A Certificação Digital Na Icp-Brasil

Tkhne Lgos, Botucatu, SP, v.2, n,2, fev. 2011.
80
A CERTIFICAO DIGITAL NA ICP-BRASIL

DIGITAL CERTIFICATION ON THE ICP-BRASIL

CERTIFICACIN DIGITAL EN LA ICP-BRASIL

OSEIAS GOMES RIBEIRO
1

EUSTQUIO APARECIDO MARINHO
2

SAMRIS RAMIRO PEREIRA
3

SUELI APARECIDA LODDI
4

PAULO SCHROEDER DE SOUZA
5

Recebido em setembro de 2010. Aceito em novembro de 2010.

1
Graduando em Informtica para Gesto em Negcios pela Faculdade de Tecnologia de So Bernardo do
Campo, licenciado em Matemtica pela Universidade Estadual Paulista.
2
Graduando em Informtica para Gesto em Negcios pela Faculdade de Tecnologia de So Bernardo do
Campo, Tcnico em Eletrotcnica pela Escola Tcnica Federal de So Paulo.
3
Graduada em Matemtica com nfase em Processamento de Dados e em Tecnologia com nfase em Tcnicas
Digitais. Mestre em Informtica. Doutoranda em Informtica na Sade pela UNIFESP. Professora da Faculdade
de Tecnologia de So Bernardo do Campo.
4
Graduada em Matemtica com nfase em Processamento de Dados. Mestre em Administrao pela
Universidade Municipal de So Caetano do Sul. Professora da Faculdade de Tecnologia de So Bernardo do
Campo.
5
Doutor em Engenharia Biomdica. Ps-Doutorando pela Politcnica da Universidade de So Paulo. Diretor da
Faculdade de Tecnologia de Santos.

81

A CERTIFICAO DIGITAL NA ICP-BRASIL

RESUMO

Com o progresso da Tecnologia da Informao, surgiu a necessidade de se interagir com o
mundo digital de maneira segura. Uma soluo para esta necessidade a Certificao Digital,
que assegura a autenticidade das informaes que transitam pela rede. Entre outras funes,
ela utilizada para transaes com o governo brasileiro como na utilizao de NF-e, e-CPF e
e-CNPJ; no IRPF, IRPJ e na solicitao remota de documentos jurdicos. Nestes casos, h a
necessidade de utilizao da Infraestrutura de Chaves Pblicas Brasileira, a ICP-Brasil. O
presente artigo apresenta os principais conceitos da certificao digital, contribuindo assim
para uma utilizao correta e segura da certificao digital.

PALAVRAS-CHAVE: Assinatura digital. Certificao digital. Chave criptogrfica pblica.
ICP.

DIGITAL CERTIFICATION ON THE ICP-BRASIL

ABSTRACT

There is the need of interaction in the digital world in a safe way with progress in Information
Technology. A solution to this need is the digital certificate, which ensures authenticity to
information that pass thru the network. Among other functions, it is used for transactions with
the Brazilian government as the use of NF-e, e-CPF and e-CNPJ; in IRPF, IRPJ and in the
remote request of legal documents. In these cases it is needed to use the Brazilian Public Key
Infrastructure, the ICP-Brazil. This paper presents the main concepts in digital certification,
contributing to the correct and safe use of this technology.

82
KEYWORDS: Digital certificate. Digital signature. Public encryption key. PKI.

LA CERTIFICACIN DIGITAL EM LA ICP-BRASIL

RESUMEN

Con el avance de la Tecnologa de la Informacin, hay la necesidad de interactuarse con o
mundo digital de manera segura. Una solucin para esta necesidad es la Certificacin Digital,
que garantiza la autenticidad de las informaciones que transitan por la red. Entre otras
funciones, ella es utilizada para transacciones con el gobierno brasileo como en la utilizacin
de NF-e, e-CPF y e-CNPJ; en el IRPF, IRPJ y en la solicitacin remota de documentos
jurdicos. En estos casos, hay la necesidad de utilizacin de la Infraestructura de Claves
Pblicas Brasilea, la ICP-Brasil. Este artculo presenta los principales conceptos de la
certificacin digital, contribuyendo as para una utilizacin correcta y segura de la
certificacin digital.

PALABRAS-CLAVE: Assinatura digital. Certificao digital. Chave criptogrfica pblica.
ICP.

