quarta-feira, 1 de julho de 2009

Assinatura e Certificação Digital e Aspectos Legais das Assinaturas

Aspectos Legais das Assinaturas
No Brasil a assinatura é considerada apenas uma identificação que possui alguns efeitos juridicamente falando, como está disposto nos artigos 21 e 22 do Código Comercial. Nos artigos 131 a 135 do Código Civil, a assinatura apenas presume a veracidade das declarações ou servem para provar um valor, porém não há nada disposto nos artigos em caso da ausência da assinatura.No Brasil, o importante é a vontade,ou seja, a declaração de vontade expressamente manifestada, demonstrada por qualquer meio permitido legalmente, e seus efeitos.Neste ponto podemos atentar para os artigos 129, 136, 1289 e 1290, todos do Código Civil. A assinatura simplesmente é uma das formas de declaração.

As leis sobre assinaturas eletrônicas têm como objetivo a validade jurídica de documentos eletrônicos que são criadas e arquivadas eletronicamente. Porém, o que podem ser caracterizados como documentos eletrônicos e qual a diferença entre assinatura eletrônica e assinatura digital?
O que são e para que servem as assinaturas
Documentos em geral, para serem legalmente válidos, precisam depender de confiança e credibilidade, e dependem de três características: a integridade, a genuinidade e a segurança. Para que seja autêntico, o documento não pode sofrer alterações, seja por erros humanos (involuntários ou intencionais), falhas técnicas, fatores externos ou fraudes, e precisa ser seguro. Um documento é seguro quando é difícil de altera-lo. Essas características visam manter o documento autêntico, íntegro e confidencial.
As assinaturas eletrônicas servem para dar essas qualidades aos documentos eletrônicos. As suas principais funções são a identificação da pessoa assinando, a indicação da intenção da pessoa assinando e a prova da integridade e autenticidade do documento evitando alterações unilaterais. Com o crescimento da utilização de transações por meios eletrônicos (via Internet), a necessidade em identificar a pessoa assinando e manter a integridade, autenticidade e confidencialidade dos documentos eletrônicos tornou-se necessário e essencial para permitir o funcionamento de transações comerciais no ciberespaço
Assinatura Eletrônica
Assinatura eletrônica é um termo genérico, tecnológico referindo-se a todos os métodos utilizados para "assinar" (autenticar) um documento eletrônico. "São dados sob forma eletrônicos. Ligados ou logicamente associados a outros dados eletrônicos, e que seja utilizados como método de autenticação". A seguir listamos alguns exemplos de assinaturas eletrônicas:

Nome digitado no fim de uma mensagem enviada por e-mail.
Um código de acesso constituído de forma alfanumérica, ou um código numérico que constitui um número pessoal de identificação – "PIN";
A imagem digitalizada da assinatura que é constituída pela reprodução da assinatura do autor, memorizada como imagem por um scanner e depois colocada como cópia em cada documento que se deseje assinar.
Assinatura Digital
Assinatura Digital é um termo utilizado para designar um tipo específico de assinatura eletrônica. Consiste na utilização da chave criptográfica pública para assinar uma mensagem. A criptografia com chave privada baseia-se num sistema criptográfico simétrico e funciona a partir de uma mesma chave detida pelo emissor e receptor da mensagem, servindo para codificar e decodificar a mensagem enviada. A criptografia com chave pública baseia-se num sistema criptográfico assimétrico, que utiliza uma chave pública e uma chave privada, a primeira decodifica as mensagens encriptadas com a segunda.
Criptografia
A palavra Criptografia tem sua origem no Grego: kryptos significa oculto, envolto, escondido, secreto; graphos significa escrever, grafar. Portanto, criptografia significa escrita secreta ou escrita oculta. As formas de ocultar mensagens são as mais diversas.Criptografia é o ato de codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc.
O método de criptografia mais difundido utiliza a técnica de chave pública/chave privada. A criptografia é uma fórmula matemática, fórmula essa que gera duas chaves, uma pública e outra privada (ou secreta). A chave pública, que qualquer pessoa pode saber, é usada para criptografar os dados. Já a chave privada, que só o destinatário dos dados conhece, é usada para descriptografar os dados, ou seja, "abrir" os dados que ficaram aparentemente sem sentido. O interessante dessa jogada é que a partir da chave pública é impossível descriptografar os dados nem tampouco deduzir qual é a chave privada.
A criptografia fica ainda mais forte se unirmos o hardware do PC como parte da criptografia. O smart card pode ser usado para armazenar o seu certificado digital, que contém a sua chave privada. O interessante do smart card é que não há como ler a chave privada armazenada nele. O chip do cartão é que faz o processo de descriptografar os dados, fazendo com que o sistema não tenha acesso à sua chave privada. Ou seja, se você usar um sistema de criptografia baseado no smart card, torna-se praticamente impossível você descriptografar os dados sem ter o cartão fisicamente inserido no dispositivo leitor conectado ao micro.
Como Funciona a Criptografia
Um algoritmo de criptografia é uma função matemática usada no processo de encriptação e de desencriptação. Um algoritmo de criptografia trabalha em conjunto com uma chave (uma palavra, numero, ou frase) para encriptar os dados. Os mesmos dados podem gerar diferentes dados encriptados usando chaves diferentes, ou seja, se mudarmos a chave, para um mesmo conjunto de dados geramos dados encriptados diferentes. A segurança de dados encriptados é completamente dependente em duas coisas: a força do algoritmo de criptografia e o segredo da chave.
Documento em Papel X Documento eletrônico
A semelhança da assinatura digital e da assinatura manuscrita restringe-se ao princípio de atribuição de autoria a um documento. Na manuscrita, as assinaturas seguem um padrão, sendo semelhantes entre si e possuindo características pessoais e biométricas de cada indivíduo. Ela é feita sobre algo tangível, o papel, responsável pela vinculação da informação impressa à assinatura. A veracidade da assinatura manuscrita é feita por uma comparação visual a uma assinatura verdadeira tal como aquela do documento de identidade oficial.

ASSINATURA MANUSCRITA
Nos documentos eletrônicos não existe um modo simples para relacionar o documento com a assinatura. Ambos são compostos apenas pela representação eletrônica de dados, ou seja, por uma seqüência de bits (0s e 1s), que necessitam de um computador para a sua visualização e conferência. Na assinatura digital, a assinatura gerada é diferente para cada documento, pois está relacionada ao resumo do documento.

ASSINATURA DIGITAL:
Apesar das diferenças, a técnica de assinatura digital é uma forma eficaz de garantir autoria de documentos eletrônicos. Em agosto de 2001, a Medida Provisória 2.200 garantiu a validade jurídica de documentos eletrônicos e a utilização de certificados digitais para atribuir autenticidade e integridade aos documentos. Este fato tornou a assinatura digital um instrumento válido juridicamente. O texto acima demonstra que o provimento de autenticação em documentos eletrônicos é viável tecnicamente, mas ainda restam duas questões fundamentais: como conseguir as chaves públicas? Como garantir a identidade do proprietário do par de chaves? A resposta a ambas as questões é o certificado digital.
Exemplo de Assinatura Digital:

Certificado Digital
A Origem do Certificado Digital
Diffie e Hellman, num inspirador artigo sobre criptografia de chave pública, indicaram o problema do estabelecimento da autenticidade do par nome-chave. A sugestão dada por eles foi o emprego de repositórios online seguros com entradas mapeando o par citado. Louren M. Kohnfelder, que compartilhava da mesma idéia, menciona em sua tese o mesmo problema.
Em 1978 ela propôs, para solucionar uma questão de performance detectada por Diffie e Hellman na validação das associações, a criação de uma estrutura de dados assinada contendo uma identificação e a chave pública e a esta estrutura chamou de certificado digital, atualmente referenciados como certificados digitais de chave pública ou no original Public Key Certificate (PKC). Por ser a estrutura assinada, ela poderia ser passada por entidades não confiáveis resolvendo também um outro problema anterior, o da centralização da distribuição dos certificados. Na proposta da Kohnfelder, poucas informações foram dadas sobre como a seria a estrutura destes certificados e muito menos como seria o seu ciclo de vida, pontos de grande importância hoje.
Essa idéia permaneceu por um bom tempo adormecida até que para resolver um outro problema, o de disponibilizarão de informações estruturadas em larga escala, o ITU-T despertou a idéia dos certificados digitais.
Definição:
Com um sistema de chave pública, o gerenciamento de chaves passa a ter dois novos aspectos:
Deve-se previamente localizar a chave pública de qualquer pessoa com quem se deseja comunicar;
Deve-se obter uma garantia de que a chave pública encontrada seja proveniente daquele Usuário B.
Sem esta garantia, um intruso pode convencer os interlocutores (usuários A e B) de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos.
Deste modo, quando um interlocutor (usuário A) enviar uma mensagem ao outro (usuário B) solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com o recebedor (usuário B), fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso. O intruso então pode decifrar todas as mensagens, cifrá-las novamente ou, se preferir, pode até substituí-las por outras mensagens. Através deste ataque, um intruso pode causar tantos danos ou até mais do que causaria se conseguisse quebrar o algoritmo de ciframento empregado pelos interlocutores.
A garantia para evitar este ataque é representada pelos certificados de chave pública. Tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança, geralmente no formato padrão ITU X.509v3. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado do (usuário B) contém algo mais do que sua chave pública: contém informações sobre ele (seu nome, endereço e outras dados pessoais) e é assinado por alguém em quem o usuário A deposita sua confiança: uma autoridade de certificação ou CA (Certification Authority), que funciona como um cartório eletrônico.
Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública.
Pela assinatura da chave pública e das informações sobre usuário B, a CA garante que a informação sobre o usuário B está correta e que a chave pública em questão realmente pertence a ele. O usuário A, por sua vez, confere a assinatura da CA e então utiliza a chave pública em pauta, segura de que esta pertence ao usuário B e a ninguém mais. Certificados desempenham um importante papel em um grande número de protocolos e padrões utilizados na proteção de sistemas de comércio eletrônico
Tipos de Certificados:
Existem diversos tipos de certificados, conforme descrição feita a seguir:Certificados de CA: utilizados para validar outros certificados; são auto-assinados ou assinados por outra CA;Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor;Certificados pessoais: contém nome do portador e, eventualmente, informações como endereço eletrônico, endereço postal, etc;Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas.
Princípios de Utilização:
O Certificado digital é uma chave e não deve estar em domínio de qualquer outra pessoa que não seja o proprietário., nem mesmo a AC (Autoridade Certificadora) que emitiu o certificado tem uma cópia da sua chave privada (que é gerada no computador do proprietário). A partir da chave privada os certificados digitais e suas chaves públicas são gerados. Se alguém obter sua chave privada poderá gerar certificados digitais e passar-se pelo proprietário da chave em alguma transação na rede. Se por acaso ocorrer algum incidente fraudulento, (uma transação bancária, por exemplo) e seu certificado for utilizado para realizar a farsa, em primeira instância o proprietário da chave privada será o principal suspeito.Além de preservar a chave privada e seus certificados, são necessários alguns princípios de segurança para garantir a segurança e confiabilidade dos seus certificados:
As AC’s e as AR’s devem ser confiáveis entre si. Impossibilitando assim a fraude e clonagem de certificados digitais. Por esse motivo, as AC’s devem restringir o número de AR’s parceiras apenas às entidades de sua confiança. É sempre bom informar-se sobre a relação da organização com a AC e principalmente sobre o processo de obtenção e geração da chave privada e os certificados emitidos;
Caso haja suspeitas de roubo, clonagem ou adulteração de informações em algum processo que envolva o seu certificado digital, é importante que se faça o pedido de revogação IMEDIATAMENTE! É a única maneira de contestar algum fato ou transação realizada por algum usuário mal intencionado;
Nunca deixe a chave privada em locais de acesso público (cd-rom, disquetes, diretórios compartilhados, diretórios no servidor de backup da sua empresa, etc). Caso haja necessidade de uma cópia em disquete ou cd-rom, esconda-os em um local seguro e de difícil acesso.
Serviços dos Certificados Digitais:
Garantia de sigilo e privacidade na web:
Ao visitar um site que esta em um servidor WWW que implementa a certificação Digital, o nosso computador recebe o certificado contendo a chave pública do site que será utilizado, para transmitir informações criptografadas entre as duas partes.
Controle de acesso:
Um servidor de aplicações pode solicitar um certificado digital do cliente, evitando o controle de acesso baseado no método tradicional: usuário e senha.
Garantia de sigilo e privacidade:
O sistema de correio eletrônico utilizado para troca de mensagens através da Internet não possui recursos nativos para impedir a violação da correspondência eletrônica. Com o uso de certificados digitais, podemos selar a correspondência em um "envelope digital criptografado" e certificar-se de que apenas o destinatário será capaz de compreender seu conteúdo.
Como obter um Certificado Digital?
Você pode obter um Certificado Digital através de uma Autoridade Certificadora (AC) confiável.
Afinal, as pessoas precisam confiar nela, para que você consiga comprovar sua identidade. Por exemplo, a maioria das pessoas e companhias confiam em uma carteira de identidade, pois confiam na maneira como o governo emite esse documento. Por outro lado, uma caderneta escolar, normalmente, só é aceita como comprovação de identidade na escola que a emitiu. O mesmo acontece com os Certificados Digitais. É preciso que seu Certificado Digital venha de uma AC que desfrute da confiança das principais companhias que trabalham na Internet.
Professor: Lister de Freitas albernaz


0 comentários:

Postar um comentário

divulque

Blogoteca

Boas matérias

 

NewTechSound

Amazing Counters
Toshiba Satellite Laptops