Tire suas dúvidas sobre assinatura eletrônica, certificação digital e infra-estrutura de chaves-públicas

Perguntas e respostas mais comuns sobre

Assinatura eletrônica e Infra-estrutura de Chaves Públicas

1) O que é assinatura eletrônica?

É a tecnologia que permite conduzir transações eletrônicas seguras através da Internet, ou em ambientes correlatos, como intranets/extranets. Essas transações passaram a ser de grande importância para grande número de organizações, tanto públicas, como privadas, por sua conveniência, baixo custo e facilidade para tornar esse acesso universal. Uma das questões primordiais, entretanto, é garantir a segurança e a integridade dessas transações, em particular a possibilidade de assinar as transações. A tecnologia que dá essa garantia é chamada de “assinatura eletrônica” (e-Sign), que pode ser feita diretamente em formulários eletrônicos ou em documentos diversos que caracterizem estas transações, como contratos, cartas, memorandos, planilhas etc. A assinatura eletrônica não é, como poderia parecer à primeira vista, a digitalização da assinatura feita de próprio punho e sua “colagem” em documentos eletrônicos. Ela é, na verdade, um sistema de códigos para identificação e autenticação dos signatários, que é tratado por um software especialmente desenvolvido para essa finalidade.

2) O que é Infra-estrutura de Chaves Públicas?

Uma infra-estrutura de Chaves Públicas (ICP) é um ambiente criado por um conjunto de tecnologias que permite garantir a segurança da assinatura de transações ou documentos eletrônicos, através do uso de um par de chaves, sendo uma delas pública (de conhecimento geral) e a outra privada (somente do conhecimento do seu proprietário), consolidadas num “certificado” digital. Esse certificado digital permite identificar, sem qualquer sombra de dúvida, as pessoas (físicas ou jurídicas) que estejam conduzindo transações em ambiente eletrônico, de forma similar a um Cartório, reconhecendo as assinaturas de um documento em papel.

3) O que é um Certificado Digital?

Os certificados digitais são documentos eletrônicos que têm como aspecto principal duas chaves, uma pública, que é de conhecimento geral, e outra privada, que deve ser mantida em sigilo e com toda a segurança, pelo titular do certificado. A tecnologia utilizada na geração dessas chaves é a chamada “criptografia assimétrica”, que é o método mais comum para autenticar transações conduzidas pela Internet.

Esse par de chaves tem uma série de características importantes. Primeiro, embora elas sejam matematicamente relacionadas, é impossível calcular uma chave a partir da outra. Daí, a denominação de “assimétricas”. Segundo, uma chave desempenha a função inversa da outra: o que uma delas faz, somente a outra pode desfazer. Por exemplo, a chave privada é usada para assinar o conteúdo de um documento, enquanto a chave pública é usada para validar essa assinatura.

O certificado digital é obtido de uma Autoridade Certificadora e contém o nome do titular (pessoa física ou jurídica), o número de série, a data da sua validade, a chave pública do titular e a assinatura (eletrônica) da Autoridade Certificadora, que garante o próprio certificado.

4) Onde o certificado digital e a chave privada ficam fisicamente guardados?

Os certificados digitais originais são conservados, pelas Autoridades Certificadoras, em repositórios que permitem acesso ao público, mediante consulta “on line.

Quanto à chave privada, há várias possibilidades. Uma é conservar uma cópia do certificado e a chave privada diretamente no microcomputador a partir de onde a transação é feita. Outra possibilidade é gravá-los num cartão magnético, que é lido pelo microcomputador que estiver conduzindo a transação. Existem, ainda, “tokens” (pequenos dispositivos que se ligam à umda das portas dos computadores pessoais) que podem conter este tipo de informação.

O cartão, micro ou “token” podem ter proteção adicional de senha ou de identificação por digital ou pelo fundo do olho, caso isto seja desejável. A identificação da digital está ficando bastante comum, pois é muito eficiente e tem baixo custo.

5) Quais são os principais requisitos para a instalação da assinatura eletrônica?

ü Autenticidade, isto é, o estabelecimento, de forma inequívoca, da identidade das pessoas (físicas ou jurídicas) que estão assinando a transação ou os documentos a ela anexos;

ü Não-repudiação, isto é, a garantia de que nenhuma das partes pode repudiar uma transação ou os documentos correspondentes, que tenham sido legitimamente assinados;

ü Referência da data em que a assinatura de cada parte se deu;

ü Integridade, isto é, a garantia de que o conteúdo dos documentos que estão sendo visualizados é exatamente o mesmo que foi assinado pelas partes;

ü Auditoria, isto é, a capacidade de reconstruir, a qualquer momento, toda a cadeia de eventos relacionados com a assinatura dos documentos ou da transação, exatamente da forma como ela ocorreu.

6) Existe mais de um tipo de assinatura eletrônica?

Sim, dependendo do tipo de infra-estrutura de segurança que for utilizado. Basicamente há dois tipos de infra-estrutura: senhas ou chaves públicas. A segunda é a infra-estrutura que foi legalizada no Brasil e na maioria dos países onde se usa a assinatura eletrônica, por ser a mais segura.

7) Qual é a diferença entre assinatura eletrônica e Infra-estrutura de Chaves Públicas?

Enquanto a ICP trata da emissão dos certificados digitais e, conseqüentemente, do par de chaves a eles associados, a tecnologia de assinaturas eletrônicas lida com essas chaves para proporcionar várias funções como a realização da assinatura propriamente dita (autorização/aprovação), a verificação da identidade dos signatários e dos seus poderes para tanto (por exemplo, no caso de procurações) e da integridade do conteúdo que estiver sendo visualizado (em relação ao que foi assinado).

8) Como é garantida a segurança da assinatura eletrônica com a ICP?

No ato da assinatura, o software para assinatura eletrônica gera um código matemático, a partir de um algoritmo para “embrulho” do conteúdo do documento ou formulário que estiver sendo assinado. O código gerado, conhecido como “resumo”, é único para cada processo e conteúdo - como se fosse a impressão eletrônica digital daquele documento ou formulário. A chave privada do signatário é, então, utilizada para codificar (criptografar) esse código. A esse processo todo, tecnicamente, se dá o nome de “assinatura eletrônica”. Como foi utilizada a chave privada do signatário durante o processo de assinatura, ela está diretamente vinculada ao signatário.

O documento assinado é, então, enviado por meio eletrônico (por exemplo, através de e-mail), a quem de direito, juntamente com a chave pública do signatário. Quando o destinatário receber o documento, ele precisa verificar a autenticidade da assinatura e a integridade do conteúdo, ou seja, que nenhuma modificação tenha sido nele introduzida após a assinatura. A chave pública do signatário é usada para decodificar (reverter a criptografia). Para tanto, o mesmo algoritmo de “embrulho” é aplicado ao conteúdo para gerar um novo “resumo”. Esses dois “resumos” (o original e o novo) são então comparados: se forem idênticos, a validação de conteúdo é feita. Se tiverem sido feitas alterações no conteúdo do documento, após sua assinatura, o “resumo” gerado na verificação irá diferir do original e uma mensagem de não validação será apresentada para o usuário.

O software de assinatura também faz a verificação da validade do certificado digital utilizado, através de uma consulta (feita automaticamente) ao “site” da Autoridade Certificadora correspondente, onde são verificados a data de validade, os poderes de assinatura, etc.

As 3 verificações (identidade do signatário, validade do certificado e integridade do conteúdo), acopladas à informação da data em que a assinatura foi feita, complementam o pacote de controles que precisam ser obrigatoriamente feitos para garantir a segurança da transação.

9) As pessoas lidarão com vários certificados digitais?

Certamente que sim. Elas terão que usar certificados digitais emitidos por diferentes Autoridades Certificadoras como, por exemplo, aquele para uso em negócios pessoais, o fornecido pelo banco com que operar, o da empresa onde trabalha, o para transações com o Governo (Imposto de Renda e INSS) etc. Por isto, é imprescindível que as pessoas disponham de softwares universais para assinatura eletrônica, isto é, com recursos para assinar e verificar a validade das assinaturas feitas com qualquer tipo de certificado. Caso contrário, seria necessário ter no computador diferentes softwares e escolher, dentre eles, para cada tipo de assinatura, o software desejado, o que seria muito inconveniente.

10) O que é uma Autoridade Certificadora?

Uma Autoridade Certificadora é uma entidade, pública ou privada, que estabelece previamente a identidade do futuro portador do certificado digital (pessoa física ou jurídica), através dos documentos necessários, e emite esse certificado. A Autoridade Certificadora, para ter seus certificados legalmente reconhecidos no Brasil, o que é obrigatório para transações com órgãos públicos, tem que ser garantida pela Autoridade Certificadora Raiz (Instituto Nacional de Tecnologia da Informação), ao cumprir uma série de exigências de segurança.

O estabelecimento prévio da identidade da pessoa e o pedido de emissão do competente certificado digital podem ser feitos por uma Autoridade Registradora, credenciada pela Autoridade Certificadora correspondente. Cabe à Autoridade Certificadora estabelecer e fazer cumprir, pelas Autoridades Registradoras a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação feita, bem como emitir os certificados e publicá-los em repositório público, ou ainda renová-los e revogá-los, conforme seja o caso.

11) As Autoridades Certificadoras serão todas empresas brasileiras?

Não, a legislação permite que empresas públicas e privadas (brasileiras ou internacionais) sejam Autoridades Certificadoras. Basta que elas cumpram as exigências da Autoridade Certificadora-Raiz.

No Brasil, já são reconhecidas as seguintes Autoridades Certificadoras: empresas privadas (CertiSign e Serasa), estatais (Caixa Econômica Federal) e orgãos governamentais (SERPRO e Presidência da República). Outras estão a caminho, em futuro próximo.

12) Quem já utiliza assinatura digital no mundo?

Os Estados Unidos foram os pioneiros no uso dessa tecnologia. Em 1995, o estado de Utah foi o primeiro a legalizar este tipo de tecnologia. Através do “Government Paperwork Elimination Act” (de 1998) e do “Uniform Eletronic Transactions Act” (de 1999) essa tecnologia vem tendo uso crescente nos diversos setores da economia daquele país. Em junho de 2000, o presidente Clinton, usando um software para assinatura digital (o eLock ProSigner) assinou o Electronic Signatures in Global and National Commerce Act, que legalizou essa prática naquele país, para todos os fins práticos. A infra-estrutura de segurança escolhida foi a de chaves públicas, tal como no Brasil.

Embora com um pouco de atraso, a União Européia, através do seu Parlamento, tomou caminho similar: foi emitido o Comunicado “European Framework for Digital Signatures and Encryption”, que obrigou todos os países membros a se adequar a esse tipo de tecnologia até janeiro passado.

13) E a legalidade no Brasil?

O uso da assinatura eletrônica tornou-se legal no país através da Medida Provisória 2.200, com força de lei, que já está na sua segunda reedição, esta de 24/08/2001. A MP 2.200 regulamenta o uso da ICP-Brasil e do seu órgão gestor, dentre outros aspectos relevantes. Há uma série de decretos que complementam e acompanham essa MP.

A MP 2.200, no artigo 10, parágrafo segundo, estabelece que qualquer forma de assinatura eletrônica que seja pactuada entre as partes tem também validade legal para elas (isto não vale para o Governo Federal, obrigado a usar a ICP-Brasil). É com base nesse dispositivo que alguns bancos comerciais vêm implementando sistemas de assinatura eletrônica, utilizando senhas ou mesmo certificados digitais, mesmo sem a necessária certificação pela Autoridade Certificadora-Raiz brasileira.