PASSO 01 - Instalar a Cadeia de Certificados da AC Defesa no sistema operacional da máquina em que o usuário deseja utilizar seu Certificado Digital. Uma vez instalada uma cadeia de certificados é suficiente para que muitos usuários possam utilizar;
PASSO 02 - Verifique se possui acesso aos repositórios da AC Defesa ( AC Principal / AC Reserva );
PASSO 03 - Verifique se o sistema operacional possui o software Java instalado;
PASSO 04 - Instalar o software esec-keyutils ou equivalente para a geração de um par de chaves.
PASSO 05 - Executar o aplicativo E-Sec Keyutils e selecione a aba "Gerar Par de Chaves" , para geração do arquivo CSR com as seguintes opções: algoritmo chave RSA ; tamanho da chave 2048 ; algoritmo de assinatura SHA256withRSA. Selecionadas as opções definem a senha, quando então possível gerar o par de chaves. Caso a ação seja feita com sucesso serão gerados dois arquivos na pasta " sdk-web/tmp " que são arquivo.key e arquivo.csr;
PASSO 06 - Acessar o link (atalho) recebido no e-mail recebido após o comparativo no posto de atendimento da Autoridade de Registro. Ao abrir a página será solicitado um arquivo do tipo. csr , que deverá ser enviado o arquivo.csr gerado na etapa anterior. Seguindo os passos de envio, clique no botão "Download" , para baixar o arquivo P7B;
PASSO 07 - Executar o aplicativo E-Sec Keyutils e selecione a aba "Concluir Certificado" , no campo Nome do Arquivo da opção Chave Privada selecione o botão ... e indique o arquivo.key gerado durante o PASSO 05. No campo "Nome do arquivo" a opção Certificado Digital selecione o botão ... e indique o arquivo.p7b obtidos na etapa anterior quando puder ser concluído a operação.
Caso o usuário tenha mais dúvidas a serem solucionadas, poderá ser sanado consultando o manual do aplicativo E-Sec Keyutils obtido durante a instalação do mesmo.
PASSO 01 - Instalar a Cadeia de Certificados da AC Defesa no sistema operacional da máquina em que o usuário deseja utilizar seu Certificado Digital. Uma vez instalada uma cadeia de certificados é suficiente para que muitos usuários possam utilizar;
PASSO 02 - Verifique se possui acesso aos repositórios da AC Defesa ( AC Principal / AC Reserva );
PASSO 03 - Verifique se o sistema operacional possui o software Java instalado;
PASSO 04 - Devido ao fato do Certificado Digital estar instalado em um token, é necessário que o driver deste equipamento tenha sido instalado na máquina do usuário.
A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica e permite alterar, com segurança, a origem e a integridade do documento.
Cabe distinguir assinatura digital de assinatura digitalizada. A assinatura digitalizada é a reprodução da assinatura autografada como imagem por um equipamento tipo scanner . Ela não garante a autoria e integridade do documento eletrônico.
Os atributos da assinatura digital são: comprovar a autoria do documento eletrônico; possibilitar a verificação da integridade do documento, ou seja, quando houver qualquer alteração na assinatura não será validada; partindo do princípio de que o emitente é a única pessoa que tem acesso à chave privada que gerou uma assinatura, pode-se garantir aos destinatários o “não repúdio” do documento eletrônico, ou seja, o emissor não pode negar a transmissão da informação.
A criptografia simétrica é baseada em algoritmos que podem utilizar uma mesma chave, denominada chave secreta, utilizada tanto no processo de cifrar quanto no de decifrar o texto. Para a garantia da integridade da informação transmitida é necessário que apenas o emissor e o receptor conheçam a chave. O problema da criptografia simétrica é a necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alteração do documento por qualquer das partes.
A criptografia assimétrica utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptografia assimétrica são designadas chave pública e chave privada. A chave pública pode ser conhecida pelo público em geral, enquanto que a chave privada somente deve ser de conhecimento do seu titular.
São dispositivos criptográficos - hardware, que podem gerar e armazenar as chaves criptográficas que irão compor os certificados digitais.
Smartcard é o mesmo Cartão Inteligente e exige a utilização de um leitor que deve estar conectado a um sistema de TI.
