BLOG
Entenda a Certificação Digital Brasileira ICP/Brasil
Em resumo, a certificação digital permite um meio suficientemente confiável para viabilizar uma identidade digital para os cidadãos e empresas brasileiras. Um processo de identificação ou assinatura de documentos em meios digitais com a confiança de toda uma governança controlada a partir de um órgão governamental.
Para isso, há duas etapas principais:
- Garantir que a identidade digital seja entrega à pessoa correta através de intermediários confiáveis
- Possibilitar a verificação de validade desta identidade de modo fácil
A primeira etapa é possível através de um algoritmo complexo de encriptação que permite que você tenha uma “hereditariedade” nos certificados digitais, isso viabiliza um controle eficiente sobre todas as partes envolvidas na sua emissão. Caso você não saiba, o “certificado” é apenas um arquivo com dados que foi gerado pelo algoritmo de encriptação, também chamado de “chave privada”.
Irei explicar a seguir usando uma analogia. Primeiramente é gerado o “Certificado PAI” pelo órgão regulador no país, em nosso caso o ICP/Brasil. A partir daí, gera-se os “Certificados FILHOS”, que são entregues para os intermediários confiáveis, as certificadoras digitais. Por sua vez, estes intermediários são qualificados em vários critérios da governança da cadeia, que os habilitam a gerar “Certificados NETOS” diretamente para os cidadãos e empresas (eCPF e eCNPJ) no país.
Esta “hereditariedade” permite que somente os intermediários portadores de certificados com o “DNA do PAI” possam emitir certificados NETOS válidos. Com isso você consegue controlar com bastante precisão quem está autorizado à gerá-los.
Os intermediários ainda executam um dos principais passos na geração de confiança de toda a cadeia de certificação, a validação “física” da pessoa ou empresa para a entrega correta da identidade digital. Este passo faz a conexão do mundo real e o virtual e cerca-se de várias verificações e registros para evitar fraudes.
Já a segunda etapa permite verificar facilmente se a assinatura em questão foi realizada por um “certificado NETO” válido, ou seja, se o mesmo foi emitido por um intermediário confiável (certificado FILHO), que por sua vez foi devidamente avaliado e habilitado pelo órgão regulador (certificado PAI).
Podemos dizer que esta validação é um “exame de DNA”, que verifica a hereditariedade do certificado e confirma que sua emissão passou por todo a cadeia de confiança controlada pelo ICP/Brasil. Esta segunda etapa também é chamada de “validação por chaves públicas”.
A validação é vital para cumprir o objetivo da certificação digital! Sempre que houver o recebimento de um contrato assinado digitalmente, por exemplo, é precisa realizar imediatamente a verificação da validade do certificado usado na assinatura. Do contrário, há o risco que a mesma tenha sido fraudada e ser percebido muito tempo depois.
O procedimento de validação consiste em um cálculo matemático complexo, porém é feita de forma automática por leitores de PDF (veja na sequência como instalar as cadeias de certificados brasileiras) ou pelo validador online oficial do órgão regulador no link https://verificador.iti.gov.br/.
A assinatura realizada com a certificação ICP/Brasil é regulamentada, e oferece um recurso similar ao reconhecimento de firma por semelhança realizado em cartórios. Podendo ser usada de modo efetivo na assinatura de diversos documentos ou contratações através da internet ou outros meios digitais.
Com os certificados digitais também é possível dar mais segurança à autenticação de usuários em sistemas online. Com isto também é possível criar grande dificuldade para o roubo de senhas e sustentar melhor a afirmação de que efetivamente foi o portador do certificado que acessou a plataforma.
Fato importante
É preciso atenção para o fato de que a cadeia de certificados brasileira foi criada de modo independente das cadeias internacionais, ou seja, provavelmente seu leitor de pdf não irá reconhecer a validade das assinaturas digitais prontamente. Para resolver isso é preciso instalar as “chaves públicas” da cadeia brasileira em seu sistema operacional. Saiba mais como nos links abaixo:
- https://www.certisign.com.br/duvidas-suporte/downloads/hierarquias
- https://serasa.certificadodigital.com.br/cadeia-v5/
- https://www.iti.gov.br/repositorio/84-repositorio/135-cadeias-da-icp-brasil
Complementando
- Ressalta-se que o termo “certificação” não está relacionado necessariamente a “dar veracidade”, e sim a emissão de certificados digitais (chaves privadas) que são usadas em todo o sistema.
- A cadeia de certificados internacional, e pré carregada nos sistemas operacionais, é controlada pela empresa Adobe Inc. É comum em vários países a geração independente de um “certificado PAI” próprio para seus sistemas de identidade nacionais.
- NUNCA aceite a orientação de “Adicionar aos certificados confiáveis”, isso força a aceitação do leitor de PDF sem considerar as chaves públicas. Ou seja, a validação do leitor de PDF é feita sem que ela passe pelo “exame de DNA” corretamente, eliminando a confiança totalmente.
- A validação das assinaturas deve ser feita em um computador confiável, do contrário, pode ter havido a operação citada no item anterior, que pode ser usada para fraudar uma situação.
- Os certificados que guardados em tokens USB ou cartões possuem uma segurança adicional. Estes recursos IMPEDE que hackers copiem seu certificado e realizem assinaturas não Autorizadas. Por este motivo, os certificados são armazenados nestes equipamentos podem ter uma validade maior.
- O certificado em “arquivo” oferece uma segurança menor, tanto que não é usada em diversos países. Ele é facilmente copiado para outro computador e pode ser usado para fraudes. Como forma de aumentar a segurança, no Brasil ele é emitido com a validade máxima de um ano.