83

1 INTRODUO

Com o crescimento da demanda em
segurana de transaes comerciais que
ocorrem por intermdio de redes
eletrnicas, pblicas ou privadas, a
certificao digital desponta como
tecnologia que fornece confiabilidade e
segurana para usurios e que, com outras
tecnologias, utilizada como instrumento
para estabelecer um adequado fluxo de
informaes e regulamentaes na
comunicao entre empresas e sociedade.
A certificao digital um conjunto
de tcnicas e processos que conferem um
nvel adequado e desejado de segurana
possibilitando no somente o controle, no
que tange aspectos tecnolgicos, mas
tambm administrao segura do contedo
de uma mensagem, da autoria e da data em
que foi assinada entre as partes envolvidas.
A utilizao de um certificado digital
apresenta vantagens como (CERTISIGN,
2010):
Controle de acesso a aplicativos e
assinatura eletrnica de documentos,
atravs de identificao e comprovao
segura da identidade em questo;
Garantia de autenticidade do
documento ou mensagem;
Validade jurdica dos documentos
assinados impossibilitando o repdio
autoria e ainda;
Possibilidade de sigilo e
privacidade fazendo com que apenas o
servidor ou destinatrio de uma mensagem
interprete corretamente a informao.
Para que a certificao digital
garanta integridade, autenticidade,
confidencialidade e no-repdio das
informaes assinadas, por meio
eletrnico, necessrio que uma terceira
parte ou uma estrutura de mediao ateste
e emita os certificados necessrios. No
Brasil, essa infraestrutura governamental
a Infraestrutura de Chaves Pblicas
Brasileira, ICP-Brasil (2010), sendo ela
que estabelece o sistema de certificao
digital governamental que se relaciona
com as empresas (Government to Business
- G2B) e com o cidado (Governmemt to
Citizen - G2C).

84
O objetivo deste artigo apresentar
os principais conceitos da certificao
digital e da gesto da ICP-Brasil,
contribuindo para sua utilizao correta e
segura. A metodologia (LAKATOS e
MARCONI, 2005) utilizada foi composta
por diversas pesquisas bibliogrficas
referentes ao tema, constitudas de livros,
artigos de peridicos e materiais
disponibilizados na Internet, em pginas
criteriosamente selecionadas pelos autores
quanto ao contedo e autoria. Essas
pesquisas foram analisadas e sintetizadas
considerando a experincia vivenciada
pelos autores em mais de vinte e cinco
anos de assessoria a empresas nesse tema.

2 ASSINATURA E CERTIFICAO
DIGITAL

Assinatura manuscrita um sinal
grfico pessoal emitido de prprio punho
para firmar um documento indicando sua
aprovao e/ou autoria. Assinatura
digitalizada representao grfica de uma
assinatura manuscrita em meio digital
(PEREIRA, 2008).
Assinatura digital a tecnologia
que garante eletronicamente a integridade,
o no-repdio e a autenticao dos dados e
do signatrio. Ela ainda pode,
opcionalmente, garantir confidencialidade.
Legalmente a aceitao da assinatura
digital no universal, mas sua aceitao
tem evoludo velozmente.
Hipoteticamente, enquanto uma
assinatura manuscrita nica para cada
indivduo, uma assinatura digital no.
Alm de estar relacionada a uma entidade
emissora, uma assinatura digital se
relaciona transao em questo, sendo
nica para cada transao realizada pelo
emissor e tendo sempre um prazo de
validade determinado (PEREIRA, 2008).
Para possibilitar a utilizao de
assinaturas digitais em transaes
comerciais e governamentais, foi criada e
aperfeioada ao longo do tempo, uma
Infraestrutura de Chaves Pblicas (ICP),
envolvendo padronizaes, normas,
procedimentos, orientaes e leis.
Envolvem ainda rgos como Autoridades
Registradoras (AR), Autoridades
Certificadoras (AC) e outros.
A Certisign (2010) explica aos
usurios, entre outros detalhes, que no h
necessidade de se processar a assinatura
digital da mensagem completa. Para tornar
o custo de tempo de processamento da
assinatura digital eficiente, ela gerada a
partir do valor de hash
6
da mensagem.

