• Like
  • Save
A Certificação Digital na sociedade Brasileira
Upcoming SlideShare
Loading in...5
×
 

A Certificação Digital na sociedade Brasileira

on

  • 3,523 views

TCC em sistemas de informação tendo como foco a descrição da tecnologia empregada na certificação digital e demostrar os benefícios de dois projetos que a utilizam: SPED e ICP-EDU.

TCC em sistemas de informação tendo como foco a descrição da tecnologia empregada na certificação digital e demostrar os benefícios de dois projetos que a utilizam: SPED e ICP-EDU.

Statistics

Views

Total Views
3,523
Views on SlideShare
3,523
Embed Views
0

Actions

Likes
1
Downloads
77
Comments
2

0 Embeds 0

No embeds

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

12 of 2

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Muito bom!! danilo otimo trabalho...
    Are you sure you want to
    Your message goes here
    Processing…
  • Quem gostou do meu trabalho ou tiver alguma sugestão, por favor deixe um comentário... grato e espero ter ajudado ao disponibilizá-lo aqui.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    A Certificação Digital na sociedade Brasileira A Certificação Digital na sociedade Brasileira Document Transcript

    • DANILO GOMES MOREIRA A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA BACHARELADO EM SISTEMAS DE INFORMAÇÃO FACULDADES UNIFICADAS DOCTUM DE CATAGUASES CATAGUASES – MG – BRASIL 2009
    • DANILO GOMES MOREIRA A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA Trabalho de Conclusão de Curso apresentado à Banca Examinadora das Faculdades Unificadas Doctum de Cataguases como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação, sob a orientação do Prof. Frands de Souza Franco. FACULDADES UNIFICADAS DOCTUM DE CATAGUASES CATAGUASES – MG – BRASIL 2009
    • DANILO GOMES MOREIRA A CERTIFICAÇÃO DIGITAL NA SOCIEDADE DA INFORMAÇÃO BRASILEIRA Trabalho de Conclusão de Curso apresentado à Banca Examinadora das Faculdades Unificadas Doctum de Cataguases como requisito parcial para a obtenção do título de Bacharel em Sistemas de Informação. BANCA EXAMINADORA _____________________________________________ Prof. Frands Souza Franco – Orientador Faculdades Unificadas Doctum de Cataguases _____________________________________________ Prof. Marília das Dores de Barros Faculdades Unificadas Doctum de Cataguases _____________________________________________ Profª. MSc Míriam de Souza Monteiro Faculdades Unificadas Doctum de Cataguases CATAGUASES – MG – BRASIL 2009
    • Dedico este trabalho aos meus queridos pais: Afonso e Marluce, que de todas as formas contribuíram para a concretização deste tão estimado sonho.
    • AGRADECIMENTOS Agradeço primeiramente a Deus, que além de me presentear com o dom da vida me deu condições físicas, mentais e espirituais para tal feito . Agradeço a minha querida esposa Sandra, pela força e compreensão nas minhas ausências em nosso lar durante estes quatro anos de curso. Agradeço ao meu professor orientador Frands de Souza Franco, que sem questionar aceitou tal desafio, contribuindo fortemente para a conclusão deste trabalho. Agradeço a professora Fabiana Siqueira Nunes, que além de contribuir nas correções deste trabalho, muitas das vezes, serviu para mim como um calmante com seus conselhos sempre positivos. Agradeço aos meus queridos amigos: Alexandre, Cláudio, Marcus Vinícius, João Sérgio, Ronaldo e Victor que durante todo o curso, com amizade, me inspiraram, apoiaram, contribuíram tanto para o meu crescimento profissional, mas principalmente como ser humano.
    • "É melhor tentar e falhar, que preocupar-se e ver a vida passar; é melhor tentar, ainda que em vão,que sentar-se fazendo nada até o final. Eu prefiro na chuva caminhar, que em dias tristes em casa me esconder. Prefiro ser feliz, embora louco, que em conformidade viver ..." Martin Luther King
    • RESUMO O presente trabalho tem como objetivo demonstrar os benefícios que a certificação digital gera à sociedade da informação brasileira. Para melhor compreensão da tecnologia, serão abordadas algumas técnicas de segurança da informação e seus principais conceitos. Trataremos ainda, dos principais conceitos da Certificação digital e a descrição da Infra- Estrutura das Chaves Públicas do Brasil (ICP-Brasil). Finalizando, serão apresentados e descritos dois projetos: o ICP-EDU e o SPED, que utilizam da certificação digital para suprir as necessidades e beneficiar duas classes importantes da sociedade brasileira: a Acadêmica e a Fiscal. Palavras-Chave: Certificação Digital, ICP-Brasil, ICP-EDU e SPED.
    • LISTA DE FIGURAS Figura 01: Encriptamento e Desencriptamento de uma mensagem .........................................10 Figura 02: Encriptamento e Desencriptamento usando chave Secreta.....................................12 Figura 03: Criptografia com Chave Secreta .............................................................................13 Figura 04: Assinatura digital ....................................................................................................15 Figura 05: Conferência da assinatura digital ............................................................................16 Figura 06: Estrutura do Certificado digital X.509....................................................................20 Figura 07: E-CPF......................................................................................................................22 Figura 08: Token USB..............................................................................................................22 Figura 09: Exemplo de um bloco hash gerado a partir de uma dada informação ....................28 Figura 10: Tamanho de SHA....................................................................................................29 Figura 11: Estrutura da ICP-Brasil ...........................................................................................32 Figura 12: Estrutura ICP-Brasil................................................................................................38 Figura 13: Estrutura do SGCI...................................................................................................43 Figura 14: Exemplo de Certificado Digital ..............................................................................44 Figura 15: Módulo de Hardware Seguro ..................................................................................45 Figura 16: Estrutura do SPED ..................................................................................................48 Figura 17: Processamento da Nota Fiscal.................................................................................51
    • LISTA DE TABELAS Tabela 01: Descrição dos campos de um certificado no formato X.509 v3.............................20 Tabela 02: Componentes da ICP-Brasil. ..................................................................................34 Tabela 03: Autoridades Certificadoras de Primeiro Nível .......................................................35 Tabela 04: Executores de auditoria nas entidades da ICP-Brasil..............................................39
    • SUMÁRIO INTRODUÇÃO ........................................................................................................................1 1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS ...............3 1.1 O papel da segurança no meio computacional .................................................................4 1.1.1 Política de Segurança da Informação ............................................................................5 1.1.2 Medidas de Segurança ...................................................................................................5 1.1.3 Serviços de Segurança da Informação...........................................................................5 1.1.4 Ameaça ..........................................................................................................................7 1.1.5 Vulnerabilidades............................................................................................................8 1.1.6 Ataque............................................................................................................................8 1.2 Criptografia.......................................................................................................................9 1.2.1 Chaves .........................................................................................................................11 1.2.1.1 Criptografia de chave Secreta ou Simétrica .............................................................11 1.2.1.2 Criptografia de Chave Pública ou Assimétrica.........................................................12 1.2.2 Algoritmo de Resumo..................................................................................................14 1.3 Assinatura Digital ...........................................................................................................14 2. CERTIFICAÇÃO DIGITAL ............................................................................................17 2.1 Certificado Eletrônico ....................................................................................................17 2.1.1 Padrão de Certificado Digital X.509 ...........................................................................19 2.1.2 Registro de Certificados ..............................................................................................21 2.1.3 Lista de Certificados Revogados .................................................................................23 2.1.4 Verificações on-line por OCSP ...................................................................................24 2.1.5 Renovação ...................................................................................................................24 2.2 Infra-Estrutura de Chaves Públicas ................................................................................24 2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil (ICP- BRASIL)...............................................................................................................................25 2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil .................................................25 2.2.2.1 Algoritmo de criptografia assimétrica RSA .............................................................26 2.2.2.2 Algoritmo criptográfico de função hash SHA-1.......................................................26 3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP-Brasil) ............30 3.1 Garantias Oferecidas Pela ICP-Brasil.............................................................................31 3.2 A Estrutura da ICP-Brasil...............................................................................................31 3.2.1 Comitê Gestor..............................................................................................................32 3.2.2 Comitê Técnico (COTEC)...........................................................................................32 3.2.3 Autoridade Certificadora Raiz.....................................................................................32 3.2.4 Autoridades Certificadoras (Acs) ................................................................................33 3.2.5 Autoridades de Registro (ARs)....................................................................................33 3.3 Diretório Público ............................................................................................................34 3.3.1 LDAP (Lightweight Directory Access Protocol) ........................................................35 3.4-Autoridades certificadoras de primeiro nível .................................................................35 3.5 Auditoria na ICP-Brasil ..................................................................................................38 3.5.1 Etapas de uma Auditoria .............................................................................................39 3.5.2 Auditoria Pré-operacional............................................................................................40 3.5.3 Auditoria Operacional .................................................................................................41
