Panorama da certificação digital no Brasil
2 de abril de 2019A Certificação Digital no Brasil foi instituída em 2001 através da Medida Provisória nº 2.002-2, de 24 de agosto de 2001, assinada pelo então presidente Fernando Henrique Cardoso.
Por Fernando Toscano*
Com a publicação da MP 2002-2/01, em 27.08.2001, foi, então, criada a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, transformado o Instituto Nacional de Tecnologia da Informação – ITI em uma autarquia federal, hoje vinculada à Casa Civil da Presidência da República, e definidas uma série de outras questões técnicas.
Essa MP2002-2/01 convalidou a MP original, MP2002-1/01 de 27 de julho de 2001, reeditando-a e subtituindo-a. Seu texto completo aqui
Certificado Digital
O comitê Gestor da ICP-Brasil, que possui a função de coordenar a implantação e o funcionamento da infraestrutura (art. 4º, inc. I, da M.P. 2.200-2/01), em reunião realizada no dia 10 de fevereiro de 2009, definiu que o certificado digital é tratado como um produto, e não serviço.
Este produto, intangível pois eletrônico, deve ser compreendido como um software personalíssimo. Tal assim ocorre pois não se trata de um produto igual para todos os adquirentes (ou, na linguagem utilizadas pelos Tribunais, não se trata de um software de prateleira).
No procedimento de sua emissão são verificadas as características pessoais de cada adquirente, como, ao menos, seu nome completo e data de nascimento.
Hoje, o entendimento geral é de que se trata de uma prestação de serviços visto que a título de exemplo, numa analogia simples, a manutenção de um determinado equipamento ou um veículo, com a substituição de peças, trata-se da prestação de serviços de manutenção.
Na prática, o certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web.
Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas.
Os certificados contêm os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.
Existem certificados digitais para a Pessoa Jurídica (e-PJ ou e-CNPJ) e os para a Pessoa Física (e-PF ou e-CPF). Os certificados digitais são emitidos por Agentes de Registro, que são funcionários das Autoridades de Registro (ARs), em um endereço autorizado pelo ITI e publicado no mapa da certificação digital.
Esses certificados digitais podem tratar-se de arquivos executáveis (arquivos com 01 ano de validade e que são baixados pelo usuário em um ou mais equipamentos); serem gravados em mídias digitais homologadas pelo ITI (tokens ou smart cards), com validade de 01, 02, 03 e/ou 05 anos – prazo escolhido pelo cliente; e, a partir de 2019, já está disponível o certificado digital em nuvem, também com prazo de validade variável. O primeiro país do mundo a receber o certificado digital em nuvem foi a Áustria.
ICP-Brasil
A ICP-Brasil foi organizada através de regulamento próprio e é composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz – AC Raiz, pelas Autoridades Certificadoras – AC e pelas Autoridades de Registro – AR.
A função de autoridade gestora de políticas é exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República, e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e um representante de cada um dos seguintes órgãos, indicados por seus titulares: I – Ministério da Justiça; II – Ministério da Fazenda; III – Ministério do Desenvolvimento, Indústria e Comércio Exterior; IV – Ministério do Planejamento, Orçamento e Gestão; V – Ministério da Ciência e Tecnologia; VI – Casa Civil da Presidência da República; e VII – Gabinete de Segurança Institucional da Presidência da República.
As reuniões ordinárias dar-se-ão de 04 em 04 meses e a sua coordenação é de responsabilidade de um representante da Casa Civil da Presidência da República.
Compete ao Comitê Gestor da ICP-Brasil: I – adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil; II – estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação; III – estabelecer a política de certificação e as regras operacionais da AC Raiz; IV – homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço; V – estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação; VI – aprovar políticas de certificados, práticas de certificação e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; VII – identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII – atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.
Algumas de suas atribuições podem ser delegadas ao Instituto Nacional de Tecnologia da Informação – ITI.
AC-Raiz – ITI
O ITI é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Públicas Brasileira e, no exercício de suas atribuições, o ITI desempenha atividade de fiscalização, podendo ainda aplicar sanções e penalidades, na forma da lei.
O ITI é composto de uma presidência, duas diretorias e uma procuradoria-geral. A autarquia tem por missão manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil e ainda lhe compete ser a primeira autoridade da cadeia de certificação digital – AC Raiz.
