Certificado Digital
Como funciona o certificado digital
por Gisele Ribeiro
Introdução
Certificação digital é um conjunto de processos e técnicas que dão maior segurança às
comunicações e às transações eletrônicas. Ela evita que os dados transmitidos sejam
interceptados ou adulterados no trajeto entre a máquina do remetente e a do destinatário e
identifica o autor da mensagem. Técnica com mais de duas décadas de existência, a
certificação digital popularizou-se com a Internet e devido à necessidade crescente de agilizar
processos e substituir por bytes as pilhas de papel existentes.
Os dois principais elementos da certificação digital são o certificado e a assinatura digitais, que
têm como base a criptografia, técnica usada para codificar dados que trafegam pela Internet.
Juntos, esses dois elementos comprovam a identidade de uma pessoa ou site e evitam fraudes
nas transações eletrônicas.
A maioria dos programas de e-mail e dos navegadores orientam os usuários, de forma
bastante didática, sobre como fazer operações baseadas na certificação digital. Quem nunca
topou com uma mensagem do navegador dizendo ser impossível verificar se o site visitado é
confiável ou não e mostrando a opção de examinar o certificado? Ou na janela de configuração
de segurança do programa de e-mail a opção de usar um certificado digital para assinar as
mensagens enviadas por uma determinada conta?
Janela de assinatura digital de programa de e-mail
Se você nunca ouviu falar disso ou então pensava que o certificado digital era apenas uma
versão eletrônica do diploma do curso de culinária, prepare-se. Em breve ele vai fazer parte do
seu cotidiano. Alguns órgãos do Governo Federal já estão exigindo a adoção do certificado
para acessar alguns de seus serviços online. A Secretaria da Receita Federal, por exemplo,
disponibiliza para o contribuinte brasileiro com os certificados digitais e-CNPJ e e-CPF acesso
a vários de seus serviços que, feitos do modo tradicional, exigem uma peregrinação sem fim
por cartórios e postos da Receita.
Nas próximas páginas você vai saber tudo sobre certificação digital: o que é, como ela está
sendo implantada no Brasil, quanto custa e como fazer para usá-la.
O que é certificado digital?
O certificado digital é um documento eletrônico que contém informações que identificam uma
pessoa, uma máquina ou uma instituição na Internet. Para fazer isso, ele usa um software
como intermediário - pode ser o navegador, o cliente de e-mail ou outro programa qualquer que
reconheça essa informação. O certificado digital é emitido a pessoas físicas (cidadão comum) e
jurídicas (empresas ou municípios), equipamentos e aplicações. A emissão é feita por uma
entidade considerada confiável, chamada Autoridade Certificadora. É ela quem vai associar
ao usuário um par de chaves criptográficas (pública e privada). São essas chaves, emitidas
e geradas pelo próprio usuário no momento da aquisição do certificado, que transformam um
documento eletrônico em códigos indecifráveis que trafegam de um ponto a outro
sigilosamente. Enquanto a chave pública codifica o documento, a chave privada associada à
ela decodifica. E vice-versa. Um certificado pode ser usado em conjunto com uma assinatura
digital. Neste caso, a assinatura digital fica de tal modo vinculada ao documento eletrônico
que qualquer alteração o torna inválido.
Se fôssemos fazer uma analogia com documentos do mundo real, o certificado digital seria o
similar eletrônico do RG, enquanto a assinatura digital, o equivalente ao carimbo acompanhado
de selo que os cartórios brasileiros colocam para reconher firma em documentos. Juntos,
esses dois elementos, aliados à criptografia, garantem a autenticidade, a integridade, o não
repúdio à transação e a confidencialidade da informação. Ou seja, as partes são mesmo
quem dizem ser, e a transação online é legítima, autêntica, segura e não sofreu alterações ao
longo do caminho.
Segurança
Uma das características do certificado digital é a segurança que ele proporciona às transações
online. Vamos voltar ao conceito de criptografia para entender isso. Criptografia é uma palavra
de origem grega que significa escrita oculta. Na prática, ela é um mecanismo milenar usado
para cifrar mensagens, tornando-as incompreensíveis a quem não tem acesso às chaves que
as decifram. Existem dois tipos de criptografia atualmente: a simétrica e a assimétrica. A
simétrica cifra e decifra uma informação por meio de algoritmos que usam a mesma chave
pública. Essa chave é compartilhada pelas duas partes envolvidas na comunicação. Tomemos
como exemplo uma comunicação simples entre Paulo e André. Os dois computadores têm
dados que precisam ser enviados e um algoritmo de encriptação. O computador de Paulo
codifica os dados enviados ao computador de André usando uma frase (chave) para cifrar o
documento. O computador de André recebe esses dados codificados e para decifrá-los usa a
mesma chave de Paulo.