    • 4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA INFORMAÇÃO BRASILEIRA .........................................................................................................................42 4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) ......................................42 4.1.1 Estrutura do SGCI .......................................................................................................43 4.1.2 Modulo de Hardware Seguro.......................................................................................44 4.1.3 AC Correio ..................................................................................................................45 4.1.4 Benefícios da utilização da ICP-EDU .........................................................................45 4.2 Projeto SPED (Sistema Público de Escrituração Digital) ..............................................46 4.2.1 Os principais objetivos do projeto SPED ....................................................................46 4.2.1.1 O objetivo de promover atuação Integrada dos Fiscos.............................................47 4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para os contribuintes .........................................................................................................................47 4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários ....................47 4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) ...............................48 4.2.3. Escrituração Contábil Digital (ECD)..........................................................................48 4.2.4. Escrituração Fiscal Digital (EFD) ..............................................................................49 4.2.5 Nota Fiscal eletrônica (NFe ) ......................................................................................49 4.2.5.1 Forma de Credenciamento........................................................................................49 4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma simplificada os passos do processamento da NF-e :.............................................................50 4.2.5.3 Benefícios do Projeto NF-e ......................................................................................51 4.3 Conclusões finais............................................................................................................52 CONCLUSÃO.........................................................................................................................54 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................55
    • 1 INTRODUÇÃO A sociedade brasileira está mudando seus hábitos em relação ao meio virtual, utilizando-o de forma mais abrangente e não somente, como forma de entretenimento. Atualmente, é comum a prática de negócios via Internet, onde, o maior exemplo é o comércio eletrônico, que a cada ano bate recordes de faturamento. Também as empresas estão se beneficiando com as práticas virtuais: elas compram, vendem, contratam, demitem, dão treinamento aos seus funcionários, aumentam sua competitividade, enfim, participam do mundo globalizado. Porém nada disso seria possível se a segurança neste meio não fosse garantida. O mundo virtual possui inúmeras ameaças ou pragas virtuais: cavalos-de-tróia, vírus, crackers 1 , worms, etc. Onde, tanto os números, quanto os tipos de crimes virtuais são crescentes. Com base nesta necessidade, novas técnicas de segurança estão sendo implantadas para continuar garantindo que a sociedade se beneficie do meio digital de forma segura, onde a certificação digital possui um grande destaque. No capítulo 1, será demonstrada a importância que a segurança tem no meio digital, apresentando os seus principais conceitos: ameaças, ataques, vulnerabilidades, políticas de segurança, serviços de segurança, criptografia e assinatura digital. No capítulo 2, serão apresentados os conceitos e o funcionamento da certificação digital. Apresentando o certificado eletrônico, como um documento digital de identificação pessoal, onde será explicado o seu padrão, forma de obtenção e verificação do seu estado de revogado. Também serão explicadas as primeiras características da ICP-Brasil, como os tipos de certificados oferecidos e os algoritmos criptográficos utilizados pela mesma. 1 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.
    • 2 No capítulo 3, será descrito em mais detalhes a ICP-Brasil, apresentando toda a sua estrutura, as autoridades certificadoras (ACs) de primeiro nível e o tipos de Auditoria realizadas em tal estrutura. No capítulo 4, dois projetos que utilizam da certificação digital serão apresentados, com a finalidade de demonstrar como a certificação digital beneficia a sociedade brasileira. Os projetos escolhidos foram o ICP-EDU e o SPED. O principal motivo da escolha destes projetos foi o campo de atuação dos mesmos, onde, o primeiro atua no ambiente acadêmico e o segundo no ambiente fiscal. Assim os benefícios demonstrados, por esses dois projetos, têm uma abrangência significativa na sociedade brasileira, servindo de base para demonstrar tamanha importância da certificação digital.
    • 3 1. A IMPORTÂNCIA DA SEGURANÇA NOS MEIOS COMPUTACIONAIS Atualmente, sistemas computacionais estão sendo utilizados em grande escala por pessoas e empresas, seja de forma local ou on-line. Assim, percebe-se que o uso da internet está mais abrangente, ou seja, não se limitando a entretenimento apenas. Hoje, grandes empresas a utilizam como uma super-ferramenta de comunicação adquirindo agilidade, competitividade nas suas práticas de negócios, vindo a cumprir exatamente o exigido no mundo globalizado. Vale lembrar que muitas empresas foram criadas e se firmaram com o avanço e a popularização da internet, como é o caso das lojas virtuais que fazem do e-commerce 2 uma fórmula de sucesso e altos lucros. Assim como empresas e pessoas, os governos de inúmeros países também fazem uso da tecnologia. No caso do Brasil, podemos citar como um bom exemplo a implantação do sistema de nota fiscal eletrônica que vem gerando enormes benefícios tanto para os contribuintes, quanto para o sistema de fisco brasileiro. Assim é possível observar que os hábitos da sociedade pós-moderna mudaram. Isso somente vem acontecendo porque pessoas, empresas e governos perderam o medo do meio digital, acreditando mais no poder das ferramentas e práticas de segurança empregadas no mesmo, que é constantemente atacado por pragas virtuais: vírus, phishing 3 , crackers 4 , etc. Conforme alerta SILVA et al (2008, p.3): “As informações contidas em sistemas computacionais estão sujeitas à espionagem, violação e outros tipos de ações criminosas”. 2 e-commerce, ou ainda comércio virtual, é um tipo de transação comercial feita especialmente através de um equipamento eletrônico, como, por exemplo, um computador. 3 phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. 4 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança.
    • 4 1.1 O papel da segurança no meio computacional LAUREANO et al (2005, p.4) explica que uma segurança efetiva garante que a informação preserve os atributos de confidencialidade, integridade e disponibilidade. • Confidencialidade - garante que a informação será acessada apenas por pessoas autorizadas. • Integridade – Garante e protege a exatidão da informação. • Disponibilidade - garante que usuários autorizados sempre que necessitem acessem e desfrutem dos benefícios da informação. Os objetivos da segurança no meio digital podem ser claramente explicados conforme nos ensina SOARES (1995, p.448): A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou de seus dispositivos periféricos. “O objetivo da segurança da informação é proteger a organização detentora da informação dos diversos tipos de ameaças para garantir a continuidade dos seus negócios e maximizar o retorno dos investimentos e as oportunidades de negócios.” (SILVA et al, 2008, p.4). É muito importante que os requisitos de segurança de uma organização sejam identificados, pois somente a partir desta etapa, é possível selecionar e implementar os controles de segurança mais efetivos, ou seja, os controles que realmente reduzam os riscos a um nível aceitável, porém SILVA et al (2008, p.5) lembra que: “A escolha dos controles é feita, em geral, baseada nos custos de implementação em relação aos riscos que serão reduzidos e nas perdas potenciais caso falhas na segurança ocorram.”
    • 5 Logo, não faz sentido desperdiçar recursos financeiros para garantir a segurança de informações irrelevantes ou com valores menores aos investidos nas técnicas de segurança utilizada para protegê-la. 1.1.1 Política de Segurança da Informação - São todas as ações permitidas, ou não, na execução de um sistema. Essa política visa garantir que o sistema seja operado de forma segura durante todo o tempo da sua execução. SOARES et al (1995, p.450) a conceitua como:“(...) um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos.” SILVA et al (2008, p.6) explica o objetivo da Política de Segurança: A política de segurança da informação tem como objetivo prover à direção de uma organização, uma orientação e um apoio para a segurança da informação. É conveniente que a direção estabeleça uma política clara, demonstrando apoio e comprometimento com a segurança da informação através da emissão e manutenção dessa política para toda organização. 1.1.2 Medidas de Segurança - São medidas tomadas para impedir ou reduzir o impacto da ação de uma ou de várias ameaças. Estas medidas podem ser por meio de software, controles físicos ou como forma de políticas de segurança. São exemplos de medidas de segurança: o uso de criptografia em troca de mensagens, utilização de controle de acesso restrito ao sistema de maneira lógica ou física, uso de programas firewall e antivírus. Porém, SILVA et al (2008, p. 4) explica que: Medidas de segurança, geralmente, aumentam o custo de um sistema, além de poder torná-lo mais difícil de usar, por esta razão, muitas vezes não são especificados no desenvolvimento do sistema. 1.1.3 Serviços de Segurança da Informação - Serviço de segurança é a característica que um sistema possui para atender a uma política de segurança. Existe uma diferença entre
    • 6 serviço e controle de segurança. Serviços atendem a pergunta: o que é preciso? Já controle responde a pergunta: como alcançar? SILVA et al (2008, p.7) explica que a segurança da informação classifica seis serviços principais: autenticação, autorização, privacidade, integridade, não-repúdio e disponibilidade. • Autenticação - Garante que um usuário é quem ele diz ser. Pode trabalhar baseado em três paradigmas: Algo-que-você-sabe, Algo-que-você-tem, Algo- que-você-é. Em particular o serviço de autenticação contribui muito para a segurança da informação. • Autorização – Refere-se ao controle de acesso e ao uso de recursos computacionais. Através de uma prévia autenticação o sistema é capaz de especificar quais as partes, informações ou funcionalidades o usuário poderá acessar. • Privacidade – Assegura que informações confidenciais não serão acessadas por pessoas não-autorizadas. Este serviço não só protege o conteúdo, mas também o tamanho da informação. • Integridade – Tem como função proteger a informação contra a modificação, duplicação, inserção, remoção ou re-ordenamento da mesma. • Não-Repúdio – Sua função é a de não permitir que uma parte envolvida na comunicação negue sua participação na mesma. • Disponibilidade – Garante que um sistema de computador, incluindo todas as suas funções e informações, sempre estará disponível a usuários autorizados quando necessário, mesmo que aconteça um desastre. Um exemplo disso seria em caso de falta de energia e o sistema computacional fosse mantido por uma fonte de energia auxiliar.
