Por curiosidade resolvi pesquisar e escrever sobre certificação digital. Atualmente, com a revolução tecnológica, e o avanço da técnica na eletrônica e o uso massificado de computadores, bem como o processamento e transmissão de dados entre cidadãos e instituições públicas e privadas, fez com que este intercâmbio de transações eletrônicas necessitasse da adoção de mecanismos de segurança capazes de garantir a autenticidade, confidencialidade e integridade as informações que circulam entre os meios eletrônicos, principalmente na internet.
Então o que é Certificação Digital? Certificação Digital pode ser conceituada como sendo uma tecnologia desenvolvida pela TI (tecnologia da informação) que oferece sigilo, agilidade e, principalmente, validade jurídica nas transações eletrônicas, através de um certificado digital.
No Brasil a certificação digital foi regulamentada pela Medida Provisória de nº 2.200-2, de 24 de agosto de 2001, que Institui a Infra-Estrutura de Chaves Públicas Brasileira – ICP - Brasil.
Então, o que é certificado digital? Certificado digital, como sendo um arquivo de computador que contém um conjunto de informações referentes à entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente à chave privada que se acredita ser de posse unicamente da entidade especificada no certificado. Fonte: http://pt.wikipedia.org/wiki/Certificado_digital. Acesso: outubro de 2013.
Outro conceito ainda mais abrangente, diz que é um Documento Eletrônico que identifica e permite ao usuário realizar transações e procedimentos na internet de maneira segura e atesta, com valor jurídico, a identificação do usuário e garante a transmissão sigilosa dos dados trafegados. A utilização do Certificado Digital é necessária em processos nos quais uma entidade, seja ela uma pessoa física, um computador ou até mesmo um website, precisam garantir a sua autenticidade. Fonte: http://www.progerecs.com.br/home. Acesso: outubro de 2013.
Diante do conceito de Certificação Digital surgem dois novos elementos que devemos conhecer para melhor compreender o objeto ora em estudo: chave pública e chave privada.
Chave pública e privada são chaves distintas, uma para codificar e a outra para decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente, através da criptografia.
E o que é criptografia? Criptografia (Grego kryptós, "escondido", e gráphein, "escrita") é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade. É um ramo da Matemática, parte da Criptologia.
Há dois tipos de chaves criptográficas: chaves simétricas e chaves assimétricas. Uma informação não-cifrada que é enviada de uma pessoa (ou organização) para outra é chamada de "texto claro" (plaintext). Cifragem é o processo de conversão de um texto claro para um código cifrado e decifragem é o processo contrário, de recuperar o texto original a partir de um texto cifrado. De fato, o estudo da criptografia cobre bem mais do que apenas cifragem e decifragem. É um ramo especializado da teoria da informação com muitas contribuições de outros campos da matemática e do conhecimento, incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos que podem ser implementados em computadores. Fonte: http://pt.wikipedia.org/wiki/Criptografia. Acesso: outubro de 2013.
Simplificado, podemos conceituar a criptografia como sendo a arte de escrever em códigos de maneira a dissimular informações na forma de um texto incompreensível.
A tecnologia da certificação digital se desenvolveu graças aos avanços da criptografia nos últimos trinta anos.
Com as chaves públicas e privadas, devidamente criptografas, permitem garantir tanto confidencialidade quanto a autenticidade das informações por eles protegidas.
Por confidencialidade, o emissor que deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar toda a informação. Para que isso ocorra é importante que o destinatário disponibilize sua chave pública, utilizando, diretórios públicos acessíveis pela internet.
O sigilo é garantido já que somente o destinatário possui a chave privada que conseguirá desfazer a operação inversa de cifragem da informação recebida, ou seja, decifrar o que recebeu como mensagem.
Já autenticidade é garantida das informações são garantidas pelo processo inverso de aplicação das chaves. O emissor do documento utiliza sua chave pública para cifrá-lo de forma a garantir a autoria em um documento ou identificação de transação. Tal resultado só é obtido porque a chave privada é conhecida exclusivamente por seu proprietário.
Com tudo isso a Certificação Digital oferece as seguintes garantias:
a) autenticidade do emissor e do receptor da transação ou do documento;
b) integridade dos dados contidos na transação ou no documento;
c) confidencialidade entre as partes;
Um Certificado Digital normalmente apresenta as seguintes informações:
a) nome da pessoa ou entidade a ser associada à chave pública;
b) período de validade do certificado;
c) chave pública;
d) nome e assinatura da entidade que assinou o certificado;
e) número de série.
Quanto a ICP-Brasil funciona com a seguinte estruturação, nos termos da Medida Provisória 2.200-2/2001.
AC – Raiz: A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira autoridade da cadeia de certificação. Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu.
A AC-Raiz também está encarregada de emitir a lista de certificados revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e demais prestadores de serviço habilitados na ICP-Brasil. Além disso, verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil.
AC - Autoridade Certificadora: Uma Autoridade Certificadora (AC) é uma entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.
AR - Autoridade de Registro: Uma Autoridade de Registro (AR) é responsável pela interface entre o usuário e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.
ACT - Autoridade Certificadora do Tempo: Uma Autoridade Certificadora do Tempo (ACT) é uma entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emitir Carimbos do Tempo. A ACT tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período.
Na prática, um documento é produzido e seu conteúdo é criptografado. Em seguida, ele recebe os atributos ano, mês, dia, hora, minuto e segundo, atestado na forma da assinatura realizada com certificado digital servindo assim para comprovar sua autenticidade. A ACT atesta não apenas a questão temporal de uma transação, mas também seu conteúdo. Fonte: http://www.iti.gov.br/icp-brasil/como-funciona. Acesso outubro de 2013.
Alguns exemplos de autoridades certificadoras brasileiras: Caixa, Receita Federal, Casa da Moeda do Brasil, SERASA, SERPRO, OAB.
Aprimorando o presente texto, coloco como exemplo de autoridade certificadora, bem como a sua utilização a Receita Federal do Brasil.
Com a edição da Instrução Normativa RFB nº 969/2009, com as devidas alterações, que dispõe sobre a obrigatoriedade de apresentação de declarações com assinatura digital, efetivada mediante utilização de certificado digital válido, nos casos em que especifica, a certificação digital no Brasil se tornou uma realidade, in verbis:
Art.1º É obrigatória a assinatura digital efetivada mediante utilização de certificado digital válido, para a apresentação, por todas as pessoas jurídicas, exceto as optantes pelo Regime Especial Unificado de Arrecadação de Tributos e Contribuições devidos pelas Microempresas e Empresas de Pequeno Porte (Simples Nacional), das declarações e dos demonstrativos a seguir relacionados:I - Declaração de Débitos e Créditos Tributários Federais (DCTF) para fatos geradores ocorridos a partir de maio de 2010;II - Demonstrativo de Apuração de Contribuições Sociais (Dacon) para fatos geradores ocorridos a partir de maio de 2010;III - Declaração de Informações Econômico-Fiscais das Pessoas Jurídicas (DIPJ) para fatos geradores ocorridos a partir do ano-calendário 2009;IV - Declaração sobre a Utilização dos Recursos em Moeda Estrangeira Decorrentes do Recebimento de Exportações (Derex) para fatos geradores ocorridos a partir do ano-calendário 2009;V - Declaração sobre a Opção de Tributação de Planos Previdenciários (Dprev) para fatos geradores ocorridos a partir do ano-calendário 2009;VI - Declaração de Dedução de Parcela da Contribuição de Intervenção no Domínio Econômico Incidente sobre a Importação e Comercialização de Combustíveis das Contribuições para o PIS/Pasep e Cofins (DCIDE-Combustível) para fatos geradores ocorridos a partir de julho de 2010;VII - Declaração Especial de Informações Fiscais relativa à Tributação das Bebidas (DIF Bebidas) para fatos geradores ocorridos a partir de junho de 2010;IX - Demonstrativo de Notas Fiscais (DNF) para fatos geradores ocorridos a partir de junho de 2010;XI - Declaração Especial de Informações relativas ao Controle do Papel Imune (DIF Papel Imune) para fatos geradores ocorridos a partir do 1º (primeiro) semestre de 2010;XIII - Escrituração Contábil Digital (ECD) para fatos geradores ocorridos a partir do ano-calendário 2009;XIV - Declaração de Informações sobre Atividades Imobiliárias (Dimob) para fatos geradores ocorridos a partir do ano-calendário 2010;XV - Declaração do Imposto de Renda Retido na Fonte (Dirf) para fatos geradores ocorridos a partir do ano-calendário 2010;XVI - Declaração de Benefícios Fiscais (DBF) para fatos geradores ocorridos a partir do ano-calendário 2010;XVII - Declaração de Rendimentos Pagos a Consultores por Organismos Internacionais (Derc) para fatos geradores ocorridos a partir do ano-calendário 2010;XVIII - Demonstrativo do Crédito Presumido do IPI (DCP) para fatos geradores ocorridos a partir do trimestre abril a junho de 2010;XIX - Declaração de Operações com Cartão de Crédito (Dcred) para fatos geradores ocorridos a partir do 1º (primeiro) semestre de 2010;XX - Declaração de Informações sobre Movimentação Financeira (Dimof) para fatos geradores ocorridos a partir do 1º (primeiro) semestre de 2010; eXXI - Declaração de Transferência de Titularidade de Ações (DTTA) para fatos geradores ocorridos a partir do 1º (primeiro) semestre de 2010.XXII - Declaração de Serviços Médicos e de Saúde (Dmed).§ 1º Ficam mantidas as regras de obrigatoriedade de entrega com certificado digital para as declarações e demonstrativos de fatos geradores anteriores aos acima relacionados.§ 2º O disposto no caput, em relação à Declaração sobre Operações Imobiliárias (DOI) para fatos geradores ocorridos a partir de janeiro de 2011, aplica-se aos serventuários da Justiça, responsáveis por Cartórios de Notas ou de Registro de Imóveis, Títulos e Documentos.Art. 2º Esta Instrução Normativa entra em vigor na data de sua publicação. Pela instrução normativa supra, é obrigatória a assinatura digital efetivada mediante utilização de certificado digital válido, para apresentação de declarações à RFB, por todas as pessoas jurídicas, exceto as optantes pelo Simples Nacional, das declarações e demonstrativos constantes nas instruções normativas aqui referidas. Ficam as pessoas físicas desobrigadas à utilização da certificação digital.
Concluindo, a certificação digital tem trazido aos cidadãos e a instituições públicas e privadas, inúmeros benefícios para todos que a adotam. Com a certificação digital é possível utilizar a internet como um meio eficaz de comunicação e para a disponibilização de informações com maior grau de segurança, sigilo e autenticidade e, principalmente, baratear os custos e dar maior celeridade as informações.
Nenhum comentário:
Postar um comentário