Carteira de Identificação Estudantil | CIE
Marcio Roberto Ramirez | Colunista do CryptoID
No dia 18 de Março deste ano, o ITI (autarquia ligada a Casa Civil), disponibilizou documento contendo as especificações técnicas da nova Carteira de Identificação Estudantil (CIE), que em cumprimento à Lei Federal nº 12.933, de 26 de dezembro de 2013, e ao Decreto nº 8.537, de 05 de outubro de 2015, que tratam, entre outros, do benefício da meia-entrada em espetáculos artístico-culturais e esportivos, o referido direito deve ser exercido mediante a apresentação da Carteira emitida conforme modelo único padronizado e publicamente disponibilizado por esta Autarquia, nos termos da liminar proferida nos autos da Ação Direta de Inconstitucionalidade – ADI nº 5108/DF.
O documento disponibilizado na forma de Portaria, para o estabelecimento de regras para a confecção e emissão da Carteira, também estabelece como elemento de segurança e integridade da emissão pela ora denominada: Entidade Emissora, o Certificado de Atributo, conforme padrão ITU-T X.509 v2 e definido pela RFC 5755, assinado por um Certificado Digital padrão ITU-T X.509 v3 ISO/IEC 9594-8; conforme RFC 5280; ICP-Brasil do tipo A3 ou A4, de Pessoa Física emitido à Entidade Emissora de Certificado de Atributo, por uma Autoridade Certificadora credenciada na ICP-Brasil.
Já no dia 06 de Maio, foi emitida uma segunda Portaria; decorrente da revogação parcial desta liminar; limitando e restringindo ao ITI a apenas a especificação da aplicação do Certificado Digital ICP-Brasil como emissor do Certificado de Atributo, e não mais ao modelo gráfico e layout da Carteirinha.
O Certificado de Atributo confere ao seu detentor (titular), um atributo que o qualifica ou o autoriza à alguma coisa.
E neste âmbito logo, qualifica o detentor como Estudante, por um período estipulado, devidamente certificado por uma Entidade Emissora devidamente credenciada e reconhecida com direitos e poderes para tal atribuição.
O Certificado de Atributo neste âmbito, será do tipo Autônomo, por não possuir vínculo, e tal e qual, necessidade de que o detentor possua um Certificado Digital vinculado conforme definido no DOC-ICP 16 e DOC-ICP 16.01 publicado pelo ITI.
Mas por definição da Portaria; 1 e mantido na 2; esta estabelece que o Certificado de Atributo deverá conter como extensão o Ponto de Distribuição da LCR (Lista de Certificados Revogados), e portanto uma LCR vinculada emitida pela EEA, com periodicidade de 6 meses.
Este item poderá causar problemas na verificação da CIE por sistemas automatizados de validação que seguem à risca a regra da ICP observada o DOC-ICP 04 adicionada à PKIX path-validation, pois segundo o documento DOC-ICP 16 que estabelece o Certificado Digital ICP-Brasil do tipo A3 ou A4, de Pessoa Física emitido à EEA, por uma Autoridade Certificadora credenciada na ICP-Brasil, e portanto, sendo este Certificado Digital regulado conforme PC e DPC da AC ICP-Brasil, consta que:
a) Certificados Digitais do tipo usuário final, A3 ou A4, Pessoa-Jurídica, emitidos por AC, não devem conter os bits keyCertSign e cRLSign ligados, conforme DOC-ICP 4, item 7.1.2.2, sub-item ‘b’:
“Key Usage”, crítica: em certificados de assinatura digital, somente os bits digitalSignature,
nonRepudiation e keyEncipherment podem estar ativados; em certificados de sigilo, somente
os bits keyEncipherment e dataEncipherment podem estar ativados;
Consta na RFC 5755, que uma LCR é uma [PKIXPROF] ITU-T X.509 CRL conforme RFC 5280. Mas no caso de Certificados de Atributo, ela é emitida e assinada digitalmente com o Certificado Digital da EEA, contendo em sua lista, o Número Serial dos Certificados de Atributos revogados.
Portanto: Os atuais Certificados Digitais ICP-Brasil do tipo A3 ou A4 Pessoa-Jurídica, constantes das Políticas de Certificação das ACs, não poderiam assinar LCRs. mas, pela Portaria da CIE podem para o âmbito de Certificado de Atributo.
Sendo assim,Caso o seu sistema acuse não conformidade ou erro na validação do Certificado de Atributo, verifique se não se trata deste item.
Mas, os problemas na validação não param por aí.
Na Portaria 2, foi alterado a ordem dos campos do atributo
a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número do Registro Geral – RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF, nas 15 (quinze) posições subsequentes, o número da matrícula do estudante.
Sendo assim, carteirinhas emitidas de 18 de Março a 06 de Maio possuem uma ordem diferente desta, que está em vigor atualmente. Isso causou um hiato. Tais mudanças causam problemas imensos de interoperabilidade e mal funcionamento dos sistemas, ocasionando um número elevado de suporte técnico e logicamente custos para as empresas.
Tais problemas poderiam ser reduzidos pela adoção dos padrões ITU-T X.680 e ITU-T X.690; na primeira Portaria; onde os campos estão em uma estrutura regulada por identificação do campo e seu tamanho, permitindo assim, a inclusão ou remoção de qualquer valor sem afetar outros. Mas essa estrutura já é um vício presente em campos dos Certificados Digitais.
Outra mudança detectada, é que o campo Emissor passa a ter valores distintos do constituído no campo Titular do Certificado Digital, portanto, não permitindo a validação integral do campo Emissor via sistema, reduzindo a apenas ao campo: Nome, que deverá ter o Nome Empresarial constante do CNPJ da EEA.
Fonte:
Portaria, DOC ICP-16, DOC ICP 16.01, DOC ICP 04, ITI: www.iti.gov.br
RFCs: www.ietf.org
*Marcio Roberto Ramirez
Consultor Sr em PKI e Desenvolvimento de Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, desenvolvendo produtos e soluções de PKI, Autoridade Certificadora e protocolos de segurança desde 1996.
Colunista do CryptoID
mramirez@consultsoftware.com.br
Leia também:
CIE | ITI publica nova portaria sobre a carteira de identificação estudantil
Em decorrência da revogação parcial da liminar proferida nos autos da Ação Direta de Inconstitucionalidade nº 5108-DF, o Instituto Nacional de Tecnologia da Informação – ITI publicou, no Diário Oficial da União, a Portaria nº 02, de 05 de maio.
