TCC em sistemas de informação tendo como foco a descrição da tecnologia empregada na certificação digital e demostrar os benefícios de dois projetos que a utilizam: SPED e ICP-EDU.
O estudo do controle motor nada mais é do que o estudo da natureza do movimen...
A Certificação Digital na sociedade Brasileira
1. DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO
BRASILEIRA
BACHARELADO EM SISTEMAS DE INFORMAÇÃO
FACULDADES UNIFICADAS DOCTUM DE CATAGUASES
CATAGUASES – MG – BRASIL
2009
2. DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO
BRASILEIRA
Trabalho de Conclusão de Curso apresentado à
Banca Examinadora das Faculdades
Unificadas Doctum de Cataguases como
requisito parcial para a obtenção do título de
Bacharel em Sistemas de Informação, sob a
orientação do Prof. Frands de Souza Franco.
FACULDADES UNIFICADAS DOCTUM DE CATAGUASES
CATAGUASES – MG – BRASIL
2009
3. DANILO GOMES MOREIRA
A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO
BRASILEIRA
Trabalho de Conclusão de Curso apresentado à
Banca Examinadora das Faculdades
Unificadas Doctum de Cataguases como
requisito parcial para a obtenção do título de
Bacharel em Sistemas de Informação.
BANCA EXAMINADORA
_____________________________________________
Prof. Frands Souza Franco – Orientador
Faculdades Unificadas Doctum de Cataguases
_____________________________________________
Prof. Marília das Dores de Barros
Faculdades Unificadas Doctum de Cataguases
_____________________________________________
Profª. MSc Míriam de Souza Monteiro
Faculdades Unificadas Doctum de Cataguases
CATAGUASES – MG – BRASIL
2009
4. Dedico este trabalho aos meus queridos
pais: Afonso e Marluce, que de todas as
formas contribuíram para a concretização
deste tão estimado sonho.
5. AGRADECIMENTOS
Agradeço primeiramente a Deus, que além de me presentear com o dom da vida me
deu condições físicas, mentais e espirituais para tal feito .
Agradeço a minha querida esposa Sandra, pela força e compreensão nas minhas
ausências em nosso lar durante estes quatro anos de curso.
Agradeço ao meu professor orientador Frands de Souza Franco, que sem questionar
aceitou tal desafio, contribuindo fortemente para a conclusão deste trabalho.
Agradeço a professora Fabiana Siqueira Nunes, que além de contribuir nas correções
deste trabalho, muitas das vezes, serviu para mim como um calmante com seus conselhos
sempre positivos.
Agradeço aos meus queridos amigos: Alexandre, Cláudio, Marcus Vinícius, João
Sérgio, Ronaldo e Victor que durante todo o curso, com amizade, me inspiraram, apoiaram,
contribuíram tanto para o meu crescimento profissional, mas principalmente como ser
humano.
6. "É melhor tentar e falhar, que preocupar-se e
ver a vida passar; é melhor tentar, ainda que
em vão,que sentar-se fazendo nada até o final.
Eu prefiro na chuva caminhar, que em dias
tristes em casa me esconder. Prefiro ser feliz,
embora louco, que em conformidade viver ..."
Martin Luther King
7. RESUMO
O presente trabalho tem como objetivo demonstrar os benefícios que a certificação digital
gera à sociedade da informação brasileira. Para melhor compreensão da tecnologia, serão
abordadas algumas técnicas de segurança da informação e seus principais conceitos.
Trataremos ainda, dos principais conceitos da Certificação digital e a descrição da Infra-
Estrutura das Chaves Públicas do Brasil (ICP-Brasil). Finalizando, serão apresentados e
descritos dois projetos: o ICP-EDU e o SPED, que utilizam da certificação digital para suprir
as necessidades e beneficiar duas classes importantes da sociedade brasileira: a Acadêmica e a
Fiscal.
Palavras-Chave: Certificação Digital, ICP-Brasil, ICP-EDU e SPED.
8. LISTA DE FIGURAS
Figura 01: Encriptamento e Desencriptamento de uma mensagem .........................................10
Figura 02: Encriptamento e Desencriptamento usando chave Secreta.....................................12
Figura 03: Criptografia com Chave Secreta .............................................................................13
Figura 04: Assinatura digital ....................................................................................................15
Figura 05: Conferência da assinatura digital ............................................................................16
Figura 06: Estrutura do Certificado digital X.509....................................................................20
Figura 07: E-CPF......................................................................................................................22
Figura 08: Token USB..............................................................................................................22
Figura 09: Exemplo de um bloco hash gerado a partir de uma dada informação ....................28
Figura 10: Tamanho de SHA....................................................................................................29
Figura 11: Estrutura da ICP-Brasil ...........................................................................................32
Figura 12: Estrutura ICP-Brasil................................................................................................38
Figura 13: Estrutura do SGCI...................................................................................................43
Figura 14: Exemplo de Certificado Digital ..............................................................................44
Figura 15: Módulo de Hardware Seguro ..................................................................................45
Figura 16: Estrutura do SPED ..................................................................................................48
Figura 17: Processamento da Nota Fiscal.................................................................................51
9. LISTA DE TABELAS
Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.............................20
Tabela 02: Componentes da ICP-Brasil. ..................................................................................34
Tabela 03: Autoridades Certificadoras de Primeiro Nível .......................................................35
Tabela 04: Executores de auditoria nas entidades da ICP-Brasil..............................................39
10. SUMÁRIO
INTRODUÇÃO ........................................................................................................................1
1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS ...............3
1.1 O papel da segurança no meio computacional .................................................................4
1.1.1 Política de Segurança da Informação ............................................................................5
1.1.2 Medidas de Segurança ...................................................................................................5
1.1.3 Serviços de Segurança da Informação...........................................................................5
1.1.4 Ameaça ..........................................................................................................................7
1.1.5 Vulnerabilidades............................................................................................................8
1.1.6 Ataque............................................................................................................................8
1.2 Criptografia.......................................................................................................................9
1.2.1 Chaves .........................................................................................................................11
1.2.1.1 Criptografia de chave Secreta ou Simétrica .............................................................11
1.2.1.2 Criptografia de Chave Pública ou Assimétrica.........................................................12
1.2.2 Algoritmo de Resumo..................................................................................................14
1.3 Assinatura Digital ...........................................................................................................14
2. CERTIFICAÇÃO DIGITAL ............................................................................................17
2.1 Certificado Eletrônico ....................................................................................................17
2.1.1 Padrão de Certificado Digital X.509 ...........................................................................19
2.1.2 Registro de Certificados ..............................................................................................21
2.1.3 Lista de Certificados Revogados .................................................................................23
2.1.4 Verificações on-line por OCSP ...................................................................................24
2.1.5 Renovação ...................................................................................................................24
2.2 Infra-Estrutura de Chaves Públicas ................................................................................24
2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-
BRASIL)...............................................................................................................................25
2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil .................................................25
2.2.2.1 Algoritmo de criptografia assimétrica RSA .............................................................26
2.2.2.2 Algoritmo criptográfico de função hash SHA-1.......................................................26
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-Brasil) ............30
3.1 Garantias Oferecidas Pela ICP-Brasil.............................................................................31
3.2 A Estrutura da ICP-Brasil...............................................................................................31
3.2.1 Comitê Gestor..............................................................................................................32
3.2.2 Comitê Técnico (COTEC)...........................................................................................32
3.2.3 Autoridade Certificadora Raiz.....................................................................................32
3.2.4 Autoridades Certificadoras (Acs) ................................................................................33
3.2.5 Autoridades de Registro (ARs)....................................................................................33
3.3 Diretório Público ............................................................................................................34
3.3.1 LDAP (Lightweight Directory Access Protocol) ........................................................35
3.4-Autoridades certificadoras de primeiro nível .................................................................35
3.5 Auditoria na ICP-Brasil ..................................................................................................38
3.5.1 Etapas de uma Auditoria .............................................................................................39
3.5.2 Auditoria Pré-operacional............................................................................................40
3.5.3 Auditoria Operacional .................................................................................................41
11. 4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA INFORMAÇÃO
BRASILEIRA .........................................................................................................................42
4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) ......................................42
4.1.1 Estrutura do SGCI .......................................................................................................43
4.1.2 Modulo de Hardware Seguro.......................................................................................44
4.1.3 AC Correio ..................................................................................................................45
4.1.4 Benefícios da utilização da ICP-EDU .........................................................................45
4.2 Projeto SPED (Sistema Público de Escrituração Digital) ..............................................46
4.2.1 Os principais objetivos do projeto SPED ....................................................................46
4.2.1.1 O objetivo de promover atuação Integrada dos Fiscos.............................................47
4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para os
contribuintes .........................................................................................................................47
4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários ....................47
4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) ...............................48
4.2.3. Escrituração Contábil Digital (ECD)..........................................................................48
4.2.4. Escrituração Fiscal Digital (EFD) ..............................................................................49
4.2.5 Nota Fiscal eletrônica (NFe ) ......................................................................................49
4.2.5.1 Forma de Credenciamento........................................................................................49
4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma
simplificada os passos do processamento da NF-e :.............................................................50
4.2.5.3 Benefícios do Projeto NF-e ......................................................................................51
4.3 Conclusões finais............................................................................................................52
CONCLUSÃO.........................................................................................................................54
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................55
12. 1
INTRODUÇÃO
A sociedade brasileira está mudando seus hábitos em relação ao meio virtual,
utilizando-o de forma mais abrangente e não somente, como forma de entretenimento.
