O que é uma autoridade certificadora e quais são confiáveis?

Cristian Thiago Moecke 239 views16

Uma autoridade certificadora é uma entidade responsável pela emissão dos certificados digitais. Popularmente, eles são conhecidos como a versão eletrônica de documentos importantes como o CPF ou o CNPJ, e têm a função de representar e verificar virtualmente a identidade de pessoas e empresas. Com eles, é possível assinar digitalmente diversos tipos de documentos.

Uma assinatura digital garante a mesma validade jurídica de um documento autenticado em cartório a um arquivo em PDF, DOC ou outros formatos. Ela também pode ser utilizada para validar transações online, procurações, autenticar informações empresariais internas e inúmeras outras aplicações. Neste artigo, vamos explicar alguns detalhes importantes sobre essa ferramenta, por onde começar e como utilizá-la com segurança.

Autoridade certificadora raiz e a Infraestrutura Brasileira de Chaves

A (AC) mais importante do Brasil é a AC-Raiz Brasileira. Ela existe desde 2001, após a criação da Infraestrutura de Chaves Públicas Brasileira – ICP Brasil, marco que permitiu o início do uso da certificação no país. A AC-Raiz é o ponto máximo de confiança da infraestrutura. Ela é quem autoriza que outras ACs secundárias funcionem, descentralizando a emissão de certificados. Essas outras autoridades são conhecidas como ACs Intermediárias de primeiro nível, ou Normativas.

Na prática, uma autoridade certificadora funciona, para a certificação digital, como o DETRAN funciona para a emissão de carteiras de habilitação. A diferença é que, para ser confiável, uma AC não precisa estar necessariamente ligada a um órgão público. Elas precisam apenas estar de acordo com as normas de segurança  e criptografia da ICP Brasil.

Por serem de extrema importância para a infraestrutura, as chaves privadas dessas autoridades são mantidas em ambientes de altíssima segurança, as chamadas salas-cofre. A AC-Raiz e as Normativas não têm qualquer contato com o ambiente externo à sala-cofre, demandando rígidos procedimentos de segurança, sempre que for necessário adentrar ao ambiente para a emissão de um novo certificado.

Uma AC pode emitir certificados para uma pessoa, empresa, equipamento ou ainda para outra AC, criando assim uma verdadeira infraestrutura de confiança, como ilustra a figura abaixo:

autoridade-certificadora-raiz-e-a-infraestrutura-brasileira-de-chaves

As ACs de primeiro nível, por sua vez, emitem certificados para outras ACs. Elas são conhecidas como autoridades certificadoras de segundo nível, ou ACs Finais. Elas são  mantidas em ambiente seguro, de nível equivalente às ACs superiores. Contudo, ACs Finais possuem conexão com a internet, para que seja possível receberem requisições para emissão de certificados  por meio da rede.

Autoridades de Registro auxiliam o processo

Antes de emitir um certificado digital, uma AC precisa verificar a documentação física do solicitante. Para auxiliar esse processo, as autoridades certificadoras delegam a verificação para as Autoridades de Registro, ou ARs. Elas estão espalhadas por todo o Brasil e realizam a conferência da documentação que atesta a identidade de pessoas e organizações.

Esse trabalho requer a presença dos solicitantes pessoalmente, em um ponto de atendimento da AR. Além disso, é necessária a assinatura manuscrita de um termo de compromisso, em que o titular do certificado compromete-se em manter seu certificado em segurança.

Processo de emissão de um Certificado Digital

Em geral, o processo de emissão de um certificado passa pelas seguintes etapas:

1. solicitação do certificado: esta etapa é realizada no site da Autoridade Certificadora escolhida. O solicitante preenche um formulário eletrônico com seus dados, submete-o à AC e agenda uma data e hora para fazer a validação presencial;

2. validação presencial: nesta fase, o solicitante se dirige até um ponto de atendimento da Autoridade de Registro, em posse de seus documentos de identidade, como CPF ou RG. Também é realizada a coleta dos dados biométricos (face e impressões digitais) do requerente. Caso haja alguma suspeita de fraude nas biometrias (como uma mesma pessoa pedindo certificado com CPFs diferentes, por exemplo), a emissão será suspensa. Um agente autorizado valida a documentação, arquiva os documentos do solicitante e autoriza a emissão do certificado;

3. emissão do certificado: é aqui que ocorre efetivamente a emissão da identidade digital. Para a emissão, é necessário que no mínimo dois agentes de registro confirmem que a validação presencial ocorreu sem quaisquer irregularidades. Em algumas ACs, esta etapa  acontece no mesmo momento da validação presencial e o titular do certificado emitido já sai com um token ou cartão (smart card) contendo o certificado. Também é possível armazená-lo na em uma nuvem online.

4. Instalação do certificado: quando a emissão ocorre em uma etapa subsequente à validação presencial, a instalação do certificado emitido consiste na última etapa do processo de emissão. Nesse caso, é comum que a Autoridade Certificadora informe ao usuário, por e-mail, que seu certificado digital está disponível para ser instalado. É o caso dos certificados A1, que são instalados diretamente no computador do usuário, após a validação presencial.

