Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
BY:
Marcelo García
CYBERSECURITY ANALYST
COMPARTILHAR
REFERÊNCIAS
Innovación Pública de la Jefatura de Gabinete de Ministros de la Nación Argentina (s.f.). “Firma Digital”.
Argentina.gob.ar:https://www.argentina.gob...
https://www. argentina.gob.ar/...
https://www. argentina.gob.ar/...
Assinatura Digital O que é e como obtê-lo de graça?
Quando se trata de assinaturas digitais, há frequentemente confusão. É o mesmo que uma assinatura digitalizada e tem a mesma validade legal que uma assinatura manuscrita? Quais são os benefícios da sua utilização e que medidas de segurança devo ter em conta? Como difere da assinatura electrónica? Se alguma vez se tiver colocado alguma destas questões, convidamo-lo a continuar a ler este post. De uma forma simples e resumida, dir-lhe emos tudo o que precisa de saber sobre o assunto.
Regulamentação legal na Argentina
A Lei 25.506 de 2001 é o regulamento actual que reconhece e estabelece as condições para a utilização da Assinatura Digital e Electrónica na Argentina e determina a sua eficácia jurídica. No seu artigo 2º, o regulamento conceptualiza a "Assinatura Digital" de uma forma muito específica, pelo que temos de estar muito atentos a cada um dos requisitos previstos, pois se faltar um deles, a assinatura será considerada "electrónica" e o seu valor probatório será diferente.
"Uma assinatura digital é o resultado da aplicação de um procedimento matemático a um documento digital que requer informação de que o signatário tem conhecimento exclusivo e que está sob o controlo absoluto do signatário. A assinatura digital deve ser susceptível de verificação por terceiros, de modo a que tal verificação permita simultaneamente identificar o signatário e detectar qualquer alteração do documento digital posterior à sua assinatura".
Segue-se uma breve mas detalhada explicação de cada parte desta definição:
• A aplicação desta tecnologia só faz sentido num documento digital, que é uma representação digital de actos ou factos, independentemente do meio utilizado para a sua fixação ou armazenamento (Art. 6). Por outras palavras, podem ser ficheiros "Word", ficheiros PDF, e-mails, páginas web, folhas de cálculo e qualquer outra informação contida num meio electrónico. Neste ponto, é de notar que se assinarmos digitalmente um documento e depois o imprimirmos, este perde as características consagradas na lei.
• É muito importante não perder de vista o facto de a Assinatura Digital ser o resultado da aplicação de um procedimento matemático: é um algoritmo que está anexado ao documento digital. Assim, o logotipo indicando "assinado digitalmente" não tem, por si só, qualquer valor. Deve ser levado a cabo um processo tecnológico específico para assinar e depois outro para autenticar essa assinatura.
Para compreender tecnicamente o que acontece no "fundo" ao aplicar esta tecnologia, precisamos de reconhecer primeiro um par de conceitos:
A. A segurança da técnica discutida neste post é garantida pela "Criptografia Assimétrica", que é um método criptográfico caracterizado por duas chaves. São diferentes, mas estão matematicamente relacionados, de modo que o que está encriptado com um só pode ser desencriptado com o outro (trabalham sempre em conjunto). Este par é conhecido como "Chave Pública" e "Chave Privada". Este último é de domínio exclusivo e só é conhecido pelo signatário.
B. Por outro lado, referir-nos-emos à função "hash", que transforma cadeias de bits de comprimento arbitrário mas finito em cadeias de n-bits de comprimento fixo. Por outras palavras, devolve o mesmo comprimento fixo de caracteres, independentemente do tamanho do documento. É uma espécie de digestão e por isso dois documentos podem, à primeira vista, parecer idênticos, mas como têm hashes diferentes, não podem ser considerados como iguais. Tendo em conta os conceitos desenvolvidos acima, podemos proceder à explicação de como um pedido assina digitalmente um documento e depois verifica a sua autenticidade.
Ao executar a Assinatura Digital, são executados os seguintes passos:
1. O software calcula o hash criptográfico do documento a ser assinado.
2. O hash recentemente calculado é encriptado com a chave privada do emissor (a senha com a qual o utilizador o protegeu será solicitada neste momento).
3. Finalmente, o hash cifrado é anexado juntamente com outros dados ao documento (data e hora da assinatura, dados do signatário, etc.).
Para realizar o procedimento de autenticação da Assinatura Digital, o receptor deve possuir a chave pública do emissor (contida no seu certificado digital). Posteriormente:
1. O software calcula o hash criptográfico do documento.
2. Depois desencripta o hash incorporado na assinatura digital com a chave pública do emissor
3. Os resultados obtidos nas etapas anteriores são comparados.
If the hashes Se os hashes obtidos nos parágrafos 1 e 2 forem idênticos, o receptor pode assegurar o seguinte:
A. Integralidade: o documento não foi modificado desde o momento da sua assinatura
B. Autenticação e não repúdio: a chave privada com a qual foi assinada concorda com a chave pública (lembrar que ambas estão matematicamente relacionadas e que a chave privada só é conhecida pelo emissor, uma vez que é informação que lhe é exclusivamente conhecida). Por conseguinte, o signatário é assim autenticado.
