Perguntas Frequentes

Criação de Certificado Digital
Políticas de Certificado Digital
Utilização de Certificado Digital
Como faço para emitir um Certificado A1?

PASSO 01 - Instalar a  Cadeia de Certificados da AC Defesa  no sistema operacional da máquina em que o usuário deseja utilizar seu Certificado Digital. Uma vez instalada uma cadeia de certificados é suficiente para que muitos usuários possam utilizar;

PASSO 02 - Verifique se possui acesso aos repositórios da AC Defesa ( AC Principal  /  AC Reserva );

PASSO 03 - Verifique se o sistema operacional possui o software  Java  instalado;

PASSO 04 -  Instalar o software  esec-keyutils  ou equivalente para a geração de um par de chaves.

PASSO 05 - Executar o aplicativo E-Sec Keyutils e selecione a aba  "Gerar Par de Chaves" , para geração do arquivo CSR com as seguintes opções: algoritmo chave  RSA ; tamanho da chave  2048 ; algoritmo de assinatura  SHA256withRSA.  Selecionadas as opções definem a senha, quando então possível gerar o par de chaves. Caso a ação seja feita com sucesso serão gerados dois arquivos na pasta " sdk-web/tmp " que são  arquivo.key  e  arquivo.csr;

PASSO 06 - Acessar o link (atalho) recebido no e-mail recebido após o comparativo no posto de atendimento da Autoridade de Registro. Ao abrir a página será solicitado um arquivo do tipo. csr , que deverá ser enviado o  arquivo.csr  gerado na etapa anterior. Seguindo os passos de envio, clique no botão  "Download" , para baixar o arquivo P7B;

PASSO 07 - Executar o aplicativo E-Sec Keyutils e selecione a aba  "Concluir Certificado" , no campo Nome do Arquivo da opção Chave Privada selecione o botão ... e indique o  arquivo.key  gerado durante o PASSO 05. No campo  "Nome do arquivo"  a opção Certificado Digital selecione o botão ... e indique o arquivo.p7b obtidos na etapa anterior quando puder ser concluído a operação.

Caso o usuário tenha mais dúvidas a serem solucionadas, poderá ser sanado consultando o manual do aplicativo E-Sec Keyutils obtido durante a instalação do mesmo.

Como faço para utilizar um Certificado A3?

PASSO 01 - Instalar a  Cadeia de Certificados da AC Defesa  no sistema operacional da máquina em que o usuário deseja utilizar seu Certificado Digital. Uma vez instalada uma cadeia de certificados é suficiente para que muitos usuários possam utilizar;

PASSO 02 - Verifique se possui acesso aos repositórios da AC Defesa ( AC Principal  /  AC Reserva );

PASSO 03 - Verifique se o sistema operacional possui o software  Java  instalado;

PASSO 04 - Devido ao fato do Certificado Digital estar instalado em um  token,  é necessário que o  driver  deste equipamento tenha sido instalado na máquina do usuário.

 

O que é assinatura digital?

A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica e permite alterar, com segurança, a origem e a integridade do documento.

Cabe distinguir assinatura digital de assinatura digitalizada. A assinatura digitalizada é a reprodução da assinatura autografada como imagem por um equipamento tipo  scanner . Ela não garante a autoria e integridade do documento eletrônico.

Os atributos da assinatura digital são: comprovar a autoria do documento eletrônico; possibilitar a verificação da integridade do documento, ou seja, quando houver qualquer alteração na assinatura não será validada; partindo do princípio de que o emitente é a única pessoa que tem acesso à chave privada que gerou uma assinatura, pode-se garantir aos destinatários o “não repúdio” do documento eletrônico, ou seja, o emissor não pode negar a transmissão da informação.

O que é criptografia simétrica e assimétrica?

A criptografia simétrica é baseada em algoritmos que podem utilizar uma mesma chave, denominada chave secreta, utilizada tanto no processo de cifrar quanto no de decifrar o texto. Para a garantia da integridade da informação transmitida é necessário que apenas o emissor e o receptor conheçam a chave. O problema da criptografia simétrica é a necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alteração do documento por qualquer das partes.

A criptografia assimétrica utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptografia assimétrica são designadas chave pública e chave privada. A chave pública pode ser conhecida pelo público em geral, enquanto que a chave privada somente deve ser de conhecimento do seu titular.

O que são smartcards e tokens?

São dispositivos criptográficos -  hardware,  que podem gerar e armazenar as chaves criptográficas que irão compor os certificados digitais.

Smartcard  é o mesmo Cartão Inteligente e exige a utilização de um leitor que deve estar conectado a um sistema de TI.

