UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
ASSINATURA DIGITAL
Sergio Santos Vieira
Orientador
Prof. Jorge Tadeu Vieira Lourenço
Rio de Janeiro
2012
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
Assinatura Digital de documentos
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em Logística Empresarial
Por: Sergio Santos Vieira.
3
DEDICATÓRIAS
dedico esse trabalho à minha filha
Nathalia Vieira que tanto amo e à
minha amiga Adriana Cristina que me
incentivaram a concluir este trabalho.
4
AGRADECIMENTOS
ofereço este trabalho à minha filha
querida que sempre me deu força para
que eu voltasse a estudar, apoiando-me
nas horas de fraqueza.
5
RESUMO
Do exposto, e em face do constante desenvolvimento
tecnológico, parece-nos inevitável a afirmação de que a assinatura digital,
tendo embora sido já reconhecida legalmente em Portugal – pelo Dec. Lei
nº 290-D/99 de 2 de Agosto – bem como noutros países – caso dos
Estados Unidos, Alemanha e Itália, e no Brasil com a medida Provisória
2.200-2, de 24 de Agosto de 2001. Conclui-se, portanto, que a assinatura
digital, se revela um meio eficaz para fazer face às exigências de
celeridade, integridade, confidencialidade e autenticidade nas transações
de informação realizadas eletronicamente.A aplicação dos estudos está
demonstrada num caso prático de escolha de uma solução para atender
as
necessidades
do
grupo
Gás
Natural
Fenosa,
onde
foram
diagnosticadas resistências e tratadas de forma que a tecnologia a ser
adotada possa oferecer os benefícios almejados, sendo assim, as
dificuldades que as empresas do grupo têm com a emissão e guarda
(arquivo) dos contratos elaborados por ela, proporcionarão uma maior
facilidade e agilidade nos processos contratuais.
6
METODOLOGIA
Os métodos que levaram ao problema proposto foi leitura de livros,
estudos de casos, revistas, pesquisa bibliográfica em sites, foi feito um
levantamento de dados quantificáveis nas áreas do grupo Gas Natural Fenosa,
que também utilizam a ferramenta tradicional de envio de documentos para
assinatura de empresas e órgãos públicos. O presente estudo contou passo a
passo o processo de implantação da Assinatura digital, mostrando seus
demonstrativos com suas vantagens. Que beneficiarão todos os envolvidos.
7
SUMÁRIO
INTRODUÇÃO
08
CAPÍTULO I História
12
CAPÍTULO II Assinaturas Digitais
13
CAPÍTULO III – Modalidades de Assinatura Digital
23
CONCLUSÃO
35
REFERÊNCIAS BIBLIOGRÁFICAS
38
ÍNDICE
40
8
INTRODUÇÃO
Nos tempos atuais, pode se observar a grande expansão da
tecnologia da informação, e com essa expansão, surge também à necessidade
de se ter uma maior segurança da informação. A perda dessas informações
pode significar grandes prejuízos para toda uma organização, empresa ou
usuário, podendo ser desde a cópia não autorizada de informações pessoais
chegando até ao roubo de segredos empresariais, governamentais e militares.
A segurança da informação então, se preocupa em oferecer garantias de
proteção como privacidade, confidencialidade, autenticidade, integridade e
disponibilidade, para que eliminem os riscos, as ameaças e as vulnerabilidades
que as pessoas, empresas e instituições estão sujeitas a todo o momento,
preservando responsabilidades e protegendo reputações.
A informação vem sendo registrada em papel há séculos. Estudos
da AIIM (Association for Information and Image Management International),
indicam que 95% das informações, nos Estados Unidos, estavam em papel em
1990, e 92%, de um volume muito maior de informações, ainda estariam em
papel no ano 2000.
Em
1976,
Whitfield
Diffie
e
Martin
Hellman
descreveram
primeiramente a noção dum esquema de assinatura digital, embora eles
apenas conjecturassem que tais esquemas existissem. Apenas mais tarde,
Ronald Rivest, Adi Shamir, e Len Adleman inventaram o algoritmo RSA que
poderia ser usado para assinaturas digitais primitivas (note que isso apenas
serve como uma prova do conceito, e as assinaturas RSA puras não são
seguras). O primeiro pacote de software amplamente comercializado a oferecer
a assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA.
Com
isso
surgiu
a
hash
criptográfica, um
mecanismo
de
autenticação digital, que na assinatura digital, permite a garantia, integridade e
a confiabilidade do documento.
9
As funções hash criptográficas, também denominadas Message
Digest, One-Way Hash Function, é uma mecanismo fundamental para as
assinaturas digitais.
Pois ao usar apenas algoritmos de chave pública e privada nas
Assinaturas Digitais e ao assinar documentos grandes, gastaria muito tempo
devido à lentidão dos algoritmos de chave pública e privada., retardando assim
todo o processo.
Com todos esses processos estudados, surge a Certificação Digital,
uma das principais aliadas para o aumento da produtividade de corporações
dos mais diversos setores, otimizando processos e diminuindo a burocracia
com a eliminação de papéis, com validade jurídica assegurada por
regulamentação do Governo Federal, a assinatura eletrônica gera mobilidade
ao usuário para efetuar transações online, desmaterialização dos processos
dentro das organizações, redução de custos administrativos e integridade de
documentos digitais em formato eletrônico.
Ainda hoje, o papel é o maior problema operacional na maioria das
empresas, órgãos governamentais e instituições. Correspondências, cheques,
faturas, ordens de compra, desenhos de engenharia e formulários de todos os
tipos são, em sua grande maioria, processados manualmente. Surgiu, então, a
necessidade de desenvolver métodos para o aumento da produtividade de
funcionários de escritório, tais como engenheiros, bancários, secretárias,
advogados e gerentes, e, principalmente, de melhorar a qualidade de sua
produção.
O avanço da tecnologia nos últimos anos trouxe grandes
oportunidades no mundo corporativo e no cotidiano das pessoas. O aumento
dos delitos pela internet está diretamente ligado com o crescimento do número
de usuários na rede. Estima-se que 18% dos internautas utilizam os serviços
financeiros on-line.
