Certificados Digitais

Juliana Jenny Kolb

 

Home > Segurança da Informação

Certificados Digitais

Intrusões não autorizadas, violações de conformidade e ataques cibernéticos são ações cada vez mais comuns nas redes corporativas e nos demais canais utilizados para facilitar a comunicação e a troca de mensagens entre cidadãos, empresas e governos.

Portanto, o uso de ferramentas de validação de dados passou a ser a alavanca para assegurar a autenticidade dos fatos. Informações sigilosas, transações bancárias, entrega de obrigações acessórias e demais dados trafegados na internet passaram a contar com inúmeras tecnologias, como é o caso dos certificados digitais e as chaves criptográficas.

certificação digital funciona basicamente como uma “carteira de identidade eletrônica”, com validade jurídica e que garante a proteção e a identificação das partes envolvidas. A tecnologia foi desenvolvida para facilitar a vida de todos os usuários, evitando que se perca tempo com fatos presenciais e que possam ser resolvidos de forma on-line, de maneira rápida e segura.

Com a identificação e assinatura digital, tanto pessoas físicas quanto jurídicas podem realizar, de qualquer lugar do mundo e a qualquer hora, transações eletrônicas e outros tipos de serviços via internet com mais segurança e agilidade.

Mas quem é que confere a autenticidade, a integridade e a validade jurídica aos documentos eletrônicos? Vejamos a relação da chamada Infraestrutura de Chaves Públicas Brasileira (ICP Brasil) e os certificados Digitais. Acompanhe:

O que é uma Infraestrutura de Chaves Públicas Brasileira

Criada em 2001 por meio da medida provisória nº 2.200-2, a Infraestrutura de Chaves Públicas Brasileira (ICP Brasil) é um conjunto de tecnologias (técnicas, práticas e procedimentos) que garante às transações e aos documentos eletrônicos a segurança por meio do uso de um par de chaves. Uma delas é pública (de conhecimento geral), e a outra, privada (de conhecimento somente do proprietário), cujos dados estão consolidados em um “certificado digital”.

A tramitação de documento eletrônico oficial somente acontecerá quando devidamente certificado por entidade integrante da infraestrutura governamental e classificado quanto ao nível de segurança.

Vale destacar que a certificação digital não exclui nem se torna superior aos documentos tradicionais. Ou seja, o sistema de certificação eletrônica não introduz novos conceitos às transações eletrônicas, apenas estabelece equivalência e isonomia entre os documentos gerados eletronicamente e os documentos firmados em papel, desde que sejam certificados digitais ICP Brasil.

As entidades certificadoras não vinculadas à ICP Brasil

Certificações realizadas por entidades não vinculadas à ICP Brasil poderão continuar sendo feitas. Porém, ao certificar determinado documento, tais entidades atestam a sua autenticidade e a sua integridade de modo semelhante a uma testemunha.

Já no caso de empresas certificadoras habilitadas ao sistema ICP Brasil, os documentos certificados gozarão de uma autenticidade derivada de lei.

Importante

Os titulares dos certificados digitais respondem integralmente pelos atos que forem assinados com seus respectivos certificados, mesmo que tenha sido emprestado ou compartilhado.

A medida provisória nº 2.200-2/2001 é bem clara quando direciona — exclusivamente — ao seu titular a responsabilidade do certificado digital e o que for assinado com ele.

Além disso, vale o alerta para quem utiliza certificados digitais de terceiros, pois isso implica em crime de falsidade ideológica.

A hierarquia da ICP Brasil

A hierarquia existente da ICP Brasil leva em consideração os componentes:

  • Comitê Gestor (CG);
  • Autoridade Certificadora (AC Raiz);
  • as Autoridades Certificadoras (ACs) de 1º e 2º nível;
  • as Autoridades de Registros (ARs)
  • e, finalmente, o usuário final.

Vejamos:

Comitê Gestor (CG)

Responsável pela aprovação das normas e resoluções. Além disso, fiscaliza a AC Raiz, que é o Instituto Nacional de Tecnologia da Informação (ITI) — autoridade máxima.

Autoridade Certificadora Raiz da ICP Brasil (AC Raiz)

É a 1ª autoridade da hierarquia de certificação, responsável por realizar as políticas aprovadas pelo Comitê Gestor da ICP Brasil no que diz respeito aos certificados e às normas técnicas e operacionais.

Compete a AC-Raiz a emissão, a expedição, a distribuição, a revogação e o gerenciamento dos certificados das autoridades certificadoras de nível superior ao seu.

Outra importante função da AC-Raiz é a emissão dos certificados revogados (LCR) e de fiscalizar e auditar as ACs, ARs e demais entidades habilitadas pela ICP Brasil.

Autoridades Certificadoras (ACs) de 1º e 2º nível

São entidades credenciadas à AC-Raiz, cuja função se estende a emitir, expedir, distribuir, revogar e gerenciar os certificados digitais, vinculando pares de chaves criptográficas aos titulares dos certificados, bem como colocar à disposição dos usuários a listagem de certificados revogados e outras informações.

As ACs também são responsáveis por manter registro de todas as suas operações. No caso do par de chaves criptográficas, serão sempre geradas pelos próprios titulares, sendo sua chave privada de uso, controle e conhecimento exclusivos.

Importante

É a autoridade certificadora que vai gerenciar os certificados de chave pública em todo o ciclo de vida. Ou seja, será responsável pela emissão, agendamento da data de expiração do certificado e pela publicação dos certificados revogados na Lista de Certificados Revogados (LCR).

Autoridade Registradora (AR)

São entidades vinculadas a uma determinada autoridade certificadora, cuja função é implementar uma interface entre o usuário e a autoridade certificadora. A principal função da AR é a identificação dos usuários, validação da solicitação e a submissão da solicitação de certificado à autoridade certificadora.

Entre alguns conceitos importantes se destacam:

Certificação digital

É a tecnologia que adota mecanismos de segurança, por meio da utilização de algoritmos matemáticos, capazes de garantir a autenticidade, confiabilidade, integridade e não repúdio às informações e aos documentos eletrônicos.

Certificado digital

É um arquivo eletrônico que permite conhecer o titular da mensagem, seja para outros usuários ou para o próprio sistema de informação.

De modo geral, o arquivo eletrônico é armazenado em um meio digital com todos os dados do seu titular (pessoa física ou jurídica), sendo utilizado para:

  • relacionar tal pessoa a uma chave criptográfica;
  • atestar a identidade;
  • garantir a confiabilidade, a autenticidade e o não repúdio nas transações financeiras e comerciais assinadas;
  • trocar informações e documentos com integridade, sigilo e segurança.

Assinatura digital

É uma forma eficaz de garantir autoria dos documentos eletrônicos, garantindo validade jurídica aos documentos eletrônicos assinados digitalmente. Vale destacar que a utilização de certificados digitais atribui a autenticidade e integridade aos documentos, o que significa dizer que tal fato tornou a assinatura digital uma técnica válida juridicamente.

Tipos de certificado

Os certificados digitais ICP Brasil são classificados de acordo com a sua aplicabilidade e os requisitos de segurança de proteção da chave privativa.

Quanto à aplicação:

Tipo A: Certificado de Assinatura Digital

É o tipo de certificado digital mais comum, utilizado para assinatura de documentos, transações eletrônicas, entre outras aplicações. Sua principal função é provar a autenticidade e a autoria por parte do emissor/autor, garantindo também a integridade do documento.

  • A1: geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo como HDs e pendrive; com validade de 1 ano;
  • A2: geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token USB (dispositivo semelhante a um pendrive); validade máxima de 2 anos;
  • A3: geração das chaves feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token USB; validade máxima de 3 anos;
  • A4: geração das chaves feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token USB; validade máxima de 3 anos.

Exemplo

O emissor de determinado documento eletrônico utiliza a sua chave privada para assiná-lo digitalmente e enviá-lo ao receptor, que vai usa a chave pública do emissor para confirmar a autenticidade da assinatura. Qualquer pessoa que tenha acesso à chave pública pode realizar a verificação.

Tipo S: Certificado de Sigilo/Confidencialidade

Este tipo de certificado digital é utilizado exclusivamente para oferecer sigilo ou a criptografia de dados. Ou seja, o conteúdo dos documentos enviados e/ou armazenado é protegido contra acessos não permitidos, sem expor o teor do que está sendo trafegado.

  • S1 (semelhante ao A1): geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo como HDs e pendrive; com validade de 1 ano;
  • S2 (semelhante ao A2): geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token USB (dispositivo semelhante a um pendrive); validade máxima de 2 anos;
  • S3 (semelhante ao A3): geração das chaves feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token USB; validade máxima de 3 anos;
  • S4 (semelhante ao A4): geração das chaves feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token USB; validade máxima de 3 anos.

Exemplo

O emissor utiliza a chave pública do receptor para proteger e enviar os dados ao receptor. No entanto, para acessá-los, o receptor terá que utilizar a sua chave privada, pois apenas ela possibilitará a decodificação dos dados protegidos.

Tipo T: Certificado de Tempo

Também conhecido como time stamping, o Certificado de Tempo é o serviço de certificação da hora e do dia em que foi assinado o documento eletrônico, com a devida identificação do seu autor. Este tipo de certificado é essencial para garantir a temporalidade e a tempestividade de documentos importantes.

 

e-CPF e e-CNPJ

Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPFe o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física).

Já o e-CNPJ é um certificado digital que se destina a empresas e instituições, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, muitos dos quais até então disponíveis apenas em postos de atendimento da instituição. Pode-se, por exemplo, transmitir declarações de imposto de renda de maneira mais segura, consultar detalhes dessas declarações, pesquisar situação fiscal, corrigir erros de pagamentos, entre outros.

No caso do e-CNPJ, os benefícios são semelhantes, com os certificados também podendo ser úteis para validar transações entre pessoas jurídicas.

O e-CPF e o e-CNPJ estão disponíveis nos tipos A1 e A3.

 

NF-e

Nota Fiscal Eletrônica (NF-e) é um tipo de documento fiscal em formato digital que serve para registrar a transferência de propriedade de um bem ou serviço comercial prestado a empresas e pessoas físicas. Facilita a compreensão se interpretarmos a NF-e como uma versão eletrônica da tradicional Nota Fiscal (em papel), como o próprio nome aponta.

Desde de 2007, a Nota Fiscal Eletrônica é parte do chamado Sistema Público de Escrituração Digital (SPED) e, com efeito, é de uso obrigatório no Brasil. Por conta disso, a NF-e tem validade fiscal e jurídica. Essa validade é garantida por assinatura digital, o que significa que esse tipo de documento também faz uso da certificação digital.

Em conjunto com a NF-e costuma haver a Nota Fiscal de Consumidor Eletrônica (NFC-e), um tipo de documento igualmente emitido e armazenado eletronicamente que visa documentar a operação comercial associada. A NFC-e substitui documentos como o cupom fiscal emitido no caixa das lojas.

Assim como o e-CPF e o e-CNPJ, os certificados digitais próprios para NF-e devem ser adquiridos em entidades autorizadas, como Certisign e Serasa.

Deixe uma resposta