Entendendo a Certificao Digital

1 de 7

http://www.infowester.com/printversion/assincertdigital.php

:: Software

Entendendo a Certificao Digital

Introduo
H tempos que as pessoas utilizam assinaturas caneta, carimbos, selos, entre outros
recursos, para comprovar a autenticidade de documentos, expressar concordncia com
determinados procedimentos, declarar responsabilidades, etc. Hoje, muitas dessas atividades
podem ser feitas atravs da internet. Mas, como garantir autenticidade, expressar concordncia
ou declarar responsabilidade no "mundo eletrnico"? a que entra em cena a certificao
digital e conceitos relacionados, como assinatura digital. Nas prximas linhas voc ver uma
explicao com os principais pontos que envolvem esses recursos.

O que certificao digital?

A internet permite que indivduos, empresas, governos e outras entidades realizem uma srie
de procedimentos e transaes de maneira rpida e precisa. Graas a isso, possvel fechar
negcios, emitir ou receber documentos, acessar ou disponibilizar informaes sigilosas,
economizar dinheiro evitando processos burocrticos, entre outros. No entanto, da mesma
forma que os computadores oferecem meios para tudo isso, podem tambm ser usados por
fraudadores, o que significa que tais operaes, quando realizadas por vias eletrnicas,
precisam ser confiveis e seguras. A certificao digital capaz de atender essa
necessidade.
A certificao digital um tipo de tecnologia de identificao que permite que transaes
eletrnicas dos mais diversos tipos sejam feitas considerando sua integridade, sua
autenticidade e sua confidencialidade, de forma a evitar que adulteraes, interceptaes ou
outros tipos de fraude ocorram.

Como funciona a certificao digital?

A certificao digital funciona com base em um documento eletrnico chamado certificado
digital e em um recurso denominado assinatura digital. conveniente compreender primeiro
este ltimo, para melhor compreenso.
O que Assinatura digital?
Imagine-se na seguinte situao: voc est em uma viagem de negcios e precisa enviar
documentos sigilosos matriz de sua empresa. Dada a distncia, o jeito mais rpido de fazer
isso utilizando a internet.

3/6/2009 10:57

Entendendo a Certificao Digital

2 de 7

http://www.infowester.com/printversion/assincertdigital.php

No entanto, se voc optasse por enviar esses documentos em papel, certamente os assinaria
caneta para comprovar a autenticidade e a sua responsabilidade sobre eles. Alm disso,
provavelmente utilizaria um servio de entrega de sua confiana e o instruiria a deixar os
documentos apenas com a pessoa ou o setor de destino.
Mas, como colocar em prtica essas medidas quando se usa documentos eletrnicos?
Digitalizar sua assinatura atravs de um scanner no uma boa ideia, afinal, qualquer pessoa
pode alter-la em programas de edio de imagem. Enviar os documentos sem qualquer
proteo via e-mail tambm tem seus riscos, j que algum pode intercept-los. O jeito ento
utilizar uma assinatura digital.
A assinatura digital um mecanismo eletrnico que faz uso de criptografia, mais precisamente,
de chaves criptogrficas. Desde j, o InfoWester recomenda que voc leia este artigo sobre
criptografia para entender melhor esse conceito.
Chaves criptogrficas so, em poucas palavras, um conjunto de bits baseado em um
determinado algoritmo capaz de cifrar e decifrar informaes. Para isso, pode-se usar chaves
simtricas ou chaves assimtricas, estas ltimas tambm conhecidas como chaves pblicas.
Chaves simtricas so mais simples, pois com elas o emissor e o receptor utilizam a mesma
chave para, respectivamente, cifrar e decifrar uma informao.
As chaves assimtricas, por sua vez, trabalham com duas chaves: a chave privada e a chave
pblica. Nesse esquema, uma pessoa ou uma organizao deve utilizar uma chave de
codificao e disponibiliz-la a quem for mandar informaes a ela. Essa a chave pblica.
Uma outra chave deve ser usada pelo receptor da informao para o processo de
decodificao. Essa a chave privada, que sigilosa e individual. Ambas as chaves so
geradas de forma conjunta, portanto, uma est associada a outra.
Note que esse mtodo bastante seguro, pois somente o detentor da chave privada
conseguir desfazer a cifragem realizada com a respectiva chave pblica. Com chaves
simtricas, os riscos so maiores, j que uma nica chave utilizada para cifragem e
decifragem, aumentando consideravelmente as possibilidades de extravio ou fraudes. por
esta razo que chaves pblicas so utilizadas em assinaturas digitais.
Em sua essncia, o funcionamento das assinaturas digitais ocorre da seguinte forma:
necessrio que o emissor tenha um documento eletrnico e a chave pblica do destinatrio.
Atravs de algoritmos apropriados, o documento ento cifrado de acordo com esta chave
pblica. O receptor usar ento sua chave privada correspondente para decifrar o documento.
Se qualquer bit deste for alterado, a assinatura ser deformada, invalidando o arquivo.

3/6/2009 10:57

Entendendo a Certificao Digital

3 de 7

http://www.infowester.com/printversion/assincertdigital.php

Na verdade, o processo de assinatura digital de documentos eletrnicos usa um conceito

conhecido como funo hashing. Como o uso de algoritmos de chaves pblicas nas
assinaturas digitais pode causar muita demora em um processo de decifragem, a funo
hashing se mostra como a soluo ideal. Seu funcionamento ocorre da seguinte forma: o
algoritmo da funo hashing faz com que todo o documento a ser assinado seja analisado e,
com base nisso, um valor de tamanho fixo gerado. Trata-se do valor hash ou resumo
criptogrfico.
Com isso, o emissor usa sua chave privada e a chave pblica do receptor para assinar
digitalmente o documento. Se este sofrer qualquer alterao, por menor que seja, seu valor
hash ser diferente. Como consequncia, o receptor receber um documento invlido, j que
sua chave s conseguir lidar com o arquivo com o valor hash original.

O que Certificado Digital?

Agora que voc j sabe que o assinatura digital, fica mais fcil compreender o certificado
digital. Basicamente, trata-se de um documento eletrnico com assinatura digital que contm
dados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituio,
etc), entidade emissora (voc saber mais sobre isso adiante), prazo de validade e chave
pblica. Com o certificado digital, a parte interessada obtm a certeza de estar se relacionando
com a pessoa ou com a entidade desejada.
Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua
conta corrente pela internet, certificados digitais so usados para garantir ao cliente que ele
est realizando operaes financeiras com o seu banco. Se o usurio clicar no cone
correspondente no navegador de internet, poder obter mais detalhes do certificado. Se algum
problema ocorrer com o certificado - prazo de validade vencido, por exemplo -, o navegador
alertar o usurio.

3/6/2009 10:57

Entendendo a Certificao Digital

4 de 7

http://www.infowester.com/printversion/assincertdigital.php

importante frisar que a transmisso de certificados digitais deve ser feita atravs de conexes
seguras, como as que usam o protocolo Secure Socket Layer (SSL), que prprio para o envio
de informaes criptografadas.

Obtendo certificados digitais

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados
digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo
procurar uma Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR) para obter um
certificado digital. Uma AC tem a funo de associar uma identidade a uma chave e "inserir"
esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que
comprovem sua identificao. J uma AR tem uma funo intermediria, j ela pode solicitar
certificados digitais a uma AC, mas no pode emitir esse documento diretamente.
conveniente que cada nao conte com uma Infra-estrutura de Chaves Pblicas (ICP) ou, em
ingls, Public Key Infrastructure (PKI), isto , um conjunto de polticas, tcnicas e
procedimentos para que a certificao digital tenha amparo legal e fornea benefcios reais
sua populao. O Brasil conta com a ICP-Brasil para essa finalidade.
A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto , a instituio que gera as
chaves das ACs e que regulamenta as atividades de cada uma, o Instituto Nacional de
Tecnologia da Informao (ITI). A ICP-Brasil tem, considerando a data de fechamento deste
artigo no InfoWester, oito ACs credenciadas:
- Serpro;
- Caixa Econmica Federal;
- Serasa;
- Receita Federal;
- Certisign;
- Imprensa Oficial;

3/6/2009 10:57

Entendendo a Certificao Digital

5 de 7

http://www.infowester.com/printversion/assincertdigital.php

- AC-JUS (Autoridade Certificadora da Justia);

- ACPR (Autoridade Certificadora da Presidncia da Repblica).
So essas instituies que devem ser procuradas por quem deseja obter certificado digital
legalmente reconhecido no Brasil. Note que cada uma dessas entidades pode ter critrios
distintos para a emisso de certificados, o que inclusive resulta em preos diferentes, portanto,
conveniente ao interessado saber qual AC mais adequada s suas atividades. Repare
tambm que essas entidades podem ter ACs "secundrias" ou ARs ligadas a elas.

Tipos de certificados da ICP-Brasil

A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se
divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A direcionada para fins
de identificao e autenticao, enquanto que o tipo S direcionado a atividades sigilosas.
Vejas as caractersticas que tornam as verses de ambas as categorias diferentes entre si:
A1 e S1: gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits;
armazenamento em dispositivo de armazenamento (como um HD); validade mxima de um
ano;
A2 e S2: gerao das chaves feita por software; chaves de tamanho mnimo de 1024 bits;
armazenamento em carto inteligente (com chip) ou token (dispositivo semelhante a um
pendrive); validade mxima de dois anos;
A3 e S3: gerao das chaves feita por hardware; chaves de tamanho mnimo de 1024 bits;
armazenamento em carto inteligente ou token; validade mxima de trs anos;
A4 e S4: gerao das chaves feita por hardware; chaves de tamanho mnimo de 2048 bits;
armazenamento em carto inteligente ou token; validade mxima de trs anos.
Os certificados A1 e A3 so os mais utilizados, sendo que o primeiro geralmente armazenado
no computador do solicitante, enquanto que o segundo guardado em cartes inteligentes
(smartcards) ou tokens protegidos por senha.

e-CPF e e-CNPJ
Falar de certificao digital no Brasil frequentemente remete a duas importantes iniciativas: o
e-CPF e o e-CNPJ. O primeiro , essencialmente, um certificado digital direcionado a pessoas
fsicas, sendo uma espcie de extenso do CPF (Cadastro de Pessoa Fsica), enquanto que o
segundo um certificado digital que se destina a empresas ou entidades, de igual forma,
sendo um tipo de extenso do CNPJ (Cadastro Nacional da Pessoa Jurdica).

3/6/2009 10:57

Entendendo a Certificao Digital

6 de 7

http://www.infowester.com/printversion/assincertdigital.php

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos servios da Receita
Federal, muitos dos quais at ento disponveis apenas em postos de atendimento da
instituio. possvel, por exemplo, transmitir declaraes de imposto de renda de maneira
mais segura, consultar detalhes das declaraes, pesquisar situao fiscal, corrigir erros de
pagamentos, entre outros. No caso do e-CNPJ, os benefcios so semelhantes.
O e-CPF e o e-CNPJ esto disponveis nos tipos A1 e A3. As imagens abaixo, obtidas no site
da Receita Federal, mostram os modelos dos cartes inteligentes (tipo A3) para esses
certificados:

importante destacar que o e-CPF e o e-CNPJ no so gratuitos. Sua aquisio deve ser feita
em entidades conveniadas Receita Federal, como Certisign e Serasa. Os preos no so
padronizados, variando de acordo com a empresa e com o tipo de certificado (A1 ou A3).

Finalizando
Antes do encerramento deste artigo, eis uma observao: voc viu neste texto que graas
ICP-Brasil que as certificaes digitais no pas so amplamente aceitas e utilizadas,
especialmente do ponto de vista legal. No entanto, vale frisar que qualquer instituio pode
criar sua prpria ICP, independente de seu porte. Por exemplo, se uma empresa criou uma
poltica de uso de certificados digitais unicamente para a troca de informaes entre a matriz e
sua filiais, no necessita solicitar tais certificados a uma AC controlada pela ICP-Brasil. A
prpria empresa pode criar sua ICP e fazer, por exemplo, com que um departamento das filiais
atue como AC ou AR, solicitando ou emitindo certificados para seus funcionrios.
No mais, se voc quiser conhecer mais detalhes sobre certificao digital no Brasil, acesse os
sites do ITI e da ICP-Brasil:
- www.iti.gov.br;
- www.icpbrasil.gov.br.
Neles, possvel conseguir acesso a documentos sobre legislao, procedimentos,

3/6/2009 10:57

Entendendo a Certificao Digital

7 de 7

http://www.infowester.com/printversion/assincertdigital.php

resolues, entre outros, assim como obter notcias e orientaes sobre o assunto.

Escrito por Emerson Alecrim - Publicado em 30/04/2009 - Atualizado em 30/04/2009

Os artigos desenvolvidos pelo InfoWester esto sob uma Licena Creative Commons http://creativecommons.org/licenses/by-nc-sa/3.0/deed.pt
InfoWester 2008 - Propagando conhecimento - www.infowester.com

3/6/2009 10:57