Promo BRy Cloud Assine documentos digitais online. Simples e seguro. Experimente grátis

Como é realizada a verificação de assinatura digital?

A assinatura digital com certificado digital é uma tecnologia de alta segurança, que garante a autenticidade, integridade, não repúdio e, se dotada de carimbo de tempo, tempestividade.  No entanto, como ela é uma estrutura de dados incorporada ao documento, não fica visível. Por isso, uma dúvida comum para usuários desse recurso é: como fazer a verificação de assinatura digital e confirmar sua validade e segurança jurídica?

Normalmente, softwares de assinatura digital, como o BRy Cloud, o BRy Signer e o BRy Framework, fazem essa validação automaticamente, por meio de um verificador de assinaturas.

Neste post, você entenderá o que é essa ferramenta de verificação de assinaturas, como ela funciona e, ainda, que benefícios você pode colher ao adotá-la.

O que é um verificador de assinaturas

O verificador de assinaturas é um serviço especializado responsável pela verificação detalhada de uma assinatura digital, garantindo a conformidade com as normas ICP-Brasil, as definições da MP 2.200-2/2001 e as recomendações internacionais do respectivo padrão de assinatura digital utilizado. 

Todo documento assinado digitalmente, seja de posse de pessoa física, seja de jurídica pública ou privada, pode passar por essa validação de assinatura. 

Critérios avaliados na verificação de assinatura digital

Ao assinar um documento digitalmente com um certificado digital da ICP-Brasil, são entregues, além da via original, a via assinada. Ela contém:

  • Nome do assinante;
  • Resumo criptográfico ou hash;
  • Código para verificação (opcional); 
  • Carimbo de tempo (opcional).

O processo de verificação da assinatura tem a ver como a validação desses itens, levando em conta a conformidade do documento, da assinatura, do certificado digital do signatário, da cadeia de certificação e, por fim, da temporalidade. 

Confira cada um desses itens separadamente:

Integridade do documento

Após assinado com certificado digital, não é possível alterar um documento, pois seu conteúdo fica selado por criptografia.

Por isso, a verificação de assinatura começa pela avaliação da integridade do documento, que se aplica aos seguintes casos:

  • Documento anexado na assinatura: o documento original assinado foi anexado à assinatura digital, em uma assinatura attached (assinatura anexada).
  • Documento separado da assinatura: a assinatura digital foi feita sem anexação do documento original, em uma assinatura detached (assinatura desanexada), o que requer a informação tanto do arquivo assinado quanto do arquivo original.

Essa validação confirmará se o conteúdo assinado passou por alguma modificação não autorizada pelo signatário depois da assinatura.

Integridade da assinatura

Para validar a integridade de uma assinatura digital, deve-se comparar o resumo criptográfico ou hash do documento original com o resumo criptográfico do documento que foi cifrado pelo assinante. 

Para isto, o validador de assinatura vai usar a chave pública do certificado digital do assinante, à qual estão atreladas suas informações – nome, CPF/CNPJ, e-mail e biometria -, para reverter o processo de criptografia, obtendo novamente o hash calculado pelo assinante. 

Se os resumos criptográficos forem iguais, a assinatura está íntegra. Se não for o caso, temos então uma assinatura inválida.

Validade do certificado utilizado para assinar o documento

O certificado digital usado na assinatura também é avaliado na verificação da assinatura digital. Para isso, é necessário examinar se ele está dentro do seu período de validade e se não foi revogado. 

A verificação do período de validade é realizada comparando a data da assinatura do documento com a data de expiração do certificado. 

Já para checar se o certificado não foi revogado, é realizada uma consulta a uma Lista de Certificados Revogados publicada pela Autoridade Certificadora emissora do certificado digital.

Confiabilidade da cadeia de certificação

É fundamental obter um certificado digital de Autoridade Certificadora (AC) confiável e credenciada pela ICP-Brasil.

Além disso, todos os processos realizados em ambientes de certificação digital devem seguir uma cadeia criptográfica padrão constantemente atualizada, para a garantia de altos níveis de segurança e de conformidade com a ICP-Brasil e os critérios internacionais.

