You are on page 1of 56

Tecnologia em Segurana da Informao

Wesley Silva dos Reis

Assinatura Digital em contratos comerciais: estudo demonstrativo para financiamento de veculos.

Guar - DF 2012

Wesley Silva dos Reis

Assinatura Digital em contratos comerciais: estudo demonstrativo para financiamento de veculos

Trabalho

de

concluso

de

curso

apresentado s Faculdades Integradas Promove de Braslia como requisito parcial para obteno do grau de tecnlogo no curso de Tecnologia em Segurana da Informao. Orientadora: Profa. Dra. Maria Jos de Oliveira

Guar - DF 2012

Dados Internacionais de Catalogao na Publicao (CIP) _______________________________________________________________

Reis, Wesley Silva dos. Assinatura digital em contratos comerciais / Wesley Silva dos Reis : Professora orientadora Maria Jos de Oliveira. [S.l]: [s.n.], 2012. 37f. : il. Monografia (Graduao em Tecnologia em Segurana Informao) Faculdades Promove de Braslia, 2012. da

I. Oliveira, Maria Jos de. II. Ttulo. _______________________________________________________________


Bibliotecrio: Lus Srgio de Rezende Moura CRB1/DF-1929

Wesley Silva dos Reis

Assinatura

Digital

em

contratos

comerciais:

estudo

demonstrativo

para

financiamento de veculos.

Trabalho de concluso de curso apresentado s Faculdades Integradas Promove de Braslia como requisito parcial para obteno do grau de tecnlogo no curso de Tecnologia em Segurana da Informao.

Aprovado em ___/___/______ :

Orientador(a) Profa. Dra. Maria Jos de Oliveira

Avaliador(a) Profa. Dra. Maria Jos de Oliveira Faculdades Integradas Promove de Braslia

Avaliador(a) Prof. Cid Cintra

Avaliador(a) Prof. Paulo Hansen

Este trabalho dedicado a todos que tem a coragem e a disposio de seguir caminhos diferentes e mais difceis que os propostos. Aqueles que preferem alcanar objetivos maiores: que so inalcanveis para aqueles que tm medo de tentar o novo...

RESUMO

Este trabalho aborda o uso de certificados digitais do padro ICP-Brasil em contratos comerciais, especificamente em contratos de financiamento de veculos. O problema da segurana em contratos digitais ser tratado em trs frentes: a autenticidade, a integridade e o no repdio. Estes itens formam uma trade preliminar que ser solucionada com uso da assinatura digital no padro da ICPBrasil na transao comercial, utilizando o certificado e-cpf. O objetivo principal foi demonstrar a usabilidade da estrutura de chaves pblicas brasileira como ferramenta para expanso de negcios para uma empresa no territrio nacional, contemplando requisitos de baixo custo, segurana e legalidade. No referencial terico apresentam-se os conceitos das tcnicas matemticas, aplicadas ao certificado digital para a assinatura de contratos de financiamento. O estudo de caso mostrou o uso da assinatura digital na Cdula de Crdito Bancrio utilizada no financiamento de veculos. Os resultados da pesquisa mostraram de forma clara as vantagens do uso da ferramenta no processo negocial.

Palavras-chaves: Assinatura Digital, Autenticidade, Cdula de Crdito Bancrio, integridade, ICP-Brasil, no repdio.

ABSTRACT

This paper discusses the use of digital certificates in standard ICP-Brazil trade agreements, specifically in vehicle financing contracts. The security problem in digital contracts will be treated on three fronts: the authenticity, integrity and nonrepudiation. These items form a triad that primary will be resolved with the use of digital signature standard in ICP-Brazil business transaction using the e-certificate cpf. The main objective was to demonstrate the usability of the structure of Brazilian public keys as a tool for business expansion for a company in the country, covering requirements of low cost, safety and legality. In the theoretical framework we present the concepts of mathematical techniques applied to the digital certificate for signing financing agreements. The case study showed the use of digital signature in Bank Credit used in vehicle financing. The survey results clearly show the advantages of using the tool in the negotiation process.

Keywords: Digital Signature, Authenticity, Bank Credit, integrity, ICP-Brazil, non-repudiation.

LISTA DE FIGURAS

Figura 1 Certificado Digital pela Livraria Saraiva .............................................. 25 Figura 2 Certificado Digital pela Americanas.com ............................................. 26 Figura 3 Certificado Digital pelo Banco do Brasil .............................................. 26 Figura 4 Instalao do kit e-cpf ......................................................................... 34 Figura 5 Dados do certificado digital ................................................................. 37 Figura 6 Informaes do detentor do e-cpf ....................................................... 37 Figura 7 Cdula de Crdito Bancrio ................................................................ 38 Figura 8 Stio da autoridade certificadora XSign ............................................... 39 Figura 9 Seleo do contrato ............................................................................ 40 Figura 10 Confirmao do diretrio ................................................................... 41 Figura 11 Confirmao de sucesso ................................................................... 42 Figura 12 Seleo da opo de verificao ...................................................... 42 Figura 13 Seleo do arquivo assinado digitalmente ........................................ 43 Figura 14 Contrato assinado digitalmente ......................................................... 44 Figura 15 Tela de erro ....................................................................................... 45

LISTA DE SIGLAS

AC Autoridade Certificadora. AR Autoridade de Registro. ARPA Advanced Research Projects Agency. CD Compact Disc. E-CPF Cadastro de Pessoa Fsica Eletrnico. IBM International Busineness Machines. ICP Infraestrutura de Chaves Pblicas. ITI Instituto de Tecnologia e Infraestrutura. MIT Massachusetts Institute of Technology. MP Medida Provisria. RSA Rivest, Shamir e Andleman. VPN Virtual Private Network.

SUMRIO

I INTRODUO ................................................................................................ 10 1.1 Problema .................................................................................................... 12 1.2 Justificativa ................................................................................................. 12 1.3 Metodologia ................................................................................................ 12 1.4 Objetivos ..................................................................................................... 13 1.5 Organizao da monografia........................................................................ 13 II REFERENCIAL TERICO ............................................................................. 15 2.1 Informao .................................................................................................. 15 2.2 Segurana da informao ........................................................................... 16 2.3 O processo de digitalizao ........................................................................ 17 2.4 Histrico dos algoritmos criptogrficos ....................................................... 18 2.5 Whitfield Diffie e Martin Hellman ................................................................. 20 2.5.1 Ronald Rivest, Adi Shamir, Leonard Adleman e o RSA .......................... 22 2.6 Assinatura digital ........................................................................................ 24 2.7 HASH: o segredo da assinatura digital ....................................................... 27 2.8 Legislao aplicada a contrato ................................................................... 28 2.8.1 Cdula de Crdito Bancrio ..................................................................... 28 2.8.2 Contrato Eletrnico .................................................................................. 29 2.8.3 2.200/2001 e o ICP-BRASIL .................................................................... 30 2.8.4 O Certificado digital no padro ICP-BRASIL............................................ 34 III ESTUDO DE CASO ...................................................................................... 36 3.1 O uso prtico da assinatura digital .............................................................. 36 IV CONCLUSO ............................................................................................... 47 V REFERNCIAS ............................................................................................. 48 ANEXO I - MEDIDA PROVISRIA N 2.200-2, DE 24 DE AGOSTO DE 2001. .. 51

