Perguntas Frequentes

Nesta seção você encontra a lista de perguntas frequentes sobre a ICP-Brasil e temas ligados à certificação digital:

ICP-Brasil

 

1 - O que é a ICP-Brasil?

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão. Observa-se que o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

 

2 - Qual a estrutura da ICP-Brasil?

A ICP-Brasil é composta por uma cadeia de entidades credenciadas, formada por uma Autoridade Certificadora Raiz - AC-Raiz, Autoridades Certificadoras - ACs, Autoridades de Registro - ARs, Autoridades Certificadoras do Tempo - ACTs, Prestadores de Serviço Biométrico - PSBios, Prestadores de Serviço de Suporte - PSS e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. 

 

3 - O que é a Autoridade Certificadora Raiz - AC-Raiz?

A AC-Raiz é a primeira autoridade da cadeia de certificação. Executa as Políticas de Certificados e as normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu.

 

4 - A AC-Raiz tem acesso à chave privada dos usuários de certificados digitais?

Não. De acordo com as normas da ICP-Brasil, a Autoridade Certificadora Raiz e as Autoridades Certificadoras não têm acesso às chaves privadas dos titulares de certificados digitais. A MP 2.200-2 determina que o par de chaves criptográficas seja gerado sempre pelo próprio titular e que a sua chave privada de assinatura seja de seu exclusivo controle, uso e conhecimento.

 

5 - O que é uma Autoridade Certificadora - AC?

As ACs são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações”.

 

6 - O que é uma Autoridade de Registro - AR?

As ARs também podem ser tanto entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão vinculadas operacionalmente a determinada AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes “identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações”.

 

7 - O que é uma Autoridade Certificadora do Tempo - ACT?

Uma ACT é uma entidade na qual os usuários de serviços de Carimbo do Tempo confiam para emissão dos mesmos. A ACT tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período.

 

8 - O que é um Prestador de Serviço Biométrico - PSBio?

Os PSBios são entidades com capacidade técnica para realizar a identificação biométrica, tornando um registro/requerente único em um ou mais bancos/sistemas de dados biométricos para toda ICP-Brasil, a verificação biométrica do requerente de um certificado digital e a comparação de uma biometria, que possua característica perene e unívoca, de acordo com os padrões internacionais de uso. 

 

9 - O que é um Prestador de Serviço de Suporte - PSS?

O PSS desempenha atividade descrita nas Políticas de Certificado - PC e na Declaração de Práticas de Certificação - DPC da AC a que estiver vinculado, diretamente ou por intermédio da AR, ou nas Políticas de Carimbo do Tempo - PCT e na Declaração de Práticas de Carimbo do Tempo - DPCT da ACT a que estiver vinculado, ou ainda nas atividades de PSBio, classificando-se, conforme o tipo de atividade prestada, em três categorias: disponibilização de infraestrutura física e lógica; disponibilização de recursos humanos especializados; ou disponibilização de infraestrutura física e lógica e de recursos humanos especializados.

 

10 - Como funciona o Comitê Gestor da ICP-Brasil?

Conforme o Decreto 6.605 de 14 de outubro de 2008, o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira - CG ICP-Brasil exerce a função de autoridade gestora de políticas de certificação digital. Vinculado à Casa Civil da Presidência da República, o Comitê é composto por sete representantes governamentais e cinco representantes da sociedade civil, todos designados pelo Presidente da República. 

 

11 - Como credenciar-se como Autoridade Certificadora ou Autoridade de Registro da ICP-Brasil?

No caso de solicitação de credenciamento para o início das atividades como AC ou AR (pessoa jurídica) a entidade interessada deverá requerer seu credenciamento de acordo com o DOC-ICP-03, aprovado pela Resolução do CG ICP-Brasil nº 40, de 18 de Abril de 2006, e suas alterações, e se submeter à auditoria pré-operacional pelo ITI. 

Os candidatos ao credenciamento na ICP-Brasil devem atender alguns critérios, como: ser órgão ou entidade de direito público ou pessoa jurídica de direito privado; estar quite com todas as obrigações tributárias e os encargos sociais instituídos por lei; atender aos requisitos relativos à qualificação econômico-financeira conforme a atividade a ser desenvolvida; e atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação técnica aplicáveis aos serviços a serem prestados. 

Para ser uma AC, o candidato deve ainda apresentar, no mínimo, uma entidade operacionalmente vinculada, candidata ao credenciamento para desenvolver as atividades de Autoridade de Registro AR, ou solicitar o seu próprio credenciamento como AR; apresentar a relação de eventuais candidatos ao credenciamento para desenvolver as atividades de Prestador de Serviço de Suporte - PSS; ter sede administrativa localizada no território nacional; e ter instalações operacionais e recursos de segurança física e lógica, inclusive sala-cofre, compatíveis com a atividade de certificação, localizadas no território nacional, ou contratar PSS que a possua. 

