Introdução
Em nosso dia-a-dia é comum necessitarmos comprovar a autenticidade de um documento e atribuí-lo um valor, seja através de uma assinatura à caneta, seja através de um carimbo, seja através de um selo de autenticação, enfim. No "mundo eletrônico", cuja principal influência é a internet, também precisamos de meios de autenticação e comprovação. É aí que "entra em cena" dois conceitos muito importantes: o de assinatura digital e o de certificação digital. Este artigo fará uma abordagem introdutória sobre ambos e mostrará o quão são importantes.
Assinatura digital
Assinar documentos faz parte da rotina de qualquer pessoa, até daquelas consideradas analfabetas que, nesse caso, fazem uso da impressão digital de um de seus dedos.
Agora, imagine-se na seguinte situação: suponha que você esteja viajando a negócios e que tenha que enviar à matriz da empresa documentos oriundos das reuniões que participou. Obviamente, o jeito mais rápido de fazer isso é enviar os documentos pela internet. Se esses documentos fossem entregues em papel, você certamente assinaria para comprovar sua autenticidade e sua responsabilidade sobre eles. Porém, em se tratando de arquivos digitais, como é que você fará a assinatura? Escreverá seu nome em um pedaço de papel, o passará por um scanner e o adicionará ao arquivo? Com certeza, não! O que você deve fazer é usar um assinatura digital.
A assinatura digital faz uso dos conceitos de chave pública e privada. Se você não sabe o que é isso, é expressamente recomendável a leitura do artigo do InfoWester que trata de criptografia.
O funcionamento da assinatura digital ocorre da seguinte forma: é necessário que o usuário tenha um documento eletrônico e a chave pública do destinatário (um usuário pode ser tanto uma pessoa quanto uma instituição qualquer). Através de programas apropriados, o documento é então criptografado de acordo com a chave pública. O receptor usará então sua chave privada correspondente (que é exclusiva dele) para decriptografar o arquivo. Se qualquer bit do documento for alterado a assinatura será deformada, invalidando o arquivo.
Na verdade, o processo de assinatura digital de documentos eletrônicos usa um conceito conhecido como função hashing. Como o uso de um sistema de criptografia assimétrico (mais detalhes aqui) nas assinaturas digitais pode causar muita demora numa decifragem, a função hashing se mostrou como a solução ideial. Seu funcionamento ocorre da seguinte forma: a função hashing analisa todo o documento e com base num complexo algoritmo matemático gera um valor de tamanho fixo para o arquivo. Esse valor, conhecido como "valor hash", é calculado com base nos caracteres do documento. Isso deixa claro que o arquivo em si não precisa, pelo menos teoricamente, ser criptografado (caso não seja algo secreto), mas sim acompanhado do valor hash. Com isso, qualquer mudança no arquivo original, mesmo que seja de apenas um único bit, fará com que o valor hash seja diferente e o documento se torne inválido.
É interessar notar que é praticamente impossível descobrir a chave privada através da chave pública. Isso se deve ao algoritmo aplicado. Se usado o método RSA (Rivest, Shamir and Adleman) - saiba mais no artigo sobre criptografia - dois números primos muito grandes (mas muito grandes mesmo!) são multiplicados. O resultado é a chave pública. Para descobrir os dois números que a geraram é necessário fazer uma fatoração, mas isso é impraticável.
Certificado digital
Obter uma assinatura digital não é algo tão simples. Primeiro é necessário procurar uma entidade que faça esse serviço, isto é, deve-se procurar uma Autoridade Certificadora (AC). Uma AC tem a função de verificar a identidade de um usuário e associar a ela uma chave. Essas informações são então inseridas em um documento conhecido como certificado digital.
Um certificado digital contém a chave pública do usuário e os dados necessários para informar sua identidade. Esse certificado pode ser distribuído na internet. Com isso, uma pessoa ou instituição que queira comprovar a assinatura digital de um documento pode obter o certificado digital correspondente. É válido saber que certificados digitais não são usados apenas em conjuntos com assinaturas digitais.
É importante frisar que a transmissão de certificados digitais deve ser feita através de uma conexão segura, como as que usam o protocolo SSL (Secure Socket Layer), que é próprio para o envio de informações criptografadas.
Obtendo uma assinatura e um certificado digital
Como dito anteriormente, um certificado digital é um documento eletrônico que contém as informações da identificação de uma pessoa ou de uma instituição. Esse documento deve ser solicitado a uma AC ou ainda a uma AR (Autoridade de Registro). Uma AR tem a função de solicitar certificados a uma AC.
