Escolar Documentos
Profissional Documentos
Cultura Documentos
No Brasil, não há estatísticas oficiais, além das que se referem às fraudes com
cartões de crédito. Vítimas preferenciais dos ataques, eles amargam um rombo de,
aproximadamente, R$ 300 milhões por ano. Os bancos não falam de perdas, mas, a
julgar pelo que investem em sistemas de segurança – cerca de R$ 500 milhões por
ano ou 10% dos investimentos em Tecnologia da Informação –, é possível imaginar
o tamanho da preocupação.
Autenticidade
Uma das tecnologias nas quais as empresas mais vêm investindo é a certificação
digital, capaz de garantir autenticidade, confidencialidade e integridade às
informações que circulam no ambiente web. Melhor: as pesquisas revelam a rápida
disseminação da cultura. Uma delas, realizada pela VF Intelligence, a divisão de
pesquisas de mercado da Via Fórum, mostra que, por iniciativa do comando central
(presidência e diretoria), 62% das empresas cujo ramo de negócio é a segurança da
informação e gerenciamento de risco já trabalham com certificação digital no dia-a-
dia. O estudo, intitulado “Pesquisa Nacional Sobre Certificação Digital”, parte de
entrevistas com 446 empresas entre os dias 10 de janeiro e 28 de março de 2007.
Entre as empresas que disseram usar a certificação digital, 57% aplicam a ICP-Brasil
(Infra-Estrutura de Chaves Públicas Brasileira). Outras 23% planejam a implantação
dos certificados digitais ainda neste ano e 12% pensam fazer isto em 2008. Somente
11% das empresas ouvidas descartam a possibilidade de vir a implantar a
certificação digital.
-1-
Um aspecto evidente no estudo é o grau de comprometimento da alta direção das
empresas. Quando perguntados de qual departamento partiu a demanda para a
implantação de certificação digital, 32% das organizações responderam que a
iniciativa coube à presidência.
Conceituação. O que é?
Algoritmo matemático
-3-
Módulo 2 - A tecnologia da certificação digital
De fato, a Criptografia, lato sensu, vai muito além da cifragem e decifragem. Ramo
especializado da teoria da informação, a Criptografia agrega muitas contribuições de
outros campos da Matemática e o resultado da reflexão e pesquisa de autores, tais
como Maquiavel, Sun Tzu e Karl von Clausewitz. A Criptografia moderna é
basicamente formada pelo estudo dos algoritmos criptográficos, que podem ser
implementados em computadores.
-4-
Uma informação não-cifrada endereçada por uma pessoa (ou organização) para
outra é chamada de “texto claro” (plaintext). Cifragem é o processo de conversão de
um texto claro para um código cifrado e decifragem o processo contrário.
Os algoritmos de chave pública operam com duas chaves distintas: a chave privada e
a chave pública. Ambas são geradas simultaneamente e relacionadas entre si, o que
possibilita que a operação executada por uma seja revertida pela outra. A chave
privada deve ser mantida em sigilo e protegida pela pessoa, empresa ou instituição
que gerou as chaves. A chave pública é a que se entrega a qualquer indivíduo que
deseje se comunicar com o proprietário da chave privada correspondente.
Quem deseja enviar uma informação sigilosa deve utilizar a chave pública do
destinatário para cifrar a informação. Para isso é importante que o destinatário
informe a chave pública por ele utilizada, usando, por exemplo, diretórios públicos
acessíveis pela Internet.
A certificação digital traz diversas facilidades, mas o uso dela não torna as
transações isentas de responsabilidades: a chave privada autentica a transação ou
documento e confere o atributo de não-repúdio à operação; ou seja, posteriormente,
o usuário não pode negar a realização daquela transação. Assim, é importante que
ele tenha condições de proteger de forma adequada a chave privada. Isso se faz
mediante uso de dispositivos inteligentes.
-6-
Módulo 3 - Autoridades Certificadoras e de Registro
Para que o certificado digital seja válido, é necessário que o interessado disponha da
chave pública, capaz de comprovar que o documento é legal e tem valor, emitida por
uma AC (Autoridade Certificadora), devidamente autorizada para isso. A questão é
que elas se contam às dezenas, mundo afora, o que torna impossível para quem
quer que seja dispor da chave pública de cada uma.
A solução encontrada para esse problema foi a criação das “ACs supremas” (ou “ACs-
Raiz”), ou seja, instituições que autorizam as operações das ACs que emitem
certificados a pessoas e empresas. Esse esquema é conhecido como ICP (Infra-
estrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).
Política de uso
Qualquer instituição, independente do porte que tenha, pode criar uma ICP. Se uma
empresa, por exemplo, criou uma política de uso de certificados digitais para garantir
a segurança na troca de informações entre a matriz e filiais, não vai ser necessário
pedir tais certificados a uma AC controlada pela ICP-Brasil. A própria empresa pode
criar a ICP e fazer com que um departamento das filiais atue como AC ou AR,
solicitando ou emitindo certificados para uso dos funcionários.
ACs são órgãos autorizados a emitir Certificados Digitais pelo ITI, a chamada AC Raiz
(Autoridade Certificadora Raiz). Atualmente, existem diversas ACs no Brasil que
emitem certificados para atender a pessoas físicas e jurídicas.
-7-
A AR, por sua vez, faz o reconhecimento presencial da pessoa que solicita o
certificado digital. Entidades como Correios, Caixa Econômica Federal, Sincor, Banco
do Brasil, Bradesco, Itaú e Itautec são ARs. Ao solicitar a certificação a uma AC, a
pessoa será orientada a procurar a AR mais próxima. As sedes ou sites das ARs
contam com os endereços dos postos.
Deveres e obrigações
Prazo de validade
-8-
Quando recebe e analisa o pedido, a AC adiciona o número de série do certificado a
um documento assinado chamado Lista de Certificados Revogados (LCR) e o publica.
O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado
e, em muitos casos, o próprio certificado possui um campo com apontador para
publicação do endereço web que contém o arquivo com a LCR. As LCRs são
publicadas de acordo com a periodicidade que cada AC definir. Essas listas são
públicas e podem ser consultadas, a qualquer momento, pelo usuário que deseja
verificar se um certificado permanece válido ou não.
-9-
Módulo 4 - As aplicações da certificação digital
Mas o certificado digital também vem sendo utilizado por pessoas, empresas e
instituições no acesso à Receita Federal, para obtenção de certidões on-line e
declarações seguras, como, por exemplo, o Imposto de Renda de pessoa física, bem
como em operações de comércio eletrônico, correio eletrônico, assinatura de
documentos eletrônicos e cifrações de documentos eletrônicos, entre outras
aplicações.
Um dos benefícios da certificação digital é a certeza de uma coisa que nunca foi,
propriamente, uma qualidade da Internet: o sigilo. Graças à chave privada, ninguém,
senão a pessoa, empresa ou instituição de direito devidamente autorizada, poderá
desfazer a operação de cifragem; ou seja, ninguém sem licença para isso poderá
decifrar e recuperar as informações originais. Assim, para que a pessoa A possa
compartilhar uma informação de forma secreta com a pessoa B, deve cifrá-la,
usando a chave pública da pessoa B. E somente ela, a pessoa B, usando uma chave
privada, terá como decifrar a informação.
- 10 -
O mesmo método de autenticação dos algoritmos de criptografia de chave pública
combinado com a função resumo, também conhecida como função de hash, dá
origem à assinatura digital.
O resumo criptográfico é o resultado retornado por uma função de hash, que se pode
comparar a uma impressão digital, pois cada documento possui um valor único de
resumo. Qualquer pequena alteração no documento, como a inserção de um espaço
em branco, resulta em um resumo completamente diferente.
O produto final da certificação digital é a assinatura digital, com base no uso dos
algoritmos de chave pública. Na assinatura digital, o documento não sofre qualquer
alteração e o hash cifrado com a chave privada é anexado ao documento.
3. Vários bancos utilizam os certificados digitais para garantir mais segurança aos
clientes e usuários dos serviços.
4. Diversas empresas e órgãos públicos usam certificados digitais para garantir que o
site que o internauta está acessando é realmente o buscado, evitando, por exemplo,
que o interessado negocie em um site clonado.
- 11 -
5. Com o uso do certificado, pode-se assinar digitalmente mensagem de e-mail,
garantindo ao destinatário a autoria do remetente e que o conteúdo não foi
adulterado entre o envio e o recebimento.
- 12 -
Módulo 5 - CertiSign, certificação com a qualidade Intel
O conector universal UIC interage com a tecnologia Intel® TPM, que protege as
chaves de criptografia e assinatura. O UIC consiste em uma interface gráfica única,
que conecta os certificados digitais armazenados em diferentes dispositivos, como
discos rígidos, tokens ou cartões, em diferentes aplicações e em qualquer sistema
operacional. No caso da tecnologia Intel, o UIC conversa com o chip de criptografia e
dispensa o uso de outros dispositivos.
- 13 -
O uso do certificado digital Certisign, além de permitir funções de autenticação
inequívoca, dá respaldo legal aos documentos assinados eletronicamente, o que
fornece garantia de integridade de dados e informações. Outra característica
importante é o sigilo. Por meio dele o usuário pode criptografar informações e
protegê-las do acesso de pessoas não autorizadas. Mais uma vez, o uso combinado
do chip TPM com o UIC garante ao usuário a capacidade de proteger a própria
identidade digital.
3) Simplifica o acesso a tokens por meio de pontos de entrada genéricos: CSP global
e módulo de PKCS #11. Ao mesmo tempo, permite que o sistema utilize o mesmo
método para acessar diferentes tokens.
4) Oferece uma API de alto nível para drivers de tokens, que acelera a implantação
de novos drivers ou drivers para novos dispositivos.
- 14 -
6) Permite a troca de informações de maneira mais eficiente, com ganho de
desempenho, por estar integrado na placa.
- 15 -
Módulo 6 - Presente e futuro da certificação digital
A indústria financeira, que, com mais de 80% das ocorrências, segundo os institutos
de pesquisa, são o alvo predileto dos fraudadores, hoje se define como a principal
usuária da certificação digital. Mas há, também, as aplicações menos críticas, da
recuperação remota de uma declaração de Imposto de Renda na Secretaria da
Receita Federal à assinatura de um e-mail importante.
- 16 -
No futuro, a certificação digital estará fortemente presente nas diversas esferas de
governo, que, preocupado em democratizar o acesso aos serviços públicos, deve
disputar com a indústria financeira a liderança quanto ao uso da certificação digital
em aplicações cliente-servidor, no dia-a-a-dia das pessoas. Provavelmente daqui a
mais cinco anos, segundo prevêem os institutos internacionais de pesquisa, será
cada vez menor o volume de papel em circulação. As pessoas precisarão
movimentar-se bem menos de um lugar para outro, livres das filas para resolver
pendências com a Justiça, o Fisco, o cartório e o banco. Transações de rotina,
burocráticas, demoradas e maçantes serão feitas via Internet em questões de
minutos, com a ajuda do computador, com toda a segurança, por conta da
tecnologia de certificação digital.
Também serão mais confiáveis as mensagens por e-mails, bem como as operações
de compra nos shoppings virtuais. Mas a liderança deve se manter nas mãos dos
bancos. E não por acaso. Atualmente, 38% dos internautas (4,5 milhões de pessoas)
usam serviços de Internet banking. A segunda posição no ranking deve caber ao
Poder Judiciário: a nova ferramenta vai demolir montanhas de processos, fazendo
recuar o tempo de espera por uma sentença. Agora, os certificados já são usados
nos sistemas de processo judicial, em peticionamentos e na emissão de certidões
eletrônicas. Com isso, os advogados devem ser a próxima categoria profissional a
entrar no mundo da certificação digital. Os primeiros foram os contadores, seguidos
dos corretores de seguro. No Distrito Federal, das 1.850 empresas contábeis, 1.600
têm o certificado, informa o Sindicato das Empresas de Serviços Contábeis do
(Sescon/DF).
Até o final deste ano, a tecnologia chegará aos hospitais, clínicas e consultórios
médicos, bem como aos prontuários eletrônicos. Em futuro bem próximo, o paciente
poderá levar de um médico para outro o CD com informações sobre a própria saúde.
Bem-vindo à era digital!
- 17 -