Upload
caroline-de-muzio
View
221
Download
0
Embed Size (px)
Citation preview
7/28/2019 Assinatura digital.docx
1/4
Assinatura digital
Esquema de funcionamento da assinatura digital (em castelhano).
Este artigo trata da assinatura digital utilizando a tecnologia PKI (Public KeyInfrastructure), que apenas uma das tcnicas disponveis para gerar documentos
digitais com validade legal, outros mtodos de assinatura digital esto em uso e a
tecnologia continua evoluindo e apresentando alternativas PKI.
Emcriptografia, a assinatura ou firma digital um mtodo de autenticao deinformao digital tipicamente tratada como anloga assinatura fsica em papel.
Embora existam analogias, existem diferenas importantes. O termoassinatura
eletrnica, por vezes confundido, tem um significado diferente: refere-se a qualquer
mecanismo, no necessariamente criptogrfico, para identificar o remetente de uma
mensagem electrnica. A legislao pode validar tais assinaturas eletrnicas comoendereos Telex e cabo, bem como a transmisso porfaxde assinaturas manuscritas em
papel.
A utilizao da assinatura ou firma digital providencia a prova inegvel de que uma
mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter
as seguintes propriedades:
autenticidade - o receptor deve poder confirmar que a assinatura foi feita peloemissor;
integridade - qualquer alterao da mensagem faz com que a assinatura nocorresponda mais ao documento;
no repdio ou irretratabilidade - o emissor no pode negar a autenticidade damensagem.
Essas caractersticas fazem a assinatura digital ser fundamentalmente diferente da
assinatura manuscrita.
Histria
Em 1976, Whitfield Diffie e Martin Hellman descreveram primeiramente a noo de um
esquema de assinatura digital, embora eles apenas conjecturaram que tais esquemasexistissem. Apenas mais tarde, Ronald Rivest, Adi Shamir, e Len Adleman inventaram
http://pt.wikipedia.org/wiki/Criptografiahttp://pt.wikipedia.org/wiki/Criptografiahttp://pt.wikipedia.org/wiki/Criptografiahttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Faxhttp://pt.wikipedia.org/wiki/Faxhttp://pt.wikipedia.org/wiki/Faxhttp://pt.wikipedia.org/wiki/Ficheiro:Firma_digital.jpghttp://pt.wikipedia.org/wiki/Ficheiro:Firma_digital.jpghttp://pt.wikipedia.org/wiki/Ficheiro:Firma_digital.jpghttp://pt.wikipedia.org/wiki/Ficheiro:Firma_digital.jpghttp://pt.wikipedia.org/wiki/Faxhttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Assinatura_eletr%C3%B4nicahttp://pt.wikipedia.org/wiki/Criptografia7/28/2019 Assinatura digital.docx
2/4
o algoritmo RSA que poderia ser usado para assinaturas digitais primitivas (note que
isso apenas serve como uma prova do conceito, e as assinaturas RSA puras no so
seguras). O primeiro pacote de software amplamente comercializado a oferecer a
assinatura digital foi o Lotus Notes 1.0, em 1989, que usava o algoritmo RSA.
Como notado ainda cedo, esse esquema bsico no muito seguro. Para prevenirataques pode-se primeiro aplicar uma funo de criptografia hash para a mensagem m e
ento aplicar o algoritmo RSA ao resultado. Outros esquemas de assinatura digital
foram logo desenvolvidos depois do RSA, o mais antigo sendo as assinaturas de
Lamport, de Merkle (tambm conhecidas como rvores de Hash) e as de Rabin.
Em 1984, Shafi Goldwasser, Silvio Micali, e Ronald Rivest tornaram-se os primeiros a
rigorosamente definir os requerimentos de segurana de esquemas de assinatura digital.
Eles descreveram uma hierarquia de modelos de ataque para esquemas de assinatura, e
tambm apresentaram o esquema de assinatura GMR, o primeiro que podia se prevenir
at mesmo de uma forja existencial contra um ataque de mensagem escolhida.
Como funciona?
Existem diversos mtodos para assinar digitalmente documentos, e esses mtodos esto
em constante evoluo. Porm de maneira resumida uma assinatura tpica envolve dois
processos criptogrficos: ohash(resumo) e a encriptao deste hash.
Em um primeiro momento gerado um resumo criptogrfico da mensagem atravs de
algoritmos complexos (Exemplos:MD5,SHA-1, SHA-256) que reduzem qualquer
mensagem sempre a um resumo de mesmo tamanho. A este resumo criptogrfico se d
o nome de hash. Uma funo de hash deve apresentar necessariamente as seguintescaractersticas:
Deve ser impossvel encontrar a mensagem original a partir do hash damensagem.
O hash deve parecer aleatrio, mesmo que o algoritmo seja conhecido. Umafuno de hash dita forte se a mudana de um bit na mensagem original resulta
em um novo hash totalmente diferente.
Deve ser impossvel encontrar duas mensagens diferentes que levam a ummesmo hash.
Neste ponto, o leitor mais atento percebe um problema: Se as mensagens possveis soinfinitas, mas o tamanho do hash fixo, impossvel impedir que mensagens diferentes
levem a um mesmo hash. De fato, isto ocorre. Quando se encontram mensagens
diferentes com hashs iguais, dito que foi encontrada uma coliso de hashes. Um
algoritmo onde isso foi obtido deve ser abandonado. As funes de hash esto em
constante evoluo para evitar que colises sejam obtidas. Cabe destacar porm que a
coliso mais simples de encontrar uma aleatria, ou seja, obter colises com duas
mensagens geradas aleatoriamente, sem significado real. Quando isto ocorre os
estudiosos de criptografia j ficam atentos, porm para comprometer de maneira
imediata a assinatura digital seria necessrio obter uma mensagem adulterada que tenha
o mesmo hash de uma mensagem original fixa, o que teoricamente impossvel de
ocorrer com os algoritmos existentes hoje. Desta forma, garante-se a integridade da
assinatura.
http://pt.wikipedia.org/wiki/Hashhttp://pt.wikipedia.org/wiki/Hashhttp://pt.wikipedia.org/wiki/Hashhttp://pt.wikipedia.org/wiki/MD5http://pt.wikipedia.org/wiki/MD5http://pt.wikipedia.org/wiki/MD5http://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/SHAhttp://pt.wikipedia.org/wiki/MD5http://pt.wikipedia.org/wiki/Hash7/28/2019 Assinatura digital.docx
3/4
Aps gerar o hash, ele deve ser criptografado atravs de um sistema de chave pblica,
para garantir a autenticao e a irretratabilidade. O autor da mensagem deve usar sua
chave privadapara assinar a mensagem e armazenar o hash criptografado junto a
mensagem original.
Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partirda mensagem que est armazenada, e este novo resumo deve ser comparado com a
assinatura digital. Para isso, necessrio descriptografar a assinatura obtendo o hash
original. Se ele for igual ao hash recm gerado, a mensagem est ntegra. Alm da
assinatura existe oselo cronolgicoque atesta a referncia de tempo assinatura.
Aspectos legais
Legislaes sobre o efeito e validade de assinaturas digitais:
BrasilConforme aMedida provisria 2.200-2, a lei brasileira determina que qualquerdocumento digital tem validade legal se for certificado pela ICP-Brasil (aICPoficial
brasileira). A medida provisria tambm prev a utilizao de certificados emitidos por
outras infra-estruturas de chaves pblicas, desde que as partes que assinam reconheam
previamente a validade destes.
O que a MP 2.200-2 portanto outorga ICP-Brasil a f pblica, considerando que o
certificado emitido pela ICP-Brasil qualquer documento digital assinado com pode de
fato ser considerado assinado pela prpria pessoa.
Resultado igual pode ser obtido se o usurio de um certificado emitido por outra ICP
qualquer, depositar em cartrio de registro o reconhecimento da mesma como sua
identidade digital. O que se quer preservar o princpio da irrefutabilidade do
documento assinado, assim sendo, o registro em cartrio de um documento no qual o
usurio reconhece como sendo seu um determinado certificado digital prova mais que
suficiente para vincular a ele qualquer documento eletrnico assinado com aquele
certificado.
Outras tecnologias disponveis oferecidas por empresas:
Assino e Verifico[1]Comunidade Europeia
Common Position EC 28/1999Community Framework for ElectronicSignature
Estados Unidos da Amrica
Uniform Electronic Transactions Act (UETA) Electronic Signatures in Global and National Commerce Act (E-SIGN), atravs15 U.S.C. 7001et seq.
http://pt.wikipedia.org/wiki/Chave_p%C3%BAblicahttp://pt.wikipedia.org/wiki/Chave_p%C3%BAblicahttp://pt.wikipedia.org/wiki/Chave_p%C3%BAblicahttp://pt.wikipedia.org/wiki/Chave_privadahttp://pt.wikipedia.org/wiki/Chave_privadahttp://pt.wikipedia.org/wiki/Selo_cronol%C3%B3gicohttp://pt.wikipedia.org/wiki/Selo_cronol%C3%B3gicohttp://pt.wikipedia.org/wiki/Selo_cronol%C3%B3gicohttps://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htmhttps://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htmhttps://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htmhttp://pt.wikipedia.org/wiki/ICPhttp://pt.wikipedia.org/wiki/ICPhttp://pt.wikipedia.org/wiki/ICPhttp://assinoeverifico.com.br/http://assinoeverifico.com.br/http://assinoeverifico.com.br/http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:51999AG0028:EN:HTMLhttp://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:51999AG0028:EN:HTMLhttp://www4.law.cornell.edu/uscode/15/7001.htmlhttp://www4.law.cornell.edu/uscode/15/7001.htmlhttp://www4.law.cornell.edu/uscode/15/7001.htmlhttp://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:51999AG0028:EN:HTMLhttp://assinoeverifico.com.br/http://pt.wikipedia.org/wiki/ICPhttps://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htmhttp://pt.wikipedia.org/wiki/Selo_cronol%C3%B3gicohttp://pt.wikipedia.org/wiki/Chave_privadahttp://pt.wikipedia.org/wiki/Chave_p%C3%BAblica7/28/2019 Assinatura digital.docx
4/4
Outras tecnologias disponveis oferecidas por empresas:
RightSignature[2] Docusign[3] Echosign[4] Arx[5] TrueSeal[6] SigningHub[7]
Inglaterra, Esccia e Gales
Electronic Communications Act, 2000ndia
Information Technology Act, 2000Nova Zelndia
Electronic Transactions Act, 2003 sections 22-24Portugal
A legislao portuguesa prev a utilizao da assinatura digital noDecreto-Lein. 290-
D/99, republicado pelo Decreto-Lei n. 62/2003, definindo-a como um documento
elaborado mediante processamento electrnico de dados.
EsteDecreto-Leiprocede transposio daDirectivado Parlamento Europeu e do
Conselho n 1999/93/CE, de 28 de Junho, relativa a um quadro legal comunitrio para
as assinaturas electrnicas.
De acordo com a legislao portuguesa, as assinaturas electrnicas tm a mesma
validade probatria que as assinaturas manuscritas, desde que se baseiem em
certificados emitidos por entidades certificadoras credenciadas.
A autoridade de credenciao das entidades certificadoras a Autoridade Nacional de
Segurana; a credenciao, contudo, facultativa, podendo qualquer entidade no
credenciada exercer essa actividade. A Autoridade Nacional de Segurana publica alistadas entidades credenciadas. Neste momento, em Portugal, para alm da entidade
certificadora do Carto de Cidado, do Ministrio da Justia, da Assembleia da
Repblica e da Entidade Certificadora Electrnica do Estado, h duas entidades
certificadoras privadas credenciadas pela Autoridade Nacional de Segurana para
emisso de certificados de assinatura electrnica qualificada, a Multicert e a
DigitalSign.
United Nations Commission on International Trade Law
https://rightsignature.com/https://rightsignature.com/https://rightsignature.com/http://www.docusign.com/http://www.docusign.com/http://www.docusign.com/http://www.echosign.com/http://www.echosign.com/http://www.echosign.com/http://www.arx.com/http://www.arx.com/http://www.arx.com/http://www.trueseal.com.br/http://www.trueseal.com.br/http://www.trueseal.com.br/http://www.signinghub.com/http://www.signinghub.com/http://www.legislation.hmso.gov.uk/acts/acts2000/20000007.htm#7http://www.legislation.hmso.gov.uk/acts/acts2000/20000007.htm#7http://www.mit.gov.in/it-bill.asphttp://www.mit.gov.in/it-bill.asphttp://www.legislation.govt.nz/http://www.legislation.govt.nz/http://pt.wikipedia.org/wiki/Decreto-Leihttp://pt.wikipedia.org/wiki/Decreto-Leihttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://pt.wikipedia.org/wiki/Decreto-Leihttp://pt.wikipedia.org/wiki/Decreto-Leihttp://pt.wikipedia.org/wiki/Decreto-Leihttp://pt.wikipedia.org/wiki/Directivahttp://pt.wikipedia.org/wiki/Directivahttp://pt.wikipedia.org/wiki/Directivahttp://www.gns.gov.pt/gns/pt/tsl/http://www.gns.gov.pt/gns/pt/tsl/http://www.gns.gov.pt/gns/pt/tsl/http://pt.wikipedia.org/wiki/Directivahttp://pt.wikipedia.org/wiki/Decreto-Leihttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://www.dre.pt/pdf1sdip/2003/04/079A00/21702185.PDFhttp://pt.wikipedia.org/wiki/Decreto-Leihttp://www.legislation.govt.nz/http://www.mit.gov.in/it-bill.asphttp://www.legislation.hmso.gov.uk/acts/acts2000/20000007.htm#7http://www.signinghub.com/http://www.trueseal.com.br/http://www.arx.com/http://www.echosign.com/http://www.docusign.com/https://rightsignature.com/