cartilha de certificação digital

Conceitos de Segurança da Informação, Certificação Digital e suas aplicações no TJPE

Cartilha deCertificação Digital

Núcleo de Segurança da InformaçãoSecretaria de Tecnologia da Informação e Comunicação

Tribunal de Justiça de Pernambuco2010

Cartilha de Certificação DigitalConceitos de Segurança da Informação, Certificação Digital e suas Aplicações no TJPE

1ª Edição - Outubro/2010

ElaboraçãoNúcleo de Segurança da Informação

Editoria e DiagramaçãoNúcleo de Imagem | Ascom TJPE

Conteúdo

1. Introdução 5 1.1. Histórico - Pioneirismo Pernambucano 52. Princípios de Segurança 6 2.1. Confidencialidade 6 2.2. Integridade 7 2.3. Irretratabilidade 73. Certificação Digital 8 3.1. O que é a Certificação Digital? 8 3.2. Por que usar Certificação Digital? 8 3.3. O Certificado Digital 9 3.4. Quem é obrigado a utilizar a Certificação Digital? 104. Validade Jurídica do Certificado 11 4.1. Lei 5.896/1973 11 4.2. Medida Provisória 2.200-2/2001 12 4.3. Lei 11.419/2006 135. Aplicações dos certificados digitais 15 5.1. Assinatura Digital 15 5.2. Criptografia (Comunicação com sigilo) 16 5.3. Autenticação (Identificação irretratável) 176. ICP BRASIL 18 6.1. O que é a ICP Brasil e AC? 18 6.2. Por que trabalhar com certificados da ICP-BRASIL? 187. Dispositivos de Armazenamento do certificado Digital 20 7.1. Smartcard 20 7.1.1. Leitor de smartcard 21 7.2. Token 218. Senhas 22 8.1. PIN 22 8.2. PUK 23 8.3. Senha de revogação 23 8.3.1. Quando revogar? 24 8.3.2. Quem pode solicitar uma revogação? 24 8.4. Dicas importantes para as senhas (PIN e PUK) 249. Aplicações no TJPE 25 9.1. Diário de Justiça Eletrônico – Dje 25 9.2. Malote Digital 25 9.3. TJPE Conectado 26Referências 28

5

Cartilha de Certificação Digital

1. Introdução Há anos as pessoas utilizam assinaturas à caneta, carimbos, selos e outros recursos para comprovar a autenticidade de documentos, expressar concordância com determinados procedimentos, declarar responsabilidades, etc.

Atualmente, os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto, estas transações eletrônicas necessitam da adoção de mecanismos de segurança capazes de garantir au-tenticidade, confidencialidade e integridade às informações eletrônicas. Mas como garantir essas premissas, expressar concordância ou declarar responsa-bilidade no mundo digital? É aí que entra a tecnologia do Certificado Digital através da Assinatura Digital, Criptografia e outros conceitos relacionados. Para seu melhor entendimento e correto uso, a seguir, você terá contato com os principais aspectos que envolvem a Certificação Digital.

1.1. Histórico - Pioneirismo Pernambucano Pernambuco foi o primeiro estado brasileiro a utilizar a Certificação Digital. A Secretaria de Fazenda de Pernambuco disponibilizou um conjunto de serviços pela Internet com base na certificação digital. Através do Sistema de Escrituração Fiscal – SEF, os lançamentos de re-

6


gistros das operações e prestações relativas ao ICMS passam a ser obrigatoria-mente efetivados por meio de arquivo eletrônico assinado digitalmente por certificado digital, trazendo inúmeras vantagens:

• Entrega de diversos documentos em uma única remessa;

• Redução drástica no volume de erros de cálculo involuntários;

• Transferência correta de valores entre livros;

• Apuração automática dos impostos;

• Eliminação de múltiplas escriturações;

• Minimização de substituições de documentos;

• Cópias do Arquivo SEF autênticas e válidas, garantidas pela Certificação

Digital;

• Redução de custos de escrituração e armazenamento de livros fiscais e

documentos obrigatórios.

2. Princípios de Segurança

Abaixo são descritos alguns conceitos que são os pilares da Segurança da Informação e que serão fortemente abordados ao longo desta Cartilha, são eles: 2.1. Confidencialidade Através do correto uso das técnicas de certificação digital é possível manter a privacidade da comunicação, protegendo as informações da observa-ção indevida de terceiros. Para isso, o emissor que deseja enviar uma informa-ção sigilosa deve utilizar a chave pública do destinatário para cifrar a informa-ção. Para isto é importante que o destinatário disponibilize sua chave pública, utilizando, por exemplo, diretórios públicos acessíveis pela Internet. O sigilo é garantido, já que somente o destinatário que possui a chave privada conseguirá desfazer a operação de cifragem, ou seja, decifrar e recupe-

7


rar as informações originais. Por exemplo, para Alice compartilhar uma infor-mação de forma secreta com Beto, ela deve cifrar a informação usando a chave pública de Beto. Somente Beto pode decifrar a informação, pois somente Beto possui a chave privada correspondente, que deverá estar armazenada em seu smartcard ou token.

