Curso de Certificação Digital e Segurança da Informação

Ebook 01: Certificação Digital: definição, conceitos e utilização

01) Introdução

Na atualidade, estamos cercados pela tecnologia e pela informática. É comum usarmos o

computador e o celular para verificarmos o saldo da nossa conta bancária, fazermos compras
em lojas virtuais ou até mesmo antecipar o check-in no aeroporto. Toda essa troca de
informações demanda um determinado nível de segurança. Os hackers deixaram de ser
personagens de cinema para se converterem em vilões da vida real; a clonagem de cartões de
créditos, fraudes bancárias e furtos de identidade também se popularizaram, na mesma
medida em que a tecnologia referente às transações eletrônicas se tornou mais acessível aos
usuários. A segurança das informações é um tema presente na vida dos cidadãos, das
empresas e das entidades públicas, e que deve ser encarado de forma atenta e profissional,
devendo as informações, dada sua importância, serem geridas e protegidas de modo
adequado.

A segurança da informação é um tópico de suma importância na vida empresarial e das

entidades públicas. Deve ser considerada como ferramenta necessária, alinhada de forma ética
aos objetivos das entidades e tutelada por regras claras, padrões de qualidade definidos e a
formalização dos processos de sua gestão e utilização. Seu objetivo é a proteção de dados
relevantes, preservando assim seu valor, e não está restrita a sistemas computacionais. São
exemplos de ferramentas de segurança da informação: a criptografia, os softwares de
proteção ao sistema, as autenticações e a certificação digital.

A seguir, analisaremos o conceito de certificação e certificado digital, os conceitos mais

relevantes para a compreensão do tema e as maneiras de utilização da certificação digital

02) Definição de Certificação Digital e Certificado Digital

A Certificação Digital é uma espécie de identidade virtual, que assegura a identificação

fidedigna de um usuário de uma transação efetivada através meios eletrônicos – usando,
comumente, a internet como meio de efetivação da operação. Já o Certificado Digitalé uma
espécie de documento eletrônico, assinado digitalmente, que contém dados de uma pessoa ou
instituição, utilizados para comprovar sua identidade;é um registro eletrônico composto por
um conjunto de dados que distingue uma entidade e associa a ela uma chave pública.

O termo Certificação Digital refere-se aos recursos tecnológicos,que utilizam mecanismos de

segurança, através de algoritmos matemáticos, com a finalidade garantir a autenticidade, a
integridade, a confidencialidade e onão-repúdio às informações referentes às operações
eletrônicas, através dos chamados certificados digitais.
O Certificado Digital, por sua vez, é um arquivo eletrônico armazenado em uma mídia digital
que contém os dados do seu titular, pessoa física ou jurídica, utilizado para relacionar tal
pessoa a uma chave criptográfica e atesta a identidade, garantindo confidencialidade,
autenticidade e o não repúdio nas transações comerciais e financeiras por elas assinadas, bem
como a troca de informações com integridade, sigilo e segurança. Desta forma, o certificado
digital identifica quem somos para as pessoas e para os sistemas de informação (definição do
Sistema FENACON, disponível em
http://www.beneficioscd.com.br/pdf/Beneficios_Aplicacoes_Certificacao_Digital.pdf).

A Certificação Digital poderá ser homologada para diferentes usos, como confidencialidade e
assinatura digital.

Comumente, o Certificado Digital será criado e assinado por um terceiro confiável,

denominado Autoridade Certificadora. O Certificado Digital poderá ser também auto assinado
– caso em que o dono do certificado e seu emissor são a mesma entidade.

03) Conceitos importantes

Para facilitar a compreensão do que é e como funciona a Certificação Digital, devemos atentar
para uma série de conceitos importantes, utilizados frequentemente no âmbito da
informática, que veremos a seguir.

 Dados e informação: O dado é uma sequência de símbolos quantificados ou

quantificáveis. A informação é o dado organizado, um texto pode ser uma informação
uma fonte de muitas informações ou um conjunto de informação, pois se os dados
agrupados gerarem sentido para quem o lê e ficando claro ou não (valor da
informação se dá à qualidade com a qual é disponibilizada, reduzindo ou aumentando
a probabilidade de interpretação ambígua pelo emitente, quanto mais precisa, mais
valiosa ela se torna) a que se refere, o dado passa a ser o valor de um determinado
item, evento do que se refere. A informação é um dos ativos de uma organização, e,
como tal, deve se buscar a preservação de sua integridade, autenticidade,
confidencialidade e disponibilidade.

 Algoritmo:É uma sequência finita e ordenada de passos (regras), com um esquema de

processamento que permite a realização de uma tarefa; é uma sequência lógica, finita
e definida de instruções que devem ser seguidas para resolver um problema ou
executar uma tarefa.

 Documento eletrônico: documento é toda representação material destinada a

reproduzir determinada manifestação de pensamento; é o registro físico que permite
que a informação seja armazenada. Documento eletrônico é aquele que usa meios
eletrônicos para registrar as informações.

 Autoridade Certificadora: é a entidade responsável por emitir certificados digitais.

Deve ser um fornecedor confiável, que, seguindo as regras pertinentes, associa um
usuário – seja este uma pessoa, um processo ou um servidor – a um par de chaves
criptográficas. Os certificados digitais contêm a chave pública do remetente, além de
uma assinatura digital que verifica se o certificado é autêntico e se a chave pertence
 ao remetente. Poderá ser uma entidade pública ou privada, e estará subordinada à
hierarquia da ICP-Brasil. Tem como função principal verificar se o titular do certificado
possui a chave privada que corresponde à chave pública que faz parte do certificado.

Também é função da Autoridade Certificadora a criação e a assinatura digital do

certificado, que representa a declaração da identidade do titular, que possui um par
único de chaves (pública/privada).

Cabe também à Autoridade Certificado a elaboração de listas de certificados

revogados –a chamada LCR - e manter registros de suas operações, obedecendo às
rotinasprevistas na Declaração de Práticas de Certificação - DPC. Além de estabelecer e
fazer cumprir, pelas Autoridades Registradoras a ela vinculadas, as políticas de
segurança necessárias para garantir a autenticidade da identificação feita.

O Instituto Nacional de Tecnologia da Informação (ITI) é uma autarquia federal

vinculada à Casa Civil da Presidência da República, cujo objetivo é manter a
Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, sendo a primeira autoridade
da cadeia de certificação - AC Raiz. Assim, o Brasil possui uma infraestrutura pública,
mantida e auditada por um órgão público- o ITI -, que segue regras de funcionamento
estabelecidas pelo Comitê Gestor da ICP-Brasil. Compete à AC-Raiz a emissão,
expedição, distribuição, revogação e gerenciamento dos certificados das autoridades
certificadoras de nível imediatamente subsequente ao seu.

O Comitê Gestor da ICP-Brasil vincula-se à Casa Civil da Presidência da República. É

composto por cinco representantes da sociedade civil, integrantes de setores
interessados, e um representante de cada um dos seguintes órgãos: Ministério da
Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio
Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e
Tecnologia; Casa Civil da Presidência da República e Gabinete de Segurança
Institucional da Presidência da República. Sua principal competência é determinar as
políticas a serem executadas pela Autoridade Certificadora-Raiz.

 Criptografia: é um processo pelo qual a informação é codificada, de forma que só o

emissor e o receptor consigam decifrá-la. Objetiva a proteção de dados sigilosos e de
sistemas de informática, impedindo o acesso indevido aos backups (cópias de
segurança) dos dados e protegendo e-mails e conteúdo enviado via internet, bem
como assegura a autenticação da identidade de usuários e a legitimidade e o sigilo de
comunicações pessoais, bem como de transações comerciais e bancárias e a proteção
da integridade de transferências eletrônicas de fundos.

A Criptografia Simétrica é um método de criptografia que usa a mesma chave secreta

para criptografar e descriptografar mensagens.A Criptografia Assimétrica utiliza uma
chave pública amplamente divulgada para criptografar mensagens e uma chave
privada correspondente para descriptografá-las. Já a Criptografia de Chaves usa chaves
públicas para criptografar mensagens e assinaturas digitais, com o objetivo de validar a
integridade das mensagens e certificados digitais, autenticando assim a identidade dos
seus proprietários.
 Chaves: as chaves podem ser utilizadas tanto em banco de dados quanto na
criptografia. Na criptografia, a chave criptográfica é um valor secreto que modifica um
algoritmo de encriptação. A chave é uma sequência de caracteres, que pode conter
letras, dígitos e símbolos (como uma senha), e que é convertida em um número,
utilizado pelos métodos de criptografia para codificar e decodificar mensagens. Poderá
ser pública, que é aquela presente no certificado digital e será utilizada para
criptografar as informações enviadas ao dono do certificado; e privada, que é
conhecida pelo dono certificado e tem o poder de descriptografar a informação
criptografada pela chave pública.Os algoritmos de chave simétrica se caracterizam
pela rapidez na execução; no entanto, eles não permitem a assinatura e certificação
digitais.A chamada chave mestra é uma senha usada para criptografar outras senhas.

 Encriptação: é um meio para melhorar a segurança de uma mensagem ou arquivo,

através da codificação dos conteúdos, de modo a que só possam ser lidos por quem
tenha a chave de encriptação correta para decodifica-los.

