Apostila Certificacao Digital TEC

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR
Plataforma de Desenvolvimento Pinho

Paran
Nivelamento Terico em Certificao Digital

da CELEPAR para Profissionais em
Informtica
Apostila
Verso 1.1
Abril-2007
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
SumriodeInformaesdoDocumento
TipodoDocumento:Apostila
TtulodoDocumento:Nivelamento Terico em Certificao Digital da CELEPAR para Profissionais em Informtica
EstadodoDocumento:Elaborado
Responsveis:StefanoKubia
PalavrasChaves:CERTIFICAO,DIGITAL,ICPBRASIL,TABELIO,PINHO
Resumo:ApostilaparacursodenivelamentotericaemCertificaoDigital
Nmerodepginas:73
Softwareutilizados:BROfficeWriter
Verso
1.1
Data
01/04/2007
Mudanas
Elaborao/Criao
Sumrio
MDULO 1 Contextualizando a Certificao Digital.......................................................5
1.1 Caminhando para um mundo cada vez mais digital....................................................5
1.2 Certificao Digital no contexto das tecnologias da informao..................................5
1.3 Assinatura e Certificao Digital no contexto das tecnologias para GED...................5
1.4 Certificao Digital como componente de confiana ..................................................5
MDULO 2 - Vulnerabilidades e necessidades de segurana .........................................6
2.1 A fragilidade das redes abertas.....................................................................................6
2.2 Vulnerabilidades no correio eletrnico e stios Internet................................................6
2.3 Vulnerabilidades com documentos e processos eletrnicos........................................6
2.4 Certificao Digital: segurana e eficcia probatria ..................................................7
MDULO 3 - Conceitos fundamentais ..............................................................................7
3.1 Aspectos tecnolgicos, jurdicos e culturais da Certificao Digital.............................7
3.2 Alguns conceitos bsicos..............................................................................................7
3.3 Requisitos para equivalncia entre documentos analgicos e digitais........................8
3.4 Documento eletrnico...................................................................................................8
3.5 Conceito de escrito, original e assinatura em papel X eletrnico................................9
3.6 Requisitos para assinatura em documentos eletrnicos..............................................9
3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e digital.........................9
MDULO 4 - Infra-estrutura de Chaves Pblicas ICP(PKI)..............................................10
4.1 Componentes da Certificao Digital...........................................................................10
4.2 Criptologia, criptografia e criptoanlise.........................................................................10
4.3 Criptografia clssica......................................................................................................11
4.4 Criptografia simtrica ...................................................................................................11
4.5 Exerccio 1: a importncia do no compartilhamento de segredo ..............................12
4.6 Principais algoritmos para criptografia simtrica..........................................................12
4.7 Criptografia assimtrica ou de chaves pblicas...........................................................12
4.8 Principais algoritmos para criptografia assimtrica......................................................13
4.9 O algoritmo RSA ...........................................................................................................13
4.10 Premissas de confiana para chaves pblicas e privadas.........................................14
4.11 Garantia de sigilo de contedos com criptografia assimtrica...................................14
4.12 Vantagens da combinao da criptografia simtrica com a assimtrica...................15
4.13 Criptografia com XML.................................................................................................16
4.14 Perspectivas com o surgimento da criptografia quntica...........................................16
4.15 Funes hash (resumo de mensagens).....................................................................18
4.16 Garantia de integridade de contedos eletrnicos com cdigos hash......................18
4.17 Principais algoritmos para resumos de mensagens...................................................19
4.18 Assinatura Digital: componentes, padres e processos ...........................................19
4.19 Assinatura Digital com XML........................................................................................20
4.20 Certificados Digitais: fundamentos, gerao, validao e revogao.......................20
4.21 Gesto de Chaves (XKMS).........................................................................................21
4.22 Autoridades Certificadoras e Autoridades de Registro...............................................21
4.23 Autenticidade e autenticao com certificados digitais..............................................22
4.24 Hierarquia de uma ICP e certificao cruzada...........................................................22
4.25 Normas e padres para operacionalizao de uma ICP...........................................23
4.26 Modelos de ICP e sua utilizao em alguns pases do mundo..................................23
4.27 O modelo de ICP adotado pelo Brasil........................................................................24
MDULO 5 - ICP-Brasil Infra-estrutura de Chaves Pblicas Brasileira.........................25
5.1 Principais documentos..................................................................................................25
5.2 Natureza pblica da atividade.......................................................................................25
5.3 Concepo organizacional, polticas e prticas de segurana....................................26
5.4 Autoridade Certificadora Raiz AC-Raiz......................................................................26
5.5 Hiptese fundamental e caminho de certificao.........................................................26
5.6 Certificao cruzada na ICP-Brasil...............................................................................26

5.7 Controles de segurana na AC-Raiz da ICP-Brasil......................................................26
5.8 Credenciamento de ACs e ARs na ICP-Brasil..............................................................27
5.9 Hierarquia atual (ACs e ARs credenciadas)................................................................28
5.10 Tipos de Certificados da ICP-Brasil............................................................................28
5.11 Nveis de segurana dos certificados.........................................................................28
5.12 Aplicaes para Certificados de Assinatura...............................................................28
5.13 Aplicaes para Certificados de Sigilo........................................................................29
MDULO 6 - Tempestividade Digital..................................................................................30
6.1 Importncia para Assinatura e Certificao Digital.......................................................30
6.2 Autoridade Certificadora de Tempo...............................................................................30
6.3 Sincronismo do tempo..................................................................................................30
6.4 Carimbos de tempo (selo cronolgico digital)..............................................................30
6.5 Protocolos digitais.........................................................................................................30
6.6 Regulamentao na ICP-Brasil.....................................................................................31
6.7 Abordagens para viabilizar a tempestividade no ambiente virtual...............................31
MDULO 7 - Aspectos Jurdicos........................................................................................32
7.1 Evoluo das tecnologias da informao versus evoluo da legislao...................32
7.2 Arcabouo legal para Certificao e Tempestividade Digital.......................................32
7.3 Leis modelo das Naes Unidas UNCITRAL............................................................32
7.4 Diretiva europia 93/99.................................................................................................39
7.5 Legislao norte-americana e-Sign...........................................................................39
7.6 O nascimento da Certificao Digital no Brasil com Decreto 3.587/2000...................40
7.7 Medida Provisria 2.200-2 e sua importncia para eficcia probatria.......................40
7.8 Resolues do Comit Gestor da ICP-Brasil...............................................................43
7.9 A importncia da Resoluo N 36 da ICP-Brasil.........................................................43
7.10 Projetos de Lei em tramitao no Congresso Nacional.............................................54
7.11 Perspectiva de criao de Lei para Certificao Digital.............................................55
7.12 Autenticao de assinaturas digitais e de cpias eletrnicas....................................55
7.13 Exerccio 2: digitalizao e autenticao com f pblica ..........................................55
7.14 Requisitos para autenticao de documentos digitalizados......................................55
7.15 Validade jurdica X eficcia probatria de documentos eletrnicos...........................56
MDULO 8 - Aplicaes para Certificao e Tempestividade Digital................................57
8.1 Certificao de dados, documentos, mensagens eletrnicas e agentes.....................57
8.2 Autenticao para acesso seguro a servidores Web...................................................57
8.3 Assinaturas em documentos originais e cpias eletrnicas.........................................57
8.4 Integridade e autenticidade no trmite de documentos eletrnicos.............................58
8.5 Exerccio 3: garantia de sigilo, integridade e autenticidade ........................................59
8.6 Demonstrao de uso de assinatura de documentos eletrnicos*..............................59
8.7 Aplicao para integridade e autenticidade na guarda de documentos......................59
8.8 Aplicaes para e-mail, Web, dispositivos mveis e redes virtuais ............................59
8.9 Normas, iniciativas e potencial de utilizao................................................................60
8.10 Resoluo do Conselho Federal de Contabilidade ...................................................60
8.11 Instruo normativa do Superior Tribunal do Trabalho para peties .......................60
8.12 Ajuste CONFAZ para uso de Nota Fiscal eletrnica NF-e.........................................60
8.13 Autoridade Certificadora do Judicirio AC-Jus........................................................61
8.14 Iniciativas para popularizar o uso da Certificao Digital no Brasil...........................61
8.15 Situao e principais aplicaes em outros pases....................................................61
MDULO 9 - Integrao com as principais tecnologias para GED...................................62
9.1 Document Imaging com Certificao Digital.................................................................62
9.2 Forms Processing com Certificao Digital..................................................................62
9.3 Document Management com Certificao Digital........................................................62
9.4 EDMS com Certificao Digital.....................................................................................63
9.5 COLD/ERM com Certificao Digital............................................................................64
9.6 Workflow/BPM com Certificao Digital.......................................................................65
9.7 ECM com Certificao Digital.......................................................................................65
MDULO 10 - Abordagens para viabilizao da Certificao Digital................................67

10.1 Definio para utilizao dentro ou fora da ICP-Brasil..........................................67
10.2 Abordagem considerando a gesto como pr-requisito.............................................67
10.3 Abordagem com nfase para tecnologias..................................................................67
10.4 Consideraes sobre foco, demandas, atividade fim e porte....................................67
10.5 Aplicaes com baixo custo e retorno do investimento ............................................68
10.6 Exemplos de abordagens para viabilizao da Certificao Digital..........................68
MDULO 11 - Desafios, perspectivas e consideraes finais...........................................69
11.1 Principais desafios tecnolgicos com questes ainda em aberto..............................69
11.2 Assinatura Digital de longa durao............................................................................69
11.3 Um importante desafio cultural...................................................................................69
11.4 Recomendaes para quebrar barreiras e facilitar a viabilizao.............................70
11.5 Mitos e realidade em torno da Certificao Digital.....................................................70
11.6 Consideraes sobre segurana, riscos e padronizao...........................................70
11.7 Os cinco estgios da aquisio de conhecimentos ...................................................70
11.8 Principais benefcios da Certificao e Tempestividade Digital.................................71
11.9 Referncias para estudo.............................................................................................71
MDULO 12 Ferramentas em Software Livre com Certificao Digital.........................72
12.1 Tabelio (Componentes e Gerenciamento)................................................................72
12.2 E-mail (Mozilla-Thunderbird).......................................................................................72
12.3 WEB (Mozilla-Firefox) Aplicativos disponveis.........................................................72
12.4 Assinador (ITI e cryptonit) ..........................................................................................72
MDULO 1 Contextualizando a Certificao Digital

1.1 Caminhando para um mundo cada vez mais digital
notrio que estamos evoluindo para um mundo cada vez mais digital. O sonho de migrar os
documentos em papel para equivalentes eletrnicos e autenticar pessoas no mundo virtual j
est se tornando realidade em muitas organizaes. Os especialistas so unnimes em afirmar
que a Certificao Digital hoje um caminho sem volta e, por algum tempo, ser um
importante diferencial competitivo, mas que, em breve, ser uma necessidade de sobrevivncia
de qualquer organizao. Porm, na maior parte das organizaes esse tema ainda
considerado complexo, confuso e de difcil viabilizao. Este treinamento tem como principal
objetivo proporcionar um nivelamento terico sobre Certificao Digital, destacando os
principais aspectos tecnolgicos, jurdicos, culturais, aplicaes e abordagens para
viabilizao.
1.2 Certificao Digital no contexto das tecnologias da informao

A Assinatura e Certificao Digital so componentes de Tecnologia da Informao aplicveis
para segurana da informao, especialmente para autenticidade de contedos e processos
eletrnicos, autenticao de agentes no ambiente virtual e combinada com aspectos jurdicos
pode garantir eficcia probatria no mundo digital. Hoje, sua aplicao considerada
indispensvel no Gerenciamento de Documentos Eletrnicos (GDE), Gesto Eletrnica de
Documentos (GED) e gesto corporativa de contedos no estruturados (ECM).
1.3 Assinatura e Certificao Digital no contexto das tecnologias

para GED
Na Gesto Eletrnica de Documentos - GED, a Certificao Digital pode desempenhar um
papel fundamental porque possibilita garantir equivalncia funcional-legal entre documentos
analgicos e digitais. Assim pode permitir que documentos em papel sejam migrados para
documentos eletrnicos.
1.4 Certificao Digital como componente de confiana

A certificao digital a tecnologia que permite s pessoas comprovarem sua identidade no
mundo digital. Com o certificado possvel assinar documentos digitais e garantir, com
segurana, o sigilo das comunicaes e dos dados transmitidos por meio eletrnico. A
certificao pode garantir a autenticidade de documentos eletrnicos, dar maior agilidade ao
trmite de documentos, ampliar a prestao de servios de Governo Eletrnico, alm de
garantir o sigilo das comunicaes e o combate a fraudes. A Certificao Digital proporciona
ainda a reduo do uso de papis, uma vez que os documentos podem ser armazenados
digitalmente.
MDULO 2 - Vulnerabilidades e necessidades de

segurana
2.1 A fragilidade das redes abertas
Hoje, a compra on-line, por exemplo, apesar de proporcionar inmeras vantagens, ainda no
uma prtica muito adotada em decorrncia da falta de segurana na troca de dados. O Internet
banking tambm surgiu como alternativa para proporcionar comodidade e segurana aos
clientes com possibilidade de fazer movimentaes bancrias sem precisar sair de casa. Mas, a
todo instante ouvimos falar a respeito de algum que teve prejuzos financeiros em
decorrncia de roubo de senha ou nmero do carto nos prprios ambientes virtuais dos
bancos ou lojas. A questo da insegurana na Internet no se resume utilizao do Internet
banking ou do comrcio eletrnico. Os vrus e todas as outras pragas eletrnicas "plantadas"
em nossos computadores so uma ameaa constante. A possibilidade de ter sistemas invadidos,
dados roubados e contedos violados, so fatores que desmotivam a populao a adotar mais
uma rede aberta como a Internet. Precisamos buscar solues efetivas para esses problemas.
Governos, empresas de telecomunicaes e segurana, provedores de acesso, profissionais da
rea e tambm os internautas precisam dar sua cota de contribuio. Precisamos todos buscar
mais conhecimento e tomar as atitudes cabveis para termos mais segurana na Web.
necessrio empenho para busca de solues, principalmente por parte das grandes empresas de
segurana, dos rgos que regulamentam a Internet e tambm do Poder Judicirio. A
comunicao atravs da Internet vai proporcionar uma modificao contundente na forma de
se fazer negcios. Mas, para isso, precisamos criar condies mais favorveis.
2.2 Vulnerabilidades no correio eletrnico e stios Internet

Stios Internet muitas vezes oferecem servios personalizados para suas preferncias
individuais baseando-se na informao pessoal fornecida pelo internauta. Por exemplo, alguns
stios de compra poupam tempo retendo informaes. Como j sabemos, nem todos os stios
so confiveis o bastante no uso de informaes pessoais. Indivduos inescrupulosos
empregam uma fraude conhecida como phishing para configurar uma aparncia convincente
de um stio legtimo. Eles tentam persuadir o internauta a visitar esse stio e acabam
descobrindo informaes pessoais, como o nmero de carto de crdito, por exemplo.
Phishing o ato de atrair algum para uma pgina web falsa. Um mtodo comum mandar
um e-mail que aparenta ter sido enviado de uma fonte segura, mas que contm um link para
um stio falso. O stio falso projetado para aparentar o stio legtimo no esforo de enganar o
internauta a revelar informao pessoal ou fazer o download de um vrus. Outro tipo de ataque
conhecido como Spoofing (Falsificao) e comumente usado com o phising. Nesse caso, o
stio falso usualmente projetado para aparentar o stio legtimo, s vezes usando
componentes do stio legtimo.
2.3 Vulnerabilidades com documentos e processos eletrnicos

Muitos riscos e inseguranas cercam o trmite e armazenamento de documentos e processos
eletrnicos em especial a falta das seguintes garantias: da integridade, da autenticidade, do
sigilo, da tempestividade e tambm a falta de segurana jurdica. A tomada de deciso baseada
em um contedo eletrnico armazenado ou recebido por e-mail pode ser angustiante se houver
possibilidade desse contedo estar fraudado. Da mesma forma em relao autenticidade,
onde uma assinatura eletrnica ou remetente de uma mensagem pode no ser o que aparenta.
Em muitos processos empresariais e de governos, a falta de garantia do sigilo dos dados
eletrnicos trafegados ou armazenados pode inviabilizar aplicaes. Outra operao

vulnervel no ambiente eletrnico a tempestividade, onde os instantes de tempo quando
precisam ser registrados no devem usar a hora do relgio do computador porque esse, como
se sabe, pode ser facilmente alterado. Todas as operaes acima citadas requerem segurana
jurdica o que significa garantir validade legal com eficcia probatria.
2.4 Certificao Digital: segurana e eficcia probatria

Diante da fragilidade das redes abertas, das vulnerabilidades em mensagens eletrnicas, dos
stios Internet falsos, das operaes de risco com documentos e processos eletrnicos e da falta
de segurana jurdica em operaes eletrnicas, a Assinatura e Certificao Digital se
apresentam como componentes para prover necessidades de segurana e eficcia probatria do
ambiente eletrnico. Podem viabilizar assinatura de documentos eletrnicos, autenticao de
cpias eletrnicas, autenticidade de agentes no ambiente virtual e principalmente o trfego e
armazenamento de contedos eletrnicos com autenticidade, sigilo, integridade, legalidade,
no repdio, tempestividade e eficcia probatria.
MDULO 3 - Conceitos fundamentais

3.1 Aspectos tecnolgicos, jurdicos e culturais da Certificao
Digital
A necessidade de tratar os aspectos tecnolgicos e jurdicos da Assinatura e Certificao
Digital pode ser percebida na frase do Prof. Dr. Sergio Amadeu da Silveira que quando era
presidente do Instituto Nacional de Tecnologia da Informao ITI disse COMO BEM
ALERTOU O PROFESSOR PEDRO REZENDE QUEM PODE GARANTIR A AUTENTICIDADE DE

DOCUMENTOS EM FORMA ELETRNICA SO SISTEMAS CRIPTOGRFICOS APROPRIADOS
OPERANDO EM CONDIES ADEQUADAS E NO A NORMA JURDICA, MAS A TECNOLOGIA
DEVE SE CONSOLIDAR NA LEI. NO CIBERESPAO, O CDIGO A LEI (LESSIG). A
DEMOCRACIA EXIGE LEIS SOCIALMENTE INTELIGVEIS (PARA SEREM LEGTIMAS) E
DELIBERAES CONSCIENTES.
Portanto, os itens relacionados aos aspectos tecnolgicos precisam abordar as garantias
oferecidas, os requisitos mnimos e a viabilidade de aplicao com baixo custo. Quanto aos
aspectos jurdicos, devem ser considerados todos os atos legais inerentes emanados pelos
poderes Executivos e Legislativos e as consideraes da Doutrina Jurdica. Em relao aos
aspectos culturais importante considerar o gerenciamento das mudanas para novas
tecnologias dificultadas pela desigualdade social com excluso digital, pela falta de confiana
nas promessas da tecnologia, pela dificuldade dos usurios para visualizar benefcios, pela
resistncia natural do ser humano para mudar processos, pelo desconforto com o ambiente
virtual e pela arraigada cultura do papel.
3.2 Alguns conceitos bsicos
Assinatura: marca pessoal utilizada para designar autoria ou aprovao.

Certificao: afirmao de certeza ou verdade.
Digital: valores representados exclusivamente em binrio e que podem ser registrados
em suporte eletrnico, magntico, ptico, etc.
Analgico: representa grandezas de forma contnua que podem ser registradas em

pergaminho, papel, micro-filme, etc.
Autenticao: ato pelo qual algo reconhecido como verdadeiro. um termo muito
usado no meio jurdico. A autenticao pode ser feita pelas seguintes formas:
1. Algo que se sabe: senha, identificao pessoal, etc. OU;
2. Algo que se tem: documento, smart card, etc. OU;
3. Algo que se : medida biomtrica como ris, digital, DNA, etc. OU;
4. Onde se est: coordenadas, GPS, etc. OU;
5. Momento da autenticao: data, hora, etc. OU;
6. Presena de testemunhas: mais de uma pessoa OU;
7. Combinao de dois ou mais fatores acima
3.3 Requisitos para equivalncia entre documentos analgicos e

digitais
Um dos principais desafios atualmente para os documentos eletrnicos garantir sua eficcia
probatria. Para tanto, suficiente cumprir os cinco principais requisitos para garantir
equivalncia funcional-legal entre documentos analgicos e digitais que so:
1 Certificao da autenticidade;
2 Certificao da integridade;
3 - Garantia de sigilo;
4 - Certificao da tempestividade;
5 - Garantia de acessibilidade.
Dessa forma, alm da validade jurdica, os documentos eletrnicos tambm tero eficcia
probatria porque haver dificuldade para serem impugnados quando forem apresentados
como prova.
3.4 Documento eletrnico

Documento eletrnico aquele cujos todos os seus componentes esto em formato digital. Da
mesma forma como os documentos em suporte analgico, os documentos eletrnicos tambm
podem ser originais e cpias. Documentos eletrnicos originais so aqueles que foram criados
em sua forma final em formato digital, enquanto que cpias eletrnicas so o resultado da
converso analgico-digital. Especialistas em Direito Digital, defendem que a validade do
documento eletrnico em si no deve ser questionada. Afirmam que, se um contrato verbal
admitido como vlido, o contrato realizado em meio eletrnico tambm dever ser. O grande
problema com que nos deparamos se relaciona eficcia do "documento eletrnico", mas
especificamente a eficcia probatria. Sabemos que o meio eletrnico, por sua prpria
natureza, um meio bastante vulnervel. possvel modificar um documento elaborado
originariamente em meio eletrnico sem que seja vivel, ao menos facilmente, comprovar a
existncia das adulteraes porventura realizadas. Alm disso, difcil constatar a autoria de
um documento eletrnico, visto que normalmente neste no se encontra consignado qualquer
trao de cunho personalssimo (como a assinatura para o documento escrito) que possa ligar,
sem sombra de dvida, o autor obra. Assim, por falta de um disciplinamento especfico, os
especialistas preferem relacionar o documento eletrnico com uma espcie de prova sui
generis, arrolada fora do captulo destinado regulamentao da prova documental. Assim,
no vem bice para o magistrado apreciar, desde que lcita, a prova produzida em meio
eletrnico. Todavia, o documento eletrnico deve atender a algumas peculiaridades. Isso
porque, por se tratar de meio eletrnico, estamos lidando com um meio de armazenamento de
informaes bastante voltil. Nesse sentido, o documento deve possuir no mnimo as seguintes
caractersticas: a) permitir a identificao das partes intervenientes, de modo inequvoco, a
partir de sinal ou sinais particulares e b) no possa ser adulterado sem deixar vestgios
localizveis, ao menos atravs de procedimentos tcnicos sofisticados, assim como ocorre com
o documento em suporte papel.
3.5 Conceito de escrito, original e assinatura em papel X eletrnico

