certificado digital como funciona o certificado digital ... · envolve protocolos de segurança,...
TRANSCRIPT
Certificado Digital
Como funciona o certificado digitalpor Gisele Ribeiro
Introdução
Certificação digital é um conjunto de processos e técnicas que dão maior segurança àscomunicações e às transações eletrônicas. Ela evita que os dados transmitidos sejaminterceptados ou adulterados no trajeto entre a máquina do remetente e a do destinatário eidentifica o autor da mensagem. Técnica com mais de duas décadas de existência, acertificação digital popularizou-se com a Internet e devido à necessidade crescente de agilizarprocessos e substituir por bytes as pilhas de papel existentes.
Os dois principais elementos da certificação digital são o certificado e a assinatura digitais, quetêm como base a criptografia, técnica usada para codificar dados que trafegam pela Internet.Juntos, esses dois elementos comprovam a identidade de uma pessoa ou site e evitam fraudesnas transações eletrônicas.
A maioria dos programas de e-mail e dos navegadores orientam os usuários, de formabastante didática, sobre como fazer operações baseadas na certificação digital. Quem nuncatopou com uma mensagem do navegador dizendo ser impossível verificar se o site visitado éconfiável ou não e mostrando a opção de examinar o certificado? Ou na janela de configuraçãode segurança do programa de e-mail a opção de usar um certificado digital para assinar asmensagens enviadas por uma determinada conta?
Janela de assinatura digital de programa de e-mail
Se você nunca ouviu falar disso ou então pensava que o certificado digital era apenas umaversão eletrônica do diploma do curso de culinária, prepare-se. Em breve ele vai fazer parte doseu cotidiano. Alguns órgãos do Governo Federal já estão exigindo a adoção do certificadopara acessar alguns de seus serviços online. A Secretaria da Receita Federal, por exemplo,disponibiliza para o contribuinte brasileiro com os certificados digitais e-CNPJ e e-CPF acessoa vários de seus serviços que, feitos do modo tradicional, exigem uma peregrinação sem fimpor cartórios e postos da Receita.
Nas próximas páginas você vai saber tudo sobre certificação digital: o que é, como ela estásendo implantada no Brasil, quanto custa e como fazer para usá-la.
O que é certificado digital?
O certificado digital é um documento eletrônico que contém informações que identificam umapessoa, uma máquina ou uma instituição na Internet. Para fazer isso, ele usa um softwarecomo intermediário - pode ser o navegador, o cliente de e-mail ou outro programa qualquer quereconheça essa informação. O certificado digital é emitido a pessoas físicas (cidadão comum) ejurídicas (empresas ou municípios), equipamentos e aplicações. A emissão é feita por umaentidade considerada confiável, chamada Autoridade Certificadora. É ela quem vai associarao usuário um par de chaves criptográficas (pública e privada). São essas chaves, emitidase geradas pelo próprio usuário no momento da aquisição do certificado, que transformam umdocumento eletrônico em códigos indecifráveis que trafegam de um ponto a outrosigilosamente. Enquanto a chave pública codifica o documento, a chave privada associada àela decodifica. E vice-versa. Um certificado pode ser usado em conjunto com uma assinaturadigital. Neste caso, a assinatura digital fica de tal modo vinculada ao documento eletrônicoque qualquer alteração o torna inválido.
Se fôssemos fazer uma analogia com documentos do mundo real, o certificado digital seria osimilar eletrônico do RG, enquanto a assinatura digital, o equivalente ao carimbo acompanhadode selo que os cartórios brasileiros colocam para reconher firma em documentos. Juntos,esses dois elementos, aliados à criptografia, garantem a autenticidade, a integridade, o nãorepúdio à transação e a confidencialidade da informação. Ou seja, as partes são mesmoquem dizem ser, e a transação online é legítima, autêntica, segura e não sofreu alterações aolongo do caminho.
Segurança
Uma das características do certificado digital é a segurança que ele proporciona às transaçõesonline. Vamos voltar ao conceito de criptografia para entender isso. Criptografia é uma palavrade origem grega que significa escrita oculta. Na prática, ela é um mecanismo milenar usadopara cifrar mensagens, tornando-as incompreensíveis a quem não tem acesso às chaves queas decifram. Existem dois tipos de criptografia atualmente: a simétrica e a assimétrica. Asimétrica cifra e decifra uma informação por meio de algoritmos que usam a mesma chavepública. Essa chave é compartilhada pelas duas partes envolvidas na comunicação. Tomemoscomo exemplo uma comunicação simples entre Paulo e André. Os dois computadores têmdados que precisam ser enviados e um algoritmo de encriptação. O computador de Paulocodifica os dados enviados ao computador de André usando uma frase (chave) para cifrar odocumento. O computador de André recebe esses dados codificados e para decifrá-los usa amesma chave de Paulo.
