a certificação digital na sociedade brasileira
DESCRIPTION
TCC em sistemas de informação tendo como foco a descrição da tecnologia empregada na certificação digital e demostrar os benefícios de dois projetos que a utilizam: SPED e ICP-EDU.TRANSCRIPT
DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA
BACHARELADO EM SISTEMAS DE INFORMAÇÃO
FACULDADES UNIFICADAS DOCTUM DE CATAGUASES CATAGUASES – MG – BRASIL
2009
DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA
Trabalho de Conclusão de Curso apresentado à Banca Examinadora das Faculdades Unificadas Doctum de Cataguases como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação, sob a orientação do Prof. Frands de Souza Franco.
FACULDADES UNIFICADAS DOCTUM DE CATAGUASES CATAGUASES – MG – BRASIL
2009
DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA
Trabalho de Conclusão de Curso apresentado à Banca Examinadora das Faculdades Unificadas Doctum de Cataguases como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação.
BANCA EXAMINADORA
_____________________________________________ Prof. Frands Souza Franco – Orientador
Faculdades Unificadas Doctum de Cataguases
_____________________________________________ Prof. Marília das Dores de Barros
Faculdades Unificadas Doctum de Cataguases
_____________________________________________ Profª. MSc Míriam de Souza Monteiro
Faculdades Unificadas Doctum de Cataguases
CATAGUASES – MG – BRASIL 2009
Dedico este trabalho aos meus queridos pais: Afonso e Marluce, que de todas as formas contribuíram para a concretização deste tão estimado sonho.
AGRADECIMENTOS
Agradeço primeiramente a Deus, que além de me presentear com o dom da vida me
deu condições físicas, mentais e espirituais para tal feito .
Agradeço a minha querida esposa Sandra, pela força e compreensão nas minhas
ausências em nosso lar durante estes quatro anos de curso.
Agradeço ao meu professor orientador Frands de Souza Franco, que sem questionar
aceitou tal desafio, contribuindo fortemente para a conclusão deste trabalho.
Agradeço a professora Fabiana Siqueira Nunes, que além de contribuir nas correções
deste trabalho, muitas das vezes, serviu para mim como um calmante com seus conselhos
sempre positivos.
Agradeço aos meus queridos amigos: Alexandre, Cláudio, Marcus Vinícius, João
Sérgio, Ronaldo e Victor que durante todo o curso, com amizade, me inspiraram, apoiaram,
contribuíram tanto para o meu crescimento profissional, mas principalmente como ser
humano.
"É melhor tentar e falhar, que preocupar-se e ver a vida passar; é melhor tentar, ainda que em vão,que sentar-se fazendo nada até o final. Eu prefiro na chuva caminhar, que em dias tristes em casa me esconder. Prefiro ser feliz, embora louco, que em conformidade viver ..."
Martin Luther King
RESUMO
O presente trabalho tem como objetivo demonstrar os benefícios que a certificação digital gera à sociedade da informação brasileira. Para melhor compreensão da tecnologia, serão abordadas algumas técnicas de segurança da informação e seus principais conceitos. Trataremos ainda, dos principais conceitos da Certificação digital e a descrição da Infra-Estrutura das Chaves Públicas do Brasil (ICP-Brasil). Finalizando, serão apresentados e descritos dois projetos: o ICP-EDU e o SPED, que utilizam da certificação digital para suprir as necessidades e beneficiar duas classes importantes da sociedade brasileira: a Acadêmica e a Fiscal.
Palavras-Chave: Certificação Digital, ICP-Brasil, ICP-EDU e SPED.
LISTA DE FIGURAS
Figura 01: Encriptamento e Desencriptamento de uma mensagem .........................................10 Figura 02: Encriptamento e Desencriptamento usando chave Secreta.....................................12 Figura 03: Criptografia com Chave Secreta .............................................................................13 Figura 04: Assinatura digital ....................................................................................................15 Figura 05: Conferência da assinatura digital ............................................................................16 Figura 06: Estrutura do Certificado digital X.509....................................................................20 Figura 07: E-CPF......................................................................................................................22 Figura 08: Token USB..............................................................................................................22 Figura 09: Exemplo de um bloco hash gerado a partir de uma dada informação ....................28 Figura 10: Tamanho de SHA....................................................................................................29 Figura 11: Estrutura da ICP-Brasil ...........................................................................................32 Figura 12: Estrutura ICP-Brasil................................................................................................38 Figura 13: Estrutura do SGCI...................................................................................................43 Figura 14: Exemplo de Certificado Digital ..............................................................................44 Figura 15: Módulo de Hardware Seguro ..................................................................................45 Figura 16: Estrutura do SPED ..................................................................................................48 Figura 17: Processamento da Nota Fiscal.................................................................................51
LISTA DE TABELAS
Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.............................20 Tabela 02: Componentes da ICP-Brasil. ..................................................................................34 Tabela 03: Autoridades Certificadoras de Primeiro Nível .......................................................35 Tabela 04: Executores de auditoria nas entidades da ICP-Brasil..............................................39
SUMÁRIO
INTRODUÇÃO ........................................................................................................................1 1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS ...............3
1.1 O papel da segurança no meio computacional .................................................................4 1.1.1 Política de Segurança da Informação ............................................................................5 1.1.2 Medidas de Segurança ...................................................................................................5 1.1.3 Serviços de Segurança da Informação...........................................................................5 1.1.4 Ameaça ..........................................................................................................................7 1.1.5 Vulnerabilidades............................................................................................................8 1.1.6 Ataque............................................................................................................................8 1.2 Criptografia.......................................................................................................................9 1.2.1 Chaves .........................................................................................................................11 1.2.1.1 Criptografia de chave Secreta ou Simétrica .............................................................11 1.2.1.2 Criptografia de Chave Pública ou Assimétrica.........................................................12 1.2.2 Algoritmo de Resumo..................................................................................................14 1.3 Assinatura Digital ...........................................................................................................14
2. CERTIFICAÇÃO DIGITAL ............................................................................................17 2.1 Certificado Eletrônico ....................................................................................................17 2.1.1 Padrão de Certificado Digital X.509 ...........................................................................19 2.1.2 Registro de Certificados ..............................................................................................21 2.1.3 Lista de Certificados Revogados .................................................................................23 2.1.4 Verificações on-line por OCSP ...................................................................................24 2.1.5 Renovação ...................................................................................................................24 2.2 Infra-Estrutura de Chaves Públicas ................................................................................24 2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-BRASIL)...............................................................................................................................25 2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil .................................................25 2.2.2.1 Algoritmo de criptografia assimétrica RSA .............................................................26 2.2.2.2 Algoritmo criptográfico de função hash SHA-1.......................................................26
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-Brasil) ............30 3.1 Garantias Oferecidas Pela ICP-Brasil.............................................................................31 3.2 A Estrutura da ICP-Brasil...............................................................................................31 3.2.1 Comitê Gestor..............................................................................................................32 3.2.2 Comitê Técnico (COTEC)...........................................................................................32 3.2.3 Autoridade Certificadora Raiz.....................................................................................32 3.2.4 Autoridades Certificadoras (Acs) ................................................................................33 3.2.5 Autoridades de Registro (ARs)....................................................................................33 3.3 Diretório Público ............................................................................................................34 3.3.1 LDAP (Lightweight Directory Access Protocol) ........................................................35 3.4-Autoridades certificadoras de primeiro nível .................................................................35 3.5 Auditoria na ICP-Brasil ..................................................................................................38 3.5.1 Etapas de uma Auditoria .............................................................................................39 3.5.2 Auditoria Pré-operacional............................................................................................40 3.5.3 Auditoria Operacional .................................................................................................41
4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA INFORMAÇÃO BRASILEIRA .........................................................................................................................42
4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) ......................................42 4.1.1 Estrutura do SGCI .......................................................................................................43 4.1.2 Modulo de Hardware Seguro.......................................................................................44 4.1.3 AC Correio ..................................................................................................................45 4.1.4 Benefícios da utilização da ICP-EDU .........................................................................45 4.2 Projeto SPED (Sistema Público de Escrituração Digital) ..............................................46 4.2.1 Os principais objetivos do projeto SPED ....................................................................46 4.2.1.1 O objetivo de promover atuação Integrada dos Fiscos.............................................47 4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para os contribuintes .........................................................................................................................47 4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários ....................47 4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) ...............................48 4.2.3. Escrituração Contábil Digital (ECD)..........................................................................48 4.2.4. Escrituração Fiscal Digital (EFD) ..............................................................................49 4.2.5 Nota Fiscal eletrônica (NFe ) ......................................................................................49 4.2.5.1 Forma de Credenciamento........................................................................................49 4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma simplificada os passos do processamento da NF-e :.............................................................50 4.2.5.3 Benefícios do Projeto NF-e ......................................................................................51 4.3 Conclusões finais............................................................................................................52
CONCLUSÃO.........................................................................................................................54 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................55
1
INTRODUÇÃO
A sociedade brasileira está mudando seus hábitos em relação ao meio virtual,
utilizando-o de forma mais abrangente e não somente, como forma de entretenimento.
Atualmente, é comum a prática de negócios via Internet, onde, o maior exemplo é o comércio
eletrônico, que a cada ano bate recordes de faturamento. Também as empresas estão se
beneficiando com as práticas virtuais: elas compram, vendem, contratam, demitem, dão
treinamento aos seus funcionários, aumentam sua competitividade, enfim, participam do
mundo globalizado. Porém nada disso seria possível se a segurança neste meio não fosse
garantida. O mundo virtual possui inúmeras ameaças ou pragas virtuais: cavalos-de-tróia,
vírus, crackers1, worms, etc. Onde, tanto os números, quanto os tipos de crimes virtuais são
crescentes. Com base nesta necessidade, novas técnicas de segurança estão sendo implantadas
para continuar garantindo que a sociedade se beneficie do meio digital de forma segura, onde
a certificação digital possui um grande destaque.
No capítulo 1, será demonstrada a importância que a segurança tem no meio digital,
apresentando os seus principais conceitos: ameaças, ataques, vulnerabilidades, políticas de
segurança, serviços de segurança, criptografia e assinatura digital.
No capítulo 2, serão apresentados os conceitos e o funcionamento da certificação
digital. Apresentando o certificado eletrônico, como um documento digital de identificação
pessoal, onde será explicado o seu padrão, forma de obtenção e verificação do seu estado de
revogado. Também serão explicadas as primeiras características da ICP-Brasil, como os tipos
de certificados oferecidos e os algoritmos criptográficos utilizados pela mesma.
1 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de
forma ilegal ou sem ética.
2No capítulo 3, será descrito em mais detalhes a ICP-Brasil, apresentando toda a sua
estrutura, as autoridades certificadoras (ACs) de primeiro nível e o tipos de Auditoria
realizadas em tal estrutura.
No capítulo 4, dois projetos que utilizam da certificação digital serão apresentados,
com a finalidade de demonstrar como a certificação digital beneficia a sociedade brasileira.
