(DOU de 30/08/2017)
Aprova a Versão 4.2 do Manual de Conduta Técnica 1 (MCT – 01) – Requisitos, Materiais e Documentos Técnicos para Homologação de Cartões Criptográficos (Smart Cards) no Âmbito da ICP-Brasil.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de fevereiro de 2017, pelo art. 1° da Resolução n° 33, do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo item 2.4 do anexo da Resolução n° 96, de 27 de setembro de 2012,
CONSIDERANDO a necessidade de atualizar os processos de homologação de cartões criptográficos no âmbito da ICP-Brasil,
RESOLVE:
Art. 1° Alterar o item 1.3, do MCT-01, volume I, versão 4.1, que passa a vigorar com a seguinte redação:
1.3. Escopo deste manual
Os requisitos técnicos para os cartões criptográficos ICP-BRASIL são aplicados em todos os elementos/componentes (de software e hardware) envolvidos diretamente nas operações que envolvem manipulação dos certificados ICP-Brasil contidos no cartão.
Sendo assim, o escopo dos requisitos técnicos e da avaliação de cartões criptográficos ICP-BRASIL se aplica aos seguintes componentes do módulo criptográfico
Componentes eletrônicos (hardware).
Sistema operacional embarcado (Card Operating System – COS).
Funcionalidade PKI.
Biblioteca de software disponível para comunicação com o cartão criptográfico ICP-BRASIL (middleware).
Em um Credenciamento Inicial e na Avaliação de Recertificação devem ser aplicados todos os ensaios definidos neste MCT. Em cada Avaliação de Manutenção, cabe ao OCP definir quais requisitos devem ser ensaiados. Uma Avaliação de Manutenção deve observar a proporção mínima de 20 (vinte) porcento do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 4 e de 33 (trinta e três) porcento do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 5. A avaliação de um requisito em uma Avaliação de Manutenção não impede sua reavaliação em Avaliações de Manutenção seguintes, mas ao longo das Avaliações da Manutenção o OCP deve garantir que todos os requisitos do Anexo I sejam avaliados.
Art. 2° Alterar o REQUISITO-MC III.1, do item 2.3.2, do MCT-01, volume I, versão 4.1, que passa a vigorar com a seguinte redação:
REQUISITO-MC III.1: Um módulo criptográfico deve seguir uma estrutura de comandos e respostas APDU (Application Protocol Data Unit) conforme os requisitos e as convenções definidas no padrão ISO/IEC 7816-4:2005.
Art. 3° Alterar o REQUISITO-MC III.2, do item 2.3.3, do MCT-01, volume I, versão 4.1, que passa a vigorar com a seguinte redação:
REQUISITO-MC III.2: Um módulo criptográfico deve suportar, no mínimo, o conjunto de comandos apresentados na Tabela 3.
|
Comando |
Definição e escopo | Exemplo (ISO 7816-4) |
| 1 |
Comando para leitura de dados de um arquivo binário, iniciando a leitura de uma posição (offset) especificada por um parâmetro passado via comando. |
READ BINARY |
| 2 | Comando para recuperar ou ler objetos de dados. | GET DATA |
| 3 | Comando para armazenar ou escrever objetos de dados. | PUT DATA |
| 4 | Comando para selecionar um arquivo. | SELECT FILE |
| 5 | Comando para comparar um segredo enviado via interface (PIN, por exemplo) com um valor de referência já armazenado no módulo criptográfico. | VERIFY |
| 6 | Comando para autenticar uma entidade externa perante um módulo criptográfico. | EXTERNAL AUTHENTICATE |
| 7 | Comando para requerer do módulo criptográfico um número randômico (desafio – “challenge”) para ser usado posteriormente para fins de autenticação. | GET CHALLENGE |
Tabela 3: Conjunto mínimo de comandos para módulos criptográficos
Art. 4° Alterar o REQUISITO-MW IV.3, do item 2.4.2, do MCT-01, volume I, versão 4.1, que passa a vigorar com a seguinte redação:
REQUISITO-MW IV.3: Os seguintes requisitos funcionais de exportação e importação devem estar disponíveis por invocação via middleware:
Importar cadeia de certificação para o módulo criptográfico.
Importar certificado digital para o módulo criptográfico.
Exportar chave criptográfica assimétrica pública do módulo criptográfico.
Exportar certificado digital do módulo criptográfico.
Exportar cadeia de certificação do módulo criptográfico.
Art. 5° Incluir no MCT-01, volumes I e II, versão 4.1, o Anexo I – Requisitos para a Avaliação de Manutenção, com a seguinte redação:
Art. 6° Alterar o item 1, do MCT-01, volume II, versão 4.1, que passa a vigorar com a seguinte redação:
Este documento descreve os procedimentos de ensaios a serem aplicados no processo de homologação de cartões criptográficos (smartcards) no âmbito da Infraestrutura de Chaves Públicas Brasileira, a ICP-Brasil.
Os procedimentos de ensaio se referem ao conjunto de métodos que serão usados para avaliar se cartões criptográficos estão ou não em conformidade com os requisitos técnicos definidos pelo Manual de Condutas Técnicas 1 – Volume I.
Em um Credenciamento Inicial e na Avaliação de Recertificação devem ser aplicados todos os ensaios definidos neste MCT.
Em cada Avaliação de Manutenção, cabe ao OCP definir quais requisitos devem ser ensaiados. Uma Avaliação de Manutenção deve observar a proporção mínima de 20 (vinte) porcento do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 4 e de 33 (trinta e três) porcento do total dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no modelo 5. A avaliação de um requisito em uma Avaliação de Manutenção não impede sua reavaliação em Avaliações de Manutenção seguintes, mas ao longo das Avaliações da Manutenção o OCP deve garantir que todos os requisitos do Anexo I sejam avaliados.
Para uma melhor compreensão do disposto neste documento, entenda-se por cartão criptográfico um cartão de circuito integrado (Integrated Circuit Card – ICC) com capacidade de geração e armazenamento de chaves criptográficas assimétricas e processamento criptográfico assimétrico e armazenamento de certificados digitais voltados para utilização em uma Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Art. 7° Fica aprovada a versão 4.2, volumes I e II, do documento MCT-01 – REQUISITOS, MATERIAIS E DOCUMENTOS TÉCNICOS PARA HOMOLOGAÇÃO DE CARTÕES CRIPTOGRÁFICOS (SMART CARDS) NO ÂMBITO DA ICP-BRASIL.
§ 1° As demais cláusulas do referido documento, nas suas versões imediatamente anteriores, integram a presente versão e mantêm-se válidas.
§ 2° O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítio http://www.iti.gov.br.
Art. 8° Esta Instrução Normativa entra em vigor na data de sua publicação.
GASTÃO JOSÉ DE OLIVEIRA RAMOS