Um dos principais componentes que garante a confiabilidade da data e hora aplicadas por meio de um carimbo do tempo é o módulo de segurança de hardware (HSM na sigla em inglês para hardware security module). Esse requisito faz parte das características do Servidor de Carimbo do Tempo definidas no conjunto de normativa SCT (Servidor Carimbo do Tempo), segundo a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Ela é o órgão responsável por regulamentar a geração e utilização de carimbos do tempo.

Para estar em conformidade com o que preconiza a ICP-Brasil, o equipamento de segurança precisa estar dentro do Sistema de Auditoria e Sincronismo (SAS) e do Servidor de Carimbo do Tempo (SCT). Ainda assim, é importante garantir que o servidor atenda a níveis adequados de funcionamento — principalmente nos quesitos segurança e interoperabilidade. Para isso, o governo brasileiro criou um processo de avaliação de conformidade. Incorporado ao Sistema Nacional de Metrologia (Sinmetro), que é considerado um padrão nacional de qualidade, propõe que todo o dispositivo utilizado na gestão, no armazenamento e uso de certificados digitais e carimbos do tempo atenda aos requisitos de segurança estabelecidos em manuais técnicos disponibilizados publicamente. 

No caso dos Servidores de Carimbo do Tempo, um dos requisitos mais importantes é a utilização de um HSM interno e controlado exclusivamente pelo SCT, como preconiza os normativa SCT. O módulo desse servidor tem dois propósitos distintos: 

  • manter em segurança a chave que assina os carimbos;
  • possuir um relógio interno com acesso restrito às funções de ajuste. 

Esses dois pontos evitam a possibilidade de emitir carimbos do tempo com data e hora não confiáveis.

Problemas causados pelo não cumprimento de normativa SCT 

Uma das principais funções do carimbo do tempo é garantir que uma informação existia em um determinado momento no passado. Isso garante que conflitos por conta de ajustes particulares de relógios não colocarão em xeque nem vão relativizar os momentos ao longo da tramitação de um documento.

Ao permitir a emissão de um carimbo do tempo com data diferente da atual, por exemplo, alguém que tivesse um objetivo intencional de fraudar esse validador poderia adulterar um registro de ponto eletrônico, substituir uma petição judicial recebida em tempo hábil por outra, modificar um laudo médico ou mesmo uma declaração de imposto de renda. Isso porque a inexistência de um padrão regulamentado de monitoramento da hora (lastro temporal), torna-se simples fazer uma nova assinatura digital de modo que ela pareça ter sido feita no momento verdadeiro.

O controle desta ameaça exige preocupações especiais tanto sobre a chave de assinatura de carimbos quanto sobre o relógio do SCT.

Como garantir o cumprimento de normativa SCT

O controle de acesso ao relógio é fundamental para que apenas o servidor de carimbo do tempo possa realizar ajustes da data e hora do HSM. Eles precisam ser solicitados por um Sistema de Autoria e Sincronismo (SAS) e também devem cumprir uma regulamentação específica.

Toda intervenção deve ser registrada em trilhas de auditoria, arquitetura indispensável para garantir a confiabilidade na data de hora de um carimbo do tempo, como a normativa SCT. Se qualquer outra aplicação tiver controle sobre o relógio do SCT, ela poderá alterar a data e hora do equipamento de forma imperceptível — provocando a emissão de um carimbo com data inválida, principal ameaça a uma Autoridade de Carimbo do Tempo (ACT).

Já o controle relacionado à chave de assinatura de carimbos evita qualquer possibilidade de cópia dela. Ela precisa ser única porque quando uma chave é copiada, torna-se mais difícil controlar sua utilização. No caso da chave de um SCT, copiá-la significa tornar possível que uma segunda instância da chave seja restaurada em um ambiente que não possui seu relógio controlado por um SAS, o que permitirá também a emissão de carimbos aparentemente autênticos — porém inválidos — com data e hora não confiáveis.

É por isso que não existe a possibilidade de backup de um módulo de segurança. Se o HSM de um servidor de carimbo do tempo fosse compartilhado com outro sistema (como o de gestão de autoridades certificadoras), os administradores poderiam facilmente ajustar o relógio utilizado pelo SCT ou mesmo realizar cópias de segurança da chave.

Atenção ao fornecedor da tecnologia de carimbo do tempo

Antes de optar por uma tecnologia de carimbo do tempo ou mesmo pelo fornecimento de um serviço dessa natureza, é importante certificar que o fornecedor (ou a ACT no caso de serviço) atende aos critérios de segurança que você leu neste texto. Isso vai garantir a redução do risco de comprometer todos os registros cujas data e hora tenham sido certificadas pelos carimbos, além de estar adequado à normativa SCT, da ICP-Brasil.

A BRy Tecnologia é uma Autoridade de Carimbo do Tempo ICP-Brasil e a única empresa a ter depositado sua tecnologia de carimbo do tempo para avaliação de conformidade. Além do compromisso com a total aderência aos padrões de qualidade estabelecidos, a BRy também emprega mecanismos adicionais para garantia de confiabilidade nos carimbos do tempo, como a datação relativa.

Leia outros conteúdos sobre certificação digital e carimbo do tempo no nosso blog e conheça outras soluções que oferecemos para aumentar a confiabilidade dos processos da sua empresa no nosso site.