apostila cartilha eletronica ass. digital

Assinatura Digital de Documentos Eletrnicos no Brasil: Conceitos Bsicos e Infraestrutura

Apresentao

A utilizao de documentos em papel, com aposio de assinaturas manuscritas ou impresses digitais, constitui prtica que atravessa geraes. As civilizaes aprenderam, por fora da tradio, a conferir status de confiana aos documentos assim firmados. Os recentes avanos da tecnologia da informao e comunicao, contudo, produziram instrumentos adequados modernizao destes procedimentos. Novidades tecnolgicas na gesto e segurana de documentos eletrnicos vm lanando uma nova perspectiva sobre o tema, gerando debates, projetos e iniciativas variadas. No Brasil, a criao da Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), atravs da Medida Provisria 2.200-2/2001, representou um marco histrico para a nao ao conferir eficcia probante aos documentos eletrnicos assinados digitalmente. Como resultado, a substituio de documentos fsicos por equivalentes eletrnicos vem ganhando ateno crescente no pas. Diversas iniciativas governamentais - como a Lei n 11.419, de 19 de dezembro de 2006, que trata da informatizao do processo judicial, e a Lei n 11.382, de 6 de dezembro de 2006, que trata de alienao judicial pela internet (leilo de bens penhorados) - j requerem o uso de certificao digital e fomentam a adoo dessas novas tecnologias. Entretanto, toda a legislao e tecnologia do mundo so insuficientes para se usufruir de seus benefcios se houver escassez de um componente fundamental: a informao. O que um certificado digital? O que assinatura digital? O que carimbo do tempo? Estas so apenas algumas das perguntas encontradas neste material, com respostas didticas e objetivas. Desejamos a voc uma boa leitura e esperamos que esta iniciativa contribua para uma expanso ainda maior do uso de documentos eletrnicos seguros no nosso pas.

Softplan/Poligraph - Todos os direitos reservados

Sumrio

O que um certificado digital? O que preciso para se obter um certificado digital? O que uma Autoridade de Registro? O que uma Autoridade Certificadora? O que a Autoridade Certificadora Raiz? O que uma Infraestrutura de Chaves Pblicas (ICP)? O que a ICP-Brasil? O que um documento eletrnico seguro? O que assinatura digital? Como produzida e validada uma assinatura digital? O que carimbo do tempo? Qual a vantagem de se aplicar um carimbo do tempo nas assinaturas digitais? De que forma o carimbo do tempo garante a data e hora correta da assinatura? O que preciso fazer para aplicar um carimbo do tempo nas minhas assinaturas? Preciso de um certificado digital especial? Sou obrigado a usar carimbo do tempo nas assinaturas digitais? O que acontece se eu optar por no o utilizar?

4 5 6 7 7 7 8 8 9 9 10

10

11

11

12


Sumrio

O que o Padro Brasileiro de Assinatura Digital? O que o Padro Brasileiro de Carimbo do Tempo? Quais so as motivaes para a criao do Padro Brasileiro de Assinatura Digital e de Carimbo do Tempo? A partir de quando estes padres entraro em vigor? O Sistema SAJ vai mudar em funo da aprovao destes novos padres? O que minha organizao precisa fazer para utilizar o carimbo do tempo? Onde posso obter mais informaes sobre assinatura digital e carimbo do tempo?

13 13

14 14

15

16

16


O que um certificado digital?

Um certificado digital um documento de identidade eletrnico que tem o objetivo de identificar uma pessoa, empresa ou sistema computacional no mundo dos computadores ou da internet. Um certificado digital possui informaes sobre a entidade para a qual foi emitido (no caso de uma pessoa, possui o seu nome, CPF etc.). Alm destes dados, contm uma sequncia de cdigo conhecida como chave pblica. Associada ao certificado digital, existe uma segunda sequncia de cdigo, esta secreta, denominada de chave privada. Esta chave armazenada em local fsico protegido, de preferncia um smartcard ou token. Por ser exclusiva, utilizada para gerar assinaturas digitais que no podem ser imitadas. A chave pblica utilizada para certificar-se de que um determinado arquivo foi assinado pelo detentor da chave privada daquele certificado. Certificados digitais so utilizados para diversos fins, tais como assinaturas de documentos eletrnicos, autenticao perante sistemas e sigilo de informaes, entre outros.

voltar ao sumrio Softplan/Poligraph - Todos os direitos reservados

4

O que preciso para se obter um certificado digital?

