Certificação Digital na Sociedade Brasileira

DANILO GOMES MOREIRA

A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO
BRASILEIRA

BACHARELADO EM SISTEMAS DE INFORMAÇÃO

FACULDADES UNIFICADAS DOCTUM DE CATAGUASES
CATAGUASES – MG – BRASIL
2009


BRASILEIRA

Trabalho de Conclusão de Curso apresentado à
Banca Examinadora das Faculdades
Unificadas Doctum de Cataguases como
requisito parcial para a obtenção do título de
Bacharel em Sistemas de Informação, sob a
orientação do Prof. Frands de Souza Franco.

FACULDADES UNIFICADAS DOCTUM DE CATAGUASES
2009


BRASILEIRA

Trabalho de Conclusão de Curso apresentado à
Banca Examinadora das Faculdades
Unificadas Doctum de Cataguases como
requisito parcial para a obtenção do título de
Bacharel em Sistemas de Informação.

BANCA EXAMINADORA

_____________________________________________
Prof. Frands Souza Franco – Orientador
Faculdades Unificadas Doctum de Cataguases

_____________________________________________
Prof. Marília das Dores de Barros

_____________________________________________
Profª. MSc Míriam de Souza Monteiro

2009

Dedico este trabalho aos meus queridos
pais: Afonso e Marluce, que de todas as
formas contribuíram para a concretização
deste tão estimado sonho.

AGRADECIMENTOS

Agradeço primeiramente a Deus, que além de me presentear com o dom da vida me

deu condições físicas, mentais e espirituais para tal feito .

Agradeço a minha querida esposa Sandra, pela força e compreensão nas minhas

ausências em nosso lar durante estes quatro anos de curso.

Agradeço ao meu professor orientador Frands de Souza Franco, que sem questionar

aceitou tal desafio, contribuindo fortemente para a conclusão deste trabalho.

Agradeço a professora Fabiana Siqueira Nunes, que além de contribuir nas correções

deste trabalho, muitas das vezes, serviu para mim como um calmante com seus conselhos

sempre positivos.

Agradeço aos meus queridos amigos: Alexandre, Cláudio, Marcus Vinícius, João

Sérgio, Ronaldo e Victor que durante todo o curso, com amizade, me inspiraram, apoiaram,

contribuíram tanto para o meu crescimento profissional, mas principalmente como ser

humano.

"É melhor tentar e falhar, que preocupar-se e
ver a vida passar; é melhor tentar, ainda que
em vão,que sentar-se fazendo nada até o final.
Eu prefiro na chuva caminhar, que em dias
tristes em casa me esconder. Prefiro ser feliz,
embora louco, que em conformidade viver ..."

Martin Luther King

RESUMO

O presente trabalho tem como objetivo demonstrar os benefícios que a certificação digital
gera à sociedade da informação brasileira. Para melhor compreensão da tecnologia, serão
abordadas algumas técnicas de segurança da informação e seus principais conceitos.
Trataremos ainda, dos principais conceitos da Certificação digital e a descrição da Infra-
Estrutura das Chaves Públicas do Brasil (ICP-Brasil). Finalizando, serão apresentados e
descritos dois projetos: o ICP-EDU e o SPED, que utilizam da certificação digital para suprir
as necessidades e beneficiar duas classes importantes da sociedade brasileira: a Acadêmica e a
Fiscal.

Palavras-Chave: Certificação Digital, ICP-Brasil, ICP-EDU e SPED.

LISTA DE FIGURAS

Figura 01: Encriptamento e Desencriptamento de uma mensagem .........................................10
Figura 02: Encriptamento e Desencriptamento usando chave Secreta.....................................12
Figura 03: Criptografia com Chave Secreta .............................................................................13
Figura 04: Assinatura digital ....................................................................................................15
Figura 05: Conferência da assinatura digital ............................................................................16
Figura 06: Estrutura do Certificado digital X.509....................................................................20
Figura 07: E-CPF......................................................................................................................22
Figura 08: Token USB..............................................................................................................22
Figura 09: Exemplo de um bloco hash gerado a partir de uma dada informação ....................28
Figura 10: Tamanho de SHA....................................................................................................29
Figura 11: Estrutura da ICP-Brasil ...........................................................................................32
Figura 12: Estrutura ICP-Brasil................................................................................................38
Figura 13: Estrutura do SGCI...................................................................................................43
Figura 14: Exemplo de Certificado Digital ..............................................................................44
Figura 15: Módulo de Hardware Seguro ..................................................................................45
Figura 16: Estrutura do SPED ..................................................................................................48
Figura 17: Processamento da Nota Fiscal.................................................................................51

LISTA DE TABELAS

Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.............................20
Tabela 02: Componentes da ICP-Brasil. ..................................................................................34
Tabela 03: Autoridades Certificadoras de Primeiro Nível .......................................................35
Tabela 04: Executores de auditoria nas entidades da ICP-Brasil..............................................39

SUMÁRIO

INTRODUÇÃO ........................................................................................................................1
1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS ...............3
1.1 O papel da segurança no meio computacional .................................................................4
1.1.1 Política de Segurança da Informação ............................................................................5
1.1.2 Medidas de Segurança ...................................................................................................5
1.1.3 Serviços de Segurança da Informação...........................................................................5
1.1.4 Ameaça ..........................................................................................................................7
1.1.5 Vulnerabilidades............................................................................................................8
1.1.6 Ataque............................................................................................................................8
1.2 Criptografia.......................................................................................................................9
1.2.1 Chaves .........................................................................................................................11
1.2.1.1 Criptografia de chave Secreta ou Simétrica .............................................................11
1.2.1.2 Criptografia de Chave Pública ou Assimétrica.........................................................12
1.2.2 Algoritmo de Resumo..................................................................................................14
1.3 Assinatura Digital ...........................................................................................................14
2. CERTIFICAÇÃO DIGITAL ............................................................................................17
2.1 Certificado Eletrônico ....................................................................................................17
2.1.1 Padrão de Certificado Digital X.509 ...........................................................................19
2.1.2 Registro de Certificados ..............................................................................................21
2.1.3 Lista de Certificados Revogados .................................................................................23
2.1.4 Verificações on-line por OCSP ...................................................................................24
2.1.5 Renovação ...................................................................................................................24
2.2 Infra-Estrutura de Chaves Públicas ................................................................................24
2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-
BRASIL)...............................................................................................................................25
2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil .................................................25
2.2.2.1 Algoritmo de criptografia assimétrica RSA .............................................................26
2.2.2.2 Algoritmo criptográfico de função hash SHA-1.......................................................26
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-Brasil) ............30
3.1 Garantias Oferecidas Pela ICP-Brasil.............................................................................31
3.2 A Estrutura da ICP-Brasil...............................................................................................31
3.2.1 Comitê Gestor..............................................................................................................32
3.2.2 Comitê Técnico (COTEC)...........................................................................................32
3.2.3 Autoridade Certificadora Raiz.....................................................................................32
3.2.4 Autoridades Certificadoras (Acs) ................................................................................33
3.2.5 Autoridades de Registro (ARs)....................................................................................33
3.3 Diretório Público ............................................................................................................34
3.3.1 LDAP (Lightweight Directory Access Protocol) ........................................................35
3.4-Autoridades certificadoras de primeiro nível .................................................................35
3.5 Auditoria na ICP-Brasil ..................................................................................................38
3.5.1 Etapas de uma Auditoria .............................................................................................39
3.5.2 Auditoria Pré-operacional............................................................................................40
3.5.3 Auditoria Operacional .................................................................................................41

4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA INFORMAÇÃO
BRASILEIRA .........................................................................................................................42
4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) ......................................42
4.1.1 Estrutura do SGCI .......................................................................................................43
4.1.2 Modulo de Hardware Seguro.......................................................................................44
4.1.3 AC Correio ..................................................................................................................45
4.1.4 Benefícios da utilização da ICP-EDU .........................................................................45
4.2 Projeto SPED (Sistema Público de Escrituração Digital) ..............................................46
4.2.1 Os principais objetivos do projeto SPED ....................................................................46
4.2.1.1 O objetivo de promover atuação Integrada dos Fiscos.............................................47
4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para os
contribuintes .........................................................................................................................47
4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários ....................47
4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) ...............................48
4.2.3. Escrituração Contábil Digital (ECD)..........................................................................48
4.2.4. Escrituração Fiscal Digital (EFD) ..............................................................................49
4.2.5 Nota Fiscal eletrônica (NFe ) ......................................................................................49
4.2.5.1 Forma de Credenciamento........................................................................................49
4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma
simplificada os passos do processamento da NF-e :.............................................................50
4.2.5.3 Benefícios do Projeto NF-e ......................................................................................51
4.3 Conclusões finais............................................................................................................52
CONCLUSÃO.........................................................................................................................54
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................55

1
INTRODUÇÃO

A sociedade brasileira está mudando seus hábitos em relação ao meio virtual,

utilizando-o de forma mais abrangente e não somente, como forma de entretenimento.

