Política de Certificação
AC e-Notariado
Versão 2.0
Agosto 2020
Versão 2.0
Política de Certificação - PC
Controle de Versões
Versão Data Autor Notas da Revisão
1.0 23/04 Renato Martini Versão inicial
1.0 24/04 Renato Martini Adicionado cap. com acrônimos 2.0 24/08/2020 Renato Martini Atualização e revisão
Sumário
1. INTRODUÇÃO 3 1.1 VISÃO GERAL 3 1.2 ESCOPO 3 1.3 IDENTIFICAÇÃO 3 1.4 APLICABILIDADE 32. CONTROLES TÉCNICOS DE SEGURANÇA 5
2.1 GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES 5
2.2 PROTEÇÃO DA CHAVE PRIVADA 7
2.3 OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES 7
2.4 CONTROLES DE SEGURANÇA COMPUTACIONAL 8
3. PERFIS DE CERTIFICADO E LCR 8
3.1 PERFIL DO CERTIFICADO 8
3.2 PERFIL DE LCR 12
4. GESTÃO DA POLÍTICA DE CERTIFICAÇÃO 13
4.1 PROCEDIMENTOS DE MUDANÇA DE ESPECIFICAÇÃO 13
4.2 PUBLICAÇÃO 13
4.3 PROCEDIMENTOS DE APROVAÇÃO 13
5. REFERÊNCIAS 13
Versão 2.0
Política de Certificação - PC
1. Introdução
1.1 Visão Geral
Este documento descreve as políticas de certificação a serem obrigatoriamente
observadas pelas ACs integrantes da AC do e-notariado criado por Provimento nº100 de
26 de maio de 2020 do Conselho Nacional de Justiça, na emissão de certificados
exclusivamente em ambiente móvel.
1.2 Escopo
Certificados de assinatura aqui referidos, podem, conforme a necessidade, ser emitidos
pelas ACs para pessoas físicas, equipamentos, aplicações ou assinatura de código. Sua
destinação é para o uso endógeno ao ambiente do e-notariado.
1.3 Identificação
Este documento é chamado Política de Certificado de Assinatura Digital, para ambiente
móvel, das ACs do e-notariado, ou simplesmente PC do e-Notariado. O OID desta PC:
{
OBJECT IDENTIFIER certificatePolicies (2 5 29 32)
OCTET STRING, encapsulates {
SEQUENCE {
SEQUENCE {
OBJECT IDENTIFIER '1 3 6 1 4 1 51928 1 2'
}
1.4 Aplicabilidade
a) Autoridades Certificadoras – ACEsta PC referse tão-somente à cadeia de certificação formado no âmbito do e-Notariado; seja a AC CNB sejam as suas ACs subsequentes. Consulte-se a Declaração de Práticas de Certificação do e-Notariado para outras informações.
b) Autoridade Notariais – AN
O endereço da página web da AC do e-Notariado é https://www.e-notariado.org.br, onde estarão publicados os dados abaixo, referentes às Autoridades Notarias, responsáveis pelos processos de recebimento, validação e encaminhamento de solicitação de emissão ou de revogação de certificados digitais, e de identificação de seus solicitantes:
Versão 2.0
Política de Certificação - PC
1. relação de todas as ANs credenciadas
2. o endereço dos Cartórios e tabeliães responsáveis pela AN credenciada
3. relação de AN que tenham se descredenciado do e-notariado, com respectiva data do descredenciamento
c) Titulares de Certificado
Os Titulares de Certificados desta PC da AC do e-Notariado são pessoas físicas autorizadas pela AN vinculada a receber um certificado digital para sua própria utilização. Tratando-se de certificado emitido para equipamento, aplicação ou assinatura de código, o titular será a pessoa física ou jurídica solicitante do certificado, que deverá indicar o responsável pela chave privada.
d) Aplicabilidade e Funcionalidade 1. Escopo
Esses certificados se destinam exclusivamente à utilização em assinatura digital, não repúdio, garantia de integridade de informação e autenticação de seu titular no e-notariado.
2. Segurança
A AC do e-Notariado leva em conta o nível de segurança previsto para o certificado definido por esta PC na definição das aplicações para o certificado. Esse nível de segurança é caracterizado pelos requisitos definidos para aspectos como: tamanho da chave criptográfica, local de armazenamento da chave,processo de geração do par de chaves, procedimentos de identificação do titular de certificado, frequência de emissão da correspondente Lista de Certificados Revogados – LCR e extensão do período de validade do certificado.
3. Funcionalidade
Os certificados aqui descritos serão gerados e armazenados tecnicamente em ambiente móvel (celulares e tablets). Eles podem utilizados em aplicações da plataforma do e-notariado como confirmação de identidade e assinatura de documentos eletrônicos com verificação da integridade de suas informações. e) Dados de Contato
Versão 2.0
Política de Certificação - PC
2. Controles Técnicos de Segurança
2.1 Geração e Instalação do Par de Chaves
a) Geração do Par de Chaves
1. Quando o titular de certificado for uma pessoa física, esta será responsável pela geração do par de chaves criptográficas.
2. O par de chaves criptográficos relativos aos certificados estabelecidos por esta PC é gerado pelo próprio Titular do Certificado, respeitando os seguintes critérios: i. A geração da chave privada ocorre em ambiente móvel disponibilizado pela AC,
protegido por senha, com capacidade de geração de chave.
ii. A instalação do certificado somente ocorre ao detentor da chave privada correspondente à chave pública constante do certificado.
3. Toda a suíte de algoritmos usada pela AC para as chaves criptográficas de titulares de certificados está definida no item 6 da DPC do e-Notariado.
Endereços:
Colégio Notarial do Brasil - Conselho Federal
Centro Empresarial Varig, Setor Comercial Norte
Quadra 4, Bloco B, Sala 1404
Asa Norte, Brasília/DF | CEP 70714-020
Telefone: (61) 3772-7800
e-mail: [email protected]
CNPJ
Versão 2.0
Política de Certificação - PC
4. O local de armazenamento de chave privada utilizado pela AC assegura, por meios técnicos e procedimentais adequados, no mínimo, que:
i. a chave privada é única e seu sigilo é suficientemente assegurado.
ii. a chave privada não pode, com uma segurança razoável, ser deduzida e deve estar protegida contra falsificações realizadas através das tecnologias atualmente disponíveis.
iii. a chave privada pode ser eficazmente protegida pelo legítimo titular contra a utilização por terceiros.
5. O local de armazenamento da chave privada não modifica os dados a serem assinados, nem impede que esses dados sejam apresentados ao signatário antes do processo de assinatura. Seu repositório é protegido por senha e cifrado por uma camada de software.
6. Os aplicativos em ambiente móvel usados nos processos supra referidos devem ser baixados nos repositórios dos sistemas operacionais (a) Android e (b) iPhone1 para
seu uso exclusivo pelo usuário:
(a) https://play.google.com/store/apps/details?id=br.org.enotariado.app&hl=en_ US
(b) https://apps.apple.com/us/app/e-notariado/id1435236119
b) Entrega da chave pública para o emissor de certificado
Chaves públicas são entregues à ACs por meio de um processo on-line utilizando as funções automáticas do software de certificação da AC. A mensagem de solicitação de certificado obedece ao formato PKCS#10, que inclui, na própria mensagem, a assinatura digital da mesma, realizada com a chave privada correspondente à chave pública contida na solicitação.
c) Disponibilização de chave pública da AC para usuários
As formas para a disponibilização dos certificados da cadeia de certificação para os usuários da AC, compreendem:
i. Quando da disponibilização do certificado ao usuário os algoritmos serão sempre aqueles definidos na DPC.
ii. Página web da AC (http://www.e-notariado.org.br).
1 Essas URLs podem variar conforme o tempo e as políticas das empresas mantenedoras dos sistemas para equipamentos móveis.
Versão 2.0
Política de Certificação - PC
d) Tamanhos de Chaves
O tamanho das chaves criptográficas associadas aos certificados emitidos por esta PC é de 2048 bits.
e) Propósitos de uso de chave (conforme o campo “key usage” na X.509 v3)
As chaves privadas dos Titulares de Certificados emitidos pela AC serão utilizadas conforme descrito no item 1.4, d.
2.2 Proteção da Chave Privada
a) Padrões de Proteção
Aos titulares dos certificados é garantido a entrega de ambiente móvel com a devida proteção criptográfica no momento da geração e do armazenamento da chave privada.
b) Custódia (escrow) de chave privada
Não é permitida nas ACs do e-Notariado nenhuma forma de recuperação (escrow) ou tutela de chaves privadas, isto é, não se permite que terceiros possam legalmente obter uma chave privada sem o consentimento de seu titular.
c) Cópia de segurança (backup) de chave privada
O titular do certificado poderá, a seu critério, manter cópia de segurança de sua chave privada. Para tanto recomenda-se o armazenamento da mesmo de forma cifrada e com senha. A AC responsável por essa PC, não mantém cópia de segurança de chave privada de titular em nenhuma hipótese.
d) Arquivamento de chave privada
Só será permitido o armazenamento da chave privada para seu uso futuro, após o período de validade do certificado correspondente, só neste caso aplica-se o seu arquivamento.
2.3 Outros Aspectos do Gerenciamento do Par de Chaves
Versão 2.0
Política de Certificação - PC
A AC do e-Notariado declara que as chaves públicas de titulares dos certificados de assinatura digital e as LCRs serão armazenadas pela própria AC, após a expiração dos certificados correspondentes, permanentemente, para verificação de assinaturas geradas durante seu período de validade.
b) Períodos de uso para as chaves pública e privada
As chaves privadas dos respectivos Titulares são utilizadas apenas durante o período de validade dos certificados correspondentes. As correspondentes chaves públicas poderão ser utilizadas durante todo o período de tempo determinado pela legislação aplicável, para verificação de assinaturas geradas durante o prazo de validade dos respectivos certificados.
c) Validade
Certificados previstos nesta PC têm validade máxima de 3 (cinco) anos para o certificado do usuário final.
2.4 Controles de Segurança Computacional
É responsabilidade do Titular do Certificado garantir que os equipamentos onde são
gerados os pares de chaves criptográficas dispõem de mecanismos mínimos que garantam
a segurança computacional, como, por exemplo, proteção do equipamento com senha,
proteção antivírus e criptografia para armazenamento da chave privada.
3. Perfis de Certificado e LCR
3.1 Perfil do Certificado
Todos os certificados emitidos pela AC, segundo esta PC, estão em conformidade com o
formato definido pela Recomendação ITU-T X.509.
a) Número de Versão
Todos os certificados emitidos pela AC, segundo esta PC, implementam a versão 3 de certificado definida no padrão ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
Versão 2.0
Política de Certificação - PC
O OID 1.3.6.1.4.1 representa o registro de empresas privadas no Internet Assigned Numbers Authority (IANA):
id-iana-pen OBJECT IDENTIFIER ::= { 1 3 6 1 4 1 }
O Colégio Notarial do Brasil - CNB está registrado sob o número 51928, sendo portanto dono do OID 1.3.6.1.4.1.51928 e arco de OID correspondente:
id-cnb OBJECT IDENTIFIER ::= { id-iana-pen 51928 }
c) Políticas gerais de certificado
O subarco 1.3.6.1.4.1.51928.1 é reservado para identificadores de políticas de certificado:
id-cnb-cert-policies OBJECT IDENTIFIER ::= { id-cnb 1 }
1. Política de certificados de tabeliães titulares
O OID 1.3.6.1.4.1.51928.1.1 identifica a política de certificados de tabeliães titulares, exclusiva dos certificados emitidos para titulares de cartórios.
id-cnb-notary-cert-policy OBJECT IDENTIFIER ::= { id-cnb-cert-policies 1 } 2. Política de certificados em aplicativo móvel
O OID 1.3.6.1.4.1.51928.1.2 identifica a política de certificados do usuário em aplicativo móvel
id-cnb-mobile-cert-policy OBJECT IDENTIFIER ::= { id-cnb-cert-policies 2 } 3. Política de certificados de tabeliães substitutos
O OID 1.3.6.1.4.1.51928.1.3 identifica a política de certificados de tabeliães substitutos, exclusiva dos certificados emitidos para substitutos de tabeliães. id-cnb-notary-substitute-cert-policy OBJECT IDENTIFIER ::= { id-cnb-cert-policies 3 } d) Extensões de certificado
Os certificados emitidos sob esta PC apresentam obrigatoriamente as seguintes extensões:
1. Authority Key Identifier, não crítica: o campo keyIdentifier contém o hash da chave pública da AC.
Versão 2.0
Política de Certificação - PC
2. Key Usage, crítica: somente os bits digitalSignature, nonRepudiation e keyEncipherment estão ativados.
3. CRL Distribution Points, não crítica: contém o endereço Web onde se obtém a LCR da AC:
i. http://ac.e-notariado.org.br/crls/<idac>.crl
ii. http://ac.e-notariado.com.br/crls/<idac>.crl (secundário) Onde <idac> corresponde a:
• No caso da AC raiz do e-notariado: “ac-raiz”; • No caso da AC CNB: “ac-cnb”;
• No caso de ACs subsequentes, o ID de AC (exemplo: “2Oficio”) 4. basicConstraints (2.5.29.19), não crítica: contém o campo TRUE.
e) Informações de configuração de certificados 1. Certificado root
organizationName (2.5.4.10): UTF8String 'Colégio Notarial do Brasil'
organizationalUnitName (2.5.4.11) UTF8String: 'Colégio Notarial do Brasil Conselho Federal - ' 'CNB/CF'
commonName (2.5.4.3), PrintableString: 'AC Raiz e-notariado' 2. Certificado ac-cnb
commonName (2.5.4.3), UTF8String: 'AC Colégio Notarial do Brasil'
3. Certificado usuário 1. Informação biográfica
postalCode (2 5 4 17), UTF8String: inserção do código postal
stateOrProvinceName (2 5 4 8), UTF8String: inserção do estado da federação localityName (2.5.4.7), UTF8String: inserção da cidade
streetAddress (2.5.4.9), UTF8String: inserção do endereço da serventia
telephoneNumber (2.5.4.20), PrintableString: inserção do número do celular do usuário
2. Informação organizacional
Versão 2.0
Política de Certificação - PC
organizationalUnitName (2.5.4.11), UTF8String: inserção do Código Nacional de serventias (CNS)
commonName (2.5.4.3), UTF8String: inserção do nome da serventia
certificatePolicies (2.5.29.32): com o OID '1.3.6.1.4.1.51928.1.2', para usuários em celulares conforme item 3.1 c
3. Informação de identificação
1. subjectAltName (2.5.29.17) contendo:
i. OID = 2.16.76.1.3.1, e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 11 (onze) posições subsequentes, o Número de Identificação Social - NIS (PIS, PASEP ou CI); nas 15 (quinze) posições subsequentes, o número do Registro Geral - RG do titular; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF.
ii. OID = 2.16.76.1.3.6, e conteúdo = nas 12 (doze) posições o número do Cadastro Específico do INSS (CEI) da pessoa física titular do certificado. iii. OID = 2.16.76.1.3.5, e conteúdo = nas primeiras 12 (doze) posições, o
número de inscrição do Título de Eleitor; nas 3 (três) posições subsequentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a Seção; nas 22 (vinte e duas) posições subsequentes, o município e a UF do Título de Eleitor.
e) Especificações do campo subjectAltName
i. O conjunto de informações definido em cada campo otherName deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING.
ii. Quando os números de CPF, NIS (PIS, PASEP ou CI), RG, CNPJ, CEI, ou Título de Eleitor não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero".
iii. Se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF. O mesmo ocorre para o campo de município e UF, se não houver número de inscrição do Título de Eleitor.
iv. Todas informações de tamanho variável referentes a números, tais como RG ou Título de Eleitor, devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu máximo tamanho possível.
v. As 10 (dez) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica às 22 (vinte e duas) posições das informações sobre município e UF do Título de Eleitor.
Versão 2.0
Política de Certificação - PC
vi. Admitir-se-á no campo RG o número do Documento Nacional de Identificação (DNI) emitido no âmbito da nova Identificação civil nacional (Lei 13.444/2017).
4. Informações técnicas
authorityInfoAccess (1.3.6.1.5.5.7.1.1), caIssuers (1.3.6.1.5.5.7.48.2) preenchida com a URL 'http://ac.e-notariado.org.br/certs/21295.cer'
sha256WithRSAEncryption (1.2.840.113549.1.1.11)
f) Resumo dos formatos de Nome:
Os nomes da cadeia de certificação do e-notariado da AC titular de certificado,
constante do campo “Subject”, deverá adotar o “Distinguished Name” (DN) do padrão ITU X.500/ISO 9594, como exemplo, da seguinte forma:
Raiz: C = BR
O = Colégio Notarial do Brasil
OU = Colégio Notarial do Brasil – Conselho Federal – CNB-CF CN = AC Raiz do e-notariado
AC CNB: C = BR
O = Colégio Notarial do Brasil
OU = Colégio Notarial do Brasil – Conselho Federal – CNB-CF CN = AC Colégio Notarial do Brasil
ACs das serventias extrajudiciais: C = BR
PostalCode = <CEP> S = <estado> L = <cidade>
STREET = <logradouro> <número> O = Colégio Notarial do Brasil
OU = <Código Nacional de Serventia>
CN = <nome fantasia que identifique a serventia>
Versão 2.0
Política de Certificação - PC
a) Número de Versão
As LCR geradas pela AC, segundo esta PC, implementam a versão 2 de LCR definida no padrão ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
4. Gestão da Política de Certificação
4.1 Procedimentos de Mudança de Especificação
Alterações e versões futuras deste documento deverão ser autorizadas pelo Conselho
Federal do Colégio Notarial do Brasil.
4.2 Publicação
A cada nova versão, esta PC é publicada na página Web da AC do e-Notariado:
https://www.e-notariado.org.br/notary/repository.
4.3 Procedimentos de Aprovação
Este documento PC deverá ser aprovado em todas as suas versões pelo Conselho Federal
do Colégio Notarial do Brasil.
5. Referências
RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation
List (CRL) Profile, 2008.
RFC 2822: Internet Message Format, 2001.
The Open Group Architecture Framework (TOGAF) Certification Policy, 2005 (Version
1.1).
Padrões e Algoritmos Criptográficos da ICP-BRASIL: DOC-ICP-01.01.
6. Acrônimos
AC: Autoridade certificadora
Versão 2.0
Política de Certificação - PC
