Uma autoridade certificadora é uma entidade responsável pela emissão dos certificados digitais. Popularmente, eles são conhecidos como a versão eletrônica de documentos importantes como o CPF ou o CNPJ, e têm a função de representar e verificar virtualmente a identidade de pessoas e empresas. Com eles, é possível assinar digitalmente diversos tipos de documentos.
Uma assinatura digital garante a mesma validade jurídica de um documento autenticado em cartório a um arquivo em PDF, DOC ou outros formatos. Ela também pode ser utilizada para validar transações online, procurações, autenticar informações empresariais internas e inúmeras outras aplicações. Neste artigo, vamos explicar alguns detalhes importantes sobre essa ferramenta, por onde começar e como utilizá-la com segurança.
A (AC) mais importante do Brasil é a AC-Raiz Brasileira. Ela existe desde 2001, após a criação da Infraestrutura de Chaves Públicas Brasileira - ICP Brasil, marco que permitiu o início do uso da certificação no país. A AC-Raiz é o ponto máximo de confiança da infraestrutura. Ela é quem autoriza que outras ACs secundárias funcionem, descentralizando a emissão de certificados. Essas outras autoridades são conhecidas como ACs Intermediárias de primeiro nível, ou Normativas.
Na prática, uma autoridade certificadora funciona, para a certificação digital, como o DETRAN funciona para a emissão de carteiras de habilitação. A diferença é que, para ser confiável, uma AC não precisa estar necessariamente ligada a um órgão público. Elas precisam apenas estar de acordo com as normas de segurança e criptografia da ICP Brasil.
Por serem de extrema importância para a infraestrutura, as chaves privadas dessas autoridades são mantidas em ambientes de altíssima segurança, as chamadas salas-cofre. A AC-Raiz e as Normativas não têm qualquer contato com o ambiente externo à sala-cofre, demandando rígidos procedimentos de segurança, sempre que for necessário adentrar ao ambiente para a emissão de um novo certificado.
Uma AC pode emitir certificados para uma pessoa, empresa, equipamento ou ainda para outra AC, criando assim uma verdadeira infraestrutura de confiança, como ilustra a figura abaixo:
As ACs de primeiro nível, por sua vez, emitem certificados para outras ACs. Elas são conhecidas como autoridades certificadoras de segundo nível, ou ACs Finais. Elas são mantidas em ambiente seguro, de nível equivalente às ACs superiores. Contudo, ACs Finais possuem conexão com a internet, para que seja possível receberem requisições para emissão de certificados por meio da rede.
Antes de emitir um certificado digital, uma AC precisa verificar a documentação física do solicitante. Para auxiliar esse processo, as autoridades certificadoras delegam a verificação para as Autoridades de Registro, ou ARs. Elas estão espalhadas por todo o Brasil e realizam a conferência da documentação que atesta a identidade de pessoas e organizações.
Esse trabalho requer a presença dos solicitantes pessoalmente, em um ponto de atendimento da AR. Além disso, é necessária a assinatura manuscrita de um termo de compromisso, em que o titular do certificado compromete-se em manter seu certificado em segurança.
Em geral, o processo de emissão de um certificado passa pelas seguintes etapas:
1. solicitação do certificado: esta etapa é realizada no site da Autoridade Certificadora escolhida. O solicitante preenche um formulário eletrônico com seus dados, submete-o à AC e agenda uma data e hora para fazer a validação presencial;
2. validação presencial: nesta fase, o solicitante se dirige até um ponto de atendimento da Autoridade de Registro, em posse de seus documentos de identidade, como CPF ou RG. Também é realizada a coleta dos dados biométricos (face e impressões digitais) do requerente. Caso haja alguma suspeita de fraude nas biometrias (como uma mesma pessoa pedindo certificado com CPFs diferentes, por exemplo), a emissão será suspensa. Um agente autorizado valida a documentação, arquiva os documentos do solicitante e autoriza a emissão do certificado;
3. emissão do certificado: é aqui que ocorre efetivamente a emissão da identidade digital. Para a emissão, é necessário que no mínimo dois agentes de registro confirmem que a validação presencial ocorreu sem quaisquer irregularidades. Em algumas ACs, esta etapa acontece no mesmo momento da validação presencial e o titular do certificado emitido já sai com um token ou cartão (smart card) contendo o certificado. Também é possível armazená-lo na em uma nuvem online.
4. Instalação do certificado: quando a emissão ocorre em uma etapa subsequente à validação presencial, a instalação do certificado emitido consiste na última etapa do processo de emissão. Nesse caso, é comum que a Autoridade Certificadora informe ao usuário, por e-mail, que seu certificado digital está disponível para ser instalado. É o caso dos certificados A1, que são instalados diretamente no computador do usuário, após a validação presencial.
A confiança em uma autoridade está atrelada às políticas e procedimentos de segurança implementados por ela para atestar a identidade de um titular de certificado. É importante notar que há certificados digitais com diferentes propósitos, que requerem diferentes níveis de segurança na confirmação da identidade para sua emissão.
Por exemplo, um certificado utilizado apenas para assinatura de e-mails pode requerer uma comprovação de que o titular é dono daquela conta. Isso pode ser obtido com um simples envio de e-mail de confirmação.
As políticas e procedimentos de uma AC que emite esse tipo de certificado não requerem a mesma formalidade exigida para a emissão de um certificado digital ICP-Brasil. Com o propósito mais abrangente de identificar uma entidade em meio virtual, as normas da AC possibilitam não só o envio de e-mails, como também a prestação de contas, assinatura de contratos, emissão de declarações, e ampla validade jurídica.
No Brasil, os certificados emitidos pela ICP-Brasil são considerados confiáveis e possuem total validade jurídica, pois possuem amparo legal da Medida Provisória 2.200-2. A legislação garante a prerrogativa de veracidade aos documentos assinados com a identidade emitida por AC afiliada à infraestrutura. A quem questionar a validade da assinatura, caberá o ônus de provar sua irregularidade. As autoridades certificadoras ICP-Brasil confiáveis estão listadas no site do ITI neste endereço.
A lei não impede, contudo, que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de segurança e propósitos de uso específicos, como validação interna de documentos em empresas ou órgãos públicos.
Para saber se o certificado emitido por uma Autoridade Certificadora é confiável, primeiramente verifique se a AC pertence à ICP-Brasil. Caso sim, você pode confiar nas credenciais por ela emitidas, salvo se tiverem sido revogadas ou extrapolado o prazo de validade. Do contrário, procure se informar sobre as políticas e procedimentos utilizados por essa AC. Verifique se elas estabelecem o propósito de uso adequado para o certificado e se existe acordo firmado entre as partes interessadas, que garanta a confiança mútua no uso da identidade digital particular.
Agora que você aprendeu a reconhecer uma AC de confiança, acesse o BRy Cloud e veja os benefícios que a assinatura digital pode lhe proporcionar.
Post originalmente publicado em 15/08/2016 e atualizado em 29/06/2018.