Entendendo a Certificao Digital

publicidade

Introduo
H tempos que as pessoas utilizam assinaturas caneta, carimbos, selos e outros recursos para comprovar a autenticidade de documentos, expressar concordncia com determinados procedimentos, declarar responsabilidade, etc. Hoje, muitas dessas atividades podem ser feitas por meio da internet. Mas, como garantir autenticidade, expressar concordncia ou declarar responsabilidade no "mundo digital"? a que entra em cena a certificao digital e recursos relacionados, como a assinatura digital. Nas prximas linhas voc ver uma explicao bsica sobre os principais pontos que envolvem esses conceitos.

O que certificao digital?

A internet permite que indivduos, empresas, governos e outras entidades realizem uma srie de procedimentos e transaes de maneira rpida e precisa. Graas a isso, possvel fechar negcios, emitir ou receber documentos, acessar ou disponibilizar informaes sigilosas, diminuir processos burocrticos, entre outros. No entanto, da mesma forma que os computadores oferecem meios para tudo isso, podem tambm ser usados para fraudes, o que significa que tais operaes, quando realizadas por vias eletrnicas, precisam ser confiveis e seguras. A certificao digital capaz de atender a essa necessidade. Em sua essncia, a certificao digital um tipo de tecnologia de identificao que permite que transaes eletrnicas dos mais diversos tipos sejam realizadas considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a evitar que adulteraes, captura de informaes privadas ou outros tipos de aes indevidas ocorram.

Como funciona a certificao digital?

A certificao digital funciona com base em um documento eletrnico chamado certificado digital e em um recurso denominado assinatura digital. conveniente compreender primeiro este ltimo, para a devida assimilao da ideia.

O que Assinatura digital?

Imagine-se na seguinte situao: voc est em uma viagem de negcios e precisa enviar documentos sigilosos matriz de sua empresa. Dada a distncia, o jeito mais rpido de fazer isso utilizando a internet.No entanto, se voc optasse por enviar esses documentos em papel, certamente os assinaria

 caneta para comprovar a autenticidade e a sua responsabilidade sobre eles. Alm disso, provavelmente utilizaria um servio de entrega de sua confiana e o instruiria a deixar os documentos apenas com a pessoa de destino. Mas, como colocar em prtica essas medidas quando se usa documentos eletrnicos? Digitalizar sua assinatura por meio de um scanner no uma boa ideia, afinal, qualquer pessoa pode alter-la em programas de edio de imagem. Enviar os documentos sem qualquer proteo via e-mail tambm tem seus riscos, j que algum pode intercept-los. O jeito ento utilizar uma assinatura digital. A assinatura digital um mecanismo eletrnico que faz uso de criptografia, mais precisamente, de chaves criptogrficas. Desde j, o InfoWester recomenda a leitura deste artigo sobre criptografia para melhor entendimento do conceito. Chaves criptogrficas so, em poucas palavras, um conjunto de bits baseado em um determinado algoritmo capaz de cifrar e decifrar informaes. Para isso, pode-se usar chaves simtricas ou chaves assimtricas - estas ltimas tambm conhecidas apenas como chaves pblicas. Chaves simtricas so mais simples, pois com elas o emissor e o receptor utilizam a mesma chave para, respectivamente, cifrar e decifrar uma informao. O esquema assimtrico, por sua vez, trabalha com duas chaves: a chave privada e a chave pblica. Neste modo, uma pessoa ou uma organizao deve utilizar uma chave e disponibiliz-la a quem for enviar informaes a ela. Esta a chave pblica. Uma outra chave deve ser usada pelo receptor da informao. Essa a chave privada, que sigilosa e individual. Ambas as chaves so geradas de forma conjunta, portanto, uma est associada outra. Este mtodo considera dois importantes aspectos: confidencialidade e autenticidade. Resumidamente, o primeiro consiste em fazer com que a informao esteja acessvel somente a pessoas ou organizaes autorizadas. O segundo, em fornecer a certeza de que a informao provm da origem e forma esperadas, de forma que o receptor reconhea isso. No que se refere confidencialidade, necessrio que o emissor tenha a chave pblica do destinatrio. Por meio de algoritmos apropriados, o documento ento cifrado de acordo com esta chave pblica. A partir da, o receptor usar sua correspondente chave privada para a decifragem e consequente obteno da informao. Note, no entanto, que qualquer pessoa que possuir a chave pblica pode emitir a informao. Como ento saber que esta vem, de fato, de determinada origem? Para isso, ou seja, para o aspecto da autenticidade, necessrio o uso de um procedimento ligeiramente semelhante: o emissor faz uso de sua chave privada para cifrar a informao em questo. Com base nisso, o receptor dever utilizar a chave pblica do emissor para a decifragem. Perceba que, com isso, o destinatrio ter certeza de que a informao que lhe chegou vem da origem esperada, pois somente esta possui a chave privada que gerou o contedo cifrado. isso ento a assinatura digital? No totalmente. necessrio considerar ainda o uso do que conhecido como funo de hash, para o aspecto da integridade. Em poucas palavras, este recurso um procedimento criptogrfico pelo qual deve passar a informao a ser transmitida. O resultado obtido nico e chamado deresumo ou hash, e possui sempre o mesmo tamanho, independente do volume de dados tratado. A assinatura digital consiste ento no uso da funo de hash junto ao documento a ser transmitido e na aplicao do esquema de chaves explicado anteriormente no resumo obtido. No processo de conferncia, deve-se calcular o hash e efetuar a decifragem com a chave pblica do emissor, valendo frisar que qualquer alterao na informao far com que o resumo seja diferente, indicando a ocorrncia de modificaes.

