WirelessBR

WirelessBr é um site brasileiro, independente, sem vínculos com empresas ou organizações, sem finalidade  comercial,  feito por voluntários, para divulgação de tecnologia em telecomunicações 

Blog Comunitário
CERTIFICAÇÃO DIGITAL
"Assinatura digital"

[O site WirelessBR está descontinuado. Esta é uma página de arquivo]

O Site WirelessBR é parte integrante da ComUnidade WirelessBrasil
  Página mantida pelo Coordenador da ComUnidade
WirelessBRASIL - Atualizada em 28/11/06   Sobre "Direitos" ("Rights")

Agradeço à jornalista Alice Ramos o estímulo para criação deste blog. Helio Rosa

 ComUnidade WirelessBrasil

Site WirelessBR

Complemente sua pesquisa: Google
(com opção de páginas em português)

 


Sites / Artigos e Notícias / Mensagens / Transcrições


Sites

Centro de Certificação Digital do Serpro


Artigos e Notícias

 
Fonte: Serpro transcrevendo do IDG Now!

AliceRamos.com
[28/06/08]   Senador defende que Brasil adote certificação digital - Alice Ramos entrevista Eduardo Azeredo

AliceRamos.com
[04/04/06]   Cresce o número de projetos federais baseados em Certificação Digital

IDG Now!
[14/04/06]   IRPF 2006 impulsiona certificação digital

IDG Now!
[14/02/05]   O que é um certificado digital?

Info Wester
[25/09/05]   Assinatura digital e Certificação digital

Instituto Brasileiro de Peritos em Comércio Eletrônico e Telemática

Guia sobre Certificação e Assinaturas Digitais

IDG Now!
[04/08/05]   Certificação digital: você já tem a sua?

IDG Now!
[04/08/05]   Instituições financeiras e públicas já aceitam certificados
 
IDG Now!
[04/08/05]   Certificados digitais: como funcionam e onde obter

IDG Now!
[04/08/05]   Com qual certificado eu vou?

IDG Now!
[04/08/05]   MP regulamenta validade do certificado digital

Computerworld
[21/07/05]   Certificação: aposta que não sai do papel   

Computerworld
[16/03/05]   Certificação digital une Serpro e Correios 

BR-Linux.og
[11/04/04]   Certificação Digital

Estadão
[09/07/01]   Assinaturas digitais: falta pouco agora  de Michael Stanton

Estadão
[04/12/00]   Assinaturas digitais para o comércio eletrônico de Michael Stanton
 

Mensagens


----- Original Message -----

Sent: Wednesday, February 15, 2006 10:14 AM
Subject: [Celld-group] Certificação Digital - nova ambientação

Olá, 
ComUnidade WirelessBrasil !  
Helio Rosa escrevendo.
Nesta ComUnidade (Portal em  www.wirelessbrasil.org)  interagimos e compartilhamos conhecimentos com muita cordialidade, cortesia, tolerância e paz - sempre fazendo novos amigos!

Estou reprisando e atualizando uma mensagem de 11 de agosto de 2005.

A atualização fica por conta de duas notícias recebidas hoje via newsletter "IDG Now! Express":
As transcrições estão mais abaixo.
 
Na ocasião, recebi de nosso participante Welton Sthel Duque (obrigado, de novo!) um arquivo em formato .zip (1.31 MB) contendo duas excelentes apresentações (painéis ppt) que ele assistiu na Sucessu.
Que quiser receber basta enviar e-mail para
Helio Rosa com texto em branco e "Assunto": Apresentações sobre Certificação Digital.
Lá vai o texto da mensagem anterior:  :-)
 
Certificação Digital - tá na boca do povo... ou melhor, na mídia.  :-)
Logo você vai ter a sua!  Será?
Vamos fazer uma atualização e ambientação sobre o tema?
 
Colecionei abaixo alguns artigos e notícias.
 
Boa leitura!
Um abraço cordial
Helio Rosa
heliorosa@wirelessbrasil.org
Da equipe de moderadores dos Grupos Celld-group WirelessBr
Coordenador da ComUnidade WirelessBRASIL e do Giga Site WirelessBR
"Owner" do Celld-group: Leonardo Pedrini
 
  
IRPF 2006 impulsiona certificação digital
Terça-feira, 14 fevereiro de 2006 - 08:23
Daniela Braun - IDG Now!
A certificação digital no Brasil deve ganhar impulso, após o anúncio de que as declarações do Imposto de Renda da Pessoa Física 2006 (IRPF 06) entregues com a assinatura eletrônica terão prioridade na base da dados da Receita Federal.
 
"Já houve, no ano passado, o recebimento de declarações com certificado digital, mas a divulgação foi pequena", observa o supervisor nacional do Imposto de Renda, Joaquim Adir.
 
Segundo ele, o objetivo da ação é eliminar fraudes na entrega das declarações, diminuindo o risco de uma pessoa enviar declaração em nome de outra.
 
Desde 1999, quando a Caixa Econômica Federal começou a oferecer certificados de "Conectividade Social" para transações financeiras, 3,2 milhões de pessoas portam certificados digitais no Brasil, informa a Câmara Brasileira de Comércio Eletrônico (Camara-e.net).
 
Dos certificados atuais, apenas 500 mil estão adequados à Infra-estrutura de Chaves Públicas - ICP-Brasil, instituída em 2001 e que confere validade jurídica ao certificado.
 
Para adiquirir um certificado digital, o cidadão deve acessar o site de uma das Autoridades Certificadoras e fazer a compra do certificado online.
 
