Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução
Uma das tecnologias em que a indústria financeira investe, nos últimos tempos, é a
Certificação Digital. Neste módulo você vai aprender como ela é capaz de garantir
autenticidade, confidencialidade e integridade às informações que circulam no
ambiente web. Seu ponto central é o certificado digital, documento eletrônico que
contém nome e um número público exclusivo, denominado chave pública, entre outros
dados que atestam a autenticidade de documentos, mensagens e identidades, de
pessoas, empresas e instituições. Saiba como a Certificação Digital ajuda as empresas,
de diferentes setores, a evitar um prejuízo anual declarado que chega a US$ 1,5
bilhão, nos Estados Unidos (número calculado pelos órgãos de defesa norte-
americanos).
No Brasil, 30% das transações bancárias já são feitas através da internet e, ao mesmo
tempo, o país ocupa o 5º lugar no ranking global de ataques virtuais, contra a 12ª
posição verificada em 2007, de acordo com uma pesquisa divulgada no primeiro
semestre de 2009 pela Symantec. As estatísticas oficiais no Brasil se referem quase
que exclusivamente às fraudes com cartões de crédito. Vítimas preferenciais dos
ataques, eles já representam 32% das invasões na internet realizadas pelos
cibercriminosos por meio de códigos maliciosos e amargam um rombo de,
aproximadamente, R$ 300 milhões por ano. Respondendo por 19% dos crimes digitais
no país, os bancos não falam de perdas, mas, a julgar pelo que investem em sistemas
de segurança – cerca de R$ 500 milhões por ano ou 10% dos investimentos em
Tecnologia da Informação –, é possível imaginar o tamanho da preocupação. O
relatório da Symantec revela ainda que 90% de todas as ameaças virtuais visavam
roubo de informações confidenciais de usuários.
Autenticidade
Uma das tecnologias nas quais as empresas mais vêm investindo para prevenir essas
práticas e fraudes é a certificação digital, recurso capaz de garantir autenticidade,
confidencialidade e integridade às informações que circulam no ambiente web. O
crescimento do interesse por essa prática é confirmado por algumas pesquisas e
levantamentos.
Em junho de 2008, por exemplo, a Receita Federal divulgou alguns dados referentes à
adoção da certificação digital pelas corporações nos 12 meses anteriores à pesquisa
realizada. No âmbito do serviço e-CAC – Centro Virtual de Atendimento ao Contribuinte
da Receita Federal, o órgão detectou um crescimento significativo nas consultas
realizadas com a utilização do certificado digital. Até maio daquele ano foram
efetuadas 14 milhões de consultas, contra as 2 milhões verificadas durante o mesmo
período do ano anterior.
O avanço da certificação digital também encontra eco nas previsões sobre esse
mercado. Presidente da Certisign, Autoridade Certificadora e uma das empresas
pioneiras nesse segmento, José Luis Poço prevê que esse mercado atinja um
movimento de R$ 1 bilhão até 2013.
Conceituação. O que é?
Algoritmo matemático
Existem dois tipos de certificado digital: o A-1 e o A-3. O A-1 é aquele em que a
assinatura digital e os dados do usuário são armazenados em uma mídia móvel,
como um CD, por exemplo. O A-3 vem na forma de smart cards ou tokens,
dispositivos portáteis dotados de chips, nos quais são armazenadas as chaves dos
usuários.
De fato, a Criptografia, lato sensu, vai muito além da cifragem e decifragem. Ramo
especializado da teoria da informação, a Criptografia agrega muitas contribuições de
outros campos da Matemática e o resultado da reflexão e pesquisa de autores, tais
como Maquiavel, Sun Tzu e Karl von Clausewitz. A Criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos, que podem ser
implementados em computadores.
Uma informação não-cifrada endereçada por uma pessoa (ou organização) para
outra é chamada de “texto claro” (plaintext). Cifragem é o processo de conversão de
um texto claro para um código cifrado e decifragem o processo contrário.
Os algoritmos de chave pública operam com duas chaves distintas: a chave privada e a
chave pública. Ambas são geradas simultaneamente e relacionadas entre si, o que
possibilita que a operação executada por uma seja revertida pela outra. A chave
privada deve ser mantida em sigilo e protegida pela pessoa, empresa ou instituição
que gerou as chaves. A chave pública é a que se entrega a qualquer indivíduo que
deseje se comunicar com o proprietário da chave privada correspondente.
Quem deseja enviar uma informação sigilosa deve utilizar a chave pública do
destinatário para cifrar a informação. Para isso é importante que o destinatário
informe a chave pública por ele utilizada, usando, por exemplo, diretórios públicos
acessíveis pela Internet.
A certificação digital traz diversas facilidades, mas o uso dela não torna as
transações isentas de responsabilidades: a chave privada autentica a transação ou
documento e confere o atributo de não-repúdio à operação; ou seja, posteriormente,
o usuário não pode negar a realização daquela transação. Assim, é importante que
ele tenha condições de proteger de forma adequada a chave privada. Isso se faz
mediante uso de dispositivos inteligentes.
Para que o certificado digital seja válido, é necessário que o interessado disponha da
chave pública, capaz de comprovar que o documento é legal e tem valor, emitida por
uma AC (Autoridade Certificadora), devidamente autorizada para isso. A questão é
que elas se contam às dezenas, mundo afora, o que torna impossível para quem
quer que seja dispor da chave pública de cada uma.
A solução encontrada para esse problema foi a criação das “ACs supremas” (ou “ACs-
Raiz”), ou seja, instituições que autorizam as operações das ACs que emitem
certificados a pessoas e empresas. Esse esquema é conhecido como ICP
(Infraestrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).
No Brasil, até agora, a ICP-Brasil controla oito ACs de primeiro nível: Presidência da
República, Secretaria da Receita Federal, Serpro (Serviço Federal de Processamento de
Dados), a Caixa Econômica Federal, AC Jus, Imprensa Oficial de São Paulo, Serasa e
CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, o
certificado digital deve ter o aval de uma dessas instituições. Mas para isso, cada
instituição pode ter requisitos e custos diferentes, uma vez que cada entidade pode
emitir certificados para finalidades distintas, o que se aplica a qualquer AC no mundo.
Política de uso
Qualquer instituição, independente do porte que tenha, pode criar uma ICP. Se uma
empresa, por exemplo, criou uma política de uso de certificados digitais para garantir
a segurança na troca de informações entre a matriz e filiais, não vai ser necessário
pedir tais certificados a uma AC controlada pela ICP-Brasil. A própria empresa pode
criar a ICP e fazer com que um departamento das filiais atue como AC ou AR,
solicitando ou emitindo certificados para uso dos funcionários.
ACs são órgãos autorizados a emitir Certificados Digitais pelo ITI, a chamada AC Raiz
(Autoridade Certificadora Raiz). Atualmente, existem diversas ACs no Brasil que
emitem certificados para atender a pessoas físicas e jurídicas.
A AR, por sua vez, faz o reconhecimento presencial da pessoa que solicita o
certificado digital. Entidades como Correios, Caixa Econômica Federal, Sincor, Banco
do Brasil, Bradesco, Itaú e Itautec são ARs. Ao solicitar a certificação a uma AC, a
pessoa será orientada a procurar a AR mais próxima. As sedes ou sites das ARs
contam com os endereços dos postos.
Deveres e obrigações
Prazo de validade
Mas o certificado digital também vem sendo utilizado por pessoas, empresas e
instituições no acesso à Receita Federal, para obtenção de certidões on-line e
declarações seguras, como, por exemplo, o Imposto de Renda de pessoa física, bem
como em operações de comércio eletrônico, correio eletrônico, assinatura de
documentos eletrônicos e cifrações de documentos eletrônicos, entre outras
aplicações.
Um dos benefícios da certificação digital é a certeza de uma coisa que nunca foi,
propriamente, uma qualidade da Internet: o sigilo. Graças à chave privada, ninguém,
senão a pessoa, empresa ou instituição de direito devidamente autorizada, poderá
desfazer a operação de cifragem; ou seja, ninguém sem licença para isso poderá
decifrar e recuperar as informações originais. Assim, para que a pessoa A possa
compartilhar uma informação de forma secreta com a pessoa B, deve cifrá-la,
usando a chave pública da pessoa B. E somente ela, a pessoa B, usando uma chave
privada, terá como decifrar a informação.
O resumo criptográfico é o resultado retornado por uma função de hash, que se pode
comparar a uma impressão digital, pois cada documento possui um valor único de
resumo. Qualquer pequena alteração no documento, como a inserção de um espaço
em branco, resulta em um resumo completamente diferente.
O resumo criptográfico no processo de autenticação aumenta o desempenho do
sistema: os algoritmos de criptografia assimétrica são muito lentos e os resumos, de
tamanho menor, reduzem o tempo gasto na geração de uma assinatura,
independentemente do tamanho do documento a ser gerado.
O produto final da certificação digital é a assinatura digital, com base no uso dos
algoritmos de chave pública. Na assinatura digital, o documento não sofre qualquer
alteração e o hash cifrado com a chave privada é anexado ao documento.
3. Vários bancos utilizam os certificados digitais para garantir mais segurança aos
clientes e usuários dos serviços.
4. Diversas empresas e órgãos públicos usam certificados digitais para garantir que o
site que o internauta está acessando é realmente o buscado, evitando, por exemplo,
que o interessado negocie em um site clonado.
O conector universal UIC interage com a tecnologia Intel® TPM, que protege as
chaves de criptografia e assinatura. O UIC consiste em uma interface gráfica única,
que conecta os certificados digitais armazenados em diferentes dispositivos, como
discos rígidos, tokens ou cartões, em diferentes aplicações e em qualquer sistema
operacional. No caso da tecnologia Intel, o UIC conversa com o chip de criptografia e
dispensa o uso de outros dispositivos.
3) Simplifica o acesso a tokens por meio de pontos de entrada genéricos: CSP global
e módulo de PKCS #11. Ao mesmo tempo, permite que o sistema utilize o mesmo
método para acessar diferentes tokens.
4) Oferece uma API de alto nível para drivers de tokens, que acelera a implantação
de novos drivers ou drivers para novos dispositivos.
A indústria financeira, que, com mais de 80% das ocorrências, segundo os institutos
de pesquisa, são o alvo predileto dos fraudadores, hoje se define como a principal
usuária da certificação digital. É justamente nessa esfera que estão sendo
desenvolvidas diversas iniciativas de destaque que certamente irão contribuir para os
avanços desse segmento.
Uma das empresas que já trabalha com esse segmento é a Fujitsu, responsável pelo
Palm Secure, sensor baseado na leitura vascular para áreas como Bancos, Finanças e
Saúde. A companhia também disponibiliza um smart card que combina recursos desse
tipo de biometria com a certificação digital e já é utilizado para identificação,
transações no ATM e assinatura em transações específicas.
Também serão mais confiáveis as mensagens por e-mails, bem como as operações
de compra nos shoppings virtuais. Mas a liderança deve se manter nas mãos dos
bancos e a segunda posição no ranking deve caber ao
Poder Judiciário: a nova ferramenta vai demolir montanhas de processos, fazendo
recuar o tempo de espera por uma sentença. Agora, os certificados já são usados
nos sistemas de processo judicial, em peticionamentos e na emissão de certidões
eletrônicas.