    • 7 1.1.4 Ameaça - Ameaça é algo que pode violar a segurança de um sistema computacional, podendo capturar, alterar, excluir informações de maneira ilícita, podendo também impossibilitar que o sistema mencionado pare ou funcione incorretamente. Assim concorda SOARES et al (1995, p.448) ao dizer que: “Uma ameaça consiste em uma possível violação da segurança de um sistema”. Em complemento, SILVA et al (2008,p.3) explica que uma ameaça é tudo aquilo que representa algum perigo a uma propriedade, sendo esta última, caracterizada como algo de valor. Uma ameaça pode ser iniciada por uma pessoa, programa de computador, desastre natural ou acidente. Neste aspecto ela pode ser classificada como: • Intencional - Por exemplo, uma pessoa apaga parte do código de um programa impedindo-o de funcionar corretamente. • Acidental - Por exemplo, um raio atinge a rede elétrica e danifica o computador servidor do sistema. Ameaças também podem ser classificadas como: • Ativa - Quando gera uma modificação ou dano ao sistema. • Passiva- Quando o objetivo é a obtenção de informação sem autorização como acontece em espionagem. Segundo SOARES et al (1995, p.448) os principais tipos de ameaça são: • Destruição de informação ou de outros recursos; • Modificação ou deturpação da informação; • Roubo, remoção ou perda de informação ou de outros recursos; • Revelação de informação; • Interrupção de serviços;
    • 8 1.1.5 Vulnerabilidades - Vulnerabilidades são brechas, falhas ou ausências da segurança de um sistema podendo ser comparadas a elos fracos de uma corrente de segurança. São nestes pontos que ataques têm a maior chance de obter sucesso, como confirma BEZERRA (2008, p.20): Vulnerabilidades são caracterizadas por falhas, ou pontos fracos, na segurança da informação. Através destas, pessoas ou sistemas mal intencionados podem lançar ataques contra sistemas inseguros e assim se apropriar indevidamente, corromper ou tornar indisponível a informação sob sua guarda. 1.1.6 Ataque - Ataques são todas as ações de ameaças na tentativa de prejudicar um sistema computacional, seja na espionagem, adulteração, eliminação de informação ou até mesmo na tentativa de impedí-lo de funcionar corretamente. Na maioria das vezes, explorando as vulnerabilidades dos sistemas, conforme explica (SILVA et al, 2008, p.4): “Ataques são resultados de vulnerabilidades, representadas por deficiências em uma medida de segurança ou a ausência de própria medida.” Assim como explica SOARES et al (1995, p.449), os principais tipos de ataque são: • Personificação: Uma entidade que possui poucos privilégios em um sistema passa-se por outra com finalidade de obter mais privilégios de forma ilícita. • Replay: Uma mensagem, ou parte, dela é interceptada e, posteriormente, transmitida para produzir um efeito de não-autorizada. • Modificação: O conteúdo de uma mensagem é modificado em caráter não- autorizado sem que o sistema perceba tal modificação. • Recusa ou Impedimento de Serviço: acontece quando uma entidade não executa suas funções de maneira correta ou impede que outras não executem. • Ataques internos: Ocorrem quando usuários legais agem de maneira não- autorizada ou inesperada.
    • 9 • Armadilhas: Acontece quando uma entidade do sistema é modificada para produzir efeitos não-autorizados em resposta a um comando ou um evento. • Cavalos de tróia: Neste tipo de ataque a entidade executa operações não- autorizadas adicionada a uma entidade autorizada. 1.2 Criptografia A criptografia é uma técnica de segurança utilizada para garantir que a informação, mesmo sendo, veiculada em ambientes inseguros seja compreendida somente por quem tem este privilégio. Antigamente, a criptografia era muito utilizada por militares. Eles precisavam comunicar com suas bases, soldados ou veículos, mas não podiam correr o risco de que, suas informações fossem interceptadas pelo inimigo. Atualmente, esta preocupação não se destina apenas a este grupo, mas sim a uma sociedade inteira que precisa trafegar informação na rede on-line de maneira segura. Não é possível imaginar a realização de operações bancárias pela Internet sem o uso de criptografia nos dispositivos de segurança do banco. SILVA et al (2008, p.13) explica: A palavra criptografia é originária dos termos Kryptós, que quer dizer oculto, e graph, escrever. (...) criptografia é a “ciência” de fazer com que o custo de adquirir uma informação de maneira imprópria seja maior do que o custo obtido com a informação. SOARES et al (1995, p.452) concorda e também explica que: A criptografia surgiu da necessidade de se enviar informações sensíveis através de meios de comunicação não confiáveis, ou seja, em meios onde não é possível garantir que um intruso não irá interceptar o fluxo de dados para leitura (intruso passivo) ou para modificá-lo (intruso ativo).
    • 10 Segundo SILVA et al(2008, p.13) a definição da palavra criptografia pode ser encontrada em dicionários da língua portuguesa, como sendo a escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da informação. Em criptosistemas a informação original, também conhecida como texto pleno, passa por duas fases. Na primeira, ela é embaralhada tornando-se incompreensível, também chamada de texto cifrado. A esta técnica dá-se o nome de encriptamento ou cifragem. A segunda fase é chamada de desencriptamento ou decifragem. O texto cifrado é desembaralhado, ou decifrado, voltando a informação original e compreensível, ou texto pleno, como exemplifica a figura 01: FIGURA 1: Encriptamento e Desencriptamento de uma mensagem FONTE: (SILVA et al, 2008, p.14 ).
    • 11 Os criptosistemas conseguem realizar essas operações devido à utilização de algoritmos matemáticos, também conhecidos como algoritmos criptográficos. Como explica SILVA et al (2008, p.14) todo o criptosistema é baseado em três modelos de algoritmos: chave secreta, chave pública e resumo. 1.2.1 Chaves -A chave criptográfica é um valor matemático que é adicionado à informação na sua cifragem, como explica SILVA et al (2008, p.15 ): “ A chave é um valor matemático que determina como uma mensagem de texto pleno é criptografada para produzir um texto cifrado, e sua posse é requerida para descriptografar o texto cifrado.” Na criptografia moderna, a segurança encontra-se nas chaves. Elas são mais importantes que os próprios algoritmos, ou seja, levantando a hipótese de que um intruso tenha acesso ao algoritmo e ao texto cifrado, toda segurança ainda é mantida com o uso da chave explica SILVA et al (2008, p.15). Ainda, existem dois tipos de chaves: simétricas e assimétricas. 1.2.1.1 Criptografia de chave Secreta ou Simétrica - Neste tipo de algoritmo, o texto pleno é cifrado e decifrado com o uso de uma única chave. Apenas com esta chave é possível decifrar e retornar ao texto pleno, assim é essencial para o bom funcionamento deste algoritmo que a chave seja mantida em segurança. TANENBAUM (2003, p.784) explica que: “(...) mesmo que o criptoanalista adquira enorme volume de texto cifrado de sua própria escolha, sem a chave ele não será capaz de captar qualquer sentido em tudo o que conseguir.” Porém o mesmo autor (2003, p.800) ressalta que neste sistema de criptografia existe um grande problema: (...) as chaves tinham que ser protegidas contra roubo, mas também tinham de ser distribuídas; portanto, elas não podiam ser simplesmente trancadas no caixa-forte de um banco.
    • 12 FIGURA 2 – Encriptamento e Desencriptamento usando chave Secreta FONTE: (SILVA et al, 2008, p.17). 1.2.1.2 Criptografia de Chave Pública ou Assimétrica - Neste tipo de algoritmo são usadas duas chaves, uma pública e outra privada. A chave privada deve ser mantida em segredo pelo seu proprietário, já a pública pode ser livremente distribuída. Entre esse par de chaves existe uma relação matemática única e é essa relação que permite que qualquer uma das chaves seja capaz de desfazer a cifragem de uma mensagem feita pela outra do seu respectivo par. Não é possível gerar uma chave privada a partir da sua chave pública, é o que confirma SILVA et al (2008, p. 18):“ Uma chave pública e sua correspondente chave privada
    • 13 possuem uma relação matemática, mas é computacionalmente inviável derivar a chave privada a partir de uma chave publica.”. Isso garante que ninguém consiga fabricar a chave privada de alguém tomando como base a sua respectiva chave pública. FIGURA 3 – Criptografia com Chave Secreta FONTE: (SILVA et al, 2008, p.19). Com o uso da chave pública de uma pessoa garantimos a confidencialidade e integridade da mensagem, ou seja, apenas a possuidora da chave privada será capaz de decifrar a mensagem original.
    • 14 Ao usar a chave privada para cifrar uma mensagem constata-se a funcionalidade da assinatura digital, ou seja, é garantido a autoria e o não-repúdio da mesma. Todas as pessoas que possuem a chave pública correspondente, ao receber a mensagem deduzem com segurança o autor da mensagem, pois somente ele é capaz de encriptar a mensagem e, além disso, o autor não será capaz de negar que foi ele quem produziu a informação. Uma característica muito importante é explicada por SILVA et al (2008, p.19): “ Um algoritmo de chave pública é reversível se pode ser usado tanto para criptografia como para assinatura digital e irreversível se pode somente ser usado para assinatura digital.” 1.2.2 Algoritmo de Resumo - O algoritmo criptográfico de resumo também é conhecido como algoritmo hash. Este algoritmo mapeia um texto de tamanho variável e retorna uma mensagem cifrada menor de tamanho fixo que é chamada de resumo da mensagem ou hash. SILVA et al (2008, p.20) explica que para que este tipo de algoritmo consiga atender a segurança criptográfica, ele precisa: 1- Ser inviável computacionalmente. Encontrar a mensagem de entrada baseada apenas em seu resumo. 2- Não deve ser possível achar uma mensagem particular que tenha um resumo específico. 3- Não ser computacionalmente viável achar duas mensagens distintas com o mesmo resumo. 1.3 Assinatura Digital Da mesma maneira que é possível assinar documentos em papel com uma caneta, hoje em dia, graças ao avanço da tecnologia, é possível assinar documentos eletrônicos. A assinatura eletrônica não é, simplesmente, uma imagem de uma assinatura manuscrita de alguém. Isso seria totalmente inseguro, pois softwares de edição de imagens facilmente
