Certificação digital. De onde surgiu e por que ela me interessaria?
4 de julho de 2017Alguma vez você já teve contato com o assunto certificação digital ou sabe do que se trata?
Por Viviane Bertol
A Certificação Digital, sem dúvida, vem se tornando um assunto cada vez mais recorrente na segurança da informação e a diversificação de aplicações em que está envolvida vem expandindo o mercado brasileiro de certificação digital de forma consistente ao longo dos últimos anos.
É preciso, antes de mais nada, compreendermos a relevância dos certificados digitais, e para isso devemos falar sobre a segurança na Internet.
Como sabemos, na rede mundial a informação flui livremente e nem sempre podemos garantir a segurança e integridade dos dados que enviamos ou recebemos, pois neste fluxo ininterrupto as informações podem ser violadas, interceptadas e até adulteradas. Juntamente a estes fatores, temos o risco de não sabermos se a pessoa na outra ponta do fluxo de informação é quem realmente diz ser.
Visando solucionar estas questões de integridade da informação e comunicação nos meios de internet, surgiram diversos mecanismos de segurança, sendo um deles os Certificados Digitais, que são uma tecnologia de segurança.
Baseada em criptografia, a Certificação Digital utiliza algoritmos capazes de embaralhar mensagens e dados, assim protegendo a sua confidencialidade.
Para tanto, são utilizadas chaves criptográficas, que contêm o “segredo” utilizado para embaralhar e desembaralhar os dados, permitindo a recuperação das informações somente para quem devidamente são destinadas.
O Certificado Digital é um arquivo eletrônico armazenado em uma mídia digital – podendo ser em um arquivo, um cartão inteligente ou um token (dispositivo semelhante a um pendrive, mas apenas na aparência). Tanto o cartão inteligente como o token possuem capacidade interna de processamento criptográfico, o que não ocorre com o pendrive, que apenas armazena dados.
Na Certificação Digital utiliza-se um tipo de criptografia conhecido por Criptografia de Chaves Públicas. Nele, cada pessoa recebe duas chaves criptográficas, conhecidas como chave pública e privada. Uma delas é usada para cifrar e outra para decifrar as mensagens.
A chave privada fica sempre com o dono original e a chave pública pode ser enviada para qualquer pessoa. A distribuição dessas chaves está submetida a uma série de entidades, padrões normativos e regulamentos, que juntos compõem a infraestrutura conhecida como ICP-Brasil (maiores informações sobre este conceito podem ser encontradas no artigo: Você conhece a ICP-Brasil e o que ela representa?).
A seguir temos uma representação visual de como usar criptografia assimétrica para diversas finalidades.
Garantindo o sigilo da comunicação
Na nossa representação, a criptografia assimétrica será usada por Alice, para enviar uma mensagem sigilosa para Beto.
Para isso, precisará obter uma cópia da chave pública de Beto (o que em geral é feito obtendo o certificado digital de Beto, emitido por uma Autoridade certificadora confiável, o qual contém sua chave pública).
A seguir, Alice cifra o texto usando a chave pública de Beto, e o envia para que ele possa decifrar usando sua chave privada. Se alguém interceptar a mensagem, não conseguirá decifrar o texto pois não possui a chave correta.
Um ponto importante aqui é que se a mensagem for enviada por email, é possível cifrar o texto do email, propriamente dito, cifrar um arquivo anexo ao email ou cifrar ambos.
Garantindo a autoria de uma mensagem
Outra utilização da criptografia assimétrica é para garantir a autenticidade ou autoria de uma mensagem.
Neste caso, Alice irá enviar para Beto uma mensagem, e cifrar com sua chave privada.
Beto obterá a chave pública de Alice (o que em geral é feito obtendo o certificado digital de Alice, emitido por uma Autoridade certificadora confiável, o qual contém sua chave pública).
Ao receber o documento cifrado, Beto o decifrará com a chave pública de Alice, obtendo assim a certeza de que foi ela a autora.
Note que outras pessoas que interceptem a mensagem poderão ter acesso ao conteúdo, se tiverem acesso à chave pública de Alice, mas o objetivo aqui é a garantia da autoria, não o sigilo.
Garantindo a Integridade de um arquivo
Para garantir a integridade de uma mensagem, ou seja, garantir que ela chegue íntegra e completa ao destinatário, utiliza-se outra tecnologia, chamada resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.
A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades:
dada uma mensagem, deve ser fácil calcular o resumo criptográfico;
dado o resumo criptográfico, deve ser muito difícil determinar a mensagem que o originou;
mensagens diferentes devem produzir resumos criptográficos diferentes;
o resumo criptográfico deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.
Utilizando Assinatura Digital
A criptografia de chaves públicas, aliada a tecnologia de hash permite a realização das assinaturas digitais.
A assinatura digital é uma sequência de bits que representa a assinatura do indivíduo vinculada a um documento eletrônico. Resultante de uma operação matemática, utiliza algoritmos de criptografia assimétrica e de resumo criptográfico, permitindo aferir, com segurança, a origem e a integridade do documento.
A seguir podemos ver uma representação de como funcionam essas assinaturas:
O processo de assinatura digital funciona então da seguinte forma:
– Alice possui uma chave privada, que é de seu conhecimento exclusivo;
– Beto possui cópia da chave pública de Alice (normalmente, recebida em um certificado digital emitido para Alice por uma entidade confiável, chamada de Autoridade Certificadora);
– Alice usa um aplicativo de assinatura digital, que gera o resumo criptográfico da mensagem e cifra esse resumo com sua chave privada;
– Alice envia para Beto o resumo assinado e a mensagem original;
– Beto recebe esses dados e utiliza também um aplicativo de assinatura digital para conferir a validade da assinatura recebdida e a integridada do documento assinado.
O aplicativo decifra o resumo criptográfico, usando a chave pública de Alice. Ele também calcula o resumo do texto original e compara os dois resultados. Se forem idênticos, significa que a mensagem veio mesmo de Alice e que não foi adulterada no percurso.
Conclusão
Vimos que a certificação digital utiliza mecanismos robustos para prover segurança à comunicação que trafega na Internet.
A robustez desses mecanismos é tamanha, que o Governo Brasileiro atribui a uma assinatura digital realizada com certificado digital ICP-Brasil a mesma validade jurídica de uma assinatura feita em papel pelo próprio punho do autor, e reconhecida em cartório.
Com todas estas informações, podemos vislumbrar o quão atraente o mercado de Certificação Digital está se tornando a novos investidores, e até mesmo para os players atuais do mercado, que buscam expandir a abrangência de suas atividades.
A versatilidade de seu uso, aliada a regulamentações e obrigatoriedades estabelecidas pelos fiscos federal, estadual e municipal, fazem esta emergente tecnologia de segurança cada vez mais atraente, gerando inúmeras oportunidades de novos negócios.
Leia aqui outros artigos de Viviane BertolArtigo originalmente publicado pela PKI Consulting
Sobre: Viviane Bertol
Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
Participou da elaboração de diversos normativos da ICP-Brasil.
Colunista e membro do conselho editorial do Instituto CryptoID.
Contato de Viviane Bertol viviane@pkiconsulting.com