo do Tempo - RCT da ICP-Brasil e serve como referência para as implementações dos Servidores de Carimbo do Tempo - SCT e Sistemas de Auditoria e Sincronismo - SAS que desejam operar na RCT da ICP-Brasil.
1.2 Este documento é um complemento aos documentos que especificam o padrão para carimbos do tempo na ICP-Brasil, incluindo, mas não limitado aos seguintes documentos:
a) VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASIL [1];
b) REDE DE CARIMBO DO TEMPO NA ICP-BRASIL - RECURSOS TÉCNICOS [2];
c) REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP-BRASIL [3];
d) REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO DA ICP-BRASIL [4];
e) PROCEDIMENTOS PARA AUDITORIA DO TEMPO DA ICP-BRASIL [5];
f) MANUAL DE CONDUTAS TÉCNICAS 10 - VOLUME I: REQUISITOS, MATERIAIS E DOCUMENTOS TÉCNICOS PARA HOMOLOGAÇÃO DE CARIMBO DO TEMPO NO ÂMBITO DA ICP-BRASIL [6], e
g) MANUAL DE CONDUTAS TÉCNICAS 10 - VOLUME II: PROCEDIMENTOS DE ENSAIOS PARA AVALIAÇÃO DE CONFORMIDADE DE CARIMBO DO TEMPO NO ÂMBITO DA ICP-BRASIL [7].
1.3 Visão Geral do Sistema
1.3.1 A Rede de Carimbo do Tempo da ICP-Brasil é formada por Autoridades de Carimbo do Tempo - ACTs que utilizam relógios de tempo real, do inglês real time clock - RTC, confiáveis - sincronizados e auditados pela Entidade de Auditoria do Tempo - EAT, para emitir carimbos do tempo para os usuários da ICP-Brasil.
1.3.2 As funções de emissão de carimbos do tempo, sincronia do tempo e auditoria do tempo das ACTs são realizadas por Servidores de Carimbo do Tempo - SCT, enquanto as funções de sincronia e auditoria do tempo providas pela ACT são realizadas por Sistemas de Auditoria e Sincronismo - SAS.
1.3.3 Servidores de Carimbo do Tempo são computadores especializados capazes de:
a) manter seus relógios internos sincronizados com o relógio do SAS;
b) manter registro da qualidade do sincronismo dos seus relógios internos com o relógio do SAS;
c) submeter os registros de qualidade de sincronismo do tempo ao processo de auditoria realizado pelo SAS;
d) solicitar a emissão de alvarás de funcionamento ao SAS; e
e) emitir carimbos do tempo, entre outras funcionalidades.
1.3.4 Sistemas de Auditoria e Sincronismo são computadores especializados capazes de:
a) manter seus relógios internos sincronizados com a Fonte Confiável de Tempo - FCT;
b) utilizar seus relógios internos para prover uma fonte de sincronismo do tempo para relógios dos SCTs;
c) auditar a qualidade do sincronismo dos relógios dos SCTs; e
d) emitir alvarás de funcionamento para SCTs, entre outras funcionalidades.
1.3.5 A Figura 1 ilustra os componentes que formam a RCT e seus relacionamentos, com destaque para os protocolos de auditoria e sincronismo executados entre SAS e SCT, que são o escopo deste documento e detalhados nos itens 2 e 3.
1.4 Isenção de Responsabilidade
1.4.1 Termos e Condições Gerais de Utilização do Protocolo de Auditoria e Sincronismo
A utilização do protocolo de auditoria e sincronismo, referido também neste documento como "protocolo" ou "protocolos", implica a aceitação plena e completa das condições gerais de utilização descritas abaixo. Estes termos de uso ou avisos legais podem ser modificados ou complementados a qualquer momento, pelo que os utilizadores dos protocolos são convidados a consultá-los regularmente.
1.4.2 Descrição dos Protocolos
A AC Raiz da ICP-Brasil atua como Entidade de Auditoria do Tempo - EAT, operando Sistemas de Auditoria e Sincronismo - SAS, que inspecionam permanentemente os equipamentos das Autoridades de Carimbo do Tempo e os Servidores de Carimbo do Tempo - SCT. Esta atribuição é exclusiva da AC Raiz, sendo que estes equipamentos - SAS e SCT - compõem a Rede de Carimbo do Tempo - RCT da ICP-Brasil.
1.4.3 Créditos
1.4.3.1 O ITI adquiriu os direitos de utilização no âmbito da ICP-Brasil dos protocolos computacionais de Carimbo do Tempo, sejam modelos de dados e/ou base de dados oriundos dos protocolos.
1.4.3.2 É proibido modificar (ainda que para fins de correção de erro), adaptar ou traduzir os protocolos ou criar trabalhos originários dos mesmos, a descompilação reversa (inclusive compilação reversa para assegurar a interoperabilidade), engenharia reversa ou testes de segurança e outra derivação dos protocolos.
1.4.3.3 Qualquer utilização não autorizada dos protocolos ou de qualquer elemento neles contidos será considerada uma infração e processada de acordo com as disposições da Lei nº 9.279, de 14 de maio de 1996 (Lei de Propriedade Industrial).
2. PROTOCOLO DE SINCRONISMO DO TEMPO
2.1 Disposições Gerais
2.1.1 A RCT da ICP-Brasil utiliza o protocolo de sincronismo do tempoPrecision Time Protocol- PTP, versão 2, especificado pelo padrão IEEE-1588 2008 [8], para prover o mecanismo de sincronia do tempo entre SAS e SCT. Neste documento é utilizado o termo Rede PTP para se referir à rede de computadores na qual o PTP é executado.
2.1.2 Para assegurar a autenticidade das mensagens trocadas pela Rede PTP, o SAS utiliza uma rede virtual privada, do inglêsVirtual Private Network- VPN, que provê um canal de comunicação cifrado e autenticado para os pacotes que transitam por essa rede. A implementação de VPN utilizada pelo SAS é a do Wireguard [13], compatível com sua implementação de referência para Linux na versão 1.0.
2.1.3 Nos itens a seguir é descrito como cada um desses protocolos é utilizado no contexto da RCT da ICP-Brasil.
2.2 Rede Virtual Privada
2.2.1 O SAS e SCT devem se conectar à VPN utilizando uma implementação doWireguard[13] que seja compatível com sua implementação de referência para Linux na versão 1.0.
2.2.2 O SAS deve ter a VPN Wireguard configurada para operar como servidor, escutando IP e porta configurada pelo administrador do SAS.
2.2.3 O SAS deve prover ao SCT, por meio de mensagens para Registro na Rede PTP (ver mensagem ptp_network_response no item 3) ou por meios externos ao protocolo (out-of-bounds):
a) a chave pública do servidor VPN do SAS;
b) o endereço IP do servidor VPN do SAS (e.g.: 30.0.0.1);
c) a porta do servidor VPN do SAS (e.g.: 51820);
d) o endereço IP e máscara de rede da VPN reservada para o SCT...
Para continuar a ler
PEÇA SUA AVALIAÇÃO