0
ORGANIZAÇÃO SETE DE SETEMBRO DE CULTURA E ENSINO-LTDA
FACULDADE SETE DE SETEMBRO – FASETE
BACHARELADO EM SISTEMA DE INFORMAÇÃO
JAMES CLEBER LIMA DA SILVA
Aplicação de Assinaturas Digitais e GED para Agilizar os
Processos Burocráticos no Setor Público
Paulo Afonso – BA
Dez / 2008
1
JAMES CLEBER LIMA DA SILVA
Aplicação de Assinaturas Digitais e GED para Agilizar os
Processos Burocráticos no Setor Público
Monografia apresentada como requisito
para a obtenção do título de Bacharel no
curso de Bacharelando em Sistemas de
Informação, da Faculdade Sete de
Setembro – FASETE.
Orientação do Profº. Igor Medeiros
Vanderlei
Paulo Afonso – BA
Dez / 2008
2
James Cleber Lima da Silva
Aplicação de Assinaturas Digitais e GED para Agilizar os Processos
Burocráticos no Setor Público
Monografia apresentada como requisito para a
obtenção do título de Bacharel no curso de
Bacharelando em Sistemas de Informação, da
Faculdade Sete de Setembro – FASETE
Data da aprovação: 17/12/2008
Aprovada por:
___________________________________________
Profª. Mestre. Igor Medeiros Vanderlei – Orientador
Faculdade Sete de Setembro
___________________________________________
Prof. Julyana Mota de Moura
Faculdade Sete de Setembro
___________________________________________
Prof. Ryan Ribeiro de Azevedo
Faculdade Sete de Setembro
Paulo Afonso – BA
dez/2008
3
4
Dedico este trabalho à minha amada mãe, que dedicou
toda sua vida a mim e ao meu pai (in memorian) pelo o
incentivo e carinho.
5
AGRADECIMENTOS
Agradeço primeiramente a Deus, por sem ele nada seria possível. A toda minha família em especial
minha mãe Socorro pelo esforço, dedicação e compreensão em toda minha jornada.
Ao orientador Prof. Igor Medeiro Vanderlei, pela atenção, paciência e por ter me ajudado a
conduzir e aconselhado no desenvolvimento desta monografia.
Minhas irmãs me apoiaram e me encorajaram até o fim da jornada.
Aos Meus Sobrinhos Alícia Maria e Luiz Felipe.
A minha namorada Heloisa, pela compreensão e carinho dedicados nos momentos difíceis.
6
RESUMO
O trabalho aborda o tema do Gerenciamento de Documentos Eletrônicos (GED) em conjunto
com Assinatura Digital elaborando um projeto de integração das duas tecnologias para que,
trabalhando em conjunto, possam agilizar os procedimentos burocráticos que existem no setor
público. No estudo são mostrados os principais conceitos de GED suas tecnologias, benefícios
e algumas ferramentas existentes. É abordado também como documentos eletrônicos se
tornam íntegros e confiáveis com a utilização de técnicas de criptografia, através da
Assinatura Digital, mostrando todos os seus aspectos técnicos, práticos e legais. Envolvendo
toda parte da certificação digital, a Infra-Estrutura de chaves Públicas no Brasil e as principias
Autoridades Certificadoras responsáveis pela a emissão de certificados digitais. Por ultimo é
proposto uma solução para os problemas encontrados na Prefeitura de Delmiro Gouveia com
a utilização de duas ferramentas, uma open source e uma de distribuição grátis onde buscam
uma melhor gerência da informação oferecendo melhor agilidade nos procedimentos
burocráticos no setor Público.
Palavras Chaves: Assinatura Digital, Gerenciamento Eletrônico de Documentos,
Prefeitura Municipal de Delmiro Gouveia - AL
7
ABSTRACT
The work addresses the theme of Electronic Documents Management (EDM) in conjunction
with Digital Signature developing a project for integrating the two technologies so that,
working together, can streamline the bureaucratic procedures that exist in the public sector. In
the study are shown the main concepts of EDM their technologies, benefits and some existing
tools. It is also discussed as electronic document become fair and trusted with the use of
encryption techniques, through Digital Signature, showing all its technical aspects, practical
and legal. Involving the entire digital certification, the infrastructure of public keys in Brazil
and the main certification authorities responsible for the issuance of digital certificates.
Finally it is proposed a solution to the problems encountered in the Prefecture of Delmiro
Gouveia with the use of two tools, an open source and free distribution of where a search for a
better management of information offering better agility in bureaucratic procedures in the
public sector.
Keywords: Digital Signature, Electronic Documents Management, City of Delmiro
Gouveia - AL
8
LISTA DE FIGURAS
Figura 1 – Ferramenta VDOC ............................................................................................................... 21
Figura 2 – Software Contexpress .......................................................................................................... 23
Figura 3 – Aplicação GED WFDM....................................................................................................... 24
Figura 4 – Aplicação GED Maarch ....................................................................................................... 26
Figura 5 – Processo de Criptografia ...................................................................................................... 31
Figura 6 – Processo de Criptografia usando chaves simétricas ............................................................. 31
Figura 7 – Processo de Criptografia usando chaves assimétricas – Autenticidade ............................... 33
Figura 8 – Processo da Assinatura Digital com a Função Hash ............................................................ 39
Figura 9 – Certificado Digital no Computador ..................................................................................... 41
Figura 10 – Smartcard ........................................................................................................................... 43
Figura 11 – Token USB – e-CPF simples ............................................................................................. 43
Figura 12 – Arquitetura da ICP ............................................................................................................. 46
Figura 13 – Presidente Lula recebendo seu certificado digital.............................................................. 52
Figura 14 – Organização Hierárquica da Prefeitura Municipal de Delmiro Gouveia ........................... 55
Figura 15 – Ged e Certificação Digital ................................................................................................. 56
Figura 16 – Proposta técnica dos processos Envolvendo GED e Assinatura Digital ............................ 57
Figura 17 – LetterBox ........................................................................................................................... 59
Figura 18 – Tela de Login do Letterbox ............................................................................................... 61
Figura 19 – Assinador e Visualizador de Documentos Eletrônico........................................................ 62
9
SUMÁRIO
1
INTRODUÇÃO........................................................................................................... 11
1.1
1.2
1.3
1.4
1.5
1.6
1.7
JUSTIFICATIVA ......................................................................................................... 12
PROBLEMA DA PESQUISA ...................................................................................... 13
DEFINIÇÃO DAS HIPÓTESES .................................................................................. 13
OBJETIVO GERAL ..................................................................................................... 14
OBJETIVOS ESPECÍFICOS........................................................................................ 14
METODOLOGIA ......................................................................................................... 14
ESTRUTURA DO TRABALHO ................................................................................. 15
2
GED .............................................................................................................................. 16
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
TECNOLOGIAS .......................................................................................................... 17
Document Imaging...................................................................................................... 17
Document Management ............................................................................................. 18
Image Enable ............................................................................................................... 18
ERM / COLD .............................................................................................................. 19
Workflow ..................................................................................................................... 19
BENEFÍCIOS ............................................................................................................... 19
APLICATIVOS GEDS ................................................................................................. 20
VDOC........................................................................................................................... 20
Contexpress ................................................................................................................. 21
WebFile Document Manager ..................................................................................... 23
Maarch ......................................................................................................................... 25
e-Doc qualisoft ............................................................................................................. 26
Visão Geral das Ferramentas .................................................................................... 27
3
CRIPTOGRAFIA E ASSINATURA DIGITAL ...................................................... 28
3.1
HISTÓRIA DA CRIPTOGRAFIA ............................................................................... 28
3.1.1 Cifra de Cesar ............................................................................................................. 29
3.1.2 Cifra Mono-Alfabetica Geral..................................................................................... 29
3.1.3 Cifra de Transposição ................................................................................................ 30
3.2
CRIPTOGRAFIA SIMETRICA E ASSIMETRICA .................................................... 30
3.2.1 Chave Simétrica ou Chave Secreta ........................................................................... 31
3.2.2 Chave Assimétrica ou Chave Pública ....................................................................... 32
3.2.2.1 RSA............................................................................................................................... 34
3.2.2.2 DSA .............................................................................................................................. 35
3.2.2.3 Funções de Hash ........................................................................................................... 35
3.4
ASSINATURAS DIGITAIS ........................................................................................ 37
3.4.1 Certificado Digital ...................................................................................................... 40
3.5
INFRA-ESTRUTURA DE CHAVES PÚBLICAS – (ICP) .......................................... 44
3.6
INFRA-ESTRUTURA DE CHAVES PÚBLICAS NO BRASIL ................................ 45
3.7
AUTORIDADE CERTIFICADORA ........................................................................... 46
10
3.8
3.9
3.9.1
3.9.2
3.9.3
ASPECTOS LEGAIS NO BRASIL .............................................................................. 47
ORGÃOS QUE UTILIZAM SOLUÇÕES DE ASSINATURA DIGITAL .................51
Governo Federal ......................................................................................................... 52
Estado De Pernambuco .............................................................................................. 52
Impressa Oficial Do Estado De São Paulo ................................................................ 53
4
INTREGAÇÃO DAS TECNOLOGIAS (PROJETO DE IMPLANTAÇÃO) ...... 54
4.1
4.2
4.3
4.4
4.5
4.6
4.7
DESCRIÇÃO DO AMBIENTE .................................................................................... 54
PROPOSTAS DA SOLUÇÃO ..................................................................................... 56
INFRA-ESTRUTURA ................................................................................................. 58
SISTEMAS GED E SISTEMA DE ASSINATURA DIGITAL .................................... 58
TREINAMENTO ......................................................................................................... 63
HARDWARES NESCESSARIOS ............................................................................... 63
CUSTOS DE IMPLANTAÇÃO DO PROJETO........................................................... 64
5
CONCLUSÃO ............................................................................................................. 66
REFERÊNCIAS ..................................................................................................................... 68
ANEXOS ................................................................................................................................. 70
11
1 INTRODUÇÃO
A administração pública vem passando por várias transformações buscando melhorar o
atendimento aos cidadãos, às comunidades e às empresas para se tornar um estado mais justo,
confiável e moderno. Com a velocidade das transformações tecnológicas tornou-se inevitável
o seu uso nas gestões públicas. As tecnologias de informações possuem uma fundamental
importância para simplificar o seu funcionamento.
A tecnologia de informação (TI) vem mudando a forma como as organizações trabalham. A
informação cada vez mais se torna um elemento imprescindível, a base de sustentação de
qualquer organização. Na administração pública não é diferente, o desempenho de suas
atividades produzem inúmeras informações, em documentos sobre os mais variados assuntos.
Manter os documentos da administração pública é uma tarefa onerosa, o arquivamento,
disponibilidade e localização dos documentos necessitam de mão de obra e recursos diversos.
Através da utilização de GED's (Gerenciamento Eletrônico de Documentos), esses
documentos poderiam ser arquivados e gerenciados em meio digital, seriam muito mais fácil
torná-los disponíveis para consulta por pessoas autorizadas em qualquer local, através de uma
Rede Computadores. Entretanto, é necessário assegurar requisitos de segurança como a
confiabilidade e a autenticidade aos documentos. As ferramentas de Assinaturas Digitais
poderiam ser utilizadas para prover os requisitos de segurança desejados e agregar valor
jurídico aos documentos eletrônicos.
Documentos são patrimônios para qualquer organização, que segundo Paes (apud
SANT’ANNA, 2001, p. 02) “... aquele que, produzido e/ou recebido por uma instituição
pública ou privada, no exercício de suas atividades, constitua elemento de prova ou de
informação” e organizados eletronicamente permitirá um melhor controle, contribuindo para
facilitar nas prestações de contas com os órgãos fiscalizadores do âmbito Federal, Estadual e
Municipal. O GED permite organizar eletronicamente toda uma gama de documentos,
gerenciar, automatizar e segurar a informação de forma útil e ágil.
12
Para garantir a integridade de documentos eletrônicos é necessária a utilização da Assinatura
Digital que segundo Volp (2001, p. 17) é “um mecanismo digital utilizado para fornecer
confiabilidade, tanto sobre a autenticidade de um determinado documento eletrônico como
sobre o remetente do mesmo”.
A garantia de autenticidade da Assinatura Digital é dada através do certificado digital, que
segundo Ford (1997, p. 193) “certificação é uma coleção de informações com as quais uma
Assinatura Digital é anexada por alguma entidade certificadora que reconhecida por alguma
comunidade de usuários de Certificados”.
A utilização das duas tecnologias de forma integrada proporciona um melhor controle da
informação, beneficiando os tramite de processos de negócios gerados pela instituição, pois o
GED permite a disponibilidade, a acessibilidade da informação, junto com Assinatura Digital
e certificação permitindo a verificação da autoria, confiabilidade, integridade dos documentos
e tempestividade da informação no decorrer das fases dos tramite dos processos.
O estudo é uma elaboração de um projeto de implantação de um GED integrado com uma
ferramenta de Assinatura Digital para implantação na prefeitura de Delmiro Gouveia no
Estado de Alagoas, para que se tenha um andamento mais rápido e ágil no desenvolvimento
dos processos para que possa diminuir a burocracia, conseqüentemente uma melhor gestão
para a população.
1.1 JUSTIFICATIVA
A idéia desse estudo surgiu por este ser um tema que esta sendo bastante discutido no cenário
atual da utilização das tecnologias (GED e Assinatura Digital) em organizações públicas e
privadas, pois a sociedade requer informações com a agilidade e essas informações em papeis
não condizem com a atual realidade. As organizações cada vez mais necessitam de uma
melhor gestão da informação e com os avanços das tecnologias GED e da Assinatura Digital
vem proporcionando a essas organizações para o melhor gerenciamento e confiabilidade da
Informação.
13
A Assinatura Digital está se tornando uma ferramenta indispensável nas transações
eletrônicas principalmente nas bancárias e no comercio eletrônico. O governo brasileiro vem
adotando medidas para sua regulamentação e sua utilização na gestão pública. Aonde vem
desburocratizando alguns serviços que antes só poderia ser oferecidos em locais físicos. A
Assinatura Digital vem quebrando barreiras físicas como também softwares GEDs que
auxiliam no armazenamento e o gerenciamento das informações na forma Digital.
E a atual forma de trabalho da maioria dos departamentos públicos com o grande volume de
informações importantes em meios físicos (documentos em papel), que podem ser
adulterados, falsificados, e etc.. Onde ficam acumulados em caixa ou ate mesmo espalhados
por chão ou birôs. E a grande demora de tramitação destes que atrasam todo o serviço da
administração pública.
1.2 PROBLEMA DA PESQUISA
 Há demora nos andamentos dos serviços da prefeitura?
 Grande volume de informações em meios físicos (papel)?
 A Assinatura Digital é confiável?
1.3 DEFINIÇÃO DAS HIPÓTESES