Atualmente, é comum a prática de negócios via Internet, onde, o maior exemplo é o comércio

eletrônico, que a cada ano bate recordes de faturamento. Também as empresas estão se

beneficiando com as práticas virtuais: elas compram, vendem, contratam, demitem, dão

treinamento aos seus funcionários, aumentam sua competitividade, enfim, participam do

mundo globalizado. Porém nada disso seria possível se a segurança neste meio não fosse

garantida. O mundo virtual possui inúmeras ameaças ou pragas virtuais: cavalos-de-tróia,

vírus, crackers 1 , worms, etc. Onde, tanto os números, quanto os tipos de crimes virtuais são

crescentes. Com base nesta necessidade, novas técnicas de segurança estão sendo implantadas

para continuar garantindo que a sociedade se beneficie do meio digital de forma segura, onde

a certificação digital possui um grande destaque.

No capítulo 1, será demonstrada a importância que a segurança tem no meio digital,

apresentando os seus principais conceitos: ameaças, ataques, vulnerabilidades, políticas de

segurança, serviços de segurança, criptografia e assinatura digital.

No capítulo 2, serão apresentados os conceitos e o funcionamento da certificação

digital. Apresentando o certificado eletrônico, como um documento digital de identificação

pessoal, onde será explicado o seu padrão, forma de obtenção e verificação do seu estado de

revogado. Também serão explicadas as primeiras características da ICP-Brasil, como os tipos

de certificados oferecidos e os algoritmos criptográficos utilizados pela mesma.

1 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de
forma ilegal ou sem ética.

2
No capítulo 3, será descrito em mais detalhes a ICP-Brasil, apresentando toda a sua

estrutura, as autoridades certificadoras (ACs) de primeiro nível e o tipos de Auditoria

realizadas em tal estrutura.

No capítulo 4, dois projetos que utilizam da certificação digital serão apresentados,

com a finalidade de demonstrar como a certificação digital beneficia a sociedade brasileira.

Os projetos escolhidos foram o ICP-EDU e o SPED. O principal motivo da escolha destes

projetos foi o campo de atuação dos mesmos, onde, o primeiro atua no ambiente acadêmico e

o segundo no ambiente fiscal. Assim os benefícios demonstrados, por esses dois projetos,

têm uma abrangência significativa na sociedade brasileira, servindo de base para demonstrar

tamanha importância da certificação digital.

3
1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS
COMPUTACIONAIS

Atualmente, sistemas computacionais estão sendo utilizados em grande escala por

pessoas e empresas, seja de forma local ou on-line. Assim, percebe-se que o uso da internet

está mais abrangente, ou seja, não se limitando a entretenimento apenas.

Hoje, grandes empresas a utilizam como uma super-ferramenta de comunicação

adquirindo agilidade, competitividade nas suas práticas de negócios, vindo a cumprir

exatamente o exigido no mundo globalizado. Vale lembrar que muitas empresas foram

criadas e se firmaram com o avanço e a popularização da internet, como é o caso das lojas

virtuais que fazem do e-commerce 2 uma fórmula de sucesso e altos lucros.

Assim como empresas e pessoas, os governos de inúmeros países também fazem uso

da tecnologia. No caso do Brasil, podemos citar como um bom exemplo a implantação do

sistema de nota fiscal eletrônica que vem gerando enormes benefícios tanto para os

contribuintes, quanto para o sistema de fisco brasileiro.

Assim é possível observar que os hábitos da sociedade pós-moderna mudaram. Isso

somente vem acontecendo porque pessoas, empresas e governos perderam o medo do meio

digital, acreditando mais no poder das ferramentas e práticas de segurança empregadas no

mesmo, que é constantemente atacado por pragas virtuais: vírus, phishing 3 , crackers 4 , etc.

Conforme alerta SILVA et al (2008, p.3): “As informações contidas em sistemas

computacionais estão sujeitas à espionagem, violação e outros tipos de ações criminosas”.

2
e-commerce, ou ainda comércio virtual, é um tipo de transação comercial feita especialmente através de um
equipamento eletrônico, como, por exemplo, um computador.
3
phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais
como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa
enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.
4
Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança.

4
1.1 O papel da segurança no meio computacional

LAUREANO et al (2005, p.4) explica que uma segurança efetiva garante que a

informação preserve os atributos de confidencialidade, integridade e disponibilidade.

• Confidencialidade - garante que a informação será acessada apenas por

pessoas autorizadas.

• Integridade – Garante e protege a exatidão da informação.

• Disponibilidade - garante que usuários autorizados sempre que necessitem

acessem e desfrutem dos benefícios da informação.

Os objetivos da segurança no meio digital podem ser claramente explicados conforme

nos ensina SOARES (1995, p.448):

A segurança está relacionada à necessidade de proteção contra o acesso ou
manipulação, intencional ou não, de informações confidenciais por
elementos não autorizados, e a utilização não autorizada do computador ou
de seus dispositivos periféricos.

“O objetivo da segurança da informação é proteger a organização detentora da

informação dos diversos tipos de ameaças para garantir a continuidade dos seus negócios e

maximizar o retorno dos investimentos e as oportunidades de negócios.” (SILVA et al, 2008,

p.4).

É muito importante que os requisitos de segurança de uma organização sejam

identificados, pois somente a partir desta etapa, é possível selecionar e implementar os

controles de segurança mais efetivos, ou seja, os controles que realmente reduzam os riscos a

um nível aceitável, porém SILVA et al (2008, p.5) lembra que: “A escolha dos controles é

feita, em geral, baseada nos custos de implementação em relação aos riscos que serão

reduzidos e nas perdas potenciais caso falhas na segurança ocorram.”

5
Logo, não faz sentido desperdiçar recursos financeiros para garantir a segurança de

informações irrelevantes ou com valores menores aos investidos nas técnicas de segurança

utilizada para protegê-la.

1.1.1 Política de Segurança da Informação - São todas as ações permitidas, ou não,

na execução de um sistema. Essa política visa garantir que o sistema seja operado de forma

segura durante todo o tempo da sua execução. SOARES et al (1995, p.450) a conceitua

como:“(...) um conjunto de leis, regras e práticas que regulam como uma organização

gerencia, protege e distribui suas informações e recursos.”

SILVA et al (2008, p.6) explica o objetivo da Política de Segurança:

A política de segurança da informação tem como objetivo prover à direção
de uma organização, uma orientação e um apoio para a segurança da
informação. É conveniente que a direção estabeleça uma política clara,
demonstrando apoio e comprometimento com a segurança da informação
através da emissão e manutenção dessa política para toda organização.

1.1.2 Medidas de Segurança - São medidas tomadas para impedir ou reduzir o

impacto da ação de uma ou de várias ameaças. Estas medidas podem ser por meio de

software, controles físicos ou como forma de políticas de segurança. São exemplos de

medidas de segurança: o uso de criptografia em troca de mensagens, utilização de controle de

acesso restrito ao sistema de maneira lógica ou física, uso de programas firewall e antivírus.

Porém, SILVA et al (2008, p. 4) explica que:

Medidas de segurança, geralmente, aumentam o custo de um sistema, além
de poder torná-lo mais difícil de usar, por esta razão, muitas vezes não são
especificados no desenvolvimento do sistema.

1.1.3 Serviços de Segurança da Informação - Serviço de segurança é a característica

que um sistema possui para atender a uma política de segurança. Existe uma diferença entre

6
serviço e controle de segurança. Serviços atendem a pergunta: o que é preciso? Já controle

responde a pergunta: como alcançar?

SILVA et al (2008, p.7) explica que a segurança da informação classifica seis serviços

principais: autenticação, autorização, privacidade, integridade, não-repúdio e disponibilidade.

• Autenticação - Garante que um usuário é quem ele diz ser. Pode trabalhar

baseado em três paradigmas: Algo-que-você-sabe, Algo-que-você-tem, Algo-

que-você-é. Em particular o serviço de autenticação contribui muito para a

segurança da informação.

• Autorização – Refere-se ao controle de acesso e ao uso de recursos

computacionais. Através de uma prévia autenticação o sistema é capaz de

especificar quais as partes, informações ou funcionalidades o usuário poderá

acessar.

• Privacidade – Assegura que informações confidenciais não serão acessadas

por pessoas não-autorizadas. Este serviço não só protege o conteúdo, mas

também o tamanho da informação.

• Integridade – Tem como função proteger a informação contra a modificação,

duplicação, inserção, remoção ou re-ordenamento da mesma.

• Não-Repúdio – Sua função é a de não permitir que uma parte envolvida na

comunicação negue sua participação na mesma.

• Disponibilidade – Garante que um sistema de computador, incluindo todas as
suas funções e informações, sempre estará disponível a usuários autorizados

quando necessário, mesmo que aconteça um desastre. Um exemplo disso seria

em caso de falta de energia e o sistema computacional fosse mantido por uma

fonte de energia auxiliar.

7
1.1.4 Ameaça - Ameaça é algo que pode violar a segurança de um sistema

computacional, podendo capturar, alterar, excluir informações de maneira ilícita, podendo

também impossibilitar que o sistema mencionado pare ou funcione incorretamente. Assim

concorda SOARES et al (1995, p.448) ao dizer que: “Uma ameaça consiste em uma possível

violação da segurança de um sistema”. Em complemento, SILVA et al (2008,p.3) explica

que uma ameaça é tudo aquilo que representa algum perigo a uma propriedade, sendo esta

última, caracterizada como algo de valor.

