Assinatura e Certificação Digital

Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto, estas transações eletrônicas necessitam da adoção de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade às informações eletrônicas. A certificação digital é a tecnologia que provê estes mecanismos.

Certificado Digital

No cerne da certificação digital está o certificado digital, um documento eletrônico que contém o nome, um número público exclusivo denominado chave pública e muitos outros dados que mostram quem somos para as pessoas e para os sistemas de informação. A chave pública serve para validar uma assinatura realizada em documentos eletrônicos.

A certificação digital tem trazido inúmeros benefícios para os cidadãos e para as instituições que a adotam. Com a certificação digital é possível utilizar a Internet como meio de comunicação alternativo para a disponibilização de diversos serviços com uma maior agilidade, facilidade de acesso e substancial redução de custos. A tecnologia da certificação digital foi desenvolvida graças aos avanços da criptografia nos últimos 30 anos.

Criptografia

A palavra criptografia tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, ou seja, obter a informação original a partir do texto cifrado, chama-se decifragem.

A cifragem e a decifragem são realizadas por programas de computador chamados de cifradores e decifradores. Um programa cifrador ou decifrador, além de receber a informação a ser cifrada ou decifrada, recebe um número chave que é utilizado para definir como o programa irá se comportar. Os cifradores e decifradores se comportam de maneira diferente para cada valor da chave. Sem o conhecimento da chave correta não é possível decifrar um dado texto cifrado. Assim, para manter uma informação secreta, basta cifrar a informação e manter em sigilo a chave.

Atualmente existem dois tipos de criptografia: a simétrica e a de chave pública. A criptografia simétrica realiza a cifragem e a decifragem de uma informação através de algoritmos que utilizam a mesma chave, garantindo sigilo na transmissão e armazenamento de dados. Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre quem cifra e quem decifra os dados. O processo de compartilhar uma chave é conhecido como troca de chaves. A troca de chaves deve ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informação cifrada ou mesmo reproduzir uma informação cifrada.

Os algoritmos de chave pública operam com duas chaves distintas: chave privada e chave pública. Essas chaves são geradas simultaneamente e são relacionadas entre si, o que possibilita que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida por quem gerou as chaves. A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.

Algoritmos Criptográficos de Chave Pública

Os algoritmos criptográficos de chave pública permitem garantir tanto a confidencialidade quanto a autenticidade das informações por eles protegidas.

Confidencialidade

O emissor que deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar a informação. Para isto é importante que o destinatário disponibilize sua chave pública, utilizando, por exemplo, diretórios públicos acessíveis pela Internet.

Confidencialidade

Confidencialidade

O sigilo é garantido, já que somente o destinatário que possui a chave privada conseguirá desfazer a operação de cifragem, ou seja, decifrar e recuperar as informações originais. Por exemplo, para Alice compartilhar uma informação de forma secreta com Beto, ela deve cifrar a informação usando a chave pública de Beto. Somente Beto pode decifrar a informação pois somente Beto possui a chave privada correspondente.

Autenticidade

No processo de autenticação, as chaves são aplicadas no sentido inverso ao da confidencialidade. O autor de um documento utiliza sua chave privada para cifrá-lo de modo a garantir a autoria em um documento ou a identificação em uma transação. Esse resultado só é obtido porque a chave privada é conhecida exclusivamente por seu proprietário.

Autenticidade

Autenticidade

 

Assim, se Alice cifrar uma informação com sua chave privada e enviar para Beto, ele poderá decifrar esta informação pois tem acesso à chave pública de Alice. Além disto, qualquer pessoa poderá decifrar a informação, uma vez que todos conhecem a chave pública de Alice. Por outro lado, o fato de ser necessário o uso da chave privada de Alice para produzir o texto cifrado caracteriza uma operação que somente Alice tem condições de realizar.

Assinatura Digital

O mesmo método de autenticação dos algoritmos de criptografia de chave pública operando em conjunto com uma função resumo, também conhecido como função de hash, é chamada de assinatura digital.

