|
|||
|
Hoje -
|
|||
|
Conceitos de Certificação Digital
O Certificado Digital é um documento eletrônico assinado digitalmente por uma autoridade certificadora, e que contém diversos dados sobre o emissor e o seu titular. A função primordial do certificado digital é a de vincular uma pessoa ou uma entidade a uma chave pública. Serve igualmente para conferirmos a identidade de terceiros.
Podemos compará-lo a uma espécie de carteira de identidade eletrônica. De fato é a forma de documento mais moderna, confiável e eficaz de que dispomos, em virtude da alta tecnologia utilizada para garantir a sua autenticidade.
Graças aos certificados digitais, uma transação eletrônica realizada via internet torna-se perfeitamente segura, pois permite que as partes envolvidas apresentem, cada uma, as suas credenciais para comprovar, à outra parte, a sua real identidade.
Tecnicamente, os Certificados Digitais vinculam um par de chaves eletrônicas que pode ser usado para criptografar e assinar informações digitais. Um Certificado Digital possibilita verificar se um usuário tem, realmente, o direito de usar uma determinada chave, ajudando a impedir que as pessoas usem chaves falsificadas para personificar outros usuários. Usados em conjunto com a criptografia, os Certificados Digitais fornecem uma solução de segurança completa, assegurando a identidade de uma ou de todas as partes envolvidas em uma transação, dando validade legal aos documentos eletrônicos.
O Certificado Digital é uma credencial eletrônica que se aloja no seu navegador de Internet e/ou no seu programa de e-mail. Ele contém dados que o identificam e permitem que você utilize o meio de acesso com a mesma confiança e segurança que utiliza nos seus relacionamentos do dia-a-dia.
As principais informações que constam em um Certificado Digital são as seguintes:
- Sua chave pública (para mais informações; - seu nome e endereço de e-mail;)
- A validade da chave pública;
- O nome da empresa (a Autoridade Certificadora – CA) que emitiu seu Certificado Digital;
- O número de série do Certificado Digital;
- A assinatura digital da CA.
Par de chaves de Certificado Digital
Quando você se comunica com outra pessoa (ou computador), você precisa de uma maneira que permita trocar informações com segurança, para que ninguém possa interceptar e ler as informações. Atualmente, a maneira mais avançada de embaralhar (criptografar) dados é através de um sistema que utiliza pares de chaves. Um par de chaves consiste em uma chave pública e uma chave privativa. As chaves são utilizadas como as chaves de uma fechadura, com a diferença que o par de chaves tem uma chave para proteger a fechadura e outra para abri-la.
Quando você tem um par de chaves, seu aplicativo de software utiliza uma chave para criptografar o documento. Uma pessoa codifica a mensagem com sua própria chave privada e a(s) chave(s) pública(s) da(s) pessoa(s) com quem quer se comunicar. A(s) pessoa(s) decodifica com sua chave privada e a chave pública da pessoa que mandou a mensagem.
A solução está na maneira como as chaves são utilizadas. Você tem uma chave privativa, que só deverá ser usada por você em conjunto do seu Certificado Digital, e uma chave pública, que você irá distribuir para as pessoas que trocarão informações criptografadas com você. O navegador da Web pode pedir a senha quando você acessa a chave privativa. É muito importante que você escolha uma senha que só você conheça. Não escolha seu aniversário, outras datas pessoais ou frases que alguém possa adivinhar.
Depois de receber e instalar o Certificado Digital, você pode distribui-lo a quem quiser. O Certificado Digital que você envia contém somente sua chave pública. Quando alguém quer enviar uma mensagem criptografada para você, usa sua chave pública. Quando a mensagem está criptografada com sua chave pública, somente você pode decriptografar a mensagem porque só você tem a chave privativa que forma o par.