Toda essa cadeia também é avaliada pelo verificador de assinaturas.

Carimbo do tempo

Para que a assinatura digital seja incontestável e vitalícia, é necessário que a confirmação da data e hora da assinatura provenha de uma terceira parte confiável, ou seja, de um carimbo do tempo. Ele adiciona essas informações com base em dados oriundos de fontes chanceladas, como o Observatório Nacional ou o Instituto Nacional de Tecnologia da Informação. Assim, esta é uma ferramenta fundamental para evitar fraudes. 

Leia mais: 4 vantagens de utilizar o carimbo do tempo em documentos digitais

Quando a data e hora são provenientes do próprio dispositivo utilizado na assinatura – como o relógio e calendário do notebook ou smartphone, por exemplo -, essa informação pode ser facilmente manipulada: basta alterar as configurações do dispositivo. Logo, não há como provar quando o documento foi assinado caso a legitimidade seja contestada. 

O carimbo do tempo garante a tempestividade dos documentos, sem a possibilidade de de repúdio. Além disso, uma outra vantagem é a integridade, uma vez que qualquer alteração realizada nos dados invalida o carimbo e pode ser detectada facilmente. 

Funcionalidades e benefícios do verificador digital 

O verificador é um aliado para quem precisa garantir a conformidade com as normas, validade e segurança jurídica de assinaturas digitais, considerando os seguintes pontos:

  • Autoria: verificar a validade, revogação e confiabilidade do certificado do signatário.
  • Referência temporal: garantir certeza e imparcialidade do momento em que o documento eletrônico foi criado, utilizando a data e hora confiável através da validação do carimbo do tempo associado à assinatura digital.
  • Integridade: garantir que o documento não foi alterado desde a geração da assinatura digital.
  • Aderência aos padrões: verificar todos os valores e estruturas presentes na assinatura de acordo com as normas da ICP-Brasil e recomendações internacionais.
  • Informações: visualizar de forma simples os dados dos signatários e demais informações associadas à assinatura digital.

 Receber uma resposta de invalidade do verificador, no entanto, não significa necessariamente que o documento assinado com certificado digital seja totalmente inválido, mas sim que alguma especificação não foi respeitada ou algum informação para validação da assinatura não está disponível naquele momento, como a Lista de Certificados Revogados (LCR), por exemplo. Neste caso o verificador irá indicar as inconformidades sinalizando o grau de risco envolvido. 

A verificação de assinatura digital é um processo simples: basta fazer o upload do arquivo assinado no verificador para checar a validade. Você pode fazer um teste grátis no BRy Cloud. Para saber mais sobre assinatura digital, continue acompanhando nosso blog

Darlan Vivian

Receba nossas novidades

Cadastre-se na nossa newsletter e fique por dentro de tudo sobre certificação e assinatura digital

Não enviaremos spams :)

Comentários

16 comentários sobre “Como é realizada a verificação de assinatura digital?”

  1. Paulo Appolinário.'. disse:

    Bom dia.
    Por favor, ainda não me ficou claro a questão da verificação de integridade.
    Como é feito isso?
    Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?
    Qualquer um pode conferir?
    Onde pode conferir?
    No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?
    Ainda tenho muitas perguntas, mas, antecipadamente, grato pela atenção.