Seguindo a explicação da definição apresentada acima:
- Este sistema deve ser susceptível de verificação por terceiros: para assegurar a fiabilidade do procedimento de assinatura e autenticação, é necessário garantir que a chave pública pertence ao signatário. É por isso que o conceito de "Public Key Infrastructure" (PKI), que regula a emissão e distribuição de chaves, é tão importante.
Os certificados digitais são documentos assinados digitalmente por uma Autoridade de Certificação (AC) que certificam que uma chave pública pertence a um indivíduo ou entidade específica. Podem ser autenticados da mesma forma que qualquer outro documento assinado digitalmente. Para mais informações sobre este ponto, recomendamos a consulta do capítulo II da lei.
25.506 "de certificados digitais" e a norma X.509 que especifica os formatos padrão para certificados digitais e o algoritmo de validação do caminho de certificação, entre outros aspectos.
Para concluir esta secção, voltemos a um conceito mencionado anteriormente. A regra indica que, se a assinatura não tiver qualquer dos requisitos legais para ser considerada uma assinatura digital, então será uma assinatura electrónica. Se uma pessoa negar ou não tiver conhecimento de uma assinatura digital, cabe-lhe a ela provar que é falsa. Inversamente, se uma assinatura electrónica for negada ou desconhecida, é a outra parte que deve provar a sua veracidade. Em todos os casos em que um regulamento exige uma assinatura digital, uma assinatura electrónica não é suficiente.
Benefícios da implementação
Os principais benefícios da sua implementação são:
• Os documentos electrónicos assinados digitalmente têm a mesma validade legal que os assinados à mão. Quando uma assinatura manuscrita é exigida por lei, o requisito também é satisfeito pela assinatura digital (§ 3), sujeito às excepções previstas no § 4 da lei acima referida.
• É possível utilizá-lo para vários procedimentos em instituições públicas e privadas e assinar qualquer tipo de ficheiro digital.
• É possível identificar a pessoa que assinou digitalmente e ela não pode negar ou repudiar a sua existência ou autoria. Presume-se, na ausência de prova em contrário, que a assinatura digital pertence ao titular do certificado digital que permite a verificação da assinatura (art.7).
• Se o resultado da verificação de uma assinatura digital for válido, presume-se, na ausência de prova em contrário, que o documento não foi modificado desde a sua assinatura (art. 8º).
• Os documentos electrónicos assinados digitalmente são considerados originais e têm valor probatório (Art. 11).
• A exigência legal de conservar documentos, registos ou dados é satisfeita se forem assinados digitalmente, desde que sejam acessíveis para consulta posterior (Art. 12).
• Automatiza processos, proporciona flexibilidade e ubiquidade, poupa tempo e dinheiro, contribui para o ambiente, permite a rastreabilidade dos instrumentos electrónicos a serem analisados, entre outros.
Procedimento para a obtenção de uma Assinatura Digital
A primeira coisa a fazer é solicitar uma marcação através da Internet e depois ir ao "Serviço de Registo" seleccionado, na data e hora atribuídas. Deve ser esclarecido que o procedimento é gratuito e válido em todo o território nacional. Pode ser gerado de duas maneiras:
• Remoto (com telemóvel): neste caso, o "autenticador Google" deve ser instalado no telemóvel. Este mecanismo só pode ser realizado por seres humanos e serve apenas para assinar digitalmente ficheiros em formato PDF através do "signer" acedido através da web
• Ficha: deve comparecer com o dispositivo que deve ser adquirido previamente. Os documentos podem então ser assinados e autenticados através de aplicações específicas tais como "XolidoSign" ou "Adobe Acrobat Reader".
Serviços relacionados
Ao implementar esta tecnologia numa organização, há serviços que são normalmente oferecidos por consultorias especializadas em Assinatura Digital, que normalmente incluem:
•Planeamento detalhado do projecto
•Matriz de risco com as principais situações ligadas à implementação, a sua probabilidade de ocorrência e impacto sobre o negócio. Detecção de Forças, Oportunidades, Fraquezas e Ameaças.
•Gestão de marcações para obter o certificado digital.
•Elaboração de um calendário especificando quando os empregados devem dirigir-se ao "Serviço de Registo" mais próximo do seu endereço de origem.
•Avaliação do número de dispositivos simbólicos que serão necessários, tendo em conta os processos empresariais críticos e as referências envolvidas
•Desenvolvimento de um Plano de Formação sobre aspectos legais e tecnológicos, utilização de senhas seguras e utilização de software para assinar e autenticar digitalmente as assinaturas.
•Reengenharia de processos para a implementação desta tecnologia.
•Configuração da aplicação escolhida para assinatura digital e preparação da documentação associada.
•Implementação e aprovação do procedimento para o armazenamento de documentos digitais e respectivas cópias de segurança.
•Instalação de certificados "raiz" e "intermédio" em todos os postos de trabalho.
•Aconselhamento de profissionais adequados, qualificados e experientes.
Na BASE4 Security SA prestamos estes serviços, nos quais aplicamos toda a nossa experiência na indústria, tanto em aspectos técnicos como de gestão.-