Assinar documentos de forma eletrônica já é algo bastante difundido, não é mesmo? No entanto, boa parte dos usuários possuem dúvidas quando o assunto é verificar a integridade e autenticidade de um documento já assinado: as assinaturas são legítimas? Os certificados digitais utilizados são válidos? O documento oferece segurança jurídica? E na via impressa, onde eu consigo verificar essas informações?
Os atributos que garantem a confiabilidade desses documentos pertencem a uma camada de dados que fica oculta. Por isso, a verificação geralmente envolve softwares específicos, embora seja um processo muito simples.
Mostrarei a seguir tudo que você precisa saber para não errar na hora de realizar a verificação desses documentos. Confira!
O que é uma assinatura digital?
Assinatura digital é o equivalente, no meio eletrônico, a uma assinatura manual com firma reconhecida em cartório. Representa o mais alto nível de formalização e de segurança jurídica nos negócios.
No entanto, por trás dessa aparente semelhança, há diferenças significativas entre esses dois modos de assinatura. A assinatura digital é a vinculação dos dados do signatário, presentes em seu certificado digital, a um documento eletrônico. Sua segurança é garantida pelas chaves criptográficas do certificado, que estabelecem uma conexão inequívoca A chave pública, disponível para verificação, só pode ser verificada com a chave privada, mantida exclusivamente pelo titular do certificado.
A versatilidade da assinatura digital permite sua aplicação em diversos tipos de documentos eletrônicos. ́É especialmente indicada para documentos de alta criticidade, como os documentos públicos, diplomas digitais, prontuários médicos eletrônicos, contratos de compra e venda, entre outros.
Qual a diferença entre assinatura digital e assinatura eletrônica?
A assinatura digital e a assinatura eletrônica possuem semelhanças, mas diferem no nível de segurança e criticidade dos documentos envolvidos. Enquanto a assinatura digital utiliza certificado digital (chaves criptográficas), a assinatura eletrônica se baseia em evidências alternativas. Confira um comparativo:
Assinatura digital
– Vincula dados do signatário a um documento utilizando certificado digital;
– Indicada para documento com alto nível de criticidade, como documentos públicos, diplomas digitais e prontuários médicos eletrônicos.
Assinatura eletrônica
– Vincula evidências a um documento, como biometria, login e senha, IP do dispositivo, entre outras.
– Indicada para documentos com baixo nível de criticidade, como contratos de assinatura, prestação de serviços, entre outros.
Saiba mais sobre a diferença entre as assinaturas digital e eletrônica no vídeo abaixo:
Para realizar assinatura digitais, eletrônicas ou híbridas (as duas no mesmo documento), é necessário utilizar um software assinador. Existem diferentes tipos de soluções disponíveis: em nuvem, desktop ou integração por meio de uma API de assinatura eletrônica. Veja mais detalhes a seguir!
O que é um verificador de assinaturas?
O verificador de assinaturas desempenha um papel crucial na verificação detalhada da assinatura digital. Ele assegura a conformidade com as normas ICP-Brasil, as definições da MP 2.200-2/2001 e as recomendações internacionais do padrão de assinatura digital utilizado.
Independentemente de ser um documento de posse de pessoa física ou jurídica, pública ou privada, é possível submetê-lo à validação de assinatura.
A verificação de assinatura digital é um processo simples e acessível.Basta realizar o upload do arquivo assinado no verificador para checar sua validade. Aproveite a oportunidade de fazer um teste grátis no BRy Cloud.
Critérios avaliados na verificação de assinatura digital
Ao assinar um documento digitalmente com um certificado digital da ICP-Brasil, você recebe a via assinada, além da via original. A via assinada contém informações importantes para a verificação, incluindo:
- Nome do assinante: identificação do responsável pela assinatura;
- Resumo criptográfico ou hash: uma representação digital única e segura do conteúdo do documento;
- Código para verificação (opcional): um código que pode ser utilizado para facilitar a validação da assinatura;
- Carimbo de tempo (opcional): um registro que comprova a data e hora exatas da assinatura.
