• Criado por Usuário desconhecido (rodrigo.dias) em jul 04, 2017

O acesso às chaves de criptografia utilizadas no sistema D-TEF é protegido pelo próprio sistema. As duas chaves de usuários digitadas inicialmente na instalação são utilizadas na geração de uma chave de criptografia de chave (KEK) que é gravada com a biblioteca de criptografia CryptoAPI do Sistema Operacional Windows. A chave de criptografia dos dados (DEK) é gerada a partir de um número randômico e então criptografada com a KEK, utilizando o algoritmo AES 128 bits. A DEK e a KEK são armazenadas separadamente e nunca são distribuídas. Essas chaves são gerenciadas pelo sistema e não existe interface para visualizá-las. Caso as chaves sejam perdidas ou corrompidas, os dados criptografados não poderão mais ser lidos.
As chaves de usuário utilizadas na instalação do servidor D-TEF devem ser informadas por duas pessoas separadamente, ou seja, cada usuário deverá digitar a sua própria chave sem o conhecimento da outra pessoa. Essas chaves não devem ser repassadas a outras pessoas e devem ser guardadas de forma segura no menor número possível de locais. Cada usuário (custodiante da chave) deverá preencher o formulário "Formulário de Responsabilidade pela Chave de Criptografia", anexo deste documento, indicando que está ciente das responsabilidades advindas do conhecimento desta chave.
Essas chaves devem ser complexas, formadas por combinações de letras maiúsculas, minúsculas, dígitos e caracteres especiais. O próprio aplicativo ConfiguraDTEF.exe informa se a chave é complexa e não permite que se configure uma chave simples.
As chaves devem ser trocadas anualmente, em caso de troca de custodiante ou ainda em qualquer outro caso de suspeita de quebra de confidencialidade da chave, como a saída da empresa de algum funcionário que tinha conhecimento da chave. Para realizar este processo, deve ser executado o aplicativo SegurancaInformacoes.exe, que realiza a troca das chaves KEK e DEK. Durante essa troca, as chaves antigas são apagadas. O D-TEF impede a substituição não autorizada de chaves limitando o acesso aos aplicativos ConfiguraDTEF.exe e SegurancaInformacoes.exe, que podem ser executados somente com a permissão do administrador do sistema e têm sua execução registrada no relatório de segurança do D-TEF.
(Referências: PA-DSS 2.4, 2.5 e 2.5.1-2.5.7)

  • Sem rótulos