O resumo criptográfico é o resultado retornado por uma função de hash. Este pode ser comparado a uma impressão digital, pois cada documento possui um valor único de resumo e até mesmo uma pequena alteração no documento, como a inserção de um espaço em branco, resulta em um resumo completamente diferente.

Assinatura Digital

Assinatura Digital

A vantagem da utilização de resumos criptográficos no processo de autenticação é o aumento de desempenho, pois os algoritmos de criptografia assimétrica são muito lentos. A submissão de resumos criptográficos ao processo de cifragem com a chave privada reduz o tempo de operação para gerar uma assinatura por serem os resumos, em geral, muito menores que o documento em si. Assim, consomem um tempo baixo e uniforme, independente do tamanho do documento a ser assinado.

Na assinatura digital, o documento não sofre qualquer alteração e o hash cifrado com a chave privada é anexado ao documento.

Conferência de Assinatura Digital

Conferência de Assinatura Digital

Para comprovar uma assinatura digital é necessário inicialmente realizar duas operações: calcular o resumo criptográfico do documento e decifrar a assinatura com a chave pública do signatário. Se forem iguais, a assinatura está correta, o que significa que foi gerada pela chave privada corresponde à chave pública utilizada na verificação e que o documento está íntegro. Caso sejam diferentes, a assinatura está incorreta, o que significa que pode ter havido alterações no documento ou na assinatura pública.

Certificado Digital

O certificado digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas num certificado digital são o que possibilita colocá-lo em repositórios públicos.

Um Certificado Digital normalmente apresenta as seguintes informações:

  • nome da pessoa ou entidade a ser associada à chave pública;
  • período de validade do certificado;
  • chave pública;
  • nome e assinatura da entidade que assinou o certificado;
  • número de série.

Um exemplo comum do uso de certificados digitais é o serviço bancário provido via Internet. Os bancos possuem certificado para autenticar-se perante o cliente, assegurando que o acesso está realmente ocorrendo com o servidor do banco. E o cliente, ao solicitar um serviço, como por exemplo, acesso ao saldo da conta corrente, pode utilizar o seu certificado para autenticar-se perante o banco.

Serviços governamentais também têm sido implantados para suportar transações eletrônicas utilizando certificação digital, visando proporcionar aos cidadãos benefícios como agilidade nas transações, redução da burocracia, redução de custos, satisfação do usuário, entre outros. Alguns destes casos de uso são:

GOVERNO FEDERAL: o Presidente da República e Ministros têm utilizado certificados digitais na tramitação eletrônica de documentos oficiais, que serão publicados no Diário Oficial da União. Um sistema faz o controle do fluxo dos documentos de forma automática, desde a origem dos mesmos até sua publicação e arquivamento.

Por que confiar em um Certificado Digital?

Entre os campos obrigatórios do certificado digital encontra-se a identificação e a assinatura da entidade que o emitiu, os quais permitem verificar a autenticidade e a integridade do certificado. A entidade emissora é chamada de Autoridade Certificadora ou simplesmente AC. A AC é o principal componente de uma Infra-Estrutura de Chaves Públicas e é responsável pela emissão dos certificados digitais. O usuário de um certificado digital precisa confiar na AC.

Hierarquia das Autoridades Certificadoras

Hierarquia das Autoridades Certificadoras

A escolha de confiar em uma AC é similar ao que ocorre em transações convencionais, que não se utilizam do meio eletrônico. Por exemplo, uma empresa que vende parcelado aceita determinados documentos para identificar o comprador antes de efetuar a transação. Estes documentos normalmente são emitidos pela Secretaria de Segurança de Pública e pela Secretaria da Receita Federal, como o RG e o CPF. Existe, aí, uma relação de confiança já estabelecida com esses órgãos. Da mesma forma, os usuários podem escolher uma AC à qual desejam confiar a emissão de seus certificados digitais.

Para a emissão dos certificados, as ACs possuem deveres e obrigações que são descritos em um documento chamado de Declaração de Práticas de Certificação – DPC. A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado digital. Entre as atividades de uma AC, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a verificação da identidade do seu titular.

