INSTRUÇÃO NORMATIVA ITI Nº 18, DE 10 DE NOVEMBRO DE 2021
| Data | 10 Novembro 2021 |
| Páginas | 5-20 |
| Data de publicação | 12 Novembro 2021 |
| Órgão | Presidência da República,Casa Civil,Instituto Nacional de Tecnologia da Informação |
| Seção | DO1 |
INSTRUÇÃO NORMATIVA ITI Nº 18, DE 10 DE NOVEMBRO DE 2021
Aprova a versão 4.0 dos volumes I e II do Manual de Condutas Técnicas - MCT n° 03 da ICP-Brasil.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de fevereiro de 2017, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:
Art. 1º Esta Instrução Normativa aprova a versão 4.0 dos volumes I e II do Manual de Condutas Técnicas - MCT n° 03 da ICP-Brasil.
Art. 2º Ficam aprovadas:
I - a versão 4.0 do volume I do Manual de Condutas Técnicas - MCT n° 03 - Requisitos, Materiais e Documentos Técnicos para Homologação de Tokens Criptográficos no Âmbito da ICP-Brasil. Anexo I desta Instrução Normativa, e
II - II - a versão 4.0 do volume II do Manual de Condutas Técnicas - MCT n° 03 - Procedimentos de Ensaios para Avaliação de Conformidade aos Requisitos Técnicos de Tokens Criptográficos no Âmbito da ICP-Brasil. Anexo II desta Instrução Normativa.
Art. 3º Esta Instrução Normativa entra em vigor em 1° de dezembro de 2021.
CARLOS ROBERTO FORTNER
MANUAL DE CONDUTAS TÉCNICAS 3 - VOLUME I
Requisitos, Materiais e Documentos Técnicos para Homologação de Tokens
Criptográficos no Âmbito da ICP-Brasil
Versão 4.0
10 de novembro de 2021
ANEXO I
CONTROLE DE ALTERAÇÕES
Versão atual |
Data de emissão |
Alterações realizadas |
|
IN ITI n° 18, de 10.11.2021 Versão 4.0 |
10/11/2021 |
Altera o item 2.2.9 Algoritmos criptográficos obrigatórios. Aprova a versão 4.0 consolidada. |
|
3.1 IN 08/2017 |
26/09/2017 |
Previsão de autonomia para o OCP definir os ensaios nas Avaliações de Manutenção de Credenciamento; e Ajuste na obrigatoriedade dos comandos APDU. |
3.0.r.50 |
22/11/07 |
Revisão geral para os requisitos de cartões criptográficos ICP e leitoras de cartões inteligentes. Exclusão dos requisitos detokenscriptográficos. Revisão estrutural do Manual de Condutas Técnicas incluindo no desenvolvimento do mesmo documento os requisitos técnicos para cartões criptográficos ICP, leitoras de cartões inteligentes e materiais a serem depositados para a execução do processo de homologação. |
2.0.r.6 |
07/06/06 |
Revisões de ambiente operacional (seção 2.1.6) Revisões de classe de operação para cartão e leitora (seção 3.5 REQUISITO III.20). Revisão das funcionalidades do papel de acesso "usuário" (seção 2.2.12 REQUISITO II.21). Inclusão do termo "Módulo criptográfico multiaplicação" no glossário. |
LISTA DE FIGURAS
Figura 1. Geradores de números aleatórios
Figura 2. Arquitetura de interoperabilidade de tokens criptográficos ISO 7816 e PC/SC
Figura 3. Componentes de tokens que devem atender aos requisitos de interoperabilidade especificados
LISTA DE TABELAS
Tabela 1. Áreas de atuação do padrão FIPS 140-2
Tabela 2. Conjunto mínimo de comandos básicos de interoperabilidade para módulos criptográficos.
Tabela 3. Quantidade de material e documentação técnica a serem depositados pela parte interessada junto ao LEA referente ao processo de homologação de token criptográfico.
1 INTRODUÇÃO
Este manual descreve os requisitos técnicos a serem observados no processo de homologação detokenscriptográficos no âmbito da Infraestrutura de Chaves Públicas Brasileira, a ICP-Brasil.
Para uma melhor compreensão do disposto neste documento, entenda-se portokenscriptográfico um hardware instalado no computador que utiliza uma conexão física do tipo USB, com capacidade de geração e armazenamento de chaves criptográficas assimétricas e processamento criptográfico assimétrico e armazenamento de certificados digitais voltados para utilização em uma Infraestrutura de Chaves Públicas (ICP).
1.1 Objetivo da homologação
O objetivo do processo de homologação detokenscriptográficos é propiciar a interoperabilidade e operação segura do serviço criptográfico ICP oferecido por umtokencriptográfico por meio da avaliação técnica de aderência aos requisitos técnicos definidos neste manual.
1.2 Descrição do processo de homologação
O processo de homologação é baseado em um conjunto de requisitos técnicos definidos neste manual que devem ser atendidos por umtokencriptográfico ICP para prover interoperabilidade e operação segura.
