Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE SALGADO DE OLIVEIRA ENGENHARIA DE PRODUÇÃO CIÊNCIA DA COMPUTAÇÃO I CERTIFICAÇÃO E ASSINATURA DIGITAL GRUPO: João Carlos dos Santos Coutinho - 600418214 Juliana Bello Pires – 600264482 PROFESSOR: Gustavo Lenz NITERÓI OUTUBRO/2014 SUMÁRIO Introdução Certificação Digital 02 Definição 02 ICP-Brasill 02 Histórico da Certificação Digital 05 Como funciona 06 Tipos de Certificados Digitais 09 1.6.Como emitir um Certificado Digital 09 Assinatura Digital 10 2.1.Definição 10 2.2. Como surgiu a Assinatura Digital 11 2.3. Como funciona 11 2.4. Tipos de Assinaturas Digitais 12 Como emitir uma Assinatura Digital 14 Referências 15 INTRODUÇÃO Há tempos que as pessoas utilizam assinaturas à caneta, carimbos, selos e outros recursos para comprovar a autenticidade de documentos. Hoje, isso pode ser feito no “universo digital”, novas tecnologias surgem todos os dias para nos ajudar a fazer nossas tarefas de forma mais rápida e segura. Infelizmente, acompanhando o ritmo das melhorias, surgem os meios que trapaceiros usam para burlar as regras e tirar proveito dessas tecnologias para prejudicar outros e se beneficiar de modo ilegal. Para garantir a integridade e autenticidade de um documento “virtual”, entram em cena a certificação digital e recursos relacionados, como a assinatura digital. Nas próximas linhas você verá uma explicação básica sobre os principais pontos que envolvem esses conceitos. CERTIFICAÇÃO DIGITAL DEFINIÇÃO Certificação Digital é a tecnologia que provê mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade às informações eletrônicas. No cerne da certificação digital está o certificado digital, um documento eletrônico que contém o nome, um número público exclusivo denominado “chave pública”, e muitos outros dados que mostram quem somos para as pessoas e para os sistemas de informação. A chave pública serve para validar uma assinatura realizada em documentos eletrônicos. Esse certificado é concedido por uma AC (Autoridade Certificadora), que dá credibilidade a esse certificado, pois se as pessoas acreditam na instituição que assina o certificado ela irá confiar nas informações contidas no mesmo. Este certificado serve também para associar uma pessoa ou empresa a uma chave pública. ICP-BRASIL Geralmente os certificados digitais contêm informações como o nome do proprietário do certificado, da autoridade certificadora que emite o certificado, sua validade, as utilidades desse certificado, além de conter as chaves públicas ligadas à chave privada que deve estar somente no controle do portador do certificado. Além dessas informações o certificado digital funciona como guia para a procura por chaves públicas confiáveis. Isso porque nele consta a assinatura de uma AC (Autoridade Certificadora), e sua garantia varia de acordo com seu nível. Quem decide quem são essas AC’s, é a ICP-Brasil, que representa o grau de confiabilidade máximo nessa cadeia de segurança das autoridades certificadoras. A ICP-Brasil é chamada AC raiz. Ela assina certificados digitais de primeiro nível. As AC's de primeiro nível, por sua vez, assinam certificados digitais de segundo nível e assim por diante. Conforme o nível desce, também reduz seu grau de garantia. A ICP-Brasil é mantida pela ITI (Instituto Nacional de Tecnologia da Informação) que, além de assinar digitalmente os certificados tem poder de aumentar ou diminuir os níveis das AC's. Ela tem o poder de caçar certificados caso estejam sendo usados indevidamente ou se a chave privada do detentor do certificado for descoberta e usada para prejudicar a instituição. Já a autenticação desse documento virtual é o ato de comprovar a autoria do documento e o seu conteúdo. É necessário levar o documento no cartório e após ser dada a autorização a ele, o documento está autenticado. Na certificação digital os “cartórios” são as Entidades Certificadoras que compõem a ICP-Brasil. Hoje, bancos utilizam a certificação digital no Sistema de Pagamentos Brasileiro, principalmente nas transações entre eles. Instituições autorizadas a operar no mercado cambial podem usar a assinatura digital nos contratos de câmbio. No Judiciário, há processos totalmente eletrônicos, com advogados e juízes usando o certificado digital e-Doc em todas as etapas. Universidades controlam os bolsistas do ProUni com certificado digital. O resultado disso, segundo usuários, é ganho de tempo, economia e segurança. Apenas alguns países utilizam certificados digitais com os mesmos propósitos do Brasil. Uma das principais características da ICP-Brasil é sua estrutura hierárquica. No topo da estrutura encontra-se a Autoridade Certificadora Raiz (AC Raiz) e, abaixo dela, as diversas entidades (ACs de primeiro e segudo nível e Autoridades de Registro). Na ICP-Brasil, a AC Raiz é o ITI, que é responsável pelo credenciamento dos demais participantes da cadeia certificadora, pela emissão de seu próprio par de chaves e pela supervisão de todos os processos que envolvem a certificação. Figura 01 (Certificação digital - Estrutura) - http://www.iti.gov.br/icp-brasil/estrutura Acessado em 16/10/2014. Figura 02 (Autoridades Certificadoras) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Acessado em: 16/09/2014. HISTÓRICO DA CERTIFICAÇÃO DIGITAL O homem foi cada vez mais evoluindo trazendo diversas mudanças na sociedade. A assinatura a próprio punho o seu valor era de extrema importância como ainda nos dias atuais. A assinatura manual quando autenticada por um Tabelião possui valor incontestável, pois, enquanto não se prove o contrário a assinatura é verdadeira por estar munido de fé pública. É notório que estamos evoluindo para um mundo cada vez mais digital. O sonho de migrar os documentos em papel para equivalentes eletrônicos e autenticar pessoas no mundo virtual já está se tornando realidade em muitas organizações. Especialistas são unânimes em afirmar que a Certificação Digital é um caminho sem volta e, por algum tempo, será um importante diferencial competitivo, mas que, em breve, será uma necessidade de sobrevivência de qualquer organização. Diffie-Hellman criaram em 1976 a criptografia assimétrica (sistema de certificação), usado somente para troca de chaves sem permissão da assinatura digital, foi o que deu origem ao seu aperfeiçoamento. As grandes corporações não têm mais tempo de sobra pra ficarem horas assinando uma quantidade enorme de documentos se a tecnologia pode muito proporcionar condições altamente eficaz. Podemos caracterizar que o tempo é dinheiro e, olhando por este prisma, a concorrência torna-se o fator principal para manter-se de pé diante deste mercado tão dinâmico que é a tecnologia. Pelo Decreto nº 3.587/200, nasceu a Certificação Digital com abrangência para o Poder Executivo Federal. O referido Decreto é considerado como uma certidão de nascimento do Certificado. Foi revogado pelo Decreto 3.996/01 criando a Medida provisória 2.200-2. A Medida Provisória se constitui de grande importância para eficácia probatória a qual institui a ICP- Brasil- Infra-Estrutura de Chaves Brasileira delegando poderes. A Medida Provisória 2.200-2 afirma que: Fica instituída a Infra-Estrutura de Chaves Públicas Brasleiras-ICP-Brasil, para garantir autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. (BRASIL, 2001, art 1º). COMO FUNCIONA Os dois principais elementos da certificação digital são o certificado e a assinatura digitais, que têm como base a criptografia, técnica usada para codificar dados que trafegam pela Internet. Juntos, esses dois elementos comprovam a identidadede uma pessoa ou site e evitam fraudes nas transações eletrônicas. A maioria dos programas de e-mail e dos navegadores orientam os usuários, de forma bastante didática, sobre como fazer operações baseadas na certificação digital. Quem nunca topou com uma mensagem do navegador dizendo ser impossível verificar se o site visitado é confiável ou não e mostrando a opção de examinar o certificado? Ou na janela de configuração de segurança do programa de e-mail a opção de usar um certificado digital para assinar as mensagens enviadas por uma determinada conta? Figura 03 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Acessado em: 30/09/2014 Quando o usuário acessa um site certificado, o navegador exibe uma mensagem de identificação e com opções de uso daquele certificado. Se o site não é identificado, a mensagem vem com um aviso de erro e com uma lista de possíveis razões desse erro. As mais comuns são: O navegador não reconhece a Autoridade Certificadora que emitiu o certificado O certificado do site está incompleto devido a uma configuração incorreta do servidor O usuário está conectado a um site que finge ser o pretendido, com o objetivo de obter informações confidenciais Neste caso, é possível examinar o certificado antes de marcar uma das três opções (aceitar o certificado permanente ou temporariamente ou não aceitá-lo) e continuar a navegar pelo site. Um certificado digital contém dois tipos de informação: as gerais e as detalhadas. Nas informações gerais é possível saber: A quem pertence o certificado (titular do certificado) Quem o emitiu (autoridade certificadora) Qual a sua validade Método criptográfico da assinatura do certificado Figura 04 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Acessado em: 30/09/2014. Nos detalhes do certificado há três áreas em que é possível obter mais informações sobre a hierarquia e sobre cada campo do certificado. Ao selecionar um item no campo Certificate Fields, seus dados são exibidos no campo Field Value. Sobre o dono do certificado, pode-se saber nome, e-mail ou CPF/CNPJ, por exemplo. Sobre o emissor, seus dados e suas assinaturas. Figura 05 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Acessado em: 30/09/2014. TIPOS DE CERTIFICADOS DIGITAIS Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada. A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações. A série S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade. Figura 06 (Certificados Digitais-Tipos) - http://tecnologia.hsw.uol.com.br/certificado-digital4.htm Acessado em: 16/10/2014. COMO EMITIR UM CERTIFICADO DIGITAL O interessado na obtenção de um certificado digital e-CPF ou e-CNPJ deverá escolher uma das Autoridades Certificadoras Habilitadas no site da Receita Federal, ou acessar diretamente a página da Autoridade Certificadora Habilitada, para o preenchimento e envio da solicitação de certificado e-CPF ou e-CNPJ. O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos praticados perante a Secretaria da Receita Federal do Brasil utilizando o referido certificado e sua correspondente chave privada, devendo adotar as medidas necessárias para garantir a confidencialidade dessa chave. Para autorizar sua representação por terceiros perante a Receita Federal do Brasil, o contribuinte, pessoa física ou jurídica, poderá utilizar do serviço de procuração eletrônica. Figura 07 (Certificado Digital) - http://serasa.certificadodigital.com.br/o-que-e/ Acessado em: 16/10/2014. ASSINATURA DIGITAL DEFINIÇÃO Assinatura digital é um meio pelo qual se pode conservar, com segurança, a integridade e procedência de um documento digital, com uso da criptografia. Sendo assim, com a assinatura digital, pode-se afirmar que um documento digital não foi modificado e realmente procede da pessoa que diz ter mandado o tal documento. HISTÓRIA Em 1976, Whitfield Diffie e Martin Hellman descreveram primeiramente a noção de um esquema de assinatura digital, embora eles apenas conjecturassem que tais esquemas existissem. Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman inventaram o algoritmo RSA (Rivest, Shamir e Adleman) que poderia ser usado para assinaturas digitais primitivas (note que isso apenas serve como uma prova do conceito, e as assinaturas RSA puras não são seguras). O primeiro pacote de software amplamente comercializado a oferecer a assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA. Outros esquemas de assinatura digital foram logo desenvolvidos depois do RSA, o mais antigo sendo as assinaturas de Lamport, de Merkle (também conhecidas como árvores de Hash) e as de Rabin. Esse processo baseia-se no uso de uma série de bits que usam um algoritmo capaz de “embaralhar” as informações contidas no documento protegido, assim como tem o poder de decifrá-lo. Esse conjunto de bits é conhecido como “chave” existem tipos diferentes de chaves. A chave pública, que como o próprio nome diz é de acesso para mais de uma pessoa, e a chave privada. Esta última deve ser mantida em sigilo e não deve ser dividida com ninguém. Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros a rigorosamente definir os requerimentos de segurança de esquemas de assinatura digital. Eles descreveram uma hierarquia de modelos de ataque para esquemas de assinatura, e também apresentaram o esquema de assinatura GMR, o primeiro que podia se prevenir até mesmo de uma forja existencial contra um ataque de mensagem escolhida. COMO FUNCIONA Existem diversos métodos para assinar digitalmente documentos, e esses métodos estão em constante evolução. Porém de maneira resumida uma assinatura típica envolve dois processos criptográficos: o hash (resumo) e a encriptação deste hash. Em um primeiro momento é gerado um resumo criptográfico da mensagem através de algoritmos complexos (Exemplos: MD5, SHA-1, SHA-256) que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este resumo criptográfico se dá o nome de hash. Uma função de hash deve apresentar necessariamente as seguintes características: Deve ser impossível encontrar a mensagem original a partir do hash da mensagem. O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido. Uma função de hash é dita forte se a mudança de um bit na mensagem original resulta em um novo hash totalmente diferente. Deve ser impossível encontrar duas mensagens diferentes que levam a um mesmo hash. Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública, para garantir a autenticação e a irretratabilidade. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto à mensagem original. Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, é necessário descriptografar a assinatura obtendo o hash original. Se ele for igual ao hash recém gerado, a mensagem está íntegra. Além da assinatura existe o selo cronológico que atesta a referência de tempo à assinatura. Figura 08 (Processo de assinatura digital) - http://administracaodigital.wordpress.com/ Acessado em 30/09/2014. TIPOS DE ASSINATURA DIGITAL Pode-se falar de assinatura digital simétrica ouassimétrica, segundo o tipo de criptografia usado. A assinatura digital simétrica Caracteriza-se por utilizar uma única chave secreta, pelo que persiste o problema da segurança à hora de intercambiar a chave entre os comunicantes. O cifrado pode ser tanto em fluxo (bit a bit) como em bloco (todos de uma vez). O algoritmo de chave simétrica tem a vantagem de ser muito rápido, frente a outros tipos de assinatura digital, bem pelo tipo de cifra ou bem pelo uso de blocos menores. Alguns algoritmos de assinatura digital simétrica são: Rabin, Lamport-Diffie, Desmedt e Matyas-Meyer (baseada no DES). A assinatura digital assimétrica: Neste caso há uma chave única e outra privada que são inversas, que servem para autenticar a mensagem e o emissor. O problema que têm este tipo de cifrados é que são muito lentos, já que as mensagens podem ser muito grandes, tendo milhares ou milhões de bytes. É por isto que aparecem as funções hash ou funções resumo, as quais geram um texto representativo da mensagem. Baixo as normas que definem os formatos técnicos, podem-se ter três modalidades de assinatura: Assinatura básica: Inclui o resultado da operação de hash e chave privada, identificando os algoritmos utilizados e o certificado associado à chave privada do assinante. Assinatura datada: À assinatura básica adiciona-se um carimbo de tempo calculado a partir do hash do documento. Assinatura validada ou assinatura completa: À assinatura datada adiciona-se informação sobre a validez do certificado. Figura 09 (Modelo de smart cards) http://2.bp.blogspot.com/-cSqDiursrjE/TJ0sDO9SoII/AAAAAAAAAcY/74y3OnV4p2Q/s1600/Certificados.jpg Acessado em 16/10/2014 Figura 10 (Smart Card e eToken) - http://www.sisoft.com.tr/en/img/imghbys/fancy/key2.jpg Acessado em 16/10/2014 COMO EMITIR UMA ASSINATURA DIGITAL Se você planeja trocar documentos assinados digitalmente com outras pessoas e deseja que os destinatários de seus documentos possam verificar a autenticidade de sua assinatura digital, é necessário obter um certificado digital de uma CA (autoridade de certificação) de terceiros respeitável ou do Office Marketplace. Explicações no site: http://office.microsoft.com/pt-br/word-help/obter-um-certificado-digital-para-criar-uma-assinatura-digital-HA010354319.aspx REFERÊNCIAS Certificado Digital https://www.oficioeletronico.com.br/Downloads/CartilhaCertificacaoDigital http://tecnologia.hsw.uol.com.br/certificado-digital1.htm http://www.administradores.com.br/artigos/economia-e-financas/certificacao-digital-o-avanco-da-tecnologia-em-beneficio-da-prestacao-jurisdicional/64075/ http://gersonrolim.blogspot.com.br/2009/12/o-futuro-da-certificacao-digital-no.html http://www.receita.fazenda.gov.br/dvssl/atbhe/falecon/comum/asp/formulario.asp?topico=172 Acessados em 30/09/2014 Assinatura Digital http://pt.wikipedia.org/wiki/Assinatura_digital http://assinatura-digital.info/ http://www.gta.ufrj.br/grad/09_1/versao-final/assinatura/assinatura http://office.microsoft.com/pt-br/word-help/obter-um-certificado-digital-para-criar-uma-assinatura-digital-HA010354319.aspx Acessados em 30/09/2014 Imagens Figura 01 (Certificação digital - Estrutura) - http://www.iti.gov.br/icp-brasil/estrutura Figura 02 (Autoridades Certificadoras) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Figura 03 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Figura 04 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Figura 05 (Assinatura Digital - Email) - http://tecnologia.hsw.uol.com.br/certificado-digital3.htm Figura 06 (Certificados Digitais-Tipos) - http://tecnologia.hsw.uol.com.br/certificado-digital4.htm Figura 07 (Certificado Digital) - http://serasa.certificadodigital.com.br/o-que-e/ Figura 08 (Processo de assinatura digital) - http://administracaodigital.wordpress.com/ Figura 09 (Modelo de smart cards) - http://2.bp.blogspot.com/-cSqDiursrjE/TJ0sDO9SoII/AAAAAAAAAcY/74y3OnV4p2Q/s1600/Certificados.jpg Figura 10 (Smart Card e eToken) - http://www.sisoft.com.tr/en/img/imghbys/fancy/key2.jpg �
Compartilhar