O que Assinatura Digital

Assinaturas Digitais A assinatura digital uma tecnologia que permite dar garantia de integridade e autenticidade a arquivos eletrnicos. um conjunto de operaes criptogrficas aplicadas a um determinado arquivo, tendo como resultado o que se convencionou chamar de assinatura digital. A assinatura digital permite comprovar (a) que a mensagem ou arquivo no foi alterado e (b) que foi assinado pela entidade ou pessoa que possui a chave criptogrfica (chave privada) utilizada na assinatura. O Certificado digital um documento digital, que comprova que uma chave privada pertence a determinada pessoa. Numa assinatura digital utiliza-se o certificado digital e a chave privada correspondente. O certificado digital um documento eletrnico assinado digitalmente, contendo a identificao de uma pessoa, sua chave pblica (utilizada na verificao da validade da assinatura ) e assinado digitalmente por uma Autoridade Certificadora. Abaixo descrevemos a operao de assinatura/ verificao de assinatura ditgital, que feita automaticamente por um software ou aplicao de assinatura/verificao digital. A tecnologia de assinatura digital baseada num par de chaves criptogrficas: a primeira, chamada pblica, distribuida livremente dentro do certificado, para permitir a validao das assinaturas a segunda, chamada privada, guardada pelo seu proprietrio tambm chamado titular do certificado, a que se utiliza para assinar os documentos.

Descrio do processo de assinatura digital Para assinar digitalmente um arquivo, aplica-se inicialmente uma funo matemtica a esse arquivo, obtendo-se um resumo criptogrfico (hash) desse arquivo. A funo matemtica utilizada chamada funo hash. A aplicao da funo hash garante a integridade de um documento na medida em que qualquer alterao no contedo desse documento altera o resultado da funo hash aplicada sobre o mesmo. A funo hash realiza o mapeame fixo, menor. O resultado chamado de hash do arquivo. Os algoritmos da funo hash foram desenvolvidos de tal forma que seja muito difcil encontrar duas mensagens

produzindo o mesmo resultado hash (resistncia coliso) e, que a partir do hash seja impossvel reproduzir a sequencia que o originou. O signatrio de um documento ao aplicar a funo hash est gerando uma espcie de impresso digital do contedo do documento. Perminindo verificar sua integridade. O hash ento criptografado com a chave privada do signatrio. Ao criptografar o hash com sua chave privada o signatrio estar juntando a sua prpria impresso digital, isto , ele gerou o hash para garantir a integridade do docuemtno e o critpgrafa com a chave privada, para gar\ntir a autoria, ou autenticidade do docuemtno. Nesse momento o "pacote" composto de : original + assinatura digital (hash criptografado). Para completar o "pacote", finalmente, o certificado digital do signatrio agregado. Agregar o certificado ao pacote, "autentica a assinatura", uma vez que o certificado permite verificar a identidade do signatrio. O certificado permite a imediata verificao da assinatura digital. Primeiramente analisamos o certificado para verificar a identidade do autor da assinatura. ( lembrando que o certificado digital assinado por uma AUTORIDADE CERTIFICADORA, que identificou o titular do certificado) Utilizamos a chave pblica que ele contm para descriptografar o hash, que havia sido criptografado com a chave privada do signatrio. Se for possvel realizar essa operao est comprovada a autenticidade (autoria) do arquivo. Assim, um arquivo assinado digitalmente geralmente compe-se de:

original, Assinatura Digital (Hash criptografado), e, o certificado do signatrio.

Criptografia de Chaves Publicas - A criptografia de chave pblica ou assimtrica permite verificar a autoria de um documento assinado digitalmente, uma vez que s possvel decifrar as informaes, cifradas com determinada chave privada, utilizandose a chave pblica correspondente. Os pares de chaves so nicos. A chave privada de posse e responsabilidade exclusiva de seu proprietrio. Os certificados digitais so documentos digitais que certificam a posse de um determinado par de chaves por um indivduo ou instituio. O receptor do pacote, inicialmente desempacota o certificado e utiliza as funes de PKI para fazer a verificao da validade do certificado e da cadeia de certificao. Validado o certificado, extrai-se a chave publica do mesmo e aplica-se assinatura.

S ser possvel descriptografar a assinatura, se a chave publica for correspondente chave privada usada para a assinatura. Uma vez que a operao criptogrfica se concretize estar estabelecida a autoria da assinatura e obtm-se o hash do documento. Em seguida, aplica-se a funo hash ao original e compara-se com o hash assinado. Desta forma-se estabelece-se a integridade do documento. Toda operao descrita acima feita automaticamente e de forma e transparente para o usurio, pelos software de assinatura digital (que tambm fazem a verificao), os quais emitem avisos caso ocorra falha na validao do documento ou do certificado. O poprio certificado digital um arquivo assiando digitalmente, por uma Autoridade Certificadora, que denominada como o 3 de confiana, isto um elemento externo em quem os envolvidos no processo ( signatrio e destinatrio da mensagem ou arquivo) confiam. No repdio e validade legal O no-repdio determinado pela relao do titular de um certificado e a autoridade certificadora, responsvel por garantir: a) a identidade do titular do certificado, b) que o mesmo gerou seu prprio par de chaves, c) que o titular do certificado se comprometeu pela sua segurana e inviolabilidade de sua chave privada. A ICP-Brasil No Brasil, com a criao da ICP-Brasil e da MP 2200-2/2001 foi estabelecida a validade legal de documentos assinados digitalmente, utilizando-se certificados digitais emitidos dentro da cadeia de certificao da ICP-Brasil. A ICP-Brasil fiscaliza e audita o processo de emisso de certificados digitais das autoridades certificadoras integrantes a fim de garantir total confiabilidade do processo de certificao. Desta forma d respaldo presuno legal de integridade, autenticidade e no-repdio dos arquivos assinados digitalmente.

A AC-JUS e sua cadeia de certificao AC-JUS foi criada com intuito de criar regras especficas tanto para emisso como para o leiaute interno dos certificados (informaes que estes contm). A AC-JUS a exemplo da AC-RAIZ e AC-SRF, no emite certificados para usurios finais. Credencia ACs, chamadas subseqentes, para que, seguindo as regras especficas da AC-JUS faa a emisso dos certificados aos usurios finais. Os certificados emitidos na cadeia de certificao da AC-JUS recebem a marca CertJUS. Os certificados Cert-JUS so de uso exclusivo de servidores pblicos, e ao utilizlos o titular estar se indentificando como servidor de determinada instituio pblica. O Cert-JUS Institucional de uso exclusivo de servidores do poder judicirio, O Cert-

JUS Poder Publico para utilizao dos servidores de rgos externos ao poder judicirio. O Cert-JUS Equipamento Servidor destina-se a aplicaes e equipamentos servidores de rgos pblicos, e o Cert-JUS Cdigo Seguro destina-se a assinatura de cdigo fonte de programas.