A criptografia de chave pública, ou assimétrica, trabalha com duas chaves distintas: a pública e
a privada, que são relacionadas matematicamente. Uma depende totalmente da outra e sua
segurança depende do número de bits (tamanho) das chaves. Uma mensagem codificada com
uma chave pública só pode ser decodificada com a chave privada a ela relacionada, e viceversa. Enquanto uma codifica, a outra decodifica. Voltemos ao exemplo acima. Paulo envia um
documento sigiloso a André. Para garantir a confiabilidade da comunicação, Paulo usa a chave
pública de André para codificar o documento. Se quem recebeu o documento for mesmo o
André, ele vai usar sua chave privada (associada àquela chave pública) para decodificar o
documento.
Assinatura digital
O uso da criptografia assimétrica garante a confiabilidade e a autenticidade da comunicação.
Mas como assegurar sua integridade e origem? A saída foi combinar o uso de chaves públicas
com uma assinatura digital. Assim como a criptografia assimétrica, a assinatura digital é uma
seqüência de bits resultante de uma operação matemática conhecida como função hashing.
Essa função analisa todo o documento ou arquivo e, com base no algoritmo matemático, gera
um valor de tamanho fixo para ele. Esse valor varia de acordo com a seqüência de bits do
documento, e como cada caractere tem uma composição binária, qualquer mudança no
arquivo original fará com que o valor hash seja diferente e a assinatura se torne inválida.
Vamos usar o exemplo de Paulo e André novamente. Paulo envia o documento assinado
digitalmente a André. Para isso, ele usa a chave pública do amigo e a sua própria assinatura
para codificar o documento. Se o documento não tiver sofrido alterações no percurso, Paulo
poderá decifrá-lo com sua chave privada. Caso tenha havido alguma alteração, Paulo não
conseguirá decifrá-lo, pois a assinatura será inválida.
Teia de confiança
Apesar de serem os elementos principais da certificação digital, a assinatura e o certificado são
como a ponta de um iceberg. Sob a superfície da água se encontra toda uma cadeia que
envolve protocolos de segurança, políticas de uso, entidades certificadoras, salas-cofre e
autoridades de registro, que seguem diretrizes e normas técnicas determinadas por uma
entidade ou comitê gestor. Essa cadeia é chamada de Infra-estrutura de Chaves Públicas (ICP,
em português, ou PKI, em inglês). Uma empresa pode criar sua própria ICP. Um país pode ter
uma ou várias ICPs. Um certificado digital só é válido se ele segue os políticas e protocolos de
segurança determinados por uma ICP, e isso vale para qualquer lugar do mundo.
Os elementos que compõem a teia de confiança da certificação digital tanto para órgãos
públicos quanto para a iniciativa privada são:
• Autoridade Certificadora Suprema (AC-Raiz) - autoriza as operações das autoridades
certificadoras
• Autoridades Certificadoras (AC) - emitem o certificado digital das autoridades de registro e
de autoridades certificadoras por ela credenciadas, além de atestar a identidade do titular do
documento
• Autoridades de Registro (AR) - comprovam fisicamente a identidade do usuário, podendo
auxiliá-lo na geração do par de chaves, solicita os certificados a uma AC e entregam o smart
card ao titular
• Certificados digitais e Assinaturas digitais - documentos eletrônicos que comprovam a
identidade do usuário nas comunicações online
No Brasil o Governo Federal optou por estabelecer sua própria política de uso de certificados e
assinaturas digitais e criou sua infra-estrutura de chaves públicas própria, chamada ICP-Brasil.
Saiba mais sobre isso na próxima página.
A estrutura de um certificado
Quando o usuário acessa um site certificado, o navegador exibe uma mensagem de
identificação e com opções de uso daquele certificado. Se o site não é identificado, a
mensagem vem com um aviso de erro e com uma lista de possíveis razões desse erro. As mais
comuns são:
•
•
•
O navegador não reconhece a Autoridade Certificadora que emitiu o certificado
O certificado do site está incompleto devido a uma configuração incorreta do servidor
O usuário está conectado a um site que finge ser o pretendido, com o objetivo de obter
informações confidenciais
Neste caso, é possível examinar o certificado antes de marcar uma das três opções (aceitar o
certificado permanente ou temporariamente ou não aceitá-lo) e continuar a navegar pelo site
(veja os passos no filme abaixo).
Um certificado digital contém dois tipos de informação: as gerais e as detalhadas. Nas
informações gerais é possível saber:
•
•
•
•
A quem pertence o certificado (titular do certificado)
Quem o emitiu (autoridade certificadora)
Qual a sua validade
Método criptográfico da assinatura do certificado
Janela de informações gerais de um certificado
Nos detalhes do certificado há três áreas em que é possível obter mais informações sobre a
hierarquia e sobre cada campo do certificado. Ao selecionar um item no campo Certificate
Fields, seus dados são exibidos no campo Field Value. Sobre o dono do certificado, pode-se
saber nome, e-mail ou CPF/CNPJ, por exemplo. Sobre o emissor, seus dados e suas
assinaturas.
