Certificação Digital

Introdução

Uma das tecnologias em que a indústria financeira investe, nos últimos tempos, é a
Certificação Digital. Neste módulo você vai aprender como ela é capaz de garantir
autenticidade, confidencialidade e integridade às informações que circulam no
ambiente web. Seu ponto central é o certificado digital, documento eletrônico que
contém nome e um número público exclusivo, denominado chave pública, entre outros
dados que atestam a autenticidade de documentos, mensagens e identidades, de
pessoas, empresas e instituições. Saiba como a Certificação Digital ajuda as empresas,
de diferentes setores, a evitar um prejuízo anual declarado que chega a US$ 1,5
bilhão, nos Estados Unidos (número calculado pelos órgãos de defesa norte-
americanos).

Módulo 1 - Certificação Digital. A identidade do terceiro milênio

Os principais institutos de pesquisa calculam que, nos dias de hoje, no mundo

inteiro, pelo menos 70% das transações econômicas passam pela Internet. É na web
que, cada vez mais, empresas e instituições, de diferentes setores,
independentemente do porte, estampam a própria marca, em campanhas
institucionais. Nos diferentes países, mensagens publicitárias sem limite de alcance
vendem produtos e serviços cujo valor já passa de US$ 500 bilhões.

O risco é, porém, diretamente proporcional ao alcance da mídia e ao sucesso do

negócio que ela promove. Mesmo nos Estados Unidos, conhecidos pelo capricho com
a segurança, os órgãos de defesa estimam que as fraudes e sabotagens, entre
outras formas de ataque perpetradas por meios eletrônicos, geram prejuízo anual
(declarado) superior a US$ 1,5 bilhão.

No Brasil, 30% das transações bancárias já são feitas através da internet e, ao mesmo
tempo, o país ocupa o 5º lugar no ranking global de ataques virtuais, contra a 12ª
posição verificada em 2007, de acordo com uma pesquisa divulgada no primeiro
semestre de 2009 pela Symantec. As estatísticas oficiais no Brasil se referem quase
que exclusivamente às fraudes com cartões de crédito. Vítimas preferenciais dos
ataques, eles já representam 32% das invasões na internet realizadas pelos
cibercriminosos por meio de códigos maliciosos e amargam um rombo de,
aproximadamente, R$ 300 milhões por ano. Respondendo por 19% dos crimes digitais
no país, os bancos não falam de perdas, mas, a julgar pelo que investem em sistemas
de segurança – cerca de R$ 500 milhões por ano ou 10% dos investimentos em
Tecnologia da Informação –, é possível imaginar o tamanho da preocupação. O
relatório da Symantec revela ainda que 90% de todas as ameaças virtuais visavam
roubo de informações confidenciais de usuários.

Autenticidade

Uma das tecnologias nas quais as empresas mais vêm investindo para prevenir essas
práticas e fraudes é a certificação digital, recurso capaz de garantir autenticidade,
confidencialidade e integridade às informações que circulam no ambiente web. O
crescimento do interesse por essa prática é confirmado por algumas pesquisas e
levantamentos.
Em junho de 2008, por exemplo, a Receita Federal divulgou alguns dados referentes à
adoção da certificação digital pelas corporações nos 12 meses anteriores à pesquisa
realizada. No âmbito do serviço e-CAC – Centro Virtual de Atendimento ao Contribuinte
da Receita Federal, o órgão detectou um crescimento significativo nas consultas
realizadas com a utilização do certificado digital. Até maio daquele ano foram
efetuadas 14 milhões de consultas, contra as 2 milhões verificadas durante o mesmo
período do ano anterior.

Outro dado interessante coletado na pesquisa da Receita Federal apontou que o

volume de atendimentos virtuais envolvendo certificação digital realizados pelo e-CAC
já atingia o patamar de 69 milhões em junho, com uma expectativa de superar a
barreira dos 150 milhões até o fim do ano. Em 2007, o órgão havia registrado 17,5
milhões de atendimentos.

O avanço da certificação digital também encontra eco nas previsões sobre esse
mercado. Presidente da Certisign, Autoridade Certificadora e uma das empresas
pioneiras nesse segmento, José Luis Poço prevê que esse mercado atinja um
movimento de R$ 1 bilhão até 2013.

Conceituação. O que é?

A base da certificação digital é o certificado digital – documento eletrônico que

contém nome e um número público exclusivo denominado chave pública, entre
outros dados.

Instituído em agosto de 2001, pela Medida Provisória 2.200-2, é ele – o certificado

digital – que garante a identificação segura de uma mensagem ou transação
eletrônica, mantendo a guarda de documentos e permite assinar, digitalmente, todas
as mensagens e transações on-line com confidência, integridade e validade jurídica.
É ele, enfim, o documento digital, que atesta a autenticidade de documentos,
mensagens e identidades, de pessoas, empresas e instituições.

Atualmente, o certificado digital, requisitado por pessoas físicas, empresas e

instituições, vem sendo utilizado, principalmente, para dar segurança às transações
na Internet. Por exemplo? No acesso à Receita Federal, para obtenção de certidões
on-line e declarações seguras, apresentação de declarações de Imposto de Renda;
transações bancárias; operações de comércio eletrônico; correio eletrônico;
assinatura de documentos eletrônicos; e cifrações de documentos eletrônicos, entre
outras aplicações.

Para que a assinatura digital funcione é preciso que o usuário obtenha um

documento eletrônico e a chave pública do destinatário. Graças à ajuda de
programas apropriados, o documento é criptografado de acordo com a chave pública
e somente decriptografado pelo receptor, que, para isso, deverá usar uma chave
privada exclusivamente dele. Se qualquer bit do documento for alterado, a
assinatura será deformada, invalidando o arquivo.

Algoritmo matemático

A assinatura digital de documentos eletrônicos é possível graças à função hashing –

na verdade um sistema capaz de evitar que a criptografia assimétrica, nas
assinaturas digitais, torne o processo de decifragem muito demorado. A função
hashing analisa o documento e, com base algoritmo matemático complexo, gera um
valor de tamanho fixo para o arquivo. Esse valor, conhecido como valor hash, é
calculado com base nos caracteres do documento. Isso deixa claro que, pelo menos
teoricamente, o arquivo em si não precisa ser criptografado (caso não seja algo
secreto), mas sim acompanhado do valor hash. Assim, qualquer mudança no arquivo
original, mesmo que seja de apenas um único bit, fará com que o valor hash seja
diferente, invalidando o documento.

Existem dois tipos de certificado digital: o A-1 e o A-3. O A-1 é aquele em que a
assinatura digital e os dados do usuário são armazenados em uma mídia móvel,
como um CD, por exemplo. O A-3 vem na forma de smart cards ou tokens,
dispositivos portáteis dotados de chips, nos quais são armazenadas as chaves dos
usuários.

A violação do sistema é praticamente impossível, porque quebrar uma chave de

1024 bits demanda muito tempo – talvez o bastante para que a codificação seja
revogada. No caso da certificação A-3, a fraude só acontece se o usuário revelar o
PIN (Personal Identification Number) ou entregar o cartão magnético a outra pessoa,
com o que estaria transferindo a própria identidade para alguém.

O certificado digital, com prazo de validade, só pode ser emitido, na presença de

quem o solicita, por uma AC, mediante preenchimento de formulário com os dados
da pessoa, empresa ou instituição e pagamento de uma taxa, cujo valor varia de
acordo com o modelo do documento. Depois o usuário deve procurar uma AR
(Autoridade de Registro), munido da Carteira de Identidade ou Passaporte, se for
estrangeiro, CPF, Título de Eleitor, comprovante de residência e número do
PIS/PASEP. Pessoas jurídicas devem apresentar registro comercial, no caso de
empresa individual, ato constitutivo, estatuto ou contrato social, CNPJ e documentos
pessoais da pessoa física responsável.
Módulo 2 - A tecnologia da certificação digital

A base da certificação digital é a Criptografia, ciência cujo nome, de origem grega

(kryptós, “Sfliters” e gráphein), significa “escrever”. A Criptografia permite, porém,
escrever em códigos, de forma a esconder a informação na forma de texto
incompreensível a olho nu.

A informação codificada chama-se texto cifrado, enquanto a codificação, também

conhecida como ocultação, é chamada de cifragem. Ao processo inverso, ou seja,
obter a informação original a partir do texto cifrado chama-se decifragem.

A cifragem e a decifragem são realizadas por programas de computador: os

cifradores e decifradores. Um programa cifrador ou decifrador, além da informação a
ser cifrada ou decifrada, recebe um número-chave utilizado para definir a maneira
como o programa vai se comportar, o que varia conforme o valor de cada chave.
Sem o conhecimento da chave correta não é possível decifrar determinado texto.
Assim, para manter uma informação em segredo, basta cifrá-la e conservar a chave
sob sigilo.

De fato, a Criptografia, lato sensu, vai muito além da cifragem e decifragem. Ramo
especializado da teoria da informação, a Criptografia agrega muitas contribuições de
outros campos da Matemática e o resultado da reflexão e pesquisa de autores, tais
como Maquiavel, Sun Tzu e Karl von Clausewitz. A Criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos, que podem ser
implementados em computadores.

As pesquisas que se referem às formas de esconder o significado de uma mensagem

usando técnicas de cifragem caminham juntamente com os estudos sobre as
maneiras de ler a mensagem quando não se é o destinatário. A essa especialidade
chama-se Criptoanálise. Criptologia é, portanto, a ciência que engloba a Criptografia
e a Criptoanálise.

Os profissionais envolvidos na codificação e decodificação de mensagens, para fins

de segurança, são chamados criptógrafos, criptólogos ou criptoanalistas, dependendo
das funções específicas.

Outros termos relacionados ao conceito de Criptografia são Esteganografia,

Criptoanálise e Criptologia. A Esteganografia, estudo das técnicas de ocultação de
mensagens, diferentemente da Criptografia, não as oculta, mas as confunde, de
forma a tornar ininteligível o significado delas. A Esteganografia não é considerada
parte da Criptologia, apesar de muitas vezes ser estudada em contextos semelhantes e
pelos mesmos pesquisadores.

Uma informação não-cifrada endereçada por uma pessoa (ou organização) para
outra é chamada de “texto claro” (plaintext). Cifragem é o processo de conversão de
um texto claro para um código cifrado e decifragem o processo contrário.

O mundo deve aos matemáticos norte-americanos Whitfield Diffie, Martin Helman e

Ralph Merkle a criação dos sistemas de Criptografia existentes até 1976. Os dois
pesquisadores desenvolveram o sistema de Criptografia de chave pública.

Atualmente, existem dois tipos de Criptografia: a simétrica e a de chave pública. A

simétrica faz a cifragem e a decifragem de uma informação por meio de algoritmos
que utilizam a mesma chave. Com isso, garante o sigilo na transmissão e
armazenamento dos dados. Na cifragem e na decifragem, usa-se a mesma chave,
que, assim, precisa ser compartilhada entre quem cifra e quem decifra os dados. O
compartilhamento, por sua vez, é conhecido como troca de chaves, processo que
deve ser encaminhado de forma segura. Afinal, todos aqueles com acesso à chave
podem decifrar a informação cifrada ou mesmo reproduzir a informação cifrada.

Os algoritmos de chave pública operam com duas chaves distintas: a chave privada e a
chave pública. Ambas são geradas simultaneamente e relacionadas entre si, o que
possibilita que a operação executada por uma seja revertida pela outra. A chave
privada deve ser mantida em sigilo e protegida pela pessoa, empresa ou instituição
que gerou as chaves. A chave pública é a que se entrega a qualquer indivíduo que
deseje se comunicar com o proprietário da chave privada correspondente.

Os algoritmos criptográficos de chave pública permitem garantir a confidencialidade

e a autenticidade das informações por eles protegidas.

Quem deseja enviar uma informação sigilosa deve utilizar a chave pública do
destinatário para cifrar a informação. Para isso é importante que o destinatário
informe a chave pública por ele utilizada, usando, por exemplo, diretórios públicos
acessíveis pela Internet.

A certificação digital traz diversas facilidades, mas o uso dela não torna as
transações isentas de responsabilidades: a chave privada autentica a transação ou
documento e confere o atributo de não-repúdio à operação; ou seja, posteriormente,
o usuário não pode negar a realização daquela transação. Assim, é importante que
ele tenha condições de proteger de forma adequada a chave privada. Isso se faz
mediante uso de dispositivos inteligentes.

Os certificados digitais são armazenados (gravados) em mídias ou dispositivos, de

acordo com o tipo. O certificado tipo A1 se grava em qualquer mídia de
armazenamento de dados – disco rígido, disquete, CD-ROM, CD-Card, pen-driver etc.

O certificado tipo A3 grava-se em dispositivo eletrônico próprio, como token ou

cartão inteligente (smart card), de onde é acessado, não sendo possível a
transferência da informação nele armazenada para uma estação de trabalho ou para
qualquer outro dispositivo.

Os smart cards, que guardam informação em volume equivalente entre 25 a 52

Megabytes, assemelham-se, em formato e tamanho, a um cartão de crédito
convencional. Na verdade, os cartões inteligentes constituem um tipo de hardware
criptográfico. Eles são dotados de microprocessadores, com memória capaz de
armazenar e processar diversos tipos de informações. Com eles, é possível gerar as
chaves e mantê-las em ambiente seguro, por uma razão simples: as operações
criptográficas se realizam dentro do próprio dispositivo.

O token é um dispositivo portátil que contém um chip para armazenamento de

informações digitais e execução lógica de rotinas predefinidas, a ser conectado a um
computador, pela porta USB.
Módulo 3 - Autoridades Certificadoras e de Registro

Para que o certificado digital seja válido, é necessário que o interessado disponha da
chave pública, capaz de comprovar que o documento é legal e tem valor, emitida por
uma AC (Autoridade Certificadora), devidamente autorizada para isso. A questão é
que elas se contam às dezenas, mundo afora, o que torna impossível para quem
quer que seja dispor da chave pública de cada uma.

A solução encontrada para esse problema foi a criação das “ACs supremas” (ou “ACs-
Raiz”), ou seja, instituições que autorizam as operações das ACs que emitem
certificados a pessoas e empresas. Esse esquema é conhecido como ICP
(Infraestrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).

No Brasil, até agora, a ICP-Brasil controla oito ACs de primeiro nível: Presidência da
República, Secretaria da Receita Federal, Serpro (Serviço Federal de Processamento de
Dados), a Caixa Econômica Federal, AC Jus, Imprensa Oficial de São Paulo, Serasa e
CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, o
certificado digital deve ter o aval de uma dessas instituições. Mas para isso, cada
instituição pode ter requisitos e custos diferentes, uma vez que cada entidade pode
emitir certificados para finalidades distintas, o que se aplica a qualquer AC no mundo.

Política de uso

Qualquer instituição, independente do porte que tenha, pode criar uma ICP. Se uma
empresa, por exemplo, criou uma política de uso de certificados digitais para garantir
a segurança na troca de informações entre a matriz e filiais, não vai ser necessário
pedir tais certificados a uma AC controlada pela ICP-Brasil. A própria empresa pode
criar a ICP e fazer com que um departamento das filiais atue como AC ou AR,
solicitando ou emitindo certificados para uso dos funcionários.

ACs são órgãos autorizados a emitir Certificados Digitais pelo ITI, a chamada AC Raiz
(Autoridade Certificadora Raiz). Atualmente, existem diversas ACs no Brasil que
emitem certificados para atender a pessoas físicas e jurídicas.

São elas: Serpro (Serviço Federal de Processamento de Dados), CertiSign, Serasa,

IMESP (Imprensa Oficial do Estado de São Paulo), Prodemg (Empresa de Tecnologia
da Informação do Estado de Minas Gerais), Proderj (Centro de Tecnologia da
Informação e Comunicação do Estado do Rio de Janeiro), Caixa Econômica Federal,
Petrobras, OAB (Ordem dos Advogados do Brasil), Fenacon (Federação Nacional das
Empresas de Serviços Contábeis e das Empresas de Assessoramento, Perícias,
Informações e Pesquisas), Fenacor (Federação Nacional dos Corretores de Seguros),
Notarial e Sincor (Sindicato dos Corretores de Seguros do Estado de São Paulo). O
Estado do Rio Grande do Sul tornou-se uma AC exclusiva para os gaúchos. E os
cartórios deverão ser os próximos a emitir certificados.

A AR, por sua vez, faz o reconhecimento presencial da pessoa que solicita o
certificado digital. Entidades como Correios, Caixa Econômica Federal, Sincor, Banco
do Brasil, Bradesco, Itaú e Itautec são ARs. Ao solicitar a certificação a uma AC, a
pessoa será orientada a procurar a AR mais próxima. As sedes ou sites das ARs
contam com os endereços dos postos.
Deveres e obrigações

No processo de emissão dos certificados, as ACs têm deveres e obrigações, descritos

em um documento chamado Declaração de Práticas de Certificação – DPC. A DPC
dever ser pública, para permitir que as pessoas possam saber como foi emitido o
certificado digital. Entre as atividades de uma AC, a mais importante é verificar a
identidade da pessoa ou da entidade antes da emissão do certificado digital. O
certificado digital emitido deve conter informações confiáveis que permitam a
verificação da identidade do titular. Assim, quanto melhor definidos e mais
abrangentes os procedimentos adotados por uma AC, maior a confiabilidade de que
ela vai desfrutar.

No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os

procedimentos que devem ser adotados pelas ACs. Uma AC que se submete às
resoluções do Comitê Gestor pode ser credenciada e, com isso, fazer parte da ICPBrasil.
O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo,
exame de documentos, de instalações técnicas e dos sistemas envolvidos no serviço de
certificação, bem como o próprio pessoal.

A pessoa, empresa ou instituição que desrespeita as regras ditadas pelas autoridades

encarregadas de emitir e avalizar certificados digitais está sujeita a penalidades,
entre as quais se inclui o descredenciamento. As ACs credenciadas são incorporadas
à estrutura hierárquica da ICP-Brasil e representam a garantia de atendimento dos
critérios estabelecidos em prol da segurança das chaves privadas.

Prazo de validade

O certificado digital, diferentemente dos documentos utilizados na identificação

pessoal, tais como CPF e RG, tem prazo de validade, que pode ser renovado antes de
se dar a expiração. Somente se pode assinar um documento enquanto o certificado
se mantém válido. Mas é possível, no entanto, conferir as assinaturas realizadas,
mesmo depois de a validade do certificado expirar.

As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado

ou a quem foi designada a tarefa da renovação. As justificativas podem ser por
diversos fatores, como comprometimento da chave privada, alterações de dados do
certificado ou qualquer outro motivo.

Quando recebe e analisa o pedido, a AC adiciona o número de série do certificado a

um documento assinado chamado Lista de Certificados Revogados (LCR) e o publica.
O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado
e, em muitos casos, o próprio certificado possui um campo com apontador para
publicação do endereço web que contém o arquivo com a LCR. As LCRs são
publicadas de acordo com a periodicidade que cada AC definir. Essas listas são
públicas e podem ser consultadas, a qualquer momento, pelo usuário que deseja
verificar se um certificado permanece válido ou não.

Após a revogação ou expiração do certificado, todas as assinaturas realizadas com o

certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do
documento continuam válidas, se houver uma forma de garantir que a operação foi
realizada durante o período de validade do certificado. Mas como obter essa
característica? Existem técnicas para atribuir a indicação de tempo a um documento.
Trata-se do carimbo de tempo, que adicionando data e hora à assinatura, permitem
determinar quando o documento foi assinado.
Módulo 4 - As aplicações da certificação digital

O certificado digital resolve um dos maiores problemas do homem moderno:

freqüentar a Internet, enquanto meio de comunicação para fins profissionais e de
lazer, sem, entretanto, correr os riscos aos quais a mídia o expõe. A certificação
permite que pessoas, empresas e instituições tenham certeza plena da autenticidade
e integridade das informações que circulam na rede mundial.

O certificado digital serve para autenticar documentos eletrônicos e as informações

neles contidas em todas as instâncias dos governos, federal, municipal, estadual e
até mesmo no judiciário. Mas é nos bancos – teoricamente, as vítimas preferenciais
de fraudes – que ele mais tem sido usado, com a vantagem de dar às pessoas a
garantia de que ninguém poderá se passar por ela, a fim de movimentar uma conta
bancária.

Mas o certificado digital também vem sendo utilizado por pessoas, empresas e
instituições no acesso à Receita Federal, para obtenção de certidões on-line e
declarações seguras, como, por exemplo, o Imposto de Renda de pessoa física, bem
como em operações de comércio eletrônico, correio eletrônico, assinatura de
documentos eletrônicos e cifrações de documentos eletrônicos, entre outras
aplicações.

Um dos benefícios da certificação digital é a certeza de uma coisa que nunca foi,
propriamente, uma qualidade da Internet: o sigilo. Graças à chave privada, ninguém,
senão a pessoa, empresa ou instituição de direito devidamente autorizada, poderá
desfazer a operação de cifragem; ou seja, ninguém sem licença para isso poderá
decifrar e recuperar as informações originais. Assim, para que a pessoa A possa
compartilhar uma informação de forma secreta com a pessoa B, deve cifrá-la,
usando a chave pública da pessoa B. E somente ela, a pessoa B, usando uma chave
privada, terá como decifrar a informação.

A certificação digital também garante a autenticidade dos documentos. O autor de

um documento utiliza a chave privada para cifrá-lo de modo a garantir a autoria em
um documento ou a identificação em uma transação. Assim ocorre porque a chave
privada é conhecida exclusivamente pelo dono dela.

A criptografia assimétrica permite que a pessoa A codifique, cifre a informação com a

chave privada que lhe pertence e envie para a pessoa B, que poderá decifrar a
informação, pois tem acesso à chave pública da pessoa A. De fato, qualquer um tem
condições de decifrar a informação, uma vez que todos conhecem a chave pública da
pessoa A. Mas, na medida em que é preciso usar a chave privada da pessoa A,
ninguém mais, senão ela poderá produzir um texto cifrado.

O mesmo método de autenticação dos algoritmos de criptografia de chave pública

combinado com a função resumo, também conhecida como função de hash, dá
origem à assinatura digital.

O resumo criptográfico é o resultado retornado por uma função de hash, que se pode
comparar a uma impressão digital, pois cada documento possui um valor único de
resumo. Qualquer pequena alteração no documento, como a inserção de um espaço
em branco, resulta em um resumo completamente diferente.
O resumo criptográfico no processo de autenticação aumenta o desempenho do
sistema: os algoritmos de criptografia assimétrica são muito lentos e os resumos, de
tamanho menor, reduzem o tempo gasto na geração de uma assinatura,
independentemente do tamanho do documento a ser gerado.

O produto final da certificação digital é a assinatura digital, com base no uso dos
algoritmos de chave pública. Na assinatura digital, o documento não sofre qualquer
alteração e o hash cifrado com a chave privada é anexado ao documento.

Para comprovar uma assinatura digital é necessário, inicialmente, realizar duas

operações: calcular o resumo criptográfico do documento e decifrar a assinatura com
a chave pública do signatário. Se forem iguais, a assinatura está correta, o que
significa que foi gerada pela chave privada correspondente à chave pública utilizada
na verificação e que o documento está íntegro. Caso sejam diferentes, a assinatura
está incorreta, o que significa que pode ter havido alterações no documento ou na
assinatura pública.

Hoje, são dez as mais populares aplicações da certificação digital.

1. A Receita Federal permite que o contribuinte acompanhe o andamento da

declaração de Imposto de Renda pela rede, bem como verifique e regularize a
situação fiscal, via web.

2. Alguns cartórios brasileiros, por meio do sistema de certificação digital, permitem

a solicitação remota de ofícios, certidões de escrituras de imóveis, contratos
registrados, certidões de nascimento, de casamento ou óbito, garantidas a
autenticidade, a integridade, a segurança e a eficácia jurídica de todos eles.

3. Vários bancos utilizam os certificados digitais para garantir mais segurança aos
clientes e usuários dos serviços.

4. Diversas empresas e órgãos públicos usam certificados digitais para garantir que o
site que o internauta está acessando é realmente o buscado, evitando, por exemplo,
que o interessado negocie em um site clonado.

5. Com o uso do certificado, pode-se assinar digitalmente mensagem de e-mail,

garantindo ao destinatário a autoria do remetente e que o conteúdo não foi
adulterado entre o envio e o recebimento.

6. Processos judiciais foram acelerados com a criação da Autoridade Certificadora do

Judiciário (AC-JUS), que facilitou a utilização da certificação digital nos tribunais,
conferindo segurança e agilidade aos processos.

7. O Sistema de Pagamentos Brasileiros (SPB) usa a certificação digital da ICP-Brasil.

8. A Nota Fiscal Eletrônica (e-NF) já nasceu atrelada à certificação digital. Essa

iniciativa está sendo testada em grandes empresas e deverá ser estendida a todas às
pessoas jurídicas. Com isso, haverá maior segurança na arrecadação, redução de
custos em todo o processo, além da enorme economia de papel.

9. No ProUni (Programa Universidade para Todos), cada entidade participante é

digitalmente autenticada.

10. O INSS (Instituto Nacional de Seguridade Social) anunciou, em novembro de

2006, que vai usar certificação digital nos escritórios para evitar fraudes. O
investimento é quase R$ 12 milhões.
Módulo 5 - CertiSign, certificação com a qualidade Intel

Quer sejam grandes, médias ou pequenas, todas as empresas defrontam-se com um

desafio comum: a segurança da informação. Para atender a essa demanda, a Intel
desenvolveu o Intel® TPM, cuja principal característica é a segurança. E a Certisign,
especialista em certificação digital há 10 anos, a partir dela, projetou a ferramenta
capaz de conectar todos os dispositivos existentes no mercado: o UIC (Universal
Identity Connector).

O Intel® TPM garante a segurança total, elemento decisivo na crescente troca de

informações entre pessoas, empresas e órgãos governamentais. A Certisign, que no
Brasil detém 70% da emissão das certificações digitais, resolveu assim um dos
principais problemas da comunicação em condições de segurança: a
incompatibilidade entre os dispositivos de criptografia.

O conector universal UIC interage com a tecnologia Intel® TPM, que protege as
chaves de criptografia e assinatura. O UIC consiste em uma interface gráfica única,
que conecta os certificados digitais armazenados em diferentes dispositivos, como
discos rígidos, tokens ou cartões, em diferentes aplicações e em qualquer sistema
operacional. No caso da tecnologia Intel, o UIC conversa com o chip de criptografia e
dispensa o uso de outros dispositivos.

Para a Certisign, que já dispunha de todas as soluções rodando em plataforma Intel,

e, portanto, com integridade de conteúdo, a tecnologia TPM associada ao UIC
permitiu a geração de uma solução capaz de proteger 100% qualquer certificado
digital. Como a tecnologia Intel® TPM se baseia no uso de um chip integrado, não há
necessidade de leitor para o certificado digital, o que aumenta a segurança.

O UIC é um conjunto de drivers, aplicativos e ferramentas que podem ser utilizados

para controlar dispositivos de criptografia em diversos sistemas operacionais. Além
disso, o modelo permite que vários dispositivos diferentes sejam utilizados para
armazenar chaves para criptografia e, ainda, que essas chaves sejam usadas de
forma segura para assinar documentos e e-mails, criptografar e decodificar
documentos, além de verificar a integridade deles.

O UIC oferece uma solução de segurança de ambientes de rede, por meio da

tecnologia TPM em máquinas com placas-mãe Intel e processador Intel® Core™ 2
Duo.

A combinação do UIC com o chip TPM permite ao usuário utilizar o recurso

computacional embarcado na placa Intel. Mas também estabelece uma nova
fronteira de proteção da identidade digital (certificado digital), garantindo a
mobilidade necessária.

O uso do certificado digital Certisign, além de permitir funções de autenticação

inequívoca, dá respaldo legal aos documentos assinados eletronicamente, o que
fornece garantia de integridade de dados e informações. Outra característica
importante é o sigilo. Por meio dele o usuário pode criptografar informações e
protegê-las do acesso de pessoas não autorizadas. Mais uma vez, o uso combinado
do chip TPM com o UIC garante ao usuário a capacidade de proteger a própria
identidade digital.

Sob medida para os profissionais do desenvolvimento, a Certisign oferece o kit SDK,

lançado pela Certisign no ano passado, que provê enorme economia de tempo aos
programadores de empresas interessadas em integrar às aplicações os recursos de
criptografia de dados, autenticação com certificados e assinatura digitais. A solução
simplifica uma série de tarefas do desenvolvedor, que não vai mais, por exemplo,
precisar investir em pesquisas, programação de bibliotecas e testes para usar a
tecnologia de certificação digital.

Entre os clientes que já adotaram o kit destacam-se Sabesp, Procergs (Companhia

de Processamento de Dados do Rio Grande do Sul) e FDE (Fundação para o
Desenvolvimento da Educação).

Com recursos que, entre outras finalidades, simplificam a geração e verificação de

assinaturas digitais no padrão XMLDSig e que podem ser incorporados em aplicações
já existentes ou em fase de desenvolvimento, o SDK Certisign é a solução ideal para
a Nota Fiscal Eletrônica (NF-e), porque possibilita que o software de notas fiscais de
uma empresa tenha a certificação digital integrada a todas as tarefas relacionadas à
emissão: concessão, alteração, cancelamento e consulta.

São seis as propriedades do certificado digital Certisign:

1) Bloqueia a clonagem da informação, que, com o chip integrado, não fica

trafegando pela memória. O chip processa e autentica o certificado, garantindo mais
segurança.

2) Gerencia tokens, independentemente de modelos.

3) Simplifica o acesso a tokens por meio de pontos de entrada genéricos: CSP global
e módulo de PKCS #11. Ao mesmo tempo, permite que o sistema utilize o mesmo
método para acessar diferentes tokens.

4) Oferece uma API de alto nível para drivers de tokens, que acelera a implantação
de novos drivers ou drivers para novos dispositivos.

5) No notebook, se a tecnologia TPM estiver integrada à tecnologia da Certisign, criase

um HD virtual, que funciona como um cofre para proteger informações.

6) Permite a troca de informações de maneira mais eficiente, com ganho de

desempenho, por estar integrado na placa.

A plataforma Certisign, que incorpora a mais avançada tecnologia aplicada à

segurança da informação, integra as seguintes soluções:

•Assinadores eletrônicos de documentos, que melhoram a produtividade, otimizando

processos e diminuindo a burocracia.

•Assinadores de newsletter, solução perfeita para profissionais e empresas que

utilizam o correio eletrônico como principal canal de comunicação com os clientes

•Certificados para servidores web, que identificam os servidores e criam um canal de

comunicação entre os clientes e o site.

•Documentos normativos, que oficializam os processos, definindo normas. A

Certisign emprega uma equipe multidisciplinar com enorme experiência na
elaboração de documentos normativos para o mercado brasileiro.
•e-CPF Certisign, utilizado pelo contribuinte para relacionamento com a Secretaria de
Receita Federal.

•e-CNPJ Certisign. Um documento eletrônico em forma de certificado digital, que

garante a autenticidade e a integridade na comunicação entre pessoas jurídicas e a
Secretária da Receita Federal (SRF), funcionando exatamente como uma versão
digital do CNPJ.

•E-mail corporativo seguro, para organizações que desejam utilizar a assinatura

digital de mensagens de correio eletrônico, com sigilo e integridade de conteúdo.

•Notebook Seguro Pessoal Certisign é uma ferramenta de proteção de dados que

criptografa informações gravadas no HD tornando-as acessíveis somente por você ou
pessoas autorizadas.

•PKI gerenciada, que emite, administra e controla a utilização de certificados digitais

na empresa, mediante uso de ferramenta sofisticada, capaz de administrar redes de
imensa complexidade.

•SPB. Sistema de Pagamentos Brasileiro com a garantia de segurança dos

certificados Certisign.
Módulo 6 - Presente e futuro da certificação digital

A indústria financeira, que, com mais de 80% das ocorrências, segundo os institutos
de pesquisa, são o alvo predileto dos fraudadores, hoje se define como a principal
usuária da certificação digital. É justamente nessa esfera que estão sendo
desenvolvidas diversas iniciativas de destaque que certamente irão contribuir para os
avanços desse segmento.