 Usuário: é a pessoa ou organização que utiliza um determinado tipo de serviço, sendo

classificados segundo a área de interesse.Os usuários em sistemas de informação são
agentes externos ao sistema que usufruem da tecnologia para realizar determinado
trabalho. Podem ser desde os usuários comuns do sistema até administradores,
programadores ou analistas de sistemas.

 Processo: no contexto da informática, é um programa de computador em execução.

Em sistemas operacionais, processo é um módulo executável único, que corre
concorrentemente com outros módulos executáveis.

 Assinatura digital: é a criação de um código, através da utilização de uma chave

privada, de modo que a pessoa ou entidade que receber uma mensagem contendo
este código possa verificar se o remetente é de fato quem diz ser e identificar qualquer
mensagem que possa ter sido modificada.

 Hacker e Cracker: Hacker é o termo usado para designar uma pessoa que possui
interesse e um bom conhecimento na área de informática, sendo capaz modificar um
determinado sistema de informática. Já cracker é o nome dado àquele que usa os seus
conhecimentos de informática e programação para praticar atos ilegais, tais como
fraude e roubo de informações.

 Sistemas de informação: são sistemas automatizadosou manuais, que abrangem

pessoas, máquinas, e/ou métodos organizados para coletar, processar, transmitir e
disseminar dados que representam informação para o usuário.

 Segurança de informação: refere-se ao conjunto de medidas destinadas a proteger

uma série de dados e informações, objetivando assim proteger seu valor para aqueles
que os detém. Tem como princípios aautenticidade (possibilidade de verificação de
legitimidade, seja feita pelo sistema em relação ao usuário ou feita pelo usuário em
relação ao sistema), a confidencialidade (princípio que estabelece que uma informação
só poderá ser vista por aqueles autorizados a fazê-lo), a disponibilidade (garantia de
que uma informação estará disponível para acesso no momento desejado, o que se
 relaciona ao correto funcionamento do sistema) e a integridade (permite aos usuários
verificar se a informação se apresenta íntegra durante todo o seu ciclo de vida – ou
seja, se a informação não sofreu nenhum tipo de modificação não autorizada).

 Informação sensível ou sigilosa: será considerada informação sensível ou sigilosa

aquela cujo conhecimento pode resultar em uma perda de vantagem ou do nível de
segurança, caso seja divulgada a outrem. A perda, o uso malicioso, a modificação ou
acesso não autorizado a informação sigilosa pode afetar de maneira negativa a
privacidade ou bem-estar de um indivíduo, os segredos comerciais e fórmulas
pertencentes a uma empresa e inclusive a segurança de um país, dependendo tais
fatores do nível de sigilo e da natureza da informação.

 Não-repúdio: termo utilizado dentro da tecnologia de segurança da informação para

descrever um serviço que prova a integridade e da origem dos dados, que podem ser
verificados pelos interessados, garantindo igualmente sua genuinidade e protegendo-
os de futuras refutações.

04) Utilização e benefícios da Certificação Digital e dos Certificados Digitais

A Certificação Digital funciona como uma importante e atual ferramenta de proteção, tanto da
identidade das partes quanto da segurança da transação. Como vimos anteriormente, ela
atesta e assegura a identidade do usuário, do titular do Certificado, reforçando assim a lisura
das transações eletrônicas, ao garantir a legitimidade da identificação das partes envolvidas.

A Certificação Digital é utilizada nas várias instâncias governamentais, inclusive estaduais e

municipais, bem como pelo Poder Judiciário, com a finalidade de assegurar a legitimidade e a
celeridade de operações internas e para prestar informações sensíveis (sigilosas) aos cidadãos.

Na esfera federal, são exemplos de tal utilização o PROUNI (Programa Universidade para
Todos, criado em 2004, pela Lei nº 11.096/2005, e que tem como finalidade a concessão de
bolsas de estudos integrais e parciais a estudantes de cursos de graduação e de cursos
sequenciais de formação específica, em instituições privadas de educação superior), o SIPREV
(Sistema de Gestão dos Regimes Próprios de Previdência Social é um software gratuito que
permite o gerenciamento de informações referentes a servidores públicos, ativos e inativos,
pensionistas e demais dependentes da União, Estados, Distrito Federal e Municípios que
possuam Regime Próprio de Previdência Social) e o COMPRASNET (O Portal de Compras do
Governo Federal é um site, instituído pelo Ministério do Planejamento, Orçamento e Gestão -
MP, para disponibilizar, à sociedade, informações referentes às licitações e contratações
promovidas pelo Governo Federal, bem como permitir a realização de processos eletrônicos
de aquisição).

A Certificação Digital é também utilizada com os seguintes objetivos: atestar a identidade de

profissionais da área jurídica, médica e contábil; garantir a legitimidade de identidade do
emissor, a integridade e inviolabilidade do conteúdo das mensagens enviadas em e-mails
corporativos e pessoais; a utilização da assinatura digital em documentos e contratos,
eliminando assim a necessidade de deslocamento físico para que a assinatura ocorra; a
comprovação de identidade de micro e pequenas empresas, facilitando assim sua atuação no
mundo virtual e permitindo sua participação em pregões eletrônicos, fornecimento ao Estado,
e a firmação de negócios e contratos de câmbio; a efetivação do TISS, programa da Agência
Nacional De Saúde que permite gerenciar a troca de informações entre os planos de saúde e as
clínicas, laboratórios e consultórios; para cadastramento de marcas no INPI (Instituto Nacional
da Propriedade Industrial); efetivação do Sistema de Concessão de Diárias e Passagens(SCDP) e
sua correspondente base única de dados, que viabiliza a administração das solicitações e
pagamentos de diárias e passagens de servidores públicos a serviço; a efetivação do Sistema
de Geração e Tramitação de Documentos Oficiais do Governo Federal (SIDOF), eliminando
papel e dando celeridade ao processo; utilização pela Receita Federal do Brasil, como
alternativa para dar agilidade e comodidade ao contribuinte, sem deixar de garantir o sigilo
fiscal estipulado por lei; e a efetivação de todos os atos de exclusão ou inclusão no Simples
Nacional e no SIMEI (sistema de pagamento de tributos unificados em valores fixos mensais,
utilizado pelos microempreendedores), que só poderão ser realizados pelas Prefeituras,
Estados e pela Receita Federal do Brasil através da utilização da Certificação Digital.

Questões

01)(2010/FCC/MPE-RN/Analista de Tecnologia da Informação - Redes-Segurança-

Conectividade) A certificação digital funciona com base em um documento eletrônico e em um
recurso, que são denominados, respectivamente,

a) dado digital e informação digital.

b) certificado digital e assinatura digital.

c) segurança digital e informação digital.

d) segurança digital e dado digital.

e) certificado de segurança e informação digital.

02)(2011/FCC/TRT - 14ª Região/ Técnico Judiciário - Tecnologia da Informação) São itens

associados à certificação digital, EXCETO:

a) privacidade.

b) chave pública.

c) chave privada.

d) criptografia assimétrica.

e) criptografia simétrica.

03)(2014/CESPE/ANTAQ/Analista Administrativo - Infraestrutura de TI) Julgue os itens

seguintes, relativos à segurança da informação.

Confidencialidade diz respeito à propriedade da informação que não se encontra disponível a

pessoas, entidades ou processos não autorizados.

( ) Certo ( ) Errado

04) (2014/CESPE/ANTAQ/Analista Administrativo - Infraestrutura de TI) Julgue os itens

seguintes, relativos à segurança da informação.

O princípio da autenticidade é garantido quando o acesso à informação é concedido apenas a

pessoas explicitamente autorizadas.
( ) Certo ( ) Errado

05)(2011/IADES/PG-DF/Analista Jurídico - Analista de Sistemas) Maria recebeu uma mensagem

de Pedro e gostaria de ter a garantia que a mesma não teve o seu conteúdo modificado por
outra pessoa. De acordo com os princípios da segurança da informação, assinale a alternativa
que indica o princípio com a finalidade precípua de garantir esse objetivo.

a) Confiabilidade.

b) Disponibilidade

c) Integridade

d) Legalidade

e) Não repúdio.

Gabarito:

1) B 03) C 05) C
2) E 04) E

Bibliografia

http://www.iti.gov.br/certificacao-digital

http://cartilha.cert.br/glossario/

http://br.norton.com/security-glossary/article

http://www.smartsec.com.br/glossario_seguranca.html

http://www.terra.com.br/informatica/especial/cartilha/privacidade_1.htm

https://pt.wikipedia.org/wiki/Processo_(inform%C3%A1tica)

https://pt.wikipedia.org/wiki/Dados#Uso_de_dados_em_ci.C3.AAncia_e_inform.C3.A1tica

http://www.terra.com.br/informatica/especial/cartilha/privacidade_1_3.htm

http://www.beneficioscd.com.br/pdf/Beneficios_Aplicacoes_Certificacao_Digital.pdf

http://portal.dataprev.gov.br/tag/siprev/

http://www.comprasnet.gov.br/ajuda/sobre.htm

http://www.iti.gov.br/index.php/certificacao-digital/beneficios

http://www.documentoeletronico.com.br/faqcd004.asp