Certificação Digital: o que é e para que serve?

Introdução

Há tempos que a sociedade usa assinaturas à caneta, carimbos e selos para comprovar a autenticidade de documentos, expressar concordância ou declarar responsabilidade. Hoje, muitas dessas ações podem ser feitas via internet. Mas, como garantir autenticidade, expressar concordância ou declarar responsabilidade em meios online? Com a certificação digital.

Esse tipo de recurso vem sendo usado por governos, empresas de todos os portes e outras instituições para assegurar validade jurídica, autenticidade e integridade a transações realizadas pela internet. Como a certificação digital permite isso? Em quais situações usá-la? Qual a sua relação com conceitos como assinatura digital? É o que você descobrirá nas próximas linhas.

Se quiser, acesse diretamente o tópico do seu interesse nos links abaixo:

- Para que serve a certificação digital?
- Como a certificação digital funciona?
. O que é assinatura digital?
. Chaves criptográficas públicas e privadas
. Confidencialidade e autenticidade
. Integridade da assinatura digital
- O que é certificado digital?
- ICP-Brasil: obtendo certificados digitais
- Tipos de certificados da ICP-Brasil
. Validade dos certificados digitais
- O que é e-CPF e e-CNPJ?
- O que é Nota Fiscal Eletrônica (NF-e)?
- O que é certificado de atributo?

Para que serve a certificação digital?

A internet permite que indivíduos, empresas, governos e outras instituições realizem uma série de procedimentos e transações eletrônicas de maneira rápida e precisa. Com isso, é possível fechar negócios, emitir ou receber documentos, acessar ou disponibilizar informações sigilosas, diminuir processos burocráticos, entre outros, tudo de modo online.

No entanto, da mesma forma que os meios eletrônicos oferecem recursos para tudo isso e mais um pouco, eles podem ser usados para fraudes, o que significa que as transações, quando realizadas por vias eletrônicas, precisam ser confiáveis e seguras. A certificação digital é capaz de atender a essa necessidade.

Mas o que é certificação digital? Trata-se de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam realizadas considerando os aspectos da integridade, autenticidade e confidencialidade, de modo a evitar que adulterações, interceptações de informações ou outros tipos de ações indevidas ocorram.

Certificação digital (imagem ilustrativa por Yuri Samoilov/Flickr)

Como a certificação digital funciona?

A certificação digital funciona com base em um documento eletrônico chamado certificado digital. Mas, para entender a função desse recurso, convém estudarmos outro conceito antes: a assinatura digital.

O que é assinatura digital?

Imagine que você está viajando a trabalho e precisa enviar documentos sigilosos à matriz da empresa. Dada a distância, o jeito mais rápido de fazer isso é utilizando a internet: em questão de segundos os documentos chegam ao destino.

Agora, pense: se você optasse por enviar os documentos de modo impresso, certamente assinaria esses papéis à caneta para comprovar a autenticidade e reforçar a sua responsabilidade sobre eles, certo? Além disso, você provavelmente utilizaria um serviço de entrega seguro e instruiria o entregador a deixar os documentos apenas com pessoas autorizadas.

Mas você está longe e deve entregar esses documentos pela internet. Como colocar em prática as medidas para atestar autenticidade e responsabilidade sobre esses documentos se tudo o que você tem são arquivos eletrônicos?

Digitalizar a sua assinatura por meio de um scanner ou foto não é uma boa ideia, afinal, qualquer pessoa pode alterá-la em softwares de edição de imagem. Enviar os documentos sem nenhum tipo de proteção via e-mail também é arriscado, pois pessoas com conhecimento avançado sobre meios de transmissão podem interceptá-los sem você perceber. O jeito é utilizar uma assinatura digital.

A assinatura digital é um mecanismo eletrônico que faz uso de criptografia, mais precisamente, de chaves criptográficas. Explicando de maneira resumida, a criptografia consiste em um processo que codifica (ou cifra) informações digitais de forma que somente o emissor e o receptor possam acessar os dados presentes ali. Você pode saber mais sobre criptografia aqui no Infowester.

