Últimas notícias

Fique informado

Assinatura Digital é valida sem carimbo de tempo? – Por Sergio Leal

29 de abril de 2019

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Sem carimbo do tempo vale?

Já faz algum tempo que o assunto Carimbo do Tempo

20 de outubro de 2016

Por Sérgio Leal – Artigo nº 51!

Sérgio Leal | Criptógrafo, Pesquisador e Colunista do Crypto ID

Depois de algum tempo sem publicar no portal, recebi a pergunta abaixo enviada pelo Michel, a quem agradeço o questionamento. Em lugar de apenas responder a ele, resolvi transformar a resposta em um artigo.

Sem carimbo do tempo vale?

“Boa tarde Sérgio Leal, o que você está dizendo não faz muito sentido, senão vejamos: um documento assinado digitalmente no ano de 2005…..após 4 anos o ato da assinatura não terá mais validade? O certificado digital utilizado para aquela assinatura pode não valer mais porém a assinatura realizada por aquele certificado enquanto válido, vale para o resto da vida. Esse sempre foi o entendimento comum. Você tem um entendimento diferente? 

Posso afirmar, sem medo de errar, que essa é a pergunta que mais apareceu em todas as minhas aulas nos últimos 20 anos. Assim, tenho certeza que respondê-la para um público mais amplo ajudará a muitos entenderem melhor o assunto.

Num curso sobre o assunto, a resposta a essa pergunta exige algumas horas de explicação, porque a validade da assinatura digital é um assunto muito complexo. Não funciona com a simplicidade de um documento impresso autenticado em cartório, mas exige um projeto profissional.

Muitas pessoas desistem de seus projetos quando mergulham no nível de complexidade que envolve o assunto, outras apenas tomam decisões sem a devida reflexão e criam uma situação de alto risco. Poucos implementam assinatura digital de maneira correta e consistente.

A pergunta do Michel

Mas analisando cada pedaço da pergunta, podemos começar pelo ‘entendimento comum’ que não podemos afirmar qual a referência dele. Com certeza não é uma RFC do IETF/PKIX nem um paper de caras como Warwick Ford ou Bruce Schneier. Isso porque os conceitos de validade de assinatura digital estão na base se sua existência e funcionam como uma fundação.

Seria como rediscutir a lei da gravidade na Física, o que arruinaria por completo sua consistência. Dessa maneira, pela falta de referência vamos desconsiderar essa parte da afirmação. De qualquer maneira, parece que ele não leu o artigo com atenção, uma vez que de maneira resumida a questão já foi tratada lá.

Como referência as bases e motivações de carimbo de tempo e assinaturas digitais de longa duração já estão publicamente padronizadas há quase 20 anos.[1] Além de estar amplamente coberta pela própria documentação da ICP-Brasil.[2]

A validade da assinatura digital

Essa discussão é bem complexa e devemos sublinhar que a questão formulada deixa de fora alguns aspectos importantes. Por exemplo, quais as bases normativas da ICP que deu origem ao certificado digital utilizado na assinatura. Foi usado ICP-Brasil? Uma ICP privada? Mas como isso não fez parte da pergunta, vamos deixar de lado e focar no ‘carimbo de tempo’.

Vamos direto aos formatos de assinaturas digitais e suas aplicações:

 1 –  ES (Electronic Signature)

 2 – ES-T (ES with Time-Stamp)

 3 –  ES-C (ES with Complete validation data)

 4 –  ES-X Long (ES with eXtended validation data)

 5 –  ES-X Type 1 / ES-X Type 2 (Electronic Signature (ES) , with the additional validation data

    forming the eXtended Validation Data – Type 1 / Type 2)

  6 –  ES-A (ES with Archive Validation Data)

A lista acima é importante para mostrar que não existe ‘assinatura válida’, mas 7 contextos diferentes onde alguns formatos de assinaturas são considerados válidos e outros não. Assim, a primeira questão é identificar em qual deles a sua aplicação está ambientada e consequentemente escolher o formato indicado.

O primeiro tipo (ES), podemos citar diretamente da RFC, “sem a adição de um carimbo de data / hora ou registro de tempo a assinatura eletrônica não protege contra a ameaça que o signatário mais tarde nega ter criado a assinatura eletrônica (ou seja, não fornece o não repúdio de sua existência)”.

Acredito que não precisemos nos alongar além desse ponto para tornar claro que o propósito da assinatura for evitar o repúdio, alguma referência confiável de tempo deverá ser usada.

Quem tiver interesse em entender melhor sobre os outros formatos de assinatura digital pode mergulhar na farta literatura disponível sobre o tema.

https://www.ietf.org/rfc/rfc3161.txt

Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) – August 2001

https://tools.ietf.org/rfc/rfc3126.txt

Electronic Signature Formats for long term electronic signatures – September 2001

[1] https://www.ietf.org/rfc/rfc3161.txt

Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) -August 2001

https://tools.ietf.org/rfc/rfc3126.txt

Electronic Signature Formats for long term electronic signatures – September 2001

[2] http://www.iti.gov.br/images/repositorio/legislacao/documentos-principais/DOC-ICP-15_-_Versao_3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL_25-08-2015.pdf

 

*Sérgio Leal 

Ativista de longa data no meio da criptografia e certificação digital.

Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Módulo e CertiSign.

Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil

Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.

Bacharel em Ciências da Computação pela UERJ desde 1997.

Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)

Sérgio Leal  é colunista e membro do conselho editorial do CRYPTO ID.

Sem carimbo do tempo vale?

  Leia outros 50 artigos de Sergio Leal no Crypto ID!

Deixe sua opinião em comentários ou se preferir fale direto com Sérgio Leal  sergio.leal@gmail.com