Certificação digital. Confiar ou não?

14.07.2009 |Certificação digital. Confiar ou não?

Conforme definição do ICP-Brasil, certificado digital é um documento eletrônico baseado em criptografia assimétrica e que serve para validar a autencidade da chave pública.

O processo de certificação digital consiste em criar este documento para dado par de chaves assimétricas de uma empresa ou pessoa. Procedimento este executado pelas Autoridade Certificadoras que são instituições públicas ou privadas cuja responsabilidade é criar e assinar digitalmente o certificado do cliente, onde o certificado emitido por ela representa a declaração da identidade do titular, que possui um par único de chaves (pública/privada); por sua vez estas entidades dependem que suas chaves sejam certificadas por uma Autoridade Certificadora Raiz.

No Brasil, o ICP-Brasil é a Autoridade Certificadora Raiz[2] e processo de credenciamento é definido na resolução nº 40 do Comitê Gestor da ICP-brasil[3]. As instituições que conseguiram este título pode ser visto na página de estrutura da ICP-Brasil[4] e entre elas estão o SERPRO, a Caixa Econômica Federal, SERASA, Receita Federal, Certisign, Imprensa Oficial, Ac-JUS (composta por participantes do STF, STJ, TST, TSE, STM, CNJ, CJF e o CSJT) e a ACPR criada por uma iniciativa da Casa Civil, no âmbito do governo eletrônico).

Pelos nomes que estão nesta lista pode-se ter uma certa segurança sobre o processo, já que tais empresas/instituições usam estes certificados no seu cotidiano e por conta disso não se arriscariam nem a confiar seus dados a entidades que não sejam idôneas, nem mesmo confiar na certificação dada por outra que não seja de igual idoneidade.

Sem a existência de uma Autoridade Certificadora, o procedimento adotado para garantir que as chaves pertencem a quem se diz é a chamada “Festa de assinatura de chaves”, tal como ocorrerá no 10º FISL[5] cujo procedimento é seguido geralmente por desenvolvedores de software e que é baseado no chamado “Protocolo Zimmermann-Sassaman”[6]. Mas este método não é adequado para fins mercadológicos. Imagine por exemplo uma festa de assinatura de chaves da rede bancária por exemplo!

Diante das informações a respeito do processo e autenticação e das instituições que estão por trás eu diria que sim, dá pra se confiar sim no processo de certificação digital e o motivo torna-se claro já que estas empresas prezam pela segurança dos seus dados, pois do contrário as perdas financeiras seriam catastróficas.