    • 15 alterariam ou até mesmo criariam uma assinatura deste tipo. Na verdade a assinatura digital é um conjunto de bits resultantes da cifragem da informação por duas técnicas criptográficas somadas: chaves criptográficas e algoritmo de resumo. Assinatura digital garante a autenticidade, integridade e o não-repúdio da mensagem. Para que a assinatura digital possa substituir a assinatura escrita TANENBAUM (2003, p.803) explica que a técnica precisa atender aos seguintes requisitos: • O Receptor possa verificar a identidade alegada pelo transmissor; • O transmissor não possa repudiar o conteúdo da mensagem enviada; • O receptor não possa ser capaz de adulterar a mensagem recebida; Para assinar digitalmente um documento, primeiramente, é necessário cifrar a mensagem original com o algoritmo de resumo; em seguida, criptografar o resultado deste procedimento utilizando a chave privada do autor da mensagem, como exemplifica a figura 04: FIGURA 4: assinatura digital FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm Para verificar a assinatura digital de uma mensagem, é preciso realizar a comparação entre resumo hash obtido do texto original, com o resumo obtido da mensagem cifrada. Vale lembrar que, para se obter o segundo resumo em questão anteriormente, é necessário decifrar
    • 16 a mensagem com a chave pública do autor. Logo após, comparar os dois resumos obtidos, se forem iguais significa que a assinatura é verdadeira, caso contrário a mensagem pode ter sido alterada ou a chave pública não corresponde a chave privada utilizada para encriptar a mensagem. A figura 05 exemplifica o processo de verificação da assinatura digital: FIGURA 5: Conferência da assinatura digital FONTE: http://www.tjpe.gov.br/Boletim/N41/dicadahora02.htm A respeito da técnica de assinatura de documentos digitais, SILVA et al (2008, p.22) explica que: Assinar uma mensagem inteira ao invés do seu resumo, embora seja possível, não é recomendado por vários motivos. Primeiramente, assinar uma mensagem inteira dobra a quantidade de informação que deve ser enviada. Além disso, as operações de criptografia de chave pública são geralmente mais lentas, fazendo com que o custo de criptografar uma mensagem inteira acarrete problemas de desempenho. E, por último um criptoanalista pode usar a grande quantidade de texto cifrado junto com a mensagem original para tentar um ataque de mensagens criptografadas.
    • 17 2. CERTIFICAÇÃO DIGITAL Um dos grandes problemas encontrados na utilização do meio digital, além de garantir a confidencialidade, integridade e disponibilidade das informações, é comprovar que as partes envolvidas em uma transação eletrônica, negociação ou troca de mensagens, são realmente quem dizem ser. Esta dificuldade torna-se, na verdade, uma vulnerabilidade que possibilita a concretização de ataques como, por exemplo, o phishing, que é uma fraude eletrônica onde uma entidade se passa por outra confiável a fim de obter informações, privilégios ou bens de maneira ilícita. Devido à necessidade de blindar estas lacunas de vulnerabilidades, dentre outras características de segurança, foi desenvolvida a certificação digital. A certificação digital funciona, tanto como, um mecanismo identificador, como também, uma ferramenta criptográfica. Ainda traz inúmeros benefícios como a possibilidade de assinar documentos digitalmente, promovendo assim a desmaterialização do papel, pois graças as práticas e técnicas de segurança aplicadas na certificação digital, o documento assinado digitalmente possui valor judicial. AZEVEDO et al (2009, p.47) definem a certificação digital como: “(...) a tecnologia que provê os mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade às informações eletrônicas das mensagens e documentos trocados na Internet”. 2.1 Certificado Eletrônico Para que a certificação digital consiga atender às necessidades de segurança, já mencionadas, ela se baseia no uso do certificado digital. O certificado digital é um documento eletrônico que comprova, de fato, que a pessoa, software ou computador é realmente quem diz ser.
    • 18 SILVA et al. (2008, p.26) explica: Um certificado digital (também chamado de certificado de chave pública) é uma ligação entre a chave pública de uma entidade e um ou mais atributos relacionados a esta entidade, armazenados em um arquivo digital. (...) O certificado digital produz a garantia que a chave pública pertence à entidade. Além disso, garante também que a entidade (e somente esta entidade) possua de fato a correspondente chave privada. AZEVEDO et al. (2009, p.53) explica que o conteúdo de um certificado digital normalmente é composto de: • Informações referentes à entidade para o qual o certificado foi emitido (nome, e-mail, CPF/CNPJ, etc.); • Chave pública referente à chave privada de posse da entidade especificada no certificado; • O período de validade; • O nome da empresa (Autoridade Certificadora) que emitiu o certificado digital; • Número de série do certificado digital; • Localização do “centro de revogação” (uma URL 5 para download da lista de certificados revogados ou local para uma consulta OCSP 6 ); • Assinatura digital da Autoridade Certificadora, sendo esta, a empresa responsável pela emissão do certificado digital; 5 URL (de Uniform Resource Locator), em português Localizador de Recursos Universal, é o endereço de um recurso (um arquivo, uma impressora etc.), disponível em uma rede; seja a Internet, ou uma rede corporativa, uma intranet. 6 OCSP- Oline Certificate Status Protocol, é um modelo de verificação online do status de revogação de um certificado digital.
    • 19 Existem diversos padrões de certificados digitais no mercado, como exemplo, SPKI/SDSI, PGP e SET, porém esta pesquisa monográfica destacará apenas o padrão X.509, por ser o padrão utilizado pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil). 2.1.1 Padrão de Certificado Digital X.509 - Segundo AZEVEDO et al (2009, p.53): “O padrão mais comum para certificados digitais no âmbito de uma ICP 7 é o ITU-T 8 X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet Engineering Task Force (IETF) PKIX”. O formato X.509, atualmente encontra-se na terceira versão. A versão um (v1) foi publicada primeiramente, em 1988, e estendida em 1993, incorporando dois novos campos de controle resultando na segunda versão (v2) e, finalmente, atualizado em 1996 para a terceira versão possibilitando usar campos de extensão. Os campos de extensão adicionados na terceira versão do padrão X.509 possibilitam adicionar informações para uma entidade, como exemplo, a chave pública, autoridade certificadora ou qualquer outra informação necessária. Para SILVA et al. (2008, p.27) as extensões associadas ao certificado: “(...) proporcionam também a possibilidade de organizações e empresas definirem seus próprios campos de extensões e codificarem informações específicas às suas necessidades.” SILVA et al (2008, p.28) ainda explica que um campo de extensão é composto por três partes: • Tipo de extensão - É um objeto identificador que prove semântica e tipo da informação (como texto, data, número inteiro ou estrutura complexa) para o valor da extensão. • Valor da extensão - Contém o real valor de um campo de extensão que é descrito pelo seu tipo. 7 ICP – Infra-Estrutura de Chaves Públicas. 8 ITU-T – International Telecommunication Union – Telecommunication Standartization Sector.
    • 20 • Indicador Crítico – Instrui aplicações de software que usam certificados que ignoram o valor do campo quando não se conhece o tipo de extensão. No caso, somente serão ignoradas as extensões não críticas, porém extensões críticas não reconhecidas tornam o certificado rejeitado. A figura 06 demonstra o formato do certificado X.509: FIGURA 06 – Estrutura do Certificado digital X.509 FONTE: própria. Na tabela 01, estão descritos os campos do certificado no padrão X.509 versão 3: Tabela 01: Descrição dos campos de um certificado no formato X.509 v3. FONTE: SILVA et al (2008, p.28). Nome do Campo Descrição Número da versão X.509 do certificado, tendo como valor válido apenas Versão 1,2 ou 3. Identificador único do certificado e representado por um inteiro. Não Número de série deve haver mais de um certificado emitido com o mesmo número de série por uma mesma autoridade certificadora.
    • 21 Nome do Campo Descrição Algoritmo de Identificador do algoritmo usado para assinatura do certificado pela Assinatura autoridade certificadora. Nome da autoridade certificadora que produziu e assinou o certificado. Emissor Intervalo de tempo de duração que determina quando um certificado Período de Validade deve ser considerado válido pelas aplicações. Identifica o dono da chave pública do certificado. O assunto deve ser Assunto único para cada assunto no certificado emitido por uma autoridade certificadora. Contém o valor da chave pública do certificado junto com informações Chave Pública de algoritmos com o qual a chave deve ser usada. Identificador Único de Campo opcional para permitir o reuso de um emissor com o tempo. Emissor (opcional) Identificador Único de Campo opcional para permitir o reuso de um assunto com o tempo. Assunto (opcional) Campos complementares com informações adicionais personalizadas. Extensões 2.1.2 Registro de Certificados - O registro de certificados digitais é feito através de uma autoridade certificadora (AC). Do ponto de vista de SILVA et al. (2008, p.30) uma autoridade certificadora é definida como: “(...) uma organização confiável, que aceita aplicações certificadas de certa entidade, autentica aplicações, emite certificados e mantém atualizadas informações sobre os estados dos certificados”. O procedimento de registro de um certificado digital de uma entidade é feito através do preenchimento e o envio de um formulário à autoridade certificadora. Este formulário contém a chave pública e os dados de identificação da entidade. O tipo de dados preenchidos irá variar de acordo com o certificado digital requerido. O processo de geração do par de chaves criptográficas e armazenamento da chave privada podem ser realizados por software ou hardware, variando também de acordo com o tipo de certificado requerido. Chaves criadas por software têm armazenamento da chave privada feita no próprio computador da entidade. No procedimento por hardware, tanto a
    • 22 criação do par de chaves, quanto o armazenamento da chave privada é feito em mídias especiais que possuem recurso criptográfico e senha de acesso à chave. Essas mídias são: Smart cards ou tokens USB. A figura 7 é um exemplo de Smart card: FIGURA 07: E-CPF FONTE: http://www.pronova.com.br/solutions/scard2k.htm A figura 8 é um exemplo de Token USB: FIGURA 08 : Token USB FONTE: http://www.secdist.se/Produkter/CRYPTOCard/cryptocard.html SILVA et al (2008, p.30) explica que este tipo de mídia armazenamento impede que a chave privada criada seja transferida ou copiada e que sua destruição só seja possível com a destruição da própria mídia.
    • 23 2.1.3 Lista de Certificados Revogados - Todo certificado digital no padrão X.509 tem um período de validade, onde deve ser aceito por qualquer aplicação durante todo este período. Após o término deste, o certificado expira, tornando-se inválido. Contudo, existem situações especiais onde o certificado deve perder sua validade antes do término do período de validade, por exemplo, uma alteração nos dados da entidade ou até mesmo ao vazamento da chave privada. Quando esse tipo de situação acontece o certificado passa a ser identificado como um certificado revogado. Todas as autoridades que emitem os certificados digitais têm que possuir mecanismos capazes de realizar a mudança no estado de revogação dos certificados. As autoridades Certificadoras possuem listas de certificados revogados (LCR) que são utilizadas para divulgar os certificados revogados. SILVA et al. (2008, p.29) conceituam tais listas como: Uma LCR é uma estrutura de dados, digitalmente assinada pela autoridade certificadora, que contém: dia e hora da publicação da LCR, nome da autoridade certificadora e os números de série de todos os certificados revogados que ainda não foram expirados. Toda aplicação que trabalha com certificados digitais deve obter a lista de certificados revogados mais recentes, tendo como finalidade verificar, corretamente, se o número de série do certificado em uso não está presente na lista de certificados revogados. SILVA et al. (2008, p.29) ressaltam: A freqüência com que uma LCR é atualizada é determinada pela autoridade certificadora vai depender bastante do domínio da aplicação. Quanto mais frequente a atualização de uma LCR, menor será o desempenho da aplicação, e isso ocorre devido às constantemente trocas de informações com a autoridade certificadora. Porém, em aplicações críticas é de extrema importância que informações de estados de revogação dos certificados sejam obtidas da maneira mais rápida possível.
