Nesta série de 3 artigos trataremos sobre Assinatura Digital na ICP-Brasil.
Neste primeiro artigo vamos fazer uma breve síntese sobre os conceitos de certificação digital.
Num próximo artigo, detalharemos mais sobre a mais importante utilização dos certificados digitais, que é a Assinatura Digital.
No artigo final falaremos sobre os padrões brasileiros de assinatura digital: o que são e como escolher um deles, conforme o tipo de documento que desejamos assinar, considerando a preservação do valor probante dos documentos assinados no longo prazo. Também traçaremos um panorama dos principais aplicativos e recursos disponíveis no mercado brasileiro para permitir a criação e verificação de assinaturas digitais.
Crescimento da Certificação Digital
A certificação digital vem se consolidando, em todo o mundo, como uma tecnologia eficaz para identificar os participantes de uma comunicação pela Internet e para comprovar a autoria de documentos eletrônicos, o que permite criar inúmeras soluções e implementar serviços pela rede com segurança.
Na Europa, a maior parte dos países da Comunidade Europeia instituiu suas infraestruturas de chave pública. A Comissão Europeia patrocina projetos e define regulamentos que fomentam a utilização de certificação digital para operações entre os países do bloco. Um exemplo é a Diretiva 2006/123/CE, que visa permitir que empresas prestadoras de serviço atuem em qualquer dos países membros. Para alcançar esse objetivo, estabelece que os governos dos países membros devem criar balcões únicos, acessáveis à distância e por via eletrônica, sendo a autenticação e a assinatura dos documentos realizadas com o uso de certificados digitais emitidos por Autoridade Certificadora confiável de qualquer um dos países da Comunidade Europeia.
ICP-Brasil
No Brasil, a certificação digital ganhou impulso a partir da criação da ICP-Brasil, com a publicação da MP 2.200-2, de 24.08.2001, que definiu a organização da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), composta por Comitê Gestor, AC-Raiz, Autoridades Certificadoras e Autoridades de Registro e transformou em autarquia federal o Instituto Nacional de Tecnologia da Informação – ITI, com a atribuição de operar a AC-Raiz e fiscalizar as demais entidades da ICP-Brasil.
A criação dos primeiros regulamentos da ICP-Brasil ficou a cargo de grupo de trabalho coordenado pela Casa Civil da Presidência da República, composto por especialistas ligados ao Governo Federal e a entidades civis.
Como auditoria do Banco do Brasil e tendo estudado sobre certificação digital durante mestrado na UnB, fui convidada em 2001 a integrar esse grupo de trabalho, auxiliando na criação da metodologia de auditoria de Autoridades Certificadoras e participando da primeira auditoria realizada na AC-Raiz da ICP-Brasil.
A partir de 2002, já como funcionária do ITI, realizei inúmeros trabalhos de auditoria e ajudei na criação de regulamentos que estão até hoje vigentes, o que me permitiu acompanhar de perto o crescimento dessa infraestrutura que veio para ficar na vida dos brasileiros.
De janeiro a dezembro de 2014 foram emitidos mais de 2,5 milhões de certificados digitais. Atualmente há 3 milhões de certificados ativos, de pessoas físicas e jurídicas (fonte: www.iti.gov.br).
Para as empresas, inúmeras atividades, como emissão de uma nota fiscal ou prestação de informações ao Governo sobre seus empregados, são realizadas com o uso de um certificado digital.
Para as pessoas físicas começam a surgir aplicações com o objetivo de facilitar sua jornada profissional (como assinatura de contratos pela Internet) ou a utilização de serviços prestados pelos governos (como o Cartão Cidadão, em curso nos estados de São Paulo e Espírito Santo).
Embasamento técnico
Criptografia Assimétrica
Mas o que é exatamente Certificação Digital? É uma tecnologia que se baseia em Criptografia Assimétrica. Criptografia é um processo pelo qual uma mensagem (texto em claro) é transformada em outra mensagem (texto cifrado ou criptograma) usando uma função matemática e uma senha especial de criptografia, chamada chave.
Na Criptografia Assimétrica utilizam-se pares de chaves que estão associadas entre si de tal forma que o texto cifrado com uma chave pode ser decifrado com a outra e vice-versa. Além disso, uma chave não pode ser deduzível a partir da outra, nem a chave privada pode ser deduzível através de ataques ao criptograma, mesmo conhecido o texto claro correspondente.
Cada participante possui então duas chaves, uma pública e outra privada. As chaves públicas podem ser acessadas por todos. O algoritmo também é de amplo conhecimento dos participantes. A chave privada, ao contrário, deve ser mantida em poder apenas do titular.
Uma das utilizações desse esquema é assegurar o sigilo numa comunicação: se A deseja enviar uma mensagem sigilosa para B, cifra a mensagem com a chave pública de B. Este usa a sua chave privada para decifrar a mensagem e a privacidade da comunicação está garantida.
Outra utilização é a comprovação de autoria: se A deseja enviar uma mensagem para B, de forma que fique evidenciado que foi realmente A quem a enviou, cifra a mensagem com sua chave privada e envia para B. Este usa a chave pública de A para decifrar a mensagem e a autoria fica comprovada.
Um dos algoritmos utilizados para geração dos pares de chaves é o RSA. Surgido em 1978, o RSA (de Rivest, Shamir e Adlemam) se baseia na teoria dos números e se presta perfeitamente ao conceito de criptografia de chave pública. A segurança do RSA está na dificuldade de fatorar números grandes. As mensagens são cifradas em blocos. A velocidade do RSA varia conforme os parâmetros escolhidos e conforme a operação que está sendo feita (cifrar, decifrar, assinar ou verificar).
Além dessa, existem outras bases matemáticas para a criação de algoritmos de chave pública, como as curvas elípticas (Menezes e Vanstone, 1993) ou o cálculo de logaritmos discretos em Corpos Finitos (El Gamal, 1985).
Na atualidade, considera-se como segura a escolha de chaves RSA com pelo menos 2048 bits.
Certificado Digital e Autoridades Certificadoras
A utilização de algoritmos e chaves de tamanhos adequados, entretanto, não resolve uma questão: como saber se chave pública de um participante de comunicação pertence mesmo a ele? Aí entram os certificados digitais e as Infraestruturas de Chaves Públicas.
O certificado digital é um documento eletrônico que associa uma chave pública a uma pessoa física ou jurídica:
“Na prática, o certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contêm os dados de seu titular conforme detalhado na Política de Certificação de cada Autoridade Certificadora”.
Conclusão
A certificação digital é uma tecnologia que já faz parte do nosso dia-a-dia e que possui inúmeras aplicações.
Uma delas é a Assinatura Digital, assunto sobre o qual vamos falar no próximo artigo.
Sobre: Viviane Bertol
- Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
- Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
- Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
- Participou da elaboração de diversos normativos da ICP-Brasil.
- Colunista e membro do conselho editorial do Instituto CryptoID.
viviane@pkiconsulting.com