Da mesma forma, quando você quer enviar uma mensagem criptografada, primeiro você deve obter a chave pública do destinatário. Isso pode ser feito procurando numa listagem ou pedindo que lhe enviem um e-mail assinado com o Certificado Digital e a chave pública. Seu aplicativo de e-mail pode guardar o Certificado Digital para quando você precisar dele.
|
A palavra criptografia tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, ou seja, obter a informação original a partir do texto cifrado, chama-se decifragem. |
 |
| Criptografia é o processo de embaralhamento de informações. Existem | |
Existem duas finalidades básicas para a criptografia na Internet. Uma é quando você visita um site "seguro" da Web, tal como uma loja que faça negócios online ou um shopping center. Esta é a chamada criptografia através do servidor (server-side encryption), pois utiliza o Certificado Digital dado ao servidor (computador) que gerencia o site da Web. A outra ocorre quando você envia ou recebe mensagens criptografadas. Em ambos os casos, é necessária a permuta de chaves públicas.
Ao criptografar informações, o processo é feito com uma chave pública ou com uma privativa e, em seguida, desfeito com as correspondentes chaves pública ou privativa. Pense nisso como um cofre que necessita de duas chaves, uma para fechar e outra para abrir. Por exemplo, quando você visita um site "seguro" da Web, o seu computador recebe a chave pública deste site. Quando seu computador envia informações para o mesmo site, ele as criptografa usando a chave pública do site visitado. A única maneira de decriptografar as informações enviadas é usando a chave privativa do site.
O mesmo processo é necessário para um e-mail seguro. Antes que se possa enviar para alguém uma mensagem criptografada, você precisa do Certificado Digital dessa pessoa contendo sua chave pública. Seu aplicativo de e-mail usa esta chave pública para criptografar a mensagem. Deste ponto em diante, somente a chave privativa desta mesma pessoa pode decriptografar a mensagem. Assim sendo, você pode distribuir seu Certificado Digital (e sua chave pública) para quantas pessoas quiser, sem comprometer a integridade de seu Certificado. Entretanto, você não deve divulgar a ninguém sua chave privativa, uma vez que ela é necessária para decriptografar qualquer mensagem que lhe for enviada.
Há mais um ponto importante: Confiança. Muitas companhias (CAs) podem oferecer Certificados Digitais. Seus aplicativos são configurados para confiar em Certificados Digitais vindos de um pequeno número de empresas com sólida reputação. Sendo assim, caso alguém lhe envie seu Certificado Digital (via e-mail ou por um site que você visite) e ele for de uma fonte não confiável, segundo seu aplicativo, aparecerá uma mensagem perguntando se você deseja confiar nesta CA.
A Assinatura Digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica e permite aferir, com segurança, a origem e a integridade do documento.
A Assinatura digital fica de tal modo vinculada ao documento eletrônico “subscrito” que, ante a menor alteração neste, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.
É necessário distinguir assinatura digital da assinatura digitalizada. A assinatura digitalizada é a reprodução da assinatura autógrafa como imagem por um equipamento tipo scanner. Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o subscritor e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.
Os atributos da assinatura digital são:
- ser única para cada documento, mesmo que seja o mesmo signatário;
- comprovar a autoria do documento eletrônico;
- possibilitar a verificação da integridade do documento, ou seja, sempre que houver qualquer alteração, o destinatário terá como percebê-la;
- assegurar ao destinatário o “não repúdio” do documento eletrônico, uma vez que, a princípio, o emitente é a única pessoa que tem acesso à chave privada que gerou a assinatura.
ICP – Infra-estrutura de Chaves Públicas (PKI ou Public Key Infrastrcture)
ICP ou Infra-estrutura de Chaves Públicas (PKI ou Public Key Infrastructure em inglês) é uma infra-estrutura de confiança na qual pessoas (ou sistemas) confiam em uma Autoridade de Certificação (AC) para verificar e confirmar a identidade dos usuários certificados. Uma ICP é na verdade um grande banco de dados, que expede, entrega, gerencia e revoga certificados digitais.
ICP representa o coração de uma estrutura de negócios e comunicação segura e eficiente que aos poucos se consolida no nosso dia-a-dia.
ICP-Brasil e Autoridades Certificadoras
É um conjunto de técnicas, arquitetura, organização, práticas e procedimentos, implementados pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em criptografia de chave pública, garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras;
Em termos legais, a Medida Provisória 2200-2 estabelece, como função básica da AC Raiz, a execução das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor, tendo como competências:
- Emitir, expedir, distribuir, revogar e gerenciar certificados de Autoridades do nível imediatamente inferior ao seu;
- Gerenciar a lista de certificados emitidos, revogados e vencidos; e
- Executar fiscalização e auditoria da Acs, Ars e prestadores de serviço habilitados na ICP-Brasil.
