A assinatura digital é um mecanismo que permite garantir a integridade de um documento eletrônico e autenticar seu autor, por analogia com a assinatura manuscrita de um documento em papel.
Difere da assinatura escrita por não ser visual, mas corresponder a uma série de caracteres. Não deve ser confundida com a assinatura eletrônica manuscrita .
Um mecanismo de assinatura digital deve ter as seguintes propriedades:
Para isso, as seguintes condições devem ser atendidas :
Na prática, a maioria dos procedimentos de assinatura digital existentes são baseados em criptografia assimétrica , no restante do artigo consideraremos este o caso mais comum. Os exemplos de troca de dados são ilustrados pelos personagens Alice e Bob .
Suponha que Alice queira enviar a Bob uma mensagem que ele possa verificar se é genuína.
A mensagem que Alice deseja enviar é um arquivo binário M de qualquer tipo (texto, imagem, executável, etc.) que pode ser comparado a um arquivo de texto .
Aqui está a descrição de um método clássico de assinatura por criptografia assimétrica.
Alice escolhe:
Para a criptografia escolhida, Alice gerou uma chave privada K pr e uma chave pública K pb :
D , H e K pb não precisam ser secretos. C deve, entretanto, permanecer secreto.
Alice prepara a mensagem assinada, para isso:
Alice transmite M assinado , a mensagem assinada, para Bob através de um canal não seguro.
Bob recebe a mensagem assinada. Para verificar a autenticidade da mensagem:
No caso em que a assinatura é autêntica, D Sm e H ( M ) são iguais porque, pelas propriedades da criptografia assimétrica: D Sm = D ( K pb , S M ) = D ( K pb , C ( K pr , H ( M ))) = H ( M ).
A mensagem é então autenticada.
Suponha que um adversário chamado Mallory deseje enviar uma mensagem maliciosa M ' a Bob fingindo ser Alice.
Mallory conhece os elementos D , H e K pb que não são secretos.
Para que Bob seja induzido a autenticar a mensagem como vinda de Alice, Mallory deve ser capaz de gerar a partir desses elementos uma assinatura forjada S M ' que é tal que: D ( K pb , S M' ) = H ( M ' )
A tarefa que Mallory deve realizar é, portanto, para reverter a função de descriptografia D para a chave pública K pb , ou seja, encontrar C , sem conhecer a chave privada K pr .
As cifras assimétricas são projetadas e escolhidas com precisão para que essa operação seja matematicamente difícil (se não impossível).
De um ponto de vista teórico, a força do dispositivo de criptografia dependerá da força da criptografia assimétrica selecionada e do tamanho das chaves escolhidas. Os padrões implementados são geralmente considerados matematicamente seguros.
Do ponto de vista prático:
Historicamente, as primeiras assinaturas eram individuais. O seguinte foi introduzido:
Existem variantes como o K entre N , onde a assinatura é considerada válida se K membros do grupo entre os N definidos tiverem assinado. Este sistema será utilizado por exemplo quando for necessária a autorização de vários serviços para acionar um dispositivo de gravidade superior às prerrogativas de cada um deles. Esse seria o caso, por exemplo, de um procedimento de escuta telefônica que exige acordos tanto de um órgão autorizado do executivo quanto de um órgão autorizado do legislativo. O uso de informações do Estado para fins pessoais é, portanto, proibido, uma vez que o desbloqueio requer uma coordenação externa que, portanto, ela própria será rastreada.
A legislação europeia define as condições de interoperabilidade técnica e jurídica das assinaturas digitais na União. A assinatura digital foi oficialmente reconhecida na Europa desde janeiro de 2000 (diretiva 1999/93 / CE), mas tem sido desde então1 ° de julho de 2016, data de entrada em vigor do regulamento eIDAS (identificação eletrónica e serviços de confiança), em que o seu valor jurídico mínimo é o mesmo em toda a União Europeia (e em alguns países parceiros: Listenstaine, Noruega e Islândia). Este regulamento especifica, em particular, que a assinatura eletrónica qualificada goza do mesmo estatuto e dos mesmos efeitos jurídicos que o seu equivalente manuscrito.
Três níveis de assinatura são reconhecidos: simples, avançado e qualificado. O regulamento define de fato:
O regulamento eIDAS define de forma semelhante o conceito de selo eletrônico , que também pode ser de nível avançado ou mesmo qualificado. Tecnicamente idêntico a uma assinatura eletrónica, um selo eletrónico difere dele em termos do seu certificado que identifica uma pessoa coletiva (normalmente uma organização), não uma pessoa singular.
No mesmo contexto, a noção de carimbo eletrónico da hora também é definida como um conjunto de dados eletrónicos que, associados a outros, constituem uma prova da existência dos segundos num determinado momento. Este carimbo de hora eletrônico pode ser de nível qualificado.
Em termos de interoperabilidade jurídica, o regulamento eIDAS estabelece os seguintes elementos em particular:
Para que todos possam verificar se uma assinatura eletrônica, selo eletrônico ou carimbo de hora eletrônico é qualificado , cada país membro deve disponibilizar uma lista de autoridades confiáveis ( autoridades de certificação , autoridades de certificação de tempo ) que menciona pelo menos todas as autoridades qualificadas . A inclusão de autoridades confiáveis não qualificadas é opcional. A Comissão Europeia publica uma lista dessas listas nacionais de confiança, bem como uma ferramenta para visualizar, navegar e investigar o seu conteúdo.
Para além da interoperabilidade jurídica, o regulamento eIDAS e as suas decisões de execução também definem elementos de interoperabilidade técnica, como formatos de assinatura eletrónica avançados que os serviços públicos devem reconhecer. Esses formatos são baseados nos padrões técnicos ETSI .
Desde a 1 ° de julho de 2013, a versão eletrónica do Jornal Oficial da União Europeia tem valor jurídico. Esta edição eletrónica é publicada como um conjunto de documentos em formato PDF correspondendo a todas as versões linguísticas do mesmo número, ao qual é adicionado um documento XML que garante a integridade do todo. Este documento XML, que contém um hash de cada documento PDF que faz parte da referida colecção, é assinado por pessoa autorizada do Serviço de Publicações da União Europeia através de uma assinatura electrónica qualificada com data e hora, de acordo com o XAdES formato técnico .
Desde 2000 , a assinatura eletrônica de um documento tem na França o mesmo valor jurídico que uma assinatura manuscrita, de acordo com os seguintes textos:
De acordo com este decreto, um dispositivo seguro para a criação de uma assinatura eletrônica deve ser certificado de acordo com os requisitos definidos acima:
No entanto, a transposição completa da Diretiva Europeia 1999/93 / CE exigiu um processo mais longo.
Por outro lado, desde 2010, o conceito de assinatura digital, definido como o armazenamento em formato digital de uma assinatura manuscrita produzida através de um ecrã táctil, foi introduzido na lei francesa pelo artigo R 249-11 do Código de Processo Penal Francês .
A referência geral de segurança define as regras que as administrações e comunidades devem cumprir em termos de segurança do sistema de informação. Em particular, os anexos do RGS especificam o formato dos certificados eletrônicos que as administrações devem usar para implementar a assinatura eletrônica nos teleserviços. As infraestruturas de gestão de certificados que cumprem a norma são certificadas de acordo com um método denominado “qualificação”. Essas infraestruturas de gerenciamento de certificados são chamadas de Autoridade de Certificação. Terceiros de confiança, garantem a identidade eletrónica da empresa e dos seus colaboradores.
O legislador belga transpôs em 2001 a diretiva europeia de 13 de dezembro de 1999 sobre uma estrutura comunitária para assinaturas eletrônicas. Esta transposição para o direito belga foi feita através da adopção de duas leis: a Lei de 20 de Outubro de 2000 que introduz a utilização dos meios de telecomunicações e a assinatura electrónica no processo judicial e extrajudicial que altera em particular o artigo 1322.º do Código Civil e o Lei de 9 de julho de 2001 que estabelece certas regras relativas ao quadro jurídico para assinaturas eletrônicas e serviços de certificação. É esta última lei que explica a questão dos serviços de certificação (PSC), suas funções e responsabilidades.
A assinatura eletrônica agora faz parte da lei belga e tem o mesmo valor legal que a assinatura manuscrita. Embora muita tinta tenha sido derramada sobre o lado da doutrina, pode-se considerar que hoje ela é objeto de regulamentações claras e racionais. A era da Internet e da eletrónica tendo chegado ao campo jurídico e era lógico que a assinatura aí encontrasse o seu lugar. O principal objetivo da Diretiva Europeia 1999/93 / CE, de 13 de dezembro de 1999, relativa a um quadro comunitário para as assinaturas eletrónicas, era promover as trocas comerciais transfronteiras, estabelecer um certo grau de confiança nestas transações e conferir ao conjunto um valor jurídico equivalente à assinatura manuscrita.
Desde fevereiro de 2019, a aplicação ITSME permite assinaturas eletrónicas qualificadas de acordo com o regulamento europeu eIDAS , estando disponível nas plataformas Connective , Doccle, Isabel Group e Luxtrust.
A assinatura digital (chamada de assinatura eletrônica em textos legislativos) é reconhecida na lei suíça desde 2003. É, portanto, equivalente à assinatura escrita exigida por lei para certas formas de contrato.
Pouco utilizada na prática, a Secretaria de Estado da Economia (SECO) lançou o “ SuisseID ” em maio de 2010 para promover e facilitar o acesso a essa tecnologia para empresas e pessoas físicas. Pretendido facilitar as transações comerciais por via eletrónica, o sistema permite também, desde 2011, a encomenda de documentos oficiais (nomeadamente do registo criminal ou extracto do Ministério Público) através da Internet às administrações públicas, nos termos do desejo de estabelecer um “governo eletrônico” para facilitar o acesso a tais documentos e reduzir a burocracia .
A lei relativa ao enquadramento legal das tecnologias da informação prevê que "a assinatura de uma pessoa aposta num documento tecnológico é oponível quando se trata de um documento cuja integridade esteja assegurada e aquando da assinatura e, desde então, o vínculo entre a assinatura e o documento foi mantida ” .