2.2. Integridade Com a utilização das técnicas de certificação digital é possível garantir que o conteúdo da transição ou documento não foi alterado, ou seja, que a informação permanece íntegra. 2.3. Irretratabilidade O emprego da certificação digital faz com que se possa confiar na pes-soa ou entidade que origina ou documento ou transação. Desta forma, garante a irretratabilidade ou não-repúdio, pois a pessoa ou entidade que criou o do-cumento e assinou digitalmente não pode negar a autoria ou autenticidade do mesmo.

8


3. Certificação Digital 3.1. O que é a Certificação Digital? A Certificação Digital é um conjunto de técnicas e processos que pro-piciam mais segurança às comunicações e transações eletrônicas, permitindo, também, a guarda segura de documentos. Ela compõe um arquivo eletrônico (certificado digital) que contém o conjunto de informações referentes à enti-dade para a qual um certificado dessa natureza foi emitido - seja para pessoas físicas ou jurídicas (incluindo Municípios), computadores ou aplicações, cha-mados de “titulares de certificados”. Além disso, garantem confiabilidade, privacidade, integridade e invio-labilidade em mensagens e em diversos tipos de transações realizadas no mun-do tecnológico (nos programas, computadores, na Internet). Outra vantagem do certificado digital é ter validade jurídica para ser utilizado como assinatura de próprio punho, comprovando que seu proprietário concorda com o docu-mento assinado. Também é possível saber, com certeza, quem foi o autor de uma tran-sação ou de uma mensagem, ou, ainda, manter dados confidenciais protegidos contra a leitura por pessoas não autorizadas. Embora seja baseada em concei-tos matemáticos altamente sofisticados, ela pode ser utilizada facilmente. Em suma, a Certificação Digital baseia-se no conceito da comunicação eletrônica e digital, ou seja, é uma transação virtual feita por meio de um equi-pamento eletrônico como, por exemplo, um computador. Seus fundamentos estão baseados na segurança de mensagens cifradas, tecnologia que assegura o sigilo e a autenticidade de informações, apoiados em um documento ele-trônico chamado Certificado Digital, que são “documentos de identificação” eletrônicos emitidos por uma Autoridade Certificadora.

3.2. Por que usar Certificação Digital? A busca por eficácia e eficiência na administração pública passa, cada vez mais, pela automação de processos com o uso intensivo de computadores

9


e de redes de dados. A rapidez e a flexibilidade que as redes imprimiram às comunicações estão revolucionando a forma como as empresas e governos trabalham e realizam negócios e na Justiça não poderia ser diferente! Porém, é preciso prover métodos seguros para, por exemplo, realizar a validação e autenticação. E nestes aspectos os Certificados digitais são de grande valia e já estão sendo utilizados nos mais variados ramos governamentais e privados. 3.3. O Certificado Digital O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Mais de-talhadamente, é um documento eletrônico que contém o nome do signatário, um número público exclusivo, denominado de chave pública, que serve para validar assinaturas digitais e garantir autenticidade a documentos eletrônicos gerados por pessoas ou empresas, assegurando as transações nos sites e sis-temas, a troca eletrônica de documentos, mensagens e dados, com presunção de validade jurídica. A característica principal do Certificado Digital é a combinação de um par de chaves eletrônicas, ou seja, uma pública, que é de conhecimento geral, e uma chave privada, que, utilizando técnicas de criptografia (tecnologia que assegura o sigilo e autenticida-de de informações), é usada para assinar o documento e que deve ser mantida em sigilo e sob total segurança do titular da certificação. O certificado Digital pode ser visto como um docu-mento de identificação, assim como o passaporte, CNPJ, RG, CPF e carteira de habilitação de uma pessoa. Cada um deles

10


contém um conjunto de informações que identificam a instituição ou pessoa e a autoridade (no caso dos documentos citados órgãos públicos como: Receita Federal do Brasil, Secretaria de Defesa Social, Detran) que garante sua valida-de. Podendo existir, em alguns casos, uma relação direta entre os documentos, por exemplo, Certificado Digital e-CNPJ é a versão eletrônica do CNPJ (Cadastro Nacional de Pessoa Jurídica), assim como o e-CPF do CPF (Cadastro de Pessoa Física). Algumas das principais informações encontradas em um certificado digital são: • Dados (nome, número de identificação, estado, etc) que identificam o titu-

lar, pessoa física ou jurídica;• Nome da Autoridade Certificadora (AC) que emitiu o certificado; • Número de série e o período de validade do certificado; • Assinatura digital da AC. O objetivo da assinatura digital da AC no certificado é indicar que outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas, assim como o CPF é garantido pela Receita Federal do Brasil. São características do certificado digital:• Autenticidade (garantia da identidade de quem executou a transação);• Integridade (garantia de que o conteúdo da transação não foi alterado);• Confidencialidade entre as partes; • Não-repúdio das transações efetuadas ou documentos assinados.

