Política de Assinatura Digital

Sumário

1. Conceito

As Políticas de Assinatura são normas padronizadas pela ICP-Brasil, essenciais para garantir a validade e a integridade das assinaturas digitais e dos documentos eletrônicos. Elas estabelecem os processos para criação e verificação das assinaturas, assegurando a compatibilidade e a preservação dos documentos ao longo do tempo. Sem essas políticas, a validade dos documentos pode ser comprometida.

São políticas regulamentadas por documentos como o DOC-ICP-15 e têm como objetivo formalizar os requisitos para a geração e verificação de assinaturas digitais, garantindo que elas sejam aceitas por diferentes sistemas e processos de negócios. Além disso, todas as assinaturas digitais devem incluir um indicador da política utilizada.

Dentro desse conjunto normativo, podemos destacar:

• DOC-ICP-15 v4.0: Visão Geral Sobre Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.01 v4.0: Requisitos para Geração e Verificação de Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.02 v4.0: Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.03 v8.0: Requisitos das Políticas de Assinatura Digital na ICP-Brasil

Para facilitar a adoção e garantir um nível mínimo de segurança, foram desenvolvidas as Políticas de Assinatura Padrão ICP-Brasil, descritas no DOC-ICP-15.03.0, que definem os requisitos mínimos para geração e validação de assinaturas digitais, codificadas em ASN.1 (Abstract Syntax Notation One) e XML. Essas políticas estão baseadas em normas internacionais como ETSI TR 102 272 e ETSI TR 102 038.

2. Definições

Para os propósitos deste documento, aplicam-se as seguintes definições:

Assinatura Digital ICP-Brasil: Assinatura eletrônica que atende aos seguintes requisitos:

• Está inequivocamente associada a um par de chaves criptográficas, permitindo identificar o signatário de forma segura.
• É gerada por um dispositivo seguro de criação de assinatura, garantindo sua confiabilidade.
• Está vinculada ao documento eletrônico de maneira que qualquer alteração posterior no conteúdo seja totalmente detectável.
• Baseia-se em um certificado ICP-Brasil válido no momento de sua aplicação, assegurando autenticidade e validade jurídica.

Assinatura eletrônica: Conjunto de dados em formato eletrônico, vinculados ou logicamente associados a outros dados eletrônicos, utilizado como método para comprovar a autoria e autenticidade de informações.

Base64: Método de codificação de dados que transforma dados binários (sequências de bytes) em um formato ASCII imprimível (texto). Esse processo permite que dados originalmente binários possam ser transmitidos por canais que não aceitam dados binários ou armazenados como texto ASCII. A codificação Base64 utiliza um conjunto de 64 caracteres ASCII — [A-Za-z0-9], "/" e "+" — o que dá origem ao seu nome. Essa técnica é amplamente usada para garantir a compatibilidade em sistemas que só aceitam caracteres de texto, como e-mails e URLs.

Cadeia de certificação: Sequência hierárquica de certificados digitais, onde cada certificado é assinado por uma autoridade certificadora superior, garantindo a autenticidade e confiança dos certificados ao longo da cadeia.

CAdES (CMS Advanced Electronic Signature): Extensão do padrão CMS, que define uma estrutura para o armazenamento de conteúdos assinados digitalmente no formato ASN.1. O CAdES acrescenta elementos que permitem validar assinaturas digitais CMS por períodos prolongados, proporcionando maior durabilidade e confiabilidade para a verificação da assinatura ao longo do tempo.

Carimbo do tempo: Documento eletrônico emitido por uma parte confiável que atesta a existência de uma informação digital em uma data e hora específicas.

Chave de criação de assinatura: Conjunto único de dados eletrônicos, como chaves criptográficas privadas, utilizado para gerar uma assinatura eletrônica.

Chave de verificação de assinatura: Conjunto de dados eletrônicos, como chaves criptográficas públicas, usado para verificar uma assinatura eletrônica.

Componentes de aplicação de assinatura: Produtos físicos (hardware) e lógicos (software) que vinculam o processo de produção e verificação de assinaturas eletrônicas ao documento eletrônico ou realizam a verificação de assinaturas eletrônicas e validam certificados, apresentando os resultados.

Conteúdo digital: Documento eletrônico sobre o qual se aplica uma assinatura digital.

Dispositivo seguro de criação de assinaturas: Dispositivo físico e lógico que viabiliza o uso seguro da chave de criação de assinatura, atendendo ao regulamento ao:

• Assegurar a confidencialidade da chave de criação de assinatura;
• Inviabilizar a dedução da chave a partir de outros dados;
• Permitir ao titular proteger a chave contra o uso não autorizado;
• Proteger a assinatura eletrônica contra falsificações;
• Não modificar o documento eletrônico a ser assinado.

Documento eletrônico: Sequência de bits criada por processamento eletrônico de dados, destinada a representar uma manifestação de pensamento ou fato.