Token é um termo utilizado para qualquer dispositivo utilizado em segurança que se conecte a um sistema de TI. O mais conhecido é o token USB que é semelhante a um pendrive e possui a facilidade de conexão com diversos sistemas de TI devido ao USB (tipo de conexão) amplamente difundido.
Esses equipamentos têm a finalidade de proteção das chaves criptográficas, não permitindo o acesso senão com a chave privada e devem ser homologados junto com a ICP-Brasil para serem aceitos pela AC Defesa na emissão de certificados.
Atualmente a AC Defesa está credenciada pela ICP-Brasil para emissão de certificados seis tipos de certificados digitais conforme logo especificado abaixo:
Certificados de Assinatura Digital – destinados a autenticação e assinatura digital: A1, A3 e A4.
Certificados de Sigilo – destinados a cifrar documentos, bases de dados, mensagens e outras informações eletrônicas, com a finalidade de garantir o conteúdo: S1, S3 e S4.
|
Exemplo de Utilização |
Mídia Armazenadora de Chave Criptográfica (Requisitos Mínimos) |
Tipo de certificado |
Validade |
|
Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital. |
Repositório protegido por senha ou identificação biométrica, cifrado por software (2048 bits) |
A1 |
1 ano |
|
Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso |
Repositório protegido por senha ou identificação biométrica, cifrado por software. (2048 bits) |
S1 |
1 ano |
|
Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital. |
Hardware criptográfico homologado junto à ICP-Brasil. (2048 bits) |
A3 |
5 anos |
|
Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso |
Hardware criptográfico homologado junto à ICP-Brasil. (2048 bits) |
S3 |
5 anos |
|
Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital. |
Hardware criptográfico homologado junto à ICP-Brasil. (4096 bits) - Não fornecido pela AC Defesa. |
A4 |
6 anos |
|
Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso |
Hardware criptográfico homologado junto à ICP-Brasil. (4096 bits) - Não fornecido pela AC Defesa. |
S4 |
6 anos |
Convém ressaltar que a responsabilidade pela adoção de controles de segurança para a garantia do sigilo, integridade e disponibilidade da chave privada gerada no equipamento é do titular do certificado, conforme especificado no Termo de Titularidade. No caso de certificados de pessoa jurídica, a pessoa indicada por seu(s) representante(s) legal(is), conforme especificado no Termo de Responsabilidade.
Lista de Certificados Revogados ou LCR é uma lista assinada pela Autoridade Certificadora com os certificados que foram revogados, ou seja, não são mais válidos.
Toda vez que um sistema de Tecnologia da Informação (TI), conectado à internet, pretende realizar a assinatura digital em um documento eletrônico, o sistema busca o endereço eletrônico (presente no certificado digital ao qual a assinatura digital está vinculada) que indica o sítio de um repositório de certificados digitais revogados mantidos pela autoridade certificadora emitente do certificado digital. Este repositório representa uma Lista de Certificados Revogados - LCR.
Se o certificado que está tentando continuar está presente nesta lista e a política de uso do certificado não permite a assinatura, o usuário não poderá realizar uma assinatura digital.
Procedimento semelhante deve ocorrer com quem recebe assinatura digital e deseja validá-la. Se o certificado que realizou a assinatura estiver presente na LCR, então a assinatura será rejeitada de acordo com a política de uso do certificado.
A Declaração de Práticas de Certificação (DPC) descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por determinada Autoridade Certificadora que, obrigatoriamente, deve torná-lo público. Para a emissão de certificados, as Autoridades Certificadoras possuem deveres e obrigações que são escritos na Declaração de Práticas de Certificação.
A Política de Segurança (PS) trata-se de um documento que tem por finalidade estabelecer as diretrizes de segurança que fundamentam as normas e os procedimentos de segurança que devem ser implementados por uma Autoridade Certificadora.
A Política de Certificado (PC) descreve o tipo, conteúdo e possibilidades de cada certificado digital que pode ser emitido por uma autoridade certificada. A PC deve estar condicionada às regras condicionais da DPC da autoridade certificada em questão.
Cada autoridade certificada possui suas políticas e caso determinado AC seja credenciado no nível ICP-Brasil, deve praticá-las atender pelo menos aos requisitos mínimos regulamentados pelo Instituto Nacional de Tecnologia da Informação (ITI).