10
A formalização de Contratos em Papel envolve uma série de custos
que podem ser eliminados ou diminuídos com a utilização da Assinatura Digital,
com isso, as mudanças nas organizações resultam de uma reestruturação
econômico-financeira internacional e nacional, além de sucessivas adaptações
do setor produtivo, i.e., inflação, estabilidade etc. Essas estruturações
aparecem para se adequar a uma sociedade típica deste tempo, que é a
Sociedade Tecnológica, caracterizada pela automação progressiva do aparato
material e intelectual que regula a produção, a distribuição e o consumo, e que
se estende tanto às esferas públicas de existência como às particulares, tanto
ao domínio cultural como ao econômico e político.
Sendo assim as empresas que terão sucesso na década atual serão
aquelas que utilizarem as ferramentas digitais para reinventar sua maneira de
trabalhar. Essas empresas tomarão decisões com rapidez, atuarão com
eficácia e vão atingir direta e positivamente seus clientes, esses são os
objetivos do grupo Gas Natural Fenosa.
Feitas essas observações iniciais, este estudo apresenta-se dividido
em três capítulos. O primeiro conta um pouco de como surgiu um esquema de
segurança para a implantação da assinatura digital, através de algoritmos, e
concluiu que tal esquema não era seguro para ser implantado, decidindo então
por aplicar uma função criptográfica ,cujo nome Hash, e que foi o precursor
para o desenvolvimento de outros esquemas mais avançados, chegando ao
esquema GMR a qual finalizou o processo.
O segundo demonstra como funciona a assinatura digital e qual o objetivo e
importância da criptografia e do certificado digital neste contexto, quais as
empresas que a utilizam na atualidade, assim como as características de cada
esquema e como são utilizadas , identificando também os órgãos reguladores e
as leis que monitoram essa nova ferramenta, e os países que já utilizam esse
novo processo.
11
O terceiro capítulo aborda as propostas para os problemas existentes com
base nos estudos feitos, suas vantagens, explicando sua classificação,
aplicabilidade e benefícios em cada área envolvida, demonstrando através de
informações quantitativas adquiridas na própria empresa do grupo, com base
em comparativos, a importância na implantação dessa nova ferramenta.
12
CAPITULO I
1 – HISTÓRIA
Em
1976,
Whitfield
Diffie
e
Martin
Hellman
descreveram
primeiramente a noção dum esquema de assinatura digital, embora eles
apenas conjecturassem que tais esquemas existissem. Apenas mais tarde,
Ronald Rivest, Adi Shamir, e Len Adleman inventaram o algoritmo RSA que
poderia ser usado para assinaturas digitais primitivas (note que isso apenas
serve como uma prova do conceito, e as assinaturas RSA puras não são
seguras). O primeiro pacote de software amplamente comercializado a oferecer
a assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA.
Como notado ainda cedo, esse esquema básico não é muito seguro.
Para prevenir ataques pode-se primeiro aplicar uma função de criptografia hash
para a mensagem m e então aplicar o algoritmo RSA ao resultado. Outros
esquemas de assinatura digital foram logo desenvolvidos depois do RSA, o
mais antigo sendo as assinaturas de Lamport, de Merkle (também conhecidas
como árvores de Hash) e as de Rabin.
Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaramse os primeiros a rigorosamente definir os requerimentos de segurança de
esquemas de assinatura digital. Eles descreveram uma hierarquia de modelos
de ataque para esquemas de assinatura, e também apresentaram o esquema
de assinatura GMR, o primeiro que podia se prevenir até mesmo de uma forja
existencial contra um ataque de mensagem escolhida.
13
CAPITULO II
2 - ASSINATURAS DIGITAIS
Em
criptografia,
a assinatura
digital é
um
mecanismo de
autenticação digital. Esses mecanismos foram criados com o objetivo de
substituir a assinatura manuscrita, por uma que levasse para o mundo digital as
mesmas garantias do mundo real. A simples digitalização de uma assinatura
manuscrita e anexada a um documento não satisfaz esse propósito, pois ela
pode ser facilmente copiada e anexada a qualquer documento, tornando-a
simples de ser forjada (ESEC, 2001).
As Assinaturas Digitais surgiram para suprir talvez a maior
necessidade da tecnologia da informação: fazer com que o homem moderno
utilize todos os benefícios que a tecnologia oferece enquanto meio de
comunicação e para fins profissionais sem correr riscos aos quais à tecnologia
o expõe.
Para isso foi necessário evoluir os métodos de controle de acesso,
autenticação e permitir garantias como as de sigilo e privacidade, integridade,
autenticidade e confiabilidade para evitar, cada vez mais, atos ilícitos no meio
digital. Diante disto, as assinaturas digitais permitiram que fosse criado o
Certificado Digital.
O Certificado Digital atesta oficialmente a identidade de uma pessoa
física ou de uma entidade jurídica, por meio de um documento assinado
digitalmente (NEXTG, 2008). Um Certificado digital válido precisa ser emitido
por uma Autoridade Certificadora (AC): Presidência da Republica, Secretaria
da Receita Federal, o Serpro, a Caixa Econômica Federal, a Serasa e a
Certisign; mediante preenchimento de formulário com os dados da pessoa,
empresa ou instituição e pagamento de uma taxa. Depois o usuário deve
procurar uma Autoridade de Registro (AR): Correios, Caixa Econômica Federal,
14
Sincor, Banco do Brasil, Bradesco, Itaú, e Itautec; apresentar os seus dados
pessoais para fazer o seu reconhecimento presencial.
Qualquer informação que foi assinada digitalmente por meio de um
Certificado Digital válido tem garantias, inclusive jurídicas, de autenticidade e
origem. Tornam as atividades virtuais mais seguras, como o uso do internet
banking, declarações de imposto de renda, compras online. Em transações
bancárias, por exemplo, é interessante que ambas as partes envolvidas
tenham certeza da identificação inequívoca do outro (NEXTG, 2008)
(KAUTZMANN, 2008).
Os Certificados Digitais garantem a autenticidade, integridade,
confidencialidade entre as partes e o não repúdio, ou seja, o emissor não
poderá negar a autoria e autenticidade das transações efetuadas e dos
documentos assinados (NEXTG, 2008) (KAUTZMANN, 2008).