    1. BRy Tecnologia disse:

      Olá Paulo,
      Vamos lá:
      Como é feito isso?
      A verificação de uma assinatura digital é realizada por algum software capaz de realizar esta operação. Comumente, os softwares de assinatura digital já contemplam a funcionalidade de verificação de assinatura. A integridade é determinada pela comparação do resumo criptográfico (hash) do documento original com o resumo criptográfico cifrado pelo signatário. A obtenção do resumo criptográfico é possível através da decifragem da assinatura, utilizando a chave pública do certificado do assinante.
      Esta chave pública do certificado do assinante para decifrar a assinatura é acessível à quem?
      A chave pública do certificado do assinante é acessível a qualquer pessoa que tenha acesso ao documento assinado.
      Qualquer um pode conferir?
      Sim, quem tiver acesso ao documento assinado, utilizando-se de um software capaz de verificar uma assinatura digital, será capaz de verificar esta assinatura e obter os dados a respeito da mesma (quem assinou, dados técnicos da assinatura, etc).
      No caso da coleta de várias assinaturas, todas tem que ser certificadas digitalmente, ou só a do criador do documento tem que ter certificação digital e a dos restantes pode ser apenas uma assinatura digitalizada?
      Apenas uma assinatura digital realizada com um certificado ICP Brasil possui validade jurídica estabelecida. Se o objetivo é atestar a ciência de todos os membros envolvidos na coleta, garantindo validade jurídica ao processo, todos eles devem assinar digitalmente o documento com seus próprios certificados ICP Brasil. Assinaturas digitalizadas são apenas uma representação digital (imagem) de uma assinatura de próprio punho e não possuem validade jurídica contestável.
      Você pode saber um pouco mais sobre o que é uma assinatura digital no nosso post O que é uma assinatura digital ou o baixar o nosso infográfico Tudo sobre Assinatura Digital.
      Esperamos ter ajudado, qualquer dúvida entre em contato! 🙂
      Equipe BRy Tecnologia

  2. Raquel Schaitza disse:

    Olá Darlan,
    Minha dúvida é a seguinte: estou assinando em pdf com certificado digital válido até agosto de 2019. Como o certificado está válido, clicando em cima aparecem todas as informações sobre a validade. Mas o que vai acontecer depois de agosto de 2019? Se clicar em cima continuará aparecendo a validade anterior? Ou seja, quem precisar usar o documento verá que era válido na época da assinatura, que é o que interessa? Ou desaparecerá toda a informação sobre validade do certificado?
    Enfatizo que estou assinando em arquivo salvo em pdf e enviado por email. Não estou assinando dentro de portal de assinaturas gerando link e código de verificação que o destinatário poderá usar para baixar o arquivo.
    Grata,
    Raquel Schaitza

    1. BRy Tecnologia disse:

      Olá Raquel,
      O que importa e determina a validade de uma assinatura digital é se o certificado estava válido no momento da assinatura e não se ele está válido no momento das verificações da assinatura.
      Alguns verificadores de assinatura podem até dar também informação sobre o status atual do certificado (válido ou expirado), porém é a informação do validade do certificado no momento da assinatura que vai garantir a validade do documento assinado.
      O que pode acontecer é que se a assinatura não é feita com o carimbo do tempo, o verificador não tem uma referência de tempo confiável para dizer se o certificado estava válido no momento em que o documento foi assinado. Assim, pode-se dizer que a assinatura digital realizada ficou inválida junto com a expiração do certificado e os verificadores podem emitir um alerta sobre a validade da assinatura e do certificado. Já se a assinatura é feita com carimbo do tempo, isso não acontece, e sempre será válida independente da validade do certificado.
      O carimbo do tempo é uma tecnologia que no momento da assinatura adiciona a data e hora da assinatura de uma terceira parte confiável, como o Observatório Nacional ou o Instituto Nacional da Tecnologia da Informação. Ele funciona como uma âncora temporal: quando você verifica a assinatura, o sistema vai lá e busca essa data e consegue garantir que o certificado estava válido no momento em que foi assinado.
      Esperamos ter conseguido responder sua dúvida, caso precise de mais algum informação, mantenha contato!
      Equipe BRy Tecnologia

      1. Raquel Schaitza disse:

        Olá, obrigada.
        Quanto ao carimbo de tempo compreendido e, sim, minha assinatura em pdf aparece com data, hora e até segundos. Basta clicar em cima da assinatura e ver os elementos de segurança. O que eu pergunto é um pouco diferente: depois que o certificado digital que estou usando expirar será ainda possível clicar na assinatura feita em um pdf antigo e continuar a ver que ela era válida no momento em que foi aposta? Ou esse “clique” será perdido?
        Eu sei que assinaturas em portais preservam essa informação pq existe um link que ainda poderá ser consultado. Já no pdf assinado como arquivo isolado, fora de um portal, não sei se haverá essa possibilidade, pois, talvez, a assinatura deixe de ser “clicável”.
        Lendo mais o seu blogue achei algo sobre “política de assinatura” e também enviei uma pergunta. Talvez haja relação.
        Grata

