1

UNIVERSIDADE ESTADUAL DE GOIÁS

UNIDADE UNIVERSITÁRIA DE SILVÂNIA
CURSO LICENCIATURA EM INFORMÁTICA

CERTIFICADO DIGITAL

SAULO GOMES LIMA

PROFESSOR ORIENTADOR: ROSÂNIA LOPES SOUSA AGUIAR

SILVÂNIA, GO
2013
 2

SAULO GOMES LIMA

CERTIFICADO DIGITAL.

Trabalho de Conclusão de Curso apresentado

a Universidade Estadual de Goiás – Unidade
Universitária de Silvânia, no Curso de
Licenciatura em Informática, como requisito
avaliativo parcial para conclusão de curso, sob
orientação da Professora Rosânia Lopes de
Sousa Aguiar.

SILVÂNIA – GO
novembro / 2013
 3

FORMULÁRIO PARA A CERTIFICAÇÃO DE AUTENTICIDADE DE AUTORIA

DO TRABALHO DE CONCLUSÃO DE CURSO

IDENTIFICAÇÃO

ACADÊMICO: Saulo Gomes Lima

MATRÍCULA: 02010000828

FONE: (62) 9962-9402

E-MAIL: saulolima43@gmail.com / pvbulhoes@hotmail.com

ORIENTADORA: Rosânia Lopes Sousa Aguiar

TÍTULO DO TRABALHO: Certificado Digital.

TERMO DE AUTENCIDADE DE AUTORIA DO TRABALHO

Declaro de acordo com as normas de elaboração do Trabalho de

Conclusão de Curso (TCC) do Curso de Licenciatura em Informática, autor do
trabalho monográfico, estando ciente das responsabilidades decorrentes de
falsas informações ou cópias de trabalhos já existentes.

Silvânia, 18 de novembro de 2.013.

Assinatura do acadêmico (a):

________________________________________________
 4

SAULO GOMES LIMA

CERTIFICADO DIGITAL.

Este trabalho apresentado para a conclusão de curso, TCC, foi julgado e

aprovado como requisito obrigatório para realização do Trabalho de Conclusão
de Curso – TCC, no Curso de Licenciatura em Informática da Universidade
Estadual de Goiás – UEG da Unidade Universitária de Silvânia, Goiás.

Silvânia - Go, 14 de novembro de 2013.

Banca Examinadora

_____________________________________________________

Profª Rosânia Lopes Sousa Aguiar

_____________________________________________________

Prof. Fabio Barbosa Rodrigues

_____________________________________________________

Prof. Eugenio Julio

 5

Aos amigos que juntos vencemos estes

obstáculos para chegarmos ate aqui, meus
familiares que sempre me incentivam e me
deram força para não desistir, aos professores
por terem compartilhados seus conhecimentos
e experiência e todos aqueles que cruzaram
em minha vida, participando de alguma forma
na construção e realização deste tão desejado
sonho de minha formatura.
 6

Agradeço Deus primeiramente, por ter me

abençoado e sempre nos guardando durante
nossas viagens e me mostrado claramente os
caminhos e me ajudado em todos os aspectos
da minha vida, mesmo em momentos difíceis,
Ele sempre esteve me abençoando e
guardando.
A toda minha família, minha esposa Diana dos
Santos Lima, meus Filhos Daniel e Danilo, ao
meu pai, Osvaldo Gomes Lima a minha mãe,
Diná Cardoso da Silva Lima, e aos meus
irmãos, Paulo Gomes Lima e Anna Paula Lima
Maioni, pois eles são o motivo e a minha
segurança para chegar ate aqui.
A todos os professores, que sabemos qual foi
a luta de cada um e a sua entrega para que
pudéssemos chegar ate aqui, e em especial a
minha orientadora Rosânia Lopes Sousa
Aguiar.
 7

Guardai-os e observai-os, porque isso é a

vossa sabedoria e o vosso entendimento à
vista dos povos, que ouvirão todos estes,
estatutos, e dirão: Esta grande nação é
deveras povo sábio e entendido.
(Deuteronômio 4:6)
 8

RESUMO

No presente trabalho, vamos ver um pouco sobre o certificado digital, e

sua estrutura a qual nos apresenta uma certa garantia de segurança, já que
estamos sendo atacados a todo instante e para que nossos dados pessoais ou
bancários não sejam roubados e expostos na rede mundial de computadores,
então assim veremos se podemos confiar neste tipo de sistema, e se ele nos
garante mesmo uma segurança, a qual nos garante que nossos dados não
sejam roubados ou danificados, para nos assegurar que nossos dados estarão
seguros seja ao enviar ou ao receber. Vamos também ver como funciona o
certificado digital, e em cima de qual plataforma ele foi criado, se pode ser
confiável. Nele também vamos ver como ele pode ser emitido, quais pessoas
podem ter aceso a um certificado digital, como podemos trabalhar com ele, e
também veremos como ele poder ser gravado seja em CDs, smart cards ou
token.
 9

ABISTRACT

In this present work let´s go to see a little about the digital certificate
and your structure that show us a certain guarantee of security since we are
being attacked all the time and so that our personal data or banking doesn`t
are stolen and showed in the world line of computers.
Then we will see if we can to have faith in the kind of systems and if it
guarantee us same a security that our data don`t are stolen or broken. Be
sending or be receiving it.
We will see how does work the digital certificate, and on top of which
one platform it was created. And if it can be reliable.
In this work, we are going still how the digital certificated can be emitted
what people can to have access a digital certificated, how we can to work with
it, and too we see how it can be recorded in CDs, Smart cards or Token.
 10

LISTA DE ILUSTRAÇÕES

Figura 01: exemplo de um algoritmo criptográfico (chave secreta).......................

19
Figura 02: exemplo de um documento criptografado............................................
20
Figura 03: exemplo de como um documento é enviado por meio de um
sistema criptográfico..............................................................................................
21
Figura 04: Geração de Assinatura Digital de um documento...............................
23
Figura 05: modelo de token numérico.................................................................
25
Figura 06: smart card............................................................................................
27
Figura 07: Chave única ou chave secreta..........................................................30
Figura 08: Criptografia de chaves pública e privada.............................................
32
Figura 09: Ciclo de Vida da Cidadania Digital......................................................
47
Figura 10: tipos de certificados............................................................................
52
 11

LISTA DE ABREVIATURAS

AC - Autoridade Certificadora
AR - Autoridade de Registro
e-CNPJ - Cadastro Nacional de Pessoa Jurídica eletrônico
e-CPF - Cadastro de Pessoa Física eletrônico
ICP - Infra-estrutura de Chaves Públicas
ICP-Brasil Infra-estrutura de Chaves Públicas do Brasil
PIN - Personal Identification Number (Número de Identificação Pessoal)
PUK - Personal Unblocking Key (Chave Pessoal de Desbloqueio)
SSL - Secure Sockets Layer
STF - Supremo Tribunal Federal
TCP-IP - Transmission Control Protocol – Internet Protocol (Protocolo de
Controle de Transmissão-Protocolo de Internet)
USB - Universal Serial Bus (Porta Serial Universal)
VPN - Virtual Private Net (Redes Privadas Virtuais)
WEP - Wired Equivalent Privacy
WPA WI-FI - Protected Access (Acesso Protegido Wi-Fi)
 12

SUMÁRIO

13
INTRODUÇÃO........................................................................................................

14
1. CERTIFICADO DIGITAL............................................................................................

14
1.1 Certificado Digital............................................................................................
16
1.2 Certificado Digital e a Criptografia.................................................................
22
1.3 Certificado Digital e sua estrutura..................................................................
25
1.4 Os Tokens..........................................................................................................
26
1.5 O Smart card...................................................................................................

28
2. CHAVES.................................................................................................................

28
2.1 Chaves............................................................................................................
29
2.2 Chave única ou chave secreta......................................................................
31
2.3 Chaves pública e privada...............................................................................
33
2.4 Formatos dos arquivos assinados..................................................................
33
2.5 Autoridade Certificadora................................................................................
38
2.6 Autoridade de Registro.................................................................................
39
2.7 Emissão de Certificados Digitais..................................................................
42
2.8 Registro de Certificados................................................................................
42
2.9 Renovação e Revogação de Certificados Digitais.......................................

44
3. COMO FUNCIONA A ASSINATURA DIGITAL.......................................................

44
3.1 Assinatura Digital.............................................................................................
48
3.2 Vantagens no Uso do Certificado Digital......................................................
49
3.3 PC e DPC ......................................................................................................
50
3.4 Políticas de certificação digital.......................................................................
51
3.5 Tipos de Certificados.....................................................................................
53
3.6 Autoridade Certificadora................................................................................
54
3.7 Autoridade de Registro..................................................................................

55
CONCLUSÃO.........................................................................................................
56
REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................
 13

INTRODUÇÃO

É evidente que com o crescimento da informação virtual, tivemos

também o crescimento de problemas com nossos dados expostos na internet.
E isso tudo foi com uma finalidade de poder criar ou de ajudar a buscar novos
caminhos, para que possamos ter agilidade. E assim, com a era digital e com
as transformações da tecnológica, e com a expansão dos meios de
comunicação e da internet, vem nos trazendo vários benefícios para todos nos,
mas não podemos esquecer que juntamente com estes vários benefícios vem
também inúmeros problemas, originados pelos usuários de internet os quais
para tirar proveito ou ate mesmo para prejudicar a rede. E com isto a precisão
de adaptação na era digital e aos métodos e validações próprias ao mundo
virtual.
Neste trabalho vamos ver o quanta segurança temos ao adquirir um
certificado digital, nele vamos ver os métodos mais seguros para que
possamos enviar e receber dados e informações, e nos seus métodos os quais
vem para nos dar certo conforto na matéria de segurança.
Devido ao caus. e a tantos problemas, vejamos que as empresas estão
sempre buscando novos recursos para reduzirem seus riscos, dados e ate
mesmo prejuízos, e assim terem pelo menos o mínimo de tranquilidade e
segurança com eu sistema e com seus dados.
E assim para garantir uma segurança de sua informação e que o
sistema vir a ser confiável, e para isso precisamos que existam um certo nível
de segurança diferenciados através do uso das ferramentas e limites de
definições para limites, para que esta informação possa ter um mínimo de
segurança e também possa ser confiável, e que ela não venha a sofrer danos
durante sua transmissão.
Sendo assim, isso significa que devemos proteger informações contra o
acesso de intrusos ou de alguém não autorizado e consiste também em nos
proteger e garantir a nossa segurança da informação.
 14

1.0 Certificado Digital

1.1 Certificado Digital

O Certificado Digital é a tecnologia que busca novos mecanismos para

nos garantir certa segurança, através de algoritmos matemáticos os quais as
embaralhados, para assim serem impossíveis de serem traduzidos, capazes de
nos garantir autenticidade, confidencialidade, e também integridade às
informações eletrônicas.
Assim o Certificado Digital é um arquivo eletrônico que é armazenado
em uma mídia digital, seja ela um CD ou um Token, que contém os ali os
dados do seu titular, seja pessoa física ou jurídica, o qual é utilizado para
relacionar tal pessoa a sua chave eletrônica ou chave criptográfica e esta
atesta a sua identidade, e assim garantindo a sua confidencialidade,
autenticidade nas suas transações comerciais ou financeiras, e mantendo
assim a sua informações com integridade, sigilo e segurança.
O certificado digital tem os mesmos princípios de autenticação e
manutenção da integridade de uma determinada mensagem ou documento,
mas alarga o conceito de assinatura digital, envolvendo uma entidade
certificadora que garante perante terceiros a identificação de um indivíduo ou
empresa. Essa Autoridade Certificadora emite os certificados digitais que
contêm uma assinatura digital e ainda a chave pública para se poder decifrar
os documentos, o que torna o certificado digital seguro, capaz de realizar varias
operações cotidianas, tais como a que serão descritas por Train (2007).