Com a comprovação de compra e os documentos necessários - foto 3 x 4, CPF, documento de identidade, título de eleitor e comprovante de residência - a pessoa se dirige pessoalmente a uma Autoridade de Registro (AR) para retirar seu certificado e sua senha.
 
Pela Serasa, que é uma das ACs, o e-CPF custa de 100 reais (certificado armazenado no desktop com backup em mídia móvel) a 350 reais (certificado armazenado em smart card incluindo leitora digital, que é acoplada ao desktop) por dois anos.
 
Com o impulso da Receita Federal, as declarações com e-CPF ou e-CNPJ devem apresentar a mesma curva de crescimento do IRPF enviado pela internet, prevê Manoel Mattos, presidente da Camara-e.net.
 
No primeiro ano em que a internet tornou-se uma opção para entrega das declarações, há sete anos, apenas 5% dos contribuintes optaram pelo envio eletrônico. No ano passado, de 20,5 milhões de declarações recebidas no prazo, 20 milhões foram feitas pela internet (98%).
 
Corretoras de seguros, bancos, agências dos Correios e cartórios são as quatro principais ARs no Brasil. Embora tenham uma capilaridade para oferecer 100 mil pontos de registro, hoje somam cerca de 400 ARs em todo o País.
 
"Hoje há um grande gargalo na quantidade de Autoridades de Registro, no Brasil", afirma Manoel Mattos, presidente da Camara-e.net, uma das defensoras da adoção dos certificados digitais para o comércio eletrônico.
 
"A idéia é aumentar as ARs para 1.200 até o final do próximo ano, chegando a 10 mil em 2011", prevê Mattos. Com a ajuda de órgãos como a  Receita Federal, o executivo acredita que 2007 será "o ano da identidade digital."
 


O que é um certificado digital?

Terça-feira, 14 fevereiro de 2006 - 10:42
Camila Fusco, para o IDG Now!
Quando um cidadão tenta realizar algum tipo de transação ou serviço - financeiro ou comercial - nada mais comum do que o estabelecimento em questão pedir algum documento de identificação, para garantir a legitimidade do processo.
 
Tal sistema de reconhecimento entre indivíduos, porém, ao contrário do que se possa imaginar, não precisa necessariamente ser realizado no mundo físico. Isso porque um mecanismo chamado certificação digital, que começa a se popularizar no País, tem exatamente essa missão: reconhecer o internauta que está por trás da tela.
 
Na prática, a certificação digital nada mais é do que uma carteira de identidade para o mundo virtual. Um documento concebido eletronicamente que tem a missão de assegurar a identidade e as informações transmitidas por determinado usuário.
 
Entre seus principais benefícios está, por exemplo, o acesso a serviços que anteriormente não eram possíveis via internet justamente pelo fato de a rede não proporcionar a segurança desejada, como a consulta à base de dados da Receita Federal sobre informações de Imposto de Renda.
 
Os certificados digitais já são aceitos por várias instituições brasileiras e podem facilitar - e muito - a vida dos usuários, sejam pessoas físicas ou jurídicas.
 
Autoridade certificadora
Para que um certificado digital seja válido do ponto de vista jurídico, duas entidades precisam estar envolvidas, uma Autoridade Certificadora e uma Autoridade de Registro.
 
As Autoridades Certificadoras têm a função de emitir os certificados digitais, vinculando pares de chaves criptográficas ao titular.
 
As chaves - públicas e privadas - constituem um conjunto de arquivos que podem ficar armazenados nos computadores a fim de reconhecer e comprovar a identidade do usuário no momento de uma transação eletrônica protegida.
 
As Autoridades de Registro devem verificar a autenticidade das informações utilizadas para a criação do documento.
 
Para receber seu certificado, o interessado - pessoa física ou jurídica - deve se deslocar até uma Autoridade de Registro, que pode ser localizada, por exemplo, nos sites das Autoridades Certificadoras, entre elas Serpro, Caixa Econômica Federal, Serasa, Certisign e Receita Federal.
 
Entre os documentos necessários para a emissão estão carteira de identidade, Cadastro da Pessoa Física, registro no Programa de Integração Social (PIS) e comprovante de residência. Para a pessoa jurídica, além do contrato social, são necessários também documentos dos responsáveis pela companhia.
 
Em minutos o interessado vai receber o certificado que pode estar em: disquetes, cartões inteligentes (smart cards), CD Rom, no próprio disco rígido do computador ou por meio de uma mídia portátil conhecida como token USB.
 
A partir de então, o computador vai reconhecer o certificado e informar automaticamente a respeito do documento aos sites e serviços que exigem certificação digital.
 
Tipos de certificado
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Suas diferenças básicas dizem respeito ao tipo de mídia em que são apresentados ao usuário.
 
Na modalidade A1, o certificado é apresentado em um software que fica armazenado na estação de trabalho, como em um disquete, por exemplo. Nesse formato, os dados vão em algum momento para a memória do computador.
 
Nesse sistema, os dados são protegidos por meio de uma senha de acesso e a validade do certificado é de um ano contado a partir de sua data de emissão.
 
Já no sistema A3, o certificado é fornecido por meio de um cartão inteligente (smart card) ou hardware criptográfico (token USB). Nessa forma, os dispositivos não ficam armazenados no computador, segundo Neto, e são, portanto, mais seguros. A validade é de até três anos.
 