Os projetos escolhidos foram o ICP-EDU e o SPED. O principal motivo da escolha destes
projetos foi o campo de atuação dos mesmos, onde, o primeiro atua no ambiente acadêmico e
o segundo no ambiente fiscal. Assim os benefícios demonstrados, por esses dois projetos,
têm uma abrangência significativa na sociedade brasileira, servindo de base para demonstrar
tamanha importância da certificação digital.
3
1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS
Atualmente, sistemas computacionais estão sendo utilizados em grande escala por
pessoas e empresas, seja de forma local ou on-line. Assim, percebe-se que o uso da internet
está mais abrangente, ou seja, não se limitando a entretenimento apenas.
Hoje, grandes empresas a utilizam como uma super-ferramenta de comunicação
adquirindo agilidade, competitividade nas suas práticas de negócios, vindo a cumprir
exatamente o exigido no mundo globalizado. Vale lembrar que muitas empresas foram
criadas e se firmaram com o avanço e a popularização da internet, como é o caso das lojas
virtuais que fazem do e-commerce2 uma fórmula de sucesso e altos lucros.
Assim como empresas e pessoas, os governos de inúmeros países também fazem uso
da tecnologia. No caso do Brasil, podemos citar como um bom exemplo a implantação do
sistema de nota fiscal eletrônica que vem gerando enormes benefícios tanto para os
contribuintes, quanto para o sistema de fisco brasileiro.
Assim é possível observar que os hábitos da sociedade pós-moderna mudaram. Isso
somente vem acontecendo porque pessoas, empresas e governos perderam o medo do meio
digital, acreditando mais no poder das ferramentas e práticas de segurança empregadas no
mesmo, que é constantemente atacado por pragas virtuais: vírus, phishing3, crackers4, etc.
Conforme alerta SILVA et al (2008, p.3): “As informações contidas em sistemas
computacionais estão sujeitas à espionagem, violação e outros tipos de ações criminosas”.
2 e-commerce, ou ainda comércio virtual, é um tipo de transação comercial feita especialmente através de um
equipamento eletrônico, como, por exemplo, um computador. 3 phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais
como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.
4 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança.
41.1 O papel da segurança no meio computacional
LAUREANO et al (2005, p.4) explica que uma segurança efetiva garante que a
informação preserve os atributos de confidencialidade, integridade e disponibilidade.
• Confidencialidade - garante que a informação será acessada apenas por
pessoas autorizadas.
• Integridade – Garante e protege a exatidão da informação.
• Disponibilidade - garante que usuários autorizados sempre que necessitem
acessem e desfrutem dos benefícios da informação.
Os objetivos da segurança no meio digital podem ser claramente explicados conforme
nos ensina SOARES (1995, p.448):
A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou de seus dispositivos periféricos.
“O objetivo da segurança da informação é proteger a organização detentora da
informação dos diversos tipos de ameaças para garantir a continuidade dos seus negócios e
maximizar o retorno dos investimentos e as oportunidades de negócios.” (SILVA et al, 2008,
p.4).
É muito importante que os requisitos de segurança de uma organização sejam
identificados, pois somente a partir desta etapa, é possível selecionar e implementar os
controles de segurança mais efetivos, ou seja, os controles que realmente reduzam os riscos a
um nível aceitável, porém SILVA et al (2008, p.5) lembra que: “A escolha dos controles é
feita, em geral, baseada nos custos de implementação em relação aos riscos que serão
reduzidos e nas perdas potenciais caso falhas na segurança ocorram.”
5Logo, não faz sentido desperdiçar recursos financeiros para garantir a segurança de
informações irrelevantes ou com valores menores aos investidos nas técnicas de segurança
utilizada para protegê-la.
1.1.1 Política de Segurança da Informação - São todas as ações permitidas, ou não,
na execução de um sistema. Essa política visa garantir que o sistema seja operado de forma
segura durante todo o tempo da sua execução. SOARES et al (1995, p.450) a conceitua
como:“(...) um conjunto de leis, regras e práticas que regulam como uma organização
gerencia, protege e distribui suas informações e recursos.”
SILVA et al (2008, p.6) explica o objetivo da Política de Segurança:
A política de segurança da informação tem como objetivo prover à direção de uma organização, uma orientação e um apoio para a segurança da informação. É conveniente que a direção estabeleça uma política clara, demonstrando apoio e comprometimento com a segurança da informação através da emissão e manutenção dessa política para toda organização.
1.1.2 Medidas de Segurança - São medidas tomadas para impedir ou reduzir o
impacto da ação de uma ou de várias ameaças. Estas medidas podem ser por meio de
software, controles físicos ou como forma de políticas de segurança. São exemplos de
medidas de segurança: o uso de criptografia em troca de mensagens, utilização de controle de
acesso restrito ao sistema de maneira lógica ou física, uso de programas firewall e antivírus.
Porém, SILVA et al (2008, p. 4) explica que:
Medidas de segurança, geralmente, aumentam o custo de um sistema, além de poder torná-lo mais difícil de usar, por esta razão, muitas vezes não são especificados no desenvolvimento do sistema.
1.1.3 Serviços de Segurança da Informação - Serviço de segurança é a característica
que um sistema possui para atender a uma política de segurança. Existe uma diferença entre
6serviço e controle de segurança. Serviços atendem a pergunta: o que é preciso? Já controle
responde a pergunta: como alcançar?
SILVA et al (2008, p.7) explica que a segurança da informação classifica seis serviços
principais: autenticação, autorização, privacidade, integridade, não-repúdio e disponibilidade.
• Autenticação - Garante que um usuário é quem ele diz ser. Pode trabalhar
baseado em três paradigmas: Algo-que-você-sabe, Algo-que-você-tem, Algo-
que-você-é. Em particular o serviço de autenticação contribui muito para a
segurança da informação.
• Autorização – Refere-se ao controle de acesso e ao uso de recursos
computacionais. Através de uma prévia autenticação o sistema é capaz de
especificar quais as partes, informações ou funcionalidades o usuário poderá
acessar.
• Privacidade – Assegura que informações confidenciais não serão acessadas
por pessoas não-autorizadas. Este serviço não só protege o conteúdo, mas
também o tamanho da informação.
• Integridade – Tem como função proteger a informação contra a modificação,
duplicação, inserção, remoção ou re-ordenamento da mesma.
• Não-Repúdio – Sua função é a de não permitir que uma parte envolvida na
comunicação negue sua participação na mesma.
• Disponibilidade – Garante que um sistema de computador, incluindo todas as
suas funções e informações, sempre estará disponível a usuários autorizados
quando necessário, mesmo que aconteça um desastre. Um exemplo disso seria
em caso de falta de energia e o sistema computacional fosse mantido por uma
fonte de energia auxiliar.
71.1.4 Ameaça - Ameaça é algo que pode violar a segurança de um sistema
computacional, podendo capturar, alterar, excluir informações de maneira ilícita, podendo
também impossibilitar que o sistema mencionado pare ou funcione incorretamente. Assim
concorda SOARES et al (1995, p.448) ao dizer que: “Uma ameaça consiste em uma possível
violação da segurança de um sistema”. Em complemento, SILVA et al (2008,p.3) explica
que uma ameaça é tudo aquilo que representa algum perigo a uma propriedade, sendo esta
última, caracterizada como algo de valor.
Uma ameaça pode ser iniciada por uma pessoa, programa de computador, desastre
natural ou acidente. Neste aspecto ela pode ser classificada como:
• Intencional - Por exemplo, uma pessoa apaga parte do código de um programa
impedindo-o de funcionar corretamente.
• Acidental - Por exemplo, um raio atinge a rede elétrica e danifica o
computador servidor do sistema.
Ameaças também podem ser classificadas como:
• Ativa - Quando gera uma modificação ou dano ao sistema.
• Passiva- Quando o objetivo é a obtenção de informação sem autorização
como acontece em espionagem.
Segundo SOARES et al (1995, p.448) os principais tipos de ameaça são:
• Destruição de informação ou de outros recursos;
• Modificação ou deturpação da informação;
• Roubo, remoção ou perda de informação ou de outros recursos;
• Revelação de informação;
• Interrupção de serviços;
81.1.5 Vulnerabilidades - Vulnerabilidades são brechas, falhas ou ausências da
segurança de um sistema podendo ser comparadas a elos fracos de uma corrente de segurança.
São nestes pontos que ataques têm a maior chance de obter sucesso, como confirma
BEZERRA (2008, p.20):
Vulnerabilidades são caracterizadas por falhas, ou pontos fracos, na segurança da informação. Através destas, pessoas ou sistemas mal intencionados podem lançar ataques contra sistemas inseguros e assim se apropriar indevidamente, corromper ou tornar indisponível a informação sob sua guarda.
1.1.6 Ataque - Ataques são todas as ações de ameaças na tentativa de prejudicar um
sistema computacional, seja na espionagem, adulteração, eliminação de informação ou até
mesmo na tentativa de impedí-lo de funcionar corretamente. Na maioria das vezes,
explorando as vulnerabilidades dos sistemas, conforme explica (SILVA et al, 2008, p.4):
“Ataques são resultados de vulnerabilidades, representadas por deficiências em uma medida
de segurança ou a ausência de própria medida.”
Assim como explica SOARES et al (1995, p.449), os principais tipos de ataque são:
• Personificação: Uma entidade que possui poucos privilégios em um sistema
passa-se por outra com finalidade de obter mais privilégios de forma ilícita.
• Replay: Uma mensagem, ou parte, dela é interceptada e, posteriormente,
transmitida para produzir um efeito de não-autorizada.
• Modificação: O conteúdo de uma mensagem é modificado em caráter não-
autorizado sem que o sistema perceba tal modificação.
• Recusa ou Impedimento de Serviço: acontece quando uma entidade não executa
suas funções de maneira correta ou impede que outras não executem.
• Ataques internos: Ocorrem quando usuários legais agem de maneira não-
autorizada ou inesperada.
9
• Armadilhas: Acontece quando uma entidade do sistema é modificada para
produzir efeitos não-autorizados em resposta a um comando ou um evento.
• Cavalos de tróia: Neste tipo de ataque a entidade executa operações não-
autorizadas adicionada a uma entidade autorizada.
1.2 Criptografia
A criptografia é uma técnica de segurança utilizada para garantir que a informação,
mesmo sendo, veiculada em ambientes inseguros seja compreendida somente por quem tem
este privilégio.
Antigamente, a criptografia era muito utilizada por militares. Eles precisavam
comunicar com suas bases, soldados ou veículos, mas não podiam correr o risco de que, suas
informações fossem interceptadas pelo inimigo. Atualmente, esta preocupação não se destina
apenas a este grupo, mas sim a uma sociedade inteira que precisa trafegar informação na rede
on-line de maneira segura. Não é possível imaginar a realização de operações bancárias pela
Internet sem o uso de criptografia nos dispositivos de segurança do banco.
