O

QUE CERTIFICAO DIGITAL ?

Os computadores e a Internet so largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidados, governo e empresas. No entanto, estas transaes eletrnicas necessitam da adoo de mecanismos de segurana capazes de garantir autenticidade, confidencialidade e integridade s informaes eletrnicas. A certificao digital a tecnologia que prov estes mecanismos. No cerne da certificao digital est o certificado digital, um documento eletrnico que contm o nome, um nmero pblico exclusivo denominado chave pblica e muitos outros dados que mostram quem somos para as pessoas e para os sistemas de informao. A chave pblica serve para validar uma assinatura realizada em documentos eletrnicos. A certificao digital tem trazido inmeros benefcios para os cidados e para as instituies que a adotam. Com a certificao digital possvel utilizar a Internet como meio de comunicao alternativo para a disponibilizao de diversos servios com uma maior agilidade, facilidade de acesso e substancial reduo de custos. A tecnologia da certificao digital foi desenvolvida graas aos avanos da criptografia nos ltimos 30 anos.

O QUE CERTIFICAO DIGITAL ?

| C RIPTOGRAFIA
A palavra criptografia tem origem grega e significa a arte de escrever em cdigos de forma a esconder a informao na forma de um texto incompreensvel. A informao codificada chamada de texto cifrado. O processo de codificao ou ocultao chamado de cifragem, e o processo inverso, ou seja, obter a informao original a partir do texto cifrado, chama-se decifragem. A cifragem e a decifragem so realizadas por programas de computador chamados de cifradores e decifradores. Um programa cifrador ou decifrador, alm de receber a informao a ser cifrada ou decifrada, recebe um nmero chave que utilizado para definir como o programa ir se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave. Sem o conhecimento da chave correta no possvel decifrar um dado texto cifrado. Assim, para manter uma informao secreta, basta cifrar a informao e manter em sigilo a chave.

O QUE CERTIFICAO DIGITAL ?

Atualmente existem dois tipos de criptografia: a simtrica e a de chave pblica. A criptografia simtrica realiza a cifragem e a decifragem de uma informao atravs de algoritmos que utilizam a mesma chave, garantindo sigilo na transmisso e armazenamento de dados. Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados. O processo de compartilhar uma chave conhecido como troca de chaves. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informao cifrada ou mesmo reproduzir uma informao cifrada. Os algoritmos de chave pblica operam com duas chaves distintas: chave privada e chave pblica. Essas chaves so geradas simultaneamente e so relacionadas entre si, o que possibilita que a operao executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida por quem gerou as chaves. A chave pblica disponibilizada e tornada acessvel a qualquer indivduo que deseje se comunicar com o proprietrio da chave privada correspondente.

ALGORITMOS CRIPTOGRFICOS

DE

CHAVE PBLICA

Os algoritmos criptogrficos de chave pblica permitem garantir tanto a confidencialidade quanto a autenticidade das informaes por eles protegidas.

CONFIDENCIALIDADE
O emissor que deseja enviar uma informao sigilosa deve utilizar a chave pblica do destinatrio para cifrar a informao. Para isto importante que o destinatrio disponibilize sua chave pblica, utilizando, por exemplo, diretrios pblicos acessveis pela Internet.

O QUE CERTIFICAO DIGITAL ?

Sigilo utilizando criptografia assimtrica

O sigilo garantido, j que somente o destinatrio que possui a chave privada conseguir desfazer a operao de cifragem, ou seja, decifrar e recuperar as informaes originais. Por exemplo, para Alice compartilhar uma informao de forma secreta com Beto, ela deve cifrar a informao usando a chave pblica de Beto. Somente Beto pode decifrar a informao pois somente Beto possui a chave privada correspondente.

AUTENTICIDADE
No processo de autenticao, as chaves so aplicadas no sentido inverso ao da confidencialidade. O autor de um documento utiliza sua chave privada para cifr-lo de modo a garantir a autoria em um documento ou a identificao em uma transao. Esse resultado s obtido porque a chave privada conhecida exclusivamente por seu proprietrio.

O QUE CERTIFICAO DIGITAL ?

Autenticidade utilizando criptografia assimtrica

Assim, se Alice cifrar uma informao com sua chave privada e enviar para Beto, ele poder decifrar esta informao pois tem acesso chave pblica de Alice. Alm disto, qualquer pessoa poder decifrar a informao, uma vez que todos conhecem a chave pblica de Alice. Por outro lado, o fato de ser necessrio o uso da chave privada de Alice para produzir o texto cifrado caracteriza uma operao que somente Alice tem condies de realizar.