Artigos e Notícias - Transcrições


ATUALIZADA em 04/04/06
Cresce o número de projetos federais baseados em Certificação Digital
• Paulo Vianna

Dias atrás, comentei aqui que valeria a pena ficar de olho nas iniciativas do Governo de fomentar a Certificação Digital.
Afinal, já faz algum tempo que a aplicação de maior sucesso do mercado de PKI está na Receita Federal, com o e-CPF que opera milagres no site da Receita Federal (www.receita.fazenda.gov.br). A Receita continua lá mas muitas coisas estão acontecendo no cenário federal, como informa Pedro Paulo Lemos Machado, atual secretário-executivo do Comitê Gestor da ICP/Brasil. Em sua apresentação no painel de Certificação Digital, durante oSecurity Week, semana passada, onde estavam presentes também Maurício Coelho, Diretor de Infra-Estrutura de ChavesPúblicas do ITI, Igor Rocha, diretor do Serasa, Francimara Viotti, representante da Febraban, Pedro Paulo mostrou o que Governo vem fazendo para fomentar esta que é a principal tecnologia de segurança do século XXI.

Segundo ele, a ICP/Brasil tem hoje quatro prioridades dentro do Governo: Infra-estrutura, Desenvolvimento Social, Economia Produtiva e Estratégica e Defesa. Não são áreas estanques; pelo contrário, as atividades muitas vezes podem e devem compartilhar recursos e material humanos entre si.

Dentro da infra-estrutura, o Comitê Gestor irá incentivar o uso da tecnologia no Departamento Nacional de Produção Mineral, o DNPM, com o Termo de Referência de Certificados Digitais. Na área de Desenvolvimento Social, o Comitê vai incentivar o prontuário médico digital, projeto que informatiza e dá caráter legal aos prontuários médicos emitidos pela rede pública; o Cartão Nacional de Saúde e outros projetos de Telemedicina estão também na pauta, sendo todos projetos publicados em resoluções do Conselho Federal de Medicina.

O Conselho Federal da Odontologia se alinha ao CFM e também dá respaldo legal a documentos emitidos eletronicamente, mesma posição, aliás, da Anvisa (que adota inclusive peticionamento eletrônico) e o Ministério da Educação, cujo ProUni é solidamente alicerçado em certificados digitais.

Na área da chamada Economia Produtiva, há diversos projetos em andamento, a começar pelo e-CAC (Centro de Atendimento ao Contribuinte), da Receita, que veio substituir o antigo Receita 222. Além deles, o inovador projeto do INPI (que permite acompanhar projetos de marcas e patentes), as aplicações do Banco Central do Brasil (contrato de câmbio e SPB), as iniciativas da Susep, a AC-Sincor (que estabeleceu inclusive uma Autoridade Certificadora) e o Conselho Federal de Contabilidade, todos projetos importantes que geram economia de recursos públicos direta ou indiretamente.

Em Estratégia e Defesa, temos ainda a Autoridade Certificadora da Presidência e a do Ministério da Defesa, que dão a medida (ainda embrionária) do quão prioritária tem sido a questão. Importante observar que ao Comitê Gestor da ICP cabe antes de tudo “criar uma visão estratégica sistêmica de gerenciamento de riscos e segurança da informação para que se transformem em uma cultura empresarial para garantir o retorno do investimento e criar uma percepção de valor e vantagem competitiva”, segundo seus próprios fundamentos.

Como o Comitê é formado por representantes de praticamente todos os ministérios (Justiça, Fazenda, Desenvolvimento, Indústria e Comércio, Ciência e Tecnologia, Planejamento Orçamento e Gestão, além da Casa Civil, e do Gabinete de Segurança Institucional da Presidência da República), é de esperar que pelo em cada um deles surjam mais projetos que consolidem a tecnologia de certificação digital no Brasil. Quando isso acontecer, o país, penhoradamente agradecerá.


Correios mais próximos de vender certificados digitais
Quarta-feira, 10 agosto de 2005 - 14:08
Camila Fusco
As agências dos Correios em todo o Brasil deverão, em breve, ser fornecedoras de certificação digital para pessoas físicas (e-CPF) e jurídicas (e-CNPJ).

O pedido de cadastramento da Empresa Brasileira de Correios e Telégrafos (ECT) foi recebido esta semana pelo Instituto Nacional de Tecnologia da Informação (ITI) - que atua como Autoridade Certificadora Raiz - e o projeto piloto da venda de certificados é esperado para setembro, segundo Fernando Fernandes Souza, gerente de projetos para implantação de certificado digital dos Correios.

"O convênio com o Serpro foi firmado em abril desse ano. Agora só estamos aguardando a autorização formal do ITI para que o serviço comece a funcionar", declara.

De acordo com o executivo, um projeto piloto está programado para a agência da Alameda Santos, região central da capital paulista. Quatro funcionários do local foram treinados para atuar como agentes de registro.

"A partir do piloto vamos analisar os resultados e depois de cerca de 60 dias devemos começar o projeto efetivamente para outras agências, incialmente com o treinamento de outros agentes de registro", declara.

Ainda segundo Souza, as vendas dos certificados deverão começar agências próprias e de grande porte dos Correios nas capitais brasileiras e em algumas cidades do interior. "Estamos trabalhando inicialmente com cerca de 100 agências próprias, mas no futuro, não há nenhum empecilho para ampliar para os franqueados", ressalta.

O convênio entre os dois órgãos não previu troca de verbas entre as instituições, de acordo com o gerente de certificação digital dos Correios. "O valor referente ao serviço [de oferta dos certificados] ficará com os Correios e o preço de venda, será do Serpro", declara.

A venda de certificados digitais pelos Correios é interpretada como uma maneira de o Serpro aumentar sua capilaridade para o serviço, conforme declara Gilberto Neto, diretor de certificação digital do órgão.

"Atualmente o Serpro possui como autoridades de registro seus escritórios regionais nas capitais e em algumas cidades grandes do litoral e interior do Brasil, o que representa uma certa limitação de capilaridade. A idéia é ampliar essa de atendimento para as agências dos Correios", informa.

