Dúvidas sobre Certificação Digital - Respondidas pelo ITI.
Na prática, o certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora - AC que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contém os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.
Como a assinatura realizada em papel, trata-se de um mecanismo que identifica o remetente de determinada mensagem eletrônica. No âmbito da ICP-Brasil, a assinatura digital possui autenticidade, integridade, confiabilidade e o não-repúdio - seu autor não poderá, por forças tecnológicas e legais, negar que seja o responsável por seu conteúdo. A assinatura digital fica de tal modo vinculada ao documento eletrônico que, caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.
Não. A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem, o que não garante a autoria e integridade do documento eletrônico. Neste caso, não existe associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.
Não. O documento digitalizado não é legalmente presumido autêntico, pois o documento original pode ter sofrido alterações anteriores ao processo de digitalização. Esclarecendo melhor, uma vez digitalizado o documento e certificado no âmbito da cadeia da
ICP-Brasil, este não poderá mais sofrer alterações, todavia o documento original, antes da sua digitalização, pode ter sofrido alterações.
Assim sendo, em caso de questionamento quanto a integridade e autenticidade do conteúdo posto no documento digitalizado, o interessado só poderá fazer prova destes atributos com a exibição do documento original. Desta forma, não é recomendável a eliminação dos documentos originais.
O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por tabelião de notas, valerá como prova de declaração de vontade, mas, impugnada sua autenticidade, deverá ser exibido o original.” Analisando o artigo sob comento, chegaremos a conclusão, se um documento fotografado e conferido por tabelião de notas pode sofrer impugnações acerca da sua autenticidade, analogicamente, documentos que sofreram digitalização também pode ser objeto de impugnações, pois apenas o original faz prova concreta da sua autenticidade.
Portanto, é importante assinalarmos que a presunção de integridade e autenticidade, extraída do art.10 da
Medida Provisória de nº2.200-2, de 24/08/2001, diz respeito a documentos produzidos eletronicamente e assinados digitalmente com certificados emitidos no âmbito da ICP-Brasil.
Vale dizer, a assinatura eletrônica vinculada a um certificado emitido no âmbito da ICP-Brasil conduz à presunção de autenticidade do documento subscrito, certo que é, como afirma Humberto Theodoro Júnior, em Comentários ao Novo Código Civil. Volume III. Tomo II. Rio de Janeiro: Forense, 2003, p. 48, que o “Código não subordina a validade do instrumento particular a que a firma do signatário seja reconhecido por tabelião ou qualquer oficial público. O que lhe dá autenticidade é a própria assinatura, ou seja, a escrita do nome do declarante, feita pessoalmente (de forma autógrafa)”.
Criptografia (do grego kryptós, "escondido", e gráphein, "escrita") é uma forma sistemática utilizada para esconder a informação na forma de um texto ou mensagem incompreensível. Essa codificação é executada por um programa de computador que realiza um conjunto de operações matemáticas, inserindo uma chave secreta na mensagem. O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta.
Existem dois tipos de criptografia: simétrica e assimétrica. A criptografia simétrica é baseada em algoritmos que dependem de uma mesma chave, denominada chave secreta, que é usada tanto no processo de cifrar quanto no de decifrar o texto. Para a garantia da integridade da informação transmitida é imprescindível que apenas o emissor e o receptor conheçam a chave. O problema da criptografia simétrica é a necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alteração do documento por qualquer das partes.
A criptografia assimétrica utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptografia assimétrica são denominadas chave pública e chave privada. A chave pública pode ser conhecida pelo público em geral, enquanto que a chave privada somente deve ser de conhecimento de seu titular.
As principais informações que constam em um certificado digital são: chave pública do titular; nome e endereço de e-mail; período de validade do certificado; nome da Autoridade Certificadora - AC que emitiu o certificado; número de série do certificado digital; assinatura digital da AC.
Da mesma forma que uma pessoa física pode solicitar sua identidade digital, as empresas interessadas com um CNPJ válido podem solicitar também. Maiores informações sobre este procedimento podem ser encontradas no documento
DOC-ICP-05, vinculado à
Resolução nº 42 da legislação da ICP-Brasil.
Sim. Qualquer pessoa pode solicitar às Autoridades Certificadoras um Certificado Digital.
Sim, é possível um estrangeiro ter certificado digital da
ICP-Brasil, mesmo sem CPF. Só que o certificado deverá ser emitido por AC que não seja vinculada à cadeia da AC SRF. Em outras palavras, ele não poderá obter certificados do tipo e-CPF, pois o processo de emissão desse tipo de certificado obriga a AR a fazer uma validação na base de dados da Receita Federal.
É preciso apresentar, como identidade, o original do passaporte e demais documentos previstos na
Resolução 42 da ICP-Brasil, item 3.1.9.1.
A diferença é que na certificação digital da pessoa física o responsável pelo certificado é a própria pessoa e na certificação digital da pessoa jurídica o titular é a empresa e esta tem uma pessoa física responsável pelo uso do certificado.
São muitas as possibilidades de aplicações da assinatura digital, dentre elas encontram-se as seguintes: - comércio eletrônico; - processos judiciais e administrativos em meio eletrônico; - facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; - assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; - obtenção e envio de documentos cartorários; - transações seguras entre instituições financeiras, como já vem ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; - Diário Oficial Eletrônico; - identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado; etc.
Agilidade, redução de custos e segurança. São essas as principais vantagens da certificação digital. A certificação digital hoje permite que processos que tinham que ser realizados pessoalmente ou por meio de inúmeros documentos em papel, possam ser feitos totalmente por via eletrônica. Com isso os processos tornam-se menos burocráticos, mais rápidos e por conseguinte, mais baratos. A certificação digital garante autenticidade e integridade. O documento com assinatura digital ICP-Brasil tem a validade de um documento em papel assinado manualmente.