Token  é um termo utilizado para qualquer dispositivo utilizado em segurança que se conecte a um sistema de TI. O mais conhecido é o  token  USB que é semelhante a um  pendrive  e possui a facilidade de conexão com diversos sistemas de TI devido ao USB (tipo de conexão) amplamente difundido.

Esses equipamentos têm a finalidade de proteção das chaves criptográficas, não permitindo o acesso senão com a chave privada e devem ser homologados junto com a ICP-Brasil para serem aceitos pela AC Defesa na emissão de certificados.

Quais são os tipos de certificados digitais emitidos pela AC Defesa?

Atualmente a AC Defesa está credenciada pela ICP-Brasil para emissão de certificados seis tipos de certificados digitais conforme logo especificado abaixo:

Certificados de  Assinatura Digital  – destinados a autenticação e assinatura digital:  A1, A3  e  A4.

Certificados de  Sigilo  – destinados a cifrar documentos, bases de dados, mensagens e outras informações eletrônicas, com a finalidade de garantir o conteúdo:  S1, S3  e  S4.

 

Exemplo de Utilização

Mídia Armazenadora de Chave Criptográfica (Requisitos Mínimos)

Tipo de certificado

Validade

Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital.

Repositório protegido por senha ou identificação biométrica, cifrado por  software  (2048 bits)

A1

1 ano

Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso

Repositório protegido por senha ou identificação biométrica, cifrado por  software.  (2048 bits)

S1

1 ano

Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital.

Hardware criptográfico homologado  junto à ICP-Brasil. (2048 bits)

A3

5 anos

Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso

Hardware criptográfico homologado junto à ICP-Brasil. (2048 bits)

S3

5 anos

Pessoa Física utilizando sua chave privada para se autenticar ou fazer uma assinatura digital.

Hardware criptográfico homologado junto à ICP-Brasil. (4096 bits) - Não fornecido pela AC Defesa.

A4

6 anos

Pessoa Física utilizando sua chave privada para criptografar dados de conteúdo sigiloso

Hardware criptográfico homologado junto à ICP-Brasil. (4096 bits)  - Não fornecido pela AC Defesa.

S4

6 anos

Convém ressaltar que a responsabilidade pela adoção de controles de segurança para a garantia do sigilo, integridade e disponibilidade da chave privada gerada no equipamento é do titular do certificado, conforme especificado no Termo de Titularidade. No caso de certificados de pessoa jurídica, a pessoa indicada por seu(s) representante(s) legal(is), conforme especificado no Termo de Responsabilidade.

 

O que é uma Lista de Certificados Revogados (LCR)?

Lista de Certificados Revogados ou LCR é uma lista assinada pela Autoridade Certificadora com os certificados que foram revogados, ou seja, não são mais válidos.

Toda vez que um sistema de Tecnologia da Informação (TI), conectado à internet, pretende realizar a assinatura digital em um documento eletrônico, o sistema busca o endereço eletrônico (presente no certificado digital ao qual a assinatura digital está vinculada) que indica o sítio de um repositório de certificados digitais revogados mantidos pela autoridade certificadora emitente do certificado digital. Este repositório representa uma Lista de Certificados Revogados - LCR.

Se o certificado que está tentando continuar está presente nesta lista e a política de uso do certificado não permite a assinatura, o usuário não poderá realizar uma assinatura digital.

Procedimento semelhante deve ocorrer com quem recebe assinatura digital e deseja validá-la. Se o certificado que realizou a assinatura estiver presente na LCR, então a assinatura será rejeitada de acordo com a política de uso do certificado.

O que são Declarações de Práticas de Certificação (DPC), Política de Segurança (PS) e Política de Certificado (PC) ?

A Declaração de Práticas de Certificação (DPC) descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por determinada Autoridade Certificadora que, obrigatoriamente, deve torná-lo público. Para a emissão de certificados, as Autoridades Certificadoras possuem deveres e obrigações que são escritos na Declaração de Práticas de Certificação.

A Política de Segurança (PS) trata-se de um documento que tem por finalidade estabelecer as diretrizes de segurança que fundamentam as normas e os procedimentos de segurança que devem ser implementados por uma Autoridade Certificadora.

A Política de Certificado (PC) descreve o tipo, conteúdo e possibilidades de cada certificado digital que pode ser emitido por uma autoridade certificada. A PC deve estar condicionada às regras condicionais da DPC da autoridade certificada em questão.

Cada autoridade certificada possui suas políticas e caso determinado AC seja credenciado no nível ICP-Brasil, deve praticá-las atender pelo menos aos requisitos mínimos regulamentados pelo Instituto Nacional de Tecnologia da Informação (ITI).

Quais usuários terão direito a um certificado digital emitido pela AC Defesa ?

