Entendendo a Certificação Digital

7/25/2019 Entendendo a Certificao Digital

1/7

:: Software

Entendendo a Certificao Digital

Introduo

H tempos que as pessoas utilizam assinaturas caneta, carimbos, selos, entre outrosrecursos, para comprovar a autenticidade de documentos, expressar concordncia comdeterminados procedimentos, declarar responsabilidades, etc. Hoje, muitas dessas atividades

podem ser feitas atravs da internet. Mas, como garantir autenticidade, expressar concordnciaou declarar responsabilidade no "mundo eletrnico"? a que entra em cena a certificaodigitale conceitos relacionados, como assinatura digital. Nas prximas linhas voc ver umaexplicao com os principais pontos que envolvem esses recursos.

O que certificao digital?

A internet permite que indivduos, empresas, governos e outras entidades realizem uma sriede procedimentos e transaes de maneira rpida e precisa. Graas a isso, possvel fecharnegcios, emitir ou receber documentos, acessar ou disponibilizar informaes sigilosas,economizar dinheiro evitando processos burocrticos, entre outros. No entanto, da mesmaforma que os computadores oferecem meios para tudo isso, podem tambm ser usados porfraudadores, o que significa que tais operaes, quando realizadas por vias eletrnicas,precisam ser confiveis e seguras. A certificao digital capaz de atender essanecessidade.

A certificao digital um tipo de tecnologia de identificao que permite que transaeseletrnicas dos mais diversos tipos sejam feitas considerando sua integridade, suaautenticidade e sua confidencialidade, de forma a evitar que adulteraes, interceptaes ou

outros tipos de fraude ocorram.

Como funciona a certificao digital?

A certificao digital funciona com base em um documento eletrnico chamado certificadodigitale em um recurso denominado assinatura digital. conveniente compreender primeiroeste ltimo, para melhor compreenso.

O que Assinatura digital?

Imagine-se na seguinte situao: voc est em uma viagem de negcios e precisa enviardocumentos sigilosos matriz de sua empresa. Dada a distncia, o jeito mais rpido de fazerisso utilizando a internet.

endendo a Certificao Digital http://www.infowester.com/printversion/assincertdigital.php

e 7 3/6/2009 10:57


2/7

No entanto, se voc optasse por enviar esses documentos em papel, certamente os assinaria caneta para comprovar a autenticidade e a sua responsabilidade sobre eles. Alm disso,provavelmente utilizaria um servio de entrega de sua confiana e o instruiria a deixar osdocumentos apenas com a pessoa ou o setor de destino.

Mas, como colocar em prtica essas medidas quando se usa documentos eletrnicos?Digitalizar sua assinatura atravs de um scanner no uma boa ideia, afinal, qualquer pessoapode alter-la em programas de edio de imagem. Enviar os documentos sem qualquerproteo via e-mail tambm tem seus riscos, j que algum pode intercept-los. O jeito ento utilizar uma assinatura digital.

A assinatura digital um mecanismo eletrnico que faz uso de criptografia, mais precisamente,de chaves criptogrficas. Desde j, o InfoWester recomenda que voc leia este artigo sobrecriptografiapara entender melhor esse conceito.

Chaves criptogrficas so, em poucas palavras, um conjunto de bits baseado em umdeterminado algoritmo capaz de cifrar e decifrar informaes. Para isso, pode-se usar chavessimtricasou chaves assimtricas, estas ltimas tambm conhecidas como chaves pblicas.

Chaves simtricas so mais simples, pois com elas o emissor e o receptor utilizam a mesmachave para, respectivamente, cifrar e decifrar uma informao.

As chaves assimtricas, por sua vez, trabalham com duas chaves: a chave privadae a chavepblica. Nesse esquema, uma pessoa ou uma organizao deve utilizar uma chave decodificao e disponibiliz-la a quem for mandar informaes a ela. Essa a chave pblica.Uma outra chave deve ser usada pelo receptor da informao para o processo dedecodificao. Essa a chave privada, que sigilosa e individual. Ambas as chaves sogeradas de forma conjunta, portanto, uma est associada a outra.

Note que esse mtodo bastante seguro, pois somente o detentor da chave privadaconseguir desfazer a cifragem realizada com a respectiva chave pblica. Com chavessimtricas, os riscos so maiores, j que uma nica chave utilizada para cifragem edecifragem, aumentando consideravelmente as possibilidades de extravio ou fraudes. poresta razo que chaves pblicas so util izadas em assinaturas digitais.