Para se tornar uma AR, também precisa estar operacionalmente vinculados a, pelo menos, uma AC ou candidato a AC, relativamente às Políticas de Certificados, ter sede administrativa, instalações operacionais e recursos de segurança física e lógica compatíveis com a atividade de registro. Além de apresentar a relação de eventuais candidatos a PSS. Para mais informações, consulte o DOC-ICP-03.

 

12 - As AR já credenciadas podem solicitar o credenciamento de novos postos de atendimento?

SIm. A Autoridade de Registro já credenciada na ICP-Brasil poderá abrir novos endereços de instalações técnicas desde que encaminhe solicitação à Autoridade Certificadora Raiz, de acordo com o item 3.2.1 do DOC-ICP-03.

 

Certificação Digital

 

1 - Como funciona o certificado digital ICP-Brasil?

Na prática, o certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora - AC que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contém os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.

 

2 - O que é assinatura digital?

Como a assinatura realizada em papel, trata-se de um mecanismo que identifica o remetente de determinada mensagem eletrônica. No âmbito da ICP-Brasil, a assinatura digital possui autenticidade, integridade, confiabilidade e o não-repúdio, seu autor não poderá, por forças tecnológicas e legais, negar que seja o responsável por seu conteúdo.  A assinatura digital fica de tal modo vinculada ao documento eletrônico que, caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.

 

3 - Assinatura digital é o mesmo que assinatura digitalizada?

Não. A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem, o que não garante a autoria e integridade do documento eletrônico. Neste caso, não existe associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.

 

4 - O que é criptografia?

Criptografia (do grego kryptós, "escondido", e gráphein, "escrita") é uma forma sistemática utilizada para esconder a informação na forma de um texto ou mensagem incompreensível. Essa codificação é executada por um programa de computador que realiza um conjunto de operações matemáticas, inserindo uma chave secreta na mensagem. O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta.

 

5 - Quais são os tipos de criptografia existentes?

Existem dois tipos de criptografia: simétrica e assimétrica. A criptografia simétrica é baseada em algoritmos que dependem de uma mesma chave, denominada chave secreta, que é usada tanto no processo de cifrar quanto no de decifrar o texto. Para a garantia da integridade da informação transmitida é imprescindível que apenas o emissor e o receptor conheçam a chave. O problema da criptografia simétrica é a necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alteração do documento por qualquer das partes. A criptografia assimétrica utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptografia assimétrica são denominadas chave pública e chave privada. A chave pública pode ser conhecida pelo público em geral, enquanto que a chave privada somente deve ser de conhecimento de seu titular.

 

6 - Quais as principais informações que constam em um certificado digital?

As principais informações que constam em um certificado digital são: chave pública do titular, nome e endereço de e-mail, período de validade do certificado, nome da Autoridade Certificadora - AC que emitiu o certificado, número de série do certificado digital, assinatura digital da AC.

 

7 - Qualquer pessoa pode obter um certificado digital?

Sim. Qualquer pessoa pode solicitar às Autoridades Certificadoras um Certificado Digital.

 

8 - Como é feita a certificação nas empresas?

Da mesma forma que uma pessoa física pode solicitar sua identidade digital, as empresas interessadas com um CNPJ válido podem solicitar também. Maiores informações sobre este procedimento podem ser encontradas no documento DOC-ICP-05, vinculado à Resolução nº 42 da legislação da ICP-Brasil.

 

9 - É possível que um cidadão estrangeiro consiga obter um certificado ICP-Brasil sem que possua um CPF?

Sim, é possível um estrangeiro obter um certificado digital da ICP-Brasil, mesmo sem CPF. Porém o certificado deverá ser emitido por AC que não seja vinculada à cadeia da Autoridade Certificadora - AC da Receita Federal. O estrangeiro não poderá obter certificados do tipo e-CPF, pois o processo de emissão desse tipo de certificado obriga a AR a fazer uma validação na base de dados da Receita Federal. É preciso apresentar, como identidade, o original do passaporte e demais documentos previstos na Resolução 42 da ICP-Brasil, item 3.1.9.1.

 

10 - Quais são as aplicações da assinatura digital?

São muitas as possibilidades de aplicações da assinatura digital, dentre elas encontram-se as seguintes:

  • Assinatura de contratos e outros documentos digitais;
  • Processos judiciais e administrativos em meio eletrônico;
  • Assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal;
  • Obtenção e envio de documentos aos cartorários;
  • Transações seguras com instituições financeiras.

 

11 - Quais as vantagens oferecidas às empresas ou pessoas físicas que adquirem um certificado digital?

