Políticas de Assinatura (PA) [RFC 3125] são documentos que definem as regras de realização e validação de assinaturas dentro de um determinado contexto. São disponibilizadas em versão textual, legível para humanos, e também ASN.1 e XML, para interpretação automatizada por computadores. Na ICP-Brasil as Políticas de Assinatura definem regras a serem seguidas pelos softwares assinadores e verificadores visando garantir a segurança técnica e jurídica dos documentos assinados.
Desta forma, para se assinar um documento seguindo o Padrão Brasileiro de Assinatura, haverá a necessidade de informar qual a política que deverá ser utilizada. Tecnicamente, o documento assinado passará a conter o identificador (OID) da PA dentro de uma de suas propriedades. Já o processo de validação, extrai o OID da política e verifica se a assinatura foi realizada seguindo os padrões definidos por ela. Por exemplo, uma assinatura ICP-Brasil utilizando a política CAdES AD-RT (OID 2.16.76.1.7.1.2.2.2) deverá ser realizada/validada da seguinte forma:

  • Possuir certificado ICP-Brasil emitido na cadeia V2 ou V5;
  • Utilizar identificador da Política: 2.16.76.1.7.1.2.2.2;
  • Utilizar o Algoritmo: sha256WithRSAEncryption(1.2.840.113549.1.1.11);
  • Utilizar certificado digital com Tamanho Mínimo de Chave: 2048 bits; e
  • Inserir Carimbo do Tempo emitido por uma Autoridade de Carimbo do Tempo ICP-Brasil;

O Instituto Nacional de Tecnologia da Informação (ITI) publicou novas versões das Políticas de Assinatura para os padrões CAdES e XAdES, além da primeira versão das políticas no padrão PAdES, e irá revogar as versões anteriores. As novas versões das Políticas de Assinatura foram publicadas por meio da Instrução Normativa Nº 03, de 01 de junho de 2016 [1]. As motivações para a publicação destas novas políticas de assinatura consistem em:

  • melhoria do conjunto normativo;
  • possibilidade de utilização do algoritmo SHA-512;
  • inclusão da nova cadeia de certificação da AC Raiz, a Cadeia V5, sendo esta a principal motivação para a publicação das novas políticas.

As novas versões das políticas são:
CAdES (AD-RB, AD-RT, AD-RV, AD-RC versão 2.2, AD-RA versão 2.3);
XAdES (AD-RB, AD-RT, AD-RV, AD-RC , AD-RA  versão 2.3);
PAdES (AD-RB, AD-RT versão 1.0, AD-RC, AD-RA  versão 1.1).
Visando descontinuar o uso das versões de política anteriores, que não permitem o uso da cadeia V5, além de incentivar a migração para a versão mais recente das políticas disponíveis, o Comitê Gestor optou por revogar as versões anteriores. Ou seja, serão revogadas as Políticas de Assinatura CAdES (AD-RB, AD-RT, AD-RV, AD-RC versão 2.1, AD-RA versão 2.2) e XAdES (AD-RB, AD-RT, AD-RV, AD-RC, AD-RA versão 2.2).
Para que as aplicações possam migrar e passar a utilizar as novas versões das Políticas de Assinatura foi definido um período de transitoriedade. Inicialmente, o prazo final deste período foi estabelecido para dia 28/11/2016, porém esse prazo foi estendido em 3 meses mudando para dia 26/02/2017. A partir dessa nova data, apenas as políticas novas deverão ser utilizadas.
Você já utiliza a nova política de assinatura digital? Conte-nos como foi o processo de migração para a nova versão e como planeja realizar.
[1] http://www.iti.gov.br/images/icp-brasil/legislacao/Instrucao/IN_2016-_03_APROVA_V7.1_DO_DOC-ICP-15.03ass_dig.pdf
A explicação sobre o período de transição foi feita por meio de duas notas técnicas que podem ser encontradas em
http://www.iti.gov.br/legislacao/notas-tecnicas