Assinatura digital

Esquema de funcionamento da assinatura digital (em castelhano). Este artigo trata da assinatura digital utilizando a tecnologia PKI (Public Key Infrastructure), que apenas uma das tcnicas disponveis para gerar documentos digitais com validade legal, outros mtodos de assinatura digital esto em uso e a tecnologia continua evoluindo e apresentando alternativas PKI. Em criptografia, a assinatura ou firma digital um mtodo de autenticao de informao digital tipicamente tratada como anloga assinatura fsica em papel. Embora existam analogias, existem diferenas importantes. O termo assinatura eletrnica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, no necessariamente criptogrfico, para identificar o remetente de uma mensagem electrnica. A legislao pode validar tais assinaturas eletrnicas como endereos Telex e cabo, bem como a transmisso por fax de assinaturas manuscritas em papel. A utilizao da assinatura ou firma digital providencia a prova inegvel de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:

autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor; integridade - qualquer alterao da mensagem faz com que a assinatura no corresponda mais ao documento; no repdio ou irretratabilidade - o emissor no pode negar a autenticidade da mensagem.

Essas caractersticas fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.

Histria
Em 1976, Whitfield Diffie e Martin Hellman descreveram primeiramente a noo de um esquema de assinatura digital, embora eles apenas conjecturaram que tais esquemas existissem. Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman inventaram

o algoritmo RSA que poderia ser usado para assinaturas digitais primitivas (note que isso apenas serve como uma prova do conceito, e as assinaturas RSA puras no so seguras). O primeiro pacote de software amplamente comercializado a oferecer a assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA. Como notado ainda cedo, esse esquema bsico no muito seguro. Para prevenir ataques pode-se primeiro aplicar uma funo de criptografia hash para a mensagem m e ento aplicar o algoritmo RSA ao resultado. Outros esquemas de assinatura digital foram logo desenvolvidos depois do RSA, o mais antigo sendo as assinaturas de Lamport, de Merkle (tambm conhecidas como rvores de Hash) e as de Rabin. Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros a rigorosamente definir os requerimentos de segurana de esquemas de assinatura digital. Eles descreveram uma hierarquia de modelos de ataque para esquemas de assinatura, e tambm apresentaram o esquema de assinatura GMR, o primeiro que podia se prevenir at mesmo de uma forja existencial contra um ataque de mensagem escolhida.

Como funciona?
Existem diversos mtodos para assinar digitalmente documentos, e esses mtodos esto em constante evoluo. Porm de maneira resumida uma assinatura tpica envolve dois processos criptogrficos: o hash (resumo) e a encriptao deste hash. Em um primeiro momento gerado um resumo criptogrfico da mensagem atravs de algoritmos complexos (Exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este resumo criptogrfico se d o nome de hash. Uma funo de hash deve apresentar necessariamente as seguintes caractersticas:

Deve ser impossvel encontrar a mensagem original a partir do hash da mensagem. O hash deve parecer aleatrio, mesmo que o algoritmo seja conhecido. Uma funo de hash dita forte se a mudana de um bit na mensagem original resulta em um novo hash totalmente diferente. Deve ser impossvel encontrar duas mensagens diferentes que levam a um mesmo hash.

Neste ponto, o leitor mais atento percebe um problema: Se as mensagens possveis so infinitas, mas o tamanho do hash fixo, impossvel impedir que mensagens diferentes levem a um mesmo hash. De fato, isto ocorre. Quando se encontram mensagens diferentes com hashs iguais, dito que foi encontrada uma coliso de hashes. Um algoritmo onde isso foi obtido deve ser abandonado. As funes de hash esto em constante evoluo para evitar que colises sejam obtidas. Cabe destacar porm que a coliso mais simples de encontrar uma aleatria, ou seja, obter colises com duas mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre os estudiosos de criptografia j ficam atentos, porm para comprometer de maneira imediata a assinatura digital seria necessrio obter uma mensagem adulterada que tenha o mesmo hash de uma mensagem original fixa, o que teoricamente impossvel de ocorrer com os algoritmos existentes hoje. Desta forma, garante-se a integridade da assinatura.

Aps gerar o hash, ele deve ser criptografado atravs de um sistema de chave pblica, para garantir a autenticao e a irretratabilidade. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto a mensagem original. Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que est armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, necessrio descriptografar a assinatura obtendo o hash original. Se ele for igual ao hash recm gerado, a mensagem est ntegra. Alm da assinatura existe o selo cronolgico que atesta a referncia de tempo assinatura.

Aspectos legais
Legislaes sobre o efeito e validade de assinaturas digitais:

Brasil
Conforme a Medida provisria 2.200-2, a lei brasileira determina que qualquer documento digital tem validade legal se for certificado pela ICP-Brasil (a ICP oficial brasileira). A medida provisria tambm prev a utilizao de certificados emitidos por outras infra-estruturas de chaves pblicas, desde que as partes que assinam reconheam previamente a validade destes. O que a MP 2.200-2 portanto outorga ICP-Brasil a f pblica, considerando que o certificado emitido pela ICP-Brasil qualquer documento digital assinado com pode de fato ser considerado assinado pela prpria pessoa. Resultado igual pode ser obtido se o usurio de um certificado emitido por outra ICP qualquer, depositar em cartrio de registro o reconhecimento da mesma como sua identidade digital. O que se quer preservar o princpio da irrefutabilidade do documento assinado, assim sendo, o registro em cartrio de um documento no qual o usurio reconhece como sendo seu um determinado certificado digital prova mais que suficiente para vincular a ele qualquer documento eletrnico assinado com aquele certificado. Outras tecnologias disponveis oferecidas por empresas:

Assino e Verifico [1]

Comunidade Europeia

Common Position EC 28/1999 Community Framework for Electronic Signature

Estados Unidos da Amrica

Uniform Electronic Transactions Act (UETA) Electronic Signatures in Global and National Commerce Act (E-SIGN), atravs 15 U.S.C. 7001 et seq.

Outras tecnologias disponveis oferecidas por empresas:

RightSignature [2] Docusign [3] Echosign [4] Arx [5] TrueSeal [6] SigningHub[7]

Inglaterra, Esccia e Gales

Electronic Communications Act, 2000

ndia

Information Technology Act, 2000

Nova Zelndia

Electronic Transactions Act, 2003 sections 22-24

Portugal
A legislao portuguesa prev a utilizao da assinatura digital no Decreto-Lei n. 290D/99, republicado pelo Decreto-Lei n. 62/2003, definindo-a como um documento elaborado mediante processamento electrnico de dados. Este Decreto-Lei procede transposio da Directiva do Parlamento Europeu e do Conselho n 1999/93/CE, de 28 de Junho, relativa a um quadro legal comunitrio para as assinaturas electrnicas. De acordo com a legislao portuguesa, as assinaturas electrnicas tm a mesma validade probatria que as assinaturas manuscritas, desde que se baseiem em certificados emitidos por entidades certificadoras credenciadas. A autoridade de credenciao das entidades certificadoras a Autoridade Nacional de Segurana; a credenciao, contudo, facultativa, podendo qualquer entidade no credenciada exercer essa actividade. A Autoridade Nacional de Segurana publica a lista das entidades credenciadas. Neste momento, em Portugal, para alm da entidade certificadora do Carto de Cidado, do Ministrio da Justia, da Assembleia da Repblica e da Entidade Certificadora Electrnica do Estado, h duas entidades certificadoras privadas credenciadas pela Autoridade Nacional de Segurana para emisso de certificados de assinatura electrnica qualificada, a Multicert e a DigitalSign.

United Nations Commission on International Trade Law