Post on 21-Apr-2015
Stefano Kubiça stefano@pr.gov.br
Assinatura e Certificação Digital
26/SET/2003
Congresso em Tecnologias para Gestão de Dados e
Metadados do Cone Sul
• Contextualização • Conceituação• Assinatura e Certificação Digital • Infra-estrutura de Chaves Públicas• Principais Aplicações• Alguns cases no Brasil • Aspectos Jurídicos
Roteiro
Dificuldades em operações realizadas eletronicamente
Contrato nn ... ... ... ... ... . ...... .... ..... .. .. ... ... .. .. ......... .... .... .... ..... ..... .. . .... .... .......
Trâmite
Armaze-namento
Recebe
Consulta
Remetente Destinatário
Conteúdo aparente = conteúdo real ? Integridade
Remetente aparente = remetente real ? Autenticidade
Destinatário aparente = destinatário real ? Sigilo
Operações eletrôn. ? Legalidade e Força Probatória
?
Contextualização
• Assinatura: Marca pessoal utilizada para designar autoria ou aprovação
• Certificação: Afirmação de certeza ou verdade
• Digital: Valores representados exclusivamente em binário (eletrônicos,magnéticos,ópticos,etc.)
• Analógico: Representa grandezas de forma contínua (pergaminho,papel,microfilme,etc.)
• Eletrônico: Dependente do movimento elétrons
• Autenticação: Ato pelo qual algo é reconhecido como verdadeiro (termo jurídico)
Conceituação
Em Papel (analógico)
Eletrônico (digital)
Escrito
Original
Assinatura
Acessível* (seqüência de bits)
Visível (leitura)
Primeiro suporte
Integridade** (formato original)
Marca pessoal em conteúdo
Autenticidade com Integridade
Conteúdo (mensagem)
Localizável, interpretável, portável, íntegro, etc. *Documentos digitalizados e impressos são cópias **
Conceituação
• Digitalizada
• DigitalCódigo gerado por computador: 8a5&2K9z63x
• Baseada em biometriaCaracterísticas biométricas convertidas em bits
Assinatura Eletrônica:
Conceituação
• Eficaz para autenticação não presencial
• Viabiliza a Certificação Digital
• Serve como base para autenticação de cópias eletrônicas
• Pode garantir segurança, legalidade e força probatória de documentos eletrônicos
Assinatura Digital:
Conceituação
• Autenticidade: Garantir a identificação e associação (ciente) do autor ao conteúdo
• Integridade: Invalidar a assinatura quando o conteúdo assinado for alterado
Assinatura em Documento Eletrônico
Conteúdo Assinatura
Chave Autor Assinat. Digital
+ =
+ =Resumo cont.
Sinal Autor
• Garante a identificação do assinante e/ou remetente (autenticidade e não repúdio)
• Possibilita a qualquer momento verificar se o conteúdo foi alterado (integridade)
• Pode garantir o sigilo (com criptografia)
• É o principal componente de uma ICP
Assinatura Digital
Protocolos, padrões e serviços para aplicação de criptografia de chaves públicas e estabelece a identidade de um usuário para autenticação
Infra-estrutura de Chaves Públicas
ICP
Criptografiae Hash Certificação
Digital
Assinatura Digital
ICP=PKI (Public Key Infrastructure)
Criptografia • Criptologia = criptografia + criptoanálise
• Criptografia = tornar incompreensível
• Oferece garantia de sigilo dos conteúdos
• Criptoanálise = desvendar criptografados
• Hoje algoritmos complexos e chaves fortes
• Tipos de criptog: Simétrica e Assimétrica
Algoritmo + Chave = Código criptograf.
L+D D=3 ad, be, cf, ... Exemplo: atacar dxdfdu
Criptografia Simétrica• Chave única para cifrar e decifrar um
conteúdo eletrônico
• Muito rápida para decifrar em relação a criptografia assimétrica
Texto normalEncript
Texto cifrado Texto normalDecript
Remetente Destinatário
1) Segredo compartilhado
2) Multiplicação de chavesProblemas
• Único par de chaves matematicamente relacionadas pública e privada
• Conteúdo cifrado por qualquer uma, só pode ser decifrado por qualquer outra
• Segurança depende do tipo de algoritmo e do tamanho da chave criptográfica sendo mínimo recomendável 1024 bits (RSA)
Criptografia Assimétrica
Conteúdo Assinatura
Chav Crip Aut Assinat. Digital
+ =
+ =Resumo cont.
Sinal Autor
PUB !@#$!%!@#$%!
!@#$!%!@#$%!
PRIV
Internet
Conteúdo Criptografado
RECEPTOR
RECEPTOR
Conteúdo Criptografado
Segredo não compartilhado
+++ Garantia de Sigilo +++
EMISSORConteúdonormal
RECEPTOR
Conteúdonormal
Pode-se combinar Simétrica com Assimétrica
Criptografia Assimétrica
Infra-estrutura de Chaves Públicas
ICP
Criptografiae Hash Certificação
Digital
Assinatura Digital
ICP=PKI (Public Key Infrastructure)
Função Hash• Gera um resumo do conteúdo eletrônico
chamado Código Hash (Message Digest)
• Deve gerar códigos Hash irreversíveis
• Evitar códigos repetidos para conteúdos diferentes (deve ser resistente a colisões)
• Recomendável chave de no mínimo 128 bits (para algoritmos SHA/MD5)
Conteúdo Assinatura
Chav Crip Aut Assinat. Digital
+ =
+ =Código Hash
Sinal Autor
Gerando Função Hash65 66 67 68 69 70 71 72 73 74 75 76 77 78 79A B C D E F G H I J K L M N O
97 98 99 100 101 102 103 104 105 106 107 108 109 110 111a b c d e f g h i j k l m n o
33 34 35 36 37 38 39 40 41 42 43 44 45 46 47! " # $ % & ' ( ) * + , - . /
H o j e j a f o i d e c i d i d o 72 111 106 101 106 97 102 111 105 100 101 99 105 100 105 100 111
Total = 1732 Total DIV 100 = 17 Total MOD 100 = 32
225
á
1860 18 60
+++ Garantia de Integridade +++
Criptografia X Hash
Criptografia (codificação reversível)
Original: 58431720844123736124178 N+D, D=1: 69542831955234847235289
Código Hash (resumo irreversível)
Original: 58431720844123736124178 Números: 91
Infra-estrutura de Chaves Públicas
ICP
Criptografiae Hash Certificação
Digital
Assinatura Digital
ICP=PKI (Public Key Infrastructure)
Certificação Digital• Expedição e controle de Certificados
Digitais (carteiras de identidade eletrônicas) por Autoridades Certificadoras – AC’s
• Componente de confiança (ISO X509v3)
• Permite a qualquer momento atestar a titularidade de uma chave criptográfica
• Vinculação entre Certificado e titular, garantida pela Autoridade de Registro
+++ Garantia de Autenticidade +++
Certificado Digital
Informações de Identificação Titular
Chave Pública do Titular
Nome da Autoridade Certificadora
Validade conforme LCR (Lista de Certificados Revogados)
É um arquivo eletrônico que
contém informações de identificação,
permitindo assegurar a
identidade de quem assina uma
mensagem ou documento eletrônico.
Infra-estrutura de Chaves Públicas
ICP
Criptografiae Hash Certificação
Digital
Assinatura Digital
ICP=PKI (Public Key Infrastructure)
Conteúdo .... ... .... ... ... . ...... ..... ..... .. .. ... ... .. .. .... ......... .... .... .... ..... ..... .. . .... .... .......... ........
Função resumo
(integridade)
Sistema criptográfico
seguro
(sigilo) e
conectar autor a um conteúdo
Certificação digital
(autenticidade)
identificação do autor via chave
criptográfica
Chav Crip Aut Assinat. Digital+ =Código Hash
Assinatura e Certificação Digital
Assinatura e Certificação Digital
AR AC
CHAVE PÚBLICA
Assinatura de DOCUMENTO
EletrônicoTrâmite
Certificação da Assinatura do
DOCUMENTO
CHAVE PRIVADA
Requisitos para garantias de uma ICP:
1 - Sistema criptográfico seguro
2 - Sigilo da chave privada
3 - Código Hash resistente a colisões
4 - Autoridade Certificadora confiável
5 - Ambiente computacional seguro
Assinatura e Certificação Digital
• Garantia de segurança transações eletrônicas
• Assinatura, sigilo, integridade e autenticação de mensagens e documentos eletrônicos +
• Autenticação de servidores e Bancos de Dados
• Autenticação de sites e paginas da Internet
• Proteção de software e aplicativo seguro
• Telefone e FAX seguros
• Votação e avaliação virtual
• Cartório virtual, etc.
Principais Aplicações
+ Mais informações a seguir
Sr. receptor:Documentocom Assin. Digital
##$%##%$
Internet
14867452Cálculo
da função hash
Código hash único
Cálculo da função
hash
PUB
EmissorEmissor
14867452
14867452
Código hashDecriptograf.
Código hashCalculado
PRIV
Sr. receptor:Documentocom Assin. Digital
##$%##%$
AssinaturaEncriptada
Emissor
Receptor
Documento do Emissor
Garantia de Autenticidade com Integridade
Emissor
Aplicação no Trâmite de Documentos Eletrônicos
Aplicação no Armazenamento de Documentos Eletrônicos
Quanto a criação Acervo ou Demanda Quanto ao conteúdo Estático ou Dinâmico Quanto ao acesso Consulta ou Atualização
Utilização ideal para documentos estáticos em demanda
Dinâmico em demanda: nova assinatura após atualização
Consulta: sob verificação de integridade e autenticidade
Acervo: pode ser re-assinado quando possível (autoria?)
Utilização de Componentes da Assinatura e Certificação Digital com Baixo Custo
• Garantia de integridade utilizando somente códigos Hash (resumos)
• Garantia de sigilo utilizando algoritmos criptográficos livres
• Garantia de autenticidade com o uso de certificação interna
Alguns Cases no Brasil
• Bancos: Sistema de Pagamentos Brasileiro
• Cartórios: Fé pública em cópias eletrônicas
• TSE: Projeto sistema de votação eletrônica
• e-Documentos (e-CPF, e-CNPJ, etc.) +• Uso no Governo Federal: desde janeiro de
2001 para trâmite de documentos entre a Presidência da República e Ministérios +
Problemas com sigilo da chave privada
1 - Sistema criptográfico seguro
2 - Sigilo da chave privada (ponto vulnerável)
3 - Código Hash resistente a colisões
4 - Autoridade Certificadora confiável
5 - Ambiente computacional seguro com GED
Requisitos Garantias da ICP
Solução possível: ICP + Biometria
• Evolução da legislação e das tecnologias
• Arcabouço legal para Certificação Digital
• Críticas ao atual modelo brasileiro de ICP
• Perspectivas de evolução do atual modelo
• Autenticação de documentos eletrônicos
• Validade jurídica X Força probatória
Aspectos Jurídicos
Novas Tecnologias
Internacional Leis modelo
Legislação
Doutrina Jurídica
Pesquisa Científica
Vazio Tecnologia
Arcabouço Legal
Mundo Virtual: Legislação x Tecnologia
Propostas e Recomendações
Aspectos Jurídicos
Arcabouço Legal para Certificação Digital:
• Papel (suporte) X Eletrônicos (conteúdo)
• Leis modelo Nações Unidas UNCITRAL
• Leis internacionais: UE, USA, UK, etc.
• Leis, Decretos, Resoluções e Portarias*
• Medida Provisória 2200-2/Regulamentos+• Projetos de Lei no Congresso Nacional +
Aspectos Jurídicos
*www.iti.gov.br
Medida Provisória 2.200-2 24/08/2001:
• Institui a ICP-Brasil e define sua estrutura
• Equivalência legal entre documentos em papel e documentos eletrônicos originais
• Autenticidade e integridade com força de lei quando AC credenciada pela ICP-Brasil
• Não exclui garantias de leis civis e comerciais
www.iti.gov.br
Aspectos Jurídicos
AC1
AC3 AC4
AC2
AC5 AC6
ICP-Brasil
raizAC
Autoridades
Certificadoras
Intermediárias
Usuários Finais
• Comitê Gestor do Governo como Autoridade de políticas e gestão vinculado à Casa Civil
• Todas entidades nacionais vinculadas a uma única AC-Raíz
• AC-Raíz operacionaliza, fiscaliza e audita AC’s abaixo dela, mas não pode emitir certificados para usuários finais
• Certificação cruzada só permitida via AC-Raíz com AC-Raízes de entidades estrangeiras
ICP-Brasil
raizAC
AC1 AC2
raizAC
AC1 AC2
Certificação Cruzada
AC1 AC1
ICP Brasileira ICP-Estrangeira
OK
AR Governo
AR Privadas Credenciadas
AC-RAIZBRASIL
AC Governo AC Privadas
AC AC
Comitê Gestor / ICP-Brasil Entre partes
NORMATIZAÇÃO
CREDENCIAMENTO
OPERAÇÃO
AC Privadas AC Privadas
MP 2200-2 Art. 10 § 1º MP 2200-2 Art. 10 § 2º
AC PrivadasAC
Privadas
AC-RAIZESDIVERSAS
AR Privadas
ICP-Brasil
DENTRO FORA
Dec 3.996 Dec 4.414
Fonte: ITI
• Certificação cruzada só ICP’s estrangeiras
• Integração com outros Poderes da República
• Vinculação da iniciativa privada a AC-Raiz
Críticas ao atual modelo ICP-Brasil:
Perspectiva para evolução do atual modelo:
MP 2200-2 ICP-Brasil
LEI nnnnn (novo modelo) Convalidando ações
até então realizadas pelo atual modelo
Aspectos Jurídicos
• 1589/1999 Câmara Luciano Pizzatto (OAB - SP), assinatura digital e validade jurídica doc. eletrôn.
• 1483/1999 Câmara Dr. Hélio, fatura eletrônica e incorpora 1589 (Assespro, Brisa, OAB, IDEC, ...)
• 4906/2001(672) Câmara Aprovado na comissão especial em 26/09/2001 incorporando 1483 e 1589
• 7316/2002 Câmara Uso Assinaturas eletrônicas e prestação de serviços de Certificação Digital
Projetos de Lei no Congresso Nacional
www.camara.gov.br/internet/sileg/Prop_Pesquisa.asp
EM PAPEL ELETRÔNICO
Autenticação Digital
DOCUMENTO
ORIGINAL
CÓPIA
Reconhecimento
com Fé Pública
Autenticação com Fé Pública
Reconhecimento
dentro ICP-Brasil
Assinatura
Reprodução
Assinatura
Reprodução(.doc, .xls, .ppt, etc.)
(.tif, .jpg, .gif, etc.)
Autenticação dentro ICP-Brasil com Fé Pública
Validade Jurídica Força Probatória
Documento autêntico X Processo autêntico
Contrato..............................................................................................................................................................................................................................................................................................................................................................................................................
Contratante Contratado
X9r43281053 4a7v6156z4
X Documento Eletrônico
www.cenadem.com.br/mundo_da_imagem/55.cwdoMatéria de capa Mundo da Imagem:
Referências
Aspectos tecnológicos: Assinatura Digital, Marlon Marcelo Volpi (cap. 1,2)
Aspectos Legais: Direito Digital, Patrícia Peck, Editora Saraiva
Criptografia: O Livro dos Códigos, Simon Singh, Editora Record
GED – Gestão Eletrônica de Documentos: www.cenadem.com.br (empresarial) www.sage.coppe.ufrj.br/ged.html (acadêmico)