A criptografia de chave pública, ou assimétrica, trabalha com duas chaves distintas: a pública ea privada, que são relacionadas matematicamente. Uma depende totalmente da outra e suasegurança depende do número de bits (tamanho) das chaves. Uma mensagem codificada comuma chave pública só pode ser decodificada com a chave privada a ela relacionada, e vice-versa. Enquanto uma codifica, a outra decodifica. Voltemos ao exemplo acima. Paulo envia umdocumento sigiloso a André. Para garantir a confiabilidade da comunicação, Paulo usa a chavepública de André para codificar o documento. Se quem recebeu o documento for mesmo oAndré, ele vai usar sua chave privada (associada àquela chave pública) para decodificar odocumento.
Assinatura digital
O uso da criptografia assimétrica garante a confiabilidade e a autenticidade da comunicação.Mas como assegurar sua integridade e origem? A saída foi combinar o uso de chaves públicascom uma assinatura digital. Assim como a criptografia assimétrica, a assinatura digital é umaseqüência de bits resultante de uma operação matemática conhecida como função hashing.Essa função analisa todo o documento ou arquivo e, com base no algoritmo matemático, geraum valor de tamanho fixo para ele. Esse valor varia de acordo com a seqüência de bits dodocumento, e como cada caractere tem uma composição binária, qualquer mudança noarquivo original fará com que o valor hash seja diferente e a assinatura se torne inválida.Vamos usar o exemplo de Paulo e André novamente. Paulo envia o documento assinadodigitalmente a André. Para isso, ele usa a chave pública do amigo e a sua própria assinaturapara codificar o documento. Se o documento não tiver sofrido alterações no percurso, Paulopoderá decifrá-lo com sua chave privada. Caso tenha havido alguma alteração, Paulo nãoconseguirá decifrá-lo, pois a assinatura será inválida.
Teia de confiança
Apesar de serem os elementos principais da certificação digital, a assinatura e o certificado sãocomo a ponta de um iceberg. Sob a superfície da água se encontra toda uma cadeia queenvolve protocolos de segurança, políticas de uso, entidades certificadoras, salas-cofre eautoridades de registro, que seguem diretrizes e normas técnicas determinadas por umaentidade ou comitê gestor. Essa cadeia é chamada de Infra-estrutura de Chaves Públicas (ICP,em português, ou PKI, em inglês). Uma empresa pode criar sua própria ICP. Um país pode teruma ou várias ICPs. Um certificado digital só é válido se ele segue os políticas e protocolos desegurança determinados por uma ICP, e isso vale para qualquer lugar do mundo.
Os elementos que compõem a teia de confiança da certificação digital tanto para órgãospúblicos quanto para a iniciativa privada são:
• Autoridade Certificadora Suprema (AC-Raiz) - autoriza as operações das autoridadescertificadoras• Autoridades Certificadoras (AC) - emitem o certificado digital das autoridades de registro ede autoridades certificadoras por ela credenciadas, além de atestar a identidade do titular dodocumento• Autoridades de Registro (AR) - comprovam fisicamente a identidade do usuário, podendoauxiliá-lo na geração do par de chaves, solicita os certificados a uma AC e entregam o smartcard ao titular• Certificados digitais e Assinaturas digitais - documentos eletrônicos que comprovam aidentidade do usuário nas comunicações online
No Brasil o Governo Federal optou por estabelecer sua própria política de uso de certificados eassinaturas digitais e criou sua infra-estrutura de chaves públicas própria, chamada ICP-Brasil.Saiba mais sobre isso na próxima página.
A estrutura de um certificado
Quando o usuário acessa um site certificado, o navegador exibe uma mensagem deidentificação e com opções de uso daquele certificado. Se o site não é identificado, amensagem vem com um aviso de erro e com uma lista de possíveis razões desse erro. As maiscomuns são:
• O navegador não reconhece a Autoridade Certificadora que emitiu o certificado • O certificado do site está incompleto devido a uma configuração incorreta do servidor • O usuário está conectado a um site que finge ser o pretendido, com o objetivo de obter
informações confidenciais
Neste caso, é possível examinar o certificado antes de marcar uma das três opções (aceitar ocertificado permanente ou temporariamente ou não aceitá-lo) e continuar a navegar pelo site(veja os passos no filme abaixo).
Um certificado digital contém dois tipos de informação: as gerais e as detalhadas. Nasinformações gerais é possível saber:
• A quem pertence o certificado (titular do certificado) • Quem o emitiu (autoridade certificadora) • Qual a sua validade • Método criptográfico da assinatura do certificado
Janela de informações gerais de um certificado
Nos detalhes do certificado há três áreas em que é possível obter mais informações sobre ahierarquia e sobre cada campo do certificado. Ao selecionar um item no campo CertificateFields, seus dados são exibidos no campo Field Value. Sobre o dono do certificado, pode-sesaber nome, e-mail ou CPF/CNPJ, por exemplo. Sobre o emissor, seus dados e suasassinaturas.
