Assinatura digital: tudo o que você precisa saber
A assinatura digital nada mais é do que uma ferramenta de segurança da informação, e ela garante 2 princípios básicos: a autenticidade e a integridade dos documentos. Isso é realizado em função de um processo altamente capaz de autenticar a autoria de determinado documento em meio eletrônico.
Também chamada de assinatura eletrônica, ela não pode ser confundida com o termo “digitalização”, que se refere à transferência de determinado conteúdo do papel para o meio eletrônico.
Quer saber mais sobre o assunto? Então acompanhe este texto até o final:
O documento eletrônico
A assinatura digital é uma ferramenta que surgiu a partir da demanda de serviços realizados em meio eletrônico. Conforme as ações foram se aperfeiçoando em ambiente virtual, muitos processos passaram a exigir a autenticidade e a integridade que a assinatura digital pode conferir.
Isso significa que, para ser considerada uma assinatura digital, ela deve estar presente necessariamente em um documento eletrônico — e é por esse motivo que ela pode ser chamada também de assinatura eletrônica.
Nesse processo, a autenticação dos documentos é feita a partir do uso da técnica da criptografia assimétrica invertida.
A criptografia assimétrica
A criptografia, basicamente, funciona de modo a misturar os dados de modo que eles fiquem completamente incompreensíveis para as pessoas que não estão autorizadas a acessar seu conteúdo. Da mesma forma, ele pode ser conferido em sua integridade somente por quem tem a devida autorização.
A técnica da criptografia assimétrica consiste no uso de 2 chaves: uma delas é a chave pública; e a outra, privada. A chave pública serve para codificar determinado documento, enquanto a chave privada serve para fazer o contrário, ou seja, decodificar o documento.
Entretanto, quando falamos em assinatura digital, as coisas se invertem. Nesse caso, é a chave privada que vai codificar e a chave pública que vai decodificar.
A técnica da assinatura digital
A assinatura digital acontece em 2 etapas:
1ª etapa
Tudo começa com a própria geração da assinatura, ou seja, no momento em que a pessoa assina o documento.
Por exemplo: imagine um remetente que pretende enviar uma mensagem assinada para um destinatário. Esse remetente cria o documento original e extrai um resumo do documento (o chamado “Hash”), que é gerado automaticamente pelo próprio software que a pessoa está usando para assinar o documento.
A partir de então o remetente, com sua chave privada, criptografa esse resumo. Atenção: o que foi criptografado nesse momento foi apenas o resumo da mensagem. O documento original, segue intacto.
A assinatura digital é o resumo da mensagem criptografada com a chave privada do remetente. Nessa 1ª etapa, quando o remetente envia a mensagem via internet para seu destinatário, ele envia tanto o documento original como também a assinatura.
2ª etapa
A 2ª etapa da assinatura digital diz respeito à validação. É nesse momento que será feita a verificação da mensagem para se saber se ela foi assinada pelo remetente e, somente então, ela será validada.
Voltemos ao exemplo: o destinatário recebeu o documento original e a assinatura. Nesse caso, o software que ele estiver usando vai verificar a assinatura digital do remetente e usar a chave pública para fazer a validação, decodificando essa assinatura — que é o resumo da mensagem criptografada — com a chave privada do remetente.
Nesse ponto, é preciso fazer uma observação: na criptografia de chave assimétrica a chave pública do destinatário é usada para criptografar a mensagem. Uma vez recebida a mensagem, ele usa a chave privada própria para descriptografar a mensagem.
Porém, estamos tratando de assinatura digital e, com essa ferramenta, os processos se invertem, pois agora estamos falando das chaves do remetente. Sendo assim, serão usadas as chaves do remetente para fazer a assinatura, o que significa que é a chave privada que será usada para assinar, e a chave pública para fazer a validação.
Nesse caso, o destinatário vai descriptografar a assinatura e ter o resumo do que o remetente gerou antes do envio. Nesse momento, o destinatário gera um novo resumo a partir do documento que recebeu. Consequentemente existem 2 resumos: o que foi gerado pelo remetente antes do envio e o outro, que foi gerado pelo destinatário depois do envio.
A análise dos resumos
A partir de então, os 2 resumos vão ser comparados e, se houver alteração, é possível identificar que o documento foi adulterado. Dessa forma, a assinatura digital garante a integridade do documento, ou seja, atende ao seu princípio básico.
Se não houver nenhuma alteração e os 2 resumos forem rigorosamente iguais, é possível saber que não houve adulteração do documento. Da mesma maneira, se a chave que estiver sendo usada não for a do remetente, na hora de descriptografar e comparar com o resumo que o destinatário gerou, o resultado vai ser diferente. Consequentemente, é possível conferir a autenticidade da informação.
Embora a assinatura digital use a técnica da criptografia de forma invertida, é importante destacar que ela não criptografa o documento em si, ou seja, a assinatura digital não garante o sigilo das informações.
Isso significa que, se durante o envio de uma mensagem assinada digitalmente ela for capturada por um invasor, ele pode ter acesso às informações daquela mensagem. É importante ressaltar isso porque o objetivo da assinatura digital não é garantir o sigilo da informação, mas sim garantir a veracidade das informações presentes no documento.
Os certificados digitais
A chave privada é guardada sob a posse do usuário, enquanto a chave pública é distribuída na forma de um Certificado Digital, espécie de documento eletrônico que pode identificar com precisão uma pessoa jurídica ou física na internet.
Ela substitui a assinatura manuscrita por um equivalente eletrônico com muito mais segurança. Por isso, o certificado digital possui validade jurídica para proteger as transações realizadas eletronicamente.
Esses certificados podem ser emitidos e renovados por Autoridades Certificadoras (ACs), entidades que são fiscalizadas periodicamente, sendo submetidas a rigorosos processos de auditoria, para que possam emitir certificados para pessoas físicas ou jurídicas, equipamentos e até mesmo outras ACs.
Você ficou interessado no assunto? Então conheça a nossa solução de assinatura digital.