Atualmente, é comum a prática de negócios via Internet, onde, o maior exemplo é o comércio
eletrônico, que a cada ano bate recordes de faturamento. Também as empresas estão se
beneficiando com as práticas virtuais: elas compram, vendem, contratam, demitem, dão
treinamento aos seus funcionários, aumentam sua competitividade, enfim, participam do
mundo globalizado. Porém nada disso seria possível se a segurança neste meio não fosse
garantida. O mundo virtual possui inúmeras ameaças ou pragas virtuais: cavalos-de-tróia,
vírus, crackers 1 , worms, etc. Onde, tanto os números, quanto os tipos de crimes virtuais são
crescentes. Com base nesta necessidade, novas técnicas de segurança estão sendo implantadas
para continuar garantindo que a sociedade se beneficie do meio digital de forma segura, onde
a certificação digital possui um grande destaque.
No capítulo 1, será demonstrada a importância que a segurança tem no meio digital,
apresentando os seus principais conceitos: ameaças, ataques, vulnerabilidades, políticas de
segurança, serviços de segurança, criptografia e assinatura digital.
No capítulo 2, serão apresentados os conceitos e o funcionamento da certificação
digital. Apresentando o certificado eletrônico, como um documento digital de identificação
pessoal, onde será explicado o seu padrão, forma de obtenção e verificação do seu estado de
revogado. Também serão explicadas as primeiras características da ICP-Brasil, como os tipos
de certificados oferecidos e os algoritmos criptográficos utilizados pela mesma.
1 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de
forma ilegal ou sem ética.
13. 2
No capítulo 3, será descrito em mais detalhes a ICP-Brasil, apresentando toda a sua
estrutura, as autoridades certificadoras (ACs) de primeiro nível e o tipos de Auditoria
realizadas em tal estrutura.
No capítulo 4, dois projetos que utilizam da certificação digital serão apresentados,
com a finalidade de demonstrar como a certificação digital beneficia a sociedade brasileira.
Os projetos escolhidos foram o ICP-EDU e o SPED. O principal motivo da escolha destes
projetos foi o campo de atuação dos mesmos, onde, o primeiro atua no ambiente acadêmico e
o segundo no ambiente fiscal. Assim os benefícios demonstrados, por esses dois projetos,
têm uma abrangência significativa na sociedade brasileira, servindo de base para demonstrar
tamanha importância da certificação digital.
14. 3
1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS
COMPUTACIONAIS
Atualmente, sistemas computacionais estão sendo utilizados em grande escala por
pessoas e empresas, seja de forma local ou on-line. Assim, percebe-se que o uso da internet
está mais abrangente, ou seja, não se limitando a entretenimento apenas.
Hoje, grandes empresas a utilizam como uma super-ferramenta de comunicação
adquirindo agilidade, competitividade nas suas práticas de negócios, vindo a cumprir
exatamente o exigido no mundo globalizado. Vale lembrar que muitas empresas foram
criadas e se firmaram com o avanço e a popularização da internet, como é o caso das lojas
virtuais que fazem do e-commerce 2 uma fórmula de sucesso e altos lucros.
Assim como empresas e pessoas, os governos de inúmeros países também fazem uso
da tecnologia. No caso do Brasil, podemos citar como um bom exemplo a implantação do
sistema de nota fiscal eletrônica que vem gerando enormes benefícios tanto para os
contribuintes, quanto para o sistema de fisco brasileiro.
Assim é possível observar que os hábitos da sociedade pós-moderna mudaram. Isso
somente vem acontecendo porque pessoas, empresas e governos perderam o medo do meio
digital, acreditando mais no poder das ferramentas e práticas de segurança empregadas no
mesmo, que é constantemente atacado por pragas virtuais: vírus, phishing 3 , crackers 4 , etc.
Conforme alerta SILVA et al (2008, p.3): “As informações contidas em sistemas
computacionais estão sujeitas à espionagem, violação e outros tipos de ações criminosas”.
2
e-commerce, ou ainda comércio virtual, é um tipo de transação comercial feita especialmente através de um
equipamento eletrônico, como, por exemplo, um computador.
3
phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais
como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa
enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.
4
Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança.
15. 4
1.1 O papel da segurança no meio computacional
LAUREANO et al (2005, p.4) explica que uma segurança efetiva garante que a
informação preserve os atributos de confidencialidade, integridade e disponibilidade.
• Confidencialidade - garante que a informação será acessada apenas por
pessoas autorizadas.
• Integridade – Garante e protege a exatidão da informação.
• Disponibilidade - garante que usuários autorizados sempre que necessitem
acessem e desfrutem dos benefícios da informação.
Os objetivos da segurança no meio digital podem ser claramente explicados conforme
nos ensina SOARES (1995, p.448):
A segurança está relacionada à necessidade de proteção contra o acesso ou
manipulação, intencional ou não, de informações confidenciais por
elementos não autorizados, e a utilização não autorizada do computador ou
de seus dispositivos periféricos.
“O objetivo da segurança da informação é proteger a organização detentora da
informação dos diversos tipos de ameaças para garantir a continuidade dos seus negócios e
maximizar o retorno dos investimentos e as oportunidades de negócios.” (SILVA et al, 2008,
p.4).
É muito importante que os requisitos de segurança de uma organização sejam
identificados, pois somente a partir desta etapa, é possível selecionar e implementar os
controles de segurança mais efetivos, ou seja, os controles que realmente reduzam os riscos a
um nível aceitável, porém SILVA et al (2008, p.5) lembra que: “A escolha dos controles é
feita, em geral, baseada nos custos de implementação em relação aos riscos que serão
reduzidos e nas perdas potenciais caso falhas na segurança ocorram.”
16. 5
Logo, não faz sentido desperdiçar recursos financeiros para garantir a segurança de
informações irrelevantes ou com valores menores aos investidos nas técnicas de segurança
utilizada para protegê-la.
1.1.1 Política de Segurança da Informação - São todas as ações permitidas, ou não,
na execução de um sistema. Essa política visa garantir que o sistema seja operado de forma
segura durante todo o tempo da sua execução. SOARES et al (1995, p.450) a conceitua
como:“(...) um conjunto de leis, regras e práticas que regulam como uma organização
gerencia, protege e distribui suas informações e recursos.”
SILVA et al (2008, p.6) explica o objetivo da Política de Segurança:
A política de segurança da informação tem como objetivo prover à direção
de uma organização, uma orientação e um apoio para a segurança da
informação. É conveniente que a direção estabeleça uma política clara,
demonstrando apoio e comprometimento com a segurança da informação
através da emissão e manutenção dessa política para toda organização.
1.1.2 Medidas de Segurança - São medidas tomadas para impedir ou reduzir o
impacto da ação de uma ou de várias ameaças. Estas medidas podem ser por meio de
software, controles físicos ou como forma de políticas de segurança. São exemplos de
medidas de segurança: o uso de criptografia em troca de mensagens, utilização de controle de
acesso restrito ao sistema de maneira lógica ou física, uso de programas firewall e antivírus.
Porém, SILVA et al (2008, p. 4) explica que:
Medidas de segurança, geralmente, aumentam o custo de um sistema, além
de poder torná-lo mais difícil de usar, por esta razão, muitas vezes não são
especificados no desenvolvimento do sistema.
1.1.3 Serviços de Segurança da Informação - Serviço de segurança é a característica
que um sistema possui para atender a uma política de segurança. Existe uma diferença entre
17. 6
serviço e controle de segurança. Serviços atendem a pergunta: o que é preciso? Já controle
responde a pergunta: como alcançar?
SILVA et al (2008, p.7) explica que a segurança da informação classifica seis serviços
principais: autenticação, autorização, privacidade, integridade, não-repúdio e disponibilidade.
• Autenticação - Garante que um usuário é quem ele diz ser. Pode trabalhar
baseado em três paradigmas: Algo-que-você-sabe, Algo-que-você-tem, Algo-
que-você-é. Em particular o serviço de autenticação contribui muito para a
segurança da informação.
• Autorização – Refere-se ao controle de acesso e ao uso de recursos
computacionais. Através de uma prévia autenticação o sistema é capaz de
especificar quais as partes, informações ou funcionalidades o usuário poderá
acessar.
• Privacidade – Assegura que informações confidenciais não serão acessadas
por pessoas não-autorizadas. Este serviço não só protege o conteúdo, mas
também o tamanho da informação.
• Integridade – Tem como função proteger a informação contra a modificação,
duplicação, inserção, remoção ou re-ordenamento da mesma.
• Não-Repúdio – Sua função é a de não permitir que uma parte envolvida na
comunicação negue sua participação na mesma.
• Disponibilidade – Garante que um sistema de computador, incluindo todas as
suas funções e informações, sempre estará disponível a usuários autorizados
quando necessário, mesmo que aconteça um desastre. Um exemplo disso seria
em caso de falta de energia e o sistema computacional fosse mantido por uma
fonte de energia auxiliar.