    • 24 2.1.4 Verificações on-line por OCSP - On-line Certificate Status Protocol (OCSP) é um novo modelo de verificação on-line do estado de revogado dos certificados no padrão X.509. Neste modelo, obtém-se o estado de revogado de um certificado através da consulta on-line do seu número de série às bases de dados contidas no servidor da autoridade certificadora. Possivelmente, esta utilização do OCSP pode limitar, ou até mesmo extinguir, o uso das listas de certificados revogados (LCRs). Este modelo trás o benefício de não precisar fazer o download de uma lista inteira com as informações de vários certificados, já que, somente um certificado está sendo verificado. Isso ajuda a diminuir o tempo de consulta do estado de revogado do certificado. Porém SILVA et al. (2008, p.37) ressaltam que existe ambientes em que a verificação deve ser feita de forma off-line e outros, em que a quantidade de verificações de certificados é tão alta que faz o sistema de consulta on-line mais lento. 2.1.5 Renovação - Um usuário pode requisitar à Autoridade Certificadora a renovação do seu certificado após o término da validade. Ele pode manter tanto seu par de chaves, como os seus dados, desde que não tenha ocorrido nenhum comprometimento da chave privada e nem alterações nos seus dados cadastrais. 2.2 Infra-Estrutura de Chaves Públicas Uma infra-estrutura de chaves públicas (ICP) é um órgão, público ou privado, responsável por toda a estrutura de emissão de chaves públicas. Além de ser responsável por definir os padrões e técnicas utilizadas, um dos principais objetivos de uma ICP é tornar-se a terceira parte confiável, assegurando a credibilidade e confiança em transações entre partes que utilizam certificados eletrônicos. Segundo SILVA et al. (2008, p.31):
    • 25 A adoção da tecnologia de chaves públicas requer uma infra-estrutura de chaves públicas (ICP) que define o conjunto de padrões utilizados, autoridades certificadoras, estrutura entre autoridades certificadoras, métodos para validar certificados, protocolos de operação, protocolos de gerenciamento, ferramentas de interoperabilidade e suporte legislativo. A infra-estrutura de chaves públicas brasileira, foi estabelecida a partir da Medida Provisória nº. 2.200-2, de 24 de agosto de 2001, e é conhecida como Infra-Estrutura de Chaves Públicas Brasileira ou ICP-Brasil. 2.2.1 Certificados Oferecidos pela Infra-Estrutura de Chaves Públicas do Brasil (ICP-BRASIL) - A infra-estrutura de chaves públicas do Brasil oferece duas categorias de certificado digital: A e S. A categoria A é destinada à autenticação e identificação. A categoria S é destinada às atividades sigilosas. Essas categorias são divididas em quatro tipos, como descreve o site ALECRIM (2009): A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano; A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos; A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos; A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos. Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha. 2.2.2 Algoritmos criptográficos utilizados pela ICP-Brasil - Para que um documento eletrônico seja assinado digitalmente é necessária a utilização de dois algoritmos criptográficos: algoritmo de criptografia assimétrica e algoritmo criptográfico de função hash. A Infra-Estrutura de Chaves Públicas do Brasil (ICP-Brasil) adota os seguintes algoritmos criptográficos: RSA e SHA-1. Segundo GUELFI (2007, p.98):
    • 26 A ICP-Brasil, com o objetivo de assegurar a integridade dos documentos eletrônicos assinados digitalmente aponta por meio de atos normativos quais os algoritmos que deverão ser usados. (...) o certificado digital da Ac-Raiz é assinado com um algoritmo criptográfico RSA, utilizando-se do SHA-1 como algoritmo criptográfico de função hash. 2.2.2.1 Algoritmo de criptografia assimétrica RSA - Segundo explica SILVA (2006, p.20), o algoritmo de criptografia assimétrica RSA foi desenvolvido em 1978, por três professores do Instituto de Tecnologia de Massachusetts (MIT): Ronald Rivest, Adi Shamir e Leonard Adleman. As iniciais de seus criadores dão nome a este algoritmo, RSA. Considerado como um dos algoritmos mais seguros, funciona com a utilização de um par de chaves criptográficas, sendo uma delas pública e a outra privada. SILVA (2006, p.20) ainda ressalta: A impossibilidade de quebrar a chave de decodificação é possível pela não existência de algoritmos eficientes para a fatoração de inteiros em fatores primos, sobretudo, se o número de algarismos é 100 ou maior. O tempo de codificação de uma mensagem é praticamente, desprezível, mas o tempo de decodificação pode tornar o processo inviável. MARTINA (2005, p.5) destaca uma característica importante do algoritmo RSA: “Neste novo sistema temos a independência do uso das chaves nos processos de cifragem e decifragem, podendo assim, gerar as bases para um outro novo paradigma que é a assinatura digital de documentos”. 2.2.2.2 Algoritmo criptográfico de função hash SHA-1 - O algoritmo SHA-1 (Secure Hash Algorithm) foi criado pelo National Institute of Standards and Technology (Instituto Nacional de Padrões de Tecnologia)-NIST em 1994, sendo hoje considerado um
    • 27 algoritmo de função hash confiável e adotado pela Infra-Estrutura de chaves públicas do Brasil (ICP-Brasil). GUELFI (2007, p.102) explica a característica de funcionamento do algoritmo:“ Em linhas gerais, temos como entrada um arquivo qualquer em formato digital com um tamanho de até 280 bits, obtendo na saída um resumo criptográfico de 160 bits”. Neste modelo de algoritmo o resumo obtido possui tamanho fixo, porém não significa que o seu conteúdo será o mesmo. Quando informações digitais distintas aplicadas a um mesmo algoritmo hash obtêm o mesmo resumo, ocorre o que é chamado de Colisão. GUELF (2007, p.97) explica que a força de um algoritmo hash está no grau de dificuldade em ocorrer colisões. Para melhor entendimento, a figura 09 exemplifica a saída criptográfica do algoritmo SHA-1: FIGURA 09: Exemplo de um bloco hash gerado a partir de uma dada informação FONTE: GUELF (2007, p.97)
    • 28 Hipoteticamente, seria o mesmo que, na figura 09, depois da alteração da informação o resumo hash permanecesse o mesmo da informação anterior. GUELF (2007, p.102) vai mais além e alerta, que testes de segurança aplicado ao algoritmo SHA-1 demonstraram uma diminuição no tempo de quebra do algoritmo em 200 vezes, baixando sua força criptográfica de 280 para 263. Isso não gera um grau de perigo a ponto de seu uso ser inviável, porém demonstra que o algoritmo SHA-1 é vulnerável. Outro tipo de algoritmo de função hash deverá ser adotado na assinatura digital dos documentos eletrônicos em breve, pois segundo GUELF (2007, p.102): O NIST prevê que o SHA-1 será definitivamente abandonado em 2.012, conforme prevê a FIPS 9 180-2 do NIST. Com isso, a tecnologia deverá se preocupar em continuar a conferir força valorativa aos documentos eletrônicos assinados digitalmente com o SHA-1 como técnica de função hash. Existem variantes do SHA-1 como explica MARTINA (2005, p.4): “O NIST da Secretaria de Comércio dos Estados Unidos da América definiu uma família de variantes do SHA, entre elas, o SHA-256, SHA-384 e o SHA-512, com respectivamente, 256, 384 e 512 bits de saída”. A figura 10 demonstra as variantes do SHA-1: 9 FIPS- É um documento de publicação Federal de Padrões de Processamento de Informações emitido pelo NIST(National Institue of Standards and Technology)
    • 29 FIGURA 10: Tamanho de SHA FONTE: http://pt.wikipedia.org/wiki/SHA-1
    • 30 3. INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL ( ICP- Brasil) A Infra-estrutura de chaves públicas do Brasil foi instituída em 24 de agosto de 2001, pela Medida Provisória 10 (MP) 2.200-2. Essa MP foi uma resultante das necessidades da Casa Civil da Presidência da República na implantação do “Governo Eletrônico”, onde, necessitava-se assegurar e legalizar todas as atividades eletrônicas do governo, além de promover a inclusão digital da sociedade brasileira. Segundo GUELFI (2007, p.79): A implantação da ICP-Brasil teve natureza administrativa, tendo como objetos reais a emissão e distribuição de certificados digitais e seu controle de qualidade, além dos objetivos legais de assegurar autenticidade, integridade e validade jurídica aos documentos eletrônicos, como também as transações eletrônicas seguras, conforme descrito no artigo 1º da MP 2.200/01. No ponto de vista de SILVA et al (2008, p.79) a ICP-Brasil é definida como: “(...) um conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema criptográfico com base em certificados digitais. (...) com vistas a inserir maior segurança nas transações eletrônicas e incentivar a utilização da Internet como meio para realização de negócios”. Percebe-se que, além de gerir todo o sistema de chaves-públicas no Brasil, a ICP- Brasil comporta-se como uma terceira parte confiável, onde uma de suas principais funções é garantir que uma determinada chave pública pertença a uma pessoa, software ou computador, e que a (o) mesma (o) possui a chave privada correspondente. 10 Medida provisória (MP) é um ato unipessoal do presidente da República, com força de lei, sem a participação do Poder Legislativo, que somente será chamado a discuti-la e aprová-la em momento posterior. O pressuposto da MP é urgência e relevância.
    • 31 3.1 Garantias Oferecidas Pela ICP-Brasil Devido aos métodos e práticas necessárias para a obtenção de certificados digitais através da ICP-Brasil, são transmitidas aos titulares de certificados várias garantias, como descreve SILVA et al (2008, p.80): • O par de chaves criptográficas deve ser gerado sempre pelo próprio titular, uso e conhecimento; • Os documentos assinados com processo de certificação da ICP- Brasil possuem presunção de validade jurídica; • São utilizados padrões internacionais para os certificados, bem como algoritmos criptográficos e tamanhos de chaves que oferecem nível de segurança aceitável internacionalmente; • As instalações e procedimentos das entidades credenciadas possuem um nível pré-estabelecido da segurança física, lógica, de pessoal e procedimental em padrões internacionais; • As entidades componentes da ICP-Brasil são obrigadas a declarar em repositório público as práticas de segurança utilizadas em todos os seus processos; • As entidades estão sujeitas a uma auditoria prévia ao credenciamento, e auditorias anuais para manter-se credenciadas; • Os dados relativos aos certificados são mantidos por no mínimo trinta anos, para permitir comprovação e diminuir dúvidas sobre a assinatura de documentos, atendendo legislações específicas de guarda de documentos; • Todas as autoridades certificadoras são obrigadas a contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco; • É obrigatória a validação presencial dos titulares para obtenção de certificados. 3.2 A Estrutura da ICP-Brasil Em síntese GUELFI (2007,p.26) explica que a estrutura da ICP-Brasil é hierárquica, constituída de: um Comitê Gestor, um Comitê Técnico, uma Autoridade Certificadora Raiz, uma cadeia de Autoridades Certificadoras subsequentes e por uma cadeia de Autoridades de Registro.A figura 11 exemplifica a estrutura da ICP-Brasil:
    • 32 FIGURA 11: Estrutura da ICP-Brasil FONTE: SILVA et al (2008, p.82). 3.2.1 Comitê Gestor - Sua função é a de estabelecer normas, critérios e políticas para o credenciamento das Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e demais partes envolvidas na certificação digital. Possui também a função de auditar a Autoridade Certificadora Raiz. Segundo SILVA et al (2008, p.83) “Ele atualiza a ICP-Brasil, garante sua compatibilidade e promove a atualização tecnológica do sistema e sua conformidade com as políticas de segurança”. 3.2.2 Comitê Técnico (COTEC) - “presta suporte técnico e assistência ao Comitê Gestor, sendo responsável por manifestar-se, previamente, sobre as matérias apreciadas e decididas por este.” (SILVA et al, 2008, p.83). 3.2.3 Autoridade Certificadora Raiz – É a primeira Autoridade certificadora na hierarquia, cabendo a ela executar todos os critérios, normas e políticas aprovadas pelo Comitê Gestor. GUELFI (2007, p.29) explica que a autoridade Raiz é operada pelo Instituto Nacional de Tecnologia da Informação (ITI), sendo este, uma Autarquia11 Federal vinculada à Casa Civil da Presidência da República. 11 Autarquia - Serviço autônomo criado por lei, com personalidade jurídica de direito público, patrimônio e receita próprios, para executar atividades típicas da Administração Pública, que requeiram para seu melhor funcionamento gestão administrativa e financeira descentralizada.
    • 33 Em complemento SILVA et al (2008, p.84) destaca como outra função da Autoridade Certificadora Raiz: “(...) executar atividades de fiscalização e auditoria das Acs e das Ars e dos prestadores de serviço habilitados na ICP; em conformidade com as diretrizes e normas técnicas estabelecidas pelo comitê Gestor da ICP-Brasil”. 3.2.4 Autoridades Certificadoras (Acs) – São entidades credenciadas que emitem, expedem, distribuem, revogam, renovam, gerenciam os certificados e distribuem as Listas de certificados revogados (LCRs) a todos os usuários. No ponto de vista de GUELFI (2007, p.36): As Autoridades Certificadoras Subseqüentes desempenham uma atividade de certificação semelhante àquelas empenhada pela Autoridade Certificadora Raiz, à qual geralmente é ligada. A diferença encontra-se justamente no nível de aplicação. Sua atividade aplica-se a um nível hierárquico inferior, destinando-se ao usuário final. 3.2.5 Autoridades de Registro (ARs) – São entidades operacionais vinculadas a uma AC. Sua função é cadastrar e identificar os usuários de forma presencial, encaminhar a solicitação de certificados às Acs mantendo os registros de suas operações. MANZUTTI (2007, p.22) complementa: “Como exemplo de AR’s poderíamos citar a AR SERPRO e AR ANOREG (Associação dos Notários e Registradores do Brasil). As duas são subordinadas à AC SERPRO e algumas instituições financeiras subordinadas à SRF.” Segundo SILVA et al (2008, p.85), na estrutura da ICP-Brasil ainda encontram-se: • Prestador de Serviços de Suporte (PSS) - São empresas contratadas que disponibilizam infra-estrutura física e lógica e recursos humanos especializados; • Auditorias Independentes - são empresas especializadas contratadas pelas autoridades certificadoras para realizar auditorias nas entidades a elas subordinadas.
    • 34 • Titulares de Certificados – pessoas físicas ou jurídicas que podem ser titulares dos certificados digitais emitidos por uma das Acs da ICP-Brasil. Na tabela 02, demonstra-se uma visão macro dos componentes da ICP-Brasil: Tabela 02: Componentes da ICP-Brasil. FONTE: Bezerra (2008, p.36) Componente Papéis: Definir políticas, diretrizes, normas e regras operacionais. Normativo Características: regulador de atividades econômico produtivas, formulador Responsável: de políticas com poder de normalização (órgão sistêmico), fiscalização CG ICP-Brasil (auditoria) e poder de polícia (fazenda pública). Componente de Papéis: Realizar credenciamento, auditorias e certificação. Credenciamento Características: órgão credenciador, auditor e fiscalizador das políticas Responsável: diretrizes, normas e regras (regulamentos técnicos) definidos pelo CG. AC Raiz Componente Papéis: Fazer a expedição de certificados de chaves públicas e de selos Operacional digitais. Responsáveis: Características: Identificação, cadastramento e lançamento da base ACs e ARs operacional da ICP-Brasil 3.3 Diretório Público Utilizados pelas ACs como um meio de distribuição de certificados, o diretórios públicos são unidades de armazenamento, virtual, de certificados digitais, tanto de usuários finais quanto de Acs e das listas de certificados revogados (LCRs) destinados, de forma pública, à consulta e download do seu conteúdo. No ponto de vista de IGNACZAK (2002, p.8): O diretório público não necessita estabelecer uma conexão segura com o usuário no momento da busca e download de um certificado. O certificado é conferido através de sua assinatura digital. O diretório público deve, somente, possuir os dados atualizados, além de assegurar ao usuário bons mecanismos para manter seu nível de disponibilidade muito alto.
    • 35 3.3.1 LDAP (Lightweight Directory Access Protocol) – É um protocolo leve e flexível de acesso a banco de dados distribuídos. Trabalha com o protocolo TCP/IP 12 , o que o tornou um padrão para utilização na internet. BEZERRA (2008, p.33) explica que: “O LDAP foi projetado para permitir a unificação de diretórios, resolvendo os problemas decorrentes de sua proliferação pela rede”. Sua principal função é disponibilizar o acesso, de forma amigável, aos diretórios públicos. 3.4-Autoridades certificadoras de primeiro nível Na hierarquia ICP-Brasil, logo abaixo da Autoridade Certificadora Raiz, destacam- se as Autoridades Certificadoras de primeiro nível, que são: Serpro, Caixa Econômica Federal, Serasa, Secretaria da Receita Federal, Certisign, Imesp (Imprensa Oficial), Autoridade certificadora da Justiça (AC-JUS) e Presidência da Republica (ACPR). Devido à sua importância e relevância a tabela 03 as descreve: Tabela 03: Autoridades Certificadoras de Primeiro Nível FONTE: Azevedo et al (2009, p.49) Entidade Logo Observação O Serpro foi a primeira autoridade certificadora Serpro credenciada pela ICP-Brasil . E desde 1999, procura divulgar o uso dessa tecnologia para os vários segmentos com que trabalha. 12 TCP/IP é um conjunto de protocolos de comunicação entre computadores em rede (também chamado de pilha e protocolos TCP/IP). Seu nome vem de dois protocolos: o TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) e o IP (Internet Protocol - Protocolo de Interconexão).
    • 36 Entidade Logo Observação Para a Serasa, a tecnologia de certificação digital é o instrumento que viabiliza a inserção dos diversos agentes econômicos e cidadãos brasileiros em uma sociedade digital . Serasa A Serasa fornece a segurança dos certificados digitais pra quase todos os grupos financeiros participantes do Sistema de Pagamentos Brasileiro (SPB). A Receita Federal do Brasil (RFB) disponibiliza uma grande quantidade de serviços web, com o objetivo de simplificar ao máximo a vida dos contribuintes e facilitar o cumprimento espontâneo das Secretaria da Receita Federal obrigações tributárias. Por meio do Brasil do serviço Receita222, contribuinte de forma interativa, via internet,com uso de certificados digitais, garantindo a identificação inequívoca dos usuários Com o apoio da Certisign, empresa fundada em 1996 com foco exclusivamente no desenvolvimento de soluções de Certsign certificação digital para o mercado brasileiro, importantes instituições vêem adotando a tecnologia nas mais diversas formas. A Imprensa Oficial é a Autoridade Certificadora Oficial do Estado de São Paulo e está credenciada e preparada para oferecer produtos e serviços de certificação digital para os Imesp (Imprensa Oficial do poderes executivo, legislativo e Estado de São Paulo) judiciário, incluindo todas as esferas da administração pública, direta e indireta, nos âmbitos federal, estadual e municipal.
    • 37 Entidade Logo Observação A autoridade Certificadora da Justiça (AC-JUS) é Gerenciada por um Comitê Gestor que a partir de outubro de 2005 é composto por representantes do STF, STJ, TST, TSE, STM, CNJ, CJF,e o CSJT. Trata-se da primeira autoridade certificadora do Poder Judiciário JUS (Autoridade Certificadora no mundo. Sua Implementação da Justiça possibilitou a definição de regras e perfis de certificados, específicos para aplicações do Judiciário e resulta da necessidade crescente de transpor a mesma credibilidade e segurança existentes hoje no “mundo do papel” para o “mundo digital” A autoridade Certificadora da Presidência da República -ACPR foi criada em abril de 2002, por uma iniciativa da Casa Civil, no âmbito do governo eletrônico (e-Gov) e tem como objetivo Presidência da República emitir e gerir certificados digitais das autoridades da Presidência da República, ministros de estado, secretários-executivos e assessores jurídicos que se relacionem a PR.
    • 38 A figura 12 demonstra a estrutura completa da ICP-Brasil : FIGURA 12: Estrutura ICP-Brasil FONTE:http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_completa.pd f 3.5 Auditoria na ICP-Brasil As auditorias realizadas na ICP-Brasil visam garantir a qualidade, segurança e a credibilidade de todo o procedimento de certificação digital brasileiro. Para SILVA et al (2008, p.107): “As auditorias tem contribuído para manter a qualidade dos serviço e processos realizados na ICP-Brasil e mesmo para melhorar os patamares de atuação.” Os critérios e procedimentos das auditorias realizadas nas entidades da ICP-Brasil são definidos pela Resolução n.º 44 do ITI de 18 de abril de 2006. SILVA et al (2008, p.99) explica que esta Resolução classifica as auditorias em dois tipos: Pré-operacional e Operacional. A auditoria Pré-operacional ocorre antes do credenciamento na ICP-Brasil, já a auditoria Operacional é
    • 39 realizada no mínimo uma vez por ano, em entidades já credenciadas. O objetivo deste tipo de auditoria é poder verificar se os requisitos, critérios, políticas de segurança e operação continuam em concordância com os exigidos para o credenciamento. Assim é possível avaliar se a entidade auditada ainda possui as características necessárias para continuar sendo reconhecida como credenciada. Ainda com base na Resolução nº. 44 do ITI, a tabela 04 demonstra quais entidades podem executar as auditorias: Tabela 04: Executores de auditoria nas entidades da ICP-Brasil FONTE: Silva et al (2008, p.101) ENTIDADE EXECUTOR DA AUDITORIA Pré-Operacional Operacional AC Raiz Comitê Gestor da ICP-Brasil ou Comitê Gestor da ICP-Brasil. ou seus prepostos seus prepostos. AC de 1º nível AC Raiz AC Raiz. AC de 2º nível AC Raiz Empresa de auditoria independente cadastrada junto à ICP-Brasil. AR Empresa de auditoria independente AC à qual a AR se vincula ou cadastrada junto à ICP-Brasil auditoria interna da AR cadastrada junto à ICP-Brasil ou empresa de auditoria independente cadastrada junto à ICP-Brasil . AR no Exterior AC Raiz ou, a seu critério, empresa AC Raiz ou, a seu critério, empresa de auditoria independente de auditoria independente cadastrada junto a ICP-Brasil . cadastrada junto a ICP-Brasil . PSS Empresa de auditoria independente AC à qual o PSS se vincula ou cadastrada junto à ICP-Brasil empresa de auditoria independente junto a ICP-Brasil . 3.5.1 Etapas de uma Auditoria - SILVA et al (2008, p.101) ainda explica as etapas de uma auditoria, seja ela, pré-operacional ou operacional, quer seja realizada em AC, AR ou prestador de suporte: • Análise dos documentos obrigatórios; • Análise de documentos complementares; • Planejamento dos testes; • Auditoria de campo;