6
Uma funo de hash h definida por uma entrada
x de tamanho arbitrrio finito, considerando |x| o
tamanho mximo da entrada, a sada h(x) com
tamanho fixo de |h(x)| bits, com |x| >> |h(x)|. Nas
funes de hash criptogrficas, dado um valor de

85
A certificao digital certifica a
autenticidade da assinatura digital
combinando aspectos tecnolgicos e
jurdicos. Ela vem sendo utilizada no
Brasil para atribuir valor legal a
documentos eletrnicos e para garantir sua
eficcia probatria (PEREIRA, 2008).

hash, intratvel encontrar-se outra mensagem que
origine o mesmo valor de hash: se o tamanho em
bits do valor de hash for n, a probabilidade de h(x)
ser um valor em especfico de 2
-n
e a
probabilidade de coliso de 2
-n/2
(PEREIRA,
2008).

86

Figura 1 Modelo de criptografia simtrica.
Fonte: STALLINGS (2007)

Os ambientes de infraestruturas de
chaves pblicas precisam estar sob
critrios de segurana rigorosos, desde a
AC at o usurio do certificado digital.
Nesta viso, uma infraestrutura de chave
pblica uma combinao de tecnologia e
processos que vinculam a identidade do
titular da chave privada sua respectiva
chave pblica, utilizando a tecnologia
assimtrica de criptografia (PEREIRA,
2008).

3 TECNOLOGIA DA CERTIFICAO
DIGITAL: CRIPTOGRAFIA

Como definido por Silva et al.
(2008), a [...] criptografia a cincia de
fazer com que o custo de adquirir uma
informao de maneira imprpria seja
maior do que o custo obtido com a
informao. Assim, entende-se a
importncia da criptografia para proteger
informaes sensveis ou valiosas, tais
como a senha de acesso a uma conta
bancria, a frmula de um produto
revolucionrio ou uma estratgia militar.
Para o Centro de Estudos, Resposta
e Tratamento de Incidentes de Segurana
no Brasil CERT (2010), uma chave
criptogrfica simtrica, para ser
considerada segura, deve ter pelo menos
128 bits, j uma chave pblica deve ter
pelo menos 1024 bits, sendo que os
militares usam 4096 bits, o que requer
milhares de anos de ataque de fora bruta
(esgotamento de todas as possibilidades de
uma chave criptogrfica) por um
computador.

87
Entende-se como sistema
criptogrfico, um conjunto de tcnicas para
embaralhar ou cifrar mensagens de forma
que, aparentemente, se tornem ilegveis e
que, posteriormente, se possa obter a
mensagem original por meio do texto
embaralhado (STALLINGS, 2007).
No processo de cifragem e
decifragem, utilizada uma sequncia de
clculos matemticos, conhecidos como
algoritmo criptogrfico, ilustrado na Figura
1. Um algoritmo a base para que o
sistema criptogrfico determine como o
texto ser criptografado, e tambm
requerida uma chave criptogrfica para
cifrar um texto original utilizando o
algoritmo criptogrfico e para recuperar
um texto original a partir do texto cifrado.
Para a compreenso da certificao
digital, necessrio o conhecimento do
conceito de criptografia de chave simtrica
e de criptografia de chave pblica.

3.1 Criptografia simtrica

A criptografia de chave secreta ou
tambm chamada de chave simtrica
utiliza a mesma chave para cifrar ou
decifrar uma mensagem. Seu
funcionamento apresentado na Figura 2.

Figura 2 Cifragem com de Chave Secreta
Fonte: Dos autores

Os algoritmos de chave simtrica
tm como caracterstica a rapidez na
execuo. Porm, no permitem assinatura
nem certificao digital.
Existe ainda o problema da
necessidade de distribuio das chaves, as
quais sero utilizadas pelos usurios e,
deve ser feita de forma segura. O problema
est na dificuldade de enviar a chave
gerada para o usurio, pois o canal de
comunicao ainda no seguro.
Outro problema o uso de chaves
secretas diferentes para cada tipo de
comunicao e tambm para cada
mensagem, o que faz com que o seu
gerenciamento se torne muito complexo
(NAKAMURA, 2007).

