Certificado digital

O certificado digital é um documento digital que tem informações que dizem respeito a pessoa ou entidade que a possui. Ele se assemelha à carteira de identidade, mas nesse caso, virtual. Esse certificado é concedido por uma AC (Autoridade Certificadora), que dá credibilidade a esse certificado, pois se as pessoas acreditam na instituição que assina o certificado ela irá confiar nas informações contidas no mesmo. Ele serve também para associar uma pessoa ou empresa a uma chave pública.

Nele, existe o nome do usuário, um número público exclusivo (chave pública) e outros dados que informam a nossa identidade para os sistemas da informação e as demais pessoas envolvidas no processo. O recurso que validará a nossa assinatura digital será a chave pública.

Esse sistema criptográfico surgiu em 1900 a.C, no Egito, por meio dos hieróglifos. E graças a ele, por meio da internet, é possível obter serviços que eliminam gastos, facilita a operação e traz agilidade. Ou seja, em sua empresa, você poderá fechar negócios com possíveis clientes, obter ou enviar dados sigilosos e economizar.

Pensar em certificação digital é uma forma de garantir a sua segurança e a de seus documentos eletronicamente. O meio de informação mais utilizado para transmissão de dados é a Internet. Governo, empresas privadas e até mesmo pessoas comuns precisam fazer transações rápidas.

A certificação digital utiliza ferramentas que garantem essa transmissão de forma rápida e segura ao usuário trazendo:

Autenticidade;

Confidencialidade;

Integridade às informações eletrônicas.

As ameaças à segurança de arquivos na internet estão cada vez mais sofisticadas. Acompanhando esse ritmo, os sistemas de segurança tem de se preocupar em inovar e os certificados são uma forma de assegurar os dados na web.

Geralmente os certificados digitais contêm informações como o nome do proprietário do certificado (ou a empresa, se for o caso), informações da autoridade certificadora que emite o certificado, sua validade (Válido de: xx/xx/xxxx até xx/xx/xxxx), as utilidades desse certificado (como fazer assinatura digital, provar identidade a um servidor remoto, etc.), além de conter as chaves públicas ligadas à chave privada que deve estar somente no controle do portador do certificado.

Além dessas informações, o certificado digital ajuda a guiar a procura por chaves públicas confiáveis. Isso porque nele consta a assinatura de uma AC que, quanto maior seu nível, será de maior a confiança. Quem decide quem são essas autoridades certificadoras (AC) é a ICP-Brasil, que representa o grau de confiabilidade máximo nessa cadeia de segurança das autoridades certificadoras.

A ICP-Brasil é chamada AC raiz. Ela assina certificados digitais de primeiro nível. As AC's de primeiro nível, por sua vez, assinam certificados digitais de segundo nível e assim por diante. Conforme o nível desce, também reduz seu grau de garantia.

A ICP-Brasil é mantida pela ITI (Instituto Nacional de Tecnologia da Informação) que, além de assinar digitalmente os certificados tem poder de aumentar ou diminuir os níveis das AC's. Ela tem o poder de caçar certificados caso estejam sendo usados indevidamente ou se a chave privada do detentor do certificado for descoberta e usada para prejudicar a instituição.

Já a autenticação desse documento virtual é o ato de comprovar a autoria do documento e o seu conteúdo. É necessário levar o documento no cartório e após ser dada a autorização a ele o documento está autenticado. Na certificação digital os “cartórios” são as Entidades Certificadoras que compõem a ICP-Brasil.

Essa ferramenta tecnológica permitirá a segurança da informação e evitará que seus documentos possam ser adulterados ou vistos por pessoas desautorizadas.

Onde posso usar o meu certificado digital?

O Governo Federal Brasileiro utiliza o certificado para vários fins. Dentre eles, temos:

  • Receita Federal do Brasil - uma Secretaria que garante o sigilo fiscal previsto na lei. Utiliza o recurso para agilizar processos e trazer comodidade para o contribuinte. Ele é usado na Central Virtual de Atendimento ao Contribuinte (e-CAC), no Sistema Público de Escrituração Digital (SPED), etc;
  • Em sistemas de diárias e passagens para servidores públicos, para dar transparência aos processos e impedir que haja gastos indevidos;
  • Programa Universidade para Todos – PROUNI – a instituição de Ensino Superior irá utilizar o certificado para ter acesso ao sistema de bolsas de estudos para estudantes de baixa renda. Com ele, é possível garantir a segurança das informações, registrar a assinatura digital nos documentos emitidos e ter validade jurídica;
  • Outro é o Sistema do Banco Central do BrasilSisbacen. Unidos pela tecnologia da informação, recursos que interligam a rede são capazes de conduzir a forma de trababalho do Banco. Milhares de informações de empresas de capital estrangeiro são autenticadas através do certificado, etc.

Governo Estadual e Municipal:

  • Sistema Jurídico – através da lei 11.419/2006, foi regulamentado o uso das certificações no Judiciário. O TRT, Tribunal Regional do Trabalho da 4ª região, foi a primeira instituição a implantar sistemas que possibilitassem o envio eletrônico de petições para advogados em todo o país excluindo o uso de papel. Os Tribunais de Justiça dos Estados, o Superior Tribunal de Justiça (STJ) também aderiram ao sistema, tornando os seus processos econômicos e ágeis, dentre outros;
  • Outro uso está nas Carteiras de identidade profissional. Corretores, advogados e contadores poderão emitir um certificado digital para executar atividades relacionadas a sua área, em qualquer lugar onde estiver;
  • O correio eletrônico (e-mail) também utiliza os certificados. Através da integridade e da inviolabilidade, a mensagem é protegida e o emissor tem a sua identidade preservada.

Obter Certificado Digital

Como dito, esse documento eletrônico com assinatura digital associará uma instituição ou uma pessoa a uma chave pública. Suas informações públicas permitem estar em repositórios públicos. Geralmente, deve conter:

  • nome da pessoa ou entidade associada à chave;
  • chave pública;
  • validade do documento;
  • nome e assinatura da entidade emissora;
  • número de série.

A certificação digital pode ser encontrada no site da Receita Federal do Brasil, que é uma autoridade certificadora (AC). Através do sistema e-CAC (Central Virtual de Atendimento) quando você solicita a inscrição de seu CPF, por exemplo, eles precisam de um certificado para autenticar e assegurar as informações do seu cliente garantindo segurança no processo.

Outro exemplo é o Governo Federal: o Presidente da República e Ministros utilizam o certificado para a transmissão de documentos oficiais a serem publicados no Diário Oficial da União.

Os serviços governamentais também utilizam o recurso do certificado digital para agilizar transações, reduzir custos, burocracia, garantir a satisfação do usuário, etc.

Para obter um certificado digital, é necessário seguir os passos a seguir:

  • Conheça e escolha a Autoridade Certificadora (AC) da ICP-Brasil, para que os seus dados possam ser guardados com confiança.
  • No portal da AC escolhida, faça o pedido de um certificado digital de pessoa física ou de pessoa jurídica (e-CPF ou e-CNPJ). E, em seguida escolha o tipo de certificado adequado a sua atividade.
  • Vá pessoalmente à Autoridade de Registro (AR) da AC e emita o certificado. Você estará fazendo uma validação presencial, marcado diretamente com a AR, que mostrará os documentos necessários para a emissão do certificado. Na escolha do certificado do tipo A3, o cliente já receberá um cartão ou token com o certificado digital.
  • O cliente será informado pela instituição quais os procedimentos para baixar o certificado.
  • Todo certificado possui uma validade e, quando estiver próximo do vencimento, o cliente poderá renovar pelo endereço eletrônico, sem a necessidade de passar por outra validação presencial.

Autoridade Certificadora e Autoridade de Registro

O nome e assinatura digital da entidade emissora é o campo essencial para verificar a autenticidade e a integridade do certificado. A entidade que cria esse documento é a Autoridade Certificadora (AC). As Autoridades de Registro (AR) somente fazem o registro do pedido de seu certificado.

A AC é a principal componente de uma Infra Estrutura de Chaves Públicas, no inglês Public Key Infrastructure (PKI) que são políticas, procedimentos e técnicas para que a certificação digital possa ser aceita juridicamente e forneça benefícios a população. É ela que emite os certificados, e o usuário precisa confiar nessa autoridade.

Por exemplo, essa é a mesma confiança atribuida aos órgãos que irão emitir o seu RG ou CPF. O usuário poderá escolher uma AC confiável para emitir os seus certificados digitais.

Após essa escolha, é preciso ter uma Declaração de Práticas de Certificação (DPC), um documento público que permitirá que pessoas possam saber como foi emitido o certificado digital. Para a certificação deverão haver dados confiáveis que permitam a identificação do seu titular. Quanto melhor os procedimentos utilizados pelas ACs, maior será a confiabilidade desses órgãos.

No Brasil, o Comitê Gestor do ICP - Brasil especifica os procedimentos que devem ser tomados pelas ACs. O ICP-Brasil é um órgão governamental que torna viável a emissão de certificados digitais. Através da AC-Raiz, o Instituto Nacional de Tecnologia da Informação (ITI) gera as chaves e regulamenta as atividades de cada uma.

Entidades que querem se afiliar ao ICP devem seguir as normas propostas por eles, e a partir daí poderão gerar chaves criptografadas. Como exemplo, temos a Receita Federal, a Caixa Econômica, a Serpro e o Serasa, etc. Elas serão fiscalizadas constantemente e o descumprimento das regras poderá trazer penalidades ou o descredenciamento.

Para obter um certificado digital reconhecido no Brasil é preciso procurar essas instituições. Cada uma tem preços diferenciados por utilizarem processos diferentes. Veja qual AC corresponde as suas atividades e emita um certificado digital. Com esse credenciamento é atestada a garantia e a segurança das chaves.

Sobre o ITI – Instituto Nacional de Tecnologia da Informação

Com o foco de manter a Infra-estrutura de Chaves Públicas brasileiras, a ICP-Brasil é uma autarquia ligada à Casa Civil da Presidência da República. Com base na Medida Provisória 2.200-2/01, esse sistema de certificação foi implantado no Brasil, e esse órgão passou a seguir as regras de funcionamento definidas pelo Comitê Gestor da ICP-Brasil, composta pela Casa Civil, os Ministérios específicos, o Gabinete de Segurança Institucional e outas associações, escolhidas pelo Presidente da República.

Sobre Autoridade Certificadora e Autoridade de Registro

As ACs são entidades públicas ou privadas credenciadas à hierarquia da ICP-Brasil, sua função será:

  • Emitir;
  • Distribuir;
  • Renovar;
  • Revogar, e;
  • Gerenciar certificados digitais.

Na AC o usuário irá levar os documentos necessários para que possa ser associada uma identidade a uma chave, e inseri-los no certificado.

Já o papel de uma Autoridade de Registro será solicitar certificados a uma AC. Ela é uma ponte de contato e por meio dela é possível receber, validar, encaminhar emissões ou revogações e fazer a identificação presencial de seus contribuintes. As Autoridades de Registro não podem gerar o certificado digital.

Chaves Criptográficas

Responsabilidades e-CPF e e-CNPJ 

Uma transação com certificação autenticadora, o documento e o usuário não poderão negar que fizeram a transação. Por esse fato, é importante que cada um tenha condições de proteger a sua chave privada. Existem dois dispositivos para isso:

Cartões inteligentes (smart card) – com tamanho e formato de cartões de créditos, eles são um tipo de hardware criptográfico, com um microprocessador que armazena e processa diversas informações. Neles, as chaves são geradas e mantidas internamente e com segurança.

