NEGÓCIOS ELETRÔNICOS (84)

Prévia do material em texto

Entendendo a 
Certificação Digital 
 
 
Novembro 2010 
 
 
 1 Sumário 
1. Introdução ..................................................................................................................... 3 
2. O que é certificação digital? ......................................................................................... 3 
3. Como funciona a certificação digital? .......................................................................... 3 
6. Obtendo certificados digitais........................................................................................ 6 
8. Tipos de certificados da ICP-Brasil ............................................................................... 7 
9. e-CPF e e-CNPJ ............................................................................................................... 9 
 
 
 
 
1. Introdução 
Há tempos que as pessoas utilizam assinaturas à caneta, carimbos, selos, entre outros recursos, 
para comprovar a autenticidade de documentos, expressar concordância com determinados 
procedimentos, declarar responsabilidades, etc. Hoje, muitas dessas atividades podem ser feitas 
através da internet. Mas, como garantir autenticidade, expressar concordância ou declarar 
responsabilidade no "mundo eletrônico"? É aí que entra em cena a certificação digital e conceitos 
relacionados, como assinatura digital. Nas próximas linhas você verá uma explicação com os 
principais pontos que envolvem esses recursos. 
2. O que é certificação digital? 
A internet permite que indivíduos, empresas, governos e outras entidades realizem uma série de 
procedimentos e transações de maneira rápida e precisa. Graças a isso, é possível fechar negócios, 
emitir ou receber documentos, acessar ou disponibilizar informações sigilosas, economizar 
dinheiro evitando processos burocráticos, entre outros. No entanto, da mesma forma que os 
computadores oferecem meios para tudo isso, podem também ser usados por fraudadores, o que 
significa que tais operações, quando realizadas por vias eletrônicas, precisam ser confiáveis e 
seguras. A certificação digital é capaz de atender a essa necessidade. 
A certificação digital é um tipo de tecnologia de identificação que permite que transações 
eletrônicas dos mais diversos tipos sejam feitas considerando sua integridade, sua autenticidade e 
sua confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de 
fraude ocorram. 
3. Como funciona a certificação digital? 
A certificação digital funciona com base em um documento eletrônico chamado certificado digital 
e em um recurso denominado assinatura digital. É conveniente compreender primeiro este 
último, para melhor compreensão. 
4. O que é Assinatura digital? 
Imagine-se na seguinte situação: você está em uma viagem de negócios e precisa enviar 
documentos sigilosos à matriz de sua empresa. Dada a distância, o jeito mais rápido de fazer isso é 
utilizando a internet. 
No entanto, se você optasse por enviar esses documentos em papel, certamente os assinaria à 
caneta para comprovar a autenticidade e a sua responsabilidade sobre eles. Além disso, 
provavelmente utilizaria um serviço de entrega de sua confiança e o instruiria a deixar os 
documentos apenas com a pessoa ou o setor de destino. 
Mas, como colocar em prática essas medidas quando se usa documentos eletrônicos? Digitalizar 
sua assinatura através de um scanner não é uma boa ideia, afinal, qualquer pessoa pode alterá-la 
em programas de edição de imagem. Enviar os documentos sem qualquer proteção via e-mail 
 
 
também tem seus riscos, já que alguém pode interceptá-los. O jeito então é utilizar uma 
assinatura digital. 
A assinatura digital é um mecanismo eletrônico que faz uso de criptografia, mais precisamente, de 
chaves criptográficas. 
Chaves criptográficas são, em poucas palavras, um conjunto de bits baseado em um determinado 
algoritmo capaz de cifrar e decifrar informações. Para isso, pode-se usar chaves simétricas ou 
chaves assimétricas, estas últimas também conhecidas como chaves públicas. 
Chaves simétricas são mais simples, pois com elas o emissor e o receptor utilizam a mesma chave 
para, respectivamente, cifrar e decifrar uma informação. 
As chaves assimétricas, por sua vez, trabalham com duas chaves: a chave privada e a chave 
pública. Nesse esquema, uma pessoa ou uma organização deve utilizar uma chave de codificação e 
disponibilizá-la a quem for mandar informações a ela. Essa é a chave pública. Uma outra chave 
deve ser usada pelo receptor da informação para o processo de decodificação. Essa é a chave 
privada, que é sigilosa e individual. Ambas as chaves são geradas de forma conjunta, portanto, 
uma está associada a outra. 
Note que esse método é bastante seguro, pois somente o detentor da chave privada conseguirá 
desfazer a cifragem realizada com a respectiva chave pública. Com chaves simétricas, os riscos são 
maiores, já que uma única chave é utilizada para cifragem e decifragem, aumentando 
consideravelmente as possibilidades de extravio ou fraudes. É por esta razão que chaves públicas 
são utilizadas em assinaturas digitais. 
Em sua essência, o funcionamento das assinaturas digitais ocorre da seguinte forma: é necessário 
que o emissor tenha um documento eletrônico e a chave pública do destinatário. Através de 
algoritmos apropriados, o documento é então cifrado de acordo com esta chave pública. O 
receptor usará então sua chave privada correspondente para decifrar o documento. Se qualquer 
bit deste for alterado, a assinatura será deformada, invalidando o arquivo. 
 
 
 
Na verdade, o processo de assinatura digital de documentos eletrônicos usa um conceito 
conhecido como função hashing. Como o uso de algoritmos de chaves públicas nas assinaturas 
digitais pode causar muita demora em um processo de decifragem, a função hashing se mostra 
como a solução ideal. Seu funcionamento ocorre da seguinte forma: o algoritmo da função 
hashing faz com que todo o documento a ser assinado seja analisado e, com base nisso, um valor 
de tamanho fixo é gerado. Trata-se do valor hash ou resumo criptográfico. 
Com isso, o emissor usa sua chave privada e a chave pública do receptor para assinar digitalmente 
o documento. Se este sofrer qualquer alteração, por menor que seja, seu valor hash será 
diferente. Como consequência, o receptor receberá um documento inválido, já que sua chave só 
conseguirá lidar com o arquivo com o valor hash original. 
5. O que é Certificado Digital? 
Agora que você já sabe que o é assinatura digital, fica mais fácil compreender o certificado digital. 
Basicamente, trata-se de um documento eletrônico com assinatura digital que contém dados 
como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituição, etc), entidade 
emissora (você saberá mais sobre isso adiante), prazo de validade e chave pública. Com o 
certificado digital, a parte interessada obtém a certeza de estar se relacionando com a pessoa ou 
com a entidade desejada. 
Um certificado digital é um arquivo de computador que contém um conjunto de informações 
referentes à entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou 
computador) mais a chave pública referente à chave privada que acredita-se ser de posse 
unicamente da entidade especificada no certificado. 
A legislação que inseriu a assinatura digital como instrumento de valor jurídico foi a Medida 
Provisória Nº 2.200-2, de 24 de agosto de 2001, encontrada em 
http://www.icpbrasil.gov.br/frame_legisla.htm. 
 
Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta 
corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está 
realizando operações financeiras com o seu banco. Se o usuário clicar no ícone correspondente no 
navegador de internet,poderá obter mais detalhes do certificado. Se algum problema ocorrer com 
o certificado - prazo de validade vencido, por exemplo -, o navegador alertará o usuário. 
É importante frisar que a transmissão de certificados digitais deve ser feita através de conexões 
seguras, como as que usam o protocolo Secure Socket Layer (SSL), que é próprio para o envio de 
informações criptografadas. 
O certificado digital é um documento eletrônico que possibilita comprovar a identidade de uma 
pessoa, de uma empresa ou um serviço de comércio eletrônico, para assegurar as transações on-
line e a troca eletrônica de documentos, mensagens e dados. É um documento eletrônico que 
associa uma chave pública, fornecida por uma entidade confiável, a uma identidade (legitima o 
proprietário) e que assegura que o Documento o não está com os dados comprometidos 
(íntegros). 
 
 
Essa tecnologia permite assinar digitalmente, qualquer tipo de documento, conferindo-lhe a 
mesma validade jurídica dos equivalentes em papel assinados de próprio punho, além de 
propiciarem facilidades de serviços virtuais do Governo, Bancos e outras entidades que se utilizam 
de certificados para transações eletrônicas. 
Os documentos assinados digitalmente atendem aos principais requisitos de segurança para a 
realização de negócios eletrônicos: 
 Autenticidade: garante a identidade de todas as partes envolvidas. 
 Integridade: fidelidade da informação com seu estado original intacto. 
 Confidencialidade: técnica para manter a confidencialidade utilizando criptografia 
 Não-repúdio: impede as partes de negarem a participação no negócio eletrônico. 
 
6. Obtendo certificados digitais 
Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais 
precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo é procurar uma 
Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR) para obter um certificado 
digital. Uma AC tem a função de associar uma identidade a uma chave e "inserir" esses dados em 
um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem sua 
identificação. Já uma AR tem uma função intermediária, já ela pode solicitar certificados digitais a 
uma AC, mas não pode emitir esse documento diretamente. 
É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas (ICP) ou, em 
inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos 
para que a certificação digital tenha amparo legal e forneça benefícios reais à sua população. O 
Brasil conta com a ICP-Brasil para essa finalidade. 
A MP 2200-2 instituiu a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil para garantir a 
autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das 
aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a 
realização de transações eletrônicas seguras, viabilizando o uso do documento eletrônico. 
 
A ICP-Brasil foi criada pelo Governo Federal para garantir a autenticidade, a integridade e a 
validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações 
habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas 
seguras. 
 
A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves 
das ACs e que regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da 
Informação (ITI). Uma AC é uma organização autorizada a emitir ou cancelar certificados digitais 
vinculados à ICP-Brasil. Existem várias AC's credenciadas junto a ICP-Brasil, dentre as quais a Caixa 
 
 
Econômica Federal, o Serpro, a Serasa, a Certsign e a Receita Federal do Brasil. Cada organização 
cobra um valor pela emissão do certificado digital, que tem prazo de validade. 
 
7. Lista de AC's 
 
Para maiores informações sobre Autoridades certificadoras, autoridades de registro e prestadores 
de serviços habilitados na ICP-Brasil, consultem o site. 
http://www.iti.gov.br/twiki/bin/view/Certificacao/EstruturaIcp. 
 
8. Tipos de certificados da ICP-Brasil 
Na ICP-Brasil estão previstos oito tipos de certificado, diferenciados pelo uso, pelo nível de 
segurança e pela validade. São duas séries de certificados, com quatro tipos cada. 
A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de 
identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos 
com verificação da integridade de suas informações. A série S (S1, S2, S3 e S4) reúne os 
certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de 
mensagens e de outras informações eletrônicas sigilosas. 
A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; 
armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano; 
 É o certificado em que a geração das chaves criptográficas é feita por software e seu 
armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado 
por software, aprovado pela ICP-Brasil. Sua validade máxima é de um ano, sendo a 
freqüência de publicação da Lista de Certificados Revogados no máximo de 48 horas e o 
prazo máximo admitido para conclusão do processo de revogação de 72 horas. 
A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; 
armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um 
pendrive); validade máxima de dois anos; 
A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; 
armazenamento em cartão inteligente ou token; validade máxima de três anos; 
 é o certificado em que a geração e o armazenamento das chaves criptográficas são feitos 
em cartão inteligente (smart card) ou token, ambos com capacidade de geração de chaves 
e protegidos por senha ou hardware criptográfico aprovado pela ICP-Brasil. As chaves 
criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos, 
sendo a frequência de publicação da Lista de Certificados Revogados no máximo de 24 
horas e o prazo máximo admitido para conclusão do processo de revogação de 36 horas. 
 
 
A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; 
armazenamento em cartão inteligente ou token; validade máxima de três anos. 
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no 
computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes 
(smartcards) ou tokens protegidos por senha. 
8.1. Certificados tipo A1 e A3 
 
A1:No certificado tipo A1 o par de chaves, pública e privada, é gerado em seu computador, no 
momento da solicitação de emissão do certificado. A chave pública será enviada para a Autoridade 
Certificadora (AC) junto com a solicitação de emissão do certificado, enquanto a chave privada 
ficará armazenada no seu computador, devendo, obrigatoriamente, ser protegida por senha de 
acesso. O certificado tipo A1 tem validade de 1 (um) ano. 
 
A3: O certificado tipo A3 oferece maior segurança, justamente porque o par de chaves é gerado 
em hardware, isto é, num cartão criptográfico, token ou HSM que não permite a exportação ou 
qualquer outro tipo de reprodução da chave privada. Também no certificado tipo A3 a chave 
pública será enviada para a Autoridade Certificadora junto com a solicitação de emissão do 
certificado, enquanto a chave privada ficará armazenada no hardware, impedindo tentativas de 
acesso de terceiros. Com este cartão criptográfico ou token, você poderá transportar a sua chave 
privada e o seu certificado digital de maneira segura, podendo realizar transações eletrônicasonde você desejar.Apenas o detentor da senha de acesso pode utilizar a chave privada, e as 
informações não podem ser copiadas ou reproduzidas. O certificado tipo A3 tem validade de 3 
(três) anos. 
 
8.2. Qual a diferença entre o certificado A1 e o A3? 
 
O A1 é em software e mais barato e o A3 é em hardware (precisa ter de ter um aparelho do tipo 
token, que é parecido com um pen-drive, ou um cartão e uma leitora de cartão). Ambos podem 
ser utilizados na emissão de NF-e, diferença é a forma de armazenamento: 
 
A3 – são certificados digitais válidos por 2 (dois) ou 3 (três) anos, que são armazenados em token 
ou cartão. O token é um dispositivo apropriado para guardar certificados digitais e se conecta ao 
computador através da porta usb. Se parece com um pen-drive, embora pendrives comuns não 
possam ser utilizados como tokens. Podem-se ter vários certificados num único token. Já o cartão 
necessita de uma leitora. 
O A3 é mais apropriado quando o uso é pequeno, pois a mídia (token/cartão) deve estar 
conectada ao micro a cada uso. 
 
A1 – são certificados digitais válidos por um ano, que ficam armazenados no próprio computador 
do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível 
acessar, mover e copiar a chave privada a ele associada Recomenda-se que seja feita uma cópia de 
segurança desse certificado (backup). Esse é o tipo mais apropriado para uso em sistemas de 
informação, em situações de grande volume de emissões de NF-e. 
 
 
 
Nota: se o token/cartão for roubado ou houver desconfiança de que a senha do certificado fora 
comprometida solicite o cancelamento do certificado. Neste caso, terá que adquirir outro 
certificado (e pagar tudo de novo). Então, cuidado com o certificado e respectiva senha. 
 
8.3. A1 ou A3? 
 
Em princípio o certificado A1 é menos seguro que o A3, uma vez que esse último está armazenado 
em um hardware enquanto o outro está no diretamente no computador. 
 
A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, 
que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode 
utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas. 
 
Em resumo, para adquirir o seu certificado ICP-Brasil, as opções mais comuns são: A1 e A3. A 
primeira é mais barata. A segunda é mais segura e prática. O tipo A1 ainda tem como 
desvantagem a possibilidade de perda do certificado por uso inadequado (formatação, remoção 
de arquivos e pastas, ataque de vírus) ou falha do computador (defeito no disco). 
9. e-CPF e e-CNPJ 
Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-
CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, 
sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física), enquanto que o segundo é um 
certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de 
extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica). 
Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, 
muitos dos quais até então disponíveis apenas em postos de atendimento da instituição. É 
possível, por exemplo, transmitir declarações de imposto de renda de maneira mais segura, 
consultar detalhes das declarações, pesquisar situação fiscal, corrigir erros de pagamentos, entre 
outros. No caso do e-CNPJ, os benefícios são semelhantes. 
O e-CPF e o e-CNPJ estão disponíveis nos tipos A1 e A3. As imagens abaixo, obtidas no site da 
Receita Federal, mostram os modelos dos cartões inteligentes (tipo A3) para esses certificados: 
 
 
 
É importante destacar que o e-CPF e o e-CNPJ não são gratuitos. Sua aquisição deve ser feita em 
entidades conveniadas à Receita Federal, como Certisign e Serasa. Os preços não são 
padronizados, variando de acordo com a empresa e com o tipo de certificado (A1 ou A3).