Como identificar se uma Autoridade Certificadora é confiável?

Autoridades Certificadoras (ACs) são entidades responsáveis por emitir, distribuir e gerenciar certificados digitais de acordo com os padrões da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Os certificados funcionam como uma versão eletrônica de documentos, como CPF ou CNPJ, e representam virtualmente a identidade de pessoas e empresas. A confiança em uma autoridade está relacionada aos procedimentos de segurança que ela utiliza para comprovar a identidade de um titular de certificado. Se uma AC segue as normas de segurança e criptografia da ICP Brasil, ela pode ser considerada confiável, mesmo sem estar ligada a um órgão público, por exemplo.

A AC mais importante do Brasil é a AC-Raiz Brasileira — criada em 2001, após a implantação da Infraestrutura de Chaves Públicas Brasileira, a ICP-Brasil. Ela é a autoridade mais importante do país, referência de confiança da infraestrutura, e permite que outras entidades secundárias, conhecidas como ACs Intermediárias de primeiro nível ou Normativas, funcionem. As chaves privadas das autoridades são armazenadas em salas-cofre de altíssima segurança. Tanto a AC-Raiz quanto as Normativas não possuem contato com o ambiente externo à sala-cofre. Para acessá-las, é necessário passar por procedimentos de segurança rígidos sempre que for preciso entrar no ambiente para a emissão de um novo certificado.

Existem ainda as ACs de segundo nível ou Finais, que podem ser emitidas pelas de primeiro nível. Estas também ficam em um ambiente com nível de segurança similar ao das superiores. A diferença é que as ACs Finais estão conectadas à internet, por onde também recebem requisições para emissão de certificados. As normas deste tipo de AC possibilitam o envio de e-mails, a prestação de contas, assinatura de contratos, emissão de declarações e dá validade jurídica aos documentos assinados digitalmente com os certificados gerados por ela.

A Medida Provisória 2.200-2, de agosto de 2001, garante que os certificados emitidos pela ICP-Brasil são confiáveis e possuem total validade jurídica. A legislação assegura também a prerrogativa de veracidade aos documentos assinados com a identidade emitida pelas ACs afiliadas à ICP-Brasil. Isso quer dizer que caso alguém conteste a validade da assinatura, caberá a esta pessoa provar que há alguma irregularidade. No entanto, a lei não impede que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs para emissão de certificados próprios, nem que elas sigam suas diretrizes de segurança e propósitos de uso específicos, como validação interna de documentos em empresas ou órgãos públicos.

A primeira dica para saber se o certificado emitido por uma Autoridade Certificadora é confiável é verificar se a AC pertence à ICP-Brasil — no site do Instituto Nacional de Tecnologia da Informação (ITI), há uma lista com as autoridades certificadoras ICP-Brasil confiáveis. Se sim, as credenciais emitidas por ela são confiáveis — exceto quando estiverem revogadas ou com o prazo de validade vencido, por isso é importante conferir estas informações. Se a AC não está na lista do ITI, deve-se pesquisar quais são suas políticas e procedimentos de certificação, se estabelecem o propósito de uso adequado para o certificado e se existe acordo firmado entre as partes interessadas, que garanta a confiança mútua no uso da identidade digital particular.