Por estes motivos, quanto melhor definidos e mais abrangentes os procedimentos adotados por uma AC, maior sua confiabilidade. No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os procedimentos que devem ser adotados pelas ACs. Uma AC que se submete às resoluções do Comitê Gestor pode ser credenciada e com isso fazer parte da ICP-Brasil. O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, de instalações técnicas e dos sistemas envolvidos no serviço de certificação, bem como seu próprio pessoal. A não concordância com as regras acarreta em aplicações de penalidades, que podem ser inclusive o descredenciamento. As ACs credenciadas são incorporadas à estrutura hierárquica da ICP-Brasil e representam a garantia de atendimento dos critérios estabelecidos em prol da segurança de suas chaves privadas.

Responsabilidades

A certificação digital traz diversas facilidades, porém seu uso não torna as transações realizadas isenta de responsabilidades. Ao mesmo tempo que o uso da chave privada autentica uma transação ou um documento, ela confere o atributo de não-repúdio à operação, ou seja, o usuário não pode negar posteriormente a realização daquela transação. Por isto, é importante que o usuário tenha condições de proteger de forma adequada a sua chave privada.

Existem dispositivos que incrementam a proteção das chaves, como os cartões inteligentes (smart cards). Eles se assemelham – em formato e tamanho – a um cartão de crédito convencional. Os smart cards são um tipo de hardware criptográfico dotado de um microprocessador com memória capaz de armazenar e processar diversos tipos de informações. Com eles é possível gerar as chaves e mantê-las dentro de um ambiente seguro, uma vez que as operações criptográficas podem ser realizadas dentro do próprio dispositivo.

e-CPF

e-CPF

Alguns usuários preferem manter suas chaves privadas no próprio computador. Neste caso, são necessárias algumas medidas preventivas para minimizar a possibilidade de se comprometer a sua chave privada:

  • caso o software de geração do par de chaves ofereça a opção de proteção do acesso à chave privada através de senha, essa opção deve ser ativada, pois assim há a garantia de que, na ocorrência do furto da chave privada, a mesma esteja cifrada;
  • não compartilhar com ninguém a senha de acesso à chave privada;
  • não utilizar como senha dados pessoais, palavras que existam em dicionários ou somente números, pois são senhas facilmente descobertas. Procurar uma senha longa, com caracteres mistos, maiúsculos e minúsculos, números e pontuação;
  • em ambiente acessível a várias pessoas, como em um escritório, usar produtos de controle de acesso ou recursos de proteção ao sistema operacional, como uma senha de sistema ou protetor de tela protegido por senha;
  • manter atualizado o sistema operacional e os aplicativos, pois versões mais recentes contêm correções que levam em consideração as vulnerabilidades mais atuais;
  • não instalar o certificado com a chave privada em computadores de uso público.

Em caso de suspeita de comprometimento da chave privada, seja por uma invasão sofrida no computador ou pelo surgimento de operações associadas ao uso da chave que não sejam de conhecimento do seu proprietário, a revogação do certificado deve ser solicitada o mais rapidamente possível à AC responsável pela sua emissão. Além disso, é necessário estar alerta às recomendações da DPC quanto aos procedimentos necessários a revogação do certificado.

Validade

O certificado digital, diferentemente dos documentos utilizados usualmente para identificação pessoal como CPF e RG, possui um período de validade. Só é possível assinar um documento enquanto o certificado é válido. É possível, no entanto, conferir as assinaturas realizadas mesmo após o certificado expirar.

O certificado digital pode ser revogado antes do período definido para expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou para quem foi designada essa tarefa. As justificativas podem ser por diversos fatores como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo.

A AC, ao receber e analisar o pedido, adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e a publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado, e em muitos casos o próprio certificado possui um campo com apontador para um endereço WEB que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas a qualquer momento para verificar se um certificado permanece válido ou não.

Após a revogação ou expiração do certificado, todas as assinaturas realizadas com este certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do certificado continuam válidas se houver uma forma de garantir que esta operação foi realizada durante o período de validade do certificado. Mas como obter essa característica? Existem técnicas para atribuir a indicação de tempo a um documento, chamadas carimbo de tempo. Estes carimbos adicionam uma data e hora à assinatura, permitindo determinar quando o documento foi assinado.