3.4. Quem é obrigado a utilizar a Certificação Digital? Embora não exista qualquer obrigatoriedade legal de uso da Certificação Di-gital, a crescente informatização do sistema do Poder Judiciário brasileiro tor-nará praticamente inevitável o uso da Certificação Digital para os que utilizem os serviços judiciais, sejam eles servidores e magistrados ou pessoas externas como os advogados. A Lei nº 11.419, de 2006, que dispõe sobre a informatização dos pro-cessos judiciais, tornará indispensável o uso do Certificado Digital. Por exemplo,

11


para os advogados quando da realização dos atos processuais em processos eletrônicos, como já ocorre, entre outros, com os Juizados Especiais Federal. As vantagens decorrentes do uso da Certificação Digital serão eviden-tes na medida do considerável ganho de tempo e economia financeira para a realização das tarefas relativas ao documento digital, substituindo as rotinas burocráticas e presenciais inerentes ao uso do papel, como ocorre com o pro-tocolo de petições. E tudo isso de forma segura!

4. Validade Jurídica do Certificado

4.1. Lei 5.896/1973 Institui o Código de Processo Civil. Art. 38. A procuração geral para o foro, conferida por instrumento pú-blico, ou particular assinado pela parte, habilita o advogado a praticar todos os atos do processo, salvo para receber citação inicial, confessar, reconhecer a procedência do pedido, transigir, desistir, renunciar ao direito sobre que se funda a ação, receber, dar quitação e firmar compromisso. (Redação dada pela Lei nº 8.952, de 13.12.1994)Parágrafo único. A procuração pode ser assinada digitalmente com base em certificado emitido por Autoridade Certificadora credenciada, na forma da lei específica. (Incluído pela Lei nº 11.419, de 2006). Art. 154. Os atos e termos processuais não dependem de forma de-terminada senão quando a lei expressamente a exigir, reputando-se válidos os que, realizados de outro modo, Ihe preencham a finalidade essencial.Parágrafo único. Os tribunais, no âmbito da respectiva jurisdição, poderão dis-ciplinar a prática e a comunicação oficial dos atos processuais por meios eletrô-nicos, atendidos os requisitos de autenticidade, integridade, validade jurídica e interoperabilidade da Infra-Estrutura de Chaves Públicas Brasileira - ICP - Brasil. (Incluído pela Lei nº 11.280, de 2006)§ 2º Todos os atos e termos do processo podem ser produzidos, transmitidos, armazenados e assinados por meio eletrônico, na forma da lei. (Incluído pela

12


Lei nº 11.419, de 2006). Art. 164. Os despachos, decisões, sentenças e acórdãos serão redigi-dos, datados e assinados pelos juízes. Quando forem proferidos, verbalmente, o taquígrafo ou o datilógrafo os registrará, submetendo-os aos juízes para revi-são e assinatura.Parágrafo único. A assinatura dos juízes, em todos os graus de jurisdição, pode ser feita eletronicamente, na forma da lei. (Incluído pela Lei nº 11.419, de 2006). Art. 169. Os atos e termos do processo serão datilografados ou escritos com tinta escura e indelével, assinando-os as pessoas que neles intervieram. Quando estas não puderem ou não quiserem firmá-los, o escrivão certificará, nos autos, a ocorrência. § 1o É vedado usar abreviaturas. (Incluído pela Lei nº 11.419, de 2006). § 2o Quando se tratar de processo total ou parcialmente eletrônico, os atos processuais praticados na presença do juiz poderão ser produzidos e armazenados de modo integralmente digital em arquivo eletrônico inviolável, na forma da lei, mediante registro em termo que será assinado digitalmente pelo juiz e pelo escrivão ou chefe de secretaria, bem como pelos advogados das partes. (Incluído pela Lei nº 11.419, de 2006). Art. 202. São requisitos essenciais da carta de ordem, da carta precató-ria e da carta rogatória: § 3o A carta de ordem, carta precatória ou carta rogatória pode ser expedida por meio eletrônico, situação em que a assinatura do juiz deverá ser eletrônica, na forma da lei. (Incluído pela Lei nº 11.419, de 2006). 4.2. Medida Provisória 2.200-2/2001 Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências. Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de