Existem diversas maneiras de assinar digitalmente um documento,
mas a forma mais usual e eficaz envolve processos criptográficos utilizando
algoritmos de funções unidirecionais ou hash criptográficas.
Essas funções são normalmente utilizadas para efetuar cálculos de
integridade de mensagens. Nas assinaturas digitais, o seu uso permite a
garantia de integridade do documento.
Além da integridade, uma assinatura digital também deve garantir a
confiabilidade de um documento. Diante disto, uma assinatura digital utiliza
algoritmos de criptografia assimétrica, que diferentemente dos algoritmos de
criptografia simétrica, possuem não só uma única chave para criptografar e
decriptografar um documento, e sim duas chaves, uma privada e outra pública
que são usadas para criptografar e decriptografar respectivamente o
documento.
15
A mensagem
sagem é cifrada através da chave privada
ada d
do assinante. O
algoritmo de chave
ve pú
pública garante que se uma determinada
inada mensagem for
cifrada com a chave
ave p
privada, ela só poderá ser decifrada
rada ccom sua chave
pública correspondente
dente.
Então, na prática
prá
o que se faz é aplicar o cálculo
ulo do algoritmo hash
criptográfico em um
m doc
documento e cifrar o hash resultante.
Logo, o pass
passo do processo de criação da Assinatura
natura Digital poderia
ser da seguinte forma
rma (ESEC,
(E
2001).
1. Obtém-se o Docume
cumento e a chave privada do assinante;
2. Obtém-se o hash (resumo)
(re
do documento e o criptografa
rafa u
usando a chave
privada do assinante;
3. Envia-se o document
umento juntamente com a sua assinatura.
Figura 1 – Processo
so de criação da Assinatura Digital (Extraída
aída do ARTIGO
ASSINATURA DIGITAL
GITAL, 2001, p.5)
Os passos para o recon
reconhecimento são (ESEC, 2001):
1. Obtém-se o documen
cumento a assinatura e a chave pública do ass
assinante;
2. Obtém-se o hash original
orig
do documento decriptando a assina
ssinatura digital com
a chave pública do
o assi
assinante;
16
sh da mensagem original com o novo hash
ash calculado. Se
3. Compara-se o hash
os dois hashes são
o igua
iguais então a assinatura está correta.
Figura 2 – Processo
so de reconhecimento da Assinatura Digital
ital ((Extraída do
ARTIGO ASSINATURA
TURA DIGITAL, 2001, p.5.)
2.1 - Funções Hash
ash Criptográficas
As funções
ções hash criptográficas, também denomin
nominadas Message
Digest, One-Way Hash
Has Function, Função de Condensação
ação ou Função de
Espalhamento Unidirec
idirecional é um mecanismo fundamentall para as assinaturas
digitais. Pois ao usar apenas algoritmos de chave pública
blica e privada nas
Assinaturas Digitais
ais e ao assinar documentos grandes gastar
gastaria muito tempo
devido à lentidão dos a
algoritmos de chave pública e privada.
da. A
Ao invés disso, é
empregada uma função Hashing, que gera um valor pequeno
eno ((um resumo), de
tamanho fixo, derivado
rivado da mensagem que se pretende assin
assinar, de qualquer
tamanho. Assim, a funç
função Hashing oferece agilidade nass Assi
Assinaturas Digitais
(NORÕES, 2008).
O conceito
eito teórico
te
diz que hash é a transformação
ação de uma grande
quantidade de informaç
ormações em uma pequena quantidade de info
informações.
17
2.1.1 - Características
Uma função hash criptográfica deve possuir as seguintes características:
• Deve ser capaz de transformar uma mensagem de qualquer tamanho em um
resumo ininteligível de tamanho fixo (ESEC, 2001);
• Deve ser fácil de calcular, para garantir que a sua aplicação não demande
tempo;
• Deve ser impossível encontrar a mensagem original através da hash da
mensagem, ou seja, é computacionalmente inviável, dado y, encontrar x tal que
h(x) = y;
• Deve ser computacionalmente inviável, dado x1, encontrar x2 ¹ x1 tal que
h(x1)=h(x2);
• Deve ser impossível também encontrar duas mensagens diferentes que
levam a um mesmo hash, a esse fato dá se o nome de colisão, ou seja, é
computacionalmente inviável, encontrar quaisquer x1 e x2 tais que h(x1)=h(x2);
• Outra característica importantíssima de uma função hash criptográfica é a de
que qualquer alteração da mensagem original, por menor que seja (1 bit, por
exemplo.) gera uma alteração significativa no valor do hash correspondente.
2.1.2 - Aplicações
Algoritmos hash com melhor desempenho se adaptam melhor para
aplicações que exigem como prioridade a velocidade, o tempo de resposta e
cuja função é somente para cálculos de integridade como, por exemplo: (i) em
Redes, onde são usados para verificar se o arquivo não foi alterado ou
corrompido durante a transmissão dos dados; (ii) em aplicações Antivírus, onde
18
é utilizado para identificação de vírus e para proteção da integridade de
arquivos; (iii) em Banco de Dados, protegem as senhas no banco, onde o valor
hash é armazenado no lugar da senha.
Já outras aplicações como as Assinaturas Digitais e os Certificados
Digitais necessitam não só de desempenho, mas também existe uma
preocupação quanto à segurança, pois se tratam de aplicações que envolvem
conceitos de confiabilidade, onde pessoas, entidades ou empresas necessitam
garantir integridade e autoria de informações.
2.1.3 - Como funciona
Existem diversos métodos para assinar digitalmente documentos, e
esses métodos estão em constante evolução. Porém de maneira resumida uma
assinatura típica envolve dois processos criptográficos: o hash (resumo) e a
encriptação deste hash.
Em um primeiro momento é gerado um resumo criptográfico da
mensagem através de algoritmos complexos (Exemplos: MD5, SHA-1, SHA256) que reduzem qualquer mensagem sempre a um resumo de mesmo
tamanho. A este resumo criptográfico se dá o nome de hash. Uma função de
hash deve apresentar necessariamente as seguintes características:
•
Deve ser impossível encontrar a mensagem original a partir do hash da
mensagem.
•
O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido.
Uma função de hash é dita forte se a mudança de um bit na mensagem
original resulta em um novo hash totalmente diferente.
