Académique Documents
Professionnel Documents
Culture Documents
_L_iQ4
Func:
A/Z
PROJETO SREI
Ttulo
Verso
Data da liberao
18/01/2012
Classificao
LSI-TEC:Restrito
Autores
Volnys Bernal
Propriedade
LSI-TEC
Restries de acesso
LSI-TEC, CNJeARISP
_-=
A/2^17
Sumrio
1
INTRODUO
ESPECIFICAO CADES
3.1
Padro CMS
3.2
10
3.3
11
3.3.1
-/2
3.3.2
13
3.3.3
14
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
15
76
17
18
20
21
3.3.10
Archival Electronic Signature (CAdES-A)
3.4
Concluso
ESPECIFICAO XADES
4.1
25
25
4.1.1
26
4.1.2
Visogeral da assinatura
27
4.2
22
23
Especificao XAdES
28
4.2.1
31
4.2.2
XAdES-BES
32
4.2.3
XAdES-EPES
33
4.2.4
XAdES-T
33
4.2.5
XAdES-C
34
4.2.6
XAdES-X.
35
4.2.7
XAdES-X-L
36
4.2.8
XAdES-A
37
ESPECIFICAO PADES
39
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
2/59
;.esso: WJ&
Folha:
Mm
Processo:
Func:
^OSlJTEE
____-
vw.v
5.1
5.1.1
Assinatura de aprovao
39
5.1.2
Assinatura de certificao
39
5.1.3
40
5.2
39
40
5.2.1
PAdES Basic
41
5.2.2
PAdES Enhanced
44
5.2.3
45
NORMALIZAO DA ICP-BRASIL
48
6.1
48
6.2
48
6.2.1
49
6.2.2
49
6.2.3
50
6.2.4
51
6.2.5
51
6.3
Compromissos de assinatura
52
CERTIFICADO DE ATRIBUTO
55
REFERNCIAS
57
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
3/59
LWtJ
Laboratrio de Sistemas Integrveis Tecnolgico
Introduo
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
4/59
Processo
_OT
50
..... rx_;
FoJha:
[Func:
A/MZ7
'..';:'.
[8][9][10][11][13], XML DSIG [14][15] e PDF [16]) diretiva CE 1999/93 que trata da
assinatura eletrnica avanada {Advanced Electronic Signature - AdES) [17] no
mbito da Comunidade Europia (CE).
especificao
Advanced
Electronic
Signature
(PAdES)
[3][4][5][6[7],
apresentadas no Quadro 1.
Descrio
CAdES
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC: Restrito
5/59
AZMZ7
Isile
time-stamp), para
Os objetos de revogao;
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
6/59
A/20Z7
'
....:
W.WY.Isi'..
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
7/59
Af^I7
W.V..
3 Especificao CAdES
A especificao CMS Advanced Electronic Signature (CAdES) [1] define diversos
modelos estruturais para representao de um objeto assinado, suas assinaturas e
3.1
Padro CMS
Entidade
Ano
RSA
19993
IETF
1998
IETF
1999
Segunda verso.
IETF
2002
Terceira verso.
IETF
2004
Quarta verso.
IETF
2009
Documento
Verso original.
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
8/59
[Processo
3S3!E
AZZ0Z7
www.isiiec oia.br
Contente
type
] Atributos |
ino assinadosJ
i (opcional)
Message
digest
1 Certificado
Contedo
1 signatrio
Assinatura
Outros
j atributos
Digital
J assinados
! (opcional) j
Atributos
Atributos no
assinados
assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
13/59
A/2^Z7
ic.orq.b
CAdES-EPES j
Contente
type
Message
digest
(opcional)
Certificado
Assinatura
signatrio
Contedo
Atributos
noassinados j
Digital
Signature
PolicylD
>
Outros
; atributos
assinados
! (opcional) j
Atributos
Atributos no
assinados
assinados
CAdES-BES
ou
CAdES-EPES
Contente
Carimbo de
type
tempo de
assinatura
Message
digest
Certificado
Contedo
Assinatura
signatrio
Digital
! Signature !
j PolicylD j
Outros
Outros
atributos
j atributos !
no assinados
{ assinados
(opcional)
! (opcional) >
Atributos
Atributos no
assinados
assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
14/59
sr-aam-i MKWB"|
&so:J^LX4' Jha:
f
h
11- une:
A/2OT
Contedo separado
(attached)
(detached)
CMS SignedData
Contedo
eContent
Contedo
CMS SignedData
eContent
Assinaturas
Assinaturas
(Signerlnfos)
(Signerlnfos)
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
11/59
amn
|.|a
validao
Com
dados de
validao
(CAdES-X)
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
12/59
f^f
Func:
AZMZ7
W.v.\
O padro CMS define estruturas para vrios tipos de documentos. O tipo CMS
SignedData voltado especificamente para a organizao de dados relacionados
assinatura digital. Ele possibilita incluir ou referenciar:
contendo trs signatrios, cada qual com seu respectivo tipo Signerlnfo.
