certificação digital

Certificação Digital

01

Histórico da Certificação Digital no Brasil

● SERPRO

● MP 2200 - Agosto de 2001- Criação da ICP-Brasil;- Transforma o ITI em autarquia

Principais pontos:

• Atribuição de valor legal às assinaturas digitais geradas com chave privada associada a certificado digital ICP-Brasil;

• Modelo com Autoridade Certificadora Raiz única;

• Exigência de identificação presencial do titular para obtenção do certificado;

• Vinculação da entidade executora diretamente à Casa Civil da Presidência da República, como forma de garantir apoio político e orçamentário a longo prazo.

02

ICP-BrasilA ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileira) - é um conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema criptográfico com base em certificados digitais.

Foi criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País, com vistas a inserir maior segurança nas transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios.

A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por:

• Autoridade Certificadora Raiz (AC-Raiz);• Autoridades Certificadoras (AC);• Autoridades de Registro (AR); e• Comitê Gestor da ICP-Brasil (autoridade gestora de políticas).

03

AC - Raiz(Autoridade Certificadora RAIZ)

- AC-Raiz (ICP-Brasil) – ITI / CC / PR;

- 1ª AC da cadeia de certificação;

- Políticas de Certificados, normas técnicas e operacionais;

- Comitê Gestor da ICP-Brasil.

Competência:

• Emitir;• Expedir;• Distribuir; Certificados das AC’s de 1º nível;• Revogar; e • Gerenciar;

• Auditorar: AC’s – cumprimento das normas; AR’s; Prestadores de Serviços cadastrados da ICP-Brasil)

04

Comitê Gestor- Vinculado à Casa Civil;

Composição:

- 05 representantes da sociedade civil e integrantes de setores interessados. Designados pelo PR; e

- 01 representante de cada um dos seguintes órgãos. Indicados por seus titulares:

- Ministério da Justiça;- Ministério da Fazenda;- Ministério do Desenvolvimento, Indústria e Comércio Exterior;- Ministério do Planejamento, Orçamento e Gestão;- Ministério da Ciência e Tecnologia;- Casa Civil da Presidência da República; e- Gabinete de Segurança Institucional da Presidência da República.

* Principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz.

05

AC(Autoridades Certificadoras)

Personalidade:

- Empresas públicas;- Empresas privadas.

Finalidade:

Emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular.

Competência:

Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações”.

06

AR(Autoridades de Registro)

- Credenciadas pela AC-Raiz;- Serão vinculadas operacionalmente a determinada AC.

Personalidade:

- Empresas públicas; - Empresas privadas.

Finalidade:

- Identificar e cadastrar usuários, de forma presencial;- Encaminhar solicitações de certificados à respectiva AC; e - Manter registros de suas operações.

Competência:

Nos termos do art. 70 da MP 2.200-2, compete-lhes “identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações”.

07

Estrutura da ICP-Brasil

Legenda

08

Estrutura da ICP-Brasil

Legenda

09


É um conjunto de técnicas e processos que propiciam mais segurança às comunicações e transações eletrônicas.

10

Garantias:

- Autenticidade;

- Integridade;

- Confidencialidade;

- Não-repúdio;

- Validade Jurídica;

- Transações seguras na WEB.


11

Certificado Digital- Documento eletrônico;

- Assinado digitalmente por uma terceira parte confiável;

- Associa uma pessoa ou servidor a uma chave pública;

- Contém os dados de seu titular, tais como:- nome; - e-mail;- CPF; - Chave pública;- Nome e assinatura da AC que o emitiu.* Lotação;* Ramal.

Na prática, o certificado digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar princípios básicos da segurança da informação.

12

Principais informações constantesno certificado digital

- Chave pública do titular;

- Nome;

- E-mail;

- Período de validade do certificado;

- Nome da Autoridade Certificadora - AC emitente;

- Número de série do certificado digital;

- Assinatura digital da AC.