Uma ameaça pode ser iniciada por uma pessoa, programa de computador, desastre

natural ou acidente. Neste aspecto ela pode ser classificada como:

• Intencional - Por exemplo, uma pessoa apaga parte do código de um programa

impedindo-o de funcionar corretamente.

• Acidental - Por exemplo, um raio atinge a rede elétrica e danifica o

computador servidor do sistema.

Ameaças também podem ser classificadas como:

• Ativa - Quando gera uma modificação ou dano ao sistema.

• Passiva- Quando o objetivo é a obtenção de informação sem autorização

como acontece em espionagem.

Segundo SOARES et al (1995, p.448) os principais tipos de ameaça são:

• Destruição de informação ou de outros recursos;

• Modificação ou deturpação da informação;

• Roubo, remoção ou perda de informação ou de outros recursos;

• Revelação de informação;

• Interrupção de serviços;

8
1.1.5 Vulnerabilidades - Vulnerabilidades são brechas, falhas ou ausências da

segurança de um sistema podendo ser comparadas a elos fracos de uma corrente de segurança.

São nestes pontos que ataques têm a maior chance de obter sucesso, como confirma

BEZERRA (2008, p.20):

Vulnerabilidades são caracterizadas por falhas, ou pontos fracos, na segurança
da informação. Através destas, pessoas ou sistemas mal intencionados podem
lançar ataques contra sistemas inseguros e assim se apropriar indevidamente,
corromper ou tornar indisponível a informação sob sua guarda.

1.1.6 Ataque - Ataques são todas as ações de ameaças na tentativa de prejudicar um

sistema computacional, seja na espionagem, adulteração, eliminação de informação ou até

mesmo na tentativa de impedí-lo de funcionar corretamente. Na maioria das vezes,

explorando as vulnerabilidades dos sistemas, conforme explica (SILVA et al, 2008, p.4):

“Ataques são resultados de vulnerabilidades, representadas por deficiências em uma medida

de segurança ou a ausência de própria medida.”

Assim como explica SOARES et al (1995, p.449), os principais tipos de ataque são:

• Personificação: Uma entidade que possui poucos privilégios em um sistema

passa-se por outra com finalidade de obter mais privilégios de forma ilícita.

• Replay: Uma mensagem, ou parte, dela é interceptada e, posteriormente,

transmitida para produzir um efeito de não-autorizada.

• Modificação: O conteúdo de uma mensagem é modificado em caráter não-

autorizado sem que o sistema perceba tal modificação.

• Recusa ou Impedimento de Serviço: acontece quando uma entidade não executa

suas funções de maneira correta ou impede que outras não executem.

• Ataques internos: Ocorrem quando usuários legais agem de maneira não-

autorizada ou inesperada.

9
• Armadilhas: Acontece quando uma entidade do sistema é modificada para

produzir efeitos não-autorizados em resposta a um comando ou um evento.

• Cavalos de tróia: Neste tipo de ataque a entidade executa operações não-

autorizadas adicionada a uma entidade autorizada.

1.2 Criptografia

A criptografia é uma técnica de segurança utilizada para garantir que a informação,

mesmo sendo, veiculada em ambientes inseguros seja compreendida somente por quem tem

este privilégio.

Antigamente, a criptografia era muito utilizada por militares. Eles precisavam

comunicar com suas bases, soldados ou veículos, mas não podiam correr o risco de que, suas

informações fossem interceptadas pelo inimigo. Atualmente, esta preocupação não se destina

apenas a este grupo, mas sim a uma sociedade inteira que precisa trafegar informação na rede

on-line de maneira segura. Não é possível imaginar a realização de operações bancárias pela

Internet sem o uso de criptografia nos dispositivos de segurança do banco.

SILVA et al (2008, p.13) explica:

A palavra criptografia é originária dos termos Kryptós, que quer dizer
oculto, e graph, escrever. (...) criptografia é a “ciência” de fazer com que o
custo de adquirir uma informação de maneira imprópria seja maior do que o
custo obtido com a informação.

SOARES et al (1995, p.452) concorda e também explica que:

A criptografia surgiu da necessidade de se enviar informações sensíveis
através de meios de comunicação não confiáveis, ou seja, em meios onde
não é possível garantir que um intruso não irá interceptar o fluxo de dados
para leitura (intruso passivo) ou para modificá-lo (intruso ativo).

10
Segundo SILVA et al(2008, p.13) a definição da palavra criptografia pode ser

encontrada em dicionários da língua portuguesa, como sendo a escrita secreta por meio de

abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da

informação.

Em criptosistemas a informação original, também conhecida como texto pleno,

passa por duas fases. Na primeira, ela é embaralhada tornando-se incompreensível, também

chamada de texto cifrado. A esta técnica dá-se o nome de encriptamento ou cifragem. A

segunda fase é chamada de desencriptamento ou decifragem. O texto cifrado é

desembaralhado, ou decifrado, voltando a informação original e compreensível, ou texto

pleno, como exemplifica a figura 01:

FIGURA 1: Encriptamento e Desencriptamento de uma mensagem
FONTE: (SILVA et al, 2008, p.14 ).

11
Os criptosistemas conseguem realizar essas operações devido à utilização de

algoritmos matemáticos, também conhecidos como algoritmos criptográficos. Como explica

SILVA et al (2008, p.14) todo o criptosistema é baseado em três modelos de algoritmos:

chave secreta, chave pública e resumo.

1.2.1 Chaves -A chave criptográfica é um valor matemático que é adicionado à

informação na sua cifragem, como explica SILVA et al (2008, p.15 ): “ A chave é um valor

matemático que determina como uma mensagem de texto pleno é criptografada para produzir

um texto cifrado, e sua posse é requerida para descriptografar o texto cifrado.”

Na criptografia moderna, a segurança encontra-se nas chaves. Elas são mais

importantes que os próprios algoritmos, ou seja, levantando a hipótese de que um intruso

tenha acesso ao algoritmo e ao texto cifrado, toda segurança ainda é mantida com o uso da

chave explica SILVA et al (2008, p.15).

Ainda, existem dois tipos de chaves: simétricas e assimétricas.

1.2.1.1 Criptografia de chave Secreta ou Simétrica - Neste tipo de algoritmo, o

texto pleno é cifrado e decifrado com o uso de uma única chave. Apenas com esta chave é

possível decifrar e retornar ao texto pleno, assim é essencial para o bom funcionamento deste

algoritmo que a chave seja mantida em segurança.

TANENBAUM (2003, p.784) explica que: “(...) mesmo que o criptoanalista adquira

enorme volume de texto cifrado de sua própria escolha, sem a chave ele não será capaz de

captar qualquer sentido em tudo o que conseguir.” Porém o mesmo autor (2003, p.800)

ressalta que neste sistema de criptografia existe um grande problema:

(...) as chaves tinham que ser protegidas contra roubo, mas também tinham
de ser distribuídas; portanto, elas não podiam ser simplesmente trancadas no
caixa-forte de um banco.

12

FIGURA 2 – Encriptamento e Desencriptamento usando chave Secreta
FONTE: (SILVA et al, 2008, p.17).

1.2.1.2 Criptografia de Chave Pública ou Assimétrica - Neste tipo de algoritmo

são usadas duas chaves, uma pública e outra privada. A chave privada deve ser mantida em

segredo pelo seu proprietário, já a pública pode ser livremente distribuída. Entre esse par de

chaves existe uma relação matemática única e é essa relação que permite que qualquer uma

das chaves seja capaz de desfazer a cifragem de uma mensagem feita pela outra do seu

respectivo par.

Não é possível gerar uma chave privada a partir da sua chave pública, é o que

confirma SILVA et al (2008, p. 18):“ Uma chave pública e sua correspondente chave privada

13
possuem uma relação matemática, mas é computacionalmente inviável derivar a chave

privada a partir de uma chave publica.”. Isso garante que ninguém consiga fabricar a chave

privada de alguém tomando como base a sua respectiva chave pública.

FIGURA 3 – Criptografia com Chave Secreta
FONTE: (SILVA et al, 2008, p.19).

Com o uso da chave pública de uma pessoa garantimos a confidencialidade e

integridade da mensagem, ou seja, apenas a possuidora da chave privada será capaz de

decifrar a mensagem original.

14
Ao usar a chave privada para cifrar uma mensagem constata-se a funcionalidade da

assinatura digital, ou seja, é garantido a autoria e o não-repúdio da mesma. Todas as pessoas

que possuem a chave pública correspondente, ao receber a mensagem deduzem com

segurança o autor da mensagem, pois somente ele é capaz de encriptar a mensagem e, além

disso, o autor não será capaz de negar que foi ele quem produziu a informação.

Uma característica muito importante é explicada por SILVA et al (2008, p.19): “ Um

algoritmo de chave pública é reversível se pode ser usado tanto para criptografia como para

assinatura digital e irreversível se pode somente ser usado para assinatura digital.”