SILVA et al (2008, p.13) explica:
A palavra criptografia é originária dos termos Kryptós, que quer dizer oculto, e graph, escrever. (...) criptografia é a “ciência” de fazer com que o custo de adquirir uma informação de maneira imprópria seja maior do que o custo obtido com a informação.
SOARES et al (1995, p.452) concorda e também explica que:
A criptografia surgiu da necessidade de se enviar informações sensíveis através de meios de comunicação não confiáveis, ou seja, em meios onde não é possível garantir que um intruso não irá interceptar o fluxo de dados para leitura (intruso passivo) ou para modificá-lo (intruso ativo).
10Segundo SILVA et al(2008, p.13) a definição da palavra criptografia pode ser
encontrada em dicionários da língua portuguesa, como sendo a escrita secreta por meio de
abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da
informação.
Em criptosistemas a informação original, também conhecida como texto pleno,
passa por duas fases. Na primeira, ela é embaralhada tornando-se incompreensível, também
chamada de texto cifrado. A esta técnica dá-se o nome de encriptamento ou cifragem. A
segunda fase é chamada de desencriptamento ou decifragem. O texto cifrado é
desembaralhado, ou decifrado, voltando a informação original e compreensível, ou texto
pleno, como exemplifica a figura 01:
FIGURA 1: Encriptamento e Desencriptamento de uma mensagem FONTE: (SILVA et al, 2008, p.14 ).
11Os criptosistemas conseguem realizar essas operações devido à utilização de
algoritmos matemáticos, também conhecidos como algoritmos criptográficos. Como explica
SILVA et al (2008, p.14) todo o criptosistema é baseado em três modelos de algoritmos:
chave secreta, chave pública e resumo.
1.2.1 Chaves -A chave criptográfica é um valor matemático que é adicionado à
informação na sua cifragem, como explica SILVA et al (2008, p.15 ): “ A chave é um valor
matemático que determina como uma mensagem de texto pleno é criptografada para produzir
um texto cifrado, e sua posse é requerida para descriptografar o texto cifrado.”
Na criptografia moderna, a segurança encontra-se nas chaves. Elas são mais
importantes que os próprios algoritmos, ou seja, levantando a hipótese de que um intruso
tenha acesso ao algoritmo e ao texto cifrado, toda segurança ainda é mantida com o uso da
chave explica SILVA et al (2008, p.15).
Ainda, existem dois tipos de chaves: simétricas e assimétricas.
1.2.1.1 Criptografia de chave Secreta ou Simétrica - Neste tipo de algoritmo, o
texto pleno é cifrado e decifrado com o uso de uma única chave. Apenas com esta chave é
possível decifrar e retornar ao texto pleno, assim é essencial para o bom funcionamento deste
algoritmo que a chave seja mantida em segurança.
TANENBAUM (2003, p.784) explica que: “(...) mesmo que o criptoanalista adquira
enorme volume de texto cifrado de sua própria escolha, sem a chave ele não será capaz de
captar qualquer sentido em tudo o que conseguir.” Porém o mesmo autor (2003, p.800)
ressalta que neste sistema de criptografia existe um grande problema:
(...) as chaves tinham que ser protegidas contra roubo, mas também tinham de ser distribuídas; portanto, elas não podiam ser simplesmente trancadas no caixa-forte de um banco.
12
FIGURA 2 – Encriptamento e Desencriptamento usando chave Secreta FONTE: (SILVA et al, 2008, p.17).
1.2.1.2 Criptografia de Chave Pública ou Assimétrica - Neste tipo de algoritmo
são usadas duas chaves, uma pública e outra privada. A chave privada deve ser mantida em
segredo pelo seu proprietário, já a pública pode ser livremente distribuída. Entre esse par de
chaves existe uma relação matemática única e é essa relação que permite que qualquer uma
das chaves seja capaz de desfazer a cifragem de uma mensagem feita pela outra do seu
respectivo par.
Não é possível gerar uma chave privada a partir da sua chave pública, é o que
confirma SILVA et al (2008, p. 18):“ Uma chave pública e sua correspondente chave privada
13possuem uma relação matemática, mas é computacionalmente inviável derivar a chave
privada a partir de uma chave publica.”. Isso garante que ninguém consiga fabricar a chave
privada de alguém tomando como base a sua respectiva chave pública.
FIGURA 3 – Criptografia com Chave Secreta FONTE: (SILVA et al, 2008, p.19).
Com o uso da chave pública de uma pessoa garantimos a confidencialidade e
integridade da mensagem, ou seja, apenas a possuidora da chave privada será capaz de
decifrar a mensagem original.
14Ao usar a chave privada para cifrar uma mensagem constata-se a funcionalidade da
assinatura digital, ou seja, é garantido a autoria e o não-repúdio da mesma. Todas as pessoas
que possuem a chave pública correspondente, ao receber a mensagem deduzem com
segurança o autor da mensagem, pois somente ele é capaz de encriptar a mensagem e, além
disso, o autor não será capaz de negar que foi ele quem produziu a informação.
Uma característica muito importante é explicada por SILVA et al (2008, p.19): “ Um
algoritmo de chave pública é reversível se pode ser usado tanto para criptografia como para
assinatura digital e irreversível se pode somente ser usado para assinatura digital.”
1.2.2 Algoritmo de Resumo - O algoritmo criptográfico de resumo também é
conhecido como algoritmo hash. Este algoritmo mapeia um texto de tamanho variável e
retorna uma mensagem cifrada menor de tamanho fixo que é chamada de resumo da
mensagem ou hash. SILVA et al (2008, p.20) explica que para que este tipo de algoritmo
consiga atender a segurança criptográfica, ele precisa:
1- Ser inviável computacionalmente. Encontrar a mensagem de entrada baseada apenas
em seu resumo.
2- Não deve ser possível achar uma mensagem particular que tenha um resumo
específico.
3- Não ser computacionalmente viável achar duas mensagens distintas com o mesmo
resumo.
1.3 Assinatura Digital
Da mesma maneira que é possível assinar documentos em papel com uma caneta,
hoje em dia, graças ao avanço da tecnologia, é possível assinar documentos eletrônicos. A
assinatura eletrônica não é, simplesmente, uma imagem de uma assinatura manuscrita de
alguém. Isso seria totalmente inseguro, pois softwares de edição de imagens facilmente
15alterariam ou até mesmo criariam uma assinatura deste tipo. Na verdade a assinatura digital é
um conjunto de bits resultantes da cifragem da informação por duas técnicas criptográficas
somadas: chaves criptográficas e algoritmo de resumo. Assinatura digital garante a
autenticidade, integridade e o não-repúdio da mensagem.
Para que a assinatura digital possa substituir a assinatura escrita TANENBAUM
(2003, p.803) explica que a técnica precisa atender aos seguintes requisitos:
• O Receptor possa verificar a identidade alegada pelo transmissor;
• O transmissor não possa repudiar o conteúdo da mensagem enviada;
• O receptor não possa ser capaz de adulterar a mensagem recebida;
Para assinar digitalmente um documento, primeiramente, é necessário cifrar a
mensagem original com o algoritmo de resumo; em seguida, criptografar o resultado deste
procedimento utilizando a chave privada do autor da mensagem, como exemplifica a figura
04:
FIGURA 4: assinatura digital FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm
Para verificar a assinatura digital de uma mensagem, é preciso realizar a comparação
entre resumo hash obtido do texto original, com o resumo obtido da mensagem cifrada. Vale
lembrar que, para se obter o segundo resumo em questão anteriormente, é necessário decifrar
16a mensagem com a chave pública do autor. Logo após, comparar os dois resumos obtidos, se
forem iguais significa que a assinatura é verdadeira, caso contrário a mensagem pode ter sido
alterada ou a chave pública não corresponde a chave privada utilizada para encriptar a
mensagem.
A figura 05 exemplifica o processo de verificação da assinatura digital:
FIGURA 5: Conferência da assinatura digital FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm
A respeito da técnica de assinatura de documentos digitais, SILVA et al (2008, p.22)
explica que:
Assinar uma mensagem inteira ao invés do seu resumo, embora seja possível, não é recomendado por vários motivos. Primeiramente, assinar uma mensagem inteira dobra a quantidade de informação que deve ser enviada. Além disso, as operações de criptografia de chave pública são geralmente mais lentas, fazendo com que o custo de criptografar uma mensagem inteira acarrete problemas de desempenho. E, por último um criptoanalista pode usar a grande quantidade de texto cifrado junto com a mensagem original para tentar um ataque de mensagens criptografadas.
17
2. CERTIFICAÇÃO DIGITAL
Um dos grandes problemas encontrados na utilização do meio digital, além de
garantir a confidencialidade, integridade e disponibilidade das informações, é comprovar que
as partes envolvidas em uma transação eletrônica, negociação ou troca de mensagens, são
realmente quem dizem ser. Esta dificuldade torna-se, na verdade, uma vulnerabilidade que
possibilita a concretização de ataques como, por exemplo, o phishing, que é uma fraude
eletrônica onde uma entidade se passa por outra confiável a fim de obter informações,
privilégios ou bens de maneira ilícita. Devido à necessidade de blindar estas lacunas de
vulnerabilidades, dentre outras características de segurança, foi desenvolvida a certificação
digital.
A certificação digital funciona, tanto como, um mecanismo identificador, como
também, uma ferramenta criptográfica. Ainda traz inúmeros benefícios como a possibilidade
de assinar documentos digitalmente, promovendo assim a desmaterialização do papel, pois
graças as práticas e técnicas de segurança aplicadas na certificação digital, o documento
assinado digitalmente possui valor judicial.
AZEVEDO et al (2009, p.47) definem a certificação digital como: “(...) a tecnologia
que provê os mecanismos de segurança capazes de garantir autenticidade, confidencialidade e
integridade às informações eletrônicas das mensagens e documentos trocados na Internet”.
2.1 Certificado Eletrônico
Para que a certificação digital consiga atender às necessidades de segurança, já
mencionadas, ela se baseia no uso do certificado digital. O certificado digital é um documento
eletrônico que comprova, de fato, que a pessoa, software ou computador é realmente quem
diz ser.
18
SILVA et al. (2008, p.26) explica:
Um certificado digital (também chamado de certificado de chave pública) é uma ligação entre a chave pública de uma entidade e um ou mais atributos relacionados a esta entidade, armazenados em um arquivo digital. (...) O certificado digital produz a garantia que a chave pública pertence à entidade. Além disso, garante também que a entidade (e somente esta entidade) possua de fato a correspondente chave privada.
