segunda-feira, 18 de outubro de 2010

Como funciona o certificado digital? - Fonte Plantão Nerd

Como funciona o Certificado Digital?

Você sempre se perguntou como funciona um Certificado Digital? Qual a finalidade? Como conseguir um e as aplicações úteis para ele?
Bom, o PN vai responder todas as suas perguntas sobre Certificado Digital nesse post! Vamos lá:

Introdução:

Certificação digital é um conjunto de processos e técnicas que dão maior segurança às comunicações e às transações eletrônicas. Ela evita que os dados transmitidos sejam interceptados ou adulterados no trajeto entre a máquina do remetente e a do destinatário e identifica o autor da mensagem. Técnica com mais de duas décadas de existência, a certificação digital popularizou-se com a Internet e devido à necessidade crescente de agilizar processos e substituir por bytes as pilhas de papel existentes.
Os dois principais elementos da certificação digital são o certificado e a assinatura digitais, que têm como base a criptografia, técnica usada para codificar dados que trafegam pela Internet. Juntos, esses dois elementos comprovam a identidade de uma pessoa ou site e evitam fraudes nas transações eletrônicas.
A maioria dos programas de e-mail e dos navegadores orientam os usuários, de forma bastante didática, sobre como fazer operações baseadas na certificação digital. Quem nunca topou com uma mensagem do navegador dizendo ser impossível verificar se o site visitado é confiável ou não e mostrando a opção de examinar o certificado? Ou na janela de configuração de segurança do programa de e-mail a opção de usar um certificado digital para assinar as mensagens enviadas por uma determinada conta?
Se você nunca ouviu falar disso ou então pensava que o certificado digital era apenas uma versão eletrônica do diploma do curso de culinária, prepare-se. Em breve ele vai fazer parte do seu cotidiano. Alguns órgãos do Governo Federal já estão exigindo a adoção do certificado para acessar alguns de seus serviços online. A Secretaria da Receita Federal, por exemplo, disponibiliza para o contribuinte brasileiro com os certificados digitais e-CNPJ e e-CPF acesso a vários de seus serviços que, feitos do modo tradicional, exigem uma peregrinação sem fim por cartórios e postos da Receita.
Nas próximas etapas você vai saber tudo sobre certificação digital: o que é, como ela está sendo implantada no Brasil, quanto custa e como fazer para usá-la.

O que é certificado digital?

O certificado digital é um documento eletrônico que contém informações que identificam uma pessoa, uma máquina ou uma instituição na Internet. Para fazer isso, ele usa um software como intermediário – pode ser o navegador, o cliente de e-mail ou outro programa qualquer que reconheça essa informação. O certificado digital é emitido a pessoas físicas (cidadão comum) e jurídicas (empresas ou municípios), equipamentos e aplicações. A emissão é feita por uma entidade considerada confiável, chamada Autoridade Certificadora. É ela quem vai associar ao usuário um par de chaves criptográficas (pública e privada). São essas chaves, emitidas e geradas pelo próprio usuário no momento da aquisição do certificado, que transformam um documento eletrônico em códigos indecifráveis que trafegam de um ponto a outro sigilosamente. Enquanto a chave pública codifica o documento, a chave privada associada à ela decodifica. E vice-versa. Um certificado pode ser usado em conjunto com uma assinatura digital. Neste caso, a assinatura digital fica de tal modo vinculada ao documento eletrônico que qualquer alteração o torna inválido.
Se fôssemos fazer uma analogia com documentos do mundo real, o certificado digital seria o similar eletrônico do RG, enquanto a assinatura digital, o equivalente ao carimbo acompanhado de selo que os cartórios brasileiros colocam para reconher firma em documentos. Juntos, esses dois elementos, aliados à criptografia, garantem a autenticidade, a integridade, o não repúdio à transação e a confidencialidade da informação. Ou seja, as partes são mesmo quem dizem ser, e a transação online é legítima, autêntica, segura e não sofreu alterações ao longo do caminho.

