A bola de segurança da vez

Mas afinal, o que são os certificados digitais e qual a sua importância para a segurança das transações eletrônicas?

De uma maneira bastante simplista, os certificados digitais podem ser entendidos como sendo uma carteira de identidade eletrônica. Ou seja, a utilização deste tipo de tecnologia permite realizar duas tarefas bastante comuns no chamado mundo real: conferir a identidade (autenticar) de alguém e verificar a sua assinatura.

Mas como esse processo funciona?

Em artigo anterior foi abordado o processo de chaves públicas e privadas. Relembrando: chaves são, de maneira simplificada, senhas alfanuméricas. Numa comunicação entre duas partes, devem existir dois pares de chaves de criptografia: um para o emissor, outro para o receptor. Em cada uma dos pares, as chaves são complementares, de forma que a codificação feita por uma só pode ser desfeita pela segunda.

A uma das chaves damos o nome de chave privada, enquanto a outra recebe o nome de chave pública. Pois bem, o certificado digital nada mais é que um documento eletrônico que contém os dados do seu possuidor (nome, endereço eletrônico etc.), acompanhados de sua chave pública. Este documento é assinado digitalmente pela entidade certificadora (atuam como cartórios digitais), garantindo a sua integridade e procedência.

Em outras palavras, o certificado digital associa, de forma inequívoca, um determinado indivíduo com a sua chave pública, possibilitando comunicações com sigilo, integridade, autenticação e não repúdio (conforme descrito em artigo anterior).

A MP 2200, ao criar a ICP-Brasil para cadastramento de empresas certificadoras e define o processo de emissão de certificados digitais. Em linhas gerais o processo está definido como:

– O usuário cria, por meio de software especifico, o seu par de chaves. Estas chaves poderão estar armazenadas no disco rígido, em disquetes ou em smart-cards (forma preferida por ser mais segura). O software gera ainda uma requisição de certificado contendo a chave pública recém criada.

– O usuário, de posse desta requisição de certificado (um arquivo em um disquete) comparece (presença física) a uma autoridade de registro. Esta autoridade de registro é responsável por identificar a pessoa (carteira de identidade, passaporte, etc.) e, em caso de identificação positiva, encaminhar o pedido de certificado à autoridade certificadora.

– A autoridade certificadora emite o certificado digital e encaminha ao usuário (por email, disquete, etc.).

– O usuário instala, por meio de software específico, o certificado digital na sua máquina ou no seu smart-card, estando apto então a trocar e-mails seguros, efetuar compras no comércio eletrônico etc.