Como é realizada a verificação de assinatura digital?

Darlan Vivian 198 views10

Uma dúvida comum para usuários de assinatura digital é: como ocorre a verificação de assinatura digital? Dois itens devem ser avaliados para verificar se uma assinatura digital é valida. Vamos discutir cada um deles:

Integridade da assinatura

Para validar a integridade de uma assinatura digital, deve-se comparar o resumo criptográfico do documento original com o resumo criptográfico que foi cifrado pelo assinante. Para isto utiliza-se a chave pública do certificado do assinante para decifrar a assinatura. Se os resumos criptográficos forem iguais, a assinatura está íntegra. Se não for o caso, temos então uma assinatura inválida.

Verificação de assinatura digital analisando a validade do certificado utilizado para assinar o documento

Para validar o certificado do assinante, é necessário verificar se ele está dentro do seu período de validade e não foi revogado. A verificação do período de validade é realizada comparando a data da assinatura do documento com a data de expiração do certificado. Para verificar se o certificado não foi revogado, é realizada uma consulta a uma Lista de Certificados Revogados publicada pela Autoridade Certificadora emissora do certificado digital.

Se você ainda tiver dúvidas sobre essa questão, entre em contato conosco!

COMPARTILHE ESSA POSTAGEM

Darlan Vivian

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina na área de roteamento seguro em redes de computadores sem fio. Trabalha desde 2005 no desenvolvimento e gestão de projetos de sistemas que utilizam protocolos e algoritmos criptográficos na proteção de informações e aplicações em meio eletrônico, atuando principalmente com assinatura digital, certificado digital, carimbo do tempo, infraestrutura de chaves públicas e autoridade de carimbo do tempo em conjunto com as tecnologias Java, C++ e PHP. Possui conhecimento sobre a estrutura normativa de padrões, políticas e regulamentações da ICP Brasil.

Comentários (10)

  1. Olá.
    Sou bioquímico e possuo um laboratório de análises clínicas. Estou implantando a assinatura digital nos meus laudos. Porém estou achando que há algo errado.
    Nos laudos não aparecem nenhum código de validação para caso meu paciente queira verificar a validade desse laudo. Perguntei na empresa q fez o sistema e que gera os laudos e eles disseram q esse código de validação não é necessário aparecer no laudo.
    Pergunto :
    Esse código de validação necessita ou não aparecer no laudo assinado eletronicamente?




    1



    0
    1. BRy Tecnologia

      Bom dia, Tiago!

      Os teus pacientes recebem o laudo de forma digital ou impressa?

      Se eles recebem o documento assinado digitalmente, realmente não precisa de nenhum código de validação. Para checar a validade basta que o paciente baixe esse documento e verifique a assinatura em algum sistema ou software específico para isso ou você pode ter uma funcionalidade em que o teu próprio sistema pode fazer a verificação para o paciente no momento em que ele acessa, visualiza ou faz o download.

      Se eles recebem o documento impresso, vale lembrar que a assinatura digital é válida apenas em meio digital. Uma assinatura digital em um documento impresso deixa de existir, ou seja, o laudo impresso sempre será uma cópia não assinada. Então pode ser interessante que você armazene todos os seus laudos na nuvem durante um período e coloque um código de verificação para que o paciente possa acessar o documento assinado digitalmente e fazer a verificação da assinatura, confirmando a sua validade.

      Mas de qualquer forma é bom deixar bem claro que ter ou não ter código não interfere na assinatura digital que você fez: no meio digital ela continua totalmente válida independente disso. No caso impresso o que acontece é que você fica com o laudo assinado e o paciente com um laudo não assinado. Aí depende de você avaliar se isso faz sentido ou não e exigir da empresa que fez o sistema as funcionalidades necessárias para seu negócio.

      Esperamos ter ajudado!