1.2.2 Algoritmo de Resumo - O algoritmo criptográfico de resumo também é

conhecido como algoritmo hash. Este algoritmo mapeia um texto de tamanho variável e

retorna uma mensagem cifrada menor de tamanho fixo que é chamada de resumo da

mensagem ou hash. SILVA et al (2008, p.20) explica que para que este tipo de algoritmo

consiga atender a segurança criptográfica, ele precisa:

1- Ser inviável computacionalmente. Encontrar a mensagem de entrada baseada apenas

em seu resumo.

2- Não deve ser possível achar uma mensagem particular que tenha um resumo

específico.

3- Não ser computacionalmente viável achar duas mensagens distintas com o mesmo

resumo.

1.3 Assinatura Digital

Da mesma maneira que é possível assinar documentos em papel com uma caneta,

hoje em dia, graças ao avanço da tecnologia, é possível assinar documentos eletrônicos. A

assinatura eletrônica não é, simplesmente, uma imagem de uma assinatura manuscrita de

alguém. Isso seria totalmente inseguro, pois softwares de edição de imagens facilmente

15
alterariam ou até mesmo criariam uma assinatura deste tipo. Na verdade a assinatura digital é

um conjunto de bits resultantes da cifragem da informação por duas técnicas criptográficas

somadas: chaves criptográficas e algoritmo de resumo. Assinatura digital garante a

autenticidade, integridade e o não-repúdio da mensagem.

Para que a assinatura digital possa substituir a assinatura escrita TANENBAUM

(2003, p.803) explica que a técnica precisa atender aos seguintes requisitos:

• O Receptor possa verificar a identidade alegada pelo transmissor;

• O transmissor não possa repudiar o conteúdo da mensagem enviada;

• O receptor não possa ser capaz de adulterar a mensagem recebida;

Para assinar digitalmente um documento, primeiramente, é necessário cifrar a

mensagem original com o algoritmo de resumo; em seguida, criptografar o resultado deste

procedimento utilizando a chave privada do autor da mensagem, como exemplifica a figura

04:

FIGURA 4: assinatura digital
FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm

Para verificar a assinatura digital de uma mensagem, é preciso realizar a comparação

entre resumo hash obtido do texto original, com o resumo obtido da mensagem cifrada. Vale

lembrar que, para se obter o segundo resumo em questão anteriormente, é necessário decifrar

16
a mensagem com a chave pública do autor. Logo após, comparar os dois resumos obtidos, se

forem iguais significa que a assinatura é verdadeira, caso contrário a mensagem pode ter sido

alterada ou a chave pública não corresponde a chave privada utilizada para encriptar a

mensagem.

A figura 05 exemplifica o processo de verificação da assinatura digital:

FIGURA 5: Conferência da assinatura digital
FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm

A respeito da técnica de assinatura de documentos digitais, SILVA et al (2008, p.22)

explica que:

Assinar uma mensagem inteira ao invés do seu resumo, embora seja
possível, não é recomendado por vários motivos. Primeiramente, assinar
uma mensagem inteira dobra a quantidade de informação que deve ser
enviada. Além disso, as operações de criptografia de chave pública são
geralmente mais lentas, fazendo com que o custo de criptografar uma
mensagem inteira acarrete problemas de desempenho. E, por último um
criptoanalista pode usar a grande quantidade de texto cifrado junto com a
mensagem original para tentar um ataque de mensagens criptografadas.

17
2. CERTIFICAÇÃO DIGITAL

Um dos grandes problemas encontrados na utilização do meio digital, além de

garantir a confidencialidade, integridade e disponibilidade das informações, é comprovar que

as partes envolvidas em uma transação eletrônica, negociação ou troca de mensagens, são

realmente quem dizem ser. Esta dificuldade torna-se, na verdade, uma vulnerabilidade que

possibilita a concretização de ataques como, por exemplo, o phishing, que é uma fraude

eletrônica onde uma entidade se passa por outra confiável a fim de obter informações,

privilégios ou bens de maneira ilícita. Devido à necessidade de blindar estas lacunas de

vulnerabilidades, dentre outras características de segurança, foi desenvolvida a certificação

digital.

A certificação digital funciona, tanto como, um mecanismo identificador, como

também, uma ferramenta criptográfica. Ainda traz inúmeros benefícios como a possibilidade

de assinar documentos digitalmente, promovendo assim a desmaterialização do papel, pois

graças as práticas e técnicas de segurança aplicadas na certificação digital, o documento

assinado digitalmente possui valor judicial.

AZEVEDO et al (2009, p.47) definem a certificação digital como: “(...) a tecnologia

que provê os mecanismos de segurança capazes de garantir autenticidade, confidencialidade e

integridade às informações eletrônicas das mensagens e documentos trocados na Internet”.

2.1 Certificado Eletrônico

Para que a certificação digital consiga atender às necessidades de segurança, já

mencionadas, ela se baseia no uso do certificado digital. O certificado digital é um documento

eletrônico que comprova, de fato, que a pessoa, software ou computador é realmente quem

diz ser.

18
SILVA et al. (2008, p.26) explica:

Um certificado digital (também chamado de certificado de chave pública) é
uma ligação entre a chave pública de uma entidade e um ou mais atributos
relacionados a esta entidade, armazenados em um arquivo digital. (...) O
certificado digital produz a garantia que a chave pública pertence à
entidade. Além disso, garante também que a entidade (e somente esta
entidade) possua de fato a correspondente chave privada.

AZEVEDO et al. (2009, p.53) explica que o conteúdo de um certificado digital

normalmente é composto de:

• Informações referentes à entidade para o qual o certificado foi emitido (nome,

e-mail, CPF/CNPJ, etc.);

• Chave pública referente à chave privada de posse da entidade especificada no

certificado;

• O período de validade;

• O nome da empresa (Autoridade Certificadora) que emitiu o certificado

digital;

• Número de série do certificado digital;

• Localização do “centro de revogação” (uma URL 5 para download da lista de

certificados revogados ou local para uma consulta OCSP 6 );

• Assinatura digital da Autoridade Certificadora, sendo esta, a empresa

responsável pela emissão do certificado digital;

5
URL (de Uniform Resource Locator), em português Localizador de Recursos Universal, é o endereço de um
recurso (um arquivo, uma impressora etc.), disponível em uma rede; seja a Internet, ou uma rede corporativa,
uma intranet.
6 OCSP- Oline Certificate Status Protocol, é um modelo de verificação online do status de revogação de um
certificado digital.

19
Existem diversos padrões de certificados digitais no mercado, como exemplo,

SPKI/SDSI, PGP e SET, porém esta pesquisa monográfica destacará apenas o padrão X.509,

por ser o padrão utilizado pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil).

2.1.1 Padrão de Certificado Digital X.509 - Segundo AZEVEDO et al (2009,

p.53): “O padrão mais comum para certificados digitais no âmbito de uma ICP 7 é o ITU-T 8

X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task Force

(IETF) PKIX”.

O formato X.509, atualmente encontra-se na terceira versão. A versão um (v1) foi

publicada primeiramente, em 1988, e estendida em 1993, incorporando dois novos campos de

controle resultando na segunda versão (v2) e, finalmente, atualizado em 1996 para a terceira

versão possibilitando usar campos de extensão.

Os campos de extensão adicionados na terceira versão do padrão X.509 possibilitam

adicionar informações para uma entidade, como exemplo, a chave pública, autoridade

certificadora ou qualquer outra informação necessária.

Para SILVA et al. (2008, p.27) as extensões associadas ao certificado: “(...)

proporcionam também a possibilidade de organizações e empresas definirem seus próprios

campos de extensões e codificarem informações específicas às suas necessidades.” SILVA et

al (2008, p.28) ainda explica que um campo de extensão é composto por três partes:

• Tipo de extensão - É um objeto identificador que prove semântica e tipo da

informação (como texto, data, número inteiro ou estrutura complexa) para o valor da

extensão.

• Valor da extensão - Contém o real valor de um campo de extensão que é descrito

pelo seu tipo.

7 ICP – Infra-Estrutura de Chaves Públicas.
8 ITU-T – International Telecommunication Union – Telecommunication Standartization Sector.

20
• Indicador Crítico – Instrui aplicações de software que usam certificados que ignoram

o valor do campo quando não se conhece o tipo de extensão. No caso, somente serão

ignoradas as extensões não críticas, porém extensões críticas não reconhecidas tornam

o certificado rejeitado. A figura 06 demonstra o formato do certificado X.509:

FIGURA 06 – Estrutura do Certificado digital X.509
FONTE: própria.

Na tabela 01, estão descritos os campos do certificado no padrão X.509 versão 3:
Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.
FONTE: SILVA et al (2008, p.28).

Nome do Campo Descrição
Número da versão X.509 do certificado, tendo como valor válido apenas
Versão 1,2 ou 3.

Identificador único do certificado e representado por um inteiro. Não
Número de série deve haver mais de um certificado emitido com o mesmo número de
série por uma mesma autoridade certificadora.

21
Nome do Campo Descrição
Algoritmo de Identificador do algoritmo usado para assinatura do certificado pela
Assinatura autoridade certificadora.

Nome da autoridade certificadora que produziu e assinou o certificado.
Emissor
Intervalo de tempo de duração que determina quando um certificado
Período de Validade deve ser considerado válido pelas aplicações.