contentTypa
id-signedData
Contentlnfo
digeslAigorithms
-CMS SignedData
encapContentlnfo
eContentType Id-data
-EncapsulatedContentlnfo
eContent
-Contedo
certificales
signerlnfos
Signerlnfo
-Assinatura signatrio #1
Signerlnfo
-Assinatura signatrio #2
Signerlnfo
-Assinatura signatrio #3
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
9/59
umu
laboratrio de Sistemas Integrveis Tecnolgico
www.is.fle
ignerlnfos
version
Signerlnfo
sid
digestAlgcrithm
signedAttrs
| attrType
Attribute
| attrValues
I attrType
Attribute
| attrValues
signatureAlgorithm
signature
u
nsignedAttrs
| attrType
[ attrValues
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
10/59
Prncraso: WJRl
Folha:
ffi/2^17
Func:
^_^_
| p.5
E^
CAdES-X
CAdES-C
Type 1
CAdES-X Long
Type 1
CAdES-T
CAdES-BES
ou
CAdES-EPES
Contente
,.-''
type
,'
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
digest
Referncias
Certificado
signatrio
i-f
Contedo
completas
revogao
Assinatura
Digital
[ Referncias
Signature 1
PolicylD
Outros
J assinados
CAdES-C
certificados e
revogaes
atributo
Outros
Valores
completos de
jaos certific. de
[ atributos
Carimbo de
tempo sobre
| Referncias
atributos
no assinados
j (opcional) j
(opcional)
J revogao de
!
atributo
Atributos np assinados
Atributos assinados
Figura 13 - Modelo estrutural CAdES-X Long Type 1 (adaptado de ETSI TS 101 733
CAdES).
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
21 /59
,.'..' Isita
CAdES-X
CAdES-C
Type 2
CAdES-T
CAdES-BES
CAdES-X Long
Type 2
ou
CAdES-EPES
Contente
Carimbo de
type
Referncias
tempo de
completas aos
assinatura
certificados
Message
digest
Referncias
completas
Certificado
Contedo
Assinatura
signatrio
Carimbo de
Valores
tempo sobre
completos de
refs de certs e
certificados e
revs compls.
revogaes
revogao
Digital
' Referncias
Signature
[aos certific. de
PolicylD
atributo
Outros
Outros
jReferncias
no assinados |
| revogaode
atributos
atributos
assinados
(opcional)
(opcional)
Atributos assinados
atributo
Figura 14 - Modelo estrutural CAdES-X Long Type 2 (adaptado de ETSI TS 101 733
CAdES).
3.3.10
CAdES-C
CAdES-BES
CAdES-T
Type 1
Contente
Carimbo de
Referncias
type
tempo de
completas aos
assinatura
certificados
! Carimbo de i
Referncias
! tempo sobre ;
!refsde certse \
completas a
revs compls. I
digest
Certificado
signatrio
Contedo
Valores
revogao
Assinatura
Digital
Referncias
Signature
PolicylD
Outros
atributos
assinados
(opcional)
CAdES-A
Long
... Type 2
CAdES-EPES
Message
CAdES-X
ou
ou
i \y
CAdES-X
Carimbo de
atribulo
tempo sobre
Carimbo de
completos de
tempo de
certificados e
arquivamento
revogaes
CAdES-C
Outros
atributos
no assinados
Referncias
(opcional)
atributo
revogao de
; l*i
Atritjutos no assinadbs
Atributos assinados
,'
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
22/59
www.lsil
CAdES-X
CAdES-C
CAdES-BES
Type 2
CAdES-T
ou
CAdES-EPES
Contente
type
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
digest
Certificado
Contedo
signatrio
Referncias
completas a
revogao
Assinatura
| Referncias
Signature
PolicylD
Outros
atributos
assinados
(opcional)
Carimbo de
tempo sobre
Digital
[aos certific de
refs de certs e
revs compls
atributo
Outros
atributos
j Referncias
no assinados
J revogao de
(opcional)
Atributos assinados
atributo
Atributos no! assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC: Restrito
19/59
Mamn
jontentTvDe
iBignedPata
c
Contentlnfo
id-sianedData
ontent
1 -CM
1version
1version
SignedData
1rligestAlgorrlhms
encapContentlnfo
eContentType
"EncapsulatedContentlnf
eContentType
I id-dala
eContent
1riigpsIAIgorithms
encapContenlInfo
1id-dala
c ontent
eContent
certificates
certificates
crls
crts
signerlnfos
signerlnfos
/Signerlnfo
version
version
sid
sid
digestAlgorithm
Icontatena)
digestAlgorithm
signedAttrs
signedAttrs
1Attribute
1AttribMte
1
|
1AtWbMte
/Gera\
( cdigo j
V hash J
1 Attribute
1Attribute
1Attribute
i
|
signatureAlgorith
signatureAlgorith
Signature
Bfgnature
( Obtm \
unsignedAttrs
1 Atribule
V TST /
complete
1 certificaterefs
unsignedAttrs
Attribute
complete
complete
revpaon refs
/'Inclui\
( atributo )\
VVA
certificale refs
complete
revocation refs
rCAdcS-Gts ':
.certs-cVlsrrefs ',,
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
20/59
Processo: ^QsJ-L=Fc4ha:.__Z_S
Func:
laboratrio de Sistemas Integrveis Tecnolgica
W.V.-.
