Certificação
Digital
Histórico da Certificação Digital no Brasil
● SERPRO
● MP 2200 - Agosto de 2001
-
Criação da ICP-Brasil;
Transforma o ITI em autarquia
Principais pontos:
•
Atribuição de valor legal às assinaturas digitais geradas com chave
privada associada a certificado digital ICP-Brasil;
•
Modelo com Autoridade Certificadora Raiz única;
•
Exigência de identificação presencial do titular para obtenção do
certificado;
•
Vinculação da entidade executora diretamente à Casa Civil da
Presidência da República, como forma de garantir apoio político e
orçamentário a longo prazo.
01
ICP-Brasil
A ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileira) - é um
conjunto de entidades, padrões técnicos e regulamentos, elaborados
para suportar um sistema criptográfico com base em certificados
digitais.
Foi criada a partir da percepção do Governo Federal da importância
de regulamentar as atividades de certificação digital no País, com
vistas a inserir maior segurança nas transações eletrônicas e
incentivar a utilização da Internet como meio para realização de
negócios.
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras,
formada por:
• Autoridade Certificadora Raiz (AC-Raiz);
• Autoridades Certificadoras (AC);
• Autoridades de Registro (AR); e
• Comitê Gestor da ICP-Brasil (autoridade gestora de políticas).
02
AC - Raiz
(Autoridade Certificadora RAIZ)
- AC-Raiz (ICP-Brasil) – ITI / CC / PR;
- 1ª AC da cadeia de certificação;
- Políticas de Certificados, normas técnicas e operacionais;
- Comitê Gestor da ICP-Brasil.
Competência:
• Emitir;
• Expedir;
• Distribuir;
• Revogar; e
• Gerenciar;
Certificados das AC’s de 1º nível;
• Auditorar: AC’s – cumprimento das normas;
AR’s;
Prestadores de Serviços cadastrados da ICP-Brasil)
03
Comitê Gestor
- Vinculado à Casa Civil;
Composição:
- 05 representantes da sociedade civil e integrantes de
setores interessados. Designados pelo PR; e
- 01 representante de cada um dos seguintes órgãos.
Indicados por seus titulares:
- Ministério da Justiça;
- Ministério da Fazenda;
- Ministério do Desenvolvimento, Indústria e Comércio Exterior;
- Ministério do Planejamento, Orçamento e Gestão;
- Ministério da Ciência e Tecnologia;
- Casa Civil da Presidência da República; e
- Gabinete de Segurança Institucional da Presidência da República.
* Principal competência é determinar as políticas a serem executadas pela
Autoridade Certificadora-Raiz.
04
AC
(Autoridades Certificadoras)
Personalidade:
- Empresas públicas;
- Empresas privadas.
Finalidade:
Emitir certificados digitais vinculando
criptográficas ao respectivo titular.
pares
de
chaves
Competência:
Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir,
expedir, distribuir, revogar e gerenciar os certificados, bem como
colocar à disposição dos usuários listas de certificados revogados
e outras informações pertinentes e manter registro de suas
operações”.
05
AR
(Autoridades de Registro)
- Credenciadas pela AC-Raiz;
- Serão vinculadas operacionalmente a determinada AC.
Personalidade:
- Empresas públicas;
- Empresas privadas.
Finalidade:
- Identificar e cadastrar usuários, de forma presencial;
- Encaminhar solicitações de certificados à respectiva AC; e
- Manter registros de suas operações.
Competência:
Nos termos do art. 70 da MP 2.200-2, compete-lhes “identificar e
cadastrar usuários na presença destes, encaminhar solicitações
de certificados às AC e manter registros de suas operações”.
06
Estrutura da ICP-Brasil
Legenda
07
Estrutura da ICP-Brasil
Legenda
08
Certificação Digital
É um conjunto de técnicas e
processos que propiciam mais
segurança às comunicações e
transações eletrônicas.
09
Certificação Digital
Garantias:
- Autenticidade;
- Integridade;
- Confidencialidade;
- Não-repúdio;
- Validade Jurídica;
- Transações seguras na WEB.
10
Certificado Digital
- Documento eletrônico;
- Assinado digitalmente por uma terceira parte confiável;
- Associa uma pessoa ou servidor a uma chave pública;
- Contém os dados de seu titular, tais como:
- nome;
- e-mail;
- CPF;
- Chave pública;
- Nome e assinatura da AC que o emitiu.
* Lotação;
* Ramal.
Na prática, o certificado digital funciona como uma carteira de
identidade virtual que permite a identificação segura de uma
mensagem ou transação em rede de computadores. O processo de
certificação digital utiliza procedimentos lógicos e matemáticos para
assegurar princípios básicos da segurança da informação.
11
Principais informações constantes
no certificado digital
- Chave pública do titular;
- Nome;
- E-mail;
- Período de validade do certificado;
- Nome da Autoridade Certificadora - AC emitente;
- Número de série do certificado digital;
- Assinatura digital da AC.
* Ramal
* Lotação
12
Vantagens oferecidas às empresas ou pessoas físicas que adquirem um certificado
digital
- Agilidade;
- Redução de custos;
- Segurança.
- A certificação digital hoje permite que processos que tinham que ser
realizados pessoalmente ou por meio de inúmeros documentos em papel,
possam ser feitos totalmente por via eletrônica.
-Com isso os processos tornam-se menos burocráticos, mais rápidos e por
conseguinte, mais baratos.
- A certificação digital garante autenticidade e integridade. O documento com
assinatura digital ICP-Brasil tem a validade de um documento em papel
assinado manualmente.
13
O certificado digital tem prazo de validade?
- Sim
Por que não emitir certificados sem data
final de validade?
- Para renovar a relação de confiança entre seu titular e a AC.
- Substituição da chave privada por uma outra tecnologicamente
mais avançada;
- Possíveis mudanças ocorridas nos dados do usuário.
- Tem objetivo de tornar mais robusta a segurança em relação às
técnicas de certificação e às informações contidas no certificado.
14
Cronologia do Certificado Digital
15
● Qualquer pessoa pode obter um certificado digital?
- Sim, qualquer pessoa física ou jurídica;
● É possível que um cidadão estrangeiro consiga obter
um certificado ICP-Brasil sem que possua um CPF?
- O certificado deverá ser emitido por AC que não seja vinculada à
cadeia da AC SRF (e-CPF);
- Validação dos dados na Receita Federal;
- Deverá apresentar, como identidade, o original do passaporte e
demais documentos previstos na Resolução 42 da ICP-Brasil, item
3.1.9.1.
16
● Os documentos em papel, depois de digitalizados, certificados
digitalmente, autenticados por um tabelião e registrados no cartório
de registro de títulos e documentos, poderão ser eliminados?
Não.
O documento digitalizado a partir de uma documento original não é legalmente
presumido autêntico, pois o documento original pode ter sofrido alterações
anteriores ao processo de digitalização.
Uma vez digitalizado o documento e certificado no âmbito da cadeia do ICPBrasil, este não poderá mais sofrer alterações, todavia o documento original,
antes da sua digitalização, pode ter sofrido alterações. Assim sendo, em caso
de questionamento quanto a integridade e autenticidade do conteúdo posto no
documento digitalizado, o interessado só poderá fazer prova destes atributos
com a exibição do documento original.
Desta forma, não é recomendável a eliminação dos documentos originais.
O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos
o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por
tabelião de notas, valerá como prova de declaração de vontade, mas,
impugnada sua autenticidade, deverá ser exibido o original.”
17
Exemplo de aplicações da Certificação Digital
● Sistema de Pagamentos Brasileiro (SPB);
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e
privadas;
● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● Registro de operações e prestações de impostos federais pela Internet;
Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Consulta da situação dos contribuintes na base da Receita Federal;
● Assinatura de Contratos de Câmbio e Apólices de Seguros;
● Programas de Governo;
Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Sistemas Estruturadores do Governo Federal;
● Internet banking e mobile banking;
● Automação de processos do Poder Judiciário;
Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
● Atendimento ao cidadão;
Ex.: DETRAN-MG, CETESB-SP, INPI.
18
O que é criptografia?