10

I INTRODUO

Em pleno sculo XXI, o tempo tornou-se quesito chave na definio de qualidade em um mercado competitivo. No basta apenas fechar o negcio, mas tambm efetuar esse trabalho no menor tempo possvel. Alm disso, necessrio que haja segurana nesse processo para evitar problemas na continuidade dos negcios. Todos esses fatores fizeram da informao o ativo vital para qualquer empresa no terceiro milnio. Assim como em qualquer ramo da cincia humana, o termo ativo tambm evoluiu com surgimento da informatizao. O que conceitualmente era atribudo a bens fsicos, que deveriam ser protegidos pela instituio ou corporao, tornou-se um conceito muito mais complexo: o ativo deixou de ser algo estritamente fsico para transformar-se em uma unidade lgica. Esta unidade lgica nada mais do que a informao que, na era digital, passou a ser item chave de estudo e tratamento para a sobrevivncia das corporaes, instituies at mesmo do Estado propriamente dito. A proteo e tratamento desse ativo criaram subsdios para o crescimento de tecnologias de proteo lgica, entre elas uma semente percursora: a criptografia de chaves pblicas. Com a evoluo dos algoritmos matemticos de criptografia de chaves pblicas e dos recursos tecnolgicos criou-se uma verdadeira gama de tecnologias, que mais tarde, desencadearam no surgimento de outro conceito criptogrfico - a assinatura digital. Toda essa evoluo tecnolgica foi patrocinada por dois objetivos distintos: o militar e o comercial. As naes precisavam evoluir seus sistemas de defesa, enquanto as empresas comerciais precisavam de mtodos rpidos e seguros para expandir seus negcios pelo mundo: a busca pelo lucro foi item determinante para que evoluo da rea de segurana de dados e, pea fundamental, para a criao das tecnologias de assinatura digital pelo mundo. Uma empresa brasileira do ramo financeiro que queira expandir seus negcios pelo territrio nacional, precisa de mtodos rpidos e seguros para formalizar a venda de seus servios e produtos em todo pas. Cria-se a necessidade de uma ferramenta que d condies para que esta empresa possa exercer sua atividade comercial em todo o pas, sem que seus clientes tenham que se deslocar

11

para concluir o negcio. No obstante, outro problema para a empresa garantir que seus produtos comercializados estejam seguros e de acordo com a legislao vigente: a formalizao da venda do produto requisito fundamental para garantir a segurana na continuidade dos negcios, bem como das informaes inerentes a segredos comerciais que podem influenciar na competitividade de um ramo. O uso da assinatura digital em contratos comerciais, no padro dos certificados digitais da ICP-Brasil (Infraestrutura de Chaves Pblicas Brasil), alm de solucionar os problemas identificados para esta empresa ser uma ferramenta de formalizao de negcios extremamente eficaz. Seu uso em todo territrio nacional prover estrutura competitiva, segura e com baixo custo, para que a empresa possa comercializar seus produtos e servios em conformidade com a lei. Deve-se ressaltar que a Infraestrutura de Chaves Pblicas Brasileira um organismo formado pela iniciativa hbrida, que combina a regulamentao do Estado ao dinamismo do setor privado, fator importante para a consolidao deste modelo.

12

1.1 Problema

A expanso das atividades comerciais de uma empresa pelo territrio nacional encontra fatores considerveis para que esse processo no comprometa a continuidade nos negcios. O custo dessa expanso bem como a manuteno da segurana no processo negocial devem ser considerados antes da tomada de deciso, pois a no observncia desses fatores ser determinante para a sobrevivncia da corporao no mercado. Alm disso, necessrio que o processo negocial tambm esteja em acordo com a legislao vigente, sob pena de expor a empresa a riscos judiciais. Observados esses fatores, a opo pelo comrcio eletrnico torna-se a escolha mais vivel economicamente, mas que necessita de ferramentas que garantam a segurana desse processo negocial e que esteja de acordo com a lei. Dentre as opes existentes pode-se destacar o uso da assinatura digital.

1.2 Justificativa

Para uma empresa que queira comercializar seus produtos e servios em todo territrio nacional, sem que sejam necessrios grandes gastos com a contrao de funcionrios e instalao de novas filiais, a opo pela assinatura digital em contratos eletrnicos uma escolha economicamente mais vivel. Alm disso, o uso desta tecnologia permite s empresas a entrada em um ramo do mercado cada vez mais presente na economia nacional: o comercio eletrnico. Logo, o uso dos certificados digitais da ICP-Brasil na formalizao de negcios de uma empresa se justifica principalmente pela efetividade na relao custo x benefcio se comparada a estratgia de expanso por meio de filiais.

1.3 Metodologia

A metodologia utilizada na realizao do trabalho pode ser descrita da seguinte forma:

13

a) Anlise da literatura disponvel do tema, resgatada em levantamento especfico; b) Trata-se de um estudo exploratrio, voltado para a demonstrao do uso de uma chave privada de um certificado digital emitido pela ICP-Brasil, com o objetivo de comprovar a segurana e usabilidade dos certificados digitais em contratos comerciais. c) O e-cpf (certificado digital do padro ICP-Brasil) foi aplicado em um contrato de financiamento de veculo, conhecido no jargo bancrio como Cdula de Crdito Bancrio. d) O uso do certificado digital no contrato de financiamento comprovou a soluo da trade problema inicial em contratos financeiros digitais: custo, segurana e legalidade.

1.4 Objetivos

O objetivo deste trabalho demonstrar a viabilidade do uso de Assinatura Digital no padro ICP-Brasil na formalizao de contratos comerciais.

Objetivos especficos: Demonstrar a usabilidade da tecnologia; Demonstrar a segurana no uso da tecnologia; Demonstrar a legalidade no uso da tecnologia e; Evidenciar as vantagens na opo de uso da tecnologia.

1.5 Organizao da monografia

A monografia encontra-se organizada em captulos assim distribudos: Captulo 1 introduo ao tema, problema de pesquisa, objetivo e justificativa. No Captulo 2 encontra-se o referencial terico onde so apresentados os conceitos bsicos de informao e segurana da informao. A concepo destes conceitos requisito que antecede a apresentao de todas as tecnologias a serem

14

ilustradas posteriormente: a histria da cincia criptogrfica pelos primeiros algoritmos at a tcnica de RSA, que o padro adotado pela ICP-Brasil. Em seguida, uma breve descrio do algoritmo de hash: uma tcnica matemtica que auxilia da assinatura digital. Ao final do referencial terico apresenta-se a legislao que garante o uso da tecnologia no territrio nacional, bem como toda a estrutura da ICP-Brasil e seus certificados digitais disponveis. O Captulo 3 aborda de forma prtica o uso do certificado digital no padro ICP-Brasil em contratos financeiros, demonstrando como um exemplo a aplicao de uma chave privada em uma Cdula de Crdito Bancrio. No Captulo 4, encontram-se as anlises e concluses do trabalho.

15

II REFERENCIAL TERICO

2.1 Informao

Para compreender a necessidade do uso da assinatura digital bem como a origem das tcnicas matemticas de originaram esta tecnologia, se faz necessrio uma reviso de conceitos pertinentes ao campo da criptografia: informao e segurana da informao. Na era do conhecimento, as informaes se transformaram em um bem precioso para qualquer empresa. Com o advento dos computadores pessoais e redes integradas, a informao passou a viajar pelo mundo inteiro em questo de segundos. Um estudo dos professores Lyman e Varian (2003) concluiu que o volume de informao produzida no mundo dobrou em trs anos e aumenta cerca de 30% a cada ano. Mas ento, o que viria a ser informao? Qual a definio ideal para este conceito? A ABNT NBR ISO/IEC 27002 (2005) define que a informao um ativo, terminologia esta de origem da rea financeira que, por sua natureza, possui valor intrnseco e deve ser protegida. Em complementao a definio anterior, segundo Smola (2003 p.45) um ativo : todo elemento que compe os processos que manipulam e processam a informao. Sendo assim, a informao pode ser entendida como o resultado do processamento e tratamento de dados: a informao bruta. Aps este tratamento, a informao utilizada de forma a gerar conhecimento, que por sua vez, transformase em um ativo. O dado s servir como informao a partir do momento em que possuir algum valor resultante de seu tratamento, manipulao e/ou organizao. No momento em que a informao tratada ela passa a ser armazenada em meio lgico ou fsico; este arquivo a compilao do conhecimento manipulado e, portanto, precisa ser protegido. As tcnicas de gesto e proteo deste arquivo fez surgir a cincia da Segurana da Informao.