Essa tecnologia traz segurança tanto para a Administração como para o cidadão. Além disso, pode ser uma ferramenta importante para a melhoria da gestão, para a desburocratização e para dar agilidade do atendimento do público. O caso do
ProUni é exemplar. Com ele o Ministério da Educação tornou eletrônico todo o processo de solicitação de bolsas, bem como a comunicação e os trâmites entre o Ministério e as Faculdades integrantes do projeto.
A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado. O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado. Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar.
Uma questão interessante e bastante importante dentro da
ICP-Brasil, é justamente a interoperabilidade. Um sistema deve funcionar com qualquer certificado da ICP-Brasil, não importa quem o tenha emitido. Pode haver distinção quanto ao tipo de certificado (A1, A2, A3, A4, S1, S2, S3 e S4), mas não quanto ao emissor.
Por exemplo, um sistema pode ter sido projetado para utilizar certificados do tipo A3. Então, ele deverá funcionar com certificados do tipo A3 ou A4, que possui requisitos de segurança ainda mais elevados que o A3. E não deverá funcionar com certificados do tipo A1 ou A2, que possuem requisitos de segurança menores que o A3. Isso deve ser verdadeiro, não importa qual AC seja emissora do certificado.
Uma situação que pode estar ocorrendo é que talvez vocês não estejam com a cadeia de certificação instalada no sistema ou no smart card. Nesse caso, não será possível ao sistema descobrir o caminho de certificação e validar o certificado. Se não for esse o caso, sugerimos que a AC emissora do certificado seja contactada e informada dessa situação, que com certeza não é normal.
As informações sobre auditoria estão nos seguintes documentos:
a)
DOC-ICP-09, aprovado pela resolução 44 do CG da
ICP-Brasil, que diz como devem ser feitas as auditorias na ICP-Brasil;
b)
DOC ICP-05, aprovado pela resolução 42 do CG da ICP-Brasil, que diz quais devem ser os procedimentos de uma Autoridade Certificadora;
c)
DOC-ICP-03.01, aprovado pela Instrução Normativa 07/2006, do ITI, que trata mais especificamente de procedimentos a serem adotados pelas Autoridades de Registro.
O padrão PKCS#7, da
RSA é utilizado na
ICP-Brasil como formato para a entrega dos certificados digitais aos seus titulares.
Para os softwares de assinatura, a
Instrução Normativa 09/2006, do ITI, de 18.05.2006, regulamenta os requisitos para softwares de assinatura digital, sigilo e autenticação, no âmbito da ICP-Brasil.
Essa IN menciona outros 3 documentos - os Manuais de Condutas Técnicas 4, 5 e 6, que estão publicados no item
Homologação/Documentos e trazem detalhes sobre as características esperadas desses softwares.
De acordo com o art. 10, da
MP n° 2.200-2, os documentos eletrônicos assinados digitalmente com o uso de certificados emitidos no âmbito da
ICP-Brasil têm a mesma validade jurídica que os documentos em papel com assinaturas manuscritas. Importante frisar que os documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2.
Primeiramente, deve-se lembrar que o certificado digital representa a “identidade” da pessoa no mundo virtual. Assim, é necessária a adoção de alguns cuidados para se evitar que outra pessoa, possa fechar contratos e/ou negócios e realizar transações bancárias em nome do titular do certificado. Recomendações para o uso de um certificado digital:
a) A senha de acesso da chave privada e a própria chave privada não devem ser compartilhadas com ninguém;
b) Caso o computador onde foi gerado o par de chaves criptográficas seja compartilhado com diversos usuários, não é recomendável o armazenamento da chave privada no disco rígido, pois todos os usuários terão acesso a ela, sendo melhor o armazenamento em disquete, smart card ou token;
c) Caso a chave privada esteja armazenada no disco rígido de algum computador, deve-se protegê-lo de acesso não-autorizado, mantendo-o fisicamente seguro. Nunca deixe a sala aberta quando sair e for necessário deixar o computador ligado. Utilize também um protetor de tela com senha. Cuidado com os vírus de computador, eles podem danificar sua chave privada;
d) Caso o software de geração do par de chaves permita optar entre ter ou não uma senha para proteger a chave privada, recomenda-se a escolha pelo acesso por meio de senha. Não usar uma senha significa que qualquer pessoa que tiver acesso ao computador poderá se passar pelo titular da chave privada, assinando contratos e movimentando contas bancárias. Em geral, é bem mais fácil usar uma senha do que proteger um computador fisicamente;
e) Utilize uma senha longa, intercalando letras e números, uma vez que existem programas com a função de desvendar senhas. Deve-se evitar o uso de dados pessoais como nome de cônjuge ou de filhos, datas de aniversários, endereços, telefones, ou outros elementos relacionados com a própria pessoa. A senha nunca deve ser anotada, sendo recomendável sua memorização.
São dispositivos portáteis que funcionam como mídias armazenadoras. Em seus chips são armazenadas as chaves privadas dos usuários. O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular. O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para seu funcionamento. Já o token assemelha-se a uma pequena chave que é colocada em uma entrada do computador.
Sim. O certificado digital, diferentemente dos documentos utilizados usualmente para a identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. O usuário pode solicitar a renovação do certificado para a AC após a perda da validade deste.
Porque a cada renovação de validade do certificado renova-se também a relação de confiança entre seu titular e a AC. Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm por objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.
O custo varia de acordo com a empresa certificadora, com o nível de segurança oferecido e do tipo de portabilidade. Deve-se consultar os sítios de cada Autoridade Certificadora para obter os preços.
1.25 Como obter um certificado Digital?