Função hash: Transformação matemática que mapeia uma sequência de bits de tamanho arbitrário para uma sequência de tamanho fixo (resumo criptográfico), com as características de resistência à colisão (difícil encontrar duas mensagens com o mesmo hash) e irreversibilidade (não é possível reconstruir a mensagem original a partir do hash).

Resultado hash: Valor gerado a partir de um documento eletrônico por meio de uma função hash.

Identificador da política de assinatura: Dados que identificam de maneira única uma política de assinatura, compostos por um identificador (OID) e o resultado hash da política.

XAdES (XML Advanced Electronic Signature): Extensão do padrão XMLdSig, que define uma estrutura para armazenamento de conteúdos assinados digitalmente em XML e incorpora elementos que permitem a validação de assinaturas digitais XMLdSig a longo prazo.

3. Formação de Assinatura Digital Admitidos na ICP-Brasil

A ICP-Brasil admite cinco formatos principais de assinatura digital, cada um projetado para diferentes necessidades de validação e integridade:

• Assinatura Digital com Referência Básica (AD-RB):Assinatura com política básica e dados adicionais do signatário
• Assinatura Digital com Referência do Tempo (AD-RT): Assinatura básica com carimbo do tempo.
• Assinatura Digital com Referências para Validação (AD-RV): Assinatura que inclui referências de validação, como certificados e listas de revogação.
• Assinatura Digital com Referências Completas (AD-RC): Assinatura com todos os dados necessários para validação, incluindo carimbo de tempo.
• Assinatura Digital com Referências para Arquivamento (AD-RA): Assinatura com informações adicionais para validação e preservação a longo prazo.

Esses formatos garantem que as assinaturas digitais atendam a diferentes requisitos de segurança e longevidade, adequando-se a diversos modelos de negócio.

3.1 Assinatura Digital com Referência Básica (AD-RB)

• O identificador da política de assinatura utilizada para criação e validação de uma assinatura digital ICP-Brasil;
• Dados adicionais incluídos pelo signatário na assinatura digital (exemplo: o instante de criação da assinatura);
• A sequência de códigos que compõe a assinatura digital propriamente dita.

3.2 Assinatura Digital com Referência de Tempo (AD-RT)

Consiste em uma assinatura digital ICP-Brasil com Referência Básica (AD-RB), à qual é acrescentado ou logicamente conectado um carimbo do tempo emitido por uma Autoridade de Carimbo do Tempo (ACT) credenciada na ICP-Brasil.

3.3 Assinatura Digital com Referência para Validação (AD-RV)

• Este formato é exclusivo para os padrões CAdES e XAdES, não sendo representado no padrão PAdES.
• É formado por uma assinatura digital ICP-Brasil com Referência de Tempo (AD-RT), complementada com referências a todos os certificados de chave pública e listas de certificados revogados (LCR) ou respostas do Online Certificate Status Protocol (OCSP) necessários para a validação da assinatura.
• Adiciona-se outro carimbo do tempo emitido por uma ACT credenciada na ICP-Brasil sobre esse conjunto de dados.

3.4 Assinatura Digital com Referência Completas (AD-RC)

• Nos padrões CAdES e XAdES: Consiste em uma assinatura ICP-Brasil com Referências para Validação (AD-RV), complementada com todos os dados necessários para a validação da assinatura.
• No padrão PAdES: É composta por uma assinatura ICP-Brasil com Referência de Tempo (AD-RT), com a adição de todos os dados necessários para validação, incluindo um carimbo do tempo, emitido por uma ACT credenciada, que marca o momento de inclusão das informações de validação e revogação.

3.5 Assinatura Digital com Referência para Arquivamento (AD-RA)

• Nos padrões CAdES e XAdES: É formada por uma assinatura ICP-Brasil com Referência de Tempo (AD-RT), complementada com dados de validação e todos os elementos necessários para validação da assinatura. Adiciona-se um carimbo do tempo, emitido por uma ACT credenciada, que cobre o conjunto completo de dados, anexando-se ou conectando-se logicamente a ele.
• No padrão PAdES: A assinatura é baseada no modelo ICP-Brasil com Referência de Tempo (AD-RT) e é complementada por todos os dados necessários para sua validação. Essa composição inclui:
• Política de Assinatura (PA): Disponível em linguagem de máquina para assegurar a conformidade técnica.
• Lista de Políticas de Assinatura Aprovadas (LPA): Documento que relaciona as políticas de assinatura reconhecidas.
• Assinatura da LPA: Garante a integridade e autenticidade da lista aprovada.

Será aplicado um carimbo do tempo, emitido por uma Autoridade de Carimbo do Tempo (ACT) credenciada na ICP-Brasil. Esse carimbo é criado sobre todo o conjunto, assegurando a integridade e a autenticidade dos dados, sendo anexado ou logicamente conectado à assinatura.

4. Perfis de Assinaturas Digitais ICP-Brasil

Foi estabelecido um perfil de uso geral para assinaturas digitais que reúne as principais informações relevantes ao contexto brasileiro, com o objetivo de orientar os desenvolvedores de aplicações. Esse perfil está detalhado no documento DOC-ICP-15.02, aplicável aos formatos CAdES, XAdES e PAdES. A adoção desses perfis é obrigatória e garante a interoperabilidade entre diferentes aplicações, promovendo a padronização e a segurança das assinaturas digitais no país.

4.1 Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil

Esse perfil de assinatura digital, desenvolvido para a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), define um subconjunto de atributos, propriedades e entradas de dicionários especificados nos padrões CMS Advanced Electronic Signatures (CAdES), XML Advanced Electronic Signatures (XAdES) e PDF Advanced Electronic Signatures (PAdES). Foi criado com o objetivo de reduzir as variações entre implementações e maximizar a interoperabilidade entre aplicações de geração e verificação de assinaturas digitais, promovendo consistência e compatibilidade no uso das assinaturas digitais no Brasil.

O PAdES (PDF Advanced Electronic Signatures) é um padrão do ETSI para garantir a validade e autenticidade das assinaturas digitais em PDFs. Ele inclui recursos como carimbos de data/hora, dados de revogação de certificados e suporte a assinaturas de longo prazo, permitindo a verificação da autenticidade mesmo após a expiração ou revogação do certificado. Para mais detalhes, acesse ao manual PAdES (PDF Advanced Eletronic Signatures)

5. Relação entre as Políticas ICP-Brasil e os Padrões Internacionais

A figura a seguir ilustra a relação entre os padrões internacionais de assinatura digital, como a norma ETSI TS 102 778-1, os perfis e políticas de assinatura, e outros documentos regulamentadores da ICP-Brasil. Ela representa a integração entre os padrões globais e os requisitos específicos da ICP-Brasil, demonstrando como as normas internacionais são adaptadas e aplicadas aos perfis e políticas de assinatura digital, assegurando a conformidade e a segurança das assinaturas digitais no contexto brasileiro.

6. Políticas de Assinatura no SIGN

Atualmente, o SIGN utiliza o padrão PAdES para realizar assinaturas digitais com certificados ICP-Brasil, adotando o perfil PAdES Básico, baseado na norma ISO 32000-1. Esse perfil foi selecionado para garantir a conformidade com as políticas de assinatura da ICP-Brasil. Entre as principais características do perfil implementadas pelo SIGN estão:

• Assinaturas seriais: Suporte a múltiplos signatários, permitindo a adição sequencial de assinaturas ao documento.
• Proteção de integridade e autenticação do signatário: Garantia de que o documento permanece inalterado e autenticado após a assinatura.
• Inclusão opcional de motivos para assinatura: Especificação da finalidade da assinatura digital.
• Descrição do local da assinatura: Informação sobre o local de assinatura, opcional.
• Informações de contato do signatário: Dados de contato que podem auxiliar em verificações futuras.
• Atestação de conteúdo legal: Indicação dos recursos do PDF que possam impactar a integridade do documento assinado.
• Data/Hora assinatura: Inclusão de data e hora (timestamp) do momento da assinatura no dicionário de assinaturas do documento PDF.

Essas características garantem que as assinaturas realizadas pelo SIGN estejam em conformidade com as normas de segurança e interoperabilidade da ICP-Brasil.

7. Links Úteis

Medida Provisória nº 2.200-2, de 24 de agosto de 2001: Institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, e dá outras providências.

Lei nº 14.063, de 23 de setembro de 2020: Dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e sobre as licenças de softwares desenvolvidos por entes públicos; e altera a Lei nº 9.096, de 19 de setembro de 1995, a Lei nº 5.991, de 17 de dezembro de 1973, e a Medida Provisória nº 2.200-2, de 24 de agosto de 2001.

Decreto nº 10.543, de 13 de novembro de 2020: Dispõe sobre o uso de assinaturas eletrônicas na administração pública federal e regulamenta o art. 5º da Lei nº 14.063, de 23 de setembro de 2020, quanto ao nível mínimo exigido para a assinatura eletrônica em interações com o ente público.

8. Referências

• DOC-ICP-15
• Conjunto das Resoluções da ICP-Brasil em vigor
• DOC-ICP-15 v4.0: Visão Geral Sobre Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.01 v4.0: Requisitos para Geração e Verificação de Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.02 v4.0: Perfil de Uso Geral para Assinaturas Digitais na ICP-Brasil
• DOC-ICP-15.03 v8.0: Requisitos das Políticas de Assinatura Digital na ICP-Brasil

9. Páginas Relacionadas

Assinatura com Certificado Digital

PAdEs (PDF Advanced Eletronic Signatures)

Validade Jurídica