13


documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transa-ções eletrônicas seguras.Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.§ 1º As declarações constantes dos documentos em forma eletrônica produzi-dos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil.§ 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. 4.3. Lei 11.419/2006 Dispõe sobre a informatização do processo judicial; altera a Lei no 5.869, de 11 de janeiro de 1973 – Código de Processo Civil; e dá outras provi-dências. Art. 1º O uso de meio eletrônico na tramitação de processos judiciais, comunicação de atos e transmissão de peças processuais será admitido nos termos desta Lei. § 1º Aplica-se o disposto nesta Lei, indistintamente, aos processos civil, penal e trabalhista, bem como aos juizados especiais, em qualquer grau de jurisdição. § 2º Para o disposto nesta Lei, considera-se: I - meio eletrônico qualquer forma de armazenamento ou tráfego de documentos e arquivos digitais; II - transmissão eletrônica toda forma de comunicação a distância com a utilização de redes de comunicação, preferencialmente a rede mundial de computadores;

14


III - assinatura eletrônica as seguintes formas de identificação inequí-voca do signatário: a) assinatura digital baseada em certificado digital emitido por Autori-dade Certificadora credenciada, na forma de lei específica; b) mediante cadastro de usuário no Poder Judiciário, conforme disci-plinado pelos órgãos respectivos. Art. 2º O envio de petições, de recursos e a prática de atos processu-ais em geral por meio eletrônico serão admitidos mediante uso de assinatura eletrônica, na forma do art. 1o desta Lei, sendo obrigatório o credenciamento prévio no Poder Judiciário, conforme disciplinado pelos órgãos respectivos. Art. 4º Os tribunais poderão criar Diário da Justiça eletrônico, disponi-bilizado em sítio da rede mundial de computadores, para publicação de atos ju-diciais e administrativos próprios e dos órgãos a eles subordinados, bem como comunicações em geral. § 1º O sítio e o conteúdo das publicações de que trata este artigo deverão ser assinados digitalmente com base em certificado emitido por Auto-ridade Certificadora credenciada na forma da lei específica. § 2º A publicação eletrônica na forma deste artigo substitui qualquer outro meio e publicação oficial, para quaisquer efeitos legais, à exceção dos casos que, por lei, exigem intimação ou vista pessoal. Art. 8º Os órgãos do Poder Judiciário poderão desenvolver sistemas eletrônicos de processamento de ações judiciais por meio de autos total ou parcialmente digitais, utilizando, preferencialmente, a rede mundial de com-putadores e acesso por meio de redes internas e externas.Parágrafo único. Todos os atos processuais do processo eletrônico serão assi-nados eletronicamente na forma estabelecida nesta Lei. Art. 11. Os documentos produzidos eletronicamente e juntados aos processos eletrônicos com garantia da origem e de seu signatário, na forma es-tabelecida nesta Lei, serão considerados originais para todos os efeitos legais.

15


5. Aplicações dos Certificados Digitais A Certificação Digital pode ser usada para inúmeras finalidades como:

• Controle de acesso a aplicativos – Um site na Internet ou uma aplicação pode solicitar ao usuário que apresente um certificado digital e digite seu PIN, em vez de (ou em conjunto) digitar usuário e senha. Será mais difícil os usuários colocar em perigo a aplicação pela falta de cuidado no uso e armazenamento da senha, pois além da senha o usuário pre-cisará ter o certificado em mãos.

• Assinatura de formulários e impossibilidade de repúdio – Os usuários poderão assinar, através da assinatura digital, os formulários que sub-metem preenchidos pela Internet ou por sistemas da mesma maneira que fariam pessoalmente em um balcão de atendimento.

• Identificação do responsável – Com a utilização dos certificados digi-tais, não existirá mais dúvidas sobre a origem de um e-mail, documen-to ou autor da ação, pois será possível certificar-se da identidade do autor ou emissor, de forma irrevogável.

• Assinatura de mensagens e impossibilidade de repúdio – As mensa-gens de correio eletrônico, ou qualquer documento digital, passam a valer como documento assinado, com validade jurídica, dispensando-se o uso de papel.

5.1. Assinatura Digital Assinatura digital é a utilização do processo de Certificação Digital para assinar (codificar) um documento eletrônico de forma a prover segurança de que qualquer alteração no arquivo eletrônico certificado digitalmente provo-cará a quebra da assinatura, tornando-a ilegível e fazendo com que o docu-mento perca a validade legal. Assim como, pela assinatura, tem-se a certeza de que o documento foi enviado pelo remetente descrito. O documento tem total validade desde que esteja em seu formato digital. Caso seja impresso será o equivalente a uma cópia. Copia esta que não terá mais a validade da assinatura

16


digital e, por não estar mais no meio digital, necessitará de outros meios para provar a sua autenticidade. De forma mais simples, po-demos dizer que, assim como hoje se utiliza a assinatura em documentos escritos (que pode ser reconhecida via cartório), a Assinatura Digital também pode ser utilizada para identificar au-tores e co-assinantes de dados eletrô-nicos. As assinaturas digitais podem: • Autenticar a identidade de quem

assinou os dados, permitindo-se ter a certeza de que não houve falsificação;

• Proteger a integridade dos dados, garantindo a certeza de que a mensa-gem não foi alterada, acidental ou intencionalmente;

• Permitir a prova ou demonstração, a qualquer tempo, de quem participou da transação (capacidade essa chamada de não-repúdio), impedindo que alguém negue a assinatura dos dados.

• Assegurar o cumprimento de prazos processuais sem a necessidade de comprovação nos autos da via original do documento protocolado digital-mente, como ocorre quando o protocolo é feito via fax.

• Então, um documento assinado digitalmente é um documento eletrôni-co que possui uma assinatura digital de tal forma que, após a assinatura, qualquer alteração realizada será detectada na conferência, o que garante a autenticidade de origem e autoria e a integridade do conteúdo.

5.2. Criptografia (Comunicação com sigilo) A palavra criptografia tem origem grega e significa a arte de escrever

17


em códigos de forma a esconder a informação na forma de um texto incom-preensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, ou seja, obter a informação original a partir do texto cifrado, chama-se decifragem.

A cifragem e a decifragem são realizadas por pro-gramas de compu-tador chamados de cifradores e deci-fradores. Um pro-grama cifrador ou decifrador, além de receber a informa-ção a ser cifrada

ou decifrada, recebe um número chave (em nosso caso, o número da chave será passado pelo smartcard ou token quando for requisitado pelo software) que é utilizado para definir como o programa irá se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave (No exemplo, o mesmo texto original em verde torna-se textos diferentes de acordo com a chave utilizada no algoritmo, rosa ou azul). Sem o conhecimento da chave correta não é possível decifrar um dado texto cifrado. Assim, para manter uma informação secreta, basta cifrar a informação e manter em sigilo a chave. A tecnologia da certificação digital foi desenvolvida graças aos avanços da criptografia nos últimos 30 anos. 5.3.Autenticação (Identificação irretratável) A Certificação Digital também pode ser utilizada na Autenticação dos usuários. A autenticação consiste em validar a identidade do usuário, que pode ser baseada no que ele sabe (login e senha, por exemplo), no que ele tem

18


(token ou smartcard, por exemplo), no que ele é (impressão digital, retina, íris ou voz, por exemplo) ou na combinação de mais de um desses métodos. Após a identificação do usuário ser realizada, é possível permitir au-torização para acesso a informações ou sistemas, de forma personalizada e segura.

6. ICP Brasil

6.1. O que é a ICP Brasil e AC? A expressão ICP-Brasil significa Infraestrutura de Chaves Públicas Bra-sileira. É o ente governamental criado para regulamentar e estabelecer os pa-drões técnicos e normativos para o uso da Certificação Digital instituída pela Medida Provisória nº 2.200-2 de 24 de agosto de 2001. Vinculadas à ICP-Brasil estão as AC’s - Autoridades Certificadoras, entidades públicas ou privadas que estabelecem previamente a identidade do futuro por-tador do Certificado Digital por meio dos documentos necessários e emitem o certificado. A Autoridade Certificadora (AC) é a entidade responsável por emitir, suspender, renovar ou revogar os certificados digitais. Estes certificados po-dem ser emitidos para diversos tipos de entidades, tais como: pessoa, compu-tador, departamento de uma instituição, instituição, etc. Os certificados digi-tais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de “Cartório Eletrônico”. Em suma, o Certificado Digital é adquirido por intermédio de uma Au-toridade Certificadora (AC) habilitada pelo Instituto Nacional de Tecnologia da Informação (ITI), autarquia federal vinculada ao Ministério da Ciência e Tec-nologia, e credenciada pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). 6.2. Por que trabalhar com certificados da ICP-BRASIL? Muitas Autoridades Certificadoras diferentes podem oferecer certi-

19


ficados digitais. Nem todas, porém, estão credenciadas na Infraestrutura de Chaves Públicas Brasileira, a ICP-Brasil. A ICP-Brasil, criada a partir da Medida Provisória 2.200-2, de 24.10.2001, é um conjunto de entidades prestadoras de serviços ordenadas em conformidade com as diretrizes e normas técnicas estabelecidas por um Comitê Gestor. Somente as transações realizadas com processo de certificação envolvendo certificados emitidos por autoridades cre-denciadas na ICP-Brasil presumem-se verdadeiras em relação aos signatários, dando validade jurídica no Brasil aos documentos assinados digitalmente. Uma das principais características da ICP-Brasil é sua estrutura hierár-quica. No topo da estrutura, encontra-se a Autoridade Certificadora Raiz e, abaixo dela, estão as diversas entidades. O contrato de adesão é subordinado a um processo de credenciamento, no qual são analisadas a capacidade jurídica, econômico-financeira, fiscal e técnica de cada entidade. Também é exigida a contratação de seguro de responsabilidade civil e a realização de auditorias prévias e anuais. Tudo isso tem o objetivo de garantir a segurança do processo, desde a identificação dos titulares até a emissão dos certificados, trazendo, assim, confiabilidade a toda estrutura e aos atos prati-

20


cados em seu âmbito. Entre as entidades cadastradas como Autoridades Certificadores na ICP-Brasil tem-se: Caixa Econômica Federal, Certisign, Presidência da Repúbli-ca, Secretaria da Receita Federal, Serasa e Serpro.Dentro da ICP-Brasil existe uma ramificação específica para a área jurídica (AC JUS) tendo, como Autoridade Certificadora, as AC Caixa JUS, AC Certisign JUS, AC Serasa JUS e AC Serpro JUS.

