Sítio do Piropo

B. Piropo

< Coluna em Fórum PCs >
Volte
17/12/2007

< Atributos digitais III: Atributo Digital, afinal... >


Hoje fecharemos esta série discutindo (sem descer a detalhes) a estrutura oficial criada pela Medida Provisória No. 2.200 “para garantir a autenticidade, a integridade e a validade jurídica” de documentos digitalizados e, finalmente, a proposta conjunta da SERASA e Microsoft para agregar a ela modelos de uso dos atributos digitais que discutimos na primeira coluna da série.

Começando do começo, como convém: o objetivo da < http://www.trt02.gov.br/geral/tribunal2/legis/MPV/2200_01.html > Medida Provisória No 2.200 foi criar uma cadeia de autoridades que possam garantir a veracidade de uma assinatura digital e, isto feito, criar e distribuir os Certificados Digitais que associem uma pessoa ou instituição a esta assinatura (de forma muito simplificada, um Certificado Digital é uma espécie de “carteira de identidade” – para os paulistas, “RG” – armazenada em meio eletrônico).

A autoridade situada no topo da cadeia é a “Autoridade Certificadora Raiz”, cuja função primordial é credenciar o conjunto de Autoridades Certificadoras a ela subordinadas expedindo seus certificados digitais. Não esqueça que um certificado digital pode ser emitido tanto para identificar uma pessoa física quanto uma pessoa jurídica, e as autoridades certificadoras são pessoas jurídicas como quaisquer outras, portanto necessitam de seus próprios Certificados Digitais. No caso das AC, seus certificados digitais são obrigatoriamente emitidos pela Autoridade Raiz. É isto que lhes garante a autoridade e confiabilidade para, por sua vez, expedir certificados digitais para os usuários finais.

A Autoridade Certificadora Raiz, ou AC Raiz, é um órgão de natureza executiva e fiscalizadora. Ela apenas executa a política de certificados digitais, expede estes certificados às autoridades certificadoras (AC) que obedecerem a esta política, gerencia a lista de certificados emitidos, revogados e vencidos (certificados digitais têm prazo de validade) e exerce as atividades de fiscalização e auditoria das AC. A AC Raiz não lida diretamente com o usuário final nem estabelece políticas ou normas, apenas as aplica e fiscaliza seu cumprimento, ou seja, não é um órgão normativo.

O órgão normativo, aquele que estabelece a política de certificação, determina as regras de operação da AC Raiz, concebe os critérios e normas técnicas para credenciamento das AC e demais órgãos da estrutura, é o Comitê Gestor da ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira) que acumula as funções de autoridade gestora destas políticas com a fiscalização de seu cumprimento pela AC Raiz. Este Comitê é subordinado diretamente à Casa Civil da Presidência da República e composto por representantes da sociedade civil e órgãos governamentais diretamente envolvidos.

Um nível hierárquico abaixo da AC Raiz estão as demais Autoridades Certificadoras (AC) devidamente credenciadas. São elas que credenciam usuários finais, emitem, expedem, distribuem, revogam e gerenciam os certificados, põem à disposição do público as listas de certificados revogados e mantêm registro de suas operações para que possam exibi-los quando fiscalizadas ou auditadas pela AC Raiz. Mas não identificam ou cadastram os usuários, apenas emitem certificados a usuários devidamente registrados nas suas Autoridades de Registro (AR).

Cada AC mantém um conjunto de AR vinculadas. São estas AR que identificam o usuário final, que deve lá comparecer pessoalmente, identificar-se, cadastrar-se e solicitar que a AR confirme os dados e solicite à AC à qual está vinculada a emissão do Certificado Digital do usuário final.

Parece complicado? Mas não é. Primeiro dê uma olhada na Figura abaixo e depois leia a explicação para ver como é simples.

Figura 1: ICP Brasil.

O Comitê Gestor dita as regras e normas que devem ser seguidas pela AC Raiz. Esta, por sua vez, obedecendo a estas normas, credencia um conjunto de AC (no exemplo, SERASA, SERPRO, CertiSign, IMESP e Caixa Econômica Federal, mas há diversas outras, inclusive governos estaduais e instituições financeiras) que são responsáveis pela emissão dos Certificados Digitais dos usuários finais. Para garantir que não se forneça um certificado à pessoa ou instituição errada, estas AC credenciam suas AR, responsáveis pela identificação (presencial) de quem solicita o certificado.