•
Deve ser impossível encontrar duas mensagens diferentes que levam a
um mesmo hash.
19
Neste ponto, o leitor mais atento percebe um problema: Se as
mensagens possíveis são infinitas, mas o tamanho do hash é fixo, é impossível
impedir que mensagens diferentes levem a um mesmo hash. De fato, isto
ocorre. Quando se encontram mensagens diferentes com hashs iguais, é dito
que foi encontrada uma colisão de hashes. Um algoritmo onde isso foi obtido
deve ser abandonado. As funções de hash estão em constante evolução para
evitar que colisões sejam obtidas. Cabe destacar porém que a colisão mais
simples de encontrar é uma aleatória, ou seja, obter colisões com duas
mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre
os estudiosos de criptografia já ficam atentos, porém para comprometer de
maneira imediata a assinatura digital seria necessário obter uma mensagem
adulterada que tenha o mesmo hash de uma mensagem original fixa, o que é
teoricamente impossível de ocorrer com os algoritmos existentes hoje. Desta
forma, garante-se a integridade da assinatura.
Após gerar o hash, ele deve ser criptografado através de um sistema
de chave pública, para garantir a autenticação e a irretratabilidade. O autor da
mensagem deve usar sua chave privada para assinar a mensagem e
armazenar o hash criptografado junto à mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um
novo resumo a partir da mensagem que está armazenada, e este novo resumo
deve ser comparado com a assinatura digital. Para isso, é necessário
descriptografar a assinatura obtendo o hash original. Se ele for igual ao hash
recém gerado, a mensagem está íntegra. Além da assinatura existe o selo
cronológico que atesta a referência de tempo à assinatura.
2.2 - Aspectos Legais
Legislações sobre o efeito e validade de assinaturas digitais:
20
2.2.1 - Brasil
Conforme a Medida provisória 2.200-2, a lei brasileira determina que
qualquer documento digital tem validade legal se for certificado pela ICP-Brasil
(a ICP oficial brasileira). A medida provisória também prevê a utilização de
certificados emitidos por outras infra-estruturas de chaves públicas, desde que
as partes que assinam reconheçam previamente a validade destes.
O que a MP 2.200-2 portanto outorga à ICP-Brasil é a fé pública,
considerando que o certificado emitido pela ICP-Brasil qualquer documento
digital assinado com pode de fato ser considerado assinado pela própria
pessoa.
Resultado igual pode ser obtido se o usuário de um certificado
emitido por outra ICP qualquer, depositar em cartório de registro o
reconhecimento da mesma como sua identidade digital. O que se quer
preservar é o princípio da irrefutabilidade do documento assinado, assim
sendo, o registro em cartório de um documento no qual o usuário reconhece
como sendo seu um determinado certificado digital é prova mais que suficiente
para vincular a ele qualquer documento eletrônico assinado com aquele
certificado.
2.2.2 – Portugal
A legislação portuguesa prevê a utilização da assinatura digital no
Decreto-Lei n.º 290-D/99, republicado pelo Decreto-Lei n.º 62/2003, definindo-a
como um documento elaborado mediante processamento eletrônico de dados.
Este Decreto-Lei procede à transposição da Diretiva do Parlamento Europeu e
do Conselho nº 1999/93/CE, de 28 de Junho, relativa a um quadro legal
comunitário para as assinaturas eletrônicas.
21
De acordo com a legislação portuguesa, as assinaturas eletrônicas
têm a mesma validade probatória que as assinaturas manuscritas, desde que
se baseiem em certificados emitidos por entidades certificadoras credenciadas.
A autoridade de credenciação das entidades certificadoras é a
Autoridade Nacional de Segurança; a credenciação, contudo, é facultativa,
podendo ser qualquer entidade não credenciada, a exercer essa atividade. A
Autoridade Nacional de Segurança publica a lista das entidades credenciadas.
Neste momento, em Portugal, para além da entidade certificadora do Cartão de
Cidadão, do Ministério da Justiça, da Assembléia da República e da Entidade
Certificadora Eletrônica do Estado, há duas entidades certificadoras privadas
credenciadas pela Autoridade Nacional de Segurança para emissão de
certificados de assinatura eletrônica qualificada, a Multicert e a DigitalSign.
Como a legislação varia de lugar para lugar em todo mundo, é
impossível o controle definitivo da pirataria, visto que o mundo todo é
interligado pela internet. E no Brasil as leis ainda são muito tolerantes visto que
as tecnologias avançaram em um grau muito maior que as nossas leis.
2.2.3 - Comunidade Europeia
Common Position EC 28/1999 – Community Framework for Electronic
Signature
2.2.4 - Estados Unidos da América
•
Uniform Electronic Transactions Act (UETA)
•
Electronic Signatures in Global and National Commerce Act (E-SIGN),
através 15 U.S.C. 7001 et seq.
Outras tecnologias disponíveis oferecidas por empresas:
•
RightSignature [1]
•
Docusign [2]
22
•
Echosign [3]
•
Arx [4]
•
TrueSeal [5]
2.2.5 - Inglaterra, Escócia e Gales
•
Electronic Communications Act, 2000.
2.2.6 - Índia
•
Information Technology Act, 2000.
2.2.7 - Nova Zelândia
•
Electronic Transactions Act, 2003 sections 22-24.
23
CAPITULO III
3 - MODALIDADES DE ASSINATURA DIGITAL
Uma das grandes vantagens que vem impulsionando a maciça
utilização da Internet nos laboratórios decorre da possibilidade jurídica de
efetuar transações sem o uso do papel e à distância. O que resulta em
economia, celeridade e segurança na prestação de serviços. Para que esta
mudança cultural fosse implantada com confiabilidade, tornou-se necessário o
emprego de requisitos tecnológicos. Eles garantem à transação realizada com
o documento eletrônico autoria e integridade da informação transmitida, além
de validade jurídica.
A legalidade do documento assinado digitalmente é garantida pela
medida provisória 2200-2, de 24 de Agosto de 2001, que estabelece que todo
documento em forma eletrônica tem assegurada a autenticidade, integridade e
validade jurídica desde que utilize certificados digitais. Note que estamos
falando de assinatura digital, aquela que é feita com o uso de certificados
digitais, como o e-cpf, por exemplo.
