O que é uma Autoridade Certificadora e quais são confiáveis?

Cristian Thiago Moecke 193 views0

As Autoridades Certificadoras são entidades responsáveis pela emissão de “certificados digitais”. Pessoas e organizações interessadas em desburocratizar algumas atividades quotidianas, como assinar documentos digitalmente, comunicar-se com outras pessoas, entre outras atividades que necessitam de autenticidade e sigilo, podem fazê-lo através de um Certificado Digital. Para obter um certificado digital, devem recorrer às chamadas Autoridades Certificadoras.

Também conhecidas por ACs, essas entidades têm como principal responsabilidade a emissão do certificado, uma identidade digital que referencia inequivocamente uma pessoa ou organização. Para garantir a legitimidade do processo, é comum que as autoridades certificadoras verifiquem documentação física dos requerentes, antes de emitir o certificado. As ACs são fiscalizadas periodicamente, submetendo-se a rigorosos processos de auditoria, tudo isso para que somente usuários devidamente identificados no mundo real recebam a identidade virtual.

Uma AC pode emitir certificados para uma pessoa, empresa, equipamento ou ainda para outra AC, criando assim uma verdadeira infraestrutura de confiança, como ilustra a figura abaixo.

autoridade-certificadora

No Brasil, a infraestrutura mais conhecida é a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), regulada pelo governo federal e instituída por lei para dar validade jurídica aos documentos tramitados eletronicamente.

A Autoridade Certificadora mais importante da ICP-Brasil é a AC-Raiz Brasileira. A AC-Raiz é o ponto máximo de confiança da infraestrutura. Ela é responsável pela emissão dos certificados de todas as ACs a ela diretamente subordinadas, as chamadas ACs Intermediárias de primeiro nível, ou Normativas. Por serem de extrema importância para a infraestrutura, as chaves privadas dessas autoridades são mantidas em ambientes de altíssima segurança, as chamadas salas-cofre. A AC-Raiz e as Normativas não têm qualquer contato com o ambiente externo à sala-cofre, demandando rígidos procedimentos de segurança, sempre que for necessário adentrar ao ambiente para a emissão de um novo certificado.

As ACs de primeiro nível, por sua vez, emitem também certificados para outras ACs, de segundo nível, ou ACs Finais. As ACs Finais são também mantidas em ambiente seguro, de nível equivalente às ACs superiores. Contudo, diferente delas, as ACs Finais possuem conexão com a internet, pois recebem requisições para emissão de certificados para entidades finais, feitas através da internet.

Autoridades de Registro

Com vista a auxiliar no processo de validação da identidade física dos titulares, antes de emitir um certificado digital, as ACs delegam o trabalho de verificar a documentação física de pessoas e organizações a Autoridades de Registro. As chamadas ARs na ICP-Brasil estão espalhadas por todo o país e realizam o processo de conferência da documentação física que atesta identidade de pessoas e organizações, procedimento que exige inclusive a presença dos solicitantes, pessoalmente, em um ponto de atendimento da AR. A emissão de um certificado digital ICP-Brasil envolve também a assinatura manuscrita de um termo de compromisso, em que o titular do certificado compromete-se em manter seu certificado em segurança.

Processo de emissão de um Certificado Digital

Em geral, o processo de emissão de um certificado passa pelas seguintes etapas:

  • Solicitação do certificado: esta etapa é realizada, em geral, no site da Autoridade Certificadora, em que o solicitante preenche um formulário eletrônico com seus dados, submete-o à AC e agenda uma data e hora para fazer a validação presencial;
  • Validação presencial: nesta fase, o solicitante se dirige até um ponto de atendimento da Autoridade de Registro, em posse de seus documentos de identidade, como CPF ou RG. Um agente autorizado valida a documentação, arquiva os documentos do solicitante e autoriza a emissão do certificado;
  • Emissão do certificado: nela ocorre efetivamente a emissão da identidade digital. Essa etapa só ocorre se no mínimo dois agentes de registro confirmarem que a validação presencial correu sem quaisquer irregularidades. Em algumas Autoridades Certificadoras, esta etapa ocorre no mesmo momento da validação presencial e o titular do certificado emitido já sai da Autoridade de Registro com um token ou cartão (smart card) contendo o certificado.
  • Instalação do certificado: quando a emissão ocorre em uma etapa subsequente à validação presencial, a instalação do certificado emitido consiste na última etapa do processo de emissão. Nesse caso, é comum que a Autoridade Certificadora informe ao usuário, por e-mail, que seu certificado digital está disponível para ser instalado. É o caso dos certificados A1, que são instalados diretamente no computador do usuário, após a validação presencial.

Como identificar se uma Autoridade Certificadora é confiável?

A confiança em uma autoridade está atrelada às políticas e procedimentos implementados por ela para atestar a identidade de um titular de certificado. É importante notar que há certificados digitais com diferentes propósitos, que requerem diferentes níveis de segurança na confirmação da identidade para sua emissão. Por exemplo, um certificado utilizado apenas para assinatura de e-mails pode requerer uma comprovação de que o titular é dono daquela conta, o que pode ser obtido com um simples envio de e-mail de confirmação. As políticas e procedimentos de uma AC que emite esse tipo de certificado não requerem a mesma formalidade exigida para a emissão de um certificado digital ICP-Brasil, com o propósito mais abrangente de identificar uma entidade em meio virtual, possibilitando não só o envio de e-mails, como também a prestação de contas, assinatura de contratos, emissão de declarações, entre um número crescente de serviços.

No Brasil, os certificados emitidos pela ICP-Brasil são considerados confiáveis, pois possuem amparo legal da Medida Provisória 2.200-2. A legislação garante a prerrogativa de veracidade aos documentos assinados com a identidade emitida por AC afiliada à infraestrutura. A quem questionar a validade da assinatura, caberá o ônus de provar sua irregularidade. As autoridades certificadoras ICP-Brasil confiáveis estão listadas no site do ITI através do endereço: http://www.iti.gov.br/icp-brasil/estrutura

A lei não impede, contudo, que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de segurança e propósitos de uso específicos. 

Para saber se o certificado emitido por uma Autoridade Certificadora é confiável, primeiramente verifique se a AC pertence à ICP-Brasil. Se a AC for afiliada à ICP-Brasil, você pode confiar nas credenciais por ela emitidas, salvo se tiverem sido revogadas ou extrapolado o prazo de validade. Por outro lado, se não for, procure se informar sobre as políticas e procedimentos utilizados por essa AC. Verifique se elas estabelecem o propósito de uso adequado para o certificado e se existe acordo firmado entre as partes interessadas, que garanta a confiança mútua no uso da identidade digital particular.

 

COMPARTILHE ESSA POSTAGEM

Cristian Thiago Moecke

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina. Atuou desde a graduação em projetos relacionados à ICP-Brasil no Laboratório em Segurança em Computação da Universidade Federal de Santa Catarina, tendo participado do desenvolvimento, gestão de qualidade e gestão de projeto do Sistema de Gestão de Autoridades Certificadoras do projeto João de Barro, plataforma criptográfica nacional para as Autoridades Certificadoras Raiz e Intermediárias da ICP-Brasil. Atuou também em pesquisa e aprimoramento dos padrões brasileiros de assinatura digital. Foi pesquisador em Usable Security no CASED (Center for Advanced Security Research), em Darmstadt, Alemanha. Hoje é colaborador da BRy Tecnologia, onde lidera projetos de inovação na área de segurança em documento eletrônico.

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>