Segurança

Uma das características do certificado digital é a segurança que ele proporciona às transações online. Vamos voltar ao conceito de criptografia para entender isso. Criptografia é uma palavra de origem grega que significa escrita oculta. Na prática, ela é um mecanismo milenar usado para cifrar mensagens, tornando-as incompreensíveis a quem não tem acesso às chaves que as decifram. Existem dois tipos de criptografia atualmente: a simétrica e a assimétrica. A simétrica cifra e decifra uma informação por meio de algoritmos que usam a mesma chave pública. Essa chave é compartilhada pelas duas partes envolvidas na comunicação. Tomemos como exemplo uma comunicação simples entre Paulo e André. Os dois computadores têm dados que precisam ser enviados e um algoritmo de encriptação. O computador de Paulo codifica os dados enviados ao computador de André usando uma frase (chave) para cifrar o documento. O computador de André recebe esses dados codificados e para decifrá-los usa a mesma chave de Paulo.

Assinatura digital

O uso da criptografia assimétrica garante a confiabilidade e a autenticidade da comunicação. Mas como assegurar sua integridade e origem? A saída foi combinar o uso de chaves públicas com uma assinatura digital. Assim como a criptografia assimétrica, a assinatura digital é uma seqüência de bits resultante de uma operação matemática conhecida como função hashing. Essa função analisa todo o documento ou arquivo e, com base no algoritmo matemático, gera um valor de tamanho fixo para ele. Esse valor varia de acordo com a seqüência de bits do documento, e como cada caractere tem uma composição binária, qualquer mudança no arquivo original fará com que o valor hash seja diferente e a assinatura se torne inválida. Vamos usar o exemplo de Paulo e André novamente. Paulo envia o documento assinado digitalmente a André. Para isso, ele usa a chave pública do amigo e a sua própria assinatura para codificar o documento. Se o documento não tiver sofrido alterações no percurso, Paulo poderá decifrá-lo com sua chave privada. Caso tenha havido alguma alteração, Paulo não conseguirá decifrá-lo, pois a assinatura será inválida.

Teia de confiança

Apesar de serem os elementos principais da certificação digital, a assinatura e o certificado são como a ponta de um iceberg. Sob a superfície da água se encontra toda uma cadeia que envolve protocolos de segurança, políticas de uso, entidades certificadoras, salas-cofre e autoridades de registro, que seguem diretrizes e normas técnicas determinadas por uma entidade ou comitê gestor. Essa cadeia é chamada de Infra-estrutura de Chaves Públicas (ICP, em português, ou PKI, em inglês). Uma empresa pode criar sua própria ICP. Um país pode ter uma ou várias ICPs. Um certificado digital só é válido se ele segue os políticas e protocolos de segurança determinados por uma ICP, e isso vale para qualquer lugar do mundo.
Os elementos que compõem a teia de confiança da certificação digital tanto para órgãos públicos quanto para a iniciativa privada são:
• Autoridade Certificadora Suprema (AC-Raiz) – autoriza as operações das autoridades certificadoras
• Autoridades Certificadoras (AC) – emitem o certificado digital das autoridades de registro e de autoridades certificadoras por ela credenciadas, além de atestar a identidade do titular do documento
• Autoridades de Registro (AR) – comprovam fisicamente a identidade do usuário, podendo auxiliá-lo na geração do par de chaves, solicita os certificados a uma AC e entregam o smart card ao titular
• Certificados digitais e Assinaturas digitais – documentos eletrônicos que comprovam a identidade do usuário nas comunicações online
No Brasil o Governo Federal optou por estabelecer sua própria política de uso de certificados e assinaturas digitais e criou sua infra-estrutura de chaves públicas própria, chamada ICP-Brasil.