Assim, com a publicação da Medida Provisória 2.200-2, em 27 de agosto de 2001, o Brasil passou a possuir uma infraestrutura pública, mantida e auditada por um órgão público, no caso, o ITI, que segue regras de funcionamento estabelecidas pelo Comitê Gestor da ICP-Brasil, cujos membros, representantes dos poderes públicos, sociedade civil organizada e pesquisa acadêmica, são nomeados pelo Presidente da República.
Compete ao Instituto Nacional de Tecnologia da Informação – ITI: Adotar as medidas necessárias e coordenar o funcionamento da ICP-Brasil; estabelecer a política, os critérios e as normas técnicas para o credenciamento das ACs, das ARs e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação; estabelecer a política de certificação e as regras operacionais da AC-Raiz; homologar, auditar e fiscalizar a AC-Raiz e os seus prestadores de serviço; delegar atribuições à AC-Raiz, primeira autoridade da cadeia de certificação; estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das ACs e das ARs e definir níveis da cadeia de certificação; aprovar políticas de certificados, práticas de certificação e regras operacionais, credenciar e autorizar o funcionamento das ACs e das ARs, bem como autorizar a AC-Raiz a emitir o correspondente certificado; e identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de certificação bilateral, regras de interoperabilidade e outras formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.
O ITI homologa mídias para uso na certificação digital e credencia empresas de auditoria – necessárias para verificação do efetivo cumprimento das normas da certificação digital.
A homologação garante que os equipamentos ou sistemas atendam todas as especificações necessárias para a garantia da segurança nos processos de geração, armazenamento e uso do certificado digital ICP-Brasil (veja o link ao final dessa publicação).
Já auditorias são anuais – junto às ACs e ARs – e o órgão possui, ainda, um departamento de fiscalização que faz visitas não programadas além do chamado “cliente oculto” nas ITs e ITSs e recebe, trata e, quando é o caso, pune, as suas entidades vinculadas que não obedeçam, na íntegra, ao regramento geral da certificação digital.
Tudo isso vem construindo a imagem de que a certificação digital no Brasil é uma das mais bem organizadas, fiscalizadas, seguras e acreditadas em todo o mundo.
De março de 2018 a fevereiro de 2019 foram emitidos 4.663.204 certificados digitais no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, crescimento de 28,09% em relação ao mesmo período entre 2017 e 2018, quando o número de emissões chegou a 3.640.588.
Apenas a título de comparação, países chamados “de 1º mundo”, como o Canadá, praticamente conhece a certificação digital apenas para a segurança cibernética de sites, chamados SSL / TLS.
SSL significa “Secure Sockets Layer“, um tipo de segurança digital que permite a comunicação criptografada entre um site e um navegador.
Atualmente a tecnologia está sendo completamente substituída pelo TLS – “Transport Layer Security“ – que certifica a proteção de dados de maneira semelhante ao SSL.
Todos sabemos que o “https” é uma extensão segura do “http”. Os sites que configurarem um certificado SSL/TLS podem utilizar o protocolo “https” para estabelecer uma comunicação segura com o servidor.
Assim, sites que se utilizam do “https” no seu endereço eletrônico possuem certificado digital de servidor e são uma garantia adicional de segurança na navegação segura do internauta.
AC – Autoridade Certificadora
Uma Autoridade Certificadora – AC é uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado.
Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir Listas de Certificados Revogados – LCR e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação – DPC, além de estabelecer e fazer cumprir, pelas Autoridades de Registro – ARs a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.
Existem as ACs de 1º Nível, que seguem as normas definidas pela ICP-Brasil através da AC-Raiz e a figura da AC de 2º Nível. As ACs de 2º nível são as Autoridades Certificadoras que possuem vínculos técnicos, tecnológicos e de subordinação às ACs de 1º Nível.
As ACs de 1º Nível possuem as chamadas “salas-cofre”, estrutura, sistemas e equipamentos caros e que demandam pesados investimentos.
Dentre as ACs de 1º Nível destacamos:
PRIVADAS: Soluti (a maior emissora do Brasil hoje), com sede em Goiânia (GO), Certisign (SP), Valid (SP), Serasa (SP), Safeweb (RS), Digitalsign (SP) e Boavista (SP).
