Computador com senhaUm apontador de lápis, a maçaneta da porta, um carro com tração nas quatro rodas, a internet... A semelhança em todas essas peças é que, como muitas outras coisas no mundo, elas são tecnologias criadas pelo homem para facilitar a sua vida de algum jeito. Novas tecnologias surgem todos os dias para nos ajudar a fazer nossas tarefas de forma mais rápida e segura. Infelizmente, acompanhando o ritmo das melhorias, surgem os meios que trapaceiros usam para burlar as regras e tirar proveito dessas tecnologias para prejudicar outros e se beneficiar de modo ilegal.

Como a internet hoje já é uma plataforma de trabalho amplamente usada para enviar e receber dados em tempo real, viu-se a necessidade de criar soluções que protegessem esse ambiente e proporcionasse uma maior segurança na internet. Vieram os antivírus, firewall, senhas para cadastros em site e muitas outras formas. Uma dessas soluções é a assinatura digital.

A assinatura digital tem por função dar garantias da procedência de um documento e se ele sofreu alguma alteração não autorizada. Documentos e arquivos são muito importantes para pessoas, empresas e instituições e justamente por isso é necessário protege-los.

Toda essa precaução se faz necessária no dia a dia. Ainda mais devido a grande quantidade de crimes digitais que acorrem no mundo digital diariamente. Estima-se que dois terços dos internautas do mundo já foram vítimas de algum crime digital segundo o estudo “Norton Cybercrime Report: The Human Impact”. Outro dado preocupante é que o Brasil é o segundo país em que mais se comete crimes digitais no mundo.

Com tantos crimes e perigos no mundo virtual a assinatura digital é um meio seguro de comprovar a procedência de um documento. Com a utilização de uma espécie de “chave ” ( conjunto de bits, determinados por alguns logaritmos) esse sistema se torna um alvo difícil para fraudes pela sua complexidade.

Outro trunfo da assinatura digital é que, com o crescente número de pessoas e empresas usando esse artifício, foi necessário organizar e padronizar essas operações. A ICP-Brasil faz isso por meio da certificação digital e das assinaturas das AC (Autoridade Certificadora). Com os certificados digitais devidamente assinados e com os devidos cuidados os riscos da assinatura digital não funcionar é mínima.

No quesito tecnologia as políticas de segurança sempre serão bem-vindas para que tudo ocorra como tem que ser no mundo dos negócios e na internet. A assinatura digital é uma opção interessante e vai se tornando cada vez mais indispensável para quem quer sobreviver bem em negócios online (e-commerce).

O que é Assinatura Digital? 

Assinatura digital é um meio pelo qual pode-se conservar, com segurança, a integridade e procedência de um documento. Sendo assim, com a assinatura digital pode-se afirmar que um documento não foi modificado e realmente procede da pessoa que diz ter enviado tal documento. Trabalhar e estudar na internet se tornou algo recorrente e necessário e por isso é importante zelar pela segurança e confiabilidade dos documentos que você ou sua empresa mandam e recebem.

A ideia de poder autenticar de forma inegável um documento digital surgiu nos anos 70. No ano de 1976, Whitfield Diffie e Martin Hellman publicaram um trabalho que viria a ser o início das varias inovações no campo da criptografia. Umas das principais mudanças decorrentes desse trabalho foi a criação da chave pública, usada no processo de assinatura digital.

Mais tarde foi inventado o algoritmo RSA, que se baseava na multiplicação de números primos e na fatoração do resultado dessa operação. O algoritmo carrega as iniciais dos sobrenomes de seus inventores (Ronald Rivest, Adi Shamir e Lan Adleman). Esse foi o início do uso das assinaturas digitais e em 1989 foi lançado o primeiro software elas, o Lotus Notes, que usava a tecnologia RSA.

O tempo foi passando e a tecnologia RSA mostrou não ser totalmente confiável. Foram surgindo novas alternativas para aumentar a segurança, como a assinatura de Lamport, o método das árvores de Hash, dentre outras. À medida em que a tecnologia avança, novas opções de segurança da informação são lançadas.

