Modelo para inclusão de uma marca pessoal na assinatura digital

Transcrição

1 Modelo para inclusão de uma marca pessoal na assinatura digital Nicholas Martini (UNIPAR) Laurentino Augusto Dantas (UNIPAR) Resumo: A Assinatura Digital em Documentos Eletrônicos é feita usando-se criptografia assimétrica, onde a assinatura consiste da cifragem do hash do documento com a chave privada do emissor, tal processo consegue garantir a integridade do documento e relacionar ao emissor, porém o processo de assinatura digital não consegue criar o vinculo entre a pessoa e o documento, deixando assim uma lacuna em relação ao documento tradicional que possui uma marca pessoal do emissor (assinatura física). A biometria usada em conjunto com sistemas informatizados permite que uma marca pessoal do emissor seja armazenada e reconhecida, desta maneira pode-se dizer que é armazenada é uma característica pessoal, de modo a garantir a ligação física entre o valor armazenado e a pessoa emissora. A armazenagem de características físicas é feita através de templates os quais vêm sendo padronizados pela BioAPI Consortium (biblioteca de reconhecimento de características biométrica, padronizada pelas maiores empresas tecnológicas). A união da biometria com a assinatura digital irá atribuir aos documentos eletrônicos uma característica que hoje eles não possuem, que é marca pessoal do emissor, garantindo não só que o documento foi assinado por uma determinada chave privada, mas também que o documento foi assinado pela pessoa. Palavras-chave: Biometria; Assinatura Digital; Criptografia. 1. Introdução Com uma demanda emergente de troca de arquivos que esta ocorrendo pela Internet, estes que vão de simples mensagens, acordos comerciais, contratos, informações bancárias, entre outros, em determinada ocasião necessita-se, de um controle de sua autoria e procedência. Este mecanismo conhecido como assinatura digital, trata de garantir que o documento recebido é idêntico ao original, onde o mesmo não sofreu nenhuma alteração, a assinatura digital diz se o texto foi ou não modificado francisco (2000, p. 19), a assinatura garante que o documento recebido é equivalente ao original, e que foi assinado por determinada chave privada. A parte de validação do usuário ocorre através do processo criptográfico de chaves assimétrica, a chave privada é utilizada para criptografar o resumo do documento, e esta é conhecida somente pelo usuário legitimo, porém nada garante que esta chave de, alguma maneira, não seja descoberta ou divulgada, e neste caso documentos eletrônicos poderiam ser assinado por alguém que faça se passar pelo proprietário da chave, desta maneira o processo atual de assinatura digital garante qual chave foi usada e a quem esta chave pertence, mas não garante que o documento foi realmente assinado por esta pessoa. Para poder ser constatada a identidade física do criador, obtendo-se assim a garantia plena de que o determinado documento foi confeccionado por determinada pessoa é necessário que se vincule uma característica pessoal na assinatura digital, com a inserção desta marca pessoal será possível garantir não só que o documento foi assinado pela chave privada, mas também que o documento foi emitido por determinada pessoa. 1

2 2. Biometria Biometria tem sua origem do grego bios sendo sinônimo de vida e a junção de métron semelhante à medida ou comparação, sendo o ramo da ciência que estuda a mensuração (características) dos seres vivos. Uma grande tendência de mercado é a utilização da biometria ligada com a Tecnologia da Informação, pelo simples motivo, biometria relaciona a identidade através de uma característica única e inerente a determinada pessoa. Segundo bressan (2002, p. 3), qualquer característica humana, física ou comportamental, pode ser usada para identificação de pessoas, desde que satisfaçam aos seguintes requisitos: Universalidade: todas as pessoas devem possuir a característica a ser medida; Singularidade: indica que esta característica não pode ser igual em pessoas diferentes; Permanência: significa que a característica não deve variar com o tempo; Mensurabilidade: indica que a característica não pode ser medida quantitativamente; Desempenho: precisão da identificação, os recursos requeridos para conseguir uma precisão de identificação aceitável e ao trabalho ou fatores ambientais que afetam a precisão de identificação; Aceitabilidade: indica o quanto às pessoas estão dispostas a aceitar os sistemas biométricos; Proteção: facilidade ou dificuldade de enganar o sistema com técnicas fraudulentas.. 3. Documentos Digitais Documentos em geral, para serem legalmente válidos, precisam depender de confiança e credibilidade, que dependem de três características: a integridade, a genuinidade e a segurança. Para que seja autêntico, o documento não pode sofrer alterações, seja por erros humanos (involuntários ou intencionais), falhas técnicas, fatores externos ou fraudes, e precisa ser seguro. Um documento é seguro quando é difícil de manipulá-lo. Essas características visam manter o documento autêntico, íntegro e confidencial. (MARTINS, 2000) Dentro dessa conjuntura, surgiu a conceituação de documento eletrônico, que mantém as características principais do documento tradicional, adaptando-o ao meio no qual é concebido e a questão pertinente à identificação da pessoa signatária. Documento eletrônico é, em termos singelos, aquele gerado por meio eletrônico, e que por esse mesmo meio pode ser arquivado, recuperado ou transmitido. Ele vem substituir o papel nas contratações realizadas por via eletrônica. (COSTA e MARCACINI, 2001). A grande diferenciação entre documentos eletrônicos e tradicionais, esta meio em que são concebidos, documentos tradicionais representam-se por escritas em papéis, enquanto o documento eletrônico se representa por bits. Nesta apuração, para que um documento eletrônico tenha validade jurídica e possa 2

3 servir, por si só, de meio probatório em juízo, faz-se mister a ocorrência de dois requisitos: impossibilidade de alteração do seu conteúdo e perfeita identificação das partes. (JÚNIOR, 2001). Atualmente a grande desvantagem do documento eletrônico com relação ao documento tradicional é a falta de uma marca pessoal do emissor, marca que é denotada nos documentos tradicionais através da assinatura do emissor. 4. Assinaturas digitais e convencionais A assinatura convencional (manuscrita) é facilmente identificada em um documento tradicional, pois o autor, ao assinar um documento com propósito de autenticação, efetua em algo tangível (papel), esta entidade física fica o encargo de efetuar a ligação entre a informação impressa e o autor (assinatura). A assinatura manuscrita é considerada uma forma de medida biométrica indireta (aperto da caneta, continuidade e padrão de escrita), com isso imprimindo a escrita, existindo dependência com a biocaracterística da pessoa, onde se pode recorrer a cartório para constatar sua veracidade. Porém no mundo digital, não temos estas possibilidades de comparação, somente seqüências de bits. Diante disto como proceder a uma assinatura em um documento digital, está requer uma implementação que possibilita, fornecer as propriedades equivalentes de uma assinatura manual. Estas propriedades segundo stallings (1998) são: Capacidade de verificar o autor, a data e a validade da assinatura; Autenticar o conteúdo no prazo de validade da assinatura; A assinatura deve poder ser verificada por uma terceira pessoa (ou entidade), para resolver disputas, por exemplo, judiciais. autor ainda reforça que, para garantir que estas propriedades sejam satisfeitas, devem existir os seguintes requesitos para assinatura digital: A assinatura deve ser um exemplo de bits, que depende da mensagem que está sendo enviada; A assinatura deve usar alguma informação única do assinante, para prevenir contra falsificação e repúdio; Deve ser relativamente fácil a produção da assinatura digital; Deve ser relativamente fácil reconhecer e verificar a assinatura digital; Deve ser computacionalmente inviável falsificar a assinatura digital, em ambos os casos, de construção de uma nova mensagem para uma assinatura digital já existente, ou a geração de uma assinatura digital falsa, para uma dada mensagem; Deve ser prático, reter uma cópia da assinatura digital armazenada em meio digital;. Nos documentos eletrônicos não existe um meio físico onde se estabeleça a ligação entre o documento e a pessoa a qual o assina. È aplicada uma técnica de resumo denominada hash, juntamente com a criptografia assimétrica gerando uma assinatura digital. A função hash consiste na obtenção de um valor fixo aplicado em determinado arquivo digital, é utilizado para garantir a integridade da informação. Esta função objetiva validar unicamente o arquivo, não tornando possível à obtenção do arquivo original tomando- 3

4 se apenas o resultado final, ou seja, se obtiver o resultado da função hash é impossível recriar o arquivo do qual a função foi efetuada. A função resumo é obtida a partir de um algoritmo. Os mais utilizados é o MD5(Message Digest version 5), criado por Ron Rivest, Adi Shamir e Len Adleman, e o SHA-1(Secure Hash Algorithm), desenvolvido pelo NIST(National Institute of Standards and Technology). A criptografia assimétrica, conhecida também por criptografia de chave pública e privada, utiliza par de chaves para cifrar e decifrar a mensagem. Assim, se a chave privada (mantida em sigilo) é utilizada para cifrar, conseqüentemente a chave pública (de conhecimento aberto) e somente ela irá decifrar. Basicamente, a criptografia assimétrica solucionou dois problemas, a distribuição de chaves e as assinaturas digitais. A utilização da criptografia na assinatura digital ocorre da seguinte forma: Ela consiste em duas etapas: inicialmente o signatário utiliza um algoritmo para realizar a operação de resumo dos dados do documento, chamada função resumo. Em seguida a chave privada é empregada na cifragem desse resumo. Como somente o signatário conhece a chave privada, conseqüentemente somente ele pode realizar esta operação. Isto garante a assinatura digital (STINSON, 1995). 5. Modelo para inserção de característica biométrica na assinatura digital Logo abaixo, na figura 3 é apresentado graficamente o modelo proposto para inserção de uma característica biométrica na assinatura digital, após a representação, será decorrido o processo de funcionamento: 4

5 FIGURA 1 - Modelo de inserção de característica biométrica na assinatura digital (1)Inicialmente o usuário deverá importar o documento do qual pretende-se efetuar a assinatura digital, seguidamente após este passo, o sistema ira executar uma função resumo denominada hash (2), esta a qual ira efetuar a leitura do documento e transformá-lo em uma única seqüência de caracteres, com base nos bits do documento, criando a assinatura digital. Após o termino deste processo, (3) o usuário fará a leitura ou scanner da biometria de seu dedo polegar, ou seja, capturação da impressão digital. (4) Um software ira transformar a imagem capturada da impressão digital em um template, conforme as minúcias ou mensurações da imagem capturada, este template deve seguir o modelo padrão internacional, conforme designado pelo consórcio BioApi, desta forma conseguindo a impressão digital digitalizada do usuário, sendo este, o qual esta efetuado a assinatura do documento, após este procedimento, (5) o sistema efetuará a junção do resultado da função resumo(hash) com o template da impressão digital, porem não mesclando-os, (6) para então iniciar o processo de criptografia da junção do hash com o template, a criptografia ocorrerá através de par de Chave Assimétrica, sendo-as Chave Publica(PU) e Chave Privada(PK) do usuário remetente. Para se fazer à criptografia, será utilizada a chave privada (PK), a qual somente o usuário 5