O conceito de escrito eletrnico difere do escrito consignado em papel porque, enquanto este
visvel, aquele, pelo fato de ser uma seqncia de bits, precisa de componentes tecnolgicos
para ser interpretado. O conceito de original eletrnico tambm diferente do original em
suporte papel, porque enquanto neste, o resultado da primeira impresso, no eletrnico,
qualquer reproduo que mantenha o formato original (mesma seqncia de bits) tambm
original. A assinatura em documento de eletrnico tambm difere da assinatura lavrada em
papel porque pela sua volatilidade pode ser copiada e colada em qualquer documento digital.
3.6 Requisitos para assinatura em documentos eletrnicos

A eficcia probatria da assinatura digital em documentos eletrnicos requer o cumprimento
de no mnimo dois requisitos:
Garantia de autenticidade: Garantir a identificao e associao (ciente) do autor ao

contedo de forma que uma assinatura esteja logicamente vinculada a um nico
documento de forma inequvoca.
Garantia de integridade: A qualquer momento poder verificar se o contedo assinado

est ntegro, ou seja, invalidar a assinatura quando o contedo assinado for alterado.
3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e

digital
A assinatura eletrnica gnero, tendo como espcies uma das seguintes classificaes
possveis:
Assinatura digitalizada: uma imagem eletrnica (digitalizao) da assinatura
manuscrita e, portanto uma seqncia de bits que pode ser copiada e colada em
qualquer documento eletrnico. No segura para assinar documentos eletrnicos
porque no pode garantir integridade nem autenticidade do contedo assinado.
Assinatura baseada em biometria: Reconhecimento de padres como impresso digital,
geometria da face, ris, voz, DNA etc. Adequada para controle de acesso lgico como
logins, senhas etc. e controle de acesso fsico como catracas, portas etc. Assim como a
digitalizada, a assinatura baseada em biometria uma seqncia de bits que pode ser
copiada e colada em qualquer documento eletrnico e, portanto tambm no pode
garantir integridade nem autenticidade do contedo assinado.
Assinatura Digital: Tem equivalncia funcional em relao a assinatura manuscrita
lavrada em papel, possibilita a qualquer momento verificar se o contedo assinado foi
10
alterado (integridade), com Certificao Digital pode garantir a identificao do

assinante (autenticidade), garante uma conexo (lgica) entre um documento e sua
respectiva assinatura, pode ser utilizada para autenticao de cpias eletrnicas
(documentos digitalizados) quando usada com Certificao Digital e pode garantir
eficcia probatria de contedos e processos eletrnicos. o principal componente de
uma ICP.
MDULO 4 - Infra-estrutura de Chaves Pblicas

ICP(PKI)
4.1 Componentes da Certificao Digital
Os componentes da Certificao Digital so as Infra-estruturas de Chaves Pblicas, compostas
por Autoridades Certificadoras que por sua vez so compostas por Autoridades de Registro.
Esses componentes tem como principal objetivo prover identidades digitais para viabilizar a
identificao de agentes, assinatura digital, confidencialidade e autenticao de documentos
digitais. Todos esses componentes, suas funcionalidades e respectivas tecnologias envolvidas
sero a seguir detalhadas.
4.2 Criptologia, criptografia e criptoanlise

CRIPTOLOGIA:
"Cripto" vem do grego "kryptos" e significa oculto, envolto, escondido. Tambm do grego,
"graphos" significa escrever, "logos" significa estudo, cincia e "analysis" significa
decomposio. Da, CRIPTOLOGIA o estudo da escrita cifrada e se ocupa com a
CRIPTOGRAFIA e com a CRIPTOANLISE.
Hoje em dia a criptografia voltou a ser muito utilizada devido evoluo dos meios de
comunicao, facilidade de acesso a estes meios e ao volume muito grande de mensagens
enviadas. Telefone fixo e celular, fax, e-mail, etc. so amplamente utilizados e nem sempre os
usurios querem que o contedo seja pblico. Devido a isto, a criptografia evoluiu muito nos
ltimos tempos.
Como visto acima, a criptografia a cincia de escrever mensagens que ningum, exceto o
remetente e o destinatrio, podem ler. Criptoanlise a cincia de decifrar e ler estas
mensagens cifradas.
As palavras, caracteres ou letras da mensagem original inteligvel constituem o Texto ou
Mensagem Original, como tambm Texto ou Mensagem Clara. As palavras, caracteres ou
letras da mensagem cifrada so chamados de Texto Cifrado, Mensagem Cifrada ou
Criptograma.
O processo de converter Texto Original em Texto Cifrado chamado de composio de cifra e
o inverso chamado de decifrao.
Na prtica, qualquer mensagem cifrada o resultado da aplicao de um SISTEMA GERAL
(ou algoritmo), que invarivel, associado a uma CHAVE ESPECFICA, que pode ser
varivel e tanto o remetente quanto o destinatrio precisam conhecer o sistema e a chave.
A criptologia existe como cincia h apenas 20 anos. At ento era considerada como arte. A
International Association for Cryptologic Research (IACR) a organizao cientfica
internacional que mantm a pesquisa nesta rea.
11
A criptologia se preocupa basicamente com a segurana de informaes. A segurana da

informao se manifesta de vrias formas, de acordo com a situao e as necessidades. At
recentemente, informaes importantes eram escritas, autenticadas, armazenadas e
transmitidas utilizando-se papel e tinta.
Com o advento dos computadores, dos meios magnticos de armazenamento e das
telecomunicaes, a possibilidade de se produzir milhares de documentos idnticos faz com
que fique muito difcil (ou at mesmo impossvel) distinguir as cpias do original. A
identificao, validao e autorizao de um documento eletrnico exigem tcnicas especiais.
A criptografia uma delas.
CRIPTOGRAFIA:
A palavra Criptografia tem sua origem no Grego: kryptos significa oculto, envolto, escondido,
secreto; graphos significa escrever, grafar. Portanto, criptografia significa escrita secreta ou
escrita oculta. As formas de ocultar mensagens so as mais diversas. Existem basicamente dois
tipos de criptografia: Clssica que utiliza tcnicas convencionais nos processos de ocultao
da informao e Quntica que utiliza tcnicas baseadas em princpios da Mecnica Quntica.
CRIPTOANALISE:
Criptoanlise a cincia para quebrar uma mensagem cifrada. No o mesmo que decifrar.
Decifrar obter a mensagem original quando se conhece o sistema e usando a chave tambm
conhecida. Quebrar hackear o sistema e descobrir a chave.
Texto extrado de http://www.numaboa.com.br/criptologia/intro.php em 30/03/07.
4.3 Criptografia clssica

Nos problemas estudados pela criptografia existem dois personagens que desejam comunicarse atravs de um canal inseguro. Toda a comunicao, entretanto, pode ser interceptada por um
terceiro personagem, que no deveria tomar conhecimento da informao trocada. Para cifrar
uma mensagem precisa-se de um algoritmo, e uma certa informao adicional (chamada
chave), alm da prpria mensagem. Para um sistema de criptografia ser seguro ele deve ser tal
que seja impossvel decifrar a mensagem cifrada (criptograma) sem a posse da chave. O
criptograma pode at ser lido, mas no pode, em hiptese alguma, ter revelado seu contedo
original. Na prtica, como esse requisito muito difcil de ser alcanado, aceita-se que o
sistema seja muito difcil de ser quebrado, permitindo que a mensagem permanea oculta pelo
menos enquanto aquela informao for importante. Os algoritmos da criptografia clssica
podem ser divididos em duas categorias: os simtricos (ou de chave secreta) e os assimtricos
(ou de chave pblica). Os primeiros so aqueles nos quais o remetente e destinatrio
compartilham a mesma chave. Os algoritmos assimtricos so aqueles nos quais o remetente
publica uma chave que serve para cifrar as mensagens a ele enviadas, mas ao mesmo tempo
possui uma chave privada, somente com a qual ele pode decodificar as mensagens recebidas.
4.4 Criptografia simtrica

A criptografia simtrica utiliza uma nica chave para cifrar e decifrar contedos eletrnicos e
tem a vantagem de ser muito rpida comparada a criptografia assimtrica. Porm, tem dois
principais inconvenientes: 1) o remetente e destinatrio precisam compartilhar o segredo
(chave) atravs de um canal confivel; 2) tem o inconveniente da multiplicao de chaves,
porque para cada par remetente/destinatrio pode ser necessria uma chave diferente.
12
4.5 Exerccio 1: a importncia do no compartilhamento de

segredo
Nos tempos Coloniais:
Como D. Joo VI de Portugal, poderia comunicar-se em sigilo com D. Pedro I no Brasil sem
compartilhar segredo?
1. D. Joo e D. Pedro tm um nico ba que pode ser fechado com cadeado.
2. D. Joo tem o seu cadeado com a respectiva chave.
3. D. Pedro tem outro cadeado com a respectiva chave.
4. D. Joo est visitando D. Pedro no Brasil e deseja criar um processo para trocar
mensagens utilizando o ba sem compartilhar segredo, ou seja, D. Joo no deve
conhecer a chave do cadeado de D. Pedro e vice versa.
5. Vamos ajudar D. Joo a criar esse processo passo a passo.
4.6 Principais algoritmos para criptografia simtrica
DES: (Data Encryption Standard) 56 bits, criado pela IBM em 1977. Quebrado em
1997.
3DES: Triple DES, tripla codificao utilizando 3 vezes o DES. Criado no incio da
dcada de 90. muito lento para grandes volumes.
AES: (Advanced Encryption Standard) 128 ou 256 bits. Nomeado em 2001 do
Rijndael a partir de um concurso vencido em 2000 patrocinado pelo NIST.
Atualmente o mais utilizado.
4.7 Criptografia assimtrica ou de chaves pblicas

A maneira de contornar os problemas da criptografia simtrica a utilizao da criptografia
assimtrica ou de chave pblica. A criptografia assimtrica est baseada no conceito de par de
chaves: uma chave privada e uma chave pblica. Qualquer uma das chaves utilizada para
cifrar uma mensagem e a outra para decifr-la. As mensagens cifradas com uma das chaves do
par s podem ser decifradas com a outra chave correspondente. A chave privada deve ser
mantida secreta, enquanto a chave pblica pode ser disponibilizada livremente.
Exemplo de funcionamento:
1. A pessoa A que deseja se comunicar de maneira segura obtm uma chave de
criptografia (pblica) e a sua correspondente chave de decriptografia (privada).
2. A pessoa B que deseja se comunicar com A precisa encontrar a chave pblica de A e
criptografar a mensagem utilizando esta chave.
3. Quando A receber a mensagem criptografada pela pessoa B vai decriptograf-la
utilizando a sua chave privada (que s o A tem).
4. Caso um intruso intercepte a mensagem criptografada, no poder fazer nada com ela,
pois no possui a chave privada e, portanto, no conseguir decriptograf-la. Nem
mesmo a pessoa B, que gerou a mensagem criptografada, ser capaz de recompor a
mensagem original, pois tambm no possui a chave privada.
A grande vantagem deste sistema permitir que qualquer pessoa possa enviar uma mensagem,
bastando para tanto conhecer a chave pblica de quem ir receber a mensagem. Como a
pessoa titular da chave pblica ir torn-la amplamente disponvel, no h necessidade do
envio de chaves como feito no modelo de criptografia simtrica. Enquanto a chave privada
estiver segura, a mensagem estar resguardada de possveis intrusos.
13
4.8 Principais algoritmos para criptografia assimtrica
Diffie-Hellman: Criado em 1976. baseado em logaritmo discreto. Marca o

surgimento da Criptografia Assimtrica. Pode ser usada somente para troca de chaves.
No permite Assinatura Digital.
ElGAmal: (Taher Elgamal) criado em 1984. Tambm baseado num problema de
logaritmo discreto. Hoje vulnervel a ataques.
Curvas Elpticas: Criado em 1985 por Neal Koblitz e V. S. Miller para ser usado com
algoritmos Diffie-Hellman e ElGAmal.
RSA: Criado em 1978 no MIT. hoje o mais utilizado em todo o mundo.
4.9 O algoritmo RSA

Para explicitar a matemtica do RSA, considera-se como Origem quem ir criptografar e
enviar a informao e Destino quem ir receber e decriptografar a informao:
1. Destino escolhe dois nmeros primos gigantes, p e q. Os primos devem ser enormes,
mas para simplicidade vamos dizer que Destino escolhe p=17 e q=11. Ele deve manter
esses nmeros em segredo.
2. Destino multiplica os nmeros um pelo outro para conseguir um terceiro nmero, N
(Mdulo). Neste caso, N=187. Ele agora escolhe outro nmero e (expoente). Neste
exemplo, e=7.
3. Destino agora pode divulgar e (expoente) e N (Mdulo) por qualquer canal de
publicao com garantia de integridade (como um certificado digital). Como esses

nmeros so necessrios para a cifragem, eles devem estar disponveis para consulta
por parte de qualquer um que deseje cifrar uma mensagem para Destino. Juntos, esses
nmeros so chamados de chave pblica. (Alm de ser parte da chave pblica de
Destino, o e tambm pode ser parte da chave pblica de todos. Contudo, cada pessoa
deve ter um valor diferente de N, que vai depender de sua escolha de p e q.).
4. Para cifrar uma mensagem, ele primeiro precisa ser convertido em um numero, M. Por
exemplo, uma palavra convertida em dgitos binrios ASCII e os dgitos binrios

podem ser considerados como um nmero decimal. M ento cifrado para produzir o
texto cifrado C, de acordo com a frmula.
C=Me (mod N)
5. Supondo que Origem queira enviar apenas a letra X para Destino. No ASCII isto
representado por 1011000, que equivale a 88 em decimais. Assim, M=88.

6. Para cifrar sua mensagem, Origem comea procurando a chave pblica de Destino e
descobre que N=187 e e=7. Isto resulta na frmula de cifragem necessria para
codificar as mensagens para Destino.
Com M=88, a frmula d como resultado C=887 (mod 187) = 40.867.559.636.992 (mod
187) = 11
Origem agora envia o texto cifrado, C=11, para Destino.
14
7. Sabe-se que exponenciais em aritmtica modular so funes de mo nica, de modo
que muito difcil recuperar a mensagem original, M, a partir de C=11. Algum com
acesso apenas a essas informaes no pode decifrar a mensagem.
8. Entretanto, Destino pode decifrar a mensagem porque tem uma informao especial:
conhece os valores de p e q. Calcula um nmero especial, d, a chave de decifragem,

conhecida tambm como chave privada. O nmero d calculado de acordo com a
seguinte frmula:
e x d = 1 (mod (p-1) x (q-1))
7 x d = 1 (mod 16 x 10)
7 x d = 1 (mod 160)
d = 23
9. Para decifrar a mensagem, Destino simplesmente usa a seguinte frmula:
M= Cd (mod187)
M = 1123 (mod187) = 88 = X in ASCII
4.10 Premissas de confiana para chaves pblicas e privadas
1 - Premissa pblica: O titular de um par de chaves assimtricas conhecido pela sua

chave pblica.
2 - Premissa privada: O titular de um par de chaves assimtricas quem conhece a sua
conhece sua chave privada
1 - A premissa pblica envolve duas crenas:
1.1 - Crena sinttica: A associao entre os bits que representam a chave pblica,
e os que representam o nome do seu titular, autntica.
1.2 - Crena semntica: O nome que d ttulo chave pblica o de algum com
quem se tem relao de significado.
2- A premissa privada envolve duas crenas:
2.1 - Crena sinttica: A posse e o acesso chave privada restringe-se a

quem nomeado seu titular.
2.2 - Crena semntica: O uso autenticatrio da chave privada significa declarao,
por parte do titular, de sua vontade ou autoria.
4.11 Garantia de sigilo de contedos com criptografia assimtrica

A garantia de sigilo de contedos eletrnicos com criptografia assimtrica em uma transmisso
de dados por uma rede aberta como a Internet, por exemplo, pode ser realizada conforme
figura 4.11.1 abaixo. No exemplo, o emissor criptografa um contedo normal com a chave
pblica do receptor. O contedo criptografado trafega pela Internet at chegar ao receptor. O
receptor para decriptografar o contedo recebido utiliza a sua chave privada e assim torna o
contedo criptografado um contedo normal. O sigilo ser garantido se o receptor manteve sua
chave criptogrfica secreta, porque assim somente o receptor ter condies de decriptografar
o contedo recebido. importante observar que no houve compartilhamento de segredo
15
(chave). Cada um (emissor e receptor) utilizou chave diferente e a chave de quem recebeu o
contedo no precisou ser compartilhada.
Figura 4.11.1: Garantia de sigilo com criptografia assimtrica
4.12 Vantagens da combinao da criptografia simtrica com a

assimtrica
possvel melhorar o desempenho de um processo de criptografia, combinando a criptografia
simtrica com a assimtrica:
A criptografia assimtrica no adequada para decifrar grandes volumes de dados,
pois mais lenta devido sua complexidade. Pode ser usado um esquema que
combina criptografia simtrica com a assimtrica.
Gera-se uma chave simtrica para ser usada apenas em numa sesso, documento ou
arquivo a ser cifrado.
Cifra-se a chave simtrica com a chave pblica do receptor e envia-se ao mesmo.
Inicia-se a transmisso cifrada propriamente dita com criptografia simtrica (mais
rpida).
A combinao pode ser por contedo ou transmisso:
Proteo de contedo: aplicada documentos digitais, mensagens de e-mail, arquivos
etc.
Uma vez aplicada, protege sempre o contedo, seja no armazenamento seja na
transmisso.
A chave simtrica cifrada com chave pblica do receptor enviada junto com o
contedo.
Proteo de transmisso ou sesso:
S protege durante a transmisso. Antes e depois os dados ficam desprotegidos.
A chave simtrica de sesso transferida no incio da sesso e destruda no
final da sesso.
16
4.13 Criptografia com XML

O XML Encryption utilizado para cifrar contedos, gerando como resultado um documento
padro XML. Pode-se cifrar qualquer dado incluso no XML, documento completo XML,
elementos XML e contedo de um elemento XML.
Alguns componentes:
EncryptedData: Dados cifrados substituindo o que foi cifrado.
EncryptionMethod: Algoritmo utilizado.
EncryptionProperties: Informaes adicionais sobre o processo de cifragem e sobre os
dados cifrados.
4.14 Perspectivas com o surgimento da criptografia quntica

O desenvolvimento da tcnica reunindo o conceito de criptografia e a teoria quntica mais
antigo do que se imagina, sendo anterior descoberta da criptografia de Chave Pblica.
Stephen. Wiesner escreveu um artigo por volta de 1970 com o ttulo: Conjugate Coding que
permaneceu sem ser publicado at o ano de 1983. Em seu artigo, Wiesner explicava como a
teoria quntica poderia ser usada para unir duas mensagens em uma nica transmisso
quntica na qual o receptor poderia decodificar cada uma das mensagens, porm nunca as duas
simultaneamente devido impossibilidade de violar uma lei da natureza (o Princpio de
Incerteza de Heisenberg).
Utilizando-se ftons, a Criptografia Quntica permite que duas pessoas escolham uma chave
secreta que no pode ser quebrada por qualquer algoritmo, em virtude de no ser gerada
matematicamente, mesmo se utilizando um canal pblico e inseguro. interessante notar a
mudana que se processar nos mtodos criptogrficos que, atualmente, esto amparados na
Matemtica, mas com a introduo desse conceito de mensagens criptografadas por chaves
qunticas passam a ter na Fsica sua referncia.
O conceito de Criptografia Quntica no pode se confundir com o de Computao Quntica,
pois os computadores qunticos sero aqueles com capacidade de processamento
inimaginavelmente maior do que os atuais, por possurem (ainda teoricamente) a capacidade
de realizar clculos simultneos, o que acabaria por eliminar a segurana de mtodos de chave
assimtrica, como o RSA, podendo realizar ataques de fora bruta quase que
instantaneamente. A Criptografia Quntica, por sua vez, trata da utilizao de princpios
fsicos da matria para permitir criar uma chave secreta que no pode ser quebrada (nem por
um computador quntico).
Para podermos compreender melhor como funciona um Sistema de Distribuio de Chaves
Qunticas, precisaremos inicialmente entender os conceitos envolvidos na distribuio da
chave atravs de um canal seguro de comunicao quntica. Do ponto de vista da teoria
quntica precisamos ter em mente que o Princpio da Incerteza de Heisenberg nos permite
garantir que no possvel se determinar, ao mesmo tempo, todos os estados fsicos de uma
partcula sem se interferir na mesma, alterando-a de forma inegvel. Aliado a isto, temos o
comportamento dos ftons, que num momento se apresentam como uma partcula noutro
como uma onda e, neste caso, possuem duas caractersticas fundamentais que so seu campo
magntico (B) e o campo eltrico (E). O ngulo que o campo eltrico de um fton faz em
relao ao seu plano de deslocamento chamado de plano de polarizao e com essas
caractersticas que iremos transmitir as informaes de uma forma totalmente segura.
17
O estabelecimento de protocolos visa facilitar os procedimentos de comunicao sem,