Chaves privadas no computador – o usuário mantém a sua chave no seu próprio computador, e para isso, é preciso:

  • Ativar a opção de proteção de acesso à chave, no software que gerou o seu par;
  • Não dizer a ninguém a senha de acesso à chave privada;
  • Evitar o uso de dados pessoais, palavras comuns ou somente número para a senha da chave. Procure senhas longas e difíceis;
  • Em ambientes acessados por muitas pessoas, use softwares de controle de acesso ou recursos de proteção do sistema operacional;
  • Mantenha atualizado o sistema operacional e aplicativos.
  • Em computadores públicos: não instale o certificado com a chave privada.

No Brasil, são usados o e-CPF e o e-CNPJ. Os dois são certificados, mas o primeiro é destinado às pessoas físicas e o segundo, às pessoas jurídicas (empresas ou entidades). É uma extensão do CPF (Cadastro de Pessoa Física) e CNPJ (Cadastro de Pessoa Jurídica).

Através deles, um usuário tem acesso a diversos serviços da Receita Federal, como, por exemplo, a transmissão de declarações de Imposto de Renda, consultas, pesquisas de situação fiscal, corrigir erros, etc. Ambos certificados do tipo A1 e A3. Eles não são gratuitos e variam de acordo com a empresa e o tipo. Geralmente, funcionam por meio de entidades conveniadas à Receita Federal.

Se nada disso funcionou e a sua chave foi descoberta, revogue o mais rápido possível o certificado na AC responsável. E sempre esteja alerta ao procedimento da Declaração de Práticas de Certificado, necessário para revogação.

Tipos de Certificação Digital

Validade do Certificado Digital

O certificado digital possui um período de validade onde só é permitido assinar um documento se o mesmo estiver no prazo de validade correto. Mas antes de expirar, você já pode pedir à AC a revogação, utilizando uma justificativa.

Quando a AC recebe o pedido de revogação, eles analisam, adicionam o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publicam. O local de publicação está declarado na DPC da AC e há casos em que é possível ver, em endereços da WEB, quais contêm o arquivo com a LCR.

É possível ver se o certificado permanece válido ou não. Até a revogação as assinaturas são válidas (é possível assinar documentos e vemos a data e hora da assinatura através de uma técnica chamada, carimbo de tempo). Após isso, não é possível assinar nenhum documento.

Observe:

Solicitar certificado-> Emissão -> Início da validade -> assinatura do documento->verificação da assinatura-> revogação do certificado -> fim da validade.

O período de assinaturas válidas vai do início da validade até a revogação do certificado. Já o período de conferência das assinaturas digitais se inicia desde quando é feita até depois do fim da validade.

O usuário poderá renovar, caso a assinatura tenha expirado. Assim, ele poderá manter os dados do certificado e até o par de chaves se ela não tiver sido comprometida.

Tipos de certificados da ICP-Brasil

Existem duas categorias de certificado digital oferecido pela ICP-Brasil: A e S. Eles se dividem em 4 tipos, cada um, sendo que A está relacionada à identificação e autenticação; e S, às atividades sigilosas. Observe:

  • A1 e S1 – Chave gerada por softwares, com tamanho mínimo de 1024 bits, pode ser armazenada em um HD, por exemplo, e a validade máxima é de um ano.
  • A2 e S2 – Chave gerada por softwares, com tamanho mínimo de 1024 bits, pode ser armazenada em cartões inteligentes ou token (semelhante a um pen drive). Validade máxima de três anos.
  • A3 e S3 - Chave gerada por softwares, com tamanho mínimo de 1024 bits, armazenada em CI ou tonken. Validade de três anos.
  • A4 e S4 - Chave gerada por softwares, com tamanho mínimo de 2048 bits, armazenada em cartão ou token. Validade máxima de três anos.

Os mais utilizados são o A1 (armazenado no computador) e A3 (armazenado em cartões inteligentes ou tokens – semelhante a um pendrive protegido por senha).