Esse processo baseia-se no uso de uma série de bits que usam um algoritmo capaz de “embaralhar” as informações contidas no documento protegido, assim como tem o poder de decifrá-lo. Esse conjunto de bits são conhecidos como “chaves” e existem tipos diferentes de chaves. A chave pública, que como o próprio nome diz é de acesso para mais de uma pessoa, e a chave privada. Esta última deve ser mantida em sigilo e não deve ser dividida com ninguém.

O uso dessas chaves é fator é muito importante nesse processo, pois é o responsável por transformar o documento comum em um criptografado. Para usar a assinatura digital é preciso adquirir softwares específicos que dão as ferramentas necessárias para o uso correto desse artifício. Os programas, em sua maioria, são pagos.

Normalmente, quando entregamos um documento impresso importante, precisamos assinar ou imprimir o nosso polegar para que os dados possam confirmar a autenticidade e a nossa responsabilidade sobre eles. Na certificação digital, essa assinatura é feita pelas Autoridades Certificadoras. Elas garantem proteção e o risco de ser uma assinatura falsa ou modificada é quase nulo.

Assinatura Manuscrita x Assinatura Digital

A diferença entre as duas é que a manuscrita seguirá o padrão e cada autor apresentará uma característica pessoal em sua forma de escrever. Para testar sua veracidade, é feita uma comparação visual à assinatura verdade. Na assinatura digital, para cada documento é gerada uma diferente, que terá relação com o resumo do documento, sendo utilizada uma sequência de bits, 0 e 1. Essa é a garantia da eficácia dessa assinatura. Juridicamente, em 2001, uma Medida Provisória (2.200) garantiu que, para um documento eletrônico ter integridade e autenticidade, era necessário utilizar certificados digitais.

Como funcionam as assinaturas, no caso de documentos eletrônicos?

É usada a assinatura digital, um recurso eletrônico capaz de criptografar o conteúdo do seu documento. Eles utilizam chaves criptográficas, um conjunto de bits baseados em determinado algoritmos, capaz de cifrar e decifrar informações. Utilizamos chave simétrica (simples, e ambos o receptor e o emissor da mensagem podem utilizar as mesmas chaves) ou assimétrica (pública e privada: o dono da chave privada deve disponibilizar a chave pública para quem estiver autorizado a ter acesso à informação. Uma chave estará associada a outra). Observe:

  • O emissor deve ter: documento + chave privada para codificar a informação e enviar para o destinatário.
  • O receptor usará: sua chave pública para decifrar o documento.
  • Se o documento tiver sido alterado ou sua assinatura deformada, ele se tornará invalido.

Sobre a definição de chave assimétrica, elas são as que correm pouco risco de fraudes e são suas chaves públicas as utilizadas em assinaturas digitais. Uma Autoridade Certificadora, entidade que dá o poder a uma pessoa de adquirir seu certificado, por sua vez, trabalha com duas chaves: a chave privada e a chave pública. Nesse esquema, uma pessoa ou uma organização deve utilizar uma chave privada (sigilosa e individual) para codificar a informação e disponibilizar uma chave pública a quem for mandar informações a ela, usada pelo receptor da informação para o processo de decodificação. Ambas as chaves são geradas de forma conjunta; portanto, uma está associada a outra.

Como Fazer Assinatura Digital?

O processo que configura uma assinatura digital consiste no uso de duas chaves: a privada e a pública.

Chave pública e privadaSuponhamos que um documento tenha que ser encaminhado para outro computador. Quem o recebe quer ter a certeza de que o documento não será alterado por terceiros e que o mesmo não será visto por mais ninguém. É necessário que, quem for enviar o arquivo, esteja de posse da “chave pública” do destinatário. O remetente aplicará essa chave pública no documento e, assim, o documento estará “embaralhado” ou cifrado. Isso garante que esse documento não poderá ser visto por outra pessoa a não ser o emissor e o destinatário do arquivo. Além disso, é a certeza que ninguém poderá alterar, mesmo que minimamente, esse documento. Caso seja modificado as chaves não combinarão.