Janela de informações detalhadas de um certificado
Para as transações comuns da Internet, é possível adquirir um certificado e uma assinatura
digital de qualquer autoridade certificadora. Os custos variam de acordo com a entidade
emissora e o propósito do certificado. No Brasil, contudo, o governo federal resolveu
estabelecer sua própria política de uso de certificados e assinaturas digitais e criou sua infraestrutura de chaves públicas e privadas própria, chamada ICP-Brasil. E é que você saberá na
próxima página.
A certificação digital no Brasil
Em 2001, o governo brasileiro iniciou estudos para regulamentar o uso de certificados digitais
no país, de modo que as transações online entre os vários órgãos públicos e seus
fornecedores pudessem ter valor legal, permitindo maior agilidade no processo de compras e a
diminuição de custos com uso, gerenciamento e armazenamento de documentos oficiais
sigilosos ou não. A partir da Medida Provisória 2.200-2, de 24 de outubro de 2001, foi criada a
ICP-Gov, que mais tarde expandiu-se dos órgãos públicos para a iniciativa privada e
transformou-se na ICP-Brasil, a atual estrutura hierárquica de autoridades certificadoras ligadas
ao governo brasileiro. Somente as transações realizadas com certificados emitidos por
autoridades credenciadas na ICP-Brasil têm validade jurídica reconhecida no país.
Hoje, bancos utilizam a certificação digital no Sistema de Pagamentos Brasileiro,
principalmente nas transações entre eles. Instituições autorizadas a operar no mercado
cambial podem usar a assinatura digital nos contratos de câmbio. No Judiciário, há processos
totalmente eletrônicos, com advogados e juízes usando o certificado digital e-Doc em todas as
etapas. Universidades controlam os bolsistas do ProUni com certificado digital. O resultado
disso, segundo usuários, é ganho de tempo, economia e segurança. Apenas alguns países
utilizam certificados digitais com os mesmos propósitos do Brasil.
"Na maioria dos países, os certificados não seguem um protocolo único de segurança", conta
Viviane Regina Lemos Bertol, coordenadora geral de normalização e pesquisa do ITI (Instituto
Nacional de Tecnologia da Informação), autarquia federal vinculada à Casa Civil da
Presidência da República. "Há dificuldades inter-relacionais e em muitos casos o certificado
não tem valor legal". Segundo Bertol, o Brasil se baseou em países com uma estrutura única
de certificação, em que o governo tem o controle de toda a cadeia de regulamentação para que
a certificação funcione corretamente.
Uma das principais características da ICP-Brasil é sua estrutura hierárquica. No topo da
estrutura encontra-se a Autoridade Certificadora Raiz (AC Raiz) e, abaixo dela, as diversas
entidades (ACs de primeiro e segudo nível e Autoridades de Registro). Na ICP-Brasil, a AC
Raiz é o ITI, que é responsável pelo credenciamento dos demais participantes da cadeia
certificadora, pela emissão de seu próprio par de chaves e pela supervisão de todos os
processos que envolvem a certificação.
Para fazer parte da ICP-Brasil, a entidade passa por um processo de credenciamento em que
são analisadas sua capacidade jurídica, econômico-financeira, fiscal e técnica. Ela também
deve contratar um seguro de responsabilidade civil e realizar auditorias prévias e anuais. Todo
esse cuidado visa a garantir a segurança do processo - da identificação dos titulares até a
emissão dos certificados. Para ter seu certificado na ICP-Brasil, a Autoridade Certificadora
paga ao ITI cerca de R$ 500 mil por ano.
Atualmente, a ICP Brasil tem credenciadas oito Autoridades Certificadoras de primeiro nível
(Presidência da República, Secretaria da Receita Federal, Serpro, Caixa Econômica Federal,
AC Jus, Certisign, Imprensa Oficial de São Paulo - Imesp e Serasa), 20 ACs de segundo nível
e mais de 800 Autoridades de Registro (AR). Estão em fase de credenciamento duas ACs de
segundo nível e quatro ARs. As Autoridades de Registro são a presença física da certificação
digital no Brasil. Elas são as responsáveis por autenticar o titular do certificado. Quando
alguém pede um certificado digital, deve comparecer a uma Autoridade de Registro para que
esse certificado seja validado antes de ser usado. A validação requer a presença do titular no
posto da AR com seus documentos e o testemunho de dois agentes de registro - não importa
do tipo de certificado desejado. No Brasil há oito tipos de certificados. Saiba mais sobre eles na
próxima página.