AZEVEDO et al. (2009, p.53) explica que o conteúdo de um certificado digital
normalmente é composto de:
• Informações referentes à entidade para o qual o certificado foi emitido (nome,
e-mail, CPF/CNPJ, etc.);
• Chave pública referente à chave privada de posse da entidade especificada no
certificado;
• O período de validade;
• O nome da empresa (Autoridade Certificadora) que emitiu o certificado
digital;
• Número de série do certificado digital;
• Localização do “centro de revogação” (uma URL5 para download da lista de
certificados revogados ou local para uma consulta OCSP6);
• Assinatura digital da Autoridade Certificadora, sendo esta, a empresa
responsável pela emissão do certificado digital;
5 URL (de Uniform Resource Locator), em português Localizador de Recursos Universal, é o endereço de um recurso (um arquivo, uma impressora etc.), disponível em uma rede; seja a Internet, ou uma rede corporativa, uma intranet. 6 OCSP- Oline Certificate Status Protocol, é um modelo de verificação online do status de revogação de um certificado digital.
19
Existem diversos padrões de certificados digitais no mercado, como exemplo,
SPKI/SDSI, PGP e SET, porém esta pesquisa monográfica destacará apenas o padrão X.509,
por ser o padrão utilizado pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil).
2.1.1 Padrão de Certificado Digital X.509 - Segundo AZEVEDO et al (2009,
p.53): “O padrão mais comum para certificados digitais no âmbito de uma ICP7 é o ITU-T8
X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task Force
(IETF) PKIX”.
O formato X.509, atualmente encontra-se na terceira versão. A versão um (v1) foi
publicada primeiramente, em 1988, e estendida em 1993, incorporando dois novos campos de
controle resultando na segunda versão (v2) e, finalmente, atualizado em 1996 para a terceira
versão possibilitando usar campos de extensão.
Os campos de extensão adicionados na terceira versão do padrão X.509 possibilitam
adicionar informações para uma entidade, como exemplo, a chave pública, autoridade
certificadora ou qualquer outra informação necessária.
Para SILVA et al. (2008, p.27) as extensões associadas ao certificado: “(...)
proporcionam também a possibilidade de organizações e empresas definirem seus próprios
campos de extensões e codificarem informações específicas às suas necessidades.” SILVA et
al (2008, p.28) ainda explica que um campo de extensão é composto por três partes:
• Tipo de extensão - É um objeto identificador que prove semântica e tipo da
informação (como texto, data, número inteiro ou estrutura complexa) para o valor da
extensão.
• Valor da extensão - Contém o real valor de um campo de extensão que é descrito
pelo seu tipo.
7 ICP – Infra-Estrutura de Chaves Públicas. 8 ITU-T – International Telecommunication Union – Telecommunication Standartization Sector.
20
• Indicador Crítico – Instrui aplicações de software que usam certificados que ignoram
o valor do campo quando não se conhece o tipo de extensão. No caso, somente serão
ignoradas as extensões não críticas, porém extensões críticas não reconhecidas tornam
o certificado rejeitado. A figura 06 demonstra o formato do certificado X.509:
FIGURA 06 – Estrutura do Certificado digital X.509 FONTE: própria.
Na tabela 01, estão descritos os campos do certificado no padrão X.509 versão 3:
Tabela 01: Descrição dos campos de um certificado no formato X.509 v3. FONTE: SILVA et al (2008, p.28).
Nome do Campo Descrição
Versão Número da versão X.509 do certificado, tendo como valor válido apenas 1,2 ou 3.
Número de série Identificador único do certificado e representado por um inteiro. Não deve haver mais de um certificado emitido com o mesmo número de série por uma mesma autoridade certificadora.
21Nome do Campo Descrição
Algoritmo de Assinatura
Identificador do algoritmo usado para assinatura do certificado pela autoridade certificadora.
Emissor Nome da autoridade certificadora que produziu e assinou o certificado.
Período de Validade Intervalo de tempo de duração que determina quando um certificado deve ser considerado válido pelas aplicações.
Assunto Identifica o dono da chave pública do certificado. O assunto deve ser único para cada assunto no certificado emitido por uma autoridade certificadora.
Chave Pública Contém o valor da chave pública do certificado junto com informações de algoritmos com o qual a chave deve ser usada.
Identificador Único de Emissor (opcional)
Campo opcional para permitir o reuso de um emissor com o tempo.
Identificador Único de Assunto (opcional)
Campo opcional para permitir o reuso de um assunto com o tempo.
Extensões Campos complementares com informações adicionais personalizadas.
2.1.2 Registro de Certificados - O registro de certificados digitais é feito através de
uma autoridade certificadora (AC). Do ponto de vista de SILVA et al. (2008, p.30) uma
autoridade certificadora é definida como: “(...) uma organização confiável, que aceita
aplicações certificadas de certa entidade, autentica aplicações, emite certificados e mantém
atualizadas informações sobre os estados dos certificados”.
O procedimento de registro de um certificado digital de uma entidade é feito através
do preenchimento e o envio de um formulário à autoridade certificadora. Este formulário
contém a chave pública e os dados de identificação da entidade. O tipo de dados preenchidos
irá variar de acordo com o certificado digital requerido.
O processo de geração do par de chaves criptográficas e armazenamento da chave
privada podem ser realizados por software ou hardware, variando também de acordo com o
tipo de certificado requerido. Chaves criadas por software têm armazenamento da chave
privada feita no próprio computador da entidade. No procedimento por hardware, tanto a
22criação do par de chaves, quanto o armazenamento da chave privada é feito em mídias
especiais que possuem recurso criptográfico e senha de acesso à chave. Essas mídias são:
Smart cards ou tokens USB.
A figura 7 é um exemplo de Smart card:
FIGURA 07: E-CPF FONTE: http://www.pronova.com.br/solutions/scard2k.htm
A figura 8 é um exemplo de Token USB:
FIGURA 08 : Token USB FONTE: http://www.secdist.se/Produkter/CRYPTOCard/cryptocard.html
SILVA et al (2008, p.30) explica que este tipo de mídia armazenamento impede que
a chave privada criada seja transferida ou copiada e que sua destruição só seja possível com a
destruição da própria mídia.
232.1.3 Lista de Certificados Revogados - Todo certificado digital no padrão X.509
tem um período de validade, onde deve ser aceito por qualquer aplicação durante todo este
período. Após o término deste, o certificado expira, tornando-se inválido. Contudo, existem
situações especiais onde o certificado deve perder sua validade antes do término do período
de validade, por exemplo, uma alteração nos dados da entidade ou até mesmo ao vazamento
da chave privada. Quando esse tipo de situação acontece o certificado passa a ser identificado
como um certificado revogado. Todas as autoridades que emitem os certificados digitais têm
que possuir mecanismos capazes de realizar a mudança no estado de revogação dos
certificados.
As autoridades Certificadoras possuem listas de certificados revogados (LCR) que
são utilizadas para divulgar os certificados revogados.
SILVA et al. (2008, p.29) conceituam tais listas como:
Uma LCR é uma estrutura de dados, digitalmente assinada pela autoridade certificadora, que contém: dia e hora da publicação da LCR, nome da autoridade certificadora e os números de série de todos os certificados revogados que ainda não foram expirados.
Toda aplicação que trabalha com certificados digitais deve obter a lista de
certificados revogados mais recentes, tendo como finalidade verificar, corretamente, se o
número de série do certificado em uso não está presente na lista de certificados revogados.
SILVA et al. (2008, p.29) ressaltam:
A freqüência com que uma LCR é atualizada é determinada pela autoridade certificadora vai depender bastante do domínio da aplicação. Quanto mais frequente a atualização de uma LCR, menor será o desempenho da aplicação, e isso ocorre devido às constantemente trocas de informações com a autoridade certificadora. Porém, em aplicações críticas é de extrema importância que informações de estados de revogação dos certificados sejam obtidas da maneira mais rápida possível.
24
2.1.4 Verificações on-line por OCSP - On-line Certificate Status Protocol (OCSP)
é um novo modelo de verificação on-line do estado de revogado dos certificados no padrão
X.509. Neste modelo, obtém-se o estado de revogado de um certificado através da consulta
on-line do seu número de série às bases de dados contidas no servidor da autoridade
certificadora.
Possivelmente, esta utilização do OCSP pode limitar, ou até mesmo extinguir, o uso
das listas de certificados revogados (LCRs). Este modelo trás o benefício de não precisar fazer
o download de uma lista inteira com as informações de vários certificados, já que, somente
um certificado está sendo verificado. Isso ajuda a diminuir o tempo de consulta do estado de
revogado do certificado. Porém SILVA et al. (2008, p.37) ressaltam que existe ambientes em
que a verificação deve ser feita de forma off-line e outros, em que a quantidade de
verificações de certificados é tão alta que faz o sistema de consulta on-line mais lento.
2.1.5 Renovação - Um usuário pode requisitar à Autoridade Certificadora a
renovação do seu certificado após o término da validade. Ele pode manter tanto seu par de
chaves, como os seus dados, desde que não tenha ocorrido nenhum comprometimento da
chave privada e nem alterações nos seus dados cadastrais.
2.2 Infra-Estrutura de Chaves Públicas
Uma infra-estrutura de chaves públicas (ICP) é um órgão, público ou privado,
responsável por toda a estrutura de emissão de chaves públicas. Além de ser responsável por
definir os padrões e técnicas utilizadas, um dos principais objetivos de uma ICP é tornar-se a
terceira parte confiável, assegurando a credibilidade e confiança em transações entre partes
que utilizam certificados eletrônicos.
Segundo SILVA et al. (2008, p.31):
25
A adoção da tecnologia de chaves públicas requer uma infra-estrutura de chaves públicas (ICP) que define o conjunto de padrões utilizados, autoridades certificadoras, estrutura entre autoridades certificadoras, métodos para validar certificados, protocolos de operação, protocolos de gerenciamento, ferramentas de interoperabilidade e suporte legislativo.
A infra-estrutura de chaves públicas brasileira, foi estabelecida a partir da Medida
Provisória nº. 2.200-2, de 24 de agosto de 2001, e é conhecida como Infra-Estrutura de
Chaves Públicas Brasileira ou ICP-Brasil.
2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil
(ICP-BRASIL) - A infra-estrutura de chaves públicas do Brasil oferece duas categorias de
certificado digital: A e S. A categoria A é destinada à autenticação e identificação. A
categoria S é destinada às atividades sigilosas. Essas categorias são divididas em quatro tipos,
como descreve o site ALECRIM (2009):
A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano; A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos; A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos; A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos. Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.
2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil - Para que um documento eletrônico seja assinado digitalmente é necessária a utilização de dois algoritmos criptográficos: algoritmo de criptografia assimétrica e algoritmo criptográfico de função hash. A Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil) adota os seguintes algoritmos criptográficos: RSA e SHA-1. Segundo GUELFI (2007, p.98):
26
A ICP-Brasil, com o objetivo de assegurar a integridade dos documentos eletrônicos assinados digitalmente aponta por meio de atos normativos quais os algoritmos que deverão ser usados. (...) o certificado digital da Ac-Raiz é assinado com um algoritmo criptográfico RSA, utilizando-se do SHA-1 como algoritmo criptográfico de função hash.
