Assinatura Digital

Certificado e Assinatura Digital

    O que é?
    O certificado digital é um documento eletrônico que comprova a identidade de uma pessoa, uma empresa ou um site.

    Para que serve?
    Serve para assegurar as transações on-line, a troca eletrônica de documentos, a assinatura digital, as mensagens e os dados, com presunção de validade jurídica. Por esta razão, a certificação digital possui mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade às informações eletrônicas.
    O certificado digital contém dados de identificação de uma pessoa ou uma empresa ou um site. Permite, por exemplo, que as partes envolvidas em uma transação eletrônica apresentem, cada uma, as suas credenciais para comprovar, à outra parte, a sua real identidade.
    Além das informações de dados como : Nome, CPF, Data Nascimento e RG (Pessoa Física) ou Razão Social e CNPJ (Pessoa Jurídica), constam as chaves públicas e privadas para uso no processo de encriptação e de decriptação de dados.

    Como Funciona?

    Conceito de Criptografia
    A palavra criptografia tem origem grega e significa a arte de escrever em códigos, de forma a esconder a informação em um texto incompreensível. A informação codificada corresponde ao texto cifrado. O processo de codificação ou ocultação é chamado de cifração, e o processo inverso, ou seja, a obtenção da informação original a partir do texto cifrado, consiste na decifração. A cifração e a decifração são realizadas por programas de computador conhecidos como cifradores e decifradores. Um programa cifrador ou decifrador, além de receber a informação a ser cifrada ou decifrada, recebe um número chave que é utilizado para definir como irá se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave. Sem o conhecimento da chave correta não é possível decifrar um texto cifrado. Assim, para manter uma informação secreta, basta cifrá-la e manter a chave em sigilo.

    Criptografia com duas chaves (Pública e Privada)
    Atualmente, existem dois tipos de criptografia: a simétrica e a de chave pública (assimétrica). A criptografia simétrica realiza a cifração e a decifração de uma informação através de algoritmos que utilizam a mesma chave, garantindo sigilo na transmissão e no armazenamento de dados. Como a mesma chave deve ser usada na cifração e na decifração, a chave deve ser compartilhada entre quem cifra e quem decifra os dados. O processo de compartilhar uma chave é conhecido como troca de chaves, que deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar ou mesmo reproduzir uma informação cifrada. Os algoritmos de chave pública operam com duas chaves distintas: chave privada e chave pública (veja exemplo na figura abaixo). Essas chaves são geradas simultaneamente e relacionadas entre si, possibilitando que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida por quem a gerou. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.


    ALGORITMOS CRIPTOGRÁFICOS DE CHAVE PÚBLICA
    Os algoritmos criptográficos de chave pública permitem garantir a confidencialidade e a autenticidade das informações protegidas por eles.

    Características do Certificado Digital e da Assinatura Digital

    Confidencialidade
    O emissor (remetente) que deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar a informação. Para isso, é importante que o destinatário (receptor) disponibilize sua chave pública, utilizando, por exemplo, diretórios públicos acessíveis pela Internet.

    O sigilo é garantido, pois somente o destinatário que possui a chave privada conseguirá desfazer a operação de cifração, ou seja, decifrar e recuperar as informações originais. Veja o exemplo na figura acima.  A remetente do documento assina digitalmente, ou seja, cifra o documento com a chave pública (vermelha) do receptor (destinatário) de modo a somente ele poder decifrá-la. Já o receptor, para decifrar o documento,  utiliza sua chave privada (verde), que consta de seu certificado digital.

    Autenticidade
    No processo de autenticação, as chaves são aplicadas no sentido inverso ao da confidencialidade. O autor de um documento utiliza sua chave privada para cifrá-lo de modo a garantir a autoria em um documento ou a identificação em uma transação. Esse resultado só é obtido porque a chave privada é conhecida exclusivamente por seu proprietário. Este é o sigilo utilizando criptografia assimétrica. Assim, se uma pessoa cifrar uma informação com sua chave privada e enviar para uma segunda, esta última, como tem acesso à chave pública da primeira pessoa, poderá decifrar a informação. Além disso, ao contrário do que acontece na criptografia simétrica – em que qualquer pessoa pode decifrar a informação, uma vez que todos conhecem a chave pública de uma pessoa –, na assimétrica,   a necessidade de uso da chave privada da primeira pessoa para produzir o texto cifrado caracteriza uma operação que somente o emissor tem condições de realizar.

    • Integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento, garantindo assim o princípio da inalterabilidade.

     

    • Não-repúdio ou irretratabilidade - o emissor (remetente) , ao utilizar sua chave privada para cifrar o documento , é impedido de negar a autenticidade da mensagem.
    • Validade jurídica como a de uma assinatura de próprio punho

     

    Benefícios:

    • Acessar diversos serviços em sites governamentais e executar funções que, até então, somente podiam ser feitas presencialmente (Receita Federal, Imprensa Oficial, Justiça, Juntas Comerciais etc.)
    • Assinar digitalmente documentos eletronicamente gerados (veja assinatura digital)
    • Possibilidade de se identificar no meio eletrônico de forma segura
    • Efetuar transações eletrônicas de forma segura para todas as partes envolvidas.

     

    É muito importante zelar pela sua chave privada
    A certificação digital traz diversas facilidades, porém, sua utilização não torna as transações realizadas isentas de responsabilidades. Ao mesmo tempo que a chave privada autentica uma transação ou um documento, confere o atributo de não-repúdio à operação, ou seja, posteriormente, o usuário não pode negar a realização daquela transação. Por isto, é importante que o usuário proteja de forma adequada a sua chave privada.
    Em caso de suspeita de comprometimento da chave privada por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave desconhecidas pelo seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível  à Autoridade Certificadora (AC) responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC – O QUE É ISSO? quanto aos procedimentos necessários à revogação do certificado.
    Existem dispositivos que incrementam a proteção das chaves, como os cartões inteligentes (smart cards), que, em formato e tamanho, assemelham-se a um cartão de crédito convencional. Os smart cards são um tipo de hardware criptográfico dotado de microprocessador com memória capaz de armazenar e processar diversos tipos de informações. Esses dispositivos permitem a geração de chaves e sua manutenção  em um ambiente seguro,  além de permitirem que as operações criptográficas sejam realizadas dentro do próprio cartão.

    • Alguns usuários preferem manter suas chaves privadas no próprio computador. Neste caso, são necessárias algumas medidas preventivas para minimizar a possibilidade de comprometimento de sua chave privada: Caso o software de geração do par de chaves ofereça a opção de proteção do acesso à chave privada através de senha, essa opção deve ser ativada, pois, assim, na ocorrência do furto da chave privada, há  a garantia de que esteja cifrada;
    • Não compartilhar com ninguém a senha de acesso à chave privada;
    • Não utilizar dados pessoais, palavras que existam em dicionários ou somente números como senha, pois são facilmente descobertas. Procurar uma senha longa, com caracteres mistos, maiúsculos e minúsculos, números e pontuação;
    • Em ambiente acessível a várias pessoas, como em um escritório, usar produtos de controle de acesso ou recursos de proteção ao sistema operacional, como uma senha de sistema ou protetor de tela protegido por senha;
    • Manter atualizado o sistema operacional e os aplicativos, pois versões mais recentes contêm correções que levam em consideração as vulnerabilidades mais atuais;

    Não instalar o certificado com a chave privada em computadores de uso público.
               
    Embasamento Legal
    A lei brasileira, conforme a Medida Provisória 2.200-2, determina validade legal para qualquer documento digital certificado pela ICP-Brasil (a ICP oficial brasileira). A medida provisória também prevê a utilização de certificados emitidos por outras infraestruturas de chaves públicas, desde que a validade seja previamente reconhecida pelas partes que assinam o documento.
    Portanto, o que a MP 2.200-2 outorga à ICP-Brasil é a fé pública, ou seja, se o certificado foi emitido pela ICP-Brasil, qualquer documento digital assinadopode, de fato,  ser considerado como assinado pela própria pessoa.
    Resultado semelhante pode ser obtido se o usuário de um certificado emitido por outra ICP depositar esse reconhecimento em cartório de registro como sua identidade digital. O princípio da irrefutabilidade do documento assinado é que precisa ser preservada. Assim sendo, o registro em cartório de um documento no qual o usuário reconhece um determinado certificado digital como sendo seu é prova mais do que suficiente para vincular a ele qualquer documento eletrônico assinado com aquele certificado.