420 likes | 551 Views
Certificação Digital. Histórico da Certificação Digital no Brasil. ● SERPRO ● MP 2200 - Agosto de 2001 Criação da ICP-Brasil; Transforma o ITI em autarquia Principais pontos:
E N D
Certificação Digital
Histórico da Certificação Digital no Brasil • ● SERPRO • ● MP 2200 - Agosto de 2001 • Criação da ICP-Brasil; • Transforma o ITI em autarquia • Principais pontos: • Atribuição de valor legal às assinaturas digitais geradas com chave privada associada a certificado digital ICP-Brasil; • Modelo com Autoridade Certificadora Raiz única; • Exigência de identificação presencial do titular para obtenção do certificado; • Vinculação da entidade executora diretamente à Casa Civil da Presidência da República, como forma de garantir apoio político e orçamentário a longo prazo. 01
ICP-Brasil • A ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileira) - é um conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema criptográfico com base em certificados digitais. • Foi criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País, com vistas a inserir maior segurança nas transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios. • A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por: • Autoridade Certificadora Raiz (AC-Raiz); • Autoridades Certificadoras (AC); • Autoridades de Registro (AR); e • Comitê Gestor da ICP-Brasil (autoridade gestora de políticas). 02
AC - Raiz • (Autoridade Certificadora RAIZ) • - AC-Raiz (ICP-Brasil) – ITI / CC / PR; • - 1ª AC da cadeia de certificação; • Políticas de Certificados, normas técnicas e operacionais; • Comitê Gestor da ICP-Brasil. • Competência: • Emitir; • Expedir; • Distribuir; Certificados das AC’s de 1º nível; • Revogar; e • Gerenciar; • Auditorar: AC’s – cumprimento das normas; • AR’s; • Prestadores de Serviços cadastrados da ICP-Brasil) 03
Comitê Gestor • Vinculado à Casa Civil; • Composição: • - 05 representantes da sociedade civil e integrantes de setores interessados. Designados pelo PR; e • - 01 representante de cada um dos seguintes órgãos. Indicados por seus titulares: • - Ministério da Justiça; • - Ministério da Fazenda; • - Ministério do Desenvolvimento, Indústria e Comércio Exterior; • - Ministério do Planejamento, Orçamento e Gestão; • - Ministério da Ciência e Tecnologia; • Casa Civil da Presidência da República; e • Gabinete de Segurança Institucional da Presidência da República. • * Principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz. 04
AC • (Autoridades Certificadoras) • Personalidade: • - Empresas públicas; • - Empresas privadas. • Finalidade: • Emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. • Competência: • Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações”. 05
AR • (Autoridades de Registro) • Credenciadas pela AC-Raiz; • Serão vinculadas operacionalmente a determinada AC. • Personalidade: • - Empresas públicas; • - Empresas privadas. • Finalidade: • Identificar e cadastrar usuários, de forma presencial; • Encaminhar solicitações de certificados à respectiva AC; e • Manter registros de suas operações. • Competência: • Nos termos do art. 70 da MP 2.200-2, compete-lhes “identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações”. 06
Estrutura da ICP-Brasil Legenda 07
Estrutura da ICP-Brasil Legenda 08
Certificação Digital É um conjunto de técnicas e processos que propiciam mais segurança às comunicações e transações eletrônicas. 09
Certificação Digital Garantias: - Autenticidade; - Integridade; - Confidencialidade; - Não-repúdio; - Validade Jurídica; - Transações seguras na WEB. 10
Certificado Digital • Documento eletrônico; • Assinado digitalmente por uma terceira parte confiável; • Associa uma pessoa ou servidor a uma chave pública; • Contém os dados de seu titular, tais como: • nome; • e-mail; • CPF; • Chave pública; • Nome e assinatura da AC que o emitiu. • * Lotação; • * Ramal. • Na prática, o certificado digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar princípios básicos da segurança da informação. 11
Principais informações constantes no certificado digital • Chave pública do titular; • Nome; • E-mail; • Período de validade do certificado; • Nome da Autoridade Certificadora - AC emitente; • Número de série do certificado digital; • Assinatura digital da AC. • * Ramal * Lotação 12
Vantagens oferecidas às empresas ou pessoas físicas que adquirem um certificado digital • Agilidade; • Redução de custos; • Segurança. • A certificação digital hoje permite que processos que tinham que ser realizados pessoalmente ou por meio de inúmeros documentos em papel, possam ser feitos totalmente por via eletrônica. • Com isso os processos tornam-se menos burocráticos, mais rápidos e por conseguinte, mais baratos. • A certificação digital garante autenticidade e integridade. O documento com assinatura digital ICP-Brasil tem a validade de um documento em papel assinado manualmente. 13