Os tipos de certificado digital
Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com
quatro tipos cada. A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital,
utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e
em documentos eletrônicos com verificação da integridade de suas informações. A série S (S1,
S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos,
de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos
são diferenciados pelo uso, pelo nível de segurança e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio
computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as
informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive). Para acessar
essas informações você usará uma senha pessoal determinada no momento da compra.
Tipo de
certificado
A1 e S2
A2 e S2
A3 e S3
A4 e S4
Chave criptográfica
Tamanho Processo de
Mídia armazenadora
(bits)
geração
1024
Software
Arquivo
Smart card ou token, sem
1024
Sofware
capacidade de geração de
chave
Smart card ou token, com
1024
Hardware capacidade de geração de
chave
Smart card ou token, com
2048
Hardware capacidade de geração de
chave
Validade
máxima
(anos)
1
2
3
3
Os certificados mais comuns são:
•
•
A1 - de menor nível de segurança, é gerado e armazenado no computador do usuário.
Os dados são protegidos por uma senha de acesso. Somente com essa senha é
possível acessar, mover e copiar a chave privada a ele associada, e
A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardware
criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da
senha de acesso pode utilizar a chave privada, e as informações não podem ser
copiadas ou reproduzidas.
Certificados da Receita Federal
O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar
para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão
disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte. Eles foram criados em
2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações
via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar
retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal,
realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar
dados cadastrais.
Segundo Donizetti Victor Rodrigues, coordenador de infra-estrutura tecnológica e segurança da
informação da Secretaria da Receita Federal, já foram emitidos, desde 2002, mais de 300 mil
e-CNPJ e e-CPF. O número vem aumentando à medida que a Receita disponibiliza mais
serviços no e-CAC. Em 2005, quando poucos serviços estavam online, os acessos ao site da
Receita com certificado digital chegaram a 851 mil. Em 2006, quando mais serviços estavam
disponíveis, o número de acessos subiu para 17 milhões - mesma quantidade registrada nos
sete primeiros meses de 2007.
A popularidade desses certificados, segundo Rodrigues, se deve ao tempo que o contribuinte
economiza para obter informações junto à Receita. "Antes, para retificar uma declaração de
impostos ou para obter uma cópia da declaração, por exemplo, levava-se dias. A pessoa tinha
de comparecer a um posto da Receita, entrar com o pedido, e aguardar uma resposta. Agora é
possível fazer tudo instantaneamente no site, usando o certificado digital", diz ele.
Veja na tabela abaixo o que é possível fazer com os certificados da Receita Federal:
O que é possível fazer com o e-CPF e o e-CNPJ
Área
Atendimento
Cadastros CPF
Declaração de IR
Serviço disponível
Agendamento online
Dados cadastrais: consulta, alterações gerais e de
endereço
Consulta integral da declaração, cópia da declaração
Declarações e
demonstrativos - PF
Relação de declarações entregues
Declarações e
demonstrativos - PJ
Relação de declarações entregues
Legislação
Pagamentos
Parcelamento
Opção pelo recebimento da legislação diária do Sijut
Retificação de Darf
Cópia de Darf (comprovante de arrecadação)
Parcelamento geral
Pesquisa
Pesquisa de situação fiscal
Pesquisa dos rendimentos informados pelas Fontes
Pagadoras (beneficiário PF e PJ)
Siscomex
Cadastro de representantes legais
Exportação
Mantra
Importação
Trânsito aduaneiro
Internação Zona Franca de Manais
Outros
Caixa Postal
Termo de opção pelo Recob
Procuração eletrônica
Nas próximas páginas você vai saber um pouco mais sobre o e-CPF e o e-CNPJ, e como fazer
para adquirir seu certificado digital.
O e-CPF
Criado para identificar o contribuinte pessoa física na Internet, o e-CPF é emitido pelas
seguintes autoridades certificadoras Serasa, Certisign, Prodemg, Serpro, Imesp e Sincor. Ele
pode ser do tipo A1 e A3. O tipo A1 é um arquivo eletrônico gerado e armazenado no
computador do titular e exige senha para acessar os dados privados do usuário. Ele tem a
validade de 1 ano e tem custo variando de R$ 80 a R$ 120. O tipo A3 pode ser gerado em um
cartão inteligente ou uma mídia criptográfica (token) e tem validade de três anos.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartão
ficam Nome e CPF do titular, o chip criptográfico onde estão armazenados os dados do titular e
a chave privada associada àquele certificado, e o logo da autoridade certificadora. No verso
estão os logos da Receita Federal e da ICP-Brasil, além da mensagem de alerta que orienta o
titular a revogar o certificado em caso de perda ou roubo do cartão.
O e-CPF em cartão inteligente
O certificado digital e-CPF do tipo A3 deve ser usado em conjunto com uma leitora de cartões
inteligentes compatível, que pode ser adquirida na mesma autoridade certificadora onde você
comprar o seu certificado. Os custos variam de R$ 350 a R$ 500.
