Os serviços do portal e-SAJ fazem uso de protocolos criptográficos seguros, infraestrutura de chave pública e protocolização digital para assegurar a integridade de documentos eletrônicos e sua validade jurídica segundo a Lei 11.419/06.
A segurança da informação está fundamentada, basicamente, nos seguintes itens:
Integridade: a integridade visa assegurar que um documento não teve seu conteúdo alterado após ter sido assinado. Para isso, o sistema é capaz de detectar alterações não autorizadas no conteúdo. O objetivo é que o destinatário verifique que os dados não foram modificados indevidamente.
Autenticidade: visa estabelecer a validade da transmissão, da mensagem e do seu remetente. O objetivo é que o destinatário possa comprovar a origem e autoria de um determinado documento.
Não repúdio: visa garantir que o autor não negue ter criado e assinado o documento.
Irretroatividade: visa garantir que o sistema não permita a geração de documentos de forma retroativa no tempo.
Um documento eletrônico é qualquer arquivo sobre o qual seja necessário agregar segurança segundo os itens acima relacionados.
Esses requisitos de segurança podem ser atendidos por meio do uso de técnicas de certificação e assinatura digital e de protocolação eletrônica de documentos.
Veja também:
O certificado digital é um software que faz o papel de uma identidade digital, ou seja, permite comprovar de forma eletrônica a identidade do usuário. Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a:
pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço;
sua chave pública e respectiva validade;
número de série; e
nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.
Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo.
O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas.
Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.
Leia mais em:
Sob a ótica jurídica verificamos que um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.
A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. A assinatura digital é realizada em duas etapas. Primeiramente o autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. Após essa operação, ele usa a chave privada de seu certificado digital para encriptar este resumo. O resultado deste processo é a assinatura digital.
A entidade encarregada de fornecer as chaves da assinatura digital é chamada de Autoridade Certificadora. A Autoridade Certificadora é uma entidade independente e legalmente habilitada para exercer as funções de distribuidora das chaves e pode ser consultada a qualquer tempo, certificando que determinada pessoa é a titular da assinatura digital, da chave pública e da respectiva chave privada. Isso significa que a assinatura digital não é criada pelo próprio usuário, mas sim fornecida por um terceiro participante confiável (a Autoridade Certificadora).
Dentre as muitas vantagens do uso deste tipo de firma, podemos citar:
a autenticidade, pois prova que o subscritor assinou o documento como sendo uma manifestação de vontade pessoal;
a impossibilidade de falsificação, pois comprova o fato de o documento ter sido marcado pelo subscritor e não por outra pessoa;
a exclusividade, pois não pode ser transferida para outro documento;
o caráter incontestável, advindo daí o instituto do "não-repúdio".
A utilização de certificados e assinaturas digitais garante a autenticidade, a integridade e o não-repúdio de um documento. Entretanto, essas técnicas não oferecem garantia a respeito do momento em que um determinado documento foi elaborado. Um documento assinado digitalmente pode até conter data e hora, entretanto, estas não podem ser consideradas confiáveis. Para resolver este problema se faz necessária a introdução de um novo componente: a Protocolação Digital de Documentos Eletrônicos. Este item acrescenta a característica de irretroatividade ao cenário de segurança de documentos.
Para realizar a protocolação digital é necessário utilizar um equipamento (hardware) especial, chamado “protocoladora digital”. Através do uso de uma protocoladora digital, é possível garantir:
a existência de um determinado documento em uma certa data/hora;
a integridade do documento eletrônico, desde sua protocolação, verificando se este não foi alterado;
a impossibilidade de protocolação de um determinado documento de forma retroativa no tempo, garantindo assim a ordem das protocolações.
Quando um documento é protocolizado, a protocoladora digital emite um recibo eletrônico. Através deste recibo é possível comprovar que um determinado documento foi criado em uma certa data/hora. Além disso, este processo de protocolação garante que seja impossível protocolar um documento eletrônico de forma retroativa com relação ao tempo, ao número do protocolo e ao conteúdo do original.
Para realizar a protocolação de um documento, o primeiro passo é a geração do seu resumo. Através do uso de fórmulas matemáticas, o documento é resumido a uma pequena seqüência binária de tamanho fixo, conhecida como "resumo criptográfico" ou "valor hash", que é única para cada documento eletrônico. É este resumo que será transmitido para a protocoladora digital. Não é necessário enviar o documento eletrônico original para a protocoladora, garantindo assim a privacidade e confiabilidade do documento eletrônico. Outro detalhe importante: é impossível recuperar o conteúdo original de um documento apenas de posse do seu resumo.
Uma vez gerado o resumo, o passo seguinte é o seu envio para a protocoladora digital. Ao recebê-lo, a protocoladora gera um recibo contendo o resumo criptográfico do documento, o número da protocolação e a data/hora em que ocorreu a protocolação. A data e a hora são fornecidas por servidores de tempo externos. O recibo resultante é disponibilizado para o remetente do documento, que deve armazená-lo em local apropriado. De posse do recibo, qualquer usuário poderá verificar a data e hora da protocolação de um determinado documento eletrônico e checar a integridade do documento eletrônico original.
Para prover esses recursos, a protocoladora digital requisita data e hora de um servidor de tempo externo seguro como, por exemplo, o servidor do Observatório Nacional. Opcionalmente, há também a possibilidade de sincronismo com GPS.