Ir para o conteúdo

Assinatura digital

Um certificado digital está associado a uma chave privada e a uma chave pública. A chave pública faz parte do certificado e é de conhecimento de qualquer pessoa. Já a chave privada é de conhecimento apenas do dono do certificado. Utilizando sua chave privada e seu certificado, o dono do certificado pode gerar uma assinatura digital sobre um determinado arquivo digital, demonstrando assim concordância com o que consta no arquivo.

Importantes propriedades da assinatura digital:

  • Sem o acesso à chave privada, não é possível forjar uma assinatura, de forma a fazer crer que o dono do certificado está de acordo com algum determinado arquivo com o qual, na verdade, ele não está de acordo.
  • Após a assinatura ser gerada, o dono do certificado não pode mais negar ter feito a assinatura. Pois em posse do arquivo de assinatura e do arquivo original, qualquer um consegue constatar a veracidade da assinatura. Isso também é conhecido como não-repúdio.

Atenção a uma sutiliza: na "assinatura manual" (de próprio punho), independentemente do documento a ser assinado, a assinatura é sempre a mesma - cada pessoa possui apenas uma assinatura manual. Já com a assinatura digital é diferente. Cada par pessoa (com um determinado certificado digital) mais um documento a ser assinado, produzirá uma assinatura diferente. Ou seja, uma pessoa assinando digitalmente diferentes documentos, produzirá assinaturas digitais distintas. E duas pessoas assinando digitalmente o mesmo documento, também produzirão assinaturas digitais diferentes.

Outra sutileza: diferente do que ocorre com a assinatura manual, quando se assina digitalmente um arquivo, o arquivo original não é alterado. Uma exceção a isso é o PDF com assinatura embutida, que possui um padrão muito particular (PAdES) para que isso ocorra, possibilitando inclusive a exibição de um carimbo visual de assinatura.

Um certificado digital deve ser expedido e assinado por uma autoridade certificadora. No Brasil, assinaturas digitais realizadas com certificados emitidos por autoridades certificados que fazem parte da cadeia ICP-Brasil possuem validade jurídica tanto quanto uma assinatura em papel com firma reconhecida no cartório.

A chamada "assinatura avançada", instituída pela Lei 14063 de 2020 e provida pelo Instituto Nacional de Tecnologia da Informação (ITI), é uma forma de fornecer uma assinatura digital mais simples e mais barata ao cidadão para a interação com serviços digitais de governo. Essa assinatura é gerada nos servidores do ITI (com a autorização do cidadão garantida pelo serviço de identificação gov.br) e utiliza uma cadeia própria de certificados digitais (não é ICP Brasil).

A força do sistema de assinaturas digitais está na possibilidade de verificação da assinatura. Em termos práticos, para um humano, uma forma de se validar uma assinatura digital (seja a convencional, seja a embutida em PDF) é utilizando o Assinador Serpro ou o Verificador do ITI. Para as assinaturas digitais avançadas, expedidas pelo sistema do ITI, a assinatura pode ser verificada no Assinador do ITI.

Para que um sistema de computador realize a validação de uma assinatura digital, é preciso a utilização de bibliotecas específicas. Por exemplo, em Java, pode-se utilizar as bibliotecas Bouncy-Castle e PDF-Box para validar assinaturas digitais, inclusive assinaturas embarcadas em PDFs. O Demoiselle Signer é uma biblioteca desenvolvida pelo Serpro para geração e verificação de assinaturas digitais, trazendo facilidades no contexto de assinaturas ICP Brasil.