Você está na página 1de 92

Infraestrutura de Chaves Pblicas Brasileira

REQUISITOS DAS POLTICAS DE ASSINATURA DIGITAL NA ICP-BRASIL DOC-ICP-15.03 Verso 2.0 05 de abril de 2010

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

1/92

Infraestrutura de Chaves Pblicas Brasileira

SUMRIO SUMRIO............................................................................................................................................2 1INTRODUO.................................................................................................................................3 2CONTEDOGERALDEumaPOLTICADEASSINATURA.....................................................5 BIBLIOGRAFIA................................................................................................................................15 ANEXO1...........................................................................................................................................16 1POLTICASDEASSINATURAPADROICPBRASIL............................................................16 ANEXO2...........................................................................................................................................29 1POLTICAPADROADRBBASEADAEMCADES...............................................................29 2POLTICAPADROADRTBASEADAEMCADES...............................................................34 3POLTICAPADROADRVBASEADAEMCADES...............................................................40 4POLTICAPADROADRCBASEADAEMCADES...............................................................46 5POLTICAPADROADRABASEADAEMCADES...............................................................53 6POLTICAPADROADRBBASEADAEMXADES...............................................................60 7POLTICAPADROADRTBASEADAEMXADES...............................................................65 8POLTICAPADROADRVBASEADAEMXADES..............................................................71 9POLTICAPADROADRCBASEADAEMXADES...............................................................77 10POLTICAPADROADRABASEADAEMXADES............................................................83 ANEXO3...........................................................................................................................................90 GERENCIAMENTODEPOLTICASDEASSINATURANAICPBRASIL...............................90 1INTRODUO...............................................................................................................................90 2ADMINISTRAOECICLODEVIDADEUMAPA...............................................................90 3APROVAODEUMAPA..........................................................................................................90 4.PUBLICAODAPAEDALPA...............................................................................................91 5PRORROGAODAVALIDADEDEUMAPAAPROVADA.................................................91 6REVOGAODEUMAPA.........................................................................................................91 7PROCEDIMENTOSPARACRIAOEVERIFICAODALPA...........................................92

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

2/92

Infraestrutura de Chaves Pblicas Brasileira

1 INTRODUO 1.1 Este documento estabelece os requisitos a serem obrigatoriamente observados pelas entidades criadoras de Polticas de Assinatura Digital no mbito da Infra-Estrutura de Chaves Pblicas Brasileira (ICP-Brasil), em conformidade com a estrutura proposta pelos padres ETSI TR 102 272 [1] e ETSI TR 102.038 [2]. 1.2 Ele faz parte de um conjunto de normativos criados para regulamentar a gerao e verificao de assinaturas digitais no mbito da ICP-Brasil. Tal conjunto se compe de: a) Viso Geral sobre Assinaturas Digitais na ICP-Brasil (DOC-ICP-15) [3]; b) Requisitos para Gerao e Verificao de Assinaturas Digitais na ICP-Brasil (DOC-ICP-15.01) [4]; c) Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil (DOC-ICP-15.02) [5]; d) Requisitos das Polticas de Assinatura na ICP-Brasil (DOC-ICP-15.03) (este documento). 1.3 Toda Poltica de Assinatura elaborada no mbito da ICP-Brasil DEVE adotar a mesma sintaxe de estrutura empregada neste documento. 1.4 Esta estrutura prev a criao de uma nica assinatura digital (tambm conhecida como assinatura digital simples ou primria), a criao de assinaturas digitais em paralelo (tambm conhecidas como co-assinaturas) ou a criao de assinaturas digitais em srie (tambm conhecidas como contra-assinaturas). 1.5 As Polticas de Assinatura ICP-Brasil Aprovadas DEVEM ser escritas de uma forma inteligvel por seres humanos e; opcionalmente, PODEM ser escritas de uma forma inteligvel por sistemas de processamento. 1.6 No caso de polticas que sejam escritas com base no presente documento, a forma inteligvel por sistemas de processamento DEVE ser Abstract Syntax Notation.One (ASN.1) ou Extensible Markup Language (XML). 1.7 As Polticas de Assinatura Aprovadas ICP-Brasil so protegidas contra alteraes indevidas por meio da publicao, no repositrio da AC Raiz, de seu contedo assinado digitalmente por chave privada associada a certificado digital do Instituto Nacional de Tecnologia da Informao (ITI). 1.8 Para facilitar a utilizao de polticas de assinatura pelos usurios finais, o ITI criou 10 Polticas de Assinatura-padro, que esto detalhadas no Anexo 2 deste documento. 1.9 O processo de gerenciamento das Polticas de Assinatura pela AC Raiz da ICP-Brasil est descrito no Anexo 3 deste documento.
Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0 3/92

Infraestrutura de Chaves Pblicas Brasileira

1.10 O restante deste documento est organizado da seguinte forma. O Captulo 2 apresenta o contedo de uma Poltica de Assinatura. O Anexo 1 lista as Polticas de Assinatura Padro da ICP-Brasil baseadas em CMS Advanced Electronic Signatures (CAdES) e em XML-DSig Advanced Electronic Signatures (XAdES). O Anexo 3 descreve o processo de gerenciamento de PAs na ICP-Brasil.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

4/92

Infraestrutura de Chaves Pblicas Brasileira

2 CONTEDO GERAL DE UMA POLTICA DE ASSINATURA A seguir so apresentados os itens que DEVEM fazer parte de uma Poltica de Assinatura Aprovada ICP-Brasil. De maneira a permitir que a AC-Raiz ao criar uma PA tenha informaes detalhadas, em conformidade com os documentos ETSI TR 102 038 e ETSI TR 102 272 nos quais os contedos so descritos na ntegra. 2.1 Identificador da Poltica de Assinatura (6.1, 8.2) 2.1.1 Neste item DEVE ser informado o identificador (OID) da PA. 2.2 Data de Emisso (5, 8.2) Neste item DEVE ser informada a data em que a PA foi emitida. 2.3 Nome da Entidade Emissora da Poltica de Assinatura (6.1, 8.2) DEVE ser informado o nome da entidade responsvel pela emisso da PA. 2.4 Campo de Aplicao (6.1, 8.2) 2.4.1 Neste item DEVE ser definido, em termos gerais, o campo de aplicao da assinatura digital gerada conforme a Poltica de Assinatura, bem como os propsitos especficos para os quais a assinatura digital aplicvel. Adicionalmente, devero estar relacionadas, quando cabvel, as aplicaes para as quais existam restries ou proibies para o uso da PA. 2.5 Poltica de Validao da Assinatura (6.2, 8.3) 2.5.1 Perodo para Assinatura (6.2, 8.2) 2.5.1.1 Neste item DEVE ser definido o perodo de validade (data e hora) inicial e, opcionalmente, final de abrangncia das regras definidas na Poltica de Assinatura aplicveis s assinaturas digitais que se utilizarem da Poltica. 2.5.2 Regras Comuns (6.3, 8.4) 2.5.2.1 Regras do Signatrio e do Verificador (6.5, 8.7) Nota: item opcional 2.5.2.1.1 Regras do Signatrio (6.5.1, 8.7.1)

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

5/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.1.1.1 Dados Externos ou Internos a Assinatura (6.5.1, 8.7.1) Neste item DEVE ser denido se o contedo assinado (documento eletrnico) e externo a assinatura digital. Uma das opes abaixo DEVE ser escolhida: a) o contedo assinado e externo a assinatura; ou b) o contedo assinado e interno a assinatura; ou c) o contedo assinado pode ser tanto externo quanto interno a assinatura. 2.5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios (6.5.1, 8.7.1) Neste item DEVEM ser relacionados os atributos ou propriedades que DEVEM constar, obrigatoriamente, no pacote da assinatura digital no mbito desta Poltica de Assinatura e que so assinados juntamente com o documento eletrnico. O documento DOC-ICP-15.02, captulo 2 e 3, dene os atributos ou propriedades sugeridos para os formatos de assinatura digital ICP-Brasil. 2.5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios (6.5.1, 8.7.1) Neste item DEVEM ser relacionados os atributos ou propriedades que DEVEM constar, obrigatoriamente, no pacote da assinatura digital no mbito desta Poltica de Assinatura, e que no so assinados juntamente com o documento eletrnico. O documento DOC-ICP-15.02, captulo 2 e 3, dene os atributos ou propriedades sugeridos para os formatos de assinatura digital ICP-Brasil. 2.5.2.1.1.4 Referncias Obrigatrias de Certificados (6.5.1, 8.7.1) Neste item DEVE ser denido quais certicados do caminho de certificao do signatrio DEVEM ser referenciados nas assinaturas digitais criadas com base nesta Poltica de Assinatura. Uma das opes abaixo DEVE ser escolhida: a) o certicado do signatrio; ou b) os certicados do caminho de certificao completo do signatrio. 2.5.2.1.1.5 Informaes Obrigatrias de Certicados (6.5.1, 8.7.1) Neste item DEVE ser denido quais certicados do caminho de certificao do signatrio devem constar obrigatoriamente nas assinaturas digitais. Uma das opes abaixo DEVE ser escolhida: a) nenhum certicado; ou b) o certicado do signatrio; ou c) os certicados do caminho de certificao completo do signatrio.
Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0 6/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.1.1.6 Regras Adicionais do Signatrio (6.11, 8.2) Caso haja a necessidade de incluir regras adicionais relacionadas ao processo de Assinatura Digital executado pelo signatrio, estas DEVEM ser includas neste item. 2.5.2.1.2 Regras do Verificador (6.5.2, 8.7.2) 2.5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios (6.5.2, 8.7.2) Este item DEVE conter os identificadores dos atributos ou propriedades descritos no item 2.5.2.1.1.3, que, caso no includos pelo signatrio, DEVEM ser adicionados assinatura pelo verificador. 2.5.2.1.2.2 Regras Adicionais do Verificador (6.11, 8.2) Caso haja a necessidade de regras adicionais relacionadas ao verificador, essas DEVEM ser includas neste item. 2.5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios (6.7, 8.8) Nota: item opcional. 2.5.2.2.1 Requisitos de Certificados (6.7, 8.8.2) Nota: este item PODE se repetir de acordo com o nmero de razes conveis. 2.5.2.2.1.1 Raiz Confivel (6.6.1, 8.8.2) Neste item DEVE constar um certificado auto-assinado que deve ser adotado como ncora de confiana no processo de validao do caminho de certificao do signatrio. 2.5.2.2.1.2 Restrio do Comprimento do Caminho de Certificao (6.6.1, 8.8.2) Neste item PODE constar o numero mximo de certicados de Autoridade Certicadora (AC) abaixo da ncora de conana do caminho de certificao do signatrio. No caso da ICPBrasil, este numero e, no mximo, 2 (dois). 2.5.2.2.1.3 Conjunto de Polticas de Certificao Aceitveis (6.6.1, 8.8.2) Neste item PODEM constar os OIDs das polticas de certificao aceitveis.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

7/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.2.1.4 Restries de Nome (6.6.1, 8.8.2) Neste item PODEM constar as restries de nomes aplicveis. 2.5.2.2.1.5 Restries de Polticas de Certificao (6.6.1, 8.8.2) Nota: item opcional. 2.5.2.2.1.5.1 Necessidade da Identificao de Polticas (6.6.1, 8.8.2) Neste item PODE ser definido a partir de qual nvel do caminho de certificao e necessria a identificao das polticas de certificao aceitveis. 2.5.2.2.1.5.2 Proibio do Mapeamento de Polticas Neste item PODE ser definido a partir de qual nvel do caminho de certificao e proibido o mapeamento de polticas de certificao. 2.5.2.2.2 Requisitos de revogao (6.7, 8.8.3) 2.5.2.2.2.1 Requisitos de Revogao para Certificados Finais (6.6.2, 8.8.3) 2.5.2.2.2.1.1 Mecanismos de Revogao para Certificados (6.6.2, 8.8.3) Neste item DEVE constar uma das opes de mecanismo de verificao do status de revogao dos certificados: a) Lista de Certificados Revogados (LCR); ou b) Online Certicate Status Protocol (OCSP); ou c) LCR e OCSP; ou d) LCR ou OCSP; ou e) nenhuma verificao; ou f) outro mecanismo de verificao. 2.5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados (6.1.1, 8.2) Caso haja a necessidade de regras adicionais a revogao de certificados, essas devem ser includas neste item. 2.5.2.2.2.2 Requisitos de Revogao para Certificados de ACs (6.6.2, 8.8.3) 2.5.2.2.2.2.1 Mecanismos de Revogao para Certificados (6.6.2, 8.8.3)
Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0 8/92

Infraestrutura de Chaves Pblicas Brasileira

Neste item DEVE constar uma das opes de mecanismo de verificao do status de revogao dos certificados: a) LCR; ou b) OCSP; ou c) LCR e OCSP; ou d) LCR ou OCSP; ou e) nenhuma verificao; ou f) outro mecanismo de verificao. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados (6.11, 8.2) Caso haja a necessidade de regras adicionais a revogao de certificados, essas devem ser includas neste item. 2.5.2.3 Condies de Confiabilidade do Carimbo do Tempo (6.11, 8.2) Nota: item opcional. 2.5.2.3.1 Requisitos de Certificados Nota: caso este item no esteja presente, ento as regras denidas no item 5.2.2.1 se aplicam aos certificados de Autoridade de Carimbo do Tempo (ACT). 2.5.2.3.1.1 Raiz Confivel (6.6.1, 8.8.2) Neste item DEVE constar um certificado auto-assinado que deve ser adotado como ncora de confiana no processo de validao do caminho de certificao da ACT. 2.5.2.3.1.2 Requisitos de Certificados (6.8, 8.9) Neste item PODE constar o numero mximo de certificados de Autoridade Certicadora (AC) abaixo da ancora de confiana do caminho de certificao do signatrio. No caso da ICPBrasil, este nmero e, no mximo, 2 (dois). 2.5.2.3.1.3 Conjunto de Polticas de Certificao Aceitveis (6.6.1, 8.8.2) Neste item PODEM constar os OIDs das polticas de certificao aceitveis.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

9/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.3.1.4 Restries de Nome (6.6.1, 8.8.2) Neste item PODEM constar as restries de nomes aplicveis. 2.5.2.3.1.5 Restries de Polticas de Certificao (6.6.1, 8.8.2) Nota: Item OPCIONAL. 2.5.2.2.3.1.5.1 Necessidade da Identificao de Polticas (6.6.1, 8.8.2) Neste item PODE ser definido a partir de qual nvel do caminho de certificao necessria a identificao das polticas de certificao aceitveis. 2.5.2.2.3.1.5.2 Proibio do Mapeamento de Polticas (6.6.1, 8.8.2) Neste item PODE ser definido a partir de qual nvel do caminho de certificao proibido o mapeamento de polticas de certificao. 2.5.2.3.2 Requisitos de Revogao (6.8, 8.9) 2.5.2.3.2.1 Requisitos de Revogao para Certificados Finais (6.6.2, 8.8.3) 2.5.2.3.2.1.1 Mecanismos de Revogao para Certificados (6.6.2, 8.8.3) Neste item DEVE constar uma das opes de mecanismo de verificao do status de revogao dos certificados: a) LCR; ou b) OCSP; ou c) LCR e OCSP; ou d) LCR ou OCSP; ou e) nenhuma verificao; ou f) outro mecanismo de verificao. 2.5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados (6.11, 8.2) Caso haja a necessidade de regras adicionais revogao de certificados, essas devem ser includas neste item. 2.5.2.3.2.2 Requisitos de Revogao para Certificados de ACs (6.6.2, 8.8.3)

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

10/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.3.2.2.1 Mecanismos de Revogao para Certificados (6.6.2, 8.8.3) Neste item DEVE constar uma das opes de mecanismo de verificao do status de revogao dos certificados: a) LCR; ou b) OCSP; ou c) LCR e OCSP; ou d) LCR ou OCSP; ou e) nenhuma verificao; ou f) outro mecanismo de verificao. 2.5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados (6.11, 8.2) Caso haja a necessidade de regras adicionais revogao de certificados, essas devem ser includas neste item. 2.5.2.3.3 Restries de Nome (6.8, 8.9) Neste item PODEM constar as restries de nomes aplicveis. Nota: caso este item no esteja presente, ento as regras definidas no item 5.2.3.1.4. se aplicam aos certificados de (ACT). 2.5.2.3.4 Perodo de Cautela (6.8, 8.9) Neste item PODE constar o perodo de tempo, aps o instante de assinatura, que o verificador deve aguardar antes de obter o status de revogao necessrio para validar a chave do signatrio. 2.5.2.3.5 Atraso do Carimbo do Tempo (6.8, 8.9) Neste item pode constar o perodo mximo de tempo aceitvel entre o instante informado pelo carimbo do tempo e o instante da assinatura. 2.5.2.4 Condies de Confiabilidade dos Atributos (6.9, 8.10) Nota: item OPCIONAL. 2.5.2.5 Conjunto de Restries de Algoritmos (6.10, 8.11) Nota: na necessidade de se incluir um conjunto de restries de algoritmos, estes DEVEM ser escolhidos entre os listados no documento Padres e Algoritmos Criptogrficos da ICPRequisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0 11/92

Infraestrutura de Chaves Pblicas Brasileira

Brasil - DOC-ICP-01.01 [6]. 2.5.2.5.1 Restries de Algoritmos para Signatrios (6.10, 8.11) Nota: item OPCIONAL. 2.5.2.5.1.1 Restries de Algoritmos (6.10, 8.11) Nota: este item PODE se repetir de acordo com o nmero de restries de algortimos necessrias. 2.5.2.5.1.1.1 Identificador de Algoritmo (6.10, 8.11) Neste item DEVE constar o OID do algoritmo a ser restringido. 2.5.2.5.1.1.2 Tamanho Mnimo de Chaves (6.10, 8.11) Neste item PODE constar o tamanho mnimo de chave em bits. 2.5.2.5.1.1.3 Regras Adicionais de Restries (6.11, 8.2) Caso haja a necessidade de regras adicionais a restries de algoritmos, essas devem ser includas neste item. 2.5.2.5.2 Restries de Algoritmos para AC Final (6.10, 8.11) Nota: item OPCIONAL. 2.5.2.5.2.1 Restries de Algoritmos (6.10, 8.11) Nota: este item PODE se repetir de acordo com o nmero de restries de algoritmos necessrias. 2.5.2.5.2.1.1 Identificador de Algoritmo (6.10, 8.11) Neste item DEVE constar o OID do algoritmo a ser restringido. 2.5.2.5.2.1.2 Tamanho Mnimo de Chaves (6.10, 8.11) Neste item PODE constar o tamanho mnimo de chave em bits.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

12/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.5.2.1.3 Regras Adicionais de Restries (6.11, 8.2) Caso haja a necessidade de regras adicionais a restries de algoritmos, essas devem ser includas neste item. 2.5.2.5.3 Restries de Algoritmos para AC Intermediria (6.10, 8.11) Nota: item OPCIONAL. 2.5.2.5.3.1 Restries de Algoritmos (6.10, 8.11) Nota: este item PODE se repetir de acordo com o nmero de restries necessrias. 2.5.2.5.3.1.1 Identificador de Algoritmo (6.10, 8.11) Neste item DEVE constar o OID do algoritmo a ser restringido. 2.5.2.5.3.1.2 Tamanho Mnimo de Chaves (6.10, 8.11) Neste item PODE constar o tamanho mnimo de chave em bits. 2.5.2.5.3.1.3 Regras Adicionais de Restries (6.11, 8.2) Caso haja a necessidade de regras adicionais a restries de algoritmos, essas devem ser includas neste item. 2.5.2.5.4 Restries de Algoritmos para Autoridades de Atributo (6.10, 8.11) Nota: item OPCIONAL. 2.5.2.5.5 Restries de Algoritmos para Autoridades de Carimbo do Tempo (6.10, 8.11) Nota: item OPCIONAL. 2.5.2.5.5.1 Restries de Algoritmos (6.10, 8.11) Nota: este item PODE se repetir de acordo com o nmero de restries de algoritmos necessrias. 2.5.2.5.5.1.1 Identificador de Algoritmo (6.10, 8.11) Neste item DEVE constar o OID do algoritmo a ser restringido.
Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0 13/92

Infraestrutura de Chaves Pblicas Brasileira

2.5.2.5.5.1.2 Tamanho Mnimo de Chaves (6.10, 8.11) Neste item PODE constar o tamanho mnimo de chave em bits. 2.5.2.5.5.1.3 Regras Adicionais de Restries (6.11, 8.2) Caso haja a necessidade de regras adicionais a restries de algoritmos, essas devem ser includas neste item. 2.5.2.6 Regras Adicionais (6.11, 8.2) Caso haja a necessidade de incluir regras adicionais para gerao ou verificao de assinaturas digitais, essas DEVEM ser includas neste item. 2.5.3 Informaes Adicionais sobre a Validao das Assinaturas (6.11, 8.2) Caso haja a necessidade de informaes adicionais quanto a validao das assinaturas digitais no mbito desta Poltica de Assinatura, ela DEVEM ser includas neste item. 2.6 Informaes Adicionais sobre a Poltica de Assinatura (6.11, 8.2) Caso haja a necessidade de informaes adicionais sobre a Poltica de Assinatura, elas DEVEM estar includas neste item.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

14/92

Infraestrutura de Chaves Pblicas Brasileira

BIBLIOGRAFIA [1] ETSI. ASN.1 Format for Signature Policies. Number TR 102 272. v.1.1.1, dez. 2003. [2] ETSI. XML Format for Signature Policies. Number TR 102 038. v.1.1.1, abr. 2002. [3] ITI. Viso Geral Sobre Assinaturas Digitais na ICP-Brasil. Instituto Nacional de Tecnologia da Informao, Braslia, v.1.0. DOC-ICP-15. [4] ITI. Requisitos para Gerao e Verificao de Assinaturas Digitais na ICP- Brasil. Instituto Nacional de Tecnologia da Informao, Braslia, v.1.0. DOC-ICP-15.01. [5] ITI. Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil. Instituto Nacional de Tecnologia da Informao, Braslia, v.1.0. DOC-ICP-15.02. [6] ITI. Padres e Algoritmos Criptogrficos da ICP-Brasil. Instituto Nacional de Tecnologia da Informao, Braslia, v.2.0, jun. 2009. DOC-ICP-01.01. [7] ITI. Requisitos para as Polticas de Certificado na ICP-Brasil. Instituto Nacional de Tecnologia da Informao, Braslia, v.3.0, dez. 2008. DOC-ICP- 04.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

15/92

Infraestrutura de Chaves Pblicas Brasileira

ANEXO 1
1 POLTICAS DE ASSINATURA-PADRO ICP-BRASIL Para facilitar a utilizao de Polticas de Assinatura pelos usurios finais, o ITI criou 10 polticas de assinatura. Essas polticas foram criadas a partir do cruzamento do Perfil de Uso Geral para Assinaturas Digitais ICP-Brasil, definido no documento DOC- ICP-15.02, com os cinco formatos de assinatura digital da ICP-Brasil, derivados dos padres CMS Advanced Electronic Signature (CAdES) e XML-DSig Advanced Electronic Signature (XAdES), citados no documento DOC-ICP-15.01, a saber: a) Assinatura Digital com Referncia Bsica (AD-RB); b) Assinatura Digital com Referncia do Tempo (AD-RT); c) Assinatura Digital com Referncias para Validao (AD-RV); d) Assinatura Digital com Referncias Completas (AD-RC); e) Assinatura Digital com Referncias para Arquivamento (AD-RA). As Tabelas A.2 a A.13 mostram a combinao dos elementos aplicada aos diferentes contextos de assinatura. A Tabela A.1 mostra o significado das abreviaes utilizadas nas tabelas seguintes. Nos documentos 2 at 11 tm-se as 10 Polticas de Assinatura-padro. Abreviao ND O P Significado No deve (proibido) Obrigatrio Pode (opcional)

R Recomendvel Tabela A.1: Abreviaes utilizadas.

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

16/92

Infraestrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ContentTimeStamp

Perfil AD RB
O O O O P P P P

RT
O O O O P P P P

RV
O O O O P P P P

RC
O O O O P P P P

RA
O O O O P P P P

Tabela A.2 Atributos assinados no SignerInfo do Assinante

Requisitos das Polticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03) V 2.0

17/92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values) Carimbo do tempo de arquivamento (archive time-stamp)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues id-aa-archiveTimeStampToken ArchiveTimeStampToken ND P P P P P P P P P P

Perfil AD RB
P P

RT
P O

RV
P O

RC
P O

RA
P O

O O

O O

O O

P P

P P

P P

O O

O O

ND

ND

ND

Tabela A.3: Presena de atributos no assinados no SignerInfo do signatrio

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

18/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ContentTimeStamp O P P P ND O P P P

Perfil AD RB
ND O O

RT
ND O O

RV
ND O O

RC
ND O O

RA
ND O O

O P P P ND

O P P P ND

O P P P ND

ND

Tabela A.4: Presena de atributos assinados no SignerInfo de contra assinatura

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

19/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values) Carimbo do tempo de arquivamento (archive time-stamp)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues id-aa-archiveTimeStampToken ArchiveTimeStampToken ND P P P P P P P P P P

Perfil AD RB
P P

CT
P O

RV
P O

RC
P O

RA
P O

O O

O O

O O

P P

P P

P P

O O

O O

ND

ND

ND

ND

Tabela A.5: Presena de atributos no assinados no SignerInfo de contra assinatura

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

20/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ContentTimeStamp

Perfil AD RB
O O O ND ND ND ND ND

RT
O O O ND ND ND ND ND

RV
O O O ND ND ND ND ND

RC
O O O ND ND ND ND ND

RA
O O O ND ND ND ND ND

Tabela A.6: Presena de atributos assinados no TimeStampToken de carimbo do tempo de contedo

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

21/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values) Carimbo do tempo de arquivamento (archive time-stamp)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues id-aa-archiveTimeStampToken ArchiveTimeStampToken ND R* ND ND R* R*

Perfil AD RB
ND ND

RT
ND ND

RV
ND ND

RC
ND ND

RA
ND ND

R* R*

O* O*

O* O*

O* O*

ND

ND

ND

ND

ND

ND

ND

ND

R*

O*

O*

O*

R* R*

R* R*

R* R*

O* O*

O* O*

ND

ND

ND

ND

Tabela A.7: Presena de atributos no assinados no TimeStampToken de carimbo do tempo de contedo

Nota *: Como o atributo carimbo do tempo de contedo assinado, antes da assinatura do signatrio devem ser includos os atributos no assinados necessrios para o perfil de AD mais complexo considerando seu ciclo de vida completo, pois no podero ser includos posteriormente.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

22/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ND ND ND ND

Perfil AD RB
O O O

RT
O O O

RV
O O O

RC
O O O

RA
O O O

ND ND ND ND

ND ND ND ND

ND ND ND ND

ND ND ND ND

ND ND ND ND ND ContentTimeStamp Tabela A.8: Presena de atributos assinados no SignerInfo do TimeStampToken de carimbo do tempo de assinatura.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

23/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues P P ND ND P P P P

Perfil AD RB
ND ND

RT
ND ND

RV
ND ND

RC
ND ND

RA
ND ND

O O

O O

O O

ND

ND

ND

ND

ND

ND

ND

ND

P P

P P

P P

O O

O O

Carimbo do tempo de id-aa-archiveTimeStampToken arquivamento ND ND ND ND ND ArchiveTimeStampToken (archive time-stamp) Tabela A.9: Presena de atributos no assinados no SignerInfo do TimeStampToken de carimbo do tempo de assinatura.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

24/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ND ND ND ND

Perfil AD RB
O O O

RT
O O O

RV
O O O

RC
O O O

RA
O O O

ND ND ND ND

ND ND ND ND

ND ND ND ND

ND ND ND ND

ND ND ND ND ND ContentTimeStamp Tabela A.10: Presena de atributos assinados no SignerInfo do TimeStampToken de carimbo do tempo das referncias

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

25/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues ND ND

Perfil AD RB
ND ND

RT
ND ND

RV
ND ND

RC
ND ND

RA
ND ND

P P

P P
ND

O O
ND

O O
ND

O O
ND

ND

ND

ND

ND

P
P P

P
P P

O
P P

O
O O

O
O O

Carimbo do tempo de id-aa-archiveTimeStampToken arquivamento ND ND ND ND ND ArchiveTimeStampToken (archive time-stamp) Tabela A.11: Presena de atributos no assinados no SignerInfo do TimeStampToken de carimbo do tempo das referncias

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

26/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Tipo de contedo (content type) Resumo criptogrfico da mensagem (message digest) Certificado do signatrio v1 (ESS signing certificate) Identificador da poltica de assinatura (signature policy identifier) Atributos do signatrio (signer attributes) Instante da assinatura (signing time) Localizao do signatrio (signer location) Carimbo do tempo de contedo (content time stamp)

Identificao do atributo Tipo do contedo


id-contentType ContentType id-messageDigest MessageDigest id-aa-signingCertificate SigningCertificate id-aa-ets-sigPolicyId SignaturePolicyIdentifier id-aa-ets-signerAttr SignerAttribute id-signingTime SigningTime id-aa-ets-signerLocation SignerLocation id-aa-ets-contentTimeStamp ND ND ND ND

Carimbo Anterior
O O O

Corrente
O O O

ND ND ND ND

ND ND ContentTimeStamp Tabela A.12: Presena de atributos assinados no SignerInfo do TimeStampToken de carimbo do tempo de arquivamento

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

27/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

Nome do atributo
Contra assinatura (countersignature) Carimbo do tempo de assinatura (signature time stamp) Referncias completas aos certificados (complete certificate references) Referncias completas revogao (complete revogation references) Referncias aos certificados de atributo (attribute certificate references) Referncias revogao de atributo (attribute revogation references) Carimbo do tempo das referncias (time-stamped certificate crls references) Valores dos certificados (certificate values) Valores de revogao (revocation values)

Identificao do atributo Tipo do contedo


id-countersignature CounterSignature id-aa-signatureTimeStampToken SignatureTimeStampToken id-aa-ets-certificateRefs CompleteCertificateRefs id-aa-ets-revocationRefs CompleteRevocationRefs id-aa-ets-attrCertificateRefs AttributeCertificateRefs id-aa-ets-attrRevocationRefs AttributeRevocationRefs id-aa-ets-certCRLTimestamp TimestampedCertsCRLs id-aa-ets-certValues CertificateValues id-aa-ets-revocationValues RevocationValues ND ND

Carimbo Anterior
ND ND

Corrente
ND ND

O O

O O
ND

ND

O
O O

R
P P

Carimbo do tempo de id-aa-archiveTimeStampToken arquivamento ND ND ArchiveTimeStampToken (archive time-stamp) Tabela A.13: Presena de atributos no assinados no SignerInfo do TimeStampToken de carimbo do tempo de arquivamento

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

28/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

ANEXO 2
1 POLTICA-PADRO AD-RB BASEADA EM CADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIA BSICA NO FORMATO CMS, verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.1.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura deve ser utilizado em aplicaes ou processos de negcio nos quais a assinatura digital agrega segurana autenticao de entidades e verificao de integridade, permitindo sua validao durante o prazo de validade dos certificados dos signatrios. Uma vez que no so usados carimbos do tempo, a validao posterior s ser possvel se existirem referncias temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situaes, deve existir legislao especfica ou um acordo prvio entre as partes definindo as referncias a serem utilizadas. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 29/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrios as seguintes atributos assinados: a) id-contentType; b) id-messageDigest; c) id-aa-signingCertificate; d) id-aa-ets-sigPolicyId. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios No se aplica. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados O atributo signingCertificate deve conter referncia apenas ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios No se aplica. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 30/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em : http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados Acs
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 31/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade de Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrios 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chaves para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 32/ 92

Infra-Estrutura de Chaves Pblicas Brasileira

5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

33/ 92

Infraestrutura de Chaves Pblicas Brasileira

2 POLTICA-PADRO AD-RT BASEADA EM CADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIA do tempo NO FORMATO CMS, verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.2.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura deve ser utilizado em aplicaes ou processos de negcios nos quais a assinatura digital necessita de segurana em relao irretratabilidade do momento de sua gerao. Como esse tipo de assinatura no traz, de forma auto-contida, referncias ou valores dos certificados e das informaes de revogao (LCRs ou respostas OCSP) necessrios para sua validao posterior, ele deve ser utilizado somente quando esses dados puderem ser obtidos por meios externos, de forma inequvoca. Uma assinatura desse tipo pode ter sua capacidade probante diminuda, no caso de comprometimento da chave da AC que emitiu qualquer um dos certificados da cadeia de certificao. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 34/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados: a)id-contentType; b)id-messageDigest; c)id-aa-signingCertificate; d)id-aa-ets-sigPolicyId. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, o atributo assinado signatureTimeStampToken. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados O atributo signingCertificate deve conter referncia apenas ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenha sido includo pelo signatrio, o atributo id-aa-signatureTimeStampToken DEVE ser includo pelo verificador. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 35/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados Acs

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

36/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade de Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 37/92

Infraestrutura de Chaves Pblicas Brasileira

LCR ou OCSP. 5.2.3.2.1.2 Regras adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrios 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 38/92

Infraestrutura de Chaves Pblicas Brasileira

O tamanho mnimo de chaves para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

39/92

Infraestrutura de Chaves Pblicas Brasileira

3 POLTICA-PADRO AD-RV BASEADA EM CADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS PARA VALIDAO NO FORMATO CMS, verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.3.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura inclui, no seu prprio corpo, referncias sobre os certificados que compem a cadeia de certificao e sobre as informaes de revogao do certificado digital do signatrio. Um carimbo do tempo prov a ligao entre essas informaes e o contedo assinado. Ele deve ser usado em aplicaes onde se necessita verificar a assinatura a qualquer momento e onde os dados necessrios para isso (que esto referenciados no corpo da assinatura), estejam disponveis para recuperao. Alm de oferecer segurana quanto irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio, desde que o carimbo do tempo sobre as referncias tenha sido colocado antes desse comprometimento. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 40/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos Assinatura O contedo assinado pode ser tanto interno quanto externo assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados: a) id-contentType; b) id-messageDigest; c) id-aa-signingCertificate; d) id-aa-ets-sigPolicyId. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados: a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-escTimeStamp. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados O atributo signingCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Certificados obrigatrios da Cadeia de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 41/92

Infraestrutura de Chaves Pblicas Brasileira

Caso no tenham sido includos pelo signatrio, os seguintes atributos DEVEM ser includos pelo verificador: a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-escTimeStamp. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em : http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 42/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade de Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

43/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao de Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 44/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chaves para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica.
6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 45/92

Infraestrutura de Chaves Pblicas Brasileira

4 POLTICA-PADRO AD-RC BASEADA EM CADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS COMPLETAS NO FORMATO CMS, verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.4.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura inclui, no seu prprio corpo, alm das referncias, os certificados que compem a cadeia de certificao e as informaes de revogao do certificado digital do signatrio. Ele demanda uma maior capacidade de armazenamento. Ele deve ser usado em situaes onde necessria a verificao completa da validade da assinatura digital a qualquer momento, pois os dados necessrios esto auto-contidos na assinatura. Alm de oferecer segurana quanto irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio, desde que o carimbo do tempo sobre as referncias/valores dos certificados tenha sido colocado antes desse comprometimento. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 46/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrios os seguintes atributos assinados: a) id-contentType; b) id-messageDigest; c) id-aa-signingCertificate; d) id-aa-ets-sigPolicyId. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrios os seguintes atributos no assinados: a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-escTimeStamp; e) id-aa-ets-certValues; f) id-aa-ets-revocationValues. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados O atributo signingCertificate deve conter referncia apenas para o certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios no Caminho de Certificao Os certificados do caminho de certificao completo do signatrio. 5.2.1.1.6 Regras Adicionais do Signatrio 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenham sido includos pelo signatrio, os seguintes atributos DEVEM ser includos pelo verificador:
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 47/92

Infraestrutura de Chaves Pblicas Brasileira

a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-escTimeStamp; e) id-aa-ets-certValues; f) id-aa-ets-revocationValues. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 48/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

49/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 50/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 1135491 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chave para criao de assinaturas segundo esta PA e de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

51/92

Infraestrutura de Chaves Pblicas Brasileira

6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

52/92

Infraestrutura de Chaves Pblicas Brasileira

5 POLTICA-PADRO AD-RA BASEADA EM CADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS PARA ARQUIVAMENTO NO FORMATO CMS, verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.5.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura adequado para aplicaes que necessitam realizar o arquivamento do contedo digital assinado por longos perodos, sabendo-se que podem surgir fraquezas, vulnerabilidades ou exposio a fragilidades dos algoritmos, funes e chaves criptogrficas utilizadas no processo de gerao de assinatura digital. Ele prov proteo contra fraqueza dos algoritmos, funes e tamanho de chaves criptogrficas, desde que o carimbo do tempo de arquivamento seja realizado tempestivamente e utilize algoritmos, funes e tamanhos de chave considerados seguros no momento de sua gerao. Alm disso, oferece segurana quanto irretratabilidade, e permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio (desde que o carimbo do tempo sobre as referncias/valores dos certificados tenha sido colocado antes desse comprometimento). Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 53/92

Infraestrutura de Chaves Pblicas Brasileira

5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrios os seguintes atributos assinados: a) id-contentType; b) id-messageDigest; c) id-aa-signingCertificate; d) id-aa-ets-sigPolicyId. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrios os seguintes atributos no assinados: a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-certValues; e) id-aa-ets-revocationValues; f) id-aa-ets-archiveTimestamp. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados O atributo signingCerticate deve conter referncia apenas para o certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Os certificados do caminho de certificao completo do signatrio. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 54/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenham sido includos pelo signatrio, os seguintes atributos DEVEM ser includos pelo verificador: a) id-aa-signatureTimeStampToken; b) id-aa-ets-certificateRefs; c) id-aa-ets-revocationRefs; d) id-aa-ets-certValues; e) id-aa-ets-revocationValues; f) id-aa-ets-archiveTimestamp. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 55/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPRequisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 56/92

Infraestrutura de Chaves Pblicas Brasileira

Brasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 57/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chave para criao de assinaturas segundo esta PA e de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 58/92

Infraestrutura de Chaves Pblicas Brasileira

No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

59/92

Infraestrutura de Chaves Pblicas Brasileira

6 POLTICA-PADRO AD-RB BASEADA EM XADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIA BSICA NO FORMATO XML-DSig verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.6.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura deve ser utilizado em aplicaes ou processos de negcio nos quais a assinatura digital agrega segurana autenticao de entidades e verificao de integridade, permitindo sua validao durante o prazo de validade dos certificados dos signatrios. Uma vez que no so usados carimbos do tempo, a validao posterior s ser possvel se existirem referncias temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situaes, deve existir legislao especfica ou um acordo prvio entre as partes definindo as referncias a serem utilizadas. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 60/92

Infraestrutura de Chaves Pblicas Brasileira

O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades assinadas: a) DataObjectFormat (em assinaturas do tipo detached); b) SigningCertificate; c) SignaturePolicyIdentifier. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios No se aplica. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados A propriedade SigningCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios No se aplica. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em :
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 61/92

Infraestrutura de Chaves Pblicas Brasileira

http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 62/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3 Condies de Confiabilidade do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chave para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

63/92

Infraestrutura de Chaves Pblicas Brasileira

5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

64/92

Infraestrutura de Chaves Pblicas Brasileira

7 POLTICA-PADRO AD-RT BASEADA EM XADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIA do tempo NO FORMATO XML-DSig verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.7.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura deve ser utilizado em aplicaes ou processos de negcios nos quais a assinatura digital necessita de segurana em relao irretratabilidade do momento de sua gerao. Como esse tipo de assinatura no traz, de forma auto-contida, referncias ou valores dos certificados e das informaes de revogao (LCRs ou respostas OCSP) necessrios para sua validao posterior, ele deve ser utilizado somente quando esses dados puderem ser obtidos por meios externos, de forma inequvoca. Uma assinatura desse tipo pode ter sua capacidade probante diminuda, no caso de comprometimento da chave da AC que emitiu qualquer um dos certificados da cadeia de certificao. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura Os campos a seguir definem os processos para gerao e verificao de assinaturas realizadas segundo esta PA. 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 65/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades assinadas: a) DataObjectFormat (em assinaturas do tipo detached); b) SigningCertificate; c) SignaturePolicyIdentifier. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades no assinadas: a) SignatureTimeStamp 5.2.1.1.4 Certificados Obrigatoriamente Referenciados A propriedade SigningCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Valores da Cadeia de Certificao Certificados Obrigatrios do Caminho de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenha sido includa pelo signatrio, a seguinte propriedade DEVE ser includa pelo verificador: a) SignatureTimeStamp.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 66/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em : http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 67/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 68/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

69/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chave para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

70/92

Infraestrutura de Chaves Pblicas Brasileira

8 POLTICA-PADRO AD-RV BASEADA EM XADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS PARA VALIDAO NO FORMATO XML-DSig verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.8.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura inclui, no seu prprio corpo, referncias sobre os certificados que compem a cadeia de certificao e sobre as informaes de revogao do certificado digital do signatrio. Um carimbo do tempo prov a ligao entre essas informaes e o contedo assinado. Ele deve ser usado em aplicaes onde se necessita verificar a assinatura a qualquer momento e onde os dados necessrios para isso (que esto referenciados no corpo da assinatura), estejam disponveis para recuperao. Alm de oferecer segurana quanto irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio, desde que o carimbo do tempo sobre as referncias tenha sido colocado antes desse comprometimento. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 71/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades assinadas: a) DataObjectFormat (em assinaturas do tipo detached); b) SigningCertificate; c) SignaturePolicyIdentifier. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades no assinadas: a) SignatureTimeStamp; b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) SigAndRefsTimeStamp. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados A propriedade SigningCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Nenhum certificado. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenham sido includas pelo signatrio, as seguintes propriedades DEVEM ser
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 72/92

Infraestrutura de Chaves Pblicas Brasileira

includas pelo verificador: a) SignatureTimeStamp b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) SigAndRefsTimeStamp. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 73/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 74/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 75/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chaves para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura Noseaplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 76/92

Infraestrutura de Chaves Pblicas Brasileira

9 POLTICA-PADRO AD-RC BASEADA EM XADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS COMPLETAS NO FORMATO XML-DSig verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.9.1.2. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura inclui, no seu prprio corpo, alm das referncias, os certificados que compem a cadeia de certificao e as informaes de revogao do certificado digital do signatrio. Ele demanda uma maior capacidade de armazenamento. Ele deve ser usado em situaes onde necessria a verificao completa da validade da assinatura digital a qualquer momento, pois os dados necessrios esto auto-contidos na assinatura. Alm de oferecer segurana quanto irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio, desde que o carimbo do tempo sobre as referncias/valores dos certificados tenha sido colocado antes desse comprometimento. Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura 5.1 Perodo para Assinatura O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 77/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura. 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades assinadas: a) DataObjectFormat (em assinaturas do tipo detached); b) SigningCertificate; c) SignaturePolicyIdentifier. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades no assinadas: a) SignatureTimeStamp; b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) SigAndRefsTimeStamp; e) CertificateValues; f) RevocationValues. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados A propriedade SigningCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Os certificados do caminho de certificao completo do signatrio. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica. 5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenham sido includas pelo signatrio, as seguintes propriedades DEVEM ser includas pelo verificador:
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 78/92

Infraestrutura de Chaves Pblicas Brasileira

a) SignatureTimeStamp; b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) SigAndRefsTimeStamp; e) CertificateValues; f) RevocationValues. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em : http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica. 5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 79/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica. 5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 80/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica. 5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 81/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chave para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica. 5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica.
6 Informaes Adicionais sobre a Poltica de Assinatura

No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

82/92

Infraestrutura de Chaves Pblicas Brasileira

10 POLTICA-PADRO AD-RA BASEADA EM XADES 1 Identificador da Poltica de Assinatura O nome desta Poltica de Assinatura POLTICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERNCIAS PARA ARQUIVAMENTO NO FORMATO XML-DSig verso 1.0. O Object Identifier (OID) desta PA, atribudo pelo ITI : 2.16.76.1.7.1.10.1. 2 Data de Emisso A data de emisso desta PA 31.10.2008. 3 Nome da Entidade Emissora da Poltica de Assinatura A entidade emissora desta PA identificada pelo Distinguished Name C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao ITI. 4 Campo de Aplicao Este tipo de assinatura adequado para aplicaes que necessitam realizar o arquivamento do contedo digital assinado por longos perodos, sabendo-se que podem surgir fraquezas, vulnerabilidades ou exposio a fragilidades dos algoritmos, funes e chaves criptogrficas utilizadas no processo de gerao de assinatura digital. Ele prov proteo contra fraqueza dos algoritmos, funes e tamanho de chaves criptogrficas, desde que o carimbo do tempo de arquivamento seja realizado tempestivamente e utilize algoritmos, funes e tamanhos de chave considerados seguros no momento de sua gerao. Alm disso, oferece segurana quanto irretratabilidade, e permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatrio (desde que o carimbo do tempo sobre as referncias/valores dos certificados tenha sido colocado antes desse comprometimento). Segundo esta PA, permitido o emprego de mltiplas assinaturas. 5 Poltica de Validao da Assinatura Os campos a seguir definem os processos para gerao e verificao de assinaturas realizadas segundo esta PA. 5.1 Perodo para Assinatura
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 83/92

Infraestrutura de Chaves Pblicas Brasileira

O perodo para assinatura desta PA de 31/10/2008 a 31/12/2014. 5.2 Regras Comuns 5.2.1 Regras de Signatrio e Verificador 5.2.1.1 Regras do Signatrio 5.2.1.1.1 Dados Externos ou Internos a Assinatura O contedo assinado pode ser tanto externo quanto interno assinatura 5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades assinadas: a) DataObjectFormat (em assinaturas do tipo detached); b) SigningCertificate; c) SignaturePolicyIdentifier. 5.2.1.1.3 Atributos ou Propriedades No Assinados Obrigatrios As assinaturas feitas segundo esta PA definem como obrigatrias as seguintes propriedades no assinadas: a) SignatureTimeStamp; b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) CertificateValues; e) RevocationValues; f) ArchiveTimeStamp. 5.2.1.1.4 Certificados Obrigatoriamente Referenciados A propriedade SigningCertificate deve conter apenas referncia ao certificado do signatrio. 5.2.1.1.5 Certificados Obrigatrios do Caminho de Certificao Os certificados do caminho de certificao completo do signatrio. 5.2.1.1.6 Regras Adicionais do Signatrio No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 84/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.1.2 Regras do Verificador 5.2.1.2.1 Atributos ou Propriedades No-Assinados Obrigatrios Caso no tenham sido includas pelo signatrio, as seguintes propriedades DEVEM ser includas pelo verificador: a) SignatureTimeStamp; b) CompleteCertificateRefs; c) CompleteRevocationRefs; d) CertificateValues; e) RevocationValues; f) ArchiveTimeStamp. 5.2.1.2.2 Regras Adicionais do Verificador No se aplica. 5.2.2 Condies de Confiabilidade dos Certificados dos Signatrios 5.2.2.1 Requisitos de Certificados 5.2.2.1.1 Raiz Confivel A validao deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICPBrasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt 5.2.2.1.2 Restrio do Caminho de Certificao no se aplica. 5.2.2.1.3 Conjunto de Polticas de Certificado Aceitvel Assinaturas digitais geradas segundo esta Poltica de Assinatura devero ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04. 5.2.2.1.4 Restries de Nome No se aplica.
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 85/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.2.1.5 Restries de Polticas de Certificado No se aplica. 5.2.2.2 Requisitos de Revogao 5.2.2.2.1 Requisitos de Revogao para Certificados Finais 5.2.2.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.2.2.2 Requisitos de Revogao para Certificados de Acs 5.2.2.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.2.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3 Condies de Confiabilidade do Carimbo do Tempo 5.2.3.1 Requisitos de Certificados 5.2.3.1.1 Raiz Confivel A validao da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiana os certificados da AC-Raiz da ICP-Brasil, disponveis em: http://acraiz.icpbrasil.gov.br/CertificadoACRaiz.crt e http://acraiz.icpbrasil.gov.br/ICPBrasil.crt 5.2.3.1.2 Restrio do Caminho de Certificao No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

86/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.1.3 Conjunto de Polticas de Certificado Aceitvel Os carimbos do tempo devero ser criados com chave privada associada a certificados ICPBrasil tipo T3 (do OID 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04. 5.2.3.1.4 Restries de Nome No se aplica. 5.2.3.1.5 Restries de Polticas de Certificado No se aplica. 5.2.3.2 Requisitos de Revogao 5.2.3.2.1 Requisitos de Revogao para Certificados Finais 5.2.3.2.1.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.1.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.2.2 Requisitos de Revogao para Certificados de Acs 5.2.3.2.2.1 Mecanismos de Revogao para Certificados LCR ou OCSP. 5.2.3.2.2.2 Regras Adicionais de Revogao para Certificados No se aplica. 5.2.3.3 Restries de Nome No se aplica. 5.2.3.4 Perodo de Cautela No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

87/92

Infraestrutura de Chaves Pblicas Brasileira

5.2.3.5 Atraso do Carimbo do Tempo No se aplica. 5.2.4 Condies de Confiabilidade dos Atributos No se aplica. 5.2.5 Conjunto de Restries de Algoritmos 5.2.5.1 Restries de Algoritmos para Signatrio 5.2.5.1.1 Restries de Algoritmos 5.2.5.1.1.1 Identificador de Algoritmo Os processos para criao e verificao de assinaturas segundo esta PA devem utilizar o algoritmo Sha1withRSAEncryption(1 2 840 113549 1 1 5). 5.2.5.1.1.2 Tamanho Mnimo de Chave O tamanho mnimo de chaves para criao de assinaturas segundo esta PA de 1024 bits. 5.2.5.1.1.3 Regras Adicionais de Restries No se aplica. 5.2.5.2 Restries de Algoritmos para AC Final No se aplica. 5.2.5.3 Restries de Algoritmos para AC Intermediria No se aplica. 5.2.5.4 Restries de Algoritmos para Autoridade de Atributo No se aplica. 5.2.6 Regras Adicionais No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

88/92

Infraestrutura de Chaves Pblicas Brasileira

5.3 Regras para Propsitos Especficos de Assinatura No se aplica. 5.4 Informaes Adicionais sobre a Validao das Assinaturas No se aplica. 6 Informaes Adicionais sobre a Poltica de Assinatura No se aplica.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

89/92

Infraestrutura de Chaves Pblicas Brasileira

ANEXO 3
GERENCIAMENTO DE POLTICAS DE ASSINATURA NA ICP-BRASIL 1 INTRODUO 1.1 Na verificao da validade de uma Assinatura Digital ICP-Brasil diversos atributos e propriedades devem ser checados. preciso verificar, por exemplo, se a assinatura contm apenas algoritmos e parmetros permitidos pelas normas da ICP-Brasil. 1.2 Alm disso, necessrio validar tambm se a assinatura foi criada com a utilizao de uma Poltica de Assinatura (PA) aprovada pela AC Raiz da ICP-Brasil. 1.3 O objetivo do presente documento introduzir regras claras e transparentes para determinar a validade das PAs aprovadas e definir processos de prorrogao e revogao de uma PA. 1.4 Para facilitar a verificao da validade de uma PA aprovada e para permitir a criao de sistemas que decidam de forma automatizada se uma determinada PA foi aprovada, a AC Raiz, alm de public-la em seu repositrio web, gera e assina digitalmente uma Lista de Polticas de Assinatura Aprovadas (LPA), contendo dados resumidos sobre a PA. 1.5 O formato da LPA e a forma de utiliz-la esto definidos no presente documento, bem como os procedimentos de administrao de PAs aprovadas, o que inclui: a forma de publicao das PAs e os procedimentos a serem adotados em caso de trmino da validade, prorrogao da validade e revogao de PAs aprovadas. 2 ADMINISTRAO E CICLO DE VIDA DE UMA PA 2.1 PAs aprovadas so gerenciadas pela AC Raiz da ICP-Brasil com base neste documento. 2.2 Uma Poltica de Assinatura passa pelas seguintes etapas de vida: a) criao; b) aprovao; c) publicao; d) expirao (se for o caso); e) prorrogao de validade (se for o caso); f) revogao (se for o caso). 3 APROVAO DE UMA PA As PAs aprovadas pela AC-Raiz devem ser submetidas a avaliao previa do CG-ICP-Brasil.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

90/92

Infraestrutura de Chaves Pblicas Brasileira

4. PUBLICAO DA PA E DA LPA 4.1 Os arquivos com as PAs aprovadas so publicados no repositrio da AC Raiz da ICPBrasil e so utilizados para a criao da LPA. 4.2 A LPA assinada e publicada pela AC Raiz da ICP-Brasil, de forma segura, no seu repositrio no endereo web www.acraiz.icpbrasil.gov.br/LPA. 4.3 A LPA atualizada pela AC Raiz a cada 90 dias e contm em seu corpo a data da sua prxima atualizao. 4.4 A LPA assinada com uma Assinatura Digital ICP-Brasil, por funcionrio da AC Raiz nomeado e autorizado, a quem foi emitido um certificado por uma das autoridades certificadoras credenciadas na ICP-Brasil. 4.5 A LPA codificada em linguagem de mquina (ASN.1 e XML) e traz, para cada PA aprovada, os seguintes dados: a) nome; b) uma breve descrio da poltica: os aplicativos assinadores podero exibir essa informao para que o usurio decida qual PA empregar; c) perodo de validade da Poltica; d) data de revogao, se for o caso; e) URLs da PA em formato textual e processvel por mquina (XML/DER); f) resumos criptogrficos dos arquivos da PA, no formato textual e processvel por mquina (XML/DER). 4.6 PAs aprovadas so vlidas pelo perodo indicado no campo de perodo para assinatura se ela no tiver sido revogada. 5 PRORROGAO DA VALIDADE DE UMA PA APROVADA 5.1 A validade de uma PA pode ser prorrogada desde que no tenham sido encontradas fragilidades na PA, as quais no sejam tecnicamente aceitveis para o novo perodo de validade. 5.2 A prorrogao feita por meio da publicao de uma nova verso da PA contendo os dados alterados sobre data de publicao, comeo e trmino da validade da PA. A publicao feita utilizando os procedimentos citados no captulo anterior. 6 REVOGAO DE UMA PA 6.1 PAs aprovadas PODEM ser revogadas pela AC Raiz da ICP-Brasil a qualquer tempo, a partir da emisso de uma nova LPA na qual o campo data de revogao, relativo quela PA
Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0 91/92

Infraestrutura de Chaves Pblicas Brasileira

esteja atualizado com a data da emisso da LPA. 7 PROCEDIMENTOS PARA CRIAO E VERIFICAO DA LPA 7.1 A estrutura do arquivo LPA a seguinte: a) campo NOME: contm o nome da PA, conforme definido no item 4.1.1.b; b) campo APLICACAO: descreve as situaes em que a PA pode ser empregada, conforme contedo constante no campo CAMPO DE APLICAO, existente no corpo da PA; c) campo PERODO PARA ASSINATURA: contm a datas de incio e de final do perodo de validade da PA; d) campo DATA DE REVOGAO: contm a data de revogao da PA, se for o caso; e) campo URL TEXTUAL: contm a URL do repositrio da AC Raiz da ICP-Brasil em que est publicada a PA aprovada, em formato textual; f) campo URL MQUINA: contm a URL do repositrio da AC Raiz da ICP-Brasil em que est publicada a PA aprovada, em formato DER ou XML; g) campo RESUMO CRIPTOGRFICO TEXTUAL: contm o resumo criptogrfico da PA em formato textual; h) campo RESUMO CRIPTOGRFICO MQUINA: contm o resumo criptogrfico da PA codificada em DER ou XML. 7.2 A LPA contm as PAs aprovadas, caracterstica esta necessria verificao de Assinaturas Digitais ICP-Brasil criadas no passado por meio de PAs aprovadas que tenham sido vlidas por um perodo, mas que posteriormente tenham expirado ou sido revogadas. 7.3 A LPA DEVE ser verificada em relao ao momento atual, validando-se a assinatura da LPA assim como o certificado do signatrio da LPA.

Requisitos para Polticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03 Verso 2.0

92/92