Perguntas e respostas mais comuns sobre
Assinatura eletrônica e Infra-estrutura de Chaves Públicas
1) O que é assinatura eletrônica?
É a tecnologia que permite conduzir transações eletrônicas seguras através
da Internet, ou em ambientes correlatos, como intranets/extranets. Essas transações
passaram a ser de grande importância para grande número de organizações, tanto
públicas, como privadas, por sua conveniência, baixo custo e facilidade para
tornar esse acesso universal. Uma das questões primordiais, entretanto, é
garantir a segurança e a integridade dessas transações, em particular a possibilidade
de assinar as transações. A tecnologia que dá essa garantia é chamada de “assinatura
eletrônica” (e-Sign), que pode ser feita diretamente em formulários eletrônicos
ou em documentos diversos que caracterizem estas transações, como contratos,
cartas, memorandos, planilhas etc. A assinatura eletrônica não é, como poderia
parecer à primeira vista, a digitalização da assinatura feita de próprio punho
e sua “colagem” em documentos eletrônicos. Ela é, na verdade, um sistema de
códigos para identificação e autenticação dos signatários, que é tratado por
um software especialmente desenvolvido para essa finalidade.
2) O que é Infra-estrutura de Chaves Públicas?
Uma infra-estrutura de Chaves Públicas (ICP) é um ambiente criado por
um conjunto de tecnologias que permite garantir a segurança da assinatura
de transações ou documentos eletrônicos, através do uso de um par de chaves,
sendo uma delas pública (de conhecimento geral) e a outra privada (somente
do conhecimento do seu proprietário), consolidadas num “certificado” digital.
Esse certificado digital permite identificar, sem qualquer sombra de dúvida,
as pessoas (físicas ou jurídicas) que estejam conduzindo transações em ambiente
eletrônico, de forma similar a um Cartório, reconhecendo as assinaturas de
um documento em papel.
Os certificados digitais são documentos eletrônicos que têm
como aspecto principal duas chaves, uma pública, que é de conhecimento geral,
e outra privada, que deve ser mantida em sigilo e com toda a segurança, pelo
titular do certificado. A tecnologia utilizada na geração dessas chaves é
a chamada “criptografia assimétrica”, que é o método mais comum para autenticar
transações conduzidas pela Internet.
Esse par de chaves tem uma série de características importantes.
Primeiro, embora elas sejam matematicamente relacionadas, é impossível calcular
uma chave a partir da outra. Daí, a denominação de “assimétricas”. Segundo,
uma chave desempenha a função inversa da outra: o que uma delas faz, somente
a outra pode desfazer. Por exemplo, a chave privada é usada para assinar o
conteúdo de um documento, enquanto a chave pública é usada para validar
essa assinatura.
O certificado digital é obtido de uma Autoridade Certificadora e contém
o nome do titular (pessoa física ou jurídica), o número de série, a data da
sua validade, a chave pública do titular e a assinatura (eletrônica) da Autoridade
Certificadora, que garante o próprio certificado.
4) Onde o certificado digital e a chave privada ficam fisicamente guardados?
Os certificados digitais originais são conservados, pelas Autoridades
Certificadoras, em repositórios que permitem acesso ao público, mediante consulta
“on line.
Quanto à chave privada, há várias possibilidades. Uma é conservar uma
cópia do certificado e a chave privada diretamente no microcomputador a partir
de onde a transação é feita. Outra possibilidade é gravá-los num cartão magnético,
que é lido pelo microcomputador que estiver conduzindo a transação. Existem,
ainda, “tokens” (pequenos dispositivos que se ligam à umda das portas dos
computadores pessoais) que podem conter este tipo de informação.
O cartão, micro ou “token” podem ter proteção adicional de senha ou de
identificação por digital ou pelo fundo do olho, caso isto seja desejável.
A identificação da digital está ficando bastante comum, pois é muito eficiente
e tem baixo custo.
5) Quais são os principais requisitos para a instalação da assinatura
eletrônica?
ü Autenticidade, isto é, o estabelecimento, de forma inequívoca,
da identidade das pessoas (físicas ou jurídicas) que estão assinando a transação
ou os documentos a ela anexos;
ü Não-repudiação, isto é, a garantia de que nenhuma das partes
pode repudiar uma transação ou os documentos correspondentes, que tenham sido
legitimamente assinados;
ü Referência da data em que a assinatura de cada parte se deu;
ü Integridade, isto é, a garantia de que o conteúdo dos documentos
que estão sendo visualizados é exatamente o mesmo que foi assinado pelas partes;
ü Auditoria, isto é, a capacidade
de reconstruir, a qualquer momento, toda a cadeia de eventos relacionados
com a assinatura dos documentos ou da transação, exatamente da forma como
ela ocorreu.
6) Existe mais de um tipo de assinatura eletrônica?
Sim, dependendo do tipo de infra-estrutura de segurança
que for utilizado. Basicamente há dois tipos de infra-estrutura: senhas ou
chaves públicas. A segunda é a infra-estrutura que foi legalizada no Brasil
e na maioria dos países onde se usa a assinatura eletrônica, por ser a mais
segura.
7) Qual é a diferença entre assinatura eletrônica e Infra-estrutura
de Chaves Públicas?
Enquanto a ICP trata da emissão dos certificados digitais e, conseqüentemente,
do par de chaves a eles associados, a tecnologia de assinaturas eletrônicas
lida com essas chaves para proporcionar várias funções como a realização da
assinatura propriamente dita (autorização/aprovação), a verificação da identidade
dos signatários e dos seus poderes para tanto (por exemplo, no caso de procurações)
e da integridade do conteúdo que estiver sendo visualizado (em relação ao
que foi assinado).
8) Como é garantida a segurança da assinatura
eletrônica com a ICP?
No ato da assinatura, o software para assinatura eletrônica gera um código
matemático, a partir de um algoritmo para “embrulho” do conteúdo do documento
ou formulário que estiver sendo assinado. O código gerado, conhecido como
“resumo”, é único para cada processo e conteúdo - como se fosse a impressão
eletrônica digital daquele documento ou formulário. A chave privada do signatário
é, então, utilizada para codificar (criptografar) esse código. A esse processo
todo, tecnicamente, se dá o nome de “assinatura eletrônica”. Como foi utilizada
a chave privada do signatário durante o processo de assinatura, ela está diretamente
vinculada ao signatário.
O documento assinado é, então, enviado por meio eletrônico (por exemplo,
através de e-mail), a quem de direito, juntamente com a chave pública do signatário.
Quando o destinatário receber o documento, ele precisa verificar a autenticidade
da assinatura e a integridade do conteúdo, ou seja, que nenhuma modificação
tenha sido nele introduzida após a assinatura. A chave pública do signatário
é usada para decodificar (reverter a criptografia). Para tanto, o mesmo algoritmo
de “embrulho” é aplicado ao conteúdo para gerar um novo “resumo”. Esses dois
“resumos” (o original e o novo) são então comparados: se forem idênticos,
a validação de conteúdo é feita. Se tiverem sido feitas alterações no conteúdo
do documento, após sua assinatura, o “resumo” gerado na verificação irá diferir
do original e uma mensagem de não validação será apresentada para o usuário.
O software de assinatura também faz a verificação da validade do certificado
digital utilizado, através de uma consulta (feita automaticamente) ao “site”
da Autoridade Certificadora correspondente, onde são verificados a data de
validade, os poderes de assinatura, etc.
As 3 verificações (identidade do signatário, validade do certificado e
integridade do conteúdo), acopladas à informação da data em que a assinatura
foi feita, complementam o pacote de controles que precisam ser obrigatoriamente
feitos para garantir a segurança da transação.
9) As pessoas lidarão com vários certificados
digitais?
Certamente que sim. Elas terão que usar certificados digitais emitidos
por diferentes Autoridades Certificadoras como, por exemplo, aquele para uso
em negócios pessoais, o fornecido pelo banco com que operar, o da empresa
onde trabalha, o para transações com o Governo (Imposto de Renda e INSS) etc.
Por isto, é imprescindível que as pessoas disponham de softwares universais
para assinatura eletrônica, isto é, com recursos para assinar e verificar
a validade das assinaturas feitas com qualquer tipo de certificado. Caso contrário,
seria necessário ter no computador diferentes softwares e escolher, dentre
eles, para cada tipo de assinatura, o software desejado, o que seria muito
inconveniente.
10) O que é uma Autoridade Certificadora?
Uma Autoridade Certificadora é uma entidade, pública ou privada,
que estabelece previamente a identidade do futuro portador do certificado
digital (pessoa física ou jurídica), através dos documentos necessários, e
emite esse certificado. A Autoridade Certificadora, para ter seus certificados
legalmente reconhecidos no Brasil, o que é obrigatório para transações com
órgãos públicos, tem que ser garantida pela Autoridade Certificadora Raiz
(Instituto Nacional de Tecnologia da Informação), ao cumprir uma série de
exigências de segurança.
O estabelecimento prévio da identidade da pessoa e o pedido
de emissão do competente certificado digital podem ser feitos por uma Autoridade
Registradora, credenciada pela Autoridade Certificadora correspondente. Cabe
à Autoridade Certificadora estabelecer e fazer cumprir, pelas Autoridades
Registradoras a ela vinculadas, as políticas de segurança necessárias para
garantir a autenticidade da identificação feita, bem como emitir os certificados
e publicá-los em repositório público, ou ainda renová-los e revogá-los, conforme
seja o caso.
11) As Autoridades Certificadoras serão todas empresas brasileiras?
Não, a legislação permite que empresas públicas e privadas
(brasileiras ou internacionais) sejam Autoridades Certificadoras. Basta que
elas cumpram as exigências da Autoridade Certificadora-Raiz.
No Brasil, já são reconhecidas as seguintes Autoridades Certificadoras:
empresas privadas (CertiSign e Serasa), estatais (Caixa Econômica Federal)
e orgãos governamentais (SERPRO e Presidência da República). Outras estão
a caminho, em futuro próximo.
12) Quem já utiliza assinatura digital no mundo?
Os Estados Unidos foram os pioneiros no uso dessa tecnologia.
Em 1995, o estado de Utah foi o primeiro a legalizar este tipo de tecnologia.
Através do “Government Paperwork Elimination Act” (de 1998) e do “Uniform
Eletronic Transactions Act” (de 1999) essa tecnologia vem tendo uso crescente
nos diversos setores da economia daquele país. Em junho de 2000, o presidente
Clinton, usando um software para assinatura digital (o eLock ProSigner) assinou
o Electronic Signatures in Global and National Commerce Act, que legalizou
essa prática naquele país, para todos os fins práticos. A infra-estrutura
de segurança escolhida foi a de chaves públicas, tal como no Brasil.
Embora com um pouco de atraso, a União Européia, através do
seu Parlamento, tomou caminho similar: foi emitido o Comunicado “European
Framework for Digital Signatures and Encryption”, que obrigou todos os países
membros a se adequar a esse tipo de tecnologia até janeiro passado.
13) E a legalidade no Brasil?
O uso da assinatura eletrônica tornou-se legal no país através
da Medida Provisória 2.200, com força de lei, que já está na sua segunda reedição,
esta de 24/08/2001. A MP 2.200 regulamenta o uso da ICP-Brasil e do seu órgão
gestor, dentre outros aspectos relevantes. Há uma série de decretos que complementam
e acompanham essa MP.
A MP 2.200, no artigo 10, parágrafo segundo, estabelece que qualquer forma de assinatura eletrônica que seja pactuada entre as partes tem também validade legal para elas (isto não vale para o Governo Federal, obrigado a usar a ICP-Brasil). É com base nesse dispositivo que alguns bancos comerciais vêm implementando sistemas de assinatura eletrônica, utilizando senhas ou mesmo certificados digitais, mesmo sem a necessária certificação pela Autoridade Certificadora-Raiz brasileira.