Assinatura Digital e Eletrônica - comparativo

A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento. A assinatura digital fica de tal modo vinculada ao documento eletrônico que, caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, pois qualquer alteração do documento, como por exemplo a inserção de mais um espaço entre duas palavras, invalida a assinatura.

Tecnicamente, uma assinatura digital é um conjunto de dados que acompanha ou está logicamente associado a uma mensagem digital codificada, que pode ser utilizada para certificação do autor do documento, bem como para garantir que a mensagem não foi modificada desde que ela deixou o autor.

A assinatura digital é criada no momento da assinatura do Resumo Criptográfico (O QUE) de um arquivo com a chave privada do usuário (QUEM). Uma vez que a chave pública é distribuída como a parte da assinatura digital, qualquer um que vê a assinatura pode verificar que esta foi assinada pela chave privada correspondente. Desta maneira, tanto o remetente, quanto os receptores podem associar a identidade do remetente a um arquivo específico (QUEM fez O QUE). Assinaturas Digitais, para a maioria dos documentos, possuem a mesma força legal que as assinaturas em papel.

No contexto do Portal QualiSign, uma Assinatura Digital serve a duas finalidades:

- Associar a identidade de uma pessoa ao documento digital original;

- Assegurar a integridade do documento digital (conteúdo eletrônico).

A palavra criptografia tem origem grega e significa a arte de escrever em códigos, de forma a esconder a informação na forma de um texto incompreensível. A cifragem ou processo de codificação, é executada por um programa de computador que realiza um conjunto de operações matemáticos e transformam um texto claro em um texto cifrado, além de inserir uma chave secreta na mensagem. O emissor do documento envia o texto cifrado, que será reprocessado pelo receptor, transformando-o, novamente, em texto legível, igual ao emitido, desde que tenha a chave correta.

Existem dois tipos de criptografia: simétrica e assimétrica.

A criptografia simétrica é baseada em algoritmos que dependem de uma mesma chave, denominada chave secreta, que é usada tanto no processo de cifrar quanto no de decifrar o texto. Para a garantia da integridade da informação transmitida é imprescindível que apenas o emissor e o receptor conheçam a chave. O problema da criptografia simétrica é a necessidade de compartilhar a chave secreta com todos que precisam ler a mensagem, possibilitando a alteração do documento por qualquer das partes.

A criptografia assimétrica utiliza um par de chaves diferentes entre si, que se relacionam matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave, apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptografia assimétrica são denominadas chave pública e chave privada. A chave pública pode ser conhecida pelo público em geral, enquanto que a chave privada somente deve ser de conhecimento de seu titular.

Para provar que o conteúdo de um arquivo não foi alterado, o Portal QualiSign armazena o código resultante de uma operação de hash sobre o arquivo, eliminando a necessidade de visualizar ou armazenar os seus dados (opcional).

O código resultante desta operação (hash code) – também conhecido como "Assinatura do Arquivo", "Sumário da Mensagem" ou “Resumo Criptográfico” – é um número que representa de forma única (e suficiente para identificar) um arquivo em particular (prova O QUE). Os Resumos Criptográficos são únicos no sentido de que dois arquivos diferentes nunca terão o mesmo Resumo Criptográfico, exceto no evento improvável de uma colisão de hash, intercorrência cuja probabilidade diminui exponencialmente na medida em que se aumenta o tamanho do código de hash.

Com o algoritmo de hash SHA-1 de 160 bits (padrão da indústria) utilizado pelo Portal QualiSign, as probabilidades de uma colisão de hash são extremamente remotas (1 em 280). Embora extremamente remotas, o Portal QualiSign prevê o tratamento adequado para estas situações.

Devido ao fato da função do hashing ser unidirecional, nenhuma parcela dos dados originais pode ser reconstruída a partir da assinatura do arquivo (da mesma maneira que um indivíduo não pode ser "reconstruído" a partir de sua assinatura ou impressão digital). Assim, se um usuário puder apresentar ao Portal QualiSign um código de hash, pode-se supor que a pessoa que calculou esse código de hash teve em sua posse um determinado arquivo.

Não. A assinatura digitalizada é a reprodução da assinatura de próprio punho como imagem por um equipamento tipo scanner. Ela não garante a autoria e integridade do documento eletrônico, porquanto não existe uma associação inequívoca entre o assinante e o texto digitalizado, uma vez que ela pode ser facilmente copiada e inserida em outro documento.

Não. O documento digitalizado a partir de um documento original não é legalmente presumido autêntico, pois o documento original pode ter sofrido alterações anteriores ao processo de digitalização.

Esclarecendo melhor, uma vez digitalizado o documento e certificado no âmbito da cadeia da ICP-Brasil, este não poderá mais sofrer alterações, todavia o documento original, antes da sua digitalização, pode ter sofrido alterações. Assim sendo, em caso de questionamento quanto a integridade e autenticidade do conteúdo posto no documento digitalizado, o interessado só poderá fazer prova destes atributos com a exibição do documento original. Desta forma, não é recomendável a eliminação dos documentos originais. O art. 223, caput, do Cód. Civil é bastante esclarecedor neste tocante, vejamos o que ele determina: “Art.223- A cópia fotográfica de documento, conferido por tabelião de notas, valerá como prova de declaração de vontade, mas, impugnada sua autenticidade, deverá ser exibido o original.”

Analisando o artigo sob comento, chegaremos à conclusão, se um documento fotografado e conferido por tabelião de notas pode sofrer impugnações acerca da sua autenticidade, analogicamente, documentos que sofreram digitalização também pode ser objeto de impugnações, pois apenas o original faz prova concreta da sua autenticidade.

Portanto, é importante assinalarmos que a presunção de integridade e autenticidade, extraída do art.10 da Medida Provisória de nº2.200-2, de 24/08/2001, diz respeito a documentos produzidos eletronicamente e assinados digitalmente com certificados emitidos no âmbito da ICP-Brasil.

Vale dizer, a assinatura eletrônica vinculada a um certificado emitido no âmbito da ICP-Brasil conduz à presunção de autenticidade do documento subscrito, certo que é, como afirma Humberto Theodoro Júnior, em Comentários ao Novo Código Civil. Volume III. Tomo II. Rio de Janeiro: Forense, 2003, p. 48, que o “Código não subordina a validade do instrumento particular a que a firma do signatário seja reconhecida por tabelião ou qualquer oficial público. O que lhe dá autenticidade é a própria assinatura, ou seja, a escrita do nome do declarante, feita pessoalmente (de forma autografa)”.

São muitas as possibilidades de aplicações da assinatura digital. No âmbito governamental, podemos citar: - processos judiciais e administrativos em meio eletrônico; - facilitar a iniciativa popular na apresentação de projetos de lei, uma vez que os cidadãos poderão assinar digitalmente sua adesão às propostas; - assinatura da declaração de renda e outros serviços prestados pela Secretaria da Receita Federal; - obtenção e envio de documentos cartorários; - SPB; - Diário Oficial Eletrônico; - identificação de sites na Internet, para que se tenha certeza de que se está acessando o endereço realmente desejado; etc.

Já na esfera privada a assinatura digital pode ser aplicada aos mais diversos tipos de documentos eletrônicos, tais como e-mails, formulários web, contratos, procurações, relatórios, imagens, mandatos, notificações, balanços, declarações, petições, resultados de exames, laudos, certificados, prontuários médicos, propostas e apólices de seguros e arquivos eletrônicos transferidos entre empresas (EDI), viabilizando a eliminação do uso do papel e a diminuição dos custos de emissão, armazenamento e descarte desses documentos.

A assinatura digital não torna o documento eletrônico sigiloso, pois ele em si não é criptografado. O sigilo do documento eletrônico poderá ser resguardado mediante a cifragem da mensagem com a chave pública do destinatário, pois somente com o emprego de sua chave privada o documento poderá ser decifrado. Já a integridade e a comprovação da autoria são características primeiras do uso da certificação digital para assinar.

O padrão CMS, descrita na RFC 3852, uma evolução do padrão Public-Key Cryptography Standards #7 (PKCS#7) definido pela RSA, é utilizado na ICP-Brasil como padrão para o armazenamento de conteúdo (dados) assinados digitalmente, conteúdos cifrados, contéudos autenticados e conteúdos com resumos criptográficos.

