Assinatura Digital é valida sem carimbo de tempo? – Por Sergio Leal

Por Sérgio Leal – Artigo nº 51!

Sérgio Leal | Criptógrafo, Pesquisador e Colunista do Crypto ID

Depois de algum tempo sem publicar no portal, recebi a pergunta abaixo enviada pelo Michel, a quem agradeço o questionamento. Em lugar de apenas responder a ele, resolvi transformar a resposta em um artigo.

Sem carimbo do tempo vale?

“Boa tarde Sérgio Leal, o que você está dizendo não faz muito sentido, senão vejamos: um documento assinado digitalmente no ano de 2005…..após 4 anos o ato da assinatura não terá mais validade? O certificado digital utilizado para aquela assinatura pode não valer mais porém a assinatura realizada por aquele certificado enquanto válido, vale para o resto da vida. Esse sempre foi o entendimento comum. Você tem um entendimento diferente? ”

Posso afirmar, sem medo de errar, que essa é a pergunta que mais apareceu em todas as minhas aulas nos últimos 20 anos. Assim, tenho certeza que respondê-la para um público mais amplo ajudará a muitos entenderem melhor o assunto.

Num curso sobre o assunto, a resposta a essa pergunta exige algumas horas de explicação, porque a validade da assinatura digital é um assunto muito complexo. Não funciona com a simplicidade de um documento impresso autenticado em cartório, mas exige um projeto profissional.

Muitas pessoas desistem de seus projetos quando mergulham no nível de complexidade que envolve o assunto, outras apenas tomam decisões sem a devida reflexão e criam uma situação de alto risco. Poucos implementam assinatura digital de maneira correta e consistente.

A pergunta do Michel

Mas analisando cada pedaço da pergunta, podemos começar pelo ‘entendimento comum’ que não podemos afirmar qual a referência dele. Com certeza não é uma RFC do IETF/PKIX nem um paper de caras como Warwick Ford ou Bruce Schneier. Isso porque os conceitos de validade de assinatura digital estão na base se sua existência e funcionam como uma fundação.

Seria como rediscutir a lei da gravidade na Física, o que arruinaria por completo sua consistência. Dessa maneira, pela falta de referência vamos desconsiderar essa parte da afirmação. De qualquer maneira, parece que ele não leu o artigo com atenção, uma vez que de maneira resumida a questão já foi tratada lá.

Como referência as bases e motivações de carimbo de tempo e assinaturas digitais de longa duração já estão publicamente padronizadas há quase 20 anos.[1] Além de estar amplamente coberta pela própria documentação da ICP-Brasil.[2]

A validade da assinatura digital

Essa discussão é bem complexa e devemos sublinhar que a questão formulada deixa de fora alguns aspectos importantes. Por exemplo, quais as bases normativas da ICP que deu origem ao certificado digital utilizado na assinatura. Foi usado ICP-Brasil? Uma ICP privada? Mas como isso não fez parte da pergunta, vamos deixar de lado e focar no ‘carimbo de tempo’.

Vamos direto aos formatos de assinaturas digitais e suas aplicações:

 1 –  ES (Electronic Signature)

 2 – ES-T (ES with Time-Stamp)

 3 –  ES-C (ES with Complete validation data)

 4 –  ES-X Long (ES with eXtended validation data)

 5 –  ES-X Type 1 / ES-X Type 2 (Electronic Signature (ES) , with the additional validation data

    forming the eXtended Validation Data – Type 1 / Type 2)

  6 –  ES-A (ES with Archive Validation Data)

A lista acima é importante para mostrar que não existe ‘assinatura válida’, mas 7 contextos diferentes onde alguns formatos de assinaturas são considerados válidos e outros não. Assim, a primeira questão é identificar em qual deles a sua aplicação está ambientada e consequentemente escolher o formato indicado.

O primeiro tipo (ES), podemos citar diretamente da RFC, “sem a adição de um carimbo de data / hora ou registro de tempo a assinatura eletrônica não protege contra a ameaça que o signatário mais tarde nega ter criado a assinatura eletrônica (ou seja, não fornece o não repúdio de sua existência)”.

Acredito que não precisemos nos alongar além desse ponto para tornar claro que o propósito da assinatura for evitar o repúdio, alguma referência confiável de tempo deverá ser usada.

Quem tiver interesse em entender melhor sobre os outros formatos de assinatura digital pode mergulhar na farta literatura disponível sobre o tema.

https://www.ietf.org/rfc/rfc3161.txt

Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) – August 2001

https://tools.ietf.org/rfc/rfc3126.txt

Electronic Signature Formats for long term electronic signatures – September 2001

[1] https://www.ietf.org/rfc/rfc3161.txt

Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) -August 2001

https://tools.ietf.org/rfc/rfc3126.txt

Electronic Signature Formats for long term electronic signatures – September 2001

[2] http://www.iti.gov.br/images/repositorio/legislacao/documentos-principais/DOC-ICP-15_-_Versao_3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL_25-08-2015.pdf

*Sérgio Leal 

Ativista de longa data no meio da criptografia e certificação digital.

Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Módulo e CertiSign.

Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil

Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.

Bacharel em Ciências da Computação pela UERJ desde 1997.

Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)

Sérgio Leal  é colunista e membro do conselho editorial do CRYPTO ID.

Sem carimbo do tempo vale?

Deixe sua opinião em comentários ou se preferir fale direto com Sérgio Leal  sergio.leal@gmail.com