APOSTILA

00
000-
000.
000.
*****
*****
*****

00
000-
*****

000.
*****

000.

ASSINATURA digital
M5 - TOKEN COMO FERRAMENTA DE TRABALHO
 M5 - TOKEN COMO FERRAMENTA DE TRABALHO
1. Tipos de certificado quanto à aplicação
2. Boas práticas na manutenção do token
3. Carimbo do tempo e seus usos

1 Tipos de certificado quanto a aplicação

Lúcio, constantemente deixa seu token conectado ao computador ou sobre
sua mesa de trabalho, apesar de ser comum os colegas o lembrarem de que essa
não é uma boa prática.
Como não usava o dispositivo com frequência, Lúcio só percebe que o
token desapareceu no dia em que precisa assinar uma nota técnica, necessária à
conclusão de um processo de licitação em que sua empresa tinha interesse.
Sem o token, o documento não pode ser assinado e a empresa fica
impossibilitada de participar do processo. Por ter causado esse problema, Lúcio foi
advertido e relembrado de que é necessário cuidar bem do dispositivo, pois ele é
parte importante do trabalho dele e permite que a empresa concretize a assinatura
de contratos.
Além de ter sido advertido pela empresa, Lúcio agora vai precisar comunicar
formalmente a perda do dispositivo, para que ele seja revogado e em seguida
solicitar um novo token para continuar a realizar seu trabalho.
O certificado digital, responsável pela geração e validação da assinatura
digital, pode dispensar um suporte físico, podendo ficar “guardado” em um arquivo
armazenado em uma máquina ou sistema. Entretanto, esse tipo de certificado
oferece menos segurança, visto que pode ser copiado e não há como evitar o
chamado ataque de força bruta – várias tentativas para descobrir a senha. Por isso
esse modelo tem uma validade menor: apenas 1 (um) ano.
O certificado também pode ser armazenado em algum dispositivo
criptográfico, como um cartão inteligente – SmartCard (similar ao cartão bancário)
– ou um token (semelhante a um pen drive), sendo este o suporte mais comum
utilizado pelos usuários. Neste tipo de dispositivo, o certificado fica muito mais
seguro, pois não é possível copiá-lo ou tirá-lo de dentro do dispositivo, além de ter
proteção contra muitas tentativas de descoberta de senha.
A ICP-Brasil definiu 12 tipos de certificados digitais para usuários finais, que
podem ser divididos em 3 grupos: Assinatura Digital (A), Certificado de Sigilo (S) e
Carimbo do Tempo (T).
 A - Assinatura Digital

Os certificados que geram as assinaturas digitais têm uma subclassificação

relacionada à sua validade:
• A1 - o menor nível de segurança do grupo, gerado no equipamento
do usuário e armazenado em arquivo. Não requer interação direta do proprietário
do certificado, sendo mais usado em servidores de aplicações para garantir a
identificação em um site ou sistema. Não há bloqueio da senha por número de
tentativas, tornando-o mais suscetível a ataques de força bruta – geralmente vistos
em cenas de filme com “garimpo” de senha. (https://pt.wikipedia.org/wiki/
Ataque_de_for%C3%A7a_bruta).
• A2 - armazenado em um cartão inteligente (SmartCard) ou token
criptográfico sem capacidade de geração de chave, mas protegido por mecanismo
de autenticação do usuário. Atualmente, é pouco comum no mercado.
• A3 - até 5 anos: com níveis mais altos de criptografia das informações,
deve ser armazenado em hardware criptográfico com capacidade de geração do
par de chaves: token, cartão inteligente ou Hardware Security Module (HSM) . É o
certificado mais usado atualmente.
Hardware Security Module - HSM:
Hardware seguro capaz de armazenar vários certificados e garantir,
por arquitetura eletrônica, a inviolabilidade da chave privada.

• A4 - até 6 anos: utilizado em HSM, permite a cópia de segurança do

certificado para outro HSM - equipamento que deve ser homologado pela ICP-
Brasil.

Durante o período de pandemia, em decorrência das restrições de

circulação, alguns usuários que tiveram token danificado ou extraviado,
têm solicitado a emissão do certificado A1 que, em vez do token, fica em
um arquivo com a extensão pfx ou p12.
Como não apresentam o recurso de bloqueio de senha incorreta,
estes certificados são mais vulneráveis a ataques e, por isso, têm uma
validade menor.
 S - Certificado de Sigilo

O certificado de sigilo criptografa os dados de um documento, deixando-o

acessível apenas a certificados digitais autorizados e, portanto, tornando o conteúdo
inacessível a pessoas não autorizadas.

T - Certificado de Carimbo de Tempo

Certificados emitidos apenas para equipamentos de Autoridade Certificadora

de Tempo (ACT). São responsáveis por gerar os Carimbos de Tempo adquiridos
pelo usuário final.

Existem, ainda, os certificados CF-e-SAT, emitidos apenas para

equipamentos do Sistema de Autenticação e Transmissão de Cupom Fiscal
Eletrônico, e os certificados do tipo OM-BR, emitidos exclusivamente para
equipamentos metrológicos regulados pelo Inmetro. Ambos são usados nos
equipamentos em que estão instalados para gerar assinaturas nos dados ou
documentos que produzem.

Sobre os tipos de certificado, validade, valor e fluxo de emissão,

consulte o site abaixo:
https://www.loja.serpro.gov.br/certificacao

2 Boas práticas na manutenção do token

Por serem a identificação digital do usuário, os cartões inteligentes e os
tokens merecem a mesma atenção e precisam dos mesmos cuidados dispensados
ao cartão bancário, ao talão de cheques ou aos documentos de identificação.
Danificar um token pode causar dor de cabeça, mas a perda ou uso por
terceiros pode trazer grandes problemas, inclusive prejuízo financeiro.
Se o usuário for uma pessoa física que adquiriu um certificado digital para as
atividades de rotina, do trabalho ou, até mesmo, como garantia de segurança em
transações pessoais, é preciso se lembrar de que o certificado é a uma identificação.
Logo, se este for apresentado em um documento, não será questionado e, dessa
forma, resultará na efetivação dos termos daquele documento.
 Entretanto, se o usuário recebeu o token da empresa na qual trabalha para
executar processos relacionados às suas atividades, isso aumenta ainda mais a
responsabilidade. Além de ser a identificação do empregado em meios digitais, a
certificação é considerada uma ferramenta de trabalho, assim como o telefone, o
micro ou os sistemas da empresa.
Assim como as autoridades recomendam não emprestar o cartão de crédito,
não deixar senhas eletrônicas anotadas em locais de fácil acesso e jamais assinar
um cheque em branco, indicações semelhantes podem ser feitas a respeito do
certificado digital.
somente assine digitalmente documentos que você tenha lido, entenda o
conteúdo, e que representem a verdade dos fatos.
mantenha o token ou cartão inteligente em local seguro quando ele não
estiver em uso
evite deixar o certificado sempre plugado ao microcomputadorvídeos e
animações
ao transportar o token ou o cartão inteligente, evite campos magnéticos e
locais muito quentesplantas e projetos
jamais empreste seu certificado digital
sempre valide assinaturas por meios digitais
nunca confie apenas no selo que está diante de seus olhos
cuidado com a senha do certificado digital: ela não pode ser compartilhada.

AApesar de todos os cuidados, quando houver perda, roubo, dano ou acesso

indevido à mídia de armazenamento (token ou cartão inteligente), o certificado
deverá ser invalidado. O processo de invalidação é chamado de revogação e
depende de algumas providências, as quais podem variar de acordo com o tipo
de ocorrência, a saber:

comunicar a chefia imediata, caso você use o certificado na empresa em

que trabalha;
registrar um boletim de ocorrência, em caso de furto ou acesso indevido;
solicitar a revogação (invalidação) do certificado junto à Autoridade
Certificadora que o emitiu;
solicitar a emissão de um novo certificado digital.
 A perda ou esquecimento da senha de acesso
resulta no bloqueio do certificado digital. Nos
certificados armazenados em dispositivos
criptográficos (cartões, token, hsm) existem “duas
senhas”:
• PIN (Personal Identification Number) – é a senha principal usada
para acessar a chave privada e fazer as assinaturas, mas há um número
máximo de tentativas de digitação da senha, cuja quantidade depende
da configuração do dispositivo.
• PUK (Pin Unlock Key) –serve justamente para desbloquear
o PIN quando o número máximo de tentativas é excedido, porém,
também possui um número máximo de tentativas. Há dispositivos que se
autodestroem quando a PUK é bloqueada.
Se o usuário perder as duas senhas, terá que adquirir um novo
dispositivo e/ou pedir um novo certificado.

Quando um certificado digital é revogado, ele passa a integrar uma Lista de

Certificados Revogados (LCR).
Essa lista é consultada automaticamente toda vez que alguém usa um
certificado digital para assinar um documento e a cada solicitação de validação
de assinatura, o que garante mais segurança ao processo de assinatura digital. É
necessário ter uma conexão à internet, sempre que for acessar a LCR para gerar ou
validar uma assinatura digital.

3 Token pessoal ou corporativo?

 Ainda que uma empresa tenha patrocinado a emissão do certificado digital
para seus funcionários, esse é um “documento” pessoal, relacionado a uma pessoa
física e pode ser considerado um benefício, assim como um cartão de alimentação
ou vale refeição.
Por isso, desde que zele pela segurança do dispositivo, o funcionário pode
usá-lo para realizar e validar transações pessoais ou junto a órgãos públicos ou
privados, como em bancos, assim como qualquer outro procedimento eletrônico
que aceite assinaturas digitais.

Qual a diferença entre token, smartcard

e assinador digital?

E aí, gente! Pra assinar digitalmente um documento, você precisa

do assinador digital, do token ou do smartcard? Vem entender!

Olha só: você entrou lá na página do Serpro e baixou o Assinador

Digital. Aí na hora de assinar um documento, o sistema pergunta de um tal
de token ou smartcard! Como assim??

Explicando de um jeito simples: o token é um objeto parecido com

um pen drive, desses simplezinhos, sabe? Ele é plugado em uma entrada
USB do seu computador.
Já o smartcard, ou cartão inteligente, é tipo um cartão de crédito,
então ele precisa de uma leitora conectada ao computador. Pela facilidade
de uso, claro, o token é o mais comum.
E tem também o NEOiD, que é uma novidade! Esse tipo de certificado
foi criado pelo Serpro e fica nos servidores da empresa, “em nuvem” como
dizem. O NEOiD é tão seguro quanto um token ou smartcard e você acessa
direto pelo celular ou tablet.

Bom, voltando: é esse dispositivo - token ou smartcard ou NEOiD -

que tem o seu certificado digital. E é o certificado que gera a sua assinatura.
Então, o que você precisa é ter um certificado digital, que é tipo a sua
identidade pras operações digitais, entende?

O processo de emissão do certificado é bem parecido com o da

carteira de identidade: você agenda um horário numa Autoridade de
Registro, que é autorizada a emitir os certificados digitais. Vai lá e apresenta
seus documentos, registra suas impressões digitais… essas coisas - e
hoje em dia, se você já tem uma CNH digital, dá para fazer isso tudo por
videoconferência.
 Aí, com o seu certificado na mão - ou na nuvem! - você entra
na internet, abre o Assinador Digital - que é o programa que usa o seu
certificado digital para gerar a assinatura - e localiza ali o arquivo que
vai assinar. O Assinador reconhece o seu certificado digital - no token,
no smartcard, na nuvem, aonde ele estiver armazenado - e pronto(!):
assina o documento!

E importantíssimo! O valor do certificado digital, você paga uma

vez só, lá quando a Autoridade de Registro emite o seu certificado, que
é válido por 3 ou até 5 anos - dependendo do tipo.
Depois disso, durante todo o período de validade do certificado,
você pode usar quantas vezes precisar, pra assinar quantos arquivos
digitais você quiser, sem nenhum custo extra!

É isso aí, gente!

Foi um prazer poder falar desse recurso que eu gosto tanto!

Espero que tenham gostado e que usem a Assinatura Digital,

cada vez mais, no dia a dia de vocês!