O que é uma Autoridade Certificadora e quais são confiáveis?

Cristian Thiago Moecke 201 views8

As Autoridades Certificadoras são entidades responsáveis pela emissão de “certificados digitais”. Pessoas e organizações interessadas em desburocratizar algumas atividades quotidianas, como assinar documentos digitalmente, comunicar-se com outras pessoas, entre outras atividades que necessitam de autenticidade e sigilo, podem fazê-lo através de um Certificado Digital. Para obter um certificado digital, devem recorrer às chamadas Autoridades Certificadoras.

Também conhecidas por ACs, essas entidades têm como principal responsabilidade a emissão do certificado, uma identidade digital que referencia inequivocamente uma pessoa ou organização. Para garantir a legitimidade do processo, é comum que as autoridades certificadoras verifiquem documentação física dos requerentes, antes de emitir o certificado. As ACs são fiscalizadas periodicamente, submetendo-se a rigorosos processos de auditoria, tudo isso para que somente usuários devidamente identificados no mundo real recebam a identidade virtual.

Uma AC pode emitir certificados para uma pessoa, empresa, equipamento ou ainda para outra AC, criando assim uma verdadeira infraestrutura de confiança, como ilustra a figura abaixo.

autoridade-certificadora

No Brasil, a infraestrutura mais conhecida é a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), regulada pelo governo federal e instituída por lei para dar validade jurídica aos documentos tramitados eletronicamente.

A Autoridade Certificadora mais importante da ICP-Brasil é a AC-Raiz Brasileira. A AC-Raiz é o ponto máximo de confiança da infraestrutura. Ela é responsável pela emissão dos certificados de todas as ACs a ela diretamente subordinadas, as chamadas ACs Intermediárias de primeiro nível, ou Normativas. Por serem de extrema importância para a infraestrutura, as chaves privadas dessas autoridades são mantidas em ambientes de altíssima segurança, as chamadas salas-cofre. A AC-Raiz e as Normativas não têm qualquer contato com o ambiente externo à sala-cofre, demandando rígidos procedimentos de segurança, sempre que for necessário adentrar ao ambiente para a emissão de um novo certificado.

As ACs de primeiro nível, por sua vez, emitem também certificados para outras ACs, de segundo nível, ou ACs Finais. As ACs Finais são também mantidas em ambiente seguro, de nível equivalente às ACs superiores. Contudo, diferente delas, as ACs Finais possuem conexão com a internet, pois recebem requisições para emissão de certificados para entidades finais, feitas através da internet.

Autoridades de Registro

Com vista a auxiliar no processo de validação da identidade física dos titulares, antes de emitir um certificado digital, as ACs delegam o trabalho de verificar a documentação física de pessoas e organizações a Autoridades de Registro. As chamadas ARs na ICP-Brasil estão espalhadas por todo o país e realizam o processo de conferência da documentação física que atesta identidade de pessoas e organizações, procedimento que exige inclusive a presença dos solicitantes, pessoalmente, em um ponto de atendimento da AR. A emissão de um certificado digital ICP-Brasil envolve também a assinatura manuscrita de um termo de compromisso, em que o titular do certificado compromete-se em manter seu certificado em segurança.

Processo de emissão de um Certificado Digital

Em geral, o processo de emissão de um certificado passa pelas seguintes etapas:

  • Solicitação do certificado: esta etapa é realizada, em geral, no site da Autoridade Certificadora, em que o solicitante preenche um formulário eletrônico com seus dados, submete-o à AC e agenda uma data e hora para fazer a validação presencial;
  • Validação presencial: nesta fase, o solicitante se dirige até um ponto de atendimento da Autoridade de Registro, em posse de seus documentos de identidade, como CPF ou RG. Um agente autorizado valida a documentação, arquiva os documentos do solicitante e autoriza a emissão do certificado;
  • Emissão do certificado: nela ocorre efetivamente a emissão da identidade digital. Essa etapa só ocorre se no mínimo dois agentes de registro confirmarem que a validação presencial correu sem quaisquer irregularidades. Em algumas Autoridades Certificadoras, esta etapa ocorre no mesmo momento da validação presencial e o titular do certificado emitido já sai da Autoridade de Registro com um token ou cartão (smart card) contendo o certificado.
  • Instalação do certificado: quando a emissão ocorre em uma etapa subsequente à validação presencial, a instalação do certificado emitido consiste na última etapa do processo de emissão. Nesse caso, é comum que a Autoridade Certificadora informe ao usuário, por e-mail, que seu certificado digital está disponível para ser instalado. É o caso dos certificados A1, que são instalados diretamente no computador do usuário, após a validação presencial.

Como identificar se uma Autoridade Certificadora é confiável?

A confiança em uma autoridade está atrelada às políticas e procedimentos implementados por ela para atestar a identidade de um titular de certificado. É importante notar que há certificados digitais com diferentes propósitos, que requerem diferentes níveis de segurança na confirmação da identidade para sua emissão. Por exemplo, um certificado utilizado apenas para assinatura de e-mails pode requerer uma comprovação de que o titular é dono daquela conta, o que pode ser obtido com um simples envio de e-mail de confirmação. As políticas e procedimentos de uma AC que emite esse tipo de certificado não requerem a mesma formalidade exigida para a emissão de um certificado digital ICP-Brasil, com o propósito mais abrangente de identificar uma entidade em meio virtual, possibilitando não só o envio de e-mails, como também a prestação de contas, assinatura de contratos, emissão de declarações, entre um número crescente de serviços.

No Brasil, os certificados emitidos pela ICP-Brasil são considerados confiáveis, pois possuem amparo legal da Medida Provisória 2.200-2. A legislação garante a prerrogativa de veracidade aos documentos assinados com a identidade emitida por AC afiliada à infraestrutura. A quem questionar a validade da assinatura, caberá o ônus de provar sua irregularidade. As autoridades certificadoras ICP-Brasil confiáveis estão listadas no site do ITI através do endereço: http://www.iti.gov.br/icp-brasil/estrutura

A lei não impede, contudo, que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de segurança e propósitos de uso específicos. 

Para saber se o certificado emitido por uma Autoridade Certificadora é confiável, primeiramente verifique se a AC pertence à ICP-Brasil. Se a AC for afiliada à ICP-Brasil, você pode confiar nas credenciais por ela emitidas, salvo se tiverem sido revogadas ou extrapolado o prazo de validade. Por outro lado, se não for, procure se informar sobre as políticas e procedimentos utilizados por essa AC. Verifique se elas estabelecem o propósito de uso adequado para o certificado e se existe acordo firmado entre as partes interessadas, que garanta a confiança mútua no uso da identidade digital particular.

 

COMPARTILHE ESSA POSTAGEM

Cristian Thiago Moecke

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina. Atuou desde a graduação em projetos relacionados à ICP-Brasil no Laboratório em Segurança em Computação da Universidade Federal de Santa Catarina, tendo participado do desenvolvimento, gestão de qualidade e gestão de projeto do Sistema de Gestão de Autoridades Certificadoras do projeto João de Barro, plataforma criptográfica nacional para as Autoridades Certificadoras Raiz e Intermediárias da ICP-Brasil. Atuou também em pesquisa e aprimoramento dos padrões brasileiros de assinatura digital. Foi pesquisador em Usable Security no CASED (Center for Advanced Security Research), em Darmstadt, Alemanha. Hoje é colaborador da BRy Tecnologia, onde lidera projetos de inovação na área de segurança em documento eletrônico.

Comentários (8)

  1. Boa noite como me tornar uma AR , ja sou Agente de registro a 4 anos, tenho intenção de montar uma AR, quais precedimentos ?




    0



    0
    1. BRy Tecnologia

      Olá, Claudio!

      Para se tornar uma AR é preciso seguir alguns pré-requisitos determinados pela ICP-Brasil no DOC-ICP 03 e estar vinculado a uma Autoridade Certificadora (AC). Você pode saber mais na página do ITI ou entrar em contato com a Autoridade Certificadora que deseja se credenciar.

      Boa Sorte!

      Equipe BRy Tecnologia




      0



      0
  2. Pode existir mais de uma AC-Raiz Brasileira? O ITI é a AC-Raiz Brasileira e ele é responsável por TODAS as AC ligadas ao ICP-Brasil?




    0



    0
    1. BRy Tecnologia

      Oi Raphael,

      Isso mesmo. A nossa legislação normatizou um modelo centralizado onde só existe uma única AC-Raiz ICP-Brasil, porém podem existir outras AC-Raiz privadas que não são ICP-Brasil.

      Abraço,

      Equipe BRy Tecnologia




      0



      0
  3. Agente de Registro e Autoridade de Registro seriam a mesma coisa?
    Qual a média salarial de um Agente de Registro e uma Autoridade de Registro?




    0



    0
    1. BRy Tecnologia

      Olá Vanessa,

      A Autoridade de Registro (AR) é a entidade e o agente de registro é a pessoa que atua na Autoridade de Registro. Uma AR pode ter vários agentes de registro. A média salarial do agente de registro pode variar de entidade para entidade, mas normalmente é baixa e arriscaríamos dizer não ultrapassar de dois salários. As ARs ganham comissionamento sobre cada certificado da sua Autoridade Certificadora parceira, podendo ou não repassar ao agente. Quanto mais certificados forem conferidos pela AR, maior o ganho desta entidade.

      Esperamos ter ajudado!

      BRy Tecnologia




      0



      0
  4. Bom dia!

    Tenho interesse em abrir uma AC. Gostaria de saber qual o passo a passo.

    Muito obrigada!




    0



    0
    1. BRy Tecnologia

      Olá Fernanda,

      Na verdade se tornar uma AC não é um processo simples, o que inviabiliza a criação de um passo a passo para você. Para se tornar uma autoridade certificadora ICP-Brasil além do investimento que pode chegar perto da casa do milhão de reais, você precisa obedecer e cumprir um amplo número de regras, requisitos, infraestrutura, políticas, auditorias e soluções de alta complexidade em diversos aspectos, sendo necessário a entrega de dezenas de documentos. Neste caso aconselhamos procurar a própria ICP-Brasil para buscar informações a respeito. Uma opção mais simples é se vincular a uma AC existente para fazer uma revenda de certificados e neste caso recomendamos procurar a AC de sua preferência para informações. Já para implantar uma AC interna (comum em grandes empresas) apesar de um ser um processo mais simplificado, também requer consultoria e soluções altamente especializadas. Caso realmente tenha interesse em abrir uma AC, entre em contato com o nosso departamento comercial a respeito da nossa solução BRy ICP, que é uma plataforma para instalação de Autoridades Certificadoras, que teremos prazer em ajudar com todo esse processo.

      Abraço,
      Equipe BRy Tecnologia




      0



      0

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>