O certificado digital tem prazo de validade? • - Sim • Por que não emitir certificados sem data final de validade? • - Para renovar a relação de confiança entre seu titular e a AC. • - Substituição da chave privada por uma outra tecnologicamente mais avançada; • - Possíveis mudanças ocorridas nos dados do usuário. • - Tem objetivo de tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado. 14
● Qualquer pessoa pode obter um certificado digital? - Sim, qualquer pessoa física ou jurídica; ●É possível que um cidadão estrangeiro consiga obter um certificado ICP-Brasil sem que possua um CPF? - O certificado deverá ser emitido por AC que não seja vinculada à cadeia da AC SRF (e-CPF); - Validação dos dados na Receita Federal; - Deverá apresentar, como identidade, o original do passaporte e demais documentos previstos na Resolução 42 da ICP-Brasil, item 3.1.9.1. 16
●Os documentos em papel, depois de digitalizados, certificados digitalmente, autenticados por um tabelião e registrados no cartório de registro de títulos e documentos, poderão ser eliminados? Não. O documento digitalizado a partir de uma documento original não é legalmente presumido autêntico, pois o documento original pode ter sofrido alterações anteriores ao processo de digitalização. Uma vez digitalizado o documento e certificado no âmbito da cadeia do ICP-Brasil, este não poderá mais sofrer alterações, todavia o documento original, antes da sua digitalização, pode ter sofrido alterações. Assim sendo, em caso de questionamento quanto a integridade e autenticidade do conteúdo posto no documento digitalizado, o interessado só poderá fazer prova destes atributos com a exibição do documento original. Desta forma, não é recomendável a eliminação dos documentos originais. O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por tabelião de notas, valerá como prova de declaração de vontade, mas, impugnada sua autenticidade, deverá ser exibido o original.” 17
Exemplo de aplicações da Certificação Digital • ●Sistema de Pagamentos Brasileiro (SPB); • ● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; • ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica; • ● Registro de operações e prestações de impostos federais pela Internet; • Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF) • ● Consulta da situação dos contribuintes na base da Receita Federal; • ● Assinatura de Contratos de Câmbio e Apólices de Seguros; • ● Programas de Governo; • Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF; • ● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal); • ● Sistemas Estruturadores do Governo Federal; • ● Internet banking e mobile banking; • ● Automação de processos do Poder Judiciário; • Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros; • ● Atendimento ao cidadão; • Ex.: DETRAN-MG, CETESB-SP, INPI. 18
O que é criptografia? • Palavra de origem grega; • Significa a arte de escrever em códigos, de forma a esconder a informação na forma de um texto incompreensível; • A informação codificada é chamada de texto cifrado; • - O processo de codificação ou ocultação é chamado de cifragem ou comumente chamado de criptografar; • - O processo inverso, ou seja, obter a informação original a partir do texto cifrado chama-se decifragem ou descriptografar; • - A cifragem ou processo de codificação, é executada por um programa de computador (cifrador) que realiza um conjunto de operações matemáticas e transformam um texto claro em um texto cifrado; 19
O que é criptografia? - Insere-se uma chave secreta na mensagem; - O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta. 20
Tipos de Criptografia - Simétrica - Assimétrica 21
Tipos de Criptografia - Simétrica • Realiza a cifragem e decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo o sigilo das informações; • Ocorre a troca de chaves. • Vantagem • - Utiliza uma mesma chave para cifragem e decifragem; • Desvantagem • - Envio da chave ao destinatário; • - Utilizar algum meio de contato com o destinatário para fornecer a senha; 22
Tipos de Criptografia - Assimétrica • Operam com duas chaves distintas: • - Chave privada; • - Chave pública. • São geradas simultaneamente; • São relacionadas entre si; • Mantem-se o sigilo da chave privada; • Disponibiliza-se a chave pública; 23
Tipos de Criptografia – Assimétrica - Garantia de Confidencialidade Beto Alice 24
Tipos de Criptografia – Assimétrica - Garantia de Autenticidade Ana Renato Beto Alice 25
Assinatura Digital - Assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia; - Confere a imutabilidade do documento, ou seja, qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura. 26
Assinando um documento • - Todo documento gera da função RESUMO (hash); • Qualquer alteração no documento modifica o hash, originando resumos diferentes; • - O hash do documento é cifrado juntamente com a chave privada; é anexado ao documento e tem-se como resultado a assinatura digital. 27
Conferindo a assinatura digital do documento • - Utiliza-se a chave pública do remetente para decifrar; • Se o hash do documento decifrado for igual ao do documento antes de ser cifrado, a assinatura está correta, válida; • Se o hash do documento decifrado for diferente ao do documento antes de ser cifrado, significa que pode ter havido alterações no documento ou na assinatura. Portanto, a assinatura torna-se inválida; • - O hash do documento é cifrado juntamente com a chave privada, é anexado ao documento e tem-se como resultado a assinatura digital. 28
Exemplo de aplicações da Assinatura Digital • ●Sistema de Pagamentos Brasileiro (SPB); • ● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; • ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica; • ● Registro de operações e prestações de impostos federais pela Internet; • Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF) • ● Consulta da situação dos contribuintes na base da Receita Federal; • ● Assinatura de Contratos de Câmbio e Apólices de Seguros; • ● Programas de Governo; • Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF; • ● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal); • ● Sistemas Estruturadores do Governo Federal; • ● Internet banking e mobile banking; • ● Automação de processos do Poder Judiciário; • Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros; • ● Atendimento ao cidadão; • Ex.: DETRAN-MG, CETESB-SP, INPI. • ● Comércio e correio eletrônico; • ● Processos judiciais e administrativos em meio eletrônico; • ● Facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; • ● Assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; • ● Obtenção e envio de documentos cartorários; • ● Transações seguras entre instituições financeiras, como já vem ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; • ● Diário Oficial Eletrônico; • ● Identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado (Certificado Digital para Servidor). Protocolo seguro SSL. • Ex.: Banco do Brasil, SRF, ORKUT, ... 30
Certificado Digital para servidor (Assinatura Digital para servidor) • ●Sistema de Pagamentos Brasileiro (SPB); • ● Tramitação e assinatura eletrônica de documentos oficiais em empresas públicas e privadas; • ● Registro de operações e prestações do ICMS pela Internet - Nota Fiscal Eletrônica; • ● Registro de operações e prestações de impostos federais pela Internet; • Ex.: DCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF) • ● Consulta da situação dos contribuintes na base da Receita Federal; • ● Assinatura de Contratos de Câmbio e Apólices de Seguros; • ● Programas de Governo; • Ex.: PROUNI do MEC, JUROS ZERO da FINEP e Conectividade Social da CEF; • ● Pregões Eletrônicos (Estadual) e COMPRASNET (Federal); • ● Sistemas Estruturadores do Governo Federal; • ● Internet banking e mobile banking; • ● Automação de processos do Poder Judiciário; • Ex.: e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ e outros; • ● Atendimento ao cidadão; • Ex.: DETRAN-MG, CETESB-SP, INPI. 31
●O documento assinado eletronicamente é reconhecido da mesma forma que um documento assinado de forma manuscrita? • Sim. (art. 10, da MP n° 2.200) • - Documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2. 32
●A assinatura digital confere sigilo ao documento eletrônico? • A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado; • O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado; • Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar. 33
●Assinatura digital é o mesmo que assinatura digitalizada? • - Não; • A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem por um equipamento tipo scanner; • Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento. 34
Meios de Armazenamento do certificado digital (Hardware) • São dispositivos portáteis que funcionam como mídias armazenadoras; • Em seus chips são armazenadas as chaves dos usuários; • O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular; • O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para seu funcionamento; • Já o token assemelha-se a um pequeno pen-drive que é colocado em uma entrada USB do computador. 35
Smart card Token 36
Cuidados que devem ser tomados ao utilizar a certificação digital 37
Utilização na Eletronorte • - Microsoft outlook; • - Microsoft Word; • Microsoft Excel; • Webdoc; • - SAP/R3; • - Logon de acesso ao Sistema Operacional; • - Demais aplicações. 38
Arquivos necessários - Internet http://www.certificadodigital.com.br/suporte/ikeydrv.zip - Intranet (GSIS) http://intranet/gsi/default.htm 39
Sites relacionados - ITI (Instituto Nacional de Tecnologia da Informação) http://www.iti.gov.br/ - ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileiras) https://www.icpbrasil.gov.br/ 40
Obrigado! Diretoria de Gestão Corporativa - DG Superintendência de Tecnologia da Informação - GSI Gerência de Segurança da Informação - GSIS Gerente Josita Arcanjo Ramos Instrutor Renato Muniz de Abreu – Ramal: 8784 E-mail: renatomuniz@eln.gov.br 41