2.2.2.1 Algoritmo de criptografia assimétrica RSA - Segundo explica SILVA
(2006, p.20), o algoritmo de criptografia assimétrica RSA foi desenvolvido em 1978, por três
professores do Instituto de Tecnologia de Massachusetts (MIT): Ronald Rivest, Adi Shamir e
Leonard Adleman. As iniciais de seus criadores dão nome a este algoritmo, RSA.
Considerado como um dos algoritmos mais seguros, funciona com a utilização de um par de
chaves criptográficas, sendo uma delas pública e a outra privada.
SILVA (2006, p.20) ainda ressalta:
A impossibilidade de quebrar a chave de decodificação é possível pela não existência de algoritmos eficientes para a fatoração de inteiros em fatores primos, sobretudo, se o número de algarismos é 100 ou maior. O tempo de codificação de uma mensagem é praticamente, desprezível, mas o tempo de decodificação pode tornar o processo inviável.
MARTINA (2005, p.5) destaca uma característica importante do algoritmo RSA:
“Neste novo sistema temos a independência do uso das chaves nos processos de cifragem e
decifragem, podendo assim, gerar as bases para um outro novo paradigma que é a assinatura
digital de documentos”.
2.2.2.2 Algoritmo criptográfico de função hash SHA-1 - O algoritmo SHA-1
(Secure Hash Algorithm) foi criado pelo National Institute of Standards and Technology
(Instituto Nacional de Padrões de Tecnologia)-NIST em 1994, sendo hoje considerado um
27algoritmo de função hash confiável e adotado pela Infra-Estrutura de chaves públicas do
Brasil (ICP-Brasil).
GUELFI (2007, p.102) explica a característica de funcionamento do algoritmo:“ Em
linhas gerais, temos como entrada um arquivo qualquer em formato digital com um tamanho
de até 280 bits, obtendo na saída um resumo criptográfico de 160 bits”.
Neste modelo de algoritmo o resumo obtido possui tamanho fixo, porém não
significa que o seu conteúdo será o mesmo. Quando informações digitais distintas aplicadas a
um mesmo algoritmo hash obtêm o mesmo resumo, ocorre o que é chamado de Colisão.
GUELF (2007, p.97) explica que a força de um algoritmo hash está no grau de dificuldade
em ocorrer colisões.
Para melhor entendimento, a figura 09 exemplifica a saída criptográfica do
algoritmo SHA-1:
FIGURA 09: Exemplo de um bloco hash gerado a partir de uma dada informação FONTE: GUELF (2007, p.97)
28
Hipoteticamente, seria o mesmo que, na figura 09, depois da alteração da
informação o resumo hash permanecesse o mesmo da informação anterior.
GUELF (2007, p.102) vai mais além e alerta, que testes de segurança aplicado ao
algoritmo SHA-1 demonstraram uma diminuição no tempo de quebra do algoritmo em 200
vezes, baixando sua força criptográfica de 280 para 263. Isso não gera um grau de perigo a
ponto de seu uso ser inviável, porém demonstra que o algoritmo SHA-1 é vulnerável.
Outro tipo de algoritmo de função hash deverá ser adotado na assinatura digital dos
documentos eletrônicos em breve, pois segundo GUELF (2007, p.102):
O NIST prevê que o SHA-1 será definitivamente abandonado em 2.012, conforme prevê a FIPS9 180-2 do NIST. Com isso, a tecnologia deverá se preocupar em continuar a conferir força valorativa aos documentos eletrônicos assinados digitalmente com o SHA-1 como técnica de função hash.
Existem variantes do SHA-1 como explica MARTINA (2005, p.4): “O NIST da
Secretaria de Comércio dos Estados Unidos da América definiu uma família de variantes do
SHA, entre elas, o SHA-256, SHA-384 e o SHA-512, com respectivamente, 256, 384 e 512
bits de saída”. A figura 10 demonstra as variantes do SHA-1:
9 FIPS- É um documento de publicação Federal de Padrões de Processamento de Informações emitido pelo
NIST(National Institue of Standards and Technology)
29
FIGURA 10: Tamanho de SHA
FONTE: http://pt.wikipedia.org/wiki/SHA-1
30
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-Brasil)
A Infra-estrutura de chaves públicas do Brasil foi instituída em 24 de agosto de
2001, pela Medida Provisória10(MP) 2.200-2. Essa MP foi uma resultante das necessidades da
Casa Civil da Presidência da República na implantação do “Governo Eletrônico”, onde,
necessitava-se assegurar e legalizar todas as atividades eletrônicas do governo, além de
promover a inclusão digital da sociedade brasileira.
Segundo GUELFI (2007, p.79):
A implantação da ICP-Brasil teve natureza administrativa, tendo como objetos reais a emissão e distribuição de certificados digitais e seu controle de qualidade, além dos objetivos legais de assegurar autenticidade, integridade e validade jurídica aos documentos eletrônicos, como também as transações eletrônicas seguras, conforme descrito no artigo 1º da MP 2.200/01.
No ponto de vista de SILVA et al (2008, p.79) a ICP-Brasil é definida como: “(...) um
conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema
criptográfico com base em certificados digitais. (...) com vistas a inserir maior segurança nas
transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios”.
Percebe-se que, além de gerir todo o sistema de chaves-públicas no Brasil, a ICP-
Brasil comporta-se como uma terceira parte confiável, onde uma de suas principais funções é
garantir que uma determinada chave pública pertença a uma pessoa, software ou computador,
e que a (o) mesma (o) possui a chave privada correspondente.
10 Medida provisória (MP) é um ato unipessoal do presidente da República, com força de lei, sem a participação
do Poder Legislativo, que somente será chamado a discuti-la e aprová-la em momento posterior. O pressuposto da MP é urgência e relevância.
313.1 Garantias Oferecidas Pela ICP-Brasil
Devido aos métodos e práticas necessárias para a obtenção de certificados digitais
através da ICP-Brasil, são transmitidas aos titulares de certificados várias garantias, como
descreve SILVA et al (2008, p.80):
• O par de chaves criptográficas deve ser gerado sempre pelo próprio
titular, uso e conhecimento; • Os documentos assinados com processo de certificação da ICP-
Brasil possuem presunção de validade jurídica; • São utilizados padrões internacionais para os certificados, bem
como algoritmos criptográficos e tamanhos de chaves que oferecem nível de segurança aceitável internacionalmente;
• As instalações e procedimentos das entidades credenciadas possuem um nível pré-estabelecido da segurança física, lógica, de pessoal e procedimental em padrões internacionais;
• As entidades componentes da ICP-Brasil são obrigadas a declarar em repositório público as práticas de segurança utilizadas em todos os seus processos;
• As entidades estão sujeitas a uma auditoria prévia ao credenciamento, e auditorias anuais para manter-se credenciadas;
• Os dados relativos aos certificados são mantidos por no mínimo trinta anos, para permitir comprovação e diminuir dúvidas sobre a assinatura de documentos, atendendo legislações específicas de guarda de documentos;
• Todas as autoridades certificadoras são obrigadas a contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco;
• É obrigatória a validação presencial dos titulares para obtenção de certificados.
3.2 A Estrutura da ICP-Brasil
Em síntese GUELFI (2007,p.26) explica que a estrutura da ICP-Brasil é hierárquica,
constituída de: um Comitê Gestor, um Comitê Técnico, uma Autoridade Certificadora Raiz,
uma cadeia de Autoridades Certificadoras subsequentes e por uma cadeia de Autoridades de
Registro.A figura 11 exemplifica a estrutura da ICP-Brasil:
32
FIGURA 11: Estrutura da ICP-Brasil FONTE: SILVA et al (2008, p.82).
3.2.1 Comitê Gestor - Sua função é a de estabelecer normas, critérios e políticas
para o credenciamento das Autoridades Certificadoras (ACs), Autoridades de Registro (ARs)
e demais partes envolvidas na certificação digital. Possui também a função de auditar a
Autoridade Certificadora Raiz. Segundo SILVA et al (2008, p.83) “Ele atualiza a ICP-Brasil,
garante sua compatibilidade e promove a atualização tecnológica do sistema e sua
conformidade com as políticas de segurança”.
3.2.2 Comitê Técnico (COTEC) - “presta suporte técnico e assistência ao Comitê
Gestor, sendo responsável por manifestar-se, previamente, sobre as matérias apreciadas e
decididas por este.” (SILVA et al, 2008, p.83).
3.2.3 Autoridade Certificadora Raiz – É a primeira Autoridade certificadora na
hierarquia, cabendo a ela executar todos os critérios, normas e políticas aprovadas pelo
Comitê Gestor. GUELFI (2007, p.29) explica que a autoridade Raiz é operada pelo Instituto
Nacional de Tecnologia da Informação (ITI), sendo este, uma Autarquia11 Federal vinculada
à Casa Civil da Presidência da República.
11 Autarquia - Serviço autônomo criado por lei, com personalidade jurídica de direito público, patrimônio e
receita próprios, para executar atividades típicas da Administração Pública, que requeiram para seu melhor funcionamento gestão administrativa e financeira descentralizada.
33Em complemento SILVA et al (2008, p.84) destaca como outra função da
Autoridade Certificadora Raiz: “(...) executar atividades de fiscalização e auditoria das Acs e
das Ars e dos prestadores de serviço habilitados na ICP; em conformidade com as diretrizes e
normas técnicas estabelecidas pelo comitê Gestor da ICP-Brasil”.
3.2.4 Autoridades Certificadoras (Acs) – São entidades credenciadas que emitem,
expedem, distribuem, revogam, renovam, gerenciam os certificados e distribuem as Listas de
certificados revogados (LCRs) a todos os usuários.
No ponto de vista de GUELFI (2007, p.36):
As Autoridades Certificadoras Subseqüentes desempenham uma atividade de certificação semelhante àquelas empenhada pela Autoridade Certificadora Raiz, à qual geralmente é ligada. A diferença encontra-se justamente no nível de aplicação. Sua atividade aplica-se a um nível hierárquico inferior, destinando-se ao usuário final.
3.2.5 Autoridades de Registro (ARs) – São entidades operacionais vinculadas a
uma AC. Sua função é cadastrar e identificar os usuários de forma presencial, encaminhar a
solicitação de certificados às Acs mantendo os registros de suas operações. MANZUTTI
(2007, p.22) complementa: “Como exemplo de AR’s poderíamos citar a AR SERPRO e AR
ANOREG (Associação dos Notários e Registradores do Brasil). As duas são subordinadas à
AC SERPRO e algumas instituições financeiras subordinadas à SRF.”
Segundo SILVA et al (2008, p.85), na estrutura da ICP-Brasil ainda encontram-se:
• Prestador de Serviços de Suporte (PSS) - São empresas contratadas que
disponibilizam infra-estrutura física e lógica e recursos humanos especializados;
• Auditorias Independentes - são empresas especializadas contratadas pelas
autoridades certificadoras para realizar auditorias nas entidades a elas subordinadas.
34
• Titulares de Certificados – pessoas físicas ou jurídicas que podem ser titulares dos
certificados digitais emitidos por uma das Acs da ICP-Brasil.
Na tabela 02, demonstra-se uma visão macro dos componentes da ICP-Brasil:
Tabela 02: Componentes da ICP-Brasil. FONTE: Bezerra (2008, p.36)
Componente Normativo Responsável: CG ICP-Brasil
Papéis: Definir políticas, diretrizes, normas e regras operacionais. Características: regulador de atividades econômico produtivas, formulador de políticas com poder de normalização (órgão sistêmico), fiscalização (auditoria) e poder de polícia (fazenda pública).
Componente de Credenciamento Responsável: AC Raiz
Papéis: Realizar credenciamento, auditorias e certificação. Características: órgão credenciador, auditor e fiscalizador das políticas diretrizes, normas e regras (regulamentos técnicos) definidos pelo CG.
Componente Operacional Responsáveis: ACs e ARs
Papéis: Fazer a expedição de certificados de chaves públicas e de selos digitais. Características: Identificação, cadastramento e lançamento da base operacional da ICP-Brasil
3.3 Diretório Público
Utilizados pelas ACs como um meio de distribuição de certificados, o diretórios públicos são unidades de armazenamento, virtual, de certificados digitais, tanto de usuários finais quanto de Acs e das listas de certificados revogados (LCRs) destinados, de forma pública, à consulta e download do seu conteúdo. No ponto de vista de IGNACZAK (2002, p.8):
O diretório público não necessita estabelecer uma conexão segura com o usuário no momento da busca e download de um certificado. O certificado é conferido através de sua assinatura digital. O diretório público deve, somente, possuir os dados atualizados, além de assegurar ao usuário bons mecanismos para manter seu nível de disponibilidade muito alto.
353.3.1 LDAP (Lightweight Directory Access Protocol) – É um protocolo leve e
flexível de acesso a banco de dados distribuídos. Trabalha com o protocolo TCP/IP12, o que o
tornou um padrão para utilização na internet. BEZERRA (2008, p.33) explica que: “O LDAP
foi projetado para permitir a unificação de diretórios, resolvendo os problemas decorrentes de
sua proliferação pela rede”. Sua principal função é disponibilizar o acesso, de forma
amigável, aos diretórios públicos.
3.4-Autoridades certificadoras de primeiro nível
Na hierarquia ICP-Brasil, logo abaixo da Autoridade Certificadora Raiz, destacam-
se as Autoridades Certificadoras de primeiro nível, que são: Serpro, Caixa Econômica
Federal, Serasa, Secretaria da Receita Federal, Certisign, Imesp (Imprensa Oficial),
Autoridade certificadora da Justiça (AC-JUS) e Presidência da Republica (ACPR). Devido à
sua importância e relevância a tabela 03 as descreve:
Tabela 03: Autoridades Certificadoras de Primeiro Nível FONTE: Azevedo et al (2009, p.49)
Entidade Logo Observação
Serpro
O Serpro foi a primeira autoridade certificadora credenciada pela ICP-Brasil . E desde 1999, procura divulgar o uso dessa tecnologia para os vários segmentos com que trabalha.
12 TCP/IP é um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha
e protocolos TCP/IP). Seu nome vem de dois protocolos: o TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) e o IP (Internet Protocol - Protocolo de Interconexão).
36Entidade Logo Observação
Serasa
Para a Serasa, a tecnologia de certificação digital é o instrumento que viabiliza a inserção dos diversos agentes econômicos e cidadãos brasileiros em uma sociedade digital . A Serasa fornece a segurança dos certificados digitais pra quase todos os grupos financeiros participantes do Sistema de Pagamentos Brasileiro (SPB).
Secretaria da Receita Federal do Brasil
A Receita Federal do Brasil (RFB) disponibiliza uma grande quantidade de serviços web, com o objetivo de simplificar ao máximo a vida dos contribuintes e facilitar o cumprimento espontâneo das obrigações tributárias. Por meio do serviço Receita222, contribuinte de forma interativa, via internet,com uso de certificados digitais, garantindo a identificação inequívoca dos usuários
Certsign
Com o apoio da Certisign, empresa fundada em 1996 com foco exclusivamente no desenvolvimento de soluções de certificação digital para o mercado brasileiro, importantes instituições vêem adotando a tecnologia nas mais diversas formas.
Imesp (Imprensa Oficial do Estado de São Paulo)
A Imprensa Oficial é a Autoridade Certificadora Oficial do Estado de São Paulo e está credenciada e preparada para oferecer produtos e serviços de certificação digital para os poderes executivo, legislativo e judiciário, incluindo todas as esferas da administração pública, direta e indireta, nos âmbitos federal, estadual e municipal.
37Entidade Logo Observação
JUS (Autoridade Certificadora da Justiça
A autoridade Certificadora da Justiça (AC-JUS) é Gerenciada por um Comitê Gestor que a partir de outubro de 2005 é composto por representantes do STF, STJ, TST, TSE, STM, CNJ, CJF,e o CSJT. Trata-se da primeira autoridade certificadora do Poder Judiciário no mundo. Sua Implementação possibilitou a definição de regras e perfis de certificados, específicos para aplicações do Judiciário e resulta da necessidade crescente de transpor a mesma credibilidade e segurança existentes hoje no “mundo do papel” para o “mundo digital” A autoridade Certificadora da Presidência da República -ACPR foi criada em abril de 2002, por uma iniciativa da Casa Civil, no âmbito do governo eletrônico (e-Gov) e tem como objetivo emitir e gerir certificados digitais das autoridades da Presidência da República, ministros de estado, secretários-executivos e assessores jurídicos que se relacionem a PR.
Presidência da República
38A figura 12 demonstra a estrutura completa da ICP-Brasil :
FIGURA 12: Estrutura ICP-Brasil FONTE:http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pd
f
3.5 Auditoria na ICP-Brasil
As auditorias realizadas na ICP-Brasil visam garantir a qualidade, segurança e a
credibilidade de todo o procedimento de certificação digital brasileiro. Para SILVA et al
(2008, p.107): “As auditorias tem contribuído para manter a qualidade dos serviço e processos
realizados na ICP-Brasil e mesmo para melhorar os patamares de atuação.” Os critérios e
procedimentos das auditorias realizadas nas entidades da ICP-Brasil são definidos pela
Resolução n.º 44 do ITI de 18 de abril de 2006. SILVA et al (2008, p.99) explica que esta
Resolução classifica as auditorias em dois tipos: Pré-operacional e Operacional. A auditoria
Pré-operacional ocorre antes do credenciamento na ICP-Brasil, já a auditoria Operacional é
39realizada no mínimo uma vez por ano, em entidades já credenciadas. O objetivo deste tipo de
auditoria é poder verificar se os requisitos, critérios, políticas de segurança e operação
continuam em concordância com os exigidos para o credenciamento. Assim é possível avaliar
se a entidade auditada ainda possui as características necessárias para continuar sendo
reconhecida como credenciada.
Ainda com base na Resolução nº. 44 do ITI, a tabela 04 demonstra quais entidades
podem executar as auditorias:
Tabela 04: Executores de auditoria nas entidades da ICP-Brasil FONTE: Silva et al (2008, p.101)
ENTIDADE EXECUTOR DA AUDITORIA Pré-Operacional Operacional AC Raiz Comitê Gestor da ICP-Brasil ou
seus prepostos Comitê Gestor da ICP-Brasil. ou seus prepostos.
AC de 1º nível AC Raiz AC Raiz. AC de 2º nível AC Raiz Empresa de auditoria independente
cadastrada junto à ICP-Brasil. AR Empresa de auditoria independente
cadastrada junto à ICP-Brasil AC à qual a AR se vincula ou auditoria interna da AR cadastrada junto à ICP-Brasil ou empresa de auditoria independente cadastrada junto à ICP-Brasil .
AR no Exterior AC Raiz ou, a seu critério, empresa de auditoria independente cadastrada junto a ICP-Brasil .
AC Raiz ou, a seu critério, empresa de auditoria independente cadastrada junto a ICP-Brasil .
PSS Empresa de auditoria independente cadastrada junto à ICP-Brasil
AC à qual o PSS se vincula ou empresa de auditoria independente junto a ICP-Brasil .
3.5.1 Etapas de uma Auditoria - SILVA et al (2008, p.101) ainda explica as etapas
de uma auditoria, seja ela, pré-operacional ou operacional, quer seja realizada em AC, AR ou
prestador de suporte:
• Análise dos documentos obrigatórios;
• Análise de documentos complementares;
• Planejamento dos testes;
• Auditoria de campo;
40
• Encerramento e acompanhamento;
• Itens verificados durante a auditoria.
3.5.2 Auditoria Pré-operacional - Segundo SILVA et al (2008, p.102) uma
auditoria pré-operacional de uma Autoridade certificadora e Autoridade de Registro têm por
obrigatoriedade verificar todos os itens de segurança, procedimentos constantes das
resoluções, Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC) e
Política de Segurança (PS). Podendo ser agrupados em sete áreas:
1. Segurança de pessoal;
2. Segurança física;
3. Segurança lógica;
4. Segurança de rede;
5. Segurança da informação;
6. Gerenciamento de chaves criptográficas e do certificado da própria AC;
7. Gerenciamento do ciclo de vida dos certificados.
As auditorias realizadas devem ser capazes de identificar e não permitir a existência
de problemas graves, como exemplifica SILVA et al (2008, p.107):
• Utilização de sala-cofre sem os requisitos de estanquiedade (segurança) necessários;
• Manutenção de bases de dados corrompidas; • Não utilização de VPN (rede privada virtual) para proteger o
tráfego de dados para o servidor da AC; • Alocação de pessoas despreparadas para executar a tarefa de
Agentes de Registro; • Não verificação da vulnerabilidade dos servidores, tendo em
decorrência, sistemas desatualizados e com graves falhas de segurança;
• Não realização de análise dos arquivos de logs (registro) de eventos críticos;
• Perda de imagens dos ambientes pela falta de troca das fitas de vídeo em tempo hábil;
• Emissão de certificados a titulares sem a respectiva documentação.
41
3.5.3 Auditoria Operacional – Verificam-se todos os itens da auditoria Pré-
Operacional, porém acrescentando a análise de registros e eventos já realizados:
• ACs: Certificados emitidos, revogados, logs de acessos ao ambiente físico e lógico;
• ARs: Certificados emitidos, qualidade dos processos de identificação e validação dos
solicitantes de certificados.
42
4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA
INFORMAÇÃO BRASILEIRA
A utilização da certificação digital garante às pessoas, empresas, softwares ou
computadores uma maior segurança nas suas atividades no meio digital. Garantindo a
integridade, autenticidade, confidencialidade, disponibilidade e não-repúdio das informações
disponibilizadas, conforme explicado nos capítulos anteriores. O presente capítulo tem por
objetivo demonstrar os benefícios transmitidos à sociedade da informação com a utilização da
tecnologia em questão. Tal demonstração será realizada através do exemplo de dois projetos:
ICP-EDU e o SPED. Sendo o primeiro, vinculado à área acadêmica e o segundo vinculado à
área Fiscal.
4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) - É um projeto
pioneiro no país, tem como objetivo implantar todas as técnicas de segurança digital através
da utilização de certificados digitais no ambiente acadêmico, apresentando os mesmos
benefícios disponibilizados pela técnica de certificação digital comercial, porém de forma
gratuita. Outro objetivo, não menos importante, do projeto é unificar e interligar as diversas
infra-estruturas de chaves públicas (ICP) de diferentes universidades, encontradas no meio
acadêmico através de uma única autoridade certificadora, conhecida como AC Raiz da ICP-
EDU.
FRIEDRICH (2008, p.10) explica que em 2003 a Rede Nacional de Ensino e
Pesquisa (RPN) lançou uma chamada pública de projetos buscando atender às necessidades
de segurança digital no âmbito acadêmico. O projeto vencedor foi o GT ICP-EDU,
desenvolvido em cooperação de algumas Universidades Brasileiras, como: Universidade
Federal de Minas Gerais (UFMG), a Universidade Federal de Santa Catarina (UFSC) e a
43Universidade Estadual de Campinas (Unicamp). Esta tecnologia funciona como uma grande
aliada tanto para as Universidades quanto para seus usuários, pois o meio acadêmico possui
um tráfego digital de informações importantes, tais como: históricos escolares, resultados de
pesquisas, notas de provas, informações financeiras, informações médicas, etc.
4.1.1 Estrutura do SGCI - Segundo FRIEDRICH (2008, p.20), a estrutura SGCI é
dividida em três partes: Sistema Gestor, Módulo Público e Diretório Público.
• Sistema Gestor: Possui todas as funções características da infra-estrutura de chaves
públicas (ICP), tais como criação e gerenciamento de Autoridades Certificadoras e
Autoridade de Registro.
• Módulo Público: Serve de canal para os usuários finais realizarem a solicitação do
certificado digital junto ao operador responsável pela verificação dos dados.
• Diretório Público: Funciona como um repositório para os certificados digitais e
também para as Listas de Certificados Digitais (LCRs).
A figura 13 demonstra a estrutura do SGCI:
FIGURA 13 – Estrutura do SGCI FONTE: Friedrich (2008, p.20)
44A figura 14 demonstra um exemplo de certificado digital:
FIGURA 14: Exemplo de Certificado Digital
FONTE: Friedrich (2008, p.15)
4.1.2 Modulo de Hardware Seguro – Desenvolvido pela Rede Nacional de Ensino
e Pesquisa (RNP) o Módulo de Hardware Seguro ou Hardware Secure Module (HSM),
funciona como um cofre de chaves privadas para uma AC e também como meio de
transmissão dados de forma segura. FRIEDRICH (2008, p. 22) complementa sua definição:
Ele é um protótipo que, além de atuar como acelerador criptográfico, podendo chegar a realizar centenas de assinaturas por segundo com a chave privada que protege, possui a finalidade de propiciar uma transmissão de dados realmente segura para sistemas de gerenciamento de certificados, isto é, possibilita a gestão segura do ciclo de vida de chaves privadas.
45
A figura 15 é uma imagem de um HSM:
FIGURA 15 – Modulo de Hardware Seguro
FONTE: Friedrich (2008, p.23)
4.1.3 AC Correio – A AC - Correio tem com função emitir certificados digitais para
a utilização em correios eletrônicos. Esta entidade acelera a emissão de certificados, pois ela
se baseia na seguinte idéia: certificado solicitado, certificado emitido. Percebe-se que, com a
prática desta idéia, os dados do usuário não sofrem verificação alguma. FRIEDRICH (2008,
p.28) explica que isso é perfeitamente possível de se realizar sem que se comprometa a
estrutura de segurança, pois para que um pessoa possua o e-mail disponibilizado pela
universidade, seus dados são verificados de antemão pela mesma.
4.1.4 Benefícios da utilização da ICP-EDU - Segundo FRIEDRICH (2008, p.42)
com a utilização do SGCI (ICP-EDU) no ambiente acadêmico, concluem-se os seguintes
benefícios:
46
• Otimização de processos, maior disponibilidade de serviços, menor burocracia, maior
segurança;
• Redução de custos através da desmaterialização de documentos de papel, tornando-os
digitais, além de maior agilidade no trâmite dos mesmos;
• Todos os benefícios da certificação digital acadêmica são transferidos às universidades
de forma gratuita, sem a necessidade de recorrer à instituições privadas , através deste
projeto.
4.2 Projeto SPED (Sistema Público de Escrituração Digital)
Devido ao avanço tecnológico e a certificação digital, foi possível a realização de
mudanças expressivas no fisco brasileiro. Tais mudanças, permitiram o envio de informações
tributárias e fiscais por meio eletrônico, de forma segura e rápida aos órgãos fiscalizadores,
minimizando assim, o tempo e recursos despendidos nos processos fiscalizatórios.
AZEVEDO et al (2009, p. 37) explica:
O projeto SPED (Sistema Público de Escrituração Digital) pretende alterar a forma de cumprimento das obrigações acessórias realizadas pelos contribuintes, substituindo a emissão de livros e documentos contábeis e fiscais em papel por documentos eletrônicos, cuja autoria, integridade e validade jurídica é reconhecida pelo uso da certificação digital.
4.2.1 Os principais objetivos do projeto SPED
• Promover atuação Integrada dos Fiscos;
• Racionalizar as obrigações acessórias para os Contribuintes;
• Tornar mais célere13 a identificação de ilícitos tributários.
13 Célere- adj m+f (lat celere) Ligeiro, veloz. Sup abs sint: celeríssimo ou celérrimo. Antôn: lento, moroso.
474.2.1.1 O objetivo de promover atuação Integrada dos Fiscos – A falta de
padronização das informações solicitadas em diversas linguagens pelas esferas dos governos
Federal, Estadual e Municipal, faz com que os contribuintes sofram com a diversidade de
obrigações acessórias e a forma de entrega aos órgãos fiscalizadores correspondentes. Em
AZEVEDO et al (2009, p.38) percebe-se que: “As diversas esferas de governo (...) mantendo
um sistema que obriga as empresas a manter arquivos diversos, com informações repetidas
(...) muitas vezes não surtem efeito desejado à fiscalização”. Em virtude disso, o projeto
SPED propõem a padronização das informações solicitadas pelas esferas governamentais,
possibilitando o armazenamento destas em uma única base de dados, melhorando assim, a
capacidade de fazer cruzamentos de informações e padronizando o arquivo onde o
contribuinte cumpre com suas obrigações acessórias.
4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para
os contribuintes – O SPED possibilita a entrega de uma única obrigação acessória ao
contrário do que é feito hoje, onde várias obrigações são entregues. Os Fiscos interessados
acessarão a mesma base de dados, porém, respeitando e mantendo o sigilo garantido na
Constituição Federal.
AZEVEDO et al (2009, p. 39) explica que:
(...) o contribuinte terá uma simplificação de suas obrigações acessórias facilitando e racionalizando suas informações. Porém, essa simplificação não será uma diminuição das informações solicitadas, mas somente a diminuição da quantidade de declarações entregues.
4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários - O
fato de possuir apenas uma base de dados, com layouts estruturados, acelera o cruzamento de
informações entregues pelos contribuintes. AZEVEDO et al (2009, p.40) explica que”. Nessa
sistemática digital, o Fisco pode fazer a checagem dos dados enviados pelas empresas, uma
48vez que a venda (saída) de uma empresa representa a compra (entrada) de outra”. Esta
operação é feita de forma eletrônica o que transparece com maior eficiência os ilícitos,
dificulta e muito, a sonegação fiscal e permite ao fisco realizar checagens, identificar
irregularidades e lavrar autos de infração em temo quase real.
4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) – Sistema
Público de Escrituração Digital se divide em três subprojetos: a ECD – Escrituração Contábil
Digital; a EFD – Escrituração Fiscal Digital; e, a NF-e –Nota Fiscal Eletrônica. AZEVEDO et
al (2009, p. 40) deixa claro que: “(...) cada projeto tem estrutura e andamento próprios,
ocorrendo apenas a interligação entre eles, para não fugir da sua premissa principal que é a
integração das informações;”
A figura 16 demonstra a Estrutura do SPED:
FIGURA 16: Estrutura do SPED FONTE: AZEVEDO et al (2009, p. 41)
4.2.3. Escrituração Contábil Digital (ECD) – O SPED Contábil visa à substituição
da emissão de livros contábeis (diário e razão) pela sua existência apenas digital.
494.2.4. Escrituração Fiscal Digital (EFD) – O SPED Fiscal objetiva a substituição
da emissão de livros fiscais em papel pela sua existência digital.
AZEVEDO et al (2009, p.41) explica que na primeira fase do projeto está previsto a
entrega dos seguintes livros em forma digital:
a) Registro de Entradas;
b) Registro de Saídas;
c) Registro de Apuração do ICMS;
d) Registro de Apuração do IPI;
e) Registro de Inventário;
4.2.5 Nota Fiscal eletrônica (NFe ) – No ponto de vista de AZEVEDO et al (2009, p. 75):
A Nota Fiscal eletrônica (NF-e) pode ser conceituada como sendo um documento de existência exclusivamente digital, emitido e armazenado eletronicamente, com o intuito de documentar uma operação de circulação de mercadorias ou prestação de serviços, cuja validade jurídica é garantida pela assinatura digital do emitente e a Autorização de Uso fornecida pela administração tributária do domicílio do contribuinte.
AZEVEDO et al (2009, p.75) ainda explica que os objetivos que o projeto busca são:
• Implantação de um modelo nacional de documento fiscal eletrônico;
• Substituição da sistemática atual do documento em papel; • Fortalecimento do controle e fiscalização; • Simplificação de obrigações acessórios do contribuinte; • Permissão para o controle em temo real das operações comerciais
pelo fisco;
4.2.5.1 Forma de Credenciamento - Para que o contribuinte possa emitir a NF-e, é
necessário que o mesmo esteja credenciado à Sefaz da unidade Federal onde estiver inscrito.
50
Este credenciamento pode ser feito de maneira voluntária, quando o contribuinte se manifesta,
ou de ofício, quando é feito pela Sefaz independente da manifestação do contribuinte.
