Se antes as relações sociais se davam essencialmente no plano real, físico, hoje, com o advento da internet, tornou-se cada vez mais comum as pessoas e as empresas se relacionarem no ambiente virtual. Seja na área privada ou na esfera pública, a utilização das plataformas digitais é empregada fortemente com as mais diversas finalidades, o que acaba gerando uma preocupação: como assegurar que os interlocutores de uma interação digital não estão utilizando identidades falsas?

Com o surgimento dos certificados digitais, essa troca de informações ficou segura, preservando sua integridade a partir da identificação do remetente e do destinatário. Mais tarde, com a publicação da Medida Provisória 2.200-2, de 24 de agosto de 2001, garantiu-se a validade jurídica dos documentos assinados eletronicamente com certificados digitais. Na prática, o certificado digital passou a funcionar como uma identidade virtual, permitindo a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meio eletrônico.

O começo do sistema

O Serpro foi a primeira Autoridade Certificadora de primeiro nível no Brasil, ou seja, pioneira na emissão de certificados digitais aos usuários finais no país. Essa autoridade foi conferida após a realização de auditorias pelo Instituto Nacional de Tecnologia da Informação (ITI), órgão responsável pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que permitiram a emissão das chaves das primeiras Autoridades Certificadoras: do próprio Serpro e da Presidência da República, em 1999.

De acordo com o chefe da Divisão de Suporte Técnico e Apoio ao Desenvolvimento, Pedro Motta, atualmente o Serpro opera como Prestador de Serviço de Suporte (PSS) de dois tipos de Autoridade Certificadora (AC): as de primeiro nível, que emitem certificados somente para outras Autoridades Certificadoras, e as AC finais, que emitem certificados para o usuário final. “Hoje, por exemplo, estamos credenciando a Autoridade Certificadora do Ministério das Relações Exteriores (MRE), que será utilizada exclusivamente para assinatura de documentos de viagem”, adianta.

Serpro e UFSC

Pedro Motta conta que o sistema de certificação atualmente utilizado pela empresa foi desenvolvido pelo Serpro em parceria com o LabSEC (Laboratório de Segurança em Computação), da Universidade Federal de Santa Catarina (UFSC). A parceria, que teve vigência de março de 2012 a agosto de 2014, se deu por meio de um convênio com o objetivo de realizar uma pesquisa que viabilizasse a adequação do Sistema de Certificação Digital Serpro (SCDS) aos requisitos técnicos estabelecidos pelo Instituto Nacional de Tecnologia da Informação (ITI).

Esse convênio, na visão de Pedro Motta, resultou em melhorias significativas no sistema. “A adequação tecnológica, o ajuste às normas e às resoluções da ICP–Brasil, além da documentação do sistema, merecem destaque. Mas um outro fator muito importante foi a troca de conhecimento e experiência entre as equipes da UFSC e do Serpro”, lembra.

Desenvolvimento e Segurança

O analista de desenvolvimento André Luiz Silva, que trabalhou na construção da ferramenta, relata que a construção do Sistema de Certificação Digital do Serpro foi motivado pela necessidade de melhorias que a antiga solução apresentava. “Antes se operava com uma ferramenta adquirida no mercado, e considerávamos que a tecnologia não apresentava facilidade de evolução e tinha baixa escalabilidade, além de uma capacidade mais limitada”, revela.

Segundo André Luiz, a intenção da nova solução foi garantir maior agilidade na evolução do sistema e um alto grau de performance e resiliência. Um dos desafios, no entanto, era manter em funcionamento o sistema legado e paralelamente desenvolver um novo. “Isso somente foi possível graças à alocação de equipes de Brasília e Florianópolis na montagem de uma equipe especializada, que contou, ainda, com a expertise do LabSEC da UFSC em certificação digital”, ressalta.

Ele aponta que o desenvolvimento foi apoiado no framework Demoiselle e seguiu padrões nacionais e internacionais de formatos de certificados e de criptografia. Em relação à segurança, foi utilizada a hospedagem em um centro de dados exclusivo, certificado com ISO 27001 (padrão e referência internacional para a gestão de segurança da informação). “O SCDS utiliza as mais modernas tecnologias relacionadas à segurança da informação, como algoritmos de criptográficos de curvas elípticas, mecanismos que garantem integridade e sigilo da base de dados”, explica.

De acordo com André Luiz, o SCDS submete-se a criteriosas auditorias da ICP-Brasil e da Organização Internacional para Padronização (ISO) para garantir que esteja em conformidade com padrões técnicos e de segurança vigentes. “A segurança acompanha o desenvolvimento do sistema, seus agentes e o centro de dados onde é hospedado. Ele fica em uma sala cofre exclusiva, isolado de outras aplicações, garantindo um nível máximo de confidencialidade e integridade de suas informações”, garante.

O empregado do Serpro Leonardo Oliveira, do Departamento Regional de Operações em Belém, adotou o certificado digital em suas atividades desde 2011. Para ele, a utilização é fundamental para garantir a autenticidade de informações e prover um ambiente corporativo mais seguro. “Faço a autenticação em servidores com certificado digital, que traz um nível a mais de segurança no acesso desses ativos. A assinatura digital, que eu também uso com frequência, é outro recurso que agiliza e dá mais integridade aos documentos corporativos”, observa.