www.lab245.com
Assinatura
Digital aplicada a
GED e Workflow
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Bruno Crotman
bruno@lab245.com
aa
www.lab245.com
Agenda
-Custos da guarda de papel
-Segurança: documentação digitalizada x
documentação em papel
-Assinatura digital
-como funciona
-chave pública e chave privada
-segurança do método
-processo e assinatura e processo de
verificação
-funcionamento na prática
-Documentos já em papel
-Documentos em formato eletrônico
-Situação da assinatura digital no Brasil
-Autoridades certificadoras
-Conclusão
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Segurança: documentação
digitalizada x documentação
em papel
A documentação em papel, teoricamente, não pode
ser modificada sem deixar rastros de fraude.
A documentação digital, que não esteja assinada
digitalmente, pode ser alterada sem deixar nenhum
vestígio.
A documentação em papel e a documentação
microfilmada eram as únicas formas aceitas
legalmente.
Com a assinatura digital, passa a ser impossível
alterar um documento eletrônico sem deixar vestígios.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital – como
funciona, em linhas
gerais
Existem dois processos envolvidos:
- a assinatura digital do documento
- a verificação da assinatura do documento
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Na assinatura, o documento é “empacotado” e se
adiciona dados de controle.
Na verificação da assinatura, os dados do documento
são comparados com os dados de controle.
Se os dados do documento forem alterados, o
processo de verificação da assinatura alerta sobre a
alteração.
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
chave pública e chave
privada
Os algoritmos de criptografia assimétricos
(baseados em chave pública e chave privada)
são usados para garantir:
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Confidencialidade
Autenticidade
Infoimagem 2005
aa
www.lab245.com
Assinatura digital – chave
pública e chave privadaConfidencialidade
Através de operações matemáticas, podemos
criptografar um conjunto de dados com uma chave
pública.
Apenas com o uso de uma chave privada, ligada à
chave pública usada na criptografia, podemos
decriptografar este conjunto de dados. Portanto,
todos podem criar mensagem cifradas para um
destinatário específico, pois todos conhecem as
chaves públicas. Mas apenas o dono da chave
privada pode decriptografar a mensagem.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
A tentativa de decriptografar os dados criptografados
com a chave incorreta não funciona.
aa
www.lab245.com
Assinatura digital – chave
pública e chave privadaConfidencialidade
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
chave pública e chave
privada
Chamaremos o indivíduo que assina o documento de
“assinador”.
O assinador possui um certificado pessoal. Para que
o processo seja considerado legal, este certificado
deve ser emitido por uma entidade certificadora filiada
à ICP-Brasil.
O certificado do assinador possui uma chave pública
e uma chave privada.
A chave pública pode ser conhecida por todos e é
usada pelo processo, que todos podem executar, que
irá verificar a assinatura digital de um documento.
A chave privada só pode ser conhecida, ou só pode
ser obtida, pelo assinador. Ela é usada no processo de
assinatura do documento.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital – chave
pública e chave privadaAutenticidade
Através de operações matemáticas, podemos
criptografar um conjunto de dados com uma chave
privada.
Apenas com o uso de uma chave pública, ligada à
chave privada usada na criptografia, podemos
decriptografar este conjunto de dados. Portanto,
temos garantia sobre quem criptografou estes
dados.
A tentativa de decriptografar os dados criptografados
com a chave incorreta não funciona. Há apenas 1
chave pública para cada chave privada.
A tentativa de decriptografar dados criptografados
adulterados também não gera um resultado que faça
sentido.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital – chave
pública e chave privadaAutenticidade
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
processo de assinatura
No processo, são usados
Assinatura
Digital aplicada
a GED e
Workflow
-o documento original
-a chave privada
É extraído um resumo do documento original, através
de uma função hash.
O resumo é criptografado com a chave privada e
incorporado ao pacote.
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
processo de verificação
da assinatura
No processo, são usados
-o pacote com o documento assinado
-a chave pública
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
funcionando na prática
Certificado digital:
Cartão inteligente (smart card)
Token USB
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Exemplo de cartão inteligente:
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
funcionando na prática
Processo de assinatura do documento:
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
funcionando na prática
Processo de verificação de um documento intacto:
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Assinatura digital –
funcionando na prática
Processo de verificação de um documento adulterado:
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Documentos em papel
Caso de documentos já existentes em papel:
Para descartá-los, deve–se digitalizá-los e assiná-los
digitalmente.
É um processo semelhante ao de se tirar uma xerox
autenticada.
Uma pessoa, que tenha fé pública, precisa atestar que
o documento digital é igual ao original, em papel.
Neste momento, esta pessoa executa o processo de
assinatura digital.
A partir deste momento, o documento se comporta
como se estivesse lacrado.
Se o documento original for alterado, isto será
indicado quando se executar o processo de verificação
de assinatura
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Documentos em formato
eletrônico
Caso de documentos criados em formato eletrônico:
Assinatura
Digital aplicada
a GED e
Workflow
O documento eletrônico tem autoria validada
legalmente quando se usa o processo de assinatura
digital.
Bruno Crotman
O autor do documento precisa possuir um certificado
digital emitido por uma entidade validada pela ICPBrasil. Ele deve executar o processo de assinatura
digital em cima do documento desejado.
Infoimagem 2005
A partir deste momento, o documento se comporta
como se estivesse lacrado.
Se o documento original for alterado, isto será
indicado quando se executar o processo de verificação
de assinatura
aa
www.lab245.com
Situação da assinatura
digital no Brasil
Regulamentada em 24 de agosto de 2001 pela Medida
Provisória 2.200-2.
Brasil pode ser equiparado a países como Alemanha,
França e Coréia do Sul em termos de estrutura das
Autoridades Certificadoras e em segurança e é o mais
avançado na América Latina.
A Autoridade Certificadora Raiz da cadeia da ICPBrasil tem como função básica a execução das
políticas de certificados e normas técnicas e
operacionais. No Brasil, é representada pelo ITI –
Instituto Nacional de Tecnologia da Informação.
Países como os Estados Unidos, com mais de uma
autoridade raiz enfrentam problemas sérios causados,
principalmente, pela variedade de legislações a
respeito de certificação digital
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
Autoridades certificadoras
As Autoridades Certificadoras têm a função de emitir
os certificados digitais, vinculando pares de chaves
criptográficas ao titular.
As Autoridades de Registro devem verificar a
autenticidade das informações utilizadas para a
criação do documento.
Exemplo de autoridades certificadoras brasileiras:
Serpro, Caixa Econômica Federal, Serasa, Certisign e
Receita Federal.
É necessária a presença física do usuário na criação
do certificado. Ele precisa estar lá pessoalmente e o
certificado não pode ser tirado por nenhum tipo de
procurador.
A lei exige que ele mesmo gere o par de chaves
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
ICP-Brasil
A Autoridade Certificadora Raiz da cadeia da
ICP-Brasil tem como função execução das
políticas aprovadas pelo Comitê Gestor,
atuando: na emissão, expedição,
distribuição, revogação e gerenciamento de
certificados de autoridades certificadoras de
nível imediatamente inferior ao seu,
chamadas Autoridades Certificadoras
Principais; no gerenciamento da lista de
certificados revogados (LCR), emitidos e
vencidos; e na execução, fiscalização e
auditoria das autoridades certificadoras, de
registro e prestadoras de serviço de suporte
habilitadas na ICP-BRASIL.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
ICP-Brasil
As autoridades certificadoras credenciadas
na ICP-Brasil têm a obrigação de manter
uma lista de todos os certificados revogados
por uma prazo mínimo de 30 anos a contar
da expiração destes certificados. Esta
obrigação garante que a assinatura
eletrônica de tais documentos possa ser
conferida, mesmo após a prescrição do
direito que se possa querer provar através
deste documento eletrônico
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
www.lab245.com
ICP-Brasil
Na Sala-Cofre está um pequeno hardware
criptográfico (HSM), do tamanho de um
videocassete, onde fica a chave-privada da
ICP-Brasil, a auditora do sistema nacional de
certificação digital.
Assinatura
Digital aplicada
a GED e
Workflow
Só é possível chegar ao computador após
passar por dois guardas armados, 16 câmeras
de vídeo e identificações --cartão magnético,
digitais e íris.
Bruno Crotman
Apenas cinco pessoas em todo o país podem
ativar a máquina, o que só ocorre na presença
de, pelo menos, três delas. São quatro civis e
um militar.
Infoimagem 2005
A sala-cofre agüentaria o impacto de um
choque como o de 11 de setembro nas torres
gêmeas de Nova York e temperaturas de até
1.000 graus, por duas horas
aa
www.lab245.com
Cuidados com o certificado
digital
Por tudo o que vimos, podemos dizer que op
certificado digital representa o próprio punho do
indivíduo.
Alguns cuidados devem ser tomados pelo usuário de
um certificado:
-Escolher uma senha que não seja óbvia para seu
smart card ou token
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
-Não compartilhar com ninguém, nem mesmo ssua
esposa ou marido, a senha de acesso à chave
-Avisar imediatamente à Autoridade Certificadora no
caso de perda ou furto do suporte físico da sua chave
privada.
aa
www.lab245.com
Conclusão
A tecnologia de assinatura digital vem preencher uma
lacuna nas tecnologias de GED e Workflow, permitindo
que, finalmente, possamos nos livrar do papel
definitivamente e com vantagens
De fato, a documentação digital assinada,
considerando a estrutura da ICP-Brasil e os softwares
que fazem o procedimento de assinatura e verificação
da assinatura, é muito mais segura que a
documentação em papel, a um custo de manutenção
muito mais baixo.
Assinatura
Digital aplicada
a GED e
Workflow
Bruno Crotman
Infoimagem 2005
aa
Download

Assinatura Digital aplicada a GED e Workflow