16

2.2 Segurana da informao

Toda e qualquer informao virou elemento essencial para os negcios de uma empresa, j que a informao matria primria para gerao de conhecimento e tomada de deciso. Sendo a informao elemento relevante a sobrevivncia organizacional, ela precisa ser protegida contra as ameaas de diversas origens. Ferreira (2003) define Segurana de Informao como todo conhecimento utilizado na proteo da informao diante das ameaas, com objetivo de minimizar perdas causadas pela descontinuidade dos negcios devido a um ataque bem sucedido. Antes do processo de democratizao dos recursos tecnolgicos, para se roubar alguma informao valiosa de algum era necessrio o uso de recursos fsicos, ou seja, uma forma de se chegar ao cofre, armrio trancado ou recipiente em que se guardava o ativo. Atualmente, essa tarefa tornou-se muito mais complexa: exige-se do atacante o conhecimento das tecnologias de segurana para burlar as tcnicas de defesa utilizadas em um sistema de informaes. O ataque ao ativo informao no mais fsico, mas sim lgico. A Segurana da Informao tem como objetivo principal garantir que os princpios: confidencialidade, disponibilidade e integridade sejam garantidos; alm de outros conceitos incorporados rea como a autenticidade e o no repdio. Estes princpios devem ser considerados na anlise, no planejamento e na implementao da segurana da informao, pois sero balizadores no processo de escolha e desenvolvimento das tcnicas de segurana a serem adotados pela corporao. A confidencialidade trata da limitao do acesso informao, ou seja, a quem ela deve ser disponibilizada e para quem o seu acesso deve ser negado. J a disponibilidade trata da no interrupo no fornecimento da informao necessria a quem de direito; este principio visa garantir que o ativo esteja disponvel quando necessrio. J a integridade, item importante para este trabalho, visa garantir que a informao manipulada esteja com suas caractersticas inalteradas: protegidas de alteraes que podem comprometer o valor da informao guardada. A necessidade de garantir autoria de aes executadas eletronicamente fez com que novos conceitos passassem a ser tratados pela Segurana da Informao.

17

No cenrio de arquivos digitais, por exemplo, criou-se a necessidade da garantia de identificao da autoria por meio do princpio da autenticidade. Soma-se a esse fator a necessidade da impossibilidade de que o mesmo negue a sua autoria sobre a informao armazenada, o chamado no repdio. nesse cenrio de arquivos digitais que surge a ferramenta da assinatura digital, tecnologia que tem por objetivo garantir a autenticidade e no repdio da informao armazenada ou transmitida. Porm, antes do uso desta tcnica necessrio compreender os conceitos bsicos de arquivo digital e processamento de imagens: ferramenta inicial utilizada na converso de informaes fsicas em lgicas.

2.3 O processo de digitalizao

Em casos especficos, onde exista um legado de documentos fsicos arquivados na empresa e exista tambm, uma necessidade de unificar todas essas informaes em uma base digital, ser preciso que seja gerado o arquivo lgico: a cpia eletrnica do documento em papel - processo chamado de "digitalizao". O processo de digitalizao o processo pelo qual um meio fsico (imagem ou sinal analgico) transformado ou convertido em dados digitais: uma imagem digital nada mais que uma sequncia de zeros e uns. Esta sequncia de dados pode ser dividida em pequenos blocos (os pixels) que representam a menor unidade de informao de uma imagem digital.
Um documento em papel representado em meio eletrnico por uma imagem digital. Uma imagem digital formada por um conjunto de pontos, chamados de pixels. Cada pixel possui a informao da cor de um determinado ponto no documento. O nmero de pixels de uma imagem digital depende do tamanho do documento digitalizado e da resoluo utilizada. Quanto maior a resoluo, mais fiel a representao, e maior o nmero de pixels na imagem. (DIAS, 2006 ,p.1).

Existem diversos mtodos de digitalizao disponveis no mercado, a mais usual a utilizao de scanners, que so dispositivos eletrnicos capazes de copiar para o formato digital documentos de papel. O uso deste equipamento fundamental na fase inicial de implantao de um gerenciamento eletrnico de

18

documentos. At a fase em que todos os documentos sejam gerados, arquivados e manipulados no meio digital, necessrio que a empresa disponha de ferramentas para converter o arquivo fsico para o formato eletrnico. Contudo, o processo de digitalizao no se restringe somente ao processo de converso do arquivo de papel para o arquivo digital.
A adoo de um processo de digitalizao implica no conhecimento no s dos princpios da arquivologia, mas tambm no cumprimento das atividades inerentes ao processo, quais sejam a captura digital, o armazenamento e a disseminao dos representantes digitais. (CONARQ, 2010, p. 4).

Na rea comercial, por exemplo, os documentos digitais precisam contemplar requisitos mnimos de autenticidade, integridade e no repdio. Traduzindo para a linguagem negocial, preciso saber quem comprou, o qu comprou e ter certeza de que o cliente no possa negar a transao comercial firmada. H de se ressaltar que nem sempre ser necessria a digitalizao para o uso da Assinatura Digital. Uma vez que no haja documentos antigos a serem migrados para os arquivos lgicos e tambm no exista o uso de contratos em papel pela empresa este processo poder ser completamente descartado do processo operacional. A devida compreenso do que o processo de digitalizao e de seu resultado final, que o arquivo lgico, facilita o entendimento da aplicao das chaves criptogrficas utilizadas pela ICP-Brasil para a Assinatura Digital, haja vista que essas chaves sero aplicadas exatamente nesses arquivos lgicos binrios.

2.4 Histrico dos algoritmos criptogrficos


A palavra criptografia composta dos termos gregos (kryptos - secreto, oculto, ininteligvel) e (grapho - escrita, ecrever). Consiste na cincia e na arte de se comunicar secretamente. O objetivo bsico da criptografia tornar uma mensagem ininteligvel para um adversrio, que possa vir a interceptar a mensagem. (CARVALHO, 2001, p.7).

19

A tecnologia de assinatura digital descendente das remotas tcnicas de criptografia utilizadas durante a Histria. Antigamente, o interesse maior era de se ocultar o contedo da mensagem com intuito de que somente o destinatrio fosse capaz de acessar a informao enviada. Um algoritmo famoso utilizado no Imprio Romano a chamada cifra de Csar, que consiste na substituio de caracteres da mensagem por outro do alfabeto baseada em uma variao padro numrica: que a chave para cifrar e decifrar as mensagens.

Por exemplo, para se cifrar a palavra BRASIL com a variao padro numrica 4 por exemplo, obtm-se o seguinte texto cifrado:

B + 4 = avana-se 4 casas no alfabeto, logo = F R + 4 = avana-se 4 casas no alfabeto, logo = V A + 4 = avana-se 4 casas no alfabeto, logo = E S + 4 = avana-se 4 casas no alfabeto, logo = X I + 4 = avana-se 4 casas no alfabeto, logo = M L + 4 = avana-se 4 casas no alfabeto, logo = P

Finalmente, o texto criptografado FVEXMP. Para decifr-lo basta utilizar a chave (variao padro numrica que no caso 4) de forma contraria, ou seja, voltando 4 posies no alfabeto. Blaise de Vigenre, criptgrafo francs, evoluiu o sistema monoalfabtico de Csar criando o sistema poli alfabtico que levou o seu nome: cifra de Vigenre. Ambas as tcnicas no so utilizadas isoladamente hoje em dia, pois so extremamente frgeis a ataques de fora bruta: o uso da tentativa e erro na adivinhao da chave secreta. Com a atual computao possvel efetuar milhares de tentativas em pouco tempo, o uso de codificaes simples como a de Csar ou a de Vigenre so totalmente inviveis em um mundo onde os recursos tecnolgicos esto democratizados. Todos os mtodos de criptografia possuam um paradigma de segurana pertinente nova realidade tecnolgica, representada por questes tais como distribuir as chaves de forma segura para aqueles que deveriam ter acesso mensagem em um meio no seguro como a Internet. Como impedir que as chaves utilizadas na codificao e futuramente na decodificao fossem interceptadas?

20

Como impedir que um algoritmo seja quebrado com o atual poder tecnolgico? As respostas estavam por vir na publicao do artigo New Directions in Cryptography de Whitfield Diffie e Martin Hellman no ano de 1976.

2.5 Whitfield Diffie e Martin Hellman Whitfield Diffie, formado em matemtica pelo MIT Massachusetts Institute of Technology, no ano de 1965, sempre foi fascinado pela rea. Trabalhou com segurana de computadores at 1970; foi um dos poucos especialistas da poca que trabalhava de forma independente: Whitifield no era vinculado a nenhum rgo governamental ou grandes corporaes.
Um dos problemas que mais chamava a ateno de Diffie era o problema da distribuio de chaves. Acompanhando a evoluo da organizao de pesquisa ARPA (Advanced Research Projects Agency), fundada pelo Departamento de Defesa dos EUA, a qual, em 1969, criou o sistema de comunicao em rede chamado de ARPANet, Diffie sentia que uma revoluo estava prestes a acontecer e que o projeto abria as portas para o desenvolvimento de uma supervia de comunicao. [...] Em 1982 nascia a Internet. (VICKI, 2009).