Linha do Tempo do Certificado e Assinatura Digital

Linha do Tempo do Certificado e Assinatura Digital

O usuário pode solicitar a renovação do certificado para a AC após a perda de validade deste. Na solicitação, o usuário pode manter os dados do certificado e até mesmo o par de chaves, se a chave privada não tiver sido comprometida. Mas, por que não emitir os certificados sem data final de validade? Porque a cada renovação da validade do certificado renova-se também a relação de confiança entre seu titular e a AC.

Essa renovação pode ser necessária para a substituição da chave privada por uma outra tecnologicamente mais avançada ou devido a possíveis mudanças ocorridas nos dados do usuário. Essas alterações têm como objetivo tornar mais robusta a segurança em relação às técnicas de certificação e às informações contidas no certificado.

Fonte: Instituto Nacional de Tecnologia e Informação

Questões de Concursos

(Prova: FCC – 2011 – INFRAERO – Analista de Sistemas – Rede e Suporte)
Em relação à assinatura digital, é INCORRETO afirmar:
a) Quando um usuário usa a chave pública do emitente para decifrar uma mensagem, ele confirma que foi aquele emitente e somente aquele emitente quem enviou a mensagem, portanto, a assinatura é autêntica.
b) O documento assinado não pode ser alterado: se houver qualquer alteração no texto criptografado este só poderá ser restaurado com o uso da chave pública do emitente.
c) A assinatura não pode ser forjada, pois somente o emitente conhece sua chave secreta.
d) A assinatura é uma função do documento e não pode ser transferida para outro documento, portanto, ela não é reutilizável.
e) O usuário destinatário não precisa de nenhuma ajuda do usuário emitente para reconhecer sua assinatura e o emitente não pode negar ter assinado o documento, portanto, a assinatura não pode ser repudiada.

(Prova: CESPE – 2011 – Correios – Analista de Correios – Analista de Sistemas – Desenvolvimento de Sistemas) Julgue os itens seguintes, a respeito de certificação digital e assinatura digital. Para assinar digitalmente um documento eletrônico, um usuário deve utilizar a chave que consta no seu certificado digital.
( ) Certo ( ) Errado

(Prova: FEPESE – 2010 – SEFAZ-SC – Auditor Fiscal da Receita Estadual – Parte III – Tecnologia da Informação) Com relação ao uso dos certificados digitais e das assinaturas digitais, assinale a alternativa correta.
a) As autoridades certificadoras que fazem parte de uma infraestrutura de chave pública atuam como terceiros confiáveis no processo de criação dos certificados digitais. Estas autoridades devem assinar digitalmente o conteúdo dos certificados utilizando suas chaves públicas.
b) Integridade, confidencialidade, autenticidade e não repúdio são as propriedades de segurança garantidas com o uso da assinatura digital baseada em criptografia assimétrica.
c) O certificado digital é um documento eletrônico que associa uma entidade (pessoa, processo ou servidor) à chave pública da entidade. Logo, os certificados digitais são meios seguros e confiáveis para distribuição de chaves públicas de entidades.
d) Em um processo de assinatura digital eficiente, deve-se primeiramente gerar um hash do conteúdo a ser assinado, para então cifrar o hash gerado com a chave pública do destinatário da mensagem.
e) Para o envio de um email confidencial, o emissor deve cifrar o conteúdo da mensagem utilizando o seu certificado digital emitido por uma autoridade certificadora confiável.

(Prova: CESPE – 2010 – Caixa – Técnico Bancário) Acerca de certificação e assinatura digital, assinale a opção correta.
a) A chave privada do remetente de uma mensagem eletrônica é utilizada para assinar a mensagem.
b) Para verificar se a mensagem foi de fato enviada por determinado indivíduo, o destinatário deve utilizar a chave privada do remetente.
c) O uso da assinatura digital não garante que um arquivo tenha autenticidade no seu trâmite.
d) A assinatura digital é uma ferramenta que garante o acesso a determinados ambientes eletrônicos por meio de biometria, com uso do dedo polegar.
e) A assinatura digital do remetente é utilizada para criptografar uma mensagem que será descriptografada pelo destinatário possuidor da respectiva chave pública.

