O que é Certificação Digital?

Introdução

Há tempos que as pessoas usam assinaturas à caneta, carimbos, selos e afins para comprovar a autenticidade de documentos, expressar concordância com acordos, declarar responsabilidade e assim por diante. Hoje, muitas dessas ações devem ser feitas a partir da internet. Mas, como garantir autenticidade, expressar concordância ou declarar responsabilidade em meios on-line? É aí que entra em cena a certificação digital.

Esse tipo de recurso vem sendo usado por governos, empresas de todos os portes e demais instituições para assegurar validade jurídica, autenticidade e integridade a transações realizadas pela internet. Como a certificação digital permite isso? Em que situação usá-la? Qual a sua relação com conceitos como assinatura digital? É o que você descobrirá nas próximas linhas.


Para que serve a Certificação Digital?

A internet permite que indivíduos, empresas, governos e outras instituições realizem uma série de procedimentos e transações eletrônicas de maneira rápida e precisa. Graças a isso, é possível fechar negócios, emitir ou receber documentos, acessar ou disponibilizar informações sigilosas, diminuir processos burocráticos, entre outros, tudo de modo on-line.

No entanto, da mesma forma que oferecem recursos para tudo isso e mais um pouco, os meios eletrônicos também podem ser usados para fraudes ou adulterações, o que significa que as transações, quando realizadas por vias eletrônicas, precisam ser confiáveis e seguras. A certificação digital é capaz de atender a essa necessidade.

Então, em essência, o que é certificação digital? Certificação digital é um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam realizadas considerando os aspectos da integridade, autenticidade e confidencialidade, de forma a evitar que adulterações, interceptações de informações privadas ou outros tipos de ações indevidas ocorram.

Ilustração - segurança digital


Como a certificação digital funciona?

A certificação digital funciona com base em um documento eletrônico chamado certificado digital. Mas, para entender a função desse recurso, convém estudarmos antes outro conceito: a assinatura digital.

O que é Assinatura digital?

Imagine que você está viajando a negócios e precisa enviar documentos sigilosos à matriz da empresa. Dada a distância, o jeito mais rápido de fazer isso é utilizando a internet: em questão de segundos os documentos chegam ao destino.

Agora pense o seguinte: se você optasse por enviar os documentos de modo impresso, certamente assinaria esses papéis à caneta para comprovar a autenticidade e reforçar a sua responsabilidade sobre eles, certo? Além disso, você provavelmente utilizaria um serviço de entrega seguro e instruiria o entregador a deixar os documentos apenas com pessoas autorizadas.

Mas você está longe e deve entregar esses documentos pela internet. Como colocar em prática as medidas para atestar autenticidade e responsabilidade sobre esses documentos se tudo o que você tem são arquivos eletrônicos?

Digitalizar a sua assinatura por meio de um scanner não é uma boa ideia, afinal, qualquer pessoa pode alterá-la em softwares de edição de imagem. Enviar os documentos sem nenhum tipo de proteção via e-mail também é arriscado, pois pessoas com bastante conhecimento sobre meios de transmissão podem interceptá-los sem você perceber. O jeito é utilizar uma assinatura digital.

A assinatura digital nada mais é do que um mecanismo eletrônico que faz uso de criptografia, mais precisamente, de chaves criptográficas. Explicando de maneira resumida, a criptografia consiste em um processo que codifica (ou cifra) informações digitais de forma que somente o emissor e o receptor possam acessar os dados presentes ali. Você pode saber mais sobre criptografia aqui mesmo no InfoWester.

Criptografia
Criptografia

Chaves criptográficas — públicas e privadas

Chaves criptográficas são, em poucas palavras, um conjunto de bits baseado em um algoritmo que possui regras bem determinadas para cifrar e decifrar informações. Pode-se usar chaves simétricas ou chaves assimétricas — estas últimas são mais conhecidas como chaves públicas.

Chaves simétricas são mais simples, pois com elas o emissor e o receptor utilizam a mesma chave para, respectivamente, cifrar e decifrar a informação protegida.

O modo assimétrico, por sua vez, trabalha com duas chaves: a chave privada e a chave pública. Ambas são geradas de forma conjunta, portanto, uma está diretamente associada à outra.

