A RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

O certificado digital

O diagrama a seguir modela o sub-cojunto da RFC 5280 referente aos perfis dos certificados digitais em conformidade com a especificação.

Identificadores das extensões padrão

Extensão	OID	Observações
Authority Key Identifier	2.5.29.35	Não-crítica obrigatoriamente
Subject Key Identifier	2.5.29.14	Não-crítica obrigatoriamente
Key Usage	2.5.29.15	Crítica por recomendação
Certificate Policies	2.5.29.32	Não-crítica
Policy Mappings	2.5.29.33	Crítica por recomendação; restrita a certificados de AC's
Subject Alternative Name	2.5.29.17	Não-crítica por recomendação
Issuer Alternative Name	2.5.29.18	Não-crítica por recomendação
Subject Directory Attributes	2.5.29.9	Não-crítica obrigatoriamente
Basic Constraints	2.5.29.19	Crítica obrigatoriamente em certificados de AC utilizados para validar assinaturas digitais; crítica ou não crítica nos demais casos
Name Constraints	2.5.29.30	Crítica obrigatoriamente; restrita a certificados de AC's
Policy Constraints	2.5.29.36	Crítica obrigatoriamente; restrita a certificados de AC's
Extended Key Usage	2.5.29.37	Crítica ou não crítica. Propósitos: id-kp-serverAuth: 1.3.6.1.5.5.7.3.1 id-kp-clientAuth: 1.3.6.1.5.5.7.3.2 id-kp-codeSigning: 1.3.6.1.5.5.7.3.3 id-kp-emailProtection: 1.3.6.1.5.5.7.3.4 id-kp-timeStamping: 1.3.6.1.5.5.7.3.8 id-kp-OCSPSigning: 1.3.6.1.5.5.7.3.9
CRL Distribution Points	2.5.29.31	Não crítica, mas recomendável
Inhibit anyPolicy	2.5.29.54	Crítica obrigatoriamente; restrita a certificados de AC's
Freshest CRL	2.5.29.46	Não-crítica

É de se notar que os certificados de AC atualmente emitidos pela ICP-Brasil não estão em conformidade com esta especificação. Por exemplo, o certificado mais recente da AC Raiz inclui somente as extensões: Subject Key Identifier, Key Usage, Basic Constraints, CRL Distribution Points e Certificate Policies, não incluindo as extensões Name Constraints, Policy Constraints e Inhibit anyPolicy.

Restrições da ICP-Brasil

Política de certificado da AC Raiz (DOC-ICP-01)

Basic Constraints: cA = TRUE; pathLenConstraint não utilizado;
Key Usage: bits keyCertSign e cRLSign ligados;
CRL Distribution Points: contém o endereço web da LCR;
Certificate Policies: especifica o OID 2.16.76.1.1.0 e o endereço web da DPC;
Subject Key Identifier: contém o hash da chave pública da AC Raiz

Requisitos mínimos das DPC's (DOC-ICP-04)

Authority Key Identifier: não crítica; deve conter o hash SHA-1 da chave pública da AC;
Key Usage: crítica; em certificados de assinatura somente os bits digitalSignature, nonRepudiation e keyEncipherment podem estar ligados; em certificados de sigilo, somente os bits keyEncipherment e dataEncipherment podem estar ativados;
Certificate Policies: não crítica; deve conter o OID e o endereço web da DPC;
CRL Distribution Points: não crítica; deve conter o endereço web da LCR;
Subject Alternative Name: não crítica; é obrigatório, porém, conter os atributos específicos dos certificados de entidade final da ICP-Brasil nos campos otherName;

Perfis dos certificados de AC (DOC-ICP-05)

Authority Key Identifier: não crítica; deve conter o hash SHA-1 da chave pública do emitente;
Subject Key Identifier: não crítica; deve conter o hash SHA-1 da chave pública da AC titular;
Key Usage: crítica; somente os bits keyCertSign e cRLSign devem estar ligados;
Certificate Policies: não crítica; deve conter o OID da AC titular, se esta emite certificados para outras AC's, ou o OID das PC que a AC titular implementa, se esta emitir certificados para entidades finais; deve incluir o endereço web da DPC;
Basic Constraints: crítica; campo cA = TRUE;
CRL Distribution Points: não crítica; deve conter o endereço web de publicação da LCR.