(Prova: CESGRANRIO – 2010 – Petrobrás – Técnico em Informática) Ao enviar um e-mail, o usuário utiliza o recurso da Assinatura Digital para garantir que a mensagem não seja alterada durante o trajeto. Esse recurso consiste em um(a)
a) método com base na criptografia assimétrica.
b) algoritmo aplicado a um texto para criar o código de segurança.
c) tecnologia de criptografia de chave pública.
d) identificação registrada em órgãos reguladores da Web.
e) holografia individual criada por empresas de segurança.

(Prova: FCC – 2008 – TRF – 5ª REGIÃO – Analista Judiciário – Tecnologia da Informação) O Tribunal estuda uma licitação para a compra de microcomputadores. Pensando na modernidade, ele pretende encaminhar cartas-convite por meio do correio eletrônico para fornecedores que estejam com o cadastro em dia. O sigilo não é necessário, porém a integridade das informações e a autenticidade são indispensáveis (garantem a não modificação do edital e o reconhecimento de sua autenticidade pelos fornecedores). A solução adotada pelo Tribunal é o envio de uma mensagem S/MIME assinada digitalmente para a lista de e-mails dos fornecedores.

O algoritmo recomendado pelo S/MIME auxilia na geração de um resumo com as seguintes propriedades e características:
– qualquer alteração, por menor que seja (por exemplo, uma omissão de um sinal gráfico no edital) provocará uma alteração dramática no resumo;
– qualquer resumo obtido terá sempre 160 bits (mesmo que sejam croquis e imagens) não importando o tamanho da mensagem.
Trata-se do algoritmo
a) SHA-1.
b) RSA.
c) MD5.
d) 3DES.
e) AES.

(Prova: FCC – 2009 – TRT – 3ª Região (MG) – Técnico Judiciário – Tecnologia da Informação) Em assinatura digital, a função hashing
a) utiliza o algoritmo DSA, cuja função é produzir um valor hash de 64 bits para uma mensagem de tamanho arbitrário.
b) é utilizada para gerar um valor de chave privada, a partir da criptografia simétrica.
c) funciona como uma impressão digital de uma mensagem, gerando, a partir de um valor de tamanho fixo, uma chave de tamanho variável.
d) é utilizada para gerar um valor pequeno, de tamanho fixo, derivado da mensagem que se pretende assinar.
e) utiliza o algoritmo DES, cuja função de espalhamento unidirecional gera um valor hash de 160 bits.

(Prova: FCC – 2009 – TJ-PA – Analista Judiciário – Análise de Sistemas – Suporte) Um documento eletrônico emitido pela ACT, que serve como evidência de que uma informação digital existia numa determinada data e hora no passado, denomina-se
a) time-stamping.
b) chave de tempo.
c) datação de registro.
d) timetable.
e) carimbo de tempo.

(Prova: ESAF – 2009 – ANA – Analista Administrativo – Tecnologia da Informação – Desenvolvimento) Um intermediário de confiança para a distribuição de chaves simétricas é(são)
a) a Autoridade Certificadora (CA).
b) os Proxies de Aplicação.
c) a Assinatura Digital.
d) a Central de Distribuição de Chaves (KDC).
e) a Infraestrutura de Chaves Públicas (PKI).