Identifica o dono da chave pública do certificado. O assunto deve ser
Assunto único para cada assunto no certificado emitido por uma autoridade
certificadora.
Contém o valor da chave pública do certificado junto com informações
Chave Pública de algoritmos com o qual a chave deve ser usada.

Identificador Único de Campo opcional para permitir o reuso de um emissor com o tempo.
Emissor (opcional)
Identificador Único de Campo opcional para permitir o reuso de um assunto com o tempo.
Assunto (opcional)
Campos complementares com informações adicionais personalizadas.
Extensões

2.1.2 Registro de Certificados - O registro de certificados digitais é feito através de

uma autoridade certificadora (AC). Do ponto de vista de SILVA et al. (2008, p.30) uma

autoridade certificadora é definida como: “(...) uma organização confiável, que aceita

aplicações certificadas de certa entidade, autentica aplicações, emite certificados e mantém

atualizadas informações sobre os estados dos certificados”.

O procedimento de registro de um certificado digital de uma entidade é feito através

do preenchimento e o envio de um formulário à autoridade certificadora. Este formulário

contém a chave pública e os dados de identificação da entidade. O tipo de dados preenchidos

irá variar de acordo com o certificado digital requerido.

O processo de geração do par de chaves criptográficas e armazenamento da chave

privada podem ser realizados por software ou hardware, variando também de acordo com o

tipo de certificado requerido. Chaves criadas por software têm armazenamento da chave

privada feita no próprio computador da entidade. No procedimento por hardware, tanto a

22
criação do par de chaves, quanto o armazenamento da chave privada é feito em mídias

especiais que possuem recurso criptográfico e senha de acesso à chave. Essas mídias são:

Smart cards ou tokens USB.

A figura 7 é um exemplo de Smart card:

FIGURA 07: E-CPF
FONTE: http://www.pronova.com.br/solutions/scard2k.htm

A figura 8 é um exemplo de Token USB:

FIGURA 08 : Token USB
FONTE: http://www.secdist.se/Produkter/CRYPTOCard/cryptocard.html

SILVA et al (2008, p.30) explica que este tipo de mídia armazenamento impede que

a chave privada criada seja transferida ou copiada e que sua destruição só seja possível com a

destruição da própria mídia.

23
2.1.3 Lista de Certificados Revogados - Todo certificado digital no padrão X.509

tem um período de validade, onde deve ser aceito por qualquer aplicação durante todo este

período. Após o término deste, o certificado expira, tornando-se inválido. Contudo, existem

situações especiais onde o certificado deve perder sua validade antes do término do período

de validade, por exemplo, uma alteração nos dados da entidade ou até mesmo ao vazamento

da chave privada. Quando esse tipo de situação acontece o certificado passa a ser identificado

como um certificado revogado. Todas as autoridades que emitem os certificados digitais têm

que possuir mecanismos capazes de realizar a mudança no estado de revogação dos

certificados.

As autoridades Certificadoras possuem listas de certificados revogados (LCR) que

são utilizadas para divulgar os certificados revogados.

SILVA et al. (2008, p.29) conceituam tais listas como:

Uma LCR é uma estrutura de dados, digitalmente assinada pela autoridade
certificadora, que contém: dia e hora da publicação da LCR, nome da
autoridade certificadora e os números de série de todos os certificados
revogados que ainda não foram expirados.

Toda aplicação que trabalha com certificados digitais deve obter a lista de

certificados revogados mais recentes, tendo como finalidade verificar, corretamente, se o

número de série do certificado em uso não está presente na lista de certificados revogados.

SILVA et al. (2008, p.29) ressaltam:

A freqüência com que uma LCR é atualizada é determinada pela autoridade
certificadora vai depender bastante do domínio da aplicação. Quanto mais
frequente a atualização de uma LCR, menor será o desempenho da
aplicação, e isso ocorre devido às constantemente trocas de informações
com a autoridade certificadora. Porém, em aplicações críticas é de extrema
importância que informações de estados de revogação dos certificados
sejam obtidas da maneira mais rápida possível.

24

2.1.4 Verificações on-line por OCSP - On-line Certificate Status Protocol (OCSP)

é um novo modelo de verificação on-line do estado de revogado dos certificados no padrão

X.509. Neste modelo, obtém-se o estado de revogado de um certificado através da consulta

on-line do seu número de série às bases de dados contidas no servidor da autoridade

certificadora.

Possivelmente, esta utilização do OCSP pode limitar, ou até mesmo extinguir, o uso

das listas de certificados revogados (LCRs). Este modelo trás o benefício de não precisar fazer

o download de uma lista inteira com as informações de vários certificados, já que, somente

um certificado está sendo verificado. Isso ajuda a diminuir o tempo de consulta do estado de

revogado do certificado. Porém SILVA et al. (2008, p.37) ressaltam que existe ambientes em

que a verificação deve ser feita de forma off-line e outros, em que a quantidade de

verificações de certificados é tão alta que faz o sistema de consulta on-line mais lento.

2.1.5 Renovação - Um usuário pode requisitar à Autoridade Certificadora a

renovação do seu certificado após o término da validade. Ele pode manter tanto seu par de

chaves, como os seus dados, desde que não tenha ocorrido nenhum comprometimento da

chave privada e nem alterações nos seus dados cadastrais.

2.2 Infra-Estrutura de Chaves Públicas

Uma infra-estrutura de chaves públicas (ICP) é um órgão, público ou privado,

responsável por toda a estrutura de emissão de chaves públicas. Além de ser responsável por

definir os padrões e técnicas utilizadas, um dos principais objetivos de uma ICP é tornar-se a

terceira parte confiável, assegurando a credibilidade e confiança em transações entre partes

que utilizam certificados eletrônicos.

Segundo SILVA et al. (2008, p.31):

25

A adoção da tecnologia de chaves públicas requer uma infra-estrutura de
chaves públicas (ICP) que define o conjunto de padrões utilizados,
autoridades certificadoras, estrutura entre autoridades certificadoras,
métodos para validar certificados, protocolos de operação, protocolos de
gerenciamento, ferramentas de interoperabilidade e suporte legislativo.

A infra-estrutura de chaves públicas brasileira, foi estabelecida a partir da Medida

Provisória nº. 2.200-2, de 24 de agosto de 2001, e é conhecida como Infra-Estrutura de

Chaves Públicas Brasileira ou ICP-Brasil.

2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil
(ICP-BRASIL) - A infra-estrutura de chaves públicas do Brasil oferece duas categorias de
certificado digital: A e S. A categoria A é destinada à autenticação e identificação. A
categoria S é destinada às atividades sigilosas. Essas categorias são divididas em quatro tipos,
como descreve o site ALECRIM (2009):

A1 e S1: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em dispositivo de armazenamento
(como um HD); validade máxima de um ano;
A2 e S2: geração das chaves é feita por software; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou
token (dispositivo semelhante a um pendrive); validade máxima de dois
anos;
A3 e S3: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 1024 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos;
A4 e S4: geração das chaves é feita por hardware; chaves de tamanho
mínimo de 2048 bits; armazenamento em cartão inteligente ou token;
validade máxima de três anos.
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é
geralmente armazenado no computador do solicitante, enquanto que o
segundo é guardado em cartões inteligentes (smartcards) ou tokens
protegidos por senha.

2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil - Para que um
documento eletrônico seja assinado digitalmente é necessária a utilização de dois algoritmos
criptográficos: algoritmo de criptografia assimétrica e algoritmo criptográfico de função hash.
A Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil) adota os seguintes
algoritmos criptográficos: RSA e SHA-1. Segundo GUELFI (2007, p.98):

26

A ICP-Brasil, com o objetivo de assegurar a integridade dos
documentos eletrônicos assinados digitalmente aponta por meio de
atos normativos quais os algoritmos que deverão ser usados. (...) o
certificado digital da Ac-Raiz é assinado com um algoritmo
criptográfico RSA, utilizando-se do SHA-1 como algoritmo
criptográfico de função hash.

2.2.2.1 Algoritmo de criptografia assimétrica RSA - Segundo explica SILVA

(2006, p.20), o algoritmo de criptografia assimétrica RSA foi desenvolvido em 1978, por três

professores do Instituto de Tecnologia de Massachusetts (MIT): Ronald Rivest, Adi Shamir e

Leonard Adleman. As iniciais de seus criadores dão nome a este algoritmo, RSA.

Considerado como um dos algoritmos mais seguros, funciona com a utilização de um par de

chaves criptográficas, sendo uma delas pública e a outra privada.

SILVA (2006, p.20) ainda ressalta:

A impossibilidade de quebrar a chave de decodificação é possível pela não
existência de algoritmos eficientes para a fatoração de inteiros em fatores
primos, sobretudo, se o número de algarismos é 100 ou maior. O tempo de
codificação de uma mensagem é praticamente, desprezível, mas o tempo de
decodificação pode tornar o processo inviável.

MARTINA (2005, p.5) destaca uma característica importante do algoritmo RSA:

“Neste novo sistema temos a independência do uso das chaves nos processos de cifragem e

decifragem, podendo assim, gerar as bases para um outro novo paradigma que é a assinatura

digital de documentos”.