Para que você entenda melhor, identidade Digital, ou melhor,

certificado Digital é um documento eletrônico seguro, que permite ao
seu portador executar, de maneira muito rápida e sigilosa, operações
corriqueiras do dia-a-dia como: assinatura de documentos,
movimentação de conta bancária, compromissos públicos e
declaração de imposto de renda. [...] O processo para obtenção da
sua identidade digital é muito parecido com os utilizados para a
aquisição de outros documentos importantes de identificação pessoal,
como passaporte e RG. Portanto, apesar deste documento envolver
 15

tecnologia sofisticadíssima, você verá que é muito fácil ter o seu

documento digital (TRAIN, 2007, pp. 11-36 ).

O certificado digital é um documento eletrônico autenticado com

assinatura digital que certifica a titularidade de uma chave pública e a sua
validade. Esse documento é emitido por uma entidade certificadora. O
certificado digital associa a identidade de um indivíduo ou organização a uma
chave pública assegurando a sua legalidade e cofiabilidade. Cada Certificado
garante ao seu utilizador um par de chaves e através da utilização de uma ou
de outra, consegue garantir a autenticidade, integridade, aceitação e
confidencialidade das mensagens. Segundo TRAIN, (2007, p. 15) Não é por
acaso, que todos os bancos são as principais instituições que mais estão
atentos com seus dados ou a esse tipo de problema. Com isso a identidade
digital, é que pode ajudar a diminuir os vários tipos de riscos do uso indevido
dos clientes e de seus dados pessoais, possivelmente em pouco tempo deve
ser adotada por todos em larga escala pelas por todas instituições financeiras
brasileiras.
Um certificado digital é um conjunto de dados, que atesta a associação
de uma chave pública a um determinado usuário, assim como uma carteira de
identidade, que associa uma foto e um nome a um número. Uma carteira de
identidade é feita de tal maneira que é possível verificar sua validade e se foi
adulterada. Da mesma forma o certificado digital também é produzido de
maneira que é possível verificar se a chave pública foi substituída ou se algum
dado foi adulterado. Os mecanismos utilizados pelo certificado digital para
atestar sua segurança, garante a sua validade jurídica conforme validado pela
MP 2.200-02 de 24 de Agosto de 2001. Conforme definição de Train (2007),

O Certificado Digital é usado para relacionar um nome, tanto de uma

1
pessoa como de uma empresa, a uma “chave criptográfica ” que,

1
chave criptográfica: Uma chave criptográfica é um valor secreto que modifica um
algoritmo de encriptação. A fechadura da porta da frente da sua casa tem uma série de pinos.
Cada um desses pinos possui múltiplas posições possíveis. Quando alguém põe a chave na
fechadura, cada um dos pinos é movido para uma posição específica. Se as posições ditadas
pela chave são as que a fechadura precisa para ser aberta, ela abre, caso contrário, não.
http://pt.wikipedia.org/wiki/Criptografia#Chave_Criptogr.C3.A1fica
 16

nada mais é do que um sofisticado mecanismo de assinatura digital

que envolve tecnologia e cálculos matemáticos para criptografia. Para
definir as regras e administrar todo esse contingente de “chaves
públicas” o governo federal criou a medida provisória MP 2.200/02,
para organizar o que se denominou “Infra-Estrutura de Chaves
Públicas do Brasil”, ou ICP-Brasil. (p.28)

Como podemos também ver que o certificado digital é como uma

carteira de identidade, o qual não é repetido, ele é como o nosso CPF, único,
não tem outro com os mesmos dados, para assim podermos ter uma certa
confiabilidade e segurança nos arquivos compartilhados seja o que vamos
enviar ou receber através dele, e Tal conceituação também é realizada por
Certisign (2007), no qual afirma que:

O Certificado Digital funciona como uma carteira de identidade virtual.

Um documento eletrônico que contém dados do titular como nome, e-
mail, CPF, dois números denominados chave pública e privada, além
do nome e da assinatura da AC (Autoridade Certificadora) que o
emitiu. A chave privada é que garante o sigilo dos dados do titular
que assina a mensagem. A pública permite que ele compartilhe com
outras pessoas a informação protegida por criptografia. (s.p.)

O certificado digital é, portanto, um documento eletrônico, semelhante a

uma carteira de identidade ou um passaporte, que identifica pessoas físicas ou
jurídicas, englobando a chave pública e informações relevantes sobre o seu
titular, o que garante sua autenticidade.

1.2 Certificado Digital e a Criptografia

Com uma grande presença das tecnologias e seus avanços, sejam ele
positivos ou negativos, e com isto, os nossos computadores estão vulneráveis2,
devido ao grande ataque que temos sofrido a todo instante, de programas

2
Vulneráveis: Vulnerável é algo ou alguém que está suscetível a ser ferido, ofendido ou
tocado. Vulnerável significa uma pessoa frágil e incapaz de algum ato.
http://www.significados.com.br/vulneravel/
 17

maliciosos e vírus. E devido a isto, os bancos, empresas, entidades publica e

pessoas físicas, veem buscando uma certa certeza de segurança para que
possam fazer negócios ou expor seus dados, sem que sejam roubados ou
danificados. E por isso vamos estudar e ver um pouco sobre os certificados
digitais, sua importância, seus benefícios e todos seus recursos.

Para PEREIRA, Samaris Ramiro(2008, pag,. 86), entende que

“Os ambientes de infraestrutura de chaves publicas precisam estar

sob critérios de segurança rigorosos, desde a AC ate o usuário do
certificado digital. Nesta visão, uma infraestrutura de chave publica é
uma combinação de tecnologia e processos que vinculam a
identidade do titular da chave privada sua respectiva chave publica,
utilizando a tecnologia assimétrica de criptografia.”

Precisamos entender a grande necessidade de uma segurança de

nossas informações, precisamos buscar confiança, integridade e tranquilidade
disponíveis na rede de computadores, e não a incerteza ou duvida da
segurança dos nossos dados ou ate mesmo dos que compartilhamos na
internet. Há somente benefícios quando temos segurança e com isto estamos
menos expostos aos erros, sabotagens, roubo de nossas informações, entre
vários outros problemas, seja nossos ou das empresas as quais trabalhamos,
os quais podem nos causar danos gravíssimos e perdas irrecuperáveis.

TRAIN, Sheila (2007, pág. 13),

“O meio eletrônico passa a ser um novo lugar para o exercício de

atividades criminosas, e suas ameaças não são tão diferentes assim
do mundo físico. A metodologia, essa sim, é bem diferente. É
sofisticada. Ao invés de instrumentos para roubar documentos e talão
de cheque, o criminoso do mundo eletrônico, pode manipular
conexões digitais para acessar banco de dados e informações
pessoais sigilosas.”

Segundo ela, dados pessoais que são compartilhados estão mais

vulneráveis e muito mais expostos, e assim corremos muitos mais ricos de ter
 18

nossos dados roubados muito mais fácil na rede mundial de computadores ou

seja na internet, do que no mundo físico.

“Em um lugar onde existe estatística, para quase tudo, como nos
Estados Unidos, o número de pessoas que tiveram seus dados
pessoais “roubados” na web, inclusive dados bancários, somaram
mais de 11% em 2004, de acordo com dados do Better Businness
Burbau e Savelin Strategg e Ressearch. Embora a proporção de
fraudes seja muito maior e muito mais fácil no “mundo de tijolos e
concreto” esse é um incide que já não passa despercebido.”

Como vimos, não podemos facilitar com nossos dados pessoais ou

bancários, vendo que estudos feitos em 2004 já nos trazem dados alarmantes.
Agora um dos cuidados os quais também que não podemos deixar de
relatar, é o papel da informação, seu desempenho e sua eficácia. Mas como
podemos garantir que esta informação não foi danificada ou corrompida, ate
chegar ao seu destino.

Segundo Rezende e Abreu, (2000), podemos ver que:

“A informação desempenha papéis importantes tanto na definição

quanto na execução de uma estratégia. A informação auxilia os
executivos a identificar tanto as ameaças quanto as oportunidades
para a empresa e cria o cenário para uma resposta competitiva mais
eficaz. A informação funciona também como um recurso essencial
para a definição de estratégias alternativas. A informação é essencial
para a criação de uma organização flexível na qual existe um
constante aprendizado.”

Para que possamos ter um melhor entendimento, é importante sabermos

alguns conceitos de segurança em criptografia. Vejamos a figura abaixo:
 19

Figura 01: exemplo de um algoritmo criptográfico (chave secreta). Fonte:

(http://leanndroluiz.blogspot.com.br/2010/08/criptografia.html)

A criptografia é um tipo de escrita secreta a qual podem ser por meio de

sinais ou por meio de abreviaturas em razão de preservar a informação. Essa
chave consiste em um valor gerado por números e letras embaralhados e
assim formando o processo de criptografia. E pelo seu uso, serão codificadas e
depois descodificadas as mensagens criptografadas, por meio de chaves.

O significado da palavra criptografia Segundo ROMAGNOLO, Cesar

Augusto.

“O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e

"gráphein", que significam "oculto" e "escrever", respectivamente.
Trata-se de um conjunto de regras que visa codificar a informação de
forma que só o emissor e o receptor consiga decifrá-la. Para isso
varias técnicas são usadas, e ao passar do tempo modificada,
aperfeiçoada e o surgimento de novas outras de maneira que fiquem
mais seguras. Na computação, a técnica usada são a de chaves, as
chamadas “CHAVES CRIPTOGRAFICAS”, Trata-se de um conjunto
de bit’s baseado em um algoritmo capaz de codificar e de decodificar
informações. Se o receptor da mensagem usar uma chave diferente e
incompatível com a do emissor ela não conseguira ter a informação”.

Como podemos ver na figura abaixo, na figura criada por PIMENTEL,

Renan M. em seu artigo “autenticação e criptografia de senhas usando PHP”.
 20

Figura 02: exemplo de um documento criptografado. - Fonte:

(http://janelatecnologica.blogspot.com.br/2009/04/algoritmos-criptograficos-e.html)

A criptografia apareceu com os militares durante as guerras, com a

necessidade de enviar informações para comunicação entre os soldados sem
que estas informações fossem desvendadas por pessoas não autorizadas, a
com a obrigação de se enviar informações sigilosas. Segundo TANENBAUM,
(2003. p.771 ) “no decorrer da historia, há quatro grupos que utilizaram e
contribuíram imensamente para a criptografia: sendo eles: os militares, os
diplomatas, os amantes e também as pessoas que gostam de guardar
memórias. Vendo que, os militares tiveram um papel dos mais importante os
quais definiram as bases para uma utilização da tecnologia de criptografia. As
organizações militares, utilizavam as mensagens que foram criptografadas e
assim são entregues a seus auxiliares mal remunerados os quais se
encarregam de transmiti-las. O e assim o grande volume de mensagens que
impedia com que esse trabalho pudesse feito por alguns poucos especialistas
da área. Visto que uma das principais restrições que eram impostas á
criptografia era sua vasta habilidade do auxiliar de criptografia para fazer assim
transformações necessárias. Sendo que uma outra restrição era a grande
dificuldade de modificar os métodos criptográficos em passo acelerado, pois
isso exigia uma cópia do exercício de um grande número de pessoas. Porem, o
perigo de um tipo de auxiliar de criptografia era poder ser capturado pelo
 21

inimigo, ou seja, pelo invasor, e tornou imprescindível à probabilidade de

modificar-se o método criptográfico instantaneamente, se for necessário”.

