O que é Assinatura Digital

Assinaturas Digitais

A assinatura digital é um mecanismo para dar garantia de integridade e autenticidade a arquivos eletrônicos. A assinatura digital prova que a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada e o certificado digital correspondente, utilizados na assinatura.

Descrição do processo de assinatura digital

Para assinar digitalmente um arquivo, aplica-se inicialmente uma função matemática ao conteúdo do arquivo, obtendo-se um resumo criptográfico (hash) desse arquivo, chamada função hash.
A função hash garante a integridade de um documento na medida em que qualquer alteração no conteúdo desse documento altera o resultado da função hash aplicada sobre o mesmo.

A função hash realiza o mapeamento de uma sequencia de bits (todo arquivo digital é uma sequencia de bits) de tamanho arbitrário para uma seqüência de bits de tamanho fixo, menor. O resultado é chamado de hash do arquivo. Os algoritmos da função hash foram desenvolvidos de tal forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash (resistência à colisão) e, que a partir do hash seja impossível reproduzir a sequencia que o originou.

O signatário de um documento, aplicar a função hash está gerando uma espécie de “impressão digital” do conteúdo do documento.

O hash é então criptografado com a chave privada do signatário.

Ao criptografar o hash com sua chave privada o signatário estará juntando a sua própria “impressão digital” ao “pacote”, que nesse momento terá : o original + assinatura digital (hash criptografado).

Finalmente, o certificado digital do signatário é agregado ao pacote. Agregar certificado ao pacote, "autentica a assinatura", isto é, possibilita a mostrar que o signatário é o detentor de determinada chave pública.

O certificado permite a imediata verificação da assinatura digital. Utilizamos a chave pública que ele contém para descriptografar o hash, que havia sido criptografado com a chave privada do signatário. Se for possível realizar essa operação está comprovada a autenticidade (autoria) do arquivo.

Assim, um arquivo assinado digitalmente geralmente compõe-se de:

original,
Assinatura Digital (Hash criptografado), e,
o certificado do signatário.

Criptografia de Chaves Publicas - A criptografia de chave pública ou assimétrica permite verificar a autoria de um documento assinado digitalmente, uma vez que só é possível decifrar as informações, cifradas com determinada chave privada, utilizando-se a chave pública correspondente. Os pares de chaves são únicos. A chave privada é de posse e responsabilidade exclusiva de seu proprietário. Os certificados digitais são documentos digitais que certificam a posse de um determinado par de chaves por um indivíduo ou instituição.

O receptor do “pacote”, inicialmente desempacota o certificado e utiliza as funções de PKI para fazer a verificação da validade do certificado e da cadeia de certificação. Validado o certificado, extrai-se a chave publica do mesmo e aplica-se à assinatura.

Só será possível descriptografar a assinatura, se a chave publica for correspondente à chave privada usada para a assinatura. Uma vez que a operação criptográfica se concretize estará estabelecida a autoria da assinatura e obtém-se o hash do documento.

Em seguida, aplica-se a função hash ao original e compara-se com o hash assinado. Desta forma-se estabelece-se a integridade do documento.

Toda operação descrita acima é feita automaticamente e de forma e transparente para o usuário, pelos software de assinatura digital (que também fazem a verificação), os quais emitem avisos caso ocorra falha na validação do documento ou do certificado.

O pŕoprio certificado digital é um arquivo assiando digitalmente, por uma Autoridade Certificadora, que é denominada como o 3º de confiança, isto é um elemento externo em quem os envolvidos no processo ( signatário e destinatário da mensagem ou arquivo) confiam.

Não repúdio e validade legal

O não-repúdio é determinado pela relação do titular de um certificado e a autoridade certificadora, responsável por garantir:

a) a identidade do titular do certificado,
b) que o mesmo gerou seu próprio par de chaves,
c) que o titular do certificado se comprometeu pela sua segurança e inviolabilidade de sua chave privada.

A ICP-Brasil

No Brasil, com a criação da ICP-Brasil e da MP 2200-2/2001 foi estabelecida a validade legal de documentos assinados digitalmente, utilizando-se certificados digitais emitidos dentro da cadeia de certificação da ICP-Brasil.

A ICP-Brasil fiscaliza e audita o processo de emissão de certificados digitais das autoridades certificadoras integrantes a fim de garantir total confiabilidade do processo de certificação. Desta forma dá respaldo à presunção legal de integridade, autenticidade e não-repúdio dos arquivos assinados digitalmente.

A AC-JUS e sua cadeia de certificação

AC-JUS foi criada com intuito de criar regras específicas tanto para emissão como para o leiaute interno dos certificados (informações que estes contém). A AC-JUS a exemplo da AC-RAIZ e AC-SRF, não emite certificados para usuários finais. Credencia AC’s, chamadas subseqüentes, para que, seguindo as regras específicas da AC-JUS faça a emissão dos certificados aos usuários finais.

Os certificados emitidos na cadeia de certificação da AC-JUS recebem a marca Cert-JUS. Os certificados Cert-JUS são de uso exclusivo de servidores públicos, e ao utilizá-los o titular estará se indentificando como servidor de determinada instituição pública. O Cert-JUS Institucional é de uso exclusivo de servidores do poder judiciário, O Cert-JUS Poder Publico é para utilização dos servidores de órgãos externos ao poder judiciário. O Cert-JUS Equipamento Servidor destina-se a aplicações e equipamentos servidores de órgãos públicos, e o Cert-JUS Código Seguro destina-se a assinatura de código fonte de programas.

Notícia disponível em: http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-e-assinatura-digital