Um destes requisitos a ser utilizado é a assinatura eletrônica. Nem
sempre este conceito está sendo tratado de forma clara pela mídia e pela
própria legislação.
A palavra assinatura eletrônica deve ser traduzida como gênero, que
diz respeito a todo método de identificação apropriado e confiável empregado
na transmissão de dados eletrônicos. A utilização pode ocorrer dentro de várias
modalidades, dentre as quais destacamos as seguintes espécies:
24
3.1 - Assinatura eletrônica com certificação digital
Ë o método de identificação na transmissão eletrônica com o
emprego da certificação digital, que é uma tecnologia que se vale dos recursos
da criptografia para garantir a integridade e autoria dos dados transmitidos por
meio eletrônico.
3.2 - Assinatura eletrônica sem certificação digital
Esta espécie de assinatura eletrônica não possui a mesma
credibilidade,
justamente
em
razão
da
ausência
das
características
tecnológicas mencionadas do certificado digital. Várias vezes, a sua
identificação se faz por meio de uma identificação pessoal (login) e uma senha.
Os dados assinados eletronicamente com este recurso trafegam na rede sem
criptografia e, por este motivo, podem ser interceptados e alterados sem deixar
vestígio de qualquer adulteração.
3.3 - Assinatura digitalizada
A assinatura digitalizada é um arquivo de imagem gerado a partir da
digitalização de uma imagem contendo a assinatura grafotécnica aposta em um
papel primeiramente. Ao contrário das assinaturas com e sem certificação
digital que são geradas originariamente no meio eletrônico. Portanto, a
assinatura digitalizada não é uma assinatura eletrônica por natureza, não
gozando da credibilidade das acima mencionadas além de não ter sido gerado
originariamente na mídia digital.
25
3.3.1 - Chave biométrica
Para melhor entendermos o que é uma chave biométrica se faz
necessário um breve esclarecimento acerca do que é "biometria" e do conceito
de "chave", aqui entendida como chave eletrônica, ou seja, um código.
Enquanto biometria é a medida de características únicas coletadas do indivíduo
que poderão ser utilizadas para reconhecer sua identidade.
A chave biométrica é uma forma de identificação que se procede
mediante verificação de uma determinada parte do corpo que denota seus
elementos personalíssimos que o distingue dos demais.
Atualmente é utilizada em clubes, por convênios médicos e até
mesmo em empresas. As formas mais comuns do uso da biometria são a
leitura das impressões digitais e da íris.
3.4 - Contrato Eletrônico
É uma solução simples, rápida e segura para assinar contratos
eletrônicos pela internet.
Economia
em
despesas
de
remessa
de
documentos,
reconhecimento de firmas, gestão de documentos, impressão e guarda de
papel.
3.4.1 - Características
•
Workflow de Assinaturas - Após o upload do seu contrato, você define
os envolvidos e a seqüência de assinaturas. A partir daí controla-se a
coleta de assinaturas digitais e notifica os envolvidos.
26
•
Gestão de Documentos - Disponibilidade para consultas com filtros,
assinatura em lote, acompanhamento, recuperação e histórico das
ações para controle e atendimento às auditorias.
•
Carimbo do Tempo - Opção por contrato eletrônico. Você pode
incorporar um Carimbo de Tempo gerado por uma Autoridade
Certificadora de Tempo garantindo assim a irretroatividade das
assinaturas digitais de seu Contrato Eletrônico
•
Digitalização - Se você possuir um scanner conectado ao seu
computador, você pode digitalizar o contrato e outros documentos e
fazer upload..
3.4.2 - Aplicabilidade
•
Formalização de Qualquer Contrato - De posse do contrato eletrônico,
em qualquer formato, você faz upload do deu computador ou digitaliza o
documento do seu scanner e, a partir daí, o responsável coletará as
assinaturas digitais.
•
Pessoas Jurídicas e Pessoas Físicas – não se restringe o uso do
contrato. Desde que as partes possuam certificado digital, o contrato
pode ser formalizado rapidamente.
•
Aplicabilidade Geral - Em algumas empresas, existem alguns
segmentos, departamentos e classes profissionais que podem ajudar o
responsável a identificar, na sua organização, a aplicabilidade destas
soluções.
3.4.3 – Benefícios
•
Redução de Custos - Com remessa de documentos (motoboy, Correios
e outros), impressão de papel (toner e tinta), guarda física (armazém,
arquivos, cofres e outros), gestão de documentos (controle, consulta,
27
vigência, auditoria, localização e recuperação) e reconhecimento de
firmas.
•
Agilidade e Simplificação - Quanto tempo se leva para formalizar um
contrato? Com essa gestão, seu contrato pode ser formalizado em
minutos.
•
Segurança - A tecnologia de assinatura digital oferece confiabilidade e
integridade ao documento assinado digitalmente.
•
Mobilidade - Acessando a internet, com o seu certificado digital, é
possível estar em qualquer lugar do mundo e, a qualquer hora, e
acessar para ver documentos, carregá-los, criá-los e assiná-los.
•
Ferramenta para agilizar processos jurídicos - A Justiça do Trabalho
investe em tecnologia para acabar com a papelada que lota tribunais e
atrasa julgamentos. Verdadeira revolução na área trabalhista. Isso é o
que se espera do Sistema Unificado de Acompanhamento Processual
(Suap), desenvolvido pela Justiça do Trabalho.
O sistema que utiliza o Certificado Digital, o Suap pretende acabar,
através da tramitação eletrônica de documentos, com a papelada que lota os
tribunais e contribui para agravar a morosidade dos processos.
Por meio do SUAP a ferramenta, advogados poderão dar início a
uma reclamação trabalhista ou até mesmo encaminhar petição já elaborada
anteriormente sem precisar apresentar documento em papel – tudo através da
Internet, da própria casa ou do escritório.
Com a validade jurídica conferida ao Certificado Digital, o processo
será distribuído automaticamente e o próprio sistema informará a data da
primeira audiência de conciliação e instrução.
28
Atualmente, já existem sistemas semelhantes em tribunais do país
para fazer petições de forma eletrônica. Mas é a primeira vez que um ramo do
Judiciário cria um padrão nacional para fazer esse tipo de trabalho.