2.2.2.2 Algoritmo criptográfico de função hash SHA-1 - O algoritmo SHA-1

(Secure Hash Algorithm) foi criado pelo National Institute of Standards and Technology

(Instituto Nacional de Padrões de Tecnologia)-NIST em 1994, sendo hoje considerado um

27
algoritmo de função hash confiável e adotado pela Infra-Estrutura de chaves públicas do

Brasil (ICP-Brasil).

GUELFI (2007, p.102) explica a característica de funcionamento do algoritmo:“ Em

linhas gerais, temos como entrada um arquivo qualquer em formato digital com um tamanho

de até 280 bits, obtendo na saída um resumo criptográfico de 160 bits”.

Neste modelo de algoritmo o resumo obtido possui tamanho fixo, porém não

significa que o seu conteúdo será o mesmo. Quando informações digitais distintas aplicadas a

um mesmo algoritmo hash obtêm o mesmo resumo, ocorre o que é chamado de Colisão.

GUELF (2007, p.97) explica que a força de um algoritmo hash está no grau de dificuldade

em ocorrer colisões.

Para melhor entendimento, a figura 09 exemplifica a saída criptográfica do

algoritmo SHA-1:

FIGURA 09: Exemplo de um bloco hash gerado a partir de uma dada informação
FONTE: GUELF (2007, p.97)

28
Hipoteticamente, seria o mesmo que, na figura 09, depois da alteração da

informação o resumo hash permanecesse o mesmo da informação anterior.

GUELF (2007, p.102) vai mais além e alerta, que testes de segurança aplicado ao

algoritmo SHA-1 demonstraram uma diminuição no tempo de quebra do algoritmo em 200

vezes, baixando sua força criptográfica de 280 para 263. Isso não gera um grau de perigo a

ponto de seu uso ser inviável, porém demonstra que o algoritmo SHA-1 é vulnerável.

Outro tipo de algoritmo de função hash deverá ser adotado na assinatura digital dos

documentos eletrônicos em breve, pois segundo GUELF (2007, p.102):

O NIST prevê que o SHA-1 será definitivamente abandonado em 2.012,
conforme prevê a FIPS 9 180-2 do NIST. Com isso, a tecnologia deverá se
preocupar em continuar a conferir força valorativa aos documentos
eletrônicos assinados digitalmente com o SHA-1 como técnica de função
hash.

Existem variantes do SHA-1 como explica MARTINA (2005, p.4): “O NIST da

Secretaria de Comércio dos Estados Unidos da América definiu uma família de variantes do

SHA, entre elas, o SHA-256, SHA-384 e o SHA-512, com respectivamente, 256, 384 e 512

bits de saída”. A figura 10 demonstra as variantes do SHA-1:

9
FIPS- É um documento de publicação Federal de Padrões de Processamento de Informações emitido pelo
NIST(National Institue of Standards and Technology)

29

FIGURA 10: Tamanho de SHA
FONTE: http://pt.wikipedia.org/wiki/SHA-1

30
3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-
Brasil)

A Infra-estrutura de chaves públicas do Brasil foi instituída em 24 de agosto de

2001, pela Medida Provisória 10 (MP) 2.200-2. Essa MP foi uma resultante das necessidades da

Casa Civil da Presidência da República na implantação do “Governo Eletrônico”, onde,

necessitava-se assegurar e legalizar todas as atividades eletrônicas do governo, além de

promover a inclusão digital da sociedade brasileira.

Segundo GUELFI (2007, p.79):

A implantação da ICP-Brasil teve natureza administrativa, tendo como
objetos reais a emissão e distribuição de certificados digitais e seu controle
de qualidade, além dos objetivos legais de assegurar autenticidade,
integridade e validade jurídica aos documentos eletrônicos, como também
as transações eletrônicas seguras, conforme descrito no artigo 1º da MP
2.200/01.

No ponto de vista de SILVA et al (2008, p.79) a ICP-Brasil é definida como: “(...) um

conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema

criptográfico com base em certificados digitais. (...) com vistas a inserir maior segurança nas

transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios”.

Percebe-se que, além de gerir todo o sistema de chaves-públicas no Brasil, a ICP-

Brasil comporta-se como uma terceira parte confiável, onde uma de suas principais funções é

garantir que uma determinada chave pública pertença a uma pessoa, software ou computador,

e que a (o) mesma (o) possui a chave privada correspondente.

10 Medida provisória (MP) é um ato unipessoal do presidente da República, com força de lei, sem a participação
do Poder Legislativo, que somente será chamado a discuti-la e aprová-la em momento posterior. O
pressuposto da MP é urgência e relevância.

31
3.1 Garantias Oferecidas Pela ICP-Brasil

Devido aos métodos e práticas necessárias para a obtenção de certificados digitais

através da ICP-Brasil, são transmitidas aos titulares de certificados várias garantias, como

descreve SILVA et al (2008, p.80):

• O par de chaves criptográficas deve ser gerado sempre pelo próprio
titular, uso e conhecimento;
• Os documentos assinados com processo de certificação da ICP-
Brasil possuem presunção de validade jurídica;
• São utilizados padrões internacionais para os certificados, bem
como algoritmos criptográficos e tamanhos de chaves que oferecem
nível de segurança aceitável internacionalmente;
• As instalações e procedimentos das entidades credenciadas
possuem um nível pré-estabelecido da segurança física, lógica, de
pessoal e procedimental em padrões internacionais;
• As entidades componentes da ICP-Brasil são obrigadas a declarar
em repositório público as práticas de segurança utilizadas em todos
os seus processos;
• As entidades estão sujeitas a uma auditoria prévia ao
credenciamento, e auditorias anuais para manter-se credenciadas;
• Os dados relativos aos certificados são mantidos por no mínimo
trinta anos, para permitir comprovação e diminuir dúvidas sobre a
assinatura de documentos, atendendo legislações específicas de
guarda de documentos;
• Todas as autoridades certificadoras são obrigadas a contratar seguro
para cobertura de responsabilidade civil decorrente das atividades
de certificação digital e de registro, com cobertura suficiente e
compatível com o risco;
• É obrigatória a validação presencial dos titulares para obtenção de
certificados.

3.2 A Estrutura da ICP-Brasil

Em síntese GUELFI (2007,p.26) explica que a estrutura da ICP-Brasil é hierárquica,
constituída de: um Comitê Gestor, um Comitê Técnico, uma Autoridade Certificadora Raiz,
uma cadeia de Autoridades Certificadoras subsequentes e por uma cadeia de Autoridades de
Registro.A figura 11 exemplifica a estrutura da ICP-Brasil:

32

FIGURA 11: Estrutura da ICP-Brasil
FONTE: SILVA et al (2008, p.82).

3.2.1 Comitê Gestor - Sua função é a de estabelecer normas, critérios e políticas

para o credenciamento das Autoridades Certificadoras (ACs), Autoridades de Registro (ARs)

e demais partes envolvidas na certificação digital. Possui também a função de auditar a

Autoridade Certificadora Raiz. Segundo SILVA et al (2008, p.83) “Ele atualiza a ICP-Brasil,

garante sua compatibilidade e promove a atualização tecnológica do sistema e sua

conformidade com as políticas de segurança”.

3.2.2 Comitê Técnico (COTEC) - “presta suporte técnico e assistência ao Comitê

Gestor, sendo responsável por manifestar-se, previamente, sobre as matérias apreciadas e

decididas por este.” (SILVA et al, 2008, p.83).

3.2.3 Autoridade Certificadora Raiz – É a primeira Autoridade certificadora na

hierarquia, cabendo a ela executar todos os critérios, normas e políticas aprovadas pelo

Comitê Gestor. GUELFI (2007, p.29) explica que a autoridade Raiz é operada pelo Instituto

Nacional de Tecnologia da Informação (ITI), sendo este, uma Autarquia11 Federal vinculada

à Casa Civil da Presidência da República.

11
Autarquia - Serviço autônomo criado por lei, com personalidade jurídica de direito público, patrimônio e
receita próprios, para executar atividades típicas da Administração Pública, que requeiram para seu melhor
funcionamento gestão administrativa e financeira descentralizada.

33
Em complemento SILVA et al (2008, p.84) destaca como outra função da

Autoridade Certificadora Raiz: “(...) executar atividades de fiscalização e auditoria das Acs e

das Ars e dos prestadores de serviço habilitados na ICP; em conformidade com as diretrizes e

normas técnicas estabelecidas pelo comitê Gestor da ICP-Brasil”.

3.2.4 Autoridades Certificadoras (Acs) – São entidades credenciadas que emitem,

expedem, distribuem, revogam, renovam, gerenciam os certificados e distribuem as Listas de

certificados revogados (LCRs) a todos os usuários.

No ponto de vista de GUELFI (2007, p.36):

As Autoridades Certificadoras Subseqüentes desempenham uma atividade
de certificação semelhante àquelas empenhada pela Autoridade
Certificadora Raiz, à qual geralmente é ligada. A diferença encontra-se
justamente no nível de aplicação. Sua atividade aplica-se a um nível
hierárquico inferior, destinando-se ao usuário final.