Em sua essncia, o funcionamento das assinaturas digitais ocorre da seguinte forma: necessrio que o emissor tenha um documento eletrnico e a chave pblica do destinatrio.Atravs de algoritmos apropriados, o documento ento cifrado de acordo com esta chavepblica. O receptor usar ento sua chave privada correspondente para decifrar o documento.Se qualquer bit deste for alterado, a assinatura ser deformada, invalidando o arquivo.


e 7 3/6/2009 10:57


3/7

Na verdade, o processo de assinatura digital de documentos eletrnicos usa um conceitoconhecido como funo hashing. Como o uso de algoritmos de chaves pblicas nasassinaturas digitais pode causar muita demora em um processo de decifragem, a funohashing se mostra como a soluo ideal. Seu funcionamento ocorre da seguinte forma: oalgoritmo da funo hashing faz com que todo o documento a ser assinado seja analisado e,com base nisso, um valor de tamanho fixo gerado. Trata-se do valor hashou resumocriptogrfico.

Com isso, o emissor usa sua chave privada e a chave pblica do receptor para assinardigitalmente o documento. Se este sofrer qualquer alterao, por menor que seja, seu valor

hash ser diferente. Como consequncia, o receptor receber um documento invlido, j quesua chave s conseguir lidar com o arquivo com o valor hash original.

O que Certi ficado Digi tal?

Agora que voc j sabe que o assinatura digital, fica mais fcil compreender o certificadodigital. Basicamente, trata-se de um documento eletrnico com assinatura digital que contmdados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituio,etc), entidade emissora (voc saber mais sobre isso adiante), prazo de validade e chave

pblica. Com o certificado digital, a parte interessada obtm a certeza de estar se relacionandocom a pessoa ou com a entidade desejada.

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa suaconta corrente pela internet, certificados digitais so usados para garantir ao cliente que eleest realizando operaes financeiras com o seu banco. Se o usurio clicar no conecorrespondente no navegador de internet, poder obter mais detalhes do certificado. Se algumproblema ocorrer com o certificado - prazo de validade vencido, por exemplo -, o navegadoralertar o usurio.


e 7 3/6/2009 10:57


4/7

importante frisar que a transmisso de certificados digitais deve ser feita atravs de conexesseguras, como as que usam o protocolo Secure Socket Layer(SSL), que prprio para o enviode informaes criptografadas.

Obtendo certificados digi tais

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificadosdigitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo procurar umaAutoridade Certificadora(AC) ou umaAutoridade de Registro(AR) para obter umcertificado digital. Uma AC tem a funo de associar uma identidade a uma chave e "inserir"esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos quecomprovem sua identificao. J uma AR tem uma funo intermediria, j ela pode solicitarcertificados digitais a uma AC, mas no pode emitir esse documento diretamente.

conveniente que cada nao conte com uma Infra-estrutura de Chaves Pblicas(ICP) ou, em

ingls, Public Key Infrastructure(PKI), isto , um conjunto de polticas, tcnicas eprocedimentos para que a certificao digital tenha amparo legal e fornea benefcios reais sua populao. O Brasil conta com a ICP-Brasilpara essa finalidade.

A ICP-Brasil trabalha com uma hierarquia onde aAC-Raiz, isto , a instituio que gera aschaves das ACs e que regulamenta as atividades de cada uma, o Instituto Nacional deTecnologia da Informao(ITI). A ICP-Brasil tem, considerando a data de fechamento desteartigo no InfoWester, oito ACs credenciadas:

- Serpro;- Caixa Econmica Federal;- Serasa;- Receita Federal;- Certisign;- Imprensa Oficial;


e 7 3/6/2009 10:57


5/7

- AC-JUS (Autoridade Certificadora da Justia);- ACPR (Autoridade Certificadora da Presidncia da Repblica).

So essas instituies que devem ser procuradas por quem deseja obter certificado digitallegalmente reconhecido no Brasil. Note que cada uma dessas entidades pode ter critriosdistintos para a emisso de certificados, o que inclusive resulta em preos diferentes, portanto, conveniente ao interessado saber qual AC mais adequada s suas atividades. Reparetambm que essas entidades podem ter ACs "secundrias" ou ARs ligadas a elas.