Para os softwares de assinatura digital, como o Portal QualiSign, a Instrução Normativa 09/2006, do ITI, de 18.05.2006, e seus documentos conhecidos com DOC-ICP-15, regulamentam os requisitos para softwares de assinatura digital, sigilo e autenticação, no âmbito da ICP-Brasil.

De acordo com o art. 10, da MP n° 2.200-2, os documentos eletrônicos assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil têm a mesma validade jurídica que os documentos em papel com assinaturas manuscritas. Importante frisar que os documentos eletrônicos assinados digitalmente por meio de certificados emitidos fora do âmbito da ICP-Brasil também têm validade jurídica, mas esta dependerá da aceitação de ambas as partes, emitente e destinatário, conforme determina a redação do § 2º do art. 10 da MP n° 2.200-2.

Assinatura Eletrônica é o gênero para designar todas as espécies de identificação de autoria de documentos ou outros instrumentos elaborados por meios eletrônicos, enquanto a assinatura digital é uma das espécies do gênero assinatura eletrônica (1).

Como analogia, podemos considerar que a assinatura eletrônica diz respeito à floresta com os seus vários tipos de árvores, enquanto a assinatura digital diz respeito a uma das espécies de árvore desta floresta.

(1) “A nomenclatura “assinatura eletrônica” foi escolhida pelo fato de a mesma caracterizar uma expressão lato sensu, ou seja, mais ampla em comparação à assinatura digital. A expressão “assinatura eletrônica” seria tecnologicamente neutra por deixar em aberto as técnicas a serem adotadas, enquanto que a expressão “assinatura digital”, espécie do gênero assinatura eletrônica, estaria de antemão elegendo a criptografia assimétrica”.

Assinatura digital é uma das espécies de assinatura eletrônica. Assinatura Eletrônica é o gênero para designar todas as espécies de identificação de autoria de documentos ou outros instrumentos elaborados por meios eletrônicos.

No contexto da formalização digital a característica mais importante que se deve identificar entre as espécies de assinatura é a força probante ou eficácia probatória que é a capacidade que se tem de provar que uma determinada assinatura foi feita pela pessoa que se diz ser.

A assinatura digital (padrão x509 v3) utiliza o conceito de criptografia assimétrica que é composto por um par de chaves criptográficas (pública e privada) que se complementam entre si. A chave privada, que é de posse e responsabilidade exclusiva de seu proprietário, é utilizada para assinar digitalmente um documento eletrônico e a chave pública é utilizada por qualquer pessoa para comprovar a autoria da assinatura.

Podemos afirmar que entre todas as espécies de assinatura eletrônica, as legislações mundo afora escolheram apenas a assinatura digital (Infraestrutura de Chaves Públicas, (1)) como substituto legal da assinatura de próprio punho. O Brasil possui uma legislação específica desde 2001 que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, § 1º, da Medida Provisória 2.200-2 de 24 de agosto de 2001, (2)).

(1) Infraestrutura de Chaves Públicas. Estrutura de entidades que controlam a emissão de certificados digitais e dão confiabilidade e legitimidade ao processo.

(2) “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da lei nº 3071, de 1/1/1916 - Código Civil.”

No contexto da formalização digital a característica mais importante que se deve identificar entre as espécies de assinatura é a força probante ou eficácia probatória que é a capacidade que se tem de provar que uma determinada assinatura foi feita pela pessoa que se diz ser.

Esta característica é a base para entendermos melhor as diferenças de cada tipo de assinatura eletrônica, veja alguns exemplos:

Senhas: Código secreto previamente acordado entre as partes como forma de reconhecimento.

Assinatura digitalizada: É a reprodução da assinatura de próprio punho como imagem (grafia) obtida por um equipamento tipo escâner.

Aceite Digital: É um acordo em forma digital. Pode ser um “clique no botão, De Acordo, Confirmar, etc.”, o que significa uma concordância aos termos de um documento.

Assinatura Digital: Resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica (padrão x509 v3) que permite aferir com segurança a autoria e não repúdio da assinatura e a integridade do documento.