Esse processo se chama criptografar o documento e trata-se de uma parte necessária para garantir a segurança da informação dessa operação. A criptografia é a técnica de “cifrar” uma mensagem, ou seja, somente quem tem acesso a um código ou segredo seja capaz de desvenda-lo. Considera-se que o primeiro documento criptografado ocorreu no Egito antigo, que continham hieroglifos não convencionais para dificultar sua compreensão.

Chegando o documento, cifrado pela chave pública do próprio receptor da mensagem, o receptor usará sua chave privada e a combinação dessas chaves. Se o documento realmente não foi alterado, fará com que o documento seja descriptografado e, assim, o documento chega em segurança. Por isso, as chaves são imprescindíveis para que o processo de criptografar seja efetivo.

Para fazer a assinatura digital ocorre o processo inverso. Na hipótese de alguém precisar mandar um arquivo para outro computador e o destinatário fizer questão de confirmar quem realmente está mandando é necessário realizar a assinatura digital. Como no outro exemplo o emissor usará uma chave para criptografar o documento.

No entanto, dessa vez o emissor é quem possui a chave privada. Usando sua chave, que só é de seu conhecimento, e criptografando o documento, ele envia sua chave pública para o destinatário. Ao recebe-lo o receptor usa a chave do emissor para “decifrar” a mensagem. Se o receptor obtiver sucesso ao descriptografar a mensagem é sinal que realmente o documento foi mandado por quem obtém a chave privada, ou seja, somente uma pessoa.

O processo da assinatura digital não garante que o documento em questão vá ser visto somente por uma pessoa, mas sim por todos que têm acesso à chave pública. Caso o documento seja alterado nesse caminho, entre quem manda e quem recebe a mensagem, as chaves também não vão funcionar, pois qualquer modificação, por mais simples que sejam, irá alterar o número de bits do algoritmo do documento.

Portanto, é importante controlar com critério quem terá sua chave pública, já que na assinatura digital, todos os que têm acesso a essa chave pública, também têm acesso aos documentos assinados digitalmente.

Função Hashing: Otimizando o Processo

Cadeado abertoPara tornar o processo de cifragem do documento ainda mais rápido, a assinatura digital utiliza um algoritmo da função hash. Geralmente, na chave assimétrica, dependendo do tamanho do documento, a sua cifragem é lenta. Essa função calcula um valor de tamanho fixo, cria resumos menores que o tamanho do documento e o tempo é reduzido. Esses são chamados de valor hash ou resumo criptográfico.

A função hash da assinatura digital também trabalha com o método de autenticação dos algoritmos por meio de chave pública. Ela é comparada a uma impressão digital, em que cada documento possui um valor único e qualquer alteração feita já resulta em um resumo (hash) diferente, o receptor receberá um documento inválido.

Texto original -> função hash -> algoritmo criptográfico assimétrico -> assinatura digital.

Não há alteração no documento e o hash cifrado com chave publica é anexado ao documento.

Essas assinaturas são comprovadas por meio de softwares. Elas passam por dois processos:

  • Cálculo do resumo criptográfico do documento;
  • Cifragem da assinatura com a chave pública do signatário.

Se ambos forem iguais e a chave privada corresponde à chave pública, a assinatura é correta e o documento completo. Se forem diferentes, podem ter ocorrido alterações, no documento ou na assinatura.

Obs.: a transmissão de certificados digitais deve ser feita por conexões seguras. Geralmente as que usam protocolo Secure Socket Layer (SSL) próprio para o envio de informações criptografadas.

Entendemos um pouco do processo criptográfico e assinatura digital, mas como adquiri-la e como ter segurança no compartilhamento das chaves?