A estrutura de um certificado

Quando o usuário acessa um site certificado, o navegador exibe uma mensagem de identificação e com opções de uso daquele certificado. Se o site não é identificado, a mensagem vem com um aviso de erro e com uma lista de possíveis razões desse erro. As mais comuns são:
– O navegador não reconhece a Autoridade Certificadora que emitiu o certificado.
– O certificado do site está incompleto devido a uma configuração incorreta do servidor.
– O usuário está conectado a um site que finge ser o pretendido, com o objetivo de obter informações confidenciais.
Neste caso, é possível examinar o certificado antes de marcar uma das três opções (aceitar o certificado permanente ou temporariamente ou não aceitá-lo) e continuar a navegar pelo site.
Um certificado digital contém dois tipos de informação: as gerais e as detalhadas. Nas informações gerais é possível saber:
– A quem pertence o certificado (titular do certificado).
– Quem o emitiu (autoridade certificadora).
– Qual a sua validade.
– Método criptográfico da assinatura do certificado.
Nos detalhes do certificado há três áreas em que é possível obter mais informações sobre a hierarquia e sobre cada campo do certificado. Ao selecionar um item no campo Certificate Fields, seus dados são exibidos no campo Field Value. Sobre o dono do certificado, pode-se saber nome, e-mail ou CPF/CNPJ, por exemplo. Sobre o emissor, seus dados e suas assinaturas.
Para as transações comuns da Internet, é possível adquirir um certificado e uma assinatura digital de qualquer autoridade certificadora. Os custos variam de acordo com a entidade emissora e o propósito do certificado. No Brasil, contudo, o governo feder al resolveu estabelecer sua própria política de uso de certificados e assinaturas digitais e criou sua infra-estrutura de chaves públicas e privadas própria, chamada ICP-Brasil.

A certificação digital no Brasil

Em 2001, o governo brasileiro iniciou estudos para regulamentar o uso de certificados digitais no país, de modo que as transações online entre os vários órgãos públicos e seus fornecedores pudessem ter valor legal, permitindo maior agilidade no processo de compras e a diminuição de custos com uso, gerenciamento e armazenamento de documentos oficiais sigilosos ou não. A partir da Medida Provisória 2.200-2, de 24 de outubro de 2001, foi criada a ICP-Gov, que mais tarde expandiu-se dos órgãos públicos para a iniciativa privada e transformou-se na ICP-Brasil, a atual estrutura hierárquica de autoridades certificadoras ligadas ao governo brasileiro. Somente as transações realizadas com certificados emitidos por autoridades credenciadas na ICP-Brasil têm validade jurídica reconhecida no país.
Hoje, bancos utilizam a certificação digital no Sistema de Pagamentos Brasileiro, principalmente nas transações entre eles. Instituições autorizadas a operar no mercado cambial podem usar a assinatura digital nos contratos de câmbio. No Judiciário, há processos totalmente eletrônicos, com advogados e juízes usando o certificado digital e-Doc em todas as etapas. Universidades controlam os bolsistas do ProUni com certificado digital. O resultado disso, segundo usuários, é ganho de tempo, economia e segurança. Apenas alguns países utilizam certificados digitais com os mesmos propósitos do Brasil.
“Na maioria dos países, os certificados não seguem um protocolo único de segurança”, conta Viviane Regina Lemos Bertol, coordenadora geral de normalização e pesquisa do ITI (Instituto Nacional de Tecnologia da Informação), autarquia federal vinculada à Casa Civil da Presidência da República. “Há dificuldades inter-relacionais e em muitos casos o certificado não tem valor legal”. Segundo Bertol, o Brasil se baseou em países com uma estrutura única de certificação, em que o governo tem o controle de toda a cadeia de regulamentação para que a certificação funcione corretamente.
Uma das principais características da ICP-Brasil é sua estrutura hierárquica. No topo da estrutura encontra-se a Autoridade Certificadora Raiz (AC Raiz) e, abaixo dela, as diversas entidades (ACs de primeiro e segudo nível e Autoridades de Registro). Na ICP-Brasil, a AC Raiz é o ITI, que é responsável pelo credenciamento dos demais participantes da cadeia certificadora, pela emissão de seu próprio par de chaves e pela supervisão de todos os processos que envolvem a certificação.
Para fazer parte da ICP-Brasil, a entidade passa por um processo de credenciamento em que são analisadas sua capacidade jurídica, econômico-financeira, fiscal e técnica. Ela também deve contratar um seguro de responsabilidade civil e realizar auditorias prévias e anuais. Todo esse cuidado visa a garantir a segurança do processo – da identificação dos titulares até a emissão dos certificados. Para ter seu certificado na ICP-Brasil, a Autoridade Certificadora paga ao ITI cerca de R$ 500 mil por ano.
Atualmente, a ICP Brasil tem credenciadas oito Autoridades Certificadoras de primeiro nível (Presidência da República, Secretaria da Receita Federal, Serpro, Caixa Econômica Federal, AC Jus, Certisign, Imprensa Oficial de São Paulo – Imesp e Serasa), 20 ACs de segundo nível e mais de 800 Autoridades de Registro (AR). Estão em fase de credenciamento duas ACs de segundo nível e quatro ARs. As Autoridades de Registro são a presença física da certificação digital no Brasil. Elas são as responsáveis por autenticar o titular do certificado. Quando alguém pede um certificado digital, deve comparecer a uma Autoridade de Registro para que esse certificado seja validado antes de ser usado. A validação requer a presença do titular no posto da AR com seus documentos e o testemunho de dois agentes de registro – não importa do tipo de certificado desejado. No Brasil há oito tipos de certificados.

Os tipos de certificado digital

Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada. A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações. A série S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico – cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive). Para acessar essas informações você usará uma senha pessoal determinada no momento da compra.

Os certificados mais comuns são:

– A1: de menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada, e
– A3: de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.

Certificados da Receita Federal

O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte. Eles foram criados em 2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.
Segundo Donizetti Victor Rodrigues, coordenador de infra-estrutura tecnológica e segurança da informação da Secretaria da Receita Federal, já foram emitidos, desde 2002, mais de 300 mil e-CNPJ e e-CPF. O número vem aumentando à medida que a Receita disponibiliza mais serviços no e-CAC. Em 2005, quando poucos serviços estavam online, os acessos ao site da Receita com certificado digital chegaram a 851 mil. Em 2006, quando mais serviços estavam disponíveis, o número de acessos subiu para 17 milhões – mesma quantidade registrada nos sete primeiros meses de 2007.
A popularidade desses certificados, segundo Rodrigues, se deve ao tempo que o contribuinte economiza para obter informações junto à Receita. “Antes, para retificar uma declaração de impostos ou para obter uma cópia da declaração, por exemplo, levava-se dias. A pessoa tinha de comparecer a um posto da Receita, entrar com o pedido, e aguardar uma resposta. Agora é possível fazer tudo instantaneamente no site, usando o certificado digital”, diz ele.
Veja na tabela abaixo o que é possível fazer com os certificados da Receita Federal:

O e-CPF

Criado para identificar o contribuinte pessoa física na Internet, o e-CPF é emitido pelas seguintes autoridades certificadoras Serasa, Certisign, Prodemg, Serpro, Imesp e Sincor. Ele pode ser do tipo A1 e A3. O tipo A1 é um arquivo eletrônico gerado e armazenado no computador do titular e exige senha para acessar os dados privados do usuário. Ele tem a validade de 1 ano e tem custo variando de R$ 80 a R$ 120. O tipo A3 pode ser gerado em um cartão inteligente ou uma mídia criptográfica (token) e tem validade de três anos.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartão ficam Nome e CPF do titular, o chip criptográfico onde estão armazenados os dados do titular e a chave privada associada àquele certificado, e o logo da autoridade certificadora. No verso estão os logos da Receita Federal e da ICP-Brasil, além da mensagem de alerta que orienta o titular a revogar o certificado em caso de perda ou roubo do cartão.
O certificado digital e-CPF do tipo A3 deve ser usado em conjunto com uma leitora de cartões inteligentes compatível, que pode ser adquirida na mesma autoridade certificadora onde você comprar o seu certificado. Os custos variam de R$ 350 a R$ 500.

O e-CNPJ

Agilidade, redução de custos e segurança. Esses são os três pilares em que a Receita Federal se apóia para convencer as empresas a adotar o certificado digital. “Processos que tinham de ser realizados pessoalmente ou por meio de inúmeros documentos em papel passam a ser feitos totalmente por via eletrônica”, diz Donizetti Victor Rodrigues, coordenador de infra-estrutura tecnológica e segurança da informação da Receita Federal. “Conseqüentemente, são menos burocráticos e mais baratos”.
Os custos da certificação digital, que variam de R$ 80 a R$ 3.000, viraram polêmica em 2002, quando o e-CNPJ e o e-CPF foram criados. As micro e pequenas empresas alegavam que era mais um custo entre tantos outros obrigatórios e que o governo deveria preocupar-se em reduzir a carga tributária e a burocracia, em vez de oferecer serviços pagos para isso. O discurso, entretanto, mudou de dois anos para cá. Hoje todas as obrigações da pessoa jurídica já podem ser entregues via Internet, o que dispensa a presença do empresário ou de seu representante legal em cartórios ou postos da Receita Federal. O contribuinte pessoa jurídica pode usar o e-CNPJ para diversos serviços online disponibilizados pelos governos Federal, Estadual e Municipal. É possível, por exemplo:
– Emitir comprovantes de arrecadação de pagamento de tributos.
– Retificar possíveis erros no preenchimento de Darf (Documento de Arrecadação de Receitas Federais).
– Parcelar débitos fiscais.
– Realizar todas as transações relativas ao comércio exterior.
– Emitir nota fiscal eletrônica.
A empresa pode nomear um ou mais representantes legais para o mesmo e-CNPJ, mas esses representantes devem ter um certificado digital de pessoa física (caso dos contadores que representam legalmente seus clientes em assuntos relativos a tributos). O uso do certificado digital por empresas tornou-se obrigatório (Instrução Normativa SRF nº 696, de 14 de dezembro de 2006) a partir deste ano em dois casos:
1 – Empresas tributadas com base no lucro real ou arbitrado devem entregar a DIPJ (Declaração de Informações Econômio-Fiscais da Pessoa Jurídica) somente via Internet, serviço que exige o certificado para a transmissão da declaração. Segundo a receita, 130 mil empresas se enquadram neste perfil.
2 – Na entrega da da DCTF (Declaração de Créditos e Débitos Tributários Fiscais), que deve ser feita mensal ou semestralmente via Internet, com o uso do certificado. De acordo com a Receita, 12 mil empresas entregam a DCTF via Internet.
Assim como o e-CPF, o e-CNPJ pode ser do tipo A1 e A3 e ser adquirido junto a uma autoridade certificadora credenciada pela Secretaria da Receita Federal: Serasa, Certisign, Prodemg, Serpro, Imesp e Sincor.
O tipo A1 é um arquivo eletrônico gerado e armazenado no computador do titular e exige senha para acessar os dados privados do usuário. Ele tem a validade de 1 ano e custos variando entre R$ 120 e R$ 150. O tipo A3 pode ser gerado em um cartão inteligente ou uma mídia criptográfica (token) e tem validade de três anos. Seus custos variam de R$ 250 a R$ 550.
O cartão inteligente é feito de plástico semi-rígido e mede 8,5cm x 5,4cm. Na frente do cartão ficam o nome da empresa e a inscrição no CNPJ, o chip criptográfico onde estão armazenados os dados do titular e a chave privada associada àquele usuário (uma empresa pode ter um ou mais certificados digitais), e o logo da autoridade certificadora. No verso estão os logos da Receita Federal e da ICP-Brasil, além da mensagem de alerta que orienta o titular a revogar o certificado em caso de perda ou roubo do cartão.