Falta um mecanismo que possa interligar as secretarias e repartições para que o gestor
(prefeito) possa dar o suporte necessário cada departamento;

As informações se encontram dispersas e inconfiáveis;

Equipamentos defasados;

Falta de funcionários capacitados;
14

A Assinatura Digital possui mecanismos necessários para garantir os requisitos de
segurança necessários à utilização pelo setor da administração pública.
1.4 OBJETIVO GERAL
Apontar uma possível solução com o uso de Assinatura Digital e de Gerenciamento
Eletrônico de Documentos para diminuir ou agilizar os processos burocráticos da
administração pública.
1.5 OBJETIVOS ESPECÍFICOS
 Estudo dos aspectos técnicos, práticos e legais da Assinatura Digital;
 Estudos das Tecnologias de GED;
 Levantamento de Softwares disponíveis para Gerenciamento Eletrônico de
Documentos;
 Pesquisa de ferramentas existentes para Assinaturas Digitais;
 Estudo da Infra-Estrutura de Chaves Públicas;
 Levantamentos das entidades Certificadoras;
 Pesquisa de entidades governamentais que utilizam soluções semelhantes nos
processos burocráticos da administração pública
1.6 METODOLOGIA
O projeto constitui de uma pesquisa exploratória, através de uma investigação bibliográfica
para propor soluções para a resolução dos problemas apresentados e que possam atingir os
objetivos foram realizados busca de conhecimento em livros da área da pesquisa, também
instituições governamentais, todo o material de conhecimento científico e dos meios de
comunicação em geral (especialmente internet). Esta etapa da pesquisa bibliográfica foi de
15
fundamental importância para a correlação da Assinatura Digital com o conceito de GED e
suas tecnologias.
Foram analisadas na prefeitura de Delmiro Gouveia, no estado de Alagoas, as principais
dificuldades dos funcionários, gestores e da população em relação à burocratização, através de
observações e entrevistas com as pessoas envolvidas nos processo da administração pública.
Foi feito um diagnostico de como é o gerenciamento da informação, os seus procedimentos e
maneiras adotados em relação aos documentos em papeis e seus impactos na burocratização
do setor público. Em seguida foi elaborada uma proposta de solução aos problemas
apontados.
1.7 ESTRUTURA DO TRABALHO
Esta monografia está organizada em cinco capítulos. O primeiro capítulo apresenta a
introdução, no segundo capítulo são discutidos os fundamentos e técnicas dos sistemas GED,
no terceiro capítulo são abordados o conceito de criptografia, seus métodos, como também
todas as técnicas e práticas da Assinatura Digital envolvendo a Certificação Digital e a parte
da validade jurídica do documento eletrônico. No quarto capítulo o projeto da solução com a
integração das duas tecnologias para organização do funcionamento do setor público
estudado. No quinto capítulo apresenta as considerações do trabalho e algumas sugestões para
aprimoramento deste trabalho. E por fim as referencias e os anexos.
16
2 GED
Gerenciamento Eletrônico de Documentos (GED) são sistemas que permitem a organização
de documentos de forma digital, facilitando o armazenamento, localização e recuperação das
informações contidas nos documentos, durante todo o processo do seu ciclo de vida. Sistema
de gerenciamento de documentos (SGD) são sistemas desenvolvidos para o gerenciamento de
todo o ciclo de vida de um documento, desde a sua geração, manutenção (alterações, inclusão
de anotações, dentre outras), guarda, pesquisa e recuperação, até seu descarte. (SILVA, 1995).
O GED é a somatória de todas as técnicas e produtos que visam gerenciar
informações de forma eletrônica, eliminando o acúmulo de documentos apostos em
papel e permitindo acesso, gerenciamento, localização e uma distribuição mais
rápida das informações. (TADANO, 2002, p.19)
O GED oferece qualidade e agilidade no trafego das informações aumentando a produtividade
das organizações de forma eficiente.
Os sistemas de Gerenciamento Eletrônico de Documentos não são simplesmente
sistemas de gerenciamento de arquivos. O GED é mais, pois ele implementa
categorização de documentos, tabelas de temporalidade, ações de disposição e
controla níveis de segurança.(CENADEM1, 2008)
GED permite a obtenção das informações de forma rápida, consistente e precisa, pois
possibilita maior flexibilidade nas informações contidas nos documentos diferentemente de
documentos em papel que são organizados em caixas dificultando a obtenção da informação,
ou seja, o GED proporciona a redução de espaço físico para armazenamento dos documentos.
Ele também permite acesso simultâneo a documentos.
Para o Centro Nacional da Gestão da Informação (CENADEM, 2008) há dados curiosos sobre
documentos em papel que gera os seguintes problemas:
 Um executivo gasta em média quatro semanas por ano procurando documentos.
1
Centro Nacional da Gestão da Informação - introduziu o GED no Brasil, como parceiro do Rheinner Group
(www.rheinner.com). Disponível em <www.cenadem.com.br>
17
 Faz-se, em média, 19 cópias de cada documento. Se gasta US$ 250,00 para recriar
cada documento perdido.
 A imagem de um documento digitalizada a 200 dpi (pontos por polegada) e
comprimida a 10:1 requer 50KB de armazenamento. Um gigabyte acomoda 20 mil
imagens.
 Quinhentas páginas de texto requerem 1 MB de armazenamento.
 Um arquivo de quatro gavetas, com 2.500 folhas de papel por gaveta, comporta em
média 10 mil imagens de documento.
 Um CD-R mede 120mm de diâmetro e pode armazenar até 650 MB de informação.
Isso corresponde a 13 mil páginas de documentos.
 Estudos revelam que os escritórios criam cerca de 1 bilhão de páginas de papel por
dia. Segundo uma pesquisa do IDC, EUA, esse total é constituído de 600 milhões de
páginas de relatórios de computador, 234 milhões de fotocópias e 24 milhões de
documentos diversos. Isso somente nos Estados Unidos.
Para gerenciar todos os dados nos documentos é necessário a utilização de várias tecnologias,
sendo consideradas as principais: Document Imaging, Document Management, Image Enable,
ERM / COLD, Workflow.
2.1 TECNOLOGIAS
2.1.1 Document Imaging
Solução usada para documentos que não sofrerão mais alterações. É utilizada para arquivar e
recuperar documentos onde é necessário a utilização de equipamentos específicos para a
captação, armazenamento, visualização. Segundo o (CENADEM 2, 2008) é o “Processo de
captação, armazenamento e busca de documentos, independentemente do formato original,
usando microformas e/ou imagem digital (digitalização, OCR, ICR etc)”. Document Imaging
consiste no processamento na imagem do documento para transformá-lo em texto. Esse
procedimento requer o conhecimento de todos os caracteres contido na imagem para que seja
2
Cenadem. Disponível em http://www.cenadem.com.br/ged04quadro.php
18
realmente transformado em texto. O procedimento de reconhecimento de documentos
impressos é chamado de OCR (Optical Character Recognition), já o processo de
reconhecimento de um documento manuscrito é chamado de ICR (Intelligent Character
Recognition).
2.1.2 Document Management
Tecnologia que permite o gerenciamento do ciclo de Vida do documento, desde a sua criação
até o seu respectivo descarte. Onde serão controladas as suas versões, data de criação, data
das alterações, autores, histórico do documento e dentre outros. O Document Management
proporciona uma melhor racionalização do trabalho, pois a informação é dinâmica e está
sempre em processo de alteração. (CENADEM, 2008).
Tecnologia mais utilizada na engenharia, nas normas técnicas e nos desenhos. A sua
utilização vem crescendo nos últimos anos na automação de escritórios, aonde vem se
tornando uma tecnologia viável para todas as organizações. (CENADEM, 2008).
2.1.3 Image Enable
Solução GED para anexar documentos a programas diversos que precisam de documentos
para completar a informação necessária, ou seja, disponibilizar a imagem de um documento
junto ao processo do qual ele faça parte. São utilizados especificações de produtos/serviços
em módulos de compra de sistemas integrados de gestão, notas fiscais em sistemas de
contabilidade, desenhos em sistemas de manutenção e planejamento, documentos de um
processo numa operação de workflow.
19
2.1.4 ERM / COLD
ERM (Enterprise Report Management) e COLD (Computer Output to Laser Disk ou
Computer On-Line Data) são ferramentas que gerenciam relatórios dos sistemas. O COLD
permite a recuperações dos dados por diversos índices onde os relatórios serão armazenados
em CD ou em softwares específicos. Aos poucos o COLD vem sendo substituídos por ERM.
O ERM gerencia relatórios que podem conter milhares de paginas que poderão ser tratadas
em um único documento, de maneira mais automatizada e de fácil consulta, permitindo que os
relatórios sejam preparados e indexados de forma a possuir aparência agradável de fácil
utilização. Exemplo de aplicação, Faturas de telefones, energia elétrica, água, estrato
bancários, relatórios financeiros e etc.(CENADEM, 2008)
2.1.5 Workflow
Tecnologia que permite automatizar os processos de negócios das organizações, garantindo o
acompanhamento constante das atividades e conseqüentemente um aumento da produtividade
com objetividade e segurança. Para (CENADEM, 2008) “é a tecnologia que permite gerenciar
de forma pró-ativa qualquer processo de negócio das empresas. Garante o acompanhamento
constante de todas as atividades e um aumento de produtividade com objetividade e
segurança”.
Através dos fluxos a ferramenta que permite análise, compreensão e monitoramento das
atividades de negócios, possibilitando à gerência documental, uma melhoria da produtividade
e eficiência dos processos envolvidos.
2.2 BENEFÍCIOS
O GED é uma solução viável para diminuir ou agilizar os processos burocráticos do setor
público, pois com o conjunto das tecnologias do GED o trabalho tornaria – se mais eficiente,
20
com um absoluto controle dos processos de negocio monitorando todas as atividades, maior
facilidade na localização dos documentos reduzindo o tempo com busca desses documentos
para os funcionários e melhorando a sua produtividade. Documentos acessíveis em qualquer
lugar, sem limites físicos através de uma aplicação WEB, permitindo que os gestores onde
estiver possa dar continuidade ao processo, ou seja, possibilitando melhoria no processo de
tomada de decisões. O GED pode oferecer também redução nos custos com papeis,
funcionários e aproveitamento de espaços físicos. GED é uma solução segura, pois garante a
integridades dos documentos, eliminando fraudes, extravios e falsificação de documentos.
Beneficiando assim a população, pois os serviços seriam mais ágeis, melhorando assim o
atendimento ao público. (CENADEM, 2008).
2.3 APLICATIVOS GEDs
A seguir serão apresentadas algumas das principais ferramentas GED livres e proprietárias
disponíveis no mercado, detalhando suas principais características e funcionalidades.
2.3.1 VDOC
A Virtual Document (VDOC) é uma ferramenta proprietária desenvolvida pela Path com
software livre para ambiente distribuído (WEB) conforme a figura 1 que mostra a tela de
acesso ao sistema no ambiente web. Segundo a (PATH3, 2008) “a ferramenta disponibiliza
uma tecnologia que permite gerenciar, de forma pró-ativa, o ciclo de vida dos documentos,
garantindo o acompanhamento constante de todas as atividades e um aumento de
produtividade com objetividade e segurança”. Através do Controle de Acesso implementado
no Virtual Document (VDOC), é possível a restrição do tipo de acesso, com permissões
diferenciadas para cada usuário num determinado documento, podendo definir usuários que
apenas visualizam, ou que visualizam e administram documentos. O VDOC permite a
3
PATH ITTS®. Disponível na internet: http://www.path.com.br. Acessado em 10 de outubro de 2008.
21
administração e controle dos documentos, direcionando categorias, tipos de documentos,
papéis e responsabilidades. Possui algumas funcionalidades:
 Tratamento de documentos em diversos formatos (doc, rtf, pdf, ps, tiff, jpeg, etc.);
 Ciclo de vida configurável por categoria de documento;
 Histórico de modificações: toda alteração num documento deve ser registrada (data,
hora, usuário e motivo);
 Catalogação / indexação;
 Pesquisa indexada e recuperação;
 Controle de versão.
Figura 1 – Ferramenta VDOC
Fonte – PATCH
2.3.2 Contexpress
Solução proprietária desenvolvida pela Murah Technologies utilizando as plataformas Java
JSE e JEE. O software foi desenvolvido fortemente em cima de padrões abertos e projetos
open-source. As várias tecnologias que dão suporte ao Java para aplicações Web sejam
através dos containers e frameworks, foram e são largamente exploradas em toda arquitetura e
concepção da solução. A figura 2 mostra a tela do sistema no ambiente web. A
disponibilidade do código fonte da aplicação e de suas customizações somado à
22
documentação técnica (através de Java Docs e documentos técnicos), facilita o entendimento
e o domínio das API’s e serviços do ConteXpress que são disponibilizados para serem
utilizadas em integrações com outras aplicações (MURAH TECHNOLOGIES4, 2008).
O software integra funcionalidades de Gerenciamento Eletrônico de Documentos (GED),
Workflow, Gestão de Conteúdo / Conhecimento Empresarial (ECM - Enterprise Content
Management) e Colaboração em uma única ferramenta. O software possui as seguintes
funcionalidades.
 O acesso à aplicação dar-se-á através de um Web Browser;
 A interface da aplicação é adequada ao perfil do usuário (definido pelo usuário que
tenha o perfil de administrador da aplicação);
 Os processos e passos do processo de Workflow são facilmente gerenciados e
manipulados pelos usuários autorizados;
 Definição de permissões de acesso e perfis de usuários (administrador e operador);
 busca textual e por índices;
 Descarte através de tabela de temporalidade;
 Manipulação, conversão, versionamento, visualização, anotação de dados e
documentos;
 Colaboração de trabalhos.
4
Murah Technologies: disponível na internet em: http://www.murah.com.br. Acessado em 29 de
setembro de 2008.
23
Figura 2 – Software Contexpress
Fonte: Murah Technologies
2.3.3 WebFile Document Manager
Aplicação proprietária desenvolvida pela Xythos Software, Inc.. É 100% web e utiliza um
servidor próprio desenvolvido pela mesma empresa Xythos WebFile Serve. O WebFile
Document Manager (WFDM) conforme figura 3 é uma aplicação de gestão simples de
documentos que fornece acesso a um conjunto completo de documentos e funções de gestão
de arquivos, através de uma única e simples interface web, o que representa a solução ideal
para organizações que precisam de compartilhar informação com segurança entre uma grande
variedade de utilizadores e sistemas. O Software possui algumas funcionalidades e benefícios
(XYTHOS SOFTWARE, 2008).
 Interface comum web para todos os clientes do sistema;
 Poderosas características de gestão documental;
 Suporte de Versionamento;
 Segurança ao nível empresarial:
24
•
Serviço de Integração de diretórios;
•
Autenticação de utilizador Plug-compatible;
•
Certificados Digitais, PKE, PIN cards e outros standards de autenticação;
•
VPN e SSL 128 bit ou superior;
•
Diretórios flexíveis e controle do nível de acesso a ficheiros para leitura,
escrita, eliminação e partilha;
 Suporte de múltiplas linguagens;
 Busca integrada;
 Suporte de email integrado;
 Busca e organização de ficheiros;
 Notificação automática de alterações de status;
 Integração de Portal;
 Suporte colaborativo externo;
Figura 3 – Aplicação GED WFDM
Fonte: Xythos Software
25
2.3.4 Maarch
Maarch é uma infra-estrutura de Gerenciamento Eletrônico de Documento open source
completa para conservação de grandes números de documentos digitais. O Maarch é
inovador, onde a organização poderá adaptá-lo as suas necessidades.
Esta plataforma permite a importação e exportação de documentos, garantindo a conservação
e utilidades de documentos digitais para uma organização. O software está disponível em
francês e inglês, mas possui suportes a mais línguas, inclusive o português.
O software possui suporte a vários sistemas gerenciadores de bancos de dados para que possa
se adequar as necessidades das organizações. Os bancos suportados são os seguintes MySQL,
PostgreSQL, o SQL Server, Oracle, SQL e bases de dados compatíveis. (MAARCH, 2008).
O projeto é desenvolvido em php 5, onde possui vários pacotes administrativos com varias
utilidades. O Maarch AutoImport que digitaliza a partir de uma interface original pequena a
produção de um scanner, é um utilitário para exportar o arquivo para um CD ou DVD.
O Maarch possui um conjunto de aplicativos empresariais o que o torna uma ferramenta com
recursos de Gerenciamento Eletrônico de Documentos open source profissional. As
aplicações são as seguintes: (M)
 Gestão de Correspondências,
 Gestão de Arquivos,
 Gestão de Arquivos de pessoal (RH);
 Workflow documental
 Gestão arquivística.
26
Figura 4 – Aplicação GED Maarch
Fonte: Maarch
2.3.5 e-Doc qualisoft
É um sistema proprietário de Assinatura Digital e Gerenciamento Eletrônico de Documentos
desenvolvido pela Qualisoft. Segundo a (Qualisoft, 2008) o e-Doc Qualisost foi concebido
com o objetivo de possibilitar a troca de informações entre sistemas comerciais, financeiros e
governamentais, de uma maneira segura, fortalecendo a privacidade e a produtividade das
comunicações eletrônicas através do uso da tecnologia de Assinatura Digital.
O software é web com suporte todos os requisitos de Assinatura Digital conforme a medida
provisória 2.200 de 24 de agosto de 2001. Possui suporte de certificado digital, carimbo de
tempo e controle de fluxo no processo de Assinatura Digital. O Software é capaz de garantir a
privacidade da informação, autoria, integridade dando validade jurídica a qualquer
documento.
27
O software possui as seguintes funcionalidades: (QUALISOFT, 2008)
Registro, armazenamento e indexação de documentos eletrônicos;
Possui mecanismo de tecnologia workflow. Toda a automação do processo;
Visualização e verificação de autenticidade de documentos eletrônicos;
Possui todos os requisitos de validade jurídicos de documentos eletrônicos;
Integração com sistemas legados;
Controle de acesso e autenticação de usuário;
Políticas de Aprovações, com controles de limites e poderes e Alçadas.
2.3.6 Visão Geral das Ferramentas
As ferramentas relatadas possuem todas ou quase todas as características e tecnologias que
representam o conceito de GEDs, algumas com mais funções do que outras, entre elas
podemos destacar o WebFile Document Manager da Xythos Software e o e-Doc qualisoft
da Qualisoft, que já possuem integração com a criptografia através da Assinatura Digital. As
duas aplicações executam no ambiente web, entretanto da e-doc qualisoft que não possuem
versões para teste ou demonstrações. O Web File Document Manager possui seu próprio
servidor web e foi analisado a versão de teste no ambiente Windows que demonstrou ser uma
ferramenta robusta e a aparte da Assinatura Digital muito eficiente onde aceita a maioria dos
tipos de certificados digitais. Em destaque o Maarch pelas diversas opções de softwares
oferecidos, todos open sources para as organizações. As várias opções podendo trabalhar
juntos, pois possuem as mesmas compatibilidades. As soluções têm características próprias
para adaptar-se a diversos tipos de organizações.
Alguns softwares não foram testados por não possuir opção de teste ou demonstração
inclusive foi entrado em contatos com as empresas onde não foi obtido resposta.
28
3 CRIPTOGRAFIA E ASSINATURA DIGITAL
Tendo resolvido o problema de gerenciamento e disponibilidade da informação, faz-se
necessário garantir os requisitos de segurança, para tanto, é necessário um estudo sobre as
ferramentas de segurança disponíveis. Este capítulo faz um estudo sobre as técnicas de
criptografia.
A palavra criptografia é originária do grego Kryptos, que significa secreto e graphen, que
significa escrever, a “escrita secreta”. A criptografia é uma ciência que possui uma vasta e
interessante história de milhares de anos, onde, com o passar dos anos sofreu algumas
evoluções necessárias para se garantir a segurança da informação. Para (VOLPI, 2001, p. 06)
“a criptografia é a ciência da transformação de dados de maneira a torná-los incompreensíveis
sem o conhecimento apropriado para sua tradução”. O processo de tornar os dados
incompreensíveis é chamado de cifrar, a ciência responsável pelo estudo denomina-se
criptografia. Já o processo inverso de se obter a informação na forma original é chamado de
decifrar.
3.1 HISTÓRIA DA CRIPTOGRAFIA
A criptografia com o passar dos tempos possuiu inúmeras contribuições por diversos grupos
como diplomatas, amantes, pessoas que guardam memórias e os militares. Segundo
(TANENBAUM, 2003, p.771) “os militares tiveram o papel mais importante e definiram as
bases para tecnologia”.
Os espartanos foram os primeiros a utilizar um sistema de criptografia militar, por
volta do século V a.C. Eles cifravam e ocultavam a mensagem usando um pedaço de
madeira, no formato de um bastão, que se chamava skytalh (escútala), e uma tira de
papel ou pano enrolado nesse bastão, onde a mensagem era escrita. A tira era
desenrolada e enviada ao destinatário, que tinha outro bastão idêntico ao de origem.
O receptor enrolava a tira no bastão que ele tinha e lia a mensagem. Se a tira ou a
29
escútala fosse de tamanho diferente, a mensagem havia sido alterada e aparecia torta
no local a que se destinava. (SILVA, 2004. p. 43)
Na segunda guerra mundial a criptografia utilizada pelas forças armadas pelos Estados Unidos
foi de fundamental importância para a vitória americana. Onde eles utilizaram códigos e a
linguagem navajo, língua utilizada pelos índios navajo. Historicamente existem vários
métodos de criptografia chamada de criptografia clássica. Os principais são:
3.1.1 Cifra de Cesar
Método atribuído ao imperador Julio Cesar, que consiste em substituir cada letra por letras
subseqüentes do alfabeto de acordo a chave utilizada. Por exemplo, ao utilizar a chave 4 para
codificar a mensagem ATAQUE, resultaria na seguinte mensagem cifrada: EZEUAI. Pois A
+ 4 = E; T + 4 = Z e assim sucessivamente. (VOLP, 2001)
Esse método é facilmente computado, mas, possui desvantagem de ser facilmente decifrado,
tomando com base o nosso alfabeto composto por 26 letras, o interceptor, através da tentativa
e erro, teria que testar no máximo 26 possibilidades.
3.1.2 Cifra Mono-Alfabetica Geral
Método consiste em fazer um mapeamento de cada símbolo em um outro símbolo gerado
aleatoriamente, por exemplo:
Alfabeto:
a b c d e f g h i ... q
r s
t u v x z
Chave:
R X F S U Z W J P ... K L M A Y D C N
A mensagem simples ATAQUE utilizando essa chave ficaria cifrado da seguinte forma
RARKYU. Esse método é mais seguro do que o método da cifra de Cesar, pois as chances de
quebra são milhares de vezes menores, por possuir inúmeras chaves possíveis dificultando a
30
vida dos criptoanalistas nas suas tentativas de decifrar a mensagem. Mas os criptoanalistas
utilizam propriedades das estatísticas do idioma para montar uma tabela de freqüência para
descobrir as pequenas palavras e assim descobrir toda a mensagem.(TANNEMBAUM, 2003)
3.1.3 Cifra de Transposição
Método consiste em reordenar as letras através de uma palavra chave montando uma tabela,
onde o objetivo dessa chave é numerar as colunas de acordo com a ordem alfabética e não
deve conter letra repetida. O texto a ser cifrado é colocado na horizontal, e será reorganizado
na vertical a partir da coluna cuja letra da palavra chave seja a menor (VOLP, 2001). Por
exemplo:
Texto a ser cifrado: As ações da Empresa Y estão em queda
Chave:
M U N D O
2
5
3
1
4
a
s
a
ç
õ
e
s
d
a e
m
p
r
e
s
a
y e
s
t
ã
o
e
m
q
u
e d
a
Cifrado: çaesmaaemaãuadreedõestqsspyoe
3.2 CRIPTOGRAFIA SIMETRICA E ASSIMETRICA
A base da criptografia moderna é a sua chave, onde é utilizada para cifrar e decifrar uma
mensagem. Como podemos observar na Figura 5 o processo de cifragem de uma mensagem.
31
Figura 5 - Processo de Criptografia
Existem dois tipos de esquemas de criptografia: a chave simétrica, ou chave secreta, e chave
assimétrica, ou chave pública.
3.2.1 Chave Simétrica ou Chave Secreta
A criptografia de chave simétrica é a técnica onde se utiliza a mesma chave tanto para cifrar
quanto para decifrar, onde essa chave deve ser compartilhada entre o emissor que cifrar e o
receptor que decifra como podemos observar na figura 6. Essa técnica possui alguns
problemas, pois requer total confiança entre o emissor e o receptor e que haja segurança na
comunicação para garantir que ninguém mais conheça a chave secreta, pois uma vez quem
conheça pode usá-la tanto para decifrar quanto para reproduzir a mensagem criptografada.
Figura 6 - Processo de Criptografia usando chaves simétricas
32
3.2.2 Chave Assimétrica ou Chave Pública
A chave pública é a técnica criada para facilitar o processo da troca de chaves e resolver o
problema deixado da chave simétrica, pois não há necessidade de compartilhamento da
mesma chave. Nesse método são utilizadas duas chaves, uma privada que deve manter em
sigilo e uma pública que deverá ser disponibilizada em repositório de chaves públicas para as
demais pessoas que queiram se comunicar com o proprietário da chave privada. As chaves
são geradas simultaneamente e matematicamente relacionadas entre si.
Na Criptografia assimétrica divide-se uma chave ou segredo em duas partes
relacionadas matematicamente (no fundo dois números primos gigantesco fatorados
entre si) Uma Chave é distribuída livremente para qualquer pessoa e a outra chave,
conhecida como privada, fica guardada a sete chaves porque fatorou os dois
números primos que só sabe ele que escolheu. (SILVA, 2004. p. 49)
Ainda segundo (SILVA, 2004. p. 49) esse processo é seguro devido o tempo para decifrar:
A segurança dessa equação esta no fator tempo, ou seja, com os recursos
computacionais que disponibilizamos hoje em dia, mesmo conectando milhares de
computadores ao redor do mundo, levaria centenas de ano para derivar o número e
descobrir os dois primos escolhidos.
A criptografia de chave pública possui duas maneiras para criptografar as informações. A
primeira maneira é cifrar o documento com a chave pública do receptor, este utiliza sua chave
privada para decifrar e obter o documento na forma original. A segunda maneira é cifrar o
documento com a chave privada do emissor e o receptor utilizar a chave pública do emissor
disponível em algum repositório de chave pública confiável para se obter o documento na
forma original. A primeira maneira garante à confidencialidade e a segunda a autenticidade.
 Confidencialidade - Confidencial segundo o (FERREIRA, 2001) significa “Dito ou
escrito em segredo”, então quando o emissor cifra as informações com a chave pública
do receptor, somente o receptor poderá decifrar as informações, pois só ele possui (em
teoria) a sua chave privada, garantindo o sigilo da informação. Neste procedimento, a
autenticidade não está garantida, pois qualquer pessoa que tenha a chave pública do
receptor pode usá-la em nome de outra pessoa e enviar o documento.
33
 Autenticidade - Segundo o (FERREIRA, 2001) significa “Que é do autor a quem se
atribui”, ou seja, a autenticidade é garantida quando se usa a chave privada para cifrar
uma mensagem onde é de responsabilidade e exclusividade do emissor a informação
dessa chave, necessitando somente ao receptor da informação usar a chave pública
disponível em repositórios de chaves públicas para decifrar a informação, garantindo a
autoria de quem enviou a informação, ou seja, somente eu tenho a chave privada
somente eu posso cifrar a informação. Neste procedimento, o sigilo da informação não
está garantido, pois qualquer pessoa que conheça a chave pública do emissor e a
mensagem cifrada poderá decifrar o documento. É Através dessa técnica de
criptografia por chaves públicas que é baseado o serviço da Assinatura Digital.
Figura 7 - Processo de Criptografia usando chaves assimétricas – Autenticidade
A base da Assinatura Digital é a utilização de chaves assimétricas, onde se garante a
autenticidade de um documento eletrônico utilizando uma chave privada para cifrar o
documento e a chave pública para decifrar. Existem vários algoritmos de chaves públicas que
atendem as necessidades da Assinatura Digital, cada um com suas particularidades e
utilização. Os mais utilizados são os seguintes:
34
3.2.2.1 RSA
Algoritmo inventado pelos pesquisadores do Massachussetts of Technology (MIT),
conhecido pelas as iniciais dos sobrenomes dos seus inventores, Ron Rivest, Adi Shamir e
Len Adleman.
Ele sobreviveu a todas as tentativas de rompimento por mais de um quarto de ano de
século e é considerado um algoritmo muito forte. Grande parte da segurança prática
se baseia nele. Sua principal desvantagem é exigir chaves de pelo menos 1.024 bits
para manter um bom nível de segurança (em comparação aos algoritmos de chave
simétrica) e isso o torna lento. (TANENBAUM, 2003. p. 801)
O algoritmo basicamente consiste em gerar o par de chaves da seguinte maneira:
1. Escolhe-se dois números primos extensos, p e q (geralmente, maior de 1.024 bits);
2. Calcula-se n = p . q e z = (p - 1) . (q - 1);
3. Escolhe um numero primo em relação a z que chamamos de d;
4. Encontre e de forma que e . d = 1 mod z;
Depois de calcularmos esses parâmetros, vamos para a criptografia.
Divide-se o texto simples em blocos, de modo que cada mensagem de texto simples P
esteja no intervalo de 0 < P < n. Isso pode ser feito agrupando-se o texto simples em
blocos de k bits, onde k é o maior inteiro para qual
Para criptografar a mensagem P, calcule C =
Para descriptografar C, calcule P =
;
(mod n);
(mod n).
A segurança desse algoritmo esta na dificuldade de se fatorar números extensos, pois na
matemática não existe um algoritmo capaz e em tempo hábil realizar a fatoração na forma
inversa. Mas segundo (VOLPI, 2001, p. 24) “as chances de quebra do algoritmo RSA estão
diretamente ligadas a capacidade de processamento da maquina destinada a este fim, uma vez
que bastaria ativar-se de um processo de combinação a fim de descobrir os módulos
utilizados”.
35
3.2.2.2 DSA
O Digital Signature Algorithm (DSA) foi apresentado pelo Nacional Institute of Standards
(NIST) como uma proposta para o padrão de Assinatura Digital, mas o algoritmo sofreu
inúmeras críticas, que veio a ser modificado e tornado um algoritmo exclusivamente para
Assinatura Digital, de acordo (VOLPI, 2001, p. 26) tornou-se “um método de Assinatura
Digital padrão aceito pelo governo americano”
O algoritmo é baseado na dificuldade do calculo de logaritmos discreto com os seguintes
parâmetros: (SILVA, 2004)
p = numero primo, 2.511 < p > 2.512,
q = um primo divisor de p -1, 2.159 < q < 2.160,
g = h (p – 1) / q mod p, onde h é qualquer inteiro positivo menor que p, tal que g > 1,
x = um inteiro positivo menor que q,
y = g*x mod p,
m = a mensagem a ser assinada,
k = um inteiro aleatório menor que q,
H = uma Função de hash unidirecional.
Os inteiros p, q e g podem ser públicos e comuns a um grupo de usuários. A chave privada é
x e a pública y. Os valores x e k precisam ser mantidos secretos, mas k pode ser trocado a
cada assinatura. (SILVA, 2004, p. 62).
3.2.2.3 Funções de Hash
Os algoritmos hash são mecanismos que possibilitaram a utilização dos algoritmos de chaves
assimétricas para Assinatura Digital. Os algoritmos de criptografia assimétrica são lentos por
natureza, a utilização de funções hash visam agilizar o processo de aplicação da criptografia
assimétrica, pois a função de criptografia será aplicada ao resumo (hash) de um documento e
não ao documento. Para (TANNENBAUM, 2003, p. 807) o funcionamento da autenticação de
36
um documento em uma função de hash se dar da seguinte forma “extrai um trecho qualquer
do texto simples e a partir dele calcula um string de bits de tamanho fixo. Essa função de hash
representa por MD, geralmente é chamada sumario de mensagens (menssage digest)”.
O resumo da mensagem é um valor pequeno, fixo, para todos os documentos de qualquer
tamanho, garantindo a agilidade da Assinatura Digital, e a integridade da informação pois
qualquer mudança no conteúdo da mensagem, até mesmo um bit, produzirá um resumo
completamente diferente. Para (VOLPI, 2001, p.22) “os valores que são gerados são tão
únicos e tão difíceis de serem duplicados, que nem mesmo alguém com um conjunto de
supercomputadores e alguns séculos para processar conseguiria encontrar dois conteúdos
diferentes que produzissem o mesmo valor hash”.
Existem algumas funções hash onde as que mais se destacam e mais seguras são a SHA-1 e
Message Digest (MD2, MD4, MD5)
 SHA-1
O Secure Hash Algorithm foi desenvolvido pela NSA (Nacional Security Agency) e pelo
NIST (National Institute os Standards) no FIPS PUB 180-1.
A função desse algoritmo é gerar um resumo de uma mensagem de tamanho fixo,
que seja único e inviolável, ou seja, dada uma mensagem, qualquer, o algoritmo gera
uma assinatura para essa mensagem que irá servir para validar se a original foi
alterada de alguma forma. (SILVA, 2004. p. 65)
Esse Algoritmo aceita mensagens inferiores a
onde irá produzir uma message digest de
160 bits.
 MESSAGE – DIGEST (MD5)
Os MDs são propostas de funções de hash, desenvolvida por Ron Rivest do Massachtts
Instititute of Technology (MIT). Onde o mais utilizado é o MD5 que o quinto da série, é
definido na RFCs 1321 para ser utilizado no padrão DSS (Digital Signature Standard).
37
Ele opera embaralhando os bits de uma forma tão complicada que todos os bits de
saída são afetados por todos os bits de entrada. Resumindo, a função começa
aumentando o tamanho da mensagem ate chegar a 448 bits (modulo 512). Em
seguida, o tamanho original é anexado como um inteiro de 64 bits, a fim de gerar
uma entrada total cujo tamanho seja um múltiplo de 512 bits. A última etapa antes
de os caçulos serem efetuados é inicializar um buffer de 128 bits com um valor fixo.
(TANNENBAUM, 2003. p. 808)
O MD5 é derivado do MD4 e já vem sendo utilizado a mais de uma década e vem se
mostrando uma solução resistente, robusta e viável para Assinatura Digital.
3.4 ASSINATURAS DIGITAIS
A Assinatura Digital tem os mesmos princípios de uma assinatura manuscrita que segundo o
(FERREIRA, 1975) assinar significa “firmar com o seu nome ou sinal carta, documento, obra
e etc.”. A assinatura tem que possuir algumas características básicas:
 A assinatura não pode ser falsificada;
 A assinatura não é reutilizável;
 A assinatura não pode ser repudiada;
 A assinatura em teoria é autêntica;
 E um documento assinado é inalterável.
Mas existem possibilidades de uma assinatura manuscrita ser forjada causando inúmeros
problemas, onde assinaturas podem ser fotocopiadas, digitalizadas, documentos podem ser
alterados e inúmeras outras possibilidades de uma assinatura ser forjada.
A Assinatura Digital pode ser analisada analogamente como uma assinatura
manuscrita, porque uma entidade pode assinar uma informação e qualquer entidade
pode ler a assinatura e verificar se é verdadeira. A grande vantagem da Assinatura
Digital é que ela é virtualmente impossível de ser forjada, em virtudes de técnicas
matemáticas e da criptografia assimétrica. (SILVA, 2004. p. 53).
38
Segundo (TANENBAUM, 2003) um sistema de Assinatura Digital deve possuir as seguintes
características:
1. O receptor possa verificar a identidade alegada pelo transmissor.
2. Posteriormente, o transmissor não possa repudiar o conteúdo da mensagem.
3. O receptor não tenha a possibilidade de forjar ele mesmo a mensagem.
Como citado a Assinatura Digital é baseada na criptografia de chaves públicas. O processo da
Assinatura Digital básico se dar da seguinte maneira e conforme a figura 8:
Uma pessoa A cifra uma mensagem ou texto com o auxilio de uma função hash, mecanismo
utilizado para acelerar o processo da Assinatura Digital e se obtêm um resumo criptográfico
(valor pequeno) único para cada documento chamado de menssage digest. Esse resultado é
então criptografado com a chave privada da pessoa A (só pode ser conhecida pela pessoa
emitente), temos então a Assinatura Digital. A mensagem é enviada para o receptor que
chamaremos de pessoa B. Uma vez enviada a mensagem por algum tipo de transmissão, a
pessoa B irá aplicar a chave pública da pessoa A. Obterá o resumo (menssage digest), que
deverá ser comparado, caso estiver correto à Assinatura Digital será validada provando a
integridade dos dados e a autenticidade do remetente.
Caso ao contrário o resultando da
função hash vai produzir um resultando diferente do enviado, comprovando que houve uma
interceptação de um intruso que pode ter modificado o conteúdo do documento. Observando
que a Assinatura Digital não tem o objetivo de proteger o conteúdo e sim garantir a
autenticidade de quem enviou a mensagem.
39
Figura 8 - Processo da Assinatura Digital com a Função Hash
Como podemos observar, existem algumas diferenças da Assinatura Digital para a assinatura
manuscrita. Na manuscrita segue um padrão, onde a veracidade é feita por comparação a uma
assinatura verdadeira emitida por um documento oficial (identidade). A Assinatura Digital é
diferente para cada documento assinado, pois vai depender do hash do documento, que é
único, caso o documento tiver uma pequena alteração como a inserção de um espaço em
branco, resulta em um message digest completamente diferente. Portanto a Assinatura Digital