O e-CNPJ
Agilidade, redução de custos e segurança. Esses são os três pilares em que a Receita Federal
se apóia para convencer as empresas a adotar o certificado digital. "Processos que tinham de
ser realizados pessoalmente ou por meio de inúmeros documentos em papel passam a ser
feitos totalmente por via eletrônica", diz Donizetti Victor Rodrigues, coordenador de infraestrutura tecnológica e segurança da informação da Receita Federal. "Conseqüentemente, são
menos burocráticos e mais baratos".
Os custos da certificação digital, que variam de R$ 80 a R$ 3.000, viraram polêmica em 2002,
quando o e-CNPJ e o e-CPF foram criados. As micro e pequenas empresas alegavam que era
mais um custo entre tantos outros obrigatórios e que o governo deveria preocupar-se em
reduzir a carga tributária e a burocracia, em vez de oferecer serviços pagos para isso. O
discurso, entretanto, mudou de dois anos para cá. Hoje todas as obrigações da pessoa jurídica
já podem ser entregues via Internet, o que dispensa a presença do empresário ou de seu
representante legal em cartórios ou postos da Receita Federal. O contribuinte pessoa jurídica
pode usar o e-CNPJ para diversos serviços online disponibilizados pelos governos Federal,
Estadual e Municipal. É possível, por exemplo:
•
•
•
•
Emitir comprovantes de arrecadação de pagamento de tributos
Retificar possíveis erros no preenchimento de Darf (Documento de Arrecadação de
Receitas Federais)
Parcelar débitos fiscais
Realizar todas as transações relativas ao comércio exterior
•
Emitir nota fiscal eletrônica
A empresa pode nomear um ou mais representantes legais para o mesmo e-CNPJ, mas esses
representantes devem ter um certificado digital de pessoa física (caso dos contadores que
representam legalmente seus clientes em assuntos relativos a tributos). O uso do certificado
digital por empresas tornou-se obrigatório (Instrução Normativa SRF nº 696, de 14 de
dezembro de 2006) a partir deste ano em dois casos:
1. Empresas tributadas com base no lucro real ou arbitrado devem entregar a DIPJ
(Declaração de Informações Econômio-Fiscais da Pessoa Jurídica) somente via Internet,
serviço que exige o certificado para a transmissão da declaração. Segundo a receita,
130 mil empresas se enquadram neste perfil.
2. Na entrega da da DCTF (Declaração de Créditos e Débitos Tributários Fiscais), que
deve ser feita mensal ou semestralmente via Internet, com o uso do certificado. De
acordo com a Receita, 12 mil empresas entregam a DCTF via Internet.
Assim como o e-CPF, o e-CNPJ pode ser do tipo A1 e A3 e ser adquirido junto a uma
autoridade certificadora credenciada pela Secretaria da Receita Federal: Serasa, Certisign,
Prodemg, Serpro, Imesp e Sincor.
O tipo A1 é um arquivo eletrônico gerado e armazenado no computador do titular e exige senha
para acessar os dados privados do usuário. Ele tem a validade de 1 ano e custos variando
entre R$ 120 e R$ 150. O tipo A3 pode ser gerado em um cartão inteligente ou uma mídia
criptográfica (token) e tem validade de três anos. Seus custos variam de R$ 250 a R$ 550.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartão
ficam o nome da empresa e a inscrição no CNPJ, o chip criptográfico onde estão armazenados
os dados do titular e a chave privada associada àquele usuário (uma empresa pode ter um ou
mais certificados digitais), e o logo da autoridade certificadora. No verso estão os logos da
Receita Federal e da ICP-Brasil, além da mensagem de alerta que orienta o titular a revogar o
certificado em caso de perda ou roubo do cartão.
O e-CNPJ em cartão inteligente
Na próxima página você vai saber como adquirir um certificado digital da ICP-Brasil.
Como adquirir um certificado no Brasil
Obter um certificado digital é simples. Basta fazer o pedido no site da Autoridade Certificadora
e comparecer a um posto da Autoridade de Registro credenciada para realizar a autenticação
presencial. O comparecimento no posto da AR é a única relação física no caminho do
certificado. Veja o caminho da certificação:
1. Faça o pedido no site de uma Autoridade Certificadora, preenchendo um formulário com
seus dados de pessoa física ou jurídica. Se a escolha recair sobre um certificado do tipo
A3, é necessário, antes da solicitação, adquirir um dispositivo de armazenamento (token
ou cartão inteligente) e instalar o driver desse dispositivo no computador. Quando você
faz o pedido, são gerados uma senha e um par de chaves. A chave pública é enviada à
autoridade certificadora e servirá para identificá-lo em todos os processos relacionados
ao certificado, durante o período de validade. Memorize a senha escolhida. Você vai
precisar dela para instalar o certificado.
