Assinaturas digitais

Autenticação do assinante + integridade de dados + não repúdio = confiança

O que são assinaturas digitais?

O termo assinatura digital é usado para se referir a uma categoria de assinaturas eletrônicas que são criadas usando a criptografia de chave pública (PKI). A terminologia é frequentemente utilizada por assinaturas digitais de padrão internacional ou mesmo nacional (ICP-Brasil). O principal objetivo de uma assinatura digital é garantir a integridade, a autenticidade e o não repudio da informação.

Faça Download de nosso e-Book

2

Que segurança é fornecida pelas assinaturas digitais?

Os três principais serviços de segurança fornecidos por assinaturas digitais são:

4

Autenticação de signatário

Prova de quem realmente assinou o documento, ou seja, assinaturas digitais vinculando a assinatura do usuário a uma entidade identificável real.

3

Integridade de dados

Prova de que o documento não foi alterado desde a assinatura. A assinatura digital depende de cada bit binário do documento e, portanto, não pode ser anexada a qualquer outro documento. É conhecido como o HASH do documento.

5

Não repúdio

O signatário não deve ser capaz de negar falsamente que assinou. Ou seja, deve ser possível provar em juízo que o signatário de fato criou a assinatura. Por outro lado, não deve ser possível alegar falsamente que alguém assinou um documento quando não o fez.

Todas as evidências necessárias para fornecer os serviços de segurança acima devem estar disponíveis diretamente na assinatura, sem a necessidade de encaminhamento para trilhas de auditoria e registros do provedor de serviços.

Como funcionam as assinaturas digitais?

A maneira mais comum de criar uma assinatura digital é usar a criptografia de chave pública (PKI). Os sistemas usados ​​para entregar PKI são chamados de infraestruturas de chave pública (PKI). Em um nível básico, as soluções de assinatura digital exigem que cada usuário tenha um par de chaves pública e privada, matematicamente vinculadas. A chave privada permanece sob o controle exclusivo do proprietário e é usada para assinar. O processo de assinatura cria um código criptográfico, que é incorporado ao documento.

No momento da verificação, a chave pública do signatário é usada para desembrulhar o código da assinatura digital e compará-lo com o documento para garantir uma correspondência:

Em que se baseia a segurança das assinaturas digitais?

Uma assinatura digital baseada em PKI é baseada nos seguintes princípios de segurança:

2

Não há como alguém descobrir a chave privada de alguém a partir de sua chave pública. Isso ocorre porque o PKI é baseado em problemas matemáticos de mão única, por ex. como fatorar um grande número que é o produto de dois primos.

A chave privada está sob o controle exclusivo do proprietário. Isso pode ser realizado localmente pelo usuário (por exemplo, em um smartcard seguro / token USB), neste caso, o processo de assinatura é denominado “assinatura local”. Ou a chave privada pode ser mantida centralmente em um Módulo de Segurança de Hardware (HSM) – um componente de hardware protegido contra violação. Neste caso, o processo de assinatura é denominado “assinatura remota”. A chave só é liberada para o usuário após a autenticação bem-sucedida usando autenticação de fator único ou multifator.

O que é melhor? Assinaturas eletrônicas ou assinatura digital?

Geralmente, o termo assinatura eletrônica é usado para se referir à marca da assinatura manual da pessoa desenhada em um documento. Uma marca de assinatura eletrônica básica como essa não oferece segurança, pois pode ser facilmente copiada / colada, assim como o documento pode ser alterado sem detecção. No entanto, fornece um rápido reconhecimento humano de que uma pessoa assinou o documento.

Portanto, é melhor combinar rubricas de assinatura eletrônica (muitas vezes referidas como aparência de assinatura) com assinaturas digitais fortes usando chaves PKI exclusivas sob o controle exclusivo do signatário. Isso atinge o melhor dos dois mundos, ou seja, fácil reconhecimento de que alguém assinou com uma proteção criptográfica forte que as assinaturas digitais fornecem.

O que são autoridades de certificação (ACs) e por que são necessárias?

Antes de usar a chave pública de alguém para verificar uma assinatura, você precisa ter certeza de que ela realmente pertence a essa pessoa. A função da AC é emitir certificados digitais para entidades dentro de um sistema PKI, o que prova que uma determinada chave pública pertence a uma determinada pessoa – então você pode dizer que os certificados digitais vinculam a identidade da pessoa com sua chave pública. Essa vinculação é protegida pela AC usando uma assinatura digital usando a própria chave privada da AC.

Existem muitas ACs em todo o Brasil, elas podem ser baseadas em empresas, indústrias, nacionais (por exemplo, vinculadas a esquemas de cartão de identidade eletrônica) ou disponíveis publicamente na Internet.

Padrões baseados em assinaturas digitais

As assinaturas digitais estão no centro de muitos padrões modernos, o que garante mais confiança e segurança aos dados e documentos. Alguns desses são padrões técnicos gerenciados pela IETF, por exemplo, Os padrões PKCS # 7 / CMS e alguns cobrem necessidades legais e de negócios, como ITI, eIDAS, e órgãos de padrões, como ETSI e CEN.