Na avaliação de Neto, o aumento do alcance do serviço deverá contribuir para a popularização dos certificados no País.


Certificação digital: você já tem a sua?
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!

Reportagem feita por sugestão de leitores. (Saiba mais)

Quando um cidadão tenta realizar algum tipo de transação ou serviço - financeiro ou comercial - nada mais comum do que o estabelecimento em questão pedir algum documento de identificação, para garantir a legitimidade do processo.

Tal sistema de reconhecimento entre indivíduos, porém, ao contrário do que se possa imaginar, não precisa necessariamente ser realizado no mundo físico. Isso porque um mecanismo chamado certificação digital, que começa a se popularizar no País, tem exatamente essa missão: reconhecer o internauta que está por trás da tela.

Na prática, a certificação digital nada mais é do que uma carteira de identidade para o mundo virtual. Um documento concebido eletronicamente que tem a missão de assegurar a identidade e as informações transmitidas por determinado usuário.

Entre seus principais benefícios está, por exemplo, o acesso a serviços que anteriormente não eram possíveis via internet justamente pelo fato de a rede não proporcionar a segurança desejada, como a consulta à base de dados da Receita Federal sobre informações de Imposto de Renda.

Leia neste especial:

Instituições financeiras e públicas já aceitam certificados
Os certificados digitais já são aceitos por várias instituições brasileiras e podem facilitar - e muito - a vida dos consumidores.

Certificados digitais: como funcionam e onde obter
Entenda o que é uma Autoridade Certificadora e uma Autoridade de Registro e saiba como obter o seu certificado digital.

Com qual certificado eu vou?
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Saiba quais as principais diferenças entre cada um deles.

MP regulamenta validade do certificado digital
A validade jurídica da certificação digital no Brasil foi regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2.


Instituições financeiras e públicas já aceitam certificados
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Os certificados digitais já são aceitos por várias instituições brasileiras e podem facilitar - e muito - a vida dos usuários, sejam pessoas físicas ou jurídicas.

(Veja como funciona a certificação digital. Clique aqui.)

A Receita Federal, por exemplo, por meio de seu serviço Receita 222, permite que o contribuinte proprietário de uma certificação digital verifique e consulte o resultado do processamento de suas declarações de Imposto de Renda.

Por meio do serviço, o contribuinte poderá visualizar as declarações entregues nos cinco últimos anos, consultar a restituição e até mesmo emitir o extrato do processamento.

Outro serviço da Receita possibilita que os usuários verifiquem sua situação fiscal. Para pessoa física é necessário apresentar o certificado digital criado com vínculo em seu CPF e para as pessoas jurídicas, com base no CNPJ.

Por meio do sistema é possível chegar eventuais irregularidades cadastrais, declarações não realizadas, débitos e processos fiscais pendentes e irregularidades de recolhimento de tributos.

Outras declarações e comprovantes que são passíveis de consulta são Imposto sobre a Propriedade Territorial Rural (DITR), Imposto de Renda Retido na Fonte (Dirf), Imposto de Renda Pessoa Jurídica (IRPJ), documentos de comércio exterior, entre outros.

Alguns cartórios brasileiros já aderiram ao sistema de certificação digital e permitem a solicitação remota de ofícios, certidões de escrituras de imóveis, contratos registrados, certidões de nascimento, de casamento ou óbito, garantida a autenticidade, integridade, segurança e eficácia jurídica de todos eles.

De acordo com a Associação dos Notários e Registradores do Brasil (Anoreg), já existem cartórios certificados em 15 Estados brasileiros.

Vários bancos já utilizam os certificados digitais para garantir mais segurança aos seus usuários, entre eles BankBoston, Nossa Caixa, Unibanco e Banco do Brasil.

O BankBoston, por exemplo, aceita que seus clientes assinem contratos de câmbio com o uso do certificado digital. O mecanismo diminui o tempo de assinatura do contrato de dois dias para algumas horas, com cópias autenticadas do contrato nos e-mails dos dois lados envolvidos.

A Nossa Caixa tem um serviço especializado via certificação digital para empresas. Pelo sistema, o administrador tem permissão total para validar as transações e cadastrar operadores, sendo identificado por meio da certificação digital.

De acordo com Francimara Viotti, coordenadora da divisão de certificação digital da Federação Brasileira de Bancos (Febraban), 95% das instituições bancárias brasileiras devem utilizar certificação digital em transações com o cliente até o final de 2005.


Certificados digitais: como funcionam e onde obter
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Para que um certificado digital seja válido do ponto de vista jurídico, duas entidades precisam estar envolvidas, uma Autoridade Certificadora e uma Autoridade de Registro.

(Veja como funciona a certificação digital. Clique aqui.)

As Autoridades Certificadoras têm a função de emitir os certificados digitais, vinculando pares de chaves criptográficas ao titular.

As chaves - públicas e privadas - constituem um conjunto de arquivos que podem ficar armazenados nos computadores a fim de reconhecer e comprovar a identidade do usuário no momento de uma transação eletrônica protegida.

As Autoridades de Registro devem verificar a autenticidade das informações utilizadas para a criação do documento.

Para receber seu certificado, o interessado - pessoa física ou jurídica - deve se deslocar até uma Autoridade de Registro, que pode ser localizada, por exemplo, nos sites das Autoridades Certificadoras, entre elas Serpro, Caixa Econômica Federal, Serasa, Certisign e Receita Federal.

"As Autoridades de Registro serão uma interface com o interessado, e ficarão responsáveis por verificar sua documentação e emitir o certificado propriamente dito", declara Igor Ramos Rocha, gerente de certificação digital da Serasa.

Entre os documentos necessários para a emissão estão carteira de identidade, Cadastro da Pessoa Física, registro no Programa de Integração Social (PIS) e comprovante de residência. Para a pessoa jurídica, além do contrato social, são necessários também documentos dos responsáveis pela companhia.

"É necessária a presença física do usuário para a autoridade do registro. Ele precisa estar lá pessoalmente e o certificado não pode ser tirado por nenhum tipo de procurador", informa o executivo.

Em minutos o interessado vai receber o certificado que pode estar em: disquetes, cartões inteligentes (smart cards), CD Rom, no próprio disco rígido do computador ou por meio de uma mídia portátil conhecida como token USB.

"De posse desse código pessoal, o usuário precisa colocar o certificado à disposição de seu computador para ele reconheça as informações. É o computador que vai interagir com a internet", diz Rocha.

A partir de então, o computador vai reconhecer o certificado e informar automaticamente a respeito do documento aos sites e serviços que exigem certificação digital.


Com qual certificado eu vou?
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Suas diferenças básicas dizem respeito ao tipo de mídia em que são apresentados ao usuário.

(Veja como funciona a certificação digital. Clique aqui.)

"Na modalidade A1, o certificado é apresentado em um software que fica armazenado na estação de trabalho, como em um disquete, por exemplo. Nesse formato, os dados vão em algum momento para a memória do computador", declara Gilberto Neto, diretor de certificação digital do Serpro.

Nesse sistema, os dados são protegidos por meio de uma senha de acesso e a validade do certificado é de um ano contado a partir de sua data de emissão.

Já no sistema A3, o certificado é fornecido por meio de um cartão inteligente (smart card) ou hardware criptográfico (token USB). Nessa forma, os dispositivos não ficam armazenados no computador, segundo Neto, e são, portanto, mais seguros. A validade é de até três anos.

"O processo de renovação [tanto para o A1 quanto para o A3] é permitido até duas vezes de forma online. O usuário deve renová-lo junto à Autoridade de Registro antes dele expirar, o que pode ser feito pela internet. Caso perca o prazo, precisará ir pessoalmente novamente", diz o executivo.

O preço da renovação é o mesmo da aquisição de um certificado. (Veja preços em reportagem da PC World. Saiba mais.)

Revogação de certificados

As Autoridades de Registro permitem também a revogação dos certificados em caso violação, perda de chave ou em casos específicos.

"Por exemplo, um funcionário sai da empresa pela qual foi feito o certificado, ou então, o usuário perde sua chave. Ele pode ir até uma AR para um processo de revogação", informa Gilberto Neto.

Após informar o incidente, o usuário terá o certificado revogado. Suas informações entrarão em uma "lista negra", em que constam os certificados revogados.

Atualmente essa lista é atualizada a cada hora. Caso alguém tente utilizar seu certificado após a revogação, as informações não serão reconhecidas, conforme informa o executivo.

Leia neste especial:

Certificação digital: você já tem a sua?
A certificação digital é uma espécia de RG do mundo online, trazendo segurança para as transações financeiros do mundo virtual.

Instituições financeiras e públicas já aceitam certificados
Os certificados digitais já são aceitos por várias instituições brasileiras e podem facilitar - e muito - a vida dos consumidores.

Certificados digitais: como funcionam e onde obter
Entenda o que é uma Autoridade Certificadora e uma Autoridade de Registro e saiba como obter o seu certificado digital.

MP regulamenta validade do certificado digital
A validade jurídica da certificação digital no Brasil foi regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2.


MP regulamenta validade do certificado digital
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
A validade jurídica da certificação digital no Brasil foi regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2 de 24 de agosto de 2001.

(Veja como funciona a certificação digital. Clique aqui.)

Apesar do nome "provisório", as diretrizes propostas na medida têm efeito de lei e desde então, não sofreram modificações significativas, conforme destacam os especialistas.

"Hoje tramita no Congresso um projeto de lei que absorve as diretrizes e promove algumas melhorias de forma a melhorar o posicionamento do assunto. No entanto, caso exista uma iniciativa nesse sentido, não deverá invalidar o status da legislação anterior", informa Igor Ramos Rocha, da Serasa.

Na comparação com outros países, principalmente na América Latina, o Brasil está em posição privilegiada em termos de legislação, na opinião de Gilberto Neto, diretor de certificação digital do Serpro.

"Ninguém tem uma estrutura de legislação como a nossa. A Argentina saiu na frente com um projeto de lei com assinatura eletrônica, mas hoje ainda está no processo de criação de uma autoridade raiz", diz.

A Autoridade Certificadora Raiz da cadeia da ICP-Brasil tem como função básica a execução das políticas de certificados e normas técnicas e operacionais. No Brasil é representada unicamente pelo Instituto Nacional de Tecnologia da Informação (ITI) e tem a missão de gerenciar as Autoridades Certificadoras.

Neto ressalta ainda que o Brasil pode ser equiparado a países como Alemanha, França e Coréia do Sul em termos de estrutura das Autoridades Certificadoras e em segurança.

Outros países como os Estados Unidos apresentam mais de uma autoridade raiz e cada Estado possui uma legislação específica para certificação digital, conforme destaca Sérgio Kulikovsky, presidente da Certisign no Brasil.

"Países como os Estados Unidos, com mais de uma autoridade raiz enfrentam problemas sérios causados, principalmente, pela variedade de legislações a respeito de certificação digital", afirma.

Na avaliação do executivo, o modelo brasileiro foi bem implementado e tem um futuro promissor para a disseminação do sistema. "O Brasil começou tarde em certificação digital, mas está andando bem rápido".