3.4.4 - Mais Produtividade
Menos papel e mais tempo garantem agilidade e competitividade. A
Certificação Digital é uma das principais aliadas para o aumento da
produtividade de corporações dos mais diversos setores, otimizando processos
e diminuindo a burocracia com a eliminação de papéis.
Com validade jurídica assegurada por regulamentação do Governo
Federal, a assinatura eletrônica gera mobilidade ao usuário para efetuar
transações online, desmaterialização dos processos dentro das organizações,
redução de custos administrativos e integridade de documentos digitais em
formato eletrônico. Assim como melhora os processos e a eliminação das
etapas para coleta dos arquivos aumentando a produtividade, permitindo que
sua equipe, até então alocada neste tipo de trabalho, possa ser melhor
utilizada em outras atividades do processo.
Na prática, estamos falando em aumento de produtividade imediato
e uma economia não apenas financeira, mas de espaço físico e tempo.
Em um momento de tantas exigências do mercado, competitividade acirrada,
falta de tempo para as tarefas diárias e obrigações com o meio ambiente, a
Certificação Digital tornou-se essencial no cotidiano das organizações que
buscam praticidade, agilidade e segurança.
3.4.5 - Evitando fraudes digitais
A Certificação Digital garante sigilo, autenticidade e integridade para
executar transações eletrônicas com mais segurança.
29
O avanço da tecnologia nos últimos anos trouxe grandes
oportunidades no mundo corporativo e no cotidiano das pessoas. Mas junto às
facilidades geradas pela “Era Digital”, outro assunto preocupante começou a
fazer parte da vida de quem acessa a Internet: as fraudes digitais.
Terceira no ranking dos crimes organizados mais cometidos hoje em
dia, a fraude eletrônica já movimenta US$ 100 bilhões – em primeiro está o
comércio de armas (US$ 800 bilhões), seguido do tráfico de drogas (US$ 320
bilhões).
De janeiro a setembro de 2008, 52.095 ocorrências de ataques e
fraudes foram notificadas no Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil (Cert.br), mantido pelo Comitê Gestor da
Internet, e os prejuízos no país já passam de R$ 300 milhões.
Os tipos mais comuns de fraude são as de cartões de crédito e as
bancárias – essa última teve crescimento de 124% em 2008 comparado ao ano
anterior. O roubo de informações estratégicas das empresas também é outro
tipo de ocorrência que vem crescendo assustadoramente.
O aumento dos delitos pela internet está diretamente ligado com o
crescimento do número de usuários na rede. Estima-se que 18% dos
internautas utilizam os serviços financeiros on-line.
Pensando nisso, a Certisign desenvolveu produtos e soluções de
segurança para pessoas e empresas de diversos setores. Entre elas estão a
Criptografia de informações, Verisign Identity Protection (VIP) e o Fraude
Detection System (FDS).
O objetivo é garantir não apenas a agilidade e praticidade nas
transações efetuadas pela web, mas principalmente o sigilo e a autenticidade
para quem se comunica através dela.
30
3.4.6 - Redução de Custos
A eliminação física do papel implica na eliminação de toda uma
cadeia de custos operacionais, levando a empresa a obter redução nos custos
com cópias, utilização de impressoras, copiadoras, suprimentos, pessoal
técnico, manutenção, armazenagem (gestão física, acesso), envio de
documentos por correio ou por motoboy, além de dispensar o reconhecimento
de firmas em cartórios.
A formalização de Contratos em Papel envolve uma série de custos
que podem ser eliminados ou diminuídos com a utilização da Assinatura Digital.
Muitas vezes desprezado e, em muitos casos, despercebido, um dos custos
mais importantes tidos no processo de formalização de contratos em papel é o
transporte destes documentos entre as partes.
Contratos em papel necessitam ter suas vias impressas e
encaminhadas para seus signatários, seguindo a ordem estabelecida pelo
administrador. Esses documentos são normalmente enviados para a coleta de
assinaturas através de mensageiros (Motoboy) ou serviços de correio (por
exemplo, o Sedex), dependendo da distância a ser percorrida.
Apenas
como
exercício,
para
calcularmos
estes
custos,
consideraremos as empresas do Grupo Gasnatural Fenosa no Brasil que
formaliza 100 Contratos por mês (média, sendo estes com duas vias tendo dez
folhas cada), ou seja, 1.200 Contratos por ano (gerando um consumo de
24.000 mil folhas). Cada um destes contratos é celebrado entre a empresa
emissora CEG, CEG RIO, GNS e GNSPS e a outra parte, ou seja, estamos
considerando que o contrato possui apenas duas partes. Também estamos
considerando que 30% dos documentos serão enviados via Sedex e 70%
através de mensageiros. Está sendo considerado um custo médio de R$ 15,00
para o transporte via Motoboy (custo médio para envio de documento a uma
31
distância média de 10 km na cidade do Rio de Janeiro e R$ 12,40 para o envio
através do Sedex.
Dentro do cenário apresentado teremos os seguintes custos para
encaminhamento dos documentos à outra parte do contrato para coleta de
assinaturas:
Tipo de Transporte Documentos/Ano
Cálculo do
Transporte
Custo total com
encaminhamento para
coleta de assinaturas
Sedex
360 (30%)
360 x R$ 12,40
R$ 4.464,00
Motoboy
840 (70%)
840 x R$ 15,00
R$ 12.600,00
Total por ano
1200
-----
R$ 17.064,00
Tabela 1: Levantamento interno de custos de envio de contratos para
assinatura das empresas.(Extraída da GASNATURAL FENOSA RJ, 2012)
Uma vez coletadas as assinaturas de todas as partes é necessário o
encaminhamento dos Contratos para o reconhecimento de firmas no cartório.
Neste momento estarão sendo reconhecidas somente as firmas dos
representantes da empresa que emitiu os contratos, pois os mesmos já estão
com as assinaturas e firmas reconhecidas pela outra parte. Dentro de um
processo otimizado, consideraremos que este serviço será realizado apenas
uma vez por dia através de serviço de motoboy, que encaminhará todos os
contratos para um mesmo cartório, retornando-os em seguida para a empresa.
