O que é certificado digital

O certificado digital é um documento eletrônico que contém informações que identificam uma pessoa, uma máquina ou uma instituição na Internet. Para fazer isso, ele usa um software como intermediário - pode ser o navegador, o cliente de e-mail ou outro programa qualquer que reconheça essa informação. O certificado digital é emitido a pessoas físicas (cidadão comum) e jurídicas (empresas ou municípios), equipamentos e aplicações. A emissão é feita por uma entidade considerada confiável, chamada Autoridade Certificadora. É ela quem vai associar ao usuário um par de chaves criptográficas (pública e privada). São essas chaves, emitidas e geradas pelo próprio usuário no momento da aquisição do certificado, que transformam um documento eletrônico em códigos indecifráveis que trafegam de um ponto a outro sigilosamente. Enquanto a chave pública codifica o documento, a chave privada associada à ela decodifica. E vice-versa. Um certificado pode ser usado em conjunto com uma assinatura digital. Neste caso, a assinatura digital fica de tal modo vinculada ao documento eletrônico que qualquer alteração o torna inválido.

Se fôssemos fazer uma analogia com documentos do mundo real, o certificado digital seria o similar eletrônico do RG, enquanto a assinatura digital, o equivalente ao carimbo acompanhado de selo que os cartórios brasileiros colocam para reconher firma em documentos. Juntos, esses dois elementos, aliados à criptografia, garantem a autenticidade, a integridade, o não repúdio à transação e a confidencialidade da informação. Ou seja, as partes são mesmo quem dizem ser, e a transação online é legítima, autêntica, segura e não sofreu alterações ao longo do caminho.

Segurança

Uma das características do certificado digital é a segurança que ele proporciona às transações online. Vamos voltar ao conceito de criptografia para entender isso. Criptografia é uma palavra de origem grega que significa escrita oculta. Na prática, ela é um mecanismo milenar usado para cifrar mensagens, tornando-as incompreensíveis a quem não tem acesso às chaves que as decifram. Existem dois tipos de criptografia atualmente: a simétrica e a assimétrica. A simétrica cifra e decifra uma informação por meio de algoritmos que usam a mesma chave pública. Essa chave é compartilhada pelas duas partes envolvidas na comunicação. Tomemos como exemplo uma comunicação simples entre Paulo e André. Os dois computadores têm dados que precisam ser enviados e um algoritmo de encriptação. O computador de Paulo codifica os dados enviados ao computador de André usando uma frase (chave) para cifrar o documento. O computador de André recebe esses dados codificados e para decifrá-los usa a mesma chave de Paulo.

A criptografia de chave pública, ou assimétrica, trabalha com duas chaves distintas: a pública e a privada, que são relacionadas matematicamente. Uma depende totalmente da outra e sua segurança depende do número de bits (tamanho) das chaves. Uma mensagem codificada com uma chave pública só pode ser decodificada com a chave privada a ela relacionada, e vice-versa. Enquanto uma codifica, a outra decodifica. Voltemos ao exemplo acima. Paulo envia um documento sigiloso a André. Para garantir a confiabilidade da comunicação, Paulo usa a chave pública de André para codificar o documento. Se quem recebeu o documento for mesmo o André, ele vai usar sua chave privada (associada àquela chave pública) para decodificar o documento.

Assinatura digital

O uso da criptografia assimétrica garante a confiabilidade e a autenticidade da comunicação. Mas como assegurar sua integridade e origem? A saída foi combinar o uso de chaves públicas com uma assinatura digital. Assim como a criptografia assimétrica, a assinatura digital é uma seqüência de bits resultante de uma operação matemática conhecida como função hashing. Essa função analisa todo o documento ou arquivo e, com base no algoritmo matemático, gera um valor de tamanho fixo para ele. Esse valor varia de acordo com a seqüência de bits do documento, e como cada caractere tem uma composição binária, qualquer mudança no arquivo original fará com que o valor hash seja diferente e a assinatura se torne inválida. Vamos usar o exemplo de Paulo e André novamente. Paulo envia o documento assinado digitalmente a André. Para isso, ele usa a chave pública do amigo e a sua própria assinatura para codificar o documento. Se o documento não tiver sofrido alterações no percurso, Paulo poderá decifrá-lo com sua chave privada. Caso tenha havido alguma alteração, Paulo não conseguirá decifrá-lo, pois a assinatura será inválida.

certifica-assina



Teia de confiança

Apesar de serem os elementos principais da certificação digital, a assinatura e o certificado são como a ponta de um iceberg. Sob a superfície da água se encontra toda uma cadeia que envolve protocolos de segurança, políticas de uso, entidades certificadoras, salas-cofre e autoridades de registro, que seguem diretrizes e normas técnicas determinadas por uma entidade ou comitê gestor. Essa cadeia é chamada de Infra-estrutura de Chaves Públicas (ICP, em português, ou PKI, em inglês). Uma empresa pode criar sua própria ICP. Um país pode ter uma ou várias ICPs. Um certificado digital só é válido se ele segue os políticas e protocolos de segurança determinados por uma ICP, e isso vale para qualquer lugar do mundo.

Os elementos que compõem a teia de confiança da certificação digital tanto para órgãos públicos quanto para a iniciativa privada são:

Autoridade Certificadora Suprema (AC-Raiz) - autoriza as operações das autoridades certificadoras
Autoridades Certificadoras (AC) - emitem o certificado digital das autoridades de registro e de autoridades certificadoras por ela credenciadas, além de atestar a identidade do titular do documento
Autoridades de Registro (AR) - comprovam fisicamente a identidade do usuário, podendo auxiliá-lo na geração do par de chaves, solicita os certificados a uma AC e entregam o smart card ao titular
Certificados digitais e Assinaturas digitais - documentos eletrônicos que comprovam a identidade do usuário nas comunicações online

No Brasil o Governo Federal optou por estabelecer sua própria política de uso de certificados e assinaturas digitais e criou sua infra-estrutura de chaves públicas própria, chamada ICP-Brasil. Saiba mais sobre isso na próxima página.

­