Autoridades Certificadoras são órgãos autorizados a emitir Certificados Digitais pelo Instituto Nacional de Tecnologia da Informação - ITI, órgão do Governo Federal ligado à Presidência da República. O ITI é a primeira autoridade da cadeia de certificação, a chamada AC Raiz (Autoridade Certificadora Raiz), que emite e controla a ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira), modelo de Certificação Digital adotado no País. A Autoridade Certificadora – AC age de forma semelhante a um setor de emissão de passaportes
A Imprensa Oficial do Estado (IMESP) é a Autoridade Certificadora (AC) em caráter de exclusividade para a Administração Pública do Estado de São Paulo, incluindo-se aí o Metrô de São Paulo, de acordo com o decreto 48.599 de 12 de abril de 2004.
A Autoridade de Registro faz o reconhecimento presencial e cadastro da pessoa que solicita a Certificação Digital. Encaminha solicitações de certificados à respectiva Autoridade Certificadora - AC. Atualmente, são 400 Autoridades de Registros no Brasil. A expectativa do ITI é de que até o final do ano esse número suba para 1,2 mil Entidades.
Existem dois tipos de norma, em geral, aplicável aos certificados digitais:
- Declaração de Práticas de Certificação (DPC ou CPS)
“(Documento) descrevendo as práticas utilizadas por uma Autoridade Certificadora para emitir certificados”. - Políticas de Certificados (PC)
“Conjunto de regras que indicam a aplicação de um certificado a uma comunidade ou classe de aplicativos em particular com um conjunto comum de requerimentos de segurança”.
Necessidade de revogar certificados que não são mais válidos
- E se a chave privada foi comprometida?
- E se o detentor da chave deixou a empresa?
Lista de Revogação de Certificados (LCR)
- Uma lista assinada pela AC dos certificados revogados
- As aplicações que aceitam certificados desta AC devem verificar esta lista
Como funciona o e-mail Seguro?
Você pode usar o e-mail seguro para fazer o seguinte:
- Assinar digitalmente uma mensagem para que o destinatário possa verificar se a mensagem partiu de você, e não de um impostor. A assinatura de uma mensagem também garante a integridade da mensagem, ou seja, que ninguém adulterou a mensagem.
- Criptografar uma mensagem para que ninguém possa lê-la enquanto ela percorre o trajeto compreendido entre o seu computador e um outro.
 |
É um cartão criptográfico capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais. Uma vez geradas essas chaves, elas estarão totalmente protegidas, não sendo possível exportá-las para uma outra mídia nem retirá-las do smart card. Mesmo que o computador seja atacado por um vírus ou, até mesmo um hacker essas chaves estarão seguras e protegidas, não sendo expostas a risco de roubo ou violação. |
Os múltiplos níveis de proteção que compõem a solução - incluindo recursos físicos e lógicos - asseguram a identificação do assinante, permitirão que a integridade e o sigilo das informações sejam protegidos e impossibilitarão o repúdio do documento em momento posterior.
 |
Uma leitora é um dispositivo projetado para conectar um cartão inteligente a um computador. A leitora se encarregará de fazer a interface com o cartão, enquanto o computador suporta e gerencia as aplicações. Instalar uma leitora de cartões inteligentes é um procedimento simples, que dispensa conhecimentos técnicos. |
Uma vez instalada, a leitora permitirá o acesso seguro a serviços na Internet já preparados para a certificação digital, como o Receita 222 e aplicações de Internet Banking.
Como proteger seu Certificado Digital
Há várias coisas que você pode fazer para proteger seu Certificado Digital:
- Lembre de suas senhas e não as compartilhe com outras pessoas.
- Proteja seu computador de acesso não-autorizado, mantendo-o fisicamente seguro. Por exemplo, tranque-o em um escritório. Quando sair de sua mesa, utilize um protetor de tela com senha ou desligue o computador.