- Palavra de origem grega;
- Significa a arte de escrever em códigos, de forma a esconder
a informação na forma de um texto incompreensível;
- A informação codificada é chamada de texto cifrado;
- O processo de codificação ou ocultação é chamado de cifragem ou
comumente chamado de criptografar;
- O processo inverso, ou seja, obter a informação original a partir do
texto cifrado chama-se decifragem ou descriptografar;
- A cifragem ou processo de codificação, é executada por um
programa de computador (cifrador) que realiza um conjunto de
operações matemáticas e transformam um texto claro em um texto
cifrado;
19
O que é criptografia?
- Insere-se uma chave secreta na mensagem;
- O emissor do documento envia o texto cifrado, que será
reprocessado pelo receptor, transformando-o, novamente, em
texto legível, igual ao emitido, desde que tenha a chave correta.
20
Tipos de Criptografia
- Simétrica
- Assimétrica
21
Tipos de Criptografia - Simétrica
- Realiza a cifragem e decifragem de uma informação através de
algoritmos que utilizam a mesma chave, garantindo o sigilo das
informações;
- Ocorre a troca de chaves.
Vantagem
- Utiliza uma mesma chave para cifragem e decifragem;
Desvantagem
- Envio da chave ao destinatário;
- Utilizar algum meio de contato com o destinatário para
fornecer a senha;
22
Tipos de Criptografia - Assimétrica
- Operam com duas chaves distintas:
- Chave privada;
- Chave pública.
- São geradas simultaneamente;
- São relacionadas entre si;
- Mantem-se o sigilo da chave privada;
- Disponibiliza-se a chave pública;
23
Tipos de Criptografia – Assimétrica
- Garantia de Confidencialidade
Alice
Beto
24
Tipos de Criptografia – Assimétrica
- Garantia de Autenticidade
Alice
Ana
Renato
Beto
25
Assinatura Digital
- Assinatura eletrônica, resultado de uma
operação matemática que utiliza criptografia;
- Confere a imutabilidade do documento, ou
seja, qualquer alteração do documento,
como por exemplo a inserção de mais um
espaço entre duas palavras, invalida a
assinatura.
26
Assinando um documento
- Todo documento gera da função RESUMO (hash);
- Qualquer alteração no documento modifica o hash, originando
resumos diferentes;
- O hash do documento é cifrado juntamente com a chave privada; é
anexado ao documento e tem-se como resultado a assinatura digital.
27
Conferindo a assinatura digital do documento
- Utiliza-se a chave pública do remetente para decifrar;
- Se o hash do documento decifrado for igual ao do documento
antes de ser cifrado, a assinatura está correta, válida;
- Se o hash do documento decifrado for diferente ao do
documento antes de ser cifrado, significa que pode ter havido
alterações no documento ou na assinatura. Portanto, a
assinatura torna-se inválida;
- O hash do documento é cifrado juntamente com a chave
privada, é anexado ao documento e tem-se como resultado a
assinatura digital.
28
Conferindo a assinatura digital do documento
29
Exemplo de aplicações da Assinatura Digital
● Sistema de Pagamentos Brasileiro (SPB);
● Comércio e correio eletrônico;
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e
● privadas;
Processos judiciais e administrativos em meio eletrônico;
Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● ●Facilitar
a iniciativa popular na apresentação de projetos de lei, uma vez que os
cidadãos
poderão
assinar
digitalmente
sua adesão
às pela
propostas;
● Registro
de operações
e prestações
de impostos
federais
Internet;
Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Assinatura da declaração de renda e outros serviços prestados pela Secretaria
Consulta Federal;
da situação dos contribuintes na base da Receita Federal;
da● Receita
Assinaturaede
Contratos
de Câmbio e cartorários;
Apólices de Seguros;
● ●Obtenção
envio
de documentos
● Programas de Governo;
● Transações
seguras
instituições
financeiras,
como já Social
vem ocorrendo
Ex.: PROUNI
do MEC,entre
JUROS
ZERO da FINEP
e Conectividade
da CEF; desde
abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Diário Oficial Eletrônico;
● Sistemas Estruturadores do Governo Federal;
● Identificação de sítios na rede mundial de computadores, para que se tenha
● Internet banking e mobile banking;
certeza
de que se está acessando o endereço realmente desejado (Certificado
Digital
para Servidor).
Protocolo
SSL.
● Automação
de processos
do Poder seguro
Judiciário;
Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
Ex.: Banco do Brasil, SRF, ORKUT, ...
● Atendimento ao cidadão;
Ex.: DETRAN-MG, CETESB-SP, INPI.
30
Certificado Digital para servidor (Assinatura Digital para servidor)
● Sistema de Pagamentos Brasileiro (SPB);
● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e
privadas;
● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica;
● Registro de operações e prestações de impostos federais pela Internet;
Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)
● Consulta da situação dos contribuintes na base da Receita Federal;
● Assinatura de Contratos de Câmbio e Apólices de Seguros;
● Programas de Governo;
Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF;
● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal);
● Sistemas Estruturadores do Governo Federal;
● Internet banking e mobile banking;
● Automação de processos do Poder Judiciário;
Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros;
● Atendimento ao cidadão;
Ex.: DETRAN-MG, CETESB-SP, INPI.
31
● O documento assinado eletronicamente é
reconhecido da mesma forma que um
documento assinado de forma manuscrita?
- Sim. (art. 10, da MP n° 2.200)
- Documentos eletrônicos assinados digitalmente por meio de
certificados emitidos fora do âmbito da ICP-Brasil também têm
validade jurídica, mas esta dependerá da aceitação de ambas
as partes, emitente e destinatário, conforme determina a
redação do § 2º do art. 10 da MP n° 2.200-2.
32
● A assinatura digital confere sigilo
ao documento eletrônico?
-A assinatura digital não torna o documento eletrônico sigiloso, pois
ele em si não é criptografado;
- O sigilo do documento eletrônico poderá ser resguardado mediante a
cifragem da mensagem com a chave pública do destinatário, pois
somente com o emprego de sua chave privada o documento poderá
ser decifrado;
- Já a integridade e a comprovação da autoria são características
primeiras do uso da certificação digital para assinar.
33
● Assinatura digital é o mesmo
que assinatura digitalizada?
- Não;
- A assinatura digitalizada é a reprodução da
assinatura de próprio punho como imagem por um
equipamento tipo scanner;
- Ela não garante a autoria e integridade do
documento eletrônico, porquanto não existe uma
associação inequívoca entre o assinante e o texto
digitalizado, uma vez que ela pode ser facilmente
copiada e inserida em outro documento.
34
Meios de Armazenamento do
certificado digital (Hardware)
- São dispositivos portáteis que funcionam como mídias
armazenadoras;
- Em seus chips são armazenadas as chaves dos usuários;
- O acesso às informações neles contidas é feito por meio de
uma senha pessoal, determinada pelo titular;
- O smart card assemelha-se a um cartão magnético, sendo
necessário um aparelho leitor para seu funcionamento;
- Já o token assemelha-se a um pequeno pen-drive que é
colocado em uma entrada USB do computador.
35
Smart card
Token
36
Cuidados que devem ser tomados ao utilizar a certificação digital
37
Utilização na Eletronorte
- Microsoft outlook;
- Microsoft Word;
- Microsoft Excel;
- Webdoc;
- SAP/R3;
- Logon de acesso ao Sistema Operacional;
- Demais aplicações.
38
Arquivos necessários
- Internet
http://www.certificadodigital.com.br/suporte/ikeydrv.zip
- Intranet (GSIS)
http://intranet/gsi/default.htm
39
Sites relacionados
- ITI (Instituto Nacional de Tecnologia da Informação)
http://www.iti.gov.br/
- ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileiras)
https://www.icpbrasil.gov.br/
40
Obrigado!
Diretoria de Gestão Corporativa - DG
Superintendência de Tecnologia da Informação - GSI
Gerência de Segurança da Informação - GSIS
Gerente
Josita Arcanjo Ramos
Instrutor
Renato Muniz de Abreu – Ramal: 8784
E-mail: [email protected]
41