3.2 Criptografia de chave pblica

Pereira (2009) descreve que a
criptografia de chave pblica, tambm

88
chamada de criptografia assimtrica,
envolve o uso de duas chaves distintas,
uma pblica e uma privada. A chave
privada mantida em segredo e nunca
deve ser divulgada. Por outro lado, a chave
a chave pblica no secreta e pode ser
distribuda e compartilhada com qualquer
pessoa.
Uma chave pblica e sua
correspondente chave privada possuem
uma relao matemtica distribuda e
compartilhada, distribuda e compartilhada
com qualquer pessoa. Uma chave pblica e
sua correspondente chave privada possuem
uma relao matemtica, mas
computacionalmente invivel descobrir a
chave privada a partir de uma chave
pblica.
A chave pblica e sua chave
privada associada so comumente
chamadas de par de chaves criptogrficas.
Devido a sua relao matemtica, uma
mensagem criptografada com uma chave
pblica pode ser decifrada com sua chave
privada correspondente e uma mensagem
que foi criptografada com a chave privada
pode ser decifrada com sua chave pblica
correspondente (processo utilizado na
certificao digital).
No entanto, o algoritmo assimtrico
cerca de 60 a 70 vezes mais lento que os
algoritmos simtricos, pois a chave privada
possui um tamanho em bits maior e um
algoritmo mais complexo, portanto um
tempo de processamento maior (RSA,
2010). O fluxo principal desse processo
apresentado na Figura 3.

Figura 3 Cifragem com chave pblica
(Fonte: Dos autores)

O algoritmo de chaves pblicas
RSA o mais amplamente aceito e
confivel nas implementaes de
assinaturas digitais. Esta situao tende a
durar, pois sua utilizao tem crescido
ainda mais desde que expirou a validade da
sua patente norte-americana, em 2000
(PEREIRA, 2008).
Na criptografia assimtrica inserida
no processo de assinatura digital,
utilizado primeiro a chave privada, pelo
emissor da assinatura, o qual estar
executando o algoritmo de ciframento, mas
com o objetivo de assinar o documento, e
no cifr-lo. Posteriormente, qualquer
usurio que deseje verificar a autenticidade

89
da assinatura digital em questo, ir
processar o algoritmo de deciframento,
mas com o objetivo de verificar a
assinatura digital, e no de decifrar o
documento. Portanto, a criptografia
assimtrica permite a utilizao das chaves
nos dois sentidos. O fluxo desse processo
exemplificado na Figura 4.

Figura 4 Cifragem/assinatura com chave
pblica
(Fonte: Dos autores)

4 INFRAESTRUTURA DE CHAVES
PBLICAS

Uma Infraestrutura de Chaves
Pblicas (ICP) regulamenta a certificao
de assinaturas digitais, possibilitando um
certificado digital com validade jurdica.
Ela combina aspectos tecnolgicos e
jurdicos, para atribuir valor legal a
documentos eletrnicos garantindo sua
eficcia probatria (no-repdio) e se
aplicando para documentos eletrnicos de
diferentes tipos de informao tais como
textos, imagens ou vozes.
A ICP-Brasil (ICP-Brasil, 2010)
controlada pelo Instituto Nacional de
Tecnologia da Informao, o ITI (ITI,
2010), que a autoridade certificadora raiz
(primeira autoridade da cadeia de
certificao brasileira AC Raiz), uma
autarquia federal vinculada casa Civil da
Presidncia da Repblica que tem como
funo credenciar as Autoridades
Certificadoras (ACs) e as Autoridades
Registradoras (ARs) por meio de
superviso e auditorias. A ICP-Brasil
responsvel pelo conjunto de tcnicas,
prticas e procedimentos a serem
implementados pelas organizaes, com o
objetivo de estabelecer os fundamentos
tcnicos e metodolgicos de um sistema de
certificao digital baseado em chaves
pblicas.
Pelas leis brasileiras em vigor, toda
AC deve utilizar-se de chave RSA de
comprimento de no mnimo 2048 bits,
devendo este valor ser revisto
periodicamente, de acordo com as novas
definies publicadas pelo CG ICP-Brasil
(Comit Gestor da ICP-Brasil).
Existem diversos tipos de
certificados digitais, sendo classificados
quanto necessidade de segurana da