Como identificar se uma Autoridade Certificadora é confiável?

A confiança em uma autoridade está atrelada às políticas e procedimentos de segurança implementados por ela para atestar a identidade de um titular de certificado. É importante notar que há certificados digitais com diferentes propósitos, que requerem diferentes níveis de segurança na confirmação da identidade para sua emissão.

Por exemplo, um certificado utilizado apenas para assinatura de e-mails pode requerer uma comprovação de que o titular é dono daquela conta. Isso pode ser obtido com um simples envio de e-mail de confirmação.

As políticas e procedimentos de uma AC que emite esse tipo de certificado não requerem a mesma formalidade exigida para a emissão de um certificado digital ICP-Brasil. Com o propósito mais abrangente de identificar uma entidade em meio virtual, as normas da AC possibilitam não só o envio de e-mails, como também a prestação de contas, assinatura de contratos, emissão de declarações, e ampla validade jurídica.

No Brasil, os certificados emitidos pela ICP-Brasil são considerados confiáveis e possuem total validade jurídica, pois possuem amparo legal da Medida Provisória 2.200-2. A legislação garante a prerrogativa de veracidade aos documentos assinados com a identidade emitida por AC afiliada à infraestrutura. A quem questionar a validade da assinatura, caberá o ônus de provar sua irregularidade. As autoridades certificadoras ICP-Brasil confiáveis estão listadas no site do ITI neste endereço.

A lei não impede, contudo, que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de segurança e propósitos de uso específicos, como validação interna de documentos em empresas ou órgãos públicos.

Para saber se o certificado emitido por uma Autoridade Certificadora é confiável, primeiramente verifique se a AC pertence à ICP-Brasil. Caso sim, você pode confiar nas credenciais por ela emitidas, salvo se tiverem sido revogadas ou extrapolado o prazo de validade. Do contrário, procure se informar sobre as políticas e procedimentos utilizados por essa AC. Verifique se elas estabelecem o propósito de uso adequado para o certificado e se existe acordo firmado entre as partes interessadas, que garanta a confiança mútua no uso da identidade digital particular.

Agora que você aprendeu a reconhecer uma AC de confiança, acesse o BRy Cloud e veja os benefícios que a assinatura digital pode lhe proporcionar.

Post originalmente publicado em 15/08/2016 e atualizado em 29/06/2018.

 

COMPARTILHE ESSA POSTAGEM

Cristian Thiago Moecke

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina. Atuou desde a graduação em projetos relacionados à ICP-Brasil no Laboratório em Segurança em Computação da Universidade Federal de Santa Catarina, tendo participado do desenvolvimento, gestão de qualidade e gestão de projeto do Sistema de Gestão de Autoridades Certificadoras do projeto João de Barro, plataforma criptográfica nacional para as Autoridades Certificadoras Raiz e Intermediárias da ICP-Brasil. Atuou também em pesquisa e aprimoramento dos padrões brasileiros de assinatura digital. Foi pesquisador em Usable Security no CASED (Center for Advanced Security Research), em Darmstadt, Alemanha. Hoje é colaborador da BRy Tecnologia, onde lidera projetos de inovação na área de segurança em documento eletrônico.

Comentários (16)

  1. boa tarde,

    gostaria de informações onde posso entrar em contato com uma AC para me tornar uma AR,




    0



    0
    1. Olá Cristiane, tudo bem?
      Você pode enviar um e-mail para a Gabriela do nosso atendimento comercial, gabriela.goulart@bry.com.br, e pode nos enviar seu contato telefônico para conversarmos!
      Esperamos seu retorno!
      Atenciosamente,
      Equipe BRy Tecnologia




      0



      0
  2. Olá, eu sou estudante de tecnologia, tenho interessem em obter um certificado reconhecido como Agente de Registro para que eu possa atuar na área.
    Procurei em vários sites, inclusive no próprio site da ITI em busca de referencias, mas não encontrei nada.
    Sou do Rio de Janeiro, alguém saberia me informar um curso EaD ou Presencial para obter tal?
    Desde já, grato pela atenção.




    0



    0
    1. BRy Tecnologia

      Olá Douglas,

      Antes de se tornar um agente de registro, sua empresa ou escritório deve se tornar uma Autoridade de Registro (AR).

      Para se tornar uma AR é preciso seguir alguns pré-requisitos determinados pela ICP-Brasil no DOC-ICP 03 e estar vinculado a uma Autoridade Certificadora (AC). Você pode saber mais na página do ITI ou entrar em contato com a Autoridade Certificadora que deseja se credenciar.

      É a Autoridade Certificadora a que sua AR estará vinculada que lhe passará cursos e orientações para se tornar um agente de registro.

      Boa Sorte!

      BRy Tecnologia




      0



      0
  3. Bom dia!!

    Recentemente o ITI publicou a resolução 130
    Gostaria de saber se estão sabendo de mais alguma coisa relacionada.

    Porque estão dizendo que alguns pontos serão descredenciados, pois estariam trabalhando de forma irregular

    Os pontos passaram a ser extintos? ou não?

    Até mais




    0



    0
    1. BRy Tecnologia

      Olá Magda,

      A resolução 130 do ITI disciplina o funcionamento das Instalações Técnicas Secundárias das ARs e o processo de validação externa de certificados. Estabelece ainda o dia 1º de fevereiro de 2018 como data limite para que as ARs se adequem aos novos procedimentos. Um eventual descredenciamento só ocorrerá caso a AR não opere dentro das novas normas estabelecidas pelo ITI.

      Uma das principais modificações é o uso de ferramentas de georreferenciamento para processos de validação externa de certificados. Esta mudança tem como objetivo identificar com exatidão o local onde a validação presencial foi efetuada.

      Abraço,
      Equipe BRy Tecnologia




      0



      0
  4. Bom dia!
    Meu chefe quer eu seja um Agente de Registro. Como funciona o trabalho em si? É uma simples coleta de dados e posteriormente um registro no sistema? O processo é rápido?
    Eu aceitei fazer o curso, mas confesso que não sei bem onde estou entrando. Desde já, obrigado.




    0



    0
    1. BRy Tecnologia

      Olá Douglas,

      Como agente de registro você fará a validação e verificação da solicitação de certificados. O agente de registro é quem faz a etapa final da emissão de certificados digitais (o chamado “cara, crachá”), onde você verificará os documentos do solicitante e concluirá a emissão do certificado junto à Autoridade Certificadora (AC) a qual a Autoridade de Registro que você trabalha é credenciada. O processo pode variar em média de 20 a 40min, depende muito dos processos e sistemas da AC e da pessoa que estiver emitindo o certificado.

      Fique tranquilo e sucesso!

      Equipe BRy Tecnologia




      0



      0
  5. Boa noite como me tornar uma AR , ja sou Agente de registro a 4 anos, tenho intenção de montar uma AR, quais precedimentos ?




    0



    0
    1. BRy Tecnologia

      Olá, Claudio!

      Para se tornar uma AR é preciso seguir alguns pré-requisitos determinados pela ICP-Brasil no DOC-ICP 03 e estar vinculado a uma Autoridade Certificadora (AC). Você pode saber mais na página do ITI ou entrar em contato com a Autoridade Certificadora que deseja se credenciar.

      Boa Sorte!

      Equipe BRy Tecnologia




      0



      0
  6. Pode existir mais de uma AC-Raiz Brasileira? O ITI é a AC-Raiz Brasileira e ele é responsável por TODAS as AC ligadas ao ICP-Brasil?




    0



    0
    1. BRy Tecnologia

      Oi Raphael,

      Isso mesmo. A nossa legislação normatizou um modelo centralizado onde só existe uma única AC-Raiz ICP-Brasil, porém podem existir outras AC-Raiz privadas que não são ICP-Brasil.

      Abraço,

      Equipe BRy Tecnologia




      0



      0
  7. Agente de Registro e Autoridade de Registro seriam a mesma coisa?
    Qual a média salarial de um Agente de Registro e uma Autoridade de Registro?




    0



    0
    1. BRy Tecnologia

      Olá Vanessa,

      A Autoridade de Registro (AR) é a entidade e o agente de registro é a pessoa que atua na Autoridade de Registro. Uma AR pode ter vários agentes de registro. A média salarial do agente de registro pode variar de entidade para entidade, mas normalmente é baixa e arriscaríamos dizer não ultrapassar de dois salários. As ARs ganham comissionamento sobre cada certificado da sua Autoridade Certificadora parceira, podendo ou não repassar ao agente. Quanto mais certificados forem conferidos pela AR, maior o ganho desta entidade.

      Esperamos ter ajudado!

      BRy Tecnologia




      0



      0
  8. Bom dia!

    Tenho interesse em abrir uma AC. Gostaria de saber qual o passo a passo.

    Muito obrigada!




    0



    0
    1. BRy Tecnologia

      Olá Fernanda,

      Na verdade se tornar uma AC não é um processo simples, o que inviabiliza a criação de um passo a passo para você. Para se tornar uma autoridade certificadora ICP-Brasil além do investimento que pode chegar perto da casa do milhão de reais, você precisa obedecer e cumprir um amplo número de regras, requisitos, infraestrutura, políticas, auditorias e soluções de alta complexidade em diversos aspectos, sendo necessário a entrega de dezenas de documentos. Neste caso aconselhamos procurar a própria ICP-Brasil para buscar informações a respeito. Uma opção mais simples é se vincular a uma AC existente para fazer uma revenda de certificados e neste caso recomendamos procurar a AC de sua preferência para informações. Já para implantar uma AC interna (comum em grandes empresas) apesar de um ser um processo mais simplificado, também requer consultoria e soluções altamente especializadas. Caso realmente tenha interesse em abrir uma AC, entre em contato com o nosso departamento comercial a respeito da nossa solução BRy ICP, que é uma plataforma para instalação de Autoridades Certificadoras, que teremos prazer em ajudar com todo esse processo.

      Abraço,
      Equipe BRy Tecnologia




      0



      0

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>