Assinatura digital e certificação digital

Em nosso dia-a-dia é comum necessitarmos comprovar a autenticidade de um documento e atribuí-lo um valor. Seja através de uma assinatura à caneta, seja através de um carimbo, seja através de um selo de autenticação. No “mundo eletrônico”, cuja principal influência é a internet, também precisamos de meios de autenticação e comprovação. É aí que “entram em cena” dois conceitos muito importantes: assinatura digital e certificação digital.

Este artigo fará uma abordagem introdutória sobre ambos e mostrará o quão são importantes.

Assinatura digital ou certificação digital

Assinar documentos faz parte da rotina de qualquer pessoa. Até daquelas consideradas analfabetas que, nesse caso, fazem uso da impressão digital de um de seus dedos.

Agora, imagine-se na seguinte situação: suponha que você esteja viajando a negócios e que tenha que enviar à matriz da empresa documentos oriundos das reuniões que participou. Obviamente, o jeito mais rápido de fazer isso é enviar os documentos pela internet. Se esses documentos fossem entregues em papel, você certamente assinaria para comprovar sua autenticidade e sua responsabilidade sobre eles. Porém, em se tratando de arquivos digitais, como é que você fará a assinatura? Escreverá seu nome em um pedaço de papel, o passará por um scanner e o adicionará ao arquivo? Com certeza, não! O que você deve fazer é usar um assinatura digital.

A assinatura digital faz uso dos conceitos de chave pública e privada. Se você não sabe o que é isso, é expressamente recomendável a leitura do artigo do InfoWester que trata de criptografia.

O funcionamento da assinatura digital ocorre da seguinte forma: é necessário que o usuário tenha um documento eletrônico e a chave pública do destinatário (um usuário pode ser tanto uma pessoa quanto uma instituição qualquer). Através de programas apropriados, o documento é então criptografado de acordo com a chave pública. O receptor usará então sua chave privada correspondente (que é exclusiva dele) para decriptografar o arquivo. Se qualquer bit do documento for alterado a assinatura será deformada, invalidando o arquivo.

Autoridade Certificadora

Na verdade, o processo de assinatura digital de documentos eletrônicos usa um conceito conhecido como função hashing. Como o uso de um sistema de criptografia assimétrico (mais detalhes aqui) nas assinaturas digitais pode causar muita demora numa decifragem, a função hashing se mostrou como a solução ideial. Seu funcionamento ocorre da seguinte forma: a função hashing analisa todo o documento e com base num complexo algoritmo matemático gera um valor de tamanho fixo para o arquivo. Esse valor, conhecido como “valor hash”, é calculado com base nos caracteres do documento. Isso deixa claro que o arquivo em si não precisa, pelo menos teoricamente, ser criptografado (caso não seja algo secreto), mas sim acompanhado do valor hash. Com isso, qualquer mudança no arquivo original, mesmo que seja de apenas um único bit, fará com que o valor hash seja diferente e o documento se torne inválido.

É interessar notar que é praticamente impossível descobrir a chave privada através da chave pública. Isso se deve ao algoritmo aplicado. Se usado o método RSA (Rivest, Shamir and Adleman) – saiba mais no artigo sobre criptografia – dois números primos muito grandes (mas muito grandes mesmo!) são multiplicados. O resultado é a chave pública. Para descobrir os dois números que a geraram é necessário fazer uma fatoração, mas isso é impraticável.

Como obter uma assinatura digital

Obter uma assinatura digital não é algo tão simples. Primeiro é necessário procurar uma entidade que faça esse serviço. Isto é, deve-se procurar uma Autoridade Certificadora (AC). Uma AC tem a função de verificar a identidade de um usuário e associar a ele uma chave. Essas informações são então inseridas em um documento conhecido como certificado digital.

Um certificado digital contém a chave pública do usuário e os dados necessários para informar sua identidade. Esse certificado pode ser distribuído na internet. Com isso, uma pessoa ou instituição que queira comprovar a assinatura digital de um documento pode obter o certificado digital correspondente. É válido saber que certificados digitais não são usados apenas em conjuntos com assinaturas digitais.

É importante frisar que a transmissão de certificados digitais deve ser feita através de uma conexão segura. Como as que usam o protocolo SSL (Secure Socket Layer), que é próprio para o envio de informações criptografadas.

Fica claro dessa forma a importância da assinatura digital e certificação digital.

Obtendo assinatura e certificado

Como dito anteriormente, um certificado digital é um documento eletrônico que contém as informações da identificação de uma pessoa ou de uma instituição. Esse documento deve ser solicitado a uma AC ou ainda a uma AR (Autoridade de Registro). Uma AR tem a função de solicitar certificados a uma AC.

Para que um certificado seja válido, é necessário que o interessado tenha a chave pública da AC para comprovar que aquele certificado foi, de fato, emitido por ela. A questão é que existem inúmeras ACs espalhadas pelo mundo e fica, portanto, inviável ter a chave pública de cada uma.

A solução encontrada para esse problema foi a criação de “ACs supremas” (ou “ACs-Raiz”). Ou seja, instituições que autorizam as operações das ACs que emitem certificados a pessoas e empresas. Esse esquema é conhecido como ICP (Infra-estrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).

Padrão ICP Brasil

No Brasil, a ICP-Brasil controla seis ACs (pelo menos até o fechamento deste artigo): a Presidência da República, a Receita Federal, o SERPRO, a Caixa Econômica Federal, a Serasa e a CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, uma dessas instituições deve prover o certificado. Porém, para que isso seja feito, cada instituição pode ter requisitos e custos diferentes para a emissão, uma vez que cada entidade pode emitir certificados para finalidades distintas. E isso se aplica a qualquer AC no mundo.

Agora, uma coisa que você deve saber é que qualquer instituição pode criar uma ICP, independente de seu porte. Por exemplo, se uma empresa criou uma política de uso de certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil. A própria empresa pode criar sua ICP e fazer com que um departamento das filiais atue como AC ou AR. Ela faz isso solicitando ou emitindo certificados para seus funcionários.

Assinatura digital é realmente importante?

Ainda demorará para que o uso do papel na emissão de documentos seja uma segunda opção. Talvez, isso nem venha acontecer. No entanto, o uso de assinaturas e certificados digitais é extremamente importante, principalmente pela velocidade com que as coisas acontecem na internet. Além disso, determinadas aplicações, como as bancárias, são consideradas cruciais para a manutenção de um negócio. Logo, o uso de certificados digitais pode chegar ao ponto de ser imprescindível. Há muito ainda a ser discutido sobre o assunto, mas entre as divergências existentes, é unâmine a importância dessa tecnologia para a era da informação eletrônica na qual adentramos.

Autor: Emerson Alecrim
Fonte: INFO WESTER

Ligamos para você