Primeiramente, o interessado em um certificado digital precisa gerar uma requisio e juntar alguns documentos, tais como cpia do seu RG, CPF e comprovante de residncia. Esta requisio normalmente feita pelo prprio interessado na pgina web de uma Autoridade Certificadora e encaminhada, via internet, a uma Autoridade de Registro (AR). Posteriormente, o interessado deve se dirigir pessoalmente AR, levando consigo os documentos solicitados. Na AR, os agentes de registro conferem os dados e, se tudo estiver correto, enviam a requisio do certificado para a Autoridade Certificadora, responsvel por sua emisso.


5

O que uma Autoridade de Registro?

Uma Autoridade de Registro (AR) uma entidade que verifica os dados do solicitante de um certificado digital. Assim como uma AC, as AR precisam ser credenciadas e periodicamente auditadas pela AC-Raiz. Alm da conferncia dos dados, a AR tem a obrigao de verificar pessoalmente a identidade do titular. Isso feito por funcionrios da AR especialmente treinados para este fim, conhecidos como agentes de registro. Os agentes de registro, aps conferirem os dados diante do titular, encaminham Autoridade Certificadora a requisio do certificado. Aps a emisso do certificado pela AC, o certificado entregue ao solicitante pelos prprios agentes de registro ou atravs de uma consulta a uma pgina web. De posse de certificado, o titular pode assinar documentos eletrnicos.


6

O que uma Autoridade Certificadora?

Uma autoridade certificadora uma entidade que emite certificados digitais. No Brasil, a autoridade certificadora (AC) precisa ser credenciada e periodicamente auditada pela Autoridade Certificadora Raiz (AC-Raiz). Um certificado digital s emitido pela AC aps a conferncia dos dados do usurio, que feita por Autoridades de Registro (AR).

O que a Autoridade Certificadora Raiz?

a entidade certificadora de mais alto nvel do sistema de certificao digital. nela que todos confiamos e a partir dela que criada toda a rede de confiana de todos os certificados emitidos no mbito da ICP-Brasil. Todas as entidades integrantes da ICP-Brasil precisam de autorizao da AC-Raiz para funcionar.

O que uma Infraestrutura de Chaves Pblicas (ICP)?

um conjunto de normas, procedimentos e servios computacionais que permitem a emisso e a utilizao confivel de certificados digitais.


7

O que a ICP-Brasil?

A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) um conjunto de normas, padres, procedimentos e entidades que tm por objetivo manter, no Brasil, uma estrutura segura para a emisso de certificados digitais. A ICP-Brasil governada por um Comit Gestor (CG), formado por representantes do governo e da sociedade civil, e por uma Comisso Tcnica (Cotec), que tem por objetivo auxiliar os membros do Comit Gestor. Alm dessas duas comisses, faz parte da ICP-Brasil o Instituto Nacional de Tecnologia da Informao (ITI), responsvel por implementar a AC-Raiz e de credenciar e auditar todas as entidades integrantes da infraestrutura. Atualmente, podem ser credenciadas na ICPBrasil autoridades certificadoras (AC), autoridades de registro (AR), autoridades de carimbo do tempo (ACT), prestadores de servio de suporte (PSS) e auditores independentes.

O que um documento eletrnico seguro?

um documento eletrnico assinado digitalmente por um signatrio com um certificado digital emitido por autoridade certificadora credenciada pela ICP-Brasil. O documento eletrnico seguro e sua assinatura no podem ser modificados sem que essas modificaes sejam detectadas pelo destinatrio do documento. Um documento eletrnico seguro equivalente a um documento que teve sua firma reconhecida por um cartrio.


8

O que assinatura digital?

