Antes de o mundo começar a digitalizar, dependia fortemente de papéis assinados para aprovar, autenticar e responsabilizar diferentes partes em transações e diferentes tipos de acordos. A assinatura digital e o certificado digital vêm como um substituto moderno das assinaturas padrão.
Significativamente mais rápido do que o envio de documentos pelo correio e o envio de documentos por fax, a assinatura digital ajudou várias empresas.
O que é uma assinatura digital?
A Assinatura Digital é uma verificação eletrônica do remetente de um documento, que permite ao destinatário determinar se o conteúdo original foi alterado por um intermediário.
A chave privada e a chave pública são os dois elementos essenciais de uma assinatura digital, criada por um algoritmo dedicado ao mesmo tempo. Mesmo que eles sejam criados para serem matematicamente relacionados, na aparência, eles serão diferentes.
Uma assinatura digital serve a três propósitos:
- Autenticação – o destinatário pode estabelecer a autoria de uma mensagem e determinar se o remetente é quem afirma ser.
- Não repúdio – o remetente não pode negar ter enviado a mensagem posteriormente e pode ser responsabilizado pela mensagem não alterada.
- Integridade – a mensagem não foi alterada.
Aliás, a assinatura digital tem valor legal nos Estados Unidos, União Europeia, Suíça, África do Sul, Argélia, Turquia, Índia, Brasil, Indonésia, México, Arábia Saudita, Uruguai e Chile.
Como criar uma assinatura digital?
Para criar uma assinatura digital, você precisa assinar a mensagem com sua chave privada.
A chave privada é o elemento desta equação que só você possui e, ao fornecê-la, você prova que foi você quem assinou um documento.
Primeiro, você faz o hash do texto simples para manter um registro da versão inalterada da mensagem que está prestes a enviar.
NOTA. Hashing é a transformação de um conteúdo específico de qualquer comprimento em um valor de comprimento fixo mais curto.
O algoritmo de hash mais preferido atualmente é SHA256 (Secure Hashing Algorithm). Lembre-se de que o hash é um processo de mão única e uma pequena alteração na entrada altera toda a saída.
Em seguida, você criptografa o hash do texto simples com sua chave privada, o que resultará na assinatura digital.
Você anexa a assinatura digital ao documento de texto simples e o envia.
Através da criptografia assimétrica, o receptor poderá descriptografar sua assinatura digital e comparar o hash do texto simples com o hash fornecido.
Então, você pode se perguntar como você faz o hash de um documento. Felizmente, um programa em seu computador fará isso automaticamente para você.
É assim que você pode gerar o hash de um documento no Windows 7/8/10:
- Acesse o “Prompt de Comando”;
- Digite “certutil – hashfile”
- Solte o documento no "Prompt de comando".
- Adicione “SHA256” no final da linha.
Sua linha final deve ficar mais ou menos assim:
certutil -hashfile “C:\Usuário\Computador\Desktop\Arquivo.docx” SHA256
Ao fazer isso, o console exibirá um código de 256 bits / 64 caracteres hexadecimais que representa o conteúdo do seu arquivo.
Mas onde você obtém uma chave privada e uma chave pública?
Isso é bem simples também.
Você pode gerá-los por meio de software, uma plataforma online ou por meio de uma Infraestrutura de Chave Pública (PKI) registrada em uma Autoridade de Certificação.
NOTA. A PKI é um formato aceito para gerenciar a criptografia de chave pública que oferece os mais altos níveis de segurança e aceitação universal.
Então, como você adiciona uma assinatura digital com uma chave privada a um documento?
Para isso, mais uma vez, você precisa usar software dedicado, como Sign Server, Safe pdf ou DocuSign.
Como isso ajuda?
Vejamos um cenário fictício de como uma assinatura digital pode protegê-lo.
Você assina digitalmente um contrato com um provedor no exterior para serviços de terceirização.
Depois de concordar com os termos e condições e uma taxa de US$ 20/hora, você fez o hash do documento, o assinou e o enviou de volta ao provedor.
E aí vem o problema.
O contrato assinado precisa chegar ao gerente da empresa de terceirização, mas um vendedor ganancioso muda a taxa para US$ 30/hora para ganhar uma comissão maior. Quando é hora de pagar, você de repente descobre que a taxa é maior do que o combinado.
Como provar que o documento foi adulterado?
O gerente não sabia, mas estava disposto a esclarecer a situação. Então, você pede a ele para usar a chave pública para descriptografar sua assinatura e verificar o hash. Ao fazer isso, ele poderá identificar a diferença na saída do hash e determinar que o contrato foi alterado.
E mesmo que o gerente não esteja disposto a cooperar, você pode levá-lo ao tribunal, provar que está certo e responsabilizá-lo.
Assinatura Digital em Blockchain
A blockchain do Bitcoin faz uso do algoritmo SHA256 e assinatura digital para garantir a imutabilidade das informações armazenadas no blockchain. A assinatura digital ajuda a acompanhar as transações e evitar gastos duplos.
