Você está na página 1de 59

CERTIFICAO DIGITAL E ASSINATURA DIGITAL: A EXPERINCIA DA USP Conceitos e problemas envolvidos

Agenda Histrico Conceitos Aplicaes na USP Recomendaes

Assinatura e Certificao Digital

Objetivo => garantir a equivalncia funcional legal entre documentos analgicos e digitais

Fragilidades do meio digital


Sites clonados E-mails forjados Arquivos adulterados Dificuldade de comprovar fraudes Dificuldades com autenticidade, integridade, sigilo, tempestividade

Certificao Digital (confiana)

Meio Digital

Certificao Digital
Aspectos Jurdicos Aspectos Tecnolgicos Aspectos Culturais

Aspectos Jurdicos
equivalncia funcional entre a assinatura digital e uma assinatura manuscrita lavrada em papel eficcia probatria: verificao a qualquer momento (acessibilidade) se o contedo assinado foi alterado (integridade) e garantir a identificao do assinante (autenticidade)

Aspectos Tecnolgicos
Disseminao da tecnologia Garantias oferecidas Aplicaes com baixo custo

Aspectos Culturais
Cultura do papel Falta de confiana na tecnologia Benefcios no visveis Tradicional resistncia mudana Desconforto com o mundo digital No abrangncia (excluso digital) Custos

Conceitos

Mundo Digital x Analgico


Assinatura: marca pessoal empregada para designar autoria, visto ou aprovao Autenticao: ato pelo qual algo reconhecido como verdadeiro Certificao: afirmao de certeza

Mundo Digital x Analgico


Mundo analgico (papel)
Contedo escrito visvel (leitura) Original o primeiro suporte Suporte de difcil duplicao Assinatura (marca) faz parte do contedo

Mundo digital
Contedo acessvel (localizvel, interpretvel) Original o formato original (integridade)
documentos digitalizados ou impressos so cpias cpias de arquivos so originais

Assinatura (autenticidade + integridade)

Autenticidade
garantia da identificao e associao do autor ao contedo => no repdio

Integridade
possibilidade de verificar a qualquer momento se o contedo assinado est ntegro (peritos fazem isso no papel)

Assinatura no mundo digital

Digitalizada Baseada em biometria Digital

Assinatura Digitalizada

Digitalizao da assinatura manuscrita Pode ser obtida de modo esttico ou dinmico Imagem Seqncia de bits que pode ser colada e copiada No pode garantir integridade nem autenticidade do contedo

Assinatura baseada em biometria


Utiliza padres biomtricos (digital, ris, voz, DNA, geometria do rosto etc.) Mtodo de identificao Controle de acesso lgico (senhas) e fsico (catracas, portas) Seqncia de bits que pode ser colada e copiada No pode garantir integridade nem autenticidade do contedo

Passaporte Biomtrico (e-Passporte)

Fonte: Wikimedia Commons

Assinatura digital
Equivalncia funcional em relao a assinatura manuscrita Possibilita verificar se o contedo assinado foi alterado (integridade) Pode garantir a identificao do assinante (autenticidade) em conjunto com Certificao Digital Garante vnculo lgico entre um documento e a assinatura

Assinatura Digital

diferente de
Assinatura Digitalizada

Certificao Digital
Atividade de reconhecimento em meio eletrnico que se caracteriza pelo estabelecimento de uma relao nica, exclusiva e intransfervel entre uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao. Esse reconhecimento inserido em um certificado digital por uma autoridade certificadora.

Mundo Analgico
Secretaria de Segurana Pblica (SSP)

Mundo Digital
Autoridade Certificadora (AC)

RG

Certificado Digital

Certificado Digital
Documento emitido e assinado digitalmente por uma autoridade certificadora, que contm dados que identificam seu titular e o relaciona sua respectiva chave-pblica.
arquivo que contm informaes de identificao do titular Documento eletrnico que identifica pessoas. Espcie de RG eletrnico atesta a titularidade de uma chave criptogrfica a vinculao entre o certificado e o titular garantida pela Autoridade de Registro tem prazo de validade (a evoluo das tcnicas de criptoanlise pode invalidar um Certificado)

