Assinatura e

Certificação Digital
26/SET/2003

Stefano Kubiça stefano@pr.gov.br

Co ngre sso e m
Tecnologia s para
Gestão de D ados e
 Roteiro

• Contextualização
• Conceituação
• Assinatura e Certificação Digital
• Infra-estrutura de Chaves Públicas
• Principais Aplicações
• Alguns cases no Brasil
• Aspectos Jurídicos
 Contextualização
Dificuldades em operações realizadas eletronicamente
Contrato nn Recebe
... ... ... ... Trâmite
? ... . ...... ....
..... .. .. ... ...
.. .. ......... Consulta
.... .... .... Armaze-
..... ..... .. . namento
Remetente Destinatário
.... .... .......
Conteúdo aparente = conteúdo real ?  Integridade
Remetente aparente = remetente real ?  Autenticidade
Destinatário aparente = destinatário real ?  Sigilo
Operações eletrôn. ?  Legalidade e Força Probatória
 Conceituação
• Assinatura: Marca pessoal utilizada para
designar autoria ou aprovação
• Certificação: Afirmação de certeza ou verdade
• Digital: Valores representados exclusivamente
em binário (eletrônicos,magnéticos,ópticos,etc.)
• Analógico: Representa grandezas de forma
contínua (pergaminho,papel,microfilme,etc.)
• Eletrônico: Dependente do movimento elétrons
• Autenticação: Ato pelo qual algo é reconhecido
como verdadeiro (termo jurídico)
 Conceituação
Conteúdo Em Papel Eletrônico
(mensagem) (analógico) (digital)
Visível Acessível*
Escrito (leitura) (seqüência de bits)

Primeiro Integridade**
Original
suporte (formato original)

Marca pessoal Autenticidade

Assinatura com
em conteúdo
Integridade
* Localizável, interpretável, portável, íntegro, etc.
** Documentos digitalizados e impressos são cópias
 Conceituação
Assinatura Eletrônica:
• Digitalizada

• Baseada em biometria
Características biométricas convertidas em bits
• Digital
Código gerado por computador:
 Conceituação

Assinatura Digital:
• Eficaz para autenticação não presencial
• Viabiliza a Certificação Digital
• Serve como base para autenticação de
cópias eletrônicas
• Pode garantir segurança, legalidade e
força probatória de documentos
eletrônicos
Assinatura em Documento Eletrônico
• Autenticidade: Garantir a identificação e
associação (ciente) do autor ao conteúdo
• Integridade: Invalidar a assinatura
quando o conteúdo assinado for alterado

Conteúdo + Sinal Autor = Assinatura

Resumo cont. + Chave Autor = Assinat. Digital

 Assinatura Digital
• Garante a identificação do assinante e/ou
remetente (autenticidade e não repúdio)
• Possibilita a qualquer momento verificar
se o conteúdo foi alterado (integridade)
• Pode garantir o sigilo (com criptografia)
• É o principal componente de uma ICP

Protocolos, padrões e serviços para aplicação

de criptografia de chaves públicas e estabelece
a identidade de um usuário para autenticação
Infra-estrutura de Chaves Públicas

Criptografia
e Hash Certificação

ICP
Digital

Assinatura Digital

ICP=PKI (Public Key Infrastructure)

 Criptografia
• Criptologia = criptografia + criptoanálise
• Criptografia = tornar incompreensível
• Oferece garantia de sigilo dos conteúdos
Algoritmo + Chave = Código criptograf.
L+D D=3 a d, b e, c f, ...
Exemplo: atacar  dxdfdu
• Criptoanálise = desvendar criptografados
• Hoje algoritmos complexos e chaves fortes
• Tipos de criptog: Simétrica e Assimétrica
 Criptografia Simétrica
• Chave única para cifrar e decifrar um
conteúdo eletrônico
• Muito rápida para decifrar em relação a
criptografia assimétrica
Remetente Destinatário