Para compreender o modo assimétrico, suponha que você tenha essas chaves. É necessário disponibilizar uma delas para que pessoas, empresas e outras organizações enviem informações sigilosas a você. Essa é a chave pública. A segunda chave, a privada, deve ser usada para que você decifre os dados e tenha acesso às informações que te enviaram com a chave pública. A chave privada é, consequentemente, sigilosa e individual.

Chaves pública e privada
Chaves pública e privada

Confidencialidade e autenticidade

Esse esquema de chaves considera dois aspectos importantes: confidencialidade e autenticidade. O primeiro consiste em fazer a informação estar acessível somente a pessoas ou organizações autorizadas; o segundo, em assegurar ao receptor que a informação provém da origem e forma esperadas.

No que se refere à confidencialidade, é necessário que o emissor tenha a chave pública do destinatário. Por meio de algoritmos apropriados, o documento é então cifrado de acordo com essa chave pública. A partir daí, o receptor usa a correspondente chave privada para a decifragem e consequente obtenção da informação.

Repare, porém, que qualquer pessoa que possuir a chave pública pode emitir a informação. Como então saber que esta vem, de fato, de determinada origem? Para isso, ou seja, para dar segmento ao aspecto da autenticidade, é necessário o uso de um procedimento ligeiramente semelhante: o emissor também faz uso da sua chave privada para cifrar a informação.

Com base nisso, o receptor deverá utilizar a chave pública do emissor para a decifragem. Perceba que, com isso, o destinatário terá certeza de que a informação que chegou a ele vem da origem esperada, pois somente esta possui a chave privada que cifrou o conteúdo.

Integridade

É só isso que precisamos para ter a assinatura digital? Não. É necessário considerar ainda o uso do que é conhecido como função de hash, que serve para o aspecto da integridade. Em poucas palavras, esse recurso é um procedimento criptográfico pelo qual deve passar a informação a ser transmitida. O resultado obtido é um código único chamado de resumo ou hash. O código gerado para aquela informação é sempre o mesmo, independente do volume de dados tratado.

A assinatura digital consiste então no uso da função de hash junto ao documento a ser transmitido e na aplicação do esquema de chaves. No processo de conferência, deve-se calcular o hash e efetuar a decifragem com a chave pública do emissor. Se houver alterações na informação, por menores que sejam, essas mudanças farão o hash ser diferente. Daí as partes envolvidas saberão que o documento pode, por exemplo, ter sido adulterado.

O que é Certificado Digital?

Agora que você já sabe o que é assinatura digital, fica mais fácil compreender o conceito de certificado digital. Basicamente, trata-se de um documento eletrônico com assinatura digital que contém dados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituição, etc.), entidade emissora (você saberá mais sobre isso adiante), prazo de validade e chave pública. Com o certificado digital, a parte interessada obtém a certeza de estar se relacionando com a pessoa ou entidade esperada.

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa a sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras com o seu banco.

Se essa pessoa clicar no ícone correspondente no navegador de internet, poderá obter mais detalhes sobre o certificado. Se houver algum problema aí — o prazo de validade do certificado venceu, por exemplo —, o navegador alertará o usuário e, dependendo da aplicação, impedirá transações até que tudo seja resolvido.

Certificado digital no site de um banco
Certificado digital no site de um banco

É válido frisar que a transmissão de certificados digitais deve ser feita por meio de conexões seguras, como as que usam o protocolo Secure Socket Layer (SSL) — este é próprio para envio e recepção de informações criptografadas.


Obtendo certificados digitais

Para que possa ser aceito e utilizado por pessoas, empresas, governos e qualquer tipo de instituição, os certificados digitais precisam ser emitidos por entidades apropriadas. No Brasil, essas entidades se dividem em duas categorias: Autoridade Certificadora (AC) e Autoridade de Registro (AR).

Uma AC pode ser pública ou privada e tem a função de associar uma identidade a uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem a sua identificação. Já uma AR tem uma função intermediária: ela pode solicitar certificados digitais ou a revogação destes a uma AC, por exemplo, mas não pode emitir esse documento diretamente.

É conveniente que cada nação conte com uma Infraestrutura de Chaves Públicas (ICP) ou, em inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça benefícios reais. O Brasil conta com a ICP-Brasil para essa finalidade.

