Introdução

Historicamente, produtos ou recursos disponibilizados para o mercado consumidor, experimentam diferentes estágios de confiabilidade até sua consolidação. Este processo não tem sido diferente com a Internet, a medida que ampliam-se os horizontes de sua utilização, crescem também as exigências por confiabilidade e privacidade sobre as informações veiculadas na rede mundial de computadores.

Tais necessidades, tem incentivado matemáticos e engenheiros de sistemas na busca de soluções capazes de tornar o uso da internet uma operação segura e confiável. O uso da codificação ou cifragem da informação tem se mostrado a alternativa mais viável no momento, este processo conhecido como criptografia, fornece técnicas para codificar e decodificar dados, de modo que os mesmos possam ser armazenados, transmitidos e recuperados sem que sejam violados ou expostos. Isto permite restringir o acesso apenas as pessoas às quais as informações são destinadas, o que torna a criptografia um meio efetivo de proteção à informação.

A palavra criptografia tem origem grega (kriptos = oculto e grifo = grafia) e pode ser definida como a arte ou a ciência de se escrever em cifras ou em códigos. O processo de criptografia é realizado aplicando-se a um texto legível, dito texto plano, um conjunto de técnicas que permitem transformá-lo em um texto ininteligível, conhecido como texto cifrado. O processo de obtenção do texto plano original a partir do texto cifrado é denominado de descriptografia. Para utilização dos processos de criptografia e descriptografia, são necessários algoritmos criptográficos, comumente chamados cifradores.

Um exemplo do uso de criptografia foi utilizado pelo Imperador Romano Julio Cezar. Conhecido como cifrador de Cezar, envolvia a troca de cada letra do alfabeto por uma letra que se encontrava a três lugares da original. Desta forma Cezar conseguia trocar informações entre seus exércitos de uma forma relativamente segura, visto que, caso o inimigo tivesse acesso a mensagem, teria dificuldades em decifrá-las. Evidentemente as técnicas de criptografia aplicadas hoje, com o uso de computador, são extremamente mais complexas que a técnica de Julio Cezar, o que torna a possibilidade de descriptografar um texto cifrado praticamente impossível.

De acordo com o conjunto de regras utilizadas para criptografar e descriptografar um texto, pode-se classificar os sistemas criptográficos em duas categorias: os simétricos e os assimétricos.

Em criptosistemas simétricos, o mesmo segredo (chave) utilizado para criptografar o texto plano, é utilizado para descriptografar o texto cifrado correspondente. As chaves desta categoria são comumente denominadas de chave secretas.

Em criptosistemas assimétricos, utiliza-se um par de chaves - uma para criptografar e outra para descriptografar. Neste caso, uma das chaves é mantida em segredo, dita chave privada, e a outra livremente divulgada é denominada de chave pública.

Criptosistemas assimétricos, também conhecidos como criptografia de chave pública, estão baseados na dinâmica de que, A (emissor) e B (receptor) trocam mensagens entre si, utilizando um par de chaves (segredos). A noção básica da relação criptográfica entre uma Chave Privada e uma Chave Pública é simples:

  O que uma criptografa, SÓ a outra descriptografa. Ou seja :

Confidencialidade

A confidencialidade, ou sigilo, é garantida criptografando-se a informação com a chave pública da pessoa a quem a informação é dirigida. Deste modo, somente esta pessoa de posse da chave privada correspondente (o destinatário correto) é que consegue descriptografar a informação.

Por exemplo: Imagine que A (emissor) deseja enviar uma informação (mensagem, texto, dados, etc) secreta para B (receptor). A deve criptografar a informação utilizando a chave pública de B. Deste modo quando B recebe a informação, o mesmo pode descriptografar essa informação com a sua chave privada, e assim obter acesso à informação original em formato legível.

Integridade e Autenticação

A credibilidade de um documento tradicional (documento papel) está ligada essencialmente à sua originalidade. Dois aspectos devem ser observados; autoria e integridade. O conceito de assinatura digital abrange estes dois aspectos, garante de forma indubitável a autoria do documento e nos dá a certeza de que o documento eletrônico não foi alterado, nem mesmo em uma vírgula.

Técnicamente, uma assinatura digital é uma versão reduzida de um documento eletrônico, criptografada com a chave privada do autor e anexada ao próprio documento eletrônico.

A versão reduzida, conhecida como código do documento ou código Hash, é o resultado de uma análise matemática realizada sobre o documento, única para cada conteúdo original e gerada de forma que qualquer alteração efetuada sobre o documento produzirá um código completamente diferente.

A assinatura digital é gerada pelo autor ao assinar (criptografar), o código do documento com a sua chave privada. Deste modo, pode-se verificar a integridade do documento assinado digitalmente, utilizando-se a chave pública do emissor e tendo-se a certeza de quem foi que gerou o documento, visto que somente uma chave privada específica poderia gerar aquela assinatura.

Se o objetivo é ainda garantir que ninguém tenha acesso ao conteúdo do documento, a não ser o receptor desejado, deve-se aplicar também o procedimento para obter a confidencialidade descrito anteriormente.

Não-Repúdio

Não-Repúdio, ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica, não poderá posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos de um uso indevido do certificado digital, fato que não exime de responsabilidade, o autor não pode negar a autoria da transação.

O mecanismo criado para usufruir dos avanços da tecnologia de criptografia, em particular da criptografia assimétrica, e capaz de transferir para a internet seus benefícios de segurança e confiabilidade, foi o Certificado Digital .

O Certificado Digital é emitido por uma entidade confiável, denominada Autoridade Certificadora , que utilizando-se de processos e critérios bem definidos e públicos, regula a gestão do certificado através da emissão, revogação e renovação dos mesmos por aprovação individual. Ao emitir um certificado digital, a autoridade certificadora assina digitalmente o certificado tornando-o inviolável e ao mesmo tempo factível de verificação quanto a sua integridade, validade, aplicabilidade e identificação do portador.

O uso do certificado digital no desenvolvimento de sistemas voltados à rede mundial de computadores, permite incorporar a estes sistemas todas as características -como: confidencialidade, integridade, autenticidade e não-repúdio-, necessárias e fundamentais a segurança e confiabilidade dos mesmos.

Programas de correio eletrônico e navegadores para internet, como o Microsoft Internet Explorer, o Netscape Communicator e outros, já incorporam funcionalidades para uso de criptografia e certificado digital, realizando de forma transparente ao usuário uma série de facilidades como verificação de integridade e validação de certificados, encriptação e desencriptação de dados, entre outras.

Um certificado digital, ou identidade digital, pode ser visto como uma carteira de identidade para uso na internet. Com ele é possível comprovar a identidade tanto do internauta como do site. Por exemplo, ao acessar uma conta bancária o certificado de servidor do banco assegura que você está realmente acessando o site do banco, da mesma forma que o certificado de cliente garante ao bancos que o internauta que está acessando os dados de uma determinada conta é realmente o titular da conta.

O certificado digital pode também ser utilizado para atribuir integridade e autenticidade aos documentos eletrônicos -mensagens, textos, dados, etc-. Por exemplo: quando você envia uma mensagem de e-mail para alguém, o programa de e-mail pode utilizar seu certificado para "assinar" digitalmente sua mensagem. Deste modo, a pessoa que receber a mensagem tem certeza que a mesma foi realmente enviada por você, além de ter a garantia de que o conteúdo da mensagem não foi alterado entre o envio e o recebimento.

A assinatura digital é um mecanismo criado para atribuir confiabilidade a um documemto eletrônico, da mesma forma que uma assinatura de punho (ou firma) atribui confiabilidade a um documemto papel.

A assinatura digital soluciona aspectos fundamentais à confiabilidade dos documentos eletrônicos:

Permite autenticar a identidade da assinatura, desta forma pode-se confirmar quem participou de uma determinada transação eletrônica.

Proteger a integridade do documento, pode-se saber se o documento recebido sofreu alterações, quer acidental, quer maliciosamente.

Uma assinatura digital, é criada utilizando-se a chave privada do certificado do autor da assinatura, deste modo, a mesma pode ser conferida através da chave pública que encontra-se no seu certificado digital do autor.

Para assinar digitalmente qualquer tipo de informação eletrônica, a fim de comprovar inequivocamente a autoria, o autor deverá possuir um certificado digital, único e pessoal, que comprove indubitavelmente a sua identidade no mundo eletrônico e que tenha sido emitido por uma autoridade certificadora de confiança.

Uma Autoridade Certificadora é uma entidade de confiança que administra a gestão de certificados digitais através da emissão, revogação e renovação dos mesmos por aprovação individual.

Uma Autoridade Certificadora pode emitir diferentes tipos de certificados, atribuindo diferentes níveis de confiança a cada tipo. Para cada tipo de certificado é utilizado um processo diferente para realizar a verificação da identidade do solicitante. Por exemplo: para certificados de e-mail é feita simplesmente uma validação do endereço eletrônico, enquanto que para certificados que identificam o portador é necessário a verificação de documentos pessoais para comprovar a identidade do requerente.

Assinando digitalmente os certificados que emite, a Autoridade Certificadora cria um relacionamento entre ela e o certificado emitido, este relacionamento fica explícito no próprio certificado pela cadeia de certificação. Deste modo ao confiar em um certificado digital estamos confinado na Autoridade Certificadora que emitiu o certificado.