Como adquirir um certificado no Brasil

Obter um certificado digital é simples. Basta fazer o pedido no site da Autoridade Certificadora e comparecer a um posto da Autoridade de Registro credenciada para realizar a autenticação presencial. O comparecimento no posto da AR é a única relação física no caminho do certificado. Veja o caminho da certificação:
Faça o pedido no site de uma Autoridade Certificadora, preenchendo um formulário com seus dados de pessoa física ou jurídica. Se a escolha recair sobre um certificado do tipo A3, é necessário, antes da solicitação, adquirir um dispositivo de armazenamento (token ou cartão inteligente) e instalar o driver desse dispositivo no computador. Quando você faz o pedido, são gerados uma senha e um par de chaves. A chave pública é enviada à autoridade certificadora e servirá para identificá-lo em todos os processos relacionados ao certificado, durante o período de validade. Memorize a senha escolhida. Você vai precisar dela para instalar o certificado.
Após efetuar a solicitação, imprima 3 cópias do termo de titularidade que é gerado automaticamente na última página do processo de solicitação.
Escolha uma das formas de pagamento e, de posse do comprovante de pedido/pagamento, dirija-se ao posto da Autoridade de Registro credenciada pela Autoridade Certificadora escolhida, levando duas cópias da documentação exigida e as três cópias do Termo de Titularidade. O termo de titularidade só deverá ser assinado na presença do Agente Registrador, no posto da Autoridade de Registro. O comparecimento no posto da AR é a única relação física no caminho do certificado. Todas as outras transações são realizadas no mundo virtual. É nesta etapa que você receberá sua chave privada, que é pessoal e intransferível.
Instale o certificado digital no seu computador, seguindo as orientações do Agente de Registro (variam de acordo com o tipo de certificado).
Veja na imagem abaixo os passos para adqurir um certificado digital:
Para receber seu certificado, você terá de apresentar documentos aos agentes de registro. Se você for pessoa física, leve duas cópias de:
– Cédula de identidade ou passaporte, se estrangeiro
– CPF
– Título de eleitor
– Comprovante de residência
– PIS/Pasep
Se for pessoa jurídica, compareça à AR com:
– Registro comercial, em caso de empresa individual
– Ato constitutivo, estatuto ou contrato social
– CNPJ
– Documentos pessoais da pessoa responsável

Pacotes de certificados

Os preços de cada certificado variam conforme o tipo e a autoridade certificadora, começando em R$ 80 e chegando a cerca de R$ 3.000 pelo período de validade do documento, que varia de um a três anos. Os certificados podem ser adquiridos na forma de arquivo eletrônico, cartão inteligente ou mídia armazenadora criptográfica (token), nas seguintes combinações:

Cuidados com o certificado

Toda vez que for utilizar um certificado digital será solicitada uma senha, a mesma que foi definida no momento da gravação do certificado digital. Caso você esqueça sua senha, não há como recuperá-la ou substituí-la, e o certificado estará inválido. Por isso, em caso de perda da mídia armazenadora ou de esquecimento da senha, é preciso:
– Solicitar a revogação do certificado digital invalidado, mas certifique-se antes de que a chave pública anterior não mais está sendo usada;
– Solicitar um novo certificado digital, com encargos por sua conta, seguindo o mesmo procedimento inicialmente adotado para o certificado digital anterior;
– Solicitar a alteração dos acessos, anteriormente vinculados ao certificado digital inutilizado, vinculando-os ao novo certificado digital;
– Atualizar a chave pública eventualmente distribuída, substituindo-a pela nova, pertencente ao novo certificado digital.
Espero que vocês tenham entendido tudo sobre Certificados Digitais com esse post! Qualquer dúvida deixe seu comentário que tentarei responder! ;p
Abraços!

Nenhum comentário:

Postar um comentário