Se um usuário final deseja um certificado digital, deverá solicitá-lo preenchendo um formulário (e pagando a respectiva taxa, naturalmente) em uma AC, Autoridade Certificadora em que confie, credenciada pela AC Raiz. A relação de confiança é semelhante à que existe, por exemplo, entre o indivíduo que solicita uma carteira de identidade e o órgão que a irá emitir (Secretaria de Segurança de um Estado). Afinal, o Certificado Digital funcionará exatamente como uma carteira de identidade eletrônica.

A taxa varia com o modelo do certificado. Feita a solicitação, o interessado, munido da documentação necessária à sua identificação, terá que comparecer pessoalmente (no caso de pessoas jurídicas exige-se a presença de um representante legal credenciado para este fim) a uma AR, Autoridade de Registro, vinculada à AC escolhida, onde se identificará. Há centenas de ARs espalhadas pelo país. Podem ser Agências dos Correios, das instituições financeiras credenciadas (CEF, Banco do Brasil e outros) ou outros estabelecimentos devidamente vinculados à sua AC.

Isto feito a AR confirmará a identificação do usuário, solicitará à AC à qual está vinculada que emita o Certificado Digital e o fornecerá ao interessado. Um procedimento tão simples quanto, por exemplo, “tirar” uma carteira de identidade.

Mas, afinal, o que é um Certificado Digital? Com que ele se parece? Qual seu aspecto físico?

Bem, um certificado digital é uma identificação eletrônica, ou seja, um documento digitalizado, um arquivo que pode ser gravado em disco. Sendo assim não tem existência física e, portanto, com nada se parece (não confunda o arquivo digitalizado que consiste no certificado digital propriamente dito, que pode, por exemplo, ser enviado pela Internet, com o meio físico que o contém, como um disquete, um cartão inteligente – “smart card” – ou um CD). Mas, sendo um arquivo, pode ser visualizado na tela de um computador desde que se use um programa desenvolvido para tal fim, um “visualizador de certificados”. Veja, na Figura 2, o aspecto de um desses certificados, no caso um mero exemplo já que foi emitido pela AC Raiz para ela mesma.

Figura 2: Visualização do arquivo de um Certificado Digital.

Qual o conteúdo do arquivo que consiste no Certificado Digital? Bem, no mínimo ele deverá conter os seguintes dados:

  • a identificação de seu proprietário;
  • chave pública do proprietário;
  • nome da AC que o emitiu;
  • número de série do certificado;
  • datas de emissão e de validade;
  • assinatura digital da AC que o emitiu.

É esta última assinatura aposta ao Certificado Digital (na Figura 2 representada por dois “hashes” e citando o algoritmo usado para gerá-los, respectivamente SHA1 e MD5) que garante sua validade (ou seja: integridade e autenticidade; lembra da coluna anterior?).

Note que a presença da chave pública no Certificado Digital é essencial (ela não consta da figura mas se algum de vocês desejar verificar com que se parece consulte os comentários do skywalker.to e do Intruder_A6 sobre a coluna anterior, que fizeram a gentileza de incluir suas chaves públicas em seus comentários). Pois, ao fim e ao cabo, a única função do Certificado Digital é associar uma pessoa ou instituição à sua chave pública, permitindo que esta chave identifique a pessoa ou instituição.

Já a chave privada não aparece. Na verdade, não deve aparecer em lugar algum. Ela é fornecida exclusivamente ao proprietário do certificado e não deve ser do conhecimento de ninguém mais. Nem mesmo a AC que forneceu o Certificado Digital guarda uma cópia da chave privada correspondente.

Mas o que o usuário recebe quando seu certificado digital é emitido?

Bem, depende do tipo do certificado.

Os mais comuns são os A1 e A3. O certificado do tipo A1 é um mero arquivo digital que ficará armazenado no computador do proprietário (que, como convém, terá uma cópia de segurança em meio físico). Para usá-lo, por exemplo, para assinar digitalmente um documento, basta anexá-lo ao dito documento. Como ele contém a chave pública, qualquer pessoa que desejar pode se assegurar de sua autenticidade (se não sabe a razão, leia a coluna anterior).

O certificado do tipo A3 é fornecido sob a forma de um cartão inteligente (“smart card”) cujo chip armazena o certificado digital devidamente criptografado. Necessita de uma leitora de cartão, mas é bem mais seguro.

Acha tudo isto muito confuso e acredita que jamais irá usar certificação digital? Pois se engana. Mesmo que você não tenha uma Certificado Digital, provavelmente faz uso freqüente dela e sequer percebe que está fazendo. Por exemplo: toda transação bancária segura feita via Internet se apóia no Certificado Digital do banco para garantir a segurança. Você nem se da conta disto, naturalmente, mas depois que o sítio de seu banco se assegura que o acesso foi feito por você mesmo (conferindo sua senha e identidade de usuário e, eventualmente, outros recursos de segurança como códigos de acesso), envia para seu programa navegador a chave pública do Certificado Digital do banco, que é usada por ambos os computadores para criptografar e decifrar os dados trocados entre as máquinas. Assim, tudo o que seu micro envia pela Internet para o servidor do banco é criptografado com a chave pública do banco que, para efetuar a transação, decifra os dados usando sua (do banco) chave privada.

É claro que para que tudo isto aconteça tanto seu programa navegador quanto o programa usado pelo banco para efetuar as transações devem oferecer suporte para as chamadas “conexões seguras”, já que são estes aplicativos os responsáveis pela troca, criptografia e decifração das informações. Da mesma forma, se você desejar autenticar documentos (por exemplo, contratos de prestação de serviços, de aluguel ou outro tipo qualquer que requeira a garantia de que foi produzido por você) usando a assinatura digital fornecida em seu Certificado Digital, é preciso que as aplicações usadas para gerar o documento (na origem) e para exibi-lo e autenticá-lo (no destino) suportem este tipo de autenticação.

Agora que já sabemos tudo o que precisamos conhecer sobre Certificação Digital para entender o conceito de Atributo Digital, vamos a ele.

Um Certificado de Atributo Digital é um documento eletrônico bastante parecido, do ponto de vista prático, com um Certificado Digital. A diferença é que um Certificado Digital identifica seu dono, enquanto um Certificado de Atributo Digital atribui a ele certa qualidade.

Simplifiquemos com um exemplo prático da vida real.

Cada um de nós tem (ou pelo menos deve ter) um documento com fé pública que nos identifica como sendo nós mesmos. Por exemplo: uma carteira de identidade (ou RG) com foto, assinatura e impressão digital emitida por uma organização oficial que tem atribuição e confiabilidade para tal. Este documento, como vimos, é o correspondente físico do Certificado Digital, que também identifica seu dono através de sua chave pública e que foi emitido por uma AC, devidamente credenciada junto à AC Raiz.

E cada um de nós tem diversos atributos. Por exemplo: eu sou engenheiro formado no longínquo ano de 1963 pela antiga Escola Nacional de Engenharia. E se alguém duvidar disso posso exibir meu diploma expedido por um órgão oficial, a faculdade onde me formei, e registrado em outro, o Ministério da Educação.

Note que o diploma não me identifica. Ele apenas garante que certo indivíduo com meu nome, minha idade e demais características, colou grau em engenharia civil naquele ano. Ou seja, ele atribui a qualidade de “engenheiro civil” àquele indivíduo.

No campo virtual, o equivalente eletrônico do diploma seria um Certificado de Atributo Digital (CAD) que garanta que aquele indivíduo possui o atributo de ser “engenheiro civil”. E que, como não identifica o dono (da mesma forma que o diploma não o faz), deve ser validado através da apresentação de um Certificado Digital. Em uma transação eletrônica, apresentar um Certificado de Atributo Digital (CAD) juntamente com um Certificado Digital (CD) é equivalente, no mundo físico, a apresentar um diploma juntamente com uma carteira de identidade. O diploma (como o CAC) atesta o atributo, enquanto a carteira de identidade (como o CD) identifica seu dono.

Mas quem pode emitir um CAD? Como eles poderiam ser validados em transações eletrônicas?