Em 1974, ao participar de uma palestra da IBM sobre o paradigma de distribuio de chaves criptogrficas, Diffie conheceu os trabalhos desenvolvidos por Martin Hellman. Nascido no Bronx, Nova Iorque, EUA em 1945, Hellman compartilhava com as ideias de Diffie, ambos seriam parceiros em um trabalho que iria revolucionar a segurana digital. O mtodo de criptografia proposto por Whitfield Diffie e Martin Hellman foi uma soluo prtica para o problema de trocas de chaves do sistema de criptografia simtrica utilizada at ento, o sistema Diffie-Hellman permite que a chave criptogrfica a ser utilizada na comunicao entre as partes possa ser calculada aps a troca de alguns valores entre eles.

21

Carvalho (2001, p. 164) enumera como funciona a tcnica proposta por Diffie e Hellman da seguinte forma:
1 - A escolhe uma chave particular chA, a qual apenas A conhece. 2 - B escolhe uma chave particular chB, a qual apenas B conhece. 3 - A manda encriptada chA(texto puro) para B. 4 - B toma a mensagem recebida EchA(tp), encripta com sua chave particular chB, e manda A a mensagem EchB[EchA(tp)]. 5 - A desencripta usando a sua chave. Esta operao mostrada, indicando o seu efeito: DchA[EchB(EchA(tp))] = DchA[EchA(EchB(tp))] = EchB(tp). A manda para B o resultado. 6 - B desencripta usando sua chave: DchB[EchB(tp)]=tp, recuperando finalmente o texto puro.

Para que esse processo fique mais claro Carvalho (2001, p. 164) fez uma analogia:
1 - A escolhe um cadeado, para qual apenas ele tem a chave. 2 - B escolhe um cadeado, para qual apenas ele tem a chave. 3 - A tranca a mensagem em uma caixa, usando seu cadeado, e manda a caixa para B. 4 - B adiciona o seu cadeado caixa, e manda-a de volta pra A. 5 - A destranca o seu cadeado, e devolve a caixa para B. 6 - Recebe agora uma caixa com apenas o seu cadeado, e basta destranc-lo para finalmente abrir a caixa.

Este processo descrito seria perfeito se no fossem dois problemas srios: o algoritmo matemtico deve possuir propriedade comutativa e, alm disso, a mensagem tramita trs vezes no meio de comunicao. Como se pode perceber, o trabalho de Diffie-Hellman foi apenas o pontap inicial (uma quebra de paradigmas) que permitiria, em um futuro no muito distante, a utilizao de mtodos muito mais eficazes de comunicao segura. A materializao do trabalho desses percursores viria com a tecnologia de Ronald Rivest, Adi Shamir e Len Andleman.

22

2.5.1 Ronald Rivest, Adi Shamir, Leonard Adleman e o RSA

Ronald Rivest era um jovem estudante de computao em 1976, poca em que ficou completamente obcecado pela teoria de chaves assimtricas publicada no artigo New Directions in Cryptography no mesmo ano. Ronald com a ajuda de seu colega de pesquisa Adi Shamir, passou a procurar de forma incansvel uma funo matemtica que pudesse materializar a teoria proposta por Diffie-Hellman. Durante quase um ano de pesquisa diversos algoritmos propostos pela dupla eram contestados e derrubados por um terceiro colega: Leonard Andleman. Matemtico calmo e detalhista, Andleman funcionava como um auditor dos sistemas propostos pelos colegas e encontrava diversas falhas nos algoritmos desenvolvidos: at que Ronald Rivest lembrou-se de uma pequena teoria matemtica de fatorao. Ao se multiplicar dois nmeros primos pode-se obter o resultado facilmente, porm o processo inverso bem mais trabalhoso: encontrar os nmeros primos a partir de um resultado uma tarefa rdua, principalmente se utilizados nmeros primos grandes para formar o resultado. Surgiu assim, o primeiro algoritmo de chave pblica.
O RSA (Rivest, Shamir e Andleman) um algoritmo de chave pblica idealizado por Ronald Rivest, Adi Shamir e Leonard Adleman. O nome do algoritmo deriva das iniciais dos sobrenomes dos autores. Desde 1977, Diffie, Hellman e Merkle so considerados os inventores do conceito do algoritmo assimtrico e, desde 1978, Rivest, Shamir e Adleman so admirados por terem criado a implementao mais perfeita da criptografia de chave pblica. (VICKI, 2005, p. 1).

A teoria matemtica utilizada no RSA extremamente bsica. Basta lembrar o conceito de nmero primo: um nmero diferente de 1 que s pode ser dividido por ele mesmo e pelo nmero 1. O nmero 7, por exemplo, um nmero primo porque s possui dois divisores (1 e 7). J o nmero 6 no primo, pois possui trs divisores: 1, 2 e 3. Logo, 6 pode ser fatorado, ou seja, encontrar os nmeros primos que multiplicados resultam em 6: 2 x 3. Ao tentar-se fatorar um nmero de 10 algarismos esta tarefa certamente no ser to simples.

23

"O RSA o algoritmo de criptografia de chave pblica mais usado e testado. Ele se mostrou extremamente forte, se adequadamente usado. Baseia-se no fato de que extremamente difcil fatorar nmeros muito grandes." Carvalho (2001, p. 171).

Algoritmo de execuo lenta, o RSA utilizado normalmente em conjunto com tcnicas de criptografia simtrica utilizando a chave pblica para encriptar a chave simtrica e envia-la junto com a mensagem, passando a partir de ento a utilizar a chave enviada na comunicao. Utilizar o RSA, desta forma, garante a segurana da comunicao sem que haja perda na velocidade de envio e resposta. O RSA se baseia na utilizao de uma chave pblica e uma chave particular no tratamento das mensagens:

"A chave pblica se constitui dos nmeros [n,e], e a chave particular do nmero d. Para garantir a fora do algoritmo, os nmeros p e q devem ser aleatrios e, tipicamente, com mais de 100 algarismos decimais." (CARVALHO, 2001, p. 172).

Para entender melhor, decompe-se o RSA nas seguintes partes:

1 - Escolher dois nmeros primos grandes p e q, quanto maiores esses nmeros forem, maior ser a segurana obtida, para efeito didtico considere 19 e 23. 2 - Confeccionar a chave pblica: multiplica-se p e q para se obter um nmero final N = 437. Aps isso, escolhe-se um nmero aleatrio "e" que no tenha fatores em comum com (p-1) x (q-1), ou seja, o nmero deve ser primo entre si com o N = 396. Esses dois nmeros "437" e "e" so a chave pblica, no caso de "e" escolhe-se de forma a facilitar a compreenso o nmero 13. 3 Calcular a chave privada a partir da chave pblica 437 e 13 uma tarefa complexa, principalmente com nmeros grandes: 10 algarismos, por exemplo, geraria uma chave de 1024 bytes (2), algo razoavelmente seguro nos padres tecnolgicos de hoje.

Para calcular a chave privada precisa-se fazer uma reduo modular, isto : calcular o inverso de 13 (o "e" da chave pblica) no mdulo 396.

24

Aplicando o teorema de Euclides Estendido chega-se ao d = 61. Este nmero d o inverso de 13 no mdulo 396 e o valor capaz de decodificar a mensagem cifrada pela chave pblica gerada. O algoritmo matemtico aplicado pode ser utilizado de forma inversa, se algum aplicar sua chave privada "d" na mensagem, o detentor da chave pblica capaz de verificar a autoria da mesma, ou seja, o dono da chave privada. Logo, todo esse poder matemtico pode ser utilizado ento para garantir a autoria de um arquivo digital. Utilizando de forma reversa os algoritmos de chaves pblicas como o RSA possvel garantir os princpios da autenticidade e do no repdio em um meio no seguro, surge a Assinatura Digital.

2.6 Assinatura digital

A assinatura digital um mtodo similar a assinatura convencional, ambos os procedimentos visam garantir que o instrumento assinado possa garantir o acordo formal entre as partes diante da legislao vigente. Em meio digital, a tcnica tambm pode vir a garantir, de forma inegvel, a origem de uma mensagem ou pacote de dados. Sendo assim, a Assinatura Digital deve ter as seguintes propriedades:

- Autenticidade: o receptor deve possuir meios de confirmar que a assinatura pertence ao emissor; - Integridade: qualquer alterao no documento assinado ir invalid-lo; - No repdio: o emissor no pode negar a autoria da mensagem.

Os mtodos de criptografia de chave pblica podem ser utilizados para garantir que a mensagem enviada, ou o contrato a ser estabelecido, seja autntico e o no possa ser negada a autoria pelo assinante. A integridade garantida com o uso de uma tcnica auxiliar: o hash. Com essas trs propriedades garantidas criaram-se os subsdios necessrios para o surgimento do que se entende hoje por Comrcio Eletrnico. Com a segurana empregada pela Assinatura Digital e sua validao jurdica por meio da Medida Provisria 2.200 de 24 de agosto de 2001 o comercio eletrnico

25

encontrou as condies ideais para se tornar o que hoje. Diversos sites de comrcio eletrnico como Americanas.com, Livraria Saraiva e outras, utilizam certificados digitais em suas pginas com objetivo de garantir sua autenticidade e trazer maior segurana aos seus clientes. As figuras 1 e 2 mostram o uso de Certificados Digitais pela Livraria Saraiva e Americanas.com em suas pginas de comrcio eletrnico:

Figura 1 Pgina com informaes sobre o uso de Certificado Digital pela Livraria Saraiva. Fonte: LivrariaSaraiva.com (2012)

26

Figura 2 Pgina com informaes sobre o uso de Certificado Digital pela Americanas.com. Fonte: Americanas.com (2012)

Em outro exemplo na figura 3, o Banco do Brasil, maior instituio financeira da Amrica Latina, permite que seus clientes utilizem certificados digitais no processo de autenticao em sua pgina de autoatendimento web.

Figura 3 Pgina com informaes sobre o uso de Certificado Digital pelo Banco do Brasil. Fonte: BB.com (2012)

27

No h dvidas de que a tecnologia da Assinatura Digital fundamental para qualquer empresa que queira dar agilidade a seus negcios sem perder a segurana.

2.7 HASH: o segredo da assinatura digital

O algoritmo de chaves pblicas pode garantir a autenticidade e o no repdio de um arquivo digital. Mas isso no garante que o arquivo tambm esteja ntegro: que no tenha sofrido qualquer alterao depois da assinatura. neste momento que surge o detalhe fundamental para o uso da tecnologia de Assinatura Digital: o hash.

O hash uma funo que aceita como entrada uma sequncia de tamanho varivel de smbolos e os converte em uma sequncia de tamanho fixo. A sada da funo chamada de valor hash. O valor hash uma espcie de impresso digital da entrada, de forma que a troca de um bit na entrada deve acarretar a mudana de vrios bits do valor hash, sendo que no se poder determinar corretamente a entrada a partir do valor hash obtido. (RAEL, 2001, p. 10).

O hash nada mais que um algoritmo sem reverso, que converte um nmero aleatrio de caracteres em uma sada teoricamente nica de tamanho fixo. Teoricamente, porque matematicamente possvel que ocorram colises, arquivos diferentes gerarem valores hash iguais, porm a probabilidade muito pequena principalmente se utilizado bons algoritmos com sadas maiores, acima de 256 bits. Essa ferramenta matemtica permite que a Assinatura Digital possa ser utilizada de acordo com a norma vigente: basta que a parte assine com sua chave privada o hash do contrato e o anexe junto ao documento. Autenticidade, no repdio e integridade em um nico arquivo digital.

28

2.8 Legislao aplicada a contrato

Antes de utilizar os contratos digitais em formalizaes de negcios fechados no pas, se faz necessrio um breve estudo da legislao nacional para compreender o conceito de ato jurdico. O devido entendimento da legislao vigente fator predominante para impedir possveis exposies jurdicas desnecessrias empresa. No que se refere a contrato, segundo Brasil (2002) a validade do ato jurdico requer agente capaz, objeto lcito e forma prescrita ou no defesa em lei. Entendese como agente capaz aquele que goza de seus direitos plenamente, ou seja, os que no esto enquadrados nos artigos 5 e 6 do Cdigo Civil Brasileiro: absolutamente incapazes e relativamente incapazes. O objeto, nada mais do que a natureza do acordo que no pode ser contrrio lei, aos bons costumes e nem a ordem pblica, sob pena de tornar-se nulo. Ao fim, a forma trata do texto propriamente dito. Por no ser objeto de estudo deste trabalho no sero abordados os diversos tipos de contratos tipificados pela legislao vigente. Pela natureza negocial do processo de financiamento de bens mveis, a Cdula de Crdito Bancrio o tipo de contrato mais adequado e utilizado pelo setor financeiro. Ser nesse tipo de contrato que ser demonstrado a usabilidade da assinatura digital.

2.8.1 Cdula de Crdito Bancrio


A Cdula de Crdito Bancrio ttulo de crdito emitido, por pessoa fsica ou jurdica, em favor de instituio financeira ou de entidade a esta equiparada, representando promessa de pagamento em dinheiro, decorrente de operao de crdito, de qualquer modalidade. (BRASIL, 2004).

A definio legal da Cdula de Crdito Bancrio bastante simples e direta no que tange a determinao desse tipo de contrato: um ttulo emitido que representa uma promessa de pagamento. Nela so pactuados os termos cabveis a

29

negociao como taxas, prazos, valores, critrios de atualizao monetria, obrigaes, garantias, etc. Ao contrrio do disposto no Cdigo Civil no que tange os requisitos essenciais de um contrato, a Cdula de Crdito Bancrio possui uma peculiaridade disposta no artigo 29 da Lei 10.931/04, essa natureza de contrato exige apenas a assinatura do emitente.
As cdulas representam um caso a parte nos instrumentos de contrato previstos no Direito Brasileiro. Apesar de no ser assinada pelo financiador/credor, ela o obriga a emprestar o dinheiro, naquelas exatas condies de valor, prazo e juros, e s o desvincular se ele puder provar a falsidade do ttulo. Jamais houve justificativa por parte das autoridades legislativas brasileiras, da razo pela qual sistematicamente dispensam a assinatura do credor nas cdulas. Mas a lei no precisa se justificar, especialmente frente aos seus aplicadores. (REGISTRAL, 2011)

Fica evidente, portanto, que a Cdula de Crdito Bancrio no um contrato financeiro de natureza falaciosa ou sem validade legal. A assinatura do tomador e dos coobrigados nos casos especficos so as nicas exigidas pela legislao regulatria dessa natureza de formalizao de atos jurdicos.

2.8.2 Contrato Eletrnico

Utilizando do conceito anterior de contrato que o define como a forma de um ato jurdico, subtende-se que contrato eletrnico todo e qualquer ato jurdico realizado em meio digital onde as partes firmam um acordo entre si. Um contrato eletrnico necessita dos mesmos requisitos de um contrato comum, ou seja, o agente lcito somado ao objeto e a forma. De acordo com o Cdigo Civil, no artigo 107 A validade da declarao de vontade no depender de forma especial, seno quando a lei expressamente a exigir. Sendo assim, no h qualquer regulamentao acerca da forma dos contratos digitais.

30

[...] no existe qualquer vedao legal consumao de um contrato pelos meios eletrnicos, de forma que, no exigindo o objeto da contratao forma prescrita em lei, ser ele perfeitamente admissvel como contrato vlido e eficaz, apto a produzir os efeitos visados pelas partes contratantes. (SILVA, 1999)

Sendo assim, evidencia-se a validade jurdica de contratos eletrnicos em atos jurdicos firmados em meios lgicos, mas ainda resta a necessidade de se compreender o funcionamento das assinaturas digitais nessa espcie de contrato, bem como a estrutura nacional adotada neste segmento.

2.8.3 2.200/2001 e o ICP-BRASIL

A seleo destes documentos de acordo com a legislao em vigor e a Politica de Segurana adotada imprescindvel na fase inicial de implementao da Assinatura Digital na empresa, pois evita exposies jurdicas desnecessrias. A medida provisria n 2.200, de 24 de agosto de 2001, em anexo, j garante validade legal a qualquer documento digital certificado pela ICP Brasil. Uma ICP - Infraestrutura de Chaves Pblicas uma entidade que tem por objetivo intermediar uma transao entre duas ou mais partes que utilizam certificados digitais. Estabelecendo padres tcnicos, regulamentos e autoridades: a ICP d o suporte a todo o sistema criptogrfico baseado em certificados digitais, assegurando as transaes comerciais entre as partes (titulares dos certificados digitais) utilizando do princpio da terceira parte confivel. No Brasil, a ICP segue a seguinte estrutura de acordo com descrio do ITI Instituto Nacional de Tecnologia da Informao:

ITI - Instituto Nacional de Tecnologia da Informao uma autarquia federal vinculada Casa Civil da Presidncia da Repblica, cujo objetivo manter a Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), sendo a primeira autoridade da cadeia de certificao AC Raiz. (INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO, 2012).

31

a) AC Raiz
A AC-Raiz tambm est encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro e demais prestadores de servio habilitados na ICPBrasil. Alm disso, verifica se as Autoridades Certificadoras - ACs esto atuando em conformidade pelo Comit com as diretrizes e normas tcnicas DE

estabelecidas

Gestor.

(INSTITUTO

NACIONAL

TECNOLOGIA DA INFORMAO, 2012).

b) AC - Autoridade Certificadora
Uma Autoridade Certificadora uma entidade, pblica ou privada, subordinada hierarquia da ICP-Brasil, responsvel por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Desempenha como funo essencial a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde chave pblica que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declarao da identidade do titular, que possui um par nico de chaves (pblico-privada). Cabe tambm AC emitir listas de certificados revogados - LCR e manter registros de suas operaes sempre obedecendo s prticas definidas na Declarao de Prticas de Certificao - DPC. Alm de estabelecer e fazer cumprir, pelas Autoridades Registradoras a ela vinculadas, as polticas de segurana necessrias para garantir a autenticidade da identificao feita. (INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO, 2012).

Hoje existem 11 AC de 1 nvel: SERPRO - Servio Federal de Processamento de Dados; Caixa Econmica Federal; Serasa Experian; Receita Federal do Brasil; Certsign; Imprensa Oficial do Estado de So Paulo; AC-JUS; AC PR; Casa da moeda do Brasil; Valid Certificadora Digital e a Soluti Certificao Digital.

32

c) AR - Autoridade de Registro

Entidade responsvel pela interface entre o usurio e a Autoridade Certificadora. Vinculada a uma AC que tem por objetivo o recebimento, validao, encaminhamento de solicitaes de emisso ou revogao de certificados digitais s AC e identificao, de forma presencial, de seus solicitantes. responsabilidade da AR manter registros de suas operaes. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota. Para assegurar que uma determinada chave pertence a voc necessrio que uma Autoridade Certificadora (AC) confira sua identidade e seus respectivos dados. Ela ser a entidade responsvel pela emisso, suspenso, renovao ou revogao de seu certificado digital, alm de ser obrigada a manter sempre disponvel a Lista de Certificados Revogados (CRL). (INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO, 2012).

Abaixo, a figura 4 na prxima pgina mostra a cadeia completa com todas as Autoridades Certificadoras vigentes onde discriminada uma estrutura parcial da ICP-Brasil.

33

Figura 4 Cadeia de Autoridades Certificadoras da ICP-Brasil.

34

O Certificado Digital nada mais que um par de chaves (pblica e privada) distribudo por uma Autoridade de Registro. A conferncia da titularidade de uma chave ser feita pela Autoridade Certificadora: ela quem deve garantir a identificao do assinante. Em analogia, a Autoridade Certificadora funciona como um cartrio que reconhece a autenticidade de uma assinatura digital. Essa estrutura permite mobilidade ao mesmo tempo em que garante confiabilidade: qualquer pessoa ou empresa pode ter acesso a essa tecnologia por um baixo custo, alm da garantia jurdica deve-se somar a atuao de uma autarquia pblica federal que visa garantir o cumprimento dos padres e normas estabelecidos.

2.8.4 O Certificado digital no padro ICP-BRASIL

O uso da Assinatura Digital j uma realidade, a Infraestrutura de Chaves Pblicas brasileira conta com uma autarquia federal que visa garantir a segurana e a legalidade do uso desta ferramenta no territrio nacional. No obstante, a participao de empresas da iniciativa privada como a Serasa Experian e outras em toda a cadeia garantem a agilidade negocial necessria para a prtica da Assinatura Digital no mercado brasileiro. Atualmente so comercializados oito tipos de certificados digitais para o pblico em geral. Quatro desses so relacionados assinatura digital, enquanto os outros quatro so relacionados a sigilo. Os certificados S1, S2, S3 e S4 so do tipo sigilo, utilizados para cifrar arquivos em geral como base de dados e mensagens. Os tipos A1, A2, A3 e A4 so aplicados em confirmao de identidade na Web, e-mails, transaes on-line, VPN (Virtual Private Network), transaes eletrnicas com cifrao de chaves de sesso e, por fim, o objeto de estudo de caso abordado: assinatura de documentos eletrnicos com verificao da integridade de suas informaes. Alm das duas classes de certificados apresentadas existe tambm uma classificao de segurana aplicada. Essa classificao varia de acordo com as caractersticas da chave criptogrfica utilizada: tamanho, processo de gerao da

35

chave e mdia de armazenamento da chave. Essas caractersticas determinam a classificao do certificado e consequentemente seu prazo de validade:

- Tipo A1 e S1 Gerao do par de chaves: por Software; Armazenamento da Chave Privada: Repositrio (Software) protegido por senha;

- Tipo A2 e S2 Gerao do par de chaves: por Software; Armazenamento da Chave Privada: Repositrio (Hardware) protegido por senha;

- Tipo A3 e S3 Gerao do par de chaves: por Hardware; Armazenamento da Chave Privada: Hardware (Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos por senha, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil);

- Tipo A4 e S4 Gerao do par de chaves: por Hardware; Armazenamento da Chave Privada: Hardware (Carto Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos por senha, ou hardware criptogrfico aprovado pelo CG da ICP-Brasil);

Outro fator que influencia no prazo de validade dos certificados a verso da cadeia da qual foi emitido. A cadeia v2 que entrou em vigor em janeiro de 2012, possui tamanho de chave mnimo de 2048 bits e algoritmo de hash SHA 256 bits. Esse padro adotado pela v2 mais seguro que o de sua antecessora: a cadeia v1. Sendo assim, os prazos de validade dos certificados da nova cadeia so maiores dada a maior segurana promovida pelos padres adotados.

36

III ESTUDO DE CASO

3.1 O uso prtico da assinatura digital

No estudo de caso abordado, a transao comercial de financiamento de veculo requer um certificado digital pessoal do cliente para assinatura da cdula de crdito bancrio. Sendo assim, restringe-se o campo de estudo aos certificados do tipo A, optando-se pelo tipo A3. Deve-se ressaltar que os certificados inferiores A1 e A2 tambm podem ser utilizados para a transao, sendo a opo pelo tipo A3 devido apenas ao seu maior prazo de validade e uso de carto inteligente. O cliente, no caso pessoa fsica, dever adquirir um certificado digital do tipo A3 do segmento e-cpf. O custo para adquirir esse tipo de certificado depende da autoridade certificadora que o est emitindo. Em mdia, os certificados A3 em carto inteligente e com validade de um ano custam R$ 150,00; enquanto os certificados de validade de 36 meses possuem o custo de R$ 215,00. Soma-se ainda, a compra da leitora de carto inteligente, com custo mdio de R$ 45,00. No h qualquer necessidade de implementao ou conhecimento tcnico por parte do usurio: existem diversos aplicativos de cdigo aberto no mercado que funcionam como ferramentas prticas para validao e a utilizao dos certificados para assinar documentos digitais. O uso da assinatura digital em contratos financeiros uma soluo genrica apresentada a qualquer empresa no pas, que queira comercializar seus produtos e servios em todo territrio nacional. Para exemplo prtico, utilizou-se como cenrio uma financeira que pretende financiar a compra de um veculo novo para seu cliente localizado em outro Estado. De forma prtica, sugere-se a utilizao da tecnologia de assinatura digital em: nesta transao comercial nos seguintes 5 passos: Passo 1 O cliente ir instalar em seu computador pessoal os certificados e aplicativos disponveis no cd de instalao entregue com o kit do e-cpf. A figura 5, na prxima pgina, mostra a tela inicial para instalao dos aplicativos disponibilizados no CD de instalao do certificado digital emitido pela Autoridade de Registro Banco do Brasil:

37

Figura 5 Tela com passos de instalao do kit e-cpf vendido pelo AR Banco do Brasil S.A, em destaque o boto de Instalar do aplicativo.

Na figura 6, pode-se consultar dados do certificado digital contido no carto e-cpf:

Figura 6 - Dados do certificado digital instalado: destaque para os campos que informam o tamanho da chave RSA (2048 Bits) e do algoritmo de hash embutido (sha256).

38

Em complemento, a figura 7 mostra informaes pessoais do detentor do ecpf:

Figura 7 - Informaes do detentor do e-cpf.

Aps a concluso do passo de instalao, o cliente j est apto a utilizar seu e-cpf na assinatura de contratos digitais conforme passo 2. Passo 2 O cliente aps concluir o negcio junto empresa receber uma cpia digital do contrato conforme figura 8, localizada na prxima pgina. Trata-se uma cpia da Cdula de Crdito Bancrio digitalizada e descaracterizada para no ferir os direitos autorais do Banco emissor. o mesmo padro de contrato utilizado por instituies financeiras no pas em seus contratos de financiamento de veculos.

39

Figura 8 Arquivo digitalizado gerado e descaracterizado a partir de uma Cdula de Crdito Bancrio utilizada por uma instituio financeira.

Nota-se um contrato semelhante a um contrato normal de financiamento: com dados pessoais do cliente e do bem a ser financiado, bem como as condies contratuais pactuadas como taxa, prazo e valores.

Passo 3 - Aps a leitura, o cliente aplica sua chave privada (e-cpf) no contrato por meio do uso de um certificado emitido por uma autoridade de registro a ICPBrasil. O processo de assinatura pode ser efetuado de diversos aplicativos: com objetivo de reduzir os custos de implementao da tecnologia recomenda-se o uso dos programas XSign Corporate (para assinar) e XSign View (para conferir a

40

assinatura). Ambos os aplicativos so freeware e encontram-se disponibilizados no site da autoridade certificadora conforme figura 9:

Figura 9 Pgina inicial do stio da autoridade certificadora XSign. Fonte em: X Sign (2012) www.xsign.com.br

A XSign uma autoridade certificadora da ICP-Brasil que, alm de poder emitir certificados digitais em todos pas, desenvolve tambm aplicaes para o uso desta tecnologia como o XSign View e o XSign Corporate. Ambos os aplicativos foram selecionados para utilizao nesta apresentao devido s fceis interfaces intuitivas, que permitem boa usabilidade por leigos. Alm disso, ressalta-se que estes aplicativos so desenvolvidos por uma autoridade certificadora e distribudos gratuitamente na pgina da empresa. O XSign Corporate um aplicativo para assinatura digital e criptografia. Esta aplicao permite que o certificado digital contido no carto e-cpf possa ser utilizado em um arquivo digital que, neste estudo de caso, o contrato de financiamento. O XSign View um aplicativo de visualizao e validao de arquivos assinados digitalmente. Com suporte arquivos nas extenses DOC e PDF, este aplicativo permitir conferir se a assinatura efetuada no contrato vlida.

41

Obviamente, outros programas podem ser utilizados neste processo de assinatura e validao. A opo por estas duas aplicaes simplesmente devida a fcil usabilidade das funcionalidades necessrias para este estudo de caso. Passo 4 Ao abrir o aplicativo XSign Corporate, o cliente dever selecionar o contrato a ser assinado com uso da funo Assinar, disponvel no menu principal da aplicao conforme ilustrado na figura 10:

Figura 10 Pagina para a seleo do contrato no aplicativo XSign Corporate para aplicar a assinatura digital.

Aps assinar o contrato, o cliente selecionar o diretrio onde ser salvo o arquivo, conforme exposto da figura 11 na prxima pgina:

42

Figura 11 - Confirmao do diretrio de sada do contrato assinado...

Finalmente, aps salvar o arquivo final assinado exibida uma tela de confirmao ilustrada na figura 12:

Figura 12 - Confirmao de sucesso no processo de assinatura digital.

43

Uma vez assinado, o contrato pode ser enviado pelo cliente novamente empresa onde est contratando seu servio de financiamento: ressalta-se que qualquer alterao no arquivo assinado no processo de envio invalida

automaticamente a assinatura digital.

Passo 5 - A empresa valida a assinatura do cliente por meio da cadeia ICPBrasil e compara o hash enviado e assinado com o hash original para comprovar que no houve alteraes no contrato: essas validaes podem ser efetuadas de forma simples por meio do aplicativo XSign View aplicativo freeware disponibilizado pela autoridade certificadora. A empresa dever, por meio deste aplicativo, selecionar o arquivo assinado e enviado pelo cliente para validar a assinatura. Esta validao efetuada utilizando a funo Verificar Assinatura de Outro Arquivo, disponvel no menu arquivo do aplicativo conforme pode ser visto na Figura 13:

Figura 13 - Seleo da opo de verificao de arquivos assinados no Xsign View.

44

Aps a seleo da funo anterior ser aberta a janela para que seja selecionado o arquivo a ser validado, o arquivo dever ser aquele enviado pelo cliente como pode ser observado na Figura 14:

Figura 14 - Seleo do arquivo assinado digitalmente.

Passo 6 - Como resultado tem-se um contrato fechado de forma simples e prtica para o cliente e de acordo com a legislao vigente: segurana comercial para ambas as partes. Na figura 15, na pgina seguinte, possvel visualizar o contrato assinado bem como os dados do assinante no campo destacado:

45

Figura 15 Contrato assinado digitalmente com validade jurdica garantida pela MP 2.200.

No obstante, ressalta-se que qualquer alterao no documento, um nico bit que seja, invalida automaticamente a assinatura digital. A figura 16 mostra a informao de documento invlido pela alterao de contedo.

Figura 16 Tela de erro aps tentar validar um documento assinado aps alterao do contedo.

46

As possibilidades so inmeras, a aplicao da chave e a conferncia da assinatura poderiam ser efetuadas via aplicativo web tambm, dentro da prpria pgina de autoatendimento do cliente. O uso da assinatura digital desta forma pode trazer maior usabilidade e segurana para o cliente: pginas web interativas e uso de criptografia na troca de arquivos. Outra possibilidade o uso da assinatura em dispositivos mveis, tecnologia essa que vem se firmando como nova tendncia no mercado digital. Uma opo complementar seria tambm uso da assinatura digital da empresa antes mesmo do envio do contrato para o cliente. O uso das duas assinaturas (empresa e cliente) abre uma gama de tipos de contratos que poderiam ser firmados com o uso dessa ferramenta, haja vista alguns tipos de contratos exigem a assinatura de ambas as partes. Adicionalmente, o envio do contrato para o cliente j assinado pela empresa garante maior segurana para a transao, pois o cliente ter a certeza de que est assinando um contrato legitimo e no alterado.

47

IV CONCLUSO

O uso da assinatura digital no processo negocial demonstrou maior agilidade na formalizao dos contratos e por consequncia menor tempo de resposta s demandas burocrticas, trazendo maior segurana e agilidade no fechamento dos negcios em um mercado cada vez mais competitivo. Alm disso, soma-se a garantia legal e tcnica da assinatura digital por meio do uso dos certificados emitidos pela ICP-Brasil, que no pas possui uma estrutura governamental aliada a agentes privados: esta estrutura garante a padronizao das tecnologias utilizadas bem como sua constante renovao. A renovao da ICP-Brasil pde ser observada na constante evoluo de suas tecnologias: a cadeia verso 2 de certificados, disponvel desde janeiro de 2012, permite o uso de tecnologias mais seguras do que a verso anterior, com funes hash de tamanho mnimo de 256 bits e chaves criptogrficas de tamanho mnimo de 2048 bits. Essa constante dinmica na substituio de tecnologias obsoletas na cadeia da ICP-Brasil garante prazos de segurana cada vez maiores para os certificados. Outro ponto importante observado no uso da cadeia de certificados da ICPBrasil a facilidade no acesso e uso da tecnologia por todos, pois no h qualquer necessidade de conhecimento tcnico do usurio, sendo necessrio apenas que o mesmo esteja familiarizado com os aplicativos para uso das chaves. Quanto s empresas, existem inmeros aplicativos de cdigo aberto no mercado, que permitem que empresas possam conferir seus arquivos digitais sem custos demasiados em seus processos operacionais. Em complemento, ressalta-se a maleabilidade que a tecnologia permite em seu uso, pois com a devida adequao os certificados digitais emitidos pela ICPBrasil podem ser utilizados em outras espcies de contrato, alm dos contratos de adeso e cdulas de crdito bancrio. A aplicao da assinatura da empresa em conjunto ao do cliente permite que outros contratos possam ser celebrados por meio dessa tecnologia. Enfim, seja qual for a forma escolhida a tecnologia de assinatura digital a ferramenta mais segura e prtica a ser utilizada por qualquer empresa no crescente Comrcio Eletrnico.

48

V REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao. Rio de Janeiro: ABNT, 2005.

AVEDON, Don M. GED de A a Z: tudo sobre gerenciamento eletrnico de documentos. So Paulo: CENADEM, 1999. 200 p.

BRASIL. Lei 10.406, de 10 de janeiro de 2002. Institui o Cdigo Civil. (somente os artigos 1 a 232). Publicada no DOU de 11 de janeiro de 2002. Disponvel em: <http://www. planalto.gov.br> Acesso em 19 dez. 2012.

BRASIL. Lei 10.931, de 02 de agosto de 2004. Dispe sobre o patrimnio de afetao de incorporaes imobilirias e Letras de Crdito. Publicada no DOU de 03 de agosto de 2004. Disponvel em: <http://www. planalto.gov.br> Acesso em 19 dez. 2012.

CARVALHO, D. B. Segurana de dados com criptografia. 2. ed. Rio de Janeiro RJ: Book Express, 2001. 218 p.

CONARQ. Recomendaes para a digitalizao de documentos arquivsticos permanentes. abr. 2010. Disponvel em: <http://www.conarq.arquivonacional.gov.br/media/publicacoes/recomenda/recomend aes_para_digitalizao.pdf.> Acesso em 19 jun. 2012.

DIAS, Danilo. Modelo para representao eletrnica de cheques. Braslia, fev. 2006. Disponvel em: <www.image.unb.br/queiroz/papers/tese_danilo_cheques.pdf>. Acesso em 24 jul. 2012.

FERREIRA, Fernando Nicolau Freitas. Segurana da Informao. Rio de Janeiro: Cincia Moderna, 2003. 162 p.

49

GONZALES, Rafael C.; WOODS, Richard E. Processamento de imagens digitais. So Paulo: Edgard Blucher, 200. 528 p.

INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAO. ICP-Brasil. Disponvel em: < http://www.iti.gov.br/index.php/icp-brasil/>. Acesso em 7 set. 2012.

LYMAN Peter; VARIAN Hal R. How much information? Disponvel em: <http://www.sims.berkeley.edu/how-much-info-2003/execsum.html>. Acesso em 11 nov. 2012.

MARTINS, Nelson. A imagem digital na editorao: manipulao, converso e fechamento de arquivos. Rio de Janeiro: Senac Nacional, 2003. 144 p.

MARQUES FILHO, Og; VIEIRA NETO, Hugo. Processamento Digital de Imagens. Rio de Janeiro: Brasport, 1999.

RAEL, Joacil Basilio. Tratamento da Informao: integridade de informaes em meios eletrnicos. 2001. 233f. Tese (Doutorado em Departamento de Cincias da Informao e Documentao) Universidade de Brasilia, Brasilia, 2001.

COLGIO REGISTRAL DO RIO GRANDE DO SUL. Perguntas e respostas. Porto Alegre. Disponvel em: <http://www.colegioregistralrs.org.br/associado_perguntaeresposta_resposta.asp?co dArea=5&codPerg=1310>. Acesso em 20 dez. 2012.

SEMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva. Rio de Janeiro: Campus, 2002. 184 p.

SILVA, Rosana Ribeiro da. Contratos eletrnicos. Jus Navigandi, Teresina, v. 4, n. 31, maio 1999 . Disponvel em: <http://jus.com.br/revista/texto/1794>. Acesso em: 20 dez. 2012.

50

VICKI, Vov. RSA Algorithm. Disponvel em: <http://pajhome.org.uk/crypt/rsa/rsa.html>. Acesso em 10 out. 2012.

XSIGN. Solues em certificados digitais. Disponvel em: <http://www.xsign.com.br/browsers.asp>. Acesso em 05 nov. 2012.

51

ANEXO I - MEDIDA PROVISRIA N 2.200-2, DE 24 DE AGOSTO DE 2001.

Presidncia da Repblica Casa Civil Subchefia para Assuntos Jurdicos

Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 62 da Constituio, adota a seguinte Medida Provisria, com fora de lei: Art. 1 Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICPBrasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Art. 2 A ICP-Brasil, cuja organizao ser definida em regulamento, ser composta por uma autoridade gestora de polticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. Art. 3 A funo de autoridade gestora de polticas ser exercida pelo Comit Gestor da ICP-Brasil, vinculado Casa Civil da Presidncia da Repblica e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da Repblica, e um representante de cada um dos seguintes rgos, indicados por seus titulares:

I - Ministrio da Justia; II - Ministrio da Fazenda; III - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; IV - Ministrio do Planejamento, Oramento e Gesto; V - Ministrio da Cincia e Tecnologia; VI - Casa Civil da Presidncia da Repblica; e VII - Gabinete de Segurana Institucional da Presidncia da Repblica.

52

1 A coordenao do Comit Gestor da ICP-Brasil ser exercida pelo representante da Casa Civil da Presidncia da Repblica. 2 Os representantes da sociedade civil sero designados para perodos de dois anos, permitida a reconduo. 3 A participao no Comit Gestor da ICP-Brasil de relevante interesse pblico e no ser remunerada. 4 O Comit Gestor da ICP-Brasil ter uma Secretaria-Executiva, na forma do regulamento. Art. 4 Compete ao Comit Gestor da ICP-Brasil: I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICP-Brasil; II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC, das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao; III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio; V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e definir nveis da cadeia de certificao; VI - aprovar polticas de certificados, prticas de certificao e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de certificao bilateral, de certificao cruzada, regras de

interoperabilidade e outras formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana.

53

Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz.

Art. 5 AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final. Art. 6 s AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. Art. 7 s AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes. Art. 8 Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. Art. 9 vedado a qualquer AC certificar nvel diverso do imediatamente subsequente ao seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados pelo Comit Gestor da ICP-Brasil. Art. 10. Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. 1 As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-

54

Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Cdigo Civil. 2 O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Art. 11. A utilizao de documento eletrnico para fins tributrios atender, ainda, ao disposto no art. 100 da Lei no 5.172, de 25 de outubro de 1966 - Cdigo Tributrio Nacional. Art. 12. Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no Distrito Federal. Art. 13. O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. Art. 14. No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao, podendo ainda aplicar sanes e penalidades, na forma da lei. Art. 15. Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma Procuradoria-Geral. Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na cidade de Campinas, no Estado de So Paulo. Art. 16. Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar servios de terceiros. 1 O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na Diretoria de Infra-Estrutura de Chaves Pblicas, por perodo no superior a um ano, servidores, civis ou militares, e empregados de rgos e entidades integrantes da Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem exercidas. 2 Aos requisitados nos termos deste artigo sero assegurados todos os direitos e vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto, graduao ou emprego que ocupe no rgo ou na entidade de origem.

55

Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI:

I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de Tecnologia da Informao do Ministrio da Cincia e Tecnologia; II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa por categoria de programao em seu menor nvel, observado o disposto no 2 do art. 3 da Lei no 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e identificadores de uso. Art. 18. Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado em juzo pela Advocacia Geral da Unio. Art. 19. Ficam convalidados os atos praticados com base na Medida Provisria no 2.200-1, de 27 de julho de 2001. Art. 20. Esta Medida Provisria entra em vigor na data de sua publicao.

Braslia, 24 de agosto de 2001; 180 da Independncia e 113 da Repblica.

FERNANDO HENRIQUE CARDOSO Jos Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente

Este texto no substitui o publicado no D.O.U. de 27.8.2001