Um Certification Practice Statement (CPS) é um documento que especifica as práticas que uma Autoridade Certificadora (AC) utiliza para emitir certificados em sua infra-estrutura de chave pública (PKI).

Em geral, um certificado de chave pública ou simplesmente certificado, associa a chave pública de uma entidade (seja uma pessoa, organização ou um recurso de numeração, no caso do RPKI) com um conjunto de dados que identificam dita entidade (nomes, telefones, endereços IP ou sistemas autônomos). Essa entidade é conhecida como o "sujeito" do certificado.

Um "usuário" de um certificado é uma outra entidade que precisa usar os dados e a chave pública especificados em um certificado. O usuário de um certificado acredita na veracidade da associação descrita pelo certificado. O uso mais comum desses certificados é, sem dúvida alguma, a verificação de assinaturas digitais.

Um CPS em si não é um contrato, mas é de fundamental importância já que proporciona uma linha de base sobre a qual podem ser realizadas auditorias de procedimentos de gestão de uma autoridade certificadora.

Um CPS deve conter informações detalhadas sobre:

  • Os procedimentos usados para emitir certificados, incluindo  os procedimentos utilizados para verificar a associação entre uma entidade e uma chave pública. No caso do RPKI, isto refere a como é verificada a autoridade de uso de determinado recurso de numeração IP.
  • O detalhe do ciclo de vida dos certificados emitidos, isto é, como solicitar um certificado, como é emitido, o seu tempo de prescrição, como é renovado e como e por que  pode ser cancelado.
  • Aspectos técnicos como serem o detalhe das instalações, os controles de acesso físico as mesmas, os papeis nos aspectos operacionais, discriminação das responsabilidades e os controles de auditoria a serem implementados.
  •  Aspectos técnicos relativos à geração de material criptográfico e gestão das chaves privadas.

Um documento de Certificate Policy (CP) em geral, trata dos mesmos tópicos que um CPS, mas desde um ponto de vista mais abstrato e menos operacional. Se tomarmos como exemplo o controle de acesso físico, um CP poderá enunciar que "Dever-se-á fazer o controle de acesso biométrico através de impressão digital de todo o pessoal".

Por sua vez, um CPS contem detalhes puramente operacionais como por exemplo, quais equipamentos de controle de acesso serão utilizados ou quais algoritmos serão usados para proteger uma chave. Continuando com o exemplo acima, o CPS deverá especificar que provedor de equipamentos de controle de acesso biométrico será utilizado e como serão tomadas as impressões digitais do pessoal.

Os CPs, por serem documentos de políticas e de especificação de requerimentos mínimos, muitas vezes são comuns a diferentes CAs e podem por isso importantes quando é procurada a interoperabilidade entre diferentes CAs. No entanto, os CPS são específicos para cada CAs.

Status atual do CPS do RPKI do LACNIC

Atualmente o LACNIC está trabalhando na elaboração do CPS para a autoridade certificadora do RPKI. O mesmo encontra-se muito avançado e está disponível um rascunho do mesmo.

A confiança da comunidade nos certificados emitidos pela autoridade certificadora do LACNIC para o RPKI é fundamental para começar a utilizar os mesmos na validação do uso de recursos. Devido a que essa confiança está em grande parte associada à opinião da comunidade sobre os aspectos detalhados no CPS, o LACNIC convida à comunidade a enviar suas opiniões, comentários e idéias em geral sobre o mesmo.

Como participar no desenvolvimento do CPS?

O rascunho do CPS está disponível através do link

A comunidade está convidada a enviar seus aportes sobre o documento CPS do RPKI do LACNIC, através do seguinte e-mail: comments-cps-rpki@lacnic.net