* Ramal * Lotação

13

Vantagens oferecidas às empresas ou pessoas físicas que adquirem um certificado digital

- Agilidade;

- Redução de custos;

- Segurança.

- A certificação digital hoje permite que processos que tinham que ser realizados pessoalmente ou por meio de inúmeros documentos em papel, possam ser feitos totalmente por via eletrônica.

-Com isso os processos tornam-se menos burocráticos, mais rápidos e por conseguinte, mais baratos.

- A certificação digital garante autenticidade e integridade. O documento com assinatura digital ICP-Brasil tem a validade de um documento em papel assinado manualmente.

14

O certificado digital tem prazo de validade?

Por que não emitir certificados sem data final de validade?

- Para renovar a relação de confiança entre seu titular e a AC.

- Substituição da chave privada por uma outra tecnologicamente mais avançada;

- Possíveis mudanças ocorridas nos dados do usuário.

- Tem objetivo de tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.

- Sim

15

Cronologia do Certificado Digital

16

● Qualquer pessoa pode obter um certificado digital?

● É possível que um cidadão estrangeiro consiga obter um certificado ICP-Brasil sem que possua um CPF?

- O certificado deverá ser emitido por AC que não seja vinculada à cadeia da AC SRF (e-CPF);

- Validação dos dados na Receita Federal;

- Deverá apresentar, como identidade, o original do passaporte e demais documentos previstos na Resolução 42 da ICP-Brasil, item 3.1.9.1.

- Sim, qualquer pessoa física ou jurídica;

17

● Os documentos em papel, depois de digitalizados, certificados digitalmente, autenticados por um tabelião e registrados no cartório de registro de títulos e documentos, poderão ser eliminados?

Não.

O documento digitalizado a partir de uma documento original não é legalmente presumido autêntico, pois o documento original pode ter sofrido alterações anteriores ao processo de digitalização. Uma vez digitalizado o documento e certificado no âmbito da cadeia do ICP-Brasil, este não poderá mais sofrer alterações, todavia o documento original, antes da sua digitalização, pode ter sofrido alterações. Assim sendo, em caso de questionamento quanto a integridade e autenticidade do conteúdo posto no documento digitalizado, o interessado só poderá fazer prova destes atributos com a exibição do documento original.

Desta forma, não é recomendável a eliminação dos documentos originais.

O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por tabelião de notas, valerá como prova de declaração de vontade, mas, impugnada sua autenticidade, deverá ser exibido o original.”

18

Exemplo de aplicações da Certificação Digital

● Sistema de Pagamentos Brasileiro (SPB);

● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;

● Registro de operações e prestações de impostos federais pela Internet; Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)

● Consulta da situação dos contribuintes na base da Receita Federal;

● Assinatura de Contratos de Câmbio e Apólices de Seguros; ● Programas de Governo; Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;

● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);

● Sistemas Estruturadores do Governo Federal;

● Internet banking e mobile banking; ● Automação de processos do Poder Judiciário; Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;

● Atendimento ao cidadão; Ex.: DETRAN-MG, CETESB-SP, INPI.

19

O que é criptografia?- Palavra de origem grega;

- Significa a arte de escrever em códigos, de forma a esconder a informação na forma de um texto incompreensível;

- A informação codificada é chamada de texto cifrado;

- O processo de codificação ou ocultação é chamado de cifragem ou comumente chamado de criptografar;

- O processo inverso, ou seja, obter a informação original a partir do texto cifrado chama-se decifragem ou descriptografar;

- A cifragem ou processo de codificação, é executada por um programa de computador (cifrador) que realiza um conjunto de operações matemáticas e transformam um texto claro em um texto cifrado;

20

- Insere-se uma chave secreta na mensagem;

- O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta.

O que é criptografia?

21

Tipos de Criptografia

- Simétrica

- Assimétrica

22

Tipos de Criptografia - Simétrica

- Realiza a cifragem e decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo o sigilo das informações;

- Ocorre a troca de chaves.