Tipos de certi ficados da ICP-Brasil

A ICP-Brasil oferece duas categorias de certificados digitais:Ae S, sendo que cada uma sedivide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A direcionada para finsde identificao e autenticao, enquanto que o tipo S direcionado a atividades sigilosas.Vejas as caractersticas que tornam as verses de ambas as categorias diferentes entre si:

A1 e S1:gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits;armazenamento em dispositivo de armazenamento (como um HD); validade mxima de um

ano;

A2 e S2:gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits;armazenamento em carto inteligente (com chip) ou token (dispositivo semelhante a umpendrive); validade mxima de dois anos;

A3 e S3:gerao das chaves feita por hardware; chaves de tamanho mnimo de 1024 bits;armazenamento em carto inteligente ou token; validade mxima de trs anos;

A4 e S4:gerao das chaves feita por hardware; chaves de tamanho mnimo de 2048 bits;armazenamento em carto inteligente ou token; validade mxima de trs anos.

Os certificados A1 e A3 so os mais utilizados, sendo que o primeiro geralmente armazenadono computador do solicitante, enquanto que o segundo guardado em cartes inteligentes(smartcards) ou tokens protegidos por senha.

e-CPF e e-CNPJ

Falar de certificao digital no Brasil frequentemente remete a duas importantes iniciativas: o

e-CPFe o e-CNPJ. O primeiro , essencialmente, um certificado digital direcionado a pessoasfsicas, sendo uma espcie de extenso do CPF (Cadastro de Pessoa Fsica), enquanto que osegundo um certificado digital que se destina a empresas ou entidades, de igual forma,sendo um tipo de extenso do CNPJ (Cadastro Nacional da Pessoa Jurdica).


e 7 3/6/2009 10:57


6/7

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos servios da ReceitaFederal, muitos dos quais at ento disponveis apenas em postos de atendimento dainstituio. possvel, por exemplo, transmitir declaraes de imposto de renda de maneiramais segura, consultar detalhes das declaraes, pesquisar situao fiscal, corrigir erros depagamentos, entre outros. No caso do e-CNPJ, os benefcios so semelhantes.

O e-CPF e o e-CNPJ esto disponveis nos tipos A1 e A3. As imagens abaixo, obtidas no siteda Receita Federal, mostram os modelos dos cartes inteligentes (tipo A3) para essescertificados:

importante destacar que o e-CPF e o e-CNPJ no so gratuitos. Sua aquisio deve ser feitaem entidades conveniadas Receita Federal, como Certisigne Serasa. Os preos no sopadronizados, variando de acordo com a empresa e com o tipo de certificado (A1 ou A3).

Finalizando

Antes do encerramento deste artigo, eis uma observao: voc viu neste texto que graas ICP-Brasil que as certificaes digitais no pas so amplamente aceitas e utilizadas,especialmente do ponto de vista legal. No entanto, vale frisar que qualquer instituio podecriar sua prpria ICP, independente de seu porte. Por exemplo, se uma empresa criou umapoltica de uso de certificados digitais unicamente para a troca de informaes entre a matriz esua filiais, no necessita solicitar tais certificados a uma AC controlada pela ICP-Brasil. Aprpria empresa pode criar sua ICP e fazer, por exemplo, com que um departamento das filiaisatue como AC ou AR, solicitando ou emitindo certificados para seus funcionrios.

No mais, se voc quiser conhecer mais detalhes sobre certificao digital no Brasil, acesse ossites do ITI e da ICP-Brasil:

- www.iti.gov.br;- www.icpbrasil.gov.br.

Neles, possvel conseguir acesso a documentos sobre legislao, procedimentos,


e 7 3/6/2009 10:57


7/7

resolues, entre outros, assim como obter notcias e orientaes sobre o assunto.

Escrito por Emerson Alecrim - Publicado em 30/04/2009 - Atualizado em 30/04/2009

Os artigos desenvolvidos pelo InfoWester esto sob uma Licena Creative Commons-http://creativecommons.org/licenses/by-nc-sa/3.0/deed.ptInfoWester 2008 - Propagando conhecimento - www.infowester.com


Entendendo a Certificação Digital

Documents

Transcript of Entendendo a Certificação Digital