(Prova: CESGRANRIO – 2008 – CAPES – Analista de Sistemas) Observe as afirmativas abaixo sobre certificados digitais ICPBrasil.
I – Somente as Autoridades Certificadoras ligadas diretamente à AC Raiz da ICP-Brasil podem emitir certificados para pessoa física.
II – A ICP-Brasil mantém, por segurança, uma cópia das chaves privadas de cada certificado A3 emitido.
III – Um certificado digital contém, entre outros itens, a chave pública do proprietário e a assinatura digital do emissor.
Está(ão) correta(s) SOMENTE a(s) afirmativa(s)
a) II
b) III
c) I e II
d) I e III
e) II e III

(Prova: CESGRANRIO – 2008 – Caixa – Escriturário) Quais princípios da segurança da informação são obtidos com o uso da assinatura digital?
a) Autenticidade, confidencialidade e disponibilidade.
b) Autenticidade, confidencialidade e integridade.
c) Autenticidade, integridade e não-repúdio.
d) Autenticidade, confidencialidade, disponibilidade, integridade e não-repúdio.
e) Confidencialidade, disponibilidade, integridade e não-repúdio.

Comentários e Gabarito

(Prova: FCC – 2011 – INFRAERO – Analista de Sistemas – Rede e Suporte)
Em relação à assinatura digital, é INCORRETO afirmar:
Letra “B”. A assinatura digital não impede que o documento seja alterado, mas caso seja, o seu hash criptográfico será diferente do original, mostrando que ele teve sua integridade violada.

(Prova: CESPE – 2011 – Correios – Analista de Correios – Analista de Sistemas – Desenvolvimento de Sistemas) Julgue os itens seguintes, a respeito de certificação digital e assinatura digital. Para assinar digitalmente um documento eletrônico, um usuário deve utilizar a chave que consta no seu certificado digital.
Errado. A chave que consta no seu certificado digital é a chave pública, que é utilizada para descriptografar a mensagem pelo destinatário. Ele deve utilizar a chave privada para assinar o documento que fica em seu computador ou token.

(Prova: FEPESE – 2010 – SEFAZ-SC – Auditor Fiscal da Receita Estadual – Parte III – Tecnologia da Informação) Com relação ao uso dos certificados digitais e das assinaturas digitais, assinale a alternativa correta.
Letra “C”.  As ACs assinam digitalmente o conteúdo dos certificados digitais com a chave privada. A assinatura digital não dá confidencialidade, apenas integridade, autenticidade e não repúdio. Durante o processo de assinatura digital deve-se gerar o hash do texto original e depois com a chave privada.

(Prova: CESPE – 2010 – Caixa – Técnico Bancário) Acerca de certificação e assinatura digital, assinale a opção correta.
Letra “A”. De modo mais simples, a chave privada serve para ASSINAR, e a pública para LER, garantindo autenticidade, integridade e não repúdio durante seu trâmite. A assinatura digital não tem nada a ver com biometria. E para finalizar, a assinatura digital não criptografa nada em si, mas sim a sua chave privada. Cuidado com as pegadinhas das questões.

(Prova: CESGRANRIO – 2010 – Petrobrás – Técnico em Informática) Ao enviar um e-mail, o usuário utiliza o recurso da Assinatura Digital para garantir que a mensagem não seja alterada durante o trajeto. Esse recurso consiste em um(a)
Letra “A”. Só para ficar como dica: quando fala-se em “não alterar”, lembre-se de INTEGRIDADE. Logo, a criptografia assimétrica garante essa integridade.

(Prova: FCC – 2008 – TRF – 5ª REGIÃO – Analista Judiciário – Tecnologia da Informação) O Tribunal estuda uma licitação para a compra de microcomputadores. Pensando na modernidade, ele pretende encaminhar cartas-convite por meio do correio eletrônico para fornecedores que estejam com o cadastro em dia. O sigilo não é necessário, porém a integridade das informações e a autenticidade são indispensáveis (garantem a não modificação do edital e o reconhecimento de sua autenticidade pelos fornecedores). A solução adotada pelo Tribunal é o envio de uma mensagem S/MIME assinada digitalmente para a lista de e-mails dos fornecedores. 
O algoritmo recomendado pelo S/MIME auxilia na geração de um resumo com as seguintes propriedades e características: 
– qualquer alteração, por menor que seja (por exemplo, uma omissão de um sinal gráfico no edital) provocará uma alteração dramática no resumo; 
– qualquer resumo obtido terá sempre 160 bits (mesmo que sejam croquis e imagens) não importando o tamanho da mensagem. 
Trata-se do algoritmo
Letra “A”. O SHA-1 tem 160 bits e é recomendado pelo RFC 2119 o S/MIME a utilizá-lo para a função hash na criação de assinaturas digitais. MD5 é uma função hash, mas de 128 bits. RSA é assimétrico, 3DES e AES são algoritmos assimétricos.