Uma assinatura digital o conjunto de dados que so gerados a partir do processo de assinatura de um arquivo. A partir da assinatura digital, possvel verificar a integridade e a autoria de um documento eletrnico. Os dados de uma assinatura digital podem estar anexos ao documento eletrnico ou em outro arquivo externo.

Como produzida e validada uma assinatura digital?

Para assinar ou verificar a integridade e autoria de um documento eletrnico so usadas respectivamente a chave privada e as informaes contidas do certificado digital do signatrio. A chave para assinar, conhecida como chave privada, mantida secreta e armazenada em local fsico protegido, de preferncia um smartcard ou token. A chave para verificar a assinatura, denominada chave pblica, disponibilizada no prprio documento a todos os destinatrios (pessoas e sistemas) que precisam verificar a assinatura. Assim, na prtica, utiliza-se, para assinar o documento, um software assinador e o smartcard; e para verificar a assinatura desse documento, um software validador e a chave pblica do certificado digital do signatrio, inclusa no documento eletrnico. Para impedir que algum de posse do smartcard do signatrio possa assinar documentos em seu nome, uma senha utilizada. Essa senha conhecida como nmero de identificao pessoal ou, em Ingls, Personal Identification Number (PIN). Sempre que o signatrio precisar assinar um documento, o sistema de assinatura solicitar o PIN do smartcard. Com o PIN, o sistema de assinatura pode invocar o smartcard para gerar a assinatura de um documento. O smartcard deve ser de uso exclusivo do signatrio e nunca cedido a terceiros.


9

O que carimbo do tempo?

uma informao de data e hora segura aplicada a uma assinatura digital. Assim, o carimbo do tempo serve como evidncia de que a assinatura de um documento eletrnico era vlida naquela data e hora.

Qual a vantagem de se aplicar um carimbo do tempo nas assinaturas digitais?

A presena de um carimbo de tempo prorroga a vida da assinatura de um documento eletrnico, uma vez que possvel verific-la com base na data em que a assinatura foi produzida. Uma assinatura sem um carimbo s permanece vlida enquanto o certificado do signatrio vlido. No entanto, com a aposio de um carimbo assinatura, mesmo que o certificado do assinante deixe de ser vlido aps a assinatura do documento - seja por revogao ou expirao -, a verificao da assinatura feita com base na data e hora em que foi produzida. Com o carimbo, a assinatura mantm-se vlida enquanto o carimbo vlido. Neste sentido, devem ser periodicamente adicionados novos carimbos assinatura se for necessrio preserv-la por longo prazo.


10

De que forma o carimbo do tempo garante a data e hora correta da assinatura?

Na prtica, um carimbo de tempo um documento eletrnico assinado que contm o hash de sua respectiva assinatura e a data e hora de sua gerao. Os carimbos de tempo so gerados por um sistema computacional confivel, o Sistema de Carimbo do Tempo (SCT). O relgio do SCT garante a data e hora correta, pois sincronizado pelo Sistema de Auditoria e Sincronismo (SAS) da Autoridade Certificadora Raiz.

O que preciso fazer para aplicar um carimbo do tempo nas minhas assinaturas? Preciso de um certificado digital especial?Alguns softwares assinadores permitem que, ao realizar a assinatura, seja invocado um SCT para a emisso de um carimbo do tempo no documento. Isso feito de forma transparente para os signatrios, e no necessrio um certificado digital especial para isso.


11

Sou obrigado a usar carimbo do tempo nas assinaturas digitais? O que acontece se eu optar por no o utilizar?

O uso de um carimbo do tempo no obrigatrio. No entanto, sempre que for preciso manter a assinatura digital vlida por um perodo de tempo maior que aquele estipulado para o certificado digital do signatrio, ou mesmo para evitar que a assinatura deixe de ser vlida pelo ato de sua revogao, necessrio incluir na assinatura um carimbo do tempo. Na prtica, em qualquer documento que precise manter seu valor probante por perodos superiores a alguns dias, imperativa a incluso de carimbos do tempo na assinatura. Uma assinatura sem um carimbo deixa de ser vlida se o certificado do signatrio deixar de ser vlido. Isso acontece se o certificado do signatrio expirar ou se qualquer certificado da cadeia de certificao, incluindo o do signatrio, for revogado. As assinaturas digitais sem um carimbo de tempo so conhecidas como assinaturas de curto prazo ou de uso restrito.


