HSM não deve conter chave privada de Pessoa Física
O
Instituto Nacional de Tecnologia da Informação (ITI), por meio de sua
Procuradoria Federal Especializada, publicou em sua página na internet (www.iti.gov.br)
uma notificação pública a todos os envolvidos e interessados no Sistema
Nacional de Certificação Digital no padrão da Infraestrutura de Chaves
Públicas Brasileira (ICP-Brasil) em que alerta sobre a geração e a
guarda da chave privada de pessoa física em HSM (Hardware Secure
Module).
Conforme explica o procurador Federal Chefe do ITI, André Garcia, a validade jurídica das manifestações eletrônicas assinadas com um certificado ICP-Brasil está condicionada à propriedade e intransferibilidade da chave privada do titular. “Há casos em que o certificado digital de pessoa física encontra-se no interior de um HSM, o que torna inválida qualquer assinatura eletrônica, uma vez que a chave privada do titular pode ser compartilhada por outros usuários”.
Leia abaixo a íntegra da notificação Pública:
ADVOCACIA-GERAL DA UNIÃO
PROCURADORIA-GERAL FEDERAL
PROCURADORIA FEDERAL JUNTO AO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI
Notificação - Conhecimento Público -
Chave Privada - HSM - Solução
Mercadológica - Infringência
Normativa - Invalidade Jurídica.
Chave Privada - HSM - Solução
Mercadológica - Infringência
Normativa - Invalidade Jurídica.
O INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI,
Autarquia Federal vinculada à Casa Civil da Presidência da República,
na qualidade de Autoridade Certificadora Raiz – AC Raiz da
Infraestrutura de Chaves Públicas Brasileira/ICP-Brasil, pelo conduto de
seus procuradores abaixo assinados, vem a público esclarecer, a todos
os interessados, que
A geração e a guarda da chave privada de pessoa física em HSM (Hardware Secure Module), compartilhado por outras pessoas físicas (modelo de rede, com o HSM controlado por um servidor), contraria o padrão ICP-Brasil, de forma que as manifestações eletrônicas que utilizem essa solução não terão validade jurídica, haja vista que a Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em seu art. 6º, parágrafo único, é expressa:
A geração e a guarda da chave privada de pessoa física em HSM (Hardware Secure Module), compartilhado por outras pessoas físicas (modelo de rede, com o HSM controlado por um servidor), contraria o padrão ICP-Brasil, de forma que as manifestações eletrônicas que utilizem essa solução não terão validade jurídica, haja vista que a Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em seu art. 6º, parágrafo único, é expressa:
Art. 6º (...).
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.
Logo, a validade jurídica
da assinatura digital ICP-Brasil encontra-se condicionada à tutela
exclusiva da chave privada pelo seu titular, fato esse inocorrente acaso
se utilize a solução de HSM como um centralizador de diversas chaves
privadas de pessoas físicas, haja vista que o controle, uso e
conhecimento exclusivo da chave privada pelo seu titular é requisito
imprescindível para a segurança das manifestações eletrônicas e a sua
consequente validade jurídica.