3.2.5 Autoridades de Registro (ARs) – São entidades operacionais vinculadas a

uma AC. Sua função é cadastrar e identificar os usuários de forma presencial, encaminhar a

solicitação de certificados às Acs mantendo os registros de suas operações. MANZUTTI

(2007, p.22) complementa: “Como exemplo de AR’s poderíamos citar a AR SERPRO e AR

ANOREG (Associação dos Notários e Registradores do Brasil). As duas são subordinadas à

AC SERPRO e algumas instituições financeiras subordinadas à SRF.”

Segundo SILVA et al (2008, p.85), na estrutura da ICP-Brasil ainda encontram-se:

• Prestador de Serviços de Suporte (PSS) - São empresas contratadas que

disponibilizam infra-estrutura física e lógica e recursos humanos especializados;

• Auditorias Independentes - são empresas especializadas contratadas pelas

autoridades certificadoras para realizar auditorias nas entidades a elas subordinadas.

34
• Titulares de Certificados – pessoas físicas ou jurídicas que podem ser titulares dos

certificados digitais emitidos por uma das Acs da ICP-Brasil.

Na tabela 02, demonstra-se uma visão macro dos componentes da ICP-Brasil:

Tabela 02: Componentes da ICP-Brasil.
FONTE: Bezerra (2008, p.36)

Componente Papéis: Definir políticas, diretrizes, normas e regras operacionais.
Normativo Características: regulador de atividades econômico produtivas, formulador
Responsável: de políticas com poder de normalização (órgão sistêmico), fiscalização
CG ICP-Brasil (auditoria) e poder de polícia (fazenda pública).

Componente de
Papéis: Realizar credenciamento, auditorias e certificação.
Credenciamento
Características: órgão credenciador, auditor e fiscalizador das políticas
Responsável:
diretrizes, normas e regras (regulamentos técnicos) definidos pelo CG.
AC Raiz
Componente Papéis: Fazer a expedição de certificados de chaves públicas e de selos
Operacional digitais.
Responsáveis: Características: Identificação, cadastramento e lançamento da base
ACs e ARs operacional da ICP-Brasil

3.3 Diretório Público

Utilizados pelas ACs como um meio de distribuição de certificados, o diretórios
públicos são unidades de armazenamento, virtual, de certificados digitais, tanto de usuários
finais quanto de Acs e das listas de certificados revogados (LCRs) destinados, de forma
pública, à consulta e download do seu conteúdo. No ponto de vista de IGNACZAK (2002,
p.8):

O diretório público não necessita estabelecer uma conexão segura com o
usuário no momento da busca e download de um certificado. O certificado é
conferido através de sua assinatura digital. O diretório público deve,
somente, possuir os dados atualizados, além de assegurar ao usuário bons
mecanismos para manter seu nível de disponibilidade muito alto.

35
3.3.1 LDAP (Lightweight Directory Access Protocol) – É um protocolo leve e

flexível de acesso a banco de dados distribuídos. Trabalha com o protocolo TCP/IP 12 , o que o

tornou um padrão para utilização na internet. BEZERRA (2008, p.33) explica que: “O LDAP

foi projetado para permitir a unificação de diretórios, resolvendo os problemas decorrentes de

sua proliferação pela rede”. Sua principal função é disponibilizar o acesso, de forma

amigável, aos diretórios públicos.

3.4-Autoridades certificadoras de primeiro nível

Na hierarquia ICP-Brasil, logo abaixo da Autoridade Certificadora Raiz, destacam-

se as Autoridades Certificadoras de primeiro nível, que são: Serpro, Caixa Econômica

Federal, Serasa, Secretaria da Receita Federal, Certisign, Imesp (Imprensa Oficial),

Autoridade certificadora da Justiça (AC-JUS) e Presidência da Republica (ACPR). Devido à

sua importância e relevância a tabela 03 as descreve:

Tabela 03: Autoridades Certificadoras de Primeiro Nível
FONTE: Azevedo et al (2009, p.49)
Entidade Logo Observação

O Serpro foi a primeira
autoridade certificadora
Serpro credenciada pela ICP-Brasil . E
desde 1999, procura divulgar o
uso dessa tecnologia para os
vários segmentos com que
trabalha.

12 TCP/IP é um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha
e protocolos TCP/IP). Seu nome vem de dois protocolos: o TCP (Transmission Control Protocol - Protocolo
de Controle de Transmissão) e o IP (Internet Protocol - Protocolo de Interconexão).

36

Para a Serasa, a tecnologia de
certificação digital é o
instrumento que viabiliza a
inserção dos diversos agentes
econômicos e cidadãos
brasileiros em uma sociedade
digital .
Serasa A Serasa fornece a segurança
dos certificados digitais pra
quase todos os grupos
financeiros participantes do
Sistema de Pagamentos
Brasileiro (SPB).

A Receita Federal do Brasil
(RFB) disponibiliza uma grande
quantidade de serviços web,
com o objetivo de simplificar ao
máximo a vida dos
contribuintes e facilitar o
cumprimento espontâneo das
Secretaria da Receita Federal
obrigações tributárias. Por meio
do Brasil
do serviço Receita222,
contribuinte de forma
interativa, via internet,com uso
de certificados digitais,
garantindo a identificação
inequívoca dos usuários

Com o apoio da Certisign,
empresa fundada em 1996 com
foco exclusivamente no
desenvolvimento de soluções de
Certsign certificação digital para o
mercado brasileiro, importantes
instituições vêem adotando a
tecnologia nas mais diversas
formas.
A Imprensa Oficial é a
Autoridade Certificadora Oficial
do Estado de São Paulo e está
credenciada e preparada para
oferecer produtos e serviços de
certificação digital para os
Imesp (Imprensa Oficial do
poderes executivo, legislativo e
Estado de São Paulo)
judiciário, incluindo todas as
esferas da administração
pública, direta e indireta, nos
âmbitos federal, estadual e
municipal.

37

A autoridade Certificadora da
Justiça (AC-JUS) é Gerenciada
por um Comitê Gestor que a
partir de outubro de 2005 é
composto por representantes
do STF, STJ, TST, TSE, STM,
CNJ, CJF,e o CSJT. Trata-se da
primeira autoridade
certificadora do Poder Judiciário
JUS (Autoridade Certificadora
no mundo. Sua Implementação
da Justiça
possibilitou a definição de
regras e perfis de certificados,
específicos para aplicações do
Judiciário e resulta da
necessidade crescente de
transpor a mesma credibilidade
e segurança existentes hoje no
“mundo do papel” para o
“mundo digital”
A autoridade Certificadora da
Presidência da República -ACPR
foi criada em abril de 2002, por
uma iniciativa da Casa Civil, no
âmbito do governo eletrônico
(e-Gov) e tem como objetivo
Presidência da República emitir e gerir certificados
digitais das autoridades da
Presidência da República,
ministros de estado,
secretários-executivos e
assessores jurídicos que se
relacionem a PR.

38
A figura 12 demonstra a estrutura completa da ICP-Brasil :

FIGURA 12: Estrutura ICP-Brasil
FONTE:http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pd
f

3.5 Auditoria na ICP-Brasil

As auditorias realizadas na ICP-Brasil visam garantir a qualidade, segurança e a

credibilidade de todo o procedimento de certificação digital brasileiro. Para SILVA et al

(2008, p.107): “As auditorias tem contribuído para manter a qualidade dos serviço e processos

realizados na ICP-Brasil e mesmo para melhorar os patamares de atuação.” Os critérios e

procedimentos das auditorias realizadas nas entidades da ICP-Brasil são definidos pela

Resolução n.º 44 do ITI de 18 de abril de 2006. SILVA et al (2008, p.99) explica que esta

Resolução classifica as auditorias em dois tipos: Pré-operacional e Operacional. A auditoria

Pré-operacional ocorre antes do credenciamento na ICP-Brasil, já a auditoria Operacional é

39
realizada no mínimo uma vez por ano, em entidades já credenciadas. O objetivo deste tipo de

auditoria é poder verificar se os requisitos, critérios, políticas de segurança e operação

continuam em concordância com os exigidos para o credenciamento. Assim é possível avaliar

se a entidade auditada ainda possui as características necessárias para continuar sendo

reconhecida como credenciada.

Ainda com base na Resolução nº. 44 do ITI, a tabela 04 demonstra quais entidades

podem executar as auditorias:

Tabela 04: Executores de auditoria nas entidades da ICP-Brasil
FONTE: Silva et al (2008, p.101)

ENTIDADE EXECUTOR DA AUDITORIA
Pré-Operacional Operacional
AC Raiz Comitê Gestor da ICP-Brasil ou Comitê Gestor da ICP-Brasil. ou
seus prepostos seus prepostos.
AC de 1º nível AC Raiz AC Raiz.
AC de 2º nível AC Raiz Empresa de auditoria independente
cadastrada junto à ICP-Brasil.
AR Empresa de auditoria independente AC à qual a AR se vincula ou
cadastrada junto à ICP-Brasil auditoria interna da AR cadastrada
junto à ICP-Brasil ou empresa de
auditoria independente cadastrada
junto à ICP-Brasil .
AR no Exterior AC Raiz ou, a seu critério, empresa AC Raiz ou, a seu critério, empresa
de auditoria independente de auditoria independente
cadastrada junto a ICP-Brasil . cadastrada junto a ICP-Brasil .
PSS Empresa de auditoria independente AC à qual o PSS se vincula ou
cadastrada junto à ICP-Brasil empresa de auditoria independente
junto a ICP-Brasil .

