Assinatura Digital é valida sem carimbo de tempo? – Por Sergio Leal
29 de abril de 2019Por Sérgio Leal – Artigo nº 51!
Depois de algum tempo sem publicar no portal, recebi a pergunta abaixo enviada pelo Michel, a quem agradeço o questionamento. Em lugar de apenas responder a ele, resolvi transformar a resposta em um artigo.
“Boa tarde Sérgio Leal, o que você está dizendo não faz muito sentido, senão vejamos: um documento assinado digitalmente no ano de 2005…..após 4 anos o ato da assinatura não terá mais validade? O certificado digital utilizado para aquela assinatura pode não valer mais porém a assinatura realizada por aquele certificado enquanto válido, vale para o resto da vida. Esse sempre foi o entendimento comum. Você tem um entendimento diferente? ”
Posso afirmar, sem medo de errar, que essa é a pergunta que mais apareceu em todas as minhas aulas nos últimos 20 anos. Assim, tenho certeza que respondê-la para um público mais amplo ajudará a muitos entenderem melhor o assunto.
Num curso sobre o assunto, a resposta a essa pergunta exige algumas horas de explicação, porque a validade da assinatura digital é um assunto muito complexo. Não funciona com a simplicidade de um documento impresso autenticado em cartório, mas exige um projeto profissional.
Muitas pessoas desistem de seus projetos quando mergulham no nível de complexidade que envolve o assunto, outras apenas tomam decisões sem a devida reflexão e criam uma situação de alto risco. Poucos implementam assinatura digital de maneira correta e consistente.
A pergunta do Michel
Mas analisando cada pedaço da pergunta, podemos começar pelo ‘entendimento comum’ que não podemos afirmar qual a referência dele. Com certeza não é uma RFC do IETF/PKIX nem um paper de caras como Warwick Ford ou Bruce Schneier. Isso porque os conceitos de validade de assinatura digital estão na base se sua existência e funcionam como uma fundação.
Seria como rediscutir a lei da gravidade na Física, o que arruinaria por completo sua consistência. Dessa maneira, pela falta de referência vamos desconsiderar essa parte da afirmação. De qualquer maneira, parece que ele não leu o artigo com atenção, uma vez que de maneira resumida a questão já foi tratada lá.
Como referência as bases e motivações de carimbo de tempo e assinaturas digitais de longa duração já estão publicamente padronizadas há quase 20 anos.[1] Além de estar amplamente coberta pela própria documentação da ICP-Brasil.[2]
A validade da assinatura digital
Essa discussão é bem complexa e devemos sublinhar que a questão formulada deixa de fora alguns aspectos importantes. Por exemplo, quais as bases normativas da ICP que deu origem ao certificado digital utilizado na assinatura. Foi usado ICP-Brasil? Uma ICP privada? Mas como isso não fez parte da pergunta, vamos deixar de lado e focar no ‘carimbo de tempo’.
Vamos direto aos formatos de assinaturas digitais e suas aplicações:
1 – ES (Electronic Signature)
2 – ES-T (ES with Time-Stamp)
3 – ES-C (ES with Complete validation data)
4 – ES-X Long (ES with eXtended validation data)
5 – ES-X Type 1 / ES-X Type 2 (Electronic Signature (ES) , with the additional validation data
forming the eXtended Validation Data – Type 1 / Type 2)
6 – ES-A (ES with Archive Validation Data)
A lista acima é importante para mostrar que não existe ‘assinatura válida’, mas 7 contextos diferentes onde alguns formatos de assinaturas são considerados válidos e outros não. Assim, a primeira questão é identificar em qual deles a sua aplicação está ambientada e consequentemente escolher o formato indicado.
O primeiro tipo (ES), podemos citar diretamente da RFC, “sem a adição de um carimbo de data / hora ou registro de tempo a assinatura eletrônica não protege contra a ameaça que o signatário mais tarde nega ter criado a assinatura eletrônica (ou seja, não fornece o não repúdio de sua existência)”.
Acredito que não precisemos nos alongar além desse ponto para tornar claro que o propósito da assinatura for evitar o repúdio, alguma referência confiável de tempo deverá ser usada.
Quem tiver interesse em entender melhor sobre os outros formatos de assinatura digital pode mergulhar na farta literatura disponível sobre o tema.
https://www.ietf.org/rfc/rfc3161.txt
Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) – August 2001
https://tools.ietf.org/rfc/rfc3126.txt
Electronic Signature Formats for long term electronic signatures – September 2001
[1] https://www.ietf.org/rfc/rfc3161.txt
Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) -August 2001
https://tools.ietf.org/rfc/rfc3126.txt
Electronic Signature Formats for long term electronic signatures – September 2001
*Sérgio Leal
Ativista de longa data no meio da criptografia e certificação digital.
Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Módulo e CertiSign.
Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
Bacharel em Ciências da Computação pela UERJ desde 1997.
Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
Sérgio Leal é colunista e membro do conselho editorial do CRYPTO ID.
Leia outros 50 artigos de Sergio Leal no Crypto ID!Deixe sua opinião em comentários ou se preferir fale direto com Sérgio Leal sergio.leal@gmail.com