a a assinatura digital aplicada a ged e workflow bruno crotman infoimagem 2005 assinatura digital...
TRANSCRIPT
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura Digital aplicada a GED e Workflow
Bruno [email protected]
Bruno Crotman
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Agenda-Custos da guarda de papel-Segurança: documentação digitalizada x documentação em papel-Assinatura digital
-como funciona-chave pública e chave privada-segurança do método-processo e assinatura e processo de
verificação-funcionamento na prática
-Documentos já em papel-Documentos em formato eletrônico-Situação da assinatura digital no Brasil-Autoridades certificadoras-Conclusão
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Segurança: documentação digitalizada x documentação em papel
A documentação em papel, teoricamente, não pode ser modificada sem deixar rastros de fraude.
A documentação digital, que não esteja assinada digitalmente, pode ser alterada sem deixar nenhum vestígio.
A documentação em papel e a documentação microfilmada eram as únicas formas aceitas legalmente.
Com a assinatura digital, passa a ser impossível alterar um documento eletrônico sem deixar vestígios.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – como funciona, em linhas gerais
Existem dois processos envolvidos: - a assinatura digital do documento- a verificação da assinatura do documento
Na assinatura, o documento é “empacotado” e se adiciona dados de controle.
Na verificação da assinatura, os dados do documento são comparados com os dados de controle.
Se os dados do documento forem alterados, o processo de verificação da assinatura alerta sobre a alteração.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada
Os algoritmos de criptografia assimétricos (baseados em chave pública e chave privada) são usados para garantir:
Confidencialidade
Autenticidade
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada- Confidencialidade
Através de operações matemáticas, podemos criptografar um conjunto de dados com uma chave pública.
Apenas com o uso de uma chave privada, ligada à chave pública usada na criptografia, podemos decriptografar este conjunto de dados. Portanto, todos podem criar mensagem cifradas para um destinatário específico, pois todos conhecem as chaves públicas. Mas apenas o dono da chave privada pode decriptografar a mensagem.
A tentativa de decriptografar os dados criptografados com a chave incorreta não funciona.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada- Confidencialidade
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada
Chamaremos o indivíduo que assina o documento de “assinador”.
O assinador possui um certificado pessoal. Para que o processo seja considerado legal, este certificado deve ser emitido por uma entidade certificadora filiada à ICP-Brasil.
O certificado do assinador possui uma chave pública e uma chave privada.
A chave pública pode ser conhecida por todos e é usada pelo processo, que todos podem executar, que irá verificar a assinatura digital de um documento.
A chave privada só pode ser conhecida, ou só pode ser obtida, pelo assinador. Ela é usada no processo de assinatura do documento.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada- Autenticidade
Através de operações matemáticas, podemos criptografar um conjunto de dados com uma chave privada.
Apenas com o uso de uma chave pública, ligada à chave privada usada na criptografia, podemos decriptografar este conjunto de dados. Portanto, temos garantia sobre quem criptografou estes dados.
A tentativa de decriptografar os dados criptografados com a chave incorreta não funciona. Há apenas 1 chave pública para cada chave privada.
A tentativa de decriptografar dados criptografados adulterados também não gera um resultado que faça sentido.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – chave pública e chave privada- Autenticidade
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – processo de assinatura
No processo, são usados
-o documento original-a chave privada
É extraído um resumo do documento original, através de uma função hash.
O resumo é criptografado com a chave privada e incorporado ao pacote.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – processo de verificação da assinatura
No processo, são usados-o pacote com o documento assinado-a chave pública
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – funcionando na prática
Certificado digital:
Cartão inteligente (smart card)
Token USB
Exemplo de cartão inteligente:
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – funcionando na prática
Processo de assinatura do documento:
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – funcionando na prática
Processo de verificação de um documento intacto:
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Assinatura digital – funcionando na prática
Processo de verificação de um documento adulterado:
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Documentos em papel
Caso de documentos já existentes em papel:
Para descartá-los, deve–se digitalizá-los e assiná-los digitalmente.
É um processo semelhante ao de se tirar uma xerox autenticada.
Uma pessoa, que tenha fé pública, precisa atestar que o documento digital é igual ao original, em papel. Neste momento, esta pessoa executa o processo de assinatura digital.
A partir deste momento, o documento se comporta como se estivesse lacrado.