A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves das ACs e que regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da Informação (ITI). A ICP-Brasil tem várias ACs credenciadas (uma lista atualizada pode ser obtida no site oficial):

  • Serpro (Serviço Federal de Processamento de Dados);
  • Caixa Econômica Federal;
  • Serasa Experian;
  • Receita Federal do Brasil;
  • Certisign;
  • Imprensa Oficial do Estado de São Paulo;
  • AC-JUS (Autoridade Certificadora da Justiça);
  • ACPR (Autoridade Certificadora da Presidência da República);
  • Casa da Moeda do Brasil;
  • Valid Certificadora Digital;
  • Soluti Certificação Digital;
  • AC Digital Sign;
  • AC Boa Vista SCPC;
  • MRE (Ministério das Relações Exteriores).

São essas instituições que devem ser procuradas para emissão de certificados digitais legalmente reconhecidos no Brasil. Note que cada uma delas pode ter critérios distintos para a emissão dos documentos, o que resulta inclusive em custos diferentes. Portanto, é importante à pessoa ou entidade interessada saber qual AC é mais adequada às suas atividades.

Estrutura da ICP-Brasil
Estrutura da ICP-Brasil

Note ainda que, normalmente, essas entidades têm ARs (relembrando, Autoridades de Registro) credenciadas a elas. Obviamente, essas ARs podem ser procuradas para obtenção ou revogação de certificados.


Tipos de certificados da ICP-Brasil

A ICP-Brasil trabalha, essencialmente, com duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4.

Os certificados da categoria A costumam ser usados para fins de identificação e autenticação. Você pode usá-los para assinar documentos ou validar transações eletrônicas, por exemplo. Já a categoria S é direcionada a atividades sigilosas, como a proteção de arquivos confidenciais.

Eis as principais características que tornam as versões de ambas as categorias diferentes entre si:

- A1 e S1: geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo como HDs e pendrive; validade máxima de um ano;

- A2 e S2: geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token USB (dispositivo semelhante a um pendrive); validade máxima de dois anos;

- A3 e S3: geração das chaves feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token USB; validade máxima de cinco anos;

- A4 e S4: geração das chaves feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token USB; validade máxima de seis anos.

Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro tipo é geralmente armazenado no computador do solicitante (via de regra, é integrado ao navegador de internet), enquanto que o segundo é armazenado em cartões inteligentes (smartcards) ou tokens protegidos por senha.

Convém mencionar ainda os certificados do tipo T. Essa categoria descreve certificados de tempo (timestamp), que atestam a hora e a data em que um documento foi assinando digitalmente, além de confirmar a identidade do emissor.

Certificados de tempo, também chamados de Carimbo do Tempo, devem ser emitidos por uma Autoridade Certificadora do Tempo (ACT), de acordo com as normas da ICP-Brasil. Entre elas estão a Caixa Econômica Federal e a Valid Certificadora Digital.

Validade

Você já percebeu que os certificados têm prazo de validade. Eles não são como documentos convencionais (RG e CNPJ, por exemplo) que, depois de emitidos, podem ser usados indefinidamente. Depois da expiração, deve-se solicitar a renovação (há custos para isso, tal como na primeira emissão).

É possível, entretanto, revogar (cancelar) os certificados antes do fim da validade a qualquer momento. Basta que a solicitação seja encaminhada à AC responsável. Esse pedido deve ser feito, por exemplo, quando houver suspeita de fraude com o uso do certificado.

Não é possível fazer assinaturas com um certificado expirado ou revogado, obviamente, mas as assinaturas realizadas dentro do prazo máximo continuam valendo, podendo ser conferidas a qualquer instante.


e-CPF e e-CNPJ

Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física).

Já o e-CNPJ é um certificado digital que se destina a empresas e instituições, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, muitos dos quais até então disponíveis apenas em postos de atendimento da instituição. Pode-se, por exemplo, transmitir declarações de imposto de renda de maneira mais segura, consultar detalhes dessas declarações, pesquisar situação fiscal, corrigir erros de pagamentos, entre outros.

No caso do e-CNPJ, os benefícios são semelhantes, com os certificados também podendo ser úteis para validar transações entre pessoas jurídicas.