Criptografia

Chaves criptográficas públicas e privadas

Chaves criptográficas são um conjunto de bits baseado em um algoritmo que possui regras bem determinadas para cifrar e decifrar informações. Pode-se usar chaves simétricas ou chaves assimétricas — estas últimas são mais conhecidas como chaves públicas.

Chaves simétricas são mais simples. Com elas, o emissor e o receptor utilizam a mesma chave para, respectivamente, cifrar e decifrar a informação protegida.

O modo assimétrico, por sua vez, trabalha com duas chaves: a chave privada e a chave pública. Ambas são geradas de forma conjunta, portanto, uma está diretamente associada à outra.

Para compreender o modo assimétrico, suponha que você tenha essas chaves. É necessário disponibilizar uma delas para que pessoas, empresas e outras organizações enviem informações sigilosas a você. Essa é a chave pública.

A segunda chave, a privada, deve ser usada para que você decifre os dados e tenha acesso às informações que te enviaram com a chave pública. A chave privada é, consequentemente, sigilosa e individual.

Chaves pública e privada

Confidencialidade e autenticidade

O esquema de chaves na certificação digital considera dois aspectos importantes: confidencialidade e autenticidade. O primeiro consiste em tornar a informação acessível somente a pessoas ou organizações autorizadas; o segundo, em assegurar ao receptor que a informação provém da origem e forma esperadas.

No aspecto da confidencialidade, é necessário que o emissor tenha a chave pública do destinatário. Por meio de algoritmos apropriados, o documento é então cifrado de acordo com essa chave. A partir daí, o receptor usa a correspondente chave privada para a decifragem e consequente obtenção da informação.

Repare, porém, que qualquer pessoa que possuir a chave pública pode emitir a informação. Então, como saber que esta vem de determinada origem? Para isso, ou seja, para dar segmento ao aspecto da autenticidade, é necessário que o emissor também faça uso de sua chave privada para cifrar a informação.

Com base nisso, o receptor deve utilizar a chave pública do emissor para a decifragem. Perceba que, com isso, o destinatário terá certeza de que a informação que chegou a ele vem da origem esperada, pois somente esta possui a chave privada que cifrou o conteúdo.

Integridade da assinatura digital

O conceito de assinatura digital também considera o uso do que é conhecido como função de hash, que serve para o aspecto da integridade. Trata-se de um procedimento criptográfico pelo qual a informação a ser transmitida deve passar. O resultado é um código único chamado de resumo ou hash. O código gerado para aquela informação é sempre o mesmo, independente do volume de dados tratado.

A assinatura digital consiste, então, no uso da função de hash junto ao documento a ser transmitido, e na aplicação do esquema de chaves. No processo de conferência, deve-se calcular o hash e efetuar a decifragem com a chave pública do emissor. Se houver alterações na informação, por menores que sejam, essas mudanças farão o hash ser diferente. Assim, as partes envolvidas saberão que o documento foi adulterado.

O que é certificado digital?

Agora que você já sabe o que é assinatura digital, fica mais fácil compreender o conceito de certificado digital: trata-se de um documento eletrônico com assinatura digital que contém dados como nome do utilizador (que pode ser uma pessoa física ou uma organização), entidade emissora (você já saberá mais sobre isso), prazo de validade e chave pública.

Com o certificado digital, a parte interessada obtém a certeza de estar se relacionando com a pessoa ou entidade esperada.

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa a sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras legítimas com o seu banco.

Na internet, a transmissão de certificados digitais deve ser feita por meio de conexões seguras, como as que usam o Secure Socket Layer (SSL), protocolo próprio para envio e recepção de informações criptografadas.

ICP-Brasil: obtendo certificados digitais

Para que possa ser aceito e utilizado por pessoas, empresas, governos e qualquer tipo de instituição, os certificados digitais precisam ser emitidos por entidades apropriadas. No Brasil, essas entidades se dividem em duas categorias: Autoridade Certificadora (AC) e Autoridade de Registro (AR).

Uma AC pode ser pública ou privada, e tem a função de associar uma identidade a uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem a sua identificação.

Já uma AR tem uma função intermediária: ela pode solicitar certificados digitais ou a revogação destes a uma AC, mas não pode emitir esse documento diretamente. Uma AR está sempre vinculada a uma AC.