Bem, para isto seria necessária a criação de uma rede de instituições credenciadas e confiáveis (ou credenciar as instituições confiáveis existentes) especificamente para este fim, padronizar os CAD (determinar seu formato e os dados que deve conter) e vinculá-los aos CD de seus donos. Em suma: montar toda uma estrutura em nível nacional, regulamentada por lei, obediente às regras e normas estabelecidas pelo ICP-Brasil (Comitê Gestor e AC Raiz) e encaixar tudo isto em uma tecnologia capaz de criar, autenticar e manejar esses documentos.

Uma tarefa e tanto, naturalmente. Mas que é justamente o que propõem a SERASA e a Microsoft, entrando a primeira com sua experiência na área de certificação digital e a segunda com a tecnologia necessária para implementar o modelo.

A idéia, em sua essência, é muito simples (complicado será implementá-la). Ela consiste na padronização dos CAD (Certificado de Atributo Digital), na definição do conceito de Autoridade Certificadora de Atributos (ACA) e na adaptação da atual estrutura dos Certificados Digitais para que operem em conjunto com os CAD.

A proposta é interessante e quem desejar detalhes pode consultar o documento conjunto da MS e SERASA < http://www.certificadodigital.com.br/certforum2007/WhitePaperCertificadoAtributoDigital.pdf > “Certificado de Atributo Digital na ICP-Brasil”. Aqui farei apenas um resumo sucinto.

O Certificado de Atributo Digital é um documento eletrônico assinado digitalmente pela instituição que o emitiu e que apresenta qualidades, ou atributos, associados a uma pessoa ou instituição. Ele não possui chave pública (não identifica o dono) e consiste basicamente em uma lista de um ou mais parâmetros devidamente padronizada, cada um deles representando um atributo ou qualidade de seu dono.

Uma mesma pessoa poderá ter diversos CAD atestando, por exemplo, sua profissão, cargo ocupado em uma empresa, registro em um clube, associação ou entidade de classe ou outras instituições. Cada um deles atesta um atributo.

O CAD só pode ser emitido por uma Autoridade Certificadora de Atributos (homóloga às AC dos CD). É a ACA que se responsabiliza pela garantia de que o indivíduo em questão de fato possui aquele atributo e o garante através de sua (da ACA) assinatura digital aposta ao CAD.

Para tornar-se uma ACA a instituição precisa, além da autoridade de atribuir esta ou aquela qualidade a alguém, credenciar-se junto a uma AC para obter seu certificado digital e sua assinatura digital. Por exemplo: os CREA (Conselhos Regionais de Engenharia e Arquitetura), responsáveis pela regulamentação e fiscalização das profissões de engenheiro, arquiteto e agrônomo, poderiam se tornar ACA depois que se credenciassem junto a uma AC e, além de expedir suas carteiras de registro profissional, expedir igualmente os CAD que seriam seu equivalente eletrônico. As empresas poderiam se credenciar como ACA para expedir os CAD de seus funcionários qualificando seu cargo ou função.

Todos os CAD teriam prazo de validade e necessitariam de renovação periódica para garantir que seu dono continua detentor daquele atributo (por exemplo, estar em dia com a anuidade de seu conselho profissional ou continuar sendo empregado da empresa).

Toda ACA deverá ser credenciada e validada junto ao ICP Brasil e dispor de seu próprio CD, que lhe garante autoridade e confiabilidade para emitir os CAD.

Quando usados em documentos digitalizados os CAD (como os CD) precisam que os aplicativos que lidam com eles ofereçam o suporte adequado. É aí que entra a Microsoft, que desenvolveu os aplicativos específicos em um formato aberto (o Open XML) e incorporou o suporte aos documentos deste formato gerado por seus aplicativos (como os arquivos texto de extensão .Docx gerados pelo Word 2007).

É claro que tudo isto, para ser implementado, exigirá um bocado de esforço, trabalho, divulgação e discussão, já que entre outras coisas depende de regulamentação legal. Mas, da mesma forma que a Certificação Digital já foi devidamente regulamentada, legalizada e vem sendo de uso corrente no Brasil, quem sabe um dia eu possa juntar todos os meus atributos, qualidades e quejandas em uma única “carteirinha” de plástico com um chip embutido, carteira que eu possa cancelar com um único telefonema em caso de furto ou extravio aumentando minha segurança e facilitando minha vida.

Tecnologia para isto já existe...

 

B. Piropo