contudo, diminuir sua segurana. No caso da Criptografia Quntica isso particularmente
verdade. Os protocolos qunticos utilizam dois canais, um pblico e outro quntico. Estes
canais so utilizados para se combinar a chave secreta entre o emissor e o receptor da
mensagem. Atravs do canal quntico o emissor envia uma srie de ftons com polarizaes
diferentes, de acordo com o protocolo adotado e que sero medidos pelo receptor de modo a
formarem uma chave secreta de conhecimento somente de ambos e que pode ser alterada a
cada envio de mensagem, aumentando ainda mais a segurana do mtodo. Os ftons podem
ser enviados com polarizaes em quaisquer ngulos, mas a definio de alguns ngulos
notveis facilita muito a medida O estabelecimento desses ngulos faz parte dos protocolos
acima citados. Vamos considerar ento ftons com polarizao vertical (|), horizontal (),
inclinado direita (/) e esquerda (\). Essas polarizaes sero utilizadas para se representar
os 0s e 1s a serem transmitidos e podem ser combinados livremente, desde que os pares
ortogonais sejam diferentes entre si (se o vertical for o 0, o horizontal ser o 1, etc.). O emissor
passa, ento a enviar uma srie deles anotando a polarizao de cada um deles na ordem em
que vai ser enviada. O receptor, por sua vez, prepara uma srie de filtros adequados para medir
a polarizao dos ftons e passa a efetuar as medidas anotando tambm a ordem que utilizou
nos filtros e o resultado que obteve. Aps uma srie de alguns ftons ele vai ter vrias medidas
nas quais os ftons passaram atravs dos filtros (aqui cabe ressaltar que esses ftons, agora,
esto todos alterados pelas medidas efetuadas e qualquer pessoa que tivesse acesso
mensagem no conseguiria mais recuperar seu contedo original) e pode se comunicar com o
emissor atravs de qualquer canal pblico (telefone, e-mail, carta, etc.) enviando, no os
resultados que obteve, mas os filtros que adotou para cada medida. Assim o emissor pode,
analisando esta informao dizer para ele (atravs do prprio canal pblico) quais destas
medidas foram corretas e, a partir da, ambos tm uma chave para transmitir suas mensagens
de forma segura.
Vamos analisar o porque da segurana do mtodo. Se qualquer um interceptasse a mensagem e
efetuasse as medidas antes do receptor faz-lo, alteraria a informao que estava sendo
transmitida e, quando houvesse a comunicao entre o emissor e o receptor eles perceberiam
que o nmero anormal de erros de medio seria fruto de uma tentativa no autorizada de
leitura da mensagem. Agora se o interceptador quisesse fazer as medidas aps o receptor
receber a mensagem s encontraria uma srie de ftons j alterados e, mesmo com a
informao de quais filtros foram utilizados, ele no conseguiria recuperar a mensagem
original, pois lhe faltaria a informao de qual resultado foi obtido para as medidas efetuadas
ou o conjunto inicial enviado, pois ambos permanecem em sigilo com o receptor e o emissor,
respectivamente. Com base nos ftons que o emissor recebeu e mediu corretamente cria-se
uma chave segura e secreta para comunicao das mensagens entre eles, contando tambm,
adicionalmente, com um denunciador de intruso o que permite um incremento na segurana
de comunicao de dados jamais sonhado.
O maior problema para implementao da Criptografia quntica ainda a taxa de erros na
transmisso e leitura dos ftons seja por via area ou por fibra tica. Os melhores resultados
obtidos atualmente se do em cabos de fibra tica de altssima pureza, e conseqentemente
elevadssimo custo tambm, alcanando algo em torno de 70 km. Por via area a distncia
chega a algumas centenas de metros e qualquer tentativa de se aumentar essa distncia tanto
em um, quanto em outro mtodo, torna a taxa de erros muito grande e inviabiliza o processo.
O desenvolvimento de tecnologias que permitam o perfeito alinhamento dos polarizadores,
fibras ticas melhores e amplificadores qunticos de sinais, permitir que o sistema de
Distribuio de Chaves Qunticas venha a ser o novo padro de segurana de dados. A
segurana incondicional se deve aos conhecimentos atuais de nossa cincia e, se porventura,
for encontrada uma brecha no mtodo, preceitos fundamentais da Fsica tambm sero
18
abalados e uma reviso na Teoria Quntica precisar ser feita. interessante notar que esta
mesma teoria que, ao criar o computador quntico que vir a abalar a segurana das atuais
chaves pblicas e algoritmos RSA nos dar uma ferramenta ainda mais segura para
comunicao de dados em segredo.
A Criptografia Quntica se destaca em relao aos outros mtodos criptogrficos, pois no
necessita do segredo prvio, permite a deteco de leitores intrusos e incondicionalmente
segura, mesmo que o intruso tenha poder computacional ilimitado. Por apresentar um elevado
custo de implantao, ainda no um padro adotado de segurana nas comunicaes, mas o
desenvolvimento tecnolgico poder torn-la acessvel a todas as aplicaes militares,
comerciais e de fins civis em geral. Por fim, como a Criptografia Quntica oferece a
possibilidade de criar uma chave segura por meio da utilizao de objetos qunticos sendo que
depois as mensagens continuam a serem enviadas por canais comuns, a terminologia mais
correta para o mtodo seria Distribuio de Chave Quntica (Quantum Key Distribution QKD).
Extrado de http://www.numaboa.com.br/criptologia/lab/quantica.php em 02/03/07.
4.15 Funes hash (resumo de mensagens)

Uma funo hash uma equao matemtica que utiliza um contedo eletrnico de qualquer
tamanho para criar um cdigo resumo de mensagem chamado de message digest. Uma funo
hash deve ter pelo menos duas propriedades que a tornem segura para uso criptogrfico.
Deve gerar cdigos Hash irreversveis, ou seja, o resumo deve ser tal que seja
impossvel recompor o contedo original a partir do cdigo hash.
Deve evitar cdigos repetidos para contedos diferentes (resistente a colises), ou seja,
dois contedos diferentes no devem gerar o mesmo resumo.
A capacidade de descobrir uma mensagem que d um hash a um dado valor possibilita a um

agressor substituir uma mensagem falsa por uma mensagem real que foi assinada. Permite
ainda que algum rejeite de forma desleal uma mensagem, alegando que, na realidade, assinou
uma mensagem diferente.
A capacidade de descobrir duas mensagens distintas que dem um hash ao mesmo valor
possibilita um tipo de ataque no qual algum induzido a assinar uma mensagem que d um
hash ao mesmo valor como sendo outra mensagem com um contedo totalmente diferente.
4.16 Garantia de integridade de contedos eletrnicos com

cdigos hash
A garantia de integridade de contedos eletrnicos com cdigo hash bastante simples. Ao se
produzir um contedo eletrnico, gera-se um resumo do mesmo utilizando-se uma funo
hash. O contedo ao ser transmitido ou armazenado deve ser acompanhado do respectivo
resumo. Em qualquer tempo, a posteriori, quem acessar o contedo pode verificar sua
integridade, bastando para isso gerar um novo resumo (usando a mesma funo hash aplicada
na produo do contedo) e comparar com o resumo anterior. Se os dois resumos forem
exatamente iguais, pode-se ter certeza da integridade do contedo, ou seja, a garantia que o
contedo no foi alterado desde a gerao do resumo anterior.
19
4.17 Principais algoritmos para resumos de mensagens
MD4: (Message Digest) Criado por Ron Rivest da empresa RSA (RSA Security). Gera
um resumo com comprimento de 128 bits. Efetua uma manipulao de bits para obter
o valor do hash de forma rpida. (vrios ataques foram detectados, o que fez com que o
algoritmo fosse considerado frgil).
MD5: uma extenso do MD4. Gera um resumo de 128 bits. A obteno do valor de
hash mais lenta, mas mais seguro. usado pelo PGP (Pretty Good Privacy).
SHA1: (Secure Hash Algorithm). Desenvolvido pelo NIST (National Institute of
Standards and Technology). Gera um resumo de 160 bits. Seu desenvolvimento tem
muita relao com o MD5. considerado mais seguro que o MD4 e MD5 e pelo seu
tamanho hoje um dos mais recomendados e utilizados.
4.18 Assinatura Digital: componentes, padres e processos
Principais Componentes da Assinatura Digital:

Funo Hash (resumo do documento eletrnico).
Criptografia assimtrica gerando chave privada e chave pblica para assinatura
e verificao.
Algoritmos de assinatura, verificao etc.
Principais Padres para Assinatura Digital:
RSA Criptografia padro comercial
DSA Criptografia padro governamental americano
ECC Criptografia curvas elpticas
MD5 Funo hash chave 128 bits
SHA1 Funo hash chave 160 bits
Principais Processos de Assinatura Digital:
Gerao da assinatura digital
Verificao da assinatura digital
Gerao da assinatura digital:

Dado um documento de qualquer tamanho, utiliza-se uma funo no reversvel
hash para se produzir um cdigo de tamanho fixo, associado univocamente ao
documento.
Com a chave privada de quem deseja assinar o documento, cifra-se o cdigo hash
(resumo) gerado anteriormente pela funo hash.
A assinatura digital estabelece uma relao nica entre o documento assinado e a
pessoa que est assinando.
No torna o documento eletrnico assinado imune a alterao, apenas logicamente
imutvel.
A assinatura no nica por pessoa que assina documentos eletrnicos porque
gerada cifrando-se o resumo que diferente para cada documento eletrnico.
nica por documento, pois gerada a partir de cada contedo assinado.
O par de chaves criptogrficas paragerar e conferir a assinatura nico.
Verificao da Assinatura Digital:
A verificao da assinatura se d pela chave pblica de quem assinou o documento.
possvel verificar se os dois requisitos de uma assinatura esto atendidos.
A integridade verificada com a gerao de um novo resumo e comparao com o
resumo gerado no momento da assinatura.
20
A autenticidade (identificao do autor da assinatura) realizada identificando-se pela

chave publica o titular da chave privada que realizou a assinatura.
4.19 Assinatura Digital com XML

O XML Signature pode ser utilizado para assinar documentos ou partes de qualquer
documento XML. Com a flexibilidade oferecida pelo padro XML, dados podem ser filtrados
e transformados antes de serem assinados. Assim pode-se escolher o que assinar e como
assinar.
Formas de utilizao:
Detached: Assinatura um elemento separado do documento XML assinado.
Enveloped: Assinatura um elemento filho do documento XML assinado.
Enveloping: O contedo do documento XML assinado um elemento filho da
assinatura digital XML.
4.20 Certificados Digitais: fundamentos, gerao, validao e

revogao
De forma mais especfica, a Certificao Digital consiste em:
Gerao, expedio e controle de Certificados Digitais (identidades digitais) por
Autoridades Certificadoras ACs.
As ACs so entidade de confiana do solicitante do Certificado Digital para garantir a
identidade dos envolvidos em uma operao eletrnica.
Os Certificados Digitais so componentes de confiana do ambiente virtual;
possibilitam associao entre uma chave pblica e uma pessoa ou dispositivo e devem
ter prazo de validade por causa da evoluo da criptoanlise. A distribuio feita
atravs de publicao em diretrios pblicos. So arquivos eletrnicos que contm
informaes de identificao, permitindo assegurar a identidade de quem assina uma
mensagem ou documento eletrnico. Tem como principais componentes: informaes
de identificao titular, chave pblica do titular, nome da Autoridade Certificadora que
gerou o Certificado Digital e Assinatura Digital da Autoridade Certificadora. Permitem
a qualquer momento atestar a titularidade de uma chave criptogrfica. A vinculao
entre o Certificado Digital e o titular deve ser garantida pela Autoridade de Registro
AR.
Uma AR deve ser responsvel pela identificao presencial do solicitante de um
Certificado Digital para evitar que se produzam Certificados Digitais falsos ou em
nome de outra pessoa que no seja o solicitante.
Em um processo de Assinatura Digital, o Certificado Digital que pode garantir a
autenticidade.
A gerao de um Certificado Digital envolve as seguintes fases:
Cadastramento do titular
Gerao do par de chaves
Criao do Certificado
Entrega do Certificado
Publicao do Certificado
Backup das chaves
A validao de um Certificado Digital envolve as seguintes fases:
Busca do Certificado
21
Validao do Certificado
Recuperao da chave
Utilizao da chave
A revogao de um Certificado Digital deve considerar no mnimo:

O vencimento do Certificado e a revogao do Certificado.
A Gravao do Histrico da chave e o arquivamento da chave.
Um Certificado deve ser revogado, caso haja comprometimento da chave privada da
AC ou da chave privada do titular do certificado.
A AC deve disponibilizar o OCSP (On-line Certificate Status Protocol) e
periodicamente emitir e publicar uma Lista de Certificados Revogados (LCR).
Principais motivos para revogao de um certificado digital conforme padro ISO:
Comprometimento da chave privada do titular (perda, roubo, obsolescncia etc).
Comprometimento da chave privada da AC (compromete todos da AC).
Mudana de filiao: Alterao dados do titular.
Atualizao: Outros dados do Certificado.
Cancelamento da operao: Quando esgotou propsito.
Suspenso temporria do Certificado.
No especfico: Diferente dos acima citados.
4.21 Gesto de Chaves (XKMS)

O XKMS (XML Key Management Specification) um padro aberto desenvolvido para
suprimir a complexidade de trabalhar com a gesto de chaves em Infra-estruturas de Chaves
Pblicas. O servio XKMS permite a localizao e validao de chaves e atua como um
agente que busca tirar a complexidade no trato com uma ICP. O XKMS pode ser usado na
busca e validao de cadeias de certificao, por exemplo. A especificao no se preocupa
qual ICP estar disponvel para interface XKMS, no descrevendo como chaves, certificados,
etc. podero ser recuperados/validados. Para o caso de usar o X.509, a infra-estrutura poderia
ser simplesmente um repositrio de chaves e certificados acessado pelo XKMS, com uma
relao hierrquica de Autoridades Certificadoras vlidas. O XKMS prov dois subprotocolos: XML Key Information Service Specification X-KISS, para a localizao e
validao de chaves, certificados, etc.; e o XML Key Registration Service Specification XKRSS, responsvel pelo registro, revogao,renovao e recuperao de chaves.
4.22 Autoridades Certificadoras e Autoridades de Registro

A Autoridade Certificadora uma terceira parte de confiana, semelhante a um setor de
emisso de documentos. Autoridades Certificadoras so responsveis por emitir, revogar,
renovar e fornecer diretrios de Certificados digitais. As Autoridades Certificadoras devem
seguir procedimentos rigorosos para autenticar os indivduos e organizaes a quem emitem
Certificados. Todo Certificado Digital "assinado" com a chave privativa da Autoridade
Certificadora para garantir a autenticidade. A chave pblica da Autoridade Certificadora
amplamente distribuda. Todo o processo de identificao do solicitante de um Certificado
Digital deve ser realizado por uma Autoridade de Registro.
Conforme figura 4.22.1 abaixo, as Autoridades Certificadoras e Autoridades de Registro
estruturam-se de forma hierrquica onde cada Autoridades de Registro vincula-se a uma
22
Autoridade Certificadora e cada Autoridade Certificadora vincula-se a uma Autoridade

Certificadora Raiz.
Figura 4.22.1: Autoridades Certificadoras e de Registro.
4.23 Autenticidade e autenticao com certificados digitais

Os cinco principais requisitos necessrios para que as garantias de autenticidade e autenticao
de agentes com uma ICP sejam viabilizados so:
1 Um sistema criptogrfico com nvel contra criptoanlise seguro.
2 O Sigilo da chave privada com os seguintes nveis de proteo*:
No computador (bsico, no portvel e sem custo).
Em CD (intermedirio, portvel e de baixo custo).
Em Smart Card (avanado, portvel e com maior custo).
Em Token (avanado, portvel e com menor custo global).
3 Funo Hash adequada com resistncia a colises.
4 Autoridade Certificadora confivel.
5 Ambiente computacional adequado.
*Acesso por senha, sendo recomendvel o uso da biometria
4.24 Hierarquia de uma ICP e certificao cruzada

Hierarquia:
A Certificao Digital garante autenticidade e viabiliza as funcionalidades de:
Assinatura Digital que garante a integridade e o
Sigilo que garante a confidencialidade.
A Certificao cruzada pode ser de dois tipos:
23
Unilateral: quando uma AC de uma determinada ICP X confia em uma AC de outra

ICP Y, mas no o contrrio.
Mtua: quando essa confiana e recproca.
4.25 Normas e padres para operacionalizao de uma ICP

A operacionalizao de uma ICP deve, no mnimo, estabelecer e seguir:
Um documento de polticas da ICP;
O papel de cada componente da ICP;
As responsabilidades a serem assumidas pelos usurios da ICP;
Os procedimentos para manuteno das chaves;
A Declarao de prticas de certificao DPC, onde;
ideal uma DPC para cada componente da ICP.
4.26 Modelos de ICP e sua utilizao em alguns pases do mundo

Principais modelos de ICP so os seguintes:
Modelo Isolado: Hierrquico com AC-Raiz nica.
Modelo Floresta: Vrias ICPs independentes (pode ter certificao cruzada entre
algumas AC-Razes).
Modelo em Malha: Semelhante a floresta, mas com certificao cruzada entre todas as
AC-Razes.
Modelo com Ponte: Semelhante a floresta onde cada AC-Raz tem certificao cruzada
com uma entidade central denominada PONTE.
Modelo Internet: AC-Razes de certificados confiveis pelo navegador j vem prinstaladas.
Aplicao dos modelos em alguns pases do mundo:
Modelo EuroPKI:
Operacionalizada por rgo no governamental e baseado em Universidades e
organizaes privadas.
Adota o modelo de ICP isolado (AC-Raiz nica).
A autoridade de polticas e a prpria estrutura da organizao denominada como EuroPKI.
Sem restrio quanto a certificao cruzada.
Fortemente baseada nas Universidades Italianas.
Modelo Canadense:
Objetivo: Incentivar o comrcio eletrnico.
Autoridade de Polticas vinculada a Secretaria do Tesouro canadense.
Modelo floresta com uma ICP do Governo do Canad funcionando como ponte.
Sem restrio para certificaes cruzadas.
Processos e algoritmos da ICP do governo (ponte) baseados em padres abertos.
Modelo Federal dos Estados Unidos:
Objetivo: Integrao entre ICPs de agncias nacionais e ICPs de departamentos
estaduais.
Muitas ICPs isoladas (grande floresta).
Tentativa de criao de uma entidade Federal para o papel de ponte.
24
Certificao cruzada somente atravs da ponte.

A ponte no ser uma AC, portanto no dever emitir certificados digitais em hiptese
alguma.
4.27 O modelo de ICP adotado pelo Brasil
Institudo pela Medida Provisria 2.200-2.

Comit Gestor do Governo como Autoridade de polticas e gesto vinculado Casa
Civil da Presidncia da Repblica.
Todas entidades nacionais vinculadas a uma nica AC-Raz (modelo isolado).
AC-Raz operacionaliza, fiscaliza e audita ACs abaixo dela, mas no pode emitir
certificados para usurios finais.
S permitida certificao cruzada via AC-Raz com AC-Razes de entidades
estrangeiras.
25
MDULO 5 - ICP-Brasil Infra-estrutura de Chaves

Pblicas Brasileira
5.1 Principais documentos
Medida Provisria 2.200-2

Declarao de Prticas de Certificao da AC-Raiz da ICP-Brasil
Poltica de Segurana ICP-Brasil
Critrios e Procedimentos de Credenciamento das entidades integrantes da ICP-Brasil
Requisitos mnimos para Polticas de Certificado da ICP-Brasil
Requisitos mnimos para Declarao de Prticas de Certificao das ACs da ICPBrasil
Diretrizes para sincronizao de freqncia e de tempo na ICP-Brasil
5.2 Natureza pblica da atividade

O conjunto de atribuies que foram conferidos pela MP 2.200-2 ao Comit Gestor da ICPBrasil CG-ICP e ao Instituto de Tecnologia da Informao ITI, demonstra que esses dois
rgos, em conjunto, desempenham tarefas que, a despeito das peculiaridades, se incluem
como atividades tpicas de uma agncia reguladora, pois possuem poder gerencial (tcnico) e
de controle sobre os prestadores de servios de certificao credenciados. Embora o ITI e o
Comit Gestor da ICP-Brasil no tenham recebido a denominao de "rgo regulador" ou
"agncia reguladora", nos textos legais que constituem o marco regulatrio da atividade de
certificao digital no pas, na prtica funcionam como tal, na medida em que a atuao desses
rgos (em conjunto ou isoladamente) revela a definio estatal, para estabelecer normas de
conduta sobre o assunto.
O Comit Gestor e o ITI no tm atribuio de regular a atividade de certificao digital como
um todo, pois esta livre e independe de autorizao especfica, mas na medida em que o art.
10 (e seus pargrafos 1o. e 2o.) da MP 2.200-2 confere validade diferenciada (maior) aos
certificados expedidos no mbito da ICP-Brasil, qualquer prestador de servios que tiver
interesse em expedir certificados com validade jurdica contra terceiros, ter que se credenciar
junto a ela e, conseqentemente, se submeter aos poderes regulatrios do Comit Gestor e do
ITI. Qualquer outra pessoa pode desenvolver uma infra-estrutura para certificao digital, mas
o raio de aceitao dos certificados que expedir tero alcance e validade limitados. A ICPBrasil a nica infra-estrutura de chaves pblicas cujos rgos a ela vinculados podem emitir
certificados de aceitao e validade jurdica dentro de todo territrio nacional, o que na prtica
faz com que o seu Comit Gestor e o ITI atuem como rgos reguladores da certificao
digital no pas.
A atividade regulatria sobre a ICP-Brasil dividida entre o Comit Gestor e o ITI, sendo que
as atribuies normativas, de delineamento das regras gerais e de funcionamento (da ICPBrasil), ficam a cargo do primeiro rgo, competindo ao segundo dar execuo aos atos
normativos.
26
5.3 Concepo organizacional, polticas e prticas de segurana
Nvel de Gesto: Diretrizes, prticas e polticas estabelecidas atravs do Comit Gestor

da ICP-Brasil.
Nvel de Credenciamento: Polticas de Certificados e Normas Tcnicas onde a ACRaiz a Primeira autoridade da cadeia de certificao, executora das Polticas de
Certificados e Normas Tcnicas e operacionais aprovadas pelo Comit Gestor da ICPBrasil com rigoroso nvel de segurana fsica, procedimental e de pessoal.
Nvel de Operao: Atuao das Autoridades Certificadoras e Autoridades de Registro
credenciadas pela ICP-Brasil operando com Certificados Digitais de Assinatura e
Sigilo.
5.4 Autoridade Certificadora Raiz AC-Raiz
a primeira autoridade da cadeia de certificao, executora das Polticas de

Certificados e Normas Tcnicas e operacionais, aprovadas pelo CG-ICP Brasil.
O Instituto Nacional de Tecnologia da Informao - ITI a Autoridade Certificadora
Raiz (AC Raiz) da ICP-Brasil.
Como AC Raiz, compete ao ITI, emitir, expedir, distribuir, revogar e gerenciar a lista de
certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria
das Autoridades Certificadoras AC e Autoridades de Registro AR e dos prestadores de
servios habilitados na ICP-Brasil, em conformidade com as diretrizes e normas tcnicas
estabelecidas pelo CG-ICP Brasil, e exercer outras atribuies que lhe forem cometidas pela
autoridade gestora de polticas. vedado AC-Raiz emitir certificados para usurio.
5.5 Hiptese fundamental e caminho de certificao

O Certificado da AC-Raiz deve estar acessvel por todas as partes interessadas atravs de um
canal confivel e legtimo.
A garantia de segurana de toda a hierarquia de certificao depende desta hiptese e pode ser
verificada pelo caminho(cadeia) de certificao.
5.6 Certificao cruzada na ICP-Brasil

A AC-Raiz da ICP-Brasil s pode realizar certificao cruzada com AC-Razes de outros
pases, mediante acordo internacional.
5.7 Controles de segurana na AC-Raiz da ICP-Brasil

Principais controles de segurana fsica:
Construo e localizao das instalaes.
Acesso fsico (monitorao/biometria/senhas).
Energia e ar condicionado (cofre/geradores).
Exposio gua (sala-cofre a prova dgua).
Preveno e proteo contra incndio.
Armazenamento de mdia imune a danos.
Destruio de lixo (papel, dispositivos usados).
27
Sala externa para backup de arquivos.
Principais controles de segurana procedimental:

Perfis qualificados com separao de tarefas para funes crticas para evitar uso de
m f (configuraes/segurana/administrao etc.).
Nmero de pessoas necessrio por tarefa com no mnimo 2 empregados para tarefas
crticas.
Identificao e autenticao de cada perfil com listas de acesso a instalaes e sistemas
e uso de certificados (no compartilhados) para executar atividades associadas ao
perfil.
Principais controles de segurana de pessoal:
Qualificao, experincia e idoneidade.
Procedimentos de verificao de antecedentes.
Requisitos de treinamento (atividades/segurana).
Freqncia e requisitos para reciclagem tcnica.
Sanes para aes no autorizadas.
Requisitos para contratao de pessoal.
Documentao sobre polticas, prticas e normas disponvel a todo pessoal.
5.8 Credenciamento de ACs e ARs na ICP-Brasil

O credenciamento de Autoridades Certificadoras e de Autoridades de Registro a ICP-Brasil
segue rgidos critrios com o objetivo de garantir credibilidade e segurana jurdica. A
credibilidade provem das tecnologias definidas e dos rgidos requisitos de segurana
computacional. A segurana jurdica se d atravs da maior eficcia probatria das operaes
no mbito da ICP-Brasil. Conforme Resoluo n 40 da ICP-Brasil, os principais critrios e
procedimentos para o credenciamento so:
Ser rgo ou entidade de direito pblico ou pessoa jurdica de direito privado;
Estar quite com todas as obrigaes tributrias e os encargos sociais institudos por lei;
Atender aos requisitos relativos qualificao econmico-financeira e atender s
diretrizes e normas tcnicas da ICP-Brasil relativas qualificao tcnica.
As Autoridades Certificadoras devem apresentar, no mnimo, uma entidade
operacionalmente vinculada, candidata ao credenciamento para desenvolver as
atividades de AR, ou solicitar o seu prprio credenciamento como AR; devem
apresentar a relao de eventuais candidatos ao credenciamento para desenvolver as
atividades de prestao de servios; devem ter sede administrativa localizada no
territrio nacional; e devem ter instalaes operacionais e recursos de segurana fsica
e lgica, inclusive sala-cofre, compatveis com a atividade de certificao, localizadas
no territrio nacional, ou contratar um prestador de servios que as possua.
As Autoridades de Registro devem estar operacionalmente vinculados a, pelo menos,
uma AC ou candidato a AC, relativamente s PC indicadas; devem ter sede
administrativa, instalaes operacionais e recursos de segurana fsica e lgica
compatveis com a atividade de registro; devem apresentar a relao de eventuais
candidatos a prestador de servios; e caso a instalao tcnica se localize em endereo
diferente do de sua sede administrativa, devem apresentar certido da junta comercial
ou alvar de funcionamento referente ao estabelecimento onde se localizar a
instalao tcnica e, nos casos de entidades pblicas, cpia de publicao do ato que
autoriza a operao naquele endereo.
O processo de credenciamento obedece a procedimentos especficos, relacionados com
a natureza da atividade a ser desenvolvida no mbito da ICP-Brasil.
28
Os Critrios e procedimentos para manuteno do credenciamento com auditoria

peridica e questes relativas ao eventual descredenciamento.
5.9 Hierarquia atual (ACs e ARs credenciadas)

ESTRUTURA ATUALIZADA DA ICP-BRASIL:
http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp
LISTAGEM ATUALIZADA ACs e ARs:
http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp
OUTRAS INFORMAES ATUALIZADAS:
http://www.iti.gov.br/twiki/bin/view/Certificacao/WebHome
5.10 Tipos de Certificados da ICP-Brasil

A ICP-Brasil tem definidos e regulamentados dois tipos de Certificado Digital:
Certificado de Assinatura, tipos:
A1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano
A2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos
Certificado de Sigilo, tipos:
S1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano
S2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos
Os Certificados Digitais ICP-Brasil de Assinatura A1 e A3 e os Certificados de Sigilo S1 e S3,
so os mais utilizados atualmente.
5.11 Nveis de segurana dos certificados

O Certificados de Assinatura A1 tem o menor nvel de segurana, seguido de A2, depois A3 e
finalmente o A4 com o maior nvel. O Certificados de Sigilo S1 tem o menor nvel de
segurana, seguido de S2, depois S3 e finalmente o S4 com o maior nvel.
5.12 Aplicaes para Certificados de Assinatura
Confirmao de identidade Web;

Autenticao de agentes;
Assinatura de mensagens de correio eletrnico;
Assinatura de qualquer contedo digital;
Assinatura de documentos eletrnicos com verificao da integridade de suas
informaes e garantia de identificao do assinante.
29
5.13 Aplicaes para Certificados de Sigilo
Cifrao de documentos;
Cifrao de bases de dados;
Cifrao de mensagens de correio eletrnico;
Cifrao de mensagens;
Cifrao de qualquer contedo digital, com a finalidade de garantir o seu sigilo.
30
MDULO 6 - Tempestividade Digital

6.1 Importncia para Assinatura e Certificao Digital
A Tempestividade Digital precisa ser utilizada quando necessrio comprovar que um

evento ocorreu em data/hora regulamentada como oficial.
importante para registrar o momento de uma assinatura digital, validade de um
certificado digital e autenticao de agentes quando necessrio.
A data/hora oficial deve ser gerada, mantida e distribuda por uma entidade
oficialmente constituda para esse fim.
6.2 Autoridade Certificadora de Tempo
Conhecida tambm como TSA (Time Stamping Authority), uma entidade que deve
estar oficialmente credenciada para prestar servios de tempestividade.
Entre os servios, destaca-se o carimbo de tempo (time stamp) utilizado para gerao
de protocolos digitais.
No Brasil, deve utilizar a data/hora gerada e fornecida pelo Observatrio Nacional ao
qual deve estar sincronizada.
6.3 Sincronismo do tempo
Relao entre uma Autoridade Certificadora de Tempo e a entidade oficial geradora e

distribuidora de data/hora.
A sincronizao baseada no fornecimento da data/hora em perodos conforme a
necessidade da Autoridade Certificadora de Tempo.
A Autoridade Certificadora de Tempo deve submeter-se a peridica auditoria e sofrer
os ajustes quando necessrio.
6.4 Carimbos de tempo (selo cronolgico digital)
Principal servio de uma Autoridade Certificadora de Tempo.

Marca que garante a data e hora oficial de ocorrncia de um evento.
Pode estar associado a qualquer contedo digital (seqncia de bits).
Na Certificao Digital, em geral associado ao resumo do contedo eletrnico
(cdigo hash).
6.5 Protocolos digitais
Comprovao de envio e recepo de contedos digitais no mundo virtual.

Tem eficcia probatria quando associados a um carimbo de tempo gerado por uma
autoridade de tempo sincronizada e auditada por entidade oficial de gerao e
distribuio de data/hora.
Indispensvel em muitas relaes do cidado com rgo pblicos.
31
6.6 Regulamentao na ICP-Brasil
Decreto N 4.264 de 10/06/2002: define o Observatrio Nacional como entidade

competente para gerar e distribuir a hora oficial do Brasil.
Resoluo N 15 do Comit Gestor: grupo de trabalho para estudar e propor
sincronismo de tempo na ICP-Brasil.
Projeto de Lei N 7.316 de 07/11/2002: obrigatoriedade da datao eletrnica na
Assinatura e Certificao Digital.
6.7 Abordagens para viabilizar a tempestividade no ambiente

virtual
1. Pode-se construir uma Autoridade Certificadora de Tempo e sincronizar com
Observatrio Nacional OU;

2. Adquirir uma protocoladora no mercado e sincronizar com o Observatrio Nacional
OU;
3. Contratar sob demanda, prestador de servios de Tempestividade Digital estabelecido
no mercado e que esteja dentro das exigncias legais.
32
MDULO 7 - Aspectos Jurdicos

7.1 Evoluo das tecnologias da informao versus evoluo da
legislao
Evoluo do Direito Digital:
Estgio1: Informtica jurdica documentria (anos 60). Gesto e recuperao de dados
jurdicos (leis, doutrina, jurisprudncia).
Estgio2: Informtica jurdica de gesto (anos 70). Produo de atos jurdicos
(certides, atribuies de juizes competentes, sentenas pr-moldadas).
Estgio3: Informtica jurdica decisional (anos 80). Utilizao das informaes e
procedimentos confiveis para aplicar a determinadas decises (utilizao de sistemas
especialistas).
Estgio4: Direito da informtica (anos 90). Estudo das normas jurdicas que regulam
(ou deveriam regular) os sistemas eletrnicos na sociedade e suas conseqncias,
atingindo o direito privacidade, informaes e liberdade, a tutela dos usurios, a
proteo do software e propriedade intelectual.
Evoluo dos modelos tericos de regulamentao da Internet:
Modelo1: Ambiente no sujeito a regulamentao (anos 90). Seria um mundo a parte
do qual surgiriam normas prprias e independentes do direito tradicional, impossvel
de aplicar na rede.
Modelo2: Escola da arquitetura (segunda metade anos 90). Governo deveria intervir
no sentido de determinar qual a arquitetura a rede deve observar para que seja
juridicamente controlvel.
Modelo3: Norma jurdica interna (final dos anos 90). Principal fonte do direito
regulamentador da Internet. O direito deve sempre buscar o ideal de justia para o bem
comum. No prescindir da presena do poder pblico como o garantidor da justa
aplicao do direito (atualmente o mais aceito e aplicado).
Modelo4: Tratados internacionais (incio anos 2000). Aplicado a poucas reas
especficas tais como o combate pedofilia ou em algumas matrias de direito
comercial e propriedade intelectual (recentes propostas da UNCITRAL).
7.2 Arcabouo legal para Certificao e Tempestividade Digital
Leis Modelo das Naes Unidas - UNCITRAL;

Legislao internacional pertinente;
Medida Provisria 2.200-2;
Resolues do Comit Gestor da ICP-Brasil;
Projetos de Lei no Congresso Nacional.
7.3 Leis modelo das Naes Unidas UNCITRAL
Motivao: Comrcio eletrnico globalizado

Objetivo: Compatibilidade internacional
Conceito: Equivalncia funcional papel versus eletrnico
Princpios: Tcnicos, jurdicos e polticos
Proposta: Modelos de legislao para o mundo
16/12/1996: Lei modelo para comrcio eletrnico*
05/07/2001: Lei modelo para assinatura eletrnica
33
Recomendaes seguidas por muitos paises
*A Lei Modelo para comrcio eletrnico segue um novo critrio, denominado "critrio da
equivalncia funcional", o qual se baseia em uma anlise dos objetivos e funes do requisito
tradicional da apresentao de um escrito consignado sobre papel com vistas a determinar a
maneira de satisfazer seus objetivos e funes tambm para um escrito eletrnico:
Artigo 6 - Escrito (Texto da Lei)
1) Quando a Lei requeira que certa informao conste por escrito, este requisito considerar-se preenchido por uma mensagem eletrnica se a informao nela contida seja acessvel para
consulta posterior.
2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de
uma obrigao, quanto se Lei preveja simplesmente conseqncias para quando a informao
no conste por escrito.
3) As disposies deste artigo no se aplicam ao que segue: [...]
Artigo 6 - Escrito (Comentrios)
47. O artigo 6 tem por finalidade definir os requisitos bsicos que toda mensagem de
dados dever preencher para que se possa considerar que satisfaz uma exigncia legal,
regulamentar ou jurisprudencial de que a informao conste, ou seja, apresentada por
escrito. Convm assinalar que o artigo 6 forma parte de uma srie de trs artigos
(artigos 6, 7 e 8) que compartem a mesma estrutura e que devem ser lidos
conjuntamente.
48. Durante a preparao da Lei Modelo prestou-se particular ateno s funes

tradicionalmente desempenhadas por diversos tipos de "escritos" consignados em
papel. Por exemplo, na seguinte lista no exaustiva se indicam as razes pelas quais o
direito interno costuma requerer a apresentao de um "escrito": 1) deixar uma prova
tangvel da existncia e da natureza da inteno das partes de comprometer-se; 2)
alertar as partes face gravidade das conseqncias de concluir um contrato; 3)
proporcionar um documento que seja legvel para todos; 4) proporcionar um
documento inaltervel que permita deixar constncia permanente da transao; 5)
facilitar a reproduo de um documento de maneira a que cada uma das partes possa
dispor de um exemplar de um mesmo texto; 6) permitir a autenticao, mediante a
firma do documento, dos dados nele consignados; 7) proporcionar um documento
apresentvel perante autoridades pblicas e tribunais; 8) dar expresso definitiva
inteno do autor do "escrito" e deixar constncia de dita inteno; 9) proporcionar um
suporte material que facilite a conservao dos dados em forma visvel; 10) facilitar as
tarefas de controle ou de verificao posterior para fins contbeis, fiscais ou
regulamentares; e 11) determinar o nascimento de todo direito ou de toda obrigao
jurdica cuja validade dependa de um escrito.
49. Todavia, ao preparar a Lei Modelo pensou-se que seria inadequado adotar uma
noo demasiado genrica das funes de um escrito. Quando se requer a apresentao
de certos dados por escrito, combina-se vezes essa noo de "escrito" com as noes
complementares, mas distintas, de "assinatura" (ou "firma") ou "original". Por isso, ao
adotar um critrio funcional, deve-se prestar ateno ao fato de que o requisito de um
"escrito" deve ser considerado como o nvel inferior na hierarquia dos requisitos de
forma, que proporcionam aos documentos de papel diversos graus de confiabilidade,
rastreabilidade e inalterabilidade. O requisito de que os dados se apresentem por
34
escrito (o que constitui um "requisito de forma mnimo") no deve ser confundido com
requisitos mais estritos como o de "escrito assinado", "original firmado" ou "ato
jurdico autenticado". Por exemplo, em alguns ordenamento jurdicos um documento
escrito que no leve nem data nem firma, e cujo autor no se identifique no escrito ou
se identifique mediante um simples cabealho, seria considerado como "escrito" apesar
do seu escasso valor probatrio, em ausncia de outra prova (p.ex., testemunhal) no
tocante autoria do documento. Ademais, no se deve considerar que a noo de
inalterabilidade seja um requisito absoluto inerente noo de escrito, j que um
documento escrito a lpis poderia ser considerado um "escrito" a teor de algumas
definies legais. Levando-se em conta como se resolvem questes relativas
integridade dos dados e proteo contra fraude na documentao consignada em
papel, cabe dizer que um documento fraudulento seria no obstante considerado como
um "escrito". Em geral, convm que noes tais como "fora probante" ou "inteno
(das partes) de obrigar-se" sejam tratadas conjuntamente com questes mais gerais tais
como fiabilidade e autenticao de dados, pelo que no se devem incluir na definio
de "escrito".
50. A finalidade do artigo 6 no consiste em estabelecer o requisito de que, em todos os

casos, as mensagens de dados devem cumprir todas as funes concebveis de um
escrito. Em vez de concentrar-se em funes especficas de um "escrito" (por exemplo,
sua funo probatria no contexto do direito fiscal ou sua funo de advertncia no
contexto do direito civil) o artigo 6 est centrado no conceito bsico de que a
informao se reproduz e se l. No artigo 5 esta idia est expressa em termos que se
considerou como fixando um critrio objetivo; a saber, que a informao de uma
mensagem de dados deve ser acessvel para sua consulta posterior. Ao empregar a
palavra "acessvel" quer-se sugerir que a informao em forma de dados
informatizados deve ser legvel e interpretvel e que se deve conservar todo programa
informtico que seja necessrio para torn-la legvel. Na verso original inglesa a
palavra "usvel", subentendida na traduo portuguesa na noo de acessibilidade, no
se refere unicamente ao acesso humano, mas tambm a seu processamento
informtico. Deu-se preferncia noo de "consulta posterior, ao invs de outras
noes como "durabilidade" ou "inalterabilidade" (que poderiam estabelecer um
critrio demasiado estrito) ou "legibilidade" ou "inteligibilidade" (que poderiam
constituir critrios demasiado subjetivos).
51. O princpio em que se baseiam o pargrafo 3) dos artigos 6 e 7 e o pargrafo 4) do

artigo 8 o de que todo Estado poder excluir do mbito de aplicao destes artigos
certas situaes especificadas na legislao pela qual se incorpore a Lei Modelo ao
direito interno. Um Estado talvez deseje excluir expressamente certos tipos de
situaes, em funo do propsito do requisito formal de que se trate. Uma destas
situaes poderia ser a obrigao de notificar por escrito certos riscos de jure ou de
fato, por exemplo, as precaues que se ho de observar com certos tipos de produtos.
Tambm caberia excluir especificamente outras situaes, por exemplo, no contexto
das formalidades exigidas em virtude das obrigaes contradas por um Estado (por
exemplo, a exigncia de que um cheque se apresente por escrito, de conformidade com
a Conveno que estabelece uma lei uniforme sobre cheques, Genebra, 1931) e outros
tipos de situaes e normas de seu direito interno que um Estado no possa modificar
por lei.
52. Incluiu-se o pargrafo 3) com o propsito de dar maior aceitabilidade Lei

Modelo. Nele se reconhece que a especificao de excluses deve deixar-se em mos
de cada Estado, a fim de melhor respeitar as diferentes circunstncias nacionais. No
obstante, cabe assinalar que o recurso ao pargrafo 3 para fazer excluses gerais
35
poderia minar os objetivos da Lei Modelo. Deve-se evitar, portanto, o perigo de abusar
do pargrafo 3) nesse sentido. Caso se multiplicassem as excluses do mbito de
aplicao dos artigos 6 a 8, criar-se-iam obstculos desnecessrios ao desenvolvimento
das tcnicas modernas de comunicao, j que a Lei Modelo enuncia princpios e
critrios de ndole bsica que deveriam ser geralmente aplicveis.
Artigo 7 - Assinatura (Texto da Lei)
1) Quando a Lei requeira a assinatura de uma pessoa, este requisito considerar-se- preenchido
por uma mensagem eletrnica quando:
a) For utilizado algum mtodo para identificar a pessoa e indicar sua aprovao
para a informao contida na mensagem eletrnica; e
b) Tal mtodo seja to confivel quanto seja apropriado para os propsitos para os
quais a mensagem foi gerada ou comunicada, levando-se em considerao
todas as circunstncias do caso, incluindo qualquer acordo das partes a
respeito.
uma obrigao, quanto se a Lei simplesmente preveja conseqncias para a ausncia de
assinatura.
Artigo 7 - Assinatura (Comentrios)
53. O artigo 7 baseia-se no reconhecimento das funes que se atribuem a uma

assinatura nas comunicaes consignadas sobre papel. Na preparao da Lei Modelo
tomaram-se em considerao as seguintes funes da assinatura ou firma: identificar
uma pessoa; dar certeza participao pessoal dessa pessoa no ato de firmar; e
associar essa pessoa com o contedo de um documento. Observou-se que uma
assinatura ou firma podia desempenhar ademais diversas outras funes, segundo a
natureza do documento firmado. Por exemplo, poderia demonstrar a inteno de uma
parte de obrigar-se pelo contedo do contrato firmado; a inteno de uma pessoa de
reivindicar a autoria de um texto; a inteno de uma pessoa de associar-se com o
contedo de um documento escrito por outra; e o fato de que essa pessoa havia estado
em um lugar determinado, em um certo momento.
54. Cabe observar que, junto com a firma manuscrita tradicional, existem vrios tipos
de procedimentos (por exemplo, por carimbos ou perfuraes), s vezes denominados
tambm "assinaturas", que proporcionam distintos graus de certeza. Por exemplo, em
alguns pases existe o requisito geral de que os contratos de compra-e-venda de
mercadorias que excedam certa quantia estejam "firmados" para serem exigveis. Sem
embargo, o conceito da firma adotado nesse contexto tal que um carimbo, um
perfurado ou mesmo uma firma mecanografada ou um cabealho impresso podem
considerar-se suficiente para satisfazer o requisito da firma. No outro extremo do
espectro, existem requisitos que combinam a firma manuscrita tradicional com
procedimentos de segurana adicionais como a confirmao da firma por testemunhas.
55. Seria recomendvel desenvolver equivalentes funcionais para os distintos tipos e

nveis de assinaturas exigidas. Esse enfoque aumentaria o nvel de certeza quanto ao
grau de reconhecimento legal que se poderia esperar do uso dos diversos tipos de
autenticao utilizados na prtica do comrcio eletrnico como substitutos da
"assinatura". Todavia, a noo de assinatura ou firma est intimamente vinculada com
36
o emprego do papel. Ademais, qualquer esforo por elaborar regras sobre as normas e
procedimentos que se deveriam utilizar como substitutos em casos especficos de
"assinaturas" poderia criar o risco de fixar o regime da Lei Modelo em uma
determinada etapa do desenvolvimento tcnico.
56. Para evitar que se negue validade jurdica a uma mensagem sujeita a autenticao
pelo simples fato de que no est autenticada na forma tpica dos documentos
consignados sobre papel, o artigo 7 oferece uma frmula abrangente. O artigo define
as condies gerais que, uma vez cumpridas, autenticariam uma mensagem de dados
com suficiente credibilidade de forma a satisfazer os requisitos de firma que
atualmente obstaculizam o comrcio eletrnico. O artigo 7 concentra-se nas duas
funes bsicas da firma: a identificao do autor e a confirmao de que o autor
aprova o contedo do documento. No inciso a) do pargrafo 1) enuncia-se o princpio
de que, nas comunicaes eletrnicas, essas duas funes jurdicas bsicas da firma
consideram-se cumpridas ao utilizar-se um mtodo que identifique o remetente de uma
mensagem de dados e confirme que o remetente aprova a informao nela consignada.
57. A alnea b) do pargrafo 1) estabelece um critrio flexvel a respeito do grau de

segurana que se deve alcanar com a utilizao do mtodo de identificao
mencionado no inciso a). O mtodo selecionado conforme alnea a) do pargrafo 1)
dever ser to confivel quanto seja apropriado para os fins para os quais se consignou
ou comunicou a mensagem de dados, luz das circunstancias do caso, assim como do
acordo entre o remetente e o destinatrio da mensagem.
58. A fim de determinar se o mtodo utilizado com base no pargrafo 1) apropriado,

podem-se ter em conta, entre outros, os seguintes fatores jurdicos, tcnicos e
comerciais: 1) a perfeio tcnica do equipamento utilizado por cada uma das partes;
2) a natureza de sua atividade comercial; 3) a freqncia das suas relaes comerciais;
4) o tipo e a magnitude da operao; 5) a funo dos requisitos de firma com base na
norma legal ou regulamentar aplicvel; 6) a capacidade dos sistemas de comunicao;
7) a observncia dos procedimentos de autenticao estabelecidos por intermedirios;
8) a gama de procedimentos de autenticao que oferecem os intermedirios; 9) a
observncia dos usos e prticas comerciais; 10) a existncia de mecanismos de seguro
contra o risco de mensagens no autorizados; 11) a importncia e o valor da
informao contida na mensagem de dados; 12) a disponibilidade de outros mtodos
de identificao e o custo de sua aplicao; 13) o grau de aceitao ou no aceitao do
mtodo de identificao na indstria ou esfera pertinente, tanto no momento em que se
pactuou o mtodo como quando se comunicou a mensagem de dados; e 14) qualquer
outro fator pertinente.
59. A alnea b) do pargrafo 1) no introduz nenhuma distino entre a situao em que

os usurios do comrcio eletrnico esto vinculados por um acordo de comunicaes e
a situao em que as partes no tenham nenhuma relao contratual prvia relativa ao
emprego do comrcio eletrnico. Assim, pois, pode-se considerar que o artigo 7
estabelece uma norma mnima de autenticao para as mensagens de dados
intercambiados em ausncia de uma relao contratual prvia. Ao mesmo tempo, o
artigo 7 fornece uma orientao sobre o que eventualmente poderia suprir a firma
quando as partes recorram a comunicaes eletrnicas no contexto de um convnio de
comunicaes. Por conseguinte, a Lei Modelo tem a finalidade de proporcionar uma
orientao til quando o direito interno deixe totalmente ao arbtrio das partes a
questo da autenticao das mensagens de dados e em um contexto em que os
requisitos de firma, normalmente fixados por disposies imperativas de direito
interno, no possam ser alterados mediante acordo entre as partes.
37
60. A noo de "qualquer acordo das partes a respeito" deve ser interpretada como
englobando no apenas os acordos bilaterais ou multilaterais pactuados entre partes
que intercambiem mensagens de dados diretamente (por exemplo, "acordos entre
parceiros comerciais"), mas tambm os acordos de comunicaes (por exemplo,
"contratos de servios com terceiros") de que participem intermedirios, tais como os
acordos com redes de comunicao. Pode ser que os acordos entre os usurios do
comrcio eletrnico e as redes de comunicao remetam s regras da prpria rede, quer
dizer, aos regulamentos e procedimentos administrativos e tcnicos aplicveis
comunicao de mensagens de dados atravs da rede. Todavia, um acordo eventual
entre remetentes e destinatrios de mensagens de dados no tocante utilizao de um
mtodo de autenticao no constitui por si s prova fidedigna de que esse mtodo seja
confivel.
61. Cabe assinalar que, com base na Lei Modelo, a simples assinatura aposta a uma
mensagem de dados mediante o equivalente funcional de uma firma manuscrita no
basta por si s para dar validade jurdica mensagem. A questo da validade jurdica
de uma mensagem de dados que cumpre o requisito de uma firma dever dirimir-se
com base na normativa aplicvel margem da Lei Modelo.
Artigo 8 - Original (Texto da Lei)

1) Quando a Lei requeira que certa informao seja apresentada ou conservada na sua forma
original, este requisito se considerar preenchido por uma mensagem eletrnica quando:
c) Existir garantia fidedigna de que se preservou a integridade da informao
desde o momento da sua gerao em sua forma final, como uma mensagem
eletrnica ou de outra forma; e
d) Esta informao for acessvel pessoa qual ela deva ser apresentada, caso se
requeira a sua apresentao.
uma obrigao quanto se a Lei simplesmente preveja conseqncias para o caso de que a
informao no seja apresentada ou conservada em sua forma original.
3) Para os propsitos da alnea (a) do pargrafo 1):
e) Presume-se ntegra a informao que houver permanecido completa e
inalterada, salvo a adio de qualquer endosso das partes ou outra mudana que
ocorra no curso normal da comunicao, armazenamento e exposio;
f) O grau de confiabilidade requerido ser determinado luz dos fins para os
quais a informao foi gerada assim como de todas as circunstncias do caso.
Artigo 8 - Original (Comentrios)
62. Se por "original" se entende o suporte em que pela primeira vez se consigna a
informao, seria impossvel falar de mensagens de dados "originais", pois o
destinatrio de uma mensagem de dados receberia sempre uma cpia da mesma. No
obstante, o artigo 8 deve ser entendido em outro contexto. A noo de "original" no
artigo 8 til, pois na prtica muitas controvrsias se referem questo da
originalidade dos documentos e no comrcio eletrnico o requisito da apresentao de
originais um dos principais obstculos que a Lei Modelo trata de suprimir. Ainda que
em algumas jurisdies pode-se supor que os conceitos de "escrito", "original" e
38
"assinatura" se superponham, a Lei Modelo trata-os como conceitos separados e

distintos. O artigo 8 tambm til para esclarecer os conceitos de "escrito" e
"original", dada a sua importncia para fins probatrios.
63. O artigo 8 pertinente para os documentos de titularidade e os ttulos negociveis,

para os quais a especificidade de um original seja particularmente importante. Sem
embargo, convm ter presente que a finalidade da Lei Modelo no se limita apenas
sua aplicao aos ttulos de propriedade e ttulos negociveis nem a setores do direito
nos quais haja requisitos especiais com relao inscrio ou legalizao de "escritos",
como as questes familiares ou a venda de bens imveis. Como exemplos de
documentos que talvez requeiram um "original", cabe mencionar documentos
comerciais tais como certificados de peso, certificados agrcolas, certificados de
qualidade ou quantidade, relatrios de inspeo, certificados de seguro ou outros. Estes
documentos no so negociveis e no se utilizam para transferir direitos, mas
essencial que sejam transmitidos sem alteraes, em sua forma "original", para que as
demais partes no comrcio internacional possam ter confiana em seu contedo.
Quando se trata de documentos escritos, os documentos dessa ndole geralmente se
aceitam apenas quando constituam um "original", a fim de reduzir as possibilidades de
alteraes, o que seria difcil de detectar em cpias. Existem diversos procedimentos
tcnicos para certificar o contedo de uma mensagem de dados a fim de confirmar o
seu carter de "original". Sem este equivalente funcional do carter de original, criarse-iam obstculos compra-e-venda de mercadorias mediante a transmisso eletrnica
de dados, caso se exigisse dos autores dos documentos correspondentes que
retransmitissem mensagens de dados cada vez que se vendessem mercadorias, ou caso
as partes fossem obrigadas a utilizar documentos escritos para complementar a
operao efetuada por comrcio eletrnico.
64. Deve-se considerar que o artigo 8 enuncia o requisito de forma mnimo para que
uma mensagem seja aceitvel como o equivalente funcional de um original. As
disposies do artigo 8 devem ser consideradas como imperativas, na mesma medida
em que se considerem imperativas as disposies relativas utilizao de documentos
originais consignados sobre papel. A indicao de que se ho de considerar os
requisitos de forma enunciados no artigo 8 como o "mnimo aceitvel" no deve,
contudo, ser entendida como um convite a que os Estados estabeleam requisitos de
forma mais severos que os enunciados na Lei Modelo.
65. O artigo 8 sublinha a importncia da integridade da informao para a sua

originalidade e fixa critrios que se devero levar em conta ao avaliar a integridade: a
consignao sistemtica da informao, garantias de que a informao foi consignada
sem lacunas e proteo dos dados contra toda modificao. O artigo vincula o conceito
de originalidade a um mtodo de autenticao e se concentra no mtodo de
autenticao que se deve utilizar para cumprir o requisito. O artigo baseia-se nos
seguintes elementos: um critrio simples como o da "integridade" dos dados; uma
descrio dos elementos que se devem levar em conta ao avaliar essa integridade; e um
elemento de flexibilidade, como, por exemplo, uma referncia s circunstncias.
66. Com relao s palavras "o momento da sua gerao em sua forma final",
empregadas no pargrafo 1) a), cabe assinalar que a disposio obedece ao propsito
de ter em conta a situao em que a informao haja sido composta primeiro como
documento escrito para ser logo transferida a um terminal informtico. Nessa situao,
deve-se interpretar o pargrafo 1) a) no sentido de exigir segurana de que a
informao haja permanecido completa e inalterada a partir do momento em que se
comps pela primeira vez como documento escrito, e no somente a partir do
momento em que se traduziu em formato eletrnico. Sem embargo, quando se criem e
39
armazenem diversos rascunhos antes de se compor a mensagem definitiva, no se

deveria interpretar o pargrafo 1) a) como se exigisse segurana quanto integridade
dos rascunhos.
67. No pargrafo 3) a) enunciam-se os critrios para avaliar a integridade, tendo-se o

cuidado de excetuar as adies necessrias primeira mensagem de dados ("original"),
tais como endosso, certificados, autenticaes, etc. Desde que o contedo de uma
mensagem de dados seja completo e esteja inalterado, as adies que seja necessrio
introduzir no afetaro a sua qualidade de "original". Assim, quando se acrescente um
certificado eletrnico ao final de uma mensagem de dados "original" para certificar
que seja a "original", ou quando a rede informtica utilizada acrescente
automaticamente certos dados de transmisso ao princpio e ao final de cada
mensagem de dados transmitida, essas adies se considerariam escritos
complementares a um escrito "original" ou seriam assimiladas ao envelope e aos selos
utilizados para enviar esse escrito "original".
68. Assim como em outros artigos do captulo II, deve-se entender o termo "a Lei", que
figura na frase inicial do artigo 8, como referindo-se no s a disposies legislativas
ou regulamentares, mas tambm a normas jurisprudenciais e processuais. Em alguns
pases de common law, o termo "a Lei" seria normalmente interpretado como
referindo-se a disposies de common law, e no a requisitos de origem propriamente
legislativa, pelo que se deve ter presente que, no marco da Lei Modelo, o termo "a Lei"
abrange ambas fontes de direito. Contudo, a Lei Modelo no utiliza este termo para
referir-se a ramos do direito que no formem parte do direito interno e que se designam
a vezes com certa impreciso por termos como "lex mercatoria" ou "direito do
comrcio".
69. O pargrafo 4), assim como as disposies anlogas dos artigos 6 e 7, foi includo
para facilitar a aceitao da Lei Modelo. Nele se reconhece que a questo de
especificar excluses deveria ser deixada discrio de cada Estado, critrio que
permitiria tomar devidamente em conta as diferentes circunstncias nacionais. No
obstante, cabe advertir que os objetivos da Lei Modelo no se cumpririam se o
pargrafo 4 fosse utilizado para estabelecer excees gerais. Caso se limitasse o
mbito de aplicao dos artigos 6 a 8 por meio de diversas excluses, se obstaculizaria
desnecessariamente o desenvolvimento das tcnicas de comunicao modernas, uma
vez que a Lei Modelo oferece uma srie de princpios e critrios bsicos destinados a
ser de aplicao geral.
7.4 Diretiva europia 93/99
No estipula tcnicas e uma recomendao.

Recomenda a neutralidade tecnolgica (exceto regulamentao).
Estabelece o Certificado qualificado e assinatura avanada.
7.5 Legislao norte-americana e-Sign
Prev a livre escolha do provedor de servios de Certificao Digital.

No impe regras rgidas sobre tecnologias e credenciamento.
40
7.6 O nascimento da Certificao Digital no Brasil com Decreto

3.587/2000
Estabelece a ICP-Gov com abrangncia para o Poder Executivo Federal

Considerado como a Certido de nascimento da Certificao Digital no Brasil
Revogado pelo Decreto 3.996/01 quando criada a Medida Provisria 2.200
7.7 Medida Provisria 2.200-2 e sua importncia para eficcia

probatria
Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informao em autarquia, e d outras providncias.
O ato legal na ntegra com grifos no artigo 10:
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 62 da
Constituio, adota a seguinte Medida Provisria, com fora de lei:
Art. 1o Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para
garantir a autenticidade, a integridade e a validade jurdica de documentos em forma
eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados
digitais, bem como a realizao de transaes eletrnicas seguras.
Art. 2o A ICP-Brasil, cuja organizao ser definida em regulamento, ser composta por
uma autoridade gestora de polticas e pela cadeia de autoridades certificadoras composta pela
Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas
Autoridades de Registro - AR.
Art. 3o A funo de autoridade gestora de polticas ser exercida pelo Comit Gestor da
ICP-Brasil, vinculado Casa Civil da Presidncia da Repblica e composto por cinco
representantes da sociedade civil, integrantes de setores interessados, designados pelo
Presidente da Repblica, e um representante de cada um dos seguintes rgos, indicados por
seus titulares:
I - Ministrio da Justia;
II - Ministrio da Fazenda;
III - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;
IV - Ministrio do Planejamento, Oramento e Gesto;
V - Ministrio da Cincia e Tecnologia;
VI - Casa Civil da Presidncia da Repblica; e
VII - Gabinete de Segurana Institucional da Presidncia da Repblica.
1o A coordenao do Comit Gestor da ICP-Brasil ser exercida pelo representante da
Casa Civil da Presidncia da Repblica.
2o Os representantes da sociedade civil sero designados para perodos de dois anos,
permitida a reconduo.
3o A participao no Comit Gestor da ICP-Brasil de relevante interesse pblico e
no ser remunerada.
4o O Comit Gestor da ICP-Brasil ter uma Secretaria-Executiva, na forma do
regulamento.
Art. 4o Compete ao Comit Gestor da ICP-Brasil:
41
I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICPBrasil;

II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC,
das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da
cadeia de certificao;
III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz;
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio;
V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados
e regras operacionais das AC e das AR e definir nveis da cadeia de certificao;
VI - aprovar polticas de certificados, prticas de certificao e regras operacionais,
credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a
emitir o correspondente certificado;
VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de
certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de
cooperao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil,
observado o disposto em tratados, acordos ou atos internacionais; e
VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICPBrasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua
conformidade com as polticas de segurana.
Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz.
Art. 5o AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas
de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil,
compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel
imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e
vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores
de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas
estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem
cometidas pela autoridade gestora de polticas.
Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final.
Art. 6o s AC, entidades credenciadas a emitir certificados digitais vinculando pares de
chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e
gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados
revogados e outras informaes pertinentes e manter registro de suas operaes.
Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e
sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento.
Art. 7o s AR, entidades operacionalmente vinculadas a determinada AC, compete
identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s
AC e manter registros de suas operaes.
Art. 8o Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil,
podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas
jurdicas de direito privado.
Art. 9o vedado a qualquer AC certificar nvel diverso do imediatamente subseqente ao
seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados
pelo Comit Gestor da ICP-Brasil.
Art. 10. Consideram-se documentos pblicos ou particulares, para todos os fins legais, os
documentos eletrnicos de que trata esta Medida Provisria.
42
1o As declaraes constantes dos documentos em forma eletrnica produzidos com

a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se
verdadeiros em relao aos signatrios, na forma do art. 131 da Lei n 3.071, de 1 de
janeiro de 1916 Cdigo Civil.
2o O disposto nesta Medida Provisria no obsta a utilizao de outro meio de
comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os
que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes
como vlido ou aceito pela pessoa a quem for oposto o documento.
Art. 11. A utilizao de documento eletrnico para fins tributrios atender, ainda, ao
disposto no art. 100 da Lei n 5.172, de 25 de outubro de 1966 Cdigo Tributrio Nacional.
Art. 12. Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e
Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no
Distrito Federal.
Art. 13. O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas
Brasileira.
Art. 14. No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao,
podendo ainda aplicar sanes e penalidades, na forma da lei.
Art. 15. Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de
Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma
Procuradoria-Geral.
Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na
cidade de Campinas, no Estado de So Paulo.
Art. 16. Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar
servios de terceiros.
1o O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na
Diretoria de Infra-Estrutura de Chaves Pblicas, por perodo no superior a um ano,
servidores, civis ou militares, e empregados de rgos e entidades integrantes da
Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem
exercidas.
2o Aos requisitados nos termos deste artigo sero assegurados todos os direitos e
vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de
requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto,
graduao ou emprego que ocupe no rgo ou na entidade de origem.
Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI:
I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de
Tecnologia da Informao do Ministrio da Cincia e Tecnologia;
II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei
Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s
atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa
por categoria de programao em seu menor nvel, observado o disposto no 2 do art. 3 da
Lei n 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera
oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e
identificadores de uso.
Art. 18. Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado
em juzo pela Advocacia Geral da Unio.
43
Art. 19. Ficam convalidados os atos praticados com base na Medida Provisria n 2.2001, de 27 de julho de 2001.
Art. 20. Esta Medida Provisria entra em vigor na data de sua publicao.
Braslia, 24 de agosto de 2001; 180o da Independncia e 113o da Repblica.
FERNANDO HENRIQUE CARDOSO
Jos Gregori
Martus Tavares
Ronaldo Mota Sardenberg
Pedro Parente
Este texto no substitui o publicado no D.O.U. de 27.8.2001
Alerta: Uma AC pode anunciar estar dentro dos padres da ICP-Brasil, mas pode no estar
credenciada pela ICP-Brasil. Assim est fora da ICP-Brasil e, portanto enquadrada no 2
do artigo 10 da MP 2200-2. Somente ACs credenciadas esto dentro da ICP-Brasil e
gozam das prerrogativas do 1 do artigo 10 da MP 2200-2.
7.8 Resolues do Comit Gestor da ICP-Brasil
N 1: Declarao de prticas AC Raiz

N 2: Poltica de segurana ICP-Brasil
N 3: Comisso para auditar AC-Raiz
N 6: Critrios credenciamentoACs/ARs
N 7: Requisitos mnimos poltica de certificados
N 8: Requisitos mnimos declarao de prticas
N 15: Diretrizes sincronizao de tempo
N 20: Desenvolvimento plataforma aberta ICP-Brasil
N 24: Cadastramento empresas auditoria ACs
N 36: Diretrizes homologao de componentes
N 38 a 46: Verso 2.0 documentos ICP-Brasil
7.9 A importncia da Resoluo N 36 da ICP-Brasil

COMIT GESTOR DA ICP-BRASIL
RESOLUO N. 36, DE 21 DE OUTUBRO DE 2004
Aprova o Regulamento para Homologao de Sistemas e Equipamentos de Certificao
Digital no mbito da ICP-Brasil.
O SECRETRIO-EXECUTIVO DO COMIT GESTOR DA INFRA-ESTRUTURA DE
CHAVES PBLICAS BRASILEIRA ICP-BRASIL faz saber que aquele Comit, no uso
das atribuies previstas nos incisos I, VII e VIII do art. 4 da Medida Provisria n 2.200-2,
de 24 de agosto de 2001, e
CONSIDERANDO:
- que a popularizao do uso de certificados digitais depende, dentre outros fatores, da
reduo de seus custos atuais;
- que esta reduo de custos depende, dentre outros fatores, do estabelecimento de economia
de escala para os sistemas e equipamentos de certificao digital;
44
- que tal economia de escala proveniente, dentre outros fatores, da garantia de

interoperabilidade entre os diversos sistemas e equipamentos de certificao digital
disponveis;
- que a interoperabilidade desejada decorrente da adoo de padres e
especificaes tcnicas mnimas comuns a todos os sistemas e equipamentos de certificao
digital disponveis; e, finalmente,
- que a definio desses padres e especificaes tcnicas mnimas visa, sobretudo, ao
adequado funcionamento do sistema ICP-Brasil, atualizao de suas tecnologias,
procedimentos e prticas, garantia de sua compatibilidade e promoo de sua
conformidade com as polticas de segurana aprovadas por aquele Comit;
R E S O L V E:
Art. 1 Aprovar o REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E
EQUIPAMENTOS DE CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL em
anexo.
Art. 2 Esta Resoluo entra em vigor na data de sua publicao.
ENYLSON FLAVIO MARTINEZ CAMOLESI
REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE
CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL
1 - INTRODUO
1.1 - Viso Geral
Este Regulamento tem por finalidade estabelecer as regras e os procedimentos gerais que
devero ser observados nos processos de homologao dos sistemas e equipamentos de que
trata.
A homologao ora regulamentada tem por objetivo asseverar a plena aderncia dos sistemas
e equipamentos avaliados aos padres e especificaes tcnicas mnimos estabelecidos nas
normas editadas ou adotadas pela ICP-Brasil, tendo como enfoque especfico a garantia da
interoperabilidade desses sistemas e equipamentos e a confiabilidade dos recursos de
segurana da informao por eles utilizados.
Destaque-se que esta homologao, no entanto, no alcanar a avaliao e a garantia dos
sistemas e equipamentos quanto ao seu desempenho, qualidade tcnica ou funcionamento
adequado de acordo com suas especificaes ou caracterizaes funcionais, ou, ainda, quanto
a quaisquer outras caractersticas suas, seno de acordo com o expressamente previsto nas
normas aplicveis da ICP-Brasil.
1.2 - Princpios
O presente Regulamento regido pelos seguintes princpios:
1.2.1 - facilitar a insero do Brasil em acordos internacionais de reconhecimento mtuo em
matria de Certificao Digital;
1.2.2 - observar, quando couber, quanto s matrias pertinentes, as premissas, as polticas e as
especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e
Comunicao no Governo Federal, definidas pela arquitetura e-PING Padres de
Interoperabilidade de Governo Eletrnico;
45
1.2.3 - promover a isonomia no tratamento dispensado s partes interessadas na homologao

de sistemas e equipamentos de certificao digital; e
1.2.4 - dar o devido tratamento sigiloso s informaes tcnicas disponibilizadas pelas partes
interessadas por fora deste Regulamento.
1.3 - Definies
Para os efeitos deste Regulamento aplicam-se as seguintes definies:
1.3.1 - Homologao: processo que consiste no conjunto de atos, realizados de acordo com
este Regulamento e com as demais normas editadas ou adotadas pela ICP-Brasil, que, se
plenamente atendido, resultar na expedio de ato pelo qual, na forma e nas hipteses
previstas, a entidade responsvel pela conduo do referido processo reconhecer o laudo de
conformidade emitido para um dado sistema ou equipamento de certificao digital avaliado,
outorgando parte interessada autorizao de uso do Selo de Homologao e do
correspondente nmero de identificao do sistema ou equipamento homologado, conforme
definido no item 4. deste Regulamento;
1.3.2 - Avaliao de Conformidade: conjunto de ensaios desenvolvido por
Laboratrio de Ensaios e Auditoria, formalmente vinculado entidade responsvel pela
conduo dos processos de homologao, com o objetivo de verificar se os padres e
especificaes tcnicas mnimos aplicveis a um determinado sistema ou equipamento de
certificao digital esto atendidos;
1.3.3 - Laudo de Conformidade: documento emitido pelo Laboratrio de Ensaios e Auditoria
ao final da avaliao de conformidade, na forma prevista neste Regulamento, que atestar se
um dado sistema ou equipamento, devidamente identificado, est ou no em conformidade
com as normas editadas ou adotadas pela ICP-Brasil;
1.3.4 - Ensaio: procedimento tcnico realizado em conformidade com as normas aplicveis,
que objetiva analisar um ou mais requisitos tcnicos de um dado sistema ou equipamento;
1.3.5 - Terceira Parte: pessoa ou instituio que age com total independncia de fabricantes,
desenvolvedores, representantes comerciais, prestadores de servios de certificao digital e
de potenciais compradores de sistemas e equipamentos de certificao digital;
1.3.6 - Sistemas de Certificao Digital: todo e qualquer programa de computador, ainda que
embarcado, que compe meio necessrio ou suficiente realizao de Certificao Digital; e
1.3.7 - Equipamentos de Certificao Digital: todo e qualquer aparelho,
dispositivo ou elemento fsico que compe meio necessrio ou suficiente realizao de
Certificao Digital.
2 - DISPOSIES GERAIS
2.1 - Obrigatoriedade
Os rgos e entidades integrantes da ICP-Brasil somente podero utilizar e fornecer sistemas
e equipamentos de certificaodigital homologados nos termos deste Regulamento.
Transitoriamente, com o escopo de permitir a disseminao de conhecimentos sobre o
processo de homologao, a formao de uma cultura acerca de seus benefcios e a adaptao
gradativa dos rgos e entidades integrantes da ICP-Brasil, sero facultativos a utilizao e o
fornecimento de sistemas e equipamentos homologados.
O ITI, por meio de Instruo Normativa, aprovar cronograma com a determinao dos
termos iniciais de obrigatoriedade da utilizao e do fornecimento de sistemas e
equipamentos homologados.
2.2 - Aplicabilidade
46
So passveis de homologao para efeitos do que prev este Regulamento:

2.2.1 - sistemas de assinatura eletrnica, sistemas de autenticao de assinaturas eletrnicas,
sistemas de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de
sincronismo de tempo, bem como, sistemas de autoridades certificadoras, sistemas de
autoridades de registro, ou quaisquer outros que faam uso daqueles sistemas na forma de
subrotinas ou sub-funes;
2.2.2 - Cartes Inteligentes (Smart Cards), leitoras de cartes inteligentes, Tokens
criptogrficos, ou quaisquer outras mdias armazenadoras de certificados digitais e suas
correspondentes leitoras utilizadas em certificao digital; e
2.2.3 - Mdulos de Segurana Criptogrfica MSC (Hardware Security Modules - HSM),
equipamentos de sincronismo de tempo, equipamentos de carimbo de tempo, ou quaisquer
outros dispositivos seguros de criao ou verificao de assinaturas eletrnicas utilizados em
certificao digital.
2.3 - Partes do Processo de Homologao
2.3.1 - Instituto Nacional de Tecnologia da Informao ITI
O ITI, AC Raiz da ICP-Brasil, a entidade responsvel pela conduo dos
processos de homologao de sistemas e equipamentos de certificao digital no mbito da
ICPBrasil, observado o disposto neste Regulamento e demais normas editadas ou adotadas
pela ICPBrasil.
O ITI, para o desempenho de sua atribuio na conduo dos processos de
homologao de sistemas e equipamentos de certificao digital, poder celebrar convnios,
acordos, ajustes, contratos ou outros instrumentos congneres com o fito de manter
instituies vinculadas para atuarem como seus Laboratrios de Ensaios e Auditoria.
2.3.2 - Laboratrios de Ensaios e Auditoria LEA
Os Laboratrios de Ensaios e Auditoria so entidades, formalmente vinculadas ao ITI, aptas a
realizar os ensaios exigidos nas avaliaes de conformidade e a emitir os correspondentes
laudos de conformidade, na forma prevista neste Regulamento, que embasaro a tomada de
deciso por parte do ITI quanto homologao ou no de um dado sistema ou equipamento
avaliado.
2.3.2.1 - Critrios para a escolha dos LEA
Os LEA devero ser entidades com capacidade tcnica necessria boa
conduo das avaliaes de conformidade de sistemas e equipamentos de certificao digital,
devendo atender aos seguintes requisitos:
2.3.2.1.1 - Qualificao jurdica: alm dos requisitos legalmente necessrios para a
contratao com a Administrao Pblica, os LEA devem demonstrar ser instituies
brasileiras, sem fins lucrativos, estabelecidas h pelo menos 3 (trs) anos, incumbidas
regimental ou estatutariamente de pesquisa em campo especfico ou afim segurana da
informao e com inquestionvel reputao tico-profissional;
2.3.2.1.2 - Qualificao como instituio de pesquisa: os LEA devero comprovar ser
instituies de pesquisa credenciadas pelo Comit da rea de Tecnologia da Informao CATI, criado pelo Decreto n 3.800, de 20/04/2001, em conformidade com o disposto nas
resolues por ele editadas, que estabeleam os critrios para credenciamento de institutos de
pesquisa;
2.3.2.1.3 - Capacidade tcnica: a capacidade tcnica ser comprovada com a demonstrao da
existncia de pessoal qualificado, voltado ao objeto da avaliao de conformidade de sistemas
e equipamentos de certificao digital, seja nos quadros do organismo, seja fora dele, e, nesta
hiptese, dever ser comprovada a vinculao contratual com o pessoal qualificado. O
47
pessoal apresentado deve comprovar capacitao tcnica para as finalidades da avaliao de

conformidade quanto formao profissional, experincia profissional e capacidade tcnica,
constantes de currculo Lattes devidamente cadastrado no CNPq, devendo, ainda, comprovar
imparcialidade, independncia e objetividade nas decises; e
2.3.2.1.4 - Capacidade de tratamento sigiloso de informaes: os LEA providenciaro para
que seus empregados, prepostos e representantes adotem as medidas e procedimentos
necessrios proteo de informaes e materiais sigilosos, respondendo por qualquer acesso
ou divulgao no autorizados. Os LEA devero, ainda, comprovar ser instituies adequadas
e habituadas ao trato sigiloso de informaes que lhe so submetidas por seus contratantes,
por meio da apresentao de, no mnimo, 3 (trs) Termos de Sigilo (ou, em ingls, NonDisclosure Agreement NDA) ou instrumentos congneres mantidos com outros
contratantes.
2.3.2.2 - Obrigaes dos LEA
Os instrumentos jurdicos que vincularo os LEA ao ITI, devero conter termo de
responsabilidade e de compromisso, por parte dos LEA, de que estes desempenharo suas
funes de acordo com padres de idoneidade que assegurem a independncia e neutralidade
de suas avaliaes, bem como, com o devido rigor tcnico e procedimental.
Os LEA devero, ainda, comprometer-se a:
2.3.2.2.1 - seguirem os princpios estabelecidos no item 1.2 deste Regulamento;
2.3.2.2.2 - disporem de procedimentos, onde devero estar explcitas, passo a passo, todas as
etapas
a
serem
cumpridas
nas
avaliaes
de
conformidade,
assim como as providncias administrativas relativas;
2.3.2.2.3 - conduzirem as avaliaes de conformidade de acordo com o estabelecido por este
Regulamento e demais normas editadas ou adotadas pela ICP-Brasil;
2.3.2.2.4 - elaborarem os laudos de conformidade de acordo com o disposto neste
Regulamento;
2.3.2.2.5 - manterem registradas todas as reclamaes relativas s avaliaes de
conformidade, incluindo as que forem encaminhadas aps expedida a homologao de um
dado sistema ou equipamento.
2.3.2.3 - Auditoria dos LEA
O ITI, anualmente, em carter ordinrio, ou a qualquer tempo, em carter
extraordinrio, realizar, por si mesmo ou por terceiros por ele contratados, auditoria de
conformidade para verificar se todos os processos, procedimentos e atividades dos LEA esto
em conformidade com o disposto neste Regulamento, demais normas suplementares
aplicveis homologao de sistemas e equipamentos de certificao digital no mbito da
ICP-Brasil e demais resolues aprovadas pelo ComitGestor.
2.3.3 - Parte Interessada
O titular de um determinado sistema ou equipamento de certificao digital ter legitimidade
para pleitear sua homologao junto ao ITI.
Quando o titular no tiver sede e administrao no Pas dever constituir e manter procurador
devidamente qualificado e aqui domiciliado, com poderes para represent-lo administrativa e
judicialmente, inclusive para receber citaes judiciais ou intimaes administrativas em seu
nome.
2.4 - Normas Suplementares Aplicveis
48
Compete ao ITI editar normas suplementares a este Regulamento que, em funo das
especificidades dos sistemas e equipamentos passveis de homologao previstos no item 2.2
deste Regulamento, estabelecero os requisitos tcnicos e procedimentais a serem observados
nos respectivos processos de homologao.
Tais normas devero estabelecer de forma especfica e pormenorizada os procedimentos
administrativos a serem observados, bem como, os respectivos padres e especificaes
tcnicas mnimos para os sistemas e equipamentos de que tratam, podendo, inclusive,
estabelecer quais procedimentos tcnicos devero ser observados na realizao dos ensaios
durante a avaliao de conformidade.
Estas normas suplementares para homologao de sistemas e equipamentos de certificao
digital no mbito da ICP-Brasil sero aprovadas e expedidas por meio de instrues
normativas da autoridade mxima do ITI.
Tal competncia derivada das atribuies regimentais do ITI, em especial, a de executar as
normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil.
O ITI, na elaborao destas instrues normativas, levar em considerao, quando couber, as
especificaes constantes das verses disponveis da arquitetura e-PING.
O ITI poder, a qualquer tempo, alterar as instrues normativas por ele editadas, com o fito
de adequar e atualizar os padres e especificaes tcnicas mnimos estabelecidos para os
sistemas e equipamentos de certificao digital de que tratam, bem como, os prazos,
procedimentos burocrticos e ensaios que devero ser observados nos pertinentes processos
de homologao.
As instrues normativas aqui referidas, bem como suas posteriores alteraes sero
divulgadas pelo ITI no Dirio Oficial da Unio eem seu stio na internet.
S estaro efetivamente em condio de homologao, aqueles sistemas e equipamentos cuja
instruo normativa especfica j tenha sido editada e publicada pelo ITI.
2.5 - Tarifas pela Homologao
A homologao de sistemas e equipamentos nos termos deste Regulamento estar sujeita ao
pagamento de tarifas pelas partes interessadas.
O ITI, por meio de Instruo Normativa, aprovar tabela fixando os valores das tarifas do
processo de homologao, cuja vigncia ser transitoriamente diferida, em virtude das razes
mencionadas no item 2.1 deste Regulamento.
2.6 - Prazos para Homologao
O ITI dispor em instruo normativa quanto aos prazos a serem observados nos processos de
homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil, em
funo das especificidades de cadacaso.
2.7 - Prioridade de Homologao
A ordem natural de execuo dos processos de homologao ser a correspondente ordem
cronolgica dos pedidos de homologao protocolados junto ao ITI.
Como contingncia, e desde que formalmente comunicado o fato ao ITI pelo LEA, sempre
que a capacidade de atendimento deste ltimo for comprometer os prazos determinados pelo
ITI, esta poder determinar que sejam priorizados os processos de homologao, segundo os
seguintes critrios, e na ordem em que se apresentam:
2.7.1 - relativos a sistemas ou equipamentos nacionais j em uso por entidade integrante da
ICP-Brasil;
2.7.2 - relativos a sistemas ou equipamentos estrangeiros, porm de empresas j estabelecidas
no
Brasil,
j
em
uso
por
entidade
integrante
da
ICP-Brasil;
49
2.7.3 - sistemas ou equipamentos estrangeiros j em uso por entidade integrante da ICPBrasil;

2.7.4 - sistemas ou equipamentos nacionais ainda no em uso por nenhuma
entidade integrante da ICP-Brasil;
2.7.5 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade
integrante da ICP-Brasil, porm, de empresas j estabelecidas no Brasil; e
2.7.6 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade
integrante da ICP-Brasil.
3 - DO PROCESSO DE HOMOLOGAO
O processo de homologao dos sistemas e equipamentos de que trata este Regulamento, ser
composto das fases descritas a seguir. Durante sua execuo, dever ser observado, alm do
disposto neste Regulamento, o que constar nas instrues normativas especficas editadas
pelo ITI.
3.1 - Instruo Inicial do Processo
A parte interessada em pleitear a homologao de um dado sistema ou equipamento de
certificao digital no mbito da ICP-Brasil, dever entregar o respectivo sistema ou
equipamento, acompanhado da devida documentao, no local, na quantidade e na forma
definidos pela instruo normativa especfica para o sistema ou equipamento objeto da
homologao.
A documentao mnima a ser exigida nesta fase do processo de homologao ser:
3.1.1 - Termo de Propriedade Intelectual devidamente preenchido e assinado pelo
representante legal da parte interessada, de acordo com modelo aprovado por Instruo
Normativa do ITI e disponibilizado em seu stio na internet;
3.1.2 - Documentos comprobatrios de que a parte interessada est regularmente estabelecida
segundo as leis brasileiras, ou de que possui procurador devidamente qualificado e
domiciliado no Pas, conforme disposto no item 2.3.3 deste Regulamento;
3.1.3 - Documentos comprobatrios da representao regular da parte interessada;
3.1.4 - Documentao tcnica referente ao sistema ou equipamento objeto da homologao;
3.1.5 - Termo de Sigilo devidamente preenchido e assinado pelo representante legal da
parte interessada, em duas vias, de acordo com modelo aprovado por Instruo Normativa do
ITI e disponibilizado em seu stio na internet; e
3.1.6 - Lista descritiva de todos os sistemas e equipamentos que esto sendo
entregues para fins de homologao pelo ITI.
Aps conferido, identificado e aceito todo o material entregue, o ITI dever expedir um
protocolo de recebimento, onde conste o nmero do respectivo processo de homologao e a
data prevista para sua deliberao.
Juntamente com o protocolo de recebimento, o ITI entregar uma via do Termo de Sigilo,
devidamente assinada pela autoridade competente.
3.2 - Avaliao de Conformidade
Uma vez aberto e devidamente instrudo o processo de homologao pelo ITI, bem como,
recebido, identificado e validado todo o material tcnico correspondente a esse processo pelo
LEA, este proceder realizao da Avaliao de Conformidade e emisso do correspondente
50
Laudo de Conformidade, nas condies e na forma previstas neste Regulamento e na

instruo normativa especfica aplicvel.
3.2.1 - Do Laudo de Conformidade
O Laudo de Conformidade dever ser emitido em trs vias de igual teor, sendo uma destinada
ao ITI, outra parte interessada e a ltima ao prprio LEA. As duas primeiras vias devero
ser encaminhadas ao ITI to logo esteja concluda a Avaliao de Conformidade e
devidamente assinado o correspondente Laudo de Conformidade, devendo a ltima via ficar
arquivada no LEA para eventuais necessidades futuras.
Constaro do Laudo de Conformidade, no mnimo, as seguintes informaes:
3.2.1.1. - toda aquela necessria inequvoca identificao e descrio do
sistema ou equipamento objeto da homologao e do respectivo nmero do processo;
3.2.1.2 - citar toda a legislao
correspondente avaliao de conformidade;
aplicada
durante
realizao
da
3.2.1.3 - descrever, detalhadamente, todos os requisitos avaliados e os

respectivos resultados obtidos, incluindo, a indicao dos ensaios e sob que condies foram
aplicados;
3.2.1.4 - identificar, claramente, quais requisitos so obrigatrios e quais so
opcionais para a respectiva homologao;
3.2.1.5 - apresentar, em detalhe, quando for o caso,
conformes, com a indicao das discrepncias encontradas;
todos
3.2.1.6 - atestar se o sistema ou equipamento objeto

avaliao est ou no em conformidade com a legislao aplicvel;
os
da
itens
no
correspondente
3.2.1.7 - data da emisso do respectivo laudo de conformidade, identificao(es) e

assinatura(s) do(s) responsvel(eis) tcnico(s) pelos ensaios e do(s) representante(s) legal(ais)
do LEA.
3.3 - Homologao
Uma vez recebido o Laudo de Conformidade emitido pelo LEA, o ITI proceder sua anlise
e, a partir de ento, tomar sua deciso quanto homologao do sistema ou equipamento
correspondente.
3.3.1 - Do Deferimento da Homologao
No caso do Laudo de Conformidade atestar a conformidade de todos os requisitos
obrigatrios para um dado sistema ou equipamento, a homologao constituir Ato
Declaratrio do Diretor de Infra-Estrutura de Chaves Pblicas do ITI, que ser publicado no
Dirio Oficial da Unio, e dever conter, no mnimo, as seguintes informaes:
3.3.1.1 - toda aquela necessria
sistema ou equipamento homologado;
inequvoca
identificao
descrio
do
3.3.1.2 - o respectivo nmero do processo de homologao e o

correspondente nmero de identificao de sistema ou equipamento homologado;
3.3.1.3 - declarao expressa de que o sistema ou equipamento objeto do ato
declaratrio est homologado pelo ITI, em estrita observncia legislao aplicvel,
devendo, inclusive, explicitar toda a legislao aplicada durante o processo de homologao.
A partir da publicao do ato declaratrio de homologao, a parte interessada estar
autorizada a usar o Selo de Homologao, acompanhado do correspondente nmero de
51
identificao do sistema ou equipamento homologado, na forma prevista no item 4. deste

Regulamento.
3.3.2 - Do Indeferimento da Homologao
O ITI indeferir a homologao de um dado sistema ou equipamento sempre que o
correspondente Laudo de Conformidade apontar a no conformidade de qualquer dos
requisitos obrigatrios para um dado sistema ou equipamento.
3.3.3 - Da Notificao da Parte Interessada
Em qualquer das situaes possveis, quais sejam, deferimento ou indeferimento da
homologao, o ITI dever notificar a parte interessada por ofcio da autoridade competente,
expedido por meio fsico ou eletrnico assinado digitalmente, e devidamente acompanhado
da via original do correspondente Laudo de Conformidade destinada parte interessada.
3.3.4 - Validade da Homologao
O prazo de validade da homologao de sistemas e equipamentos de certificao digital ser
indeterminado, desde que mantidas as caractersticas originais do sistema ou equipamento
avaliado e homologado.
Quaisquer modificaes no projeto ou no processo de desenvolvimento ou
fabricao de sistema ou equipamento j homologado, obrigam a parte interessada a informar
ao ITI o teor de tais modificaes.
O ITI avaliar o impacto das modificaes, e deliberar sobre a necessidade da realizao de
nova homologao.
Havendo a necessidade de realizao de nova homologao, a parte interessada dever
proceder conforme o disposto anteriormente neste Regulamento, como se fosse protocolar um
novo pedido de homologao.
No caso do ITI avaliar que no h necessidade de nova homologao, este dever notificar a
parte interessada de sua deciso por meio de ofcio da autoridade competente, expedido por
meio
fsico
ou
eletrnico
assinado
digitalmente.
3.3.5 - Da Suspenso da Homologao
O ITI poder declarar a suspenso da homologao por ele expedida, observadas as
disposies constantes deste Regulamento.
Caber a suspenso da validade da homologao, sempre que ocorrer uma das seguintes
hipteses:
3.3.5.1 - quando a parte interessada fizer uso da homologao para divulgao de
caracterstica(s) do sistema ou equipamento homologado, que no tenham sido objeto de
avaliao de conformidade;
3.3.5.2 - quando a parte interessada fizer uso de qualquer forma de
divulgao promocional da homologao de sistemas ou equipamentos que permita induzir a
terceiros, ter sido homologado um sistema ou equipamento diverso do efetivamente
homologado;
3.3.5.3 - quando a parte interessada fizer uso da homologao de sistema ou
equipamento, que sofreu alteraes posteriores em seu projeto ou em seu processo de
desenvolvimento ou fabricao, sem a devida autorizao do ITI, conforme disposto no item
3.3.4 deste Regulamento;
3.3.5.4 - quando houver inobservncia do disposto no item 2.3.3 quanto
manuteno de procurador devidamente qualificado e domiciliado no Pas;
52
3.3.5.5 - quando da constatao pelo ITI de qualquer irregularidade no

processo de homologao, que no se enquadrem em nenhuma das hipteses previstas no
item 3.3.6 deste Regulamento.
O ato de suspenso dever ser fundamentado, indicando as providncias a serem adotadas
pelo notificado, e conter expressamente o prazo de suspenso, que dever ser de at 180
(cento e oitenta) dias. Conceder-se- ao ato de suspenso da homologao, a mesma
publicidade dada ao ato de sua concesso.
A suspenso vigorar enquanto no forem adotadas as providncias previstas no ato de
suspenso ou at o prazo especificado. Decorrido o prazo de suspenso, sem que se verifique
a completa e tempestiva adoo das providncias para sanar as irregularidades detectadas ou
sem a apresentao de justificativa aceita pelo ITI, ser cancelada a homologao, sem
prejuzo de outras penalidades previstas na legislao aplicvel.
O ITI dever notificar parte interessada, a sua deciso de suspenso da validade de
homologao de sistema ou equipamento de certificao digital, no prazo mximo de 10 dias,
por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado
digitalmente.
3.3.6 - Do Cancelamento da Homologao
O ITI poder declarar o cancelamento da homologao por
observadas as disposies constantes deste Regulamento.
ele
expedida,
Caber o cancelamento da validade da homologao, sempre que ocorrer uma das seguintes
hipteses:
3.3.6.1 - quando da ocorrncia de fraude ou
documentos apresentados no processo de homologao;
falsidade nas
declaraes ou
3.3.6.2 - quando da constatao de discrepncia relevante e injustificada

entre os resultados dos ensaios realizados nas amostras do sistema ou equipamento avaliado e
os obtidos em eventuais avaliaes posteriores;
3.3.6.3 - quando da prtica de qualquer ato em desconformidade com o ato
de declarao de suspenso da homologao;
3.3.6.4 - no caso da decorrncia do prazo de suspenso da homologao,
sem que se verifique a completa e tempestiva adoo de providncias para sanar as
irregularidades apontadas ou sem a apresentao de justificativa aceita pelo ITI;
3.3.6.5 - no caso de reincidncia em
item 3.3.5 deste Regulamento; e
qualquer das
hipteses
previstas
no
3.3.6.6 - a pedido da parte interessada na homologao.