Texto normal Texto cifrado Texto normal

Encript Decript

1) Segredo
Problemas  compartilhado
2) Multiplicação de chaves
 Criptografia Assimétrica
• Único par de chaves matematicamente
relacionadas  pública e privada
• Conteúdo cifrado por qualquer uma, só
pode ser decifrado por qualquer outra
• Segurança depende do tipo de algoritmo e
do tamanho da chave criptográfica sendo
mínimo recomendável 1024 bits (RSA)
Conteúdo + Sinal Autor = Assinatura

Resumo cont. + Chav Crip Aut = Assinat. Digital

 Criptografia Assimétrica
RECEPTOR Conteúdo Criptografado
Conteúdo !@#$!%
EMISSOR PUB
!@#$%!
normal

Segredo não Internet

compartilhado

Conteúdo
PRIV !@#$!%
RECEPTOR normal !@#$%!

RECEPTOR Conteúdo Criptografado

+++ Garantia de Sigilo +++

Pode-se combinar Simétrica com Assimétrica

Infra-estrutura de Chaves Públicas

Criptografia
e Hash Certificação

ICP
Digital

Assinatura Digital

ICP=PKI (Public Key Infrastructure)

 Função Hash
• Gera um resumo do conteúdo eletrônico
chamado Código Hash (Message
Digest)
• Deve gerar códigos Hash irreversíveis
• Evitar códigos repetidos para conteúdos
diferentes (deve ser resistente a colisões)
• Recomendável chave de no mínimo 128
bits (para +algoritmos
Conteúdo SHA/MD5)
Sinal Autor = Assinatura

Código Hash + Chav Crip Aut = Assinat. Digital

 Gerando Função Hash
65 66 67 68 69 70 71 72 73 74 75 76 77 78 79
A B C D E F G H I J K L M N O

97 98 99 100 101 102 103 104 105 106 107 108 109 110 111
a b c d e f g h i j k l m n o

33 34 35 36 37 38 39 40 41 42 43 44 45 46 47
! " # $ % & ' ( ) * + , - . /

H o j e j aá f o i d e c i d i d o
Σ 72 111 106 101 106 97 102 111 105 100 101 99 105 100 105 100 111
225

Total = 1732 Total DIV 100 = 17 Total MOD 100 =

32 1860 18 60
+++ Garantia de Integridade +++
 Criptografia X Hash

Criptografia (codificação reversível)

Original: 58431720844123736124178
N+D, D=1: 69542831955234847235289

Código Hash (resumo irreversível)

Original: 58431720844123736124178
∑ Números: 91
Infra-estrutura de Chaves Públicas

Criptografia
e Hash Certificação

ICP
Digital

Assinatura Digital

ICP=PKI (Public Key Infrastructure)

 Certificação Digital
• Expedição e controle de Certificados
Digitais (carteiras de identidade eletrônicas)
por Autoridades Certificadoras – AC’s
• Componente de confiança (ISO X509v3)
• Permite a qualquer momento atestar a
titularidade de uma chave criptográfica
• Vinculação entre Certificado e titular,
garantida pela Autoridade de Registro
+++ Garantia de Autenticidade +++
 Certificado Digital
É um arquivo
eletrônico que
Informações de
Identificação Titular contém
informações de
Chave Pública
do Titular
identificação,
permitindo
Nome da Autoridade assegurar a
Certificadora
identidade de
quem assina uma
mensagem ou
documento
eletrônico.
Validade conforme LCR (Lista de Certificados Revogados)
Infra-estrutura de Chaves Públicas

Criptografia
e Hash Certificação

ICP
Digital

Assinatura Digital

ICP=PKI (Public Key Infrastructure)

 Assinatura e Certificação Digital

Conteúdo .... ... ....

... ... . ...... ..... ..... ..
.. ... ... .. .. .... ......... Sistema Certificação
.... .... .... ..... ..... .. criptográfico digital
. .... .... .......... ........ seguro
(autenticidade)
(sigilo) e
identificação do
Função
conectar autor autor via chave
resumo
a um conteúdo criptográfica
(integridade)

Código Hash + Chav Crip Aut = Assinat. Digital

 Assinatura e Certificação Digital

AR AC
CHAVE
PRIVADA
CHAVE
PÚBLICA

Assinatura de Certificação da
DOCUMENTO Trâmite Assinatura do
Eletrônico DOCUMENTO
 Assinatura e Certificação Digital
Requisitos para garantias de uma ICP:
1 - Sistema criptográfico seguro
2 - Sigilo da chave privada
3 - Código Hash resistente a colisões
4 - Autoridade Certificadora confiável
5 - Ambiente computacional seguro
 Principais Aplicações
• Garantia de segurança transações eletrônicas
• Assinatura, sigilo, integridade e autenticação
de mensagens e documentos eletrônicos +
• Autenticação de servidores e Bancos de Dados
• Autenticação de sites e paginas da Internet
• Proteção de software e aplicativo seguro
• Telefone e FAX seguros
• Votação e avaliação virtual
• Cartório virtual, etc.

+ Mais informações a seguir

Aplicação no Trâmite de Documentos
Eletrônicos
Assinatura
Emissor Encriptada
Emissor
Código hash único
Cálculo
Documento da função 14867452 PRIV ##$%##%$
do Emissor hash Sr. receptor:
Documento
Emissor
Código hash com Assin.
Decriptograf.
Digital
PUB
14867452 ##$%##%$
Receptor
Sr. receptor:
Cálculo Documento
14867452 da função com Assin. Internet
Código hash
hash Digital
Calculado

Garantia de Autenticidade com Integridade

 Aplicação no Armazenamento de
Documentos Eletrônicos
Quanto a criação  Acervo ou Demanda
Quanto ao conteúdo  Estático ou Dinâmico
Quanto ao acesso  Consulta ou Atualização

Utilização ideal para documentos estáticos em demanda

Dinâmico em demanda: nova assinatura após atualização
Consulta: sob verificação de integridade e autenticidade
Acervo: pode ser re-assinado quando possível (autoria?)
Utilização de Componentes da Assinatura e
Certificação Digital com Baixo Custo

• Garantia de integridade utilizando

somente códigos Hash (resumos)
• Garantia de sigilo utilizando algoritmos
criptográficos livres
• Garantia de autenticidade com o uso de
certificação interna
 Alguns Cases no Brasil
• Bancos: Sistema de Pagamentos Brasileiro
• Cartórios: Fé pública em cópias eletrônicas
• TSE: Projeto sistema de votação eletrônica
• e-Documentos (e-CPF, e-CNPJ, etc.) +
• Uso no Governo Federal: desde janeiro de
2001 para trâmite de documentos entre a
Presidência da República e Ministérios +

Problemas com sigilo da chave privada

 Requisitos Garantias da ICP
1 - Sistema criptográfico seguro
2 - Sigilo da chave privada (ponto vulnerável)
3 - Código Hash resistente a colisões
4 - Autoridade Certificadora confiável
5 - Ambiente computacional seguro com GED
Solução possível: ICP + Biometria
Case Governo Federal

Fonte: Marinha do Brasil

Case Governo Federal

Fonte: Marinha do Brasil

 Case e-Documentos

Polêmica: Eficácia com Segurança X Privacidade

 Aspectos Jurídicos

• Evolução da legislação e das tecnologias

• Arcabouço legal para Certificação Digital
• Críticas ao atual modelo brasileiro de ICP
• Perspectivas de evolução do atual modelo
• Autenticação de documentos eletrônicos
• Validade jurídica X Força probatória
 Aspectos Jurídicos
Mundo Virtual: Legislação x Tecnologia

Arcabouço Propostas e Novas

Legal Recomendações Tecnologias

Internacional Doutrina Pesquisa

Leis modelo Jurídica Científica

Legislação Vazio Tecnologia

 Aspectos Jurídicos

Arcabouço Legal para Certificação Digital:

• Papel (suporte) X Eletrônicos (conteúdo)
• Leis modelo Nações Unidas UNCITRAL
• Leis internacionais: UE, USA, UK, etc.
• Leis, Decretos, Resoluções e Portarias*
• Medida Provisória 2200-2/Regulamentos+
• Projetos de Lei no Congresso Nacional +
*www.iti.gov.br
 Aspectos Jurídicos

Medida Provisória 2.200-2 24/08/2001:

• Institui a ICP-Brasil e define sua estrutura
• Equivalência legal entre documentos em
papel e documentos eletrônicos originais
• Autenticidade e integridade com força de lei
quando AC credenciada pela ICP-Brasil
• Não exclui garantias de leis civis e comerciais

www.iti.gov.br
 ICP-Brasil
AC
raiz

AC1 AC2
Autoridades
Certificadoras
AC3 AC4 AC5 AC6

Intermediárias

Usuários Finais
 ICP-Brasil

• Comitê Gestor do Governo como Autoridade de

políticas e gestão vinculado à Casa Civil
• Todas entidades nacionais vinculadas a uma
única AC-Raíz
• AC-Raíz operacionaliza, fiscaliza e audita AC’s
abaixo dela, mas não pode emitir certificados
para usuários finais
• Certificação cruzada só permitida via AC-Raíz
com AC-Raízes de entidades estrangeiras
 Certificação Cruzada
ICP Brasileira ICP-Estrangeira
AC
raiz
OK AC
raiz

AC1 AC2 AC1 AC2

AC1 AC1
 ICP-Brasil
DENTRO FORA
Comitê Gestor / ICP-Brasil Entre partes
NORMATIZAÇÃO MP 2200-2 Art. 10 § 1º MP 2200-2 Art. 10 § 2º

CREDENCIAMENTO AC-RAIZ AC-RAIZES

BRASIL DIVERSAS

OPERAÇÃO
AC
AC Governo AC Privadas AC Privadas Privadas

Dec 3.996
Dec 4.414 AC Privadas
AC AC AC Privadas

AR Privadas
AR AR Privadas
Governo Credenciadas

Fonte: ITI
 Aspectos Jurídicos
Críticas ao atual modelo ICP-Brasil:
• Certificação cruzada só ICP’s estrangeiras
• Integração com outros Poderes da República
• Vinculação da iniciativa privada a AC-Raiz

Perspectiva para evolução do atual modelo:

LEI nnnnn
(novo modelo) Convalidando ações
MP 2200-2
até então realizadas
ICP-Brasil pelo atual modelo
 Projetos de Lei no Congresso Nacional
• 1589/1999 Câmara Luciano Pizzatto (OAB - SP),
assinatura digital e validade jurídica doc. eletrôn.
• 1483/1999 Câmara Dr. Hélio, fatura eletrônica e
incorpora 1589 (Assespro, Brisa, OAB, IDEC, ...)
• 4906/2001(672) Câmara Aprovado na comissão
especial em 26/09/2001 incorporando 1483 e 1589
• 7316/2002 Câmara Uso Assinaturas eletrônicas e
prestação de serviços de Certificação Digital
www.camara.gov.br/internet/sileg/Prop_Pesquisa.asp
 Autenticação Digital
DOCUMENTO EM PAPEL ELETRÔNICO

Assinatura Assinatura
ORIGINAL Reconhecimento Reconhecimento
com Fé Pública dentro ICP-Brasil
(.doc, .xls, .ppt, etc.)
Reprodução Reprodução
Autenticação
CÓPIA Autenticação
dentro ICP-Brasil
com Fé Pública
com Fé Pública
(.tif, .jpg, .gif, etc.)
 Documento Eletrônico
Validade Jurídica X Força Probatória
Contrato......................................................
......................................................................
......................................................................
......................................................................
......................................................................
................................................................

X9r43281053 4a7v6156z4
Contratante Contratado

Documento autêntico X Processo autêntico

 Referências
Aspectos tecnológicos:
Assinatura Digital, Marlon Marcelo Volpi (cap. 1,2)

Aspectos Legais:
Direito Digital, Patrícia Peck, Editora Saraiva

Criptografia:
O Livro dos Códigos, Simon Singh, Editora Record

Matéria de capa Mundo da Imagem:

www.cenadem.com.br/mundo_da_imagem/55.cwdo

GED – Gestão Eletrônica de Documentos:

www.cenadem.com.br (empresarial)
www.sage.coppe.ufrj.br/ged.html (acadêmico)
 Obrigado!
Perguntas?
Stefano Kubiça stefano@pr.gov.br