Atribuição de OID's para tipos de certificados (DOC-ICP-04.01)

OID	Tipo de certificado
2.16.76.1.2.1.n	Identificação de campos associados a Políticas de Certificados do tipo A1
2.16.76.1.2.2.n	Identificação de campos associados a Políticas de Certificados do tipo A2
2.16.76.1.2.3.n	Identificação de campos associados a Políticas de Certificados do tipo A3
2.16.76.1.2.4.n	Identificação de campos associados a Políticas de Certificados do tipo A4
2.16.76.1.2.101.n	Identificação de campos associados a Políticas de Certificados do tipo S1
2.16.76.1.2.102.n	Identificação de campos associados a Políticas de Certificados do tipo S2
2.16.76.1.2.103.n	Identificação de campos associados a Políticas de Certificados do tipo S3
2.16.76.1.2.104.n	Identificação de campos associados a Políticas de Certificados do tipo S4
2.16.76.1.2.201.n	Identificação de campos associados a Políticas de Certificados de Autoridade Certificadora

Extensões da ICP-Brasil (DOC-ICP-04)

Identificadores das extensões padrão

OID	Extensão	Classe de mapeamento
2.16.76.1.3.1	Titular do certificado	Pessoa
2.16.76.1.3.6	CEI do titular (pessoa física)	InscricaoINSS
2.16.76.1.3.5	Inscrição eleitoral do titular	PessoaFisica
2.16.76.1.3.4	Responsável pelo certificado	Pessoa
2.16.76.1.3.2	Nome do responsável pelo certificado	Responsavel
2.16.76.1.3.3	CNPJ do titular do certificado (pessoa jurídica)	Empresa
2.16.76.1.3.7	CEI do titular do certificado (pessoa jurídica)	InscricaoINSS
2.16.76.1.3.8	CNPJ do titular (aplicação e equipamento)	Empresa

Formato posicional das OID's compostas

Pessoa

Início	Tamanho	Descrição
0	8	Data de nascimento do titular, no formato ddmmaaa
8	11	Cadastro de Pessoa Física (CPF) do titular
19	11	Número de Identificação Social - NIS (PIS, PASEP ou CI)
30	15	Número do Registro Geral - RG do titular
45	6	Siglas do órgão expedidor do RG e respectiva UF

Inscrição Eleitoral

Início	Tamanho	Descrição
0	12	Número de inscrição do Título de Eleitor
12	3	Zona Eleitoral
15	4	Seção eleitoral
19	22	O município e a UF do Título de Eleitor

A lista de certificados revogados

O diagrama a seguir modela o sub-cojunto da RFC 5280 referente aos perfis das listas de certificados revogados publicadas em conformidade com a especificação.

Identificadores das extensões da CRL

Extensão	OID	Observações
Authority Key Identifier	2.5.29.35	Não-crítica obrigatoriamente
Issuer Alternative Name	2.5.29.18	Não-crítica por recomendação
CRLNumber	2.5.29.20	Não crítica obrigatoriamente
Delta CRL Indicator	2.5.29.20	Crítica obrigatoriamente (caso a LCR seja uma atualização)
Issuing Distribution Point	2.5.29.28	Crítica mas não requerida para conformidade.
Freshest CRL	2.5.29.46	Não-crítica obrigatoriamente

Identificadores das extensões das entradas da CRL

Extensão	OID	Observações
Reason Code	2.5.29.21	Não-crítica
Invalidity Date	2.5.29.24	Não-crítica
Certificate Issuer	2.5.29.29	Crítica obrigatoriamente e é recomendável seu uso pelas aplicações, caso a LCR seja uma lista indireta.

Restrições da ICP-Brasil

Política de certificado da AC Raiz (DOC-ICP-01)

Authority Key Identifier: contém o mesmo valor da extensão Subject Key Identifier do certificado da AC Raiz;
CRL Number: contém um número seqüencial para cada LCR emitida;

Requisitos mínimos das DPC's (DOC-ICP-04) e políticas de certificados de AC (DOC-ICP-05)

Authority Key Identifier: crítica; deve conter o hash SHA-1 do assinante;
CRL Number: contém um número seqüencial para cada LCR emitida;