AZEVEDO et al (2009, p.64) explica que o credenciamento é feito no site nacional
da NF-e www.nfe.fazenda.gov.br, onde o contribuinte encontrará os links das Unidades da
Federação, com as informações a respeito, exceto os estados do Amapá e Roraima. No caso
dos contribuintes do estado do Amapá, o mesmo pode obter informações no link
http://www.sefa.ap.gov.br/download/MANUAL_CREDNCIAMENTO_AP_1.0.pdf. Para os
contribuintes de Roraima, as informações podem ser requeridas pelo e-mail:
4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma
simplificada os passos do processamento da NF-e :
a) A empresa emissora de NF-e gera um arquivo eletrônico contento as informações fiscais da operação comercial e a assina digitalmente, de maneira a garantir a integridade dos dados e a autoria do emissor. b) O arquivo eletrônico, que corresponderá a Nota Fiscal Eletrônica (NF- e), será transmitido pela internet para a Secretaria da Fazenda de jurisdição do contribuinte; c) A Sefaz recebe o arquivo e devolve um protocolo de recebimento; d) A Sefaz faz uma pré-validação do arquivo verificando a validade da assinatura digital, a consistência do esquema XML, se o emitente está regular perante o Fisco e se não há duplicidade de número e série do documento fiscal; e) Autorizado o uso da NF-e, a Sefaz devolverá um protocolo de Autorização de Uso, sem o qual não poderá haver o transito da mercadoria; f) A sefaz enviará o arquivo à Secretaria Receita Federal, que será repositório nacional de todas as NF-e emitidas (Ambiente Nacional). g) A receita Federal no caso de operação interestadual enviará para a Secretaria de Fazenda de destino da operação e Suframa14, no caso de mercadorias destinadas às áreas incentivadas; h) Com a autorização de uso, a mercadoria pode ser transportada para o destino, circulando com a Danfe (Documento Auxiliar da Nota Fiscal eletrônica);
14 Suframa - Superintendência da Zona Franca de Manaus é uma autarquia vinculada ao Ministério do
Desenvolvimento, Indústria e Comércio Exterior que administra a Zona Franca de Manaus - ZFM, com a responsabilidade de construir um modelo de desenvolvimento regional que utilize de forma sustentável os recursos naturais, assegurando viabilidade econômica e melhoria da qualidade de vida das populações locais.
51
FIGURA 17: Processamento da Nota Fiscal FONTE: http:/ /image005.gif
4.2.5.3 Benefícios do Projeto NF-e – O projeto Nota Fiscal eletrônica implica em
mudanças na emissão e gestão das informações fiscais, trocando a cultura de documentos em
papel pela cultura de documentos no formato digital, gerando benefícios para os contribuintes
e para as administrações tributárias. O portal da Nota Fiscal Eletrônica destaca tais
benefícios do Projeto:
Benefícios para o Contribuinte Vendedor (Emissor da NF-e)
papel;
i) Receberá a mercadoria, o destinatário deve escriturar a NF-e, conforme arquivo enviando pela emitente ou pela Danfe, se o destinatário não estiver obrigado a emitir 100% de NF-e.
A figura 17 demonstra o processamento da Nota Fiscal eletrônica:
/www.sefaz.ma.gov.br/nfe/descricao_arquivos
15
• Redução de custos de impressão; • Redução de custos de aquisição de
15 Portal da Nota Fiscal Eletrônica- http://www.nfe.fazenda.gov.br/portal/Default.aspx , acessado em: 10 de
novembro de 2009
52 fiscal;
s fiscais; IDF;
e
• a uso de relacionamentos eletrônicos com clientes
enefícios para o Contribuinte Comprador (Receptor da NF-e)
ão de
• de logística de entrega pela recepção antecipada da
• escrituração devido a erros de digitação de
• onamentos eletrônicos com fornecedores
enefícios para a Sociedade
de papel, com impacto positivo no meio
• o comércio eletrônico e ao uso de novas tecnologias;
ação
Benefícios para as Administrações Tributárias
ssibilitando um melhor
• ais
• bil e fiscal da
4.3 Conclusões finais - Graças ao avanço da tecnologia, principalmente, a
certificação digital, o meio virtual pode ser utilizado de forma mais abrangente e segura,
criando inúmeros benefícios para a sociedade, em particular a brasileira.
• Redução de custos de envio do documento• Redução de custos de armazenagem de documento• Simplificação de obrigações acessórias, como dispensa de A• Redução de tempo de parada de caminhões em Postos Fiscais d
Fronteira; Incentivo (B2B16);
B• Eliminação de digitação de notas fiscais na recepç
mercadorias; Planejamento informação da NF-e; Redução de erros de notas fiscais; Incentivo ao uso de relaci(B2B);
B• Redução do consumo
ambiente; Incentivo a
• Padronização dos relacionamentos eletrônicos entre empresas; • Surgimento de oportunidades de negócios e empregos na prest
de serviços ligados à Nota Fiscal Eletrônica.
• Aumento na confiabilidade da Nota Fiscal;• Melhoria no processo de controle fiscal, po
intercâmbio e compartilhamento de informações entre os fiscos; Redução de custos no processo de controle das notas fisccapturadas pela fiscalização de mercadorias em trânsito; Diminuição da sonegação e aumento da arrecadação;
• Suporte aos projetos de escrituração eletrônica contáSecretaria da RFB (Sistema Público de Escrituração Digital – SPED).
16 Business to Business - B2B é o nome dado ao comércio eletrónico associado a operações de compra e venda,
de informações, de produtos e de serviços através da Internet ou através da utilização de redes privadas.
53 Como foi descrito no presente capítulo, o projeto ICP-EDU institui o conceito da
Certificação Acadêmica. Observa-se que, a partir desta iniciativa, a sociedade acadêmica
adquiriu benefícios importantes, tais como: Segurança da informação, a utilização de
documentos digitais, diminuindo os custos com papel, impressão e meios de armazenamento.
A importante unificação e interligação das várias ICPs de diversas Universidades, através de
uma ICP principal, conhecida como ICP-Raiz da ICP-EDU. Garantindo que um certificado
digital de uma universidade continue sendo válido em outra universidade distinta.
Ainda valendo ressaltar que, por se tratar de uma Certificação acadêmica, tais
benefícios são disponibilizados de forma gratuita, sem necessidade da intervenção de uma
entidade certificadora comercial.
O projeto SPED, também apresentado no atual capítulo, beneficia toda a sociedade
fiscal, sendo ele constituído de entidades fiscalizadoras e contribuintes.
Valendo-se das práticas de certificação digital, tornou-se possível a utilização de
documentos digitais, ao invés de documentos de papel. O projeto conseguiu unificar e
padronizar as três esferas governamentais: Federal, Estadual e Municipal. Garantindo ao
contribuinte uma simplificação e padronização das obrigações acessórias.
Percebe-se também que, ao conseguir unificar as informações em uma única base de
dados, as consultas e cruzamentos de informações ficaram mais ágeis e precisas, dificultando,
e muito, a sonegação fiscal.
Nota-se que, com a implantação da NF-e, houve uma melhora na credibilidade da
nota fiscal. Seguida de uma gerência mais precisa, rápida e menos custosa, tanto para o fisco
brasileiro, quanto para o contribuinte.
54
CONCLUSÃO
Com a utilização crescente do meio digital de forma mais abrangente pela sociedade
é necessário que se instale uma tecnologia de segurança eficiente. A certificação digital se
mostrou como uma ferramenta de segurança capaz de garantir os atributos de segurança:
confidencialidade, integridade e autoridade.
Percebe-se o quanto é importante o papel da ICP-Brasil. Sua existência garante às
práticas envolvendo certificados digitais uma terceira parte de confiança, garantindo que de
fato um certificado é de uma determinada entidade. Garantindo também a viabilidade da
validade jurídica do documento digital.
É possível concluir em relação aos projetos ICP-EDU e o SPED, que a certificação
digital não gerou apenas benefícios de segurança, mas também inúmeros benefícios ligados a
redução de custos, agilidade nos procedimentos realizados, maior eficiência na gerência da
informação e, principalmente, um avanço tecnológico para o país e uma maior inclusão digital
da sociedade brasileira.
55
REFERÊNCIAS BIBLIOGRÁFICAS
ALECRIM, Emerson. Entendendo a Certificação Digital. Disponível em: <http://www.infowester.com/assincertdigital.php>. Acesso em: 12 set. 2009. AZEVEDO, Osmar Reis; MARIANO, Paulo Antonio. Sped - Sistema Público de Escrituraçao Digital. 1º São Paulo: Iob, 2009. BRASIL. Receita Federal. Ministério da Fazenda. Portal da Nota Fiscal Eletrônica. Disponível em: <http://www.nfe.fazenda.gov.br/portal/beneficios.aspx>. Acesso em: 17 set. 2009. BEZERRA, Marcos Antonio De Souza. Certificação Digital Utilização em Aplicações Web. 2008. 66 f. Monografia (Bacharelado) - Instituto de Educação Superior da Paraíba, João Pessoa, 2008. EID, Nayene Leocádia Manzutti. AVALIAÇÃO DO CONHECIMENTO E UTILIZAÇÃO DA CERTIFICAÇÃO DIGITAL EM CLÍNICAS DE RADIOLOGIA ODONTOLÓGICA. 2007. 73 f. Dissertação (Mestrado) - Universidade Estadual de Campinas, Piracicaba, 2007. FRIEDRICH, Diego Mostardeiro. ICP-UFSM: INFRA-ESTRUTURA DE CHAVES PÚBLICAS PARA A UNIVERSIDADE FEDERAL DE SANTA MARIA. 2008. 44 f. Monografia (Bacharelado) - Universidade Estadual de Campinas, Santa Maria, 2007. GUELFI, Airton Roberto. ANÁLISE DE ELEMENTOS JURÍDICO-TECNOLÓGICOS QUE COMPÕEM A ASSINATURA DIGITAL CERTIFICADA DIGITALMENTE PELA INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL - ICP-BRASIL. 2007. 135 f. Dissertação (Mestrado) - Escola Politécnica da Universidade de São Paulo, São Paulo, 2007. IGNACZAK, Luciano. Um Novo Modelo de Infra-estrutura de Chaves Públicas para Uso no Brasil Utilizando Aplicativos como Código Fonte Aberto. 2002. 125 f. Mestrado (Mestre em Ciências da Computação) - Universidade Federal de Santa Catarina, Florianópolis, 2002. LAUREANO, Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Economia & Tecnologia, Paraíba, v. 3, n. 8, p.38-44, 10 jun. 2005. Disponível em: <http://www.mlaureano.org/projects/seguranca/economia_tecnologia_seguranca.pdf>. Acesso em: 20 set. 2009. MARTINA, Jean Everson. Projeto de um Provedor de Serviços Criptográficos Embarcado para Infra-estrutura de Chaves Públicas e suas Aplicações. 2005. 167 f. Dissertação (Mestrado) - Universidade Federal de Santa Catarina, Florianópolis, 2005. SILVA, Luiz Gustavo Cordeiro da et al. Certificação Digital - Conceitos e Aplicações: Modelos Brasileiro e Autraliano. Rio de Janeiro: Ciência Moderna, 2008.
56 SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de Computadores: das Lans, Mans e Wans às redes ATM. 2º Rio de Janeiro: Elsevier, 1995. 705 p. TANENBAUM, Andrew S. Redes de Computadores / Andrew S. Tanenbaum. 4º Rio de Janeiro: Elsevier, 2003.