Dentro desses investimentos, os cartões inteligentes que combinam funções bancárias

(crédito, débito, etc) com a utilização de certificação digital já começam a sinalizar um
caminho que pode trazer boas novidades nesse campo. Entre os exemplos dessas
ações, podemos citar o Banco do Brasil, que recentemente lançou o Ourocard
Empresarial Comércio Exterior Mastercard, direcionado ao segmento de exportadores,
importadoras, despachantes aduaneiros, corretores e agentes de carga. Com o
objetivo de proporcionar maior agilidade na efetivação de negócios de comércio
exterior, o banco alcançou a marca de 30% dos contratos assinados digitalmente em
pouco mais de 6 meses de operação.

Outro exemplo nessa direção é o Banrisul, que está realizando progressivamente a

substituição de seus atuais cartões bancários por um smart card contendo informações
do usuário e recursos de certificação digital. Além disso, em uma parceria com a
Procergs (Companhia de Processamento de Dados do Estado do Rio Grande do Sul), o
banco irá disponibilizar aos seus 3 milhões de clientes o acesso a mais de 700 serviços
públicos, agilizando as atividades e otimizando o tempo do usuário.

A necessidade de ampliar a segurança nessas operações também já motiva o

desenvolvimento de novas soluções que envolvam a certificação digital. Uma das
apostas nesse sentido é a biometria vascular com autenticação baseada nas veias das
mãos do usuário e que já está sendo utilizada em países como Japão, EUA e França.
Esse mercado deve movimentar US$ 9,37 bilhões em 2014, segundo um estudo do
IBG (International Biometric Group). Uma das promessas dessa tecnologia é oferecer
mais precisão e segurança em relação a outros sistemas, como por exemplo, a
autenticação digital (dedos), a mais utilizada atualmente pelo setor corporativo.

Uma das empresas que já trabalha com esse segmento é a Fujitsu, responsável pelo
Palm Secure, sensor baseado na leitura vascular para áreas como Bancos, Finanças e
Saúde. A companhia também disponibiliza um smart card que combina recursos desse
tipo de biometria com a certificação digital e já é utilizado para identificação,
transações no ATM e assinatura em transações específicas.

Além das instituições financeiras, a certificação digital já é utilizada em segmentos

diversos de mercado e em aplicações menos críticas, como a recuperação remota de
uma declaração de Imposto de Renda na Secretaria da Receita Federal e a assinatura
de um e-mail importante.

A grande contribuição do processo é a excelência da tecnologia, que

permite, em síntese, que a certificação digital se aplique à autenticação e defesa da
integridade de qualquer documento cuja validade precise ser atestada sem deixar
qualquer sombra de dúvida. Não apenas pela excelência, mas pela essencialidade, o
que se desenha no horizonte, em médio e longo prazos, é a utilização do recurso em
mais larga escala, na medida em que se dissemina a cultura da Internet enquanto
meio de comunicação, para fins comerciais e de lazer.

A democratização da certificação digital se coloca, nos meios governamentais e

privados como a maneira mais eficaz de garantir aos cidadãos, empresas e
instituições serviços eletrônicos eficientes e seguros. Projetos isolados, boa parte
deles desenvolvidos com a adesão de faculdades e universidades, sinalizam que nem
mesmo o “analfabetismo digital” poderá impedir a disseminação e uso da tecnologia,
que vai virando sinônimo da governança que hoje se exige das empresas e órgãos da
administração pública, em alguns casos até mesmo por força de lei.

No futuro, a certificação digital estará fortemente presente nas diversas esferas de

governo, que, preocupado em democratizar o acesso aos serviços públicos, deve
disputar com a indústria financeira a liderança quanto ao uso da certificação digital
em aplicações cliente-servidor, no dia-a-a-dia das pessoas. Provavelmente daqui a
mais cinco anos, segundo prevêem os institutos internacionais de pesquisa, será
cada vez menor o volume de papel em circulação. As pessoas precisarão
movimentar-se bem menos de um lugar para outro, livres das filas para resolver
pendências com a Justiça, o Fisco, o cartório e o banco. Transações de rotina,
burocráticas, demoradas e maçantes serão feitas via Internet em questões de
minutos, com a ajuda do computador, com toda a segurança, por conta da
tecnologia de certificação digital.

Também serão mais confiáveis as mensagens por e-mails, bem como as operações
de compra nos shoppings virtuais. Mas a liderança deve se manter nas mãos dos
bancos e a segunda posição no ranking deve caber ao
Poder Judiciário: a nova ferramenta vai demolir montanhas de processos, fazendo
recuar o tempo de espera por uma sentença. Agora, os certificados já são usados
nos sistemas de processo judicial, em peticionamentos e na emissão de certidões
eletrônicas.

Essa tecnologia também já começa a chegar aos hospitais, clínicas e consultórios

médicos, bem como aos prontuários eletrônicos. Em um futuro bem próximo, o
paciente poderá levar de um médico para outro o CD com informações sobre a própria
saúde. Bem-vindo à era digital!