    • 40 • Encerramento e acompanhamento; • Itens verificados durante a auditoria. 3.5.2 Auditoria Pré-operacional - Segundo SILVA et al (2008, p.102) uma auditoria pré-operacional de uma Autoridade certificadora e Autoridade de Registro têm por obrigatoriedade verificar todos os itens de segurança, procedimentos constantes das resoluções, Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC) e Política de Segurança (PS). Podendo ser agrupados em sete áreas: 1. Segurança de pessoal; 2. Segurança física; 3. Segurança lógica; 4. Segurança de rede; 5. Segurança da informação; 6. Gerenciamento de chaves criptográficas e do certificado da própria AC; 7. Gerenciamento do ciclo de vida dos certificados. As auditorias realizadas devem ser capazes de identificar e não permitir a existência de problemas graves, como exemplifica SILVA et al (2008, p.107): • Utilização de sala-cofre sem os requisitos de estanquiedade (segurança) necessários; • Manutenção de bases de dados corrompidas; • Não utilização de VPN (rede privada virtual) para proteger o tráfego de dados para o servidor da AC; • Alocação de pessoas despreparadas para executar a tarefa de Agentes de Registro; • Não verificação da vulnerabilidade dos servidores, tendo em decorrência, sistemas desatualizados e com graves falhas de segurança; • Não realização de análise dos arquivos de logs (registro) de eventos críticos; • Perda de imagens dos ambientes pela falta de troca das fitas de vídeo em tempo hábil; • Emissão de certificados a titulares sem a respectiva documentação.
    • 41 3.5.3 Auditoria Operacional – Verificam-se todos os itens da auditoria Pré- Operacional, porém acrescentando a análise de registros e eventos já realizados: • ACs: Certificados emitidos, revogados, logs de acessos ao ambiente físico e lógico; • ARs: Certificados emitidos, qualidade dos processos de identificação e validação dos solicitantes de certificados.
    • 42 4. BENEFÍCIOS DA CERTIFICAÇÃO DIGITAL À SOCIEDADE DA INFORMAÇÃO BRASILEIRA A utilização da certificação digital garante às pessoas, empresas, softwares ou computadores uma maior segurança nas suas atividades no meio digital. Garantindo a integridade, autenticidade, confidencialidade, disponibilidade e não-repúdio das informações disponibilizadas, conforme explicado nos capítulos anteriores. O presente capítulo tem por objetivo demonstrar os benefícios transmitidos à sociedade da informação com a utilização da tecnologia em questão. Tal demonstração será realizada através do exemplo de dois projetos: ICP-EDU e o SPED. Sendo o primeiro, vinculado à área acadêmica e o segundo vinculado à área Fiscal. 4.1 Sistema de Gerenciamento de Certificados ICP-EDU (SGCI) - É um projeto pioneiro no país, tem como objetivo implantar todas as técnicas de segurança digital através da utilização de certificados digitais no ambiente acadêmico, apresentando os mesmos benefícios disponibilizados pela técnica de certificação digital comercial, porém de forma gratuita. Outro objetivo, não menos importante, do projeto é unificar e interligar as diversas infra-estruturas de chaves públicas (ICP) de diferentes universidades, encontradas no meio acadêmico através de uma única autoridade certificadora, conhecida como AC Raiz da ICP- EDU. FRIEDRICH (2008, p.10) explica que em 2003 a Rede Nacional de Ensino e Pesquisa (RPN) lançou uma chamada pública de projetos buscando atender às necessidades de segurança digital no âmbito acadêmico. O projeto vencedor foi o GT ICP-EDU, desenvolvido em cooperação de algumas Universidades Brasileiras, como: Universidade Federal de Minas Gerais (UFMG), a Universidade Federal de Santa Catarina (UFSC) e a
    • 43 Universidade Estadual de Campinas (Unicamp). Esta tecnologia funciona como uma grande aliada tanto para as Universidades quanto para seus usuários, pois o meio acadêmico possui um tráfego digital de informações importantes, tais como: históricos escolares, resultados de pesquisas, notas de provas, informações financeiras, informações médicas, etc. 4.1.1 Estrutura do SGCI - Segundo FRIEDRICH (2008, p.20), a estrutura SGCI é dividida em três partes: Sistema Gestor, Módulo Público e Diretório Público. • Sistema Gestor: Possui todas as funções características da infra-estrutura de chaves públicas (ICP), tais como criação e gerenciamento de Autoridades Certificadoras e Autoridade de Registro. • Módulo Público: Serve de canal para os usuários finais realizarem a solicitação do certificado digital junto ao operador responsável pela verificação dos dados. • Diretório Público: Funciona como um repositório para os certificados digitais e também para as Listas de Certificados Digitais (LCRs). A figura 13 demonstra a estrutura do SGCI: FIGURA 13 – Estrutura do SGCI FONTE: Friedrich (2008, p.20)
    • 44 A figura 14 demonstra um exemplo de certificado digital: FIGURA 14: Exemplo de Certificado Digital FONTE: Friedrich (2008, p.15) 4.1.2 Modulo de Hardware Seguro – Desenvolvido pela Rede Nacional de Ensino e Pesquisa (RNP) o Módulo de Hardware Seguro ou Hardware Secure Module (HSM), funciona como um cofre de chaves privadas para uma AC e também como meio de transmissão dados de forma segura. FRIEDRICH (2008, p. 22) complementa sua definição: Ele é um protótipo que, além de atuar como acelerador criptográfico, podendo chegar a realizar centenas de assinaturas por segundo com a chave privada que protege, possui a finalidade de propiciar uma transmissão de dados realmente segura para sistemas de gerenciamento de certificados, isto é, possibilita a gestão segura do ciclo de vida de chaves privadas.
    • 45 A figura 15 é uma imagem de um HSM: FIGURA 15 – Modulo de Hardware Seguro FONTE: Friedrich (2008, p.23) 4.1.3 AC Correio – A AC - Correio tem com função emitir certificados digitais para a utilização em correios eletrônicos. Esta entidade acelera a emissão de certificados, pois ela se baseia na seguinte idéia: certificado solicitado, certificado emitido. Percebe-se que, com a prática desta idéia, os dados do usuário não sofrem verificação alguma. FRIEDRICH (2008, p.28) explica que isso é perfeitamente possível de se realizar sem que se comprometa a estrutura de segurança, pois para que um pessoa possua o e-mail disponibilizado pela universidade, seus dados são verificados de antemão pela mesma. 4.1.4 Benefícios da utilização da ICP-EDU - Segundo FRIEDRICH (2008, p.42) com a utilização do SGCI (ICP-EDU) no ambiente acadêmico, concluem-se os seguintes benefícios:
    • 46 • Otimização de processos, maior disponibilidade de serviços, menor burocracia, maior segurança; • Redução de custos através da desmaterialização de documentos de papel, tornando-os digitais, além de maior agilidade no trâmite dos mesmos; • Todos os benefícios da certificação digital acadêmica são transferidos às universidades de forma gratuita, sem a necessidade de recorrer à instituições privadas , através deste projeto. 4.2 Projeto SPED (Sistema Público de Escrituração Digital) Devido ao avanço tecnológico e a certificação digital, foi possível a realização de mudanças expressivas no fisco brasileiro. Tais mudanças, permitiram o envio de informações tributárias e fiscais por meio eletrônico, de forma segura e rápida aos órgãos fiscalizadores, minimizando assim, o tempo e recursos despendidos nos processos fiscalizatórios. AZEVEDO et al (2009, p. 37) explica: O projeto SPED (Sistema Público de Escrituração Digital) pretende alterar a forma de cumprimento das obrigações acessórias realizadas pelos contribuintes, substituindo a emissão de livros e documentos contábeis e fiscais em papel por documentos eletrônicos, cuja autoria, integridade e validade jurídica é reconhecida pelo uso da certificação digital. 4.2.1 Os principais objetivos do projeto SPED • Promover atuação Integrada dos Fiscos; • Racionalizar as obrigações acessórias para os Contribuintes; • Tornar mais célere 13 a identificação de ilícitos tributários. 13 Célere- adj m+f (lat celere) Ligeiro, veloz. Sup abs sint: celeríssimo ou celérrimo. Antôn: lento, moroso.
    • 47 4.2.1.1 O objetivo de promover atuação Integrada dos Fiscos – A falta de padronização das informações solicitadas em diversas linguagens pelas esferas dos governos Federal, Estadual e Municipal, faz com que os contribuintes sofram com a diversidade de obrigações acessórias e a forma de entrega aos órgãos fiscalizadores correspondentes. Em AZEVEDO et al (2009, p.38) percebe-se que: “As diversas esferas de governo (...) mantendo um sistema que obriga as empresas a manter arquivos diversos, com informações repetidas (...) muitas vezes não surtem efeito desejado à fiscalização”. Em virtude disso, o projeto SPED propõem a padronização das informações solicitadas pelas esferas governamentais, possibilitando o armazenamento destas em uma única base de dados, melhorando assim, a capacidade de fazer cruzamentos de informações e padronizando o arquivo onde o contribuinte cumpre com suas obrigações acessórias. 4.2.1.2 O objetivo de racionalizar e uniformizar as obrigações acessórias para os contribuintes – O SPED possibilita a entrega de uma única obrigação acessória ao contrário do que é feito hoje, onde várias obrigações são entregues. Os Fiscos interessados acessarão a mesma base de dados, porém, respeitando e mantendo o sigilo garantido na Constituição Federal. AZEVEDO et al (2009, p. 39) explica que: (...) o contribuinte terá uma simplificação de suas obrigações acessórias facilitando e racionalizando suas informações. Porém, essa simplificação não será uma diminuição das informações solicitadas, mas somente a diminuição da quantidade de declarações entregues. 4.2.1.3 O objetivo de tornar mais célere a identificação de ilícitos tributários - O fato de possuir apenas uma base de dados, com layouts estruturados, acelera o cruzamento de informações entregues pelos contribuintes. AZEVEDO et al (2009, p.40) explica que”. Nessa sistemática digital, o Fisco pode fazer a checagem dos dados enviados pelas empresas, uma
    • 48 vez que a venda (saída) de uma empresa representa a compra (entrada) de outra”. Esta operação é feita de forma eletrônica o que transparece com maior eficiência os ilícitos, dificulta e muito, a sonegação fiscal e permite ao fisco realizar checagens, identificar irregularidades e lavrar autos de infração em temo quase real. 4.2.2 A Estrutura do Sistema Público de Escrituração Digital (SPED) – Sistema Público de Escrituração Digital se divide em três subprojetos: a ECD – Escrituração Contábil Digital; a EFD – Escrituração Fiscal Digital; e, a NF-e –Nota Fiscal Eletrônica. AZEVEDO et al (2009, p. 40) deixa claro que: “(...) cada projeto tem estrutura e andamento próprios, ocorrendo apenas a interligação entre eles, para não fugir da sua premissa principal que é a integração das informações;” A figura 16 demonstra a Estrutura do SPED: FIGURA 16: Estrutura do SPED FONTE: AZEVEDO et al (2009, p. 41) 4.2.3. Escrituração Contábil Digital (ECD) – O SPED Contábil visa à substituição da emissão de livros contábeis (diário e razão) pela sua existência apenas digital.
