O que é um certificado digital?

Darlan Vivian 111 views2

Um certificado digital é tido como uma identidade eletrônica das pessoas, sejam elas físicas ou jurídicas. Devido a essa semelhança com um documento oficial, tal como CPF e CNPJ, a Receita Federal brasileira popularizou o termo e-CPF e e-CNPJ como sinônimo de certificado digital.

Com um certificado digital, é possível garantir de forma inequívoca a identidade de uma pessoa ou empresa, mesmo sem uma apresentação presencial. Graças ao emprego de técnicas avançadas de criptografia que se utilizam do certificado digital, este artefato torna-se extremamente útil para transações eletrônicas que exigem garantias como autenticidade e autoria. Como os usuários podem ser identificados de forma inequívoca, mesmo remotamente, há uma vasta gama de atividades que se tornam passíveis de migração para o meio eletrônico. Ao invés de se deslocar até um banco para abrir uma conta, por exemplo, um cidadão, em posse de um certificado digital, pode solicitar a abertura a partir de seu computador, no conforto de sua casa.

Outra grande funcionalidade do certificado digital é permitir a manifestação de intenções e consentimentos na forma eletrônica, processo conhecido como a assinatura digital de documentos. O emprego da assinatura digital permite o envio de e-mails assinados ou até mesmo secretos, a contratação de serviços, a delegação de poderes, entre tantas outras atividades do nosso dia a dia que outrora exigiam assinatura manuscrita e reconhecimento de firma.

Mas o que torna o certificado digital uma forma de identificação segura? Tecnologicamente, um certificado consiste em um arquivo eletrônico, emitido por uma Autoridade Certificadora, entidade responsável por verificar a identidade de titular antes de emitir seu certificado. Uma vez identificado o titular, ao verificarem o certificado, outras pessoas que também confiam na autoridade emissora têm a certeza de que estão tratando com a entidade esperada. O certificado, portanto, contém dados referentes a uma pessoa ou organização e os relaciona com uma chave secreta de assinatura. Cada usuário tem uma chave de assinatura única, um segredo que pode ser comparado à forma única com que cada pessoa realiza a assinatura em papel. Por representar a assinatura digital de uma entidade, essa chave deve ser mantida em segredo e estar muito bem protegida. Para proteger a chave privada de assinatura e facilitar o acesso ao certificado digital, ambos são geralmente armazenados nos chamados dispositivos criptográficos, como o smart card e o token. A imagem abaixo mostra exemplos desses dispositivos.

O certificado digital possui um prazo de validade, além de informações que identificam o titular do documento, como nome, e-mail e CPF (no caso de uma pessoa física). Outro campo importante do certificado é sua chave pública. Ela é o vínculo entre o titular e sua chave privada de assinatura. A chave pública é utilizada no processo de verificação de uma assinatura realizada com a chave secreta do usuário. A Figura 2 ilustra o conteúdo de um certificado digital.

o que é um certificado digital

Para entender melhor os detalhes técnicos envolvidos na assinatura digital, veja o tópico “Como funciona a assinatura digital”. Por hora, basta saber que, enquanto seu certificado estiver válido e sua chave de assinatura estiver segura, você e somente você poderá assinar documento em seu nome e se identificar frente a sistemas na internet. Cuide bem de seu certificado e de sua chave privada, não empreste e não forneça seu certificado a terceiros.

Há inúmeras Autoridades Certificadoras no mundo. No Brasil, as Autoridades Certificadoras mais conhecidas são afiliadas a uma estrutura hierárquica, a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), uma verdadeira rede de segurança que visa permitir o uso de documentos eletrônicos seguros. Para conhecer mais sobre a ICP-Brasil, basta acessar o site http://www.iti.gov.br/icp-brasil/o-que-e. A legislação brasileira confere a documentos eletrônicos assinados a mesma eficácia jurídica dos assinados em papel. O marco legal para o uso da assinatura digital foi a publicação da Medida Provisória 2.200-2, em 2001.

A cada dia surgem mais e mais aplicações que se beneficiam das garantias trazidas pelo certificado digital. As primeiras aplicações a suportarem os certificados foram os clientes de e-mail, para o envio de comunicados com segurança. Outro tipo de aplicação que faz uso extensivo de certificados são os sites seguros na internet. Hoje já nos habituamos a ver o símbolo de um cadeado nos navegadores web, sinalizando estarmos acessando um site seguro. Entretanto, mais recentemente, passou a ser possível também a autenticação em portais web de bancos, realizar declaração de imposto de renda ou ainda assinar contratos e enviá-los sem a necessidade de impressão. É o caso do BRy SCAD e do serviço de Coleta de Assinaturas Digitais do BRy Cloud. Empresas também estão recorrendo cada vez mais a esta tecnologia para reduzir custos com impressão, distribuição, armazenamento e tempo, características possíveis com o emprego de certificados digitais.

QUAIS OS TIPOS MAIS COMUNS DE CERTIFICADO DIGITAL?

Um certificado digital pode ter diferentes propósitos. Ele pode servir apenas para identificar uma pessoa (como uma alternativa mais segura ao uso de login e senha), pode ser usado para assinar outros certificados, como ocorre com o de uma autoridade certificadora, ou para assinar quaisquer informações eletrônicas, caso dos certificados usados por pessoas físicas e jurídicas em geral.

Na ICP-Brasil, existem basicamente dois tipos de certificados destinados a entidades finais, os de assinatura ou “Tipo A” e os de sigilo ou “Tipo S”. Os primeiros podem ser utilizados para autenticar usuários e assinar documentos, enquanto os últimos são destinados a proteger informações de acesso não autorizado. Dentro de um mesmo tipo, há ainda uma classificação quanto à proteção aplicada sobre a chave privada de assinatura vinculada ao certificado. Os certificados A1 são armazenados em arquivo no computador do usuário e, por serem menos seguros, têm sua validade restrita a um ano. Já os do tipo A3, exigem que a chave privada seja gerada e armazenada em dispositivo criptográfico, segurança que possibilita a eles uma validade de até 5 anos. Tanto os certificados do tipo A1 quanto A3 são também conhecidos como e-CPF ou e-CNPJ e possuem a mesma finalidade. A diferença fica mesmo por conta da maior segurança e validade dos certificados A3.

É comum encontrar alguns nomes comerciais para os certificados digitais, como NF-e, para certificados de assinatura de notas fiscais eletrônicas, Servidor Seguro ou SSL (HTTPS), para certificados de servidores que protegem sites. Na prática, estes certificados seguem os propósitos definidos para certificados do Tipo A, contudo possuem características específicas relacionadas ao propósito de utilização. Em certificados de equipamento, por exemplo, é necessário identificar o site protegido pelo certificado, que será conferido pelos navegadores na hora que um usuário for acessar o site.

COMPARTILHE ESSA POSTAGEM

Darlan Vivian

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina na área de roteamento seguro em redes de computadores sem fio. Trabalha desde 2005 no desenvolvimento e gestão de projetos de sistemas que utilizam protocolos e algoritmos criptográficos na proteção de informações e aplicações em meio eletrônico, atuando principalmente com assinatura digital, certificado digital, carimbo do tempo, infraestrutura de chaves públicas e autoridade de carimbo do tempo em conjunto com as tecnologias Java, C++ e PHP. Possui conhecimento sobre a estrutura normativa de padrões, políticas e regulamentações da ICP Brasil.

Comentários (2)

  1. Artigo muito esclarecedor, parabens.




    1



    0
    1. BRy Tecnologia

      Obrigado, Edmilson! Conte conosco.

      Equipe BRy Tecnologia




      0



      0

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>