Janela de informações detalhadas de um certificado
Para as transações comuns da Internet, é possível adquirir um certificado e uma assinaturadigital de qualquer autoridade certificadora. Os custos variam de acordo com a entidadeemissora e o propósito do certificado. No Brasil, contudo, o governo federal resolveuestabelecer sua própria política de uso de certificados e assinaturas digitais e criou sua infra-estrutura de chaves públicas e privadas própria, chamada ICP-Brasil. E é que você saberá napróxima página.
A certificação digital no Brasil
Em 2001, o governo brasileiro iniciou estudos para regulamentar o uso de certificados digitaisno país, de modo que as transações online entre os vários órgãos públicos e seusfornecedores pudessem ter valor legal, permitindo maior agilidade no processo de compras e adiminuição de custos com uso, gerenciamento e armazenamento de documentos oficiaissigilosos ou não. A partir da Medida Provisória 2.200-2, de 24 de outubro de 2001, foi criada aICP-Gov, que mais tarde expandiu-se dos órgãos públicos para a iniciativa privada etransformou-se na ICP-Brasil, a atual estrutura hierárquica de autoridades certificadoras ligadasao governo brasileiro. Somente as transações realizadas com certificados emitidos porautoridades credenciadas na ICP-Brasil têm validade jurídica reconhecida no país.
Hoje, bancos utilizam a certificação digital no Sistema de Pagamentos Brasileiro,principalmente nas transações entre eles. Instituições autorizadas a operar no mercadocambial podem usar a assinatura digital nos contratos de câmbio. No Judiciário, há processostotalmente eletrônicos, com advogados e juízes usando o certificado digital e-Doc em todas asetapas. Universidades controlam os bolsistas do ProUni com certificado digital. O resultadodisso, segundo usuários, é ganho de tempo, economia e segurança. Apenas alguns paísesutilizam certificados digitais com os mesmos propósitos do Brasil.
"Na maioria dos países, os certificados não seguem um protocolo único de segurança", contaViviane Regina Lemos Bertol, coordenadora geral de normalização e pesquisa do ITI (InstitutoNacional de Tecnologia da Informação), autarquia federal vinculada à Casa Civil daPresidência da República. "Há dificuldades inter-relacionais e em muitos casos o certificadonão tem valor legal". Segundo Bertol, o Brasil se baseou em países com uma estrutura única
de certificação, em que o governo tem o controle de toda a cadeia de regulamentação para quea certificação funcione corretamente.
Uma das principais características da ICP-Brasil é sua estrutura hierárquica. No topo daestrutura encontra-se a Autoridade Certificadora Raiz (AC Raiz) e, abaixo dela, as diversasentidades (ACs de primeiro e segudo nível e Autoridades de Registro). Na ICP-Brasil, a ACRaiz é o ITI, que é responsável pelo credenciamento dos demais participantes da cadeiacertificadora, pela emissão de seu próprio par de chaves e pela supervisão de todos osprocessos que envolvem a certificação.
Para fazer parte da ICP-Brasil, a entidade passa por um processo de credenciamento em quesão analisadas sua capacidade jurídica, econômico-financeira, fiscal e técnica. Ela tambémdeve contratar um seguro de responsabilidade civil e realizar auditorias prévias e anuais. Todoesse cuidado visa a garantir a segurança do processo - da identificação dos titulares até aemissão dos certificados. Para ter seu certificado na ICP-Brasil, a Autoridade Certificadorapaga ao ITI cerca de R$ 500 mil por ano.
Atualmente, a ICP Brasil tem credenciadas oito Autoridades Certificadoras de primeiro nível(Presidência da República, Secretaria da Receita Federal, Serpro, Caixa Econômica Federal,AC Jus, Certisign, Imprensa Oficial de São Paulo - Imesp e Serasa), 20 ACs de segundo nívele mais de 800 Autoridades de Registro (AR). Estão em fase de credenciamento duas ACs de
segundo nível e quatro ARs. As Autoridades de Registro são a presença física da certificaçãodigital no Brasil. Elas são as responsáveis por autenticar o titular do certificado. Quandoalguém pede um certificado digital, deve comparecer a uma Autoridade de Registro para queesse certificado seja validado antes de ser usado. A validação requer a presença do titular noposto da AR com seus documentos e o testemunho de dois agentes de registro - não importado tipo de certificado desejado. No Brasil há oito tipos de certificados. Saiba mais sobre eles napróxima página.
Os tipos de certificado digital
Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, comquatro tipos cada. A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital,utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) eem documentos eletrônicos com verificação da integridade de suas informações. A série S (S1,S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos,de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipossão diferenciados pelo uso, pelo nível de segurança e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no própriocomputador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e asinformações referentes ao seu certificado ficam armazenadas em um hardware criptográfico -cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive). Para acessaressas informações você usará uma senha pessoal determinada no momento da compra.