        1. BRy Tecnologia disse:

          Oi Raquel,
          Se você tiver usado o carimbo do tempo, sim, a assinatura do arquivo vai continuar aparecendo como válida não importando se o certificado expirou ou não. Isso porque o verificador consegue checar que no momento da assinatura o seu certificado estava válido.
          Se você não tiver usado o carimbo do tempo deve aparecer um alerta ou mensagem de assinatura inválida (depende do verificador), já que o sistema não consegue ter certeza que seu certificado estava válido no momento da assinatura.
          A preservação dessa informação não tem nada a ver com o fato de ter sido assinado em portal e existir um link de consulta. Quando você acessa um link de consulta, na verdade o sistema vai acessar o documento assinado digitalmente que está armazenado na nuvem e fazer a verificação no momento que você o acessa. Se foi assinado com carimbo do tempo, então essa informação será preservada. Mas se esse documento não tiver sido assinado com carimbo do tempo, ele também emitirá um alerta ou mensagem de inválido. A longevidade da assinatura não tem relação com assinatura em portal, assinatura em softwares e nem links de consulta, tem relação apenas ao uso do carimbo do tempo na assinatura.
          Outro ponto importante é que sempre aparecerá data e hora e segundos da assinatura na sua verificação, mas isso não quer dizer que foi feita com carimbo do tempo (hora confiável). Essa data pode ter sido tirada do relógio do computador, por exemplo, e não garantirá a longevidade do seu documento assinado. A verificação deve informar que foi feita com carimbo do tempo.
          Esperamos ter esclarecido!
          Equipe BRy Tecnologia

          1. Raquel Schaitza disse:

            OK, obrigada. Fico pensando afinal de contas que “link de consulta” é acessado quando clico em cima da assinatura feita em pdf e aparece uma sequência de caixas de diálogo. Ao assinar em portal, isso é óbvio. No software, me parece menos óbvio, mas vou procurar me informar melhor.
            Obrigada pela explicação adicional, inclusive o detalhe do carimbo de tempo. Sei que não pode ser o relógio do computador, facilmente manipulável, mas achei que o fato de somente ser possível assinar em pdf online significaria que o software estaria acessando uma indicação de tempo confiável. Vou me informar melhor sobre isso também, pq, como tradutora juramentada, minhas assinaturas precisam, necessariamente, de arquivamento de longo prazo.
            Grata.

          2. BRy Tecnologia disse:

            Oi Raquel,
            O que você chama de link de consulta na verdade nada mais é do que a verificação do documento assinado.
            Para garantir a longevidade do seus documentos apenas certifique que o portal, software ou sistema que você está usando para realizar a assinatura utiliza o carimbo do tempo.
            Você pode utilizar o BRy Signer ou o BRy Cloud para fazer verificação de documentos gratuitamente e assim conferir informações como o carimbo do tempo e padrões de assinatura. Nos dois produtos também é possível assinar documentos com carimbo do tempo.
            Estamos à disposição,
            Equipe BRy Tecnologia

  3. Raquel Schaitza disse:

    Obrigada. Não fui eu que chamei de “link de consulta”. Foi quem deu a resposta anterior :-), mas ficou claro o que ainda tenho que pesquiser melhor.

    1. Gabriela De Rolt disse:

      Raquel,
      Estamos à disposição. 🙂
      Equipe BRy Tecnologia

  4. Tiago Tristão Casanova disse:

    Olá.
    Sou bioquímico e possuo um laboratório de análises clínicas. Estou implantando a assinatura digital nos meus laudos. Porém estou achando que há algo errado.
    Nos laudos não aparecem nenhum código de validação para caso meu paciente queira verificar a validade desse laudo. Perguntei na empresa q fez o sistema e que gera os laudos e eles disseram q esse código de validação não é necessário aparecer no laudo.
    Pergunto :
    Esse código de validação necessita ou não aparecer no laudo assinado eletronicamente?