O e-CPF e o e-CNPJ estão disponíveis nos tipos A1 e A3. As imagens abaixo, obtidas no site da Receita Federal, mostram modelos dos cartões inteligentes (tipo A3) para esses certificados:

e-CPF e e-CNPJ
e-CPF e e-CNPJ

É importante destacar que o e-CPF e o e-CNPJ não são gratuitos. Sua aquisição deve ser feita em entidades conveniadas à Receita Federal, como Certisign e Serasa. Os preços não são padronizados, variando de acordo com a instituição fornecedora e o tipo de certificado (A1 ou A3).


NF-e

A Nota Fiscal Eletrônica (NF-e) é um tipo de documento fiscal em formato digital que serve para registrar a transferência de propriedade de um bem ou serviço comercial prestado a empresas e pessoas físicas. Facilita a compreensão se interpretarmos a NF-e como uma versão eletrônica da tradicional Nota Fiscal (em papel), como o próprio nome aponta.

Desde de 2007, a Nota Fiscal Eletrônica é parte do chamado Sistema Público de Escrituração Digital (SPED) e, com efeito, é de uso obrigatório no Brasil. Por conta disso, a NF-e tem validade fiscal e jurídica. Essa validade é garantida por assinatura digital, o que significa que esse tipo de documento também faz uso da certificação digital.

Em conjunto com a NF-e costuma haver a Nota Fiscal de Consumidor Eletrônica (NFC-e), um tipo de documento igualmente emitido e armazenado eletronicamente que visa documentar a operação comercial associada. A NFC-e substitui documentos como o cupom fiscal emitido no caixa das lojas.

Assim como o e-CPF e o e-CNPJ, os certificados digitais próprios para NF-e devem ser adquiridos em entidades autorizadas, como Certisign e Serasa.


Certificado de Atributo

Um conceito bastante associado à certificação digital é o que se conhece como Certificado de Atributo. Esse tipo de recurso é baseado em certificados digitais que seguem um padrão técnico conhecido como X.509.

O certificado de atributo atende a propósitos de autorização. Uma empresa pode usá-los para permitir que determinados funcionários acessem sistemas ou documentos sigilosos, por exemplo. Para tantos, os certificados digitais desses funcionários devem receber um campo ou um conjunto de informações — o atributo em si — que os credenciam para essa forma de acesso.

Quando o usuário deixa de possuir esse atributo, o seu acesso é então revogado. Isso pode acontecer se o funcionário for demitido ou transferido para outro setor, só para exemplificar. Note, porém, que a perda do atributo não faz, necessariamente, o certificado digital desse usuário ser cancelado. Essa é uma das principais vantagens dos certificados de atributos.

No Brasil, os certificados de atributos compatíveis com a estrutura da ICP-Brasil devem ser emitidos por uma Entidade Emissora de Certificado de Atributo (EEA).

Para saber mais sobre certificação digital:

- Livro: Certificados Digitais - Conceitos e Práticas

- Livro: Certificação Digital ICP-Brasil


Finalizando

Antes do encerramento deste texto, uma observação: você viu aqui que é graças à ICP-Brasil que as certificações digitais no país são amplamente aceitas e utilizadas, especialmente do ponto de vista legal. No entanto, é válido frisar que qualquer instituição pode criar sua própria ICP, independente de seu porte.

Por exemplo, se uma empresa criou uma política de uso de certificados digitais unicamente para a troca de informações entre a matriz e suas filiais, não necessita solicitar tais certificados a uma AC controlada pela ICP-Brasil. A própria companhia pode criar sua ICP e fazer, por exemplo, um departamento das filiais atuar como AC ou AR, solicitando ou emitindo certificados para os funcionários.

Se você quiser conhecer mais detalhes sobre certificação digital no Brasil, acesse o site do ITI. No endereço é possível acessar documentos sobre legislação, procedimentos, resoluções, entre outros, assim como obter notícias e orientações sobre o assunto.

Publicado em 30_04_2009 / Atualizado em 21_03_2016

Emerson Alecrim Autor: Emerson Alecrim
Graduado em ciência da computação, produz conteúdo sobre tecnologia desde 2001. É aficionado por TI, comunicação, ciência e cultura geek.
TwitterInstagramFlickrLinkedIn