O ato de cancelamento da homologao dever ser fundamentado e ter a mesma publicidade
dada ao ato de sua concesso.
O ITI dever notificar parte interessada, a sua deciso de cancelamento da
validade de homologao de sistema ou equipamento de certificao digital, no prazo
mximo de 10 dias, por ofcio da autoridade competente, expedido por meio fsico ou
eletrnico assinado digitalmente.
O ITI poder, a qualquer tempo, diante da demonstrao de risco segurana e informaes
de usurios, determinar o cancelamento da homologao de sistemas e equipamentos de
certificao digital. Neste caso, o ITI dar ampla divulgao ao fato, alertando o pblico em
geral quanto aos riscos da continuidade na utilizao do sistema ou equipamento em questo.
3.3.7 - Dos Recursos em Face das Decises
53
Caber recurso das decises proferidas pelo ITI, quanto ao indeferimento,

suspenso ou cancelamento de homologao, na forma prevista em instruo normativa
editada pelo ITI.
3.3.8 - Dos Atos da Parte Interessada
Salvo quando previsto de forma diversa nesta Resoluo, os atos das partes interessadas
podero ser praticados pelo procurador a que se refere o item 2.3.3 ou por mandatrio com
poderes especficos para a conduo do processo de homologao.
4 - SELO DE HOMOLOGAO
4.1 - Do Uso do Selo de Homologao
Os sistemas e equipamentos homologados pelo ITI sero identificados como tal pelo uso do
Selo de Homologao e correspondente nmero de identificao da homologao, de forma
legvel e indelvel, conforme modelo e instrues insertos no item 4.2 deste Regulamento.
Para os sistemas, e para os equipamentos nos quais seja insuficiente o espao para a
colocao do Selo de Homologao e do correspondente nmero de identificao da
homologao, dever ser providenciada sua aposio no manual de operao destinado ao
usurio e na embalagem do sistema ou equipamento.
No caso de cancelamento ou suspenso da homologao, o responsvel pelo sistema ou
equipamento se obriga a cessar, imediatamente aps a publicao dos atos de cancelamento
ou suspenso, a utilizao do Selo de Homologao e do correspondente nmero de
identificao da homologao.
O direito de uso da identificao da homologao no pode ser transferido ou cedido a
terceiros, salvo na continuidade do uso por sucesso reconhecida pelo ITI, conforme previsto
no item 5 deste Regulamento.
4.2 - Das Especificaes do Selo de Homologao
4.2.1 - Selo de Homologao
A identificao da homologao de um sistema ou equipamento de certificao digital

composta das seguintes informaes:
- Selo de Homologao, conforme disposto anteriormente; e
Nmero de
Identificao do
sistema
composto de HHHH-AA-XXXX/YY, onde:
ou
equipamento
homologado,
54
HHHH: identifica a homologao do sistema ou equipamento por meio de numerao

seqencial com 4 caracteres.
AA: identifica o ano da emisso da homologao com 2 caracteres numricos.
XXXX: identifica o nmero da instruo normativa especfica aplicada homologao com 4
caracteres numricos.
YY: indica o ano da edio da instruo normativa especfica aplicada homologao com 2
caracteres numricos.
5 - DISPOSIES FINAIS
A homologao ora regulamentada no exime o usurio de um dado sistema ou equipamento
de certificao digital homologado da responsabilidade de somente utiliz-lo, enquanto
apresentar desempenho e confiabilidade compatveis com a legislao vigente.
No sero considerados para efeito de homologao, equipamentos recondicionados ou
reformados mesmo que, para tanto, tenham sido submetidos a processo industrial.
Admite-se a transferncia da titularidade dos sistemas e equipamentos homologados, desde
que o ITI seja formalmente comunicado do fato atravs de documentao comprobatria
dessa transferncia, acompanhada de declarao emitida por aqueles a quem os referidos
direitos tenham sido transmitidos asseverando que os sistemas ou equipamentos
anteriormente homologados no sofreram nenhuma alterao quanto s caractersticas
tcnicas que os levaram a ser homologados pelo ITI, sendo, nestes casos, transferidos por
sucesso os direitos e deveres originalmente relativos homologao.
O ITI manter sempre atualizada e disponvel ao pblico em geral, em seu stio na internet, as
informaes, de carter no confidencial, relativas aos processos de homologao, em
especial:
5.1 - o inteiro teor deste Regulamento, bem como, das instrues normativas especficas
aplicveis aos processos de homologao de sistemas e equipamentos de certificao digital
no mbito da ICP-Brasil;
5.2 - listagem contendo todos os sistemas e equipamentos homologados, bem como, todas as
informaes necessrias a sua inequvoca identificao e descrio;
5.3 - relao dos laboratrios de ensaios e auditoria vinculados; e
5.4
listagem
contendo
todas
as
homologaes
suspensas
ou
canceladas.
Os formulrios, instrues e disposies suplementares sero objeto de atos a serem editados

pelo ITI.
7.10 Projetos de Lei em tramitao no Congresso Nacional
1589/1999 Cmara: Luciano Pizzatto (OAB - SP), assinatura digital e validade jurdica
documentos eletrnicos.
1483/1999 Cmara: Dr. Hlio, fatura eletrnica. Incorpora o PL 1589. Foi amplamente
debatido por entidades como:Assespro, Brisa, OAB, IDEC.
4906/2001(672) Cmara: Aprovado na comisso especial em 26/09/2001 incorporando
ao PL 1483 e depois ao PL 1589.
7316/2002 Cmara: Uso de Assinaturas eletrnicas e prestao de servios de
Certificao Digital. o que tem atualmente maior perspectiva para aprovao.
55
7.11 Perspectiva de criao de Lei para Certificao Digital

A partir do Projeto de Lei N 7.316 14/10/2002:
Uso de assinaturas eletrnicas, Certificados Digitais, ICP-Brasil e prestao de
servios de certificao.
Assinatura eletrnica avanada (chaves pblicas) a partir de Certificado qualificado
ICP-Brasil. Planejado para viabilizar a neutralidade tecnolgica.
Define prestao de servios de Certificao Digital credenciados a ICP-Brasil.
Prev o uso da Certificao Digital para passaportes, documento identidade, carteira de
motorista, registro de veculos, etc.
Estabelece a Tempestividade Digital dentro da ICP-Brasil.
Proposta pelo relator a incluso de condio para garantir prova plena dos documentos
digitalizados quando conferidos com original e autenticados com f pblica.
Responsabilidade por danos dentro da ICP-Brasil.
Exigncia de uso da ICP-Brasil para administrao pblica em todos os nveis.
Quando aprovado pelo Congresso Nacional e sancionado, deve substituir a Medida Provisria
2.200-2, convalidando todos os atos at ento praticados.
7.12 Autenticao de assinaturas digitais e de cpias eletrnicas

Para documentos originais eletrnicos, no h nenhuma necessidade de adequao do processo
para garantir a legalidade com eficcia probatria. MP 2200-2 j regula sobre documentos
eletrnicos e assinaturas digitais.
Para documentos digitalizados(cpias eletrnicas) tem-se:
Empresas pblicas, Autarquias e rgos pblicos tm poder de produzir cpias de
documentos com f pblica, garantindo legalidade do documento apenas aplicando a
MP 2.200-2.
Empresas privadas podem ter regulamentaes especficas no seu setor de atuao. Por
exemplo a Resoluo do Conselho Federal de Contabilidade 1.020/05. Deve-se,
portanto discutir os processos de digitalizao e viabilizar soluo de GED.
possvel ainda se valer da f pblica, autenticando cpias eletrnicas com assinatura
digital de um cartrio.
7.13 Exerccio 2: digitalizao e autenticao com f pblica

Questo 1: A outorga de f pblica com poderes para autenticar cpias eletrnicas, se
concedida para titulares de certificados digitais ICP-Brasil, pode definitivamente eliminar a
necessidade de ser realizada por um cartrio?
Questo 2: Que tipos de documentos em papel podem ser descartados depois de digitalizados e
autenticados dentro da ICP-Brasil?
7.14 Requisitos para autenticao de documentos digitalizados

Assim como as cpias de documentos em papel, nem todas as cpias eletrnica precisam ser
autenticadas, portanto, alguns requisitos devem ser considerados:
Documentos com validade vencida devem ser descartados.
Documentos com pouco acesso e tempo de guarda curto devem permanecer em
suporte papel.
56
Documentos com pouco acesso e tempo de guarda longo ou permanente, devem ser
microfilmados*
Documentos com muito acesso e tempo de guarda curto, devem ser digitalizados e as
imagens (cpias eletrnicas) autenticadas com F Pblica quando necessrio.
Documentos com muito acesso e tempo de guarda longo ou permanente, devem ser
digitalizados e microfilmados*
* Considerando a freqncia de acesso, perodo de reteno e volume de dados, o Gartner
Group recomenda mover para mdia analgica humanamente legvel registros que sero
guardados por mais de 10 anos. O microfilme tem uma vida estimada de at 500 anos, se
estiver apropriadamente armazenado.
Fonte: Gartner Management Update, agosto de 2001
7.15 Validade jurdica X eficcia probatria de documentos

eletrnicos
Tanto a assinatura digitalizada quanto a baseada em biometria, tm validade jurdica se forem
produzidas de forma lcita. Porm, no tem eficcia probatria porque podem ser copiadas e
coladas em qualquer documento eletrnico sem o consentimento do autor no podendo
garantir integridade nem autenticidade. A Assinatura Digital em documento eletrnico,
produzida a partir de um Certificado Digital gerado por Autoridade Certificadora credenciada
a ICPBrasil, tem validade jurdica com eficcia probatria.
57
MDULO 8 - Aplicaes para Certificao e

Tempestividade Digital
8.1 Certificao de dados, documentos, mensagens eletrnicas e
agentes
A Certificao Digital tem basicamente trs tipos de aplicao: Assinatura Digital,
Autenticao de Agentes e Confidencialidade. Por sua vez, a Tempestividade Digital,
combinada com a Certificao Digital, pode agregar maior eficcia probatria em qualquer um
dos trs tipos de aplicao. A Assinatura Digital e a Confidencialidade podem ser aplicadas em
qualquer contedo eletrnico a exemplo de documentos, mensagens de correio eletrnico,
arquivos, banco de dados, etc., e se combinadas com a Tempestividade Digital, podem
registrar os momentos da aplicao da assinatura com hora oficial. A Autenticao de Agentes
pode ser aplicada para identificao remota com eficcia probatria de pessoas, processos,
sistemas, dispositivos, etc., e se combinada com a Tempestividade Digital, pode registrar os
momentos dessa identificao com hora oficial.
8.2 Autenticao para acesso seguro a servidores Web
Garante o sigilo e integridade ao acessar um stio Internet.

Quem acessa o stio Internet Certificado, recebe uma cpia do Certificado Digital
contendo a chave pblica.
Cria-se um tnel criptogrfico onde somente o stio Internet acessado consegue
decifrar os contedos enviados (nico que possui a chave privada).
Indispensvel quando ao acessar um stio Internet necessrio fornecer dados como
nmeros de conta corrente, cartes de crdito, etc.
Ao acessar um stio Internet que deve estar seguro com Certificado Digital, deve-se
sempre verificar os dados do Certificado: se a data de validade do Certificado no est
expirada, se a Autoridade Certificadora que emitiu o Certificado confivel e se o
dado certificado para aponta para o stio que est sendo acessado.
8.3 Assinaturas em documentos originais e cpias eletrnicas

Assinatura em documentos originais eletrnicos:
Cada atualizao (verso) do documento deve receber nova Assinatura Digital, porque
qualquer alterao no documento, por mnima que seja invalida as suas assinaturas
digitais.
Garante a integridade do documento assinado e a autenticidade de todos os assinantes.
Um documento gerado em meio digital, quando assinado conforme legislao, tem a
mesma eficcia probatria de um documento em papel, desde que seja garantida a
acessibilidade do mesmo.
Assinatura em cpias eletrnicas:
Uma imagem de documento digitalizado cpia eletrnica e assim deve ser tratada.
Assinatura Digital em uma imagem pode garantir integridade e autenticidade de quem
assina, mas no da assinatura do autor do documento porque a assinatura do mesmo
estar digitalizada a partir da assinatura em papel.
58
A necessidade de eficcia probatria pode exigir autenticao de cpia eletrnica com

f pblica, o que deve ser obtido de acordo com a legislao em vigor.
8.4 Integridade e autenticidade no trmite de documentos

eletrnicos
O trmite de documentos eletrnicos atravs de uma rede aberta e vulnervel como a Internet,
traz dois grandes riscos. O primeiro a grande possibilidade de o documento ter seu contedo
violado durante o trmite, comprometendo assim a sua integridade. O segundo risco, a
incerteza da autoria das assinaturas dos documentos recebidos, uma vez que tanto uma
assinatura pode ser gerada falsa, como a pode ser adulterada durante o trmite.
Com a Certificao Digital, conforme figura 8.4.1 abaixo, um documento eletrnico, partindo
de um Emissor, pode chegar ao Receptor com garantia de integridade e autenticidade. O
emissor calcula o resumo (cdigo hash) do documento, criptografa esse resumo com a sua
chave privada e assim obtm a Assinatura Digital. Envia a assinatura e o contedo do
documento pela Internet que como sabemos uma rede aberta e vulnervel. O receptor, ao
receber o documento com a assinatura, utilizando o Certificado Digital do Emissor,
decriptografa a assinatura com a chave pblica presente no Certificado e a partir do contedo
do documento recebido com a mesma funo hash usada pelo Emissor, calcula um novo
resumo. Os dois resumos so comparados e se forem iguais a integridade est garantida. A
autenticidade garante-se pela identificao do titular do Certificado Digital que o assinante
do documento, desde que a Autoridade Certificadora que emitiu o Certificado Digital seja
confivel pelo Receptor.
Figura 8.4.1: Autenticidade com Integridade no trmite de documentos eletrnicos
59
8.5 Exerccio 3: garantia de sigilo, integridade e autenticidade

Considerando o processo da figura 4.11.1 e o processo da figura 8.4.1, represente em um nico
processo, com fluxo resumido, as garantias de Sigilo, Autenticidade e Integridade no trmite
de documentos eletrnicos.
8.6 Demonstrao de uso de assinatura de documentos

eletrnicos*
Com uso do Certificado Digital e-CPF do instrutor do curso e um aplicativo para assinatura e
verificao de assinaturas de documentos eletrnicos ser demonstrado no mdulo 12:
Assinatura de documentos originais eletrnicos
Verificao de assinatura em originais eletrnicos
Assinatura de cpias eletrnicas (documentos digitalizados)
Como autenticar cpias eletrnicas com f pblica
Verificao de assinatura em cpias eletrnicas
Assinatura de mltiplos documentos eletrnicos
Assinatura de documentos eletrnicos em lote
Co-assinatura de documentos eletrnicos
*Ser apresentada no mdulo 12
8.7 Aplicao para integridade e autenticidade na guarda de

documentos
Considera-se para efeito de guarda de documentos eletrnicos os seguintes aspectos:
Quanto a criao: Acervo ou Demanda
Quanto ao contedo: Esttico ou Dinmico
Quanto ao acesso: Consulta ou Atualizao
A Certificao Digital tem aplicao:
Ideal para documentos estticos em demanda
Para documentos dinmicos em demanda, nova assinatura aps atualizao
A Consulta a documentos sob verificao de integridade e autenticidade
O Acervo pode ser re-assinado quando possvel (se autor acessvel)
8.8 Aplicaes para e-mail, Web, dispositivos mveis e redes

virtuais
S/MIME: Assinatura, integridade, verificao e sigilo para mensagens de correio

eletrnico.
WAP/WTLS: Sigilo, integridade autenticao das partes na comunicao dispositivos
mveis (celulares).
Ipsec: Criao de redes privadas virtuais (VPNs) em redes pblicas com sigilo,
integridade e autenticao de pacotes Internet (IP).
SSL: Canal seguro de comunicao entre 2 mquinas.
SET: Transaes com cartes de crdito pela Internet sem identificar nmero do carto
de crdito do cliente (aplicao para operaes VISA/MASTERCARD).
60
8.9 Normas, iniciativas e potencial de utilizao
Muitas normas recentemente editadas para uso de Certificao Digital.

Todas as normas que tem surgido exigem o uso de certificados digitais emitidos por
Autoridades Certificadoras credenciadasa ICP-Brasil.
Diversos esforos do Governo Federal e iniciativa privada para popularizar a
Certificao Digital no Brasil.
Potencial de utilizao: Toda organizao que pretende trabalhar com documentos
eletrnicos e que necessite de autenticao de agentes no ambiente virtual com eficcia
probatria.
8.10 Resoluo do Conselho Federal de Contabilidade

Resoluo CFC N 1.020 de 18/02/2005:
Escriturao contbil em forma eletrnica.
Conforme legislao contbil e exigncia conforme ICP-Brasil.
Documentos contbeis originais eletrnicos equivalentes ao papel.
Os documentos em suporte papel podem ser digitalizados, mas as imagens devem ser
assinadas pelo responsvel do processo de digitalizao, pelo contabilista, pelo
empresrio e autenticadas com f pblica, com todas as assinaturas conforme ICPBrasil.
Prev autenticao documentos eletrnicos impressos
Exige preservao que pode ser por GED
A resoluo CFC 1.061 de 09/12/2005 estabelece um leiaute padronizado
A resoluo CFC 1.063 de 09/12/2005, e atualizao da resoluo 1.020.
8.11 Instruo normativa do Superior Tribunal do Trabalho para

peties
Instruo TST N 28 de 07/06/2005:
Protocolizao e fluxo de documentos e-DOC
De acordo com as regras da ICP-Brasil
Disponvel na pgina TST, mas facultativo aos advogados
Exige prvio cadastramento do advogado pela Justia do Trabalho
Usurio deve adquirir Certificado Digital de AC credenciada pela ICP-Brasil
Peties e anexos s em PDF e com tamanho mximo de 2MB
Dispensa a apresentao posterior da documentao em papel
Rigoroso quanto a Tempestividade Digital
Questionada pela OAB (identificao advogados)
8.12 Ajuste CONFAZ para uso de Nota Fiscal eletrnica NF-e

Ajuste CONFAZ SINIEF N 07 de 05/10/2005:
Institui a Nota Fiscal eletrnica que pode substituir o modelo 1 ou 1-A em papel
Existncia apenas em formato digital (no prev a digitalizao dos acervos)
Arquivo digital somente no padro XML
Assinatura digital somente a partir de Certificado de AC credenciada ICP-Brasil
Validao, guarda e transmisso Receita Federal pela administrao tributria da
unidade federada (necessidade de GED)
Credenciamento somente de contribuintes com convnios ICMS 57/95 e 58/95
61
8.13 Autoridade Certificadora do Judicirio AC-Jus
Credenciada a ICP-Brasil em maro 2005 para facilitar a adeso dos poderes judicirio
a Certificao Digital ICP-Brasil
Forte adeso das diversas instncias do Poder Judicirio na esfera federal e tambm
estaduais
Importante impulso para utilizao da Certificao Digital pelo Poder Judicirio
Perspectiva para agilizao dos processos judiciais em todo o Brasil
8.14 Iniciativas para popularizar o uso da Certificao Digital no

Brasil
Convnio da Federao dos Bancos Brasileiros (FEBRABAN) com a Secretaria da Receita
Federal (SRF) e com o Instituto de Tecnologia da Informao (ITI) com o objetivo de
popularizar a Certificao Digital no Brasil:
Autenticao de agentes no ambiente eletrnico Ex: IR, DCTF, titulares contas
correntes etc.
Assinatura e autenticao de documentos eletrnicos com equivalncia funcional legal
aos documentos em suporte papel
e-CAC Centro virtual de atendimento ao contribuinte da Receita Federal (com autenticao
remota do contribuinte: Balco Virtual)
SIDOF Elaborao e trmite de documentos entre a Presidncia da Repblica e os
Ministrios com o uso da Certificao Digital desde 2001
8.15 Situao e principais aplicaes em outros pases
Blgica: Pas mais avanado em Certificao Digital com identidade eletrnica

vinculada ao nascimento das pessoas e previso de fornecimento para todos cidados
at 2008.
Unio Europia: Grande avano no uso para documentos originais eletrnicos e cpias
eletrnicas (digitalizao de acervos).
EUA: Uso intensivo para fins militares e funcionrios pblicos em geral.
Canad: Forte apoio do governo com preferncia para software livre.
62
MDULO 9 - Integrao com as principais tecnologias

para GED
9.1 Document Imaging com Certificao Digital
Tecnologia Document Imaging - DI: Gerenciamento de Imagens dos Documentos.
Devido ao grande nmero de documentos em papel ou microfilme utiliza-se a tecnologia de
imagem para agilizar os processos de consulta, processamento e distribuio de documentos.
O DI utiliza programas de gerenciamento para arquivar e recuperar documentos. Emprega
equipamentos especficos para a captao, armazenamento, visualizao, distribuio e
impresso das imagens dos documentos. A tecnologia de DI consiste na imagem do
documento captada atravs de escaners. Esses equipamentos simplesmente convertem os
documentos em papel ou microfilme para uma mdia digital. Aqui, importante diferenciar
um documento proveniente da digitalizao, aquele que gera uma imagem, daqueles que vm
da digitao, que gera um documento textual. Os documentos no formato imagem so, em
mdia, dez vezes maiores que os textuais, e no podem ser processados por sistemas tpicos de
processamento de dados. A imagem gerada um mapa de bits, no existindo uma codificao
por caracteres, diferente da digitao, em que h codificao de cada letra do texto por um
teclado.
Document Imaging com Certificao Digital:
Ver no item 8.3: Assinatura em Cpias Eletrnicas
9.2 Forms Processing com Certificao Digital

Tecnologia Forms Processing - FP: Processamento de Formulrios.
A tecnologia de processamento eletrnico de formulrios permite reconhecer as informaes
nos formulrios e relacion-las com campos nos bancos de dados. Essa tecnologia automatiza
o processo de digitao. O Forms Processing utilizado pelos bancos para agilizar o
processamento dos formulrios de abertura de contas e concesso de crditos, por exemplo.
Foi utilizado para o processamento do censo de 2000 e tambm no clculo das perdas do
FGTS, cujos dados encontravam-se em microfilme. muito utilizado na apurao de
resultados de concursos vestibulares e pode ser utilizado em qualquer captura de dados onde
no seja possvel fazer digitao diretamente no computador. Os formulrios em papel ou
microfilme so digitalizados e para o reconhecimento automtico dos caracteres so utilizados
softwares de OCR, Optical Character Recognicion e ICR, Intelligent Character Recognition.
Forms Processing com Certificao Digital:
Informaes de interesse so extradas das imagenspor reconhecimento (OCR/ICR).
Em geral, as imagens so descartadas e os formulrios em papel guardados de acordo
com o tempo necessrio para preservao.
As imagens(cpias) podem ser assinadas ou autenticadas e o papel(originais)
descartado.
Recomenda-se criar normas, fazer acordos e ter clara a divulgao dos procedimentos.
9.3 Document Management com Certificao Digital