    • 49 4.2.4. Escrituração Fiscal Digital (EFD) – O SPED Fiscal objetiva a substituição da emissão de livros fiscais em papel pela sua existência digital. AZEVEDO et al (2009, p.41) explica que na primeira fase do projeto está previsto a entrega dos seguintes livros em forma digital: a) Registro de Entradas; b) Registro de Saídas; c) Registro de Apuração do ICMS; d) Registro de Apuração do IPI; e) Registro de Inventário; 4.2.5 Nota Fiscal eletrônica (NFe ) – No ponto de vista de AZEVEDO et al (2009, p. 75): A Nota Fiscal eletrônica (NF-e) pode ser conceituada como sendo um documento de existência exclusivamente digital, emitido e armazenado eletronicamente, com o intuito de documentar uma operação de circulação de mercadorias ou prestação de serviços, cuja validade jurídica é garantida pela assinatura digital do emitente e a Autorização de Uso fornecida pela administração tributária do domicílio do contribuinte. AZEVEDO et al (2009, p.75) ainda explica que os objetivos que o projeto busca são: • Implantação de um modelo nacional de documento fiscal eletrônico; • Substituição da sistemática atual do documento em papel; • Fortalecimento do controle e fiscalização; • Simplificação de obrigações acessórios do contribuinte; • Permissão para o controle em temo real das operações comerciais pelo fisco; 4.2.5.1 Forma de Credenciamento - Para que o contribuinte possa emitir a NF-e, é necessário que o mesmo esteja credenciado à Sefaz da unidade Federal onde estiver inscrito.
    • 50 Este credenciamento pode ser feito de maneira voluntária, quando o contribuinte se manifesta, ou de ofício, quando é feito pela Sefaz independente da manifestação do contribuinte. AZEVEDO et al (2009, p.64) explica que o credenciamento é feito no site nacional da NF-e www.nfe.fazenda.gov.br, onde o contribuinte encontrará os links das Unidades da Federação, com as informações a respeito, exceto os estados do Amapá e Roraima. No caso dos contribuintes do estado do Amapá, o mesmo pode obter informações no link http://www.sefa.ap.gov.br/download/MANUAL_CREDNCIAMENTO_AP_1.0.pdf. Para os contribuintes de Roraima, as informações podem ser requeridas pelo e-mail: nfe@sefaz.rr.gov. 4.2.5.2 Processamento da NF-e – AZEVEDO et al (2009, p.88) explica de forma simplificada os passos do processamento da NF-e : a) A empresa emissora de NF-e gera um arquivo eletrônico contento as informações fiscais da operação comercial e a assina digitalmente, de maneira a garantir a integridade dos dados e a autoria do emissor. b) O arquivo eletrônico, que corresponderá a Nota Fiscal Eletrônica (NF- e), será transmitido pela internet para a Secretaria da Fazenda de jurisdição do contribuinte; c) A Sefaz recebe o arquivo e devolve um protocolo de recebimento; d) A Sefaz faz uma pré-validação do arquivo verificando a validade da assinatura digital, a consistência do esquema XML, se o emitente está regular perante o Fisco e se não há duplicidade de número e série do documento fiscal; e) Autorizado o uso da NF-e, a Sefaz devolverá um protocolo de Autorização de Uso, sem o qual não poderá haver o transito da mercadoria; f) A sefaz enviará o arquivo à Secretaria Receita Federal, que será repositório nacional de todas as NF-e emitidas (Ambiente Nacional). g) A receita Federal no caso de operação interestadual enviará para a Secretaria de Fazenda de destino da operação e Suframa 14 , no caso de mercadorias destinadas às áreas incentivadas; h) Com a autorização de uso, a mercadoria pode ser transportada para o destino, circulando com a Danfe (Documento Auxiliar da Nota Fiscal eletrônica); 14 Suframa - Superintendência da Zona Franca de Manaus é uma autarquia vinculada ao Ministério do Desenvolvimento, Indústria e Comércio Exterior que administra a Zona Franca de Manaus - ZFM, com a responsabilidade de construir um modelo de desenvolvimento regional que utilize de forma sustentável os recursos naturais, assegurando viabilidade econômica e melhoria da qualidade de vida das populações locais.
    • 51 i) Receberá a mercadoria, o destinatário deve escriturar a NF-e, conforme arquivo enviando pela emitente ou pela Danfe, se o destinatário não estiver obrigado a emitir 100% de NF-e. A figura 17 demonstra o processamento da Nota Fiscal eletrônica: FIGURA 17: Processamento da Nota Fiscal FONTE: http://www.sefaz.ma.gov.br/nfe/descricao_arquivos/image005.gif 4.2.5.3 Benefícios do Projeto NF-e – O projeto Nota Fiscal eletrônica implica em mudanças na emissão e gestão das informações fiscais, trocando a cultura de documentos em papel pela cultura de documentos no formato digital, gerando benefícios para os contribuintes e para as administrações tributárias. O portal da Nota Fiscal Eletrônica 15 destaca tais benefícios do Projeto: Benefícios para o Contribuinte Vendedor (Emissor da NF-e) • Redução de custos de impressão; • Redução de custos de aquisição de papel; 15 Portal da Nota Fiscal Eletrônica- http://www.nfe.fazenda.gov.br/portal/Default.aspx , acessado em: 10 de novembro de 2009
    • 52 • Redução de custos de envio do documento fiscal; • Redução de custos de armazenagem de documentos fiscais; • Simplificação de obrigações acessórias, como dispensa de AIDF; • Redução de tempo de parada de caminhões em Postos Fiscais de Fronteira; • Incentivo a uso de relacionamentos eletrônicos com clientes (B2B 16 ); Benefícios para o Contribuinte Comprador (Receptor da NF-e) • Eliminação de digitação de notas fiscais na recepção de mercadorias; • Planejamento de logística de entrega pela recepção antecipada da informação da NF-e; • Redução de erros de escrituração devido a erros de digitação de notas fiscais; • Incentivo ao uso de relacionamentos eletrônicos com fornecedores (B2B); Benefícios para a Sociedade • Redução do consumo de papel, com impacto positivo no meio ambiente; • Incentivo ao comércio eletrônico e ao uso de novas tecnologias; • Padronização dos relacionamentos eletrônicos entre empresas; • Surgimento de oportunidades de negócios e empregos na prestação de serviços ligados à Nota Fiscal Eletrônica. Benefícios para as Administrações Tributárias • Aumento na confiabilidade da Nota Fiscal; • Melhoria no processo de controle fiscal, possibilitando um melhor intercâmbio e compartilhamento de informações entre os fiscos; • Redução de custos no processo de controle das notas fiscais capturadas pela fiscalização de mercadorias em trânsito; • Diminuição da sonegação e aumento da arrecadação; • Suporte aos projetos de escrituração eletrônica contábil e fiscal da Secretaria da RFB (Sistema Público de Escrituração Digital – SPED). 4.3 Conclusões finais - Graças ao avanço da tecnologia, principalmente, a certificação digital, o meio virtual pode ser utilizado de forma mais abrangente e segura, criando inúmeros benefícios para a sociedade, em particular a brasileira. 16 Business to Business - B2B é o nome dado ao comércio eletrónico associado a operações de compra e venda, de informações, de produtos e de serviços através da Internet ou através da utilização de redes privadas.
    • 53 Como foi descrito no presente capítulo, o projeto ICP-EDU institui o conceito da Certificação Acadêmica. Observa-se que, a partir desta iniciativa, a sociedade acadêmica adquiriu benefícios importantes, tais como: Segurança da informação, a utilização de documentos digitais, diminuindo os custos com papel, impressão e meios de armazenamento. A importante unificação e interligação das várias ICPs de diversas Universidades, através de uma ICP principal, conhecida como ICP-Raiz da ICP-EDU. Garantindo que um certificado digital de uma universidade continue sendo válido em outra universidade distinta. Ainda valendo ressaltar que, por se tratar de uma Certificação acadêmica, tais benefícios são disponibilizados de forma gratuita, sem necessidade da intervenção de uma entidade certificadora comercial. O projeto SPED, também apresentado no atual capítulo, beneficia toda a sociedade fiscal, sendo ele constituído de entidades fiscalizadoras e contribuintes. Valendo-se das práticas de certificação digital, tornou-se possível a utilização de documentos digitais, ao invés de documentos de papel. O projeto conseguiu unificar e padronizar as três esferas governamentais: Federal, Estadual e Municipal. Garantindo ao contribuinte uma simplificação e padronização das obrigações acessórias. Percebe-se também que, ao conseguir unificar as informações em uma única base de dados, as consultas e cruzamentos de informações ficaram mais ágeis e precisas, dificultando, e muito, a sonegação fiscal. Nota-se que, com a implantação da NF-e, houve uma melhora na credibilidade da nota fiscal. Seguida de uma gerência mais precisa, rápida e menos custosa, tanto para o fisco brasileiro, quanto para o contribuinte.
    • 54 CONCLUSÃO Com a utilização crescente do meio digital de forma mais abrangente pela sociedade é necessário que se instale uma tecnologia de segurança eficiente. A certificação digital se mostrou como uma ferramenta de segurança capaz de garantir os atributos de segurança: confidencialidade, integridade e autoridade. Percebe-se o quanto é importante o papel da ICP-Brasil. Sua existência garante às práticas envolvendo certificados digitais uma terceira parte de confiança, garantindo que de fato um certificado é de uma determinada entidade. Garantindo também a viabilidade da validade jurídica do documento digital. É possível concluir em relação aos projetos ICP-EDU e o SPED, que a certificação digital não gerou apenas benefícios de segurança, mas também inúmeros benefícios ligados a redução de custos, agilidade nos procedimentos realizados, maior eficiência na gerência da informação e, principalmente, um avanço tecnológico para o país e uma maior inclusão digital da sociedade brasileira.
    • 55 REFERÊNCIAS BIBLIOGRÁFICAS ALECRIM, Emerson. Entendendo a Certificação Digital. Disponível em: <http://www.infowester.com/assincertdigital.php>. Acesso em: 12 set. 2009. AZEVEDO, Osmar Reis; MARIANO, Paulo Antonio. Sped - Sistema Público de Escrituraçao Digital. 1º São Paulo: Iob, 2009. BRASIL. Receita Federal. Ministério da Fazenda. Portal da Nota Fiscal Eletrônica. Disponível em: <http://www.nfe.fazenda.gov.br/portal/beneficios.aspx>. Acesso em: 17 set. 2009. BEZERRA, Marcos Antonio De Souza. Certificação Digital Utilização em Aplicações Web. 2008. 66 f. Monografia (Bacharelado) - Instituto de Educação Superior da Paraíba, João Pessoa, 2008. EID, Nayene Leocádia Manzutti. AVALIAÇÃO DO CONHECIMENTO E UTILIZAÇÃO DA CERTIFICAÇÃO DIGITAL EM CLÍNICAS DE RADIOLOGIA ODONTOLÓGICA. 2007. 73 f. Dissertação (Mestrado) - Universidade Estadual de Campinas, Piracicaba, 2007. FRIEDRICH, Diego Mostardeiro. ICP-UFSM: INFRA-ESTRUTURA DE CHAVES PÚBLICAS PARA A UNIVERSIDADE FEDERAL DE SANTA MARIA. 2008. 44 f. Monografia (Bacharelado) - Universidade Estadual de Campinas, Santa Maria, 2007. GUELFI, Airton Roberto. ANÁLISE DE ELEMENTOS JURÍDICO-TECNOLÓGICOS QUE COMPÕEM A ASSINATURA DIGITAL CERTIFICADA DIGITALMENTE PELA INFRA-ESTRUTURA DE CHAVES PÚBLICAS DO BRASIL - ICP-BRASIL. 2007. 135 f. Dissertação (Mestrado) - Escola Politécnica da Universidade de São Paulo, São Paulo, 2007. IGNACZAK, Luciano. Um Novo Modelo de Infra-estrutura de Chaves Públicas para Uso no Brasil Utilizando Aplicativos como Código Fonte Aberto. 2002. 125 f. Mestrado (Mestre em Ciências da Computação) - Universidade Federal de Santa Catarina, Florianópolis, 2002. LAUREANO, Marcos Aurelio Pchek; MORAES, Paulo Eduardo Sobreira. Segurança como estratégia de gestão da informação. Economia & Tecnologia, Paraíba, v. 3, n. 8, p.38-44, 10 jun. 2005. Disponível em: <http://www.mlaureano.org/projects/seguranca/economia_tecnologia_seguranca.pdf>. Acesso em: 20 set. 2009. MARTINA, Jean Everson. Projeto de um Provedor de Serviços Criptográficos Embarcado para Infra-estrutura de Chaves Públicas e suas Aplicações. 2005. 167 f. Dissertação (Mestrado) - Universidade Federal de Santa Catarina, Florianópolis, 2005. SILVA, Luiz Gustavo Cordeiro da et al. Certificação Digital - Conceitos e Aplicações: Modelos Brasileiro e Autraliano. Rio de Janeiro: Ciência Moderna, 2008.
    • 56 SOARES, Luiz Fernando Gomes; LEMOS, Guido; COLCHER, Sérgio. Redes de Computadores: das Lans, Mans e Wans às redes ATM. 2º Rio de Janeiro: Elsevier, 1995. 705 p. TANENBAUM, Andrew S. Redes de Computadores / Andrew S. Tanenbaum. 4º Rio de Janeiro: Elsevier, 2003.