Somente você tem direito ao certificado digital ICP-Brasil emitido pela AC Defesa dos militares e servidores civis do Ministério da Defesa, Marinha do Brasil, Exército Brasileiro e Força Aérea Brasileira, devidamente autorizados pela autoridade competente do Ministério da Defesa ou Comandante/Chefe/Diretor de Organização Militar das Forças Armadas.
Para a emissão de um certificado digital é necessário cumprir basicamente duas etapas conhecidas como validação e verificação.
A validação da solicitação de certificado, realizada mediante a presença física da identidade interessada, compreende a solicitação da solicitação de um indivíduo ou de uma organização, a conferência dos dados da solicitação de certificado com as constantes dos documentos apresentados e liberação da emissão do certificado no sistema da AC.
A verificação da solicitação de certificado compreende a confirmação da validação realizada, verificando que deve ser realizada, obrigatoriamente:
- por agente de registro diferente do que executou uma etapa de validação;
- em uma das instalações técnicas da AR devidamente autorizadas a operar pela AC Raiz;
- somente após a coleta, na instalação técnica do AR, de cópia da documentação apresentada na etapa de validação;
- antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade.
Trata-se de um agente de registro que realiza uma etapa de validação por meio de acesso remoto ao sistema.
Estão previstas as disposições 106 (cento e seis) dos agentes de registro remoto para o funcionamento da AC Defesa distribuída pelo território nacional.
Os usuários da AC Defesa poderão dirigir-se a qualquer um dos agentes de registro remoto para realizar a etapa de certificação no processo de emissão do digital, independentemente de estarem localizados em um órgão do Ministério da Defesa, da Marinha do Brasil, do Exército Brasileiro ou da Força Aérea.
É um profissional que realiza as etapas simples no processo de emissão e revogação de certificados nas Autoridades de Registro.
Há duas categorias de agentes de registro: validador e selecionador. A primeira realização da etapa de validação e a segunda realização da etapa de verificação no processo de envio do certificado.
O agente de registro que realiza a etapa de verificação deverá obrigatoriamente estar localizado dentro da instalação técnica de uma autoridade de registro

Caso visualize a mensagem de erro "ATR desconhecido" em Tokens do modelo Starsign Crypto USB Token S, baixe a versão 3.8 do driver aqui.
Ao tentar logar com seu token no Sistema de Registro e Interface com a Autoridade Certificadora, caso apresente o erro “A aplicação local 'SDK Desktop' não foi iniciada”.
O usuário deverá verificar se o aplicativo SDK Desktop está instalado e inicializá-lo, caso não possua deverá baixá-lo no link SDK e após instalar, configure seu navegador seguindo as instruções de ajuda do aplicativo.
O usuário possui três opções de revogação:
1 - Logando com o próprio certificado
- Acesse https://ar.acdefesa.mil.br/raweb/token
- Autentique-se utilizando o certificado que deseja revogar.
- Clique no botão Revogar Certificado.
- Confirme a revogação.
2 - Utilizando a senha de revogação recebida na emissão do certificado no Agente de Registro Remoto
- Acesse https://ar.acdefesa.mil.br/raweb/token
- Autentique-se utilizando Identificador e senha de acesso, não apresentando comprovante de solicitação de certificado.
- Confirme a revogação.
3 - Na impossibilidade de uso do certificado ou senha de revogação
Caso não seja possível usar o próprio certificado ou a senha de revogação recebida, o usuário do certificado poderá solicitar a revogação mediante preenchimento do formulário de cancelamento de certificado digital em um posto de atendimento .
A AC Defesa não fornecerá documentos eletrônicos (certidões, licenças, registros, etc.) assinados digitalmente. Caso necessário, o usuário final deverá utilizar certificado digital em um sistema de TI habilitado para fazer essa assinatura.
A utilização da AC Defesa recai exclusivamente na emissão de certificados digitais ICP-Brasil. Para esta finalidade a AC Defesa destina-se a manter toda uma estrutura física, lógica e de pessoal para creditar a confiabilidade dos certificados digitais aos quais ela emite.
Por exemplo, se houver a necessidade de uma certidão, documento comprobatório de quitação ou outro especificamente semelhante emitido por determinado órgão, caberá a esta implementação em seus sistemas, funcionalidades que habilitam o uso de certificação digital.
A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática, que utiliza algoritmos de criptografia assimétrica e permite aferir, com segurança, a origem e a integridade do documento.
A técnica permite não apenas verificar a autoria do documento, como também estabelece uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, altera a assinatura.
O diagrama apresenta, de forma simplificada, o processo criptográfico de criação de uma assinatura digital:
- o sistema utilizado pelo signatário deverá gerar um resumo criptográfico de um documento eletrônico;
- o sistema utilizado pelo signatário deve cifrar o resumo criptográfico com sua chave privada, associado a uma chave pública constante do seu certificado digital, gerando uma assinatura digital;
- o documento eletrônico e a assinatura digital ficam associados para validação futura.
- No caso de certificados digitais do tipo A3, a chave pública, bem como outras informações constantes do certificado digital, permanece em uma região de memória do token ou smartcard acessível, ou seja, é possível extrair essas informações da mídia.
A chave privada, única e exclusiva do proprietário, permanece numa região de memória inacessível da mídia, ou seja, não acessível para ser extraída.
Ao receber o documento eletrônico recebido digitalmente, o sistema de TI habilitado para trabalhar com certificação digital realizará a prova da assinatura digital. Para este sistema deve receber o documento assinado digitalmente e as informações públicas mínimas permitidas enviadas conjuntamente com o documento eletrônico (certificado digital do autor da assinatura). Além disso, deve ter sido instalado no sistema do receptor da assinatura o certificado raiz da cadeia de certificação do certificado digital do emissor da assinatura.
O diagrama apresenta, de forma simplificada, o processo criptográfico de verificação de assinatura digital:
- o documento eletrônico e a assinatura digital associada são disponibilizados ao selecionado, juntamente com o certificado digital do signatário;
- o sistema utilizado pelo receptor calcula novamente o resumo criptográfico do documento eletrônico;
- o sistema utilizado pelo receptor decifra a assinatura digital com a chave pública do signatário, contida no certificado digital, obtido o resumo criptográfico gerado e cifrado pelo signatário no momento da assinatura;
- o sistema utilizado pelo receptor compara os resumos criptográficos obtidos nos passos anteriores. Se forem iguais, significa que o documento eletrônico é integrado e que é possível identificar o signatário por meio do certificado digital. Caso contrário, a assinatura digital é inválida.
Para que um sistema de TI utilize certificado digital é necessário que o sistema permita realizar e verificar assinaturas digitais.
Para realizar assinaturas digitais, é necessário integrar o código-fonte de um sistema de TI determinadas Interfaces de Programação de Aplicativos (API) e bibliotecas criptográficas na linguagem de programação ao qual o sistema está instalado.
As APIs e bibliotecas habilitam funcionalidades que permitem utilizar os certificados digitais para realizar e verificar assinaturas utilizando todas as informações necessárias constantes nos certificados digitais.
Existem diversas APIs e bibliotecas criptográficas disponíveis. Alguns são de código-fonte aberto e outros são proprietários.
As APIs e bibliotecas podem ser integradas a um sistema de TI específico ou não. Se não forem integrados, funcionam como um contratado digital independente e devem ser instalados a parte. Estas soluções são conhecidas como softwares de assinatura digital, sigilo e autenticação.
A ICP-Brasil estabelece normas e procedimentos para softwares de assinatura digital, sigilo e autenticação.
Para utilizar o certificado digital, antes de qualquer procedimento, é necessário certificar-se de que o sistema de Tecnologia da Informação (TI) de interesse permite realizar e verificar assinaturas digitais.
Em caso positivo, é necessário que o usuário tenha algum tipo de certificado digital emitido em seu nome. De posse do certificado, o usuário deve selecionar o documento eletrônico que deseja aprovar e submetê-lo ao sistema para que este invoque as funções permitidas para a realização da assinatura digital.
Vale ressaltar que para utilizar determinados tipos de certificados é necessário instalar o driver do dispositivo criptográfico, caso o certificado seja embarcado, na máquina do usuário final.
Por exemplo, no caso de certificados digitais do tipo A3, é necessário instalar o aplicativo do fabricante do certificado token ou smartcard que abriga o digital. Somente desta maneira, o sistema operacional da máquina do usuário considerará a mídia e, consequentemente, o certificado digital.