6 remetente deverá ter o conhecimento, com isto concluindo a etapa de criptografia. (7) O sistema irá anexar o resultado criptográfico com o documento que se esta assinando, então podendo ser encaminhado aos destinatários ou estar sendo disponibilizado a todos os quais se pretendem utilizá-lo, um exemplo, seria disponibiliza-lo em sites para serem utilizados em ocasiões especificas. O usuário que pretenderá utilizar o documento necessita que o documento recebido/adquirido tenha a procedência garantida. Este que por sua vez, deverá seguir alguns procedimentos descritos a seguir, para constatar autoria e validação do documento digital. (8) Após o usuário destinatário receber/adquirir o documento, acessa-se o sistema, efetuando a importação do documento, além do mesmo deter o conhecimento da chave publica (PU) do usuário remetente, pois somente desta maneira, como descrito anteriormente, para se descriptografar determinado arquivo, sendo que este tenha sido utilizado algoritmos criptográfico de par de chaves (Privada e Pública), é necessário que o usuário destinatário tenha conhecimento da Chave Publica(PU) do remetente, pois somente esta irá conseguir descriptografar o arquivo desejado. (9) A partir da conclusão bem sucedida do processo de descriptográfia, o resultado é a função resumo (hash) juntamente com o template, estes, os quais estavam vinculados ao documento recebido inicialmente. Posterior, (10) é efetuado um novo processo de resumo(hash) no documento, este processo de resumo deve ser idêntico ao inicial, alem de ser efetuado no documento recebido, (11) este novo resultado é levado a comparação com o resultado do hash que estava criptografado, se o resultado de ambos os hash forem idênticos, isso significa que o documento original, o qual foi confeccionado pelo usuário remetente, é idêntico ao recebido, confirmando-se que desde o processo de envio, efetuado pelo usuário remetente, o documento não sofreu alguma alteração, porem não se tem a constatação plena da autoria do documento, e sim que o documento recebido é idêntico ao original, se os resultados encontrados até este momento forem verídico, o sistema efetuará a verificação do tamplate do usuário remetente, (12) fazendo-se o envio do tamplate à um módulo responsável pela identificação do template onde o módulo pode ser identificado como uma Autoridade Certificadora de Características Biométricas. (13) Esta a qual efetuará a verificação e validação do tamplate da impressão digital, sendo este template o mesmo que estava vinculado ao documento recebido inicialmente, posteriormente à verificação e validação ocorrida no template, (14) é retornado um resultado positivo ou negativo conforme repassado pela Autoridade Certificadora de Características Biométricas. Desta forma o usuário destinatário conseguirá a garantia plena que o documento recebido além de idêntico ao documento original, decorrente da assinatura digital(hash), também terá a confirmação de que o usuário, o qual proporcionou a confecção e envio do documento é realmente aquele que se espera, devido a um fator, qual este não poder ser transferido, roubado ou falsificado, este fator, onde a grande maioria da população mundial detêm, uma característica biométrica (impressão digital), utilizada neste modelo como parte da assinatura de documentos, além de estar incrementando a confiabilidade, validade e autoria plena dos documentos digitais. 6. Conclusão Atualmente a assinatura digital efetua uma fraca ligação entre o assinante e sua chave de assinatura, não fornecendo garantia de que o detentor da chave privada (e somente ele) a utilizou para efetuar a assinatura, porém se vinculada uma característica biométrica na assinatura digital, pode-se obter a garantia plena de que o documento recebido além de idêntico ao original, constatado pelo hash e pela sua chave privada, também foi desenvolvido pelo usuário que o confeccionou, por estar inteiramente ligado a uma característica física do 6

7 emissor (impressão digital) com o documento redigido, desta maneira fornecendo confiabilidade, validade e autoria de documentos digitais. 7. Referências Bibliográficas BRESSAN, Nadja Mench. Biometria. Caxias do Sul,29 out f. Disponível em: < Acesso em: 06 ago COSTA, Marcos da; MARCACINI,Augusto Tavares Rosa. O apagão do comércio eletrônico no Brasil. 05 jul Disponível em < > Acesso em: 25 jun FRANCISCO, José Luiz Martins. Certificação Digital do Correio Eletrônico na Rede Municipal de Informática. Belo Horizonte, 2000, 57p. Disponível em: < Acesso em: 01 ago JÚNIOR, Itamar Arruda. Documentos Eletrônicos, Autoridades Certificadoras e Legislação Aplicável. Belo Horizonte 20 mar Disponível em: < > Acesso em: 25 jun MARTINS, Henrique de Faria. Assinatura eletrônica - o primeiro passo para o desenvolvimento do comércio eletrônico?.10 jul Disponível em: < > Acesso em: 20 ago STALLINGS, William. Cryptography and Network Security. Prentice Hall, 2. ed., STINSON, Douglas Robert. Cryptography Theory and Practice. Boca Raton:CRC Press, p. 7