Se o documento original for alterado, isto será indicado quando se executar o processo de verificação de assinatura
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Documentos em formato eletrônico
Caso de documentos criados em formato eletrônico:
O documento eletrônico tem autoria validada legalmente quando se usa o processo de assinatura digital.
O autor do documento precisa possuir um certificado digital emitido por uma entidade validada pela ICP-Brasil. Ele deve executar o processo de assinatura digital em cima do documento desejado.
A partir deste momento, o documento se comporta como se estivesse lacrado.
Se o documento original for alterado, isto será indicado quando se executar o processo de verificação de assinatura
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Situação da assinatura digital no Brasil
Regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2.
Brasil pode ser equiparado a países como Alemanha, França e Coréia do Sul em termos de estrutura das Autoridades Certificadoras e em segurança e é o mais avançado na América Latina.
A Autoridade Certificadora Raiz da cadeia da ICP-Brasil tem como função básica a execução das políticas de certificados e normas técnicas e operacionais. No Brasil, é representada pelo ITI – Instituto Nacional de Tecnologia da Informação.
Países como os Estados Unidos, com mais de uma autoridade raiz enfrentam problemas sérios causados, principalmente, pela variedade de legislações a respeito de certificação digital
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Autoridades certificadoras
As Autoridades Certificadoras têm a função de emitir os certificados digitais, vinculando pares de chaves criptográficas ao titular.
As Autoridades de Registro devem verificar a autenticidade das informações utilizadas para a criação do documento.
Exemplo de autoridades certificadoras brasileiras: Serpro, Caixa Econômica Federal, Serasa, Certisign e Receita Federal.
É necessária a presença física do usuário na criação do certificado. Ele precisa estar lá pessoalmente e o certificado não pode ser tirado por nenhum tipo de procurador.
A lei exige que ele mesmo gere o par de chaves
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
ICP-Brasil
A Autoridade Certificadora Raiz da cadeia da ICP-Brasil tem como função execução das políticas aprovadas pelo Comitê Gestor, atuando: na emissão, expedição, distribuição, revogação e gerenciamento de certificados de autoridades certificadoras de nível imediatamente inferior ao seu, chamadas Autoridades Certificadoras Principais; no gerenciamento da lista de certificados revogados (LCR), emitidos e vencidos; e na execução, fiscalização e auditoria das autoridades certificadoras, de registro e prestadoras de serviço de suporte habilitadas na ICP-BRASIL.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
ICP-Brasil
As autoridades certificadoras credenciadas na ICP-Brasil têm a obrigação de manter uma lista de todos os certificados revogados por uma prazo mínimo de 30 anos a contar da expiração destes certificados. Esta obrigação garante que a assinatura eletrônica de tais documentos possa ser conferida, mesmo após a prescrição do direito que se possa querer provar através deste documento eletrônico
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
ICP-BrasilNa Sala-Cofre está um pequeno hardware criptográfico (HSM), do tamanho de um videocassete, onde fica a chave-privada da ICP-Brasil, a auditora do sistema nacional de certificação digital.
Só é possível chegar ao computador após passar por dois guardas armados, 16 câmeras de vídeo e identificações --cartão magnético, digitais e íris.
Apenas cinco pessoas em todo o país podem ativar a máquina, o que só ocorre na presença de, pelo menos, três delas. São quatro civis e um militar.
A sala-cofre agüentaria o impacto de um choque como o de 11 de setembro nas torres gêmeas de Nova York e temperaturas de até 1.000 graus, por duas horas
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Cuidados com o certificado digital
Por tudo o que vimos, podemos dizer que op certificado digital representa o próprio punho do indivíduo.
Alguns cuidados devem ser tomados pelo usuário de um certificado:
-Escolher uma senha que não seja óbvia para seu smart card ou token
-Não compartilhar com ninguém, nem mesmo ssua esposa ou marido, a senha de acesso à chave
-Avisar imediatamente à Autoridade Certificadora no caso de perda ou furto do suporte físico da sua chave privada.
aa
ww
w.la
b245.c
om
Assinatura Digital
aplicada a GED e
Workflow
Bruno Crotman
Infoimagem 2005
Conclusão
A tecnologia de assinatura digital vem preencher uma lacuna nas tecnologias de GED e Workflow, permitindo que, finalmente, possamos nos livrar do papel definitivamente e com vantagens
De fato, a documentação digital assinada, considerando a estrutura da ICP-Brasil e os softwares que fazem o procedimento de assinatura e verificação da assinatura, é muito mais segura que a documentação em papel, a um custo de manutenção muito mais baixo.