Tal como hoje a assinatura é utilizada em documentos, as assinaturas digitais estão neste momento a ser utilizadas para identificação de autoria/co-assinatura de dados electrónicos.
- Autenticar a identidade de quem assinou os dados, assim poder-se-á confirmar quem participou numa determinada transacção, e se essa transacção foi ou não forjada por alguém.
- Proteger a integridade dos dados - assim poder-se-á saber que a mensagem recebida não sofreu alterações, quer acidental, quer maliciosamente.
- Provar a posteriori quem participou numa transacção (uma figura denominada não-repúdio) - assim ninguém pode negar que enviou ou recebeu determinada informação.
As assinaturas digitais são criadas utilizando a chave privada do utente. Posteriormente são verificadas utilizando a chave pública do utente, a qual se encontra no certificado digital emitido em seu nome.
Para assinar digitalmente qualquer tipo de informação electrónica a fim de comprovar inequivocamente a autoria/co-assinatura dessa mesma informação, o utente deverá possuir um certificado digital, único e pessoal, que comprove indubitavelmente a sua identidade no mundo electrónico e que tenha sido emitido por uma entidade certificadora de confiança.
Porque preciso de um certificado digital?
Resposta :
Na Internet, o potencial de oportunidades de negócio e de serviços convenientes para o consumidor é fenomenal.
A disponibilização de serviços de banca e lojas virtuais, e de informação em tempo real, são algumas das aplicações em que a segurança e a identificação dos utentes continuam a ser uma preocupação crescente, já que a identificação de utentes baseada em passwords não é o processo adequado.
Controlar acessos e identificar utentes através do uso de um segredo conhecido, a password, associado à posse de um elemento, o certificado digital, é enriquecer a segurança.
É crescente o número de empresas que desenvolvem negócios na Internet e que estão a despertar para esta realidade, requerendo a utilização de certificados digitais pelos seus clientes. No entanto, não são somente os clientes que necessitam de certificados digitais, uma vez que os próprios servidores de informação das companhias presentes na Internet entendem igualmente ser fundamental possuir o seu próprio certificado digital a fim de que os consumidores possam atestar indubitavelmente que estão a lidar com um local de negócio legítimo.
Um Certificado Digital permite que entidades diversas, que nunca se encontraram no mundo real, se identifiquem mutuamente e inequivocamente no mundo virtual.
A utilização de Certificados Digitais emitidos por uma entidade de confiança, possibilita a criação de um clima de segurança entre duas entidades que desejem relacionar-se por via electrónica.
Se deseja identificar-se inequivocamente no mundo virtual, efectuar trocas de informação com confidencialidade, assegurar-se de que as mensagens que envia não são alteradas e declarar a autoria de mensagens, então necessita de um Certificado Digital.
Um certificado assegura a identidade do emissor? E do receptor?
Resposta :
O emissor para encriptar uma mensagem tem que possuir o certificado (chave pública) do receptor - pode obter o certificado directamente do receptor ou a partir de um directório X.509. Se o emissor tem o certificado do receptor, tem a certeza que a chave pública é do receptor, se confiar na Autoridade de Certificação que assina o Certificado.
O receptor tem a certeza que a mensagem é enviada pelo emissor, se este assinar a mensagem e se possuir o certificado do emissor para decifrar a assinatura (claro que mais uma vez terá que confiar na Autoridade de Certificação e em todos os mecanismos da PKI que garantem que a chave pública do certificado pertence ao seu titular).
Alguém pode solicitar um certificado em meu nome?
Resposta :
Os certificados solicitam-se à Autoridade de Registo e é esta que é responsável por verificar a identidade do titular, pelo que não é possível que alguém peça o certificado em nome de outra.
Pode-se falsificar um certificado?
Resposta :
Um certificado não se pode falsificar, já que estão assinados pela Autoridade de Certificação. Se algum dado for modificado, a assinatura não corresponderia aos dados que foram assinados, pelo que o software que utiliza daria uma mensagem de erro.
Qual é a melhor maneira de autentificar os dados nas Intranets ?
Resposta :
A autenticação é efectuada através da assinatura digital, para o que é necessário obter um certificado electrónico que garanta a identidade do titular.
Relativamente ao correio electrónico, bastará obter um certificado para o seu browser (MSIE ou Netscape), passando imediatamente a poder assinar electronicamente todo o correio que envia. Para encriptar as mensagens, de modo a que só o seu destinatário as consiga ler, tem que obter o certificado digital do destinatário, o que poderá ser conseguido através de pesquisa numa directoria X.500 (possivelmente, no caso do destinatário já lhe ter enviado uma mensagem assinada, já o tem no seu browser).
O que é a assinatura electrónica?
Resposta :
A assinatura electrónica é o resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:
i. Identifique de forma unívoca o titular como autor do documento,
ii. A sua aposição ao documento dependa apenas da vontade do titular,
iii. A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste.
[in Decreto-Lei relativo à Assinatura Digital (n.º 290-D/99)]
O que é que se garante com a assinatura digital de um documento?
Resposta :
Garante:
i. a autenticação da identidade da entidade que assinou o documento (o emissor do documento),
ii. a não alteração (acidental ou maliciosa) do documento durante a sua transmissão (i.e., protege a integridade do documento),
iii. o não repúdio do documento por parte do emissor (i.e., o emissor não pode reclamar que não foi ele que assinou o documento).
O que é que se garante com a encriptação de um documento?
Resposta :
Garante-se que só o destinatário do documento o consegue ler na sua forma original, sendo incompreensível para terceiros que o consigam interceptar.