7. Dispositivos de Armazenamento do Certificado Digital

São nos dispositivos de armazenamento ou criptográficos que ficam armazenados o Certificado Digital (chave pública e dados do proprietário) e a chave secreta do usuário, a qual é impossível de ser retirada ou lida do dispo-sitivo. 7.1. Smartcard Também conhecido como cartão ou cartão inteligente, se assemelha, em forma e tamanho, a um cartão de crédito conven-cional de plástico que contém um chip res-ponsável pela geração e o armazenamento das chaves criptográficas que irão compor os certificados digitais e informações. Uma vez geradas essas chaves, elas estarão totalmente protegidas, não sendo possível exportá-las para outra mídia nem retirá-las do smartcard. Os múltiplos níveis de proteção que compõem a solução - incluindo recursos físicos e lógicos - as-seguram a identificação do assinante, permitirão que a integridade e o sigilo das informações sejam protegidos e impossibilitarão o repúdio do documento em momento posterior. Cartões (Smartcard) ou tokens possuem características de segurança avançada, os certificados são protegidos por senhas (PIN e PUK) semelhantes às senhas de celulares, computadores ou sistemas. Estas senhas deverão ser

21


de conhecimento somente dos seus titulares, responsáveis por cadastrá-las antes da emissão do certificado. A principal vantagem do Smartcard com relação ao Token é a facilidade para se guardar, visto que pode ser armazenado da mesma forma dos demais cartões bancários.

7.1.1. Leitor de smartcard É um dispositivo eletrônico projetado para conectar um smartcard a um computador. Este dispositivo pode ser externo, sendo conectado via uma porta USB (universal serial bus) do computador (mesma porta utilizada para colocar pen drives), ou ser um leitor interno, já está embutido no compu-

tador ou notebook. A leitora se encarregará de fazer a interface com o cartão, enquanto o computador suporta e gerencia as aplicações. Com essa estrutura é possível colocar o smartcard e fazer uso de todos os benefícios da Certifica-ção Digital.

7.2. Token O token é um dispositivo capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais. Uma vez gera-das estas chaves estarão totalmente protegidas, pois não será possível exportá-las ou retirá-las do token (seu hardware criptográfico), além de protegê-las de riscos como roubo ou violação, assim como ocorre no smartcard. De forma geral, o token é a união de smartcard com um leitor. Com um formato parecido com um pen drive, ele se conecta diretamente ao computa-dor através de uma porta USB do mesmo. São características do token, assim como do smartcard: assegurar a

22


identificação do portador (que precisa de uma senha pessoal e intransferível para utilizá-lo), garantia de integridade e sigilo das informações contidas nele, proteger e armazenar as informações (informações do proprietário e seu certi-ficado) e impossibilitar a separação da chave criptográfica do dispositivo crip-tográfico. A principal vantagem do Token com relação ao Smartcard é a facilidade de conexão com o computador, visto que ele se conecta diretamente na porta USB não precisando de uma leitora específica, mas ambos podem desempe-nhar as mesmas funções.

8. Senhas

8.1. PIN O PIN (Personal Identification Number – Número Pessoal de Identifi-cação) é um código pessoal e intransferível de utilização do cartão inteligente, sendo similar a uma senha que você utiliza em cartões de banco, para acessar o computador ou aplicações. O titular do certificado digital deve cadastrar um código secreto de seu conhecimento exclusivo. O PIN será utilizado, por exemplo, quando você for acessar um sistema ou site via certificado digital e PIN (ao invés de usuário e senha) ou realizar algu-ma assinatura digital com o certificado digital. Dependendo das regras imposta pela AC, poderá ser composto por números, letras e/ou caracteres especiais (por exemplo: !@ #.()*, entre outros), com 4 a 15 caracteres (de preferência utilize no mínimo 8 caracteres, unindo letras maiúsculas, minúsculas, números e, se for possível, caracteres especiais) e pode ser alterado a qualquer momen-to por meio do software de gerenciamento do dispositivo criptográfico (cartão ou token) que deverá estar instalado no computador. Além da quantidade de caracteres e tipos que poderão ser utilizado, algumas ACs ainda utilizam regras para formação dessa senha, como, por exemplo, obrigatoriedade de ter letras e números, sendo, no mínimo, uma letra em maiúscula e não podendo repetir seguidamente dois caracteres iguais.

23


Em caso de esquecimento do PIN, excedendo a quantidade máxima de tentativas e, consequentemente, bloqueando o cartão, você poderá utilizar a senha PUK para desbloquear o cartão, para isso você deverá utilizar o software gerenciador do cartão, distribuído pela autoridade de registro que forneceu o certificado digital. No caso dos Certificados Digitais fornecidos pelo CNJ, juntamente com a mídia criptográfica (token), modelo e Token PRO 64k (4.2B), através do con-trato com a empresa Certisign Certificadora Digital S.A., não haverá senha de PUK. Desta forma, se a quantidade máxima de 14 (quatorze) tentativas for ex-cedida para o PIN, o Certificado será bloqueado impossibilitando o seu uso e necessitando que seja revogado e emitido um novo certificado. Essa doação do CNJ se restringe a 01 (um) certificado por magistrado, não permitindo a re-emissão, pela Certisign, no caso de revogação.

8.2. PUK O PUK (Personal Unblock Key – Chave Pessoal de Desbloqueio) é um código utilizado para desbloquear seu smartcard ou token quando se excede a quantidade de tentativas erradas do PIN. Dependendo das regras impostas pela AC, o PUK poderá ser composto por números, letras e/ou caracteres es-peciais (por exemplo: !@ #.()*, entre outros), com 4 a 15 caracteres (de pre-ferência utilize no mínimo 8 caracteres, unindo letras maiúsculas, minúsculas, números e, se for possível, caracteres especiais) e, assim como o PIN, pode ser alterado a qualquer momento por meio do software de gerenciamento do dispositivo criptográfico (cartão ou token) que deverá estar instalado no com-putador. Além da quantidade de caracteres e tipos que poderão ser utiliza-do, algumas ACs ainda utilizam regras para formação dessa senha, como, por exemplo, obrigatoriedade de ter letras e números, sendo, no mínimo, uma le-tra em maiúscula e não podendo repetir seguidamente dois caracteres iguais. Em caso de esquecimento das duas senhas, o cartão ficará bloqueado para sempre, impossibilitando o seu uso e necessitando que o usuário refaça todo o trâmite para emissão de um novo certificado.

24


8.3. Senha de revogação É uma senha composta por números, letras e/ou caracteres especiais (por exemplo: !@ #.()*, entre outros) com 6 a 20 caracteres (dependendo da AC) utilizada para revogar (cancelar) o seu Certificado Digital junto as autori-dades certificadoras. A formação dessa senha deverá ter, ao menos, letras e números, sendo, no mínimo, uma letra em maiúscula e não poderá repetir seguidamente dois caracteres iguais.

8.3.1. Quando revogar? O Certificado Digital deverá ser revogado no caso de perda, roubo, mo-dificação, acesso indevido, comprometimento da chave privada do cartão in-teligente (SmartCard) ou token, em caso de alteração de qualquer informação do certificado (exemplos: RG, e-mail ou nome), caso seja constatada informa-ção incorreta no certificado ou no esquecimento ou bloqueio das senhas do dispositivo criptográfico (cartão ou token).

8.3.2. Quem pode solicitar uma revogação? O Titular do certificado, o responsável pelo certificado, no caso de equipamentos, aplicações e pessoas jurídicas, empresa ou órgão, quando o titular do certificado fornecido por essa empresa ou órgão for seu empregado, funcionário ou servidor. 8.4. Dicas importantes para as senhas (PIN e PUK) • Utilize senhas seguras para o seu cartão (de preferência utilize no mínimo 8 caracteres, unindo, se possível, letras maiúsculas, minúsculas, nú-meros e caracteres especiais. Evitando utilizar datas de nascimento, nome de parentes, animais de estimação, etc.); este dispositivo contém o certificado digital que poderá assinar documentos, transações eletrônicas, acessar sites e aplicações governamentais por você, portanto, a segurança da senha deve ser primordial. • Troque periodicamente a senha do seu cartão, para isso, utilize o

25


software gerenciador fornecido pela AR. • Guarde o seu cartão em local seguro. A proteção do certificado digi-tal é de responsabilidade do proprietário (titular do certificado) do dispositivo que deverá estar portando-o. • Não empreste ou deixe seu certificado digital em poder de terceiros, ele contém a sua assinatura no meio eletrônico. • Não utilize a mesma senha para o PIN e PUK, caso você esqueça a se-nha seu cartão será bloqueado para sempre e você terá que adquirir um novo.