é diferente da manual tanto na sua forma de assinar com também na forma de se verificar a
veracidade da assinatura. Na Assinatura Digital é necessária a utilização de computadores,
pois a assinatura é representada uma seqüência de bits (0 e 1) e não há como verificar
humanamente a assinatura.
A Assinatura Digital possui as mesmas propriedades da assinatura manual:
 A assinatura não pode ser falsificada - A chave privada deve ser sigilosa, só deve
ser conhecida pelo emissor;
 A assinatura não é reutilizável - a assinatura é gerada de acordo com o resumo
criptográfico (função hash) que é diferente de documento para documento.;
40
 A assinatura não pode ser repudiada - Assinatura Digital pode ser conhecida por
qualquer pessoa receptora, possuindo a chave pública do emissor não precisa de
auxilio do mesmo para verificar a veracidade da sua assinatura, caso a assinatura seja
validada ela não pode ser negada pelo proprietário da chave privada.
 A assinatura em teoria é autêntica - devido só o emissor possuir a chave privada, e
só ele pode assinar um documento eletrônico com essa chave.
 E um documento assinado é inalterável - um documento eletrônico assinado não
poderá sofrer qualquer tipo de alteração, pois se ocorrer alguma alteração o resumo
criptográfico (função hash) do documento possuirá outro valor, tornando assim um
documento invalido;
A Assinatura Digital possui técnicas que garante a autenticidade e a integridade de
documentos na forma digital, mas necessita garantir a identidade do proprietário do par de
chaves, e o controle das chaves públicas, pois qualquer pessoa poderia utilizar uma chave
pública aleatória e dizer que era de sua posse. Então para a resolução dessas questões houve a
necessidade de se emitir certificados digitais para comprovar a verdadeira identidade da
pessoa ou entidade.
3.4.1 Certificado Digital
Certificado Digital associa uma pessoa ou entidade ao par de chaves assimétricas a um
documento assinado eletronicamente, com a finalidade de garantir a validade jurídica aos
documentos digitais. É equivalente ao documento de identidade emitido por alguma entidade
responsável pela a emissão (como exemplo Secretária de Segurança Pública – SSP, Exercito,
e Etc).
Certificação é a junção entre uma entidade ou atributo com uma chave pública. A
chave pública e a entidade ou atributo e algumas informações únicas são colocadas
dentro de um documento digital, chamado certificado. Uma terceira entidade,
confiável, assina digitalmente o certificado, garantindo o seu conteúdo. Essa terceira
entidade é chamada de autoridade certificadora. (SILVA, 2004. p 139)
41
Segundo (FORD, 1997, p.193) “o certificado digital costuma figurar como sendo um arquivo
de computador que identifica que é o usuário. Alguns aplicativos de software utilizam esse
arquivo para comprovar aquela identidade para outra pessoa ou computador”. Em um
documento digital assinado por uma entidade apresenta os seguintes dados:
 Nome da pessoa ou entidade associado a chave pública;
 Nome e Assinatura da entidade que emitiu o certificado;
 Período de validade do certificado;
 Chaves públicas (assinatura) de acordo com o algoritmo utilizado;
 Numero de serie.
Figura 9 – Certificado Digital no Computador
Todo Certificado Digital possui um ciclo de vida desde ao seu requerimento até expiração da
sua validade. Ficando de responsabilidade a Autoridade Certificadora o acompanhamento das
fases dos certificados emitidos.
42
 Requerimento - é a solicitação do certificado digital feita por uma entidade ou pessoa
a uma Autoridade Certificadora;
 Validação do requerimento - Autoridade Certificadora tem a função garantir que a
solicitação seja válida e que os dados do solicitante estejam corretos;
 Emissão do certificado – Capacidade da Autoridade Certificadora de emitir uma
assinatura eletrônica no certificado digital do requerente;
 Aceitação do certificado pelo requerente - O requerente deve confirmar a validade
do certificado emitido;
 Uso do certificado - A utilização do certificado digital é de inteira responsabilidade
da entidade ou pessoa que solicitou.
 Suspensão do certificado digital: capacidade da Autoridade Certificadora de tornar
um certificado digital temporariamente invalido, por algum motivo especificado pela
Autoridade.
 Revogação do certificado – Processo que torna o certificado digital invalido, mesmo
que não tenha completado o período de tempo definido, devido a perda de confiança
entre as entidades, ocasionada por algum motivos como modificações nos atributos do
usuários, dados da empresa, mudanças do endereço de e-mail e etc. e até o
comprometimento da chave privada do titular ou quando ocorrer algum fato que torne
o certificado digital pouco seguro para uso. Um certificado suspenso ou revogado
deve ser publicado na lista de certificados revogados (LCR) e estar sempre disponível
para consulta;
 Término da validade e renovação do certificado: Todo certificado possui um
período de validade preestabelecido pela Autoridade Certificadora, que varia de um a
três anos, dependendo da importância e finalidade da chave.
Portanto a validação de um certificado depende também da confiança do usuário do
certificado com a Autoridade Certificadora que o emitiu. Pois para (SILVA, 2004, p.139) o
processo da validação de um certificado é:
Validação é o processo que verifica a autenticidade do certificado para que o
conteúdo deste possa ter credibilidade. Esse processo verifica a assinatura da
autoridade certificadora usando a própria chave pública da AC e checando o
certificado na lista de certificados revogados. A LCR contém uma lista de
certificados que foram revogados pela AC, que não são mais válidos. O processo de
43
validação também verifica o período de validade contido dentro do próprio
certificado.
Com a evolução da tecnologia as Autoridades Certificadoras oferecem novos serviços de
certificação digital com dispositivos físicos que incrementam ainda mais proteção as chaves
dos usuários, além de emitir o certificado digital em arquivo digital.
Um desses dispositivos são os Smartscards ou cartões inteligentes, ver figura 10, eles se
assemelham ao formato de um cartão de crédito. Possui um chip de computador com
memória, onde é capaz de armazenar e processar informações. Esse pode conter funções de
criptografia, inclusive a chave criptográfica. Ele funciona da mesma maneira de cartão de
banco onde para a realização uma operação é necessária a senha, no Smartcards é necessário
termos como senha o PIN (Personal Identification Number).
Figura 10 – Smartcard
Fonte: Receita Federal
Outra forma são os tokens, ver figura 11, que são utilizados como soluções para certificado
digital com valor jurídico. Eles se conectam a porta USB dos computadores onde são
armazenados certificados digitais simples da ICP Brasil para garantir confiabilidade nas
transações.
Figura 11 – Token USB – e-CPF simples
Fonte:Certisign
44
O certificado digital tem a necessidade de garantir a tempestividade, através de sincronismo
de data e hora (time Stamp) que segundo a (ARISP 5, 2008)
É o serviço time stamp de certificação da hora e do dia em que foi assinado
um documento eletrônico, com a identidade do autor.Na prática, cria um
sincronismo de data e hora entre um computador remoto e um computador
local, e tem como função garantir ao destinatário que um arquivo foi assinado
em um dia e hora válidos. Para a prática regular da operacionalidade do time
stamp, o computador deverá estar conectado à Internet para que este
sincronismo se processe adequadamente. A geração, distribuição e
conservação da Hora Legal brasileira é atribuição institucional do
Observatório Nacional. A geração de selos ou carimbos de tempo é de
responsabilidade de Autoridades de Carimbo de Tempo. A regulamentação
de carimbo de tempo está em estudo na ICP-Brasil.
3.5 INFRA-ESTRUTURA DE CHAVES PÚBLICAS – (ICP)
A Infra-Estrutura de chaves públicas é o conjunto de todas as tecnologias proporcionadas pela
criptografia de chave pública necessária para o funcionamento vital das organizações nos
tempos atuais.
Segundo (SILVA, 2004) “a infra-estrutura de chaves públicas é uma arquitetura de
confiabilidade que as empresas podem especificar para suas redes corporativas e políticas de
segurança. Ela possibilita transações via internet tão segura quanto negócios entre pessoas”. A
Infra-Estrutura de chaves públicas permite um ambiente seguro para as realizações dos
negócios por meio digital com o mesmo valor jurídico dos negócios realizados fora da rede,
no mundo real. Possuindo mecanismos que garantem a segurança dos negócios, com as
mesmas exigências do mundo real, como assinatura manual ou selos emitidos por cartórios
são substituído por sofisticados métodos de criptografia que garantem a mesma confiabilidade
dos documentos.
5
ARISP - Associação dos Registradores Imobiliários
http://www.arisp.com.br. Acessado em 16 de outubro de 2008.
de
São
Paulo.
Disponível
em
45
Na ICP são oferecidos serviços de emissão de documentos digitais equivalentes aos do mundo
real, como documentos de identificação, carteira profissional, alvarás comerciais, passaportes
e etc. Infelizmente nas transações eletrônicos há a existência de roubos e fraudes e também
não é diferente do mundo real, onde não podemos questionar a autoridade onde se emite o
documento mas sim questionar a autenticidade de um documento emitido por ela. Então a
Infra-Estrutura permite um ambiente seguro, com leis e métodos capazes de impedir fraudes e
golpes protegendo a realizações dos negócios na rede.
A ICP oferece vários serviços de segurança que garantem confiabilidade aos usuários e
entidades que utilizam. As características dos serviços são os seguintes:
 Autenticidade;
 Privacidade;
 Integridade
 Não - repudio;
 Autorização;
 Auditoria;
3.6 INFRA-ESTRUTURA DE CHAVES PÚBLICAS NO BRASIL
No Brasil, a Infra Estrutura de Chaves Públicas foi instituída por meio da Medida Provisória
2.2006 de 24 de agosto de 2001, onde foi formado por um Comitê Gestor, uma autoridade
Certificadora Raiz, Autoridades Certificadoras e Autoridades Registradoras. Medida que
define uma política de normas e procedimentos para garantir a integridade, autenticidade e a
validade jurídicas dos documentos eletrônicos. Fica responsável também por homologar,
auditar e fiscalizar os prestadores de serviço de certificação digital. As principais empresas
credenciadas a emitir certificados digitais é o Serasa, Serpro, Caixa Econômica Federal,
Presidência da República, CertSign e outras conforme Figura 12.
6
Medida provisória 2.200. Disponível na Internet:
https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm. Acessado em27 de agosto de 2008.
46
Figura 12 - Arquitetura da ICP
Fonte: ARISP
3.7 AUTORIDADE CERTIFICADORA
A entidade certificadora tem a responsabilidade de emitir o certificado digital e é o principal
componente de uma Infra-Estrutura de Chaves Públicas. Segundo (CERTISIGN7, 2008)
“Autoridade certificadora é uma organização, costumeiramente comercial, responsável pela
emissão dos chamados certificados digitais”.
Cabe a autoridade certificadora construir um certificado para o usuário que terá um
nome único, chamado Nome Distinto (Distinguished Name – DN), em todo o
sistema e conterá uma serie informações pertinentes a ele, entre ela sua chave
pública que tem por objetivo provar sua identidade. O certificado contém uma
Assinatura Digital AC, garantindo um relacionamento de confiança, ou seja,
qualquer entidade que confiar na legitimidade da AC irá acreditar no conteúdo dos
certificados emitidos por ela e, conseqüentemente, na identidade dos usuários que
receberam os certificados.(SILVA, 2004. p. 187)
Para que as Autoridades Certificadoras possa emitir os certificados são necessários deveres e
obrigações que são descritos em um documento chamado de Declaração de Práticas de
Certificação – DCP. No Brasil o Comitê Gestor da ICP – Brasil segundo CertSign é um órgão
governamental tem por função adotar as medidas necessárias e coordenar a implantação e o
funcionamento da ICP-Brasil, além de estabelecer a política, os critérios e as normas para
licenciamento de Autoridades Certificadoras - AC, Autoridades de Registro - AR e demais
7
CertiSign Certificadora Digital Ltda: Disponível na internet : http://www.certisign.com.br/. Acessado em 28 de
agosto de 2008
47
prestadores de serviços de suporte em todos os níveis da cadeia de certificação. E também as
seguintes obrigações8:

Estabelecer a política de certificação e as regras operacionais da Autoridade
Certificadora Raiz - AC Raiz; homologar, auditar e fiscalizar a AC Raiz e os seus
prestadores de serviço,

Estabelecer diretrizes e normas para a formulação de políticas de certificados e regras
operacionais das AC e das AR e definir níveis da cadeia de certificação.

Aprovar políticas de certificados e regras operacionais, licenciar e autorizar o
funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o
correspondente certificado, identificar e avaliar as políticas de ICP externas, quando
for o caso, certificar sua compatibilidade com a ICP-Brasil, negociar e aprovar,
observados os tratados, acordos e atos internacionais, acordos de certificação bilateral,
de certificação cruzada, regras de interoperabilidade e outras formas de cooperação
internacional e ainda, atualizar, ajustar e revisar os procedimentos e as práticas
estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização
tecnológica do sistema e a sua conformidade com as políticas de segurança.
3.8 ASPECTOS LEGAIS NO BRASIL
O governo brasileiro vem adotando medidas para dar um melhor suporte a Infra-Estrutura de
chaves públicas, tudo para garantir a segurança da informação na forma digital. O governo
vem estabelecendo uma legislação que com o passar dos tempos vem sofrendo rápidas
mudanças. Hoje a legislação da Infra-Estrutura de chaves Públicas conta com uma medida
provisória, vários decretos, resoluções, instruções normativas e manuais de conduta.
O decreto 3.505 de 13 de junho de 2000 foi o pontapé para a regulamentação de documentos
digitais, onde institui a Política de Segurança da Informação nos órgãos e entidades da
Administração Pública Federal. Aonde a garantia ao direito individual e coletivo das pessoas,
à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos
8
Certificadora Digital Ltda: Disponível na internet : https://www.certisign.com.br/companhia/icp-brasil/
. Acessado em 28 de agosto de 2008
48
termos previstos na Constituição, a capacitação dos segmentos das tecnologias sensíveis, a
capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do
Estado, e a conscientização dos órgãos e das entidades da Administração Pública Federal
sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
O conceito de segurança da informação foi definido no decreto como proteção dos sistemas
de informação contra a negação de serviço a usuários autorizados, assim como contra a
intrusão, e a modificação desautorizada de dados ou informações, armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da
documentação e do material, das áreas e instalações das comunicações e computacional,
assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu
desenvolvimento.
O objetivo principal da política de segurança segundo o decreto é dotar os órgãos e as
entidades da Administração Pública Federal de instrumentos jurídicos, normativos e
organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a
confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados
e das informações tratadas, classificadas e sensíveis;
Em 28 de junho de 2001, o presidente da República, Fernando Henrique Cardoso, adotou a
medida provisória 2.200 -1 que em 24 de agosto do mesmo ano tornou-se consolidada com
força de lei. Onde Institui a Infra-Estrutura de Chaves Públicas Brasileiras - ICP-Brasil, para
garantir a autenticidade, a integridade e a validade jurídica de documentos em forma
eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados
digitais, bem como a realização de transações eletrônicas seguras. Foi uma medida
fundamental para a sociedade brasileira e para a Administração Pública.
A medida definiu que a ICP será composta por uma autoridade gestora de políticas e pela
cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz (AC Raiz),
pelas Autoridades Certificadoras (AC) e pelas Autoridades de Registro (AR). Definiu também
que a função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICPBrasil, vinculado à Casa Civil da Presidência da República e composto por cinco
representantes da sociedade civil, integrantes de setores interessados, designados pelo
49
Presidente da República, e um representante de cada um dos seguintes órgãos, indicados por
seus titulares:
 Ministério da Justiça;
 Ministério da Fazenda;
 Ministério do Desenvolvimento, Indústria e Comércio Exterior;
 Ministério do Planejamento, Orçamento e Gestão;
 Ministério da Ciência e Tecnologia;
 Casa Civil da Presidência da República; e
 Gabinete de Segurança Institucional da Presidência da República.
A medida provisória de 2.200-2 definiu também que:
 O Comitê Gestor poderá delegar atribuições à AC Raiz.
 É vedado à AC Raiz emitir certificados para o usuário final.
 Que o par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave
privada de assinatura será de seu exclusivo controle, uso e conhecimento.
Tendo em vista o disposto na Medida Provisória Nº 2.200-1, de 28 de junho de 2001, o
Presidente da República em 18 de julho de 2001 através do decreto n.º 3.872 que o Comitê
Gestor da Infra-Estrutura de Chaves Públicas Brasileiras - CG ICP-Brasil, exerce a função de
Autoridade Gestora de Políticas (AGP) da referida Infra-Estrutura. Que o CG ICP-Brasil,
vinculado à Casa Civil da Presidência da República, é composto por onze membros, sendo
quatro representantes da sociedade civil, integrantes de setores interessados e sete
representantes dos seguintes órgãos, todos designados pelo Presidente da República:

Casa Civil da Presidência da República, que o coordenará;

Gabinete de Segurança Institucional da Presidência da República;

Ministério da Justiça;

Ministério da Fazenda;

Ministério do Desenvolvimento, Indústria e Comércio Exterior;

Ministério do Planejamento, Orçamento e Gestão; e

Ministério da Ciência e Tecnologia.
50
Foram adotados mais três decretos o Decreto nº 3.996, de 31 de Outubro de 2001 que
dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração
Pública Federal. O Decreto 4.414, de 07 de Outubro de 2002 que altera o Decreto no
3.996, de 31 de Outubro de 2001, que dispõe sobre a prestação de serviços de
certificação digital no âmbito da Administração Pública Federal e o Decreto nº 4.689,
de 07 de Maio de 2003 que aprova a Estrutura Regimental e o Quadro Demonstrativo
dos Cargos em Comissão do Instituto Nacional de Tecnologia da Informação - ITI, e dá
outras providências.
A partir da medida provisória 2.200- 2 foram e vem sendo apresentadas algumas
decisões pelo governo Federal, pois a medida vem se aperfeiçoando. Essas decisões são
chamadas de Resoluções que segundo (SILVA, 2004, p. 288) “é uma determinação, de
caráter pessoal e transitório, amanada de um ministro ou secretário”. Serão listadas
apenas as resoluções principais que se encontram vigor no período que foi escrita esta
monografia.
Resolução n° 3 de 25 de Setembro de 2001. Designa Comissão para auditar a
Autoridade Certificadora Raiz - AC Raiz e seus prestadores de serviços.
Resolução n° 5, de 22 de Novembro de 2001. Aprova o Relatório de auditoria da AC
Raiz apresentado pela Comissão designada pela Resolução N.º 3 homologa a
Autoridade Certificadora Raiz - AC Raiz e o Serviço Federal de Processamento de
Dados - SERPRO como seu prestador de serviço, bem como autorizar à Autoridade
Certificadora Raiz - AC Raiz a gerar seu par de chaves assimétricas e a emitir o seu
certificado.
Resolução n° 15, de 10 de Junho de 2002. Estabelece as diretrizes para sincronização
de freqüência e de tempo na Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.
Resolução n° 20, de 08 de Maio de 2002. Determina à AC Raiz o desenvolvimento de
uma plataforma aberta (hardware e software) voltada à execução das funções
criptográficas da AC Raiz da ICP-Brasil, garantida a auditagem plena desta plataforma
e dos sistemas embarcados presentes nos hardwares.
51
Resolução n° 29, de 29 de Janeiro de 2004. Designa uma Comissão para realizar
auditoria pré-operacional da AC Raiz.
Resolução n° 36, de 21 de Outubro de 2004. Aprova o Regulamento para Homologação
de Sistemas e Equipamentos de Certificação Digital no âmbito da ICP-Brasil.
Resolução n° 41, de 18 de Abril de 2006. Aprova a versão 2.0 dos Requisitos Mínimos
para as POLÍTICAS DE CERTIFICADO na ICP-Brasil.
Resolução n° 44, de 18 de Abril de 2006. Aprova a versão 2.0 dos Critérios e
Procedimentos para Realização de AUDITORIAS NAS ENTIDADES nas Entidades da
ICP-Brasil.
Resolução n° 48, de 03 de Dezembro de 2007. Altera os Requisitos Mínimos para as
Declarações de Práticas de Certificação das Autoridades Certificadoras da ICPBrasil.
Resolução n° 49, de 03 de Junho de 2008. Aprova a versão 3.0 da Declaração de
Práticas de Certificação da Autoridade Certificadora Raiz da ICP-Brasil.
3.9 ORGÃOS QUE UTILIZAM SOLUÇÕES DE ASSINATURA DIGITAL
Alguns serviços governamentais ou não vem sendo implantados para suportar transações
eletrônicas utilizando certificação digital, visando proporcionar aos cidadãos benefícios como
agilidade nas transações, redução da burocracia, redução de custos, satisfação do usuário,
entre outros. Alguns órgãos que utilizam são:
52
3.9.1 Governo Federal
Nos documentos publicados no diário Oficial da União é utilizada a certificação digital para a
tramitação destes documentos oficiais pelo Presidente da República e Ministros. O governo
utiliza um sistema que controla todo o fluxo de Documentos, da criação publicação e
arquivamento de forma automática. (ARISP, 2008)
Figura 13 – Presidente Lula recebendo seu certificado digital
Fonte: ICPBrasil
3.9.2 Estado De Pernambuco
O estado de Pernambuco foi o primeiro estado a utilizar a Certificação Digital. A secretaria
que ofereceu os primeiros serviços disponibilizados na internet foi a Secretaria da Fazenda
que proporcionou inúmeros benefícios aos cidadãos do Estado. (ARISP, 2008).
Entrega de diversos documentos em uma única remessa;
Redução drástica no volume de erros de cálculo involuntários;
Apuração automática dos impostos;
Minimização de substituições de documentos e redução de custos de escrituração
e armazenamento de livros fiscais obrigatórios.
53
3.9.3 Impressa Oficial Do Estado De São Paulo
A impressa Oficial do Estado de São Paulo implantou a certificação digital de ponta a ponta
em seu sistema que automatiza o ciclo de publicações na Internet, permitindo a eliminação
das ligações interurbanas e dos constantes congestionamentos telefônicos em horários de pico,
reduzindo custos e agilidade nas publicações da matéria com sigilo, privacidade e a autoria,
tudo através da internet. (ARISP, 2008)
54
4 INTREGAÇÃO
DAS
TECNOLOGIAS
(PROJETO
DE
IMPLANTAÇÃO)
Como foram apresentadas soluções de Gerenciamento Eletrônicos de Documentos para
disponibilidade dos documentos, a criptografia para oferecer a segurança desses documentos
através de Assinatura Digital, e o Brasil tem uma legislação própria para garantir a
legitimidade de documentos. O projeto de integração das tecnologias torna-se viável.
A implantação da solução integrada de Gerenciamento de Documentos Eletrônicos e de
Assinatura Digital visa garantir a confiabilidade do gerenciamento dos documentos recebidos
e/ou produzidos, além de disponibilizar informação rápida e completa da situação dos
processos da Administração Pública. Esta solução foi proposta devido ao problema da demora
nos procedimentos burocráticos (controles, assinaturas) e também no controle de recebimento
ou envio de documentos em processos administrativos, que atualmente é feito através de
registro em livro de protocolo, ou em sistema que não atendem todos os departamentos que
envolvem toda a maquina pública.
4.1 DESCRIÇÃO DO AMBIENTE
Este projeto será inicialmente implantado nos setor de compras para dar suporte às secretarias
e departamentos envolvidos nos trâmites de processos de compras, onde as principais são as
que estão ilustradas na Figura 14. Quando um departamento de alguma secretaria requisita
uma compra ao departamento de compras através de documentos e requisições, este setor
por sua vez faz o levantamentos de preços e encaminha ao prefeito para a autorização, como é
na administração pública se os preços forem superiores aos permitidos na lei de licitação
requer o encaminhamento para departamento de licitação. Caso o prefeito tenha autorizado a
compras ou se a licitação tiver sido realizada, o processo com os documentos são
encaminhados a secretaria de finanças onde serão analisados e enviados ao departamento de
contabilidade, onde é feito o empenho da compra e então é encaminhado ao setor de compras
55
para a realização de fato da compra. Por fim é aberto o processo de pagamento enviado para a
secretaria de finanças para o devido pagamento e por fim o seu arquivamento.
Gabinete do
Prefeito
Adminstração
Compras
Licitação
Demais
Secretarias
Finanças
Contabilidade
Tesoraria
Demais
departamentos
Almoxarifado
Figura 14 – Organização Hierárquica da Prefeitura Municipal de Delmiro Gouveia
Como vimos atualmente não existe um processo gerenciável de tratamento das informações
nos tramites dos documentos. A administração não possui mecanismos para controlar o
cumprimento de prazos solicitados ou do efetivo retorno para o solicitante, principalmente
nos setores de compras, que requer agilidade nos seus procedimentos para que não seja
afetado nenhum departamento devido o atraso de um processo de compras.
Considerando a importância do gerenciamento dos documentos nos processos gerados ou
recebidos, propõem-se a implantação de uma ferramenta de gerenciamento de documentos em
conjunto com um aplicativo de Assinatura Digital para dar legalidade aos documentos
eletrônicos e com isso agilize os processos administrativos internos, gerencie o andamento,
gerencie o cumprimento dos prazos estabelecidos, reduza o volume de papel utilizado,
mantenha o acervo de documentos, compartilhamento de informações com os departamentos.
A finalidade desta proposta é mostrar aos gestores e funcionários uma melhor forma de gestão
dos documentos, agilizar a tramitação dos documentos dos processos dos seus respectivos
departamentos na forma eletrônica, em um sistema evitando o desperdício de tempo na
localização dos mesmos, onde existe a possibilidade de cessar a circulação das informações
56
em sua forma física (papel) pelas secretarias ou departamentos, fazendo com que estas
circulem em sua versão eletrônica. Com isso diminuiria uma redução de tempo na tramitação
dos documentos, na gerência, aumentado a produtividade e a eficiência.
4.2 PROPOSTAS DA SOLUÇÃO
A proposta da solução é unir acessibilidade para documentos eletrônicos proporcionado do
Gerenciamento Eletrônicos de Documentos em conjunto com a eficaz probatória da
Assinatura Digital, conforme Figura Abaixo.
GEDs
Certificação Digital
Disponibilidade
Integridade
Gerenciamento
Autoria
Captação
Não Repudio
Preservação
Tempestividade
Armazenamento
Figura 15- Ged e Certificação Digital
Para que a proposta seja implantada são necessários as seguintes ferramentas e tecnologias
 Utilização do Sistema de Gerenciamento de Documentos web (LetterBox);
 Utilização do Aplicativo de Assinatura Digital (Assinador Digital Registral de
Documentos Eletrônicos desenvolvido pela a ARISP);
 Utilização de Servidor Web Apache em ambiente Linux em um servidor com um link
dedicado;
57
 Utilização do Banco de Dados Relacional MYSQL ou PostGree;
 Utilização de Cliente baseado em Browser;
 Utilização de Scanner para a captação de imagem ou documento em meios físicos
(papel);
A solução consiste na utilização de um aplicativo desktop para a Assinatura Digital e de um
sistema Gerenciamento de Documentos Eletrônicos em uma aplicação Web. Conforme a
figura abaixo:
Figura 16 – Proposta técnica dos processos Envolvendo GED e Assinatura Digital
A figura 16 mostra um gestor certificado utilizado a aplicação web de Gerenciamento
Eletrônico de Documentos baixando o documento e assinando - o eletronicamente localmente
através de uma aplicação desktop e armazenando e disponibilizando esse documento de volta
na aplicação GED para que assim possa dar continuidade aos devidos procedimentos desse
documento.
58
4.3 INFRA-ESTRUTURA
A prefeitura atualmente possui uma rede de computadores em cabos estruturados bastando
apenas para que a proposta da solução seja possível a implantação de um servidor com link
dedicado para rodar a aplicação web do Gerenciamento Eletrônico de Documentos para dar
suporte todas as secretárias e departamentos que não ficam no prédio sede da prefeitura e para
dar mobilidade aos gestores trabalhar de onde estiver, para que assim possa das continuidades
os procedimentos necessários.
4.4 SISTEMAS GED E SISTEMA DE ASSINATURA DIGITAL
A ferramenta escolhida para o gerenciamento eletrônico de documentos (GEDs) foi o
LetterBox, aplicativo que faz parte do conjunto de softwares da Maarch, disponível sobre
licença GPL e possui várias características das tecnologias GEDs (MAARCH, 2008). O
LetterBox possui a funcionalidade de gerência dos documentos e a facilidade tramitação dos
documentos entre os departamentos da organização conseqüentemente a disponibilidade a
informação.
LeeterBox
é uma ferramenta poderosa e totalmente flexível por ser multi-plataforma
(disponível para Windows XP, vista, Server, Linux, Unix, Mac) e por ser open source onde
pode ser totalmente personalizado
e adaptado de acordo com a necessidade de cada
organização.
Dentre os mais variados recursos disponibilizados por essa ferramenta podemos destacar: a
administração e gerenciamento de usuários (permissões, responsabilidades, grupos), grupos,
serviços, pastas eletrônicas, tipos de documentos. O LeeterBox também permite agilidade nos
tramites
dos
documentos
entre
seus
colaboradores,
facilidades
na
gerência
da
correspondências, busca avançada onde se faz uma triagem e se encontra facilmente todos os
documentos e o monitoramento e acompanhamento no desenvolvimentos das atividades da
solução.
59
Podemos destacar como recursos também a interface ergonômica especialmente estudada,
facilidade na administração, recursos estatísticos e a interface web.
O Leeterbox funciona com o servidor de aplicação apache. Possui suporte ao aos seguintes
banco de dados MySQL, Postgre, SQL Server, Oracle, dando uma maior flexibilidade as
organizações para que escolha seu banco de preferência, com opções proprietárias (SQL
Server e Oracle) e livres (MySQL e Postgre). Escrito em php5, Acessível em todos os
navegadores (browser) Mozilla, internet Explorer, Safari, Google Cromer e etc.(MAARCH,
2008).
O LetterBox possui um conector chamado de ScanSnap para scanners de marca Fujitsu9 para
a captação de documentos em papeis no próprio sistema.
Figura 17 – LetterBox
9
Fijutsu. Disponível em http://www.fujitsu.com/br/: Acessado em 27 de outubro de 2008
60
Na Figura 17 podemos observar que temos a opção de Menu com todas as opções do sistema,
de grupos, usuários, departamentos e etc. Temos na Tela o acessos aos dados do meu perfil
como também fazer uma busca detalhada de documentos. À direita temos as principias
ocorrência (Status) em relação aos documentos, e mais abaixo um gráfico com uma estatística
anual com a média geral do usuário.
O Processo de instalação do Maarch Letterbox é da seguinte maneira:
 Instalação do servidor Apache 2.2 ou posterior;
 Instalar o modulo php5;
 Instalar o SGBD (Mysql);
Depois de instalar as ferramentas, instalar o aplicativo em si.
 Criar uma pasta no servidor e extrair os arquivos Maarch Letterbox para essa pasta,
nele contém todos os arquivos do PHP e configurações do Maarch Letterbox;
 Criar uma pasta para ser o servidor de Documentos chamando de DocServer que é a
pasta onde todos os arquivos registrados no Maarch Letterbox serão armazenados.
 Criar a base de dados importando o arquivo structure.sql quem vem na pasta do
Maarch Letterbox em seu gerenciador de seu banco de dados no caso o MySQL .
 Em seguida importar para seu gerenciador os dados de demonstração ou criar seus
próprios dados.
 Depois basta Configurar o arquivo config. XML e preencher os parâmetros para
acessar a base de dados (databaseserver, DatabaseName, databaseuser e
databasepassword).
 Por fim só acessar o sistema, conforme Figura 18.
61
Figura 18 – Tela de Login do Letterbox
O Aplicativo escolhido para a Assinatura Digital foi o Assinador Digital Registral de
Documentos Eletrônicos desenvolvido pela ARISP (Associação dos Registradores
Imobiliários de São Paulo).
O Assinador Digital Registral de Documentos Eletrônicos é um software de
Assinatura de Digital e verificação de assinatura no padrão PKCS#7 freeware. Foi
desenvolvido baseado na legislação brasileira de certificação digital através da
legislação da Infra Estrutura de Chaves Públicas Brasileira (ICP-Brasil). Utilizado a
partir de certificados digitais do padrão X.509 fornecidos pela Autoridade
Certificadora Raíz Brasileira e de suas Autoridades Certificadoras Subordinadas,
este software permitirá que você ou sua empresa dê validade jurídica aos seus
arquivos eletrônicos, ou seja, quando um determinado arquivo é assinado,
automaticamente o assinador adiciona as informações pessoais contidas no seu
certificado digital no arquivo assinado. Isso gerará um Número Hash que o
identificará com único e o impossibilitará de qualquer alteração sem que sua
assinatura seja removida do arquivo. (ARISP, 2008).
O Aplicativo para Assinatura Digital e de visualização possui as seguintes características:
(ARISP, 2008)
 Assinatura de arquivos em lote;
 Co-Assinatura de arquivos em lote;
 Verificação de assinatura em lote;
 Chancelamento eletrônico de assinatura para pessoas físicas e jurídicas;
 Auto-Execução de arquivos assinados digitalmente;
62
 Verificação de assinatura e co-assinatura digital;
 Verificação de integridade, validade e revogação;
 Exibição de arquivos assinados digitalmente (PDF, IMAGENS, WORD)
 Instalação de certificados raízes;
 Instalação da lista de certificados revogados;
 Repositório de chaves privadas, públicas, raízes e confiáveis;
 Exibição de certificados digitais e seus dados avançados;
 Exibição da cadeia de certificação digital;
 Exibição da legislação de certificação digital brasileira;
 Exibição da Infra-Estrutura de Chaves Públicas Brasileiras;
 Sincronismo de data e hora com os servidores da ARISP;
 Envio de arquivos assinados por e-mail;
 Filtro de arquivos ao assinar;
 Atualizador automático de versão;
 Integração com outros assinadores do padrão PKCS#7.
Figura 19 – Assinador e Visualizador de Documentos Eletrônico
Na figura 19 podemos observar o painel de diretório onde é selecionada a pasta de origem dos
arquivos e a direito um painel de arquivos que são exibidos todos os arquivos contidos na
pasta selecionada anteriormente, e abaixo os arquivos selecionados para a Assinatura Digital.
63
O processo de instalação do Assinador Digital Registral de Documentos Eletrônicos é bem
simples, bastando executar o aplicativo de instalação e seguir os passos do assistente de
instalação.
4.5 TREINAMENTO
O treinamento com os funcionários e gestores públicos será feito em etapas.
 1º Etapa - mostrar todos os aspectos gerais e legais das tecnologias através de uma
palestra ou seminário para funcionários e gestores.
 2º Etapa - Ensinar realmente as tecnologias para vencer os paradigmas em todos os
aspectos jurídicos, tecnológicos e culturais dos funcionários e gestores. Pra que se
possa ter confiança pra a implantação dos sistemas.
 3º Etapa – Aplicar realmente todos os conhecimentos obtidos nas duas primeiras fases
e instruir cada funcionário sobre suas responsabilidades, para que o funcionário torne
capaz de se utilizar os sistemas. É fase de implantação onde naturalmente terá
rejeições principalmente na administração pública. E quando já estiver implantado
sempre fazer capacitações para que os funcionários estejam conectados com os novos
surgimentos de tecnologias.
4.6 HARDWARES NESCESSARIOS
A proposta é tornar uma solução viável para a organização pública, com isso a estratégia é a
utilização dos equipamentos existentes e levantar em estudos as necessidades de upgrades nos
equipamentos e computadores. O primeiro passo seria a compra de um servidor executar a
aplicação GED com a seguinte configuração:
64
Tabela 1 – Configuração do servidor
Processador
Memória
Armazenamento
Quad-Core Intel
8GB de memória
2 unidade de 600GB
Xeon
RAM
A compra de 13 Notebooks para gestores, assessores e secretários com a seguinte
Configuração:
Tabela 2 – Configuração das Estações de Trabalhos
Computadores
Processador
Memória
Armazenamento
Nootebook
Core 2 duo
2GB de memória
HD de 160GB
RAM
Será necessário também o uso de Scanners profissionais, distribuído para departamentos que
mais necessitam como, por exemplo, a contabilidade, compras, finanças e administração.
Basicamente com as seguintes configurações:
Tabela 3 – Configuração Scanners
Tecnologia
Resolução Ótica
Imagem
Digitalização
Sensor de Imagem
600dpi
Colorido
Frente e Verso
dual
Será necessário a utilização de um roteador para que possa distribui o link dedicado para a
aplicação GED. E Também a compra de Modem USB 3G ou placa PCMCIA para dar
mobilidade aos gestores.
4.7 CUSTOS DE IMPLANTAÇÃO DO PROJETO
Os custos de implantação do projeto envolvem a aquisição de equipamentos como descritos
anteriormente, como também a contratação de alguns serviços que envolvem a implantação e
65
configuração do ambiente de trabalho, como também a aquisição das certificações digitais pra
funcionários e gestores e serviços de telecomunicações para dar suporte a toda infra-estrutura
necessária do projeto que atendam todas as suas necessidades. Os custos de implantação serão
listados na Tabela 4 a seguir:
Tabela 4 – Custos da Implantação do Projeto
Especificação
Unid.
Qtd
Valor
Valor
unitário
Equipamentos de Informática
Servidores Core Intel Xeon , 8gb ram, 2hd
Unid.
1
7.000,00
7.000,00
Notebooks
Unid
13
2.300,00
29.990,00
Scanners Profissionais
Unid
4
3.000,00
12.000,00
Treinamentos
Serviço
1
20.000,00
20.000,00
Instalação do sistema, configuração e teste
Serviço
1
15.000,00
15.000,00
Serviço
13
120,00
1.560,00
Serviço
1
4.000,00
4.000,00
Roteador
Unid
1
1.000,00
1.000,00
Modem USB 3G ou placa PCMCIA
Unid
13
240,00
3.120,00
Unid
30
400,00
12.000,00
Unid.
2
0,00
0,00
Serviços
do ambiente de trabalho.
Mensalidade de Banda Larga 3G 1Mbps
Infra-Estrutura de Rede
Link Dedicado 2MB
Certificação Digital
Certificado Digital (validade 3 anos) com
cartão inteligente com leitor ou token
Software
Software GED e a Aplicação de Assinatura
Digital
TOTAL DO PROJETO
105.670,00
66
5 CONCLUSÃO
O estudo apresenta um diagnóstico do gerenciamento dos tramites de documentos da
Prefeitura Municipal de Delmiro Gouveia – Al, onde através dele pode-se ter uma visão das
principais dificuldades do setor público com relação aos documentos em papeis, o fluxo de
informação nesses documentos sem nenhuma segurança, e seus impactos no atual
funcionamento, onde atrasam todos os seus serviços devido à grande demora nos processos
burocráticos. E propor essa solução para dinamizar ou diminuir esses procedimentos
burocráticos com a utilização de um aplicativo de Assinatura Digital e Gerenciamento de
Eletrônico de documentos.
Os Aplicativos de Assinatura Digital e GED não são apenas um conjunto de tecnologias, são
ferramentas que quebram paradigmas, que visualizam o progresso da sociedade e inovações
que beneficiam todas as pessoas que necessitam de serviços públicos com a comodidade e
facilidade proporcionada pela Assinatura Digital e também aos gestores e funcionários da
administração pública que podem trabalhar de onde estiver quebrando barreiras físicas. Então
a utilização das ferramentas não faz sentido pela a tecnologia utilizada, e sim pelas
modificações positivas para a sociedade, para as organizações, por todo o suporte legal para o
combate a fraudes e a desmaterialização de documentos, pois é evidente com a realidade da
sociedade atual documentos em papel estejam trafegando informações importantes e não
atendem a agilidade que o mundo atual exige.
Documentos Eletrônicos é uma realidade, devido a Medida Provisória 2.200 onde implanta
um órgão fiscalizador para garantir a integridade e autenticidade de documentos eletrônicos,
onde muitas organizações continuam a consumir absurdamente papel afetando o fluxo de
trabalho dos funcionários.
Com a utilização dos dois aplicativos trabalhando de forma integrada torna-se uma solução
inteligente tanto para o funcionamento mais rápido dos serviços públicos, como na
diminuição da burocracia, no tratamento da informação, na localização, espaço físico e como
principal a eliminação de fraudes em documentos na administração pública, com a utilização
da Assinatura Digital que garante a integridade dos documentos como também a autenticidade
67
da assinatura. É uma solução que tanto resolve o problema do trafego de informações em
meios físicos através do GED, como também a questão da segurança e confiabilidade dos
documentos garantidos através da certificação digital.
Com esse projeto a Prefeitura Municipal de Delmiro Gouveia, além de outras entidades
públicas, podem utilizar a presente pesquisa como uma solução encontrada para resolução dos
principais problemas encontrados no setor público que é o grande trafego de informações em
papeis e seus principais impactos na gestão pública, cabendo a outras entidades adaptar o
presente projeto a sua realidade.
Como sugestão para trabalhos futuros é Implementar no próprio Sistema de Gerenciamento
Eletrônico de Documentos a Assinatura Digital, como o sistema é de distribuição é livre, open
source, pode ser modificado para atender as reais necessidades, portanto a sugestão de incluir
no Maarch LetterBox a Assinatura Digital e a visualização de documentos assinados
eletronicamente, como tentativa de tornar mais eficiente e ágil a utilização das suas
tecnologias.
68
REFERÊNCIAS
ARISP - Associação dos Registradores Imobiliários de São Paulo. Disponível em
http://www.arisp.com.br. Acessado em 16 de outubro de 2008.
BRASIL. Medida provisória n.º 2.200. Disponível na Internet:
https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm. Acessado em 27 de
agosto de 2008
CENTRO NACIONAL DA GESTÃO DA INFORMAÇÃO - introduziu o GED no Brasil,
como parceiro do Rheinner Group (www.rheinner.com). Disponível em
<www.cenadem.com.br>
CERTIFICADORA DIGITAL LTDA: Disponível na internet :
https://www.certisign.com.br/companhia/icp-brasil/ . Acessado em 28 de agosto de 2008
CERTIFICADORA DIGITAL LTDA: Disponível na internet :
https://www.certisign.com.br/companhia/icp-brasil/ . Acessado em 28 de agosto de 2008
FERREIRA, Aurélio Buarque de Holanda. Novo dicionário da língua portuguesa. Nova
Fronteira, 1975.
FORD, Warwick; BAUM, Michael S. Secure electronic commerce. Prentice Hall PTR, 1997.
FIJUTSU. Disponível em http://www.fujitsu.com/br/: Acessado em 27 de outubro de 2008
ICPBRASIL, Disponivel na internet: < https://www.icpbrasil.gov.br/ > em 10 setembro o de
2008>.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO – ITI Disponivel na
internet: < http://www.iti.gov.br/> em 10 setembro o de 2008>.
PATH ITTS. Disponível na internet: < http://www.path.com.br. em 10 de outubro de 2008>.
MAARCH. Disponível na internet:< http://www.maarch.org. Acessado em 01 de outubro de
2008>.
69
MURAH TECHNOLOGIES: disponível na internet em: http://www.murah.com.br. Acessado
em 29 de setembro de 2008
SANT’ANNA, Marcelo Leone. Os Desafios da Preservação de Documentos Públicos
Digitais. Belo Horizonte, 2001.Disponível em:
<http://www.ip.pbh.gov.br/ANO3_N2_PDF/ip0302santanna.pdf> Acessado em 27 de
setembro de 2008.
SILVA, Lino Sarlo. Public Key Infrastrute.PKI. Novatec Editora Ltda, 2004.
SILVA, E.C. Sistemas de gerenciamento de documentos para documentação e
informação. Dissertação, mestrado em Ciência da Computação pela UFMG, 1995.
TANENBAUM, Andrew S. Redes de Computadores. Elsevier Ltda, 2003
TADANO, Katiucia Yumi. GED: Assinatura Digital e Validade Jurídica de
Documentos Eletrônicos. Cuiabál, 2002. Disponível na internet em:
<http://www.arquivar.com.br/espaco_profissional/sala_leitura/teses-dissertacoes-emonografias/GED_Assinatura_Digital.pdf>. Acessado em 27 de setembro de 2008
.
VOLPI, Marlom Macerlo. Assinatura Digital Aspectos Técnicos Práticos e Legais.
Axcel Books do Brasil Editora Ltda, 2001.
XYTHOS SOFTWARE. Disponível na internet:< http://www.xythos.com/. Acessado
em 01 de outubro de 2008>.
70
ANEXOS
Presidência da República
Casa Civil
Subchefia para Assuntos Jurídicos
MEDIDA PROVISÓRIA No 2.200-2, DE 24 DE AGOSTO DE 2001.
Institui a Infra-Estrutura de Chaves
Públicas
transforma
Brasileira
o
-
Instituto
ICP-Brasil,
Nacional
de
Tecnologia da Informação em autarquia, e
dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art.
62 da Constituição, adota a seguinte Medida Provisória, com força de lei:
Art. 1o Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil,
para garantir a autenticidade, a integridade e a validade jurídica de documentos em
forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem
certificados digitais, bem como a realização de transações eletrônicas seguras.
Art. 2o A ICP-Brasil, cuja organização será definida em regulamento, será
composta por uma autoridade gestora de políticas e pela cadeia de autoridades
certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas
Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR.
Art. 3o A função de autoridade gestora de políticas será exercida pelo Comitê
Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto
por cinco representantes da sociedade civil, integrantes de setores interessados,
designados pelo Presidente da República, e um representante de cada um dos seguintes
órgãos, indicados por seus titulares:
I - Ministério da Justiça;
II - Ministério da Fazenda;
III - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
71
IV - Ministério do Planejamento, Orçamento e Gestão;
V - Ministério da Ciência e Tecnologia;
VI - Casa Civil da Presidência da República; e
VII - Gabinete de Segurança Institucional da Presidência da República.
§ 1o A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo
representante da Casa Civil da Presidência da República.
§ 2o Os representantes da sociedade civil serão designados para períodos de dois
anos, permitida a recondução.
§ 3o A participação no Comitê Gestor da ICP-Brasil é de relevante interesse
público e não será remunerada.
§ 4o O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do
regulamento.
Art. 4o Compete ao Comitê Gestor da ICP-Brasil:
I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da
ICP-Brasil;
II - estabelecer a política, os critérios e as normas técnicas para o credenciamento
das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos
os níveis da cadeia de certificação;
III - estabelecer a política de certificação e as regras operacionais da AC Raiz;
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;
V - estabelecer diretrizes e normas técnicas para a formulação de políticas de
certificados e regras operacionais das AC e das AR e definir níveis da cadeia de
certificação;
VI - aprovar políticas de certificados, práticas de certificação e regras operacionais,
credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC
Raiz a emitir o correspondente certificado;
VII - identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos
de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras
formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade
com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e
VIII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a
ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do
sistema e a sua conformidade com as políticas de segurança.
72
Parágrafo único. O Comitê Gestor poderá delegar atribuições à AC Raiz.
Art. 5o À AC Raiz, primeira autoridade da cadeia de certificação, executora das
Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê
Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os
certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de
certificados emitidos, revogados e vencidos, e executar atividades de fiscalização e
auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em
conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da
ICP-Brasil, e exercer outras atribuições que lhe forem cometidas pela autoridade gestora
de políticas.
Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final.
Art. 6o Às AC, entidades credenciadas a emitir certificados digitais vinculando
pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir,
revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas
de certificados revogados e outras informações pertinentes e manter registro de suas
operações.
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio
titular e sua chave privada de assinatura será de seu exclusivo controle, uso e
conhecimento.
Art. 7o Às AR, entidades operacionalmente vinculadas a determinada AC,
compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de
certificados às AC e manter registros de suas operações.
Art. 8o Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICPBrasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as
pessoas jurídicas de direito privado.
Art. 9o É vedado a qualquer AC certificar nível diverso do imediatamente
subseqüente ao seu, exceto nos casos de acordos de certificação lateral ou cruzada,
previamente aprovados pelo Comitê Gestor da ICP-Brasil.
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins
legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1o As declarações constantes dos documentos em forma eletrônica produzidos
com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-
73
se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de
janeiro de 1916 - Código Civil.
§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de
comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os
que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes
como válido ou aceito pela pessoa a quem for oposto o documento.
Art. 11. A utilização de documento eletrônico para fins tributários atenderá, ainda,
ao disposto no art. 100 da Lei no 5.172, de 25 de outubro de 1966 - Código Tributário
Nacional.
Art. 12. Fica transformado em autarquia federal, vinculada ao Ministério da
Ciência e Tecnologia, o Instituto Nacional de Tecnologia da Informação - ITI, com sede
e foro no Distrito Federal.
Art. 13. O ITI é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves
Públicas Brasileira.
Art. 14. No exercício de suas atribuições, o ITI desempenhará atividade de
fiscalização, podendo ainda aplicar sanções e penalidades, na forma da lei.
Art. 15. Integrarão a estrutura básica do ITI uma Presidência, uma Diretoria de
Tecnologia da Informação, uma Diretoria de Infra-Estrutura de Chaves Públicas e uma
Procuradoria-Geral.
Parágrafo único. A Diretoria de Tecnologia da Informação poderá ser estabelecida
na cidade de Campinas, no Estado de São Paulo.
Art. 16. Para a consecução dos seus objetivos, o ITI poderá, na forma da lei,
contratar serviços de terceiros.
§ 1o O Diretor-Presidente do ITI poderá requisitar, para ter exercício exclusivo na
Diretoria de Infra-Estrutura de Chaves Públicas, por período não superior a um ano,
servidores, civis ou militares, e empregados de órgãos e entidades integrantes da
Administração Pública Federal direta ou indireta, quaisquer que sejam as funções a
serem exercidas.
§ 2o Aos requisitados nos termos deste artigo serão assegurados todos os direitos e
vantagens a que façam jus no órgão ou na entidade de origem, considerando-se o
período de requisição para todos os efeitos da vida funcional, como efetivo exercício no
cargo, posto, graduação ou emprego que ocupe no órgão ou na entidade de origem.
Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI:
74
I - os acervos técnico e patrimonial, as obrigações e os direitos do Instituto
Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia;
II - remanejar, transpor, transferir, ou utilizar, as dotações orçamentárias aprovadas
na Lei Orçamentária de 2001, consignadas ao Ministério da Ciência e Tecnologia,
referentes às atribuições do órgão ora transformado, mantida a mesma classificação
orçamentária, expressa por categoria de programação em seu menor nível, observado o
disposto no § 2o do art. 3o da Lei no 9.995, de 25 de julho de 2000, assim como o
respectivo detalhamento por esfera orçamentária, grupos de despesa, fontes de recursos,
modalidades de aplicação e identificadores de uso.
Art. 18. Enquanto não for implantada a sua Procuradoria Geral, o ITI será
representado em juízo pela Advocacia Geral da União.
Art. 19. Ficam convalidados os atos praticados com base na Medida Provisória no
2.200-1, de 27 de julho de 2001.
Art. 20. Esta Medida Provisória entra em vigor na data de sua publicação.
Brasília, 24 de agosto de 2001; 180o da Independência e 113o da República.
FERNANDO HENRIQUE CARDOSO
José Gregori
Martus Tavares
Ronaldo Mota Sardenberg
Pedro Parente