O processo de verificação da assinatura envolve a validação desses itens, levando em consideração a conformidade do documento, da assinatura, do certificado digital do signatário, da cadeia de certificação e, por fim, da temporalidade.
Confira cada um desses itens separadamente:
Integridade do documento
Após ser assinado com certificado digital, um documento fica protegido por criptografia, impossibilitando qualquer alteração em seu conteúdo. Essa proteção é fundamental para a segurança das transações eletrônicas.
Por isso, a verificação de assinatura inicia-se pela avaliação da integridade do documento, que engloba os seguintes casos:
- Documento anexado na assinatura: o documento original assinado é anexado à assinatura digital, em uma assinatura attached (assinatura anexada).
- Documento separado da assinatura: a assinatura digital é realizada sem anexação do documento original, em uma assinatura detached (assinatura desanexada). Isso requer a informação tanto do arquivo assinado quanto do arquivo original.
A validação desses casos confirmará se o conteúdo assinado sofreu alguma modificação não autorizada após a assinatura, garantindo assim a integridade do documento. .
Integridade da assinatura digital
A validação da integridade de uma assinatura digital requer a comparação entre o resumo criptográfico ou hash do documento original e o resumo criptográfico do documento que foi cifrado pelo assinante.
Nesse processo, o validador de assinatura utiliza a chave pública do certificado digital do assinante, que está vinculada às suas informações pessoais, como nome, CPF/CNPJ, e-mail e biometria. Essa chave pública é essencial para reverter o processo de criptografia e obter novamente o hash calculado pelo assinante.
Ao comparar os resumos criptográficos, é possível determinar a integridade da assinatura. Caso os resumos criptográficos sejam iguais, a assinatura é considerada íntegra. Por outro lado, se os resumos não coincidirem, significa que a assinatura é inválida.
Validade do certificado utilizado para assinar o documento
Durante a verificação da assinatura digital, é crucial avaliar o certificado digital utilizado. Para isso, são realizados dois procedimentos essenciais: verificar se o certificado está dentro do seu período de validade e se não foi revogado.
A verificação do período de validade consiste na comparação da data da assinatura do documento com a data de expiração do certificado. Essa análise assegura que o certificado ainda está vigente e válido no momento da assinatura.
Além disso, é necessário checar se o certificado não foi revogado. Essa verificação é realizada por meio de uma consulta à Lista de Certificados Revogados, publicada pela Autoridade Certificadora responsável pela emissão do certificado digital. Essa lista contém informações atualizadas sobre certificados que foram invalidados ou revogados.
Saiba mais: Confiabilidade do certificado digital: entenda como é feita a validação
Confiabilidade da cadeia de certificação
Para garantir segurança e conformidade com a ICP-Brasil, é fundamental adquirir um certificado digital emitido por uma Autoridade Certificadora (AC) confiável e credenciada.
Além disso, todos os processos realizados em ambientes de certificação digital devem seguir uma cadeia criptográfica padrão, que é constantemente atualizada.Essa cadeia estabelece uma estrutura de confiança para garantir altos níveis de segurança e de conformidade com a ICP-Brasil e os critérios internacionais.
Ao realizar a verificação de assinatura digital, a avaliação dessa cadeia criptográfica é um passo essencial. O verificador de assinaturas analisa minuciosamente toda a cadeia, garantindo sua integridade e conformidade.
Leia também: Como funciona o fluxo de infraestrutura de chaves públicas no Brasil?
Carimbo do tempo
Em determinados padrões de assinatura digital, é necessário confirmar a data e a hora da assinatura provenientes de uma terceira parte confiável, por meio do carimbo do tempo. Essa é uma medida fundamental para evitar fraudes e garantir a integridade das transações.
O carimbo do tempo adiciona informações precisas com base em dados procedentes de fontes chanceladas, como o Observatório Nacional ou o Instituto Nacional de Tecnologia da Informação. Essa ferramenta desempenha um papel essencial na comprovação da tempestividade de documentos, impedindo qualquer possibilidade de repúdio.
Ao utilizar a data e a hora fornecidas pelo próprio dispositivo utilizado na assinatura, como o relógio e calendário do notebook ou smartphone, há um risco de manipulação dessas informações: basta alterar as configurações do dispositivo para comprometer a legitimidade da assinatura. Essa situação dificulta a comprovação de quando o documento foi assinado, caso haja contestação.