Com os contratos devidamente assinados e com as firmar
reconhecidas por ambas as partes fazem-se necessário encaminhar uma das
vias à outra parte. Esses custos são calculados da mesma forma que quando
do envio para a coleta de assinaturas, ou seja:
32
Tipo de Transporte Documentos/Ano
Cálculo do
Transporte
Custo total com
encaminhamento para
coleta de assinaturas
Sedex
360 (30%)
360 x R$ 11,10
R$ 4.464,00
Motoboy
840 (70%)
840 x R$ 15,00
R$ 12.600,00
Total por ano
1200
-----
R$ 17.064,00
Tabela 2: Levantamento interno de custos de envio dos contratos ao
cartório.(Extraída da GASNATURAL FENOSA RJ, 2012).
Observe que estamos considerando os custos com transporte tidos
apenas pela empresa responsável pela emissão do contrato. Os custos
decorrentes de transportes ao cartório e retorno dos documentos assinados a o
emissor, tidos pela outra parte do contrato, não estão sendo considerados
nestes cálculos.
Custo Anual para encaminhamento dos contratos para coleta de assinaturas
R$ 17.064,00
Custo Anual com reconhecimentos de assinaturas nos Contratos
R$ 13.920,00
Custo Anual para encaminhamento de uma via contratos à outra parte
R$ 17.064,00
Custo Total Anual de com Transporte e Encaminhamento de Contratos
R$ 48.048,00
Tabela 3: Levantamento interno de custos totais
contratos.(Extraída da GASNATURAL FENOSA RJ, 2012)
envio
de
dos
Isto nos leva concluir que, dentro o cenário conservador exposto,
cada contrato custa somente no quesito transporte a importância de R$ 40,04.
Este valor pode variar, para mais ou para menos, dependendo do fluxo adotado
por cada empresa, mas podemos seguramente afirmar que estes custos são
muito maiores que o custo total tido com a formalização de Contratos através
da Assinatura Digital. Vale lembrar que no processo de formalização de
Contratos através da Assinatura Digital não existem custos de transporte pois o
documento permanece sempre no servidor e, quando necessário, é
33
simplesmente exibido e colocado a disposição de seus signatários e/ou outros
que acompanham o fluxo de formalização.
Observe que, dentro do cenário apresentado, foram considerados os
custos com transporte tidos apenas pela empresa responsável pela emissão do
Contrato. Os custos decorrentes de transportes ao cartório e retorno dos
documentos assinados para o emissor tidos pela outra parte do contrato, não
estão sendo considerados nestes cálculos.
Atualmente no grupo Gas natural Fenosa, são reconhecidas 562
(média), assinatura mensalmente referente a procurações, atas de reuniões de
comitê, estatuto etc. gerando um custo anual de R$ 39.115,20.
Ao implantarmos uma nova e mais eficiente forma de assinatura de
contratos, inicialmente na Gerencia de Compras, que garante autenticidade
através do seu respaldo legal e agilizar os processos operacionais e
administrativos, bem como reduzir os custos de geração, manutenção e
gerenciamento de contratos, aliando esta atividade a todas as empresas do
grupo Gas Natural Fenosa.
Em termos de custos globais, podemos afirmar que a adoção da
assinatura digital para a formalização de contratos eletrônicos e outros, pode
significar uma redução, dependendo do cenário analisado, de até 80% dos
custos tidos com o processo de formalização de contratos baseados em papel.
3.4.7 – Sustentabilidade
Cada 10.000 folhas tamanho A4 valem uma árvore. Não imprimir
papel é um ato que devemos procurar fazer sempre que possível. Pequenos
gestos como este, quando somados, dão um resultado fantástico no curto e no
longo prazo. Muitas vezes achamos que um ato isolado não vai resolver o
problema do planeta, mas se você economizar 10.000 folhas de papel, para
34
aquela árvore já fez diferença! Se cada um fizer esta e outras ações
conscientes, sem dúvida ajudará as próximas gerações a viverem cada vez
mais em um planeta melhor.
35
CONCLUSÃO
Do exposto, e em face do constante desenvolvimento tecnológico,
parece-nos inevitável a afirmação de que a assinatura digital, tendo embora
sido já reconhecida legalmente em alguns países – pelo Dec. Lei nº 290-D/99
de 2 de Agosto e pela medida provisória 2.200-2, de 24 de Agosto de 2001 não
garante completamente a inexistência de violações do conteúdo informatizado,
sendo certo que, as precauções sugeridas atenuam de certo modo os aspectos
negativos da utilização da assinatura digital. O presente estudo contou passo a
passo o processo de implantação da Assinatura digital em algumas empresas,
suas vantagens e desvantagens e o futuro projeto das empresas do grupo Gás
Natural Fenosa.
Nos tempos atuais, pode se observar a grande expansão da
tecnologia da informação, e com essa expansão, surge também à necessidade
de se ter uma maior segurança da informação. É uma era movida pela
propulsão dos bits.
Surge através da criptografia, a assinatura digital como um
mecanismo de autenticação digital. Sendo utilizado hoje em dia nas transações
bancárias, por exemplo.
Nas assinaturas digitais, o seu uso permite a garantia de integridade
do documento. Além da integridade, uma assinatura digital também deve
garantir a confiabilidade de um documento. As funções hash criptográficas,
também denominadas Message Digest, One-Way Hash Function, Função de
Condensação ou Função de Espalhamento Unidirecional é um mecanismo
fundamental para as assinaturas digitais. Pois ao usar apenas algoritmos de
chave pública e privada nas Assinaturas Digitais e ao assinar documentos
grandes gastaria muito tempo devido à lentidão dos algoritmos de chave
pública e privada, gerando uma alteração significativa no valor do hash
correspondente. Para verificar a autenticidade do documento, deve ser gerado
36
um novo resumo a partir da mensagem que está armazenada, e este novo
resumo deve ser comparado com a assinatura digital.
Além da assinatura, existe o selo cronológico que atesta a referência
de tempo à assinatura. Assim como o Certificado Digital, onde Suap pretende
acabar, através da tramitação eletrônica de documentos, com a papelada que
lota os tribunais e contribui para agravar a morosidade dos processos. Por
meio do SUAP a ferramenta, advogados poderão dar início a reclamações
trabalhistas ou até mesmo encaminhar petições já elaboradas anteriormente
sem precisar apresentar documento em papel – tudo através da Internet, da
própria casa ou do escritório. A Certificação Digital é uma das principais aliadas
para o aumento da produtividade de corporações dos mais diversos setores,
otimizando processos e diminuindo a burocracia com a eliminação de papéis.