9. Aplicações no TJPE Como pode ser percebido nesta própria cartilha, a utilização das téc-nicas de certificação digital está se transformando em uma tendência e deverá estar cada vez mais presente nos sistemas e serviços utilizados no cotidiano do Judiciário, onde os antigos sistemas estarão se adequando e os novos já esta-rão aptos a trabalhar com os certificados digitais. No TJPE, podemos citar, entre outros, os seguintes serviços:

9.1. Diário de Justiça Eletrônico – Dje Considerando a necessidade de moderniza-ção dos meios de comunicação oficial dos atos processuais e administrativos no âmbito do Poder Judiciário do Estado de Pernambuco, o Tribunal de Justiça de Pernambuco instituiu o Diário de Justiça Eletrônico, através da Resolu-

ção 260/2009 e de acordo com a lei nº 11.419/2006. O Diário de Justiça Eletrônico além de propiciar uma economia para o Poder Judiciário, na seara judicial e administrativa, diminuirá o custo efetivo do processo judicial, que, de conseguinte, ficará menos oneroso para a parte, o que viabiliza, em derradeira análise, o próprio acesso da população. Desde 1º de setembro de 2009 o Diário de Justiça Eletrônico substi-

26


tuiu, integralmente, a versão impressa das publicações oficiais para todos os efeitos legais. Seguindo a legislação vigente, o documento é assinado digitalmente e disponibilizado para conferência pelos interessados mostrando a transparên-cia do processo e garantindo, mais uma vez, a autenticidade, irretratabilidade e integridade.

9.2. Malote Digital

O Sistema Malote Digital é utilizado para o envio de correspondên-cias oficiais, como ofícios e memorandos, entre os órgãos do Poder Judiciário Nacional. Atendendo à resolução 100 do CNJ, o Malote Digital foi implantado no Tribunal de Justiça de Pernambuco e, inicialmente, quatro unidades irão utilizá-lo: Secretaria de Administração, Presidência, Corregedoria, Secretaria de Tecnologia e Comunicação. O acesso ao sistema é realizado através da autenticação do usuário com login e senha. Para o envio de documentos, o usuário pode assi-nar digitalmente a correspondência, garantindo a sua autenticidade, irretrata-bilidade e integridade.

9.3. TJPE Conectado O serviço TJPE Conectado tem como objetivo contribuir para a celeridade processual e permitir mobilidade para os servidores e ma-gistrados do TJPE, que, por motivos laborais, de deslocamento, desastres naturais ou urgência, precisem acessar os sistemas de apoio judicial de locais externos ao TJPE. Com esse projeto, foi possível vencer um primeiro desafio rumo ao Processo Eletrônico, que é o acesso aos sistemas de apoio judicial (Judwin 1º

27


grau, Judwin 2º grau e Juizados Cível e Criminal) através da Internet, permitin-do que sejam executados quaisquer atos processuais com segurança, indepen-dente de hora ou lugar. Para prover segurança nesse acesso, está sendo utilizada, de forma pioneira no TJPE, a certificação digital para autenticação (identificação de for-ma irretratável do usuário) e comunicação com sigilo (permitindo privacidade na troca de informações).

Seja bem vindo à nova era do Judiciário brasileiro! Seguindo corretamente as instruções dessa cartilha, será possível fazer um correto uso da certificação digital e usufruir seus benefícios.

28


REFERÊNCIAS

• NAKAMURA, Emílio T. Segurança de Redes em Ambientes Cooperativos. Novatec, São Paulo 2010.• STALLINGS, William. Criptografia e Segurança de Redes – Princípios e Práti-cas. 4ª Ed. Pearson Prentice Hall, São Paulo, 2008.• Cartilha da Certificação Digital. Associação Comercial de São Paulo – ACSP. Disponível em: http://www.progerecs.com.br/cert/certisign_ws/acsp/Carti-lha%20certificacao.pdf• Cartilha de Segurança para Internet 3.1. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – CERT.BR. Disponível em: http://cartilha.cert.br• Certificação Digital – AC-OAB. Ordem dos Advogados do Brasil. Disponível em: http://www.oab.org.br/ac_oab• Certificação Digital: Entenda e Utilize. Instituto Nacional de Tecnologia da Informação – ITI. Disponível em: http://www.iti.gov.br/twiki/pub/Certifica-cao/CartilhasCd/CertificacaoDigital.pdf• Estrutura da ICP-Brasil. Instituto Nacional de Tecnologia da Informação – ITI. Disponível em: http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pdf• O que é Certificação Digital. Instituto Nacional de Tecnologia da Informação – ITI. Disponível em: http://www.iti.gov.br/twiki/pub/Certificacao/Cartilhas-Cd/brochura01.pdf• Serasa Experian Certificados Digitais. Disponível em: http://www.certifica-dodigital.com.br• AR-ARISP Certificados Digitais. Associação dos Registradores Imobiliários de São Paulo – ARISP. Disponível em: http://www.ar.arisp.com.br

Tribunal de Justiçade Pernambuco

cartilha de certificação digital

Documents