Agilidade, redução de custos e segurança. São essas as principais vantagens da certificação digital. A certificação digital hoje permite que processos que tinham que ser realizados pessoalmente ou por meio de inúmeros documentos em papel, possam ser feitos totalmente por via eletrônica. Com isso os processos tornam-se menos burocráticos, mais rápidos e por conseguinte, mais baratos. A certificação digital garante autenticidade e integridade. O documento com assinatura digital ICP-Brasil tem a validade de um documento em papel assinado manualmente.

 

12 - A assinatura digital confere sigilo ao documento eletrônico?

A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado. O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado. Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar.

  

13 - O documento assinado eletronicamente é reconhecido da mesma forma que um documento assinado de forma manuscrita?

De acordo com o art. 10, da MP n° 2.200-2, os documentos eletrônicos assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil têm a mesma validade jurídica que os documentos em papel com assinaturas manuscritas. Importante frisar que os documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2.

 

14 - Quais cuidados se deve ter ao se utilizar a certificação digital?

Primeiramente, deve-se lembrar que o certificado digital representa a “identidade” da pessoa no mundo virtual. Assim, é necessária a adoção de alguns cuidados para se evitar que outra pessoa, possa fechar contratos e/ou negócios e realizar transações bancárias em nome do titular do certificado. Seguem algumas recomendações para o uso de um certificado digital:

  • A senha de acesso da chave privada e a própria chave privada não devem ser compartilhadas com ninguém;
  • Caso o computador onde foi gerado o par de chaves criptográficas seja compartilhado com diversos usuários, não é recomendável o armazenamento da chave privada no disco rígido, pois todos os usuários terão acesso a ela, sendo melhor o armazenamento em smart card ou token;
  • Caso a chave privada esteja armazenada no disco rígido de algum computador, deve-se protegê-lo de acesso não-autorizado, mantendo-o fisicamente seguro. Nunca deixe a sala aberta quando sair e for necessário deixar o computador ligado. Utilize também um protetor de tela com senha. Cuidado com os vírus de computador, eles podem danificar sua chave privada;
  • Caso o software de geração do par de chaves permita optar entre ter ou não uma senha para proteger a chave privada, recomenda-se a escolha pelo acesso por meio de senha. Não usar uma senha significa que qualquer pessoa que tiver acesso ao computador poderá se passar pelo titular da chave privada, assinando contratos e movimentando contas bancárias. Em geral, é bem mais fácil usar uma senha do que proteger um computador fisicamente;
  • Utilize uma senha longa, intercalando letras e números, uma vez que existem programas com a função de desvendar senhas. Deve-se evitar o uso de dados pessoais como nome de cônjuge ou de filhos, datas de aniversários, endereços, telefones ou outros elementos relacionados com a própria pessoa. A senha nunca deve ser anotada, sendo recomendável sua memorização.

 

15 - O que são smart card e token?

São dispositivos portáteis que funcionam como mídias armazenadoras. Em seus chips são armazenadas as chaves privadas dos usuários. O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular. O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para seu funcionamento. Já o token  é semelhante a um pen drive, permitindo a sua conexão a uma porta USB de um computador ou outro equipamento com uma entrada USB.

 

16 - O certificado digital tem prazo de validade?

Sim. O certificado digital, diferentemente dos documentos utilizados usualmente para a identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. O usuário pode solicitar a renovação do certificado para a AC após a perda da validade deste. Essa renovação é necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm por objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.

 

17 - Qual o custo médio de um certificado digital?

O ITI não regula os valores praticados pelo mercado de certificação. O custo varia de acordo com a empresa certificadora, com o tipo do certificado oferecido e do período de validade do documento. Deve-se consultar os sites de cada Autoridade Certificadora para obter os preços.

 

Carimbo do Tempo

 

1 - O que é um carimbo de tempo?

O carimbo de tempo, também conhecido como timestamp, é um documento eletrônico emitido por uma parte confiável, a Autoridade Certificadora do Tempo - ACT, que serve como evidência de que uma informação digital existia numa determinada data e hora no passado.

 

2 - Para que serve o carimbo de tempo?

O carimbo de tempo destina-se a associar a um determinado hash de um documento assinado eletronicamente ou não, a uma determinada hora e data de existência. Ressalta-se que o carimbo de tempo oferece a informação de data e hora de registro deste documento quando este chegou à entidade emissora, e não a data de criação deste documento.

 

3 - A utilização de carimbo de tempo já foi regulamentada na ICP-Brasil? Qual norma trata dessa questão?

Sim. A regulamentação do carimbo de tempo ICP-Brasil já foi aprovada pelo Comitê Gestor da ICP-Brasil. Há um conjunto de DOCs vigentes que regulamentam o tema, a saber: DOC-ICP-11, 12, 13 e 14.