Somente você tem direito ao certificado digital ICP-Brasil emitido pela AC Defesa dos militares e servidores civis do Ministério da Defesa, Marinha do Brasil, Exército Brasileiro e Força Aérea Brasileira, devidamente autorizados pela autoridade competente do Ministério da Defesa ou Comandante/Chefe/Diretor de Organização Militar das Forças Armadas.

Quais as etapas necessárias previstas pela ICP-Brasil para emitir um certificado digital?

Para a emissão de um certificado digital é necessário cumprir basicamente duas etapas conhecidas como validação e verificação.

A validação da solicitação de certificado, realizada mediante a presença física da identidade interessada, compreende a solicitação da solicitação de um indivíduo ou de uma organização, a conferência dos dados da solicitação de certificado com as constantes dos documentos apresentados e liberação da emissão do certificado no sistema da AC.

A verificação da solicitação de certificado compreende a confirmação da validação realizada, verificando que deve ser realizada, obrigatoriamente:

  • por agente de registro diferente do que executou uma etapa de validação;
  • em uma das instalações técnicas da AR devidamente autorizadas a operar pela AC Raiz;
  • somente após a coleta, na instalação técnica do AR, de cópia da documentação apresentada na etapa de validação;
  • antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade.
O que é um agente de registro remoto no contexto da AC Defesa?

Trata-se de um agente de registro que realiza uma etapa de validação por meio de acesso remoto ao sistema.

Estão previstas as disposições 106 (cento e seis) dos agentes de registro remoto para o funcionamento da AC Defesa distribuída pelo território nacional.

Os usuários da AC Defesa poderão dirigir-se a qualquer um dos agentes de registro remoto para realizar a etapa de certificação no processo de emissão do digital, independentemente de estarem localizados em um órgão do Ministério da Defesa, da Marinha do Brasil, do Exército Brasileiro ou da Força Aérea.

O que é um agente de registro previsto pela ICP-Brasil ?

É um profissional que realiza as etapas simples no processo de emissão e revogação de certificados nas Autoridades de Registro.

Há duas categorias de agentes de registro: validador e selecionador. A primeira realização da etapa de validação e a segunda realização da etapa de verificação no processo de envio do certificado.

O agente de registro que realiza a etapa de verificação deverá obrigatoriamente estar localizado dentro da instalação técnica de uma autoridade de registro

Como resolver o problema de ATR desconhecido?

Caso visualize a mensagem de erro "ATR desconhecido" em Tokens do modelo Starsign Crypto USB Token S, baixe a  versão 3.8 do driver aqui.

Como resolver o erro de SDK ao tentar logar para gerenciar seu token?

Ao tentar logar com seu token no Sistema de Registro e Interface com a Autoridade Certificadora, caso apresente o erro “A aplicação local 'SDK Desktop' não foi iniciada”.

O usuário deverá verificar se o aplicativo SDK Desktop está instalado e inicializá-lo, caso não possua deverá baixá-lo no link  SDK e após instalar, configure seu navegador seguindo as instruções de ajuda do aplicativo.

Como revogar meu certificado?

O usuário possui três opções de revogação:

1 - Logando com o próprio certificado

  • Acesse https://ar.acdefesa.mil.br/raweb/token
  • Autentique-se utilizando o certificado que deseja revogar.
  • Clique no botão  Revogar Certificado.
  • Confirme a revogação.

2 - Utilizando a senha de revogação recebida na emissão do certificado no Agente de Registro Remoto

  • Acesse  https://ar.acdefesa.mil.br/raweb/token
  • Autentique-se utilizando Identificador e senha de acesso, não apresentando comprovante de solicitação de certificado.
  • Confirme a revogação.

3 - Na impossibilidade de uso do certificado ou senha de revogação

Caso não seja possível usar o próprio certificado ou a senha de revogação recebida, o usuário do certificado poderá solicitar a revogação mediante preenchimento do formulário de cancelamento de certificado digital em um  posto de atendimento .

Como posso usar a AC Defesa para fornecer documentos eletrônicos assinados digitalmente?

A AC Defesa não fornecerá documentos eletrônicos (certidões, licenças, registros, etc.) assinados digitalmente. Caso necessário, o usuário final deverá utilizar certificado digital em um sistema de TI habilitado para fazer essa assinatura.

A utilização da AC Defesa recai exclusivamente na emissão de certificados digitais ICP-Brasil. Para esta finalidade a AC Defesa destina-se a manter toda uma estrutura física, lógica e de pessoal para creditar a confiabilidade dos certificados digitais aos quais ela emite.

Por exemplo, se houver a necessidade de uma certidão, documento comprobatório de quitação ou outro especificamente semelhante emitido por determinado órgão, caberá a esta implementação em seus sistemas, funcionalidades que habilitam o uso de certificação digital.

Supondo que eu assine um documento eletrônico utilizando certificado digital, como garantir que o documento eletrônico não foi alterado e que a assinatura digital é minha e está válida?

A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática, que utiliza algoritmos de criptografia assimétrica e permite aferir, com segurança, a origem e a integridade do documento.

A técnica permite não apenas verificar a autoria do documento, como também estabelece uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, altera a assinatura.

O diagrama apresenta, de forma simplificada, o processo criptográfico de criação de uma assinatura digital:

  • o sistema utilizado pelo signatário deverá gerar um resumo criptográfico de um documento eletrônico;
  • o sistema utilizado pelo signatário deve cifrar o resumo criptográfico com sua chave privada, associado a uma chave pública constante do seu certificado digital, gerando uma assinatura digital;
  • o documento eletrônico e a assinatura digital ficam associados para validação futura.
  • No caso de certificados digitais do tipo A3, a chave pública, bem como outras informações constantes do certificado digital, permanece em uma região de memória do  token  ou  smartcard  acessível, ou seja, é possível extrair essas informações da mídia.

A chave privada, única e exclusiva do proprietário, permanece numa região de memória inacessível da mídia, ou seja, não acessível para ser extraída.

Ao receber o documento eletrônico recebido digitalmente, o sistema de TI habilitado para trabalhar com certificação digital realizará a prova da assinatura digital. Para este sistema deve receber o documento assinado digitalmente e as informações públicas mínimas permitidas enviadas conjuntamente com o documento eletrônico (certificado digital do autor da assinatura). Além disso, deve ter sido instalado no sistema do receptor da assinatura o certificado raiz da cadeia de certificação do certificado digital do emissor da assinatura.

O diagrama apresenta, de forma simplificada, o processo criptográfico de verificação de assinatura digital:

  • o documento eletrônico e a assinatura digital associada são disponibilizados ao selecionado, juntamente com o certificado digital do signatário;
  • o sistema utilizado pelo receptor calcula novamente o resumo criptográfico do documento eletrônico;
  • o sistema utilizado pelo receptor decifra a assinatura digital com a chave pública do signatário, contida no certificado digital, obtido o resumo criptográfico gerado e cifrado pelo signatário no momento da assinatura;
  • o sistema utilizado pelo receptor compara os resumos criptográficos obtidos nos passos anteriores. Se forem iguais, significa que o documento eletrônico é integrado e que é possível identificar o signatário por meio do certificado digital. Caso contrário, a assinatura digital é inválida.
Como fazer que meu sistema utilize certificado digital?

Para que um sistema de TI utilize certificado digital é necessário que o sistema permita realizar e verificar assinaturas digitais.  

Para realizar assinaturas digitais, é necessário integrar o código-fonte de um sistema de TI determinadas  Interfaces de Programação de Aplicativos  (API) e bibliotecas criptográficas na linguagem de programação ao qual o sistema está instalado.

As APIs e bibliotecas habilitam funcionalidades que permitem utilizar os certificados digitais para realizar e verificar assinaturas utilizando todas as informações necessárias constantes nos certificados digitais.

Existem diversas APIs e bibliotecas criptográficas disponíveis. Alguns são de código-fonte aberto e outros são proprietários.

As APIs e bibliotecas podem ser integradas a um sistema de TI específico ou não. Se não forem integrados, funcionam como um contratado digital independente e devem ser instalados a parte. Estas soluções são conhecidas como  softwares  de assinatura digital, sigilo e autenticação.

A ICP-Brasil estabelece normas e procedimentos para  softwares  de assinatura digital, sigilo e autenticação.

Como utilizar o certificado digital?

Para utilizar o certificado digital, antes de qualquer procedimento, é necessário certificar-se de que o sistema de Tecnologia da Informação (TI) de interesse permite realizar e verificar assinaturas digitais.

Em caso positivo, é necessário que o usuário tenha algum tipo de certificado digital emitido em seu nome. De posse do certificado, o usuário deve selecionar o documento eletrônico que deseja aprovar e submetê-lo ao sistema para que este invoque as funções permitidas para a realização da assinatura digital.  

Vale ressaltar que para utilizar determinados tipos de certificados é necessário instalar o  driver  do dispositivo criptográfico, caso o certificado seja embarcado, na máquina do usuário final.

Por exemplo, no caso de certificados digitais do tipo A3, é necessário instalar o aplicativo do fabricante do  certificado token  ou  smartcard  que abriga o digital. Somente desta maneira, o sistema operacional da máquina do usuário considerará a mídia e, consequentemente, o certificado digital.