O carimbo do tempo garante a tempestividade dos documentos, sem a possibilidade de repúdio. Além disso, apresenta a vantagem da integridade, uma vez que qualquer alteração realizada nos dados invalida o carimbo, o que pode ser facilmente detectado.
Saiba mais: 4 vantagens de utilizar o carimbo do tempo em documentos digitais
Verificação do carimbo do tempo
Nos padrões de assinatura digital que exigem o carimbo do tempo, o verificador de assinatura identifica se o mesmo está presente , Caso não esteja, é identificado um erro na verificação.
Nos padrões de assinatura que não requerem o carimbo do tempo, o verificador confere se há um carimbo presente na assinatura, utilizando-o como referência de tempo. No entanto, se o carimbo do tempo não estiver presente , nenhum erro é sinalizado.
Funcionalidades e benefícios do verificador digital
O verificador é um aliado para quem precisa garantir a conformidade com as normas, validade e segurança jurídica de assinaturas digitais. Para isso,considera-se os seguintes pontos:
- Autoria: verificar a validade, revogação e confiabilidade do certificado do signatário.
- Referência temporal: garantir a certeza e a imparcialidade do momento em que o documento eletrônico foi criado, utilizando a data e hora confiável validada pelo carimbo do tempo associado à assinatura digital.
- Integridade: garantir que o documento não foi alterado desde a geração da assinatura digital.
- Aderência aos padrões: verificar todos os valores e estruturas presentes na assinatura, seguindo as normas estabelecidas pela ICP-Brasil e recomendações internacionais.
- Informações: visualizar, de forma clara e simples, os dados dos signatários e outras informações associadas à assinatura digital.
É importante ressaltar que receber uma resposta de invalidade do verificador, não significa necessariamente que o documento assinado com certificado digital seja totalmente inválido. Isso indica que alguma especificação não foi respeitada ou que alguma informação para a validação da assinatura não está disponível naquele momento, como a Lista de Certificados Revogados (LCR). Nesses casos, o verificador indicará as inconformidades e sinalizará o grau de risco envolvido.
Como fazer a assinatura digital com segurança e validade jurídica com a BRy
Como vimos, o processo de validação de uma assinatura digital confere a integridade do documento e da assinatura, a validade do certificado digital, o carimbo do tempo e a confiabilidade de toda a cadeia de certificação.
É importante contar com parceiros que não apenas estejam em conformidade com as regulamentações, mas também fortaleçam a cadeia de certificação, assegurando a segurança desses quesitos fundamentais.
E é exatamente isso que a BRy busca oferecer. Com mais de 20 anos de experiência, a BRy construiu uma reputação confiável no mercado , fornecendo soluções abrangentes para o processo de certificação digital que vão desde a assinatura digital, passando pelo carimbo do tempo, até o verificador de assinaturas.
Conheça algumas de nossas soluções a seguir:
API de Assinatura Digital
Com a API de Assinatura Digital da BRy as empresas podem incorporar facilmente as funcionalidades de formalização digital em seu próprio software. Assim, é possível assinar e autenticar documentos com apenas um simples clique em um botão, diretamente em seu sistema.
As principais funcionalidades da API incluem:
- Assinatura digital, eletrônica e híbrida
- Assinatura com ou sem certificado digital
- Assinatura individual ou em grupo
- Atualizações automáticas
- Verificação de assinatura
- Logs para auditorias.
Uma vantagem significativa da API de Assinatura Digital é que ela pode ser integrada aos sistemas internos da empresa, bem como oferecida aos clientes, sem a necessidade de desenvolvimento adicional. Isso a torna uma ferramenta ideal para acelerar a entrega de valor aos usuários.
Além da APIs de Assinatura, a BRy também oferece APIs de Certificado Digital na Nuvem, Carimbo do Tempo e Diploma Digital. Conheça mais sobre as APIs da BRy no vídeo abaixo:
BRy Cloud
BRy Cloud é a plataforma de Assinatura e Certificação Digital da BRy Tecnologia. Com essa plataforma, você pode assinar documentos eletrônicos com facilidade, rapidez e segurança. Veja algumas das funcionalidades disponíveis:
- Assinatura digital ou eletrônica de documentos
- Coleta de múltiplas assinaturas em um contratos
- Compra e armazenamento de certificado digital na nuvem
- Verificação de assinatura digital gratuita
- E muito mais!
Confira mais detalhes no vídeo a seguir:
Verificação de assinatura digital: segurança em todos os elos
A assinatura digital é respaldada por mecanismos de segurança de alto nível. Um desses mecanismos é a verificação da sua validade, que considera diversos critérios, desde a integridade do documento até a confiabilidade de todos os elos de certificação.
Na busca por soluções eficientes, a BRy se destaca ao atender esses requisitos essenciais, mantendo a agilidade e oferecendo possibilidades necessárias para as organizações atenderem suas demandas.
Conte com as soluções da BRy para garantir a autenticidade e a integridade das assinaturas digitais em sua empresa. Para mais detalhes, converse com nossos consultores.
Inserindo as informações acima você entrará para nossa lista de contatos e poderemos lhe enviar e-mails com novidades dos nossos serviços, direcionar anúncios e promoções. Caso não queira fazer parte da nossa lista, basta se descadastrar no próprio anúncio ou no e-mail recebido.
Bom dia.
Por favor, ainda não me ficou claro a questão da verificação de integridade.
Como é feito isso?
Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?
Qualquer um pode conferir?
Onde pode conferir?
No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?
Ainda tenho muitas perguntas, mas, antecipadamente, grato pela atenção.
Olá Paulo,
Vamos lá:
Como é feito isso?
A verificação de uma assinatura digital é realizada por algum software capaz de realizar esta operação. Comumente, os softwares de assinatura digital já contemplam a funcionalidade de verificação de assinatura. A integridade é determinada pela comparação do resumo criptográfico (hash) do documento original com o resumo criptográfico cifrado pelo signatário. A obtenção do resumo criptográfico é possível através da decifragem da assinatura, utilizando a chave pública do certificado do assinante.
Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?
A chave pública do certificado do assinante é acessível a qualquer pessoa que tenha acesso ao documento assinado.
Qualquer um pode conferir?
Sim, quem tiver acesso ao documento assinado, utilizando-se de um software capaz de verificar uma assinatura digital, será capaz de verificar esta assinatura e obter os dados a respeito da mesma (quem assinou, dados técnicos da assinatura, etc).
No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?
Apenas uma assinatura digital realizada com um certificado ICP Brasil possui validade jurídica estabelecida. Se o objetivo é atestar a ciência de todos os membros envolvidos na coleta, garantindo validade jurídica ao processo, todos eles devem assinar digitalmente o documento com seus próprios certificados ICP Brasil. Assinaturas digitalizadas são apenas uma representação digital (imagem) de uma assinatura de próprio punho e não possuem validade jurídica contestável.
Você pode saber um pouco mais sobre o que é uma assinatura digital no nosso post O que é uma assinatura digital ou o baixar o nosso infográfico Tudo sobre Assinatura Digital.
Esperamos ter ajudado, qualquer dúvida entre em contato! 🙂
Equipe BRy Tecnologia
Olá Darlan,
Minha dúvida é a seguinte: estou assinando em pdf com certificado digital válido até agosto de 2019. Como o certificado está válido, clicando em cima aparecem todas as informações sobre a validade. Mas o que vai acontecer depois de agosto de 2019? Se clicar em cima continuará aparecendo a validade anterior? Ou seja, quem precisar usar o documento verá que era válido na época da assinatura, que é o que interessa? Ou desaparecerá toda a informação sobre validade do certificado?
Enfatizo que estou assinando em arquivo salvo em pdf e enviado por email. Não estou assinando dentro de portal de assinaturas gerando link e código de verificação que o destinatário poderá usar para baixar o arquivo.
Grata,
Raquel Schaitza
Olá Raquel,
O que importa e determina a validade de uma assinatura digital é se o certificado estava válido no momento da assinatura e não se ele está válido no momento das verificações da assinatura.
Alguns verificadores de assinatura podem até dar também informação sobre o status atual do certificado (válido ou expirado), porém é a informação do validade do certificado no momento da assinatura que vai garantir a validade do documento assinado.
O que pode acontecer é que se a assinatura não é feita com o carimbo do tempo, o verificador não tem uma referência de tempo confiável para dizer se o certificado estava válido no momento em que o documento foi assinado. Assim, pode-se dizer que a assinatura digital realizada ficou inválida junto com a expiração do certificado e os verificadores podem emitir um alerta sobre a validade da assinatura e do certificado. Já se a assinatura é feita com carimbo do tempo, isso não acontece, e sempre será válida independente da validade do certificado.
O carimbo do tempo é uma tecnologia que no momento da assinatura adiciona a data e hora da assinatura de uma terceira parte confiável, como o Observatório Nacional ou o Instituto Nacional da Tecnologia da Informação. Ele funciona como uma âncora temporal: quando você verifica a assinatura, o sistema vai lá e busca essa data e consegue garantir que o certificado estava válido no momento em que foi assinado.
Esperamos ter conseguido responder sua dúvida, caso precise de mais algum informação, mantenha contato!
Equipe BRy Tecnologia
Olá, obrigada.
Quanto ao carimbo de tempo compreendido e, sim, minha assinatura em pdf aparece com data, hora e até segundos. Basta clicar em cima da assinatura e ver os elementos de segurança. O que eu pergunto é um pouco diferente: depois que o certificado digital que estou usando expirar será ainda possível clicar na assinatura feita em um pdf antigo e continuar a ver que ela era válida no momento em que foi aposta? Ou esse “clique” será perdido?
Eu sei que assinaturas em portais preservam essa informação pq existe um link que ainda poderá ser consultado. Já no pdf assinado como arquivo isolado, fora de um portal, não sei se haverá essa possibilidade, pois, talvez, a assinatura deixe de ser “clicável”.
Lendo mais o seu blogue achei algo sobre “política de assinatura” e também enviei uma pergunta. Talvez haja relação.
Grata
Oi Raquel,
Se você tiver usado o carimbo do tempo, sim, a assinatura do arquivo vai continuar aparecendo como válida não importando se o certificado expirou ou não. Isso porque o verificador consegue checar que no momento da assinatura o seu certificado estava válido.
Se você não tiver usado o carimbo do tempo deve aparecer um alerta ou mensagem de assinatura inválida (depende do verificador), já que o sistema não consegue ter certeza que seu certificado estava válido no momento da assinatura.
A preservação dessa informação não tem nada a ver com o fato de ter sido assinado em portal e existir um link de consulta. Quando você acessa um link de consulta, na verdade o sistema vai acessar o documento assinado digitalmente que está armazenado na nuvem e fazer a verificação no momento que você o acessa. Se foi assinado com carimbo do tempo, então essa informação será preservada. Mas se esse documento não tiver sido assinado com carimbo do tempo, ele também emitirá um alerta ou mensagem de inválido. A longevidade da assinatura não tem relação com assinatura em portal, assinatura em softwares e nem links de consulta, tem relação apenas ao uso do carimbo do tempo na assinatura.
Outro ponto importante é que sempre aparecerá data e hora e segundos da assinatura na sua verificação, mas isso não quer dizer que foi feita com carimbo do tempo (hora confiável). Essa data pode ter sido tirada do relógio do computador, por exemplo, e não garantirá a longevidade do seu documento assinado. A verificação deve informar que foi feita com carimbo do tempo.
Esperamos ter esclarecido!
Equipe BRy Tecnologia
Oi Raquel,
O que você chama de link de consulta na verdade nada mais é do que a verificação do documento assinado.
Para garantir a longevidade do seus documentos apenas certifique que o portal, software ou sistema que você está usando para realizar a assinatura utiliza o carimbo do tempo.
Você pode utilizar o BRy Signer ou o BRy Cloud para fazer verificação de documentos gratuitamente e assim conferir informações como o carimbo do tempo e padrões de assinatura. Nos dois produtos também é possível assinar documentos com carimbo do tempo.