(Prova: FCC – 2009 – TRT – 3ª Região (MG) – Técnico Judiciário – Tecnologia da Informação) Em assinatura digital, a função hashing
Letra “D”. A função hashing utiliza uma mensagem de tamanho variável que irá gerar uma hash de tamanho único, para que seja utilizado na assinatura digital.

(Prova: FCC – 2009 – TJ-PA – Analista Judiciário – Análise de Sistemas – Suporte) Um documento eletrônico emitido pela ACT, que serve como evidência de que uma informação digital existia numa determinada data e hora no passado, denomina-se
Letra “E”. O Carimbo do Tempo é uma certidão digital com referência temporal que permite atestar a existência de um documento eletrônico em determinado instante de tempo. É uma solução necessária para garantir aos documentos digitais uma segurança equivalente àquela existente em documentos de papel. O Carimbo do Tempo é também uma ferramenta importante para garantir a validade de assinaturas digitais e desta forma atestar com segurança a identidade de um indivíduo no universo digital. Para ter validade, a assinatura digital precisa estar ligada a um certificado digital válido. Como os certificados digitais possuem validades pré-definidas, no momento em que são gerados, é necessária uma referência temporal para determinar se a assinatura foi produzida enquanto o certificado era válido.

(Prova: ESAF – 2009 – ANA – Analista Administrativo – Tecnologia da Informação – Desenvolvimento) Um intermediário de confiança para a distribuição de chaves simétricas é(são)
Letra “D”. A AC faz parte da PKI, que utilizam chaves públicas (assimétricas). Já os proxies aqui não tem nada a ver com comentado no enunciado da questão. A Assinatura Digital não distribui chaves. A Central de Distribuição de Chaves (KDC) ou CDC (Centro de Distribuição de Chaves) responsável por distribuir chaves a pares de usuários conforme a necessidade e cada usuário precisa compartilhar uma chave exclusiva com o centro de distribuição de chaves, para fins de distribuição dessas chaves de criptografia. 

(Prova: CESGRANRIO – 2008 – CAPES – Analista de Sistemas) Observe as afirmativas abaixo sobre certificados digitais ICPBrasil. 
I – Somente as Autoridades Certificadoras ligadas diretamente à AC Raiz da ICP-Brasil podem emitir certificados para pessoa física. 
II – A ICP-Brasil mantém, por segurança, uma cópia das chaves privadas de cada certificado A3 emitido. 
III – Um certificado digital contém, entre outros itens, a chave pública do proprietário e a assinatura digital do emissor.
Está(ão) correta(s) SOMENTE a(s) afirmativa(s)
Letra “B”. Analisando a hierarquia das ACs, você pode perceber que uma AC pode estar ligada a outra, e mesmo assim emitir certificados. A chave privada só é mantida pelo próprio usuário que tem a certificação.

(Prova: CESGRANRIO – 2008 – Caixa – Escriturário) Quais princípios da segurança da informação são obtidos com o uso da assinatura digital?
Letra “C”. Como já vimos, a assinatura digital garante todos os princípios da segurança da informação, com exceção da confidencialidade. Logo, temos a autenticidade, integridade e não-repúdio.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

3 Responses to “Assinatura e Certificação Digital”

  1. Matheus Fonseca disse:

    Uma pequena correção: Onde você diz “RSA, 3DES e AES são algoritmos assimétricos” deveria ser “RSA é um algoritmo assimétrico, 3DES e AES são algoritmos simétricos”.

  2. Rosana Furtado disse:

    Olá Diego Macêdo!
    Não gostei da postagem, na verdade,eu amei!!
    Obrigada por você compartilhar seu conhecimento
    com todos.
    Um grande abraço!!

Deixe um comentário para Diego Macêdo Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *