A/Zf^esso:__?_L_iQ4Func: _-=Laboratrio de Sistemas Integrveis TecnolgicoPROJETO SREISistema de Registro Eletrnico ImobilirioAssinatura digital-Alternativas de formatoseestrutura dos atributos deassinatura.Ttulo PROJETO SREI: Assinatura digital: alternativas deformatose estrutura dos atributos de assinaturaVerso Verso1.1release3Data daliberao 18/01/2012Classificao LSI-TEC:RestritoAutores VolnysBernalPropriedade LSI-TECRestries de acesso LSI-TEC,CNJeARISPA/2^17Laboratrio de Sistemas Integrveis TecnolgicoSumrio1 INTRODUO 42 FORMATOS DEREPRESENTAODAASSINATURA DIGITAL 53 ESPECIFICAO CADES 83.1 Padro CMS 83.2 Contedo anexado ou separado 103.3 Modelos estruturais da especificao CAdES 113.3.1 CAdES Basic Electronic Signature (CAdES-BES) -/23.3.2 CAdES Explicit Policy-based Electronic Signatures (CAdES-EPES) 133.3.3 Electronic Signature withTime (CAdES-T) 143.3.4 ES with Complete Validation Data References (CAdES-C) 153.3.5 EXtended Long Electronic Signature (CAdES-X Long) 763.3.6 EXtended Electronic Signature withTime Type 1(CAdES-X Type1) 173.3.7 EXtended Electronic Signature with Time Type 2 (CAdES-X Type 2) 183.3.8 EXtended Long Electronic Signature withTime (CAdES-X Long Type1) 203.3.9 EXtended Long Electronic Signature with Time (CAdES-XLong Type 2) 213.3.10 Archival Electronic Signature (CAdES-A) 223.4 Concluso 234 ESPECIFICAO XADES 254.1 Especificao XML DSIG 254.1.1 Tipos de assinatura XML DSIG 264.1.2 Visogeral da assinatura 274.2 Especificao XAdES 284.2.1 Modelos estruturais definidos pelaespecificao XAdES 314.2.2 XAdES-BES 324.2.3 XAdES-EPES 334.2.4 XAdES-T 334.2.5 XAdES-C 344.2.6 XAdES-X. 354.2.7 XAdES-X-L 364.2.8 XAdES-A 375 ESPECIFICAO PADES 39Ttulo Verso Classificao PginaPROJETOSREI: ROJETO SREI:Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 2/59^OSlJTEELaboratrio deSistemas Integrveis Tecnolgico;.esso:WJ& Processo:Folha:Func:Mm____-vw.v5.1 Tipos de assinatura digital PDF 395.1.1 Assinatura de aprovao 395.1.2 Assinatura de certificao 395.1.3 Assinatura de direito de uso 405.2 Suporte do PDF ao AdES 405.2.1 PAdES Basic 415.2.2 PAdES Enhanced 445.2.3 PAdES Long Term 456 NORMALIZAO DA ICP-BRASIL 486.1 Formatos derepresentao de assinatura digital da ICP-Brasil 486.2 Modelos estruturais dos atributos de assinatura da ICP-Brasil 486.2.1 Assinatura digital comreferncia bsica (AD-RB) 496.2.2 Assinatura digital com referncia de tempo(AD-RT) 496.2.3 Assinatura digital com referncias para validao (AD-RV) 506.2.4 Assinatura digital com referncias completas (AD-RC) 516.2.5 Assinatura digital com referncias paraarquivamento (AD-RA) 516.3 Compromissos de assinatura 527 CERTIFICADODE ATRIBUTO 558 REFERNCIAS 57Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 3/59LWtJLaboratrio de Sistemas Integrveis Tecnolgico 1 IntroduoEstedocumentoapresentaospadres existentes relacionados assinaturadigitalesuapossvel aplicabilidade noprojeto SREI.So apresentadas as especificaes definidas pela comunidade europia CAdES [1],XAdES[2] e PAdES[3] nocontextoda assinaturaeletrnicaavanada{AdvancedElectroonic Signatures - AdES) [4]. Emseguida, apresentado o padro deassinatura digital definidopelaICP-Brasil.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 4/59ProcessoFoJha:[Func:_OT50A/MZ7..... rx_;/obofo'ori> df Sistemas IntegrveisTecnolgico'..';:'.2 Formatos de representao da assinatura digitalOsprincipais formatos derepresentaode assinaturadigital existentesatualmenteso CAdES[1], XAdES [2] ePAdES [3][4][5][6][7]. Tais formatosforamdefinidos como intuito de adequar a tecnologia de assinatura existente {CMSDigital Signature[8][9][10][11][13], XMLDSIG[14][15]ePDF [16]) diretivaCE1999/93 que tratadaassinatura eletrnica avanada {AdvancedElectronic Signature - AdES) [17] nombito da Comunidade Europia(CE).Apartirda Diretiva CE, oEuropeanTelecommunicationStandardsInstitute (ETSI)formouum comit tcnico denominado Electronic Signatures and Infrastructures (ESI)paraadefiniodospadrespara assinatura eletrnica que atendam aosrequisitosde assinatura eletrnicaavanada {Advanced Electroonic Signatures- AdES). Estestrabalhos geraram as especificaesCMS Advanced Electronic Signature (CAdES)[1], XML Advanced Electronic Signature (XAdES) [2] e, mais recentemente, aespecificao PDF Advanced Electronic Signature (PAdES) [3] [4][5] [6[7],apresentadas no Quadro1.Quadro 1 - Padres para formato de representao deassinatura digital.PadroCAdESXAdESDescrioAespecificao CMS AdvancedElectronic Signature (CAdES) [1] definediversosmodelosestruturais pararepresentao de um objeto assinado, suasassinaturas e demais dados(como, por exemplo, certificados, dados deestadoderevogao, carimbos de tempo, etc) construdos a partir a especificaoCryptographicMessage SyntaxSignedData (CMSSignedData) (RFC5652)[13]atravs daincluso de atributos assinados eno assinadosAespecificao XML AdvancedElectronic Signature (XAdES) [2] definediversos modelos estruturais pararepresentao de um objetoou mais objetosassinados, suas assinaturas e demais dados(como, por exemplo, certificados,carimbos de tempo, etc) construdos a partir da especificao XML DSIG[13][14].Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC: Restrito 5/59AZMZ7laboratrio de Sistemas IntegrveisTecnolgico IsileAespecificao PDF AdvancedElectronic Signature (PAdES) [3][4][5][6][7]diferedoCAdESeXAdES poisvoltadaexclusivamente para documentosPDF[16], definindorequisitos que devemser atendidos pelos softwares devisualizao e edioPDF quando soutilizadas assinaturas digitais, alm dedeterminar quais elementos do PDFpodemconstar e quais elementos nodevem constar. Outra caracterstica suportada pelo PDF assinaturaeletrnica integrada a formulrios. Estasso caractersticas quedistinguem aespecificaoPAdES doCAdES eXAdES.Nestas especificaes existe o desafio de incluso de elementos adicionais assinatura afimdepermitir a realizaode umprocessosegurode validaodeassinaturas. Esteselementos soacrescentadosestrutura CMS SignedDatanaformade atributos assinados eatributosnoassinados. Dentre estes elementos quepodem ser includos esto: Apolticadeassinatura, quedetermina ascondieseformatosquedevemser atendidos na gerao ena validao da assinatura; O carimbo do tempo de assinatura (signature time-stamp), paradeterminar a refernciadetemposegura paraserutilizada no processodevalidaodoscertificados dacadeia decertificao(possibilitagarantir queaassinatura foi realizada antes deumdeterminado instante); As refernciasaocertificadoe cadeiade certificaodossignatrios e dosoutros objetos assinados, necessrios validao da assinatura como ocertificado de assinatura da Lista de Certificados Revogados (LCR), ocertificado de assinaturadarespostaOCSPedocertificado de assinatura docarimbo do tempo; As referncias aos objetos de consulta sobre revogao, LCR e respostaOCSP, dos certificados utilizados; Os certificados ecadeias de certificao; Os objetos derevogao;Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas deformatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 6/59fA/20Z7laboratrio de Sistemas Integrveis Tecnolgico." ' ....:W.WY.Isi'.. O carimbo do tempo de arquivamento, para possibilitar a validao dasassinaturas aps vrios anos da sua gerao, umtermo conhecido comovalidaoalongo prazo(ou long-term validation - LTV).Parapossibilitaravalidaodeumaassinaturaeletrnica, necessriaa utilizaodos seguintes objetos, que devemmantidos junto ao objeto assinado ou emumoutrorepositrio, sendopassvel de recuperao: Ocertificado e cadeia de certificaodos signatrios e dos outros objetosassinados necessrios validao da assinatura como o certificado deassinatura da LCR, o certificado de assinatura da resposta OCSP e docertificado de assinatura docarimbodo tempo; Os objetos de consulta sobre revogao, LCR e resposta OCSP, doscertificadosutilizados. Estesobjetosdevemserobtidosoquantoantespois,quandoumcertificadoexpira, asinformaessobrerevogaopresentesnaLCR podem ser eliminadas, o mesmo valendo para as respostas OCSP.Associadoaumaassinaturaexiste, implicitamente, umcompromissoassumidopelosignatrio quepode ser, por exemplo, aconcordncia com as disposiespresentesemcontedo assinado ou a cincia de um comunicado recebido. Em algunscontextos, pode ser necessrio expressar explicitamente tal compromisso. Paraisso, possvel incluir na assinatura eletrnica um atributo que expresse qual ocompromissoassumidopelosignatrionomomentodegeraodeumaassinaturaeletrnica.Ttulo Verso Classificao PginaPROJETO SREl: ROJETO SREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 7/59Af^I7laboratrio de Sistemas Integrveis TecnolgicoW.V..3 Especificao CAdESAespecificao CMS AdvancedElectronicSignature (CAdES) [1] define diversosmodelosestruturaispararepresentaodeumobjetoassinado, suasassinaturasedemais dados (como, por exemplo, certificados, dados de estadode revogao,carimbos de tempo, etc) construdos apartir a especificaoCryptographic MessageSyntax SignedData {CMSSignedData), definida na RFC 5652 [13], atravs daincluso de atributos assinadose no assinados.A especificaoCMS SignedData(RFC5652)derivada da especificaoPKCS#7[8], originalmentedefinidapela RSALaboratories. OCMS especificadopor meiodalinguagem ASN.1{Abstract Syntax Notation One)[18] eseutiliza dacodificaoBER {Basic Encoding Rules) [18] ou DER {DistinguishedEncoding Rules) [18],podendo ser adicionalmente transformado emASCII utilizando a especificaoBase64.3.1 Padro CMSO padro CMS {Cryptographic Message Syntax) foi definido originalmente daespecificaoPKCS#7verso1.5[8], definida pelaRSAem1993. Desdeento, oIETF {Internet Engineerng Task Force)tornou-seresponsvel pelo desenvolvimentoe manutenodo padro. OQuadro2apresentaa evoluo do padro CMS aolongo do tempo.Quadro 2 - Verses dopadro CMS.Documento Entidade Ano ObservaoPKCS#7v. 1.5 [8] RSA 19993 Verso original.RFC 2315 [9] IETF 1998 Publicao daverso original como RFC.RFC 2630 [10] IETF 1999 Segunda verso.RFC 3369 [11] IETF 2002 Terceira verso.RFC 3852 [12] IETF 2004 Quarta verso.RFC 5652 [13] IETF 2009 Quinta verso,verso atualTtulo Verso Classificao PginaPROJETOSREI: ROJETO SREI:Assinaturadigital: alternativas de formatos e estruturas dosatributos deassinaturav1.1.r.3 LSI-TEC:Restrito 8/593S3!E [ProcessoAZZ0Z7iboratno de Sistemas Integrveis Tecnolgico Localizao dosignatrio (signer location); Carimbo de tempo de contedo (content time stamp).CAdES-BESContedoContentetypeMessagedigestAssinaturaDigital1Certificado1 signatrioOutros !j atributos !J assinados ! (opcional) jAtributosassinados] Atributos |i noassinadosJi (opcional) !Atributos noassinadoswww.isiiec oia.brl iFigura 4 - Formato CAdES-BES (adaptado deETSITS101733 CAdES).Nestes modelos estruturais, o contedoassinadopodeestar includo na estruturaCMS SignedData, sendo denominado CMS SignedData attached, ou estardestacado, sendo denominadoCMS SignedData Detached.3.3.2 CAdESExplicit Policy-basedElectronic Signatures (CAdES-EPES)O modelo estrutural CAdES Explicit Policy-basedElectronic Signatures (CAdES-EPES) semelhante aoCAdES-BES, coma obrigatoriedadedeinformar a polticade assinatura (signature policyidentifier).Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 13/59A/2^Z7Laboratrio de Sistemas Integrveis TecnolgicoCAdES-EPES jContedoContentetype Atributos |noassinados j |(opcional) ! MessagedigestAssinaturaDigitalCertificadosignatrioSignaturePolicylD> Outros J; atributos !| assinados i! (opcional) jAtributosassinadosAtributos no ]assinados ic.orq.bFigura 5 - Modelo estrutural CAdES-EPES (adaptado deETSI TS 101 733 CAdES).3.3.3 Electronic Signature with Time (CAdES-T)Omodelo estrutural Electronic Signature with Time (CAdES-T) baseado noCAdES-BES ou CAdES-EPEScoma obrigatoriedade da incluso do atributodecarimbo do tempo da assinatura. Ocarimbo de tempo de assinatura contmoinstante de referncia seguro (ncora temporal) para a validao da cadeia decertificao do certificado do signatrio. A especificao admite, tambm, apossibilidade deutilizao doCAdES-BESouCAdES-EPES comumamarcaodetempo {log) segura disponvelparaauditoria.ContedoCAdES-BESouCAdES-EPESContentetypeMessagedigestAssinaturaDigitalCertificadosignatrio! Signature !j PolicylD jOutros |j atributos !{ assinados ! (opcional) >AtributosassinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)Atributos noassinadosTtulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas deformatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 14/59A/2OTlaboratrio de Sistemas Integrveis Tecnolgico. sr-aam-i MKWB"|&so:J^LX4-' Jha: f11- une:h Contedo anexado: quando o contedo digital includo naestrutura CMS; Contedoseparado: quandoocontedodigital no includo na estruturaCMS,sendoreferenciadoindiretamente atravs do seu resultado hash.Contedo anexado(attached)CMSSignedDataeContentContedoAssinaturas(Signerlnfos)Contedo separado(detached)ContedoCMS SignedDataeContentAssinaturas(Signerlnfos)Figura3 - CMScom contedo anexado ou separado.3.3 Modelos estruturais da especificao CAdESO formatopara representao da assinatura digital utilizado na especificao CAdES o CMS SignedData, no qual soincludos diversos atributos assinados e noassinados, formando uma nova estrutura. Por este motivo ser utilizado o termo"modelo estrutural"parareferenciar os diversos tipos de estruturas, poiso formatoaindaumCMS SignedData.Osmodelos estruturais de assinaturaeletrnicadefinidospela especificao CAdESesto apresentadosno Quadro3.Os modelos estruturais de assinatura eletrnica estendida so utilizados parapossibilitar a validao de assinaturas emlongo prazo e para prevenir algumassituaescatastrficasdecomprometimentodechavesdeAC, chavesde LCRouchaves doservio OCSP.As sees a seguir apresentamalgumas informaes adicionais sobre cada umdestes modelos estruturais.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 11/59A amnLaboratrio de Sistemas Integrveis TecnolgicoSemdados devalidaoComdados devalidao|.|aQuadro3- Modelos estruturais da especificao CAdES.CAdES Basic Electronic Signature (CAdES-BES)CAdES Explicit Policy-based Electronic Signatures (CAdES-EPES)Electronic Signaturewith Time (CAdES-T)ES with Complete Validation Data References(CAdES-C)Extended(CAdES-X)EXtendedLongElectronic Signature (CAdES-X Long)EXtended Electronic Signature withTime Type 1 (CAdES-X Type 1)EXtendedElectronic Signaturewith Time Type 2 (CAdES-XType 2)EXtended Long Electronic Signature withTime (CAdES-X Long Type 1)EXtendedLongElectronic Signature withTime (CAdES-XLong Type 2)Archival Electronic Signature(CAdES-A)3.3.1 CAdESBasic Electronic Signature (CAdES-BES)Omodelo estrutural CAdESBasic ElectronicSignature (CAdES-BES) o maissimples detodos. Ele fornece funcionalidades para a realizao de autenticaobsica eproteo de integridade.Este modelo exige aobrigatoriedade de somente os seguintes atributos assinados: Tipo de contedo (content type) Hash da mensagem (message digest) Certificado dosignatrio v1(ESS signingcertificate) ouCertificado dosignatrio v2(ESS signingcertificate v2)Existem tambmoutros atributos assinados opcionais: Identificador dapoltica de assinatura (signature policy identifier); Indicao de tipode compromisso (commitment type indication); Atributos do signatrio (signer attributes); Instante daassinatura (signing time);Ttulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas deformatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 12/59AZMZ7Func:f^flaboratrio de Sistemas IntegrveisTecnolgicoW.v.\O padro CMS define estruturas para vrios tipos de documentos. Otipo CMSSignedData voltadoespecificamente paraaorganizao de dadosrelacionadosassinaturadigital. Ele possibilitaincluir oureferenciar: Ocontedo digital assinado; Informaes sobre cada signatrio, tais como:o Dados de identificao do signatrio;o Blocos de assinaturas digitais gerados por cada signatrio;o Algoritmos criptogrficosutilizados nos processos de assinatura digital;o Atributos assinados eno assinados relacionados assinatura digital; Certificados digitais dos signatrios erespectivas cadeias de certificao; e Objetosrelacionados verificaoderevogaocomolistasdecertificadosrevogados (LCR) e/ou respostas OCSP.AFigura 1 ilustra umcontedotipo CMS Signed-datacomcontedo includoecontendo trs signatrios, cada qualcom seurespectivo tipo Signerlnfo.contentTypaid-signedDatadigeslAigorithmsencapContentlnfoeContentType Id-dataeContentcertificalessignerlnfosSignerlnfoSignerlnfoSignerlnfoContentlnfo-CMS SignedData-EncapsulatedContentlnfo-Contedo-Assinatura signatrio #1-Assinatura signatrio #2-Assinatura signatrio #3Ttulo Verso Classificao PginaPROJETO SREl: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 9/59umulaboratrio de Sistemas Integrveis Tecnolgicowww.is.fleFigura 1 - Ilustrao do tipoCMS signed-data comcontedo includoecontendotrs signatrios.Os atributos, individuais a cada signatrio e includosna sua estrutura signerlnfo,esto organizados em: Atributos assinados: so aqueles que podem ser includos no camposignedAttrs do tipo Signerlnfo; Atributos no assinados: soaqueles que podemser includos no campounsignedAttrs do tipo Signerlnfo.A Figura 2 ilustra o tipo signerlnfo com alguns atributos nos campossignedAttrseunsignedAttrs. ignerlnfosSignerlnfoAttributeAttributeversionsiddigestAlgcrithmsignedAttrs| attrType|attrValuesI attrType| attrValuessignatureAlgorithmsignatureu nsignedAttrs| attrType[ attrValuesFigura 2 - Ilustrao dos atributos nos campos signedAttrs e unsignedAttrsdo tipo Signerlnfo.Quando da existncia de mltiplas assinaturas, cada assinatura possui seuSignerlnfo exclusivo. Assim, cada assinatura possui seu prprio conjunto deatributos assinados eno assinados (ETSICAdES, seo 6).3.2 Contedo anexado ou separadoO padro CMSpermite organizar o contedo digital de duas formas:Ttulo Verso Classificao PginaPROJETOSREI: ROJETO SREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos deassinaturav1.1.r.3 LSI-TEC:Restrito 10/59ffi/2^17laboratrio de Sistemas Integrveis TecnolgicoContedoCAdES-BESouCAdES-EPESContentetype,.-''Messagedigest,'l Assinaturai-f DigitalCertificadosignatrio Signature 1 PolicylD !Outros j[ atributos !J assinados j (opcional) jAtributos assinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)Prncraso:WJRlFolha: |p.5Func: ^_^_E^. . CAdES-CCAdES-XType1CAdES-X LongType1RefernciascompletasaoscertificadosRefernciascompletasrevogao[ Refernciasjaos certific. de! atributo| Referncias Jrevogaode! atributoCarimbo detemposobreCAdES-CAtributos np assinadosValorescompletos decertificados erevogaesFigura13 - Modelo estrutural CAdES-XLongType 1 (adaptado de ETSI TS101733CAdES).3.3.9 EXtended Long Electronic Signature with Time (CAdES-X LongType 2)Omodeloestrutural EXtended LongElectronic SignaturewithTime(CAdES-XLongType 2) representa a combinao dos modelos estruturais CAdES-X-Long comCAdES-X Type 2.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 21 /59Laboratrio deSistemas Integrveis TecnolgiccContedoContentetypeMessagedigestCertificadosignatrioSignaturePolicylDOutrosatributosassinados(opcional)CAdES-BESouCAdES-EPESAssinaturaDigitalAtributos assinadosCAdES-TCarimbo detempo deassinaturaOutrosatributos Jno assinados |(opcional) !CAdES-CRefernciascompletas aoscertificadosRefernciascompletas revogao' Referncias[aos certific. dej atributojReferncias | revogaodeI atributoAtributos no!,.'..' IsitaCAdES-XType2Carimbo detempo sobrerefs de certs erevs compls.assinadosCAdES-XLongType2Valorescompletos decertificados erevogaesFigura 14 - Modelo estruturalCAdES-X Long Type 2(adaptado deETSI TS101733CAdES).3.3.10i \y; l*iArchivalElectronicSignature(CAdES-A)ContedoContentetypeMessagedigestCertificadosignatrioSignaturePolicylDOutrosatributosassinados(opcional)CAdES-BESouCAdES-EPESAssinaturaDigitalAtributos assinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)CAdES-CRefernciascompletas aoscertificadosRefernciascompletasarevogaoReferncias|aos certific. de!atribuloReferncias revogaodeatributoCAdES-XType 1ou... Type2! Carimbo de i! tempo sobre ;!refsdecertse \ revs compls. ICarimbo detempo sobreCAdES-CCAdES-XLongValorescompletos decertificados erevogaesAtritjutos noassinadbs ,'CAdES-ACarimbo detempo dearquivamentoFigura15 - Modelo estrutural CAdES-A (adaptado de ETSITS101733 CAdES).O valor utilizado no carimbo de tempo de arquivamento resultado hash daconcatenao dos seguintes elementos da estruturaCMS SignedData:Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 22/59Laboratrio dr Sistemas Integrveis TecnolgicoContedoContentetypeMessagedigestCertificadosignatrioSignaturePolicylDOutrosatributosassinados(opcional)CAdES-BESouCAdES-EPESAssinaturaDigitalAtributos assinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)CAdES-CRefernciascompletas aoscertificadosRefernciascompletas arevogao| Referncias[aos certificdeatributoj Referncias J revogao de! atributowww.lsilCAdES-XType 2Carimbo detemposobrerefs de certs erevscomplsAtributos no! assinadosFigura11- Modelo estruturalCAdES-X Type 2(adaptado deETSI TS101 733CAdES).Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC: Restrito 19/59Mamnabaraiorio de- Sistemas Integrveis Tecnolgico .jontentTvDe\iBignedPata Contentlnfo id-sianedDatac ontent c ontent1version 1-CM1version 1SignedData "EncapsulatedContentlnf1rligestAlgorrlhms 1riigpsIAIgorithmsencapContenlInfo encapContentlnfoeContentType1id-dala 1eContentTypeI id-dala 1eContent1 1eContent1 1certificates certificatescrls crtssignerlnfos /Signerlnfo signerlnfosversion ,Icontatena)/Gera\( cdigo jVhash J(Obtm \V TST//'Inclui\( atributo )\versionsid siddigestAlgorithm digestAlgorithmsignedAttrs1Attribute 11AttribMte |1AtWbMte |signedAttrs1 Attribute i1Attribute i1Attribute |signatureAlgorith signatureAlgorithSignature BfgnatureunsignedAttrs unsignedAttrs1Atribule | Attributecomplete completecertificale refs1certificaterefs 1completecompleterevocationrefs revpaon refsVVArCAdcS-Gts ':.certs-cVlsrrefs',,Figura 12 - Ilustrao daincluso deumatributo "carimbo de tempo das referncias".3.3.8 EXtended Long Electronic Signature with Time (CAdES-X LongTypel)Omodeloestrutural EXtended LongElectronic Signaturewith Time(CAdES-XLongType 1) representa a combinao dos modelos estruturais CAdES-X-Long comCAdES-X Typel.Ttulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas de formatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 20/59laboratrio de Sistemas Integrveis TecnolgicaProcesso: ^QsJ-L=-Fc4ha:.