certificação digital
DESCRIPTION
Certificação Digital. Histórico da Certificação Digital no Brasil. ● SERPRO ● MP 2200 - Agosto de 2001 Criação da ICP-Brasil; Transforma o ITI em autarquia Principais pontos: - PowerPoint PPT PresentationTRANSCRIPT
Certificação Digital
01
Histórico da Certificação Digital no Brasil
● SERPRO
● MP 2200 - Agosto de 2001- Criação da ICP-Brasil;- Transforma o ITI em autarquia
Principais pontos:
• Atribuição de valor legal às assinaturas digitais geradas com chave privada associada a certificado digital ICP-Brasil;
• Modelo com Autoridade Certificadora Raiz única;
• Exigência de identificação presencial do titular para obtenção do certificado;
• Vinculação da entidade executora diretamente à Casa Civil da Presidência da República, como forma de garantir apoio político e orçamentário a longo prazo.
02
ICP-BrasilA ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileira) - é um conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema criptográfico com base em certificados digitais.
Foi criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País, com vistas a inserir maior segurança nas transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios.
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por:
• Autoridade Certificadora Raiz (AC-Raiz);• Autoridades Certificadoras (AC);• Autoridades de Registro (AR); e• Comitê Gestor da ICP-Brasil (autoridade gestora de políticas).
03
AC - Raiz(Autoridade Certificadora RAIZ)
- AC-Raiz (ICP-Brasil) – ITI / CC / PR;
- 1ª AC da cadeia de certificação;
- Políticas de Certificados, normas técnicas e operacionais;
- Comitê Gestor da ICP-Brasil.
Competência:
• Emitir;• Expedir;• Distribuir; Certificados das AC’s de 1º nível;• Revogar; e • Gerenciar;
• Auditorar: AC’s – cumprimento das normas; AR’s; Prestadores de Serviços cadastrados da ICP-Brasil)
04
Comitê Gestor- Vinculado à Casa Civil;
Composição:
- 05 representantes da sociedade civil e integrantes de setores interessados. Designados pelo PR; e
- 01 representante de cada um dos seguintes órgãos. Indicados por seus titulares:
- Ministério da Justiça;- Ministério da Fazenda;- Ministério do Desenvolvimento, Indústria e Comércio Exterior;- Ministério do Planejamento, Orçamento e Gestão;- Ministério da Ciência e Tecnologia;- Casa Civil da Presidência da República; e- Gabinete de Segurança Institucional da Presidência da República.
* Principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz.
05
AC(Autoridades Certificadoras)
Personalidade:
- Empresas públicas;- Empresas privadas.
Finalidade:
Emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular.
Competência:
Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações”.
06
AR(Autoridades de Registro)
- Credenciadas pela AC-Raiz;- Serão vinculadas operacionalmente a determinada AC.
Personalidade:
- Empresas públicas; - Empresas privadas.
Finalidade:
- Identificar e cadastrar usuários, de forma presencial;- Encaminhar solicitações de certificados à respectiva AC; e - Manter registros de suas operações.
Competência:
Nos termos do art. 70 da MP 2.200-2, compete-lhes “identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações”.
07
Estrutura da ICP-Brasil
Legenda
08
Estrutura da ICP-Brasil
Legenda
09
Certificação Digital
É um conjunto de técnicas e processos que propiciam mais segurança às comunicações e transações eletrônicas.
10
Garantias:
- Autenticidade;
- Integridade;
- Confidencialidade;
- Não-repúdio;
- Validade Jurídica;
- Transações seguras na WEB.
Certificação Digital
11
Certificado Digital- Documento eletrônico;
- Assinado digitalmente por uma terceira parte confiável;
- Associa uma pessoa ou servidor a uma chave pública;
- Contém os dados de seu titular, tais como:- nome; - e-mail;- CPF; - Chave pública;- Nome e assinatura da AC que o emitiu.* Lotação;* Ramal.
Na prática, o certificado digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar princípios básicos da segurança da informação.
12
Principais informações constantesno certificado digital
- Chave pública do titular;
- Nome;
- E-mail;
- Período de validade do certificado;
- Nome da Autoridade Certificadora - AC emitente;
- Número de série do certificado digital;
- Assinatura digital da AC.
* Ramal * Lotação
13
Vantagens oferecidas às empresas ou pessoas físicas que adquirem um certificado digital
- Agilidade;
- Redução de custos;
- Segurança.
- A certificação digital hoje permite que processos que tinham que ser realizados pessoalmente ou por meio de inúmeros documentos em papel, possam ser feitos totalmente por via eletrônica.
-Com isso os processos tornam-se menos burocráticos, mais rápidos e por conseguinte, mais baratos.
- A certificação digital garante autenticidade e integridade. O documento com assinatura digital ICP-Brasil tem a validade de um documento em papel assinado manualmente.
14
O certificado digital tem prazo de validade?
Por que não emitir certificados sem data final de validade?
- Para renovar a relação de confiança entre seu titular e a AC.
- Substituição da chave privada por uma outra tecnologicamente mais avançada;
- Possíveis mudanças ocorridas nos dados do usuário.
- Tem objetivo de tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
- Sim
15
Cronologia do Certificado Digital
16
● Qualquer pessoa pode obter um certificado digital?
● É possível que um cidadão estrangeiro consiga obter um certificado ICP-Brasil sem que possua um CPF?
- O certificado deverá ser emitido por AC que não seja vinculada à cadeia da AC SRF (e-CPF);
- Validação dos dados na Receita Federal;
- Deverá apresentar, como identidade, o original do passaporte e demais documentos previstos na Resolução 42 da ICP-Brasil, item 3.1.9.1.
- Sim, qualquer pessoa física ou jurídica;
17
● Os documentos em papel, depois de digitalizados, certificados digitalmente, autenticados por um tabelião e registrados no cartório de registro de títulos e documentos, poderão ser eliminados?
Não.
O documento digitalizado a partir de uma documento original não é legalmente presumido autêntico, pois o documento original pode ter sofrido alterações anteriores ao processo de digitalização. Uma vez digitalizado o documento e certificado no âmbito da cadeia do ICP-Brasil, este não poderá mais sofrer alterações, todavia o documento original, antes da sua digitalização, pode ter sofrido alterações. Assim sendo, em caso de questionamento quanto a integridade e autenticidade do conteúdo posto no documento digitalizado, o interessado só poderá fazer prova destes atributos com a exibição do documento original.
Desta forma, não é recomendável a eliminação dos documentos originais.
O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por tabelião de notas, valerá como prova de declaração de vontade, mas, impugnada sua autenticidade, deverá ser exibido o original.”
18
Exemplo de aplicações da Certificação Digital
● Sistema de Pagamentos Brasileiro (SPB);
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● Registro de operações e prestações de impostos federais pela Internet; Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Consulta da situação dos contribuintes na base da Receita Federal;
● Assinatura de Contratos de Câmbio e Apólices de Seguros; ● Programas de Governo; Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Sistemas Estruturadores do Governo Federal;
● Internet banking e mobile banking; ● Automação de processos do Poder Judiciário; Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
● Atendimento ao cidadão; Ex.: DETRAN-MG, CETESB-SP, INPI.
19
O que é criptografia?- Palavra de origem grega;
- Significa a arte de escrever em códigos, de forma a esconder a informação na forma de um texto incompreensível;
- A informação codificada é chamada de texto cifrado;
- O processo de codificação ou ocultação é chamado de cifragem ou comumente chamado de criptografar;
- O processo inverso, ou seja, obter a informação original a partir do texto cifrado chama-se decifragem ou descriptografar;
- A cifragem ou processo de codificação, é executada por um programa de computador (cifrador) que realiza um conjunto de operações matemáticas e transformam um texto claro em um texto cifrado;
20
- Insere-se uma chave secreta na mensagem;
- O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta.
O que é criptografia?
21
Tipos de Criptografia
- Simétrica
- Assimétrica
22
Tipos de Criptografia - Simétrica
- Realiza a cifragem e decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo o sigilo das informações;
- Ocorre a troca de chaves.
Vantagem
- Utiliza uma mesma chave para cifragem e decifragem;
Desvantagem
- Envio da chave ao destinatário;- Utilizar algum meio de contato com o destinatário para
fornecer a senha;
23
Tipos de Criptografia - Assimétrica
- Operam com duas chaves distintas:
- Chave privada;- Chave pública.
- São geradas simultaneamente;
- São relacionadas entre si;
- Mantem-se o sigilo da chave privada;
- Disponibiliza-se a chave pública;
24
Tipos de Criptografia – Assimétrica- Garantia de Confidencialidade
Alice Beto
25
Tipos de Criptografia – Assimétrica- Garantia de Autenticidade
Alice BetoRenato
Ana
26
Assinatura Digital
- Assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia;
- Confere a imutabilidade do documento, ou seja, qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.