- Use produtos de controle de acesso ou recursos de proteção ao sistema operacional (como uma senha de sistema ou protetor de tela ativado por senha).
Sua chave privativa é protegida de duas maneiras:
- Quando você se inscreve para obter um Certificado Digital, seu navegador da Web cria uma chave privativa que, em seguida, é armazenada no disco rígido do computador para que você possa controlar o acesso a ela. Quando você gera sua chave privativa, o software que utiliza (como seu navegador), provavelmente, lhe pedirá uma senha. Esta senha protege o acesso a sua chave privativa. Para usuários do Microsoft Internet Explorer, sua chave privativa é protegida pela sua senha do Windows.
- Um terceiro pode acessar sua chave privativa, bastando que tenha acesso ao arquivo onde sua chave está armazenada e conheça a senha da sua chave privativa. Alguns softwares lhe permitem decidir não ter uma senha para proteger sua chave privativa. Se você usar esta opção, estará confiando que ninguém, atualmente ou no futuro, terá acesso não-autorizado a seu computador.
Em geral, é bem mais fácil usar uma senha do que salvaguardar de forma total seu computador fisicamente. Não usar uma senha é como assinar com antecedência todos os cheques em seu talão e deixá-lo em sua mesa.
É sua responsabilidade proteger sua chave privativa. Qualquer pessoa que obtiver sua chave privativa pode falsificar sua assinatura digital e tomar atitudes em seu nome!
A Certificação Digital traz diversas facilidades, porém seu uso não torna as transações realizadas isentas de responsabilidades. Ao mesmo tempo que o uso da chave privada autentica uma transação ou um documento, ela confere o atributo de não-repúdio à operação, ou seja, o usuário não pode negar posteriormente a realização daquela transação. Por isto, é importante que o usuário tenha condições de proteger de forma adequada a sua chave privada.
Qualquer que seja a opção de armazenamento para seu certificado digital, smart card, token ou no seu computador, o cuidado que se deve ter é sempre com sua senha de acesso à chave privada. Sem essa senha não é possível acessá-la.
A sua senha deve ser somente de seu conhecimento.
O Certificado Digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.
O Certificado Digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à Autoridade Certificadora – AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.
A Autoridade Certificadora – AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na Declaração de Práticas de Certificação – DPC da Autoridade Certificadora que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.
Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica? Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.
Linha do tempo do certificado e assinatura digital – o usuário pode solicitar a renovação do certificado para a Autoridade Certificadora – AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.
Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
Bibliografia e Referências
- Livro: Cryptography Decrypted (2000)
H. X. Mel, Doris M. Baker, Steve Burnett - BRASIL. Medida provisória n.º 2.200, de 28 de junho de 2001. Institui a Infra-Estrutura de Chaves Públicas Brasileira – ICP – Brasil, e dá outras providências. Diário Oficial da República Federativa do Brasil, Poder Executivo, Brasilia, DF, 29 jun. 2001. Disponível em <http://www.planalto.gov.br.htm>. Acesso em: 06 jul.2001.
- CASTRO, Carlos. Certificação digital já é realidade: Segurança, privacidade, autenticidade e inviolabilidade das transações realizadas pela internet são algumas das vantagens da certificação digital. Revista Fenacon em Serviços, Brasilia, n. 74, p.8-16, 2006.
- E-DOC, Sistema de Protocolização e Fluxo de Documentos Eletrônicos da Justiça do Trabalho. Disponível em <http://www.trt4.gov.br/edoc/certificados.htm>. Acesso em: 20/10/2006.
- PAES DE BARROS, Augusto Quadro. Criptografia e Certificação: ferramentas úteis, mas pouco conhecidas. Disponível em: <http://www.infoguerra.com.br>. Acesso em: 02 set.2004.
- INFONOVA, Segurança na Web: Saiba tudo sobre certificação digital. Disponível em: <http://www.infonova.com.br>. Acesso em: 13 jul.2006.
- ITI – Instituto Nacional de Tecnologia da Informação
www.iti.gov.br - CertiSign Certificadora Digital
www.certisign.com.br
|
Serviços
|
||
| ||
|
Publicidade
|
|
Publicidade
|
|
|
|
Publicidade
|
|
|