As transações são tomadas como uma entrada e são executadas por meio de um algoritmo de hashing e, em seguida, retornadas como uma saída com um comprimento fixo. Os dados são então adicionados dentro de um bloco. O bloco também contém um ponteiro de hash que aponta para o bloco anterior.
O ponteiro de hash contém o hash de todos os dados dentro do bloco anterior. Qualquer pequena modificação dos dados contidos em um bloco trará consigo uma modificação drástica no hash. A modificação não recai apenas sobre o atual, mas também sobre todos os blocos anteriores, portanto, anulando-os.
O que é um certificado digital?
Como você já deve ter adivinhado, não é tão complicado fazer uma assinatura digital e usá-la. É exatamente aí que está sua fraqueza.
Uma parte mal-intencionada pode tentar criar uma assinatura digital e uma chave pública para fingir ser outra pessoa. Se uma pessoa receber uma mensagem assinada digitalmente e concluir que o documento é legítimo, essa pessoa será exposta a um ataque informativo da parte mal-intencionada.
A assinatura digital por si só não verifica a verdadeira identidade do remetente e sua chave pública, portanto, carece de autenticação.
No entanto, esse problema é resolvido por um certificado digital. Um certificado digital é uma credencial eletrônica emitida por uma Autoridade de Certificação.
A autoridade de certificação registra por meio de uma PKI a identidade do proprietário e também verifica se o proprietário realmente possui a chave pública.
O certificado digital geralmente contém o nome do proprietário, chave pública, autoridade de certificação e assinatura digital. Dessa forma, o risco de receber uma assinatura digital de uma parte mal-intencionada é significativamente reduzido.
Como criar um certificado digital?
Principalmente existem duas maneiras de criar um certificado digital:
- Você cria um certificado autoassinado.
- Você solicita isso de uma Autoridade de Certificação (CA).
1. Certificado autoassinado
Existem vários métodos para criar um certificado autoassinado, mas para entender o processo, vamos nos referir ao certificado X509 autoassinado. Você pode criar tudo sozinho no OpenSSL.
Basta abrir o prompt de comando e digitar 'openssl'.
Em seguida, digite 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem'.
E enquanto para alguns de vocês, isso pode parecer sem sentido, vamos ver o que tudo isso significa:
- 'Req' significa que é um pedido de certificado;
- 'x509' designa o tipo de certificado;
- '365' indica o número de dias que será válido;
- 'newkey' significa que será um novo certificado;
- 'Keyout' será o arquivo de chave.
Depois disso, você poderá criar a chave privada e adicionar informações de identificação.
Você pode encontrar um guia passo a passo SUA PARTICIPAÇÃO FAZ A DIFERENÇA.
No entanto, um certificado digital autoassinado fornece apenas criptografia, mas não confiança. Tal certificado é um alvo fácil para hackers. Eles podem replicá-lo e fingir ser o 'emissor' e iniciar o phishing para obter informações pessoais.
De fato, os sites que usam certificados SSL autoassinados são marcados como 'não confiáveis' pelos navegadores da Internet.
2. Certificado emitido pela CA
O certificado digital validado por uma autoridade certificadora é o método mais confiável e seguro. Também é mais fácil de obter, mas pode implicar uma taxa.
A autoridade de certificação geralmente exige uma taxa para emitir um certificado, e você pode solicitar apenas o certificado ou solicitar que lidem com toda a PKI.
Se você precisar de um certificado simples, pode contatá-los por telefone ou e-mail. Eles verificarão sua identidade e fornecerão um certificado que deverá conter a chave pública, a identificação da autoridade de certificação e a identificação do usuário.
Além da certificação digital, você pode solicitar que algumas empresas lidem com todos os aspectos da PKI, tokens de acesso e autenticação multifator para usuários, dispositivos e máquinas.
No caso do site, a solicitação de assinatura do certificado vem como um comando com o servidor web.
Principais lições
- A Assinatura Digital é uma verificação eletrônica do remetente. Ele se baseia na criptografia assimétrica e usa uma chave privada para criptografar a mensagem e uma chave pública para descriptografá-la.
- O conteúdo da mensagem é hash para manter a integridade. No entanto, o hash é um processo unidirecional e é usado para validar que o conteúdo não foi alterado.
- A mensagem recebida é descriptografada com a chave pública e o hash do conteúdo deve corresponder ao valor de hash fornecido pelo remetente. Caso contrário, o receptor tem motivos para acreditar que o conteúdo foi alterado.
- Uma assinatura digital sozinha carece de autenticação. Portanto, ele precisa ser apoiado por um certificado digital emitido por uma autoridade de certificação.
* As informações neste artigo e os links fornecidos são apenas para fins de informação geral e não devem constituir nenhum conselho financeiro ou de investimento. Aconselhamos que você faça sua própria pesquisa ou consulte um profissional antes de tomar decisões financeiras. Por favor, reconheça que não somos responsáveis por qualquer perda causada por qualquer informação presente neste site.
Fonte: https://coindoo.com/digital-signature/