Tipo decertificado
Chave criptográfica
Tamanho(bits)
Processo degeração
Mídia armazenadora
Validademáxima(anos)
A1 e S2 1024 Software Arquivo 1
A2 e S2 1024 Sofware
Smart card ou token, sem
capacidade de geração de
chave
2
A3 e S3 1024 Hardware
Smart card ou token, com
capacidade de geração de
chave
3
A4 e S4 2048 Hardware
Smart card ou token, com
capacidade de geração de
chave
3
Os certificados mais comuns são:
• A1 - de menor nível de segurança, é gerado e armazenado no computador do usuário.Os dados são protegidos por uma senha de acesso. Somente com essa senha épossível acessar, mover e copiar a chave privada a ele associada, e
• A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardwarecriptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor dasenha de acesso pode utilizar a chave privada, e as informações não podem sercopiadas ou reproduzidas.
Certificados da Receita Federal
O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usarpara acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estãodisponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte. Eles foram criados em2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transaçõesvia Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizarretificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal,realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterardados cadastrais.
Segundo Donizetti Victor Rodrigues, coordenador de infra-estrutura tecnológica e segurança dainformação da Secretaria da Receita Federal, já foram emitidos, desde 2002, mais de 300 mile-CNPJ e e-CPF. O número vem aumentando à medida que a Receita disponibiliza maisserviços no e-CAC. Em 2005, quando poucos serviços estavam online, os acessos ao site daReceita com certificado digital chegaram a 851 mil. Em 2006, quando mais serviços estavamdisponíveis, o número de acessos subiu para 17 milhões - mesma quantidade registrada nossete primeiros meses de 2007.
A popularidade desses certificados, segundo Rodrigues, se deve ao tempo que o contribuinteeconomiza para obter informações junto à Receita. "Antes, para retificar uma declaração deimpostos ou para obter uma cópia da declaração, por exemplo, levava-se dias. A pessoa tinhade comparecer a um posto da Receita, entrar com o pedido, e aguardar uma resposta. Agora épossível fazer tudo instantaneamente no site, usando o certificado digital", diz ele.
Veja na tabela abaixo o que é possível fazer com os certificados da Receita Federal:
O que é possível fazer com o e-CPF e o e-CNPJ
Área Serviço disponível
Atendimento Agendamento online
Cadastros CPFDados cadastrais: consulta, alterações gerais e de
endereço
Declaração de IR Consulta integral da declaração, cópia da declaração
Declarações edemonstrativos - PF
Relação de declarações entregues
Declarações edemonstrativos - PJ
Relação de declarações entregues
Legislação Opção pelo recebimento da legislação diária do Sijut
PagamentosRetificação de Darf
Cópia de Darf (comprovante de arrecadação)
Parcelamento Parcelamento geral
PesquisaPesquisa de situação fiscal
Pesquisa dos rendimentos informados pelas Fontes
Pagadoras (beneficiário PF e PJ)
Siscomex
Cadastro de representantes legais
Exportação
Mantra
Importação
Trânsito aduaneiro
Internação Zona Franca de Manais
OutrosCaixa Postal
Termo de opção pelo Recob
Procuração eletrônica
Nas próximas páginas você vai saber um pouco mais sobre o e-CPF e o e-CNPJ, e como fazerpara adquirir seu certificado digital.
O e-CPF
Criado para identificar o contribuinte pessoa física na Internet, o e-CPF é emitido pelasseguintes autoridades certificadoras Serasa, Certisign, Prodemg, Serpro, Imesp e Sincor. Elepode ser do tipo A1 e A3. O tipo A1 é um arquivo eletrônico gerado e armazenado nocomputador do titular e exige senha para acessar os dados privados do usuário. Ele tem avalidade de 1 ano e tem custo variando de R$ 80 a R$ 120. O tipo A3 pode ser gerado em um
cartão inteligente ou uma mídia criptográfica (token) e tem validade de três anos.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartãoficam Nome e CPF do titular, o chip criptográfico onde estão armazenados os dados do titular ea chave privada associada àquele certificado, e o logo da autoridade certificadora. No versoestão os logos da Receita Federal e da ICP-Brasil, além da mensagem de alerta que orienta otitular a revogar o certificado em caso de perda ou roubo do cartão.
O e-CPF em cartão inteligente
O certificado digital e-CPF do tipo A3 deve ser usado em conjunto com uma leitora de cartõesinteligentes compatível, que pode ser adquirida na mesma autoridade certificadora onde vocêcomprar o seu certificado. Os custos variam de R$ 350 a R$ 500.
O e-CNPJ
Agilidade, redução de custos e segurança. Esses são os três pilares em que a Receita Federalse apóia para convencer as empresas a adotar o certificado digital. "Processos que tinham deser realizados pessoalmente ou por meio de inúmeros documentos em papel passam a serfeitos totalmente por via eletrônica", diz Donizetti Victor Rodrigues, coordenador de infra-estrutura tecnológica e segurança da informação da Receita Federal. "Conseqüentemente, sãomenos burocráticos e mais baratos".
Os custos da certificação digital, que variam de R$ 80 a R$ 3.000, viraram polêmica em 2002,quando o e-CNPJ e o e-CPF foram criados. As micro e pequenas empresas alegavam que eramais um custo entre tantos outros obrigatórios e que o governo deveria preocupar-se emreduzir a carga tributária e a burocracia, em vez de oferecer serviços pagos para isso. Odiscurso, entretanto, mudou de dois anos para cá. Hoje todas as obrigações da pessoa jurídicajá podem ser entregues via Internet, o que dispensa a presença do empresário ou de seurepresentante legal em cartórios ou postos da Receita Federal. O contribuinte pessoa jurídicapode usar o e-CNPJ para diversos serviços online disponibilizados pelos governos Federal,Estadual e Municipal. É possível, por exemplo:
• Emitir comprovantes de arrecadação de pagamento de tributos • Retificar possíveis erros no preenchimento de Darf (Documento de Arrecadação de
Receitas Federais) • Parcelar débitos fiscais• Realizar todas as transações relativas ao comércio exterior
• Emitir nota fiscal eletrônica
A empresa pode nomear um ou mais representantes legais para o mesmo e-CNPJ, mas essesrepresentantes devem ter um certificado digital de pessoa física (caso dos contadores querepresentam legalmente seus clientes em assuntos relativos a tributos). O uso do certificadodigital por empresas tornou-se obrigatório (Instrução Normativa SRF nº 696, de 14 dedezembro de 2006) a partir deste ano em dois casos:
1. Empresas tributadas com base no lucro real ou arbitrado devem entregar a DIPJ(Declaração de Informações Econômio-Fiscais da Pessoa Jurídica) somente via Internet,serviço que exige o certificado para a transmissão da declaração. Segundo a receita,130 mil empresas se enquadram neste perfil.
2. Na entrega da da DCTF (Declaração de Créditos e Débitos Tributários Fiscais), quedeve ser feita mensal ou semestralmente via Internet, com o uso do certificado. Deacordo com a Receita, 12 mil empresas entregam a DCTF via Internet.
Assim como o e-CPF, o e-CNPJ pode ser do tipo A1 e A3 e ser adquirido junto a umaautoridade certificadora credenciada pela Secretaria da Receita Federal: Serasa, Certisign,Prodemg, Serpro, Imesp e Sincor.
O tipo A1 é um arquivo eletrônico gerado e armazenado no computador do titular e exige senhapara acessar os dados privados do usuário. Ele tem a validade de 1 ano e custos variandoentre R$ 120 e R$ 150. O tipo A3 pode ser gerado em um cartão inteligente ou uma mídiacriptográfica (token) e tem validade de três anos. Seus custos variam de R$ 250 a R$ 550.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartãoficam o nome da empresa e a inscrição no CNPJ, o chip criptográfico onde estão armazenadosos dados do titular e a chave privada associada àquele usuário (uma empresa pode ter um oumais certificados digitais), e o logo da autoridade certificadora. No verso estão os logos daReceita Federal e da ICP-Brasil, além da mensagem de alerta que orienta o titular a revogar ocertificado em caso de perda ou roubo do cartão.
O e-CNPJ em cartão inteligente
Na próxima página você vai saber como adquirir um certificado digital da ICP-Brasil.
Como adquirir um certificado no Brasil
Obter um certificado digital é simples. Basta fazer o pedido no site da Autoridade Certificadorae comparecer a um posto da Autoridade de Registro credenciada para realizar a autenticação
presencial. O comparecimento no posto da AR é a única relação física no caminho docertificado. Veja o caminho da certificação:
1. Faça o pedido no site de uma Autoridade Certificadora, preenchendo um formulário comseus dados de pessoa física ou jurídica. Se a escolha recair sobre um certificado do tipoA3, é necessário, antes da solicitação, adquirir um dispositivo de armazenamento (tokenou cartão inteligente) e instalar o driver desse dispositivo no computador. Quando vocêfaz o pedido, são gerados uma senha e um par de chaves. A chave pública é enviada àautoridade certificadora e servirá para identificá-lo em todos os processos relacionadosao certificado, durante o período de validade. Memorize a senha escolhida. Você vaiprecisar dela para instalar o certificado.
2. Após efetuar a solicitação, imprima 3 cópias do termo de titularidade que é geradoautomaticamente na última página do processo de solicitação.
3. Escolha uma das formas de pagamento e, de posse do comprovante depedido/pagamento, dirija-se ao posto da Autoridade de Registro credenciada pelaAutoridade Certificadora escolhida, levando duas cópias da documentação exigida e astrês cópias do Termo de Titularidade. O termo de titularidade só deverá ser assinado napresença do Agente Registrador, no posto da Autoridade de Registro. Ocomparecimento no posto da AR é a única relação física no caminho do certificado.Todas as outras transações são realizadas no mundo virtual. É nesta etapa que vocêreceberá sua chave privada, que é pessoal e intransferível.
4. Instale o certificado digital no seu computador, seguindo as orientações do Agente deRegistro (variam de acordo com o tipo de certificado)
Veja na animação abaixo os passos para adqurir um certificado digital:
Para receber seu certificado, você terá de apresentar documentos aos agentes de registro. Sevocê for pessoa física, leve duas cópias de:
1. Cédula de identidade ou passaporte, se estrangeiro2. CPF3. Título de eleitor4. Comprovante de residência5. PIS/Pasep
Se for pessoa jurídica, compareça à AR com:
1. Registro comercial, em caso de empresa individual2. Ato constitutivo, estatuto ou contrato social3. CNPJ4. Documentos pessoais da pessoa responsável
Pacotes de certificados
Os preços de cada certificado variam conforme o tipo e a autoridade certificadora, começandoem R$ 80 e chegando a cerca de R$ 3.000 pelo período de validade do documento, que variade um a três anos. Os certificados podem ser adquiridos na forma de arquivo eletrônico, cartãointeligente ou mídia armazenadora criptográfica (token), nas seguintes combinações:
e-CNPJ/e-CPF Tipo Validade
em arquivo A1 1 ano
certificado para quem possui hardware compatível A3 3 anos
cartão inteligente sem leitora A3 3 anos
cartão inteligente com leitora A3 3 anos
em token A3 3 anos
em cartão inteligente com leitora PCMCia (para notebooks) A3 3 anos
Cuidados com o certificado
Toda vez que for utilizar um certificado digital será solicitada uma senha, a mesma que foidefinida no momento da gravação do certificado digital. Caso você esqueça sua senha, não hácomo recuperá-la ou substituí-la, e o certificado estará inválido. Por isso, em caso de perda damídia armazenadora ou de esquecimento da senha, é preciso:
• Solicitar a revogação do certificado digital invalidado, mas certifique-se antes de que achave pública anterior não mais está sendo usada;
• Solicitar um novo certificado digital, com encargos por sua conta, seguindo o mesmoprocedimento inicialmente adotado para o certificado digital anterior;
• Solicitar a alteração dos acessos, anteriormente vinculados ao certificado digitalinutilizado, vinculando-os ao novo certificado digital;
• Atualizar a chave pública eventualmente distribuída, substituindo-a pela nova,pertencente ao novo certificado digital.
Glossário da certificação
Agora que você já sabe tudo sobre certificados digitais, fique por dentro dos termos* maisutilizados:
Algoritmo - série de etapas utilizadas para completar uma tarefa, procedimento ou fórmula nasolução de um problema. Usado como chaves para criptografia de dados.
Algoritmo assimétrico - algoritmo de criptogtafia que usa duas chaves: uma pública e outraprivada. A chave pública pode ser distribuída abertamente, enquanto a chave privada émantida secreta. Alguns algoritmos assimétricos são capazes de muitas operações, incluindocriptografia, assinaturas digitais e acordo de chave.
Algoritmo simétrico - operação criptográfica que usa somente uma chave para cifrar edecifrar.
Algoritmo criptográfico - processo matemático definido para cifrar e decifrar mensagens einformações.
Assinatura digital - código anexado ou logicamente associado a uma mensagem eletrônicaque permite de forma única e exclusiva a comprovação da autoria de um determinado conjuntode dados. A assinatura digital comprova que a pessoa criou ou concorda com um documentoassinado digitalmente, como a assinatura de próprio punho comprova a autoria de umdocumento escrito. A verificação da origem do dado é feita com a chave pública do remetente.
Autenticação - processo de confirmação da identidade de uma pessoa física ou jurídicaatravés das documentações apresentadas pelo solicitante e da confirmação dos dadossolicitados. Executada por agentes de registro, como parte do processo de aprovaçao de umasolicitação de certificado digital.
Autenticidade - qualidade de um documento ser o que diz ser, independente de se tratar deminuta, original ou cópia, e que é livre de adulterações ou qualquer outro tipo de corrupção.
Autoridade Certificadora - entidade da hierarquia da ICP-Brasil responsável por emitir,distribuir, renovar, revogar e gerenciar certificados digitais. Sua função essencial é aresponsabilidade de verificar se o titular do certificado possui chave privada que corresponde àchave pública que faz parte do certificado.
Autoridade Certificadora Raiz - primeira autoridade certificadora da ICP Brasil, executapolíticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor daICP-Brasil. Emite, expede, distribui, revoga e gerencia os certificados das Acs de nívelimediatamente subseqüente ao seu, além de gerenciar a lista de certificado emitidos,revogados e vencidos e de fiscalizar e auditar ACs e ARs habilitados.
Autoridade de Registro - entidade responsável pela interface entre o usuário e a AC. Elarecebe, valida, encaminha solicitações de emissão e revogação de certificados digitais às Acse identifica os solicitantes de forma presencial. Subordinada à AC, pode ser ou não umaunidade remota.
Cadeia da certificação - série hierárquica de certificados assinados por sucessivasautoridades certificadoras.
Certificado digital - documento eletrônico único e instransferível que funciona como umacarteira de identidade em transações online.
Certificado de assinatura digital - certificado usado na confirmação de identidade na web, nocorreio eletrônico, nas transações online, em redes privadas virtuais (VPN), transaçõeseletrônicas (EDI) e assinatura de documentos com verificação de integridade de suasinformações.
Certificado de sigilo - certificados usados para cifração de documentos, bases de dados,mensagens e outras informações eletrônicas.
Certificado tipo A1 e S1 - certificados em que a geração de chaves criptográficas é feita porsoftware e seu armazenamento pode ser feito em hardware ou repositório protegido por senha,
cifrado por software. Sua validade máxima é de um ano.
Certificado tipo A2 e S2 - certificados em que a geração de chaves criptográficas é feita emsoftware, e seu armazenamento pode ser feito em hardware ou repositório protegido porsenha, cifrado por software. Sua validade máxima é de um ano.
Certificado do tipo A2 e S2 - certificado em que a geração das chaves criptográficas é feitaem software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos semcapacidade de geração de chave e protegidos por senha. As chaves criptográficas têm nomínimo 1024 bits. A validade máxima do certificado é de dois anos.
Certificado do Tipo A3 e S3 - certificado em que a geração e o armazenamento das chavescriptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração dechaves e protegidos por senha, ou hardware criptográfico aprovado pela ICPBrasil. As chavescriptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos.
Certificado do tipo A4 e S4 - certificado em que a geração e o armazenamento das chavescriptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração dechaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chavescriptográficas têm no mínimo 2048 bits. A validade máxima do certificado é de três anos.
Chave Criptográfica - é o valor numérico ou código usado com um algoritmo criptográfico paratransformar, validar, autenticar, cifrar e decifrar dados.
Chave Privada - uma das chaves de um par de chaves criptográficas (a outra é uma chavepública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentorde um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ouarquivos cifrados com a chave pública correspondente.
Chave Pública - uma das chaves de um par de chaves criptográficas (a outra é uma chaveprivada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada paraverificar a assinatura digital criada com a chave privada correspondente. Dependendo doalgoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam,então, ser decifrados com a chave privada correspondente.
Chave Simétrica - chave criptográfica gerada por um algoritmo simétrico.
Chaves Assimétricas - chaves criptográficas geradas por um algoritmo assimétrico.
Comitê Gestor da ICP-Brasil - autoridade gestora de políticas da ICPBrasil que tem suascompetências definidas na Medida Provisória 2.2002. É responsável, dentre outras coisas, porestabelecer a política e as normas de certificação, fiscaliza a atuação da AutoridadeCertificadora Raiz, cuja atividade é exercida pelo Instituto Nacional de Tecnologia daInformação.
Confidencialidade - propriedade de certos dados ou informações que não podem serdisponibilizadas ou divulgadas sem autorização para pessoas, entidades ou processos.Assegurar a confidencialidade de documentos é assegurar que apenas pessoas autorizadastenham acesso à informação.
Credenciamento - processo em que o ITI avalia e aprova os documentoslegais, técnicos, as práticas e os procedimentos das entidades que desejam ingressar na ICP-Brasil. Aplica-se a Autoridades Certificadoras, Autoridades de Registro e Prestadores deServiços de Suporte. Quando aprovados, os credenciamentos são publicados no Diário Oficialda União.
Criptografia - área da criptologia que trata dos princípios, dos meios e dos métodos detransformação de documentos com o objetivo de mascarar seu conteúdo, impedirmodificações, uso não autorizado e dar segurança à confidência e autenticação de dados.Ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações,através de um processo de cifragem, e para restaurar informações cifradas para sua formaoriginal, inteligível, através de um processo de decifragem. A criptografia também se preocupacom as técnicas de criptoanálise, que dizem respeito a formas de recuperar aquela informaçãosem se ter os parâmetros completos para a decifragem.
Criptografia Assimétrica - tipo de criptografia que usa um par de chaves criptográficasdistintas (privada e pública) e matematicamente relacionadas. A chave pública está disponívelpara todos que queiram cifrar informações para o dono da chave privada ou para verificação deuma assinatura digital criada com a chave privada correspondente; a chave privada é mantidaem segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.
Declaração de Praticas de Certificação (DPC) - documento, periodicamente revisado erepublicado, que descreve as práticas e os procedimentos empregados pela AutoridadeCertificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistemade credenciamento, as práticas, atividades e políticas que fundamentam a emissão decertificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras paragarantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliara adequação dos padrões de segurança empregados as necessidades de segurança de suasaplicações.
Hash - resultado da ação de algoritmos que fazem o mapeamento de uma seqüência de bitsde tamanho arbitrário para uma seqüência de bits de tamanho fixo menor conhecido comoresultado hash de forma que seja muito difícil encontrar duas mensagens produzindo o mesmoresultado hash (resistência à colisão), e que o processo reverso também não seja realizável(dado um hash, não é possível recuperar a mensagem que o gerou).
Hierarquia do Certificado - estrutura de certificados digitais que permite a indivíduosverificarem a validade de um certificado. O certificado é emitido e assinado por uma AutoridadeCertificadora que está numa posição superior na hierarquia dos certificados. A validade de umcertificado específico é determinada, entre outras coisas, pela validade correspondente aocertificado da AC que fez a assinatura.
Infraestrutura de chaves públicas brasileira (ICP-Brasil) - É um conjunto de técnicas,arquitetura, organização, práticas e procedimentos, implementados pelas organizaçõesgovernamentais e privadas brasileiras que suportam, em conjunto, a implementação e aoperação de um sistema de certificação. Tem como objetivo estabelecer os fundamentostécnicos e metodológicos de uma sistema de certificação digital baseado em criptografia dechave pública, para garantir a autenticidade, a integridade e a validade jurídica de documentosem forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizemcertificados digitais, bem como a realização de transações eletrônicas seguras. A ICP-Brasil foicriada pela Medida Provisória 22002, de 24.08.2001, e encontra-se regulamentada pelasResoluções do Comitê Gestor da ICP-Brasil.
Não repúdio - ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa queexecutou determinada transação de forma eletrônica, não poderá posteriormente negar suaautoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital.Deste modo, a menos de um uso indevido do certificado digital, fato que não exime deresponsabilidade, o autor não pode negar a autoria da transação. Transações digitais estãosujeitas a fraude, quando sistemas de computador são acessados indevidamente ou infectadospor cavalos-de-tróia ou vírus. Assim os participantes podem, potencialmente, alegar fraudepara repudiar uma transação.
Par de chaves - chaves privada e pública de um sistema criptográfico assimétrico. A chaveprivada e sua chave pública são matematicamente relacionadas e possuem certaspropriedades, entre elas a de que é impossível a dedução da chave privada a partir da chavepública conhecida. A chave pública pode ser usada para verificação de uma assinatura digitalque a chave privada correspondente tenha criado ou a chave privada pode decifrar a umamensagem cifrada a partir da sua correspondente chave pública. A chave privada é deconhecimento exclusivo do titular do certificado.
Política de Certificação (PC) - documento que descreve os requisitos, procedimentos e nívelde segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de umCertificado Digital.
Repositório - sistema confiável e acessível online, mantido por uma Autoridade Certificadora,para publicar sua Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC),
Política de Segurança (PS), Lista de Certificados Revogados (LCR) e endereços dasinstalações técnicas das AR vinculadas.
Sala-cofre - área de segurança restrita, formada por cofre com proteção eletromagnética, físicae contra fogo, afim de proteger as chaves privativas que assinam os certificados digitais.
Smart card - pequeno dispositivo, geralmente do tamanho de um cartão de crédito, quecontém um processador e é capaz de armazenar informação criptográfica (como chaves ecertificado) e realizar operações criptográficas.
Token - dispositivo para armazenamento do certificado digital de forma segura, comfuncionamento parecido com o smart card, mas conexão com o computador via USB.
X.509 - padrão que especifica o formato dos certificados digitais, de tal maneira que se possaamarrar firmemente um nome a uma chave pública, permitindo autenticação forte. Faz partedas séries X.500 de recomendações para uma estrutura de diretório global, baseada emnomes distintos para localização. Na ICP-Brasil utilizam-se certificados no padrão X509 V3.
Fonte:
Site Howstuffworks (http://informatica.hsw.uol.com.br/certificado-digital.htm)
Autora:
Gisele Ribeiro,
Editora do HowStuffWorks no Brasil, Gisele é jornalista formada pela Universidade de Mogi dasCruzes, com especialização em divulgação científica pela Universidade de São Paulo e pelaUC Berkeley. Trabalhou como repórter de O Globo, Veja, Folha de S.Paulo e Byte, e comoeditora de tecnologia no provedor UOL. Durante três anos prestou consultoria em usabilidade eaplicação de conteúdo em web sites.