63
Tecnologia Document Management: Gerenciamento de Documentos Digitais.

Todos os documentos criados eletronicamente precisam ser gerenciados, principalmente
aqueles com grande quantidade de reviso. O DM controla o acesso fsico aos documentos,
ensejando maior segurana e atribuindo localizadores lgicos, como a indexao. O foco o
controle das verses dos documentos, datas das alteraes feitas pelos respectivos usurios e o
histrico da vida do documento. As grandes aplicaes so na rea de normas tcnicas,
manuais e desenhos de engenharia. E, nos ltimos anos, com a automao do escritrio, o DM
perfeitamente aplicvel para todos os documentos de uma organizao.
Principais funcionalidades:
Gerenciamento do ciclo de vida dos documentos
Controle de autoria: criao, reviso, aprovao, etc.
Controle de rascunhos, verses, etc.
Temporalidade (tempo de guarda TTD)
Critrios para o descarte (PDD)
Check-In e Check-Out
Mdias para armazenamento
Document Management comCertificao Digital:
O uso da Certificao no Document Management deve ser encarada como necessria,
seno obrigatria.
Pode ser aplicada em qualquer fase do ciclo de vida de um documento eletrnico.
Cada atualizao do documento (verso), deve receber nova assinatura digital.
Os originais eletrnicos gozam de validade jurdica e tem fora probatria quando
assinados dentro da ICP-Brasil.
9.4 EDMS com Certificao Digital

Tecnologia EDMS: Engineering Document ManagementSystems
Dentre as tecnologias para o Gerenciamento Eletrnico de Documentos, uma das que possuem
grande relevncia para a manuteno das plantas o EDMS (Engineering Document
Management System), que cuida exatamente de informaes tcnicas de funcionamento e
manuteno: desenhos, manuais, catlogos, etc., e conhecida como Gerenciamento de
Documentos de Engenharia:
Gerencia documentos grandes (atA0)
Controla verses e revises de plantas de engenharia
Pode utilizar desenhos em CAD, raster ou hbrido
Permite mltipla representao
Controla a Retirada do desenho para atualizaes
EDMS com Certificao Digital:
Pode ser aplicada em qualquer fase do ciclo de vida de uma planta eletrnica
Cada atualizao da planta (verso), deve receber nova assinatura digital
Uma planta gerada em meio digital, quando assinada dentro da ICP-Brasil, tem a
mesma eficcia probatria de uma planta em meio analgico, desde que garantida a
acessibilidade da mesma
Cpias podem exigir autenticao com f pblica conforme legislao em vigor
64
9.5 COLD/ERM com Certificao Digital

Tecnologia COLD/ERM: Computer Output to Laser Disk / Enterprise Report Management
(Gerenciamento de Relatrios)
A tecnologia surgiu da evoluo dos sistemas COM (Computer Output Microfilm) onde a
sada de dados era armazenada em microfilme (microfichas). A funo bsica dos sistemas
COLD armazenar dados oriundos de sistemas informatizados na forma de relatrios e
formulrios, poderiam possam ser analisados via software. Na realidade no so imagens dos
relatrios gerados, mas os dados sobrepostos de forma a se unir a um layout (formulrios) e
proporcionar a viso do relatrio. Podemos armazenar, em um disco, por exemplo, faturas de
telefone, notas fiscais, relatrios gerenciais, contra-cheques, e depois imprimir s o que for
necessrio ou de acordo com critrios de uma pesquisa. O resultado da impresso dos
relatrios direcionado para um servidor COLD que armazena informaes e indexa segundo
critrios definidos para cada relatrio. Na verdade, so gravados somente os dados posicionais
no relatrio e o usurio, no momento da visualizao, aciona o formulrio relacionado ao
relatrio ou fatura que far a sobreposio dos dois. Basicamente tem-se o dado e sua mscara
de layout (composta por logotipos, cabealhos, linhas delimitadoras, cdigo de barras, etc.)
executados de forma simultnea, podendo o usurio selecionar individualmente cada um.
Podemos selecionar em um relatrio uma coluna e avanando comparamos a mesma com
informaes de outras colunas. Agrupar dados de uma linha com linhas adiante para formar e
gerar um novo relatrio. Exportar dados do relatrio para planilhas e editores de texto, e
indexar relatrios por contedo de um valor posicional onde a informao sempre aparecer
no relatrio. A soluo permite que o usurio coloque lembretes, assinale partes do relatrio
(high-light), censure informaes (tarjas para acesso de pessoa com nvel de autorizao alto).
As anotaes ficam sobre o documento e podem ser retiradas a qualquer momento para uma
visualizao mais limpa do relatrio (exceto aquela com nveis de autorizao). Em resumo,
possvel usando esta tecnologia:
Eliminar a emisso de relatrios gigantescos, sem necessidade. O usurio passaria a

selecionar a informao desejada e imprimir s o que for necessrio ou ainda
visualizar seu resultado na tela (reduona emisso de relatrios).
Liberar espaos reservados para arquivamento de documentos e relatrios. Haveria

apenas um controle e manuteno das informaes armazenadas nos discos pticos,
mantendo a informao mais recente em um servidor para acesso imediato pelo
usurio.
Proporcionar ao usurio a manipulao dos dados de forma que o mesmo possa

exportar, concatenar e imprimir informaes relacionadas a alguns critrios estipulados
durante uma pesquisa.
Identificar com segurana quem pode ou no acessar informaes de um determinado

relatrio. Garante, por exemplo, que relatrios financeiros sejam acessados somente
por pessoas autorizadas pela Gerncia da rea financeira.
COLD/ERM com Certificao Digital:

Pode-se assinar somente os dados(sem a mscara) ou paginas completas
Garantia de integridade dos dados gerados em COLD
Autenticidade de origem dos dados que alimentam o sistema COLD
Verificao de autenticidade e integridade de pginas com contedos para tomada de
decises importantes ou de formulrios para pagamentos via Internet
65
9.6 Workflow/BPM com Certificao Digital

Tecnologia Workflow/BPM: Automao de processos
Workflow uma tecnologia que visa a agilizao da execuo de processos de negcio atravs
do controle, acompanhamento e monitoramento adequado das etapas, prazos e regras de
negcio envolvidas. Elimina tempos improdutivos e gerencia a execuo de todas as
atividades envolvidas em um fluxo de trabalho, provendo rastreabilidade e melhores controles.
Workflow se preocupa com a automao de processos, porm geralmente limitada ao
roteamento de tarefas entre pessoas, mesmo que integrada com outros sistemas existentes na
empresa. Essencialmente um conjunto de ferramentas de desenvolvimento que definem,
gerenciam e executam fluxos de trabalho atravs da operao de um sistema representativo
da lgica do processo. A dinmica de BPM muito similar ao roteamento de workflow,
acrescentando a dimenso de integrao de sistemas. O ato de integrar dois sistemas define
uma conexo ponto a ponto que facilita o trabalho requerido de buscar a informao em um
sistema e levar ao outro. No entanto, quando se necessita integrar-se mais de dois sistemas, a
complexidade aumenta e naturalmente surge a um novo processo formal de negcio. BPM
um guarda-chuva que permite a criao de uma camada de processos que controla as
aplicaes a ele integradas, adicionando ao processo as interaes entre pessoa-a-aplicao e
aplicao-a-aplicao. Da mesma forma que o Middleware fornecia uma camada de dados,
o BPM fornece uma camada de processos, formando um Hub Independente de Processos.
Com BPM, ao invs de se ter cada aplicao responsvel por um conjunto de processos,
tentando integrar-se a eles, o controle do processo retirado das aplicaes individuais e
entregue a uma camada de BPM, que se responsabiliza pela integrao das tarefas e atividades
dos vrios processos com as diversas aplicaes individualmente.
Workflow/BMP com Certificao Digital:
Autenticao de remetentes e destinatrios durante o trmite de documentos em
processos com fluxos automatizados.
Garantia de integridade e sigilo dos dados que trafegam entre duas etapas de um
processo.
Muito importante para segurana no trmite em solues de Workflow para rede aberta
como a Internet, por exemplo.
Exemplo de autenticao de agentes de Workflow/BMP:
Um protocolo Desafio-Resposta baseado em Assinatura Digital pode ser executado no
incio de cada etapa(trmite) de um processo
Desafio: A manda mensagem aleatria para B
Resposta: B assina com sua chave privada e manda de volta a mensagem assinada
A recupera a chave pblica de B e verifica a assinatura (autenticidade do interlocutor)
Se resposta = desafio, ento B est autenticado
Um protocolo similar pode ser executado em sentido inverso, ou seja, de B para A
garantindo a autenticidade nos dois sentidos
9.7 ECM com Certificao Digital

Tecnologia ECM: Enterprise Content Management Gerenciamento de Contedo
O ECM so tecnologias, ferramentas e mtodos usados para captar, gerenciar, armazenar,
preservar e distribuir contedo pela organizao. No nvel mais elementar, as ferramentas e
estratgias de ECM permitem o gerenciamento de informao no-estruturada de uma
66
organizao, enquanto aquela informao existir. O ECM uma evoluo do Document

Management porque trata outros objetos alm de documentos, preconiza uma abordagem
corporativa e incorpora tecnologias que no Document Management so consideradas
correlatas.
ECM com Certificao Digital:
A Certificao Digital pode garantir, sigilo, autenticidade e integridade de qualquer
contedo digital (qualquer seqncia de bits).
Pode ser aplicada em qualquer fase do ciclo de vida de um contedo eletrnico.
Cada atualizao do contedo (verso), deve receber nova assinatura digital.
Os originais eletrnicos gozam de validade jurdica e tem eficcia probatria quando
assinados dentro da ICP-Brasil.
ECM com Certificao Digital por fases:
Tecnologias para captao de contedo:
Integridade dos documentos digitalizados e autenticao dos agentes envolvidos em
todo o processo de captura.
Tecnologias para armazenamento digital:
Integridade, autenticidade, sigilo e assinatura digital com eficcia probatria dos
contedos armazenados.
Tecnologias para gerenciamento eletrnico:
Autenticao dos agentes no trmite e garantia de integridade em todo o ciclo de vida
dos contedos.
Tecnologias para preservao digital:
Migraes e converses com garantia de integridade. No se aplica para microfilmes.
Tecnologias para disponibilizao de contedos:
Acessibilidade com garantia de sigilo, integridade e autenticidade a quem de direito.
67
MDULO 10 - Abordagens para viabilizao da

Certificao Digital
10.1 Definio para utilizao dentro ou fora da ICP-Brasil
Fora da ICP-Brasil: menor custo, possvel segregao para uso Certificado e menor eficcia
probatria (possvel uso em demandas inter-organizao).
Necessidade de: ICP?, AC?, AR?, servios prprios? ou servios de terceiros?
Dentro da ICP-Brasil: maior custo, proibida a segregao para Certificado e maior eficcia
probatria (forte recomendao para rgos de governos).
Necessidade de: AC?, AR?, servios prprios? ou servios de terceiros?
10.2 Abordagem considerando a gesto como pr-requisito

Gesto Organizar para Informatizar:
Envolvimento de especialistas em O&M, biblioteconomia e arquivologia
Levantamento dos documentos e processos da organizao
Mapeamento: quem assina, autoriza, autentica cada documento e processo?
Diagnstico documentos de importante valor probante (eficcia probatria)
Necessidades de: Autenticidade? Sigilo? Integridade? Tempestividade?
10.3 Abordagem com nfase para tecnologias
Recomendvel aps processo de gesto

A tecnologia dever ser o foco principal e o produto um meio para atingi-lo
Produtos so indispensveis, mas devem ser avaliados, escolhidos ou desenvolvidos
para suportar a tecnologia necessria conforme demanda
A nfase para produtos muitas vezes pode aumentar o custo global em funo de subutilizao, interoperabilidade, etc.
ideal utilizar tecnologias com cdigos e padres abertos (software livre)
10.4 Consideraes sobre foco, demandas, atividade fim e porte
Abordagem por fases: 1-Gesto, 2-Tecnologias, 3-Produtos, 4-Soluo

Demanda: departamental ou corporativa?
Foco: servios ou certificados (faltantes)?
Atividade fim: TI? outra com TI prpria? ou outra com TI terceirizada?
Definio das necessidades das demandas:

necessria a autenticao de clientes e usurios?
necessria a autenticao de stios Internet?
necessria gesto dos documentos eprocessos?
necessria assinatura de documentos eletrnicos?
necessria autenticao de cpias eletrnicas?
necessrio sigilo de contedos eletrnicos?
necessria a Tempestividade Digital?
necessria autenticao agentes de Workflow?
Outras consideraes pertinentes?
68
10.5 Aplicaes com baixo custo e retorno do investimento
Implementar componentes (assinatura, autenticao, cifragem etc) sempre que possvel

e vivel, em software livre*
Hoje, ROI em curto prazo em aplicaes com muita demanda e poucos Certificados
(exemplo o caso dos bancos)
Pode-se viabilizar em etapas, por exemplo:
- Etapa1 Autenticao de agentes
- Etapa2 Assinatura de documentos
- Etapa3 Trmite de documentos
- Etapa4 Tempestividade Digital
- Etapa5 Integrao com GED/ECM
*Componentes em Software Livre:

Objetivo: Confiana na integridade dos cdigos dos algoritmos das principais
funcionalidades necessrias.
Biblioteca com componentes em cdigo aberto disponvel ao ambiente de
desenvolvimento.
Construo de componente para autenticao de agentes
Construo de componente para assinatura de contedo
Construo de componente para verificao da assinatura
Construo de componente para verificao de certificado
Construo de componente para cifragem de contedo
Construo de componente para decifragem de contedo
10.6 Exemplos de abordagens para viabilizao da Certificao

Digital
1. Organizao pequena com demanda departamental, sem TI prpria e foco para uso de
Certificados Digitais: utilizar soluo completa

2. Organizao mdia com demanda corporativa, com TI prpria e foco para servios:
utilizar os componentes prontos
3. Organizao grande com demanda corporativa, com TI prpria e foco para
servios: desenvolver seus prprios componentes
69
MDULO 11 - Desafios, perspectivas e consideraes

finais
11.1 Principais desafios tecnolgicos com questes ainda em
aberto
Integrao a um sistema de Gesto Eletrnica de Documentos (GED) para garantir

maior segurana dos documentos assinados.
Buscar abordagem para viabilizao com baixo custo e ROI em curto prazo (software
livre).
Aplicaes com auditabilidade, rastreabilidade e interoperabilidade (software livre).
Disseminao, treinamento e capacitao de todos os envolvidos.
Manuteno da integridade e da acessibilidade dos contedos eletrnicos assinados e
autenticados.
Custos e riscos na manuteno de uma ICP:

Manter diretrio de chaves pblicas: Espao;
Gerenciamento da estrutura da ICP: Complexidade;
necessrio que se faa a verificao de um certificado, antes de usar uma chave
pblica: Custo computacional de verificao;
Tempo decorrido entre a revogao de um certificado e a publicao de uma nova
LRC: Falha na segurana;
Impossibilidade de recuperao de uma chave privada(sigilo), quando isto se fizer
necessrio: Perda de informaes importantes.
O grande desafio com atualizao tecnolgica:
Problema: Mudana de formato/tipo/resoluo, sempre vai exigir nova
assinatura/autenticao.
Recomendao: Usar formato ODF ou XML para possibilitar Assinatura
Digital de longa durao.
11.2 Assinatura Digital de longa durao

Integridade e acessibilidade dos contedos assinados:
Vulnerabilidade contedo assinado e autenticado
Disponibilidade do ambiente operacional
Acesso ao formato original (Usar ODF/XML)
Disponibilidade do aplicativo de assinatura
No obsolescncia do meio de armazenamento
Disponibilidade da AC e certificados revogados
No obsolescncia do sistema criptogrfico
11.3 Um importante desafio cultural

A Certificao Digital oferece condies para que documentos analgicos sejam substitudos
pelos documentos digitais onde, em muitos casos, o suporte papel pode ser totalmente
eliminado. Nesses casos, a tradicional caneta utilizada para assinar documentos ser
substituda pelo Certificado Digital. Isso uma mudana muito grande para a maioria das
70
pessoas. Tem-se a um importante desafio cultural onde os aspectos de gerenciamento da

mudana precisam ser tratados.
11.4 Recomendaes para quebrar barreiras e facilitar a

viabilizao
Considerar a Certificao Digital como evoluo e no como revoluo

Fomentar incluso digital e a disseminao da Certificao Digital
Vencer a barreira da falta de confiana na Certificao Digital
Prospectar e anunciar os principais benefcios
Viabilizar uma etapa de contgio quando possvel
Iniciar com processos simples e de baixo custo
Institucionalizar com normas e procedimentos
Conscientizao: sigilo total da chave privada (inverso do nus da prova)
Aumentar a capilaridade das ARs ICP-Brasil
11.5 Mitos e realidade em torno da Certificao Digital
Mito: Assinatura Digital incontestvel; Realidade: existem os princpios da ampla

defesa e do contraditrio na Constituio Federal.
Mito: documento com Assinatura Digital inaltervel; Realidade: tem apenas
imutabilidade lgica.
Mito: documentos com temporalidade permanente tem as garantias da Certificao
Digital em todo seu ciclo de vida; Realidade: nova Certificao pode ser necessria se
houver alterao dos documentos nas migraes.
Mito: a validade jurdica condio suficiente; Realidade: necessria, mas a eficcia
probatria fundamental para documentos digitais (MP 2200-2 Art. 10 1 X 2).
Mito: a autenticao de cpias eletrnicas pode ser feita de forma totalmente virtual ou
por amostragem; Realidade: a lei determina que seja feita a conferncia com original
palavra por palavra.
11.6 Consideraes sobre segurana, riscos e padronizao
Incremento da segurana com integrao entre Certificao Digital, biometria, GED e

Tempestividade Digital.
A ICP hoje a melhor soluo emergente apesar das vulnerabilidades e riscos.
Risco de algum dia perder a assinatura digital de documentos eletrnicos com
temporalidade permanente ou de longo prazo.
O uso em grande escala se dar com soluo dos problemas de custo e
interoperabilidade.
Necessidade de padronizao em funo do comrcio eletrnico globalizado conforme
proposta das Leis Modelo das Naes Unidas.
11.7 Os cinco estgios da aquisio de conhecimentos
1 Ignorncia: Desconhecimento total sobre Certificao Digital (inclusive

especialistas em TI). Busque conhecimento
2 Desconfiana: Conhecimento das garantias oferecidas sem saber como as mesmas
podem ser alcanadas. Busque convencimento
3 Euforia: Aprender como garantias podem ser alcanadas, mas desconhecer os prrequisitos. No desperdice recursos
71
4 Decepo: Descobrir os pr-requisitos e se convencer que muito da euforia era

apenas sonho. No desista
5 Sensatez: Reconhecer que apesar das decepes, existem importantes necessidades
que somente a Certificao Digital poder suprir. V em frente. Grande possibilidade
de sucesso.
11.8 Principais benefcios da Certificao e Tempestividade Digital
Maior confiana nas operaes com documentos e processos eletrnicos

Agilidade com ambientes sem documentos em papel (solues ecolgicas?) e trmite
eletrnico pela Internet com eficcia probatria (com autenticao dos agentes
envolvidos).
Compra e venda pela Internet mais seguras
Relaes virtuais com segurana entre empresas/governos/cidados
Autenticidade, integridade, tempestividade e sigilo de mensagens e documentos
digitais.
11.9 Referncias para estudo

GED/ECM:
www.cenadem.com.br (informativos, INFOIMAGEM, livraria)
www.aiim.org (consultoria internacional em ECM)
Livro: GED - Gerenciamento Eletrnico de Documentos, Baldam, Valle e Cavalcanti,
Editora rica, 2002
Livro: EDMS - Roquemar Baldam, Editora rica, 2004
Assinatura e Certificao Digital:
Livro: Assinatura Digital, Marlon M. Volpi, Axcel, 2001
Livro: Public Key Infrastructure PKI, Conhea a Infra-estrutura de Chaves Pblicas
e a Certificao Digital, Lino Sarlo da Silva, Novatec, 2004
Livro: Carlisle Adams, Steve Lloyd. Understanding PKI: Concepts, Standards, and
Deployment Considerations, Addison Wesley; 2nd edition, ISBN: 0672323915, 2002
72
MDULO 12 Ferramentas em Software Livre com

Certificao Digital (Demonstrao)
12.1 Tabelio PINHO (Componentes e Gerenciamento)
12.2 E-mail (Mozilla-Thunderbird)
12.3 WEB (Mozilla-Firefox) Aplicativos disponveis.
12.4 Assinador (ITI e cryptonit)
73

Apostila Certificacao Digital TEC

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Certificacao Digital TEC

Enviado por

Direitos autorais:

Formatos disponíveis

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

Plataforma de Desenvolvimento Pinho

Nivelamento Terico em Certificao Digital

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

5.6 Certificao cruzada na ICP-Brasil...............................................................................26

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 10 - Abordagens para viabilizao da Certificao Digital................................67

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 1 Contextualizando a Certificao Digital

1.2 Certificao Digital no contexto das tecnologias da informao

1.3 Assinatura e Certificao Digital no contexto das tecnologias

1.4 Certificao Digital como componente de confiana

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 2 - Vulnerabilidades e necessidades de

2.2 Vulnerabilidades no correio eletrnico e stios Internet

2.3 Vulnerabilidades com documentos e processos eletrnicos

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

eletrnicos trafegados ou armazenados pode inviabilizar aplicaes. Outra operao

2.4 Certificao Digital: segurana e eficcia probatria

MDULO 3 - Conceitos fundamentais

ALERTOU O PROFESSOR PEDRO REZENDE QUEM PODE GARANTIR A AUTENTICIDADE DE

Portanto, os itens relacionados aos aspectos tecnolgicos precisam abordar as garantias

3.2 Alguns conceitos bsicos

Assinatura: marca pessoal utilizada para designar autoria ou aprovao.

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

Analgico: representa grandezas de forma contnua que podem ser registradas em

3.3 Requisitos para equivalncia entre documentos analgicos e

3.4 Documento eletrnico

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

3.5 Conceito de escrito, original e assinatura em papel X eletrnico

3.6 Requisitos para assinatura em documentos eletrnicos

Garantia de autenticidade: Garantir a identificao e associao (ciente) do autor ao

Garantia de integridade: A qualquer momento poder verificar se o contedo assinado

3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

alterado (integridade), com Certificao Digital pode garantir a identificao do

MDULO 4 - Infra-estrutura de Chaves Pblicas

4.2 Criptologia, criptografia e criptoanlise

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

A criptologia se preocupa basicamente com a segurana de informaes. A segurana da

4.3 Criptografia clssica

4.4 Criptografia simtrica

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.5 Exerccio 1: a importncia do no compartilhamento de

4.6 Principais algoritmos para criptografia simtrica

4.7 Criptografia assimtrica ou de chaves pblicas

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.8 Principais algoritmos para criptografia assimtrica

Diffie-Hellman: Criado em 1976. baseado em logaritmo discreto. Marca o

4.9 O algoritmo RSA

publicao com garantia de integridade (como um certificado digital). Como esses

exemplo, uma palavra convertida em dgitos binrios ASCII e os dgitos binrios

representado por 1011000, que equivale a 88 em decimais. Assim, M=88.

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR