Capítulo 03: Certificação Digital - Integridade e Assinatura Digital

De acordo com o art 2.º do Decreto-Lei n.º 290-D/99 de 2 de Agosto, assinatura digital é um:

• "processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura".

 

Tal como a assinatura tradicional é utilizada em documentos em papel, as assinaturas digitais são utilizadas para identificação de autoria de documentos electrónicos, com o mesmo significado e o mesmo grau de importância.

As assinaturas digitais são criadas utilizando a chave privada do titular. Posteriormente são verificadas pelo receptor utilizando a chave pública do titular da assinatura, a qual se encontra no Certificado Digital emitido em seu nome.

Para assinar digitalmente qualquer tipo de documento electrónico a fim de comprovar inequivocamente a autoria do mesmo, o utilizador deverá possuir um Certificado Digital, único e pessoal, que comprove indubitavelmente a sua identidade no mundo electrónico e que tenha sido emitido por uma entidade certificadora de confiança, devidamente fiscalizada e credenciada nos termos do Decreto-Lei n.º 290-D/99 de 2 de Agosto.

Assinatura Digital é, pois, uma modalidade de assinatura electrónica que consiste num «selo electrónico» que é acrescentado a um documento e que é criado através de um sistema criptográfico assimétrico, que gera e atribui ao respectivo titular uma chave privada e uma chave pública.

Uma assinatura digital é um "selo electrónico" que pode ser enviado durante qualquer transacção electrónica. Semelhante a um selo de um pacote de encomenda, a assinatura digital previne que alguém possa alterar quer o conteúdo da informação, quer os dados do verdadeiro emissor do conteúdo. Qualquer mudança na informação, nem que seja uma vírgula, será detectada quando essa assinatura digital for verificada.

Para criar uma assinatura digital é necessário primeiro que o emissor da mensagem gere uma versão da mensagem (versão reduzida, 160 bits por exemplo), conhecida por código Hash ou resumo/código electrónico da mensagem. Este resumo, gerado por algoritmos públicos (SHA-1, SHA-256, etc), é único para o texto original. Basta alterar o texto original (num único bit) para que o resumo então gerado seja completamente diferente.

O emissor cria a assinatura digital ao assinar (cifrar), posteriormente, o código Hash da mensagem com a sua chave privada.

Figura 1 - Processo automático necessário para obtenção de uma mensagem assinada digitalmente.

Atendendo ao regime legal aplicável, o valor jurídico da assinatura digital é, nos termos do artigo 7º do Decreto-Lei n.º 290-D/99, equiparado à assinatura autógrafa tradicional, consagrando a presunção legal, ilidível por prova em contrário, de que o documento electrónico ao qual foi aposta uma assinatura digital se verificam as três funções destas e os correspondentes efeitos práticos e jurídicos, nomeadamente:

• Função identificadora: a assinatura identifica inequivocamente a autoria do documento;
• Função finalizadora: comprova o assentimento do signatário às declarações de vontade constantes do documento;
• Função de inalterabilidade: comprova que o documento não foi alterado após a aposição da assinatura até à sua recepção pelo destinatário.

 

Com o objectivo de mais ninguém ter acesso ao conteúdo da mensagem, a não ser o correcto receptor, isto é, para garantir a confidencialidade na transmissão de informação, o emissor da mensagem adiciona a assinatura digital criada à mensagem original, que cifra, por sua vez, com a chave pública do receptor. É criada assim uma mensagem electrónica confidencial e assinada digitalmente.

Figura 2 - Processo de cifragem das mensagens assinadas digitalmente.

Após a recepção da mensagem, o receptor acede ao texto utilizando a sua chave privada. A fim de obter a assinatura digital original em formato legível, o receptor decifra o código Hash recebido com a chave pública do emissor (Valor A). Para verificar a exactidão da assinatura digital e a integridade da informação, o receptor gera um código Hash com a mensagem original que recebeu (Valor B), e compara este código com o que obteve da decifragem da assinatura digital recebida (Valor A). Se o receptor validar positivamente a assinatura digital com a chave pública do emissor, temos a garantia de que a mensagem foi enviada pelo dono da chave privada e que, simultaneamente, não foi alterada no seu trajecto.

Figura 3 - Processo de validação das mensagens assinadas digitalmente.

» Ir para o Capítulo 04: Certificado Digital

Outros capítulos:

• Capítulo 01: Enquadramento da Certificação Digital
• Capítulo 02: Introdução a principais conceitos
• Capítulo 04: Certificado Digital
• Capítulo 05: Confidencialidade e Certificado Digital
• Capítulo 06: Timestamping