Estes requisitos técnicos são avaliados pela execução de ensaios de aderência aos requisitos técnicos. Para a realização destes ensaios, a parte interessada deve submeter ao processo de homologação um conjunto de materiais requisitados, efetuando o depósito destes materiais no LEA.
1.3 Escopo deste manual
O escopo dos requisitos técnicos e da avaliação detokenscriptográficos ICP se aplicam aos seguintes componentes do módulo criptográfico:
• componentes eletrônicos;
• firmware e softwares embarcados;
• interface de comunicação;
• Componentes de software:
• driver (software de controle) dotoken.
Em um Credenciamento Inicial e na Avaliação de Recertificação devem ser aplicados todos os ensaios definidos neste MCT. Em cada Avaliação de Manutenção, cabe ao OCP definir quais requisitos devem ser ensaiados. Uma Avaliação de Manutenção deve observar a proporção mínima de 20% (vinte por cento) do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 4 e de 33% (trinta e três por cento) do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 5. A avaliação de um requisito em uma Avaliação de Manutenção não impede sua reavaliação em Avaliações de Manutenção seguintes, mas ao longo das Avaliações da Manutenção o OCP deve garantir que todos os requisitos do Anexo I sejam avaliados.
O resultado do processo de homologação detokenscriptográficos ICP informa a aderência aos requisitos técnicos definidos neste manual.
1.4 Estruturação do MCT 3 - Volume I
Este documento (MCT 3 - Volume I) está estruturado da seguinte forma:
• Parte 1: Descreve os requisitos técnicos que devem ser verificados no processo de homologação detokenscriptográficos;
• Parte 2: Descreve os materiais que devem ser depositados para a execução do processo de homologação detokenscriptográficos;
• Referência Bibliográfica: Descreve as referências bibliográficas que foram utilizadas na elaboração deste manual.
2 PARTE 1 - REQUISITOS TÉCNICOS PARA HOMOLOGAÇÃO DE TOKENS CRIPTOGRÁFICOS NA ICP-BRASIL
2.1 Introdução
A parte 1 deste documento apresenta os requisitos técnicos que devem ser verificados no processo de homologação detokenscriptográficos.
Os requisitos técnicos descritos nesta parte englobam:
• Requisitos de segurança;
• requisitos de interoperabilidade;
• requisitos de gerenciamento;
• requisitos funcionais;
• requisitos de documentação.
2.2 Requisitos de Segurança
Esta seção descreve os requisitos mínimos de segurança que devem ser atendidos pelostokenscriptográficos.
Os requisitos de segurança foram elaborados com base em:
• Requisitos de segurança FIPS 140-2 nível 2 [FIPS PUB 140-2];
• requisitos de algoritmos obrigatórios;
• requisitos de PIN e PUK;
• requisitos de identificação de hardware, software e firmware.
O padrão FIPS 140-2 abrange onze áreas de atuação relacionadas ao projeto e implementação de um módulo criptográfico. As áreas de atuação definidas pelo padrão FIPS 140-2 são apresentadas na Tabela 1[FIPS PUB 140-2].
Tabela 1. Áreas de atuação do padrão FIPS 140-2
Seção |
Áreas de atuação do padrão FIPS 140-2 |
1 |
Especificação do módulo criptográfico |
2 |
Portas e interfaces do módulo criptográfico |
3 |
Papéis, serviços e autenticação |
4 |
Modelo de estado finito |
5 |
Segurança física |
6 |
Ambiente operacional |
7 |
Gerenciamento de chaves criptográficas |
8 |
Interferência e compatibilidade eletromagnética |
9 |
Auto-testes |
10 |
Design assurance |
11 |
Mitigação de outros ataques |
Das áreas de atuação definidas pelo padrão FIPS 140-2 e apresentadas na Tabela 1 apenas as 7 áreas seguintes foram consideradas na elaboração deste documento:
• Especificação do módulo criptográfico;
• papéis, serviços e autenticação;
• modelo de estado finito;
• segurança física;
• ambiente operacional;
• gerenciamento de chaves criptográficas;
• auto-testes.
Os demais requisitos de segurança (Algoritmos criptográficos obrigatórios, PIN e PUK, identificação de hardware,softwareefirmware) foram elaborados de forma a contextualizartokenscriptográficos e sua aplicação na ICP-Brasil.
A menos que seja explicitamente mencionado, o termo "módulo criptográfico" é equivalente ao termo "tokencriptográfico".
2.2.1 Delimitação do módulo criptográfico
DEFINIÇÃO: Um módulo criptográfico é composto por componentes dehardware,softwareefirmwareque implementam funções ou processos criptográficos delimitados por uma fronteira criptográfica.
DEFINIÇÃO: A fronteira criptográfica de um cartão criptográfico ICP é o perímetro que estabelece os limites físicos dos circuitos integrados contidos no cartão.
2.2.2 Documentação técnica do módulo criptográfico
Existem requisitos de documentação técnica, descritos a seguir, que devem ser apresentados no processo de homologação para todos os componentes de hardware, software e firmware relacionados à segurança da operação do módulo criptográfico.
REQUISITO I.1: A...
Para continuar a ler
PEÇA SUA AVALIAÇÃO