Esse conjunto de operações as quais nos possibilita as variações do

texto legível em um texto cifrado é chamado de criptografia.

A cifragem e a decifragem são realizadas por programas de

computador chamados de cifradores e decifradores. Um programa
cifrador ou decifrador, além de receber a informação a ser cifrada ou
decifrada, recebe um número chave que é utilizado para definir como
o programa irá se comportar. Os cifradores e decifradores se
comportam de maneira diferente para cada valor da chave. Sem o
conhecimento da chave correta não é possível decifrar um dado texto
cifrado. Assim, para manter uma informação secreta, basta cifrar a
informação e manter em sigilo a chave (OFICIO-ELETRONICO, p.3).

Vejamos a figura abaixo:

Figura 03: exemplo de como um documento é enviado por meio de um sistema criptográfico.-
Fonte: http://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html

A palavra chave nos vem como uma tranca eletrônica ou um cofre

pelo fato que segredo se escolhe e ele funciona como qualquer chave
convencional. Entretanto, é normal que esse tempo utilizado para quebrar,
invadir ou alterar um sistema seja bastante longo. Porem agora com os
 22

avanços da tecnologia que aumentam a capacidade computacional diminuem o

seu tempo de invasão ou quebra de um código por outro lado o aumento no
tamanho da chave impede sua quebra.

Segundo TRAIN (2007. Pag.32), em sua definição.

“A “chave” nada mais é do que o parâmetro que determina as

condições da transformação do texto legível em texto codificado. É o
conhecimento prévio dos códigos utilizados entre o emissor e o
destinatário. Para o usuário do sistema é fundamental ter essa chave,
3
pois é ela que iniciará o processo de decodificação de um texto”.

1.3 O Certificado Digital e sua estrutura.

Determinados algoritmos criptográfico estão permitindo que eles sejam

utilizados para originar o que podemos denominar de assinaturas digitais. E
estes algoritmos trazem a característica normal de cifrarem com a chave-
pública e depois também podendo decifrar com a com a mesma precisão, mas
com nome de chave-privada, permitindo assim a recuperação da mensagem
enviada. É assim, uma assinatura digital é também um criptograma é o
resultado da cifração de um certo documento pela uso da chave-privada do
assinante a qual é em um algoritmo assimétrico. A sua assinatura é feita, e
assim, decifrando-se o criptograma, ou seja, assinatura com a chave-pública
apropriada e associada a qual fez o ciframento. Sabendo que se o resultado for
o apropriado, a assinatura é analisada e assim sendo válida, compreendendo
que poderia ter gerado aquele criptograma. Na figura explicamos este
procedimento.

3
Decodificação: Identificação e interpretação dos sinais linguísticos por um receptor,
sendo que na teoria da informação seria um processo em que o indivíduo que recebe uma
mensagem traduz os sinais, em dados significativos, claros e alucinatórios.
http://www.dicionarioinformal.com.br/decodificar/
 23

Figura 04: Geração de Assinatura Digital de um documento. – Fonte:

(http://www.smartsec.com.br/criptografia.html)

Com a evolução e o crescimento na utilização da internet, o certificados

digitais e os vários meios de transmissão de dados pela internet, com isto veio
também as várias formas de ataques e ameaças, e isto veem comprometendo
as informações transmitida, ocasionando aos usuários incerteza e insegurança
na emissão de seus dados pessoais e na emissão dos dados que abranjam a
aspecto de informações confidenciais. Em meio aos crimes feitos nas redes de
informáticas, ali encontrar-se dentre fraudadores e spammers4, vários crimes
na rede mundial de computadores como: pirataria virtual, roubo de informações
pessoais, danificação de dados. Conforme a causa dessas fraudes deve-se:

Grande parte dos problemas de segurança envolvendo e-mails estão

relacionados aos conteúdos das mensagens, que normalmente
abusam das técnicas de engenharia social (vide partes I: Conceitos
de Segurança e IV: Fraudes na Internet) ou de características de
determinados programas leitores de e-mails, que permitem abrir
arquivos ou executar programas anexados às mensagens
automaticamente. (CERT-BR, 2005, p.4)

Vemos que com o recebimento de varias mensagens as quais não

solicitamos, e uma vez que abertos esses arquivos em anexos, eles vem com

4
Spammers: Pessoa que envia spam.. (CERT-BR, 2005, p. 8).
 24

programas espiões e se instalam em nossos computadores, do tipo spyware5

ou trojan6 (cavalo de tróia), e assim permitindo ao agente criminoso que tenha
acesso a todas as nossas informações pessoais ou bancarias, e também a
todos os arquivos do computador e ao sistema fazendo com que o nosso host7
não responda mais ao nosso comando.

Mas agora com a evolução, e o crescimento da internet, precisamos

também de uma certa garantia de segurança como usuário, pois não podemos
esquecer que com essa evolução para o lado positivo, foi também para o lado
negativo. E vendo esta evolução, vem sendo criadas e estabelecidas leis e
serviços. Entre estas Leis esta:

O projeto, na versão aprovada pelo Plenário da Câmara (em

novembro de 2003), criava os seguintes tipos penais, cometidos
contra sistemas informáticos ou por meio deles: a) acesso indevido a
meio eletrônico (art. 154-A); b) manipulação indevida de informação
eletrônica (art. 154-B); c) pornografia infantil (art. 218-A); d) difusão
de vírus eletrônico (art. 163, par. 3o.); e e) falsificação de telefone
celular ou meio de acesso a sistema informático (art. 298-A) (3).
[...]por meio do acréscimo de um par. 2o. ao art. 2o. da Lei 9.296, de
24 de julho de 1996 (esta regula a interceptação das comunicações
telefônica, informática e telemática). (REINALDO FILHO, 2008).

Como podemos ver, o Senado Federal aprovou no ano de 2008 um

projeto de lei que vem para regulamentares penalidades e crimes que possam
ser feitos pela internet e também a obrigatoriedade dos Provedores
prestadores de Serviço de Internet que possam de tal modo conservar por
tempo de três anos os dados de acesso para a constatação dos delitos feitos
por algumas pessoas.

5
Spyware: software que tem o objetivo de monitorar atividades de um sistema e enviar as
informacões coletadas para terceiros (CERT.BR, 2005, p.8)
6
Trojan: É um programa que além de executar funções para as quais foi aparentemente
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário..
(CERT-BR, 2005, p.12 ).
7
Host: host ou hospedeiro, é qualquer máquina ou computador conectado a uma rede.
http://pt.wikipedia.org/wiki/Host
 25

No total, o projeto, relatado pelo senador Eduardo Azeredo (PSDB-

MG), cria 13 novos crimes. O projeto considera crime estelionato e
falsificação de dados eletrônicos ou documentos; criação ou
divulgação de arquivos com material pornográfico envolvendo crianças
e adolescentes; roubo de senhas de usuários do comércio eletrônico; e
divulgação de imagens privadas. Um dos pontos mais importantes
determina que os provedores terão de guardar por três anos os
registros de acesso para que se possa saber quem acessou a internet,
em que horário e a partir de qual endereço (FOLHA ONLINE , 2008).

1.4 Os Tokens.

Figura 05: modelo de token numérico. – fonte:

(http://pontaldesaojoao.blogspot.com.br/2011/06/quebra-de-segredo-de-tokens-nao-deve.html)

Segundo a “CertiSign 2006” o token é um hardware como qualquer um,

e adicionado ao seu host precisa de um driver especifico para que possa
funcionar adequadamente e também de um software que seja especifico para
gerenciá-lo. Lembrando ainda que você precisará também de duas instalações,
sendo elas: a do seu driver e também a do gerenciador criptográfico.

“O token é um hardware capaz de gerar e armazenar as chaves

criptográficas que irão compor os certificados digitais. Uma vez
geradas, essas chaves estarão totalmente protegidas, pois não será
possível exportá-las ou retirá-las do token (seu hardware
criptográfico), que também irá protegê-las de riscos como roubo ou
violação.” (CertiSign, pag. 03, 2006)
.
 26

Os tokens é de uma instalação simples e completa, e sua praticidade é

bem eficiente e segura, e quando falamos de sistemas criptográficos, logo
lembramos dos tokens, os quais vemos na citação acima é um dos sistemas
mais seguros da atualidade. Lembrando também a importância de seu
segurança que quase todos os bancos hoje trabalhão com este sistema para
garantir a segurança de seus clientes, e também de evitar que qualquer pessoa
não autorizada acesse o seu sistema causando assim prejuízos matérias e
morais.
Os clientes de qualquer órgão que tenha o token, já sabem que terá uma
certa confiança ao expor seus dados na rede mundial de computadores, ou
seja, seus dados estarão protegidos e não correrão riscos de serem violados, e
assim saberá que seus riscos de serem expostos e mínimo.
Hoje este instrumento é muito usado, por empresas, empresários,
órgãos públicos, advogados, contadores, entre outros, lembrando que hoje este
sistema é somente violado por descuido de seus usuários.
Vejamos abaixo uma foto de um token, muitos pessoas que não o
conhece pode ate confundi-lo com um pen drive, por serem muito parecido.

1.5 O Smart card

Smart card é um cartão, bem parecido com nossos cartões bancários,

que possui um chip, no qual esta nossas informações, e este chip possui um
microprocessador no qual tem uma memória embutidos, e ele podem ser
também usados com várias finalidades. O smart card usado como um token e
sua identidade funcional.: Vejamos um modelo, abaixo
 27

Figura 06 - smart card – fonte: (http://crystalequityresearch.blogspot.com.br/2012/12/three-plays-

in-growing-smart-card-market.html)

Com a integração dos smart cards assim sua Infraestrutura e sua

segurança de Chaves Públicas torna-se e confiável, e assim tornado possível o
envio e recebimento nossos dados de e-mails assinados e/ou
cifrados/criptografados e utilizando o chip do cartão smart cards para gerar e
armazenar o par de chaves.
 28

2.0 Chaves

2.1 Chaves

O termo chave vem do fato de que o número secreto que se

escolhe funciona como uma chave convencional. Da mesma maneira que se
instala uma fechadura e a mesma é trancada através de inserção da chave. A
maioria dos sistemas de computação são apenas computacionalmente seguro,
significando que com um poder de processamento especifico e espaço em
disco suficiente é possível quebrar o sistema. Porém, é comum que esse
tempo necessário para quebrar o sistema seja muito longo. Avanços
tecnológicos que aumentam o poder computacional diminuem o tempo de
quebra de um algoritmo enquanto o aumento do tamanho da chave dificulta
sua quebra. Train (2007), em sua definição afirma que:

A “chave” nada mais é do que o parâmetro que determina as

condições da transformação do texto legível em texto codificado. É o
conhecimento prévio dos códigos utilizados entre o emissor e o
destinatário. Para o usuário do sistema é fundamental ter essa
chave, pois é ela que iniciará o processo de decodificação de um
texto. (p. 32 )

Tamanho de chave é o conceito sobre o intervalo de chaves. Chaves

criptográficas são medidas em bits. Uma chave de 40 bits significa
aproximadamente um trilhão de valores e uma chave de 56 bits
aproximadamente 72 quatrilhões.

Se a chave for descoberta por invasores os dados podem ser

adulterados. Um método chamado de “ataque de força bruta” consiste em
tentar todas as possíveis chaves até que a correta seja identificada. Cada bit
que se adiciona ao tamanho da chave dobra o tempo requerido para um ataque
de força bruta. Se uma chave de 40 bits levasse três horas para ser quebrada,
uma chave de 41 bits levaria seis horas, uma chave de 42 bits, doze horas e
 29

assim por diante. Pois cada bit adicional dobra o número de chaves possíveis.
Segundo Cert-Br chave possui a seguinte definição:

A chave é uma seqüência de caracteres, que pode conter letras,

dígitos e símbolos (como uma senha), e que é convertida em um
número, utilizada pelos métodos de criptografia para codificar e
decodificar mensagens. Atualmente, os métodos criptográficos
podem ser subdivididos em duas grandes categorias, de acordo com
o tipo de chave utilizada: a criptografia de chave única, e a
criptografia de chave pública e privada ,( p. 10).

2.2 Chave única ou chave secreta

Criptografia de chave única (também chamada de criptografia de chave

simétrica) usa uma chave secreta para codificar uma mensagem em um texto
cifrado e a mesma chave para decodificar o texto cifrado em texto legível.

É fundamentada em operações (algoritmos) que dependem da

mesma chave, conhecida como “chave secreta”. A criptografia de
chave única utiliza a mesma chave tanto para codificar quanto para
decodificar mensagens. Somente a pessoa que enviará a mensagem
e a pessoa que a receberá deve conhecer a chave secreta. A
segurança na comunicação depende do segredo dessa informação
(TRAIN, 2007, p. 32).

Apesar de este método ser bastante eficiente em relação ao tempo de

processamento, ou seja, o tempo gasto para codificar e decodificar mensagens
tem como principal desvantagem a necessidade de utilização de um meio
seguro para que a chave possa ser compartilhada entre pessoas ou entidades
que desejem trocar informações criptografadas.

Atualmente, para se obter um bom nível de segurança na utilização

do método de criptografia de chave única, é aconselhável utilizar
chaves de no mínimo 128 bits. E para o método de criptografia de
 30

chaves pública e privada é aconselhável utilizar chaves de 2048 bits,

sendo o mínimo aceitável de 1024 bits. Dependendo dos fins para os
quais os métodos criptográficos serão utilizados, deve-se considerar
a utilização de chaves maiores: 256 ou 512 bits para chave única e
4096 ou 8192 bits para chaves pública e privada (CERT-BR, 2005,
p.12).

Apesar da demonstração de força da criptografia simétrica, com relação

à segurança de seus algoritmos e ao tamanho das chaves utilizadas, essa
abordagem ainda possui uma grande limitação relacionada à distribuição das
chaves. Quando existe a necessidade de compartilhamento de informações
com outras pessoas também é necessário o compartilhamento da chave, para
tanto devem ser discutidos mecanismos que possibilitem: o envio das chaves
de sessão de maneira segura para outras pessoas e formas de
compartilhamento de chaves de sessão por meio de linhas inseguras.

Utilização de criptografia de chave secreta envolve o compartilhamento

da chave secreta, pois a mesma chave utilizada para codificar a mensagem é
utilizada para decodificar, portanto o receptor da mensagem deve possuir a
chave secreta do emissor, este processo é descrito na figura.

Figura 07 - Chave única ou chave secreta – Fonte: (http://eltiger.wordpress.com/page/2/)

 31

2.3 Chaves pública e privada

A criptográfica de chave pública (também chamada de criptografia

assimétrica) envolve o uso de duas chaves distintas, uma pública e uma
privada. A chave privada é mantida em segredo nunca deve ser divulgada. Por
outro lado, a chave pública não é secreta e pode ser livremente distribuída e
compartilhada com qualquer pessoa. Como podemos ver na citação abaixo:

A criptografia de chaves pública e privada utiliza duas chaves

distintas, uma para codificar e outra para decodificar mensagens.
Neste método cada pessoa ou entidade mantém duas chaves: uma
pública, que pode ser divulgada livremente, e outra privada, que
deve ser mantida em segredo pelo seu dono. As mensagens
codificadas com a chave pública só podem ser decodificadas com a
chave privada correspondente. Seja o exemplo, onde José e Maria
querem se comunicar de maneira sigilosa. Então, eles terão que
realizar os seguintes procedimentos:

1. José codifica uma mensagem utilizando a chave pública de Maria,

que está disponível para o uso de qualquer pessoa;

2. Depois de criptografadas, José envia a mensagem para Maria,

através da Internet;

3. Maria recebe e decodifica a mensagem, utilizando sua chave

privada, que é apenas de seu conhecimento;

4. Se Maria quiser responder a mensagem, deverá realizar o mesmo

procedimento, mas utilizando a chave pública de José (CERT-BR,
2005, p. 11).

Como exemplificado a criptografia assimétrica, nesse caso quando se

quer inserir a característica de privacidade em uma troca de informações
sigilosa, o emissor deverá codificar a informação com a chave pública do
receptor, que é conhecida e de domínio público8. O texto cifrado somente
poderá ser decifrado pelo receptor previsto, uma vez que somente ele pode
possuir a chave privada complementar a chave pública que orientou a
8
Domínio público: Domínio público, no Direito da Propriedade Intelectual, é o conjunto
de obras culturais, de tecnologia ou de informação (livros, artigos, obras musicais, invenções e
outros) de livre uso comercial, porque não submetidas a direitos patrimoniais exclusivos de
alguma pessoa física ou jurídica, mas que podem ser objeto de direitos morais.
http://pt.wikipedia.org/wiki/Dom%C3%ADnio_p%C3%BAblico
 32

criptografia da informação emitida, este processo, criptográfica de chave

pública, onde a mensagem a ser enviada de maneira sigilosa é codificada com
uma chave pública disponível, e esta só pode ser decodificada com sua chave
privada correspondente, de conhecimento apenas do receptor da mensagem,
tal processo pode ser observado na figura:

Figura 08 Criptografia de chaves pública e privada. Fonte: (http://biblioo.info/certificacao-digital/)

Para Sheila Train, p. 32, podemos ver que a “Criptografia Assimétrica

trabalha com algoritmos que necessitam de pares de chaves, ou seja, duas
chaves diferentes para cifrar e decifrar uma informação. A mensagem
codificada com a chave 1 de um par somente poderá ser decodificada pela
chave 2 deste mesmo par.’’

A assinatura de uma mensagem utilizando a chave pública de alguma

pessoa significa que somente esta pessoa será capaz de ler a mensagem
criptografada. O uso da chave privada para criptografia de uma mensagem
significa que qualquer pessoa que tiver a chave pública pode deduzir a
mensagem original, neste caso o esquema de chaves públicas pode ser usado
 33

como um sistema de assinatura digital, pois apenas a pessoa que tem a chave
privada pode ter gerado aquele texto cifrado. Certificação digital, assinatura
digital e certificado digital verão mais detalhados no próximo capitulo.

Utilização da internet, como, a transmissão de informações confidências

entre empresas, transação bancaria, aumento de compras, no qual se utiliza
dados pessoais, cartão de crédito, senhas, fatores como confidencialidade das
informações, integridade dos dados e garantia da identidade das partes
envolvidas tornam se fatores fundamentais para que as pessoas ou empresas
possam realizar estas operações com segurança, para que as informações
transmitidas não caiam em mãos erradas, e possam ser utilizadas da pior
forma possível. Diante desta situação e da eminente ameaça de invasores e
ataque de crackeres9, surge à questão. Como é possível estabelecer conexões
seguras e autenticadas para que o usuário possa transmitir informações com
segurança?

A segurança é um assunto abrangente e inclui inúmeros tipos de

problemas. Em sua forma mais simples, a segurança se preocupa
em garantir que pessoas mal-intecionadas não leiam ou, pior ainda,
modifiquem secretamente mensagens enviadas a outros
destinatários. Outra preocupação da segurança são as pessoas que
tentam ter acesso a serviços remotos que elas não estão autorizadas
a usar (TANENBAUM, 2003, p.767 ).

Em conformidade com esse pensamento. (Cert-Br, 2005, p.3)“No entanto uma

transmissão, conexão ou sistema computacional é dito seguro se este atende a
três requisitos básicos: privacidade, confidencialidade e integridade’’

2.4 Formatos dos arquivos assinados

9
Crackeres: Invasores, pessoas que buscam quebrar a seguranca de um sistema de qualquer
forma .
 34

Certificado tipo A1 é aquele em que a assinatura digital e os dados do

usuário são armazenados em uma mídia móvel. Este é válido por um ano,
gravado na sua estação de trabalho. Os dispositivos mais comuns de
armazenamento são CD-Card, CD-ROM e disquete, gravável, com capacidade
de armazenamento de dados que varia entre 25 a 52 Megabytes.

É importante para evitar a perda de certificado digital tipo A1, fazer uma
cópia, exportando assim a chave privada e seus dados para um dos
dispositivos de armazenamento, para que assim o certificado digital possa ser
importado para qualquer outro computador com segurança.

Alguns cuidados devem ser tomados para que o usuário não perca o
Certificado Digital tipo A1. Dentre estes cuidados podem ser citados os
seguintes:

Ao solicitar um Certificado Digital tipo A1 serão geradas, após a

emissão do certificado, um par de chaves (chave pública e chave
privada – PIN 1 e PIN 2). Qualquer alteração no perfil do usuário
compromete a chave privada como, por exemplo, formatação da
máquina ou reinstalação do sistema operacional. Ao perder a chave
privada, um novo certificado deverá ser adquirido e todas as etapas
deverão ser refeitas pelo usuário. O seu Certificado Digital somente
poderá ser instalado no mesmo computador onde ele foi solicitado, ou
seja, no mesmo perfil de usuário e no mesmo navegador de Internet
onde foi realizada a solicitação. Não é possível instalar o Certificado
Digital em outro computador antes da emissão. Caso o computador
tenha sido formatado ou reinstalado no intervalo de tempo entre a
solicitação e a emissão, não será possível instalar o Certificado
Digital. É muito importante verificar, com seu administrador de rede,
se o seu perfil de usuário permite a instalação e o uso de seu
Certificado Digital tipo A1 (TRAIN, 2007, p. 50 ).

Certificado tipo A3 são hardwares portáteis que atuam como mídias

armazenadoras. Em seus chips podem ser armazenadas as chaves privadas
dos usuários. Estes são válidos por três anos se gravado em dispositivos como
 35

10
smart cards ou tokens11, o que o torna mais seguro, pois não é possível
exportar ou reproduzir o seu conteúdo.

O Certificado Digital tipo A3 oferece mais segurança porque o par de

chaves é gerado em hardware apropriado, isto é, em um cartão inteligente, ou
seja, token, que não permite a exportação ou qualquer tipo de reprodução ou
cópia do certificado.

Para que haja garantia de segurança alguns cuidados que deve ser
tomado com o Certificado Digital tipo A3. Isso significa que:

Para maior segurança, memorize as senhas do seu cartão inteligente

ou token, não permita que outras pessoas o vejam digitando essas
senhas e nunca as revele para terceiros. O password, PIN e PUK são
códigos pessoais e intransferíveis. Com seu Certificado Digital tipo
A3, você transporta a sua chave privada de maneira segura,
realizando transações eletrônicas onde desejar, com garantia de
segurança e integridade das informações. Mas atenção, pois nas
seguintes situações, seu Certificado Digital A3 será inutilizado e será
necessário adquirir um novo, bem como agendar outro
comparecimento a um Posto de Validação para validá-lo: Perda do
cartão inteligente ou token, Perda das senhas de seu cartão
inteligente ou token, Bloqueio do PIN e do PUK de seu cartão
inteligente, Bloqueio do PIN ou password de seu token, Formatação
ou limpeza do cartão inteligente e Inicialização ou remoção das
chaves de seu token (TRAIN, 2007, p. 5).