Com validade jurídica assegurada por regulamentação do Governo
Federal, a assinatura eletrônica gera mobilidade ao usuário para efetuar
transações online, desmaterialização dos processos dentro das organizações,
redução de custos administrativos e integridade de documentos digitais em
formato eletrônico. A Certificação Digital garante sigilo, autenticidade e
integridade para executar transações eletrônicas com mais segurança.
O avanço da tecnologia nos últimos anos trouxe grandes
oportunidades no mundo corporativo e no cotidiano das pessoas. O aumento
dos delitos pela internet está diretamente ligado com o crescimento do número
de usuários na rede. Estima-se que 18% dos internautas utilizam os serviços
financeiros on-line.
Hoje se percebe nitidamente que pequenas atitudes no dia-a-dia dos
funcionários fazem a diferença no contexto empresarial.
Essa realidade é possível devido à agilidade no acesso às
informações, interagindo, de forma ativa, no fluxo de trabalho.
37
No mundo da tecnologia da informação, não existem fórmulas
padronizadas que atendam a 100% das expectativas e necessidades
apresentadas pelos usuários.
Este trabalho teve como objetivo verificar quanto a tecnologia pode
ajudar no gerenciamento de documentos eletrônicos e reduzir o custo e o
espaço físico utilizado nas empresas e instituições.
38
REFERÊNCIAS BIBLIOGRÁFICAS
AIIM INTERNATIONAL. Home page da AIIM INTERNATIONAL.Disponível em
<URL:http://www.aiim.org.> acesso em 01/07/2012.
BRASIL. Lei no. 9.609, de 19 de fevereiro de 1998. Dispõe sobre a proteção da
propriedade intelectual de programa de computador, sua comercialização no
País, e dá outras providências.<URL:http://legislacao.planalto.gov.br/ > Acesso
em: 03/08/2012
CAMPOS, Fernanda da S. Fialho. Responsabilidade Legal na Era Digital.
Módulo
Security
Magazine.
2006.
Disponível
em:
<
<URL:http://www.modulo.com.br/site?btn_submit=ok&infoid=876&lng=br&query
=simple&search_by_author
name=all&search_by_field=tax&search_by_keywords=any&search_by_priority=
all&search_by_section=
1,335,13,311,24,25,15,222,353,370,26,325,332,333,334,329,327,12,17,18,22,2
0,362,16,14,4,119,302,29
9,293,127,129,359,360,120,268,269,271,272,273,275,276,277,278,301,297,27
9,369,125,144,122,368,3,5
3,305,229,232,303,304,54,63,306,62,65,64,55,2,27,342,43,291,40,372,39,364,
366,41,42,44,46,28,356,37
5,29,31,32,320,118,339,341,354,34,286,287,35,37,363,5,6,7,108,109,114,115,
116,117,110,72,75,76,77,9
1,94,95,96,338,78,73,282,283,97,102,284,343,344,345,346,347,348,349,103,6
7,68,70,71&search_by_sta
te=all&search_text_options=all&sid=76&text=responsabilidade+legal+na+era+
digital> Acesso em: 10/06/12.
GATES, Bill. A empresa na velocidade do pensamento: como um sistema
nervoso digital. São Paulo: Companhia das Letras, 1999.
KAUTZMANN, Tiago. Certificação e Assinatura Digital. 2008. Disponível em:
<http://tiagokautzmann.webng.com/Certificacao_AssinaturaDigital.swf> Acesso
em 02/07/2012.
MARCUSE, Herbert. Liberdade e agressão na sociedade tecnológica.
Civilização Brasileira, n.18, p.4, mar/abr. 1988.
NEXTG. Certificação Digital. Centro de Treinamento da Intel. 2008. Disponível
em : <http://www.nextgenerationcenter.com/v3/web/curso.php?curso id=69>
Acesso em: 02/07/2012.
39
NORÕES, Izequiel Pereira de. Segurança na Internet. 2008. Disponível em: <
http://www.scribd.com/doc/2637871/Seguranca-na-Internet-modulo-3 >. Acesso
em: 07/07/2012.
Tecnologia em Segurança de Dados. Princípios de Assinatura Digital.
Brasília,. 2001. Disponível na <URL http://www.esec.com.br>Acesso em:
01/07/2012.
40
ÍNDICE
FOLHA DE ROSTO
2
AGRADECIMENTO
3
DEDICATÓRIA
4
RESUMO
5
METODOLOGIA
6
SUMÁRIO
7
INTRODUÇÃO
8
CAPÍTULO I
1 - HISTÓRIA
12
CAPITULO II
2 – ASSINATURAS DIGITAIS
2.1 – Funções Hash Criptográficas
13
16
2.1.1 – Características
17
2.1.2 – Aplicações
17
2.1.3 – Como Funciona
18
2.2 – Aspectos Legais
19
2.2.1 – Brasil
20
2.2.2 – Portugal
20
2.2.3 – Comunidade Européia
21
2.2.4 – Estados Unidos da América
21
2.2.5 – Inglaterra, Escócia e Gales
22
2.2.6 – Índia
22
2.2.7 – Nova Zelândia
22
CAPITULO III
3 – MODALIDADES DE ASSINATURA DIGITAL
23
3.1 – Assinatura eletrônica com Certificado digital
24
3.2 - Assinatura eletrônica sem Certificado digital
24
41
3.3 – Assinatura Digitalizada
24
3.3.1 – Chave Biométrica
25
3.4 – Contrato Eletrônico
25
3.4.1 – Características
25
3.4.2 – Aplicabilidade
26
3.4.3 – Benefícios
26
3.4.4 – Mais Produtividade
28
3.4.5 – Evitando Fraudes Digitais
28
3.4.6 – Redução de Custos
30
3.4.7 – Sustentabilidade
33
CONCLUSÃO
35
REFERÊNCIAS BIBLIOGRÁFICAS
38
ÍNDICE
40