O que é uma assinatura digital?

Cristian Thiago Moecke 260 views4

A assinatura digital é uma técnica capaz de agregar características de segurança semelhantes às obtidas ao assinarmos um documento utilizando papel e caneta, mas em meio eletrônico. Trata-se de uma forma de assinar arquivos digitais do tipo PDF, DOC, ou qualquer outro formato.

Quando buscamos formalizar um acordo ou demonstrar a autoria de determinada informação em meio físico, fazemos isso na forma de uma assinatura. Esta assinatura é, geralmente, uma marca manuscrita, com uma representação gráfica que faz alusão ao nome de seu autor. A assinatura carrega consigo características grafotécnicas dadas pela singularidade na forma de escrever de cada pessoa. Tais características, como a pressão utilizada na escrita e detalhes da caligrafia do indivíduo, são analisadas e comparadas com exemplares reconhecidamente provenientes do mesmo autor. Dá-se assim o processo de conferência ou validação de uma assinatura.

Ao receber um documento assinado, preocupamo-nos com sua autenticidade e autoria, ou seja, se ele foi realmente assinado pelas partes interessadas no documento, de forma legítima. Muitas vezes recorre-se a um cartório para que seja conferida a assinatura de uma pessoa, processo conhecido como reconhecimento de firma. Outra preocupação frequente é relacionada com a integridade do conteúdo, onde são verificadas possíveis rasuras ou sinais que evidenciam uma tentativa de falsificação/modificação.

Em meio virtual, tal como ocorre no papel, é também possível obter garantias desejáveis a um documento assinado, como a autenticidade, autoria e integridade. Tudo isso graças a um conjunto de procedimentos matemáticos: os chamados algoritmos criptográficos de chave pública. Essas funções produzem um código de identificação único que associa um autor ao conteúdo produzido. Esse código é conhecido como assinatura digital e tem a propriedade de poder ser verificável por qualquer outra pessoa a quem interesse o documento, assim como ocorre com a assinatura de próprio punho.

Em uma assinatura convencional, manuscrita, a segurança do processo reside na capacidade de cada um de nós em produzir uma marca única, dadas as particularidades em nossa escrita. Já na assinatura digital, a segurança está atrelada à posse de um par de chaves criptográficas único para cada pessoa, conhecidas como chave privada de assinatura e chave pública de verificação. Essas duas chaves são geradas aleatoriamente por funções matemáticas e trabalham em conjunto. Tudo que uma assina, a outra, e somente a outra, é capaz de verificar. Assim, a chave privada é guardada sob a posse do usuário enquanto a chave pública é distribuída livremente na forma de um Certificado Digital.

assinatura_digital

Como ilustrado, a assinatura digital emprega uma primeira função matemática, conhecida como resumo criptográfico ou hash, para produzir uma representação reduzida e única do conteúdo a ser assinado. É sobre esse identificador que se aplica um segundo procedimento, a função criptográfica de assinatura propriamente dita, que faz uso da chave privada do usuário para produzir a assinatura digital. Por fim, é gerado um pacote assinado que contém o documento, a assinatura e o certificado do assinante, utilizado para verificar o processo. O certificado digital contém a chave pública do signatário, permitindo que qualquer interessado confira sua autenticidade. Quem recebe o documento precisa utilizar a chave pública contida no certificado digital para reverter o processo de criptografia, obtendo novamente o hash calculado pelo assinante. Tirando um novo hash do documento recebido e comparando com o obtido no passo anterior, o verificador tem a certeza de que se trata do mesmo conteúdo assinado. Qualquer mínima alteração, de uma letra sequer, produzirá um resumo completamente diferente e invalidará a assinatura.

Para não ter dúvidas sobre a identidade do assinante, o verificador precisa confiar na entidade que emitiu o certificado, a Autoridade Certificadora. Se o certificado tiver sido emitido por uma AC confiável, o verificador tem a garantia de que a informação é autêntica, não foi modificada e que foi produzida pelo titular do certificado.

Ao compreender o funcionamento básico de uma assinatura digital, um questionamento frequente diz respeito à validade de documentos assinados dessa forma. Afinal, a legislação brasileira reconhece esse tipo de assinatura como um procedimento válido? A resposta é afirmativa.

 

COMPARTILHE ESSA POSTAGEM

Cristian Thiago Moecke

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina. Atuou desde a graduação em projetos relacionados à ICP-Brasil no Laboratório em Segurança em Computação da Universidade Federal de Santa Catarina, tendo participado do desenvolvimento, gestão de qualidade e gestão de projeto do Sistema de Gestão de Autoridades Certificadoras do projeto João de Barro, plataforma criptográfica nacional para as Autoridades Certificadoras Raiz e Intermediárias da ICP-Brasil. Atuou também em pesquisa e aprimoramento dos padrões brasileiros de assinatura digital. Foi pesquisador em Usable Security no CASED (Center for Advanced Security Research), em Darmstadt, Alemanha. Hoje é colaborador da BRy Tecnologia, onde lidera projetos de inovação na área de segurança em documento eletrônico.

Comentários (4)

  1. Muito bem explicado. Obrigado.




    0



    0
    1. BRy Tecnologia

      Olá Paulo,

      Obrigado, conte conosco!

      Equipe BRy Tecnologia




      0



      0
  2. Ótima postagem! Tirou várias duvidas que surgiram no desenvolvimento de meu trabalho acadêmico em segurança. Utilizarei como fonte para meu seminário. Obrigado!




    0



    0
    1. BRy Tecnologia

      Obrigado pela visita e pelo feedback Waldyr!




      0



      0

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>