Vantagem

- Utiliza uma mesma chave para cifragem e decifragem;

Desvantagem

- Envio da chave ao destinatário;- Utilizar algum meio de contato com o destinatário para

fornecer a senha;

23

Tipos de Criptografia - Assimétrica

- Operam com duas chaves distintas:

- Chave privada;- Chave pública.

- São geradas simultaneamente;

- São relacionadas entre si;

- Mantem-se o sigilo da chave privada;

- Disponibiliza-se a chave pública;

24

Tipos de Criptografia – Assimétrica- Garantia de Confidencialidade

Alice Beto

25

Tipos de Criptografia – Assimétrica- Garantia de Autenticidade

Alice BetoRenato

Ana

26

Assinatura Digital

- Assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia;

- Confere a imutabilidade do documento, ou seja, qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.

27

Assinando um documento

- Todo documento gera da função RESUMO (hash);

- Qualquer alteração no documento modifica o hash, originando resumos diferentes;

- O hash do documento é cifrado juntamente com a chave privada; é anexado ao documento e tem-se como resultado a assinatura digital.

28

Conferindo a assinatura digital do documento

- Utiliza-se a chave pública do remetente para decifrar;

- Se o hash do documento decifrado for igual ao do documento antes de ser cifrado, a assinatura está correta, válida;

- Se o hash do documento decifrado for diferente ao do documento antes de ser cifrado, significa que pode ter havido alterações no documento ou na assinatura. Portanto, a assinatura torna-se inválida;

- O hash do documento é cifrado juntamente com a chave privada, é anexado ao documento e tem-se como resultado a assinatura digital.

29

Conferindo a assinatura digital do documento










30

Exemplo de aplicações da Assinatura Digital

● Comércio e correio eletrônico;

● Processos judiciais e administrativos em meio eletrônico; ● Facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas;

● Assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal;

● Obtenção e envio de documentos cartorários;

● Transações seguras entre instituições financeiras, como já vem ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; ● Diário Oficial Eletrônico;

● Identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado (Certificado Digital para Servidor). Protocolo seguro SSL.

Ex.: Banco do Brasil, SRF, ORKUT, ...










31

Certificado Digital para servidor (Assinatura Digital para servidor)

32

● O documento assinado eletronicamente é reconhecido da mesma forma que um documento assinado de forma manuscrita?

- Sim. (art. 10, da MP n° 2.200)

- Documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2.

33

● A assinatura digital confere sigilo ao documento eletrônico?

-A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado;

- O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado;

- Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar.

34

● Assinatura digital é o mesmo que assinatura digitalizada?

- Não;

- A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem por um equipamento tipo scanner;

- Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.

35

Meios de Armazenamento docertificado digital (Hardware)

- São dispositivos portáteis que funcionam como mídias armazenadoras;

- Em seus chips são armazenadas as chaves dos usuários;

- O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular;

- O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para seu funcionamento;

- Já o token assemelha-se a um pequeno pen-drive que é colocado em uma entrada USB do computador.

36

Smart card

Token

37

Cuidados que devem ser tomados ao utilizar a certificação digital

38

Utilização na Eletronorte

- Microsoft outlook;

- Microsoft Word;

- Microsoft Excel;

- Webdoc;

- SAP/R3;

- Logon de acesso ao Sistema Operacional;

- Demais aplicações.

39

Arquivos necessários

- Internet

http://www.certificadodigital.com.br/suporte/ikeydrv.zip

- Intranet (GSIS)

http://intranet/gsi/default.htm

40

Sites relacionados

- ITI (Instituto Nacional de Tecnologia da Informação)

http://www.iti.gov.br/

- ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileiras)

https://www.icpbrasil.gov.br/

41

Obrigado!

Diretoria de Gestão Corporativa - DGSuperintendência de Tecnologia da Informação - GSI

Gerência de Segurança da Informação - GSIS

GerenteJosita Arcanjo Ramos

InstrutorRenato Muniz de Abreu – Ramal: 8784

E-mail: [email protected]

certificação digital

Documents