O QUE CERTIFICAO DIGITAL ?

010011 100101 010101

| A SSINATURA D IGITAL

O mesmo mtodo de autenticao dos algoritmos de criptografia de chave pblica operando em conjunto com uma funo resumo, tambm conhecido como funo de hash, chamada de assinatura digital. O resumo criptogrfico o resultado retornado por uma funo de hash. Este pode ser comparado a uma impresso digital, pois cada documento possui um valor nico de resumo e at mesmo uma pequena alterao no documento, como a insero de um espao em branco, resulta em um resumo completamente diferente.

Assinatura digital utilizando algoritmos de chave pblica

A vantagem da utilizao de resumos criptogrficos no processo de autenticao o aumento de desempenho, pois os algoritmos de criptografia assimtrica so muito lentos. A submisso de resumos criptogrficos ao processo de cifragem com a chave privada reduz o tempo de operao para gerar uma assinatura por serem os resumos, em geral, muito menores que o documento em si. Assim, consomem um tempo baixo e uniforme, independente do tamanho do documento a ser assinado.

O QUE CERTIFICAO DIGITAL ?

Na assinatura digital, o documento no sofre qualquer alterao e o hash cifrado com a chave privada anexado ao documento.

Conferncia da assinatura digital

Para comprovar uma assinatura digital necessrio inicialmente realizar duas operaes: calcular o resumo criptogrfico do documento e decifrar a assinatura com a chave pblica do signatrio. Se forem iguais, a assinatura est correta, o que significa que foi gerada pela chave privada corresponde chave pblica utilizada na verificao e que o documento est ntegro. Caso sejam diferentes, a assinatura est incorreta, o que significa que pode ter havido alteraes no documento ou na assinatura pblica.

O QUE CERTIFICAO DIGITAL ?

DOCUMENTO

EM PAPEL

X DOCUMENTO

ELETRNICO

A semelhana da assinatura digital e da assinatura manuscrita restringe-se ao princpio de atribuio de autoria a um documento. Na manuscrita, as assinaturas seguem um padro, sendo semelhantes entre si e possuindo caractersticas pessoais e biomtricas de cada indivduo. Ela feita sobre algo tangvel, o papel, responsvel pela vinculao da informao impressa assinatura. A veracidade da assinatura manuscrita feita por uma comparao visual a uma assinatura verdadeira tal como aquela do documento de identidade oficial.

ASSINATURA

MANUSCRITA

Nos documentos eletrnicos no existe um modo simples para relacionar o documento com a assinatura. Ambos so compostos apenas pela representao eletrnica de dados, ou seja, por uma seqncia de bits (0s e 1s), que necessitam de um computador para a sua visualizao e conferncia. Na assinatura digital, a assinatura gerada diferente para cada documento, pois est relacionada ao resumo do documento.

ASSINATURA DIGITAL
Apesar das diferenas, a tcnica de assinatura digital uma forma eficaz de garantir autoria de documentos eletrnicos. Em agosto de 2001, a Medida Provisria 2.200 garantiu a validade jurdica de documentos eletrnicos e a utilizao de certificados digitais para atribuir autenticidade e integridade aos documentos. Este fato tornou a assinatura digital um instrumento vlido juridicamente. O texto acima demonstra que o provimento de autenticao em documentos eletrnicos vivel tecnicamente, mas ainda restam duas questes fundamentais: como conseguir as chaves pblicas? Como garantir a identidade do proprietrio do par de chaves? A resposta a ambas as questes o certificado digital.

O QUE CERTIFICAO DIGITAL ?

| C ERTIFICADO D IGITAL
O certificado digital um documento eletrnico assinado digitalmente e cumpre a funo de associar uma pessoa ou entidade a uma chave pblica. As informaes pblicas contidas num certificado digital so o que possibilita coloc-lo em repositrios pblicos. Um Certificado Digital normalmente apresenta as seguintes informaes:
t t t t t

nome da pessoa ou entidade a ser associada chave pblica perodo de validade do certificado chave pblica nome e assinatura da entidade que assinou o certificado nmero de srie.

