A certificação digital possibilitou ao setor de saúde garantir a autenticidade e a validade jurídica de documentos no meio eletrônico.
Com a integração do certificado a um sistema de prontuário eletrônico, o médico pode realizar, por exemplo, a autorização de um procedimento a partir de sua assinatura digital.
Sem dúvidas, a eficiência operacional é um dos maiores benefícios da medida, ainda mais quando consideramos as deficiências do setor, que podem ser bastante reduzidas com mais celeridade no atendimento aos pacientes.
Mas como obter o certificado digital? A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ ou mesmo um certificado de TLS/SSL para um serviço WEB.
Certificados digitais emitidos no Brasil
No Brasil, o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.
Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer? Com esse artigo vamos responder tais questões.
Como é o procedimento de requisição de certificado digital?
Este processo geralmente é executado de duas maneiras:
A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.
O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.
O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.
Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:
1.A criação do par de chaves;
2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
3.O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;
4.A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.
Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.
Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.
Quais as informações em uma CSR?
Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:
1.A identificação do requerente;
2. A chave pública;
3. Assinatura da requisição, feita com a chave privada parceira da chave pública.
A identificação do requerente é composta por vários campos:
- CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
- O (Organization): nome da organização;
- OU (Organizational Unit): departamento ou setor da empresa;
- L (Locality): sua cidade;
- S (State): nome do estado ou província;
- C (Country): sigla do país com 2 caracteres.
Dificuldades
São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:
- Quais os valores corretos para os campos do nome do requerente para a aplicação?
- Qual o tipo e o tamanho apropriado das chaves para a aplicação?
- Qual algoritmo utilizar para a assinatura?
- Qual o formato de CSR arquivo da CSR?
- Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
- Qual repositório de chaves utilizar?
- Qual ferramenta utilizar?
- A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
- Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?
Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:
- Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
- Métodos específicos para as aplicações;
- Métodos específicos para HSM (Hardware Security Module).
Algumas respostas
Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.
Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption. Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.
Concluindo
Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele. Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
