INSTRUÇÃO NORMATIVA N
o
07, DE 21 DE AGOSTO DE 2017.
(REPUBLICADA)
APROVA A VERSÃO 4.2 DO MANUAL DE
CONDUTA TÉCNICA 1 (MCT - 01) -
REQUISITOS, MATERIAIS E
DOCUMENTOS TÉCNICOS PARA
HOMOLOGAÇÃO DE CARTÕES
CRIPTOGRÁFICOS (SMART CARDS) NO
ÂMBITO DA ICP-BRASIL.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA
INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo
I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33, do Comitê Gestor
da ICP-Brasil, de 21 de outubro de 2004, e pelo item 2.4 do anexo da Resolução nº 96, de 27 de
setembro de 2012,
CONSIDERANDO a necessidade de atualizar os processos de homologação de cartões
criptográficos no âmbito da ICP-Brasil,
RESOLVE:
Art. 1º Alterar o item 1.3, do MCT-01, volume I, versão 4.1, que passa a vigorar com a seguinte
redação:
1.3. Escopo deste manual
Os requisitos técnicos para os cartões criptográficos ICP-BRASIL são aplicados em todos os
elementos/componentes (de software e hardware) envolvidos diretamente nas operações que
envolvem manipulação dos certificados ICP-Brasil contidos no cartão.
Sendo assim, o escopo dos requisitos técnicos e da avaliação de cartões criptográficos ICP-
BRASIL se aplica aos seguintes componentes do módulo criptográfico:
• Componentes eletrônicos (hardware).
• Sistema operacional embarcado (Card Operating System – COS).
• Funcionalidade PKI.
• Biblioteca de software disponível para comunicação com o cartão criptográfico
ICP-BRASIL (middleware).
Em um Credenciamento Inicial e na Avaliação de Recertificação devem ser aplicados todos
os ensaios definidos neste MCT. Em cada Avaliação de Manutenção, cabe ao OCP definir
quais requisitos devem ser ensaiados. Uma Avaliação de Manutenção deve observar a
proporção mínima de 20 (vinte) porcento do total dos requisitos previstos no Anexo I deste
MCT para cada avaliação de manutenção no modelo 4 e de 33 (trinta e três) porcento do total
dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no
modelo 5. A avaliação de um requisito em uma Avaliação de Manutenção não impede sua
reavaliação em Avaliações de Manutenção seguintes, mas ao longo das Avaliações da
Manutenção o OCP deve garantir que todos os requisitos do Anexo I sejam avaliados.
Art. 2º Alterar o REQUISITO-MC III.1, do item 2.3.2, do MCT-01, volume I, versão 4.1, que passa
a vigorar com a seguinte redação:
REQUISITO-MC III.1: Um módulo criptográfico deve seguir uma estrutura de comandos e
respostas APDU (Application Protocol Data Unit) conforme os requisitos e as convenções
definidas no padrão ISO/IEC 7816-4:2005.
Art. 3º Alterar o REQUISITO-MC III.2, do item 2.3.3, do MCT-01, volume I, versão 4.1, que passa
a vigorar com a seguinte redação:
REQUISITO-MC III.2: Um módulo criptográfico deve suportar, no mínimo, o conjunto de
comandos apresentados na Tabela 3.
Comando Definição e escopo
Exemplo
(ISO 7816-4)
1
Comando para leitura de dados de um arquivo
binário, iniciando a leitura de uma posição (offset)
especificada por um parâmetro passado via
comando.
READ BINARY
2
Comando para recuperar ou ler objetos de dados.
GET DATA
3
Comando para armazenar ou escrever objetos de
dados. PUT DATA
4 Comando para selecionar um arquivo. SELECT FILE
5
Comando para comparar um segredo enviado via
interface (PIN, por exemplo) com um valor de
referência já armazenado no módulo criptográfico.
VERIFY
6
Comando para autenticar uma entidade externa
perante um módulo criptográfico.
EXTERNAL
AUTHENTICATE
7
Comando para requerer do módulo criptográfico um
número randômico (desafio – “challenge”) para ser
usado posteriormente para fins de autenticação.
GET
CHALLENGE
Tabela 3: Conjunto mínimo de comandos para módulos criptográficos
Art. 4º Alterar o REQUISITO-MW IV.3, do item 2.4.2, do MCT-01, volume I, versão 4.1, que passa
a vigorar com a seguinte redação:
REQUISITO-MW IV.3: Os seguintes requisitos funcionais de exportação e importação
devem estar disponíveis por invocação via middleware:
• Importar cadeia de certificação para o módulo criptográfico.
• Importar certificado digital para o módulo criptográfico.
• Exportar chave criptográfica assimétrica pública do módulo criptográfico.
• Exportar certificado digital do módulo criptográfico.
• Exportar cadeia de certificação do módulo criptográfico.
Art. 5º Incluir no MCT-01, volumes I e II, versão 4.1, o Anexo I - Requisitos para a Avaliação de
Manutenção, com a seguinte redação:
REQUISITO Quantidade
de ensaios
REQUISITO-MC II.1 2
REQUISITO-MC II.2 3
REQUISITO-MC II.3 4
REQUISITO-MC II.4 3
REQUISITO-MC II.5 2
REQUISITO-MC II.6 2
REQUISITO-MC II.7 4
REQUISITO-MC II.8 3
REQUISITO-MC II.9 3
REQUISITO-MC II.10 3
REQUISITO-MC II.11 3
REQUISITO-MC II.12 2
REQUISITO-MC II.13 3
REQUISITO-MC II.14 3
REQUISITO-MC II.15 2
REQUISITO-MC II.16 4
REQUISITO-MC II.17 6
REQUISITO-MC II.18 4
REQUISITO-MC II.19 3
REQUISITO-MC II.20 3
REQUISITO-MC II.21 4
REQUISITO-MC II.22 3
REQUISITO-MC II.23 3
REQUISITO-MC II.24 3
REQUISITO-MC II.25 3
REQUISITO-MC III.5 2
REQUISITO-MC III.6 3
Art. 6º Alterar o item 1, do MCT-01, volume II, versão 4.1, que passa a vigorar com a seguinte
redação:
Este documento descreve os procedimentos de ensaios a serem aplicados no processo de
homologação de cartões criptográficos (smartcards) no âmbito da Infraestrutura de Chaves
Públicas Brasileira, a ICP-Brasil.
Os procedimentos de ensaio se referem ao conjunto de métodos que serão usados para avaliar
se cartões criptográficos estão ou não em conformidade com os requisitos técnicos definidos
pelo Manual de Condutas Técnicas 1 - Volume I.
Em um Credenciamento Inicial e na Avaliação de Recertificação devem ser aplicados todos
os ensaios definidos neste MCT. Em cada Avaliação de Manutenção, cabe ao OCP definir
quais requisitos devem ser ensaiados. Uma Avaliação de Manutenção deve observar a
proporção mínima de 20 (vinte) porcento do total dos requisitos previstos no Anexo I deste
MCT para cada avaliação de manutenção no modelo 4 e de 33 (trinta e três) porcento do total
dos requisitos previstos no Anexo I deste MCT para cada avaliação de manutenção no
modelo 5. A avaliação de um requisito em uma Avaliação de Manutenção não impede sua
reavaliação em Avaliações de Manutenção seguintes, mas ao longo das Avaliações da
Manutenção o OCP deve garantir que todos os requisitos do Anexo I sejam avaliados.
Para uma melhor compreensão do disposto neste documento, entenda-se por cartão
criptográfico um cartão de circuito integrado (Integrated Circuit Card – ICC) com
capacidade de geração e armazenamento de chaves criptográficas assimétricas e
processamento criptográfico assimétrico e armazenamento de certificados digitais voltados
para utilização em uma Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Art. 7º Fica aprovada a versão 4.2, volumes I e II, do documento MCT-01 - REQUISITOS,
MATERIAIS E DOCUMENTOS TÉCNICOS PARA HOMOLOGAÇÃO DE CARTÕES
CRIPTOGRÁFICOS (SMART CARDS) NO ÂMBITO DA ICP-BRASIL.
§ 1º As demais cláusulas do referido documento, nas suas versões imediatamente anteriores,
integram a presente versão e mantêm-se válidas.
§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítio
http://www.iti.gov.br.
Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação.
GASTÃO JOSÉ DE OLIVEIRA RAMOS
Republicada por inclusão da Tabela no Art. 5º, no D.O.U. de 30 de agosto de 2017, Seção 1, págs. 1
e 2.