18. 7
1.1.4 Ameaça - Ameaça é algo que pode violar a segurança de um sistema
computacional, podendo capturar, alterar, excluir informações de maneira ilícita, podendo
também impossibilitar que o sistema mencionado pare ou funcione incorretamente. Assim
concorda SOARES et al (1995, p.448) ao dizer que: “Uma ameaça consiste em uma possível
violação da segurança de um sistema”. Em complemento, SILVA et al (2008,p.3) explica
que uma ameaça é tudo aquilo que representa algum perigo a uma propriedade, sendo esta
última, caracterizada como algo de valor.
Uma ameaça pode ser iniciada por uma pessoa, programa de computador, desastre
natural ou acidente. Neste aspecto ela pode ser classificada como:
• Intencional - Por exemplo, uma pessoa apaga parte do código de um programa
impedindo-o de funcionar corretamente.
• Acidental - Por exemplo, um raio atinge a rede elétrica e danifica o
computador servidor do sistema.
Ameaças também podem ser classificadas como:
• Ativa - Quando gera uma modificação ou dano ao sistema.
• Passiva- Quando o objetivo é a obtenção de informação sem autorização
como acontece em espionagem.
Segundo SOARES et al (1995, p.448) os principais tipos de ameaça são:
• Destruição de informação ou de outros recursos;
• Modificação ou deturpação da informação;
• Roubo, remoção ou perda de informação ou de outros recursos;
• Revelação de informação;
• Interrupção de serviços;
19. 8
1.1.5 Vulnerabilidades - Vulnerabilidades são brechas, falhas ou ausências da
segurança de um sistema podendo ser comparadas a elos fracos de uma corrente de segurança.
São nestes pontos que ataques têm a maior chance de obter sucesso, como confirma
BEZERRA (2008, p.20):
Vulnerabilidades são caracterizadas por falhas, ou pontos fracos, na segurança
da informação. Através destas, pessoas ou sistemas mal intencionados podem
lançar ataques contra sistemas inseguros e assim se apropriar indevidamente,
corromper ou tornar indisponível a informação sob sua guarda.
1.1.6 Ataque - Ataques são todas as ações de ameaças na tentativa de prejudicar um
sistema computacional, seja na espionagem, adulteração, eliminação de informação ou até
mesmo na tentativa de impedí-lo de funcionar corretamente. Na maioria das vezes,
explorando as vulnerabilidades dos sistemas, conforme explica (SILVA et al, 2008, p.4):
“Ataques são resultados de vulnerabilidades, representadas por deficiências em uma medida
de segurança ou a ausência de própria medida.”
Assim como explica SOARES et al (1995, p.449), os principais tipos de ataque são:
• Personificação: Uma entidade que possui poucos privilégios em um sistema
passa-se por outra com finalidade de obter mais privilégios de forma ilícita.
• Replay: Uma mensagem, ou parte, dela é interceptada e, posteriormente,
transmitida para produzir um efeito de não-autorizada.
• Modificação: O conteúdo de uma mensagem é modificado em caráter não-
autorizado sem que o sistema perceba tal modificação.
• Recusa ou Impedimento de Serviço: acontece quando uma entidade não executa
suas funções de maneira correta ou impede que outras não executem.
• Ataques internos: Ocorrem quando usuários legais agem de maneira não-
autorizada ou inesperada.
20. 9
• Armadilhas: Acontece quando uma entidade do sistema é modificada para
produzir efeitos não-autorizados em resposta a um comando ou um evento.
• Cavalos de tróia: Neste tipo de ataque a entidade executa operações não-
autorizadas adicionada a uma entidade autorizada.
1.2 Criptografia
A criptografia é uma técnica de segurança utilizada para garantir que a informação,
mesmo sendo, veiculada em ambientes inseguros seja compreendida somente por quem tem
este privilégio.
Antigamente, a criptografia era muito utilizada por militares. Eles precisavam
comunicar com suas bases, soldados ou veículos, mas não podiam correr o risco de que, suas
informações fossem interceptadas pelo inimigo. Atualmente, esta preocupação não se destina
apenas a este grupo, mas sim a uma sociedade inteira que precisa trafegar informação na rede
on-line de maneira segura. Não é possível imaginar a realização de operações bancárias pela
Internet sem o uso de criptografia nos dispositivos de segurança do banco.
SILVA et al (2008, p.13) explica:
A palavra criptografia é originária dos termos Kryptós, que quer dizer
oculto, e graph, escrever. (...) criptografia é a “ciência” de fazer com que o
custo de adquirir uma informação de maneira imprópria seja maior do que o
custo obtido com a informação.
SOARES et al (1995, p.452) concorda e também explica que:
A criptografia surgiu da necessidade de se enviar informações sensíveis
através de meios de comunicação não confiáveis, ou seja, em meios onde
não é possível garantir que um intruso não irá interceptar o fluxo de dados
para leitura (intruso passivo) ou para modificá-lo (intruso ativo).
21. 10
Segundo SILVA et al(2008, p.13) a definição da palavra criptografia pode ser
encontrada em dicionários da língua portuguesa, como sendo a escrita secreta por meio de
abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da
informação.
Em criptosistemas a informação original, também conhecida como texto pleno,
passa por duas fases. Na primeira, ela é embaralhada tornando-se incompreensível, também
chamada de texto cifrado. A esta técnica dá-se o nome de encriptamento ou cifragem. A
segunda fase é chamada de desencriptamento ou decifragem. O texto cifrado é
desembaralhado, ou decifrado, voltando a informação original e compreensível, ou texto
pleno, como exemplifica a figura 01:
FIGURA 1: Encriptamento e Desencriptamento de uma mensagem
FONTE: (SILVA et al, 2008, p.14 ).
22. 11
Os criptosistemas conseguem realizar essas operações devido à utilização de
algoritmos matemáticos, também conhecidos como algoritmos criptográficos. Como explica
SILVA et al (2008, p.14) todo o criptosistema é baseado em três modelos de algoritmos:
chave secreta, chave pública e resumo.
1.2.1 Chaves -A chave criptográfica é um valor matemático que é adicionado à
informação na sua cifragem, como explica SILVA et al (2008, p.15 ): “ A chave é um valor
matemático que determina como uma mensagem de texto pleno é criptografada para produzir
um texto cifrado, e sua posse é requerida para descriptografar o texto cifrado.”
Na criptografia moderna, a segurança encontra-se nas chaves. Elas são mais
importantes que os próprios algoritmos, ou seja, levantando a hipótese de que um intruso
tenha acesso ao algoritmo e ao texto cifrado, toda segurança ainda é mantida com o uso da
chave explica SILVA et al (2008, p.15).
Ainda, existem dois tipos de chaves: simétricas e assimétricas.
1.2.1.1 Criptografia de chave Secreta ou Simétrica - Neste tipo de algoritmo, o
texto pleno é cifrado e decifrado com o uso de uma única chave. Apenas com esta chave é
possível decifrar e retornar ao texto pleno, assim é essencial para o bom funcionamento deste
algoritmo que a chave seja mantida em segurança.
TANENBAUM (2003, p.784) explica que: “(...) mesmo que o criptoanalista adquira
enorme volume de texto cifrado de sua própria escolha, sem a chave ele não será capaz de
captar qualquer sentido em tudo o que conseguir.” Porém o mesmo autor (2003, p.800)
ressalta que neste sistema de criptografia existe um grande problema:
(...) as chaves tinham que ser protegidas contra roubo, mas também tinham
de ser distribuídas; portanto, elas não podiam ser simplesmente trancadas no
caixa-forte de um banco.
23. 12
FIGURA 2 – Encriptamento e Desencriptamento usando chave Secreta
FONTE: (SILVA et al, 2008, p.17).
1.2.1.2 Criptografia de Chave Pública ou Assimétrica - Neste tipo de algoritmo
são usadas duas chaves, uma pública e outra privada. A chave privada deve ser mantida em
segredo pelo seu proprietário, já a pública pode ser livremente distribuída. Entre esse par de
chaves existe uma relação matemática única e é essa relação que permite que qualquer uma
das chaves seja capaz de desfazer a cifragem de uma mensagem feita pela outra do seu
respectivo par.
Não é possível gerar uma chave privada a partir da sua chave pública, é o que
confirma SILVA et al (2008, p. 18):“ Uma chave pública e sua correspondente chave privada
24. 13
possuem uma relação matemática, mas é computacionalmente inviável derivar a chave
privada a partir de uma chave publica.”. Isso garante que ninguém consiga fabricar a chave
privada de alguém tomando como base a sua respectiva chave pública.
FIGURA 3 – Criptografia com Chave Secreta
FONTE: (SILVA et al, 2008, p.19).
Com o uso da chave pública de uma pessoa garantimos a confidencialidade e
integridade da mensagem, ou seja, apenas a possuidora da chave privada será capaz de
decifrar a mensagem original.
25. 14
Ao usar a chave privada para cifrar uma mensagem constata-se a funcionalidade da
assinatura digital, ou seja, é garantido a autoria e o não-repúdio da mesma. Todas as pessoas
que possuem a chave pública correspondente, ao receber a mensagem deduzem com
segurança o autor da mensagem, pois somente ele é capaz de encriptar a mensagem e, além
disso, o autor não será capaz de negar que foi ele quem produziu a informação.