3.5.1 Etapas de uma Auditoria - SILVA et al (2008, p.101) ainda explica as etapas

de uma auditoria, seja ela, pré-operacional ou operacional, quer seja realizada em AC, AR ou

prestador de suporte:

• Análise dos documentos obrigatórios;

• Análise de documentos complementares;

• Planejamento dos testes;

• Auditoria de campo;

40
• Encerramento e acompanhamento;

• Itens verificados durante a auditoria.

3.5.2 Auditoria Pré-operacional - Segundo SILVA et al (2008, p.102) uma

auditoria pré-operacional de uma Autoridade certificadora e Autoridade de Registro têm por

obrigatoriedade verificar todos os itens de segurança, procedimentos constantes das

resoluções, Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC) e

Política de Segurança (PS). Podendo ser agrupados em sete áreas:

1. Segurança de pessoal;

2. Segurança física;

3. Segurança lógica;

4. Segurança de rede;

5. Segurança da informação;

6. Gerenciamento de chaves criptográficas e do certificado da própria AC;

7. Gerenciamento do ciclo de vida dos certificados.

As auditorias realizadas devem ser capazes de identificar e não permitir a existência

de problemas graves, como exemplifica SILVA et al (2008, p.107):

• Utilização de sala-cofre sem os requisitos de estanquiedade
(segurança) necessários;
• Manutenção de bases de dados corrompidas;
• Não utilização de VPN (rede privada virtual) para proteger o
tráfego de dados para o servidor da AC;
• Alocação de pessoas despreparadas para executar a tarefa de
Agentes de Registro;
• Não verificação da vulnerabilidade dos servidores, tendo em
decorrência, sistemas desatualizados e com graves falhas de
segurança;
• Não realização de análise dos arquivos de logs (registro) de eventos
críticos;
• Perda de imagens dos ambientes pela falta de troca das fitas de
vídeo em tempo hábil;
• Emissão de certificados a titulares sem a respectiva documentação.

41

3.5.3 Auditoria Operacional – Verificam-se todos os itens da auditoria Pré-

Operacional, porém acrescentando a análise de registros e eventos já realizados:

• ACs: Certificados emitidos, revogados, logs de acessos ao ambiente físico e lógico;

• ARs: Certificados emitidos, qualidade dos processos de identificação e validação dos

solicitantes de certificados.

42

4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA
INFORMAÇÃO BRASILEIRA

A utilização da certificação digital garante às pessoas, empresas, softwares ou

computadores uma maior segurança nas suas atividades no meio digital. Garantindo a

integridade, autenticidade, confidencialidade, disponibilidade e não-repúdio das informações

disponibilizadas, conforme explicado nos capítulos anteriores. O presente capítulo tem por

objetivo demonstrar os benefícios transmitidos à sociedade da informação com a utilização da

tecnologia em questão. Tal demonstração será realizada através do exemplo de dois projetos:

ICP-EDU e o SPED. Sendo o primeiro, vinculado à área acadêmica e o segundo vinculado à

área Fiscal.

4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) - É um projeto

pioneiro no país, tem como objetivo implantar todas as técnicas de segurança digital através

da utilização de certificados digitais no ambiente acadêmico, apresentando os mesmos

benefícios disponibilizados pela técnica de certificação digital comercial, porém de forma

gratuita. Outro objetivo, não menos importante, do projeto é unificar e interligar as diversas

infra-estruturas de chaves públicas (ICP) de diferentes universidades, encontradas no meio

acadêmico através de uma única autoridade certificadora, conhecida como AC Raiz da ICP-

EDU.

FRIEDRICH (2008, p.10) explica que em 2003 a Rede Nacional de Ensino e

Pesquisa (RPN) lançou uma chamada pública de projetos buscando atender às necessidades

de segurança digital no âmbito acadêmico. O projeto vencedor foi o GT ICP-EDU,

desenvolvido em cooperação de algumas Universidades Brasileiras, como: Universidade

Federal de Minas Gerais (UFMG), a Universidade Federal de Santa Catarina (UFSC) e a

43
Universidade Estadual de Campinas (Unicamp). Esta tecnologia funciona como uma grande

aliada tanto para as Universidades quanto para seus usuários, pois o meio acadêmico possui

um tráfego digital de informações importantes, tais como: históricos escolares, resultados de

pesquisas, notas de provas, informações financeiras, informações médicas, etc.

4.1.1 Estrutura do SGCI - Segundo FRIEDRICH (2008, p.20), a estrutura SGCI é

dividida em três partes: Sistema Gestor, Módulo Público e Diretório Público.

• Sistema Gestor: Possui todas as funções características da infra-estrutura de chaves

públicas (ICP), tais como criação e gerenciamento de Autoridades Certificadoras e

Autoridade de Registro.

• Módulo Público: Serve de canal para os usuários finais realizarem a solicitação do

certificado digital junto ao operador responsável pela verificação dos dados.

• Diretório Público: Funciona como um repositório para os certificados digitais e

também para as Listas de Certificados Digitais (LCRs).

A figura 13 demonstra a estrutura do SGCI:

FIGURA 13 – Estrutura do SGCI
FONTE: Friedrich (2008, p.20)

44
A figura 14 demonstra um exemplo de certificado digital:

FIGURA 14: Exemplo de Certificado Digital

4.1.2 Modulo de Hardware Seguro – Desenvolvido pela Rede Nacional de Ensino

e Pesquisa (RNP) o Módulo de Hardware Seguro ou Hardware Secure Module (HSM),

funciona como um cofre de chaves privadas para uma AC e também como meio de

transmissão dados de forma segura. FRIEDRICH (2008, p. 22) complementa sua definição:

Ele é um protótipo que, além de atuar como acelerador criptográfico,
podendo chegar a realizar centenas de assinaturas por segundo com a chave
privada que protege, possui a finalidade de propiciar uma transmissão de
dados realmente segura para sistemas de gerenciamento de certificados, isto
é, possibilita a gestão segura do ciclo de vida de chaves privadas.

45

A figura 15 é uma imagem de um HSM:

FIGURA 15 – Modulo de Hardware Seguro

4.1.3 AC Correio – A AC - Correio tem com função emitir certificados digitais para

a utilização em correios eletrônicos. Esta entidade acelera a emissão de certificados, pois ela

se baseia na seguinte idéia: certificado solicitado, certificado emitido. Percebe-se que, com a

prática desta idéia, os dados do usuário não sofrem verificação alguma. FRIEDRICH (2008,

p.28) explica que isso é perfeitamente possível de se realizar sem que se comprometa a

estrutura de segurança, pois para que um pessoa possua o e-mail disponibilizado pela

universidade, seus dados são verificados de antemão pela mesma.

4.1.4 Benefícios da utilização da ICP-EDU - Segundo FRIEDRICH (2008, p.42)

com a utilização do SGCI (ICP-EDU) no ambiente acadêmico, concluem-se os seguintes

benefícios:

46
• Otimização de processos, maior disponibilidade de serviços, menor burocracia, maior

segurança;

• Redução de custos através da desmaterialização de documentos de papel, tornando-os

digitais, além de maior agilidade no trâmite dos mesmos;

• Todos os benefícios da certificação digital acadêmica são transferidos às universidades

de forma gratuita, sem a necessidade de recorrer à instituições privadas , através deste

projeto.

4.2 Projeto SPED (Sistema Público de Escrituração Digital)

Devido ao avanço tecnológico e a certificação digital, foi possível a realização de

mudanças expressivas no fisco brasileiro. Tais mudanças, permitiram o envio de informações

tributárias e fiscais por meio eletrônico, de forma segura e rápida aos órgãos fiscalizadores,

minimizando assim, o tempo e recursos despendidos nos processos fiscalizatórios.

AZEVEDO et al (2009, p. 37) explica:

O projeto SPED (Sistema Público de Escrituração Digital) pretende alterar a
forma de cumprimento das obrigações acessórias realizadas pelos
contribuintes, substituindo a emissão de livros e documentos contábeis e
fiscais em papel por documentos eletrônicos, cuja autoria, integridade e
validade jurídica é reconhecida pelo uso da certificação digital.

4.2.1 Os principais objetivos do projeto SPED

• Promover atuação Integrada dos Fiscos;

• Racionalizar as obrigações acessórias para os Contribuintes;

• Tornar mais célere 13 a identificação de ilícitos tributários.

13
Célere- adj m+f (lat celere) Ligeiro, veloz. Sup abs sint: celeríssimo ou celérrimo. Antôn: lento, moroso.

Certificação Digital na Sociedade Brasileira

Certificação Digital na Sociedade Brasileira

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Certificação Digital na Sociedade Brasileira

Similar to Certificação Digital na Sociedade Brasileira (20)

Recently uploaded

Recently uploaded (20)

Certificação Digital na Sociedade Brasileira