Assinatura e Certificação Digital - Autoridades Certificadoras e Autoridades Registradoras no Brasil

... ainda dentro de O ITI e a ICP-Brasil ...

Todo país que utiliza certificados digitais, possui uma hierarquia de autoridades certificadoras e no Brasil, não é diferente. A figura abaixo ilustra bem essa hierarquia da certificação digital em analogia à estrutura do documento RG, que atesta quem você realmente é.

A certificação digital pressupõe uma estrutura que envolve: Autoridade Raiz de Certificação, Autoridade Intermediária de Certificação e Autoridade de Registro.

De antemão, vamos definir o que vem a ser uma autoridade certificadora. De acordo com o artigo 5° da medida provisória 2.200 de 2001 realizada pelo presidente da república:

“Art. 5º À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais provadas pelo Comitê Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil, e exercer outras atribuições que lhe forem cometidas pela autoridade gestora de políticas. É vedado à AC Raiz emitir certificados para o usuário final. ”

Em suma, existem Autoridades de Certificação de dois tipos: as Autoridades de Certificação de Raiz, ou Autoridades de Certificação Superiores, que emitem diretamente os certificados, e as Autoridades de Certificação Intermediárias (ou Autoridades de Certificação Inferiores ou ainda Autoridades de Certificação de Menor Nível, cujos certificados são emitidos indiretamente pelas Autoridades de Certificação de Raiz. Ou seja, existe uma hierarquia em relação à essas autoridades, como mostrado na figura 12.

A ICP-Brasil classifica os certificados emitidos pela mesma como certificados apenas para Autenticação e certificados Sigilosos, e dentro destas categorias, há os níveis de segurança na geração e armazenamento destes certificados. A categoria dos certificados de autenticação são denominados A1, A2, A3 e A4, assim funciona com a nomenclatura dos certificados sigilosos, S1, S2, S3 e S4. Os certificados A1 são gerados por softwares específicos para a geração das chaves públicas e privadas, a chave privada naturalmente deve ter um tamanho mínimo de 1024 bits, e o certificado é um arquivo de computador que é passado para o portador da identidade digital, e este certificado tem um período de validade máximo de 1 ano, sendo que esta explanação se aplica ao certificado sigilos S1.

A diferença dos certificados A2 e S2 para os A1 e S1 respectivamente é que o certificado é armazenado em dispositivos criptográficos como os Smart Cards e/ou Tokens e o período de validade destes certificados é de dois anos.

Para os certificados A3 e S3, a diferença para os A2 e S2 está no fato que as chaves não são geradas por um software de computador, mas sim por hardwares específicos para esta tarefa, estes são armazenados diretamente nos dispositivos criptográficos sem intervenção humana, e tem validade de três anos.

Por último, os certificados A4 e S4 que se diferenciam dos certificados A3 e S3 por conta das suas chaves de criptografia terem o dobro do tamanho, 20 por conta das suas chaves de criptografia terem o dobro do tamanho, 2048 bits, porém a validade também é de três anos.

Caso o certificado não seja emitido por uma Autoridade de Certificação, este é auto-assinado, ou seja, o proprietário ou usuário ocupa os lugares de Autoridade de Certificação, Autoridade de Registro e Cliente. As principais ACs de raiz são: a americana VeriSign e a britânica Equifax. Outros exemplos de Autoridades de Certificação Intermediárias são: a portuguesa Saphety, a também portuguesa Multicert e a brasileira Certisign.

Em relação às autoridades registradoras, a medida provisória estabelece o seguinte:

“Art. 7º Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Art. 8º Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado”.

A autoridade registradora é um elemento de igual importância em relação ao conceito de autoridade de certificação e se caracteriza por ser uma interface entre o usuário e a AC. Ela é responsável por conferir as informações do usuário e enviar a requisição do certificado para a AC. A qualidade do processo de conferência das informações determina o nível de confiança que deve ser atribuído ao certificado.

Em nível de curiosidade, existem sites que dispõem de ferramentas para que o usuário crie uma infra-estrutura de chaves públicas própria, como o endereço eletrônico ca.freeicp.org. Apesar de não possuir validade legal, é interessante para o entendimento prático e funcionamento do certificado digital e sua estrutura.