    1. BRy Tecnologia disse:

      Bom dia, Tiago!
      Os teus pacientes recebem o laudo de forma digital ou impressa?
      Se eles recebem o documento assinado digitalmente, realmente não precisa de nenhum código de validação. Para checar a validade basta que o paciente baixe esse documento e verifique a assinatura em algum sistema ou software específico para isso ou você pode ter uma funcionalidade em que o teu próprio sistema pode fazer a verificação para o paciente no momento em que ele acessa, visualiza ou faz o download.
      Se eles recebem o documento impresso, vale lembrar que a assinatura digital é válida apenas em meio digital. Uma assinatura digital em um documento impresso deixa de existir, ou seja, o laudo impresso sempre será uma cópia não assinada. Então pode ser interessante que você armazene todos os seus laudos na nuvem durante um período e coloque um código de verificação para que o paciente possa acessar o documento assinado digitalmente e fazer a verificação da assinatura, confirmando a sua validade.
      Mas de qualquer forma é bom deixar bem claro que ter ou não ter código não interfere na assinatura digital que você fez: no meio digital ela continua totalmente válida independente disso. No caso impresso o que acontece é que você fica com o laudo assinado e o paciente com um laudo não assinado. Aí depende de você avaliar se isso faz sentido ou não e exigir da empresa que fez o sistema as funcionalidades necessárias para seu negócio.
      Esperamos ter ajudado!
      Equipe BRy Tecnologia

  5. Luisa Lamas disse:

    Eu gostaria de entender melhor quais são as vantagens e desvantagens entre utilizar um verificador digital que gere um código QR e um que seja verificado por um Software como o Acrobat.

    1. BRy Tecnologia disse:

      Olá Luisa,
      Primeiro apenas para não gerar confusão, vamos esclarecer que verificadores não assinam ou geram códigos QR, verificadores apenas fornecem informações sobre a assinatura digital para que você confira se realmente o certificado estava válido, quem assinou, a data da assinatura, entre outros. 😉
      Além disso, vale também deixar claro que não há diferença se o documento assinado digitalmente tem ou não QR code e pode ser verificado por qualquer sistema ou software verificador independente disso.
      O que acontece é que alguns softwares ou sistemas de assinatura digital (ou assinadores digitais) armazenam o documento e inserem um QR Code ou link com código numérico no documento no momento da assinatura. Isso é útil em casos que a pessoa precisa imprimir o documento, pois como a assinatura digital não existe no papel, você poderá através desse código acessar o documento digital original assinado que foi armazenado e fazer a verificação da assinatura, comprovando que aquele documento tem mesmo uma assinatura digital válida.
      Ou seja, se você vai precisar imprimir esse documento em algum momento, é interessante assinar com sistemas que façam o armazenamento na nuvem do documento e oferecem esse código de acesso. Se o seu trâmite é exclusivamente digital, não tem necessidade desse tipo de serviço e informação, já que você sempre terá o documento digital para a verificação.
      Esperamos ter ajudado,
      Equipe BRy Tecnologia

  6. LUIZ FERNANDO DIAS disse:

    Sou advogado e estou tentando assinar digitalmente um documento junto à secretaria estadual da fazenda do Paraná. O site da secretaria solicitou a instalação de extensão da BRy tanto para o Chrome quanto para o Firefox. Ocorre que quando da instalação aparecem os seguintes erros: – “Error 2503. Called RunScript when not called in progress” e “Error 2502. Called InstallFinalize when no install in progress”. Qual é a solução?

    1. Gabriela De Rolt disse:

      Olá, tudo bem?
      A BRy tecnologia fornece soluções para uma empresa parceira do Governo do Estado do Paraná. Apesar de o plugin ser da BRy, não temos acesso ao suporte. Por isso, infelizmente não conseguiremos ajudá-lo, mas podemos lhe indicar o link indicado pela Secretaria com os procedimentos de instalação: http://www.fazenda.pr.gov.br/modules/conteudo/conteudo.php?conteudo=485.
      Caso não consiga realizar a instalação, recomendamos também o contato por telefone com o suporte da Secretaria: (41) 3200-5009.
      Esperamos tê-lo ajudado!
      Atenciosamente,
      Equipe BRy
      Que tal??
      Qualquer dúvida, estamos por aqui 😉
      Abraços,

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *