O que é um Certificado Digital?
O Certificado Digital é um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma entidade (pessoa, processo, servidor) a uma chave pública.
Na prática, o Certificado Digital funciona como uma carteira de identidade virtual que permite a identificação segura de uma mensagem ou transação em rede de computadores. O processo de certificação digital utiliza procedimentos lógicos e matemáticos para assegurar confidencialidade e/ou integridade das informações e confirmação de autoria.
Um Certificado Digital é um arquivo no computador que identifica você. Alguns aplicativos de software utilizam esse arquivo para comprovar sua identidade para outra pessoa ou outro computador. Alguns exemplos típicos são:
- Quando você consulta seu banco on-line, este tem que se certificar de que você é a pessoa que pode receber a informação sobre a conta. Como uma carteira de motorista ou um passaporte, um Certificado Digital confirma sua identidade para o banco on-line.
- Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o e-mail é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste.
Um Certificado Digital normalmente contém as seguintes informações:
- Sua chave pública
- Seu nome e endereço de e-mail;
- A validade da chave pública;
- O nome da empresa (a Autoridade Certificadora - CA ou AC) que emitiu seu Certificado Digital;
- O número de série do Certificado Digital;
- A assinatura digital da CA.
O que é um par de chaves de Certificado Digital?
Quando você se comunica com outra pessoa (ou computador), precisa de um ambiente seguro para trocar informações, de modo que ninguém as possa interceptar e ler. Atualmente, a maneira mais avançada de criptografar (embaralhar) dados é através de um sistema que utiliza pares de chaves. Um par de chaves é formado por uma chave pública e uma privativa. Estas são utilizadas como as chaves de uma fechadura, sendo que uma chave serve para proteger a fechadura e outra, para abri-la.
Quando você tem um par de chaves, seu aplicativo de software utiliza uma chave para criptografar o documento. Este, ao ser recebido, só poderá ser lido com o auxílio de uma chave correspondente, que irá decriptografar a mensagem. O problema com esse processo é como dar a alguém a "chave" para decriptografar sua mensagem, sem que ela caia nas mãos de outra pessoa?
A solução está na maneira como as chaves são utilizadas. Você cria uma chave privativa, que só pode ser usada com o Certificado Digital que você pediu, e uma chave pública, que passa a fazer parte do Certificado Digital. O navegador pode pedir a senha quando você acessar a chave privativa. É muito importante que você escolha uma senha que só você conheça. Não escolha seu aniversário, outras datas pessoais ou frases que alguém possa adivinhar.
Depois de receber e instalar o Certificado Digital, você pode distribui-lo a quem quiser. O Certificado Digital que você envia contém sua chave pública. Quando alguém quiser enviar uma mensagem criptografada para você, usará sua chave pública. A mensagem criptografada com sua chave pública somente poderá ser decriptografada por você, pois só você possui sua chave privativa.
Da mesma forma, quando você quiser enviar uma mensagem criptografada, primeiro você deverá obter a chave pública do destinatário. Isso pode ser feito procurando numa listagem ou pedindo que lhe enviem um e-mail assinado com o respectivo Certificado Digital, contendo a chave pública necessária. Seu aplicativo de e-mail pode guardar o Certificado Digital para quando este for necessário.
O que é Assinatura Digital?
A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento. A assinatura digital fica de tal modo vinculada ao documento eletrônico que caso seja feita qualquer alteração a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma "imutabilidade lógica" de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.
Quais as aplicações da Assinatura Digital?
São infinitas as possibilidades de aplicações da assinatura digital, dentre elas encontram-se as seguintes: - comércio eletrônico; - processos judiciais e administrativos em meio eletrônico; - facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; - assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; - obtenção e envio de documentos cartorários; - transações seguras entre instituições financeiras, como já vêm ocorrendo desde abril de 2002, com a implantação do Sistema de Pagamentos Brasileiro - SPB; - Diário Oficial Eletrônico; - identificação de sítios na rede mundial de computadores, para que se tenha certeza de que se está acessando o endereço realmente desejado;
O que é uma Autoridade Certificadora (AC)?
Uma CA (Autoridade Certificadora) é a empresa que emite um Certificado Digital para você. A sua CA pode ser a empresa para a qual você trabalha ou uma empresa que você paga para emitir Certificados Digitais.
O que é infra-estrutura de chave pública (PKI ou ICP)?
A PKI refere-se a um processo que utiliza chaves públicas e Certificados Digitais para garantir a segurança do sistema e confirmar a identidade de seus usuários. Por exemplo, uma empresa pode usar a PKI para controlar o acesso a sua rede de computadores. No futuro, as empresas poderiam usar a PKI para controlar o acesso a tudo, desde a entrada nos prédios até a obtenção de mercadorias.
A PKI permite que pessoas e empresas realizem negócios em particular. Os funcionários podem enviar e-mails pela Internet com segurança, sem se preocupar com a sua interceptação por um concorrente. As empresas podem construir sites privativos, enviando informações somente para clientes conhecidos.
A PKI baseia-se em um sistema de confiança, no qual duas partes (pessoas ou computadores) confiam mutuamente em uma CA (ou AC - Autoridade Certificadora) para verificar e confirmar a identidade de ambas as partes. Por exemplo, a maioria das pessoas e empresas confia na validade de uma carteira de habilitação de motorista ou em um passaporte. Isto ocorre porque elas confiam na forma pela qual o governo emite estes documentos. Entretanto, uma caderneta de estudante é normalmente aceita como prova de sua identificação apenas para a escola que a emite. O mesmo vale para os Certificados Digitais.
Com a PKI, ambas as partes de uma transação (seja ela um banco on-line e seus clientes ou um empregador e seus funcionários) concordam em confiar na CA que emite seus Certificados Digitais. Normalmente, o aplicativo de software que utiliza seu Certificado Digital tem algum mecanismo para confiar nas CAs. Por exemplo, um navegador contém uma lista das CAs em que confia. Quando é apresentado ao navegador um Certificado Digital (por exemplo, de um shopping on-line realizando comércio seguro), ele consulta a CA que emitiu o Certificado Digital. Se a CA estiver na lista de CAs confiáveis, o navegador aceita a identidade do site da Web e exibe a página da Web. Entretanto, se a CA não estiver na lista de CAs confiáveis, o navegador exibe uma mensagem de aviso que lhe pergunta se você deseja confiar na nova CA. Geralmente seu navegador lhe dá opções para confiar permanente ou temporariamente na CA ou não confiar em absoluto. Como usuário, você tem controle sobre em qual(is) CA(s) deseja confiar, porém o gerenciamento da confiança é feito pelo aplicativo de software (neste exemplo, pelo navegador).
O Brasil montou sua infra-estrutura de chaves-públicas denominada ICP-Brasil. Trata-se de um conjunto de regras e normas, baseadas em padrões públicos internacionais, que são definidas no país por um comitê gestor composto por representantes do governo e da sociedade civil. Essas técnicas, práticas e procedimentos que foram traçadas pelo seu Comitê Gestor com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública.
O modelo adotado foi o de certificação com raíz única. O Instituto Nacional de Tecnologia da Informação - ITI está na ponta desse processo como Autoridade Certificadora Raiz/AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira. Cabe ao instituto credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
Qual a estrutura da ICP-Brasil?
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. COMITÊ GESTOR O Comitê Gestor da ICP-Brasil vincula-se à Casa Civil da Presidência da República.
É composto por cinco representantes da sociedade civil, integrantes de setores interessados, e um representante de cada um dos seguintes órgãos: Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; Casa Civil da Presidência da República e Gabinete de Segurança Institucional da Presidência da República.
Sua principal competência é determinar as políticas a serem executadas pela Autoridade Certificadora-Raiz. AUTORIDADE CERTIFICADORA RAIZ – AC RAIZ A AC-Raiz da ICP-Brasil é o Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada à Casa Civil da Presidência da República. AUTORIDADES CERTIFICADORAS - AC As Autoridades Certificadoras são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. Nos termos do art. 60 da MP 2.200/01, compete-lhes "emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações". AUTORIDADES DE REGISTRO - AR As Autoridades de Registro também podem ser tanto entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão vinculadas operacionalmente a determinada AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes "identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações".
Autoridades Certificadoras credenciadas pela ICP-Brasil
. Caixa Econômica Federal
. Serasa
. Secretaria da Receita Federal (SRF)
. Autoridade Certificadora da Presidência da República -ACPR
. Autoridade Certificadora da Justiça (AC-JUS)
Postagens
Nenhum comentário:
Postar um comentário