O poder dos Certificados de Atributo ICP-Brasil

AGRADEÇA AO AUTOR COMPARTILHE!

A certificação digital já é utilizada em grande escala no meio empresarial, sendo que uma das aplicações do certificado digital mais disseminada atualmente é a emissão da NF-e (Nota Fiscal Eletrônica). Fora do âmbito empresarial também é usado para declaração de Imposto de Renda de Pessoa Física – entre outras aplicações disponíveis.

Ocorre que a certificação digital pode ir muito além de facilitar a emissão de notas fiscais ou declaração do IRPF.

Imagem via Shutterstock

Imagem via Shutterstock

Sabemos que ter um e-CPF ou e-CNPJ tem inúmeras vantagens em nosso dia a dia. Com meu e-CPF, por exemplo, posso comprovar minha identidade no meio digital de uma forma simples e totalmente segura, podendo realizar transações que antes teriam que ser feitas pessoalmente com documentos de identificação em mãos.

Olhando para os meus documentos pessoais, eu tenho documentos que servem pra comprovar minha identidade, outros, no entanto, definem apenas atributos sobre mim.

  • e-CPF: Comprova minha identidade.
  • tulo de eleitor: Define que eu sou um eleitor e posso votar.
  • Carteira de vacinação: Marca as gotinhas que tomei e as agulhas que eu fugi.
  • Certificado de dispensa de incorporação (CDI): Comprova que eu me alistei em alguma força armada, porém, foi dispensado de incorporação.

Destes acima somente o e-CPF permite me autenticar, ou seja, assegurar que o seu portador realmente é o Luiz Henrique Gomes Palácio. Então por que não unificar esses documentos? Por meio de um único documento físico isso seria impossível, devido as diferentes datas de emissão de cada um. Então, poderíamos usar certificado digital para resolver esse problema?

Sim, criar vários tipos de certificados, como um e-CPF, e guardar em um Token ou Cartão é uma opção, só que isso não é nem um pouco eficiente. Primeiro por que eu teria que proteger várias chaves privadas, com mais um monte de senhas para decorar. Além disso, a cada emissão de um certificado sou obrigado a ir pessoalmente na entidade fazer a validação do titular.

Ou seja, a certificação digital é um modelo que não escala. Não é prático alguém ter (e manter) muitos certificados digitais. No entanto, uma das ferramentas possíveis, através da tecnologia de certificação digital, que resolve esse problema muito bem é o Certificado de Atributo.

O que é um certificado de atributo?

De acordo com o ITI (Instituto Nacional de Tecnologia da Informação):

“O certificado de atributo é um conjunto de informações ou estrutura de dados de segurança e identificação, constantes em campos de um certificado digital, ou anexadas a um outro certificado e assinados com a chave pública da autoridade que o emitiu. Esse certificado traz informações sobre seu titular, como cargo, função, profissão, etc. O certificado de atributo também segue o padrão X.509, adotado pela *ICP-Brasil na emissão de certificados de pessoa física, jurídica e de equipamentos.”

De uma forma simples, o certificado de atributo é usado para definir autorizações (quem pode fazer o quê). É um documento eletrônico assinado digitalmente e que contém qualificações do seu titular atribuídas por uma Entidade Emissora de Certificado de Atributo (EEA).

Por exemplo: Médicos, Advogados, Contadores, Engenheiros, etc, podem provar no meio digital suas titulações através de Certificados de Atributo, emitidos através dos respectivos conselhos profissionais. Mas também não é só isso, os Certificados de Atributo podem ser usados para as mais diversas finalidades, veja a lista:

  • identificação de pessoas que fazem jus a determinado direito;
  • restrição de acesso de determinados usuários às aplicações;
  • delegação de poderes (procuração);
  • afirmação de fatos sobre o titular que sejam do conhecimento da Entidade Emissora de Certificados de Atributo.
  • identificação e definição de cargos/hierarquias de funcionários e servidores de empresas ou órgãos públicos;

Comparação entre Certificado Digital e o Certificado de Atributo

Característica Certificado Digital Certificado de Atributo
Padrão de formato X.509 X.509
Emissor do Certificado Autoridade Certificadora (AC) Entidade emissora de Certificado de Atributo (EEA)
Relação definida no Certificado Titular a chave pública Titular o atributo
Revogação Lista de Certificados Revogados (LCR) ou OCSP Lista de Certificados Revogados (LCR) ou OCSP

Tipos de Certificado de Atributos

Certificado de Atributos Autônomo (CAA) – este certificado tem como característica principal a possibilidade de ser emitido de forma independente da presença do titular. Não requer a necessidade de um certificado digital associado. O processo de emissão requer apenas que a EEA seja a entidade gestora do atributo que será inserido no certificado de atributo assinado. Obviamente é necessário que o certificado de atributo guarde alguma relação direta ou referência com alguma informação relativa ao cidadão (RG, CPF, entre outros) ou a empresa (CNAE, CNPJ, entre outros). Como exemplo de potencial EEA para este tipo de certificado, podemos citar as instituições públicas que emitem certidões e/ou declarações de forma “online” via Internet. Estas certidões ou declarações podem ser emitidas na forma de certificado de atributos. Principais benefícios para estas instituições:

  1. emissão de um documento eletrônico, neste caso uma certidão eletrônica, com valor probante;
  2. a certidão eletrônica, na forma de um certificado de atributo, pode ser tratada (interpretada) eletronicamente, seja para aferir a autenticidade, seja ainda para dar a devido tratamento em um processo eletrônico;
  3. interoperabilidade em operações eletrônicas seguras.

Certificado de Atributos Vinculado ao Certificado Digital (CAV) – este certificado se caracteriza por ter um vínculo direto com algum certificado digital ICP-Brasil previamente emitido. Isso garante maior segurança ao processo de autenticação e autorização associado ao uso da certificação digital. Enquanto o certificado digital permite a identificação de seu titular, o certificado de atributos qualifica este mesmo titular para um determinado ato. Para a emissão de um CAV, a EEA tem que necessariamente ter acesso ao certificado digital do titular para poder associar as informações constantes do certificado digital ao certificado de atributo a ser emitido. No caso de uma EEA, ser um banco, por exemplo, o certificado de atributo pode determinar acesso a determinadas operações diferenciadas além das operações permitidas para um cliente que tenha apenas um certificado digital.

Entidades Emissoras de Certificados de Atributo no Brasil

Os Certificados de Atributo são emitidos por uma Entidade Emissora de Atributos (EEA), que é a entidade que detém prerrogativa legal na verificação e gestão do atributo conferido.

  • órgãos de classe;
  • órgãos públicos;
  • cartórios e registradores;
  • faculdades e escolas;
  • empresas em geral;

Regulamentação do uso de Certificados de atributo

No dia 5 de Julho de 2012, o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CGICP-Brasil aprovou a criação dos certificados de atributo no âmbito da ICP-Brasil. O modelo aprovado não estabelece uma estrutura formada por autoridades de atributo. Antes, os atributos terão validade jurídica quando assinados com um certificado digital da ICP-Brasil de propriedade da entidade que conceda determinado atributo. Não será criada uma nova infraestrutura exclusiva para a emissão de certificados de atributos, além de que a medida retira da ICP-Brasil a responsabilidade solidária pelas informações contidas no certificado que não podem ser verificadas ou mesmo controladas por terceiros.

Os DOC ICP nº 16 e 16.1 são os documentos que apresentam a visão geral e perfil de uso geral e requisitos para geração e verificação de certificados de atributo na ICP-Brasil.

Conclusão

A certificação digital no Brasil tem crescido muito e trouxe diversos benefícios até o momento. Infelizmente os Certificados de Atributo ainda estão na fase inicial de adoção pelas empresas, que no momento ainda desconhecem todos os benefícios que podem trazer para seu dia a dia.

ICP-Brasil = Infraestrutura de Chaves Públicas Brasileira

AGRADEÇA AO AUTOR COMPARTILHE!

3 Comentários

Yuri Matheus
2

Luiz ótimo artigo. Agora fico me perguntando: “Quando estiver mais implementado os Certificados de Atributo ICP-Brasil nas corporações quais serão os outros benefícios para os colaboradores e para o empregador?”

Gesiel
3

Ótimo artigo, esclareceu algumas dúvidas, porém os Certificado de Atributos são mais dúvidas que ao longo do tempo acredito que serão esclarecidas e apresentadas as benefolências dos mesmos.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">