Estamos à disposição,
Equipe BRy Tecnologia
Bom dia, Tiago!
Os teus pacientes recebem o laudo de forma digital ou impressa?
Se eles recebem o documento assinado digitalmente, realmente não precisa de nenhum código de validação. Para checar a validade basta que o paciente baixe esse documento e verifique a assinatura em algum sistema ou software específico para isso ou você pode ter uma funcionalidade em que o teu próprio sistema pode fazer a verificação para o paciente no momento em que ele acessa, visualiza ou faz o download.
Se eles recebem o documento impresso, vale lembrar que a assinatura digital é válida apenas em meio digital. Uma assinatura digital em um documento impresso deixa de existir, ou seja, o laudo impresso sempre será uma cópia não assinada. Então pode ser interessante que você armazene todos os seus laudos na nuvem durante um período e coloque um código de verificação para que o paciente possa acessar o documento assinado digitalmente e fazer a verificação da assinatura, confirmando a sua validade.
Mas de qualquer forma é bom deixar bem claro que ter ou não ter código não interfere na assinatura digital que você fez: no meio digital ela continua totalmente válida independente disso. No caso impresso o que acontece é que você fica com o laudo assinado e o paciente com um laudo não assinado. Aí depende de você avaliar se isso faz sentido ou não e exigir da empresa que fez o sistema as funcionalidades necessárias para seu negócio.
Esperamos ter ajudado!
Equipe BRy Tecnologia
Eu gostaria de entender melhor quais são as vantagens e desvantagens entre utilizar um verificador digital que gere um código QR e um que seja verificado por um Software como o Acrobat.
Olá Luisa,
Primeiro apenas para não gerar confusão, vamos esclarecer que verificadores não assinam ou geram códigos QR, verificadores apenas fornecem informações sobre a assinatura digital para que você confira se realmente o certificado estava válido, quem assinou, a data da assinatura, entre outros. 😉
Além disso, vale também deixar claro que não há diferença se o documento assinado digitalmente tem ou não QR code e pode ser verificado por qualquer sistema ou software verificador independente disso.
O que acontece é que alguns softwares ou sistemas de assinatura digital (ou assinadores digitais) armazenam o documento e inserem um QR Code ou link com código numérico no documento no momento da assinatura. Isso é útil em casos que a pessoa precisa imprimir o documento, pois como a assinatura digital não existe no papel, você poderá através desse código acessar o documento digital original assinado que foi armazenado e fazer a verificação da assinatura, comprovando que aquele documento tem mesmo uma assinatura digital válida.
Ou seja, se você vai precisar imprimir esse documento em algum momento, é interessante assinar com sistemas que façam o armazenamento na nuvem do documento e oferecem esse código de acesso. Se o seu trâmite é exclusivamente digital, não tem necessidade desse tipo de serviço e informação, já que você sempre terá o documento digital para a verificação.
Esperamos ter ajudado,
Equipe BRy Tecnologia
Sou advogado e estou tentando assinar digitalmente um documento junto à secretaria estadual da fazenda do Paraná. O site da secretaria solicitou a instalação de extensão da BRy tanto para o Chrome quanto para o Firefox. Ocorre que quando da instalação aparecem os seguintes erros: – “Error 2503. Called RunScript when not called in progress” e “Error 2502. Called InstallFinalize when no install in progress”. Qual é a solução?
Olá, tudo bem?
A BRy tecnologia fornece soluções para uma empresa parceira do Governo do Estado do Paraná. Apesar de o plugin ser da BRy, não temos acesso ao suporte. Por isso, infelizmente não conseguiremos ajudá-lo, mas podemos lhe indicar o link indicado pela Secretaria com os procedimentos de instalação: http://www.fazenda.pr.gov.br/modules/conteudo/conteudo.php?conteudo=485.
Caso não consiga realizar a instalação, recomendamos também o contato por telefone com o suporte da Secretaria: (41) 3200-5009.
Esperamos tê-lo ajudado!
Atenciosamente,
Equipe BRy
Que tal??
Qualquer dúvida, estamos por aqui 😉
Abraços,
Raquel,
Estamos à disposição. 🙂
Equipe BRy Tecnologia