Apostila Certificacao Digital Tec

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR
Plataforma de Desenvolvimento Pinho Paran
Nivelamento Terico em Certificao Digital da CELEPAR para Profissionais em Informtica
Apostila
Verso 1.1
Abril-2007
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
Sumrio
MDULO 1 Contextualizando a Certificao Digital.......................................................5 1.1 Caminhando para um mundo cada vez mais digital....................................................5 1.2 Certificao Digital no contexto das tecnologias da informao..................................5 1.3 Assinatura e Certificao Digital no contexto das tecnologias para GED...................5 1.4 Certificao Digital como componente de confiana ..................................................5 MDULO 2 - Vulnerabilidades e necessidades de segurana .........................................6 2.1 A fragilidade das redes abertas....................................................................................6 . 2.2 Vulnerabilidades no correio eletrnico e stios Internet................................................6 2.3 Vulnerabilidades com documentos e processos eletrnicos........................................6 2.4 Certificao Digital: segurana e eficcia probatria ..................................................7 MDULO 3 - Conceitos fundamentais ..................................................... ........................7 . 3.1 Aspectos tecnolgicos, jurdicos e culturais da Certificao Digital.............................7 3.2 Alguns conceitos bsicos.............................................................................................7 . 3.3 Requisitos para equivalncia entre documentos analgicos e digitais........................8 3.4 Documento eletrnico..................................................................................................8 . 3.5 Conceito de escrito, original e assinatura em papel X eletrnico................................9 3.6 Requisitos para assinatura em documentos eletrnicos..............................................9 3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e digital.........................9 MDULO 4 - Infra-estrutura de Chaves Pblicas ICP(PKI)..............................................10 4.1 Componentes da Certificao Digital...........................................................................10 4.2 Criptologia, criptografia e criptoanlise........................................................................10 . 4.3 Criptografia clssica.....................................................................................................11 . 4.4 Criptografia simtrica ..................................................................................................11 . 4.5 Exerccio 1: a importncia do no compartilhamento de segredo ..............................12 4.6 Principais algoritmos para criptografia simtrica..........................................................12 4.7 Criptografia assimtrica ou de chaves pblicas...........................................................12 4.8 Principais algoritmos para criptografia assimtrica......................................................13 4.9 O algoritmo RSA ....................................................................................................... 13 .... 4.10 Premissas de confiana para chaves pblicas e privadas.........................................14 4.11 Garantia de sigilo de contedos com criptografia assimtrica...................................14 4.12 Vantagens da combinao da criptografia simtrica com a assimtrica...................15 4.13 Criptografia com XML................................................................................................16 . 4.14 Perspectivas com o surgimento da criptografia quntica...........................................16 4.15 Funes hash (resumo de mensagens).................................................. ..................18 . 4.16 Garantia de integridade de contedos eletrnicos com cdigos hash......................18 4.17 Principais algoritmos para resumos de mensagens...................................................19 4.18 Assinatura Digital: componentes, padres e processos ...........................................19 4.19 Assinatura Digital com XML.......................................................................................20 . 4.20 Certificados Digitais: fundamentos, gerao, validao e revogao.......................20 4.21 Gesto de Chaves (XKMS)........................................................................................21 . 4.22 Autoridades Certificadoras e Autoridades de Registro...............................................21 4.23 Autenticidade e autenticao com certificados digitais..............................................22 4.24 Hierarquia de uma ICP e certificao cruzada...........................................................22 4.25 Normas e padres para operacionalizao de uma ICP...........................................23 4.26 Modelos de ICP e sua utilizao em alguns pases do mundo..................................23 4.27 O modelo de ICP adotado pelo Brasil........................................................................24 MDULO 5 - ICP-Brasil Infra-estrutura de Chaves Pblicas Brasileira.........................25 5.1 Principais documentos.................................................................................................25 . 5.2 Natureza pblica da atividade......................................................................................25 . 5.3 Concepo organizacional, polticas e prticas de segurana....................................26 5.4 Autoridade Certificadora Raiz AC-Raiz.....................................................................26 . 5.5 Hiptese fundamental e caminho de certificao................................................... .....26 . 5.6 Certificao cruzada na ICP-Brasil..............................................................................26 . 5.7 Controles de segurana na AC-Raiz da ICP-Brasil......................................................26
5.8 Credenciamento de ACs e ARs na ICP-Brasil..................................................... ........27 . 5.9 Hierarquia atual (ACs e ARs credenciadas)...............................................................28 . 5.10 Tipos de Certificados da ICP-Brasil........................................................... ................28 . 5.11 Nveis de segurana dos certificados................................................. .......................28 . 5.12 Aplicaes para Certificados de Assinatura...............................................................28 5.13 Aplicaes para Certificados de Sigilo.......................................................................29 . MDULO 6 - Tempestividade Digital.................................................................................30 . 6.1 Importncia para Assinatura e Certificao Digital.................................................. ....30 . 6.2 Autoridade Certificadora de Tempo..............................................................................30 . 6.3 Sincronismo do tempo.................................................................................................30 . 6.4 Carimbos de tempo (selo cronolgico digital)..............................................................30 6.5 Protocolos digitais........................................................................................................30 . 6.6 Regulamentao na ICP-Brasil....................................................................................31 . 6.7 Abordagens para viabilizar a tempestividade no ambiente virtual...............................31 MDULO 7 - Aspectos Jurdicos.......................................................................................32 . 7.1 Evoluo das tecnologias da informao versus evoluo da legislao...................32 7.2 Arcabouo legal para Certificao e Tempestividade Digital.......................................32 7.3 Leis modelo das Naes Unidas UNCITRAL............................................................32 7.4 Diretiva europia 93/99................................................................................................39 . 7.5 Legislao norte-americana e-Sign.......................................................... ................39 . 7.6 O nascimento da Certificao Digital no Brasil com Decreto 3.587/2000...................40 7.7 Medida Provisria 2.200-2 e sua importncia para eficcia probatria.......................40 7.8 Resolues do Comit Gestor da ICP-Brasil...............................................................43 7.9 A importncia da Resoluo N 36 da ICP-Brasil.................................................... ....43 . 7.10 Projetos de Lei em tramitao no Congresso Nacional.............................................54 7.11 Perspectiva de criao de Lei para Certificao Digital.............................................55 7.12 Autenticao de assinaturas digitais e de cpias eletrnicas....................................55 7.13 Exerccio 2: digitalizao e autenticao com f pblica ..........................................55 7.14 Requisitos para autenticao de documentos digitalizados......................................55 7.15 Validade jurdica X eficcia probatria de documentos eletrnicos...........................56 MDULO 8 - Aplicaes para Certificao e Tempestividade Digital................................57 8.1 Certificao de dados, documentos, mensagens eletrnicas e agentes.....................57 8.2 Autenticao para acesso seguro a servidores Web...................................................57 8.3 Assinaturas em documentos originais e cpias eletrnicas.........................................57 8.4 Integridade e autenticidade no trmite de documentos eletrnicos.............................58 8.5 Exerccio 3: garantia de sigilo, integridade e autenticidade ........................................59 8.6 Demonstrao de uso de assinatura de documentos eletrnicos*..............................59 8.7 Aplicao para integridade e autenticidade na guarda de documentos......................59 8.8 Aplicaes para e-mail, Web, dispositivos mveis e redes virtuais ............................59 8.9 Normas, iniciativas e potencial de utilizao................................................................60 8.10 Resoluo do Conselho Federal de Contabilidade ...................................................60 8.11 Instruo normativa do Superior Tribunal do Trabalho para peties .......................60 8.12 Ajuste CONFAZ para uso de Nota Fiscal eletrnica NF-e.........................................60 8.13 Autoridade Certificadora do Judicirio AC-Jus........................................................61 8.14 Iniciativas para popularizar o uso da Certificao Digital no Brasil...........................61 8.15 Situao e principais aplicaes em outros pases................................................. ..61 . MDULO 9 - Integrao com as principais tecnologias para GED...................................62 9.1 Document Imaging com Certificao Digital............................................................ ....62 . 9.2 Forms Processing com Certificao Digital...................................................... ...........62 . 9.3 Document Management com Certificao Digital........................................................62 9.4 EDMS com Certificao Digital....................................................................................63 . 9.5 COLD/ERM com Certificao Digital.......................................................... .................64 . 9.6 Workflow/BPM com Certificao Digital.......................................................................65 9.7 ECM com Certificao Digital......................................................................................65 . MDULO 10 - Abordagens para viabilizao da Certificao Digital................................67 10.1 Definio para utilizao dentro ou fora da ICP-Brasil..........................................67 3
10.2 Abordagem considerando a gesto como pr-requisito.............................................67 10.3 Abordagem com nfase para tecnologias..................................................................67 10.4 Consideraes sobre foco, demandas, atividade fim e porte....................................67 10.5 Aplicaes com baixo custo e retorno do investimento ............................................68 10.6 Exemplos de abordagens para viabilizao da Certificao Digital..........................68 MDULO 11 - Desafios, perspectivas e consideraes finais...........................................69 11.1 Principais desafios tecnolgicos com questes ainda em aberto..............................69 11.2 Assinatura Digital de longa durao...........................................................................69 . 11.3 Um importante desafio cultural...................................................... ............................69 . 11.4 Recomendaes para quebrar barreiras e facilitar a viabilizao.............................70 11.5 Mitos e realidade em torno da Certificao Digital.....................................................70 11.6 Consideraes sobre segurana, riscos e padronizao...........................................70 11.7 Os cinco estgios da aquisio de conhecimentos ...................................................70 11.8 Principais benefcios da Certificao e Tempestividade Digital.................................71 11.9 Referncias para estudo............................................................................................71 . MDULO 12 Ferramentas em Software Livre com Certificao Digital.........................72 12.1 Tabelio (Componentes e Gerenciamento).................................................... ...........72 . 12.2 E-mail (Mozilla-Thunderbird)......................................................................................72 . 12.3 WEB (Mozilla-Firefox) Aplicativos disponveis......................................................... 72 12.4 Assinador (ITI e cryptonit) .........................................................................................72 .
MDULO 1 Contextualizando a Certificao Digital

1.1 Caminhando para um mundo cada vez mais digital
notrio que estamos evoluindo para um mundo cada vez mais digital. O sonho de migrar os documentos em papel para equivalentes eletrnicos e autenticar pessoas no mundo virtual j est se tornando realidade em muitas organizaes. Os especialistas so unnimes em afirmar que a Certificao Digital hoje um caminho sem volta e, por algum tempo, ser um importante diferencial competitivo, mas que, em breve, ser uma necessidade de sobrevivncia de qualquer organizao. Porm, na maior parte das organizaes esse tema ainda considerado complexo, confuso e de difcil viabilizao. Este treinamento tem como principal objetivo proporcionar um nivelamento terico sobre Certificao Digital, destacando os principais aspectos tecnolgicos, jurdicos, culturais, aplicaes e abordagens para viabilizao.
1.2 Certificao Digital no contexto das tecnologias da informao

A Assinatura e Certificao Digital so componentes de Tecnologia da Informao aplicveis para segurana da informao, especialmente para autenticidade de contedos e processos eletrnicos, autenticao de agentes no ambiente virtual e combinada com aspectos jurdicos pode garantir eficcia probatria no mundo digital. Hoje, sua aplicao considerada indispensvel no Gerenciamento de Documentos Eletrnicos (GDE), Gesto Eletrnica de Documentos (GED) e gesto corporativa de contedos no estruturados (ECM).
1.3 Assinatura e Certificao Digital no contexto das tecnologias para GED

Na Gesto Eletrnica de Documentos - GED, a Certificao Digital pode desempenhar um papel fundamental porque possibilita garantir equivalncia funcional-legal entre documentos analgicos e digitais. Assim pode permitir que documentos em papel sejam migrados para documentos eletrnicos.
1.4 Certificao Digital como componente de confiana

A certificao digital a tecnologia que permite s pessoas comprovarem sua identidade no mundo digital. Com o certificado possvel assinar documentos digitais e garantir, com segurana, o sigilo das comunicaes e dos dados transmitidos por meio eletrnico. A certificao pode garantir a autenticidade de documentos eletrnicos, dar maior agilidade ao trmite de documentos, ampliar a prestao de servios de Governo Eletrnico, alm de garantir o sigilo das comunicaes e o combate a fraudes. A Certificao Digital proporciona ainda a reduo do uso de papis, uma vez que os documentos podem ser armazenados digitalmente.
MDULO 2 - Vulnerabilidades e necessidades de segurana

2.1 A fragilidade das redes abertas
Hoje, a compra on-line, por exemplo, apesar de proporcionar inmeras vantagens, ainda no uma prtica muito adotada em decorrncia da falta de segurana na troca de dados. O Internet banking tambm surgiu como alternativa para proporcionar comodidade e segurana aos clientes com possibilidade de fazer movimentaes bancrias sem precisar sair de casa. Mas, a todo instante ouvimos falar a respeito de algum que teve prejuzos financeiros em decorrncia de roubo de senha ou nmero do carto nos prprios ambientes virtuais dos bancos ou lojas. A questo da insegurana na Internet no se resume utilizao do Internet banking ou do comrcio eletrnico. Os vrus e todas as outras pragas eletrnicas "plantadas" em nossos computadores so uma ameaa constante. A possibilidade de ter sistemas invadidos, dados roubados e contedos violados, so fatores que desmotivam a populao a adotar mais uma rede aberta como a Internet. Precisamos buscar solues efetivas para esses problemas. Governos, empresas de telecomunicaes e segurana, provedores de acesso, profissionais da rea e tambm os internautas precisam dar sua cota de contribuio. Precisamos todos buscar mais conhecimento e tomar as atitudes cabveis para termos mais segurana na Web. necessrio empenho para busca de solues, principalmente por parte das grandes empresas de segurana, dos rgos que regulamentam a Internet e tambm do Poder Judicirio. A comunicao atravs da Internet vai proporcionar uma modificao contundente na forma de se fazer negcios. Mas, para isso, precisamos criar condies mais favorveis.
2.2 Vulnerabilidades no correio eletrnico e stios Internet

Stios Internet muitas vezes oferecem servios personalizados para suas preferncias individuais baseando-se na informao pessoal fornecida pelo internauta. Por exemplo, alguns stios de compra poupam tempo retendo informaes. Como j sabemos, nem todos os stios so confiveis o bastante no uso de informaes pessoais. Indivduos inescrupulosos empregam uma fraude conhecida como phishing para configurar uma aparncia convincente de um stio legtimo. Eles tentam persuadir o internauta a visitar esse stio e acabam descobrindo informaes pessoais, como o nmero de carto de crdito, por exemplo. Phishing o ato de atrair algum para uma pgina web falsa. Um mtodo comum mandar um e-mail que aparenta ter sido enviado de uma fonte segura, mas que contm um link para um stio falso. O stio falso projetado para aparentar o stio legtimo no esforo de enganar o internauta a revelar informao pessoal ou fazer o download de um vrus. Outro tipo de ataque conhecido como Spoofing (Falsificao) e comumente usado com o phising. Nesse caso, o stio falso usualmente projetado para aparentar o stio legtimo, s vezes usando componentes do stio legtimo.
2.3 Vulnerabilidades com documentos e processos eletrnicos

Muitos riscos e inseguranas cercam o trmite e armazenamento de documentos e processos eletrnicos em especial a falta das seguintes garantias: da integridade, da autenticidade, do sigilo, da tempestividade e tambm a falta de segurana jurdica. A tomada de deciso baseada em um contedo eletrnico armazenado ou recebido por e-mail pode ser angustiante se houver possibilidade desse contedo estar fraudado. Da mesma forma em relao autenticidade, onde uma assinatura eletrnica ou remetente de uma mensagem pode no ser o que aparenta. Em muitos processos empresariais e de governos, a falta de garantia do sigilo dos dados
eletrnicos trafegados ou armazenados pode inviabilizar aplicaes. Outra operao vulnervel no ambiente eletrnico a tempestividade, onde os instantes de tempo quando precisam ser registrados no devem usar a hora do relgio do computador porque esse, como se sabe, pode ser facilmente alterado. Todas as operaes acima citadas requerem segurana jurdica o que significa garantir validade legal com eficcia probatria.
2.4 Certificao Digital: segurana e eficcia probatria

Diante da fragilidade das redes abertas, das vulnerabilidades em mensagens eletrnicas, dos stios Internet falsos, das operaes de risco com documentos e processos eletrnicos e da falta de segurana jurdica em operaes eletrnicas, a Assinatura e Certificao Digital se apresentam como componentes para prover necessidades de segurana e eficcia probatria do ambiente eletrnico. Podem viabilizar assinatura de documentos eletrnicos, autenticao de cpias eletrnicas, autenticidade de agentes no ambiente virtual e principalmente o trfego e armazenamento de contedos eletrnicos com autenticidade, sigilo, integridade, legalidade, no repdio, tempestividade e eficcia probatria.
MDULO 3 - Conceitos fundamentais

3.1 Aspectos tecnolgicos, jurdicos e culturais da Certificao Digital
A necessidade de tratar os aspectos tecnolgicos e jurdicos da Assinatura e Certificao Digital pode ser percebida na frase do Prof. Dr. Sergio Amadeu da Silveira que quando era presidente do Instituto Nacional de Tecnologia da Informao ITI disse COMO BEM
ALERTOU O PROFESSOR PEDRO REZENDE QUEM PODE GARANTIR A AUTENTICIDADE DE DOCUMENTOS EM FORMA ELETRNICA SO SISTEMAS CRIPTOGRFICOS APROPRIADOS OPERANDO EM CONDIES ADEQUADAS E NO A NORMA JURDICA, MAS A TECNOLOGIA DEVE SE CONSOLIDAR NA LEI. NO CIBERESPAO, O CDIGO A LEI (LESSIG). A DEMOCRACIA EXIGE LEIS SOCIALMENTE INTELIGVEIS (PARA SEREM LEGTIMAS) E DELIBERAES CONSCIENTES.
Portanto, os itens relacionados aos aspectos tecnolgicos precisam abordar as garantias
oferecidas, os requisitos mnimos e a viabilidade de aplicao com baixo custo. Quanto aos aspectos jurdicos, devem ser considerados todos os atos legais inerentes emanados pelos poderes Executivos e Legislativos e as consideraes da Doutrina Jurdica. Em relao aos aspectos culturais importante considerar o gerenciamento das mudanas para novas tecnologias dificultadas pela desigualdade social com excluso digital, pela falta de confiana nas promessas da tecnologia, pela dificuldade dos usurios para visualizar benefcios, pela resistncia natural do ser humano para mudar processos, pelo desconforto com o ambiente virtual e pela arraigada cultura do papel.
3.2 Alguns conceitos bsicos

Assinatura: marca pessoal utilizada para designar autoria ou aprovao. Certificao: afirmao de certeza ou verdade. Digital: valores representados exclusivamente em binrio e que podem ser registrados em suporte eletrnico, magntico, ptico, etc.
Analgico: representa grandezas de forma contnua que podem ser registradas em pergaminho, papel, micro-filme, etc. Autenticao: ato pelo qual algo reconhecido como verdadeiro. um termo muito usado no meio jurdico. A autenticao pode ser feita pelas seguintes formas: 1. Algo que se sabe: senha, identificao pessoal, etc. OU; 2. Algo que se tem: documento, smart card, etc. OU; 3. Algo que se : medida biomtrica como ris, digital, DNA, etc. OU; 4. Onde se est: coordenadas, GPS, etc. OU; 5. Momento da autenticao: data, hora, etc. OU; 6. Presena de testemunhas: mais de uma pessoa OU; 7. Combinao de dois ou mais fatores acima
3.3 Requisitos para equivalncia entre documentos analgicos e digitais

Um dos principais desafios atualmente para os documentos eletrn icos garantir sua eficcia probatria. Para tanto, suficiente cumprir os cinco principais requisitos para garantir equivalncia funcional-legal entre documentos analgicos e digitais que so: 1 Certificao da autenticidade; 2 Certificao da integridade; 3 - Garantia de sigilo; 4 - Certificao da tempestividade; 5 - Garantia de acessibilidade.
Dessa forma, alm da validade jurdica, os documentos eletrnicos tambm tero eficcia probatria porque haver dificuldade para serem impugnados quando forem apresentados como prova.
3.4 Documento eletrnico

Documento eletrnico aquele cujos todos os seus componentes esto em formato digital. Da mesma forma como os documentos em suporte analgico, os documentos eletrnicos tambm podem ser originais e cpias. Documentos eletrnicos originais so aqueles que foram criados em sua forma final em formato digital, enquanto que cpias eletrnicas so o resultado da converso analgico-digital. Especialistas em Direito Digital, defendem que a validade do documento eletrnico em si no deve ser questionada. Afirmam que, se um contrato verbal admitido como vlido, o contrato realizado em meio eletrnico tambm dever ser. O grande problema com que nos deparamos se relaciona eficcia do "documento eletrnico", mas especificamente a eficcia probatria. Sabemos que o meio eletrnico, por sua prpria natureza, um meio bastante vulnervel. possvel modificar um documento elaborado originariamente em meio eletrnico sem que seja vivel, ao menos facilmente, comprovar a existncia das adulteraes porventura realizadas. Alm disso, difcil constatar a autoria de um documento eletrnico, visto que normalmente neste no se encontra consignado qualquer trao de cunho personalssimo (como a assinatura para o documento escrito) que possa ligar,
sem sombra de dvida, o autor obra. Assim, por falta de um disciplinamento especfico, os especialistas preferem relacionar o documento eletrnico com uma espcie de prova sui generis, arrolada fora do captulo destinado regulamentao da prova documental. Assim, no vem bice para o magistrado apreciar, desde que lcita, a prova produzida em meio eletrnico. Todavia, o documento eletrnico deve atender a algumas peculiaridades. Isso porque, por se tratar de meio eletrnico, estamos lidando com um meio de armazenamento de informaes bastante voltil. Nesse sentido, o documento deve possuir no mnimo as seguintes caractersticas: a) permitir a identificao das partes intervenientes, de modo inequvoco, a partir de sinal ou sinais particulares e b) no possa ser adulterado sem deixar vestgios localizveis, ao menos atravs de procedimentos tcnicos sofisticados, assim como ocorre com o documento em suporte papel.
3.5 Conceito de escrito, original e assinatura em papel X eletrnico

O conceito de escrito eletrnico difere do escrito consignado em papel porque, enquanto este visvel, aquele, pelo fato de ser uma seqncia de bits, precisa de componentes tecnolgicos para ser interpretado. O conceito de original eletrnico tambm diferente do original em suporte papel, porque enquanto neste, o resultado da primeira impresso, no eletrnico, qualquer reproduo que mantenha o formato original (mesma seqncia de bits) tambm original. A assinatura em documento de eletrnico tambm difere da assinatura lavrada em papel porque pela sua volatilidade pode ser copiada e colada em qualquer documento digital.
3.6 Requisitos para assinatura em documentos eletrnicos

A eficcia probatria da assinatura digital em documentos eletrnicos requer o cumprimento de no mnimo dois requisitos: Garantia de autenticidade: Garantir a identificao e associao (ciente) do autor ao contedo de forma que uma assinatura esteja logicamente vinculada a um nico documento de forma inequvoca. Garantia de integridade: A qualquer momento poder verificar se o contedo assinado est ntegro, ou seja, invalidar a assinatura quando o contedo assinado for alterado.
3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e digital

A assinatura eletrnica gnero, tendo como espcies uma das seguintes classificaes possveis: Assinatura digitalizada: uma imagem eletrnica (digitalizao) da assinatura manuscrita e, portanto uma seqncia de bits que pode ser copiada e colada em qualquer documento eletrnico. No segura para assinar documentos eletrnicos porque no pode garantir integridade nem autenticidade do contedo assinado. Assinatura baseada em biometria: Reconhecimento de padres como impresso digital, geometria da face, ris, voz, DNA etc. Adequada para controle de acesso lgico como logins, senhas etc. e controle de acesso fsico como catracas, portas etc. Assim como a digitalizada, a assinatura baseada em biometria uma seqncia de bits que pode ser copiada e colada em qualquer documento eletrnico e, portanto tambm no pode garantir integridade nem autenticidade do contedo assinado. Assinatura Digital: Tem equivalncia funcional em relao a assinatura manuscrita lavrada em papel, possibilita a qualquer momento verificar se o contedo assinado foi
alterado (integridade), com Certificao Digital pode garantir a identificao do assinante (autenticidade), garante uma conexo (lgica) entre um documento e sua respectiva assinatura, pode ser utilizada para autenticao de cpias eletrnicas (documentos digitalizados) quando usada com Certificao Digital e pode garantir eficcia probatria de contedos e processos eletrnicos. o principal componente de uma ICP.
MDULO 4 - Infra-estrutura de Chave Pblicas s ICP(PKI)

4.1 Componentes da Certificao Digital
Os componentes da Certificao Digital so as Infra-estruturas de Chaves Pblicas, compostas por Autoridades Certificadoras que por sua vez so compostas por Autoridades de Registro. Esses componentes tem como principal objetivo prover identidades digitais para viabilizar a identificao de agentes, assinatura digital, confidencialidade e autenticao de documentos digitais. Todos esses componentes, suas funcionalidades e respectivas tecnologias envolvidas sero a seguir detalhadas.
4.2 Criptologia, criptografia e criptoanlise

CRIPTOLOGIA: "Cripto" vem do grego "kryptos" e significa oculto, envolto, escondido. Tambm do grego, "graphos" significa escrever, "logos" significa estudo, cincia e "analysis" significa decomposio. Da, CRIPTOLOGIA o estudo da escrita cifrada e se ocupa com a CRIPTOGRAFIA e com a CRIPTOANLISE. Hoje em dia a criptografia voltou a ser muito utilizada devido evoluo dos meios de comunicao, facilidade de acesso a estes meios e ao volume muito grande de mensagens enviadas. Telefone fixo e celular, fax, e-mail, etc. so amplamente utilizados e nem sempre os usurios querem que o contedo seja pblico. Devido a isto, a criptografia evoluiu muito nos ltimos tempos. Como visto acima, a criptografia a cincia de escrever mensagens que ningum, exceto o remetente e o destinatrio, podem ler. Criptoanlise a cincia de decifrar e ler estas mensagens cifradas. As palavras, caracteres ou letras da mensagem original inteligvel constituem o Texto ou Mensagem Original, como tambm Texto ou Mensagem Clara. As palavras, caracteres ou letras da mensagem cifrada so chamados de Texto Cifrado, Mensagem Cifrada ou Criptograma. O processo de converter Texto Original em Texto Cifrado chamado de composio de cifra e o inverso chamado de decifrao. Na prtica, qualquer mensagem cifrada o resultado da aplicao de um SISTEMA GERAL (ou algoritmo), que invarivel, associado a uma CHAVE ESPECFICA, que pode ser varivel e tanto o remetente quanto o destinatrio precisam conhecer o sistema e a chave. A criptologia existe como cincia h apenas 20 anos. At ento era considerada como arte. A International Association for Cryptologic Research (IACR) a organizao cientfica internacional que mantm a pesquisa nesta rea.
10
A criptologia se preocupa basicamente com a segurana de informaes. A segurana da informao se manifesta de vrias formas, de acordo com a situao e as necessidades. At recentemente, informaes importantes eram escritas, autenticadas, armazenadas e transmitidas utilizando-se papel e tinta. Com o advento dos computadores, dos meios magnticos de armazenamento e das telecomunicaes, a possibilidade de se produzir milhares de documentos idnticos faz com que fique muito difcil (ou at mesmo impossvel) distinguir as cpias do original. A identificao, validao e autorizao de um documento eletrnico exigem tcnicas especiais. A criptografia uma delas. CRIPTOGRAFIA: A palavra Criptografia tem sua origem no Grego: kryptos significa oculto, envolto, escondido, secreto; graphos significa escrever, grafar. Portanto, criptografia significa escrita secreta ou escrita oculta. As formas de ocultar mensagens so as mais diversas. Existem basicamente dois tipos de criptografia: Clssica que utiliza tcnicas convencionais nos processos de ocultao da informao e Quntica que utiliza tcnicas baseadas em princpios da Mecnica Quntica. CRIPTOANALISE: Criptoanlise a cincia para quebrar uma mensagem cifrada. No o mesmo que decifrar. Decifrar obter a mensagem original quando se conhece o sistema e usando a chave tambm conhecida. Quebrar hackear o sistema e descobrir a chave. Texto extrado de http://www.numaboa.com.br/criptologia/intro.php em 30/03/07.
4.3 Criptografia clssica

Nos problemas estudados pela criptografia existem dois personagens que desejam comunicarse atravs de um canal inseguro. Toda a comunicao, entretanto, pode ser interceptada por um terceiro personagem, que no deveria tomar conhecimento da informao trocada. Para cifrar uma mensagem precisa-se de um algoritmo, e uma certa informao adicional (chamada chave), alm da prpria mensagem. Para um sistema de criptografia ser seguro ele deve ser tal que seja impossvel decifrar a mensagem cifrada (criptograma) sem a posse da chave. O criptograma pode at ser lido, mas no pode, em hiptese alguma, ter revelado seu contedo original. Na prtica, como esse requisito muito difcil de ser alcanado, aceita-se que o sistema seja muito difcil de ser quebrado, permitindo que a mensagem permanea oculta pelo menos enquanto aquela informao for importante. Os algoritmos da criptografia clssica podem ser divididos em duas categorias: os simtricos (ou de chave secreta) e os assimtricos (ou de chave pblica). Os primeiros so aqueles nos quais o remetente e destinatrio compartilham a mesma chave. Os algoritmos assimtricos so aqueles nos quais o remetente publica uma chave que serve para cifrar as mensagens a ele enviadas, mas ao mesmo tempo possui uma chave privada, somente com a qual ele pode decodificar as mensagens recebidas.
4.4 Criptografia simtrica

A criptografia simtrica utiliza uma nica chave para cifrar e decifrar contedos eletrnicos e tem a vantagem de ser muito rpida comparada a criptografia assimtrica. Porm, tem dois principais inconvenientes: 1) o remetente e destinatrio precisam compartilhar o segredo (chave) atravs de um canal confivel; 2) tem o inconveniente da multiplicao de chaves, porque para cada par remetente/destinatrio pode ser necessria uma chave diferente.
11
4.5 Exerccio 1: a importncia do no compartilhamento de segredo

Nos tempos Coloniais: Como D. Joo VI de Portugal, poderia comunicar-se em sigilo com D. Pedro I no Brasil sem compartilhar segredo? 1. D. Joo e D. Pedro tm um nico ba que pode ser fechado com cadeado. 2. D. Joo tem o seu cadeado com a respectiva chave. 3. D. Pedro tem outro cadeado com a respectiva chave. 4. D. Joo est visitando D. Pedro no Brasil e deseja criar um processo para trocar mensagens utilizando o ba sem compartilhar segredo, ou seja, D. Joo no deve conhecer a chave do cadeado de D. Pedro e vice versa. 5. Vamos ajudar D. Joo a criar esse processo passo a passo.
4.6 Principais algoritmos para criptografia simtrica

DES: (Data Encryption Standard) 56 bits, criado pela IBM em 1977. Quebrado em 1997. 3DES: Triple DES, tripla codificao utilizando 3 vezes o DES. Criado no incio da dcada de 90. muito lento para grandes volumes. AES: (Advanced Encryption Standard) 128 ou 256 bits. Nomeado em 2001 do Rijndael a partir de um concurso vencido em 2000 patrocinado pelo NIST. Atualmente o mais utilizado.
4.7 Criptografia assimtrica ou de chaves pblicas

A maneira de contornar os problemas da criptografia simtrica a utilizao da criptografia assimtrica ou de chave pblica. A criptografia assimtrica est baseada no conceito de par de chaves: uma chave privada e uma chave pblica. Qualquer uma das chaves utilizada para cifrar uma mensagem e a outra para decifr-la. As mensagens cifradas com uma das chaves do par s podem ser decifradas com a outra chave correspondente. A chave privada deve ser mantida secreta, enquanto a chave pblica pode ser disponibilizada livremente. Exemplo de funcionamento: 1. A pessoa A que deseja se comunicar de maneira segura obtm uma chave de criptografia (pblica) e a sua correspondente chave de decriptografia (privada). 2. A pessoa B que deseja se comunicar com A precisa encontrar a chave pblica de A e criptografar a mensagem utilizando esta chave. 3. Quando A receber a mensagem criptografada pela pessoa B vai decriptograf-la utilizando a sua chave privada (que s o A tem). 4. Caso um intruso intercepte a mensagem criptografada, no poder fazer nada com ela, pois no possui a chave privada e, portanto, no conseguir decriptograf-la. Nem mesmo a pessoa B, que gerou a mensagem criptografada, ser capaz de recompor a mensagem original, pois tambm no possui a chave privada. A grande vantagem deste sistema permitir que qualquer pessoa possa enviar uma mensagem, bastando para tanto conhecer a chave pblica de quem ir receber a mensagem. Como a pessoa titular da chave pblica ir torn-la amplamente disponvel, no h necessidade do envio de chaves como feito no modelo de criptografia simtrica. Enquanto a chave privada estiver segura, a mensagem estar resguardada de possveis intrusos.
12
4.8 Principais algoritmos para criptografia assimtrica

Diffie-Hellman: Criado em 1976. baseado em logaritmo discreto. Marca o surgimento da Criptografia Assimtrica. Pode ser usada somente para troca de chaves. No permite Assinatura Digital. ElGAmal: (Taher Elgamal) criado em 1984. Tambm baseado num problema de logaritmo discreto. Hoje vulnervel a ataques. Curvas Elpticas: Criado em 1985 por Neal Koblitz e V. S. Miller para ser usado com algoritmos Diffie-Hellman e ElGAmal. RSA: Criado em 1978 no MIT. hoje o mais utilizado em todo o mundo.
4.9 O algoritmo RSA

Para explicitar a matemtica do RSA, considera-se como Origem quem ir criptografar e enviar a informao e Destino quem ir receber e decriptografar a informao:
1. Destino escolhe dois nmeros primos gigantes, p e q. Os primos devem ser enormes,
mas para simplicidade vamos dizer que Destino escolhe p=17 e q=11. Ele deve manter esses nmeros em segredo.
2. Destino multiplica os nmeros um pelo outro para conseguir um terceiro nmero, N
(Mdulo). Neste caso, N=187. Ele agora escolhe outro nmero e (expoente). Neste exemplo, e=7.
3. Destino agora pode divulgar e (expoente) e N (Mdulo) por qualquer canal de
publicao com garantia de integridade (como um certificado digital). Como esses nmeros so necessrios para a cifragem, eles devem estar disponveis para consulta por parte de qualquer um que deseje cifrar uma mensagem para Destino. Juntos, esses nmeros so chamados de chave pblica. (Alm de ser parte da chave pblica de Destino, o e tambm pode ser parte da chave pblica de todos. Contudo, cada pessoa deve ter um valor diferente de N, que vai depender de sua escolha de p e q.).
4. Para cifrar uma mensagem, ele primeiro precisa ser convertido em um numero, M. Por
exemplo, uma palavra convertida em dgitos binrios ASCII e os dgitos binrios podem ser considerados como um nmero decimal. M ento cifrado para produzir o texto cifrado C, de acordo com a frmula. C=Me (mod N)
5. Supondo que Origem queira enviar apenas a letra X para Destino. No ASCII isto
representado por 1011000, que equivale a 88 em decimais. Assim, M=88.

6. Para cifrar sua mensagem, Origem comea procurando a chave pblica de Destino e
descobre que N=187 e e=7. Isto resulta na frmula de cifragem necessria para codificar as mensagens para Destino. Com M=88, a frmula d como resultado C=887 (mod 187) = 40.867.559.636.992 (mod 187) = 11 Origem agora envia o texto cifrado, C=11, para Destino.
13
7. Sabe-se que exponenciais em aritmtica modular so funes de mo nica, de modo
que muito difcil recuperar a mensagem original, M, a partir de C=11. Algum com acesso apenas a essas informaes no pode decifrar a mensagem.
8. Entretanto, Destino pode decifrar a mensagem porque tem uma informao especial:
conhece os valores de p e q. Calcula um nmero especial, d, a chave de decifragem, conhecida tambm como chave privada. O nmero d calculado de acordo com a seguinte frmula: e x d = 1 (mod (p-1) x (q-1)) 7 x d = 1 (mod 16 x 10) 7 x d = 1 (mod 160) d = 23
9. Para decifrar a mensagem, Destino simplesmente usa a seguinte frmula:
M= Cd (mod187) M = 1123 (mod187) = 88 = X in ASCII
4.10 Premissas de confiana para chaves pblicas e privadas

1 - Premissa pblica: O titular de um par de chaves assimtricas conhecido pela sua chave pblica. 2 - Premissa privada: O titular de um par de chaves assimtricas quem conhece a sua conhece sua chave privada
1 - A premissa pblica envolve duas crenas: 1.1 - Crena sinttica: A associao entre os bits que representam a chave pblica, e os que representam o nome do seu titular, autntica. 1.2 - Crena semntica: O nome que d ttulo chave pblica o de algum com quem se tem relao de significado.
2- A premissa privada envolve duas crenas: 2.1 - Crena sinttica: A posse e o acesso chave privada restringe-se a quem nomeado seu titular. 2.2 - Crena semntica: O uso autenticatrio da chave privada significa declarao, por parte do titular, de sua vontade ou autoria.
4.11 Garantia de sigilo de contedos com criptografia assimtrica

A garantia de sigilo de contedos eletrnicos com criptografia assimtrica em uma transmisso de dados por uma rede aberta como a Internet, por exemplo, pode ser realizada conforme figura 4.11.1 abaixo. No exemplo, o emissor criptografa um contedo normal com a chave pblica do receptor. O contedo criptografado trafega pela Internet at chegar ao receptor. O receptor para decriptografar o contedo recebido utiliza a sua chave privada e assim torna o contedo criptografado um contedo normal. O sigilo ser garantido se o receptor manteve sua chave criptogrfica secreta, porque assim somente o receptor ter condies de decriptografar o contedo recebido. importante observar que no houve compartilhamento de segredo
14
(chave). Cada um (emissor e receptor) utilizou chave diferente e a chave de quem recebeu o contedo no precisou ser compartilhada.
Figura 4.11.1: Garantia de sigilo com criptografia assimtrica
4.12 Vantagens da combinao da criptografia simtrica com a assimtrica

possvel melhorar o desempenho de um processo de criptografia, combinando a criptografia simtrica com a assimtrica: A criptografia assimtrica no adequada para decifrar grandes volumes de dados, pois mais lenta devido sua complexidade. Pode ser usado um esquema que combina criptografia simtrica com a assimtrica. Gera-se uma chave simtrica para ser usada apenas em numa sesso, documento ou arquivo a ser cifrado. Cifra-se a chave simtrica com a chave pblica do receptor e envia-se ao mesmo. Inicia-se a transmisso cifrada propriamente dita com criptografia simtrica (mais rpida). A combinao pode ser por contedo ou transmisso: Proteo de contedo: aplicada documentos digitais, mensagens de e-mail, arquivos etc. Uma vez aplicada, protege sempre o contedo, seja no armazenamento seja na transmisso. A chave simtrica cifrada com chave pblica do receptor enviada junto com o contedo. Proteo de transmisso ou sesso: S protege durante a transmisso. Antes e depois os dados ficam desprotegidos. A chave simtrica de sesso transferida no incio da sesso e destruda no final da sesso.
15
4.13 Criptografia com XML

O XML Encryption utilizado para cifrar contedos, gerando como resultado um documento padro XML. Pode-se cifrar qualquer dado incluso no XML, documento completo XML, elementos XML e contedo de um elemento XML. Alguns componentes: EncryptedData: Dados cifrados substituindo o que foi cifrado. EncryptionMethod: Algoritmo utilizado. EncryptionProperties: Informaes adicionais sobre o processo de cifragem e sobre os dados cifrados.
4.14 Perspectivas com o surgimento da criptografia quntica

O desenvolvimento da tcnica reunindo o conceito de criptografia e a teoria quntica mais antigo do que se imagina, sendo anterior descoberta da criptografia de Chave Pblica. Stephen. Wiesner escreveu um artigo por volta de 1970 com o ttulo: Conjugate Coding que permaneceu sem ser publicado at o ano de 1983. Em seu artigo, Wiesner explicava como a teoria quntica poderia ser usada para unir duas mensagens em uma nica transmisso quntica na qual o receptor poderia decodificar cada uma das mensagens, porm nunca as duas simultaneamente devido impossibilidade de violar uma lei da natureza (o Princpio de Incerteza de Heisenberg). Utilizando-se ftons, a Criptografia Quntica permite que duas pessoas escolham uma chave secreta que no pode ser quebrada por qualquer algoritmo, em virtude de no ser gerada matematicamente, mesmo se utilizando um canal pblico e inseguro. interessante notar a mudana que se processar nos mtodos criptogrficos que, atualmente, esto amparados na Matemtica, mas com a introduo desse conceito de mensagens criptografadas por chaves qunticas passam a ter na Fsica sua referncia. O conceito de Criptografia Quntica no pode se confundir com o de Computao Quntica, pois os computadores qunticos sero aqueles com capacidade de processamento inimaginavelmente maior do que os atuais, por possurem (ainda teoricamente) a capacidade de realizar clculos simultneos, o que acabaria por eliminar a segurana de mtodos de chave assimtrica, como o RSA, podendo realizar ataques de fora bruta quase que instantaneamente. A Criptografia Quntica, por sua vez, trata da utilizao de princpios fsicos da matria para permitir criar uma chave secreta que no pode ser quebrada (nem por um computador quntico). Para podermos compreender melhor como funciona um Sistema de Distribuio de Chaves Qunticas, precisaremos inicialmente entender os conceitos envolvidos na distribuio da chave atravs de um canal seguro de comunicao quntica. Do ponto de vista da teoria quntica precisamos ter em mente que o Princpio da Incerteza de Heisenberg nos permite garantir que no possvel se determinar, ao mesmo tempo, todos os estados fsicos de uma partcula sem se interferir na mesma, alterando-a de forma inegvel. Aliado a isto, temos o comportamento dos ftons, que num momento se apresentam como uma partcula noutro como uma onda e, neste caso, possuem duas caractersticas fundamentais que so seu campo magntico (B) e o campo eltrico (E). O ngulo que o campo eltrico de um fton faz em relao ao seu plano de deslocamento chamado de plano de polarizao e com essas caractersticas que iremos transmitir as informaes de uma forma totalmente segura.
16
O estabelecimento de protocolos visa facilitar os procedimentos de comunicao sem, contudo, diminuir sua segurana. No caso da Criptografia Quntica isso particularmente verdade. Os protocolos qunticos utilizam dois canais, um pblico e outro quntico. Estes canais so utilizados para se combinar a chave secreta entre o emissor e o receptor da mensagem. Atravs do canal quntico o emissor envia uma srie de ftons com polarizaes diferentes, de acordo com o protocolo adotado e que sero medidos pelo receptor de modo a formarem uma chave secreta de conhecimento somente de ambos e que pode ser alterada a cada envio de mensagem, aumentando ainda mais a segurana do mtodo. Os ftons podem ser enviados com polarizaes em quaisquer ngulos, mas a definio de alguns ngulos notveis facilita muito a medida O estabelecimento desses ngulos faz parte dos protocolos acima citados. Vamos considerar ento ftons com polarizao vertical (|), horizontal (), inclinado direita (/) e esquerda (\). Essas polarizaes sero utilizadas para se representar os 0s e 1s a serem transmitidos e podem ser combinados livremente, desde que os pares ortogonais sejam diferentes entre si (se o vertical for o 0, o horizontal ser o 1, etc.). O emissor passa, ento a enviar uma srie deles anotando a polarizao de cada um deles na ordem em que vai ser enviada. O receptor, por sua vez, prepara uma srie de filtros adequados para medir a polarizao dos ftons e passa a efetuar as medidas anotando tambm a ordem que utilizou nos filtros e o resultado que obteve. Aps uma srie de alguns ftons ele vai ter vrias medidas nas quais os ftons passaram atravs dos filtros (aqui cabe ressaltar que esses ftons, agora, esto todos alterados pelas medidas efetuadas e qualquer pessoa que tivesse acesso mensagem no conseguiria mais recuperar seu contedo original) e pode se comunicar com o emissor atravs de qualquer canal pblico (telefone, e-mail, carta, etc.) enviando, no os resultados que obteve, mas os filtros que adotou para cada medida. Assim o emissor pode, analisando esta informao dizer para ele (atravs do prprio canal pblico) quais destas medidas foram corretas e, a partir da, ambos tm uma chave para transmitir suas mensagens de forma segura. Vamos analisar o porque da segurana do mtodo. Se qualquer um interceptasse a mensagem e efetuasse as medidas antes do receptor faz-lo, alteraria a informao que estava sendo transmitida e, quando houvesse a comunicao entre o emissor e o receptor eles perceberiam que o nmero anormal de erros de medio seria fruto de uma tentativa no autorizada de leitura da mensagem. Agora se o interceptador quisesse fazer as medidas aps o receptor receber a mensagem s encontraria uma srie de ftons j alterados e, mesmo com a informao de quais filtros foram utilizados, ele no conseguiria recuperar a mensagem original, pois lhe faltaria a informao de qual resultado foi obtido para as medidas efetuadas ou o conjunto inicial enviado, pois ambos permanecem em sigilo com o receptor e o emissor, respectivamente. Com base nos ftons que o emissor recebeu e mediu corretamente cria-se uma chave segura e secreta para comunicao das mensagens entre eles, contando tambm, adicionalmente, com um denunciador de intruso o que permite um incremento na segurana de comunicao de dados jamais sonhado. O maior problema para implementao da Criptografia quntica ainda a taxa de erros na transmisso e leitura dos ftons seja por via area ou por fibra tica. Os melhores resultados obtidos atualmente se do em cabos de fibra tica de altssima pureza, e conseqentemente elevadssimo custo tambm, alcanando algo em torno de 70 km. Por via area a distncia chega a algumas centenas de metros e qualquer tentativa de se aumentar essa distncia tanto em um, quanto em outro mtodo, torna a taxa de erros muito grande e inviabiliza o processo. O desenvolvimento de tecnologias que permitam o perfeito alinhamento dos polarizadores, fibras ticas melhores e amplificadores qunticos de sinais, permitir que o sistema de Distribuio de Chaves Qunticas venha a ser o novo padro de segurana de dados. A segurana incondicional se deve aos conhecimentos atuais de nossa cincia e, se porventura, for encontrada uma brecha no mtodo, preceitos fundamentais da Fsica tambm sero
17
abalados e uma reviso na Teoria Quntica precisar ser feita. interessante notar que esta mesma teoria que, ao criar o computador quntico que vir a abalar a segurana das atuais chaves pblicas e algoritmos RSA nos dar uma ferramenta ainda mais segura para comunicao de dados em segredo. A Criptografia Quntica se destaca em relao aos outros mtodos criptogrficos, pois no necessita do segredo prvio, permite a deteco de leitores intrusos e incondicionalmente segura, mesmo que o intruso tenha poder computacional ilimitado. Por apresentar um elevado custo de implantao, ainda no um padro adotado de segurana nas comunicaes, mas o desenvolvimento tecnolgico poder torn-la acessvel a todas as aplicaes militares, comerciais e de fins civis em geral. Por fim, como a Criptografia Quntica oferece a possibilidade de criar uma chave segura por meio da utilizao de objetos qunticos sendo que depois as mensagens continuam a serem enviadas por canais comuns, a terminologia mais correta para o mtodo seria Distribuio de Chave Quntica (Quantum Key Distribution QKD). Extrado de http://www.numaboa.com.br/criptologia/lab/quantica.php em 02/03/07.
4.15 Funes hash (resumo de mensagens)

Uma funo hash uma equao matemtica que utiliza um contedo eletrnico de qualquer tamanho para criar um cdigo resumo de mensagem chamado de message digest. Uma funo hash deve ter pelo menos duas propriedades que a tornem segura para uso criptogrfico. Deve gerar cdigos Hash irreversveis, ou seja, o resumo deve ser tal que seja impossvel recompor o contedo original a partir do cdigo hash. Deve evitar cdigos repetidos para contedos diferentes (resistente a colises), ou seja, dois contedos diferentes no devem gerar o mesmo resumo.
A capacidade de descobrir uma mensagem que d um hash a um dado valor possibilita a um agressor substituir uma mensagem falsa por uma mensagem real que foi assinada. Permite ainda que algum rejeite de forma desleal uma mensagem, alegando que, na realidade, assinou uma mensagem diferente. A capacidade de descobrir duas mensagens distintas que dem um hash ao mesmo valor possibilita um tipo de ataque no qual algum induzido a assinar uma mensagem que d um hash ao mesmo valor como sendo outra mensagem com um contedo totalmente diferente.
4.16 Garantia de integridade de contedos eletrnicos com cdigos hash

A garantia de integridade de contedos eletrnicos com cdigo hash bastante simples. Ao se produzir um contedo eletrnico, gera-se um resumo do mesmo utilizando-se uma funo hash. O contedo ao ser transmitido ou armazenado deve ser acompanhado do respectivo resumo. Em qualquer tempo, a posteriori, quem acessar o contedo pode verificar sua integridade, bastando para isso gerar um novo resumo (usando a mesma funo hash aplicada na produo do contedo) e comparar com o resumo anterior. Se os dois resumos forem exatamente iguais, pode-se ter certeza da integridade do contedo, ou seja, a garantia que o contedo no foi alterado desde a gerao do resumo anterior.
18
4.17 Principais algoritmos para resumos de mensagens
MD4: (Message Digest) Criado por Ron Rivest da empresa RSA (RSA Security). Gera um resumo com comprimento de 128 bits. Efetua uma manipulao de bits para obter o valor do hash de forma rpida. (vrios ataques foram detectados, o que fez com que o algoritmo fosse considerado frgil). MD5: uma extenso do MD4. Gera um resumo de 128 bits. A obteno do valor de hash mais lenta, mas mais seguro. usado pelo PGP (Pretty Good Privacy). SHA1: (Secure Hash Algorithm). Desenvolvido pelo NIST (National Institute of Standards and Technology). Gera um resumo de 160 bits. Seu desenvolvimento tem muita relao com o MD5. considerado mais seguro que o MD4 e MD5 e pelo seu tamanho hoje um dos mais recomendados e utilizados.
4.18 Assinatura Digital: componentes, padres e processos

Principais Componentes da Assinatura Digital: Funo Hash (resumo do documento eletrnico). Criptografia assimtrica gerando chave privada e chave pblica para assinatura e verificao. Algoritmos de assinatura, verificao etc. Principais Padres para Assinatura Digital: RSA Criptografia padro comercial DSA Criptografia padro governamental americano ECC Criptografia curvas elpticas MD5 Funo hash chave 128 bits SHA1 Funo hash chave 160 bits Principais Processos de Assinatura Digital: Gerao da assinatura digital Verificao da assinatura digital
Gerao da assinatura digital: Dado um documento de qualquer tamanho, utiliza-se uma funo no reversvel hash para se produzir um cdigo de tamanho fixo, associado univocamente ao documento. Com a chave privada de quem deseja assinar o documento, cifra-se o cdigo hash (resumo) gerado anteriormente pela funo hash. A assinatura digital estabelece uma relao nica entre o documento assinado e a pessoa que est assinando. No torna o documento eletrnico assinado imune a alterao, apenas logicamente imutvel. A assinatura no nica por pessoa que assina documentos eletrnicos porque gerada cifrando-se o resumo que diferente para cada documento eletrnico. nica por documento, pois gerada a partir de cada contedo assinado. O par de chaves criptogrficas paragerar e conferir a assinatura nico. Verificao da Assinatura Digital: A verificao da assinatura se d pela chave pblica de quem assinou o documento. possvel verificar se os dois requisitos de uma assinatura esto atendidos. A integridade verificada com a gerao de um novo resumo e comparao com o resumo gerado no momento da assinatura.
19
A autenticidade (identificao do autor da assinatura) realizada identificando-se pela chave publica o titular da chave privada que realizou a assinatura.
4.19 Assinatura Digital com XML

O XML Signature pode ser utilizado para assinar documentos ou partes de qualquer documento XML. Com a flexibilidade oferecida pelo padro XML, dados podem ser filtrados e transformados antes de serem assinados. Assim pode-se escolher o que assinar e como assinar. Formas de utilizao: Detached: Assinatura um elemento separado do documento XM assinado. L Enveloped: Assinatura um elemento filho do documento XML assinado. Enveloping: O contedo do documento XML assinado um elemento filho da assinatura digital XML.
4.20 Certificados Digitais: fundamentos, gerao, validao e revogao

De forma mais especfica, a Certificao Digital consiste em: Gerao, expedio e controle de Certificados Digitais (identidades digitais) por Autoridades Certificadoras ACs. As ACs so entidade de confiana do solicitante do Certificado Digital para garantir a identidade dos envolvidos em uma operao eletrnica. Os Certificados Digitais so componentes de confiana do ambiente virtual; possibilitam associao entre uma chave pblica e uma pessoa ou dispositivo e devem ter prazo de validade por causa da evoluo da criptoanlise. A distribuio feita atravs de publicao em diretrios pblicos. So arquivos eletrnicos que contm informaes de identificao, permitindo assegurar a identidade de quem assina uma mensagem ou documento eletrnico. Tem como principais componentes: informaes de identificao titular, chave pblica do titular, nome da Autoridade Certificadora que gerou o Certificado Digital e Assinatura Digital da Autoridade Certificadora. Permitem a qualquer momento atestar a titularidade de uma chave criptogrfica. A vinculao entre o Certificado Digital e o titular deve ser garantida pela Autoridade de Registro AR. Uma AR deve ser responsvel pela identificao presencial do solicitante de um Certificado Digital para evitar que se produzam Certificados Digitais falsos ou em nome de outra pessoa que no seja o solicitante. Em um processo de Assinatura Digital, o Certificado Digital que pode garantir a autenticidade. A gerao de um Certificado Digital envolve as seguintes fases: Cadastramento do titular Gerao do par de chaves Criao do Certificado Entrega do Certificado Publicao do Certificado Backup das chaves A validao de um Certificado Digital envolve as seguintes fases: Busca do Certificado
20
Validao do Certificado Recuperao da chave Utilizao da chave
A revogao de um Certificado Digital deve considerar no mnimo: O vencimento do Certificado e a revogao do Certificado. A Gravao do Histrico da chave e o arquivamento da chave. Um Certificado deve ser revogado, caso haja comprometimento da chave privada da AC ou da chave privada do titular do certificado. A AC deve disponibilizar o OCSP (On-line Certificate Status Protocol) e periodicamente emitir e publicar uma Lista de Certificados Revogados (LCR). Principais motivos para revogao de um certificado digital conforme padro ISO: Comprometimento da chave privada do titular (perda, roubo, obsolescncia etc). Comprometimento da chave privada da AC (compromete todos da AC). Mudana de filiao: Alterao dados do titular. Atualizao: Outros dados do Certificado. Cancelamento da operao: Quando esgotou propsito. Suspenso temporria do Certificado. No especfico: Diferente dos acima citados.
4.21 Gesto de Chaves (XKMS)

O XKMS (XML Key Management Specification) um padro aberto desenvolvido para suprimir a complexidade de trabalhar com a gesto de chaves em Infra-estruturas de Chaves Pblicas. O servio XKMS permite a localizao e validao de chaves e atua como um agente que busca tirar a complexidade no trato com uma ICP. O XKMS pode ser usado na busca e validao de cadeias de certificao, por exemplo. A especificao no se preocupa qual ICP estar disponvel para interface XKMS, no descrevendo como chaves, certificados, etc. podero ser recuperados/validados. Para o caso de usar o X.509, a infra-estrutura poderia ser simplesmente um repositrio de chaves e certificados acessado pelo XKMS, com uma relao hierrquica de Autoridades Certificadoras vlidas. O XKMS prov dois subprotocolos: XML Key Information Service Specification X-KISS, para a localizao e validao de chaves, certificados, etc.; e o XML Key Registration Service Specification XKRSS, responsvel pelo registro, revogao,renovao e recuperao de chaves.
4.22 Autoridades Certificadoras e Autoridades de Registro

A Autoridade Certificadora uma terceira parte de confiana, semelhante a um setor de emisso de documentos. Autoridades Certificadoras so responsveis por emitir, revogar, renovar e fornecer diretrios de Certificados digitais. As Autoridades Certificadoras devem seguir procedimentos rigorosos para autenticar os indivduos e organizaes a quem emitem Certificados. Todo Certificado Digital "assinado" com a chave privativa da Autoridade Certificadora para garantir a autenticidade. A chave pblica da Autoridade Certificadora amplamente distribuda. Todo o processo de identificao do solicitante de um Certificado Digital deve ser realizado por uma Autoridade de Registro. Conforme figura 4.22.1 abaixo, as Autoridades Certificadoras e Autoridades de Registro estruturam-se de forma hierrquica onde cada Autoridades de Registro vincula-se a uma
21
Autoridade Certificadora e cada Autoridade Certificadora vincula-se a uma Autoridade Certificadora Raiz.
Figura 4.22.1: Autoridades Certificadoras e de Registro.
4.23 Autenticidade e autenticao com certificados digitais

Os cinco principais requisitos necessrios para que as garantias de autenticidade e autenticao de agentes com uma ICP sejam viabilizados so: 1 Um sistema criptogrfico com nvel contra criptoanlise seguro. 2 O Sigilo da chave privada com os seguintes nveis de proteo*: No computador (bsico, no portvel e sem custo). Em CD (intermedirio, portvel e de baixo custo). Em Smart Card (avanado, portvel e com maior custo). Em Token (avanado, portvel e com menor custo global). 3 Funo Hash adequada com resistncia a colises. 4 Autoridade Certificadora confivel. 5 Ambiente computacional adequado. *Acesso por senha, sendo recomendvel o uso da biometria
4.24 Hierarquia de uma ICP e certificao cruzada

Hierarquia: A Certificao Digital garante autenticidade e viabiliza as funcionalidades de: Assinatura Digital que garante a integridade e o Sigilo que garante a confidencialidade. A Certificao cruzada pode ser de dois tipos:
22
Unilateral: quando uma AC de uma determinada ICP X confia em uma AC de outra ICP Y, mas no o contrrio. Mtua: quando essa confiana e recproca.
4.25 Normas e padres para operacionalizao de uma ICP

A operacionalizao de uma ICP deve, no mnimo, estabelecer e seguir: Um documento de polticas da ICP; O papel de cada componente da ICP; As responsabilidades a serem assumidas pelos usurios da ICP; Os procedimentos para manuteno das chaves; A Declarao de prticas de certificao DPC, onde; ideal uma DPC para cada componente da ICP.
4.26 Modelos de ICP e sua utilizao em alguns pases do mundo

Principais modelos de ICP so os seguintes: Modelo Isolado: Hierrquico com AC-Raiz nica. Modelo Floresta: Vrias ICPs independentes (pode ter certificao cruzada entre algumas AC-Razes). Modelo em Malha: Semelhante a floresta, mas com certificao cruzada entre todas as AC-Razes. Modelo com Ponte: Semelhante a floresta onde cada AC-Raz tem certificao cruzada com uma entidade central denominada PONTE. Modelo Internet: AC-Razes de certificados confiveis pelo navegador j vem prinstaladas. Aplicao dos modelos em alguns pases do mundo: Modelo EuroPKI: Operacionalizada por rgo no governamental e baseado em Universidades e organizaes privadas. Adota o modelo de ICP isolado (AC-Raiz nica). A autoridade de polticas e a prpria estrutura da organizao denominada como EuroPKI. Sem restrio quanto a certificao cruzada. Fortemente baseada nas Universidades Italianas. Modelo Canadense: Objetivo: Incentivar o comrcio eletrnico. Autoridade de Polticas vinculada a Secretaria do Tesouro canadense. Modelo floresta com uma ICP do Governo do Canad funcionando como ponte. Sem restrio para certificaes cruzadas. Processos e algoritmos da ICP do governo (ponte) baseados em padres abertos. Modelo Federal dos Estados Unidos: Objetivo: Integrao entre ICPs de agncias nacionais e ICPs de departamentos estaduais. Muitas ICPs isoladas (grande floresta). Tentativa de criao de uma entidade Federal para o papel de ponte.
23
Certificao cruzada somente atravs da ponte. A ponte no ser uma AC, portanto no dever emitir certificados digitais em hiptese alguma.
4.27 O modelo de ICP adotado pelo Brasil

Institudo pela Medida Provisria 2.200-2. Comit Gestor do Governo como Autoridade de polticas e gesto vinculado Casa Civil da Presidncia da Repblica. Todas entidades nacionais vinculadas a uma nica AC-Raz (modelo isolado). AC-Raz operacionaliza, fiscaliza e audita ACs abaixo dela, mas no pode emitir certificados para usurios finais. S permitida certificao cruzada via AC-Raz com AC-Razes de entidades estrangeiras.
24
MDULO 5 - ICP-Brasil Infra-estrutura de Chaves Pblicas Brasileira

5.1 Principais documentos
Medida Provisria 2.200-2 Declarao de Prticas de Certificao da AC-Raiz da ICP-Brasil Poltica de Segurana ICP-Brasil Critrios e Procedimentos de Credenciamento das entidades integrantes da ICP-Brasil Requisitos mnimos para Polticas de Certificado da ICP-Brasil Requisitos mnimos para Declarao de Prticas de Certificao das ACs da ICPBrasil Diretrizes para sincronizao de freqncia e de tempo na ICP-Brasil
5.2 Natureza pblica da atividade

O conjunto de atribuies que foram conferidos pela MP 2.200-2 ao Comit Gestor da ICPBrasil CG-ICP e ao Instituto de Tecnologia da Informao ITI, demonstra que esses dois rgos, em conjunto, desempenham tarefas que, a despeito das peculiaridades, se incluem como atividades tpicas de uma agncia reguladora, pois possuem poder gerencial (tcnico) e de controle sobre os prestadores de servios de certificao credenciados. Embora o ITI e o Comit Gestor da ICP-Brasil no tenham recebido a denominao de "rgo regulador" ou "agncia reguladora", nos textos legais que constituem o marco regulatrio da atividade de certificao digital no pas, na prtica funcionam como tal, na medida em que a atuao desses rgos (em conjunto ou isoladamente) revela a definio estatal, para estabelecer normas de conduta sobre o assunto. O Comit Gestor e o ITI no tm atribuio de regular a atividade de certificao digital como um todo, pois esta livre e independe de autorizao especfica, mas na medida em que o art. 10 (e seus pargrafos 1o. e 2o.) da MP 2.200-2 confere validade diferenciada (maior) aos certificados expedidos no mbito da ICP-Brasil, qualquer prestador de servios que tiver interesse em expedir certificados com validade jurdica contra terceiros, ter que se credenciar junto a ela e, conseqentemente, se submeter aos poderes regulatrios do Comit Gestor e do ITI. Qualquer outra pessoa pode desenvolver uma infra-estrutura para certificao digital, mas o raio de aceitao dos certificados que expedir tero alcance e validade limitados. A ICPBrasil a nica infra-estrutura de chaves pblicas cujos rgos a ela vinculados podem emitir certificados de aceitao e validade jurdica dentro de todo territrio nacional, o que na prtica faz com que o seu Comit Gestor e o ITI atuem como rgos reguladores da certificao digital no pas. A atividade regulatria sobre a ICP-Brasil dividida entre o Comit Gestor e o ITI, sendo que as atribuies normativas, de delineamento das regras gerais e de funcionamento (da ICPBrasil), ficam a cargo do primeiro rgo, competindo ao segundo dar execuo aos atos normativos.
25
5.3 Concepo organizacional, polticas e prticas de segurana

Nvel de Gesto: Diretrizes, prticas e polticas estabelecidas atravs do Comit Gestor da ICP-Brasil. Nvel de Credenciamento: Polticas de Certificados e Normas Tcnicas onde a ACRaiz a Primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e Normas Tcnicas e operacionais aprovadas pelo Comit Gestor da ICPBrasil com rigoroso nvel de segurana fsica, procedimental e de pessoal. Nvel de Operao: Atuao das Autoridades Certificadoras e Autoridades de Registro credenciadas pela ICP-Brasil operando com Certificados Digitais de Assinatura e Sigilo.
5.4 Autoridade Certificadora Raiz AC-Raiz

a primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e Normas Tcnicas e operacionais, aprovadas pelo CG-ICP Brasil. O Instituto Nacional de Tecnologia da Informao - ITI a Autoridade Certificadora Raiz (AC Raiz) da ICP-Brasil.
Como AC Raiz, compete ao ITI, emitir, expedir, distribuir, revogar e gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das Autoridades Certificadoras AC e Autoridades de Registro AR e dos prestadores de servios habilitados na ICP-Brasil, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo CG-ICP Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. vedado AC-Raiz emitir certificados para usurio.
5.5 Hiptese fundamental e caminho de certificao

O Certificado da AC-Raiz deve estar acessvel por todas as partes interessadas atravs de um canal confivel e legtimo. A garantia de segurana de toda a hierarquia de certificao depende desta hiptese e pode ser verificada pelo caminho(cadeia) de certificao.
5.6 Certificao cruzada na ICP-Brasil

A AC-Raiz da ICP-Brasil s pode realizar certificao cruzada com AC-Razes de outros pases, mediante acordo internacional.
5.7 Controles de segurana na AC-Raiz da ICP-Brasil

Principais controles de segurana fsica: Construo e localizao das instalaes. Acesso fsico (monitorao/biometria/senhas). Energia e ar condicionado (cofre/geradores). Exposio gua (sala-cofre a prova dgua). Preveno e proteo contra incndio. Armazenamento de mdia imune a danos. Destruio de lixo (papel, dispositivos usados).
26
Sala externa para backup de arquivos.
Principais controles de segurana procedimental: Perfis qualificados com separao de tarefas para funes crticas para evitar uso de m f (configuraes/segurana/admin istrao etc.). Nmero de pessoas necessrio por tarefa com no mnimo 2 empregados para tarefas crticas. Identificao e autenticao de cada perfil com listas de acesso a instalaes e sistemas e uso de certificados (no compartilhados) para executar atividades associadas ao perfil. Principais controles de segurana de pessoal: Qualificao, experincia e idoneidade. Procedimentos de verificao de antecedentes. Requisitos de treinamento (atividades/segurana). Freqncia e requisitos para reciclagem tcnica. Sanes para aes no autorizadas. Requisitos para contratao de pessoal. Documentao sobre polticas, prticas e normas disponvel a todo pessoal.
5.8 Credenciamento de ACs e ARs na ICP-Brasil

O credenciamento de Autoridades Certificadoras e de Autoridades de Registro a ICP-Brasil segue rgidos critrios com o objetivo de garantir credibilidade e segurana jurdica. A credibilidade provem das tecnologias definidas e dos rgidos requisitos de segurana computacional. A segurana jurdica se d atravs da maior eficcia probatria das operaes no mbito da ICP-Brasil. Conforme Resoluo n 40 da ICP-Brasil, os principais critrios e procedimentos para o credenciamento so: Ser rgo ou entidade de direito pblico ou pessoa jurdica de direito privado; Estar quite com todas as obrigaes tributrias e os encargos sociais institudos por lei; Atender aos requisitos relativos qualificao econmico-financeira e atender s diretrizes e normas tcnicas da ICP-Brasil relativas qualificao tcnica. As Autoridades Certificadoras devem apresentar, no mnimo, uma entidade operacionalmente vinculada, candidata ao credenciamento para desenvolver as atividades de AR, ou solicitar o seu prprio credenciamento como AR; devem apresentar a relao de eventuais candidatos ao credenciamento para desenvolver as atividades de prestao de servios; devem ter sede administrativa localizada no territrio nacional; e devem ter instalaes operacionais e recursos de segurana fsica e lgica, inclusive sala-cofre, compatveis com a atividade de certificao, localizadas no territrio nacional, ou contratar um prestador de servios que as possua. As Autoridades de Registro devem estar operacionalmente vinculados a, pelo menos, uma AC ou candidato a AC, relativamente s PC indicadas; devem ter sede administrativa, instalaes operacionais e recursos de segurana fsica e lgica compatveis com a atividade de registro; devem apresentar a relao de eventuais candidatos a prestador de servios; e caso a instalao tcnica se localize em endereo diferente do de sua sede administrativa, devem apresentar certido da junta comercial ou alvar de funcionamento referente ao estabelecimento onde se localizar a instalao tcnica e, nos casos de entidades pblicas, cpia de publicao do ato que autoriza a operao naquele endereo. O processo de credenciamento obedece a procedimentos especficos, relacionados com a natureza da atividade a ser desenvolvida no mbito da ICP-Brasil.
27
Os Critrios e procedimentos para manuteno do credenciamento com auditoria peridica e questes relativas ao eventual descredenciamento.
5.9 Hierarquia atual (ACs e ARs credenciadas)

ESTRUTURA ATUALIZADA DA ICP-BRASIL: http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp LISTAGEM ATUALIZADA ACs e ARs: http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp OUTRAS INFORMAES ATUALIZADAS: http://www.iti.gov.br/twiki/bin/view/Certificacao/W ebHome
5.10 Tipos de Certificados da ICP-Brasil

A ICP-Brasil tem definidos e regulamentados dois tipos de Certificado Digital: Certificado de Assinatura, tipos: A1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano A2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos A3: Chave criptogrfica de 1024 bits gerada por hardware vlida por 3 anos A4: Chave criptogrfica de 2048 bits gerada por hardware vlida por 3 anos Certificado de Sigilo, tipos: S1: Chave criptogrfica de 1024 bits gerada por software vlida por 1 ano S2: Chave criptogrfica de 1024 bits gerada por hardware vlida por 2 anos S3: Chave criptogrfica de 1024 bits gerada por hardware vlida por 3 anos S4: Chave criptogrfica de 2048 bits gerada por hardware vlida por 3 anos Os Certificados Digitais ICP-Brasil de Assinatura A1 e A3 e os Certificados de Sigilo S1 e S3, so os mais utilizados atualmente.
5.11 Nveis de segurana dos certificados

O Certificados de Assinatura A1 tem o menor nvel de segurana, seguido de A2, depois A3 e finalmente o A4 com o maior nvel. O Certificados de Sigilo S1 tem o menor nvel de segurana, seguido de S2, depois S3 e finalmente o S4 com o maior nvel.
5.12 Aplicaes para Certificados de Assinatura

Confirmao de identidade Web; Autenticao de agentes; Assinatura de mensagens de correio eletrnico; Assinatura de qualquer contedo digital; Assinatura de documentos eletrnicos com verificao da integridade de suas informaes e garantia de identificao do assinante.
28
5.13 Aplicaes para Certificados de Sigilo

Cifrao de documentos; Cifrao de bases de dados; Cifrao de mensagens de correio eletrnico; Cifrao de mensagens; Cifrao de qualquer contedo digital, com a finalidade de garantir o seu sigilo.
29
MDULO 6 - Tempestividade Digital

6.1 Importncia para Assinatura e Certificao Digital
A Tempestividade Digital precisa ser utilizada quando necessrio comprovar que um evento ocorreu em data/hora regulamentada como oficial. importante para registrar o momento de uma assinatura digital, validade de um certificado digital e autenticao de agentes quando necessrio. A data/hora oficial deve ser gerada, mantida e distribuda por uma entidade oficialmente constituda para esse fim.
6.2 Autoridade Certificadora de Tempo

Conhecida tambm como TSA (Time Stamping Authority), uma entidade que deve estar oficialmente credenciada para prestar servios de tempestividade. Entre os servios, destaca-se o carimbo de tempo (time stamp) utilizado para gerao de protocolos digitais. No Brasil, deve utilizar a data/hora gerada e fornecida pelo Observatrio Nacional ao qual deve estar sincronizada.
6.3 Sincronismo do tempo

Relao entre uma Autoridade Certificadora de Tempo e a entidade oficial geradora e distribuidora de data/hora. A sincronizao baseada no fornecimento da data/hora em perodos conforme a necessidade da Autoridade Certificadora de Tempo. A Autoridade Certificadora de Tempo deve submeter-se a peridica auditoria e sofrer os ajustes quando necessrio.
6.4 Carimbos de tempo (selo cronolgico digital)

Principal servio de uma Autoridade Certificadora de Tempo. Marca que garante a data e hora oficial de ocorrncia de um evento. Pode estar associado a qualquer contedo digital (seqncia de bits). Na Certificao Digital, em geral associado ao resumo do contedo eletrnico (cdigo hash).
6.5 Protocolos digitais

Comprovao de envio e recepo de contedos digitais no mundo virtual. Tem eficcia probatria quando associados a um carimbo de tempo gerado por uma autoridade de tempo sincronizada e auditada por entidade oficial de gerao e distribuio de data/hora. Indispensvel em muitas relaes do cidado com rgo pblicos.
30
6.6 Regulamentao na ICP-Brasil

Decreto N 4.264 de 10/06/2002: define o Observatrio Nacional como entidade competente para gerar e distribuir a hora oficial do Brasil. Resoluo N 15 do Comit Gestor: grupo de trabalho para estudar e propor sincronismo de tempo na ICP-Brasil. Projeto de Lei N 7.316 de 07/11/2002: obrigatoriedade da datao eletrnica na Assinatura e Certificao Digital.
6.7 Abordagens para viabilizar a tempestividade no ambiente virtual

1. Pode-se construir uma Autoridade Certificadora de Tempo e sincronizar com
Observatrio Nacional OU;

2. Adquirir uma protocoladora no mercado e sincronizar com o Observatrio Nacional
OU; 3. Contratar sob demanda, prestador de servios de Tempestividade Digital estabelecido no mercado e que esteja dentro das exigncias legais.
31
MDULO 7 - Aspectos Jurdicos

7.1 Evoluo das tecnologias da informao versus evoluo da legislao
Evoluo do Direito Digital: Estgio1: Informtica jurdica documentria (anos 60). Gesto e recuperao de dados jurdicos (leis, doutrina, jurisprudncia). Estgio2: Informtica jurdica de gesto (anos 70). Produo de atos jurdicos (certides, atribuies de juizes competentes, sentenas pr-moldadas). Estgio3: Informtica jurdica decisional (anos 80). Utilizao das informaes e procedimentos confiveis para aplicar a determinadas decises (utilizao de sistemas especialistas). Estgio4: Direito da informtica (anos 90). Estudo das normas jurdicas que regulam (ou deveriam regular) os sistemas eletrnicos na sociedade e suas conseqncias, atingindo o direito privacidade, informaes e liberdade, a tutela dos usurios, a proteo do software e propriedade intelectual. Evoluo dos modelos terico de regulamentao da Internet: s Modelo1: Ambiente no sujeito a regulamentao (anos 90). Seria um mundo a parte do qual surgiriam normas prprias e independentes do direito tradicional, impossvel de aplicar na rede. Modelo2: Escola da arquitetura (segunda metade anos 90). Governo deveria intervir no sentido de determinar qual a arquitetura a rede deve observar para que seja juridicamente controlvel. Modelo3: Norma jurdica interna (final dos anos 90). Principal fonte do direito regulamentador da Internet. O direito deve sempre buscar o ideal de justia para o bem comum. No prescindir da presena do poder pblico como o garantidor da justa aplicao do direito (atualmente o mais aceito e aplicado). Modelo4: Tratados internacionais (incio anos 2000). Aplicado a poucas reas especficas tais como o combate pedofilia ou em algumas matrias de direito comercial e propriedade intelectual (recentes propostas da UNCITRAL).
7.2 Arcabouo legal para Certificao e Tempestividade Digital

Leis Modelo das Naes Unidas - UNCITRAL; Legislao internacional pertinente; Medida Provisria 2.200-2; Resolues do Comit Gestor da ICP-Brasil; Projetos de Lei no Congresso Nacional.
7.3 Leis modelo das Naes Unidas UNCITRAL

