Ir para o conteúdo

GPWeb

GPWeb > Histórico de Fóruns > Sugestões de melhorias > Validade Jurídica da Assinatura Digital
Histórico de Fóruns
 Voltar a Sugestões de...
Tela cheia

Validade Jurídica da Assinatura Digital

19 de Maio de 2011, 15:02 , por Desconhecido - | 2 Pessoas seguindo este artigo.
Visualizado 95 vezes

Caro Cap Reiner,

Gostaria de saber se foi levantada a questão da validade jurídica dos documentos eletrônicos assinados pelo GP-Web. 

 Pelo que percebi o sistema utiliza um sistema de criptografia por chave assimétrica baseada no OpenSSL e cria um certificado raiz auto-assinado ou cria um certificado cliente baseado no certificado do servidor.

A Medida Provisória 2.200-2 de 24 agosto 2001, garante validade jurídica as documentos assinados eletronicamente com certificados da cadeia da ICP-Brasil.

A ICP-Brasil por sua vez, estabeleceu diversas normas e manuais que estabelecem requisitos obrigatórios para sistemas que fazem uso de assinatura digital, como o DOC-ICP 15.01 e o Manual de Condutas Técnicas 4 - Volume I.

O SPED, pelo que soube, em sua versão interna, suportava a assinatura digital por meio de dispositivos criptográficos como tokens e smart cards no padrão ICP-Brasil, mas fazia isso através de uma biblioteca java desenvolvida por terceiros e,  por isso, não foi incluída na versão disponibilizada no Portal do Software Público.

Me preocupa a questão de validade jurídica e do cumprimento dos requisitos técnicos de segurança.

Me encontro atualmente na Casa Militar do Distrito Federal, e estou trabalhando no levantamento de requisitos para um sistema de tramitação eletrônica de documentos, pois acredito que ele poderá ser utilizado no âmbito de todo o governo do DF.

Existem estudos para que as exigências da ICP-Brasil sejam atendidas no GP-Web?

Você teria mais informações a respeito?

Grato.

Cap Maia.

Casa Militar do Distrito Federal.



Autor: Ricardo Maia


1212 comentários

  • F205f9606b3272f6589a208b80b051ee?only path=false&size=50&d=404Sérgio Reinert(usuário não autenticado)
    19 de Maio de 2011, 22:26

     

    Eu também estudei a legislação para implementar. Vou explicar como se encontra hoje no GP-Web.

    O mesmo usa RSA 128 bits, que é o padrão nacional.

    Como se processa ? E essa é o ponto sensível, pois a legislação foi vaga.

    Por falta de regras claras eu adotei a seguinte estratégia: Todo o texto da mensagem, mais seu título, destinatários e remetentes são posto numa única linha string. Com isso eu faço um Hash da string, que dará um código e uitilizo esse código gerado para realizar a assinatura elertrônica utilizando as funções OpenSSL do PHP.

    Caso a minha linha de ação esteja em desacordo, favor me passe qual seria a linha de ação correta.

     P.S. O GP-Web não usa certificado auto-assinado, exceto quando o administrador não carrega o certificado da organização e também não fornece a senha deste certificado.

    Att, Cap Reinert

    • 17e520409592663f6a8cb7dc2113df65?only path=false&size=50&d=404Ricardo Maia(usuário não autenticado)
      20 de Maio de 2011, 12:06

       

      Cap Reiner,

      Gostaria de me desculpar se meu texto surtiu um efeito de crítica negativa, como se você não tivesse estudado a legislação pertinente antes de desenvolver o sistema.

      É fácil apontar problemas, mas difícil resolvê-los! Estou disposto a colaborar para o crescimento da ferramenta. Se tiver algo em que eu possa ser útil, conte comigo!

       Atenciosamente,

      Cap Maia.

       

      • F205f9606b3272f6589a208b80b051ee?only path=false&size=50&d=404Sérgio Reinert(usuário não autenticado)
        20 de Maio de 2011, 13:18

         

        Eu quero sempre tentar aprender mais, e não considerei crítica negativa.

        Vou estudar os dois tipos que vc informou, mas minha dúvida ainda persiste. O que exatamente de um documento é assinado eletrônicamente? O corpo do texto, o arquivo como todo? Etc.

        Se conseguir me dar uma ideia neste por menor, me facilitará bastante. O ponto seguinte é: Como outras pessoas sabem que o documento está assinado eletronicamente? É um PDF com informação extra? É um arquivo especial?

        Toda legislação que li, só falava de forma superficial, sem entrar numa implementação prática real.

        • 8b8299ae7658251dba0bcb565357307e?only path=false&size=50&d=404ANDERSON OLIVEIRA(usuário não autenticado)
          20 de Maio de 2011, 17:55

           

          www.​iti.​gov.​br/t​wiki​/bin​/vie​w/Ce​rtif​icac​ao/E​stru​tura​Icp

           

          Todo o processo, na aba "homologação"

        • 17e520409592663f6a8cb7dc2113df65?only path=false&size=50&d=404Ricardo Maia(usuário não autenticado)
          2 de Junho de 2011, 22:11

           

          Sérgio estou estudando a viabilidade de criar uma classe em PHP que implemente os requisitos da ICP-Brasil.

          Devido a impossibilidade do PHP interagir diretamente com dispositivos criptográficos como tokens e smart-cards, penso que talvez seja possível integrar os applets do projeto OpenSC (http://www.opensc-project.org/opensc) no GP-Web.

          Já fiz alguns testes com o mod_ssl do Apache, especificamente a diretiva SSLVerifyClient, que envia cabeçalhos para o navegador requisitando um certificado cliente. Se o navegador for capaz de trabalhar com dispositivos criptográficos então será solicitado o PIN do dispositivo.

          O navegador envia as informações do certificado para o servidor web. Configurando a diretiva SSLOptions com as opções +StdEnvVars e +ExportCertData então o PHP é capaz de obter informações do certificado, que passa a estar disponível na variável de ambiente $_SERVER['SSL_CLIENT_CERT'].

          Acho que o fórum é um ambiente um tanto limitado para registrarmos questões técnicas. Existe a possibilidade de me dar acesso ao wiki no Trac do projeto, para que os quesitos sejam registrados lá?

          • F205f9606b3272f6589a208b80b051ee?only path=false&size=50&d=404Sérgio Reinert(usuário não autenticado)
            3 de Junho de 2011, 7:33

             

            Aco que consigo sim. Vou entrar em contato com o Daniel, do Min. do Planejamento que é quem cuida da parte técnica do Portal, para ver como dar acesso ao  wiki no Trac.

            Aproveito para reforçar meu obrigado por estar colaborando neste tópico sobre segurança, pois creio que caso o GP-Web consiga emitir assinaturas eletrônicas com validade jurídica haverá um novo universo de pessoas com interesse em utiliza-lo.

            • 17e520409592663f6a8cb7dc2113df65?only path=false&size=50&d=404Ricardo Maia(usuário não autenticado)
              17 de Junho de 2011, 11:46

               

              Como vai Sérgio?

              Novidades sobre o acesso ao Wiki/Trac?

              • F205f9606b3272f6589a208b80b051ee?only path=false&size=50&d=404Sérgio Reinert(usuário não autenticado)
                17 de Junho de 2011, 12:22

                 

                Eu estive enrolado semana passada em Brasília e esta com um curso do GP-Web que encerrei hoje.

                Não esqueci das criptopgrafias e assinaturas eletrônicas, mas baseado nas recomendações do Min. Planejamento que está dando aopio logístico ao GP-Web, além de sanar eventuais bugs reportados, estou focando até 29 Jun em implantar Porfólio de projetos.

    • 17e520409592663f6a8cb7dc2113df65?only path=false&size=50&d=404Ricardo Maia(usuário não autenticado)
      20 de Maio de 2011, 11:22

       

      Bem, eu ainda não estudei todos os requisitos exigidos pela ICP-Brasil na assinatura e verificação de assinatura digital em documentos  eletrônicos (DOC-ICP-15.01), mas pelo que entendi, até agora, ela admite apenas 02 formatos de assinatura digital: o CAdES e o XAdES.

      Quando da verificação da assinatura, por exemplo, faz-se necessário verificar o status de revogação na cadeia de certificação. Até onde sei, o PHP não dá suporte a manipulação de um arquivo .CRL, que contêm a lista de certificados revogados junto a Autoridade Certificadora.

      Outras organizações que visitei dispunham de seus sistemas de tramitação de documentos eletrônicos, mas a validade e a aceitação destes documentos como seus equivalentes impressos e assinados, era feita mediante portaria interna da autoridade competente no órgão, seja o Ministro, Secretário de Estado ou Comandante-Geral.

      Nestas organizações  existe uma "Presunção de Veracidade" nos documentos que tramitam por meio do sistema, pois foi "homologado" pela autoridade competente.

      Se ocorrer um problema, como o repúdio da autoria por exemplo, e o caso for para justiça, imagino que serão questionados quais os mecanismos de segurança foram adotados e se eles estão de acordo com as exigências da ICP-Brasil, podendo cair por terra a confiança no sistema.

GP-Web v. 8.0.26 (24 Jun)

25 de Junho de 2012, 1:22, por Desconhecido

0sem comentários aindaLeia mais

Treinamento do GP-Web em Porto Alegre-RS

8 de Maio de 2012, 0:22, por Desconhecido

Devido a uma solicitação da Polícia Militar do Rio de Janeiro, que enviará oficiais ao 3º Batalhão de Comunicações, para treinamento no software GP-Web, dentre os dias 15 a 17 de maio do corrente ano, foi franqueado para as Forças Armadas, demais Polícias e Bombeiros Militares do Brasil.

0sem comentários aindaLeia mais

Patrocínio do Tribunal de Justiça do Acre ao GP-Web

23 de Abril de 2012, 12:44, por Desconhecido

Foram realizadas diversas melhorias na versão 8.0.17 do GP-Web, todas patrocinadas pelo Tribunal de Justiça do Acre, com destaque para:

0sem comentários aindaLeia mais

Treinamento do GP-Web para o Ministério da Integração

8 de Abril de 2012, 19:56, por Desconhecido

0sem comentários aindaLeia mais

Treinamento do GP-Web para o INSS

4 de Abril de 2012, 5:49, por Desconhecido

0sem comentários aindaLeia mais

Leia mais