É conveniente que cada país conte com uma Infraestrutura de Chaves Públicas (ICP) ou, em inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça benefícios reais. O Brasil conta com a ICP-Brasil para essa finalidade.

A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves das ACs e que regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da Informação (ITI).

A ICP-Brasil tem várias ACs credenciadas (a lista completa pode ser obtida no site oficial), entre elas:

Serpro
Serasa Experian
Receita Federal do Brasil
Certisign
Prodesp
AC-JUS (Autoridade Certificadora da Justiça)
Valid Certificadora Digital
Soluti Certificação Digital
DigitalSign
Ministério da Defesa
Safeweb

São essas instituições que devem ser procuradas para emissão de certificados digitais legalmente reconhecidos no Brasil. Note que cada uma delas pode ter critérios distintos para a emissão dos documentos, o que resulta inclusive em custos diferentes.

Note ainda que, frequentemente, essas entidades têm ARs (relembrando, Autoridades de Registro) credenciadas a elas. Como tal, essas ARs também podem ser procuradas para obtenção ou revogação de certificados.

Estrutura da ICP-Brasil no site do ITI

Tipos de certificados da ICP-Brasil

A ICP-Brasil trabalha com duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos principais: A1, A2, A3 e A4; S1, S2, S3 e S4.

Os certificados da categoria A costumam ser usados para fins de identificação e autenticação. Você pode usá-los para assinar documentos ou validar transações eletrônicas, por exemplo. Já a categoria S é direcionada a atividades sigilosas, como proteção de arquivos confidenciais.

Eis as principais características que tornam as versões de ambas as categorias diferentes entre si:

- A1 e S1: geração das chaves feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo como HDs e pendrives; validade máxima de um ano;

- A2 e S2: geração das chaves feita por software; chaves de tamanho mínimo de 1.024 bits; armazenamento em cartão inteligente (com chip) ou token USB (dispositivo semelhante a um pendrive); validade máxima de dois anos;

- A3 e S3: geração das chaves feita por hardware; chaves de tamanho mínimo de 1.024 bits; armazenamento em cartão inteligente ou token USB; validade máxima de cinco anos, mas geralmente não passa de três anos;

- A4 e S4: geração das chaves feita por hardware; chaves de tamanho mínimo de 2.048 bits; armazenamento em cartão inteligente ou token USB; validade máxima de seis anos.

Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro tipo é geralmente armazenado no computador do solicitante (via de regra, é integrado ao navegador de internet), enquanto o segundo é armazenado em cartões inteligentes (smartcards) ou tokens protegidos por senha.

Convém mencionar ainda os certificados do tipo T. Essa categoria descreve certificados de tempo (timestamp), que atestam a hora e a data em que um documento foi assinando digitalmente, além de confirmar a identidade do emissor.

Certificados de tempo, também chamados de Carimbo do Tempo, devem ser emitidos por uma Autoridade Certificadora do Tempo (ACT), de acordo com as normas da ICP-Brasil.

Validade dos certificados digitais

Você já percebeu que os certificados têm prazo de validade. Depois da expiração, deve-se solicitar a renovação ou emissão de novos certificados (há custos para isso, tal como na primeira emissão).

É possível, entretanto, revogar (cancelar) os certificados antes do fim da validade. Basta que a solicitação seja encaminhada à AC responsável. Esse pedido deve ser feito, por exemplo, quando houver suspeita de fraude com o uso do certificado.

Não é possível fazer assinaturas com um certificado expirado ou revogado, obviamente, mas as assinaturas realizadas dentro do prazo máximo continuam valendo, podendo ser conferidas a qualquer momento.

O que é e-CPF e e-CNPJ?

Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física).

Já o e-CNPJ é um certificado digital que se destina a empresas e organizações, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, muitos dos quais só estavam disponíveis em postos de atendimento presencial da instituição.

Pode-se, por exemplo, transmitir declarações de imposto de renda de maneira mais segura, consultar detalhes dessas declarações, pesquisar situação fiscal, corrigir erros de pagamentos de tributos, entre outros.

No caso do e-CNPJ, os benefícios são semelhantes, com os certificados também podendo ser úteis para validar transações entre pessoas jurídicas.

O e-CPF e o e-CNPJ estão disponíveis nos tipos A1 e A3. As imagens abaixo, obtidas no site da Receita Federal, mostram modelos dos cartões inteligentes (tipo A3) para esses certificados:

e-CPF e e-CNPJ

É importante destacar que o e-CPF e o e-CNPJ não são gratuitos. Sua aquisição deve ser feita em entidades conveniadas à Receita Federal, como Certisign e Serasa. Os preços não são padronizados, variando de acordo com a instituição fornecedora e o tipo de certificado (A1 ou A3).

O que é Nota Fiscal Eletrônica (NF-e)?

A Nota Fiscal Eletrônica (NF-e) é um tipo de documento fiscal em formato digital que serve para registrar a transferência de propriedade de um bem ou serviço comercial prestado a empresas e pessoas físicas. Facilita a compreensão se interpretarmos a NF-e como uma versão eletrônica da tradicional Nota Fiscal (em papel), como o próprio nome aponta.

Desde de 2007, a Nota Fiscal Eletrônica é parte do chamado Sistema Público de Escrituração Digital (SPED) e, com efeito, é de uso obrigatório no Brasil. Por conta disso, a NF-e tem validade fiscal e jurídica. Essa validade é garantida por assinatura digital, o que significa que esse tipo de documento também faz uso da certificação digital.

Em conjunto com a NF-e costuma estar a Nota Fiscal de Consumidor Eletrônica (NFC-e), um tipo de documento igualmente emitido e armazenado eletronicamente que visa documentar a operação comercial associada. A NFC-e substitui documentos como o cupom fiscal emitido no caixa das lojas.

Assim como o e-CPF e o e-CNPJ, os certificados digitais próprios para NF-e devem ser adquiridos em entidades autorizadas, como Certisign e Serasa.

O que é certificado de atributo?

Um conceito bastante associado à certificação digital é o de Certificado de Atributo. Esse tipo de recurso é baseado em certificados digitais que seguem um padrão técnico conhecido como X.509.

O certificado de atributo atende a propósitos de autorização. Uma empresa pode usá-lo para permitir que determinados funcionários acessem sistemas ou documentos sigilosos, por exemplo. Para tanto, os certificados digitais desses funcionários devem receber um campo ou um conjunto de informações — o atributo em si — que os credenciam para essa forma de acesso.

Quando o usuário deixa de possuir esse atributo, o seu acesso é revogado. Isso pode acontecer se o funcionário for demitido ou transferido para outro setor, só para exemplificar.

Note, porém, que a perda do atributo nem sempre faz o certificado digital desse usuário ser cancelado. Essa é uma das principais vantagens dos certificados de atributos.

No Brasil, os certificados de atributos compatíveis com a estrutura da ICP-Brasil devem ser emitidos por uma Entidade Emissora de Atributo (EEA).

Conclusão

Antes do encerramento deste texto, uma observação: você viu aqui que é graças à ICP-Brasil que as certificações digitais no país são amplamente aceitas e utilizadas, especialmente do ponto de vista legal. No entanto, é válido frisar que qualquer instituição pode criar sua própria ICP, independentemente de seu porte.

Por exemplo, se uma empresa criou uma política de uso de certificados digitais unicamente para a troca de informações entre a matriz e filiais, ela não precis solicitar esses certificados a uma AC controlada pela ICP-Brasil. A própria companhia pode criar sua ICP e fazer um departamento atuar como AC ou AR, solicitando ou emitindo certificados para os funcionários.

Se você quiser conhecer mais detalhes sobre certificação digital no Brasil, acesse o site do ITI. Você encontra ali documentos sobre legislação, procedimentos, resoluções e notícias sobre o assunto.

Publicado em 30_04_2009. Atualizado em 16_11_2023.

Autor: Emerson Alecrim
Graduado em ciência da computação, tem experiência profissional em TI e produz conteúdo sobre tecnologia desde 2001. É especializado em temas como hardware, sistema operacionais, dispositivos móveis, internet e negócios.
Principais redes sociais: • X/Twitter • LinkedIn