O que é Política de Assinatura?

Alex Sandro da Silva Pereira 33 views0

Políticas de Assinatura (PA) [RFC 3125] são documentos que definem as regras de realização e validação de assinaturas dentro de um determinado contexto. São disponibilizadas em versão textual, legível para humanos, e também ASN.1 e XML, para interpretação automatizada por computadores. Na ICP-Brasil as Políticas de Assinatura definem regras a serem seguidas pelos softwares assinadores e verificadores visando garantir a segurança técnica e jurídica dos documentos assinados.

Desta forma, para se assinar um documento seguindo o Padrão Brasileiro de Assinatura, haverá a necessidade de informar qual a política que deverá ser utilizada. Tecnicamente, o documento assinado passará a conter o identificador (OID) da PA dentro de uma de suas propriedades. Já o processo de validação, extrai o OID da política e verifica se a assinatura foi realizada seguindo os padrões definidos por ela. Por exemplo, uma assinatura ICP-Brasil utilizando a política CAdES AD-RT (OID 2.16.76.1.7.1.2.2.2) deverá ser realizada/validada da seguinte forma:

  • Possuir certificado ICP-Brasil emitido na cadeia V2 ou V5;
  • Utilizar identificador da Política: 2.16.76.1.7.1.2.2.2;
  • Utilizar o Algoritmo: sha256WithRSAEncryption(1.2.840.113549.1.1.11);
  • Utilizar certificado digital com Tamanho Mínimo de Chave: 2048 bits; e
  • Inserir Carimbo do Tempo emitido por uma Autoridade de Carimbo do Tempo ICP-Brasil;

O Instituto Nacional de Tecnologia da Informação (ITI) publicou novas versões das Políticas de Assinatura para os padrões CAdES e XAdES, além da primeira versão das políticas no padrão PAdES, e irá revogar as versões anteriores. As novas versões das Políticas de Assinatura foram publicadas por meio da Instrução Normativa Nº 03, de 01 de junho de 2016 [1]. As motivações para a publicação destas novas políticas de assinatura consistem em:

  • melhoria do conjunto normativo;
  • possibilidade de utilização do algoritmo SHA-512;
  • inclusão da nova cadeia de certificação da AC Raiz, a Cadeia V5, sendo esta a principal motivação para a publicação das novas políticas.

As novas versões das políticas são:

CAdES (AD-RB, AD-RT, AD-RV, AD-RC versão 2.2, AD-RA versão 2.3);

XAdES (AD-RB, AD-RT, AD-RV, AD-RC , AD-RA  versão 2.3);

PAdES (AD-RB, AD-RT versão 1.0, AD-RC, AD-RA  versão 1.1).

Visando descontinuar o uso das versões de política anteriores, que não permitem o uso da cadeia V5, além de incentivar a migração para a versão mais recente das políticas disponíveis, o Comitê Gestor optou por revogar as versões anteriores. Ou seja, serão revogadas as Políticas de Assinatura CAdES (AD-RB, AD-RT, AD-RV, AD-RC versão 2.1, AD-RA versão 2.2) e XAdES (AD-RB, AD-RT, AD-RV, AD-RC, AD-RA versão 2.2).

Para que as aplicações possam migrar e passar a utilizar as novas versões das Políticas de Assinatura foi definido um período de transitoriedade. Inicialmente, o prazo final deste período foi estabelecido para dia 28/11/2016, porém esse prazo foi estendido em 3 meses mudando para dia 26/02/2017. A partir dessa nova data, apenas as políticas novas deverão ser utilizadas.

Você já utiliza a nova política de assinatura digital? Conte-nos como foi o processo de migração para a nova versão e como planeja realizar.

[1] http://www.iti.gov.br/images/icp-brasil/legislacao/Instrucao/IN_2016-_03_APROVA_V7.1_DO_DOC-ICP-15.03ass_dig.pdf

A explicação sobre o período de transição foi feita por meio de duas notas técnicas que podem ser encontradas em

http://www.iti.gov.br/publicacoes/notas-tecnicas

COMPARTILHE ESSA POSTAGEM

Alex Sandro da Silva Pereira

Mestrando em Ciências da Computação na Universidade Federal de Santa Catarina e graduado em Sistemas de Informação pela mesma universidade, onde atuou em projetos relacionados ao ITI no Laboratório em Segurança em Computação (LabSEC). Detém conhecimento avançado sobre os formatos de assinaturas digitais atualmente utilizados no contexto nacional e internacional, a citar (XMLDSig, XAdES, CMS, CAdES, PDF, PAdES, XAdES-ICP-Brasil, CAdES-ICP-Brasil e PAdES-ICP-Brasil). Hoje lidera projetos de desenvolvimento de soluções de criptografia. Além disso, participou da normatização do PAdES-ICP-Brasil e atualmente é membro do grupo permanente da manutenção dos padrões de assinatura digital da ICP-Brasil.

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>