------------------------------------------- - - - --------------- --- - - ---------------- - - --

Chave Privada
arquivo de uso privativo do proprietrio da chave utilizado para cifrar (criptografar) mensagens no processo de assinatura eletrnica pode ser armazenado no computador atravs de software de utilizao ou ainda estar em outro meio fsico como um CD, pen-drive ou token normalmente a chave privada protegida por uma senha jamais dever ser enviada ou copiada para outras pessoas

Chave Pblica
arquivo de acesso pblico usada para descriptografar uma mensagem criptografada por uma chave privada ou, criptografar uma mensagem que s poder ser descriptografada pela chave privada no contexto da assinatura digital, usada para a autenticao

Autoridade Certificadora (AC)


Entidade de confiana do solicitante do Certificado Digital para garantir a identidade dos envolvidos numa operao eletrnica.

Autoridade de Registro (AR)


Entidade responsvel pela identificao presencial do solicitante de um Certificado Digital.

Ciclo de vida do Certificado Digital


Inicializao
Cadastramento do titular Gerao do par de chaves Criao / Entrega / Publicao

Utilizao
Busca / Validao

Cancelamento
Vencimento (fim da validade) Revogao (comprometimento da chave privada, comprometimento da chave da AC, alterao de dados do titular, fim do propsito) Arquivamento da chave

Tempestividade
possibilidade de comprovar que um evento eletrnico ocorreu em um determinado instante no sinnimo de temporalidade Autoridade de Tempo (Observatrio Nacional) Carimbo de tempo Selo cronolgico digital (estampilha temporal)
comprova que um documento existia num determinado instante (data e hora) que o documento no sofreu alterao desde ento que o documento no foi substitudo por outro

Resumo de mensagem

------------------------------------------- - - - --------------- --- - - ---------------- - - --

Hash

QGR5687%$DTW5H

Resumo de mensagem
----------------------------------------------------------------------------------- - - - ----- -------------------------------------------------- - - ------ - ------------------------------- --- - - ------ ------------- - -- - ------------------------- -- -- --- - - ------- --- -------------------------- -- -- ---- --- ------------------------ -- -- ---- --- ---------------- - - --

Hash

IUIY%#$%$DTW5H

Hash

OEYK$#45DTW436

Hash

PO6TR$#POL8F45

O resumo de mensagem nico

------------------------------------------- - - - --------------- --- - - ---------------- - - --

Hash

QGR5687%$DTW5H

------------------------------------------- - - - --------------- --- - -AAAA ----------- - - --

Hash

R76TWFERITS08$T

Assinatura Digital
------------------------------------------- - - - --------------- --- - - ---------------- - - --

Hash

QGR5687%$DTW5H (resumo)

Chave Privada

Cifragem

GHETAR&32QWQE (resumo cifrado)

Validao da Assinatura Digital


------------------------------------------- - - - --------------- --- - - ---------------- - - --

Hash

QGR5687%$DTW5H (resumo)

Comparao

GHETAR&32QWQE (resumo cifrado)

Decodificao

QGR5687%$DTW5H (resumo)

Chave Pblica

Processo de Assinatura Digital


gerao do resumo de mensagem criptografia do resumo com a chave privada

Processo de validao
gerao do resumo de mensagem a partir do texto recebido descriptografia do resumo recebido com a chave pblica comparao dos resumos (recebido e gerado localmente)

Calcular hash

Criptografar com chave privada

Assinatura

Documento Assinado Digitalmente

Calcular hash

Descriptografar com chave pblica Validao

Comparar

Equivalncia funcional
Mundo analgico texto + marca pessoal => doc. Assinado
------------------------------------------- - - - --------------- --- - - ---------------- - - --

=>

------------------------------------------- - - - --------------- --- - - ------

Mundo digital resumo + chave pessoal => doc. Assinado


QGR5687%$D TW5H

=>

U*&YUI7TDP8

Infra-estrutura de Chaves Pblicas (ICP)


sistema de confiana, no qual duas partes (pessoas ou computadores) confiam mutuamente em uma Autoridade Certificadora (AC) para verificar e confirmar a identidade de ambas as partes tambm conhecida com PKI (Public Key Infrastructure)

Infra-estrutura de Chaves Pblicas (ICP)


Criptografia assimtrica
chaves pblica e privada

Hash Assinatura Digital


Padres Processos de assinatura e verificao

Certificao Digital
Autoridade Certificadora (AC) Autoridade de Registro (AR)

ICP-Brasil
Medida Provisria 2.200-2 de 24/08/2001 modelo isolado (nica AC Raiz) e hierarquizado AC-Raiz operacionaliza e audita as ACs abaixo, dela na hierarquia, mas no emite certificado para usurios finais Comit Gestor como Autoridade de Polticas ITI (Instituto de Tecnologia da Informao) a AC-Raiz http://www.iti.gov.br

ICP-Edu
ICP no mbito acadmico Grupo de Trabalho na Rede Nacional de Ensino e Pesquisa (RNP) envolvendo diversas universidades Disponibilizao, sem custos e de maneira facilitada, de certificados digitais para alunos, professores, funcionrios ou pesquisadores acadmicos AC-Raiz na RNP Certificados da ICP-EDU no tero valor jurdico Caractersticas alinhadas ao ambiente acadmico: experimentao, capacitao, domnio da tecnologia

Medida Provisria 2.200-2 de 24/08/2001


I Artigo 10 - Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. I 1 - As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei no 3.071, de 1 de janeiro de 1916 - Cdigo Civil. 2 - O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento

No Estado de So Paulo
Decreto estadual 48.599 de 12/04/2004
Artigo 2 - Os servios de certificao digital, descritos no anexo ao presente decreto, sero obrigatoriamente contratados com a Imprensa Oficial do Estado S.A . - IMESP, que atuar como Autoridade Certificadora - AC e Autoridade de Registro - AR, nos termos da normatizao de regncia

Tipos de Certificado
Assinatura (A1, A2, A3, A4) assinatura de documentos, transaes eletrnicas, e-mail seguro Sigilo (S1, S2, S3, S4) cifragem de documentos, mensagens, dados para garantir sigilo Documentos com assinatura podem ser verificados mesmo com o extravio da chave privada => usa-se a chave pblica Documentos com sigilo no podem mais ser acessados sem a chave privada Exigncia do padro X.509

Tipos de Certificado
Tipo A1 e S1 A2 e S2 A3 e S3 A4 e S4 Chave 1024 bits 1024 bits 1024 bits 2048 bits Gerao software hardware hardware hardware Validade 1 ano 2 ano 3 ano 4 ano

Alguns Usos no Brasil


e-CPF / e-CNPJ Sistema de Pagamentos Brasileiro Cartrios (f pblica em cpias eletrnicas) Receita Federal Trmite interno entre Presidncia da Repblica e Ministrios Peticionamento eletrnico SEFAZ/SP

Aplicaes na USP

Aplicaes na USP
Documentos como histricos, atestados e certides disponibilizados em meio digital Publicaes Mensagens de correio eletrnico Autorizaes Assinatura de documentos oficiais Assinatura de solicitaes, requerimentos etc. Certificado de autenticidade de documentos e reprodues em meio digital

Autenticao simples (usurio/senha)

Autenticao Simples
Aprova (S/N)? Sistema

jcarlos

Sim

dbhsdh s sasdsk kjskdks sdjhcs kchs Aprovado por: jcarlos

Assinatura eletrnica, gerenciada por servidor de contedo

Assinatura Eletrnica
Aprova (S/N)? Assinar Sistema Documento com assinatura eletrnica
dbhsdh s sasdsk kjskdks sdjhcs kchs Aprovado por: jcarlos

Servidor

jcarlos

Sim

EHUCA KLAJYT983221I300EKS

Assinatura digital com ferramenta externa

Assinatura Digital
Documento a ser assinado digitalmente Ferramenta externa de Assinatura Documento assinado digitalmente

Sistema

jcarlos

jcarlos ape assinatura digital

dbhsdh s sasdsk kjskdks sdjhcs kchs Aprovado por: jcarlos

9hh4jek 2ueyiu32hiu 982y 2oiru2

Instruo Normativa APE/SAESP-1


Artigo 2 II Arquivo digital - conjunto de bits que formam uma unidade lgica interpretvel por computador e armazenada em suporte apropriado. Artigo 8 As mensagens de correio eletrnico e seus anexos so documentos arquivsticos digitais quando produzidas ou recebidas no exerccio de funo ou atividade do rgo ou entidade, e devero integrar os programas de gesto arquivstica de documentos, observando os Planos de classificao de documentos, aprovados pelo Arquivo Pblico do Estado.

Instruo Normativa APE/SAESP-1


Artigo 9 Os documentos produzidos a partir de sistemas informatizados e bases de dados, gerados por rgos e entidades no exerccio de suas funes e atividades, e que tenham formas fixas e contedos estveis, so considerados documentos arquivsticos digitais. Artigo 24 Os riscos decorrentes da obsolescncia tecnolgica devem ser evitados com o monitoramento permanente dos avanos tecnolgicos, aes rotineiras de manuteno e aplicao de tcnicas de preservao digital comumente utilizadas, tais como migrao, emulao, encapsulamento e converso de dados.

Instruo Normativa APE/SAESP-1


Artigo 25 Os riscos decorrentes da dependncia de fornecedor ou fabricante de software, hardware e formato devem ser evitados com a migrao, com a utilizao de solues independentes e de padres abertos de formatos de arquivo, de ampla aceitao por organismos oficiais, em mbito nacional e internacional, e de recursos tecnolgicos estveis e consolidados no mercado. Artigo 30 A assinatura e a certificao digitais devem utilizar infra-estrutura de chaves pblicas, nos termos da lei, observadas as disposies do Decreto estadual 48.599, de 12-4-2004, que regula a contratao da prestao de servios de certificao digital no mbito da Administrao Pblica Estadual.

Recomendaes para implantao

Recomendaes
Implantao gradativa da tecnologia Utilizao de assinatura digital apenas onde estritamente necessrio Projeto piloto Treinamento e Capacitao

Recomendaes
Projeto-piloto para assinatura, com escopo restrito
um sub-fluxo definido (recorte por processo) um conjunto de documentos definido (recorte por contedo) um nmero controlado de usurios, como, por exemplo, os usurios da rea jurdica (recorte por usurios) uma combinao de recortes onde um grupo de usurios atua sobre um conjunto definido de documentos em um ou mais sub-fluxos

Recomendaes
Treinamento e Capacitao
Palestras e workshops peridicos de divulgao dos aspectos da tecnologia Treinamento dos usurios diretamente envolvidos no projeto piloto (disseminao) Capacitao das equipes de informtica, dos analistas de negcio e de suporte

Boas prticas
Memorizar as senhas e no as compartilhar com ningum a senha de acesso chave privada Proteger o computador de acesso no-autorizado, mantendo-o fisicamente seguro Ao sair da mesa de trabalho, utilizar um protetor de tela com senha ou desligar o computador Usar produtos de controle de acesso ou recursos de proteo ao sistema operacional (como uma senha de sistema ou protetor de tela ativado por senha) Tomar medidas para proteger o computador de vrus No utilizar como senhas dados pessoais, palavras dicionarizadas, datas ou somente nmeros, pois so senhas de fcil descoberta

Boas prticas
Em um local acessvel a vrias pessoas, como em um escritrio, usar produtos de controle de acesso ou recursos de proteo do sistema operacional, como uma senha ou protetor de tela com senha Manter atualizados o sistema operacional e os aplicativos, pois verses mais recentes contm correes que levam em considerao as vulnerabilidades mais atuais No instalar o Certificado com a chave privada em computadores de uso pblico Em caso de suspeita de comprometimento da chave pblica, seja por uma invaso sofrida no computador ou pelo surgimento de operaes associadas ao uso da chave que no sejam de conhecimento do seu proprietrio, a revogao do certificado deve ser solicitada o mais rpido possvel Autoridade Certificadora responsvel pela sua emisso

Obrigado pela participao!

Silvio de Paula Departamento de Informtica depaula@usp.br