CAdES-X Long
CAdES-C
CAdES-T
CAdES-BES
ou
CAdES-EPES
Contente
Carimbo de
Referncias
type
tempo de
completas aos
assinatura
certificados
Message
digest
Referncias
completas
Certificado
signatrio
Contedo
Assinatura
Valores
Digital
completos de
' Referncias
! Signature !
Outros
atributos
certificados e
revogaes
;aos certific. de
; PolicylD 1
!
Outros
atributos
no assinados
; assinados !
(opcional)
! (opcional) |
atributo
;Referncias
j revogaode
I
atributo
Ajributos no assinajJos
Atributos assinados
Figura 9 - Modelo estrutural CAdES-X Long (adaptado de ETSI TS 101 733 CAdES).
modelo
de
estrutural
previne
algumas
situaes
catastrficas
de
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC: Restrito
17/59
'
CAdES-X
CAdES-C
Type 1
CAdES-T
CAdES-BES
ou
CAdES-EPES
Contente
,'*
type
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
digest
Referncias
completas
Certificado
revogao
Assinatura
signatrio
Contedo
| Referncias
Signature I
j atributos
!
i
j Referncias
no assinados
!revogao de
(opcional)
! (opcional) |
atnbuto
Outros
atributos
! assinados
CAdES-C
jaoscertific. de
j PolicylD !
Outros
Carimbo de
tempo sobre
Digital
atnbuto
Atributos np assinados
Atributos assinados
revogao. Isto possvel atravs do uso do atributo CAdES-c-time-stampcerts-crls-references, cujo hash envolve os atributos de referncia
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
18/59
H )
Func:
(S&ZZ0I7
ff^r
ontenlType
Contentlnfo
id-siqnedData
c
ontentType
id-siqnedData
antent
ontent
---CMS SignedData
| version
| version
I diqestAlqorithms
I diqestAlqorithms
encapContentlnfo
encapContentlnfo
eContentType
EncapsulatedContentlnfo
eContentType
| id-data
| id-data
eContent
eContent
certificates
certificates
crls
cris
signerlnfos
signerlnfos
version
version
rlnfo
sid
sid
digestAlgorithm
digestAlgorithm
signedAttrs
signedAttrs
| Attribute
I Attribute
| Attribute
| Attribute
f. Gera \
( cdigo ]
V hash J
I Attribute
| Attribute
signatureAlgorithm
signatureAlgorithm
signature
signature
unsignedAttrs
V TST /
I Attribute
| Attribute
I Attribute
/inclui \
( atributo j~ 'vv
\jomTSJ/
unsignedAttrs
I Attribute
| Attribute
| Attribute
-*t-Atfribule.;
s LCRs e respostas OCSP necessrias para sua validao. Isto obtido atravs do
uso
de
dois
certificate
atributos
referncias
completas
aos
certificados
(complete
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
15/59
revogation
..
CAdES-BES
ou
CAdES-EPES
Contenlc
type
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
digest
Referncias
completas
Certificado
revogao
Assinatura
signatrio
Digital
Contedo
Referncias
! Signature !
{aoscertific. de
j PolicylD ;
Outros
; atributos !
J assinados
! (opcional) ;
atributo
Outros
atributos
| Referncias
no assinados
] revogaode
(opcional)
Atributos
atributo
Atributos
io asfinados
assinados
necessrias para validao. Isto possvel atravs do uso dos atributos "valores dos
certificados" (certificate values) e "valores de revogao" (revocation
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
16/59
. i i '
o SigningCertificate -
Certificado de
assinatura:
Contm a
CounterSignature
Contra-assinatura:
Contm
uma
outra
Suporte
obrigatrio
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
31 /59
^amj
Extended
(XAdES-X)
Suporte
opcional
existncia da
signatrio"
(SigningCertificate).
XAdES-BES
Informao sobre
assinatura
] Informao
[sobre a chave!
! Id. do ccrtif.
! de assinatura
Contedo
Digital
Valor da
assinatura
Outras
Outras
propriedades
propriedades
no assinadas
assinadas
(opcional)
(opcional)
Propriedades
Propriedades
assinadas
no assinadas
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
32/59
|processo:^ Sifs2 -g ^
FcJha:
[Func:
HZZ0Z7
-^i^
vv.-Av.lsilec.orj.b
SignaturePolicyldentifier
Identificador
da
poltica
de
verificao da
assinatura.
processo de produo e
utilizada
clarificar
papel
CompleteRevocationRefs -
AttributeCertificateRefs -
Referncias
aos
certificados de
CertifcateValues
Valores
dos
certificados:
Contm
os
AttrAuthoritiesCertValues
autoridade de atributo:
Valores
dos
certificados
de
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
29/59
ZMZ7
-,.-.-.
:. .
SigAndRefsTimeStamp -
Carimbo do
tempo da assinatura e
SignatureValue
as
propriedades
xadesvl41: ArchiveTimeStamp
Carimbo
do
tempo
de
Utilizado
para
proteo contra
comprometimento
de
algoritmos criptogrficos;
Relacionadas validao de carimbo do tempo:
o
Ttulo
PROJETO SREI: ROJETO SREI: Assinatura
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
30/59
WWVV.tai i
Assinatura separada
(detached signature)
Assinatura cnvelopante
Assinatura envelopada
(enveloped signature)
(enveloping signature)
<signature>
<document>
<signature>
<signature>
<document>
</signature>
</document>
</signature>
</signature>
</docuirtent>
Objeto
Elemento
Objeto
de
de
de
assinatura
dados
Objeto
T"
de
dados
dados
Objeto
de
dados
Elemento
de
assinatura
Elemento
Elemento
de
de
assinatura
assinatura
representada
no
<SignatureMethod/>
(<Reference URI? >
(<Transforms>)?
<DigestMethod>
<DigestValue>
</Reference>)+
</SignedInfo>
<SignatureValue>
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
27/59
. . .
(<KeyInfo>)?
(<Object ID?>)*
</Signature>
Legenda:
?
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
28/59
Processo
Folha:
JFunc:
ffl/2^Z7
www.lsfle
Especificao XAdES
Entidade
Primeira verso
IETF e W3C
Ano
Observao
2002
[14]
Segunda verso
W3C
2008
[15]
Working
Group.
Ela
adiciona
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
25/59
(/Z^Z7
wv...
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
26/59
^^q
PrbcSO
Folha:
(Vi,.r
Func:
Laboratrio de Sistemas Integrveis Tecnolgico
' . org.bl
O campo encapContentlnfo;
onlentType
id-siqnedData
c
ontenlType
id-siqnedData
Contentlnfo
c ontent
ontent
I version
[ version
1diqestAlqorithms
1diaestAlQorithms
EncapsulatedContentlnfo
encapContentlnfo
encapContentlnfo
eContentType
eContentType
'
I id-data
1 id-data
eContent
eContent
r~
~~\
certificates
certificates
crls
crls
signerlnfos
signerlnfos
version
version
--Signerlnfo/.;
sid
sid
/ConcatenaJ
digestAlgorithm
digestAlgorithm
signedAttrs
signedAttrs
I Attribute
I Attribute
| Attribute
/
\ /
/**
( Gera \
cdigo J
\hash 7
I
i
1 Attribute
signatureAlgorithm
signatureAlgorithm
signature
signature
( Obtm A
unsignedAttrs
unsignedAttrs
\ TST /
LAttribute
| Attribute
| Attribute
I Attribute
I Attribute
1Attribute
I Attribute
-'
( IncluiN
( atributo r
WiTSjy
^s
[ Attribute
1
'lrchivQ-tme-starji >
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
23/59
...
Porm,
especificao
apresenta
alguns
problemas
em
relao
Para alguns atributos que podem possuir mais que um valor, no definido
de forma precisa se devem ser includos com no mesmo atributo (um atributo
com vrios valores) ou em um outro atributo no mesmo Signerlnfo;
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
24/59
f>Q .
Func:
mamn
tciboro'or/o df Sistemas Integrveis Ttycnalgico
'
4.2.3 XAdES-EPES
O modelo estrutural XAdES Explicit Policy-based Electronic Signatures (XAdESEPES) semelhante ao XAdES-BES, com a obrigatoriedade de informar a poltica
de assinatura (SignaturePolicyldentif ier).
Informao sobre
Informao !
XAdES-EPES
isobre a chave
assinatura
! Id. do certif.
! de assinatura
1Id. da polltca !
i de assinatura !
Contedo
Digital
Valor da
assinatura
Outras
Outras
propriedades
j propriedades |
j assinadas
(opcional)
no assinadas
(opcional)
Propriedades
Propriedades
assinadas
no assinadas
4.2.4 XAdES-T
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
33/59
om
laboratrio de Sistemas Integrveis Tecnolgico
'
Informao sobre
! ! Informao
assinatura
! <sobrc a chave
Id. do ctrtif.
de assinatura
ld. da poltea
de assinatura
XAdES-T
Carimbo de
! XAdES-BES
tempo de
assinatura
OU
XAdES-EPES!
Contedo
Digital
Valor da
assinatura
Outras
Outras
propriedades j
propriedades
no assinadas |
assinadas
(opcional)
(opcional)
Propriedades
Propriedades
.-assinadas.....
assinadas
4.2.5 XAdES-C
de
dois
atributos
(CompleteCertificateRefs)
referncias
completas
referncias
aos
completas
certificados
revogao
(AttributeCertificateRefs)
referncias
revogao
de
atributo
(AttributeRevocationRefs).
Este modelo estrutural interessante em sistemas centralizados que mantm
diversas assinaturas eletrnicas, pois possibilita manter na estrutura XML somente
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
34/59
Processo:_jHLi-4^,
Folha:
zL
Func:
laboratrio da Sistemas Integrveis Tecnolgico
. .
lec.ofQ.b
XAdES-C
XAdES-T
Informao
sobre a chave;
Informao sobre
assinatura
Id. do certif.
de assinatura
Id da politca
Carimbo de
Referncias
XAdES-BES
tempo de
completa aos
ou
assinatura
certificados
XAdES-EPES
de assinatura
Referncias
completas
Contedo
Digital
revogao
Valor da
assinatura
Counter
i Referencia
Smnature
[aoscertific.de
I
Outras
propriedades
assinadas
(opcional)
atributo
Outras
! propriedades
>Referencias
i no assinadas
|revogao de
| (opcional)
atributo
Propriedades po assinadas
Propriedades assinadasi
4.2.6 XAdES-X
modelo
de
estrutural
previne
algumas
situaes
catastrficas
de
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
35/59
oso
(ecora-b
XAdES-X
XAdES-C
Informao sobre
I Informao
assinatura
sobre a chave;
Id. do certif.
de assinatura
Id. da polltca
de assinatura
XAdES-T
Carimbo de
Referncias
XAdES-BES
tempo de
completas aos
OU
assinatura
certificados
! Carimbo de
Referncias
! tempo sobre
i refs de certs o J
completas
| revscompls. [
XAdES-EPES!
Contedo
Digital
revogao
Valor da
assinatura
Outras
propriedades
assinadas
(opcional)
j Referncias
[aos certific. de
Carimbo de
tempo .sobre
atributo
assinatura e
Outras
propriedades
i Referncias
no assinadas
| revogao de
(opcional)
referncias
atributo
Propriedades no assinadas
Propriedades assinadas
4.2.7 XAdES-X-L
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
36/59
Folha:
Func:
. t\6v
S 1
wsvw.lsili
XAdES-C
Informao sobre
! Informao
assinatura
sobre a chave
Id. do certif.
de assinatura
Id. da politca
de assinatura
XAdES-BES
ou
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
Carimbo de
Referncias
refs de certs e
completas
revogao
revs compls.
Valor da
Valores
completos de
assinatura
certificados o
i Referncias
Outras
propriedades
assinadas
(opcional)
XAdES-X-L
tempo sobre
XAdES-EPES:
Contedo
Digital
XAdES-X
XAdES-T
[aos certific. de
Carimbo de
tempo sobre
atributo
assinatura c
Outras
propriedades
' Referncias
no assinadas
[ revogaode
(opcional)
revogaes
referncias
atributo
Propriedades no assinadas
Propriedades assinadas
4.2.8 XAdES-A
Este modelo
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
37/59
DSB
XAdES-X
XAdES-C
Informao sobre
! Informao !
assinatura
sobre a chave
[ Id. do certif. !
! deassinatura j
Id. da politca !
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
Contedo
Digital
assinatura
[ propriedades !
j
assinadas
! (opcional) i
Referncias
!refs de cens e
completas
1 revs compls.
revogao
Valor da
| Carimbo de
! temposobre
[ deassinatura ! !XAdES-EPES!
Outras
XAdES-A
;XAdES-BES
ou
XAdES-X-L
XAdES-T
Valores
[ Referncias
[aoscertific.de
Carimbo de
Carimbo de
completos de
/ I. tempo de
certificados e
<nrquivamento
revogaes
atributo
tempo sobre
propriedades
[Referncias
assinatura e
referncias
no assinadas
| revogao de
dados de
validao
Outras
(opcional)
atributo
Carimbo de
tempo sobre
Propriedades no assinados
Propriedadesassinadas!
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
38/59
^7
Func:
Mimn
r\-&
www.lsitec.0rg.bt
Especificao PAdES
dicionrio
de
assinatura
(signature
dictionary)
de
tipo
dicionrio
(dictionary) (ISO 32000-1, seo 12.8.1, tabela 252) que contm todos os dados
a respeito da assinatura digital. Um destes dados a estrutura CMS Signed Data,
codificada em DER, contendo a assinatura digital e alguns atributos.
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
39/59
omi
laboratrio de Sistemas Integrveis Tecnolgico
especificao para assinatura eletrnica avanada {Advanced Electronic Signature AdES) exclusiva para PDF, denominada PDF Advanced Electronic Signature
(PAdES).
para documentos PDF, definindo requisitos que devem ser atendidos pelos
softwares de visualizao e edio PDF quando so utilizadas assinaturas digitais,
alm de determinar quais elementos do PDF podem constar e quais elementos no
devem constar. Outra caracterstica interessante suportada pelo PDF assinatura
eletrnica integrada a formulrios. Estas so caractersticas chaves que distinguem
a especificao PAdES do CAdES e XAdES.
Como resultado deste trabalho, em junho de 2009, o ETSI/ESI definiu pela
Ttulo
Partel
Parte 2
Parte 3
Parte 4
PAdES-LTV Profile
Parte 5
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
40/59
Processo: 3V -#9i
Folha:...
H6A
Func:
ffl/ZCT
\Jf\S
files
A partel desta especificao apresenta uma viso geral das outras partes do
documento. A parte 2 descreve o perfil de assinatura eletrnica PAdES Basic a ser
utilizado no PDF para aderncia ao AdES {Advanced Electronic Signature) baseado
somente nos recursos disponveis atualmente pela especificao ISO 32.000-1 (PDF
1.7).
A parte 3 {PAdES Enhanced) define perfis aderentes ao CAdES-BES e CAdESEPES, chamados de PAdES-BES e PAdES EPES. Este perfil procura incorporar o
CAdES aos arquivos PDF.
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
41 /59
^amn
'
Idntico ao CAdES
de chave pblica
Formato CMS
Idntico ao CAdES
Idntico ao CAdES
de assinatura
Permite
incluso
da
cadeia
de
certificao
Permite a
atributo.
Includo
no
campo
Certificates
do
CMS
SignedData
incluso de certificado de
Permite
estado
digital
incluso
de
dados
sobre
revogao de certificado
incluso
de
Possibilidade
Permite
de
do
instante
assinatura.
de
incluso
de
seja,
Ttulo
PROJETO SREI: ROJETO SREI: Assinatura
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
42/59
1Folha:
L^V
IFunc:____^=======b^
laboratrio de Sistemas Integrveis Tecnolgico
www. Isili
~\
/T
Contedo origial
(verso 1)
Assinatura da
verso 1
<tr
Contedo origial
(verso l)
cwg.b
Contedo origial
(verso 1)
f Assinatura da
Assinatura da
verso 1
verso 1
Alteraes para
Alteraes para
verso 2
verso 2
Assinatura da
Assinatura da
verso 2
verso 2
Alteraes para
Assinatura da
verso 3
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
43/59
umn
laboratrio de Sistemas Integrveis Tecnolgico
perfil
PAdES
Basic
permite
os
subfilters
adbe.pkcs7 .detached
Hash
adbe.pkcs7.detached
adbe.pkcs7.sha1
Upto1024-bit(PDF1.3)
Upto1024-bit(PDF1.3)
Upto2048-bit(PDF1.5)
Upto2048-bit(PDF1.5)
Upto4096-bit(PDF1.5)
Upto4096-bit(PDF1.5)
5.2.1.5 Limitaes
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
44/59
IProcesso
IFolha:.
uJB
iFunc:
laboratrio de Sistemas Integrveis Tecnolgica
V.-VV.
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
45/59
MMl]
documento. PAdES Long Term difere do CAdES-A por alocar reas especficas ao
final do documento PDF para adio do carimbo do tempo para arquivamento.
Esta estratgia possibilita resolver um dos grandes problemas existentes no CAdES-
f*% PDF
"V
Dicionrio de
Dicionrio de
Dicionrio de
assinatura
assinatura
assinatura
\
.'Content3 <
/Cnntcnts <
Bloco CMS
Bloco CMS
SignedData
I SicnedData
SignedData
\^
>
/Contenta <
Bloco CMS
(Hash)
>
(tsa)
1
>
Dados de validao
Dados de validao
1
'%
Carimbo de tempo
v de arquivamento
necessitando
da
reaplicao
de
outro
carimbo
de
tempo
de
arquivamento.
O perfil PAdES Long Term permite a incluso repetida de dados para validao
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
46/59
@bamn
Folha:
J^k^-
IF,,nr'
(f^r
|.1
Para armazenamento dos dados para validao em longo prazo {long-term validation
- LTV) foi proposta a utilizao da estrutura DSS {Document Security Store) do
Acrobat 9.1. Nela seriam armazenados os certificados, LCRs e OCSPs necessrios
armazenamento
do
carimbo
do
tempo
de
arquivamento
{Document
/fo PDF
Dicionrio de
assinatura
Dicionrio de
assinatura
/Contents <
/Contents <
Bloco CMS
Bloco CMS
^SignedData
[SignedData
Dados de validao
Dados de validao
Carimbo de tempo
de arquivamento
Carimbo de tempo
de arquivamento
Dados de validao
Carimbo de tempo
V[ de arquivamento
]/
Estas propostas foram submetidas ISO para a nova verso do padro ISO 32.0002.
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
47/59
{MD
Normalizao da ICP-Brasil
6.2
A
define
cinco
modelos
estruturais
dos
atributos
de
assinatura
b)
c)
d)
e)
Estes modelos estruturais dos atributos de assinatura devem ser utilizados tanto no
tanto com o formato CMS SignedData quanto com o formato XML DSig, sendo de
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
48/59
Processo: ^IjJ.tfQ
Fdha:
tf^f^
|Func:
Gbamn
f>^-
Contente
Atributos nio!
assinados I
(opcional) i
tvpc
Message
digest
Certificado
Assinatura
signatrio
Digital
Contedo
Signature
PolicylD
Outros
atributos
|
!
J assinados !
! (opcional)
Atributos
Atributos
assinados
nSo assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
49/59
tosto
AD-RT
AD-RB
Contente
!
i
type
Message
digest
Carimbo de
tempo de
assinatura
j (opcional) !
Certificado
Assinatura
signatrio
Contedo
Outros
atributos
i no assinados [
Digital
Signature
PolicylD
; Outros
{ atributos
J assinados
| (opcional)
!
!
!
j
Atributos
Atributos no
assinados
... assinados
Contente
type
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
'
,
digest
Referencias
signatrio
tempo sobre
revogao
Assinatura
assinatura,
Digital
Contedo
| Referncias |
Signature
jaoscertific. de!
PolicylD
Outros
Carimbo de
completas
Certificado
|
l
j atributos !
; assinados !
! (opcional) ]
Outros
I atributos
atnbuto
canmbo e
referncias
I
,
i no assinados j
j Referncias [
| revogao de l
j (opcional)
atnbuto
Atributos no assinados
Atributos assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
50/59
Processo:
FoJha:
^^r
Func:
@bnmTi
AD-RC
AD-RV
AD-RT
AD-RB
Contente
..-''
type
Message
Carimbo de
Referncias
tempo de
completas aos
assinatura
certificados
digest
Referncias
completas
Certificado
Contedo
revogao
Assinatura
signatrio
Digital
Referncias
Signature
PolicylD
Outros
aos certific. de
Carimbo de
tempo sobre
assinatura,
carimbo e
referncias
Valores
completos de
certificados e
revogaes
atributo
Outros
j atributos
J assinados
! (opcional)
i
i
Referncias
no assinados i
atributos
revogao de
(opcional) !
atributo
Atributos no assinados
Atributos assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
51 /59
'
AD-RA
AD-RV
<
AD-RTI
AD-RB
Contente
type
Carimbo de
assinatura
Message
digest
Assinatura
signatrio
Contedo
Digital
\|
1,
Referncias
completas
Carimbo de
Valores
revogao
tempo sobre
completos de
assinatura,
certificados e
tempo de
carimbo e
revogaes
arquivamento
J! ; Referncias
|! [aos certific. de
PolicylD
Carimbo de
referencias
atributo
] atributos
j assinados
Outros
atributos
i no assinados
j (opcional)
', (opcional)
Referncias
1
i
III;
',
certificados
, i
Signature
Outros
Referncias
completas aos
Certificado
; !1! >
tempo de
Atributos assinados
revogao de
atributo
*-_
Atributos no assinados
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC: Restrito
52/59
Processo: ^jjgLJO^l
Folha: "
ffiHf
Func:
Momn
rr\j/
www.IsRec org.bt
URI = http://uri.etsi.Org/01903/v1.2.2#ProofOfOrigin;
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
53/59
&ZMZ7
. I
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
54/59
Processo:JjlS^Folha:____
Func:
;. bi
Certificado de atributo
mesma que definiu o certificado digital), sendo o perfil definido na RFC 3281 o mais
utilizado atualmente.
Identificao do cartrio;
O Oficial deveria poder, a seu critrio, delegar este privilgio para seus prepostos,
gerando certificados de atributos para eles Isto realizado pelo Oficial com o auxlio
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
55/59
_2x=
Mamu
dos prepostos no deveria possuir revogao. Por este motivo, deveria possuir
validade curta (por exemplo, alguns dias).
Com a utilizao do certificado de atributo, uma pessoa que esteja verificando, por
exemplo, a assinatura de uma certido, aps a verificao da assinatura, deve
verificar a autoridade do signatrio. Para isso, deve j ter estabelecido seu contexto
de segurana: os certificados raiz da ICP-Brasil e as fontes de autoridade dos
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
56/59
lProcesso:__jJd^L
^cJha:^...
&-
[Func;
ffizMI7
vv.v.v.hlt:-
|I
Referncias
[1] ETSI TS 101 733 v1.8.1. Electronic Signatures and Infrastructures (ESI); CMS
Advanced Electronic Signatures (CAdES), Technical Specification, Nov. 2009.
[2] ETSI TS 101 903 vi.4.1. Electronic Signatures and Infrastructures (ESI); XML
Advanced Electronic Signatures (XAdES).
[3] ETSI TS 102 778-1 v1.1.1. Electronic signatures and infrastrutctures (ESI) - PDF
advanced electronic signature profiles - Part 1: PAdES Overview: a framework
document for PAdES. ETSI. 20p. July, 2009.
[4] ETSI TS 102 778-2 v1.2.1. Electronic signatures and infrastrutctures (ESI) - PDF
advanced electronic signature profiles - Part 2: PAdES Basic: CMS profile based on
ISO 32.000-1. ETSI. 12p. 2009.
[5] ETSI TS 102 778-3 v1.1.1. Electronic signatures and infrastrutctures (ESI) - PDF
advanced electronic signature profiles - Part 3: PAdES Enhanced - PAdES-BES and
[6] ETSI TS 102 778-4 v1.1.1. Electronic signatures and infrastrutctures (ESI) - PDF
advanced electronic signature profiles - Part 4: PAdES Long Term - PAdES-LTV
Profile. ETSI. 20p. July, 2009.
[7] ETSI TS 102 778-4 v1.1.1. Electronic signatures and infrastrutctures (ESI) - PDF
advanced electronic signature profiles - Part 5: PAdES for XML Content - Profiles for
XAdES signatures. ETSI. 20p. July, 2009.
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
57/59
(Sbamn
version
1.5.
March
1998.
March
1998.
(disponvel
em
http://www.ietf.org/rfc/rfc2315.txt).
Task
Force
(IETF).
June
1999.
(disponvel
em
http://www.ietf.org/rfc/rfc2630.txt).
Engineerng
Task
Force
(IETF).
August
2002.
(disponvel
em
http://www.ietf.org/rfc/rfc3369.txt).
Task
Force
(IETF),
July
2004.
(disponvel
em
http://www.ietf.org/rfc/rfc3852.txt).
Engineerng
Task
Force
(IETF),
Sep.
2009.
(disponvel
em
http://www.ietf.org/rfc/rfc5652.txt).
[14] EASTLAKE 3rd, D.; REAGLE, J.; SOLO, D. RFC 3275. (Extensible Markup
Language) XML-Signature Syntax and Processing. IETF, mar. 2002.
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
58/59
Processo: *Sfy3^3^M
Folha:
KX^
Func:
Mamn
^____
bdll
[15] BARTEL, M; et. Ali. XML Signature Syntax and Processing. Second edition.
World Wide Web Consortium (W3C). June, 2008.
[17] The AdES family of standards: CAdES, XAdES and PAdES: implementation
guidance for using electronic signatures in the European Union. Adobe Systems Inc.
2009.
Distinguished
Encoding
Rules
(DER),
2002.
Disponvel
<http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf>.
em:
Acesso
Ttulo
Verso
Classificao
Pgina
v1.1.r.3
LSI-TEC:Restrito
59/59