Para que um certificado seja válido, é necessário que o interessado tenha a chave pública da AC para comprovar que aquele certificado foi, de fato, emitido por ela. A questão é que existem inúmeras ACs espalhadas pelo mundo e fica, portanto, inviável ter a chave pública de cada uma.
A solução encontrada para esse problema foi a criação de "ACs supremas" (ou "ACs-Raiz"), ou seja, instituições que autorizam as operações das ACs que emitem certificados a pessoas e empresas. Esse esquema é conhecido como ICP (Infra-estrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).
No Brasil, a ICP-Brasil controla seis ACs (pelo menos até o fechamento deste artigo): a Presidência da República, a Receita Federal, o SERPRO, a Caixa Econômica Federal, a Serasa e a CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, uma dessas instituições deve prover o certificado. Porém, para que isso seja feito, cada instituição pode ter requisitos e custos diferentes para a emissão, uma vez que cada entidade pode emitir certificados para finalidades distintas. E isso se aplica a qualquer AC no mundo.
Agora, uma coisa que você deve saber é que qualquer instituição pode criar uma ICP, independente de seu porte. Por exemplo, se uma empresa criou uma política de uso de certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil. A própria empresa pode criar sua ICP e fazer com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionários.
Finalizando
Ainda demorará para que o uso do papel na emissão de documentos seja uma segunda opção. Talvez, isso nem venha acontecer. No entanto, o uso de assinaturas e certificados digitais é extremamente importante, principalmente pela velocidade com que as coisas acontecem na internet. Além disso, determinadas aplicações, como as bancárias, são consideradas cruciais para a manutenção de um negócio. Logo, o uso de certificados digitais pode chegar ao ponto de ser imprescindível. Há muito ainda a ser discutido sobre o assunto, mas entre as divergências existentes, é unâmine a importância dessa tecnologia para a era da informação eletrônica na qual adentramos.
Para obter mais detalhes sobre assinatura e certificação digital, acesse os seguintes links:
FreeICP.ORG - www.freeicp.org;
ICP-Brasil - www.icpbrasil.gov.br;
Instituto Nacional de Tecnologia da Informação - www.iti.br;
IBP Brasil - www.ibpbrasil.com.br.
Escrito por Emerson Alecrim - Publicado em 25/09/2005 - Atualizado em 25/09/2005
Certificação Digital - A validade e aplicabilidade do e-CNPJ na Assinatura Digital de Documentos Eletrônicos
Por: Waldemar Felippe - Diretor da QualiSoft Informática
Um certificado digital é um arquivo eletrônico contendo dados de identificação da pessoa ou instituição que deseja, por meio deste, comprovar, perante terceiros, a sua própria identidade. Serve igualmente para conferir a identidade de terceiros. Pode-se compará-lo a uma espécie de carteira de identidade eletrônica. Quando realizamos transações, de forma presencial, muitas vezes nos é solicitada uma identificação que comprove efetivamente nossa identidade. Na internet, como as transações são feitas de forma eletrônica, o Certificado Digital surge como forma de garantir a identidade das partes envolvidas.
A utilização da Certificação Digital nas transações eletrônicas garante :
- Privacidade - É a garantia de que as informações trocadas nas transações eletrônicas não serão lidas por terceiros.
- Integridade - É a garantia de que as informações trocadas nas transações eletrônicas não foram alteradas desde que foram assinadas
- Autenticidade - É a garantia de identidade da origem e destino da transação.
Assinatura Digital
É um tipo de assinatura eletrônica baseada em métodos criptográficos que é gerada a partir de um conjunto de regras e que atribui ao documento a possibilidade de aferir, com segurança, sua integridade (garantia de que não foi alterado) e a identificação do autor (origem) do documento eletrônico.
Não Repúdio
É a garantia de que somente o titular do Certificado Digital poderia ter realizado determinada transação, impedindo que os integrantes de uma transação venham a contestar ou negar uma transação após sua realização.
A MP 2.200-2, de 24/08/2001, garante a validade jurídica aos documentos assinados eletronicamente através de Certificados Digitais emitidos pelas Autoridades Certificadoras no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil - dando à assinatura digital a mesma eficácia probatória da assinatura de punho.
Valendo-se das garantias legais e tecnológicas da utilização dos Certificados Digitais, a Secretaria da Receita Federal (SRF) criou o e-CPF e e-CNPJ que são documentos eletrônicos de identidade emitidos por Autoridade Certificadora credenciada pela Autoridade Certificadora Raiz da ICP-Brasil – AC Raiz e habilitada pela Autoridade Certificadora da SRF (AC-SRF), que certifica a autenticidade dos emissores e destinatários dos documentos e dados que trafegam numa rede de comunicação, assim como assegura a privacidade e a inviolabilidade destes.
Estas iniciativas, tanto do governo federal ao criar a ICP-Brasil, quando da SRF ao criar o e-CPF e o e-CNPJ, têm por objetivo permitir que transações assinadas digitalmente tenham o mesmo valor que suas equivalentes realizadas pelos meios convencionais, não eletrônicos, ou seja, assegurar que podemos confiar que:
- O portador de um determinado certificado digital é, de fato, a pessoa física ou jurídica ali representada;
- Uma transação eletrônica assinada digitalmente por esse certificado digital será reconhecida legalmente;
- Os documentos enviados não foram adulterados em trânsito e são da inteiramente responsabilidade legal do seu emitente.
Se por um lado temos todas estas garantias, de outro lado, a criação do e-CNPJ acabou gerando novos problemas, que precisam ser adequadamente resolvidos de modo a viabilizar sua utilização na prática quotidiana do mundo digital. Estes problemas são decorrentes da natureza pessoal e individual do Certificado Digital.
Tanto o e-CNPJ quanto o e-CPF são documentos pessoais e intransferíveis. O e-CPF, assim como o tradicional CPF, é um exclusivo para pessoas físicas. Já o e-CNPJ, assim como seu equivalente CNPJ, é um documento de identificação de pessoas jurídicas. Adicionalmente, o e-CNPJ incorpora informações do representante legal (pessoa física) da empresa junto à SRF.
Quando falamos de assinar atos, independente da forma e da natureza, estes devem ser sempre realizados pela pessoa física competente. Se o ato é praticado por uma pessoa física, este deve ser assinado pela própria pessoa física ou por procurador legalmente constituído por esta para, em seu nome, praticar tal ato. Se o ato é praticado por uma pessoa jurídica, este deve ser assinado pelo representante legal da pessoal jurídica e que tenha poderes para tal.
O e-CNPJ nada mais é que um documento pertencente à uma pessoa jurídica que, adicionalmente, identifica o representante legal da empresa junto à SRF (representante tributário). Este represente tributário foi eleito pela empresa, através de seus representantes legalmente constituídos, para representá-la junto à SRF. A utilização da chave privada da Empresa, por parte do representante tributário significará uma representação autorizada pela Empresa, que responderá integralmente por estes atos, especialmente pelos atos realizados no relacionamento com a Secretaria da Receita Federal (SRF). Não é possível a geração de um e-CNPJ sem um representante legal ou com um representante legal que não tenha sido previamente atribuído pela empresa à SRF.
Em um empresa, operações e consultas realizadas junto à SRF e outros órgãos governamentais são normalmente realizadas através de escritórios de contabilidade e advocacia terceirizados. Quando falamos de operações bancárias ou comercio eletrônico, estas operações são realizadas pelos departamentos financeiro e compras respectivamente. Isto significa dizer que, o fato de uma pessoa possuir um certificado digital, mesmo que emitido por uma Autoridade Certificadora subordinada à AC-Raiz da ICP-Brasil, como é a Autoridade Certificadora da SRF, não significa que esta possa praticar quaisquer atos em nome de terceiros (pessoa jurídica).
Portanto, no nosso entendimento, a utilização do e-CNPJ só faz sentido e só deve ser aceita para a prática de atos eletrônicos, em nome da empresa, junto à SRF. O fato de uma pessoa ser representante de uma empresa junto à SRF não confere ao seu portador o poder de representar esta empresa para todos os fins legais. Afinal, quem, em sã consciência, concederia a um empregado ou contador um cartão de crédito corporativo com fundos ilimitados ? Por outro lado, não parece prático esperar que o presidente ou diretores de uma empresa de grande porte realizem eles mesmos as transações quotidianas para as quais a Certificação Digital foi projetada.
Felizmente, a própria SRF, conhecedora das práticas do mercado, criou em seu site na internet a possibilidade do subsestabelecimento do procurador eletrônico. A chamada Procuração Eletrônica nos fornece os meios para a solução prática de tais problemas. Trata-se de um meio eletrônico pelo qual o responsável pelo certificado da empresa, pode prover acesso a um terceiro (Pessoa física ou Jurídica) para realização de seu relacionamento através do “Serviço Interativo de Atendimento Virtual - Receita 222” sem a necessidade do uso do certificado da empresa. Para tanto, basta que o representante tributário da empresa acesse o site da Receita 222 e outorgue poderes de representação a terceiros. Estes terceiros, chamados de procuradores eletrônicos, deverão possuir um certificado digital, A1 ou A3, podendo ser e-CPF (Pessoa Física) ou (e-CNPJ) Pessoa Jurídica
Nenhum comentário:
Postar um comentário