Stefano Kubiça stefano@pr.br

1. Assinatura e Certificação Digital 26/SET/2003 Stefano Kubiça stefano@pr.gov.br Congresso em Tecnologias para Gestão de Dados e Metadados do Cone Sul

2. Roteiro • Contextualização • Conceituação • Assinatura e Certificação Digital • Infra-estrutura de Chaves Públicas • Principais Aplicações • Alguns cases no Brasil • Aspectos Jurídicos

3. Contextualização Dificuldades em operações realizadas eletronicamente Contrato nn ... ... ... ... ... . ...... .... ..... .. .. ... ... .. .. ......... .... .... .... ..... ..... .. . .... .... ....... Recebe Trâmite ? Consulta Armaze-namento Remetente Destinatário Conteúdo aparente = conteúdo real ?Integridade Remetente aparente = remetente real ?Autenticidade Destinatário aparente = destinatário real ?Sigilo Operações eletrôn. ? Legalidade e Força Probatória

4. Conceituação • Assinatura: Marca pessoal utilizada para designar autoria ou aprovação • Certificação: Afirmação de certeza ou verdade • Digital: Valores representados exclusivamente em binário (eletrônicos,magnéticos,ópticos,etc.) • Analógico: Representa grandezas de forma contínua (pergaminho,papel,microfilme,etc.) • Eletrônico: Dependente do movimento elétrons • Autenticação: Ato pelo qual algo é reconhecido como verdadeiro (termo jurídico)

5. Conceituação Eletrônico(digital) Conteúdo (mensagem) Em Papel (analógico) Acessível* (seqüência de bits) Visível (leitura) Escrito Integridade**(formato original) Primeiro suporte Original Marca pessoal em conteúdo Autenticidade com Integridade Assinatura * Localizável, interpretável, portável, íntegro, etc. ** Documentos digitalizados e impressos são cópias

6. Conceituação Assinatura Eletrônica: • Digitalizada • Baseada em biometria Características biométricas convertidas em bits • Digital Código gerado por computador:8a5&2K9z63x

7. Conceituação Assinatura Digital: • Eficaz para autenticação não presencial • Viabiliza a Certificação Digital • Serve como base para autenticação de cópias eletrônicas • Pode garantir segurança, legalidade e força probatória de documentos eletrônicos

8. Assinatura em Documento Eletrônico • Autenticidade: Garantir a identificação e associação (ciente) do autor ao conteúdo • Integridade: Invalidar a assinatura quando o conteúdo assinado for alterado + = Conteúdo Sinal Autor Assinatura + = Resumo cont. Assinat. Digital Chave Autor

9. Assinatura Digital • Garante a identificação do assinante e/ou remetente (autenticidade e não repúdio) • Possibilita a qualquer momento verificar se o conteúdo foi alterado (integridade) • Pode garantir o sigilo (com criptografia) • É o principal componente de uma ICP Protocolos, padrões e serviços para aplicação de criptografia de chaves públicas e estabelece a identidade de um usuário para autenticação

10. ICP Infra-estrutura de Chaves Públicas Criptografia e Hash Certificação Digital Assinatura Digital ICP=PKI (Public Key Infrastructure)

11. Criptografia • Criptologia = criptografia + criptoanálise • Criptografia = tornar incompreensível • Oferece garantia de sigilo dos conteúdos Algoritmo + Chave = Código criptograf. L+D D=3 ad, be, cf, ... Exemplo: atacar  dxdfdu • Criptoanálise = desvendar criptografados • Hoje algoritmos complexos e chaves fortes • Tipos de criptog: Simétrica e Assimétrica

12. Criptografia Simétrica • Chave única para cifrar e decifrar um conteúdo eletrônico • Muito rápida para decifrar em relação a criptografia assimétrica Destinatário Remetente Texto cifrado Texto normal Texto normal Decript Encript 1) Segredo compartilhado Problemas  2) Multiplicação de chaves

13. Criptografia Assimétrica • Único par de chaves matematicamente relacionadas pública e privada • Conteúdo cifrado por qualquer uma, só pode ser decifrado por qualquer outra • Segurança depende do tipo de algoritmo e do tamanho da chave criptográfica sendo mínimo recomendável 1024 bits (RSA) + = Conteúdo Sinal Autor Assinatura + = Resumo cont. Assinat. Digital Chav Crip Aut

14. PUB Internet Criptografia Assimétrica RECEPTOR Conteúdo Criptografado !@#$!%!@#$%! Conteúdo normal EMISSOR Segredo não compartilhado Conteúdo normal !@#$!%!@#$%! PRIV RECEPTOR RECEPTOR Conteúdo Criptografado +++ Garantia de Sigilo +++ Pode-se combinar Simétrica com Assimétrica

15. ICP Infra-estrutura de Chaves Públicas Criptografia e Hash Certificação Digital Assinatura Digital ICP=PKI (Public Key Infrastructure)

16. Função Hash • Gera um resumo do conteúdo eletrônico chamado Código Hash (Message Digest) • Deve gerar códigos Hash irreversíveis • Evitar códigos repetidos para conteúdos diferentes (deve ser resistente a colisões) • Recomendável chave de no mínimo 128 bits (para algoritmos SHA/MD5) + = Conteúdo Sinal Autor Assinatura + = Código Hash Assinat. Digital Chav Crip Aut

17. Gerando Função Hash H o j e j a f o i d e c i d i d o 721111061011069710211110510010199105100105100111 á  225 Total = 1732 Total DIV 100 = 17 Total MOD 100 = 32 1860 18 60 +++ Garantia de Integridade +++

18. Criptografia X Hash Criptografia (codificação reversível) Original: 58431720844123736124178N+D, D=1: 69542831955234847235289 Código Hash (resumo irreversível) Original: 58431720844123736124178 Números: 91

19. ICP Infra-estrutura de Chaves Públicas Criptografia e Hash Certificação Digital Assinatura Digital ICP=PKI (Public Key Infrastructure)

20. Certificação Digital • Expedição e controle de Certificados Digitais(carteiras de identidade eletrônicas) por Autoridades Certificadoras – AC’s • Componente de confiança (ISO X509v3) • Permite a qualquer momento atestar a titularidade de uma chave criptográfica • Vinculação entre Certificado e titular, garantida pela Autoridade de Registro +++ Garantia de Autenticidade +++

21. Certificado Digital É um arquivo eletrônico que contém informações de identificação, permitindo assegurar a identidade de quem assina uma mensagem ou documento eletrônico. Informações de Identificação Titular Chave Pública do Titular Nome da Autoridade Certificadora Validade conforme LCR (Lista de Certificados Revogados)

22. ICP Infra-estrutura de Chaves Públicas Criptografia e Hash Certificação Digital Assinatura Digital ICP=PKI (Public Key Infrastructure)

23. Assinatura e Certificação Digital Conteúdo .... ... .... ... ... . ...... ..... ..... .. .. ... ... .. .. .... ......... .... .... .... ..... ..... .. . .... .... .......... ........ Sistema criptográfico seguro (sigilo) e conectar autor a um conteúdo Certificação digital (autenticidade) identificação do autor via chave criptográfica Função resumo (integridade) + = Código Hash Assinat. Digital Chav Crip Aut

24. Assinatura e Certificação Digital AR AC CHAVE PRIVADA CHAVE PÚBLICA Certificação da Assinatura do DOCUMENTO Assinatura de DOCUMENTO Eletrônico Trâmite

25. Assinatura e Certificação Digital Requisitos para garantias de uma ICP: 1 - Sistema criptográfico seguro 2 - Sigilo da chave privada 3 - Código Hash resistente a colisões 4 - Autoridade Certificadora confiável 5 - Ambientecomputacional seguro

26. Principais Aplicações • Garantia de segurança transações eletrônicas • Assinatura, sigilo, integridade e autenticação de mensagens e documentos eletrônicos + • Autenticação de servidores e Bancos de Dados • Autenticação de sites e paginas da Internet • Proteção de software e aplicativo seguro • Telefone e FAX seguros • Votação e avaliação virtual • Cartório virtual, etc. + Mais informações a seguir

27. Assinatura Encriptada Emissor Código hash único Cálculo da função hash Documento do Emissor ##$%##%$ 14867452 PRIV Sr. receptor: Documento com Assin. Digital Sr. receptor: Documento com Assin. Digital Emissor Código hash Decriptograf. PUB 14867452 ##$%##%$ Cálculo da função hash Internet 14867452 Código hash Calculado Aplicação no Trâmite de Documentos Eletrônicos Emissor Receptor Garantia de Autenticidade com Integridade

28. Aplicação no Armazenamento de Documentos Eletrônicos Quanto a criação Acervo ou DemandaQuanto ao conteúdo Estático ou DinâmicoQuanto ao acesso Consulta ou Atualização Utilização ideal para documentosestáticosemdemanda Dinâmicoemdemanda: nova assinatura apósatualização Consulta:sob verificação de integridade e autenticidade Acervo: pode ser re-assinado quando possível (autoria?)

29. Utilização de Componentes da Assinatura e Certificação Digital com Baixo Custo • Garantia de integridade utilizando somente códigos Hash (resumos) • Garantia de sigilo utilizando algoritmos criptográficos livres • Garantia de autenticidade com o uso de certificação interna

30. Alguns Cases no Brasil • Bancos: Sistema de Pagamentos Brasileiro • Cartórios: Fé pública em cópias eletrônicas • TSE: Projeto sistema de votação eletrônica • e-Documentos (e-CPF, e-CNPJ, etc.) + • Uso no Governo Federal: desde janeiro de 2001 para trâmite de documentos entre a Presidência da República e Ministérios + Problemas com sigilo da chave privada

31. Requisitos Garantias da ICP 1 - Sistema criptográfico seguro 2 - Sigilo da chave privada (ponto vulnerável) 3 - Código Hash resistente a colisões 4 - Autoridade Certificadora confiável 5 - Ambiente computacional seguro comGED Solução possível: ICP + Biometria

32. Case Governo Federal Fonte: Marinha do Brasil

33. Case Governo Federal Fonte: Marinha do Brasil

34. Case e-Documentos Polêmica:Eficácia com Segurança XPrivacidade

35. Aspectos Jurídicos • Evolução da legislação e das tecnologias • Arcabouço legal para Certificação Digital • Críticas ao atual modelo brasileiro de ICP • Perspectivas de evolução do atual modelo • Autenticação de documentos eletrônicos • Validade jurídica X Força probatória

36. Aspectos Jurídicos Mundo Virtual: Legislação x Tecnologia Propostas e Recomendações Arcabouço Legal Novas Tecnologias Internacional Leis modelo Doutrina Jurídica Pesquisa Científica Legislação Vazio Tecnologia

37. Aspectos Jurídicos Arcabouço Legal para Certificação Digital: • Papel (suporte) X Eletrônicos (conteúdo) • Leis modelo Nações Unidas UNCITRAL • Leis internacionais: UE, USA, UK, etc. • Leis, Decretos, Resoluções e Portarias* • Medida Provisória 2200-2/Regulamentos+ • Projetos de Lei no Congresso Nacional+ *www.iti.gov.br

38. Aspectos Jurídicos Medida Provisória 2.200-2 24/08/2001: • Institui a ICP-Brasil e define sua estrutura • Equivalência legal entre documentos em papel e documentos eletrônicos originais • Autenticidade e integridade com força de lei quando AC credenciada pela ICP-Brasil • Não exclui garantias de leis civis e comerciais www.iti.gov.br

39. ICP-Brasil AC raiz Autoridades Certificadoras Intermediárias AC1 AC2 AC3 AC4 AC5 AC6 Usuários Finais

40. ICP-Brasil • Comitê Gestor do Governo como Autoridade de políticas e gestão vinculado à Casa Civil • Todas entidades nacionais vinculadas a uma única AC-Raíz • AC-Raíz operacionaliza, fiscaliza e audita AC’s abaixo dela, mas não pode emitir certificados para usuários finais • Certificação cruzada só permitida via AC-Raíz com AC-Raízes de entidades estrangeiras

41. Certificação Cruzada ICP Brasileira ICP-Estrangeira OK AC AC raiz raiz AC1 AC2 AC1 AC2 AC1 AC1

42. ICP-Brasil DENTRO FORA Comitê Gestor / ICP-Brasil Entre partes NORMATIZAÇÃO MP 2200-2 Art. 10 § 1º MP 2200-2 Art. 10 § 2º AC-RAIZ BRASIL AC-RAIZES DIVERSAS CREDENCIAMENTO OPERAÇÃO AC Privadas AC Governo AC Privadas AC Privadas Dec 3.996 Dec 4.414 AC Privadas AC AC Privadas AC AR Privadas AR Privadas Credenciadas AR Governo usuários usuários Fonte: ITI

43. Aspectos Jurídicos Críticas ao atual modelo ICP-Brasil: • Certificação cruzada só ICP’s estrangeiras • Integração com outros Poderes da República • Vinculação da iniciativa privada a AC-Raiz Perspectiva para evolução do atual modelo: LEI nnnnn (novo modelo) Convalidando ações até então realizadas pelo atual modelo MP 2200-2 ICP-Brasil

44. Projetos de Lei no Congresso Nacional • 1589/1999 Câmara Luciano Pizzatto (OAB - SP), assinatura digital e validade jurídica doc. eletrôn. • 1483/1999 Câmara Dr. Hélio, fatura eletrônica e incorpora 1589 (Assespro, Brisa, OAB, IDEC, ...) • 4906/2001(672) Câmara Aprovado na comissão especial em 26/09/2001 incorporando 1483 e 1589 • 7316/2002 Câmara Uso Assinaturas eletrônicas e prestação de serviços de Certificação Digital www.camara.gov.br/internet/sileg/Prop_Pesquisa.asp

45. Autenticação Digital DOCUMENTO EM PAPEL ELETRÔNICO Assinatura Assinatura Reconhecimento com Fé Pública ORIGINAL Reconhecimento dentro ICP-Brasil (.doc, .xls, .ppt, etc.) Reprodução Reprodução Autenticação dentro ICP-Brasil com Fé Pública CÓPIA Autenticação com Fé Pública (.tif, .jpg, .gif, etc.)

46. Documento Eletrônico Validade JurídicaForça Probatória X Contrato.............................................................................................................................................................................................................................................................................................................................................................................................................. Contratante Contratado X9r43281053 4a7v6156z4 Documento autênticoXProcesso autêntico

47. Referências Aspectos tecnológicos: Assinatura Digital, Marlon Marcelo Volpi (cap. 1,2) Aspectos Legais: Direito Digital, Patrícia Peck, Editora Saraiva Criptografia: O Livro dos Códigos, Simon Singh, Editora Record Matéria de capa Mundo da Imagem: www.cenadem.com.br/mundo_da_imagem/55.cwdo GED – Gestão Eletrônica de Documentos: www.cenadem.com.br (empresarial) www.sage.coppe.ufrj.br/ged.html (acadêmico)

48. Obrigado! Perguntas? Stefano Kubiça stefano@pr.gov.br