90
assinatura digital e necessidade de sigilo,
mas independente do nvel de segurana ou
de sigilo, a AC deve assegurar que o
tamanho das chaves das entidades a ela
ligadas seja de no mnimo 512 bits, sendo
recomendvel o uso de pelo menos 1024
bits (ICP-BRASIL, 2010).
Embora as regras de infraestrutura
de chaves pblicas no sejam universais,
no Brasil, nenhuma AC, nem mesmo a
AC-Raiz tem acesso chave privada da
entidade proprietria de um par de chaves
pblicas. Este par de chaves (pblica e
privada) deve ser gerado pela entidade
usuria, a qual deve zelar por sua chave
privada, sendo responsvel judicialmente
por sua utilizao mesmo que por terceiros.
A fim de garantir a segurana da
infraestrutura de chaves pblicas, h a
necessidade de cuidados na distribuio
dos pares de chaves (pblica e privada),
evitando assim ataques como o ataque
MITM (Man-In-The-Middle / Ataque por
Homem ao Meio). Neste tipo de ataque, o
invasor interage entre duas partes que
estejam se comunicando, sem que
nenhuma das partes perceba o que est
ocorrendo (PEREIRA, 2008).
Suponha que um adversrio
obtenha um par de chaves
(pblica/privada) para utilizar no ataque e
que, de alguma forma, ele consiga trocar a
chave pblica de A pela sua. O adversrio
passa a monitorar a linha de comunicao.
Quando um criptograma for enviado para
A, o adversrio intercepta o canal tendo
acesso ao criptograma e no deixa que ele
chegue ao destinatrio A. O adversrio
decifra o criptograma, altera a mensagem
conforme sua convenincia e a envia para
A com a chave pblica correta de A, de
forma que A consiga abrir a mensagem. Da
mesma forma, quando A enviar uma
assinatura digital, o adversrio intercepta a
mensagem enviada e a substitui por outra
que ele cria conforme sua convenincia e
divulga como se fosse assinada por A.
Para evitar esse tipo de ataque, as
ACs operam como uma terceira parte
confivel, certificando a validade do par de
chaves no momento da sua criao. Outra
necessidade tcnica para a segurana em
assinaturas digitais a utilizao de algum
esquema de codificao, que processe
algum tipo de codificao na mensagem
que ser assinada, tornando-a
pseudoaleatria e evitando assim, possveis
ataques por mensagem escolhida
7
.

5 SEGURANA POR MEIO DE
CERTIFICAO DIGITAL

7
O criptoanalista pode escolher determinada(s)
mensagem(ns) e ter acesso ao(s) par(es)
(criptograma; mensagem).

91
Garantir a segurana com a
proteo das informaes dos sistemas
corporativos deve ser a preocupao
constante de uma empresa, visando
assegurar que estas no sejam acessadas
por terceiros no autorizados ou
corrompidas por estarem suscetveis s
aes de vrus provenientes do sistema
interno de mensagens ou pela internet, que
podem resultar em prejuzos devastadores
para a organizao. Assim como as
empresas, pessoas comuns tambm prezam
pelo sigilo de suas informaes pessoais e
das armazenadas em seu computador.
Segundo o CERT (2010), foram
comunicados cerca de 300.000 ataques
segurana da informao, de janeiro a
junho de 2009, e boa parte destes
incidentes est ligada a aes de
cibercriminosos para capturar dados de
internautas, como nmeros de carto de
crdito, senhas bancrias e de informaes
trocadas atravs de redes sociais, seja
verbalmente ou por escrito em salas de
bate-papo e outras redes.
O maior desafio na indstria
mundial de software prover solues no
espao de tempo mais curto possvel, a
partir da descoberta de determinada
ameaa ou problema. As corporaes
devem criar um plano que contemplem
levantamento dos ativos na empresa,
avaliao dos riscos e vulnerabilidades a
que esto expostas e, a partir deste, investir
na infraestrutura de tecnologia com a
aquisio de ferramentas, instalao de
solues e recomendaes de uso
(STALLINGS, 2007).
A segurana tem valor estratgico
participando das decises de mercado
integrada na forma de ofertas de produto e
servios com novas tecnologias, relatrios
com informaes recentssimas e
privilegiadas e agregando valor a qualquer
deciso ou operao estratgica baseada
em confidencialidade, autenticidade e/ou
integridade. Assim, a segurana da
informao demanda diversas aplicaes
no que se refere infraestrutura
tecnolgica (hardware e software) como
antivrus, firewall, varredura de
vulnerabilidades, Rede Virtual Privada
(VPN), criptografia, autenticao e
sistemas Antispam. Para alcanar
resultados relevantes, a segurana da
informao precisa envolver tecnologias,
processos e pessoas em um trabalho
contnuo e persistente (CERT, 2010).
O certificado digital a tecnologia
que garante a identificao segura de uma
mensagem ou transao eletrnica com
confidencialidade, integridade e validade
jurdica. Cada vez mais a certificao
digital estar presente nas diversas esferas

92
do governo contribuindo para a
democratizao dos servios pblicos,
oferecendo reduo de tempo, comodidade
e principalmente segurana por conta da
certificao digital (VOLPI, 2001).
Em segurana da informao,
importante considerar aspectos
tecnolgicos, metodologias de controle e
autorizaes de acordo com a necessidade.
Quando necessrio comprovar a
identidade, o certificado digital utilizado
como forma de autenticar a presena,
atravs da chave privada da entidade em
questo e sua respectiva chave pblica, a
qual deve ser previamente certificada por
uma Autoridade Certificadora Confivel
(uma terceira parte envolvida confivel,
homologada pela Infraestrutura de Chaves
Pblicas que estiver sendo utilizada).
O objetivo confirmar a identidade
do usurio na Web, no correio eletrnico,
transao on-line, transao eletrnica,
informao eletrnica, cifrar chaves de
sesso (utilizadas para cifrar grandes
volumes de dados) e assinatura de
documento eletrnico, conferindo validade
jurdica e garantindo a segurana de suas
informaes (VOLPI, 2001).
O certificado digital utiliza a
criptografia de chave pblica adaptada a
sua necessidade. A informao s ser
considerada certificada com a
possibilidade de uso do par de chaves, a
pblica e sua respectiva chave privada.
Portanto, pode-se comparar este
sistema a um cadeado composto por duas
chaves distintas, mas interligadas: uma
para abrir e outra para tranc-lo: com uma
das chaves se assina o certificado digital e,
com a outra, se verifica o certificado e, se
for o caso, decifra-se a informao (se esta
foi previamente cifrada). A chave pblica
do signatrio precisa estar contida no
certificado digital para a verificao das
informaes contidas no documento. Esta
pode ser checada na Infraestrutura de
Chaves Pblicas em utilizao
(NAKAMURA, 2007).
A tecnologia de certificao digital
permitiu a reavaliao dos negcios on-
line, pela validao jurdica, assegurando a
comunicao no ambiente virtual com
privacidade, segurana e respaldo jurdico,
em exemplos como: e-CPF, e-CNPJ e
NF-e. Outras aplicaes que tambm
utilizam certificao digital so
(CERTISIGN, 2010):
Acompanhamento da declarao de
imposto de renda;
Regularizao fiscal na Receita
Federal;
Solicitao remota de documentos
jurdicos (ofcios, certides de escrituras de

93
imveis, contratos registrados, certides de
nascimento, casamento ou bito);
Segurana de acesso em sites
institucionais;
Garantia da autoria e envio de e-
mails;
Utilizao de certificados digitais
nos tribunais atravs da criao da
Autoridade Certificadora do Judicirio
(AC-JUS);
Sistema de Pagamentos Brasileiros
(SPB);
Programa Universidade para Todos
(ProUNI);
O Instituto Nacional de Seguridade
Social (INSS).

A ICP-Brasil referncia em
termos de infraestrutura, pois apresenta
exigncias e controles rgidos e bem
implementados como Declarao de
Prticas de Certificao, Polticas de
Certificado e Polticas de Segurana. A
Tabela 1 apresenta alguns desses controles.
Como os conceitos das atividades
de uma Autoridade Certificadora esto
associados ao conceito de confiana, o
processo de auditoria e fiscalizao
peridica representa um dos instrumentos
que facilita a percepo e transmisso de
confiana comunidade de usurios, dado
que o objetivo desses processos verificar
a capacidade da AC em atender aos
requisitos da ICP-Brasil.
O resultado das auditorias
operacionais e fiscalizaes so itens
fundamentais para a manuteno da
condio de credenciada. As auditorias so
planejadas, determinando-se o objetivo,
frequncia e abrangncia da auditoria,
realizadas periodicamente pela AC Raiz ou
por terceiros por ele autorizados, conforme
documentos aprovados pelo Comit Gestor
da ICP-Brasil (ITI, 2010; SILVA et al.,
2008).

Tabela 1 Principais controles da
ICP-Brasil

Controle / Descrio

Declarao de Prticas de Certificao
(DPC)
Documento que descreve obrigaes,
responsabilidade e controles de segurana da AC,
AR e dos titulares do certificado.

Polticas de Certificado
(PC)
Define as polticas e tratam das particularidades do
tipo especfico de certificado.

Polticas de Segurana
(PS)
Descreve as diretrizes de segurana adotadas pela
AC e define o escopo da segurana das entidades
em relao a riscos e integridade. A poltica de

94
segurana abrangente e contempla requisitos de
segurana humana, fsica, lgica e da tecnologia em
recursos criptogrficos.

Fonte: Adaptado de Silva et al., (2008)

6 INFRAESTRUTURA DE CHAVES
PBLICAS (ICP): MODELO
BRASILEIRO E AUSTRALIANO

O conhecimento da infraestrutura
de certificao digital da Austrlia tem sua
relevncia por apresentar um modelo
diferente da infraestrutura do Brasil e
ambas so referncias mundiais.
O modelo de ICP implantado pelo
governo brasileiro pode ser verificado na
ICP-Brasil, que composta por um
conjunto de entidades, padres tcnicos e
regulamentos, elaborados para suportar um
sistema criptogrfico com base em
certificados digitais, visando proporcionar
maior segurana nas transaes eletrnicas
e incentivar a utilizao da Internet como
meio de realizao de negcios.
As entidades participantes da ICP-
Brasil so auditadas previamente ao
credenciamento, para verificar se esto
aptas a desenvolver suas atividades
conforme os regulamentos. A ICP-Brasil
oferece diversas garantias aos titulares e
usurios de certificados (SILVA et al.,
2008):
O par de chaves criptogrfico deve
ser gerado sempre pelo prprio titular e sua
chave privada de assinatura de seu
exclusivo controle, uso e conhecimento;
Validade jurdica dos documentos
assinados com processo de certificao da
ICP-Brasil;
Utilizao de padres
internacionais para os certificados,
algoritmos criptogrficos e tamanhos de
chaves; procedimentos de segurana fsica,
lgica e de pessoal;
Obrigatoriedade de declarao em
repositrio pblico s prticas de
segurana utilizadas em todos os seus
processos; de contratao de seguro para a
cobertura de responsabilidade civil
decorrente das atividades e a validao
pessoal dos titulares para a obteno de
certificados;
Auditorias para a obteno e
manuteno do credenciamento;
Armazenamento dos dados por no
mnimo trinta anos para atender legislaes
especficas de guarda de documentos.
O governo australiano, por sua vez,
implantou o modelo de ICP (chamado de
PKI Public Key Infrastructure, neste
caso), como um recurso para a realizao
de servios on-line, como, por exemplo,
num processo de compra ou contratao de
produtos e servios ou a utilizao da

95
estrutura pelo Departamento de Impostos.
Esta estratgia implementada atravs da
tecnologia denominada Gatekeeper, vista
como importante fortalecedor de confiana
no processo (SILVA et al., 2008).
Embora no haja legislao que
relacione a ICP Australiana ao Gatekeeper,
este foi implementado e funciona
administrativamente regulado pelos
contratos entre AGIMO (Australian
Government information Management
Office), departamento de administrao e
finanas e os provedores de servio
credenciados (SILVA et al., 2008).
Como na infraestrutura brasileira, a
relao entre o assinante e a autoridade
certificadora disciplinada por contrato
incluindo obrigaes, responsabilidades e
atribuies da responsabilidade civil dos
assinantes. A autoridade certificadora ter
seus prprios termos e condies contidas
nestes acordos que incorporam,
geralmente, as Polticas de Certificado e a
Declarao de Prticas de Certificao
(SILVA et al., 2008).
As terceiras partes confiveis
8
, no
aspecto legal, podem ter que confiar nos
parmetros da justia comum com respaldo
sobre a legislao relativa negligncia,

8
Considera-se terceira parte a parte que confia no
teor, validade e aplicabilidade do certificado digital
emitido por uma AC.

declarao inexata e adulterada ou leis que
regem contratos (SILVA et al., 2008).
Ainda conforme Silva et al. (2008),
existem nove critrios que so avaliados e
certificados por agncias do governo de
acordo com sua rea de atuao e polticas
(descentralizao de responsabilidade para
finalizar o processo) que so:
Conformidade com a Poltica de
Compras e Contrataes do
Governo Federal;
Poltica da Segurana;
Segurana Fsica;
Avaliao de Tecnologia;
Administrao da Autoridade de
Certificao;
Investigao de Pessoal;
Polticas da Autoridade de
Certificao;
Contratos e
Consideraes Privacidade.