O que Certificado Digital?

Agora que voc j sabe que o assinatura digital, fica mais fcil compreender o certificado digital. Basicamente, trata-se de um documento eletrnico com assinatura digital que contm dados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituio, etc), entidade emissora (voc saber mais sobre isso adiante), prazo de validade e chave pblica. Com o certificado digital, a parte interessada obtm a certeza de estar se relacionando com a pessoa ou com a entidade desejada. Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta corrente pela internet, certificados digitais so usados para garantir ao cliente que ele est realizando operaes financeiras com o seu banco. Se o usurio clicar no cone correspondente no navegador de internet, poder obter mais detalhes do certificado. Se algum problema ocorrer com o certificado prazo de validade vencido, por exemplo -, o navegador alertar o usurio.

importante frisar que a transmisso de certificados digitais deve ser feita por meio de conexes seguras, como as que usam o protocolo Secure Socket Layer (SSL), que prprio para o envio de informaes criptografadas.

Obtendo certificados digitais

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo procurar uma Autoridade Certificadora(AC) ou uma Autoridade de Registro (AR) para obter um certificado digital. Uma AC tem a funo de associar uma identidade a uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem sua

identificao. J uma AR tem uma funo intermediria, j ela pode solicitar certificados digitais a uma AC, mas no pode emitir esse documento diretamente. conveniente que cada nao conte com uma Infra-estrutura de Chaves Pblicas (ICP) ou, em ingls, Public Key Infrastructure (PKI), isto , um conjunto de polticas, tcnicas e procedimentos para que a certificao digital tenha amparo legal e fornea benefcios reais sua populao. O Brasil conta com a ICP-Brasil para essa finalidade. A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto , a instituio que gera as chaves das ACs e que regulamenta as atividades de cada uma, o Instituto Nacional de Tecnologia da Informao (ITI). A ICP-Brasil tem, considerando a data de atualizao deste artigo no InfoWester, nove ACs credenciadas: - Serpro; - Caixa Econmica Federal; - Serasa; - Receita Federal; - Certisign; - Imprensa Oficial; - AC-JUS (Autoridade Certificadora da Justia); - ACPR (Autoridade Certificadora da Presidncia da Repblica); - Casa da Moeda do Brasil. So essas instituies que devem ser procuradas por quem deseja obter certificado digital legalmente reconhecido no Brasil. Note que cada uma dessas entidades pode ter critrios distintos para a emisso de certificados, o que inclusive resulta em preos diferentes, portanto, conveniente ao interessado saber qual AC mais adequada s suas atividades. Repare tambm que essas entidades podem ter ACs "secundrias" ou ARs ligadas a elas.

Tipos de certificados da ICP-Brasil

A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A direcionada para fins de identificao e autenticao, enquanto que o tipo S direcionado a atividades sigilosas. Vejas as caractersticas que tornam as verses de ambas as categorias diferentes entre si: A1 e S1: gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade mxima de um ano; A2 e S2: gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits; armazenamento em carto inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade mxima de dois anos; A3 e S3: gerao das chaves feita por hardware; chaves de tamanho mnimo de 1024 bits; armazenamento em carto inteligente ou token; validade mxima de trs anos;

A4 e S4: gerao das chaves feita por hardware; chaves de tamanho mnimo de 2048 bits; armazenamento em carto inteligente ou token; validade mxima de trs anos. Os certificados A1 e A3 so os mais utilizados, sendo que o primeiro geralmente armazenado no computador do solicitante, enquanto que o segundo guardado em cartes inteligentes (smartcards) ou tokens protegidos por senha.

e-CPF e e-CNPJ
Falar de certificao digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro , essencialmente, um certificado digital direcionado a pessoas fsicas, sendo uma espcie de extenso do CPF (Cadastro de Pessoa Fsica), enquanto que o segundo um certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de extenso do CNPJ (Cadastro Nacional da Pessoa Jurdica). Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos servios da Receita Federal, muitos dos quais at ento disponveis apenas em postos de atendimento da instituio. possvel, por exemplo, transmitir declaraes de imposto de renda de maneira mais segura, consultar detalhes das declaraes, pesquisar situao fiscal, corrigir erros de pagamentos, entre outros. No caso do eCNPJ, os benefcios so semelhantes. O e-CPF e o e-CNPJ esto disponveis nos tipos A1 e A3. As imagens abaixo, obtidas no site da Receita Federal, mostram os modelos dos cartes inteligentes (tipo A3) para esses certificados:

importante destacar que o e-CPF e o e-CNPJ no so gratuitos. Sua aquisio deve ser feita em entidades conveniadas Receita Federal, como Certisign e Serasa. Os preos no so padronizados, variando de acordo com a empresa e com o tipo de certificado (A1 ou A3).

Finalizando

.: Livro sugerido :. :: Certificao Digital: Conceitos e Aplicaes

Via Shopping UOL

Antes do encerramento deste artigo, uma observao: voc viu neste texto que graas ICP-Brasil que as certificaes digitais no pas so amplamente aceitas e utilizadas, especialmente do ponto de vista legal. No entanto, vale frisar que qualquer instituio pode criar sua prpria ICP, independente de seu porte. Por exemplo, se uma empresa criou uma poltica de uso de certificados digitais unicamente para a troca de informaes entre a matriz e sua filiais, no necessita solicitar tais certificados a uma AC controlada pela ICP-Brasil. A prpria empresa pode criar sua ICP e fazer, por exemplo, com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionrios. No mais, se voc quiser conhecer mais detalhes sobre certificao digital no Brasil, acesse o site do ITI: - www.iti.gov.br. No referido endereo possvel conseguir acesso a documentos sobre legislao, procedimentos, resolues, entre outros, assim como obter notcias e orientaes sobre o assunto. Escrito por Emerson Alecrim - Publicado em 30_04_2009 - Atualizado em 01_04_2011

Fonte: http://www.infowester.com/assincertdigital.php