__Z_SFunc:kW.V.-.values). Este modelo estrutural autocontido, pois inclui todas as informaesnecessrias para avalidao da assinatura eletrnica.No exemplo apresentado anteriormente, quando for necessrio enviar a umaentidade externa umdocumento comassinatura eletrnica no modelo estruturalCAdES-C, possvel compor umainstnciadestedocumentoassinadoa partir doCAdES-C, incluindo os certificados eobjetos derevogaorecuperados dabase dedados.ContedoCAdES-BESouCAdES-EPESContentetypeMessagedigestAssinaturaDigitalCertificadosignatrio! Signature !; PolicylD 1Outros ! atributos 1; assinados !! (opcional) |Atributos assinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)CAdES-CRefernciascompletas aoscertificadosRefernciascompletas ' Referncias;aos certific. de! atributo; Referncias j revogaodeI atributoCAdES-X LongValorescompletos decertificados erevogaesAjributos no assinajJosFigura 9 - Modelo estrutural CAdES-XLong(adaptado de ETSI TS101733 CAdES).3.3.6 EXtendedElectronic Signature with Time Type1 (CAdES-X Type1)Omodelo estrutural EXtendedElectronic Signature withTime Type 1 (CAdES-XType 1) baseado no modelo estrutural CAdES-C coma obrigatoriedade deinclusodocarimbo detempo sobreomodeloCAdES-C. Isto possvel atravs douso do atributo CAdES-c-time-stamp, cujohashenvolve o valor da assinaturadigital, do carimbo de tempo de assinatura edos atributos de referncia.Este modelo de estrutural previne algumas situaes catastrficas decomprometimentodechavesdeAC, chavesdeLCRou chavesdoservioOCSP,propiciando umaredundncia criptogrfica sobre aassinatura eletrnica.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC: Restrito 17/59laboratrio de Sistemas IntegrveisTecnoliContedoCAdES-BESouCAdES-EPESContentetype,'*Messagedigest,AssinaturaDigitalCertificadosignatrio Signature Ij PolicylD !Outros !j atributos !! assinados i! (opcional) |Atributos assinadosCAdES-TCarimbo detempodeassinaturaOutrosatributosno assinados(opcional)CAdES-CRefernciascompletas aoscertificadosRefernciascompletas revogao| Refernciasjaoscertific. de! atnbutoj Referncias !revogao de[ atnbuto'CAdES-XType 1Carimbo detempo sobreCAdES-CAtributos np assinadosFigura10 - Modelo estrutural CAdES-X Type 1 (adaptado de ETSI TS101733CAdES).3.3.7 EXtendedElectronic Signature with Time Type 2 (CAdES-X Type2)Omodelo estrutural EXtendedElectronic Signature withTime Type 2 (CAdES-XType 2) baseado no modelo estrutural CAdES-C coma obrigatoriedade deincluso do carimbodetempo sobreas referncias de certificados e objetos derevogao. Isto possvel atravs do uso do atributo CAdES-c-time-stamp-certs-crls-references, cujo hash envolve os atributos de referncia acertificados eobjetos de revogao.SegundoaespecificaoCAdES, estemodeloestrutural previne osmesmosriscosque o CAdES-X Type1.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 18/59(S&ZZ0I7Laboratrio de Sistemas Integrveis TecnolgicaProcesso: 3Mi.O^fFoJha: H) Func: ff^rFigura 6 - Modelo estrutural CAdES-T (adaptado de ETSI TS 101 733 CAdES).c ontenlTypec ontentTypeid-siqnedDataid-siqnedData Contentlnfoc ontent---CMS SignedDataEncapsulatedContentlnfoantent| version| versionI diqestAlqorithmsI diqestAlqorithmsencapContentlnfoencapContentlnfoeContentType| id-dataeContentType| id-dataeContent eContentcertificatescertificatescrls crissignerlnfos signerlnfosversionrlnfoversionsid siddigestAlgorithmdigestAlgorithmsignedAttrsI AttributesignedAttrs| Attributef. Gera \( cdigo ]Vhash J|Attribute j| AttributeI Attribute| AttributesignatureAlgorithm signatureAlgorithmsignature signatureunsignedAttrsI AttributeVTST //inclui \( atributoj~ ' vv\jomTSJ/unsignedAttrsI Attribute || Attribute | AttributeI Attribute | | Attribute-*t-Atfribule.; Figura 7 - Ilustrao daincluso de umatributo "carimbo de tempo de assinatura".3.3.4 ES with Complete ValidationDataReferences (CAdES-C)O modelo estrutural Electronic Signature (ES) with Complete Validation DataReferences (CAdES-C)basadonoCAdES-T comaobrigatoriedade de incluso dereferncias aoscertificados dacadeia decertificados dosignatrioederefernciassLCRs erespostas OCSPnecessriaspara sua validao. Istoobtido atravs douso de dois atributos referncias completas aos certificados (completecertificate references) e referncias completas revogao (completeTtulo Verso Classificao PginaPROJETO SREI: ROJETO SREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 15/59laboratrio de Sistemas Integrveis Tecnolgico. .. :revogation references). Caso sejam utilizados certificados de atributostambmnecessriaaincluso dos atributos referncias aos certificados de atributo(attribute certificate references) e referncias revogaode atributo(attribute revogation references).Este modelo estrutural interessante em sistemas centralizados que mantmdiversasassinaturaseletrnicas, poispossibilitamanternaestruturaCMSsomenteasreferncias aos certificados eobjetos derevogao, mantendo o armazenamentodos certificados e objetos de revogao, por exemplo, emuma base de dadosindexada pelo seu hash. Isto otimiza a alocao de espaode armazenamentoeletrnico. No momento que for necessrio realizar uma validao, atravs dasreferncias, tais objetos so recuperados da base de dados.ContedoCAdES-BESouCAdES-EPESContenlctypeMessagedigestAssinaturaDigitalCertificadosignatrio! Signature !j PolicylD ;Outros !; atributos !J assinados ! (opcional) ;AtributosassinadosCAdES-TCarimbo detempo deassinaturaOutrosatributosno assinados(opcional)CAdES-CRefernciascompletas aoscertificadosRefernciascompletas revogao Referncias{aoscertific. de! atributo| Referncias ] revogaodeatributoAtributosioasfinadosFigura 8 - Modelo estrutural CAdES-C (adaptado de ETSITS101733 CAdES).3.3.5 EXtendedLongElectronic Signature (CAdES-XLong)O modelo estrutural EXtended Long Electronic Signature (CAdES-X Long) baseado no modelo estrutural CAdES-C coma obrigatoriedade de incluso dacadeiade certificadosdossignatrios e das respectivas LCRs e respostas OCSPnecessrias para validao. Isto possvel atravs douso dos atributos"valores doscertificados" (certificate values) e "valores de revogao" (revocationTtulo Verso Classificao PginaPROJETOSREI: ROJETO SREI: Assinaturadigital: alternativas de formatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 16/59laboratrio de Sistemas Integrveis TecnolgicoProcesso: gjfcjl >Folha:Func:. i i 'o SigningCertificate - Certificado de assinatura: Contm areferncia ao certificado utilizado pelo signatrio para gerao daassinatura;o SigningTime - Instante de assinatura: Instante alegado pelosignatrio da gerao daassinatura;o DataObjectFormat - Formato do objeto de dados: Identifica oformatodoobjeto de dados assinado;o CommitmentTypelndication - Indicao do tipo de finalidade:Identifica a finalidade da assinatura determinada pelo signatrio emrelao ao objeto de dados assinado;o SignatureProductionPlace - Local da produo da assinatura:Indica olocal daproduo da assinatura alegado pelo signatrio;o SignerHole- Papel do signatrio: Contmo papel assumido pelosignatrio quandodacriao daassinatura. Opapel pode ser alegadooucertificado. Papel certificado dependedainclusodocertificadodeatributo.o CounterSignature - Contra-assinatura: Contm uma outraassinatura aplicada sobre aanterior.4.2.1 Modelos estruturais definidospela especificao XAdESAespecificaoXAdES, atualmente, definequatromodelosestruturais bsicos, deusoobrigatrio, eseismodelos, deusoopcional, voltados aoarmazenadodelongoprazo,apresentados noQuadro 6.Quadro 6 - Modelos estruturais obrigatrios para assinaturas eletrnicas XAdES.XAdES Basic Electronic Signature (XAdES-BES)XCAdES Explicit Policy-based Electronic Signatures (XAdES-EPES)Electronic Signature with Time (XAdES-T)ES with CompleteValidation DataReferences (XAdES-C)EXtended Electronic Signaturewith Time Type1 (XAdES-X Type1)EXtended Electronic SignaturewithTime Type 2(XAdES-X Type 2)SuporteobrigatrioTtulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 31 /59^amjlaboratrio de Sistemas Integrveis Tecnolgico. Extended(XAdES-X)EXtendedLong Electronic Signature (XAdES-XL)SuporteopcionalEXtended Long Electronic Signature with Time (XAdES-XLType 1)EXtended Long Electronic Signature with Time (XAdES-XLType 2)Archival Electronic Signature (XAdES-A)Osmodelosestruturaissoequivalentes, dopontodevistafuncional, aosmodelosestruturais definidos emCAdES.As sees aseguir apresentamumresumo destes modelos estruturais.4.2.2 XAdES-BESOmodelo estrutural XAdESBasic Electronic Signature(XAdES-BES) o maissimples de todos. Elefornecefuncionalidades para a realizaode autenticaobsica eproteo de integridade.Estemodelono exigeaobrigatoriedade denenhumapropriedade assinadaounoassinada.Casoocertificadodosignatrionotenhasido informadonoelementoKeylnfo, obrigatrio a existncia da propriedade assinada "certificado do signatrio"(SigningCertificate).ContedoDigitalInformao sobreassinatura! Id. doccrtif.! de assinaturaOutraspropriedadesassinadas(opcional)Propriedadesassinadas] Informao[sobrea chave!Valor daassinaturaXAdES-BESOutraspropriedadesno assinadas(opcional)Propriedadesno assinadasTtulo Verso Classificao PginaPROJETOSREI: ROJETO SREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 32/59HZZ0Z7Laboratrio de Sistemas Integrveis Tecnolgico|processo:^ Sifs2 -g ^ FcJha:[Func:-^i^vv.-Av.lsilec.orj.bRelacionadas poltica de assinatura:o SignaturePolicyldentifier - Identificador da poltica deassinatura: Contminformao que permite identificar a poltica deassinatura que deve ser utilizada no processo de produo everificao da assinatura. utilizada clarificar o papel ecomprometimento dosignatrio comrespeito ao contedo assinado;Relacionadas validao da assinatura:o CompleteCertif icateRefs - referncias completas aos certificados:Contmrefernciasaos certificadosdeACutilizados noprocessodevalidao da assinatura;o CompleteRevocationRefs - referncias completas a dados derevogao: Contm referncias ao conjunto completo de informao derevogao (LCR eOCSP)utilizadopara verificao da assinatura;o AttributeCertificateRefs - Referncias aos certificados deatributo: Contmreferncias aoconjuntocompletodeCertificadosdeAutoridade de Atributo queutilizadopara validaodoscertificados deatributo;o AttributeRevocationRefs - Referncias dados de revogaode atributo: Contm referncias ao conjunto completo deinformao derevogaoutilizadoparavalidar umcertificado deatributopresentanaassinatura.o CertifcateValues - Valores dos certificados: Contm oscertificadosutilizados noprocesso de validao da assinatura.o RevocationValues- Valoresderevogao: Contmosobjetosquecontminformao sobrerevogao decertificado como, por exemplo,LCR eOCSP;o AttrAuthoritiesCertValues - Valores dos certificados deautoridade de atributo: Contmos certificados das autoridade deatributos utilizados no processo de validao dos certificados deatributo.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 29/59ZMZ7Laboratrio de Sistemas Integrveis Tecnolgica-,.-.-. :. .o AttributeRevocationValues- Valoresdos dados de revogaodeatributo: Contm osdados derevogaoutilizados no processo devalidao dos certificados de atributo.Relacionadas carimbo de tempo:o SignatureTimeStamp- Carimbodo tempodaassinatura: Contmum carimbode tempo obtido a partir do hashde uma determinadaassinatura. Oinstante de tempo contido no carimbo de tempo utilizadocomoancoratemporal paravalidar ocertificadoutilizadonaassinatura associada;o SigAndRefsTimeStamp - Carimbo do tempo da assinatura ereferncias: Contm umou mais carimbos de tempo, obtidos dediferentes ACs. Ohash do carimbodo tempo computadosobreoelemento SignatureValue e as propriedadesSignatureTimeStamp, se presente, CompleteCertif icateRef s eCompleteRevocationRefs;o Ref sOnlyTimeStamp- Carimbodo temposomente dasreferncias:Contmumoumaiscarimbosdetempo, obtidos dediferentes ACs. Ohash do carimbo do tempo computado sobre as propriedadesCompleteCertificateRefseCompleteRevocationRefs;o xadesvl41: ArchiveTimeStamp - Carimbo do tempo dearquivamento: Contmumcarimbodotempo, cujohash computadosobre o contedo digital, informaes de assinatura epropriedades noassinadas. Utilizado para proteo contra comprometimento dealgoritmos criptogrficos;Relacionadas validao de carimbo do tempo:o xadesvl41:TimeStampValidationData- Dadosdevalidaodocarimbodotempo: Contmcertificadose dadosderevogao (LCR,OCSP)utilizados para validarumdeterminado carimbo do tempo.Relacionadas aoutras propriedades:Ttulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 30/59Laboratrio de Sistemas Integrveis TecnolgicaWWVV.tai iAssinaturaenvelopada(envelopedsignature)Assinatura cnvelopante(enveloping signature)Assinatura separada(detached signature)

ObjetodedadosObjetodedadosElementodeassinaturaObjetoT" dedadosObjetodedadosElementodeassinaturaElemento* deassinaturaElementodeassinaturaFigura17 - Tipos de assinatura XML DSIG.4.1.2 VisogeraldaassinaturaUma assinatura XML DSIGpode ser aplicadaaqualquer contedodigita(objetos dedados-dataobjects)deforma indireta: calculadoohashdocontedodigital e oresultadoarmazenado emumelemento XML (comoutrasinformaesrelevantes)sobre o qualnovamente calculado o hash ecriptograficamente assinado.Uma assinatura digital XML DSIG representada no XML pelo elementosignature,cuja estrutura est apresentadanoQuadro 5.Quadro 5 - Estrutura doelemento signature doXML DSIG.

(()?

)+

Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 27/59Laboratrio de Sistemas Integrveis Tecnolgico...()?()*

Legenda:? Zero ouuma ocorrncia* Zero oumais ocorrncias+ Uma ou mais ocorrnciasO elemento de assinatura da especificao XML DSIG contm os dados deassinatura de umdeterminado signatrio e outras informaes relacionadas assinatura, ao ato da assinatura ouao signatrio.Um documento XML DSIG utiliza o seguinte espao de nomes XML (XMLnamespace - XML-ns): xmlns="http://www.w3.org/2000/09/xmldsig#"4.2 Especificao XAdESA especificao XADES utiliza como base especificao XML DSIG, com oacrscimode determinadas propriedades associadas assinatura e ao contedodigital.Existemdois tipos de propriedades: propriedades assinadas e propriedades noassinadas.Aspropriedades assinadas(elemento SignedProperties), so objetosde dados adicionais que fazemparte do contedo assinado pelo signatrio. Aspropriedades no assinadas (elemento UnsignedProperties). so objetos dedadosadicionadospelousurio, pelo verificador oupor outraparte apsaproduoda assinatura e no fazem parte do contedo assinado pelo signatrio. Estaspropriedadespodemser envolvidasna computao devaloresutilizadosemoutrosprocessos deintegridade, como, por exemplo, carimbos de tempo.Na especificaoXAdES, as propriedades soincludas emumdocumentoXMLDSIGatravs deumds:Objecteovalor daassinatura deve ser computadasobreocontedodigital (deacordocoma especificaoXML DSIG) e, tambm, sobreoconjunto completo de propriedades assinadas.A seguir estorelacionadas algumas propriedades.Ttulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas deformatos eestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 28/59ffl/2^Z7nhoro'oriodo 5i.'eTios Integrveis TecnolgicoProcessoFolha:JFunc:www.lsfle4 Especificao XAdESAespecificaoXMLAdvancedElectronic Signature (XAdES) [2] define diversosmodelos estruturais para representao de umou mais objetos assinados, suasassinaturase demaisdados (como, porexemplo, certificados, carimbosdetempo,etc)construdos a partir daespecificao XMLDSIG[14][15].4.1 Especificao XMLDSIGAespecificao XMLDSIGespecifica as regras de processamento e sintaxe daassinatura digital baseada emXML.Uma assinatura XML DSIG fornece servios de integridade, autenticao demensageme/ouautenticaodosignatrioparacontedodigital (objetodedados)de qualquer tipo.AprimeiraversodaespecificaoXML DSIGfoi elaboradaemconjuntoentreoIETFeo W3C. O Quadro 4 apresenta as verses da especificao XML DSIG.Quadro 4 - Verses da especificao XML DSIG.Documento Entidade Ano ObservaoPrimeira verso[14]IETFeW3C 2002ProduzidaemconjuntopeloIETFepeloW3CXMLSignature Working Group e publicada como RFC3275 em maro de 2002.Segunda verso[15]W3C 2008 Produzida pelo W3CXMLSecurity SpecificationsMaintenance Working Group. Ela adiciona erecomendaousodoalgoritmoCanonical XML1.1,entre outras alteraes menores.Para entendimentodos tipos deassinatura XMLDSIG, importante distinguirosseguintes elementos: Elemento de assinatura {signature element): elemento definido pelo XMLDSIGquepermiterepresentara assinaturadigital deumsignatrioe outrosatributos associadosaesta assinatura:Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 25/59.(/Z^Z7Laboratrio de Sistemas Integrveis Tecnolgicowv... Contedo digital ou objeto de dados {data object): No contexto daespecificao XML DSIG[14][15], representa a seqncia de bits que assinada. O contedodigital assinadopode ser, por exemplo, um documentoXML, um recurso externo (arquivo)oumesmo umaparte dodocumento XML.4.1.1 Tipos de assinaturaXMLDSIGA especificaoXMLDsig definetrs formasdeorganizao deobjetos dedados eassinatura: Assinatura envelopada {enveloped signature):A assinatura aplicada sobre o contedo XML que contm aassinatura como umelemento. Ocontedo digital (objeto de dadosassinado)representa o elementoraizdo documento XML; Assinatura envelopante {enveloping signature):Aassinatura aplicada sobre o contedo digital (objeto de dados)contidoemumelementoobject que, porsuavez, est contido noelemento de assinatura {signature element). O elemento object identificadoatravsde umareference(atravs de umidentificadorde fragmentoURI ou transformao); Assinatura separada {signature detached):Aassinatura aplicada sobre umcontedodigital (objetodedados)externo ao elemento de assinatura, sendo o objeto de dadosidentificado pelaURI outransformao.Estaformadeassinatura utilizadaemduassituaesprincipais: (a)Quandoo objeto de dados umrecurso(ex. arquivo)eoelemento deassinaturaoutrorecurso(ex. outroarquivo) ou (b)quandooobjetodedados(fragmentodoXML) eoelemento deassinaturasoelementosirmos deum documentoXML;Ttulo Verso Classificao PginaPROJETOSREI: ROJETOSREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 26/59^^qPrbcSOFolha:Func:Laboratrio de Sistemas Integrveis Tecnolgico(Vi,.r' . org.blO campo encapContentlnfo;Ocontedoexternoprotegidopelaassinaturadigital; seocampoeContentdo encapContentlnfo no estiver presente (contedo destacado);O campo certificates(se presente);O campo crls (se presente);A estrutura Signerlnfo.c onlentType cContentlnfoontenlTypeid-siqnedData id-siqnedDatac ontent c ontent[ versionEncapsulatedContentlnfoI version1diqestAlqorithms 1diaestAlQorithms 1encapContentlnfo encapContentlnfoeContentType '1 id-dataeContentTypeI id-dataeContent eContent1 1r~ ~~\certificates certificatescrls --Signerlnfo/.;/ConcatenaJ / ( Gera \\ / cdigo J/** \hash7(Obtm A\ TST/( IncluiN-' ( atributo r ^sWiTSjycrlssignerlnfos signerlnfosversion versionsid siddigestAlgorithm digestAlgorithmsignedAttrsI AttributesignedAttrs1Attribute II Attribute I Attribute i| Attribute | 1Attribute IsignatureAlgorithm signatureAlgorithmsignature signatureunsignedAttrsLAttributeunsignedAttrs| AttributeI Attribute |AttributeI Attribute [ Attribute 1'lrchivQ-tme-starji >Figura 16 - Ilustrao daincluso deumatributo "carimbo de tempo dearquivamento".3.4 ConclusoA especificao CAdES vem de encontro necessidade deumpadro de assinaturaeletrnica que possibilite incorporar os diferentes elementos de dados sobre oTtulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital:alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 23/59laboratrio de Sistemas IntegrveisTecnolgicc... icontedoassinado, aassinaturarealizada, propriedadesdosignatrio, certificadosutilizados, dados de revogao e outros elementos de validao necessrios.Porm, a especificao apresenta alguns problemas em relao interoperabilidade. Por exemplo: Paraalgunsatributosquepodempossuirmaisqueumvalor, nodefinidode forma precisa se devemser includos comnomesmo atributo(umatributocomvrios valores) ou emum outro atributo no mesmo Signerlnfo; Alguns atributos permitidospossuemdiversasformas distintasdeutilizao,obrigando ao software de validao testar todas as possibilidades; Paraalgumasfuncionalidades, comocarimbodetempodearquivamento, oformatoCMS limitado, poisocarimbode tempodearquivamentodeve seraplicado para cada signerlnfo (ou seja, para cada signatrio). Ossignatriossotratados deforma independentee ocarimbodetempodearquivamento no aplicadoao "documento" esim para cada assinatura.Apesar disso, a especificao CAdES a que se mostra mais madura parautilizao extensiva.Ttulo Verso Classificao PginaPROJETOSREI: ROJETO SREI: Assinaturadigital: alternativas de formatos e estruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 24/59Processo:.,^JisSa Ou j ,-Folha:Func:f>Q .mamntciboro'or/o df Sistemas IntegrveisTtycnalgico. : '4.2.3 XAdES-EPESO modelo estrutural XAdES Explicit Policy-basedElectronic Signatures (XAdES-EPES) semelhante aoXAdES-BES, coma obrigatoriedadedeinformara polticade assinatura (SignaturePolicyldentifier).ContedoDigitalInformaosobreassinatura! Id. do certif. !deassinatura1Id. da polltca !i de assinatura !; Outras jj propriedades|j assinadas ! (opcional) iPropriedadesassinadasInformao !isobre a chaveValor daassinaturaXAdES-EPESOutraspropriedadesno assinadas(opcional)Propriedadesno assinadas4.2.4 XAdES-TO modelo estrutural Electronic Signature with Time (XAdES-T) baseado noXAdES-BES ou XAdES-EPES coma obrigatoriedade da incluso do atributo decarimbodotempodaassinatura(SignatureTimeStamp). Ocarimbodotempodaassinatura contm o instante de referncia seguro (ncora temporal) para avalidao da cadeia de certificao docertificado dosignatrio.Ttulo Verso Classificao PginaPROJETO SREI: ROJETOSREI: Assinaturadigital: alternativas de formatoseestruturas dosatributos de assinaturav1.1.r.3 LSI-TEC:Restrito 33/59omlaboratrio de Sistemas Integrveis TecnolgicoContedoDigitalInformao sobreassinaturaId. do ctrtif.de assinaturald. da polteade assinaturaOutraspropriedadesassinadas(opcional)Propriedades.-assinadas.....! ! Informao! A% PDFDicionrio deassinatura/Cnntcnts