Há também as empresas que podem solicitar a certificação digital para

colocar em seus sites, o que dificultará, por exemplo, a clonagem dessas
páginas e assim dando uma maio segurança a seus usuários ou ate mesmo as
suas transações comerciais, sejam elas compras ou vendas por meio da
internet, como podemos ver que a Certisign é uma das empresas habilitada

10
Smart Cards: Cartão Inteligente, é um cartão que contém um chip, responsável pelo
armazenamento de informações digitais e execução lógica de rotinas pré-definidas, acessadas via leitora
específica (CORREIOS, 2008).
11
Tokens: dispositivo portátil, contendo um chip para armazenamento de informações digitais e
execução lógica de rotinas pré-definidas, a ser conectado a um computador, pela porta USB (CORREIOS,
2008).
 36

para emitir certificados digitais, podendo emitir tanto para pessoas físicas (e-
CPF) como para pessoas jurídicas (e-CNPJ).

A Certisign é habilitada pela Receita Federal do Brasil (uma

Autoridade Certificadora/AC-SRF) para expedir em seu nome os
Certificados Digitais e-CPF e e-[...] Com o e-CPF Certisign você pode
realizar transações referentes ao SISCOMEX, consultar e atualizar
seu cadastro de contribuinte pessoa física, recuperar informações
sobre seu histórico de declarações e verificar sua situação na “malha
fina”. Você também pode obter certidões da Receita Federal do
Brasil, cadastrar procurações e acompanhar processos tributários
eletronicamente, com a conveniência de não precisar deslocar-se até
um posto de atendimento da Receita. [...] Com o e-CNPJ Certisign
sua empresa tem acesso pela Internet a todos os serviços do e-CAC,
Centro Virtual de Atendimento ao Contribuinte da Receita Federal do
Brasil, como entregar seu IRPJ, Redarf, DCTF, consultar e regularizar
sua situação cadastral e fiscal, emitir certidões, cadastrar
procurações, acompanhar a tramitação de processos fiscais, com a
conveniência de não precisar deslocar-se até um posto de
atendimento da Receita (TRAIN, 2007, pp. 36-37).

2.5 Autoridade Certificadora

A autenticidade dos dados contidos no certificado digital é assegurada

pela entidade que o emite, Autoridade Certificadora. E assim a Autoridade
Certificadora é uma entidade confiável, que tem como funções principais,
autenticar as aplicações, e emitir certificados digitais e também manter
atualizadas informações sobre o estado dos certificados. Vejamos:

AC (CERTIFICATE AUTHORITY - CA) Entidade autorizada a emitir,

suspender, renovar ou revogar certificados digitais. Cabe também à
Autoridade Certificadora emitir listas de certificados revogados (LCR)
e manter registros de suas operações. A principal competência de
uma AC, no entanto, é emitir certificados que vinculem uma
determinada chave pública ao seu titular. Na hierarquia dos Serviços
de Certificação Pública Certisign, as ACs estão subordinadas à
Autoridade Certificadora Primária (AC-Raiz) da VeriSign, enquanto as
ACs abaixo da hierarquia da ICP-Brasil subordinam-se à AC-Raiz da
 37

ICPBrasil. A AC é identificada por um nome distinto - distinguished

name (dn) em todos os certificados que emite (TRAIN, 2007, p. 108).

A aceitabilidade do certificado dependerá da confiança dos usuários nas

práticas de trabalho da Autoridade Certificadora, portanto além de atender a
todos os requisitos técnicos exigidos, devem manter um elevado padrão de
conduta na identificação dos usuários finais e nos procedimentos de emissão
dos certificados assim como ter em todas suas operações transparência para
que haja garantia de segurança e confiança dos usuários, na medida em que
tem conhecimento dos certificados revogados, ou que seja para simples
consulta a operações já realizadas.

A Responsabilidade de uma autoridade certificadora é emitir certificados

digitais vinculando uma chave pública ao seu titular, tendo como principais
requisitos:

· Emitir, expedir, distribuir, revogar e gerenciar os certificados;

· Divulgar aos usuários as listas de certificados revogados;

· Manter registros de suas operações.

Autoridade Certificadora é responsável pela identificação segura e

confiável dos seus usuários.

Uma Autoridade Certificadora é uma entidade, pública ou privada,

que estabelece previamente a identidade do futuro portador do
certificado digital (pessoa física ou jurídica), por meio dos
documentos necessários, e emite esse certificado. No Âmbito do
Governo Federal, a Autoridade Certificadora, para ter seus
certificados legalmente reconhecidos, o que é obrigatório para
transações com órgãos públicos, tem de ter sido certificada pela
Autoridade Certificadora Raiz , ou seja, pelo Instituto Nacional de
Tecnologia da Informação, que é a autoridade responsável por
credenciar as demais Autoridades Certificadoras, supervisionar e
fazer auditoria dos processos para garantir o cumprimento das
exigências de segurança.
O estabelecimento prévio da identidade da pessoa e a aprovação da
solicitação de certificado são feitos por uma Autoridade
 38

Registradora, credenciada por uma Autoridade Certificadora. Cabe à

Autoridade Certificadora estabelecer e fazer cumprir, pelas
Autoridades Registradoras a ela vinculadas, as políticas de
segurança necessárias para garantir a autenticidade da identificação
feita, bem como emitir os certificados e publicá-los em repositório
público, ou ainda, renová-los e revogá-los, conforme seja o caso
(ICP-BRASIL, 2008).

2.6 Autoridade de Registro

Uma Autoridade Registro é a interface do sistema com o usuário final.

Ela é vinculada a uma determinada Autoridade Certificadora e tem como
principais atribuições: identificar e cadastrar usuários de forma presencial;
encaminhar solicitações de certificados à respectiva Autoridade Certificadora; e
manter registros de suas operações.

Dentre as principais atividades executadas pelas Autoridades de

Registro podemos citar:

· Operar de acordo com as políticas e práticas instituídas pela Autoridade

Certificadora;

· Receber solicitações de emissão ou de revogação de certificados digitais;

· Receber e guardar as cópias dos documentos de identificação solicitados

dos titulares de certificados;

· Confirmar a identidade dos solicitantes de certificado;

· Encaminhar a solicitação de emissão ou revogação de certificado à

Autoridade Certificadora;

· Disponibilizar os certificados emitidos pela Autoridade Certificadora aos

seus respectivos solicitantes;

Segundo a Certisign as AR possue a seguinte finalidade:

 39

A AR faz o reconhecimento presencial da pessoa que solicita a

Certificação Digital. Atualmente, são 400 ARs no Brasil. A expectativa
do ITI é de que até o final do ano esse número suba para 1,2 mil.
Entidades como Correios, Caixa Econômica Federal, Sincor, Banco
do Brasil, Bradesco, Itaú, e Itautec são ARs. O ITI informou que os
corretores de seguro deverão se tornar ARs, o objetivo é que eles
possam ir até os cidadãos para identificá-los. Ao solicitar a
Certificação junto a uma AC a pessoa será orientada a procurar uma
AR próxima. As sedes ou sites das ARs contam os endereços dos
postos (CERTISIGN, 2007).

2.7 Emissão de Certificados Digitais

A emissão da Certificação Digital só pode ser feita presencialmente. O

interessado deve procurar uma Autoridade Certificadora, preencher um
formulário com seus dados e pagar uma taxa que varia de acordo com o
modelo do documento. Depois deve se apresentar em uma Autoridade de
Registro, com documentos como Carteira de Identidade ou Passaporte - se for
estrangeiro-, CPF, Título de Eleitor, comprovante de residência e número do
PIS/PASEP. Pessoas jurídicas devem apresentar registro comercial, no caso
de empresa individual, ato constitutivo, estatuto ou contrato social, CNPJ e
documentos pessoais da pessoa física responsável.

Os passos para emissão da Certificação digital são os seguintes:

1- Escolher uma Autoridade Certificadora (AC) da ICP-Brasil.

2- Solicitar no próprio portal da internet da AC escolhida a emissão de

certificado digital de pessoa física (ex: e-CPF) e/ou jurídica (ex: e-
CNPJ). Os tipos mais comercializados são: A1 (validade de um ano –
armazenado no computador) e A3 (validade de até três anos –
armazenado em cartão ou token criptográfico). A AC também pode
informar sobre aplicações, custos, formas de pagamento,
equipamentos, documentos necessários e demais exigências;

3- Para a emissão de um certificado digital é necessário que o

solicitante vá pessoalmente a uma Autoridade de Registro (AR) da
Autoridade Certificadora escolhida para validar os dados preenchidos
na solicitação. Esse processo é chamado de validação presencial e
será agendado diretamente com a AR que instruirá o solicitante sobre
os documentos necessários. Quem escolher o certificado tipo A3
 40

poderá receber na própria AR o cartão ou token com o certificado

digital.

4- A AC e/ou AR notificará o cliente sobre os procedimentos para

baixar o certificado.

5- Quando o seu certificado digital estiver perto do vencimento, este

poderá ser renovado eletronicamente, uma única vez, sem a
necessidade de uma nova validação presencial (ITI, 2008).

Especificando como emitir seu certificado digital deve-se de forma

resumida seguir os seguintes passos: Escolher o tipo de certificado, preencher
o formulário de solicitação (termo de titularidade); Sendo necessário ter
disponível a mídia de armazenamento relacionada a cada tipo de certificado,
A1, A2 ou A3, no momento; Imprimir três vias do Termo de Titularidade;
Comparecer em até 48 horas a uma agência credenciada.

Em seguida apresentar toda a documentação exigida juntamente com

termo de Titularidade a uma agência credenciada e posteriormente apresentar
a documentação a um agente registrador.

Para concluir efetuar o pagamento do certificado digital e proceder a

baixa do certificado digital no mesmo computador e com a mesmo login12
utilizado no momento da solicitação.

Os documentos devem ser apresentados em seus originais, acrescidos

de duas fotocópias nítidas e legíveis, sob pena de invalidarem a requisição do
certificado. Os documentos opcionais, se preenchidos durante a solicitação do
certificado digital, deverão ser apresentados na validação presencial.

Segue abaixo lista dos documentos necessários, para emitir certificado

digital para pessoa física ou jurídica, Lista com documentação retirada de
acordo com exigências da agência credenciada Correios.

12
Login; Identificação do usuário.
 41

Pessoa Física

• Documento de Identidade - RG, carteira de entidade de classe

profissional (CREA, OAB, etc.), carteira de habilitação com foto,
passaporte (se estrangeiro);
• Cadastro de Pessoa Física - CPF;
• Comprovante de Residência (somente serão aceitas contas de luz,
telefone, água e gás);
• Título de eleitor (opcional);
• PIS-PASEP (opcional);
• 2 Fotos 3x4 recentes.

3 vias do Termo de Titularidade

Pessoa Jurídica
Documentação da Empresa:

• Registro comercial, no caso de empresa individual;

• Ato constitutivo, estatuto ou contrato social em vigor, devidamente
registrado, em se tratando de sociedades comerciais ou civis, e, no
caso de sociedades por ações, acompanhado de documentos de
eleição de seus administradores;
• Prova de inscrição do Cadastro Nacional de Pessoas Jurídicas -
CNPJ.

Importante:

Caso o estatuto, contrato social ou documento equivalente de sua

empresa contenha mais de um representante legal cadastrado na
Receita Federal, será necessário que as pessoas citadas neste
documento como representantes legais compareçam para validação
presencial de posse de seus documentos e assinem o Termo de
Titularidade.

Documentação dos Representantes Legais da Empresa:

• Documento de Identidade - RG, carteira de entidade de classe

profissional (CREA, OAB, etc.), carteira de habilitação com foto,
passaporte (se estrangeiro);
• Cadastro de Pessoa Física - CPF;
• Comprovante de Residência (somente serão aceitas contas de luz,
telefone, água e gás);
• Título de eleitor (opcional);
• PIS-PASEP (opcional);
• 2 Fotos (3X4) recentes.
• 3 vias do Termo de Titularidade

De acordo com as normas da ICP-Brasil, política que regulamenta a

certificação digital no Brasil, somente os representantes legais da
empresa poderão comparecer para a validação presencial e
assinatura do Termo de Titularidade, não podendo esta validação ser
realizada através de uma procuração ou um preposto (CORREIOS,
2008).
 42

2.8 Registro de Certificados

Um usuário tipicamente preenche um formulário e submete-o para uma

Autoridade Certificadora registrá-lo. A informação que deve constar no
formulário depende do tipo de certificado, precisando, entretanto, incluir a
chave pública do usuário e informações de identificação.

Os passos de geração da chave pública e privada, transferência da

chave pública para uma Autoridade Certificadora e transferência da chave
privada para o dono; são essenciais durante o registro de certificados. O dono
pode gerar o par de chaves em algum tipo de sistema local, seguramente
armazenar a chave privada e mandar a chave pública utilizando a aplicação
para a Autoridade Certificadora. O armazenamento da chave privada
geralmente envolve uma criptografia fazendo com que uma senha seja
requisitada toda vez que precisar ser usada.

Os dispositivos mais comuns para geração de chaves são smart cards.

Um smart card é capaz de gerar um par de chaves por si só, prover a chave
pública para aplicações externas e de maneira confiável armazenar a chave
privada. Uma chave privada gerada em um smart card não pode sair, sendo
gerada e destruída com o cartão. Os dispositivos smart cards funcionam
armazenando um certificado e disponibilizando uma função de criptografia com
a chave privada que geralmente requer uma senha.

2.9 Renovação e Revogação de Certificados Digitais

Diferentemente dos documentos em papel, o certificado digital tem prazo

de validade. A certificação digital de uma transação somente é possível quando
o certificado encontra-se dentro do período de validade.

A revogação também poderá acontecer a qualquer momento, caso

ocorra o comprometimento da chave privada, ou mesmo o esquecimento, pelo
 43

proprietário, da senha de acesso ao certificado digital. Em qualquer

circunstância a revogação ocorrerá mediante manifestação formal do
proprietário entregue na Autoridade Registradora.

O Certificado Digital será inutilizado em quaisquer das seguintes

situações:

• Após três tentativas incorretas de digitação do PIN13 e três tentativas

incorretas de digitação do PUK14;

• Esquecimento do PIN e do PUK;

• Perda do cartão inteligente;

• Formatação do cartão inteligente;

• Apagamento da chave privada. (Serpro, 2008)

Nesses casos, será necessária a aquisição de um novo Certificado

Digital e um novo cartão inteligente.

13
PIN; Personal Identification Number – Número de Identificação Pessoal.
14
PUK; Personal Unblocking Key – Chave de Desbloqueio Pessoal.
 44

3.0 Assinatura Digital

3.1 Como funciona a assinatura digital

Ao contrário de todos os documentos em papel em que a assinatura que

uma pessoa pode ser conhecida mediante a apresentação de um documento
seu de identificação, como o RG , nos meios de comunicação eletrônicos é
necessário apelar a outros processos para que possamos nos assegurar a
autenticidade de um documento ou ate mesmo de um processo. A assinatura
digital foi criada justamente para esse objetivo. Baseia-se em um sistema o
qual é criado em formato de criptografia para garantir ao destinatário que um
determinado documento possa de fato enviado por um certo remetente
identificado e que o mesmo documento não possa estar sujeito a nenhuma
alteração.

Para comprovar uma assinatura digital é necessário inicialmente

realizar duas operações: calcular o resumo criptográfico do
documento e decifrar a assinatura com a chave pública do signatário.
Se forem iguais, a assinatura está correta, o que significa que foi
gerada pela chave privada corresponde à chave pública utilizada na
verificação e que o documento está íntegro. Caso sejam diferentes, a
assinatura está incorreta, o que significa que pode ter havido
alterações no documento ou na assinatura pública (OFICIO-
ELETRÔNICO, 2008, p. 7).

Assinatura Digital é, portanto, um processo de assinatura eletronica a

qual se basea em um sistema criptográfico assimétrico que é composto de um
algoritmo ou uma série de algoritmos, o qual é gerado assim um par de chaves
assimétricas qua são exclusivas e interdependentes. E assim uma das chaves
é privada e a outra pública. E o titular da chave privada vai utiliza-la para
declarar a autoria do documento eletrônico a qual esta relacionada com a sua
assinatura e em concordância com o seu conteúdo. E o titular da chave
pública, assim, conferir se a assinatura foi criada para o uso da correspondente
 45

chave privada e tambem se o documento eletrônico não foi alterado depois de

ter sido assinado.
Este par de chaves sendo a chave pública e chave privada, não tem
nenhuma associação direta a uma identidade pessoal. Ela é simplesmente um
conjunto de números. O qual é para relacionar uma identidade com um par de
chaves, e é necessária uma outra entidade, ou seja, a terceira entidade de
confiança. A qual esta entidade é denominada por uma certa Autoridade
Certificadora ou Entidade Certificadora. considerando-se assim e recomendado
para isto é necessário, instituir um sistema de confirmação das entidades
certificadoras, às quais estão incunbidas assegurar os dados dos seus clientes
em elevados níveis de segurança para que a criação das assinaturas de
documentos eletronicos possa ser de total confiança do seu segurado, como
podemos observar no conceito de assinatura digital com o uso de criptografia
que serão motrados abaixo.

Assinatura digital e criptografia são conceitos passiveis de serem

implementados por diferentes tecnologias que, por sua vez, podem-e
vão-evoluir com o tempo. Assinaturas digitais por criptografia
representam um modelo, segundo o qual um sinal identificador do
usuário – a assinatura digital – pode ser conferido publicamente sem
a nessecidade de compartilhamento do segredo que produz esta
assinatura; e, mais do que isso, permitem conferir se houve
modificação posterior do documento eletrônico assinado (ROVER,
2004, p. 260).

Par Para que você entenda melhor,

Como o objetivo principal da assinatura digital é assegurar e autenticar a
identidade da entidade pela qual confiamos os dados; e assim poderá
confirmar quem participou de numa determinada transação e se essa tal
transação foi forjada ou não, por alguém. E servem igualmente para poder
assim proteger a integridade dos dados de seus clientes, e tambem garantir
que a mensagem recebida não sofreu nenhuma alterações no seu trajeto, quer
acidental ou intencionalmente.
As assinaturas digitais nos mostram quem participou numa transação
qualquer, e assim o emissor ou o certificado digital não pode negar que ele
enviou ou recebeu uma determinada informação. Ou seja, as assinaturas
 46

digitais possibilita saber quem recebeu os dados, que foram enviados

eletronicamente com a verificação da sua origem autentica (autenticação), bem
como se os dados foram alterados antes de chegar ao seu destino, e assim
perdendo sua integridade.
.

A assinatura digital é o resultado da aplicação de uma função

15
matemática chamada “função de Hash ”. Ela é fundamental para a
assinatura digital, pois gera uma espécie de impressão digital de
uma mensagem. O primeiro passo no processo de assinatura digital
de um documento eletrônico é a aplicação dessa função de Hash,
que fornece uma seqüência única para cada documento (TRAIN,
2007, p. 35).

Para que possamos assinar digitalmente qualquer tipo de informação

eletrônica para o fim de comprovar a autenticidade ou a autoria dessa mesma
informação, a pessoa, empresa ou instituição deverá possuir algum tipo de
certificado digital, para que possa ter acesso a informação, único e pessoal,
que comprove e garante a sua identidade e segurança no mundo eletrônico e
que ele tenha sido emitido por alguma entidade certificadora de confiança e
credibilidade. Abaixo vejamos o Ciclo de Vida da Cidadania Digital.

Figura 09: Ciclo de Vida da Cidadania Digital. – Fonte: (http://gersonrolim.blogspot.com.br/2009/12/o-

futuro-da-certificacao-digital-no.html)

15
Função de Hash: é uma sequência de bits geradas por um algoritmo de dispersão, em
geral representada em base hexadecimal, que permite a visualização em letras e números (0 a
9 e A a F), representando um nibble cada. O conceito teórico diz que "hash é a transformação
de uma grande quantidade de dados em uma pequena quantidade de informações.
http://pt.wikipedia.org/wiki/Fun%C3%A7%C3%A3o_hash
 47

Com isto vimos que o certificado digital tem os mesmos princípios

básicos de autenticação e manutenção da sua integridade de qualquer
mensagem ou documento que por elas sejam enviadas, por isso temos o
conceito de assinatura digital, a qual esta envolvendo uma entidade (empresa)
certificadora que nos garante perante a terceiros a identificação de um certo
indivíduo, empresa ou órgão publico. Essa Autoridade Certificadora, ou seja,
empresa a qual esta permitida para emite os certificados digitais os quais
contêm uma assinatura digital e tambem a chave pública que pode decifrar os
documentos enviados em formatos criptogarficos, o que garante que o
certificado digital seguro, e assim capaz de realizar varias operações cotidianas
como trasaçoes bancaria e outra tais como a que serão descritas por Train
(2007).

Para que você entenda melhor, identidade Digital, ou melhor,

certificado Digital é um documento eletrônico seguro, que permite ao
seu portador executar, de maneira muito rápida e sigilosa, operações
corriqueiras do dia-a-dia como: assinatura de documentos,
movimentação de conta bancária, compromissos públicos e
declaração de imposto de renda. [...] O processo para obtenção da
sua identidade digital é muito parecido com os utilizados para a
aquisição de outros documentos importantes de identificação
pessoal, como passaporte e RG. Portanto, apesar deste documento
envolver tecnologia sofisticadíssima, você verá que é muito fácil ter o
seu documento digital (TRAIN, 2007, pp. 11-36 ).

A assinatura digital ou certificado digital é um documento eletrônico

autenticado que vem com assinatura digital a qual certifica que a titularidade
de uma certa chave pública para sua validade. Esse documento é sempre
emitido por uma empresa certificadora, ou seja, entidade certificadora. Assim o
certificado digital busca associar a identidade de um certo indivíduo ou
organização de sua chave pública e portanto assim assegurando a sua
legitimidade e cofiabilidade ali adquirida. Mas todo Certificado nos garante
utilizar um par de chaves sendo a chave publica e a chave privada, e através
da utilização desta chaves podemos assim consegue garantir a integridade,
autenticidade, confiança, aceitação e confidencialidade das nossas mensagens
anviadas.
 48

Não por acaso, os bancos são os que mais estão atentos a esse tipo
de problema. A identidade digital, que pode ajudar a diminuir os
riscos do uso indevido de dados pessoais dos clientes,
provavelmente deve ser adotada em larga escala pelas instituições
financeiras brasileiras, em curtíssimo prazo (TRAIN, 2007, p. 15).

