*****

M1- INTRODUÇÃO
*****
*****
*****
000. *****
000.
000-
00
APOSTILA

000.
000.
000-
00

ASSINATURA digital
 M1- INTRODUÇÃO

1. Características da assinatura digital

2. Geração e validação da assinatura digital
3. Autoridades certificadoras e Autoridades de registro
4. Assinatura de diferentes tipos de arquivo

1 Características da assinatura digital

Desde a invenção da escrita o suporte para receber nossas ideias

materializadas sofreu várias mudanças até chegar à era da informática na qual não
há mais necessidade de superfícies físicas para escrevermos o que quer se seja.
Nossas assinaturas precisavam acompanhar a evolução dos processos de
documentação e isso se tornou possível graças ao que chamamos de assinatura
digital.
A assinatura digital permite que qualquer pessoa com certificado digital,
presente em um dispositivo físico, assine qualquer documento ou arquivo que
esteja em formato eletrônico.
O certificado digital é o meio pelo qual as plataformas eletrônicas podem
nos identificar a fim de liberar acesso a sistemas que só podem ser visualizados por
pessoas credenciadas.
A desmaterialização dos processos não para. Assim, também o token que
hospeda o certificado digital deve, aos poucos, dar lugar a soluções como o NEOiD
que permitem às pessoas se identificarem sem a necessidade de um dispositivo
físico.
A assinatura digital terá, cada vez mais, um papel importante no dia-a-dia
das pessoas e, por isso, é necessário entender melhor como utilizá-la nas mais
variadas situações.
A assinatura é uma marca, um nome ou parte de um nome que, em um
texto ou uma ilustração, registra a concordância com aquele conteúdo ou identifica
a sua autoria.
Também pode-se dizer que a assinatura é a representação da confiança de
quem assina, afim de validar o conteúdo de um documento.
Já o reconhecimento de firma em cartório é um incremento de segurança,
pois confirma que a assinatura em um documento confere com a assinatura de
uma pessoa previamente feita e cadastrada na presença de um notário.
 A crescente digitalização de serviços e processos vem impactando diversas
práticas, até pouco tempo bastante comuns. A facilidade de enviar, receber e
armazenar documentos e transações em meio digital, diminuiu drasticamente a
quantidade de arquivos físicos visto que, no dia a dia, não é mais necessário imprimir
documentos de identificação, cópias de contratos ou, até mesmo fotografias. É
claro que as assinaturas, imprescindíveis nesses documentos, precisaram também
migrar para o meio eletrônico.
É possível que você veja referências à assinatura eletrônica e à assinatura
digital como se fossem a mesma coisa, porem elas apresentam importantes
diferenças:
Assinatura eletrônica - termo genérico que
se refere à identificação de uma pessoa no meio
digital. Isso engloba desde senhas para transações
bancárias, até a simples digitação de um nome ao
final de um e-mail, incluindo pelo escaneamento
da assinatura de próprio punho. Mas nenhuma
dessas assinaturas têm valor jurídico inequívoco,
sendo necessário laudo pericial para comprovar a
origem da transação e o seu remetente.

Assinatura digital - tipo específico de

assinatura eletrônica, gerada por processo de
criptografia, utilizando um certificado digital, o
qual garante a integridade do conteúdo assinado
e a autenticidade do signatário. Possui valor
jurídico quando estiver nos padrões legais, sem a
necessidade de sistemas específicos.

Mais do que a sua equivalente de próprio punho e as demais assinaturas

eletrônicas, a assinatura digital proporciona:

Integridade autencidade
Porque qualquer Por meio do certificado
alteração feita no digital, com cadeias de
conteúdo digital confiança e algoritmos
assinado torna a criptográficos que
assinatura inválida. garantem a autoria da
assinatura.
 não repúdio
Validade jurídica
porque os padrões
implementados e a forma Já que a legislação

fidelidade; veridicidade.
veracidade - Exatidão;
como o certificado digital é brasileira confere
emitido, não permitem que o presunção de
emissor negue a autoria de uma veracidade aos
mensagem ou a execução de conteúdos assinados
uma transação. digitalmente.

É preciso destacar que, aqui, a veracidade diz respeito à exatidão de

um documento, que representa fiel e exatamente as informações ou a
transação nele registrada, sem que esses dados tenham sofrido alteração
de qualquer natureza. Entretanto, o conteúdo desse documento não
precisa, necessariamente, descrever um fato verídico.

Diferente da assinatura eletrônica, a

assinatura digital só pode ser gerada por meio de
um certificado digital. Este certificado, também
chamado de identidade digital, é uma espécie
de “passe” que identifica as pessoas no mundo
digital e dá acesso aos sistemas eletrônicos. Além
disso, ele armazena dois arquivos importantes,
denominados chaves criptográficas – a chave
privada e a chave pública –, que permitem a
geração e a validação da assinatura digital.

É importante ressaltar que, assim como se usa a caneta para gerar traços
ou letras que formam uma assinatura no papel, o certificado digital possibilita a
geração da assinatura digital em sistemas e arquivos eletrônicos.
Por se tratar de um documento de identificação, o processo de emissão de
um certificado digital é bastante parecido com o de carteira de identidade, título
de eleitor ou carteira de motorista. A pessoa interessada nessa identificação precisa
apresentar uma documentação pessoal e ter os dados biométricos coletados em
um órgão ou instituição especificamente autorizada para esse procedimento.
Atualmente, em decorrência das restrições impostas pela pandemia
ocorrida em 2020, todo o processo de comprovação de identidade e coleta de
dados biométricos é feito de forma on-line por meio de videoconferência, mas
com a mesma segurança e confiabilidade.
 Conheça as principais referências legais
da assinatura digital no Brasil:

• Decreto nº 3.505, de 13/06/2000

Política de Segurança da Informação nos órgãos e entidades da
Administração Pública Federal.
• Decreto nº 3.872, de 18/07/2001
Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira –
CGICP-Brasil.
• Medida Provisória nº 2.200-2, de 24/08/2001
Infraestrutura de Chaves Públicas Brasileiras ICP-Brasil.
• Decreto nº 3.996, de 31/10/2001
Prestação de serviços de certificação digital no âmbito da
Administração Pública Federal.
• Decreto nº 4.414, de 07/10/2002
Alterações na prestação de serviços de certificação digital no
âmbito da Administração Pública Federal.
• Lei nº 11.419, de 19/12/2006
Informatização do processo judicial.
• Lei nº 10.543, de 13/11/2020
Mínimo exigido para a assinatura eletrônica em interações com
entes públicos.

2 GERAÇÃO E VALIDAÇÃO DA ASSINATURA DIGITAL

Um documento assinado digitalmente permite verificar se o seu conteúdo

sofreu ou não alterações, garantindo que ele representa exatamente os dados
originais no momento da assinatura, além de atestar a identidade do signatário.
A imagem a seguir ilustra o processo técnico de geração e validação da
assinatura digital.
 2.1 O processo técnico

• o assinante (aquele que está realizando a assinatura) submete o

documento a uma função de cálculo de hash.
• o resultado do cálculo de hash é um resumo criptográfico.
• a chave privada armazenada no certificado do assinante cifra o
resumo criptográfico.
• o resultado é o arquivo com a assinatura digital.
• o arquivo pode ser encaminhado via e-mail, pen drive ou anexado em
algum sistema ou arquivo digital - pdf ou xml.
• o destinatário usa a chave pública do assinante e decifra o arquivo de
assinatura.
• o resultado é o resumo criptográfico anteriormente cifrado pelo
assinante.
• em paralelo, submete o documento original à função de resumo
criptográfico (usada na geração da assinatura) para comparar o hash atual com o
anterior .
• se os valores forem iguais, a assinatura é válida.
• se os valores forem diferentes, a assinatura é invalidada.

Hash - A função Hash (resumo, em inglês) é um algoritmo que mapeia

dados grandes e de tamanho variável, transformando-os em dados
pequenos de tamanho fixo. Então, as funções Hash são conhecidas por
resumirem o dado. A principal aplicação dessas funções é a comparação
de dados grandes ou secretos, por isso, são utilizadas para buscar
elementos em bases de dados, verificar a integridade de arquivos baixados
ou armazenar e transmitir senhas de usuários.
fonte: https://www.techtudo.com.br/artigos/noticia/2012/07/o-
que-e-hash.html , em 01/02/2021.
 2.2 O processo na prática

Todos os processos de segurança citados anteriormente sequer são notados

pelos usuários da assinatura digital. Na prática, o que acontece é:

3 autoridades certificadoras

A assinatura digital é gerada por um certificado digital que contém, pelo

menos, a identificação do proprietário do certificado, as suas chaves privada e
pública e os resumos criptográficos daquele certificado, gerados por autoridades
certificadoras.
No caso do Brasil, essas autoridades certificadoras estão organizadas em
uma hierarquia do tipo árvore, partindo de uma raiz principal que vai assinando
os certificados das outras autoridades até chegar no certificado do usuário final.
Com o objetivo de evitar fraudes, em qualquer dessas autoridades, o processo de
emissão de certificados digitais exige a validação presencial ou por videoconferência
do solicitante do certificado, por meio da apresentação da documentação oficial
pessoal.
 ITI - AUTORIDADE CERTIFICADORA RAIZ

A Autoridade Certificadora Raiz (AC-Raiz) é a primeira da cadeia de

certificação, podendo emitir, expedir, distribuir, revogar e gerenciar os certificados
das autoridades certificadoras de nível hierárquico imediatamente abaixo do seu.
O Instituto de Tecnologia da Informação (ITI) exerce o papel de AC-Raiz,
sendo responsável por:
• execução das Políticas de Certificados e das normas técnicas e
operacionais aprovadas pelo Comitê Gestor da ICP-Brasil;
• credenciamento e descredenciamento dos demais participantes abaixo
na cadeia;
• supervisão e auditoria dos processos relacionados à certificação digital.

INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA - ICP-Brasil

O ITI define a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil como

“uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais
para identificação virtual do cidadão”.
A ICP-Brasil é composta por Autoridades Certificadoras e Autoridades de
Registro que têm o objetivo de prover meios digitais para a identificação de agentes,
a assinatura digital, a confidencialidade e a autenticação de documentos digitais.
De forma simplificada, é por meio desta infraestrutura que um par de chaves
– aquelas usadas para criar e validar uma assinatura – fica “ligado” a um determinado
usuário, garantindo a sua identidade.
 AC – AUTORIDADE CERTIFICADORA DE NÍVEL INTERMEDIÁRIO

A Autoridade Certificadora de nível intermediário (AC) é uma entidade

pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emissão,
distribuição, renovação, revogação e gerenciamento de certificados digitais dos
níveis imediatamente abaixo.
AC - 1º Nível: emitem certificados para pessoas físicas, jurídicas e dispositivos
digitais, bem como para outras autoridades certificadoras imediatamente abaixo.
AC - 2º Nível: também chamadas de Autoridades Certificadoras Finais (AC
Finais), podem emitir apenas os certificados de usuários finais, que são pessoas
físicas, jurídicas ou equipamentos.

AR – AUTORIDADE DE REGISTRO

É uma entidade pública ou privada que faz a interface entre o usuário final e
a Autoridade Certificadora, à qual sempre está vinculada. A Autoridade de Registro
recebe, valida e encaminha as solicitações de emissão ou revogação de certificados
digitais para a Autoridade Certificadora. Na prática, são as pessoas com as quais o
usuário vai interagir quando apresentar seus dados pessoais e fizer a identificação
presencial ou por videoconferência.

4 Assinaturas em diferentes tipos de arquivos

 O hábito de ser comparada à assinatura de próprio punho acaba limitando a
assinatura digital. Isso porque fisicamente não é possível assinar uma música, mas
apenas a sua partitura. Uma gravação em vídeo, um filme ou uma foto também
perdem o encanto quando trazem uma assinatura estampada, e prova disso é o
número reduzido de pessoas que mantém a “marca d’água” nas fotos capturadas
por um celular.
Entretanto, a assinatura digital permite o encaminhamento de vários tipos de
arquivos, devidamente identificados pelos seus autores.
Desde que não exceda o limite de 5 gigabytes, pode-se usar o Assinador
Serpro para assinar digitalmente qualquer arquivo digital, tais como:
documentos de texto, planilhas e apresentações;
arquivos de áudio, sons incidentais, músicas e gravações de voz;
imagens, fotos, desenhos e prints de tela;
vídeos e animações;
códigos de sistemas;
plantas e projetos.