Motivao: Comrcio eletrnico globalizado Objetivo: Compatibilidade internacional Conceito: Equivalncia funcional papel versus eletrnico Princpios: Tcnicos, jurdicos e polticos Proposta: Modelos de legislao para o mundo 16/12/1996: Lei modelo para comrcio eletrnico* 05/07/2001: Lei modelo para assinatura eletrnica
32
Recomendaes seguidas por muitos paises
*A Lei Modelo para comrcio eletrnico segue um novo critrio, denominado "critrio da equivalncia funcional", o qual se baseia em uma anlise dos objetivos e funes do requisito tradicional da apresentao de um escrito consignado sobre papel com vistas a determinar a maneira de satisfazer seus objetivos e funes tambm para um escrito eletrnico: Artigo 6 - Escrito (Texto da Lei) 1) Quando a Lei requeira que certa informao conste por escrito, este requisito considerar-se preenchido por uma mensagem eletrnica se a informao nela contida seja acessvel para consulta posterior. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao, quanto se Lei preveja simplesmente conseqncias para quando a informao no conste por escrito. 3) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 6 - Escrito (Comentrios) 47. O artigo 6 tem por finalidade definir os requisitos bsicos que toda mensagem de dados dever preencher para que se possa considerar que satisfaz uma exigncia legal, regulamentar ou jurisprudencial de que a informao conste, ou seja, apresentada por escrito. Convm assinalar que o artigo 6 forma parte de uma srie de trs artigos (artigos 6, 7 e 8) que compartem a mesma estrutura e que devem ser lidos conjuntamente. 48. Durante a preparao da Lei Modelo prestou-se particular ateno s funes tradicionalmente desempenhadas por diversos tipos de "escritos" consignados em papel. Por exemplo, na seguinte lista no exaustiva se indicam as razes pelas quais o direito interno costuma requerer a apresentao de um "escrito": 1) deixar uma prova tangvel da existncia e da natureza da inteno das partes de comprometer-se; 2) alertar as partes face gravidade das conseqncias de concluir um contrato; 3) proporcionar um documento que seja legvel para todos; 4) proporcionar um documento inaltervel que permita deixar constncia permanente da transao; 5) facilitar a reproduo de um documento de maneira a que cada uma das partes possa dispor de um exemplar de um mesmo texto; 6) permitir a autenticao, mediante a firma do documento, dos dados nele consignados; 7) proporcionar um documento apresentvel perante autoridades pblicas e tribunais; 8) dar expresso definitiva inteno do autor do "escrito" e deixar constncia de dita inteno; 9) proporcionar um suporte material que facilite a conservao dos dados em forma visvel; 10) facilitar as tarefas de controle ou de verificao posterior para fins contbeis, fiscais ou regulamentares; e 11) determinar o nascimento de todo direito ou de toda obrigao jurdica cuja validade dependa de um escrito. 49. Todavia, ao preparar a Lei Modelo pensou-se que seria inadequado adotar uma noo demasiado genrica das funes de um escrito. Quando se requer a apresentao de certos dados por escrito, combina-se vezes essa noo de "escrito" com as noes complementares, mas distintas, de "assinatura" (ou "firma") ou "original". Por isso, ao adotar um critrio funcional, deve-se prestar ateno ao fato de que o requisito de um "escrito" deve ser considerado como o nvel inferior na hierarquia dos requisitos de forma, que proporcionam aos documentos de papel diversos graus de confiabilidade, rastreabilidade e inalterabilidade. O requisito de que os dados se apresentem por
33
escrito (o que constitui um "requisito de forma mnimo") no deve ser confundido com requisitos mais estritos como o de "escrito assinado", "original firmado" ou "ato jurdico autenticado". Por exemplo, em alguns ordenamento jurdicos um documento escrito que no leve nem data nem firma, e cujo autor no se identifique no escrito ou se identifique mediante um simples cabealho, seria considerado como "escrito" apesar do seu escasso valor probatrio, em ausncia de outra prova (p.ex., testemunhal) no tocante autoria do documento. Ademais, no se deve considerar que a noo de inalterabilidade seja um requisito absoluto inerente noo de escrito, j que um documento escrito a lpis poderia ser considerado um "escrito" a teor de algumas definies legais. Levando-se em conta como se resolvem questes relativas integridade dos dados e proteo contra fraude na documentao consignada em papel, cabe dizer que um documento fraudulento seria no obstante considerado como um "escrito". Em geral, convm que noes tais como "fora probante" ou "inteno (das partes) de obrigar-se" sejam tratadas conjuntamente com questes mais gerais tais como fiabilidade e autenticao de dados, pelo que no se devem incluir na definio de "escrito". 50. A finalidade do artigo 6 no consiste em estabelecer o requisito de que, em todos os casos, as mensagens de dados devem cumprir todas as funes concebveis de um escrito. Em vez de concentrar-se em funes especficas de um "escrito" (por exemplo, sua funo probatria no contexto do direito fiscal ou sua funo de advertncia no contexto do direito civil) o artigo 6 est centrado no conceito bsico de que a informao se reproduz e se l. No artigo 5 esta idia est expressa em termos que se considerou como fixando um critrio objetivo; a saber, que a informao de uma mensagem de dados deve ser acessvel para sua consulta posterior. Ao empregar a palavra "acessvel" quer-se sugerir que a informao em forma de dados informatizados deve ser legvel e interpretvel e que se deve conservar todo programa informtico que seja necessrio para torn-la legvel. Na verso original inglesa a palavra "usvel", subentendida na traduo portuguesa na noo de acessibilidade, no se refere unicamente ao acesso humano, mas tambm a seu processamento informtico. Deu-se preferncia noo de "consulta posterior, ao invs de outras noes como "durabilidade" ou "inalterabilidade" (que poderiam estabelecer um critrio demasiado estrito) ou "legibilidade" ou "inteligibilidade" (que poderiam constituir critrios demasiado subje tivos). 51. O princpio em que se baseiam o pargrafo 3) dos artigos 6 e 7 e o pargrafo 4) do artigo 8 o de que todo Estado poder excluir do mbito de aplicao destes artigos certas situaes especificadas na legislao pela qual se incorpore a Lei Modelo ao direito interno. Um Estado talvez deseje excluir expressamente certos tipos de situaes, em funo do propsito do requisito formal de que se trate. Uma destas situaes poderia ser a obrigao de notificar por escrito certos riscos de jure ou de fato, por exemplo, as precaues que se ho de observar com certos tipos de produtos. Tambm caberia excluir especificamente outras situaes, por exemplo, no contexto das formalidades exigidas em virtude das obrigaes contradas por um Estado (por exemplo, a exigncia de que um cheque se apresente por escrito, de conformidade com a Conveno que estabelece uma lei uniforme sobre cheques, Genebra, 1931) e outros tipos de situaes e normas de seu direito interno que um Estado no possa modificar por lei. 52. Incluiu-se o pargrafo 3) com o propsito de dar maior aceitabilidade Lei Modelo. Nele se reconhece que a especificao de excluses deve deixar-se em mos de cada Estado, a fim de melhor respeitar as diferentes circunstncias nacionais. No obstante, cabe assinalar que o recurso ao pargrafo 3 para fazer excluses gerais
34
poderia minar os objetivos da Lei Modelo. Deve-se evitar, portanto, o perigo de abusar do pargrafo 3) nesse sentido. Caso se multiplicassem as excluses do mbito de aplicao dos artigos 6 a 8, criar-se-iam obstculos desnecessrios ao desenvolvimento das tcnicas modernas de comunicao, j que a Lei Modelo enuncia princpios e critrios de ndole bsica que deveriam ser geralmente aplicveis. Artigo 7 - Assinatura (Texto da Lei) 1) Quando a Lei requeira a assinatura de uma pessoa, este requisito considerar-se- preenchido por uma mensagem eletrnica quando: a) For utilizado algum mtodo para identificar a pessoa e indicar sua aprovao para a informao contida na mensagem eletrnica; e b) Tal mtodo seja to confivel quanto seja apropriado para os propsitos para os quais a mensagem foi gerada ou comunicada, levando-se em considerao todas as circunstncias do caso, incluindo qualquer acordo das partes a respeito. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao, quanto se a Lei simplesmente preveja conseqncias para a ausncia de assinatura. 3) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 7 - Assinatura (Comentrios) 53. O artigo 7 baseia-se no reconhecimento das funes que se atribuem a uma assinatura nas comunicaes consignadas sobre papel. Na preparao da Lei Modelo tomaram-se em considerao as seguintes funes da assinatura ou firma: identificar uma pessoa; dar certeza participao pessoal dessa pessoa no ato de firmar; e associar essa pessoa com o contedo de um documento. Observou-se que uma assinatura ou firma podia desempenhar ademais diversas outras funes, segundo a natureza do documento firmado. Por exemplo, poderia demonstrar a inteno de uma parte de obrigar-se pelo contedo do contrato firmado; a inteno de uma pessoa de reivindicar a autoria de um texto; a inteno de uma pessoa de associar-se com o contedo de um documento escrito por outra; e o fato de que essa pessoa havia estado em um lugar determinado, em um certo momento. 54. Cabe observar que, junto com a firma manuscrita tradicional, existem vrios tipos de procedimentos (por exemplo, por carimbos ou perfuraes), s vezes denominados tambm "assinaturas", que proporcionam distintos graus de certeza. Por exemplo, em alguns pases existe o requisito geral de que os contratos de compra-e-venda de mercadorias que excedam certa quantia estejam "firmados" para serem exigveis. Sem embargo, o conceito da firma adotado nesse contexto tal que um carimbo, um perfurado ou mesmo uma firma mecanografada ou um cabealho impresso podem considerar-se suficiente para satisfazer o requisito da firma. No outro extremo do espectro, existem requisitos que combinam a firma manuscrita tradicional com procedimentos de segurana adicionais como a confirmao da firma por testemunhas. 55. Seria recomendvel desenvolver equivalentes funcionais para os distintos tipos e nveis de assinaturas exigidas. Esse enfoque aumentaria o nvel de certeza quanto ao grau de reconhecimento legal que se poderia esperar do uso dos diversos tipos de autenticao utilizados na prtica do comrcio eletrnico como substitutos da "assinatura". Todavia, a noo de assinatura ou firma est intimamente vinculada com
35
o emprego do papel. Ademais, qualquer esforo por elaborar regras sobre as normas e procedimentos que se deveriam utilizar como substitutos em casos especficos de "assinaturas" poderia criar o risco de fixar o regime da Lei Modelo em uma determinada etapa do desenvolvimento tcnico. 56. Para evitar que se negue validade jurdica a uma mensagem sujeita a autenticao pelo simples fato de que no est autenticada na forma tpica dos documentos consignados sobre papel, o artigo 7 oferece uma frmula abrangente. O artigo define as condies gerais que, uma vez cumpridas, autenticariam uma mensagem de dados com suficiente credibilidade de forma a satisfazer os requisitos de firma que atualmente obstaculizam o comrcio eletrnico. O artigo 7 concentra-se nas duas funes bsicas da firma: a identificao do autor e a confirmao de que o autor aprova o contedo do documento. No inciso a) do pargrafo 1) enuncia-se o princpio de que, nas comunicaes eletrnicas, essas duas funes jurdicas bsicas da firma consideram-se cumpridas ao utilizar-se um mtodo que identifique o remetente de uma mensagem de dados e confirme que o remetente aprova a informao nela consignada. 57. A alnea b) do pargrafo 1) estabelece um critrio flexvel a respeito do grau de segurana que se deve alcanar com a utilizao do mtodo de identificao mencionado no inciso a). O mtodo selecionado conforme alnea a) do pargrafo 1) dever ser to confivel quanto seja apropriado para os fins para os quais se consignou ou comunicou a mensagem de dados, luz das circunstancias do caso, assim como do acordo entre o remetente e o destinatrio da mensagem. 58. A fim de determinar se o mtodo utilizado com base no pargrafo 1) apropriado, podem-se ter em conta, entre outros, os seguintes fatores jurdicos, tcnicos e comerciais: 1) a perfeio tcnica do equipamento utilizado por cada uma das partes; 2) a natureza de sua atividade comercial; 3) a freqncia das suas relaes comerciais; 4) o tipo e a magnitude da operao; 5) a funo dos requisitos de firma com base na norma legal ou regulamentar aplicvel; 6) a capacidade dos sistemas de comunicao; 7) a observncia dos procedimentos de autenticao estabelecidos por intermedirios; 8) a gama de procedimentos de autenticao que oferecem os intermedirios; 9) a observncia dos usos e prticas comerciais; 10) a existncia de mecanismos de seguro contra o risco de mensagens no autorizados; 11) a importncia e o valor da informao contida na mensagem de dados; 12) a disponibilidade de outros mtodos de identificao e o custo de sua aplicao; 13) o grau de aceitao ou no aceitao do mtodo de identificao na indstria ou esfera pertinente, tanto no momento em que se pactuou o mtodo como quando se comunicou a mensagem de dados; e 14) qualquer outro fator pertinente. 59. A alnea b) do pargrafo 1) no introduz nenhuma distino entre a situao em que os usurios do comrcio eletrnico esto vinculados por um acordo de comunicaes e a situao em que as partes no tenham nenhuma relao contratual prvia relativa ao emprego do comrcio eletrnico. Assim, pois, pode-se considerar que o artigo 7 estabelece uma norma mnima de autenticao para as mensagens de dados intercambiados em ausncia de uma relao contratual prvia. Ao mesmo tempo, o artigo 7 fornece uma orientao sobre o que eventualmente poderia suprir a firma quando as partes recorram a comunicaes eletrnicas no contexto de um convnio de comunicaes. Por conseguinte, a Lei Modelo tem a finalidade de proporcionar uma orientao til quando o direito interno deixe totalmente ao arbtrio das partes a questo da autenticao das mensagens de dados e em um contexto em que os requisitos de firma, normalmente fixados por disposies imperativas de direito interno, no possam ser alterados mediante acordo entre as partes.
36
60. A noo de "qualquer acordo das partes a respeito" deve ser interpretada como englobando no apenas os acordos bilaterais ou multilaterais pactuados entre partes que intercambiem mensagens de dados diretamente (por exemplo, "acordos entre parceiros comerciais"), mas tambm os acordos de comunicaes (por exemplo, "contratos de servios com terceiros") de que participem intermedirios, tais como os acordos com redes de comunicao. Pode ser que os acordos entre os usurios do comrcio eletrnico e as redes de comunicao remetam s regras da prpria rede, quer dizer, aos regulamentos e procedimentos administrativos e tcnicos aplicveis comunicao de mensagens de dados atravs da rede. Todavia, um acordo eventual entre remetentes e destinatrios de mensagens de dados no tocante utilizao de um mtodo de autenticao no constitui por si s prova fidedigna de que esse mtodo seja confivel. 61. Cabe assinalar que, com base na Lei Modelo, a simples assinatura aposta a uma mensagem de dados mediante o equivalente funcional de uma firma manuscrita no basta por si s para dar validade jurdica mensagem. A questo da validade jurdica de uma mensagem de dados que cumpre o requisito de uma firma dever dirimir-se com base na normativa aplicvel margem da Lei Modelo.
Artigo 8 - Original (Texto da Lei) 1) Quando a Lei requeira que certa informao seja apresentada ou conservada na sua forma original, este requisito se considerar preenchido por uma mensagem eletrnica quando: c) Existir garantia fidedigna de que se preservou a integridade da informao desde o momento da sua gerao em sua forma final, como uma mensagem eletrnica ou de outra forma; e d) Esta informao for acessvel pessoa qual ela deva ser apresentada, caso se requeira a sua apresentao. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao quanto se a Lei simplesmente preveja conseqncias para o caso de que a informao no seja apresentada ou conservada em sua forma original. 3) Para os propsitos da alnea (a) do pargrafo 1): e) Presume-se ntegra a informao que houver permanecido completa e inalterada, salvo a adio de qualquer endosso das partes ou outra mudana que ocorra no curso normal da comunicao, armazenamento e exposio; f) O grau de confiabilidade requerido ser determinado luz dos fins para os quais a informao foi gerada assim como de todas as circunstncias do caso. 4) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 8 - Original (Comentrios) 62. Se por "original" se entende o suporte em que pela primeira vez se consigna a informao, seria impossvel falar de mensagens de dados "originais", pois o destinatrio de uma mensagem de dados receberia sempre uma cpia da mesma. No obstante, o artigo 8 deve ser entendido em outro contexto. A noo de "original" no artigo 8 til, pois na prtica muitas controvrsias se referem questo da originalidade dos documentos e no comrcio eletrnico o requisito da apresentao de originais um dos principais obstculos que a Lei Modelo trata de suprimir. Ainda que em algumas jurisdies pode-se supor que os conceitos de "escrito", "original" e
37
"assinatura" se superponham, a Lei Modelo trata-os como conceitos separados e distintos. O artigo 8 tambm til para esclarecer os conceitos de "escrito" e "original", dada a sua importncia para fins probatrios. 63. O artigo 8 pertinente para os documentos de titularidade e os ttulos negociveis, para os quais a especificidade de um original seja particularmente importante. Sem embargo, convm ter presente que a finalidade da Lei Modelo no se limita apenas sua aplicao aos ttulos de propriedade e ttulos negociveis nem a setores do direito nos quais haja requisitos especiais com relao inscrio ou legalizao de "escritos", como as questes familiares ou a venda de bens imveis. Como exemplos de documentos que talvez requeiram um "original", cabe mencionar documentos comerciais tais como certificados de peso, certificados agrcolas, certificados de qualidade ou quantidade, relatrios de inspeo, certificados de seguro ou outros. Estes documentos no so negociveis e no se utilizam para transferir direitos, mas essencial que sejam transmitidos sem alteraes, em sua forma "original", para que as demais partes no comrcio internacional possam ter confiana em seu contedo. Quando se trata de documentos escritos, os documentos dessa ndole geralmente se aceitam apenas quando constituam um "original", a fim de reduzir as possibilidades de alteraes, o que seria difcil de detectar em cpias. Existem diversos procedimentos tcnicos para certificar o contedo de uma mensagem de dados a fim de confirmar o seu carter de "original". Sem este equivalente funcional do carter de original, criarse-iam obstculos compra-e-venda de mercadorias mediante a transmisso eletrnica de dados, caso se exigisse dos autores dos documentos correspondentes que retransmitissem mensagens de dados cada vez que se vendessem mercadorias, ou caso as partes fossem obrigadas a utilizar documentos escritos para complementar a operao efetuada por comrcio eletrnico. 64. Deve-se considerar que o artigo 8 enuncia o requisito de forma mnimo para que uma mensagem seja aceitvel como o equivalente funcional de um original. As disposies do artigo 8 devem ser consideradas como imperativas, na mesma medida em que se considerem imperativas as disposies relativas utilizao de documentos originais consignados sobre papel. A indicao de que se ho de considerar os requisitos de forma enunciados no artigo 8 como o "mnimo aceitvel" no deve, contudo, ser entendida como um convite a que os Estados estabeleam requisitos de forma mais severos que os enunciados na Lei Modelo. 65. O artigo 8 sublinha a importncia da integridade da informao para a sua originalidade e fixa critrios que se devero levar em conta ao avaliar a integridade: a consignao sistemtica da informao, garantias de que a informao foi consignada sem lacunas e proteo dos dados contra toda modificao. O artigo vincula o conceito de originalidade a um mtodo de autenticao e se concentra no mtodo de autenticao que se deve utilizar para cumprir o requisito. O artigo baseia-se nos seguintes elementos: um critrio simples como o da "integridade" dos dados; uma descrio dos elementos que se devem levar em conta ao avaliar essa integridade; e um elemento de flexibilidade, como, por exemplo, uma referncia s circunstncias. 66. Com relao s palavras "o momento da sua gerao em sua forma final", empregadas no pargrafo 1) a), cabe assinalar que a disposio obedece ao propsito de ter em conta a situao em que a informao haja sido composta primeiro como documento escrito para ser logo transferida a um terminal informtico. Nessa situao, deve-se interpretar o pargrafo 1) a) no sentido de exigir segurana de que a informao haja permanecido completa e inalterada a partir do momento em que se comps pela primeira vez como documento escrito, e no somente a partir do momento em que se traduziu em formato eletrnico. Sem embargo, quando se criem e
38
armazenem diversos rascunhos antes de se compor a mensagem definitiva, no se deveria interpretar o pargrafo 1) a) como se exigisse segurana quanto integridade dos rascunhos. 67. No pargrafo 3) a) enunciam-se os critrios para avaliar a integridade, tendo-se o cuidado de excetuar as adies necessrias primeira mensagem de dados ("original"), tais como endosso, certificados, autenticaes, etc. Desde que o contedo de uma mensagem de dados seja completo e esteja inalterado, as adies que seja necessrio introduzir no afetaro a sua qualidade de "original". Assim, quando se acrescente um certificado eletrnico ao final de uma mensagem de dados "original" para certificar que seja a "original", ou quando a rede informtica utilizada acrescente automaticamente certos dados de transmisso ao princpio e ao final de cada mensagem de dados transmitida, essas adies se considerariam escritos complementares a um escrito "original" ou seriam assimiladas ao envelope e aos selos utilizados para enviar esse escrito "original". 68. Assim como em outros artigos do captulo II, deve-se entender o termo "a Lei", que figura na frase inicial do artigo 8, como referindo-se no s a disposies legislativas ou regulamentares, mas tambm a normas jurisprudenciais e processuais. Em alguns pases de common law, o termo "a Lei" seria normalmente interpretado como referindo-se a disposies de common law, e no a requisitos de origem propriamente legislativa, pelo que se deve ter presente que, no marco da Lei Modelo, o termo "a Lei" abrange ambas fontes de direito. Contudo, a Lei Modelo no utiliza este termo para referir-se a ramos do direito que no formem parte do direito interno e que se designam a vezes com certa impreciso por termos como "lex mercatoria" ou "direito do comrcio". 69. O pargrafo 4), assim como as disposies anlogas dos artigos 6 e 7, foi includo para facilitar a aceitao da Lei Modelo. Nele se reconhece que a questo de especificar excluses deveria ser deixada discrio de cada Estado, critrio que permitiria tomar devidamente em conta as diferentes circunstncias nacionais. No obstante, cabe advertir que os objetivos da Lei Modelo no se cumpririam se o pargrafo 4 fosse utilizado para estabelecer excees gerais. Caso se limitasse o mbito de aplicao dos artigos 6 a 8 por meio de diversas excluses, se obstaculizaria desnecessariamente o desenvolvimento das tcnicas de comunicao modernas, uma vez que a Lei Modelo oferece uma srie de princpios e critrios bsicos destinados a ser de aplicao geral.
7.4 Diretiva europia 93/99

No estipula tcnicas e uma recomendao. Recomenda a neutralidade tecnolgica (exceto regulamentao). Estabelece o Certificado qualificado e assinatura avanada.
7.5 Legislao norte-americana e-Sign

Prev a livre escolha do provedor de servios de Certificao Digital. No impe regras rgidas sobre tecnologias e credenciamento.
39
7.6 O nascimento da Certificao Digital no Brasil com Decreto 3.587/2000

Estabelece a ICP-Gov com abrangncia para o Poder Executivo Federal Considerado como a Certido de nascimento da Certificao Digital no Brasil Revogado pelo Decreto 3.996/01 quando criada a Medida Provisria 2.200
7.7 Medida Provisria 2.200-2 e sua importncia para eficcia probatria

Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. O ato legal na ntegra com grifos no artigo 10: O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 62 da Constituio, adota a seguinte Medida Provisria, com fora de lei: Art. 1o Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Art. 2o A ICP-Brasil, cuja organizao ser definida em regulamento, ser composta por uma autoridade gestora de polticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. Art. 3o A funo de autoridade gestora de polticas ser exercida pelo Comit Gestor da ICP-Brasil, vinculado Casa Civil da Presidncia da Repblica e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da Repblica, e um representante de cada um dos seguintes rgos, indicados por seus titulares: I - Ministrio da Justia; II - Ministrio da Fazenda; III - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; IV - Ministrio do Planejamento, Oramento e Gesto; V - Ministrio da Cincia e Tecnologia; VI - Casa Civil da Presidncia da Repblica; e VII - Gabinete de Segurana Institucional da Presidncia da Repblica. 1o A coordenao do Comit Gestor da ICP-Brasil ser exercida pelo representante da Casa Civil da Presidncia da Repblica. 2o Os representantes da sociedade civil sero designados para perodos de dois anos, permitida a reconduo. 3o A participao no Comit Gestor da ICP-Brasil de relevante interesse pblico e no ser remunerada. 4o O Comit Gestor da ICP-Brasil ter uma Secretaria-Executiva, na forma do regulamento. Art. 4o Compete ao Comit Gestor da ICP-Brasil:
40
I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICPBrasil; II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC, das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao; III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio; V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e definir nveis da cadeia de certificao; VI - aprovar polticas de certificados, prticas de certificao e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado ; VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICPBrasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz. Art. 5o AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final. Art. 6o s AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. Art. 7o s AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes. Art. 8o Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. Art. 9o vedado a qualquer AC certificar nvel diverso do imediatamente subseqente ao seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados pelo Comit Gestor da ICP-Brasil. Art. 10. Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria.
41
1o As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei n 3.071, de 1 de janeiro de 1916 Cdigo Civil. 2o O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Art. 11. A utilizao de documento eletrnico para fins tributrios atender, ainda, ao disposto no art. 100 da Lei n 5.172, de 25 de outubro de 1966 Cdigo Tributrio Nacional. Art. 12. Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no Distrito Federal. Art. 13. O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. Art. 14. No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao, podendo ainda aplicar sanes e penalidades, na forma da lei. Art. 15. Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma Procuradoria-Geral. Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na cidade de Campinas, no Estado de So Paulo. Art. 16. Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar servios de terceiros. 1o O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na Diretoria de Infra-Estrutura de Chaves Pblicas, por perodo no superior a um ano, servidores, civis ou militares, e empregados de rgos e entidades integrantes da Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem exercidas. 2o Aos requisitados nos termos deste artigo sero assegurados todos os direitos e vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto, graduao ou emprego que ocupe no rgo ou na entidade de origem. Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI: I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de Tecnologia da Informao do Ministrio da Cincia e Tecnologia; II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa por categoria de programao em seu menor nvel, observado o disposto no 2 do art. 3 da Lei n 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e identificadores de uso. Art. 18. Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado em juzo pela Advocacia Geral da Unio.
42
Art. 19. Ficam convalidados os atos praticados com base na Medida Provisria n 2.2001, de 27 de julho de 2001. Art. 20. Esta Medida Provisria entra em vigor na data de sua publicao. Braslia, 24 de agosto de 2001; 180o da Independncia e 113o da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente Este texto no substitui o publicado no D.O.U. de 27.8.2001 Alerta: Uma AC pode anunciar estar dentro dos padres da ICP-Brasil, mas pode no estar credenciada pela ICP-Brasil. Assim est fora da ICP-Brasil e, portanto enquadrada no 2 do artigo 10 da MP 2200-2. Somente ACs credenciadas esto dentro da ICP-Brasil e gozam das prerrogativas do 1 do artigo 10 da MP 2200-2.
7.8 Resolues do Comit Gestor da ICP-Brasil

N 1: Declarao de prticas AC Raiz N 2: Poltica de segurana ICP-Brasil N 3: Comisso para auditar AC-Raiz N 6: Critrios credenciamentoACs/ARs N 7: Requisitos mnimos poltica de certificados N 8: Requisitos mnimos declarao de prticas N 15: Diretrizes sincronizao de tempo N 20: Desenvolvimento plataforma aberta ICP-Brasil N 24: Cadastramento empresas auditoria ACs N 36: Diretrizes homologao de componentes N 38 a 46: Verso 2.0 documentos ICP-Brasil
7.9 A importncia da Resoluo N 36 da ICP-Brasil

COMIT GESTOR DA ICP-BRASIL RESOLUO N. 36, DE 21 DE OUTUBRO DE 2004 Aprova o Regulamento para Homologao de Sistemas e Equipamentos de Certificao Digital no mbito da ICP-Brasil. O SECRETRIO-EXECUTIVO DO COMIT GESTOR DA INFRA-ESTRUTURA DE CHAVES PBLICAS BRASILEIRA ICP-BRASIL faz saber que aquele Comit, no uso das atribuies previstas nos incisos I, VII e VIII do art. 4 da Medida Provisria n 2.200-2, de 24 de agosto de 2001, e CONSIDERANDO: - que a popularizao do uso de certificados digitais depende, dentre outros fatores, da reduo de seus custos atuais; - que esta reduo de custos depende, dentre outros fatores, do estabelecimento de economia de escala para os sistemas e equipamentos de certificao digital;
43
- que tal economia de escala proveniente, dentre outros fatores, da garantia de interoperabilidade entre os diversos sistemas e equipamentos de certificao digital disponveis; - que a interoperabilidade desejada decorrente da adoo de padres e especificaes tcnicas mnimas comuns a todos os sistemas e equipamentos de certificao digital disponveis; e, finalmente, - que a definio desses padres e especificaes tcnicas mnimas visa, sobretudo, ao adequado funcionamento do sistema ICP-Brasil, atualizao de suas tecnologias, procedimentos e prticas, garantia de sua compatibilidade e promoo de sua conformidade com as polticas de segurana aprovadas por aquele Comit; R E S O L V E: Art. 1 Aprovar o REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL em anexo. Art. 2 Esta Resoluo entra em vigor na data de sua publicao. ENYLSON FLAVIO MARTINEZ CAMOLESI REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL 1 - INTRODUO 1.1 - Viso Geral Este Regulamento tem por finalidade estabelecer as regras e os procedimentos gerais que devero ser observados nos processos de homologao dos sistemas e equipamentos de que trata. A homologao ora regulamentada tem por objetivo asseverar a plena aderncia dos sistemas e equipamentos avaliados aos padres e especificaes tcnicas mnimos estabelecidos nas normas editadas ou adotadas pela ICP-Brasil, tendo como enfoque especfico a garantia da interoperabilidade desses sistemas e equipamentos e a confiabilidade dos recursos de segurana da informao por eles utilizados. Destaque-se que esta homologao, no entanto, no alcanar a avaliao e a garantia dos sistemas e equipamentos quanto ao seu desempenho, qualidade tcnica ou funcionamento adequado de acordo com suas especificaes ou caracterizaes funcionais, ou, ainda, quanto a quaisquer outras caractersticas suas, seno de acordo com o expressamente previsto nas normas aplicveis da ICP-Brasil. 1.2 - Princpios O presente Regulamento regido pelos seguintes princpios: 1.2.1 - facilitar a insero do Brasil em acordos internacionais de reconhecimento mtuo em matria de Certificao Digital; 1.2.2 - observar, quando couber, quanto s matrias pertinentes, as premissas, as polticas e as especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e Comunicao no Governo Federal, definidas pela arquitetura e-PING Padres de Interoperabilidade de Governo Eletrnico;
44
1.2.3 - promover a isonomia no tratamento dispensado s partes interessadas na homologao de sistemas e equipamentos de certificao digital; e 1.2.4 - dar o devido tratamento sigiloso s informaes tcnicas disponibilizadas pelas partes interessadas por fora deste Regulamento. 1.3 - Definies Para os efeitos deste Regulamento aplicam-se as seguintes definies: 1.3.1 - Homologao: processo que consiste no conjunto de atos, realizados de acordo com este Regulamento e com as demais normas editadas ou adotadas pela ICP-Brasil, que, se plenamente atendido, resultar na expedio de ato pelo qual, na forma e nas hipteses previstas, a entidade responsvel pela conduo do referido processo reconhecer o laudo de conformidade emitido para um dado sistema ou equipamento de certificao digital avaliado, outorgando parte interessada autorizao de uso do Selo de Homologao e do correspondente nmero de identificao do sistema ou equipamento homologado, conforme definido no item 4. deste Regulamento; 1.3.2 - Avaliao de Conformidade: conjunto de ensaios desenvolvido por Laboratrio de Ensaios e Auditoria, formalmente vinculado entidade responsvel pela conduo dos processos de homologao, com o objetivo de verificar se os padres e especificaes tcnicas mnimos aplicveis a um determinado sistema ou equipamento de certificao digital esto atendidos; 1.3.3 - Laudo de Conformidade: documento emitido pelo Laboratrio de Ensaios e Auditoria ao final da avaliao de conformidade, na forma prevista neste Regulamento, que atestar se um dado sistema ou equipamento, devidamente identificado, est ou no em conformidade com as normas editadas ou adotadas pela ICP-Brasil; 1.3.4 - Ensaio: procedimento tcnico realizado em conformidade com as normas aplicveis, que objetiva analisar um ou mais requisitos tcnicos de um dado sistema ou equipamento; 1.3.5 - Terceira Parte: pessoa ou instituio que age com total independncia de fabricantes, desenvolvedores, representantes comerciais, prestadores de servios de certificao digital e de potenciais compradores de sistemas e equipamentos de certificao digital; 1.3.6 - Sistemas de Certificao Digital: todo e qualquer programa de computador, ainda que embarcado, que compe meio necessrio ou suficiente realizao de Certificao Digital; e 1.3.7 - Equipamentos de Certificao Digital: todo e qualquer aparelho, dispositivo ou elemento fsico que compe meio necessrio ou suficiente realizao de Certificao Digital. 2 - DISPOSIES GERAIS 2.1 - Obrigatoriedade Os rgos e entidades integrantes da ICP-Brasil somente podero utilizar e fornecer sistemas e equipamentos de certificaodigital homologados nos termos deste Regulamento. Transitoriamente, com o escopo de permitir a disseminao de conhecimentos sobre o processo de homologao, a formao de uma cultura acerca de seus benefcios e a adaptao gradativa dos rgos e entidades integrantes da ICP-Brasil, sero facultativos a utilizao e o fornecimento de sistemas e equipamentos homologados. O ITI, por meio de Instruo Normativa, aprovar cronograma com a determinao dos termos iniciais de obrigatoriedade da utilizao e do fornecimento de sistemas e equipamentos homologados. 2.2 - Aplicabilidade
45
So passveis de homologao para efeitos do que prev este Regulamento: 2.2.1 - sistemas de assinatura eletrnica, sistemas de autenticao de assinaturas eletrnicas, sistemas de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de sincronismo de tempo, bem como, sistemas de autoridades certificadoras, sistemas de autoridades de registro, ou quaisquer outros que faam uso daqueles sistemas na forma de subrotinas ou sub-funes; 2.2.2 - Cartes Inteligentes (Smart Cards), leitoras de cartes inteligentes, Tokens criptogrficos, ou quaisquer outras mdias armazenadoras de certificados digitais e suas correspondentes leitoras utilizadas em certificao digital; e 2.2.3 - Mdulos de Segurana Criptogrfica MSC (Hardware Security Modules - HSM), equipamentos de sincronismo de tempo, equipamentos de carimbo de tempo, ou quaisquer outros dispositivos seguros de criao ou verificao de assinaturas eletrnicas utilizados em certificao digital. 2.3 - Partes do Processo de Homologao 2.3.1 - Instituto Nacional de Tecnologia da Informao ITI O ITI, AC Raiz da ICP-Brasil, a entidade responsvel pela conduo dos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICPBrasil, observado o disposto neste Regulamento e demais normas editadas ou adotadas pela ICPBrasil. O ITI, para o desempenho de sua atribuio na conduo dos processos de homologao de sistemas e equipamentos de certificao digital, poder celebrar convnios, acordos, ajustes, contratos ou outros instrumentos congneres com o fito de manter instituies vinculadas para atuarem como seus Laboratrios de Ensaios e Auditoria. 2.3.2 - Laboratrios de Ensaios e Auditoria LEA Os Laboratrios de Ensaios e Auditoria so entidades, formalmente vinculadas ao ITI, aptas a realizar os ensaios exigidos nas avaliaes de conformidade e a emitir os correspondentes laudos de conformidade, na forma prevista neste Regulamento, que embasaro a tomada de deciso por parte do ITI quanto homologao ou no de um dado sistema ou equipamento avaliado. 2.3.2.1 - Critrios para a escolha dos LEA Os LEA devero ser entidades com capacidade tcnica necessria boa conduo das avaliaes de conformidade de sistemas e equipamentos de certificao digital, devendo atender aos seguintes requisitos: 2.3.2.1.1 - Qualificao jurdica: alm dos requisitos legalmente necessrios para a contratao com a Administrao Pblica, os LEA devem demonstrar ser instituies brasileiras, sem fins lucrativos, estabelecidas h pelo menos 3 (trs) anos, incumbidas regimental ou estatutariamente de pesquisa em campo especfico ou afim segurana da informao e com inquestionvel reputao tico-profissional; 2.3.2.1.2 - Qualificao como instituio de pesquisa: os LEA devero comprovar ser instituies de pesquisa credenciadas pelo Comit da rea de Tecnologia da Informao CATI, criado pelo Decreto n 3.800, de 20/04/2001, em conformidade com o disposto nas resolues por ele editadas, que estabeleam os critrios para credenciamento de institutos de pesquisa; 2.3.2.1.3 - Capacidade tcnica: a capacidade tcnica ser comprovada com a demonstrao da existncia de pessoal qualificado, voltado ao objeto da avaliao de conformidade de sistemas e equipamentos de certificao digital, seja nos quadros do organismo, seja fora dele, e, nesta hiptese, dever ser comprovada a vinculao contratual com o pessoal qualificado. O
46
pessoal apresentado deve comprovar capacitao tcnica para as finalidades da avaliao de conformidade quanto formao profissional, experincia profissional e capacidade tcnica, constantes de currculo Lattes devidamente cadastrado no CNPq, devendo, ainda, comprovar imparcialidade, independncia e objetividade nas decises; e 2.3.2.1.4 - Capacidade de tratamento sigiloso de informaes: os LEA providenciaro para que seus empregados, prepostos e representantes adotem as medidas e procedimentos necessrios proteo de informaes e materiais sigilosos, respondendo por qualquer acesso ou divulgao no autorizados. Os LEA devero, ainda, comprovar ser instituies adequadas e habituadas ao trato sigiloso de informaes que lhe so submetidas por seus contratantes, por meio da apresentao de, no mnimo, 3 (trs) Termos de Sigilo (ou, em ingls, NonDisclosure Agreement NDA) ou instrumentos congneres mantidos com outros contratantes. 2.3.2.2 - Obrigaes dos LEA Os instrumentos jurdicos que vincularo os LEA ao ITI, devero conter termo de responsabilidade e de compromisso, por parte dos LEA, de que estes desempenharo suas funes de acordo com padres de idoneidade que assegurem a independncia e neutralidade de suas avaliaes, bem como, com o devido rigor tcnico e procedimental. Os LEA devero, ainda, comprometer-se a: 2.3.2.2.1 - seguirem os princpios estabelecidos no item 1.2 deste Regulamento; 2.3.2.2.2 - disporem de procedimentos, onde devero estar explcitas, passo a passo, todas as etapas a serem cumpridas nas avaliaes de conformidade, assim como as providncias administrativas relativas; 2.3.2.2.3 - conduzirem as avaliaes de conformidade de acordo com o estabelecido por este Regulamento e demais normas editadas ou adotadas pela ICP-Brasil; 2.3.2.2.4 - elaborarem os laudos de conformidade de acordo com o disposto neste Regulamento; 2.3.2.2.5 - manterem registradas todas as reclamaes relativas s avaliaes de conformidade, incluindo as que forem encaminhadas aps expedida a homologao de um dado sistema ou equipamento. 2.3.2.3 - Auditoria dos LEA O ITI, anualmente, em carter ordinrio, ou a qualquer tempo, em carter extraordinrio, realizar, por si mesmo ou por terceiros por ele contratados, auditoria de conformidade para verificar se todos os processos, procedimentos e atividades dos LEA esto em conformidade com o disposto neste Regulamento, demais normas suplementares aplicveis homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil e demais resolues aprovadas pelo ComitGestor. 2.3.3 - Parte Interessada O titular de um determinado sistema ou equipamento de certificao digital ter legitimidade para pleitear sua homologao junto ao ITI. Quando o titular no tiver sede e administrao no Pas dever constituir e manter procurador devidamente qualificado e aqui domiciliado, com poderes para represent-lo administrativa e judicialmente, inclusive para receber citaes judiciais ou intimaes administrativas em seu nome. 2.4 - Normas Suplementares Aplicveis
47
Compete ao ITI editar normas suplementares a este Regulamento que, em funo das especificidades dos sistemas e equipamentos passveis de homologao previstos no item 2.2 deste Regulamento, estabelecero os requisitos tcnicos e procedimentais a serem observados nos respectivos processos de homologao. Tais normas devero estabelecer de forma especfica e pormenorizada os procedimentos administrativos a serem observados, bem como, os respectivos padres e especificaes tcnicas mnimos para os sistemas e equipamentos de que tratam, podendo, inclusive, estabelecer quais procedimentos tcnicos devero ser observados na realizao dos ensaios durante a avaliao de conformidade. Estas normas suplementares para homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil sero aprovadas e expedidas por meio de instrues normativas da autoridade mxima do ITI. Tal competncia derivada das atribuies regimentais do ITI, em especial, a de executar as normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. O ITI, na elaborao destas instrues normativas, levar em considerao, quando couber, as especificaes constantes das verses disponveis da arquitetura e-PING. O ITI poder, a qualquer tempo, alterar as instrues normativas por ele editadas, com o fito de adequar e atualizar os padres e especificaes tcnicas mnimos estabelecidos para os sistemas e equipamentos de certificao digital de que tratam, bem como, os prazos, procedimentos burocrticos e ensaios que devero ser observados nos pertinentes processos de homologao. As instrues normativas aqui referidas, bem como suas posteriores alteraes sero divulgadas pelo ITI no Dirio Oficial da Unio eem seu stio na internet. S estaro efetivamente em condio de homologao, aqueles sistemas e equipamentos cuja instruo normativa especfica j tenha sido editada e publicada pelo ITI. 2.5 - Tarifas pela Homologao A homologao de sistemas e equipamentos nos termos deste Regulamento estar sujeita ao pagamento de tarifas pelas partes interessadas. O ITI, por meio de Instruo Normativa, aprovar tabela fixando os valores das tarifas do processo de homologao, cuja vigncia ser transitoriamente diferida, em virtude das razes mencionadas no item 2.1 deste Regulamento. 2.6 - Prazos para Homologao O ITI dispor em instruo normativa quanto aos prazos a serem observados nos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil, em funo das especificidades de cadacaso. 2.7 - Prioridade de Homologao A ordem natural de execuo dos processos de homologao ser a correspondente ordem cronolgica dos pedidos de homologao protocolados junto ao ITI. Como contingncia, e desde que formalmente comunicado o fato ao ITI pelo LEA, sempre que a capacidade de atendimento deste ltimo for comprometer os prazos determinados pelo ITI, esta poder determinar que sejam priorizados os processos de homologao, segundo os seguintes critrios, e na ordem em que se apresentam: 2.7.1 - relativos a sistemas ou equipamentos nacionais j em uso por entidade integrante da ICP-Brasil; 2.7.2 - relativos a sistemas ou equipamentos estrangeiros, porm de empresas j estabelecidas no Brasil, j em uso por entidade integrante da ICP-Brasil;
48
2.7.3 - sistemas ou equipamentos estrangeiros j em uso por entidade integrante da ICPBrasil; 2.7.4 - sistemas ou equipamentos nacionais ainda no em uso por nenhuma entidade integrante da ICP-Brasil; 2.7.5 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade integrante da ICP-Brasil, porm, de empresas j estabelecidas no Brasil; e 2.7.6 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade integrante da ICP-Brasil. 3 - DO PROCESSO DE HOMOLOGAO O processo de homologao dos sistemas e equipamentos de que trata este Regulamento, ser composto das fases descritas a seguir. Durante sua execuo, dever ser observado, alm do disposto neste Regulamento, o que constar nas instrues normativas especficas editadas pelo ITI. 3.1 - Instruo Inicial do Processo A parte interessada em pleitear a homologao de um dado sistema ou equipamento de certificao digital no mbito da ICP-Brasil, dever entregar o respectivo sistema ou equipamento, acompanhado da devida documentao, no local, na quantidade e na forma definidos pela instruo normativa especfica para o sistema ou equipamento objeto da homologao. A documentao mnima a ser exigida nesta fase do processo de homologao ser: 3.1.1 - Termo de Propriedade Intelectual devidamente preenchido e assinado pelo representante legal da parte interessada, de acordo com modelo aprovado por Instruo Normativa do ITI e disponibilizado em seu stio na internet; 3.1.2 - Documentos comprobatrios de que a parte interessada est regularmente estabelecida segundo as leis brasileiras, ou de que possui procurador devidamente qualificado e domiciliado no Pas, conforme disposto no item 2.3.3 deste Regulamento; 3.1.3 - Documentos comprobatrios da representao regular da parte interessada; 3.1.4 - Documentao tcnica referente ao sistema ou equipamento objeto da homologao; 3.1.5 - Termo de Sigilo devidamente preenchido e assinado pelo representante legal da parte interessada, em duas vias, de acordo com modelo aprovado por Instruo Normativa do ITI e disponibilizado em seu stio na internet; e 3.1.6 - Lista descritiva de todos os sistemas e equipamentos que esto sendo entregues para fins de homologao pelo ITI. Aps conferido, identificado e aceito todo o material entregue, o ITI dever expedir um protocolo de recebimento, onde conste o nmero do respectivo processo de homologao e a data prevista para sua deliberao. Juntamente com o protocolo de recebimento, o ITI entregar uma via do Termo de Sigilo, devidamente assinada pela autoridade competente. 3.2 - Avaliao de Conformidade Uma vez aberto e devidamente instrudo o processo de homologao pelo ITI, bem como, recebido, identificado e validado todo o material tcnico correspondente a esse processo pelo LEA, este proceder realizao da Avaliao de Conformidade e emisso do correspondente
49
Laudo de Conformidade, nas condies e na forma previstas neste Regulamento e na instruo normativa especfica aplicvel. 3.2.1 - Do Laudo de Conformidade O Laudo de Conformidade dever ser emitido em trs vias de igual teor, sendo uma destinada ao ITI, outra parte interessada e a ltima ao prprio LEA. As duas primeiras vias devero ser encaminhadas ao ITI to logo esteja concluda a Avaliao de Conformidade e devidamente assinado o correspondente Laudo de Conformidade, devendo a ltima via ficar arquivada no LEA para eventuais necessidades futuras. Constaro do Laudo de Conformidade, no mnimo, as seguintes informaes: 3.2.1.1. - toda aquela necessria inequvoca identificao e descrio do sistema ou equipamento objeto da homologao e do respectivo nmero do processo; 3.2.1.2 - citar toda a legislao correspondente avaliao de conformidade; aplicada durante a realizao da
3.2.1.3 - descrever, detalhadamente, todos os requisitos avaliados e os respectivos resultados obtidos, incluindo, a indicao dos ensaios e sob que condies foram aplicados; 3.2.1.4 - identificar, claramente, quais requisitos so obrigatrios e quais so opcionais para a respectiva homologao; 3.2.1.5 - apresentar, em detalhe, quando for o caso, conformes, com a indicao das discrepncias encontradas; todos da os itens no
3.2.1.6 - atestar se o sistema ou equipamento objeto avaliao est ou no em conformidade com a legislao aplicvel;
correspondente
3.2.1.7 - data da emisso do respectivo laudo de conformidade, identificao(es) e assinatura(s) do(s) responsvel(eis) tcnico(s) pelos ensaios e do(s) representante(s) legal(ais) do LEA. 3.3 - Homologao Uma vez recebido o Laudo de Conformidade emitido pelo LEA, o ITI proceder sua anlise e, a partir de ento, tomar sua deciso quanto homologao do sistema ou equipamento correspondente. 3.3.1 - Do Deferimento da Homologao No caso do Laudo de Conformidade atestar a conformidade de todos os requisitos obrigatrios para um dado sistema ou equipamento, a homologao constituir Ato Declaratrio do Diretor de Infra-Estrutura de Chaves Pblicas do ITI, que ser publicado no Dirio Oficial da Unio, e dever conter, no mnimo, as seguintes informaes: 3.3.1.1 - toda aquela necessria sistema ou equipamento homologado; inequvoca identificao e descrio do
3.3.1.2 - o respectivo nmero do processo de homologao e o correspondente nmero de identificao de sistema ou equipamento homologado; 3.3.1.3 - declarao expressa de que o sistema ou equipamento objeto do ato declaratrio est homologado pelo ITI, em estrita observncia legislao aplicvel, devendo, inclusive, explicitar toda a legislao aplicada durante o processo de homologao. A partir da publicao do ato declaratrio de homologao, a parte interessada estar autorizada a usar o Selo de Homologao, acompanhado do correspondente nmero de
50
identificao do sistema ou equipamento homologado, na forma prevista no item 4. deste Regulamento. 3.3.2 - Do Indeferimento da Homologao O ITI indeferir a homologao de um dado sistema ou equipamento sempre que o correspondente Laudo de Conformidade apontar a no conformidade de qualquer dos requisitos obrigatrios para um dado sistema ou equipamento. 3.3.3 - Da Notificao da Parte Interessada Em qualquer das situaes possveis, quais sejam, deferimento ou indeferimento da homologao, o ITI dever notificar a parte interessada por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente, e devidamente acompanhado da via original do correspondente Laudo de Conformidade destinada parte interessada. 3.3.4 - Validade da Homologao O prazo de validade da homologao de sistemas e equipamentos de certificao digital ser indeterminado, desde que mantidas as caractersticas originais do sistema ou equipamento avaliado e homologado. Quaisquer modificaes no projeto ou no processo de desenvolvimento ou fabricao de sistema ou equipamento j homologado, obrigam a parte interessada a informar ao ITI o teor de tais modificaes. O ITI avaliar o impacto das modificaes, e deliberar sobre a necessidade da realizao de nova homologao. Havendo a necessidade de realizao de nova homologao, a parte interessada dever proceder conforme o disposto anteriormente neste Regulamento, como se fosse protocolar um novo pedido de homologao. No caso do ITI avaliar que no h necessidade de nova homologao, este dever notificar a parte interessada de sua deciso por meio de ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. 3.3.5 - Da Suspenso da Homologao O ITI poder declarar a suspenso da homologao por ele expedida, observadas as disposies constantes deste Regulamento. Caber a suspenso da validade da homologao, sempre que ocorrer uma das seguintes hipteses: 3.3.5.1 - quando a parte interessada fizer uso da homologao para divulgao de caracterstica(s) do sistema ou equipamento homologado, que no tenham sido objeto de avaliao de conformidade; 3.3.5.2 - quando a parte interessada fizer uso de qualquer forma de divulgao promocional da homologao de sistemas ou equipamentos que permita induzir a terceiros, ter sido homologado um sistema ou equipamento diverso do efetivamente homologado; 3.3.5.3 - quando a parte interessada fizer uso da homologao de sistema ou equipamento, que sofreu alteraes posteriores em seu projeto ou em seu processo de desenvolvimento ou fabricao, sem a devida autorizao do ITI, conforme disposto no item 3.3.4 deste Regulamento; 3.3.5.4 - quando houver inobservncia do disposto no item 2.3.3 quanto manuteno de procurador devidamente qualif cado e domiciliado no Pas; i
51
3.3.5.5 - quando da constatao pelo ITI de qualquer irregularidade no processo de homologao, que no se enquadrem em nenhuma das hipteses previstas no item 3.3.6 deste Regulamento. O ato de suspenso dever ser fundamentado, indicando as providncias a serem adotadas pelo notificado, e conter expressamente o prazo de suspenso, que dever ser de at 180 (cento e oitenta) dias. Conceder-se- ao ato de suspenso da homologao, a mesma publicidade dada ao ato de sua concesso. A suspenso vigorar enquanto no forem adotadas as providncias previstas no ato de suspenso ou at o prazo especificado. Decorrido o prazo de suspenso, sem que se verifique a completa e tempestiva adoo das providncias para sanar as irregularidades detectadas ou sem a apresentao de justificativa aceita pelo ITI, ser cancelada a homologao, sem prejuzo de outras penalidades previstas na legislao aplicvel. O ITI dever notificar parte interessada, a sua deciso de suspenso da validade de homologao de sistema ou equipamento de certificao digital, no prazo mximo de 10 dias, por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. 3.3.6 - Do Cancelamento da Homologao O ITI poder declarar o cancelamento da homologao por observadas as disposies constantes deste Regulamento. ele expedida,
Caber o cancelamento da validade da homologao, sempre que ocorrer uma das seguintes hipteses: 3.3.6.1 - quando da ocorrncia de fraude ou documentos apresentados no processo de homologao; falsidade nas declaraes ou
3.3.6.2 - quando da constatao de discrepncia relevante e injustificada entre os resultados dos ensaios realizados nas amostras do sistema ou equipamento avaliado e os obtidos em eventuais avaliaes posteriores; 3.3.6.3 - quando da prtica de qualquer ato em desconformidade com o ato de declarao de suspenso da homologao; 3.3.6.4 - no caso da decorrncia do prazo de suspenso da homologao, sem que se verifique a completa e tempestiva adoo de providncias para sanar as irregularidades apontadas ou sem a apresentao de justificativa aceita pelo ITI; 3.3.6.5 - no caso de reincidncia em item 3.3.5 deste Regulamento; e qualquer das hipteses previstas no
3.3.6.6 - a pedido da parte interessada na homologao. O ato de cancelamento da homologao dever ser fundamentado e ter a mesma publicidade dada ao ato de sua concesso. O ITI dever notificar parte interessada, a sua deciso de cancelamento da validade de homologao de sistema ou equipamento de certificao digital, no prazo mximo de 10 dias, por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. O ITI poder, a qualquer tempo, diante da demonstrao de risco segurana e informaes de usurios, determinar o cancelamento da homologao de sistemas e equipamentos de certificao digital. Neste caso, o ITI dar ampla divulgao ao fato, alertando o pblico em geral quanto aos riscos da continuidade na utilizao do sistema ou equipamento em questo. 3.3.7 - Dos Recursos em Face das Decises
52
Caber recurso das decises proferidas pelo ITI, quanto ao indeferimento, suspenso ou cancelamento de homologao, na forma prevista em instruo normativa editada pelo ITI. 3.3.8 - Dos Atos da Parte Interessada Salvo quando previsto de forma diversa nesta Resoluo, os atos das partes interessadas podero ser praticados pelo procurador a que se refere o item 2.3.3 ou por mandatrio com poderes especficos para a conduo do processo de homologao. 4 - SELO DE HOMOLOGAO 4.1 - Do Uso do Selo de Homologao Os sistemas e equipamentos homologados pelo ITI sero identificados como tal pelo uso do Selo de Homologao e correspondente nmero de identificao da homologao, de forma legvel e indelvel, conforme modelo e instrues insertos no item 4.2 deste Regulamento. Para os sistemas, e para os equipamentos nos quais seja insuficiente o espao para a colocao do Selo de Homologao e do correspondente nmero de identificao da homologao, dever ser providenciada sua aposio no manual de operao destinado ao usurio e na embalagem do sistema ou equipamento. No caso de cancelamento ou suspenso da homologao, o responsvel pelo sistema ou equipamento se obriga a cessar, imediatamente aps a publicao dos atos de cancelamento ou suspenso, a utilizao do Selo de Homologao e do correspondente nmero de identificao da homologao. O direito de uso da identificao da homologao no pode ser transferido ou cedido a terceiros, salvo na continuidade do uso por sucesso reconhecida pelo ITI, conforme previsto no item 5 deste Regulamento. 4.2 - Das Especificaes do Selo de Homologao 4.2.1 - Selo de Homologao
A identificao da homologao de um sistema ou equipamento de certificao digital composta das seguintes informaes: - Selo de Homologao, conforme disposto anteriormente; e Nmero de Identificao do sistema composto de HHHH-AA-XXXX/YY, onde: ou equipamento homologado,
53
HHHH: identifica a homologao do sistema ou equipamento por meio de numerao seqencial com 4 caracteres. AA: identifica o ano da emisso da homologao com 2 caracteres numricos. XXXX: identifica o nmero da instruo normativa especfica aplicada homologao com 4 caracteres numricos. YY: indica o ano da edio da instruo normativa especfica aplicada homologao com 2 caracteres numricos. 5 - DISPOSIES FINAIS A homologao ora regulamentada no exime o usurio de um dado sistema ou equipamento de certificao digital homologado da responsabilidade de somente utiliz-lo, enquanto apresentar desempenho e confiabilidade compatveis com a legislao vigente. No sero considerados para efeito de homologao, equipamentos recondicionados ou reformados mesmo que, para tanto, tenham sido submetidos a processo industrial. Admite-se a transferncia da titularidade dos sistemas e equipamentos homologados, desde que o ITI seja formalmente comunicado do fato atravs de documentao comprobatria dessa transferncia, acompanhada de declarao emitida por aqueles a quem os referidos direitos tenham sido transmitidos asseverando que os sistemas ou equipamentos anteriormente homologados no sofreram nenhuma alterao quanto s caractersticas tcnicas que os levaram a ser homologados pelo ITI, sendo, nestes casos, transferidos por sucesso os direitos e deveres originalmente relativos homologao. O ITI manter sempre atualizada e disponvel ao pblico em geral, em seu stio na internet, as informaes, de carter no confidencial, relativas aos processos de homologao, em especial: 5.1 - o inteiro teor deste Regulamento, bem como, das instrues normativas especficas aplicveis aos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil; 5.2 - listagem contendo todos os sistemas e equipamentos homologados, bem como, todas as informaes necessrias a sua inequvoca identificao e descrio; 5.3 - relao dos laboratrios de ensaios e auditoria vinculados; e 5.4 listagem contendo todas as homologaes suspensas ou canceladas.
Os formulrios, instrues e disposies suplementares sero objeto de atos a serem editados pelo ITI.
7.10 Projetos de Lei em tramitao no Congresso Nacional

1589/1999 Cmara: Luciano Pizzatto (OAB - SP), assinatura digital e validade jurdica documentos eletrnicos. 1483/1999 Cmara: Dr. Hlio, fatura eletrnica. Incorpora o PL 1589. Foi amplamente debatido por entidades como:Assespro, Brisa, OAB, IDEC. 4906/2001(672) Cmara: Aprovado na comisso especial em 26/09/2001 incorporando ao PL 1483 e depois ao PL 1589. 7316/2002 Cmara: Uso de Assinaturas eletrnicas e prestao de servios de Certificao Digital. o que tem atualmente maior perspectiva para aprovao.
54
7.11 Perspectiva de criao de Lei para Certificao Digital

A partir do Projeto de Lei N 7.316 14/10/2002: Uso de assinaturas eletrnicas, Certificados Digitais, ICP-Brasil e prestao de servios de certificao. Assinatura eletrnica avanada (chaves pblicas) a partir de Certificado qualificado ICP-Brasil. Planejado para viabilizar a neutralidade tecnolgica. Define prestao de servios de Certificao Digital credenciados a ICP-Brasil. Prev o uso da Certificao Digital para passaportes, documento identidade, carteira de motorista, registro de veculos, etc. Estabelece a Tempestividade Digital dentro da ICP-Brasil. Proposta pelo relator a incluso de condio para garantir prova plena dos documentos digitalizados quando conferidos com original e autenticados com f pblica. Responsabilidade por danos dentro da ICP-Brasil. Exigncia de uso da ICP-Brasil para administrao pblica em todos os nveis. Quando aprovado pelo Congresso Nacional e sancionado, deve substituir a Medida Provisria 2.200-2, convalidando todos os atos at ento praticados.
7.12 Autenticao de assinaturas digitais e de cpias eletrnicas

Para documentos originais eletrnicos, no h nenhuma necessidade de adequao do processo para garantir a legalidade com eficcia probatria. MP 2200-2 j regula sobre documentos eletrnicos e assinaturas digitais. Para documentos digitalizados(cpias eletrnicas) tem-se: Empresas pblicas, Autarquias e rgos pblicos tm poder de produzir cpias de documentos com f pblica, garantindo legalidade do documento apenas aplicando a MP 2.200-2. Empresas privadas podem ter regulamentaes especficas no seu setor de atuao. Por exemplo a Resoluo do Conselho Federal de Contabilidade 1.020/05. Deve-se, portanto discutir os processos de digitalizao e viabilizar soluo de GED. possvel ainda se valer da f pblica, autenticando cpias eletrnicas com assinatura digital de um cartrio.
7.13 Exerccio 2: digitalizao e autenticao com f pblica

Questo 1: A outorga de f pblica com poderes para autenticar cpias eletrnicas, se concedida para titulares de certificados digitais ICP-Brasil, pode definitivamente eliminar a necessidade de ser realizada por um cartrio? Questo 2: Que tipos de documentos em papel podem ser descartados depois de digitalizados e autenticados dentro da ICP-Brasil?
7.14 Requisitos para autenticao de documentos digitalizados

Assim como as cpias de documentos em papel, nem todas as cpias eletrnica precisam ser autenticadas, portanto, alguns requisitos devem ser considerados: Documentos com validade vencida devem ser descartados. Documentos com pouco acesso e tempo de guarda curto devem permanecer em suporte papel.
55
Documentos com pouco acesso e tempo de guarda longo ou permanente, devem ser microfilmados* Documentos com muito acesso e tempo de guarda curto, devem ser digitalizados e as imagens (cpias eletrnicas) autenticadas com F Pblica quando necessrio. Documentos com muito acesso e tempo de guarda longo ou permanente, devem ser digitalizados e microfilmados* * Considerando a freqncia de acesso, perodo de reteno e volume de dados, o Gartner Group recomenda mover para mdia analgica humanamente legvel registros que sero guardados por mais de 10 anos. O microfilme tem uma vida estimada de at 500 anos, se estiver apropriadamente armazenado. Fonte: Gartner Management Update, agosto de 2001
7.15 Validade jurdica X eficcia probatria de documentos eletrnicos

Tanto a assinatura digitalizada quanto a baseada em biometria, tm validade jurdica se forem produzidas de forma lcita. Porm, no tem eficcia probatria porque podem ser copiadas e coladas em qualquer documento eletrnico sem o consentimento do autor no podendo garantir integridade nem autenticidade. A Assinatura Digital em documento eletrnico, produzida a partir de um Certificado Digital gerado por Autoridade Certificadora credenciada a ICPBrasil, tem validade jurdica com eficcia probatria.
56
MDULO 8 - Aplicaes para Certificao e Tempestividade Digital

8.1 Certificao de dados, documentos, mensagens eletrnicas e agentes
A Certificao Digital tem basicamente trs tipos de aplicao: Assinatura Digital, Autenticao de Agentes e Confidencialidade. Por sua vez, a Tempestividade Digital, combinada com a Certificao Digital, pode agregar maior eficcia probatria em qualquer um dos trs tipos de aplicao. A Assinatura Digital e a Confidencialidade podem ser aplicadas em qualquer contedo eletrnico a exemplo de documentos, mensagens de correio eletrnico, arquivos, banco de dados, etc., e se combinadas com a Tempestividade Digital, podem registrar os momentos da aplicao da assinatura com hora oficial. A Autenticao de Agentes pode ser aplicada para identificao remota com eficcia probatria de pessoas, processos, sistemas, dispositivos, etc., e se combinada com a Tempestividade Digital, pode registrar os momentos dessa identificao com hora oficial.
8.2 Autenticao para acesso seguro a servidores Web

Garante o sigilo e integridade ao acessar um stio Internet. Quem acessa o stio Internet Certificado, recebe uma cpia do Certificado Digital contendo a chave pblica. Cria-se um tnel criptogrfico onde somente o stio Internet acessado consegue decifrar os contedos enviados (nico que possui a chave privada). Indispensvel quando ao acessar um stio Internet necessrio fornecer dados como nmeros de conta corrente, cartes de crdito, etc. Ao acessar um stio Internet que deve estar seguro com Certificado Digital, deve-se sempre verificar os dados do Certificado: se a data de validade do Certificado no est expirada, se a Autoridade Certificadora que emitiu o Certificado confivel e se o dado certificado para aponta para o stio que est sendo acessado.
8.3 Assinaturas em documentos originais e cpias eletrnicas

Assinatura em documentos originais eletrnicos: Cada atualizao (verso) do documento deve receber nova Assinatura Digital, porque qualquer alterao no documento, por mnima que seja invalida as suas assinaturas digitais. Garante a integridade do documento assinad e a autenticidade de todos os assinantes. o Um documento gerado em meio digital, quando assinado conforme legislao, tem a mesma eficcia probatria de um documento em papel, desde que seja garantida a acessibilidade do mesmo. Assinatura em cpias eletrnicas: Uma imagem de documento digitalizado cpia eletrnica e assim deve ser tratada. Assinatura Digital em uma imagem pode garantir integridade e autenticidade de quem assina, mas no da assinatura do autor do documento porque a assinatura do mesmo estar digitalizada a partir da assinatura em papel.
57
A necessidade de eficcia probatria pode exigir autenticao de cpia eletrnica com f pblica, o que deve ser obtido de acordo com a legislao em vigor.
8.4 Integridade e autenticidade no trmite de documentos eletrnicos

O trmite de documentos eletrnicos atravs de uma rede aberta e vulnervel como a Internet, traz dois grandes riscos. O primeiro a grande possibilidade de o documento ter seu contedo violado durante o trmite, comprometendo assim a sua integridade. O segundo risco, a incerteza da autoria das assinaturas dos documentos recebidos, uma vez que tanto uma assinatura pode ser gerada falsa, como a pode ser adulterada durante o trmite. Com a Certificao Digital, conforme figura 8.4.1 abaixo, um documento eletrnico, partindo de um Emissor, pode chegar ao Receptor com garantia de integridade e autenticidade. O emissor calcula o resumo (cdigo hash) do documento, criptografa esse resumo com a sua chave privada e assim obtm a Assinatura Digital. Envia a assinatura e o contedo do documento pela Internet que como sabemos uma rede aberta e vulnervel. O receptor, ao receber o documento com a assinatura, utilizando o Certificado Digital do Emissor, decriptografa a assinatura com a chave pblica presente no Certificado e a partir do contedo do documento recebido com a mesma funo hash usada pelo Emissor, calcula um novo resumo. Os dois resumos so comparados e se forem iguais a integridade est garantida. A autenticidade garante-se pela identificao do titular do Certificado Digital que o assinante do documento, desde que a Autoridade Certificadora que emitiu o Certificado Digital seja confivel pelo Receptor.
Figura 8.4.1: Autenticidade com Integridade no trmite de documentos eletrnicos
58
8.5 Exerccio 3: garantia de sigilo, integridade e autenticidade

Considerando o processo da figura 4.11.1 e o processo da figura 8.4.1, represente em um nico processo, com fluxo resumido, as garantias de Sigilo, Autenticidade e Integridade no trmite de documentos eletrnicos.
8.6 Demonstrao de uso de assinatura de documentos eletrnicos*

Com uso do Certificado Digital e-CPF do instrutor do curso e um aplicativo para assinatura e verificao de assinaturas de documentos eletrnicos ser demonstrado no mdulo 12: Assinatura de documentos originais eletrnicos Verificao de assinatura em originais eletrnicos Assinatura de cpias eletrnicas (documentos di italizados) g Como autenticar cpias eletrnicas com f pblica Verificao de assinatura em cpias eletrnicas Assinatura de mltiplos documentos eletrnicos Assinatura de documentos eletrnicos em lote Co-assinatura de documentos eletrnicos *Ser apresentada no mdulo 12
8.7 Aplicao para integridade e autenticidade na guarda de documentos

Considera-se para efeito de guarda de documentos eletrnicos os seguintes aspectos: Quanto a criao: Acervo ou Demanda Quanto ao contedo: Esttico ou Dinmico Quanto ao acesso: Consulta ou Atualizao A Certificao Digital tem aplicao: Ideal para documentos estticos em demanda Para documentos dinmicos em demanda, nova assinatura aps atualizao A Consulta a documentos sob verificao de integridade e autenticidade O Acervo pode ser re-assinado quando possvel (se autor acessvel)
8.8 Aplicaes para e-mail, Web, dispositivos mveis e redes virtuais

S/MIME: Assinatura, integridade, verificao e sigilo para mensagens de correio eletrnico. WAP/WTLS: Sigilo, integridade autenticao das partes na comunicao dispositivos mveis (celulares). Ipsec: Criao de redes privadas virtuais (VPNs) em redes pblicas com sigilo, integridade e autenticao de pacotes Internet (IP). SSL: Canal seguro de comunicao entre 2 mquinas. SET: Transaes com cartes de crdito pela Internet sem identificar nmero do carto de crdito do cliente (aplicao para operaes VISA/MASTERCARD).
59
8.9 Normas, iniciativas e potencial de utilizao

Muitas normas recentemente editadas para uso de Certificao Digital. Todas as normas que tem surgido exigem o uso de certificados digitais emitidos por Autoridades Certificadoras credenciadasa ICP-Brasil. Diversos esforos do Governo Federal e iniciativa privada para popularizar a Certificao Digital no Brasil. Potencial de utilizao: Toda organizao que pretende trabalhar com documentos eletrnicos e que necessite de autenticao de agentes no ambiente virtual com eficcia probatria.
8.10 Resoluo do Conselho Federal de Contabilidade

Resoluo CFC N 1.020 de 18/02/2005: Escriturao contbil em forma eletrnica. Conforme legislao contbil e exigncia conforme ICP-Brasil. Documentos contbeis originais eletrnicos equivalentes ao papel. Os documentos em suporte papel podem ser digitalizados, mas as imagens devem ser assinadas pelo responsvel do processo de digitalizao, pelo contabilista, pelo empresrio e autenticadas com f pblica, com todas as assinaturas conforme ICPBrasil. Prev autenticao documentos eletrnicos impressos Exige preservao que pode ser por GED A resoluo CFC 1.061 de 09/12/2005 estabelece um leiaute padronizado A resoluo CFC 1.063 de 09/12/2005, e atualizao da resoluo 1.020.
8.11 Instruo normativa do Superior Tribunal do Trabalho para peties

Instruo TST N 28 de 07/06/2005: Protocolizao e fluxo de documentos e-DOC De acordo com as regras da ICP-Brasil Disponvel na pgina TST, mas facultativo aos advogados Exige prvio cadastramento do advogado pela Justia do Trabalho Usurio deve adquirir Certificado Digital de AC credenciada pela ICP-Brasil Peties e anexos s em PDF e com tamanho mximo de 2MB Dispensa a apresentao posterior da documentao em papel Rigoroso quanto a Tempestividade Digital Questionada pela OAB (identificao advogados)
8.12 Ajuste CONFAZ para uso de Nota Fiscal eletrnica NF-e

Ajuste CONFAZ SINIEF N 07 de 05/10/2005: Institui a Nota Fiscal eletrnica que pode substituir o modelo 1 ou 1-A em papel Existncia apenas em formato digital (no prev a digitalizao dos acervos) Arquivo digital somente no padro XML Assinatura digital somente a partir de Certificado de AC credenciada ICP-Brasil Validao, guarda e transmisso Receita Federal pela administrao tributria da unidade federada (necessidade de GED) Credenciamento somente de contribuintes com convnios ICMS 57/95 e 58/95
60
8.13 Autoridade Certificadora do Judicirio AC-Jus

Credenciada a ICP-Brasil em maro 2005 para facilitar a adeso dos poderes judicirio a Certificao Digital ICP-Brasil Forte adeso das diversas instncias do Poder Judicirio na esfera federal e tambm estaduais Importante impulso para utilizao da Certificao Digital pelo Poder Judicirio Perspectiva para agilizao dos processos judiciais em todo o Brasil
8.14 Iniciativas para popularizar o uso da Certificao Digital no Brasil

Convnio da Federao dos Bancos Brasileiros (FEBRABAN) com a Secretaria da Receita Federal (SRF) e com o Instituto de Tecnologia da Informao (ITI) com o objetivo de popularizar a Certificao Digital no Brasil: Autenticao de agentes no ambiente eletrnico Ex: IR, DCTF, titulares contas correntes etc. Assinatura e autenticao de documentos eletrnicos com equivalncia funcional legal aos documentos em suporte papel e-CAC Centro virtual de atendimento ao contribuinte da Receita Federal (com autenticao remota do contribuinte: Balco Virtual) SIDOF Elaborao e trmite de documentos entre a Presidncia da Repblica e os Ministrios com o uso da Certificao Digital desde 2001
8.15 Situao e principais aplicaes em outros pases
Blgica: Pas mais avanado em Certificao Digital com identidade eletrnica vinculada ao nascimento das pessoas e previso de fornecimento para todos cidados at 2008. Unio Europia: Grande avano no uso para documentos originais eletrnicos e cpias eletrnicas (digitalizao de acervos). EUA: Uso intensivo para fins militares e funcionrios pblicos em geral. Canad: Forte apoio do governo com preferncia para software livre.
61
MDULO 9 - Integrao com as principais tecnologias para GED

9.1 Document Imaging com Certificao Digital
Tecnologia Document Imaging - DI: Gerenciamento de Imagens dos Documentos. Devido ao grande nmero de documentos em papel ou microfilme utiliza-se a tecnologia de imagem para agilizar os processos de consulta, processamento e distribuio de documentos. O DI utiliza programas de gerenciamento para arquivar e recuperar documentos. Emprega equipamentos especficos para a captao, armazenamento, visualizao, distribuio e impresso das imagens dos documentos. A tecnologia de DI consiste na imagem do documento captada atravs de escaners. Esses equipamentos simplesmente convertem os documentos em papel ou microfilme para uma mdia digital. Aqui, importante diferenciar um documento proveniente da digitalizao, aquele que gera uma imagem, daqueles que vm da digitao, que gera um documento textual. Os documentos no formato imagem so, em mdia, dez vezes maiores que os textuais, e no podem ser processados por sistemas tpicos de processamento de dados. A imagem gerada um mapa de bits, no existindo uma codificao por caracteres, diferente da digitao, em que h codificao de cada letra do texto por um teclado. Document Imaging com Certificao Digital: Ver no item 8.3: Assinatura em Cpias Eletrnicas
9.2 Forms Processing com Certificao Digital

Tecnologia Forms Processing - FP: Processamento de Formulrios. A tecnologia de processamento eletrnico de formulrios permite reconhecer as informaes nos formulrios e relacion-las com campos nos bancos de dados. Essa tecnologia automatiza o processo de digitao. O Forms Processing utilizado pelos bancos para agilizar o processamento dos formulrios de abertura de contas e concesso de crditos, por exemplo. Foi utilizado para o processamento do censo de 2000 e tambm no clculo das perdas do FGTS, cujos dados encontravam-se em microfilme. muito utilizado na apurao de resultados de concursos vestibulares e pode ser utilizado em qualquer captura de dados onde no seja possvel fazer digitao diretamente no computador. Os formulrios em papel ou microfilme so digitalizados e para o reconhecimento automtico dos caracteres so utilizados softwares de OCR, Optical Character Recognicion e ICR, Intelligent Character Recognition. Forms Processing com Certificao Digital: Informaes de interesse so extradas das imagenspor reconhecimento (OCR/ICR). Em geral, as imagens so descartadas e os formulrios em papel guardados de acordo com o tempo necessrio para preservao. As imagens(cpias) podem ser assinadas ou autenticadas e o papel(originais) descartado. Recomenda-se criar normas, fazer acordos e ter clara a divulgao dos procedimentos.
9.3 Document Management com Certificao Digital

62
Tecnologia Document Management: Gerenciamento de Documentos Dig itais. Todos os documentos criados eletronicamente precisam ser gerenciados, principalmente aqueles com grande quantidade de reviso. O DM controla o acesso fsico aos documentos, ensejando maior segurana e atribuindo localizadores lgicos, como a indexao. O foco o controle das verses dos documentos, datas das alteraes feitas pelos respectivos usurios e o histrico da vida do documento. As grandes aplicaes so na rea de normas tcnicas, manuais e desenhos de engenharia. E, nos ltimos anos, com a automao do escritrio, o DM perfeitamente aplicvel para todos os documentos de uma organizao. Principais funcionalidades: Gerenciamento do ciclo de vida dos documentos Controle de autoria: criao, reviso, aprovao, etc. Controle de rascunhos, verses, etc. Temporalidade (tempo de guarda TTD) Critrios para o descarte (PDD) Check-In e Check-Out Mdias para armazenamento Document Management comCertificao Digital: O uso da Certificao no Document Management deve ser encarada como necessria, seno obrigatria. Pode ser aplicada em qualquer fase do ciclo de vida de um documento eletrnico. Cada atualizao do documento (verso), deve receber nova assinatura digital. Os originais eletrnicos gozam de validade jurdica e tem fora probatria quando assinados dentro da ICP-Brasil.
9.4 EDMS com Certificao Digital

Tecnologia EDMS: Engineering Document ManagementSystems Dentre as tecnologias para o Gerenciamento Eletrnico de Documentos, uma das que possuem grande relevncia para a manuteno das plantas o EDMS (Engineering Document Management System), que cuida exatamente de informaes tcnicas de funcionamento e manuteno: desenhos, manuais, catlogos, etc., e conhecida como Gerenciamento de Documentos de Engenharia: Gerencia documentos grandes (atA0) Controla verses e revises de plantas de engenharia Pode utilizar desenhos em CAD, raster ou hbrido Permite mltipla representao Controla a Retirada do desenho para atualizaes EDMS com Certificao Digital: Pode ser aplicada em qualquer fase do ciclo de vida de uma planta eletrnica Cada atualizao da planta (verso), deve receber nova assinatura digital Uma planta gerada em meio digital, quando assinada dentro da ICP-Brasil, tem a mesma eficcia probatria de uma planta em meio analgico, desde que garantida a acessibilidade da mesma Cpias podem exigir autenticao com f pblica conforme legislao em vigor
63
9.5 COLD/ERM com Certificao Digital

Tecnologia COLD/ERM: Computer Output to Laser Disk / Enterprise Report Management (Gerenciamento de Relatrios) A tecnologia surgiu da evoluo dos sistemas COM (Computer Output Microfilm) onde a sada de dados era armazenada em microfilme (microfichas). A funo bsica dos sistemas COLD armazenar dados oriundos de sistemas informatizados na forma de relatrios e formulrios, poderiam possam ser analisados via software. Na realidade no so imagens dos relatrios gerados, mas os dados sobrepostos de forma a se unir a um layout (formulrios) e proporcionar a viso do relatrio. Podemos armazenar, em um disco, por exemplo, faturas de telefone, notas fiscais, relatrios gerenciais, contra-cheques, e depois imprimir s o que for necessrio ou de acordo com critrios de uma pesquisa. O resultado da impresso dos relatrios direcionado para um servidor COLD que armazena informaes e indexa segundo critrios definidos para cada relatrio. Na verdade, so gravados somente os dados posicionais no relatrio e o usurio, no momento da visualizao, aciona o formulrio relacionado ao relatrio ou fatura que far a sobreposio dos dois. Basicamente tem-se o dado e sua mscara de layout (composta por logotipos, cabealhos, linhas delimitadoras, cdigo de barras, etc.) executados de forma simultnea, podendo o usurio selecionar individualmente cada um. Podemos selecionar em um relatrio uma coluna e avanando comparamos a mesma com informaes de outras colunas. Agrupar dados de uma linha com linhas adiante para formar e gerar um novo relatrio. Exportar dados do relatrio para planilhas e editores de texto, e indexar relatrios por contedo de um valor posicional onde a informao sempre aparecer no relatrio. A soluo permite que o usurio coloque lembretes, assinale partes do relatrio (high-light), censure informaes (tarjas para acesso de pessoa com nvel de autorizao alto). As anotaes ficam sobre o documento e podem ser retiradas a qualquer momento para uma visualizao mais limpa do relatrio (exceto aquela com nveis de autorizao). Em resumo, possvel usando esta tecnologia:
Eliminar a emisso de relatrios gigantescos, sem necessidade. O usurio passaria a selecionar a informao desejada e imprimir s o que for necessrio ou ainda visualizar seu resultado na tela (reduona emisso de relatrios). Liberar espaos reservados para arquivamento de documentos e relatrios. Haveria apenas um controle e manuteno das informaes armazenadas nos discos pticos, mantendo a informao mais recente em um servidor para acesso imediato pelo usurio. Proporcionar ao usurio a manipulao dos dados de forma que o mesmo possa exportar, concatenar e imprimir informaes relacionadas a alguns critrios estipulados durante uma pesquisa. Identificar com segurana quem pode ou no acessar informaes de um determinado relatrio. Garante, por exemplo, que relatrios financeiros sejam acessados somente por pessoas autorizadas pela Gerncia da rea financeira.
COLD/ERM com Certificao Digital: Pode-se assinar somente os dados(sem a mscara) ou paginas completas Garantia de integridade dos dados gerados em COLD Autenticidade de origem dos dados que alimentam o sistema COLD Verificao de autenticidade e integridade de pginas com contedos para tomada de decises importantes ou de formulrios para pagamentos via Internet
64
9.6 Workflow/BPM com Certificao Digital

Tecnologia Workflow/BPM: Automao de processos Workflow uma tecnologia que visa a agilizao da execuo de processos de negcio atravs do controle, acompanhamento e monitoramento adequado das etapas, prazos e regras de negcio envolvidas. Elimina tempos improdutivos e gerencia a execuo de todas as atividades envolvidas em um fluxo de trabalho, provendo rastreabilidade e melhores controles. Workflow se preocupa com a automao de processos, porm geralmente limitada ao roteamento de tarefas entre pessoas, mesmo que integrada com outros sistemas existentes na empresa. Essencialmente um conjunto de ferramentas de desenvolvimento que definem, gerenciam e executam fluxos de trabalho atravs da operao de um sistema representativo da lgica do processo. A dinmica de BPM muito similar ao roteamento de workflow, acrescentando a dimenso de integrao de sistemas. O ato de integrar dois sistemas define uma conexo ponto a ponto que facilita o trabalho requerido de buscar a informao em um sistema e levar ao outro. No entanto, quando se necessita integrar-se mais de dois sistemas, a complexidade aumenta e naturalmente surge a um novo processo formal de negcio. BPM um guarda-chuva que permite a criao de uma camada de processos que controla as aplicaes a ele integradas, adicionando ao processo as interaes entre pessoa-a-aplicao e aplicao-a-aplicao. Da mesma forma que o Middleware fornecia uma camada de dados, o BPM fornece uma camada de processos, formando um Hub Independente de Processos. Com BPM, ao invs de se ter cada aplicao responsvel por um conjunto de processos, tentando integrar-se a eles, o controle do processo retirado das aplicaes individuais e entregue a uma camada de BPM, que se responsabiliza pela integrao das tarefas e atividades dos vrios processos com as diversas aplicaes individualmente. Workflow/BMP com Certificao Digital: Autenticao de remetentes e destinatrios durante o trmite de documentos em processos com fluxos automatizados. Garantia de integridade e sigilo dos dados que trafegam entre duas etapas de um processo. Muito importante para segurana no trmite em solues de Workflow para rede aberta como a Internet, por exemplo. Exemplo de autenticao de agentes de Workflow/BMP: Um protocolo Desafio-Resposta baseado em Assinatura Digital pode ser executado no incio de cada etapa(trmite) de um processo Desafio: A manda mensagem aleatria para B Resposta: B assina com sua chave privada e manda de volta a mensagem assinada A recupera a chave pblica de B e verifica a assinatura (autenticidade do interlocutor) Se resposta = desafio, ento B est autenticado Um protocolo similar pode ser executado em sentido inverso, ou seja, de B para A garantindo a autenticidade nos dois sentidos
9.7 ECM com Certificao Digital

Tecnologia ECM: Enterprise Content Management Gerenciamento de Contedo O ECM so tecnologias, ferramentas e mtodos usados para captar, gerenciar, armazenar, preservar e distribuir contedo pela organizao. No nvel mais elementar, as ferramentas e estratgias de ECM permitem o gerenciamento de informao no-estruturada de uma
65
organizao, enquanto aquela informao existir. O ECM uma evoluo do Document Management porque trata outros objetos alm de documentos, preconiza uma abordagem corporativa e incorpora tecnologias que no Document Management so consideradas correlatas. ECM com Certificao Digital: A Certificao Digital pode garantir, sigilo, autenticidade e integridade de qualquer contedo digital (qualquer seqncia de bits). Pode ser aplicada em qualquer fase do ciclo de vida de um contedo eletrnico. Cada atualizao do contedo (verso), deve receber nova assinatura digital. Os originais eletrnicos gozam de validade jurdica e tem eficcia probatria quando assinados dentro da ICP-Brasil. ECM com Certificao Digital por fases: Tecnologias para captao de contedo: Integridade dos documentos digitalizados e autenticao dos agentes envolvidos em todo o processo de captura. Tecnologias para armazenamento digital: Integridade, autenticidade, sigilo e assinatura digital com eficcia probatria dos contedos armazenados. Tecnologias para gerenciamento eletrnico: Autenticao dos agentes no trmite e garantia de integridade em todo o ciclo de vida dos contedos. Tecnologias para preservao digital: Migraes e converses com garantia de integridade. No se aplica para microfilmes. Tecnologias para disponibilizao de contedos: Acessibilidade com garantia de sigilo, integridade e autenticidade a quem de direito.
66
MDULO 10 - Abordagens para viabilizao da Certificao Digital

10.1 Definio para utilizao dentro ou fora da ICP-Brasil
Fora da ICP-Brasil: menor custo, possvel segregao para uso Certificado e menor eficcia probatria (possvel uso em demandas inter-organizao). Necessidade de: ICP?, AC?, AR?, servios prprios? ou servios de terceiros? Dentro da ICP-Brasil: maior custo, proibida a segregao para Certificado e maior eficcia probatria (forte recomendao para rgos de governos). Necessidade de: AC?, AR?, servios prprios? ou servios de terceiros?
10.2 Abordagem considerando a gesto como pr-requisito

Gesto Organizar para Informatizar: Envolvimento de especialistas em O&M, biblioteconomia e arquivologia Levantamento dos documentos e processos da organizao Mapeamento: quem assina, autoriza, autentica cada documento e processo? Diagnstico documentos de importante valor probante (eficcia probatria) Necessidades de: Autenticidade? Sigilo? Integridade? Tempestividade?
10.3 Abordagem com nfase para tecnologias

Recomendvel aps processo de gesto A tecnologia dever ser o foco principal e o produto um meio para atingi-lo Produtos so indispensveis, mas devem ser avaliados, escolhidos ou desenvolvidos para suportar a tecnologia necessria conforme demanda A nfase para produtos muitas vezes pode aumentar o custo global em funo de subutilizao, interoperabilidade, etc. ideal utilizar tecnologias com cdigos e padres abertos (software livre)
10.4 Consideraes sobre foco, demandas, atividade fim e porte

Abordagem por fases: 1-Gesto, 2-Tecnologias, 3-Produtos, 4-Soluo Demanda: departamental ou corporativa? Foco: servios ou certificados (faltantes)? Atividade fim: TI? outra com TI prpria? ou outra com TI terceirizada?
Definio das necessidades das demandas: necessria a autenticao de clientes e usurios? necessria a autenticao de stios Internet? necessria gesto dos documentos eprocessos? necessria assinatura de documentos eletrnicos? necessria autenticao de cpias eletrnicas? necessrio sigilo de contedos eletrnicos? necessria a Tempestividade Digital? necessria autenticao agentes de Workflow? Outras consideraes pertinentes?
67
10.5 Aplicaes com baixo custo e retorno do investimento
Implementar componentes (assinatura, autenticao, cifragem etc) sempre que possvel e vivel, em software livre* Hoje, ROI em curto prazo em aplicaes com muita demanda e poucos Certificados (exemplo o caso dos bancos) Pode-se viabilizar em etapas, por exemplo: - Etapa1 Autenticao de agentes - Etapa2 Assinatura de documentos - Etapa3 Trmite de documentos - Etapa4 Tempestividade Digital - Etapa5 Integrao com GED/ECM
*Componentes em Software Livre: Objetivo: Confiana na integridade dos cdigos dos algoritmos das principais funcionalidades necessrias. Biblioteca com componentes em cdigo aberto disponvel ao ambiente de desenvolvimento. Construo de componente para autenticao de agentes Construo de componente para assinatura de contedo Construo de componente para verificao da assinatura Construo de componente para verificao de certificado Construo de componente para cifragem de contedo Construo de componente para decifragem de contedo
10.6 Exemplos de abordagens para viabilizao da Certificao Digital

1. Organizao pequena com demanda departamental, sem TI prpria e foco para uso de
Certificados Digitais: utilizar soluo completa 2. Organizao mdia com demanda corporativa, com TI prpria e foco para servios: utilizar os componentes prontos 3. Organizao grande com demanda corporativa, com TI prpria e foco para servios: desenvolver seus prprios componentes
68
MDULO 11 - Desafios, perspectivas e consideraes finais

11.1 Principais desafios tecnolgicos com questes ainda em aberto
Integrao a um sistema de Gesto Eletrnica de Documentos (GED) para garantir maior segurana dos documentos assinados. Buscar abordagem para viabilizao com baixo custo e ROI em curto prazo (software livre). Aplicaes com auditabilidade, rastreabilidade e interoperabilidade (software livre). Disseminao, treinamento e capacitao de todos os envolvidos. Manuteno da integridade e da acessibilidade dos contedos eletrnicos assinados e autenticados.
Custos e riscos na manuteno de uma ICP: Manter diretrio de chaves pblicas: Espao; Gerenciamento da estrutura da ICP: Complexidade; necessrio que se faa a verificao de um certificado, antes de usar uma chave pblica: Custo computacional de verificao ; Tempo decorrido entre a revogao de um certificado e a publicao de uma nova LRC: Falha na segurana; Impossibilidade de recuperao de uma chave privada(sigilo), quando isto se fizer necessrio: Perda de informaes importantes. O grande desafio com atualizao tecnolgica: Problema: Mudana de formato/tipo/resoluo, sempre vai exigir nova assinatura/autenticao. Recomendao: Usar formato ODF ou XML para possibilitar Assinatura Digital de longa durao.
11.2 Assinatura Digital de longa durao

Integridade e acessibilidade dos contedos assinados: Vulnerabilidade contedo assinado e autenticado Disponibilidade do ambiente operacional Acesso ao formato original (Usar ODF/XML) Disponibilidade do aplicativo de assinatura No obsolescncia do meio de armazenamento Disponibilidade da AC e certificados revogados No obsolescncia do sistema criptogrfico
11.3 Um importante desafio cultural

A Certificao Digital oferece condies para que documentos analgicos sejam substitudos pelos documentos digitais onde, em muitos casos, o suporte papel pode ser totalmente eliminado. Nesses casos, a tradicional caneta utilizada para assinar documentos ser substituda pelo Certificado Digital. Isso uma mudana muito grande para a maioria das
69
pessoas. Tem-se a um importante desafio cultural onde os aspectos de gerenciamento da mudana precisam ser tratados.
11.4 Recomendaes para quebrar barreiras e facilitar a viabilizao

Considerar a Certificao Digital como evoluo e no como revoluo Fomentar incluso digital e a disseminao da Certificao Digital Vencer a barreira da falta de confiana na Certificao Digital Prospectar e anunciar os principais benefcios Viabilizar uma etapa de contgio quando possvel Iniciar com processos simples e de baixo custo Institucionalizar com normas e procedimentos Conscientizao: sigilo total da chave privada (inverso do nus da prova) Aumentar a capilaridade das ARs ICP-Brasil
11.5 Mitos e realidade em torno da Certificao Digital

Mito: Assinatura Digital incontestvel; Realidade: existem os princpios da ampla defesa e do contraditrio na Constituio Federal. Mito: documento com Assinatura Digital inaltervel; Realidade: tem apenas imutabilidade lgica. Mito: documentos com temporalidade permanente tem as garantias da Certificao Digital em todo seu ciclo de vida; Realidade: nova Certificao pode ser necessria se houver alterao dos documentos nas migraes. Mito: a validade jurdica condio suficiente; Realidade: necessria, mas a eficcia probatria fundamental para documentos digitais (MP 2200-2 Art. 10 1 X 2). Mito: a autenticao de cpias eletrnicas pode ser feita de forma totalmente virtual ou por amostragem; Realidade: a lei determina que seja feita a conferncia com original palavra por palavra.
11.6 Consideraes sobre segurana, riscos e padronizao

Incremento da segurana com integrao entre Certificao Digital, biometria, GED e Tempestividade Digital. A ICP hoje a melhor soluo emergente apesar das vulnerabilidades e riscos. Risco de algum dia perder a assinatura digital de documentos eletrnicos com temporalidade permanente ou de longo prazo. O uso em grande escala se dar com soluo dos problemas de custo e interoperabilidade. Necessidade de padronizao em funo do comrcio eletrnico globalizado conforme proposta das Leis Modelo das Naes Unidas.
11.7 Os cinco estgios da aquisio de conhecimentos

1 Ignorncia: Desconhecimento total sobre Certificao Digital (inclusive especialistas em TI). Busque conhecimento 2 Desconfiana: Conhecimento das garantias oferecidas sem saber como as mesmas podem ser alcanadas. Busque convencimento 3 Euforia: Aprender como garantias podem ser alcanadas, mas desconhecer os prrequisitos. No desperdice recursos
70
4 Decepo: Descobrir os pr-requisitos e se convencer que muito da euforia era apenas sonho. No desista 5 Sensatez: Reconhecer que apesar das decepes, existem importantes necessidades que somente a Certificao Digital poder suprir. V em frente. Grande possibilidade de sucesso.
11.8 Principais benefcios da Certificao e Tempestividade Digital
Maior confiana nas operaes com documentos e processos eletrnicos Agilidade com ambientes sem documentos em papel (solues ecolgicas?) e trmite eletrnico pela Internet com eficcia probatria (com autenticao dos agentes envolvidos). Compra e venda pela Internet mais seguras Relaes virtuais com segurana entre empresas/governos/cidados Autenticidade, integridade, tempestividade e sigilo de mensagens e documentos digitais.
11.9 Referncias para estudo

GED/ECM: www.cenadem.com.br (informativos, INFOIMAGEM, livraria) www.aiim.org (consultoria internacional em ECM) Livro: GED - Gerenciamento Eletrnico de Documentos, Baldam, Valle e Cavalcanti, Editora rica, 2002 Livro: EDMS - Roquemar Baldam, Editora rica, 2004 Assinatura e Certificao Digital: Livro: Assinatura Digital, Marlon M. Volpi, Axcel, 2001 Livro: Public Key Infrastructure PKI, Conhea a Infra-estrutura de Chaves Pblicas e a Certificao Digital, Lino Sarlo da Silva, Novatec, 2004 Livro: Carlisle Adams, Steve Lloyd. Understanding PKI: Concepts, Standards, and Deployment Considerations, Addison Wesley; 2nd edition, ISBN: 0672323915, 2002
71
MDULO 12 Ferramentas em Software Livre com Certificao Digital (Demonstrao)

12.1 Tabelio PINHO (Componentes e Gerenciamento) 12.2 E-mail (Mozilla-Thunderbird) 12.3 WEB (Mozilla-Firefox) Aplicativos disponveis. 12.4 Assinador (ITI e cryptonit)
72

Apostila Certificacao Digital Tec

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Certificacao Digital Tec

Enviado por

Direitos autorais:

Formatos disponíveis

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

Plataforma de Desenvolvimento Pinho Paran

Nivelamento Terico em Certificao Digital da CELEPAR para Profissionais em Informtica

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 1 Contextualizando a Certificao Digital

1.2 Certificao Digital no contexto das tecnologias da informao

1.3 Assinatura e Certificao Digital no contexto das tecnologias para GED

1.4 Certificao Digital como componente de confiana

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 2 - Vulnerabilidades e necessidades de segurana

2.2 Vulnerabilidades no correio eletrnico e stios Internet

2.3 Vulnerabilidades com documentos e processos eletrnicos

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

2.4 Certificao Digital: segurana e eficcia probatria

MDULO 3 - Conceitos fundamentais

Portanto, os itens relacionados aos aspectos tecnolgicos precisam abordar as garantias

3.2 Alguns conceitos bsicos

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

3.3 Requisitos para equivalncia entre documentos analgicos e digitais

3.4 Documento eletrnico

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

3.5 Conceito de escrito, original e assinatura em papel X eletrnico

3.6 Requisitos para assinatura em documentos eletrnicos

3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e digital

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

MDULO 4 - Infra-estrutura de Chave Pblicas s ICP(PKI)

4.2 Criptologia, criptografia e criptoanlise

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.3 Criptografia clssica

4.4 Criptografia simtrica

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.5 Exerccio 1: a importncia do no compartilhamento de segredo

4.6 Principais algoritmos para criptografia simtrica

4.7 Criptografia assimtrica ou de chaves pblicas

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.8 Principais algoritmos para criptografia assimtrica

4.9 O algoritmo RSA

representado por 1011000, que equivale a 88 em decimais. Assim, M=88.

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

7. Sabe-se que exponenciais em aritmtica modular so funes de mo nica, de modo

M= Cd (mod187) M = 1123 (mod187) = 88 = X in ASCII

4.10 Premissas de confiana para chaves pblicas e privadas

4.11 Garantia de sigilo de contedos com criptografia assimtrica

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

Figura 4.11.1: Garantia de sigilo com criptografia assimtrica

4.12 Vantagens da combinao da criptografia simtrica com a assimtrica

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.13 Criptografia com XML

4.14 Perspectivas com o surgimento da criptografia quntica

COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

NIVELAMENTO TERICO EM CERTIFICAO DIGITAL DA CELEPAR

4.15 Funes hash (resumo de mensagens)