O certificado digital ou assinatura digital é um conjunto de dados que são

embaralhados pela criptografia, e que assim atesta a associação da chave
pública a um usuário determinado, e assim da mesma forma o certificado digital
também pode ser produzido uma maneira a qual é possível verificar se a sua
chave pública foi trocada ou se algum de seus dados foi adulterado ou
corrompido. Os mecanismos que foram utilizados pela assinatura digital, ou
seja, pelo certificado digital para atestar e garantir sua segurança.

3.2 Vantagens no Uso do Certificado Digital

O custo operacional do Certificado Digital em geral ainda é um entrave à

adoção da tecnologia, pois as empresas e as pessoas não veem no curto
prazo, o retorno do investimento. É importante entender que esse retorno
acontece sob a forma de benefícios, na medida em que todos passarão a
usufruir canais de comunicação eletrônicos mais seguro e a desburocratização
de processos e procedimentos. Portanto quem adotar a certificação digital
como recurso tecnológico terá como benefícios, além da desoneração de
atividades burocráticas, os avanços efetivos para transações econômicas
privadas ou com o governo e ganho de tempo por não enfrentar filas para
regularizar situação em órgãos públicos, bancos e empresas privadas.
Segundo TRAIN( 2007, pp. 20-21). Os Certificados Digitais ou assinaturas
digitais representam uma ferramenta que nos da uma competitividade
imprescindível para as empresas ou órgão públicos, com redução de custos
significativos e a otimização de prazos na cadeia produtiva, e, além disso,
aumentar significativamente a nossa segurança, e a segurança de nossos
 49

dados no uso dos meios eletrônicos. Contudo, essa justificativa ainda vem
sendo questionada pelas empresas e órgãos públicos que não veem lucros, no
curto prazo de tempo, o retorno do investimento vem a longo prazo apos a
adoção de certificados digitais. E assim, no caso de uma empresa, o qual esta
poderá desmaterializar processos burocráticos e enrolados, buscando assim
agilizar os procedimentos; seguir facilmente sua condição fiscal; liberar com
uma certa rapidez contratos de câmbio nas Instituições Financeiras; e também
cumprir agilmente os compromissos da empresa relativas à Previdência Social
e ao FGTS; e de forma assegurada, reduzir fraudes, roubo dos seus dados, e
assim diminuir custos operacionais e também economizar papel. O indivíduo
que busca adotar a assinatura digital ou Certificação Digital tem como
benefícios a priorização na sua restituição do Imposto de Renda Pessoa Física
e nao podendo esquecer da maior segurança de seus dados e sigilo ao
acessar suas relação as suas contas bancárias por meio da Internet.
Os certificados digitais criam à possibilidade de estabelecer relações sociais e
comerciais no mundo virtual sem risco para as partes envolvidas, ou seja,
acabam por se assemelhar as credenciais eletrônicas que assinam, protegem e
vinculam as partes envolvidas em transações e comunicações. Quando se
utiliza um certificado digital para assinar digitalmente uma transação às partes
envolvidas tornam-se responsáveis pelo seu conteúdo, da mesma forma como
quando se assina algum documento no mundo real.

3.3 PC e DPC

Toda organização responsável por uma ICP deve elaborar um conjunto de

documentos especificando todas as políticas instituídas para garantir a
segurança do processo de emissão e manutenção dos certificados emitidos.
O documento da Política de Certificação (PC) descreve o papel de cada
componente dentro da ICP, as responsabilidades assumidas pelos seus
usuários para a requisição e uso dos certificados digitais, além da manutenção
 50

do par de chaves. As políticas de certificação devem abranger desde a

solicitação do certificado, até a sua expiração ou revogação.
O documento da Declaração de Práticas de Certificação (DPC) descreve
detalhadamente como cada componente de uma ICP implementa a política de
certificação. A DPC declara a PC associada e especifica os mecanismos e
procedimentos utilizados para alcançar as políticas de segurança. Uma DPC
pode informar os aplicativos utilizados e os procedimentos de utilização do
aplicativo. Ela deve estar suficientemente detalhada para comprovar que todas
as políticas podem ser satisfeitas através de procedimentos e ferramentas
seguras, e utilizando um sistema de cifrado criptografado.

3.4 Políticas de certificação digital

Podemos ver uma certa definição de uma política brasileira para a

assinatura digital ou certificação digital decorre de uma certa percepção
específica e eficaz sobre o desenvolvimento de nossa tecnologia da
informação com relação ao setor público, sabendo que ainda há uma certa
escassez de nossos governantes para garantir recursos para também para
investir. E com isto a formação de políticas públicas não vem é somente a uma
decadência na nossa evolução tecnológica. Se não fosse a concorrência no
mercado, estaríamos muito mais atrasados do que nossa realidade, pois as
empresas certificadoras ou entidades certificadoras que devido a concorrência,
buscou aprimorar suas tecnologias devido a carência do mercado ou seja das
empresas, sociedade civil, e ate mesmo órgãos públicos. Os quais são
diretamente beneficiados com esta tecnologia, pois os quais movimentam
inúmeros documentos e ate mesmo negociações extraordinariamente grandes.
A necessidade de uma boa conexão entre os vários órgãos que compõe
a administração pública seja ela federal, estadual ou municipal requer que haja
vários protocolos técnicos e assim padronizados. Porem o quadro se torna
complexo pela grande importância dos sistemas federais, para que possam
trocar seus dados processados com os sistemas estaduais e municipais. E
 51

buscar desta maneira, a relação com seus vários fornecedores de

equipamentos prestadores de serviços e ate mesmo programas do governo
federal.
Não podemos esquecer da sociedade civil que também possibilidade de
garantir que seus dados sejam enviados com segurança e assim também fazer
negócios seguros utilizando a sua assinatura digital.
Porem a maior dificuldade é a informação e o investimento, os quais varias
pessoas ou empresas acham inútil investir em tecnologia, e não investem em
sua própria segurança, ou seja, de correr o risco de ver seus dados ou os
dados de sua empresa sendo roubados ou adulterados. Mas esta barreira vem
sendo quebrada com uma certa confiança no certificado digital, ou seja,
assinatura digital.

3.5 Tipos de Certificados

Certificado tipo A1 é aquele em que a assinatura digital mais simples e

econômica e de menos tempo de uso, e os dados do usuário são armazenados
em uma mídia móvel. Este é válido somente por um ano, e gravado na sua
estação de trabalho. Os dispositivos mais comum para seu armazenamento é o
CD-Card, CD-ROM e disquete, agravável com uma capacidade de
armazenamento dos seus dados que varia entre 25 a 52 Megabytes.
É importante assim evitar a perda de seu certificado digital tipo A1, fazer
se possível, fazer uma cópia, e exportando assim os dados da sua chave
privada para um outro dispositivo de armazenamento, para que assim o seu
certificado digital esteja seguro e possa ser importado ou transferido para
qualquer outro computador com uma certa segurança.
Não podemos deixar de ter alguns cuidados os quais devem ser
tomados para que o usuário não perca o Certificado Digital tipo A1. E dentre
estes cuidados podemos citar os seguintes:
 52

Ao solicitar um Certificado Digital tipo A1 serão geradas, após a

emissão do certificado, um par de chaves (chave pública e chave
privada – PIN 1 e PIN2). Qualquer alteração no perfil do usuário
compromete a chave privada como, por exemplo, formatação da
máquina ou reinstalação do sistema operacional. Ao perder a chave
privada, um novo certificado deverá ser adquirido e todas as etapas
deverão ser refeitas pelo usuário. O seu Certificado Digital somente
poderá ser instalado no mesmo computador onde ele foi solicitado, ou
seja, no mesmo perfil de usuário e no mesmo navegador de Internet
onde foi realizada a solicitação. Não é possível instalar o Certificado
Digital em outro computador antes da emissão. Caso o computador
tenha sido formatado ou reinstalado no intervalo de tempo entre a
solicitação e a emissão, não será possível instalar o Certificado
Digital. É muito importante verificar, com seu administrador de rede,
se o seu perfil de usuário permite a instalação e o uso de seu
Certificado Digital tipo A1 (TRAIN, 2007, p. 50 ).

Como podemos ver o certificado tipo A3 são hardwares portáteis os

quais atuam como mídias armazenadoras, as quais armazenam nossos dados
pessoais. E em seus chips podem ser armazenadas as chaves privadas dos
seus usuários. E estes podem ser válidos dois ou por três anos se gravado em
dispositivos como CDs, smart cards ou tokens, o que o torna mais seguro e
confiável, pois não é possível que seja exportado ou reproduzir o seu conteúdo.
Abaixo vejamos os tipos de certificados:

Figura 10: tipos de certificados. – Fonte: (http://acpessoal.blogspot.com.br/2012/06/certificacao-

digital-conectividade-icp.html)

O Certificado Digital tipo A3 nos oferece mais segurança pelo fator que o
por ele o par de chaves é gerado em hardware apropriado, isto simplesmente
é, em um cartão inteligente, ou seja assim, o token, o qual não permite a
 53

exportação e nem nos oferece qualquer tipo de reprodução e nem mesmo

cópia do certificado.
Para que haja uma certa garantia de segurança de nossos dados
precisamos ter alguns cuidados que deve ser tomado com o Certificado Digital
tipo A3. Isso significa que:

Para maior segurança, memorize as senhas do seu cartão inteligente

ou token, não permita que outras pessoas o vejam digitando essas
senhas e nunca as revele para terceiros. O password, PIN e PUK são
códigos pessoais e intransferíveis. Com seu Certificado Digital tipo
A3, você transporta a sua chave privada de maneira segura,
realizando transações eletrônicas onde desejar, com garantia de
segurança e integridade das informações. Mas atenção, pois nas
seguintes situações, seu Certificado Digital A3 será inutilizado e será
necessário adquirir um novo, bem como agendar outro
comparecimento a um Posto de Validação para validá-lo: Perda do
cartão inteligente ou token, Perda das senhas de seu cartão
inteligente ou token, Bloqueio do PIN e do PUK de seu cartão
inteligente, Bloqueio do PIN ou password de seu token, Formatação
ou limpeza do cartão inteligente e Inicialização ou remoção das
chaves de seu token (TRAIN, 2007, p. 5).

3.6 Autoridade Certificadora

A identidade do responsável ou titular de um certificado digital, ou seja,

a assinatura digital é garantida pela autoridade que o emitiu (assinou) sendo
denominada de Autoridade Certificadora. Para ver ou ter garantia é preciso
conferir a validade de um assinatura digital é necessário que seu usuário
possa conhecer a chave pública da Autoridade Certificadora que foi contratada
e que o assinou para conferir se o seu certificado foi corretamente assinado
pela empresa. Como provavelmente devem existir algumas dezenas de
empresas de Autoridade Certificadora é inviável que nenhuma empresa seja o
único repositório que obtenham ou contenha todas as chaves públicas que são
emitidas por esse tipo de autoridades. Sendo assim, por motivos de segurança,
a Infrestrutura de Chave Pública foi organizada obedecendo a um certo tipo de
modelo confiável que vem para definir em quem cada Autoridade Certificadora
se pode confiar.
 54

3.7 Autoridade de Registro

Como podemos ver Autoridade de Registro é aquela entidade a qual

esta responsável pela verificação das informações dos usuários e de sua
identificação fornecidas pelos requisitantes, ou seja, usuários de um certificado
digital. O requisitante de um certificado deve comparecer pessoalmente a ema
empresa de Autoridade Certificadora com toda a documentação necessária
para assim garantir a veracidade das suas informações de identificação
solicitadas. As Autoridades Certificadoras também possuem algumas
obrigações específicas, para garantia de seus clientes, sendo assim,
estabelecidas pela Autoridade Certificadora para garantirem assim a forma
como deverão ser recebidas e enviadas as informações de um requerente a
certificado e como as informações serão conferidas. O nível de confiança
atribuído a um certificado depende da qualidade do processo de conferência
das informações realizado pela Autoridade Certificadora irá assinar as
informações envidas ou recebidas, que serão incluídas no certificado, sem
qualquer verificação adicional. E para efetuar assim a interface entre o usuário
final, recebendo assim a solicitação do certificado e a documentação de
identificação, e a Autoridade Certificadora, que emitirá o seu certificado digital.
 55

Conclusão

Esse trabalho deixa claro o quanto nossos dados são vulneráveis sem
criptografia, podendo assim sofrer prejuízos irreparáveis, por falta do mínimo
de segurança na internet. Porem as empresas vem buscando profissionais
mais qualificados e vem também mudando os seus pensamentos com relação
ao seu setor de informática, e assim investindo mais neste setor, e para que
assim seus ganhos possam ser maiores, porem ainda faltava alguma coisa,
faltava a sua segurança, para que assim pudesse ter menos risco, e menos
prejuízos, e para que seus clientes pudesse ter confiança, confiabilidade e
garantia que seus dados pessoais ou financeiros não sofreriam nenhum tipo de
dano.
Então assim, empresas de informáticas buscaram no passado uma
solução para o futuro, que foi o sistema de cifragem ou código qual fora
utilizado por guerreiros do passado para enviarem informações de um pelotão
para outro, sabendo que sua mensagem fosse roubada não teria nenhum risco
pois somente os seus companheiros saberiam o que ali estava escrito, o qual
era chamado de criptografia.
E assim surgiram os certificados digitais ou assinaturas digitais, a qual
traz uma certa segurança para que utiliza este tipo de serviço, e para isto as
empresas que fornecem este tipo de serviço tem que serem empresas
autorizada, ou seja entidades certificadoras, as quais tem uma ser liberdade
para certificar pessoas, empresas ou órgãos públicos, para que assim possam
ter uma conectividade comercial, através de seus certificados.
Este sistema é também muito utilizado por bancos, para que assim os
seus clientes que movimentam muito dinheiro ou fazem muitas transações
bancarias, possam assim se assegurar que suas transações foram efetuadas
com segurança, sem riscos ou prejuízos.
Agora depois que foi visto neste trabalho e dos estudos realizados para
sua conclusão posso ver que o certificado digital tem uma segurança
considerável, e que seu sistema é um sistema confiável, e que é desconhecido
um mais seguro ate o momento.
 56

Referências Bibliográficas:

CAIXA. Certificação Digital. Disponivel em :

www.caixa.gov.br/seguranca/certificacao_ digital. Acesso em: 22 Setembro. 2013,
às 22:13 hs.

CASA CIVIL. Medida provisória N° 2.200-2, de 24 de agosto de 2001.

Disponível em: https://www.oficioeletronico.com.br/Downloads/MP_22002006.
Acesso em: 17 agosto. 2013, às 12: 02 hs.

CASTRO, Carla Rodrigues Araújo de. Crimes de Informática e seus

Aspectos Processuais, Rio de Janeiro, Lumen Juris, 2003.

CERT.br: Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil. Cartilha de Segurança para Internet - Parte I:
Conceitos de Segurança. Versão 3.0, setembro de 2005. Disponível em:
http://cartilha.cert.br/conceito/, acesso em: 28 outubro 2013, às 21:42 hs.

CERTISIGN. Tudo sobre Certificação Digital. 2007. Disponível em:

https://www.certisign. com.br /certinews/banco_noticias/2007/06/tudo-sobre-
certificacao-digital. Acesso em: 12 junho 2013, às 12:23 hs.
.

CFC-Conselho Federal de Contabilidade. Grupo Nacional de Disseminação

da Certificação Digital se reúne no CFC. 10-07-2008. Disponível em:
http://cfc.org.br/conteudo.aspx? codMenu=67&codConteudo=3136 . Acesso em: 19
Setembro 2013, às 21:53 hs.

CLETO, Nivaldo. Certificação Digital - Os benefícios dessa nova forma de

identificação. 2007. Disponível em:
http://www.cfc.org.br/conteudo.aspx?codMenu=67&codConteudo =1953. Acesso
em: 07 Setembro 2013, às 14:41 hs.
.

CORREIOS. Certificação Digital. Disponível em:

http://www.correios.com.br/produtos% 5F servicos/certificacaodigital/. Acesso em:
21 outubro. 2013, às 23:13 hs.
.
Domínio publico. ttp://pt.wikipedia.org/wiki/Dom%C3%ADnio_p%C3%BAblico
08 novembro. 2013, às 14:55
 57

Figura 01: exemplo de um algoritmo criptográfico (chave secreta):

http://leanndroluiz.blogspot.com.br/2010/08/criptografia.html: Acesso em: 13
novembro. 2013, às 09:44 hs.

Figura 02: exemplo de um documento criptografado

http://janelatecnologica.blogspot.com.br/2009/04/algoritmos-criptograficos-e.html:
Acesso em: 13 novembro. 2013, às 09:15 hs.

Figura 03: exemplo de como um documento é enviado por meio de um

sistema criptográfico
http://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html: Acesso em: 13
novembro. 2013, às 09:02 hs.

Figura 04: Geração de Assinatura Digital de um documento

http://www.smartsec.com.br/criptografia.html: Acesso em: 13 novembro. 2013, às
09:52 hs.

Figura 05: modelo de token numérico

http://pontaldesaojoao.blogspot.com.br/2011/06/quebra-de-segredo-de-tokens-nao-
deve.html: Acesso em: 13 novembro. 2013, às 08:12 hs.

Figura 06: smart card http://crystalequityresearch.blogspot.com.br/2012/12/three-

plays-in-growing-smart-card-market.html: Acesso em: 13 novembro. 2013, às
08:01 hs.

Figura 07: Chave única ou chave secreta: http://eltiger.wordpress.com/page/2/:

Acesso em: 13 novembro. 2013, às 10:13 hs.

Figura 08: Criptografia de chaves pública e privada

http://biblioo.info/certificacao-digital/: Acesso em: 13 novembro. 2013, às 10:33
hs.

Figura 09: Ciclo de Vida da Cidadania Digital

http://gersonrolim.blogspot.com.br/2009/12/o-futuro-da-certificacao-digital-no.html:
Acesso em: 13 novembro. 2013, às 08:44 hs.

Figura 10: tipos de certificados

http://acpessoal.blogspot.com.br/2012/06/certificacao-digital-conectividade-icp.html:
Acesso em: 13 novembro. 2013, às 08:23 hs.
 58

FOLHAONLINE. Senado aprova projeto que pune crimes praticados pela

internet. 10/07/2008. 08 novembro. 2013, às 15:30

Hash - http://pt.wikipedia.org/wiki/Fun%C3%A7%C3%A3o_hash 08 novembro. 2013,

às 14:59 hs

Host - http://pt.wikipedia.org/wiki/Host. 08 novembro. 2013, às 14:51 hs.

http://www.dicionarioinformal.com.br/decodificar/.08 novembro. 2013, às 14:47

hs.

http://www.significados.com.br/vulneravel/ Acesso em: 08 novembro. 2013, às

14:39 hs.

http://pt.wikipedia.org/wiki/Criptografia#Chave_Criptogr.C3.A1fica. Acesso em: 08

novembro. 2013, às 14:23 hs.

http://www1.folha.uol.com.br/folha/informatica/ult124u420911. Acesso em: 25

agosto. 2013, às 20:02 hs.

ICP-Brasil. O que é uma Autoridade Certificadora? Disponível em:

https://www.icpbrasil.gov.br/duvidas/faq/o-que-e-uma-autoridade-certificadora.
Acesso em: 02 Setembro 2013, às 19:49 hs.
.

______. Apresentação. Disponível em: https://www.icpbrasil.gov.br/apresentacao.

Acesso em: 17 julho 2013, às 18:25 hs.
.
.
ITI. Saiba como obter um Certificado Digital e quais os benefícios para
sua vida. Disponível em:
http://www.iti.gov.br/twiki/bin/view/Certificacao/CertificadoObterUsar. Acesso em: 29
Setembro 2013, às 23:32 hs.

MAIA, Felipe. Lei sobre crimes virtuais transfere ação do estado para a
sociedade, diz abranet. 11/07/2008. Disponível em:
http://www1.folha.uol.com.br/folha/informatica/ult124u421234. Acesso em: 03
outubro 2013, às 12:55 hs.
 59

MICROSFT. Criptografia, chaves e certificados. 2004. Disponível em:

http://www.microsoft.com/brasil/security/guidance/topics/devsec/secmod39.mspx#ESB.
Acesso em: 07 Setembro 2013, às 20:48 hs.
.

NAKAMURA, E.T. Segurança de redes em ambientes cooperativos. 1ª ed.

São Paulo: Novatec Editora. 2007.

OFICIO-ELETRÔNICO. Cartilha de cerificação digital. Disponível em:

http:www.oficioeletronico.com.br/Download/CartilhasCertificacaoDigital. Acesso
em: 21 outubro. 2013, às 11:39 hs.
.

PIMENTEL, Renan M. http://algoritmizando.com/desenvolvimento/autenticacao-

e-criptografia-de-senhas-usando-php/, dia 26 de maio de 2013, às 12,34

REINALDO FILHO, Demócrito. O projeto de lei sobre crimes tecnológicos

(pl nº 84/99). Disponível em: http://jus2.uol.com.br/doutrina/texto.asp?id=5447.
Acesso em: 29 maio. 2013, às 20:33 hs.

ROMAGNOLO, Cesar Augusto

http://www.oficinadanet.com.br/artigo/443/o_que_e_criptografia, dia 26 de
maio de 2013, às 12:25

REZENDE, Denis Alcides; ABREU, Aline França de. Tecnologia da

Informação Aplicada a Sistemas de Informação Empresariais: o papel
estratégico da informação e dos sistemas de informação nas empresas. 5. ed.
São Paulo: Atlas,2008.

ROVER, Aires José. Direito e Informática. Barueri, São Paulo: Editora

Manole, 2004.

SERPRO. Certificação digital caminha a passos largos no país. São Paulo,

16 de outubro de 2008. Disponível em:
www.serpro.gov.br/noticiasSERPRO/2008/outubro/certificacao-digital. Acesso em: 20
junho 2013, às :13:27 hs.

TANENBAUM, Andrew S. Redes de Computadores. Tradução da quarta

edição, Vandenberg D. de Souza. Rio de Janeiro: Elsevier, 2003.
 60

TRAIN, Sheila. Identidade digital: Como e por que os certificados digitais

estão facilitando a vida das pessoas. 2ª edição, revista e ampliada. São
Paulo: Editora?, 2007.

VF Intelligence. Resumo da 2º. Raio-X da Certificação Digital no Brasil.

Disponível em:
viaforum.com.br/DNN/Portals/4/certificacao_certforum_09072007.pdf. Acesso
em: 30 julho. 2013, às 20:42 hs.
.

VOLPI, Marlon Marcelo. Assinatura Digital, Aspectos Técnicos, práticos e

legais, Axcel Books, 2001.

WIZIACK, Julio; BOAS, Gustavo Villas. Nova lei para fraudes na internet
pode favorecer banco. 16/08/2008. Disponível em:
http://www1.folha.uol.com.br/folha/informatica/ult124u434288. Acesso em: 15
junho. 2013, às 21:40 hs.