A expectativa da Federação Brasileira de Bancos (Febraban) é que até o primeiro semestre de 2006 sejam emitidos 500 mil certificados digitais.


Estadão
Assinaturas digitais: falta pouco agora
Michael Stanton

Os últimos dias têm sido ricos em notícias sobre iniciativas para regulamentar o uso de assinaturas digitais em documentos eletrônicos, assunto discutido aqui primeiro na coluna de 26 de junho de 2000. A primeira novidade veio da Câmara, onde finalmente foi apresentado à Comissão Especial do Comércio Eletrônico o parecer do dep. Julio Semeghini sobre o projeto de lei 1.483/99, tratando do uso de documentos digitais. A segunda veio do governo, que editou a medida provisório 2.200, instituindo a chamada Infra-estrutura de Chaves Públicas Brasileira, a ICP-Brasil, e definindo os mecanismos de criação e certificação das chaves criptográficas a serem adotados para gerar assinaturas digitais e para garantir o sigilo de documentos.
As discussões no Congresso de como legislar sobre o comércio eletrônica vêm de 1999, quando foram encaminhados três projetos de lei, sendo dois na Câmara e um no Senado (v. coluna de 10 de julho de 2000). O parecer do dep. Semeghini reúne os dois projetos da Câmara, mas será ainda necessário reconciliá-lo com o projeto de lei do senador Lúcio Alcântara, já aprovado no Senado, para chegar a um consenso final sobre a legislação a ser adotada. Entretanto, como o projeto do senador é bastante enxuto, dando apenas forma legal a documentos eletrônicos, as demais considerações do projeto da Câmara devem permanecer inalteradas. Estas tratam principalmente da certificação das chaves criptográficas usadas nas assinaturas, e do credenciamento das entidades certificadoras. As propostas estão alinhadas com legislação em outros países, o que é natural num mundo onde os negócios internacionais são de importância sempre maior. O projeto substitutivo do dep. Semeghini é bastante liberal no que diz respeito à tecnologia, exigindo apenas o uso de criptografia assimétrica e cobrando idoneidade e competência das entidades certificadoras, sem contudo imposição de padrões específicos.

Já a MP 2.200 trata de erguer uma estrutura complexa de entidades certificadoras para atender as necessidades do governo federal, como já havia sido previsto nos decretos 3.505 e 3.587 editados no ano passado. O decreto 3.505, de junho de 2000, criou o Comitê Gestor de Segurança da Informação, que deveria guiar a entrada do governo federal na era eletrônica de modo seguro, enquanto o decreto 3.587, de setembro de 2000, descreveu como deveria funcionar a infra-estrutura de chaves públicas do Poder Executivo Federal, então chamada de ICP-Gov. Agora em junho de 2001, a MP 2.200 cria, semi-pronta, a ICP-Brasil, extrapolando bastante os objetivos antes declarados nos decretos citados, pois o que era previsto inicialmente apenas para atender ao governo federal agora passa a ter outras finalidades, inclusive, deve-se supor, o comércio eletrônico, embora isto não seja explicitado no texto. Para reforçar esta suposição, a MP cria o Comitê Gestor da ICP-Brasil, com 11 integrantes, sendo 4 da sociedade civil, dos quais dois já foram nomeados na semana passada. Este Comitê Gestor seria assessorado e receberia apoio técnico do Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC, unidade da Agência Brasileira de Informações - ABIN (www.abin.gov.br).

Segundo porta-voz do governo, não há conflito entre a MP e os projetos sendo discutidos no Congresso, e "o mercado não está obrigado a buscar esse certificado de conformidade das normas que estão sendo criadas pelo órgão para operarem no país". Entretanto, ele admitiu que as certificadoras que não tiverem um credenciamento da ICP-Brasil, ficarão restritas aos seus atuais mercados, já que correm o risco de não serem reconhecidas por àquelas que submeteram ao novo órgão regulador (www.computerworld.com.br/templ_textos/noticias.asp?id=12768).

O que significa submeter-se ao novo órgão regulador? Para entender melhor do que se trata, convém examinar os primeiros documentos publicados pela ICP-Brasil, que estão disponíveis para consulta pública e envio de comentários até 23 de julho no sítio www.governoeletronico.gov.br. Estes documentos incluem o Termo de Referência do Comitê Gestor da ICP-Brasil, as Políticas de Certificado da ICP-Brasil, a Declaração de Regras Operacionais da AC-Raiz, e a Política de Segurança da ICP-Brasil, num total de mais de 300 páginas. Ao folhear este calhamaço de normas, alguns detalhes chamam a atenção, e, como dizem os ingleses, "the devil is in the details" (o diabo reside nos detalhes).

Talvez o que mais cause estranheza é o fato do usuário não controlar a geração das chaves criptográficas que ele mesmo vai usar. Segundo a norma: "Todo portador de certificado a ser emitido deverá gerar o par de chaves usando equipamento da AR e um algoritmo aprovado pelo CG da ICP-Brasil". (AR é uma Autoridade Registradora, que tem a função de identificar o usuário da chave pública.) Porém, "a chave privada da Assinatura Digital de cada usuário é para ser mantida somente pelo usuário devendo o mesmo assegurar seu sigilo. Qualquer divulgação da chave privada de assinatura pelo usuário será de sua inteira responsabilidade." Portanto, o uso deste sistema de chaves criptográficos implica em um ato de fé que o equipamento da AR revele a chave privada que ele gera apenas para este usuário, e não para mais ninguém. Este equipamento da AR é mais uma caixa preta administrada por outros, da mesma família que a urna eletrônica, em que deveremos confiar porque alguém nos garante que funciona corretamente (tem uma discussão da confiabilidade das urnas eletrônicas na coluna de 13 de novembro de 2000). Há muitas pessoas que preferem não confiar em caixas pretas que possam ser manuseados por outras pessoas à sua revelia. Por outro lado, este problema é bastante intratável por outros meios, com foi mostrado na coluna de 4 de dezembro de 2000, pois somente uma máquina própria, fisicamente isolada, teria todas as condições de gerar o par de chaves, mantendo o sigilo da chave privada. A solução pragmática, então, poderia ser um projeto aberto, e jamais sigiloso, de máquina de gerar chaves, que não tivesse meios de transmitir as chaves gravadas exceto para o meio físico do interessado, e que pudesse apagar completamente todas as informações sobre chaves da sua memória interna depois de cada uso.

Um dos temas que permeia a documentação da ICP-Brasil é o uso preferencial de algoritmos criptográficos nacionais, desenvolvidos, devemos supor, pelo CEPESC, e implementados em hardware de fabricação nacional. É bem positivo esta ênfase em tecnologia nacional, porém, é essencial o observador ser convencido que os algoritmos em questão oferecem alguma vantagem em segurança ou eficiência, comparado com as alternativos usados no domínio público. É evidente que o CEPESC possui bons quadros na área criptográfica, mas seria preferível que seu trabalho não tivesse que esconder-se atrás de uma cortina de sigilo desnecessária, como vem sendo escondido no caso das rotinas criptográficas usadas nas urnas eletrônicas. Pelo contrário, este trabalho deveria se tornar aberto para poder ser validado publicamente pela comunidade de pesquisa em criptografia, o que reforçaria a confiança pública nele. Deve-se lembrar que o governo dos EUA recentemente realizou um concurso público para selecionar um algoritmo para o Advanced Encryption Standard, e o vencedor foi um algoritmo criado e tornado público por dois belgas (v. a coluna de 6 de novembro de 2000). Nacionalismo e o uso de algoritmos sigilosos não são bons conselheiros na escolha de tecnologia criptográfica. Quem sabe, no CEPESC já esteja trabalhando o nosso James Ellis (funcionário do serviço de informações inglês que teria descoberto a criptografia assimétrica alguns anos antes de Diffie e Hellman - vide http://www.cesg.gov.uk/about/nsecret), e nós somente saberemos dele daqui a uns 25 anos? Nao seria muito melhor sabermos do seu talento e do seu trabalho agora? Na prática, se for realmente a intenção da ICP-Brasil interoperar com outras ICPs, não vai ser possível fugir do uso, também, de algoritmos criptográficos usados, por exemplo, no mundo do comércio internacional, onde não haverá como impor o uso generalizado de um padrão brasileiro.

O outro documento que chama a atenção é sobre a política de segurança, que, de modo geral, está repleta de boas práticas para resguardar a integridade dos sistemas a serem montados para as unidades que comporiam a ICP-Brasil. Entretanto, causa surpresa ler que, para trabalhar em uma destas unidades, o candidato teria que ter sua vida pública "pesquisada", além de "serem observados os ambientes social, familiar e funcional". Isto lembra muito os tempos recentes quando era exigido um atestado de bons antecedentes ideológicos para assumir cargos públicos, e está implícito na regra que existem padrões para a vida social e familiar, que não são explicitados e que deveriam ser seguidos por um candidato a um cargo destes. Seria bom saber de antemão quais seriam estes padrões, para ver se são aceitos publicamente. Não havendo consenso sobre os tais padrões, seria preferível eliminar qualquer menção deles das regras a serem adotadas oficialmente.

De qualquer maneira, os sinais são auspiciosos para a resolução em breve do problema de suporte para uso ampla de criptografia no país, o que deveria tornar mais seguro e, portanto, mais bem aceito e difundido o uso de Internet para transações comerciais, financeiras e administrativas.
 


Estadão
Assinaturas digitais para o comércio eletrônico
Michael Stanton

Em algumas ocasiões já tratamos aqui do uso de assinaturas digitais, sem uma explicação adequada do que elas são, e de que modo vêm a ser usadas. O termo "assinatura" é evidentemente derivada do procedimento tradicional de uma pessoa escrever seu nome num documento para indicar sua concordância com seus termos. Isto seria especialmente o caso em caso de contratos de diversos tipos, incluindo-se contrair dívidas através de cartões de crédito, ou ordenar pagamentos através de cartão de débito ou cheque. Para entender como deveriam funcionar as regras para a assinatura eletrônica, é sempre válido tentar criar e testar analogias com o mundo de documentos de papel. Desta forma podemos nos apoiar em práticas que evoluíram ao longo do tempo, para atender a demandas da sociedade. Neste texto será examinado o uso de assinaturas digitais para realizar pagamentos eletrônicos, o que deveria vir a ser o esteio do comércio eletrônico varejista, complementando ou até substituindo o atual uso do cartão de crédito para compras pela Internet. Com esta finalidade os principais companhias de cartão de crédito criaram o padrão SET (Secure Electronic Transaction), baseado no uso de assinaturas digitais de compradores e vendedores (www.setco.org/set.html).
A assinatura digital é uma aplicação da criptografia assimétrica, descoberta nos anos 1970. Esta envolve o uso de um par de chaves, uma, privada, chamada de "chave de assinatura digital", usada para assinar documentos digitais, e outra, pública, chamada de "chave de verificação de assinatura digital", usada por outros para verificar se um documento foi assinada usando a chave de assinatura correspondente. Deve se notar que gerar e verificar uma assinatura digital geralmente requer o uso de um computador, pois envolve realizar uma série de cálculos, impossível de se fazer de outra forma.

Há várias diferenças entre a assinatura escrita a mão e a digital. Se for feita qualquer modificação do documento digital, não será verificada a assinatura digital. A assinatura digital, portanto, é uma garantia da integridade do documento assinado, servindo como um lacre. Um documento em papel, depois de assinado, poderia ser modificado sem isto ser detectado. Por outro lado, uma assinatura escrita, desde que seja autêntica, atesta a presença física do seu dono, enquanto a assinatura digital indica apenas que a chave de assinatura tenha sido usada, sem podermos concluir que o usuário tenha sido seu dono. Evidentemente, se a chave de assinatura permanecer sob o controle de uma única pessoa, poderemos concluir que documentos assinados com a chave foram realmente assinadas por esta pessoa.

Apesar destas semelhanças, em alguns casos da legislação de comércio eletrônico em preparação no mundo trata-se diferentemente a repudiação dos dois tipos de assinatura, a escrita e a digital. Normalmente, uma pessoa pode repudiar uma assinatura escrita, alegando que ela tenha sido forjada, ou, apesar de genuína, obtida por meios ilícitas (uso de ameaça ou fraude). Em caso de repudiação, cabe o ônus de prova à pessoa interessada em demonstrar a validade da assinatura. Uma maneira importante de garantir a validade da assinatura é ter testemunhas ao ato da sua escrita. Diferente do caso das assinaturas escritas, existem propostas de leis que negam ao dono da chave de assinatura o direito de repudiar uma assinatura digital criada com esta chave, transferindo este o ônus de demonstrar que uma assinatura digital não é válida. (Um exemplo disto é o artigo 13 da lei modelo de comércio eletrônica da UNCITRAL, mencionada na coluna de 10 de julho como um dos inspiradores da futura legislação nacional deste setor.) Será que a repudiação de uma assinatura digital deve ser tratada tão diferentemente do caso da assinatura a mão? Afinal, itens individuais de uma conta de cartão de crédito podem ser repudiados pelo cliente hoje em dia.

Se examinarmos a mecânica de criação de uma assinatura digital, podemos ter reservas a respeito. No fundo, a segurança da assinatura digital depende da manutenção em sigilo da chave de assinatura, e seu uso apenas sob o comando do dono. Porém, como foi mencionado, precisamos de um computador para gerar assinaturas digitais, e que a chave precisa estar disponível na memória deste. O grande problema é que, para a maioria dos usuários, o computador a seu dispor para gerar assinaturas digitais simplesmente não oferece a segurança necessária para guardar com segurança sua chave de assinatura. Há várias ameaças possíveis, incluindo acesso físico a ele por terceiros (colegas de trabalho, pessoal de suporte e manutenção), e "cavalos de Tróia" instalados em software usado inocentemente, Estes podem ser presentes em software de registro eletrônico ou de notificação de problemas de aplicações, ou introduzidos através de invasão de vermes de correio eletrônico, muito vistos ultimamente. Estes agentes do mal poderiam vasculhar o disco à procura da chave, para transmiti-la para fora, ou até modificar o software de assinatura digital, causando nosso computador a assinar um documento diferente daquele que o dono pretende. Claro, seria possível construir um computador seguro para aplicar assinaturas digitais, mas provavelmente ele teria que ser dedicado a esta tarefa, e mantida desligado das redes. Enquanto uma solução deste tipo não estiver ao alcance de todos, deve ser rejeitada a adoção de legislação que responsabiliza absolutamente o dono de uma chave por documentos com ela assinados digitalmente.

Ao invés desta responsabilização absoluta do dono da chave de assinatura pelos riscos decorrentes de eventuais abusos, a solução para o uso de assinaturas digitais no contexto atual deveria envolver o gerenciamento destes riscos. Do mesmo modo que já fazem as empresas de cartão de crédito, o dono de uma chave deve poder associar à sua chave de assinatura algumas características adicionais, tais como com a imposição de limites de valor contratados, a necessidade de confirmação para valores grandes, e a identificação de um perfil de uso, ao qual será comparado o novo comprometimento. Com estas salvaguardas adicionais, o dono de uma chave de assinatura poderia ficar mais tranqüilo, sabendo que não estava se abrindo completamente para um prejuízo arbitrariamente grande, por uso de pagamentos eletrônicos.

Para o leitor interessado poder se aprofundar no assunto tratado aqui, recomenda-se a leitura dos excelentes artigos de McCullagh e Caelli da Queensland University of Technology, Austrália (firstmonday.org/issues/issue5_8/mccullagh/index.html), e do advogado norte-americano Cem Kaner (www.badsoftware.com/digsig.htm).


IDG Now!
[14/02/05]  

O que é um certificado digital?

 

Complemente sua pesquisa: Google (com opção de páginas em português)

"Direitos"
Todo o conteúdo sobre Tecnologia deste Blog foi coletado na web via sites de busca ou enviado por colaboradores voluntários, com o único propósito de informar e compartilhar conhecimento, sem finalidade comercial. Tecnologia, neste caso, é sinônimo de organizações, empresas, produtos e serviços. Há sempre preocupação em citar as fontes. No entanto, se alguma pessoa , física ou jurídica, sentir-se prejudicada em seus direitos, basta um comunicado e a matéria será reformulada ou retirada. 

All the contents about technology of this Section were collected in the web via search sites or were sent by voluntary collaborators, with the only purpose of informing and sharing knowledge. Technology, in this case, is a synonim for organizations, enterprises, products and services. There will be always the preoccupation in mentioning the sources.. However, if any person or enterprise will happen to feel damaged in their rights, they may just send a note and the material will be reformulated.