Uma característica muito importante é explicada por SILVA et al (2008, p.19): “ Um
algoritmo de chave pública é reversível se pode ser usado tanto para criptografia como para
assinatura digital e irreversível se pode somente ser usado para assinatura digital.”
1.2.2 Algoritmo de Resumo - O algoritmo criptográfico de resumo também é
conhecido como algoritmo hash. Este algoritmo mapeia um texto de tamanho variável e
retorna uma mensagem cifrada menor de tamanho fixo que é chamada de resumo da
mensagem ou hash. SILVA et al (2008, p.20) explica que para que este tipo de algoritmo
consiga atender a segurança criptográfica, ele precisa:
1- Ser inviável computacionalmente. Encontrar a mensagem de entrada baseada apenas
em seu resumo.
2- Não deve ser possível achar uma mensagem particular que tenha um resumo
específico.
3- Não ser computacionalmente viável achar duas mensagens distintas com o mesmo
resumo.
1.3 Assinatura Digital
Da mesma maneira que é possível assinar documentos em papel com uma caneta,
hoje em dia, graças ao avanço da tecnologia, é possível assinar documentos eletrônicos. A
assinatura eletrônica não é, simplesmente, uma imagem de uma assinatura manuscrita de
alguém. Isso seria totalmente inseguro, pois softwares de edição de imagens facilmente
26. 15
alterariam ou até mesmo criariam uma assinatura deste tipo. Na verdade a assinatura digital é
um conjunto de bits resultantes da cifragem da informação por duas técnicas criptográficas
somadas: chaves criptográficas e algoritmo de resumo. Assinatura digital garante a
autenticidade, integridade e o não-repúdio da mensagem.
Para que a assinatura digital possa substituir a assinatura escrita TANENBAUM
(2003, p.803) explica que a técnica precisa atender aos seguintes requisitos:
• O Receptor possa verificar a identidade alegada pelo transmissor;
• O transmissor não possa repudiar o conteúdo da mensagem enviada;
• O receptor não possa ser capaz de adulterar a mensagem recebida;
Para assinar digitalmente um documento, primeiramente, é necessário cifrar a
mensagem original com o algoritmo de resumo; em seguida, criptografar o resultado deste
procedimento utilizando a chave privada do autor da mensagem, como exemplifica a figura
04:
FIGURA 4: assinatura digital
FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm
Para verificar a assinatura digital de uma mensagem, é preciso realizar a comparação
entre resumo hash obtido do texto original, com o resumo obtido da mensagem cifrada. Vale
lembrar que, para se obter o segundo resumo em questão anteriormente, é necessário decifrar
27. 16
a mensagem com a chave pública do autor. Logo após, comparar os dois resumos obtidos, se
forem iguais significa que a assinatura é verdadeira, caso contrário a mensagem pode ter sido
alterada ou a chave pública não corresponde a chave privada utilizada para encriptar a
mensagem.
A figura 05 exemplifica o processo de verificação da assinatura digital:
FIGURA 5: Conferência da assinatura digital
FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm
A respeito da técnica de assinatura de documentos digitais, SILVA et al (2008, p.22)
explica que:
Assinar uma mensagem inteira ao invés do seu resumo, embora seja
possível, não é recomendado por vários motivos. Primeiramente, assinar
uma mensagem inteira dobra a quantidade de informação que deve ser
enviada. Além disso, as operações de criptografia de chave pública são
geralmente mais lentas, fazendo com que o custo de criptografar uma
mensagem inteira acarrete problemas de desempenho. E, por último um
criptoanalista pode usar a grande quantidade de texto cifrado junto com a
mensagem original para tentar um ataque de mensagens criptografadas.
28. 17
2. CERTIFICAÇÃO DIGITAL
Um dos grandes problemas encontrados na utilização do meio digital, além de
garantir a confidencialidade, integridade e disponibilidade das informações, é comprovar que
as partes envolvidas em uma transação eletrônica, negociação ou troca de mensagens, são
realmente quem dizem ser. Esta dificuldade torna-se, na verdade, uma vulnerabilidade que
possibilita a concretização de ataques como, por exemplo, o phishing, que é uma fraude
eletrônica onde uma entidade se passa por outra confiável a fim de obter informações,
privilégios ou bens de maneira ilícita. Devido à necessidade de blindar estas lacunas de
vulnerabilidades, dentre outras características de segurança, foi desenvolvida a certificação
digital.
A certificação digital funciona, tanto como, um mecanismo identificador, como
também, uma ferramenta criptográfica. Ainda traz inúmeros benefícios como a possibilidade
de assinar documentos digitalmente, promovendo assim a desmaterialização do papel, pois
graças as práticas e técnicas de segurança aplicadas na certificação digital, o documento
assinado digitalmente possui valor judicial.
AZEVEDO et al (2009, p.47) definem a certificação digital como: “(...) a tecnologia
que provê os mecanismos de segurança capazes de garantir autenticidade, confidencialidade e
integridade às informações eletrônicas das mensagens e documentos trocados na Internet”.
2.1 Certificado Eletrônico
Para que a certificação digital consiga atender às necessidades de segurança, já
mencionadas, ela se baseia no uso do certificado digital. O certificado digital é um documento
eletrônico que comprova, de fato, que a pessoa, software ou computador é realmente quem
diz ser.
29. 18
SILVA et al. (2008, p.26) explica:
Um certificado digital (também chamado de certificado de chave pública) é
uma ligação entre a chave pública de uma entidade e um ou mais atributos
relacionados a esta entidade, armazenados em um arquivo digital. (...) O
certificado digital produz a garantia que a chave pública pertence à
entidade. Além disso, garante também que a entidade (e somente esta
entidade) possua de fato a correspondente chave privada.
AZEVEDO et al. (2009, p.53) explica que o conteúdo de um certificado digital
normalmente é composto de:
• Informações referentes à entidade para o qual o certificado foi emitido (nome,
e-mail, CPF/CNPJ, etc.);
• Chave pública referente à chave privada de posse da entidade especificada no
certificado;
• O período de validade;
• O nome da empresa (Autoridade Certificadora) que emitiu o certificado
digital;
• Número de série do certificado digital;
• Localização do “centro de revogação” (uma URL 5 para download da lista de
certificados revogados ou local para uma consulta OCSP 6 );
• Assinatura digital da Autoridade Certificadora, sendo esta, a empresa
responsável pela emissão do certificado digital;
5
URL (de Uniform Resource Locator), em português Localizador de Recursos Universal, é o endereço de um
recurso (um arquivo, uma impressora etc.), disponível em uma rede; seja a Internet, ou uma rede corporativa,
uma intranet.
6 OCSP- Oline Certificate Status Protocol, é um modelo de verificação online do status de revogação de um
certificado digital.
30. 19
Existem diversos padrões de certificados digitais no mercado, como exemplo,
SPKI/SDSI, PGP e SET, porém esta pesquisa monográfica destacará apenas o padrão X.509,
por ser o padrão utilizado pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil).
2.1.1 Padrão de Certificado Digital X.509 - Segundo AZEVEDO et al (2009,
p.53): “O padrão mais comum para certificados digitais no âmbito de uma ICP 7 é o ITU-T 8
X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task Force
(IETF) PKIX”.
O formato X.509, atualmente encontra-se na terceira versão. A versão um (v1) foi
publicada primeiramente, em 1988, e estendida em 1993, incorporando dois novos campos de
controle resultando na segunda versão (v2) e, finalmente, atualizado em 1996 para a terceira
versão possibilitando usar campos de extensão.
Os campos de extensão adicionados na terceira versão do padrão X.509 possibilitam
adicionar informações para uma entidade, como exemplo, a chave pública, autoridade
certificadora ou qualquer outra informação necessária.
Para SILVA et al. (2008, p.27) as extensões associadas ao certificado: “(...)
proporcionam também a possibilidade de organizações e empresas definirem seus próprios
campos de extensões e codificarem informações específicas às suas necessidades.” SILVA et
al (2008, p.28) ainda explica que um campo de extensão é composto por três partes:
• Tipo de extensão - É um objeto identificador que prove semântica e tipo da
informação (como texto, data, número inteiro ou estrutura complexa) para o valor da
extensão.
• Valor da extensão - Contém o real valor de um campo de extensão que é descrito
pelo seu tipo.
7 ICP – Infra-Estrutura de Chaves Públicas.
8 ITU-T – International Telecommunication Union – Telecommunication Standartization Sector.
31. 20
• Indicador Crítico – Instrui aplicações de software que usam certificados que ignoram
o valor do campo quando não se conhece o tipo de extensão. No caso, somente serão
ignoradas as extensões não críticas, porém extensões críticas não reconhecidas tornam
o certificado rejeitado. A figura 06 demonstra o formato do certificado X.509:
FIGURA 06 – Estrutura do Certificado digital X.509
FONTE: própria.
Na tabela 01, estão descritos os campos do certificado no padrão X.509 versão 3:
Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.
FONTE: SILVA et al (2008, p.28).
Nome do Campo Descrição
Número da versão X.509 do certificado, tendo como valor válido apenas
Versão 1,2 ou 3.
Identificador único do certificado e representado por um inteiro. Não
Número de série deve haver mais de um certificado emitido com o mesmo número de
série por uma mesma autoridade certificadora.
32. 21
Nome do Campo Descrição
Algoritmo de Identificador do algoritmo usado para assinatura do certificado pela
Assinatura autoridade certificadora.
Nome da autoridade certificadora que produziu e assinou o certificado.
Emissor
Intervalo de tempo de duração que determina quando um certificado
Período de Validade deve ser considerado válido pelas aplicações.
Identifica o dono da chave pública do certificado. O assunto deve ser
Assunto único para cada assunto no certificado emitido por uma autoridade
certificadora.
Contém o valor da chave pública do certificado junto com informações
Chave Pública de algoritmos com o qual a chave deve ser usada.
Identificador Único de Campo opcional para permitir o reuso de um emissor com o tempo.
Emissor (opcional)
Identificador Único de Campo opcional para permitir o reuso de um assunto com o tempo.
Assunto (opcional)
Campos complementares com informações adicionais personalizadas.
Extensões
2.1.2 Registro de Certificados - O registro de certificados digitais é feito através de
uma autoridade certificadora (AC). Do ponto de vista de SILVA et al. (2008, p.30) uma
autoridade certificadora é definida como: “(...) uma organização confiável, que aceita
aplicações certificadas de certa entidade, autentica aplicações, emite certificados e mantém
atualizadas informações sobre os estados dos certificados”.
O procedimento de registro de um certificado digital de uma entidade é feito através
do preenchimento e o envio de um formulário à autoridade certificadora. Este formulário
contém a chave pública e os dados de identificação da entidade. O tipo de dados preenchidos
irá variar de acordo com o certificado digital requerido.
O processo de geração do par de chaves criptográficas e armazenamento da chave
privada podem ser realizados por software ou hardware, variando também de acordo com o
tipo de certificado requerido. Chaves criadas por software têm armazenamento da chave
privada feita no próprio computador da entidade. No procedimento por hardware, tanto a
33. 22
criação do par de chaves, quanto o armazenamento da chave privada é feito em mídias
especiais que possuem recurso criptográfico e senha de acesso à chave. Essas mídias são:
Smart cards ou tokens USB.
A figura 7 é um exemplo de Smart card:
FIGURA 07: E-CPF
FONTE: http://www.pronova.com.br/solutions/scard2k.htm
A figura 8 é um exemplo de Token USB:
FIGURA 08 : Token USB
FONTE: http://www.secdist.se/Produkter/CRYPTOCard/cryptocard.html
SILVA et al (2008, p.30) explica que este tipo de mídia armazenamento impede que
a chave privada criada seja transferida ou copiada e que sua destruição só seja possível com a
destruição da própria mídia.
34. 23
2.1.3 Lista de Certificados Revogados - Todo certificado digital no padrão X.509
tem um período de validade, onde deve ser aceito por qualquer aplicação durante todo este
período. Após o término deste, o certificado expira, tornando-se inválido. Contudo, existem
situações especiais onde o certificado deve perder sua validade antes do término do período
de validade, por exemplo, uma alteração nos dados da entidade ou até mesmo ao vazamento
da chave privada. Quando esse tipo de situação acontece o certificado passa a ser identificado
como um certificado revogado. Todas as autoridades que emitem os certificados digitais têm
que possuir mecanismos capazes de realizar a mudança no estado de revogação dos
certificados.
As autoridades Certificadoras possuem listas de certificados revogados (LCR) que
são utilizadas para divulgar os certificados revogados.
SILVA et al. (2008, p.29) conceituam tais listas como:
Uma LCR é uma estrutura de dados, digitalmente assinada pela autoridade
certificadora, que contém: dia e hora da publicação da LCR, nome da
autoridade certificadora e os números de série de todos os certificados
revogados que ainda não foram expirados.
Toda aplicação que trabalha com certificados digitais deve obter a lista de
certificados revogados mais recentes, tendo como finalidade verificar, corretamente, se o
número de série do certificado em uso não está presente na lista de certificados revogados.
SILVA et al. (2008, p.29) ressaltam:
A freqüência com que uma LCR é atualizada é determinada pela autoridade
certificadora vai depender bastante do domínio da aplicação. Quanto mais
frequente a atualização de uma LCR, menor será o desempenho da
aplicação, e isso ocorre devido às constantemente trocas de informações
com a autoridade certificadora. Porém, em aplicações críticas é de extrema
importância que informações de estados de revogação dos certificados
sejam obtidas da maneira mais rápida possível.
35. 24
2.1.4 Verificações on-line por OCSP - On-line Certificate Status Protocol (OCSP)
é um novo modelo de verificação on-line do estado de revogado dos certificados no padrão
X.509. Neste modelo, obtém-se o estado de revogado de um certificado através da consulta
on-line do seu número de série às bases de dados contidas no servidor da autoridade
certificadora.
Possivelmente, esta utilização do OCSP pode limitar, ou até mesmo extinguir, o uso
das listas de certificados revogados (LCRs). Este modelo trás o benefício de não precisar fazer
o download de uma lista inteira com as informações de vários certificados, já que, somente
um certificado está sendo verificado. Isso ajuda a diminuir o tempo de consulta do estado de
revogado do certificado. Porém SILVA et al. (2008, p.37) ressaltam que existe ambientes em
que a verificação deve ser feita de forma off-line e outros, em que a quantidade de
verificações de certificados é tão alta que faz o sistema de consulta on-line mais lento.
2.1.5 Renovação - Um usuário pode requisitar à Autoridade Certificadora a
renovação do seu certificado após o término da validade. Ele pode manter tanto seu par de
chaves, como os seus dados, desde que não tenha ocorrido nenhum comprometimento da
chave privada e nem alterações nos seus dados cadastrais.
2.2 Infra-Estrutura de Chaves Públicas
Uma infra-estrutura de chaves públicas (ICP) é um órgão, público ou privado,
responsável por toda a estrutura de emissão de chaves públicas. Além de ser responsável por
definir os padrões e técnicas utilizadas, um dos principais objetivos de uma ICP é tornar-se a
terceira parte confiável, assegurando a credibilidade e confiança em transações entre partes
que utilizam certificados eletrônicos.
Segundo SILVA et al. (2008, p.31):
36. 25
A adoção da tecnologia de chaves públicas requer uma infra-estrutura de
chaves públicas (ICP) que define o conjunto de padrões utilizados,
autoridades certificadoras, estrutura entre autoridades certificadoras,
métodos para validar certificados, protocolos de operação, protocolos de
gerenciamento, ferramentas de interoperabilidade e suporte legislativo.
A infra-estrutura de chaves públicas brasileira, foi estabelecida a partir da Medida
Provisória nº. 2.200-2, de 24 de agosto de 2001, e é conhecida como Infra-Estrutura de
Chaves Públicas Brasileira ou ICP-Brasil.
2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil
(ICP-BRASIL) - A infra-estrutura de chaves públicas do Brasil oferece duas categorias de
certificado digital: A e S. A categoria A é destinada à autenticação e identificação. A
categoria S é destinada às atividades sigilosas. Essas categorias são divididas em quatro tipos,
como descreve o site ALECRIM (2009):
A1 e S1: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em dispositivo de armazenamento
(como um HD); validade máxima de um ano;
A2 e S2: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou
token (dispositivo semelhante a um pendrive); validade máxima de dois
anos;
A3 e S3: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos;
A4 e S4: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 2048 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos.
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é
geralmente armazenado no computador do solicitante, enquanto que o
segundo é guardado em cartões inteligentes (smartcards) ou tokens
protegidos por senha.
2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil - Para que um
documento eletrônico seja assinado digitalmente é necessária a utilização de dois algoritmos
criptográficos: algoritmo de criptografia assimétrica e algoritmo criptográfico de função hash.
A Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil) adota os seguintes
algoritmos criptográficos: RSA e SHA-1. Segundo GUELFI (2007, p.98):
37. 26
A ICP-Brasil, com o objetivo de assegurar a integridade dos
documentos eletrônicos assinados digitalmente aponta por meio de
atos normativos quais os algoritmos que deverão ser usados. (...) o
certificado digital da Ac-Raiz é assinado com um algoritmo
criptográfico RSA, utilizando-se do SHA-1 como algoritmo
criptográfico de função hash.
2.2.2.1 Algoritmo de criptografia assimétrica RSA - Segundo explica SILVA
(2006, p.20), o algoritmo de criptografia assimétrica RSA foi desenvolvido em 1978, por três
professores do Instituto de Tecnologia de Massachusetts (MIT): Ronald Rivest, Adi Shamir e
Leonard Adleman. As iniciais de seus criadores dão nome a este algoritmo, RSA.
Considerado como um dos algoritmos mais seguros, funciona com a utilização de um par de
chaves criptográficas, sendo uma delas pública e a outra privada.
SILVA (2006, p.20) ainda ressalta:
A impossibilidade de quebrar a chave de decodificação é possível pela não
existência de algoritmos eficientes para a fatoração de inteiros em fatores
primos, sobretudo, se o número de algarismos é 100 ou maior. O tempo de
codificação de uma mensagem é praticamente, desprezível, mas o tempo de
decodificação pode tornar o processo inviável.
MARTINA (2005, p.5) destaca uma característica importante do algoritmo RSA:
“Neste novo sistema temos a independência do uso das chaves nos processos de cifragem e
decifragem, podendo assim, gerar as bases para um outro novo paradigma que é a assinatura
digital de documentos”.
2.2.2.2 Algoritmo criptográfico de função hash SHA-1 - O algoritmo SHA-1
(Secure Hash Algorithm) foi criado pelo National Institute of Standards and Technology
(Instituto Nacional de Padrões de Tecnologia)-NIST em 1994, sendo hoje considerado um
38. 27
algoritmo de função hash confiável e adotado pela Infra-Estrutura de chaves públicas do
Brasil (ICP-Brasil).
GUELFI (2007, p.102) explica a característica de funcionamento do algoritmo:“ Em
linhas gerais, temos como entrada um arquivo qualquer em formato digital com um tamanho
de até 280 bits, obtendo na saída um resumo criptográfico de 160 bits”.
Neste modelo de algoritmo o resumo obtido possui tamanho fixo, porém não
significa que o seu conteúdo será o mesmo. Quando informações digitais distintas aplicadas a
um mesmo algoritmo hash obtêm o mesmo resumo, ocorre o que é chamado de Colisão.
GUELF (2007, p.97) explica que a força de um algoritmo hash está no grau de dificuldade
em ocorrer colisões.
Para melhor entendimento, a figura 09 exemplifica a saída criptográfica do
algoritmo SHA-1:
FIGURA 09: Exemplo de um bloco hash gerado a partir de uma dada informação
FONTE: GUELF (2007, p.97)
39. 28
Hipoteticamente, seria o mesmo que, na figura 09, depois da alteração da
informação o resumo hash permanecesse o mesmo da informação anterior.
GUELF (2007, p.102) vai mais além e alerta, que testes de segurança aplicado ao
algoritmo SHA-1 demonstraram uma diminuição no tempo de quebra do algoritmo em 200
vezes, baixando sua força criptográfica de 280 para 263. Isso não gera um grau de perigo a
ponto de seu uso ser inviável, porém demonstra que o algoritmo SHA-1 é vulnerável.
Outro tipo de algoritmo de função hash deverá ser adotado na assinatura digital dos
documentos eletrônicos em breve, pois segundo GUELF (2007, p.102):
O NIST prevê que o SHA-1 será definitivamente abandonado em 2.012,
conforme prevê a FIPS 9 180-2 do NIST. Com isso, a tecnologia deverá se
preocupar em continuar a conferir força valorativa aos documentos
eletrônicos assinados digitalmente com o SHA-1 como técnica de função
hash.
Existem variantes do SHA-1 como explica MARTINA (2005, p.4): “O NIST da
Secretaria de Comércio dos Estados Unidos da América definiu uma família de variantes do
SHA, entre elas, o SHA-256, SHA-384 e o SHA-512, com respectivamente, 256, 384 e 512
bits de saída”. A figura 10 demonstra as variantes do SHA-1:
9
FIPS- É um documento de publicação Federal de Padrões de Processamento de Informações emitido pelo
NIST(National Institue of Standards and Technology)
40. 29
FIGURA 10: Tamanho de SHA
FONTE: http://pt.wikipedia.org/wiki/SHA-1
41. 30
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-
Brasil)
A Infra-estrutura de chaves públicas do Brasil foi instituída em 24 de agosto de
2001, pela Medida Provisória 10 (MP) 2.200-2. Essa MP foi uma resultante das necessidades da
Casa Civil da Presidência da República na implantação do “Governo Eletrônico”, onde,
necessitava-se assegurar e legalizar todas as atividades eletrônicas do governo, além de
promover a inclusão digital da sociedade brasileira.
Segundo GUELFI (2007, p.79):
A implantação da ICP-Brasil teve natureza administrativa, tendo como
objetos reais a emissão e distribuição de certificados digitais e seu controle
de qualidade, além dos objetivos legais de assegurar autenticidade,
integridade e validade jurídica aos documentos eletrônicos, como também
as transações eletrônicas seguras, conforme descrito no artigo 1º da MP
2.200/01.
No ponto de vista de SILVA et al (2008, p.79) a ICP-Brasil é definida como: “(...) um
conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema
criptográfico com base em certificados digitais. (...) com vistas a inserir maior segurança nas
transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios”.
Percebe-se que, além de gerir todo o sistema de chaves-públicas no Brasil, a ICP-
Brasil comporta-se como uma terceira parte confiável, onde uma de suas principais funções é
garantir que uma determinada chave pública pertença a uma pessoa, software ou computador,
e que a (o) mesma (o) possui a chave privada correspondente.
10 Medida provisória (MP) é um ato unipessoal do presidente da República, com força de lei, sem a participação
do Poder Legislativo, que somente será chamado a discuti-la e aprová-la em momento posterior. O
pressuposto da MP é urgência e relevância.
42. 31
3.1 Garantias Oferecidas Pela ICP-Brasil
Devido aos métodos e práticas necessárias para a obtenção de certificados digitais
através da ICP-Brasil, são transmitidas aos titulares de certificados várias garantias, como
descreve SILVA et al (2008, p.80):
• O par de chaves criptográficas deve ser gerado sempre pelo próprio
titular, uso e conhecimento;
• Os documentos assinados com processo de certificação da ICP-
Brasil possuem presunção de validade jurídica;
• São utilizados padrões internacionais para os certificados, bem
como algoritmos criptográficos e tamanhos de chaves que oferecem
nível de segurança aceitável internacionalmente;
• As instalações e procedimentos das entidades credenciadas
possuem um nível pré-estabelecido da segurança física, lógica, de
pessoal e procedimental em padrões internacionais;
• As entidades componentes da ICP-Brasil são obrigadas a declarar
em repositório público as práticas de segurança utilizadas em todos
os seus processos;
• As entidades estão sujeitas a uma auditoria prévia ao
credenciamento, e auditorias anuais para manter-se credenciadas;
• Os dados relativos aos certificados são mantidos por no mínimo
trinta anos, para permitir comprovação e diminuir dúvidas sobre a
assinatura de documentos, atendendo legislações específicas de
guarda de documentos;
• Todas as autoridades certificadoras são obrigadas a contratar seguro
para cobertura de responsabilidade civil decorrente das atividades
de certificação digital e de registro, com cobertura suficiente e
compatível com o risco;
• É obrigatória a validação presencial dos titulares para obtenção de
certificados.
3.2 A Estrutura da ICP-Brasil
Em síntese GUELFI (2007,p.26) explica que a estrutura da ICP-Brasil é hierárquica,
constituída de: um Comitê Gestor, um Comitê Técnico, uma Autoridade Certificadora Raiz,
uma cadeia de Autoridades Certificadoras subsequentes e por uma cadeia de Autoridades de
Registro.A figura 11 exemplifica a estrutura da ICP-Brasil:
43. 32
FIGURA 11: Estrutura da ICP-Brasil
FONTE: SILVA et al (2008, p.82).
3.2.1 Comitê Gestor - Sua função é a de estabelecer normas, critérios e políticas
para o credenciamento das Autoridades Certificadoras (ACs), Autoridades de Registro (ARs)
e demais partes envolvidas na certificação digital. Possui também a função de auditar a
Autoridade Certificadora Raiz. Segundo SILVA et al (2008, p.83) “Ele atualiza a ICP-Brasil,
garante sua compatibilidade e promove a atualização tecnológica do sistema e sua
conformidade com as políticas de segurança”.
3.2.2 Comitê Técnico (COTEC) - “presta suporte técnico e assistência ao Comitê
Gestor, sendo responsável por manifestar-se, previamente, sobre as matérias apreciadas e
decididas por este.” (SILVA et al, 2008, p.83).
3.2.3 Autoridade Certificadora Raiz – É a primeira Autoridade certificadora na
hierarquia, cabendo a ela executar todos os critérios, normas e políticas aprovadas pelo
Comitê Gestor. GUELFI (2007, p.29) explica que a autoridade Raiz é operada pelo Instituto
Nacional de Tecnologia da Informação (ITI), sendo este, uma Autarquia11 Federal vinculada
à Casa Civil da Presidência da República.
11
Autarquia - Serviço autônomo criado por lei, com personalidade jurídica de direito público, patrimônio e
receita próprios, para executar atividades típicas da Administração Pública, que requeiram para seu melhor
funcionamento gestão administrativa e financeira descentralizada.
44. 33
Em complemento SILVA et al (2008, p.84) destaca como outra função da
Autoridade Certificadora Raiz: “(...) executar atividades de fiscalização e auditoria das Acs e
das Ars e dos prestadores de serviço habilitados na ICP; em conformidade com as diretrizes e
normas técnicas estabelecidas pelo comitê Gestor da ICP-Brasil”.
3.2.4 Autoridades Certificadoras (Acs) – São entidades credenciadas que emitem,
expedem, distribuem, revogam, renovam, gerenciam os certificados e distribuem as Listas de
certificados revogados (LCRs) a todos os usuários.
No ponto de vista de GUELFI (2007, p.36):
As Autoridades Certificadoras Subseqüentes desempenham uma atividade
de certificação semelhante àquelas empenhada pela Autoridade
Certificadora Raiz, à qual geralmente é ligada. A diferença encontra-se
justamente no nível de aplicação. Sua atividade aplica-se a um nível
hierárquico inferior, destinando-se ao usuário final.
3.2.5 Autoridades de Registro (ARs) – São entidades operacionais vinculadas a
uma AC. Sua função é cadastrar e identificar os usuários de forma presencial, encaminhar a
solicitação de certificados às Acs mantendo os registros de suas operações. MANZUTTI
(2007, p.22) complementa: “Como exemplo de AR’s poderíamos citar a AR SERPRO e AR
ANOREG (Associação dos Notários e Registradores do Brasil). As duas são subordinadas à
AC SERPRO e algumas instituições financeiras subordinadas à SRF.”
Segundo SILVA et al (2008, p.85), na estrutura da ICP-Brasil ainda encontram-se:
• Prestador de Serviços de Suporte (PSS) - São empresas contratadas que
disponibilizam infra-estrutura física e lógica e recursos humanos especializados;
• Auditorias Independentes - são empresas especializadas contratadas pelas
autoridades certificadoras para realizar auditorias nas entidades a elas subordinadas.
45. 34
• Titulares de Certificados – pessoas físicas ou jurídicas que podem ser titulares dos
certificados digitais emitidos por uma das Acs da ICP-Brasil.
Na tabela 02, demonstra-se uma visão macro dos componentes da ICP-Brasil:
Tabela 02: Componentes da ICP-Brasil.
FONTE: Bezerra (2008, p.36)
Componente Papéis: Definir políticas, diretrizes, normas e regras operacionais.
Normativo Características: regulador de atividades econômico produtivas, formulador
Responsável: de políticas com poder de normalização (órgão sistêmico), fiscalização
CG ICP-Brasil (auditoria) e poder de polícia (fazenda pública).
Componente de
Papéis: Realizar credenciamento, auditorias e certificação.
Credenciamento
Características: órgão credenciador, auditor e fiscalizador das políticas
Responsável:
diretrizes, normas e regras (regulamentos técnicos) definidos pelo CG.
AC Raiz
Componente Papéis: Fazer a expedição de certificados de chaves públicas e de selos
Operacional digitais.
Responsáveis: Características: Identificação, cadastramento e lançamento da base
ACs e ARs operacional da ICP-Brasil
3.3 Diretório Público
Utilizados pelas ACs como um meio de distribuição de certificados, o diretórios
públicos são unidades de armazenamento, virtual, de certificados digitais, tanto de usuários
finais quanto de Acs e das listas de certificados revogados (LCRs) destinados, de forma
pública, à consulta e download do seu conteúdo. No ponto de vista de IGNACZAK (2002,
p.8):
O diretório público não necessita estabelecer uma conexão segura com o
usuário no momento da busca e download de um certificado. O certificado é
conferido através de sua assinatura digital. O diretório público deve,
somente, possuir os dados atualizados, além de assegurar ao usuário bons
mecanismos para manter seu nível de disponibilidade muito alto.
46. 35
3.3.1 LDAP (Lightweight Directory Access Protocol) – É um protocolo leve e
flexível de acesso a banco de dados distribuídos. Trabalha com o protocolo TCP/IP 12 , o que o
tornou um padrão para utilização na internet. BEZERRA (2008, p.33) explica que: “O LDAP
foi projetado para permitir a unificação de diretórios, resolvendo os problemas decorrentes de
sua proliferação pela rede”. Sua principal função é disponibilizar o acesso, de forma
amigável, aos diretórios públicos.
3.4-Autoridades certificadoras de primeiro nível
Na hierarquia ICP-Brasil, logo abaixo da Autoridade Certificadora Raiz, destacam-
se as Autoridades Certificadoras de primeiro nível, que são: Serpro, Caixa Econômica
Federal, Serasa, Secretaria da Receita Federal, Certisign, Imesp (Imprensa Oficial),
Autoridade certificadora da Justiça (AC-JUS) e Presidência da Republica (ACPR). Devido à
sua importância e relevância a tabela 03 as descreve:
Tabela 03: Autoridades Certificadoras de Primeiro Nível
FONTE: Azevedo et al (2009, p.49)
Entidade Logo Observação
O Serpro foi a primeira
autoridade certificadora
Serpro credenciada pela ICP-Brasil . E
desde 1999, procura divulgar o
uso dessa tecnologia para os
vários segmentos com que
trabalha.
12 TCP/IP é um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha
e protocolos TCP/IP). Seu nome vem de dois protocolos: o TCP (Transmission Control Protocol - Protocolo
de Controle de Transmissão) e o IP (Internet Protocol - Protocolo de Interconexão).
47. 36
Entidade Logo Observação
Para a Serasa, a tecnologia de
certificação digital é o
instrumento que viabiliza a
inserção dos diversos agentes
econômicos e cidadãos
brasileiros em uma sociedade
digital .
Serasa A Serasa fornece a segurança
dos certificados digitais pra
quase todos os grupos
financeiros participantes do
Sistema de Pagamentos
Brasileiro (SPB).
A Receita Federal do Brasil
(RFB) disponibiliza uma grande
quantidade de serviços web,
com o objetivo de simplificar ao
máximo a vida dos
contribuintes e facilitar o
cumprimento espontâneo das
Secretaria da Receita Federal
obrigações tributárias. Por meio
do Brasil
do serviço Receita222,
contribuinte de forma
interativa, via internet,com uso
de certificados digitais,
garantindo a identificação
inequívoca dos usuários
Com o apoio da Certisign,
empresa fundada em 1996 com
foco exclusivamente no
desenvolvimento de soluções de
Certsign certificação digital para o
mercado brasileiro, importantes
instituições vêem adotando a
tecnologia nas mais diversas
formas.
A Imprensa Oficial é a
Autoridade Certificadora Oficial
do Estado de São Paulo e está
credenciada e preparada para
oferecer produtos e serviços de
certificação digital para os
Imesp (Imprensa Oficial do
poderes executivo, legislativo e
Estado de São Paulo)
judiciário, incluindo todas as
esferas da administração
pública, direta e indireta, nos
âmbitos federal, estadual e
municipal.
48. 37
Entidade Logo Observação
A autoridade Certificadora da
Justiça (AC-JUS) é Gerenciada
por um Comitê Gestor que a
partir de outubro de 2005 é
composto por representantes
do STF, STJ, TST, TSE, STM,
CNJ, CJF,e o CSJT. Trata-se da
primeira autoridade
certificadora do Poder Judiciário
JUS (Autoridade Certificadora
no mundo. Sua Implementação
da Justiça
possibilitou a definição de
regras e perfis de certificados,
específicos para aplicações do
Judiciário e resulta da
necessidade crescente de
transpor a mesma credibilidade
e segurança existentes hoje no
“mundo do papel” para o
“mundo digital”
A autoridade Certificadora da
Presidência da República -ACPR
foi criada em abril de 2002, por
uma iniciativa da Casa Civil, no
âmbito do governo eletrônico
(e-Gov) e tem como objetivo
Presidência da República emitir e gerir certificados
digitais das autoridades da
Presidência da República,
ministros de estado,
secretários-executivos e
assessores jurídicos que se
relacionem a PR.
49. 38
A figura 12 demonstra a estrutura completa da ICP-Brasil :
FIGURA 12: Estrutura ICP-Brasil
FONTE:http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pd
f
3.5 Auditoria na ICP-Brasil
As auditorias realizadas na ICP-Brasil visam garantir a qualidade, segurança e a
credibilidade de todo o procedimento de certificação digital brasileiro. Para SILVA et al
(2008, p.107): “As auditorias tem contribuído para manter a qualidade dos serviço e processos
realizados na ICP-Brasil e mesmo para melhorar os patamares de atuação.” Os critérios e
procedimentos das auditorias realizadas nas entidades da ICP-Brasil são definidos pela
Resolução n.º 44 do ITI de 18 de abril de 2006. SILVA et al (2008, p.99) explica que esta
Resolução classifica as auditorias em dois tipos: Pré-operacional e Operacional. A auditoria
Pré-operacional ocorre antes do credenciamento na ICP-Brasil, já a auditoria Operacional é
50. 39
realizada no mínimo uma vez por ano, em entidades já credenciadas. O objetivo deste tipo de
auditoria é poder verificar se os requisitos, critérios, políticas de segurança e operação
continuam em concordância com os exigidos para o credenciamento. Assim é possível avaliar
se a entidade auditada ainda possui as características necessárias para continuar sendo
reconhecida como credenciada.
Ainda com base na Resolução nº. 44 do ITI, a tabela 04 demonstra quais entidades
podem executar as auditorias:
Tabela 04: Executores de auditoria nas entidades da ICP-Brasil
FONTE: Silva et al (2008, p.101)
ENTIDADE EXECUTOR DA AUDITORIA
Pré-Operacional Operacional
AC Raiz Comitê Gestor da ICP-Brasil ou Comitê Gestor da ICP-Brasil. ou
seus prepostos seus prepostos.
AC de 1º nível AC Raiz AC Raiz.
AC de 2º nível AC Raiz Empresa de auditoria independente
cadastrada junto à ICP-Brasil.
AR Empresa de auditoria independente AC à qual a AR se vincula ou
cadastrada junto à ICP-Brasil auditoria interna da AR cadastrada
junto à ICP-Brasil ou empresa de
auditoria independente cadastrada
junto à ICP-Brasil .
AR no Exterior AC Raiz ou, a seu critério, empresa AC Raiz ou, a seu critério, empresa
de auditoria independente de auditoria independente
cadastrada junto a ICP-Brasil . cadastrada junto a ICP-Brasil .
PSS Empresa de auditoria independente AC à qual o PSS se vincula ou
cadastrada junto à ICP-Brasil empresa de auditoria independente
junto a ICP-Brasil .
3.5.1 Etapas de uma Auditoria - SILVA et al (2008, p.101) ainda explica as etapas
de uma auditoria, seja ela, pré-operacional ou operacional, quer seja realizada em AC, AR ou
prestador de suporte:
• Análise dos documentos obrigatórios;
• Análise de documentos complementares;
• Planejamento dos testes;
• Auditoria de campo;
51. 40
• Encerramento e acompanhamento;
• Itens verificados durante a auditoria.
3.5.2 Auditoria Pré-operacional - Segundo SILVA et al (2008, p.102) uma
auditoria pré-operacional de uma Autoridade certificadora e Autoridade de Registro têm por
obrigatoriedade verificar todos os itens de segurança, procedimentos constantes das
resoluções, Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC) e
Política de Segurança (PS). Podendo ser agrupados em sete áreas:
1. Segurança de pessoal;
2. Segurança física;
3. Segurança lógica;
4. Segurança de rede;
5. Segurança da informação;
6. Gerenciamento de chaves criptográficas e do certificado da própria AC;
7. Gerenciamento do ciclo de vida dos certificados.
As auditorias realizadas devem ser capazes de identificar e não permitir a existência
de problemas graves, como exemplifica SILVA et al (2008, p.107):
• Utilização de sala-cofre sem os requisitos de estanquiedade
(segurança) necessários;
• Manutenção de bases de dados corrompidas;
• Não utilização de VPN (rede privada virtual) para proteger o
tráfego de dados para o servidor da AC;
• Alocação de pessoas despreparadas para executar a tarefa de
Agentes de Registro;
• Não verificação da vulnerabilidade dos servidores, tendo em
decorrência, sistemas desatualizados e com graves falhas de
segurança;
• Não realização de análise dos arquivos de logs (registro) de eventos
críticos;
• Perda de imagens dos ambientes pela falta de troca das fitas de
vídeo em tempo hábil;
• Emissão de certificados a titulares sem a respectiva documentação.
52. 41
3.5.3 Auditoria Operacional – Verificam-se todos os itens da auditoria Pré-
Operacional, porém acrescentando a análise de registros e eventos já realizados:
• ACs: Certificados emitidos, revogados, logs de acessos ao ambiente físico e lógico;
• ARs: Certificados emitidos, qualidade dos processos de identificação e validação dos
solicitantes de certificados.
53. 42
4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA
INFORMAÇÃO BRASILEIRA
A utilização da certificação digital garante às pessoas, empresas, softwares ou
computadores uma maior segurança nas suas atividades no meio digital. Garantindo a
integridade, autenticidade, confidencialidade, disponibilidade e não-repúdio das informações
disponibilizadas, conforme explicado nos capítulos anteriores. O presente capítulo tem por
objetivo demonstrar os benefícios transmitidos à sociedade da informação com a utilização da
tecnologia em questão. Tal demonstração será realizada através do exemplo de dois projetos:
ICP-EDU e o SPED. Sendo o primeiro, vinculado à área acadêmica e o segundo vinculado à
área Fiscal.
4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) - É um projeto
pioneiro no país, tem como objetivo implantar todas as técnicas de segurança digital através
da utilização de certificados digitais no ambiente acadêmico, apresentando os mesmos
benefícios disponibilizados pela técnica de certificação digital comercial, porém de forma
gratuita. Outro objetivo, não menos importante, do projeto é unificar e interligar as diversas
infra-estruturas de chaves públicas (ICP) de diferentes universidades, encontradas no meio
acadêmico através de uma única autoridade certificadora, conhecida como AC Raiz da ICP-
EDU.
FRIEDRICH (2008, p.10) explica que em 2003 a Rede Nacional de Ensino e
Pesquisa (RPN) lançou uma chamada pública de projetos buscando atender às necessidades
de segurança digital no âmbito acadêmico. O projeto vencedor foi o GT ICP-EDU,
desenvolvido em cooperação de algumas Universidades Brasileiras, como: Universidade
Federal de Minas Gerais (UFMG), a Universidade Federal de Santa Catarina (UFSC) e a
54. 43
Universidade Estadual de Campinas (Unicamp). Esta tecnologia funciona como uma grande
aliada tanto para as Universidades quanto para seus usuários, pois o meio acadêmico possui
um tráfego digital de informações importantes, tais como: históricos escolares, resultados de
pesquisas, notas de provas, informações financeiras, informações médicas, etc.
4.1.1 Estrutura do SGCI - Segundo FRIEDRICH (2008, p.20), a estrutura SGCI é
dividida em três partes: Sistema Gestor, Módulo Público e Diretório Público.
• Sistema Gestor: Possui todas as funções características da infra-estrutura de chaves
públicas (ICP), tais como criação e gerenciamento de Autoridades Certificadoras e
Autoridade de Registro.
• Módulo Público: Serve de canal para os usuários finais realizarem a solicitação do
certificado digital junto ao operador responsável pela verificação dos dados.
• Diretório Público: Funciona como um repositório para os certificados digitais e
também para as Listas de Certificados Digitais (LCRs).
A figura 13 demonstra a estrutura do SGCI:
FIGURA 13 – Estrutura do SGCI
FONTE: Friedrich (2008, p.20)
55. 44
A figura 14 demonstra um exemplo de certificado digital:
FIGURA 14: Exemplo de Certificado Digital
FONTE: Friedrich (2008, p.15)
4.1.2 Modulo de Hardware Seguro – Desenvolvido pela Rede Nacional de Ensino
e Pesquisa (RNP) o Módulo de Hardware Seguro ou Hardware Secure Module (HSM),
funciona como um cofre de chaves privadas para uma AC e também como meio de
transmissão dados de forma segura. FRIEDRICH (2008, p. 22) complementa sua definição:
Ele é um protótipo que, além de atuar como acelerador criptográfico,
podendo chegar a realizar centenas de assinaturas por segundo com a chave
privada que protege, possui a finalidade de propiciar uma transmissão de
dados realmente segura para sistemas de gerenciamento de certificados, isto
é, possibilita a gestão segura do ciclo de vida de chaves privadas.
56. 45
A figura 15 é uma imagem de um HSM:
FIGURA 15 – Modulo de Hardware Seguro
FONTE: Friedrich (2008, p.23)
4.1.3 AC Correio – A AC - Correio tem com função emitir certificados digitais para
a utilização em correios eletrônicos. Esta entidade acelera a emissão de certificados, pois ela
se baseia na seguinte idéia: certificado solicitado, certificado emitido. Percebe-se que, com a
prática desta idéia, os dados do usuário não sofrem verificação alguma. FRIEDRICH (2008,
p.28) explica que isso é perfeitamente possível de se realizar sem que se comprometa a
estrutura de segurança, pois para que um pessoa possua o e-mail disponibilizado pela
universidade, seus dados são verificados de antemão pela mesma.
4.1.4 Benefícios da utilização da ICP-EDU - Segundo FRIEDRICH (2008, p.42)
com a utilização do SGCI (ICP-EDU) no ambiente acadêmico, concluem-se os seguintes
benefícios:
57. 46
• Otimização de processos, maior disponibilidade de serviços, menor burocracia, maior
segurança;
• Redução de custos através da desmaterialização de documentos de papel, tornando-os
digitais, além de maior agilidade no trâmite dos mesmos;
• Todos os benefícios da certificação digital acadêmica são transferidos às universidades
de forma gratuita, sem a necessidade de recorrer à instituições privadas , através deste
projeto.
4.2 Projeto SPED (Sistema Público de Escrituração Digital)
Devido ao avanço tecnológico e a certificação digital, foi possível a realização de
mudanças expressivas no fisco brasileiro. Tais mudanças, permitiram o envio de informações
tributárias e fiscais por meio eletrônico, de forma segura e rápida aos órgãos fiscalizadores,
minimizando assim, o tempo e recursos despendidos nos processos fiscalizatórios.
AZEVEDO et al (2009, p. 37) explica:
O projeto SPED (Sistema Público de Escrituração Digital) pretende alterar a
forma de cumprimento das obrigações acessórias realizadas pelos
contribuintes, substituindo a emissão de livros e documentos contábeis e
fiscais em papel por documentos eletrônicos, cuja autoria, integridade e
validade jurídica é reconhecida pelo uso da certificação digital.
4.2.1 Os principais objetivos do projeto SPED
• Promover atuação Integrada dos Fiscos;
• Racionalizar as obrigações acessórias para os Contribuintes;
• Tornar mais célere 13 a identificação de ilícitos tributários.
13
Célere- adj m+f (lat celere) Ligeiro, veloz. Sup abs sint: celeríssimo ou celérrimo. Antôn: lento, moroso.