2. Após efetuar a solicitação, imprima 3 cópias do termo de titularidade que é gerado
automaticamente na última página do processo de solicitação.
3. Escolha uma das formas de pagamento e, de posse do comprovante de
pedido/pagamento, dirija-se ao posto da Autoridade de Registro credenciada pela
Autoridade Certificadora escolhida, levando duas cópias da documentação exigida e as
três cópias do Termo de Titularidade. O termo de titularidade só deverá ser assinado na
presença do Agente Registrador, no posto da Autoridade de Registro. O
comparecimento no posto da AR é a única relação física no caminho do certificado.
Todas as outras transações são realizadas no mundo virtual. É nesta etapa que você
receberá sua chave privada, que é pessoal e intransferível.
4. Instale o certificado digital no seu computador, seguindo as orientações do Agente de
Registro (variam de acordo com o tipo de certificado)
Veja na animação abaixo os passos para adqurir um certificado digital:
Para receber seu certificado, você terá de apresentar documentos aos agentes de registro. Se
você for pessoa física, leve duas cópias de:
1.
2.
3.
4.
5.
Cédula de identidade ou passaporte, se estrangeiro
CPF
Título de eleitor
Comprovante de residência
PIS/Pasep
Se for pessoa jurídica, compareça à AR com:
1.
2.
3.
4.
Registro comercial, em caso de empresa individual
Ato constitutivo, estatuto ou contrato social
CNPJ
Documentos pessoais da pessoa responsável
Pacotes de certificados
Os preços de cada certificado variam conforme o tipo e a autoridade certificadora, começando
em R$ 80 e chegando a cerca de R$ 3.000 pelo período de validade do documento, que varia
de um a três anos. Os certificados podem ser adquiridos na forma de arquivo eletrônico, cartão
inteligente ou mídia armazenadora criptográfica (token), nas seguintes combinações:
e-CNPJ/e-CPF
Tipo
Validade
em arquivo
A1
1 ano
certificado para quem possui hardware compatível
A3
3 anos
cartão inteligente sem leitora
A3
3 anos
cartão inteligente com leitora
A3
3 anos
em token
A3
3 anos
em cartão inteligente com leitora PCMCia
(para notebooks)
A3
3 anos
Cuidados com o certificado
Toda vez que for utilizar um certificado digital será solicitada uma senha, a mesma que foi
definida no momento da gravação do certificado digital. Caso você esqueça sua senha, não há
como recuperá-la ou substituí-la, e o certificado estará inválido. Por isso, em caso de perda da
mídia armazenadora ou de esquecimento da senha, é preciso:
•
•
•
•
Solicitar a revogação do certificado digital invalidado, mas certifique-se antes de que a
chave pública anterior não mais está sendo usada;
Solicitar um novo certificado digital, com encargos por sua conta, seguindo o mesmo
procedimento inicialmente adotado para o certificado digital anterior;
Solicitar a alteração dos acessos, anteriormente vinculados ao certificado digital
inutilizado, vinculando-os ao novo certificado digital;
Atualizar a chave pública eventualmente distribuída, substituindo-a pela nova,
pertencente ao novo certificado digital.
Glossário da certificação
Agora que você já sabe tudo sobre certificados digitais, fique por dentro dos termos* mais
utilizados:
Algoritmo - série de etapas utilizadas para completar uma tarefa, procedimento ou fórmula na
solução de um problema. Usado como chaves para criptografia de dados.
Algoritmo assimétrico - algoritmo de criptogtafia que usa duas chaves: uma pública e outra
privada. A chave pública pode ser distribuída abertamente, enquanto a chave privada é
mantida secreta. Alguns algoritmos assimétricos são capazes de muitas operações, incluindo
criptografia, assinaturas digitais e acordo de chave.
Algoritmo simétrico - operação criptográfica que usa somente uma chave para cifrar e
decifrar.
Algoritmo criptográfico - processo matemático definido para cifrar e decifrar mensagens e
informações.
Assinatura digital - código anexado ou logicamente associado a uma mensagem eletrônica
que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto
de dados. A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, como a assinatura de próprio punho comprova a autoria de um
documento escrito. A verificação da origem do dado é feita com a chave pública do remetente.
Autenticação - processo de confirmação da identidade de uma pessoa física ou jurídica
através das documentações apresentadas pelo solicitante e da confirmação dos dados
solicitados. Executada por agentes de registro, como parte do processo de aprovaçao de uma
solicitação de certificado digital.
Autenticidade - qualidade de um documento ser o que diz ser, independente de se tratar de
minuta, original ou cópia, e que é livre de adulterações ou qualquer outro tipo de corrupção.