27
Assinando um documento
- Todo documento gera da função RESUMO (hash);
- Qualquer alteração no documento modifica o hash, originando resumos diferentes;
- O hash do documento é cifrado juntamente com a chave privada; é anexado ao documento e tem-se como resultado a assinatura digital.
28
Conferindo a assinatura digital do documento
- Utiliza-se a chave pública do remetente para decifrar;
- Se o hash do documento decifrado for igual ao do documento antes de ser cifrado, a assinatura está correta, válida;
- Se o hash do documento decifrado for diferente ao do documento antes de ser cifrado, significa que pode ter havido alterações no documento ou na assinatura. Portanto, a assinatura torna-se inválida;
- O hash do documento é cifrado juntamente com a chave privada, é anexado ao documento e tem-se como resultado a assinatura digital.
29
Conferindo a assinatura digital do documento
● Sistema de Pagamentos Brasileiro (SPB);
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● Registro de operações e prestações de impostos federais pela Internet; Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Consulta da situação dos contribuintes na base da Receita Federal;
● Assinatura de Contratos de Câmbio e Apólices de Seguros; ● Programas de Governo; Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Sistemas Estruturadores do Governo Federal;
● Internet banking e mobile banking; ● Automação de processos do Poder Judiciário; Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
● Atendimento ao cidadão; Ex.: DETRAN-MG, CETESB-SP, INPI.
30
Exemplo de aplicações da Assinatura Digital
● Comércio e correio eletrônico;
● Processos judiciais e administrativos em meio eletrônico; ● Facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas;
● Assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal;
● Obtenção e envio de documentos cartorários;
● Transações seguras entre instituições financeiras, como já vem ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; ● Diário Oficial Eletrônico;
● Identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado (Certificado Digital para Servidor). Protocolo seguro SSL.
Ex.: Banco do Brasil, SRF, ORKUT, ...
● Sistema de Pagamentos Brasileiro (SPB);
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● Registro de operações e prestações de impostos federais pela Internet; Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Consulta da situação dos contribuintes na base da Receita Federal;
● Assinatura de Contratos de Câmbio e Apólices de Seguros; ● Programas de Governo; Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Sistemas Estruturadores do Governo Federal;
● Internet banking e mobile banking; ● Automação de processos do Poder Judiciário; Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
● Atendimento ao cidadão; Ex.: DETRAN-MG, CETESB-SP, INPI.
31
Certificado Digital para servidor (Assinatura Digital para servidor)
32
● O documento assinado eletronicamente é reconhecido da mesma forma que um documento assinado de forma manuscrita?
- Sim. (art. 10, da MP n° 2.200)
- Documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2.
33
● A assinatura digital confere sigilo ao documento eletrônico?
-A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado;
- O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado;
- Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar.
34
● Assinatura digital é o mesmo que assinatura digitalizada?
- Não;
- A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem por um equipamento tipo scanner;
- Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.
35
Meios de Armazenamento docertificado digital (Hardware)
- São dispositivos portáteis que funcionam como mídias armazenadoras;
- Em seus chips são armazenadas as chaves dos usuários;
- O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular;
- O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para seu funcionamento;
- Já o token assemelha-se a um pequeno pen-drive que é colocado em uma entrada USB do computador.
36
Smart card
Token
37
Cuidados que devem ser tomados ao utilizar a certificação digital
38
Utilização na Eletronorte
- Microsoft outlook;
- Microsoft Word;
- Microsoft Excel;
- Webdoc;
- SAP/R3;
- Logon de acesso ao Sistema Operacional;
- Demais aplicações.
39
Arquivos necessários
- Internet
http://www.certificadodigital.com.br/suporte/ikeydrv.zip
- Intranet (GSIS)
http://intranet/gsi/default.htm
40
Sites relacionados
- ITI (Instituto Nacional de Tecnologia da Informação)
http://www.iti.gov.br/
- ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileiras)
https://www.icpbrasil.gov.br/
41
Obrigado!
Diretoria de Gestão Corporativa - DGSuperintendência de Tecnologia da Informação - GSI
Gerência de Segurança da Informação - GSIS
GerenteJosita Arcanjo Ramos
InstrutorRenato Muniz de Abreu – Ramal: 8784
E-mail: [email protected]