Certificados digitais para assinar objetos

A partir da V5R1, o iSeries AS/400 fornece suporte para a utilização de certificados para "assinar" digitalmente objetos e verificar as assinaturas digitais de objetos.  A assinatura digital de objetos fornece uma forma de assegurar a integridade do conteúdo de um objeto, bem como da fonte da origem de um objeto.  O suporte da assinatura de objetos aumenta as tradicionais ferramentas de sistema do iSeries para controlar quem pode alterar objetos.  Os controlos tradicionais não podem proteger um objeto de alterações não autorizadas quando o objeto estiver em trânsito na Internet ou em qualquer outra rede que não seja fidedigna, ou quando o objeto for guardado num sistema não iSeries.  Utilizar assinaturas digitais de objetos protege os objetos de alterações não autorizadas em situações semelhantes às descritas.

Colocar uma assinatura digital num objeto consiste em utilizar a chave privada de um certificado para adicionar um resumo matemático codificado dos dados existente num objeto.  A assinatura protege os dados de alterações não autorizadas. O objeto e o seu conteúdo não são codificados e tornados privados pela assinatura digital.  No entanto, o resumo propriamente dito é codificado para impedir alterações não autorizadas.  Quem quiser assegurar-se de que o objeto não foi modificado durante o trânsito e que foi originado numa fonte aceite e legítima, poderá utilizar a chave pública do certificado de assinatura para verificar a assinatura digital original.  Se a assinatura não corresponder, os dados podem ter sido alterados.  Nesse caso, evite utilizar o objeto e contacte o proprietário da assinatura para obter uma outra cópia do objeto assinado.

Se decidir que a utilização de assinaturas digitais se adequa às suas necessidades e políticas de segurança, deverá avaliar se deve utilizar certificados públicos versus emitir certificados privados.  Se pretender distribuir objetos a utilizadores num público mais vasto, deverá considerar utilizar certificados provenientes de uma Autoridade de Certificação (CA) pública devidamente conhecida.  Utilizar certificados públicos assegurará que outros possam verificar as assinaturas que colocar em objetos de uma forma fácil e pouco dispendiosa quando os distribuir.  No entanto, se pretender distribuir objetos apenas no interior da sua organização, talvez seja preferível utilizar o Gestor de Certificados Digitais (DCM) para operar a sua própria CA para emitir certificados sem ter de os adquirir a partir de uma CA externa.

A assinatura de um objeto representa o sistema que assinou o objeto e não um determinado utilizador desse sistema (apesar de o utilizador ter de possuir as autoridades adequadas para utilizar o certificado para assinar objetos). Como parte do processo de verificação de assinaturas digitais, terá de decidir em que Autoridade de Certificação deverá confiar e que certificados utilizar para assinar objetos. Se decidir confiar numa CA, poderá decidir se deverá confiar nas assinaturas que alguém criará utilizando um certificado emitido por uma CA fidedigna.  Quando decidir não confiar numa CA, também decidirá não confiar nos certificados que a CA emitir ou nas assinaturas que alguém criar utilizando esses certificados.

Valor de sistema Verificar restauro de objetos (QVFYOBJRST)

Se decidir efetuar a assinatura de objetos e a verificação da assinatura, uma das primeiras decisões importantes que terá de tomar será a determinação da importância das assinaturas para os objetos que vão ser restaurados para o sistema.  Poderá controlá-lo com o novo valor de sistema denominado QVFYOBJRST.  A predefinição deste valor de sistema permite que sejam restaurados objetos não assinados.  No entanto, assegura que os objetos assinados só podem ser restaurados se tiverem uma assinatura válida.  O sistema só define um objeto como assinado se o objeto tiver uma assinatura que seja fidedigna.  O sistema ignorará todas as outras assinaturas "não fidedignas" no objeto e tratará o objeto como se de faco não tivesse nenhuma assinatura.

Existem vários valores que poderá utilizar para o valor de sistema QVFYOBJRST, desde ignorar todas as assinaturas a requerer assinaturas válidas para todos os objetos que o sistema restaurar.  O valor de sistema só afectará os objetos executáveis que estiverem a ser restaurados, não afectando arquivos de backup ou de IFS.  Para saber mais informações sobre como utilizar este valor de sistema, consulte o tópico Localizador de Valores de Sistema no Information Center.

Poderá utilizar o Gestor de Certificados Digitais (DCM) para implementar o seu certificado e decisões de confiança da CA bem como gerir os certificados que utilizar para assinar objetos e para verificar as assinaturas de objetos.

Para obter mais informações sobre como utilizar o DCM para assinar objetos e verificar assinaturas de objetos, reveja os seguintes tópicos:

.

Assinar objetos

Existem dois métodos que pode utilizar para assinar objetos.  Pode escrever um programa que chame a API Sign Object ou pode utilizar o Gestor de Certificados Digitais (DCM) para assinar objetos.  Pode utilizar os certificados geridos no DCM para assinar qualquer objeto armazenado no...

.

Verificar assinaturas de objetos

Pode utilizar o Gestor de Certificados Digitais (DCM) para verificar a autenticidade das assinaturas digitais em objetos.  Quando verificar a assinatura, certifique-se de que os dados no objeto não foram alterados desde que o proprietário do objeto assinou o objeto. Pré-requisitos de...