Autoridade Certificadora - entidade da hierarquia da ICP-Brasil responsável por emitir,
distribuir, renovar, revogar e gerenciar certificados digitais. Sua função essencial é a
responsabilidade de verificar se o titular do certificado possui chave privada que corresponde à
chave pública que faz parte do certificado.
Autoridade Certificadora Raiz - primeira autoridade certificadora da ICP Brasil, executa
políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da
ICP-Brasil. Emite, expede, distribui, revoga e gerencia os certificados das Acs de nível
imediatamente subseqüente ao seu, além de gerenciar a lista de certificado emitidos,
revogados e vencidos e de fiscalizar e auditar ACs e ARs habilitados.
Autoridade de Registro - entidade responsável pela interface entre o usuário e a AC. Ela
recebe, valida, encaminha solicitações de emissão e revogação de certificados digitais às Acs
e identifica os solicitantes de forma presencial. Subordinada à AC, pode ser ou não uma
unidade remota.
Cadeia da certificação - série hierárquica de certificados assinados por sucessivas
autoridades certificadoras.
Certificado digital - documento eletrônico único e instransferível que funciona como uma
carteira de identidade em transações online.
Certificado de assinatura digital - certificado usado na confirmação de identidade na web, no
correio eletrônico, nas transações online, em redes privadas virtuais (VPN), transações
eletrônicas (EDI) e assinatura de documentos com verificação de integridade de suas
informações.
Certificado de sigilo - certificados usados para cifração de documentos, bases de dados,
mensagens e outras informações eletrônicas.
Certificado tipo A1 e S1 - certificados em que a geração de chaves criptográficas é feita por
software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha,
cifrado por software. Sua validade máxima é de um ano.
Certificado tipo A2 e S2 - certificados em que a geração de chaves criptográficas é feita em
software, e seu armazenamento pode ser feito em hardware ou repositório protegido por
senha, cifrado por software. Sua validade máxima é de um ano.
Certificado do tipo A2 e S2 - certificado em que a geração das chaves criptográficas é feita
em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem
capacidade de geração de chave e protegidos por senha. As chaves criptográficas têm no
mínimo 1024 bits. A validade máxima do certificado é de dois anos.
Certificado do Tipo A3 e S3 - certificado em que a geração e o armazenamento das chaves
criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de
chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICPBrasil. As chaves
criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos.
Certificado do tipo A4 e S4 - certificado em que a geração e o armazenamento das chaves
criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de
chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chaves
criptográficas têm no mínimo 2048 bits. A validade máxima do certificado é de três anos.
Chave Criptográfica - é o valor numérico ou código usado com um algoritmo criptográfico para
transformar, validar, autenticar, cifrar e decifrar dados.
Chave Privada - uma das chaves de um par de chaves criptográficas (a outra é uma chave
pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor
de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou
arquivos cifrados com a chave pública correspondente.
Chave Pública - uma das chaves de um par de chaves criptográficas (a outra é uma chave
privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para
verificar a assinatura digital criada com a chave privada correspondente. Dependendo do
algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam,
então, ser decifrados com a chave privada correspondente.
Chave Simétrica - chave criptográfica gerada por um algoritmo simétrico.
Chaves Assimétricas - chaves criptográficas geradas por um algoritmo assimétrico.
Comitê Gestor da ICP-Brasil - autoridade gestora de políticas da ICPBrasil que tem suas
competências definidas na Medida Provisória 2.2002. É responsável, dentre outras coisas, por
estabelecer a política e as normas de certificação, fiscaliza a atuação da Autoridade
Certificadora Raiz, cuja atividade é exercida pelo Instituto Nacional de Tecnologia da
Informação.
Confidencialidade - propriedade de certos dados ou informações que não podem ser
disponibilizadas ou divulgadas sem autorização para pessoas, entidades ou processos.
Assegurar a confidencialidade de documentos é assegurar que apenas pessoas autorizadas
tenham acesso à informação.
Credenciamento - processo em que o ITI avalia e aprova os documentos
legais, técnicos, as práticas e os procedimentos das entidades que desejam ingressar na ICPBrasil. Aplica-se a Autoridades Certificadoras, Autoridades de Registro e Prestadores de
Serviços de Suporte. Quando aprovados, os credenciamentos são publicados no Diário Oficial
da União.
Criptografia - área da criptologia que trata dos princípios, dos meios e dos métodos de
transformação de documentos com o objetivo de mascarar seu conteúdo, impedir
modificações, uso não autorizado e dar segurança à confidência e autenticação de dados.
Ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações,
através de um processo de cifragem, e para restaurar informações cifradas para sua forma
original, inteligível, através de um processo de decifragem. A criptografia também se preocupa
com as técnicas de criptoanálise, que dizem respeito a formas de recuperar aquela informação
sem se ter os parâmetros completos para a decifragem.
Criptografia Assimétrica - tipo de criptografia que usa um par de chaves criptográficas
distintas (privada e pública) e matematicamente relacionadas. A chave pública está disponível
para todos que queiram cifrar informações para o dono da chave privada ou para verificação de
uma assinatura digital criada com a chave privada correspondente; a chave privada é mantida
em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.
Declaração de Praticas de Certificação (DPC) - documento, periodicamente revisado e
republicado, que descreve as práticas e os procedimentos empregados pela Autoridade
Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema
de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de
certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para
garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar
a adequação dos padrões de segurança empregados as necessidades de segurança de suas
aplicações.
Hash - resultado da ação de algoritmos que fazem o mapeamento de uma seqüência de bits
de tamanho arbitrário para uma seqüência de bits de tamanho fixo menor conhecido como
resultado hash de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo
resultado hash (resistência à colisão), e que o processo reverso também não seja realizável
(dado um hash, não é possível recuperar a mensagem que o gerou).
Hierarquia do Certificado - estrutura de certificados digitais que permite a indivíduos
verificarem a validade de um certificado. O certificado é emitido e assinado por uma Autoridade
Certificadora que está numa posição superior na hierarquia dos certificados. A validade de um
certificado específico é determinada, entre outras coisas, pela validade correspondente ao
certificado da AC que fez a assinatura.
Infraestrutura de chaves públicas brasileira (ICP-Brasil) - É um conjunto de técnicas,
arquitetura, organização, práticas e procedimentos, implementados pelas organizações
governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a
operação de um sistema de certificação. Tem como objetivo estabelecer os fundamentos
técnicos e metodológicos de uma sistema de certificação digital baseado em criptografia de
chave pública, para garantir a autenticidade, a integridade e a validade jurídica de documentos
em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem
certificados digitais, bem como a realização de transações eletrônicas seguras. A ICP-Brasil foi
criada pela Medida Provisória 22002, de 24.08.2001, e encontra-se regulamentada pelas
Resoluções do Comitê Gestor da ICP-Brasil.
Não repúdio - ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa que
executou determinada transação de forma eletrônica, não poderá posteriormente negar sua
autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital.
Deste modo, a menos de um uso indevido do certificado digital, fato que não exime de
responsabilidade, o autor não pode negar a autoria da transação. Transações digitais estão
sujeitas a fraude, quando sistemas de computador são acessados indevidamente ou infectados
por cavalos-de-tróia ou vírus. Assim os participantes podem, potencialmente, alegar fraude
para repudiar uma transação.
Par de chaves - chaves privada e pública de um sistema criptográfico assimétrico. A chave
privada e sua chave pública são matematicamente relacionadas e possuem certas
propriedades, entre elas a de que é impossível a dedução da chave privada a partir da chave
pública conhecida. A chave pública pode ser usada para verificação de uma assinatura digital
que a chave privada correspondente tenha criado ou a chave privada pode decifrar a uma
mensagem cifrada a partir da sua correspondente chave pública. A chave privada é de
conhecimento exclusivo do titular do certificado.
Política de Certificação (PC) - documento que descreve os requisitos, procedimentos e nível
de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um
Certificado Digital.
Repositório - sistema confiável e acessível online, mantido por uma Autoridade Certificadora,
para publicar sua Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC),
Política de Segurança (PS), Lista de Certificados Revogados (LCR) e endereços das
instalações técnicas das AR vinculadas.
Sala-cofre - área de segurança restrita, formada por cofre com proteção eletromagnética, física
e contra fogo, afim de proteger as chaves privativas que assinam os certificados digitais.
Smart card - pequeno dispositivo, geralmente do tamanho de um cartão de crédito, que
contém um processador e é capaz de armazenar informação criptográfica (como chaves e
certificado) e realizar operações criptográficas.
Token - dispositivo para armazenamento do certificado digital de forma segura, com
funcionamento parecido com o smart card, mas conexão com o computador via USB.
X.509 - padrão que especifica o formato dos certificados digitais, de tal maneira que se possa
amarrar firmemente um nome a uma chave pública, permitindo autenticação forte. Faz parte
das séries X.500 de recomendações para uma estrutura de diretório global, baseada em
nomes distintos para localização. Na ICP-Brasil utilizam-se certificados no padrão X509 V3.
Fonte:
Site Howstuffworks (http://informatica.hsw.uol.com.br/certificado-digital.htm)
Autora:
Gisele Ribeiro,
Editora do HowStuffWorks no Brasil, Gisele é jornalista formada pela Universidade de Mogi das
Cruzes, com especialização em divulgação científica pela Universidade de São Paulo e pela
UC Berkeley. Trabalhou como repórter de O Globo, Veja, Folha de S.Paulo e Byte, e como
editora de tecnologia no provedor UOL. Durante três anos prestou consultoria em usabilidade e
aplicação de conteúdo em web sites.