ESTATAIS: Serpro, Caixa Econômica Federal, Imprensa Oficial de São Paulo, AC Jus, AC PR, AC RFB, AC CMB, AC MRE, e AC Prodemge. Dentre as empresas privadas a AC Serasa é uma sociedade anônima com capital na Bolsa de Valores e sede na Irlanda e, a Digitalsign, possui capital português. As demais ACs privadas são controladas por grupos e empresários brasileiros.
As ACs de 2º Nível “não estatais”, entre credenciadas e em credenciamento atualmente, são: AC Mult, AC Digital, AC Certificaminas, AC Certfácil, AC ACD, AC Certifica Anápolis, AC Prime, AC Rede Brasil, AC Qualitycert e AC Infoco Digital (vinculadas a AC Soluti); AC Sincor, AC OAB, AC Instituto Fenacon, AC Egba Múltipla (vinculadas a AC Certisign); AC Notarial, AC BR, AC Sempre, AC Digital, AC Fenacor, AC Consulti Brasil e AC Digiforte (vinculadas a Receita Federal do Brasil – AC RFB); AC Online, AC Pronova, AC SIC Brasil, AC Certbank e AC CCN (vinculadas a AC Valid); AC Link e AC Rede Idéia (vinculadas a AC Safeweb). Apenas a AC Serasa e AC Boavista não possuem ACs de 2º nível vinculadas.
AR – Autoridade de Registro
Uma Autoridade de Registro – AR é responsável pela interface entre o usuário e a Autoridade Certificadora – AC. Vinculada a uma AC, tem por objetivo o recebimento, a validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes.
É responsabilidade da AR manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.
Na prática é a AR quem atende ao cliente, quem faz e entrega o certificado digital ao cliente. O processo de deferimento de uma AR é bastante detalhado, precedido de envio de documentação, certidões, seguros, auditorias e só podem operar vinculadas a uma AC, que são co-responsáveis no processo de credenciamento e, também nas emissões, auditorias, treinamentos, etc.
Há ainda outras Autoridades importantes, mas que não participam diretamente da emissão de certificação digital no país. Essas exercem funções específicas e são as seguintes:
ACT – Autoridade Certificadora do Tempo
Uma Autoridade Certificadora do Tempo – ACT é uma entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emissão dos mesmos.
A ACT tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período.
Na prática, um documento é produzido e seu conteúdo é criptografado. Em seguida, ele recebe os atributos ano, mês, dia, hora, minuto e segundo, atestado na forma da assinatura realizada com certificado digital servindo assim para comprovar sua autenticidade. A ACT atesta não apenas a questão temporal de uma transação, mas também seu conteúdo.
PSS – Prestador de Serviço de Suporte
O PSS desempenha atividade descrita nas Políticas de Certificado – PC e na Declaração de Práticas de Certificação – DPC da AC a que estiver vinculado, diretamente ou por intermédio da AR, ou nas Políticas de Carimbo do Tempo – PCT e na Declaração de Práticas de Carimbo do Tempo – DPCT da ACT a que estiver vinculado, ou ainda nas atividades de PSBio, classificando-se, conforme o tipo de atividade prestada, em três categorias: disponibilização de infraestrutura física e lógica; disponibilização de recursos humanos especializados; ou disponibilização de infraestrutura física e lógica e de recursos humanos especializados.
PSBio – Prestador de Serviço Biométrico
Os PSBios são entidades com capacidade técnica para realizar a identificação biométrica, tornando um registro/requerente único em um ou mais bancos/sistemas de dados biométricos para toda ICP-Brasil, a verificação biométrica do requerente de um certificado digital e a comparação de uma biometria, que possua característica perene e unívoca, de acordo com os padrões internacionais de uso.
– A legislação completa do setor é encontrada aqui
– As publicações técnicas de representantes do ITI
– A relação de todos os entes credenciados junto ao ITI
– A relação de hardware homologados pelo ITI
– Site do ITI // Site da AC Soluti // Site da AR Mult
*Fernando Toscano, diretor da AR Mult (Brasília), empresa com 26 anos de mercado, 11 deles na certificação digital, já atuou como executivo de granes grupos privados.
ICP-BRASIL: Uma Jornada da MP 2200-2 ao Windows