7 CONSIDERAES FINAIS

A necessidade de instrumentos e
critrios que permitam a regulamentao e
a existncia de um adequado fluxo de
informaes entre Estado, empresas e a
sociedade, levaram a adoo da tecnologia
da certificao digital, a qual utiliza
criptografia e polticas de gesto, como um
meio de controle e de autorizaes, que

96
fornece confiabilidade e segurana para os
usurios do meio digital.
No Brasil, a infraestrutura
governamental de Chaves Pblicas a
ICP-Brasil (ICP-Brasil, 2010), entendida
como um conjunto de tcnicas e processos
que propiciam mais segurana s
comunicaes e transaes eletrnicas,
utilizada para acessar servios on-line e
assinar documentos eletrnicos com a
possibilidade de certificao da
autenticidade de dados e de entidades,
conferindo ainda, a validade jurdica do
documento.
A ICP-Brasil referncia em
termos de infraestrutura, pois apresenta
exigncias e controles rgidos e bem
implementados, sedimentando sua
presena na poltica tecnolgica do
governo, definindo suas competncias e
sua governana, demonstrando sua
importncia e confiabilidade perante a
sociedade.
Apesar de referncia, preciso
conhec-la e entend-la para utiliz-la da
forma correta e, desta forma, desfrutar da
segurana e confiabilidade que ela
proporciona.

REFERNCIAS

CERT. Centro de estudos, resposta e
tratamento de incidentes de segurana
no Brasil. URL: <http://www.cert.br/>.
Acesso em 15/09/2010.

CERTISIGN. Site institucional.
Certificao digital. URL:
<http://www.certisign.com.br/certificacao-
digital>. Acesso em 03/09/2010.

ICP-Brasil. Infraestrutura de chaves
pblicas brasileira. URL:
<http://www.icpbrasil.gov.br/>. Acesso em
03/09/2010.

ITI. Instituto Nacional de Tecnologia da
Informao. Autoridade certificadora
brasileira raiz. URL:
<http://www.iti.gov.br/twiki/bin/view/ITI/
Apresentacao>. Acesso em 10/09/2010.

LAKATOS, E. M. e MARCONI, M. A.
Fundamentos de metodologia cientfica.
6 ed. So Paulo: Atlas. 2005.

NAKAMURA, E. T. Segurana de redes
em ambientes cooperativos. 1 ed. So
Paulo: Novatec Editora. 2007.

PEREIRA, S. R. O sistema criptogrfico
de chaves pblicas RSA. Dissertao
apresentada Universidade Catlica de
Santos, UNISANTOS. 2008.

PEREIRA, S. R. Certificao digital
atravs do algoritmo RSA. FaSCciTech.
Peridico Eletrnico da Fatec So Caetano
do Sul. Ano 1. Nmero 1. 10/2009. URL:
<http://www.fatecsaocaetano.edu.br/fascite
ch/ed001/>. Acesso em 08/09/2010.

97
RSA Security Inc. Laboratrios RSA.
URL: http://www.rsasecurity.com/rsalabs/.
Acesso em 20/09/2010.

SILVA, L. G. C.; SILVA, P. C.;
BATISTA, E. M.; HOMOLKA, H. O.;
AQUINO, I. J. S.; LIMA, M. F.
Certificao digital: conceitos e
aplicaes, modelos brasileiro e
australiano. 1. ed. So Paulo: Editora
Cincia Moderna, 2008.

STALLINGS, W. Criptografia e
segurana de redes. 4 edio Ed. Prentice
Hall, 2007.

VOLPI, M. M. Assinatura digital:
aspectos tcnicos, prticos e legais. Rio de
Janeiro: Axcel Books do Brasil, 2001.

A Certificação Digital Na Icp-Brasil

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

A Certificação Digital Na Icp-Brasil

Загружено:

Авторское право:

Доступные форматы

Tkhne Lgos, Botucatu, SP, v.2, n,2, fev. 2011.

Вам также может понравиться