12

O que o Padro Brasileiro de Assinatura Digital?

um conjunto de regras publicadas no Dirio Oficial da Unio no dia 13 de janeiro de 2009 que garantem a produo de assinaturas digitais confiveis, sua preservao a longo prazo e a interoperabilidade entre todos os sistemas computacionais que a adotam. As assinaturas produzidas em conformidade com o padro podem ser entendidas e verificadas pelos mais diversos sistemas de informao de instituies pblicas e privadas. Assim, um documento assinado respeitando o padro brasileiro de assinatura digital poder ser enviado ou recebido com a garantia de que a assinatura vai ser entendida pelas partes.

O que o Padro Brasileiro de Carimbo do Tempo?

um conjunto de regras que permitem a emisso de carimbos do tempo confiveis. O tempo adicionado ao carimbo rastrevel at o relgio atmico da AC-Raiz Brasileira, mantido pelo Instituto Nacional de Tecnologia da Informao (ITI). Carimbos emitidos segundo o padro brasileiro podem ser lidos e entendidos pelos mais diversos sistemas computacionais existentes.


13

Quais so as motivaes para a criao do Padro Brasileiro de Assinatura Digital e de Carimbo do Tempo?

As motivaes so a manuteno da integridade e autenticidade por longo prazo e a garantia de legibilidade por todos dos documentos eletrnicos. Na prtica, os documentos eletrnicos produzidos seguindo os preceitos desses padres tero a garantia de que podem ser lidos e processados com segurana, ao longo do tempo, de forma praticamente independente da evoluo tecnolgica, tal como a substituio de antigos computadores por novos, de novas verses de sistemas operacionais ou a substituio de velhos sistemas de informao por outros mais modernos.

A partir de quando estes padres entraro em vigor?

O prazo final para as instituies adotarem o padro brasileiro de assinatura digital 12 de janeiro de 2010. O padro brasileiro de carimbo do tempo j vlido, mas ainda falta a implantao da infraestrutura que prover o servio de sincronizao de relgios para as Autoridades de Carimbo do Tempo (ACT). A instalao dessa infraestrutura pelo ITI est prevista para acontecer no ltimo trimestre de 2009.


14

O Sistema SAJ vai mudar em funo da aprovao destes novos padres?

Internamente, sim. Todas as funcionalidades do sistema que realizam assinatura de documentos sero alteradas para realizar e validar assinaturas digitais conforme o padro estabelecido. Para os usurios do SAJ, o sistema permanecer o mesmo. A diferena que os documentos assinados no SAJ podero ser validados em qualquer outra aplicao que siga o padro brasileiro de assinatura digital.


15

O que minha organizao precisa fazer para utilizar o carimbo do tempo?

Voc pode ter seu prprio sistema de carimbo do tempo, alugar um ou mesmo usar os servios, via internet, de uma Autoridade de Carimbo do Tempo. Esses carimbos so emitidos por servidores e mantidos por autoridades de carimbo do tempo. Dependendo do volume e do requisito de disponibilidade de carimbos que um cliente ou instituio necessite, pode-se escolher entre utilizar os servios remotos de uma Autoridade de Carimbo de Tempo (ACT) comercial, instalar uma carimbadora desta ACT na instituio ou ainda tornar-se uma ACT.

Onde posso obter mais informaes sobre assinatura digital e carimbo de tempo?

Na pgina da Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil) - http://www.icpbrasil.gov.br ou do Instituto Nacional de Tecnologia da Informao (ITI) http://www.iti. gov.br possvel obter mais informaes sobre a regulamentao e detalhes tcnicos relacionados a assinatura digital e carimbos de tempo. A Cmara Brasileira de Comrcio Eletrnico - http://www.camara-e.net - tambm disponibiliza excelente material didtico sobre o assunto.


16

apostila cartilha eletronica ass. digital

Documents