      Equipe BRy Tecnologia




      3



      0
  2. Olá Darlan,

    Minha dúvida é a seguinte: estou assinando em pdf com certificado digital válido até agosto de 2019. Como o certificado está válido, clicando em cima aparecem todas as informações sobre a validade. Mas o que vai acontecer depois de agosto de 2019? Se clicar em cima continuará aparecendo a validade anterior? Ou seja, quem precisar usar o documento verá que era válido na época da assinatura, que é o que interessa? Ou desaparecerá toda a informação sobre validade do certificado?

    Enfatizo que estou assinando em arquivo salvo em pdf e enviado por email. Não estou assinando dentro de portal de assinaturas gerando link e código de verificação que o destinatário poderá usar para baixar o arquivo.

    Grata,

    Raquel Schaitza




    1



    0
    1. BRy Tecnologia

      Olá Raquel,

      O que importa e determina a validade de uma assinatura digital é se o certificado estava válido no momento da assinatura e não se ele está válido no momento das verificações da assinatura.

      Alguns verificadores de assinatura podem até dar também informação sobre o status atual do certificado (válido ou expirado), porém é a informação do validade do certificado no momento da assinatura que vai garantir a validade do documento assinado.

      O que pode acontecer é que se a assinatura não é feita com o carimbo do tempo, o verificador não tem uma referência de tempo confiável para dizer se o certificado estava válido no momento em que o documento foi assinado. Assim, pode-se dizer que a assinatura digital realizada ficou inválida junto com a expiração do certificado e os verificadores podem emitir um alerta sobre a validade da assinatura e do certificado. Já se a assinatura é feita com carimbo do tempo, isso não acontece, e sempre será válida independente da validade do certificado.

      O carimbo do tempo é uma tecnologia que no momento da assinatura adiciona a data e hora da assinatura de uma terceira parte confiável, como o Observatório Nacional ou o Instituto Nacional da Tecnologia da Informação. Ele funciona como uma âncora temporal: quando você verifica a assinatura, o sistema vai lá e busca essa data e consegue garantir que o certificado estava válido no momento em que foi assinado.

      Esperamos ter conseguido responder sua dúvida, caso precise de mais algum informação, mantenha contato!

      Equipe BRy Tecnologia




      1



      0
      1. Olá, obrigada.

        Quanto ao carimbo de tempo compreendido e, sim, minha assinatura em pdf aparece com data, hora e até segundos. Basta clicar em cima da assinatura e ver os elementos de segurança. O que eu pergunto é um pouco diferente: depois que o certificado digital que estou usando expirar será ainda possível clicar na assinatura feita em um pdf antigo e continuar a ver que ela era válida no momento em que foi aposta? Ou esse “clique” será perdido?

        Eu sei que assinaturas em portais preservam essa informação pq existe um link que ainda poderá ser consultado. Já no pdf assinado como arquivo isolado, fora de um portal, não sei se haverá essa possibilidade, pois, talvez, a assinatura deixe de ser “clicável”.

        Lendo mais o seu blogue achei algo sobre “política de assinatura” e também enviei uma pergunta. Talvez haja relação.

        Grata




        0



        0
        1. BRy Tecnologia

          Oi Raquel,

          Se você tiver usado o carimbo do tempo, sim, a assinatura do arquivo vai continuar aparecendo como válida não importando se o certificado expirou ou não. Isso porque o verificador consegue checar que no momento da assinatura o seu certificado estava válido.

          Se você não tiver usado o carimbo do tempo deve aparecer um alerta ou mensagem de assinatura inválida (depende do verificador), já que o sistema não consegue ter certeza que seu certificado estava válido no momento da assinatura.

          A preservação dessa informação não tem nada a ver com o fato de ter sido assinado em portal e existir um link de consulta. Quando você acessa um link de consulta, na verdade o sistema vai acessar o documento assinado digitalmente que está armazenado na nuvem e fazer a verificação no momento que você o acessa. Se foi assinado com carimbo do tempo, então essa informação será preservada. Mas se esse documento não tiver sido assinado com carimbo do tempo, ele também emitirá um alerta ou mensagem de inválido. A longevidade da assinatura não tem relação com assinatura em portal, assinatura em softwares e nem links de consulta, tem relação apenas ao uso do carimbo do tempo na assinatura.

          Outro ponto importante é que sempre aparecerá data e hora e segundos da assinatura na sua verificação, mas isso não quer dizer que foi feita com carimbo do tempo (hora confiável). Essa data pode ter sido tirada do relógio do computador, por exemplo, e não garantirá a longevidade do seu documento assinado. A verificação deve informar que foi feita com carimbo do tempo.

          Esperamos ter esclarecido!

          Equipe BRy Tecnologia




          0



          0
          1. OK, obrigada. Fico pensando afinal de contas que “link de consulta” é acessado quando clico em cima da assinatura feita em pdf e aparece uma sequência de caixas de diálogo. Ao assinar em portal, isso é óbvio. No software, me parece menos óbvio, mas vou procurar me informar melhor.

            Obrigada pela explicação adicional, inclusive o detalhe do carimbo de tempo. Sei que não pode ser o relógio do computador, facilmente manipulável, mas achei que o fato de somente ser possível assinar em pdf online significaria que o software estaria acessando uma indicação de tempo confiável. Vou me informar melhor sobre isso também, pq, como tradutora juramentada, minhas assinaturas precisam, necessariamente, de arquivamento de longo prazo.

            Grata.




            0



            0

          2. BRy Tecnologia

            Oi Raquel,

            O que você chama de link de consulta na verdade nada mais é do que a verificação do documento assinado.

            Para garantir a longevidade do seus documentos apenas certifique que o portal, software ou sistema que você está usando para realizar a assinatura utiliza o carimbo do tempo.

            Você pode utilizar o BRy Signer ou o BRy Cloud para fazer verificação de documentos gratuitamente e assim conferir informações como o carimbo do tempo e padrões de assinatura. Nos dois produtos também é possível assinar documentos com carimbo do tempo.

            Estamos à disposição,

            Equipe BRy Tecnologia




            0



            0

  3. Bom dia.
    Por favor, ainda não me ficou claro a questão da verificação de integridade.
    Como é feito isso?
    Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?
    Qualquer um pode conferir?
    Onde pode conferir?
    No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?
    Ainda tenho muitas perguntas, mas, antecipadamente, grato pela atenção.




    1



    0
    1. BRy Tecnologia

      Olá Paulo,

      Vamos lá:

      Como é feito isso?

      A verificação de uma assinatura digital é realizada por algum software capaz de realizar esta operação. Comumente, os softwares de assinatura digital já contemplam a funcionalidade de verificação de assinatura. A integridade é determinada pela comparação do resumo criptográfico (hash) do documento original com o resumo criptográfico cifrado pelo signatário. A obtenção do resumo criptográfico é possível através da decifragem da assinatura, utilizando a chave pública do certificado do assinante.

      Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?

      A chave pública do certificado do assinante é acessível a qualquer pessoa que tenha acesso ao documento assinado.

      Qualquer um pode conferir?

      Sim, quem tiver acesso ao documento assinado, utilizando-se de um software capaz de verificar uma assinatura digital, será capaz de verificar esta assinatura e obter os dados a respeito da mesma (quem assinou, dados técnicos da assinatura, etc).

      No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?

      Apenas uma assinatura digital realizada com um certificado ICP Brasil possui validade jurídica estabelecida. Se o objetivo é atestar a ciência de todos os membros envolvidos na coleta, garantindo validade jurídica ao processo, todos eles devem assinar digitalmente o documento com seus próprios certificados ICP Brasil. Assinaturas digitalizadas são apenas uma representação digital (imagem) de uma assinatura de próprio punho e não possuem validade jurídica contestável.

      Você pode saber um pouco mais sobre o que é uma assinatura digital no nosso post O que é uma assinatura digital ou o baixar o nosso infográfico Tudo sobre Assinatura Digital.

      Esperamos ter ajudado, qualquer dúvida entre em contato! 🙂

      Equipe BRy Tecnologia




      2



      0

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>