Certificado Digital da Autoridade Certificadora Raiz Brasileira ICP Brasil

Um exemplo comum do uso de certificados digitais o servio bancrio provido via Internet. Os bancos possuem certificado para autenticar-se perante o cliente, asseguran-

O QUE CERTIFICAO DIGITAL ?

do que o acesso est realmente ocorrendo com o servidor do banco. E o cliente, ao solicitar um servio, como por exemplo, acesso ao saldo da conta corrente, pode utilizar o seu certificado para autenticar-se perante o banco. Servios governamentais tambm tm sido implantados para suportar transaes eletrnicas utilizando certificao digital, visando proporcionar aos cidados benefcios como agilidade nas transaes, reduo da burocracia, reduo de custos, satisfao do usurio, entre outros. Alguns destes casos de uso so:

GOVERNO FEDERAL: o Presidente da Repblica e Ministros tm utilizado certificados

digitais na tramitao eletrnica de documentos oficiais, que sero publicados no Dirio Oficial da Unio. Um sistema faz o controle do fluxo dos documentos de forma automtica, desde a origem dos mesmos at sua publicao e arquivamento.

ESTADO

DE

PERNAMBUCO: primeiro estado brasileiro a utilizar a Certificao Digital. A

Secretaria de Fazenda de Pernambuco disponibilizou um conjunto de servios pela Internet com base na certificao digital que proporcionou diversos benefcios como: entrega de diversos documentos em uma nica remessa; reduo drstica no volume de erros de clculo involuntrios; apurao automtica dos impostos; minimizao de substituies de documentos e reduo de custos de escriturao e armazenamento de livros fiscais obrigatrios.

IMPRESSA OFICIAL

DO

ESTADO

DE

SO PAULO: implantou certificao digital de ponta

a ponta em seu sistema que automatiza o ciclo de publicaes na Internet, permitindo a eliminao das ligaes interurbanas e dos constantes congestionamentos telefnicos em horrios de pico, uma vez que se utiliza a Internet com garantias de sigilo e privacidade, alm da obteno de garantia de autoria por parte do autor das matrias.

10

O QUE CERTIFICAO DIGITAL ?

POR

QUE CONFIAR EM UM CERTIFICADO DIGITAL ?

Entre os campos obrigatrios do certificado digital encontra-se a identificao e a assinatura da entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado. A entidade emissora chamada de Autoridade Certificadora ou simplesmente AC. A AC o principal componente de uma Infra-Estrutura de Chaves Pblicas e responsvel pela emisso dos certificados digitais. O usurio de um certificado digital precisa confiar na AC.

A escolha de confiar em uma AC similar ao que ocorre em transaes convencionais, que no se utilizam do meio eletrnico. Por exemplo, uma empresa que vende parcelado aceita determinados documentos para identificar o comprador antes de efetuar a transao. Estes documentos normalmente so emitidos pela Secretaria de Segurana de Pblica e pela Secretaria da Receita Federal, como o RG e o CPF. Existe, a, uma relao de confiana j estabelecida com esses rgos. Da mesma forma, os usurios podem escolher uma AC qual desejam confiar a emisso de seus certificados digitais.

O QUE CERTIFICAO DIGITAL ?

11

Para a emisso dos certificados, as ACs possuem deveres e obrigaes que so descritos em um documento chamado de Declarao de Prticas de Certificao DPC. A DPC dever ser pblica, para permitir que as pessoas possam saber como foi emitido o certificado digital. Entre as atividades de uma AC, a mais importante verificar a identidade da pessoa ou da entidade antes da emisso do certificado digital. O certificado digital emitido deve conter informaes confiveis que permitam a verificao da identidade do seu titular. Por estes motivos, quanto melhor definidos e mais abrangentes os procedimentos adotados por uma AC, maior sua confiabilidade. No Brasil, o Comit Gestor da ICP-Brasil o rgo governamental que especifica os procedimentos que devem ser adotados pelas ACs. Uma AC que se submete s resolues do Comit Gestor pode ser credenciada e com isso fazer parte da ICP-Brasil. O cumprimento dos procedimentos auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, de instalaes tcnicas e dos sistemas envolvidos no servio de certificao, bem como seu prprio pessoal. A no concordncia com as regras acarreta em aplicaes de penalidades, que podem ser inclusive o descredenciamento. As ACs credenciadas so incorporadas estrutura hierrquica da ICP-Brasil e representam a garantia de atendimento dos critrios estabelecidos em prol da segurana de suas chaves privadas.

12

O QUE CERTIFICAO DIGITAL ?

| R ESPONSABILIDADES
A certificao digital traz diversas facilidades, porm seu uso no torna as transaes realizadas isenta de responsabilidades. Ao mesmo tempo que o uso da chave privada autentica uma transao ou um documento, ela confere o atributo de no-repdio operao, ou seja, o usurio no pode negar posteriormente a realizao daquela transao. Por isto, importante que o usurio tenha condies de proteger de forma adequada a sua chave privada. Existem dispositivos que incrementam a proteo das chaves, como os cartes inteligentes (smart cards). Eles se assemelham em formato e tamanho a um carto de crdito convencional. Os smart cards so um tipo de hardware criptogrfico dotado de um microprocessador com memria capaz de armazenar e processar diversos tipos de informaes. Com eles possvel gerar as chaves e mant-las dentro de um ambiente seguro, uma vez que as operaes criptogrficas podem ser realizadas dentro do prprio dispositivo.

Alguns usurios preferem manter suas chaves privadas no prprio computador. Neste caso, so necessrias algumas medidas preventivas para minimizar a possibilidade de se comprometer a sua chave privada:

O QUE CERTIFICAO DIGITAL ?

13

caso o software de gerao do par de chaves oferea a opo de proteo do acesso chave privada atravs de senha, essa opo deve ser ativada, pois assim h a garantia de que, na ocorrncia do furto da chave privada, a mesma esteja cifrada;

t t

no compartilhar com ningum a senha de acesso chave privada; no utilizar como senha dados pessoais, palavras que existam em dicionrios ou somente nmeros, pois so senhas facilmente descobertas. Procurar uma senha longa, com caracteres mistos, maisculos e minsculos, nmeros e pontuao;

em ambiente acessvel a vrias pessoas, como em um escritrio, usar produtos de controle de acesso ou recursos de proteo ao sistema operacional, como uma senha de sistema ou protetor de tela protegido por senha;

manter atualizado o sistema operacional e os aplicativos, pois verses mais recentes contm correes que levam em considerao as vulnerabilidades mais atuais;

no instalar o certificado com a chave privada em computadores de uso pblico.

Em caso de suspeita de comprometimento da chave privada, seja por uma invaso sofrida no computador ou pelo surgimento de operaes associadas ao uso da chave que no sejam de conhecimento do seu proprietrio, a revogao do certificado deve ser solicitada o mais rapidamente possvel AC responsvel pela sua emisso. Alm disso, necessrio estar alerta s recomendaes da DPC quanto aos procedimentos necessrios a revogao do certificado.

14

O QUE CERTIFICAO DIGITAL ?

| VALIDADE
O certificado digital, diferentemente dos documentos utilizados usualmente para identificao pessoal como CPF e RG, possui um perodo de validade. S possvel assinar um documento enquanto o certificado vlido. possvel, no entanto, conferir as assinaturas realizadas mesmo aps o certificado expirar. O certificado digital pode ser revogado antes do perodo definido para expirar. As solicitaes de revogao devem ser encaminhadas AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alteraes de dados do certificado ou qualquer outro motivo. A AC, ao receber e analisar o pedido, adiciona o nmero de srie do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicao das LCRs est declarado na DPC da AC que emitiu o certificado, e em muitos casos o prprio certificado possui um campo com apontador para um endereo WEB que contm o arquivo com a LCR. As LCRs so publicadas de acordo com a periodicidade que cada AC definir. Essas listas so pblicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece vlido ou no. Aps a revogao ou expirao do certificado, todas as assinaturas realizadas com este certificado tornam-se invlidas, mas as assinaturas realizadas antes da revogao do certificado continuam vlidas se houver uma forma de garantir que esta operao foi realizada durante o perodo de validade do certificado. Mas como obter essa caracterstica? Existem tcnicas para atribuir a indicao de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora assinatura, permitindo determinar quando o documento foi assinado.

O QUE CERTIFICAO DIGITAL ?

15

Linha do tempo do certificado e assinatura digital

O usurio pode solicitar a renovao do certificado para a AC aps a perda de validade deste. Na solicitao, o usurio pode manter os dados do certificado e at mesmo o par de chaves, se a chave privada no tiver sido comprometida. Mas, por que no emitir os certificados sem data final de validade? Porque a cada renovao da validade do certificado renova-se tambm a relao de confiana entre seu titular e a AC. Essa renovao pode ser necessria para a substituio da chave privada por uma outra tecnologicamente mais avanada ou devido a possveis mudanas ocorridas nos dados do usurio. Essas alteraes tm como objetivo tornar mais robusta a segurana em relao s tcnicas de certificao e s informaes contidas no certificado.

16

O QUE CERTIFICAO DIGITAL ?