0
0
Por Marko Bobinac | Director of Business Development da Thales
Aumente a segurança da assinatura digital remota com um Dispositivo de Criação de Assinatura Qualificada (QSCD) compatível com o eIDAS para assinaturas e selos digitais
À medida que os processos de negócios e os serviços governamentais se tornam cada vez mais digitais, a assinatura remota emergiu como uma maneira segura e eficiente de confirmar a autenticidade de documentos, transações e identidades digitais por meio de assinaturas digitais. Essas assinaturas digitais já são equivalentes às assinaturas manuscritas tradicionais ou selos carimbados e possuem validade legal em muitas jurisdições ao redor do mundo.
Com a expansão do uso e reconhecimento legal das assinaturas digitais — impulsionada por regulamentações como o eIDAS e pela adoção crescente de identidades eletrônicas (eIDs) na Europa —, torna-se fundamental garantir a autenticidade, integridade e irretratabilidade dessas assinaturas. Isso exige proteger todo o processo de assinatura, assegurando o controle exclusivo do signatário sobre as chaves de assinatura e incorporando medidas contra ameaças cibernéticas, como vazamento de dados e acessos não autorizados. Em resumo, as assinaturas digitais precisam cumprir requisitos legais rigorosos.
O que é Assinatura Remota?
A assinatura remota é um método de assinatura eletrônica de documentos em que a parte signatária utiliza um servidor remoto ou um provedor de serviços confiável para assinar ativos digitais, como documentos e arquivos. Isso permite que usuários criem uma assinatura digital sem a necessidade de estarem fisicamente presentes no local onde o documento ou arquivo está armazenado ou processado.
Um componente essencial desse processo é a ativação remota da assinatura, realizada por meio de um Módulo de Ativação de Assinatura (SAM), que gera ou ativa uma assinatura digital utilizando uma chave criptográfica que precisa ser gerenciada ou armazenada com segurança em um local remoto. Dessa forma, a parte signatária consegue criar assinaturas digitais sem necessidade de posse física da chave privada.
Na assinatura remota, a chave privada para criação da assinatura digital é mantida por um servidor remoto ou por um provedor de serviços confiável. O signatário — indivíduo ou organização — autoriza credenciais específicas que permitem a entidades designadas utilizar remotamente a chave privada, garantindo que apenas usuários autorizados possam executar transações digitais em seu nome. Embora este processo aumente a confiança nas operações remotas, requisitos de conformidade e auditoria rigorosos exigem medidas de segurança adicionais para proteger a autorização da assinatura, a autenticação da identidade e as chaves privadas.
Como os HSMs e SAMs aumentam a segurança
Os HSMs (Hardware Security Modules) ajudam a enfrentar esses desafios oferecendo mecanismos de controle de acesso estritos para o uso das chaves de assinatura (que devem estar fisicamente presentes no HSM para realizar a assinatura), gerando registros de auditoria seguros e protegendo as chaves e os materiais de assinatura dentro de um ambiente criptográfico seguro.
Os SAMs também são fundamentais para reforçar a segurança no processo de assinatura remota. Como a operação de assinatura pode ser iniciada de diferentes dispositivos e protocolos de autenticação, é necessário implementar controles adicionais para garantir a segurança de ponta a ponta. O SAM realiza as verificações necessárias antes da assinatura em um HSM, garantindo a validação do consentimento da operação e prevenindo o uso não autorizado das chaves de assinatura. Assim, os SAMs protegem a integridade e a autenticidade do processo de assinatura e fortalecem a confiança nas transações eletrônicas remotas.
Assinaturas Digitais Remotas Qualificadas Compatíveis com eIDAS
O eIDAS 2 (Regulamento da UE 2024/1183), introduzido em maio de 2024, aprimora a estrutura original do eIDAS (Regulamento da UE 910/2014) e prevê a implementação gradual pelos Estados-Membros. Seu objetivo é promover o uso seguro de assinaturas remotas, reforçando os requisitos para a implementação de Dispositivos de Criação de Assinatura Eletrônica Qualificada Remota (RQSCDs), assegurando que os usuários mantenham controle exclusivo sobre suas chaves de assinatura (mesmo com o processo sendo remoto), com a obrigatoriedade da integração de um Módulo de Ativação de Assinatura (SAM).
O eIDAS não é apenas uma diretiva: é um regulamento, aplicável como lei direta em todos os países da UE.
Para configurar um serviço de assinatura compatível com o eIDAS para criação de assinaturas qualificadas, um Provedor de Serviços de Confiança (TSP) precisa ser qualificado (QTSP). Segundo o eIDAS 2, os QTSPs que oferecem Assinaturas Eletrônicas Qualificadas Remotas (QES) devem:
- Autorizar a operação de assinatura: garantindo o controle exclusivo do signatário sobre suas chaves, feito por um SAM que ativa a chave em um Módulo Criptográfico (HSM). (PP) EN 419 241-2.
- Proteger a chave: exigindo o uso de um HSM certificado para proteção do material criptográfico. (PP) EN 419 221-5.
O eIDAS é amplamente reconhecido como o padrão-ouro global para assinaturas eletrônicas qualificadas, estabelecendo os critérios legais e técnicos mais exigentes. Sua influência ultrapassa as fronteiras da UE, inspirando regulações e práticas no Reino Unido, Suíça, Japão, Canadá, Austrália, Nova Zelândia, entre outros.
HSMs Luna da Thales com Módulos de Ativação de Assinatura
As aplicações de assinatura remota utilizam um SAM para autorizar a operação de assinatura e autenticar a identidade do usuário, enquanto os HSMs protegem as chaves privadas associadas às assinaturas digitais e realizam operações criptográficas seguras.
Os Luna HSMs estão integrados com SAMs dos parceiros de tecnologia da Thales — Ascertia e Nextsense — para oferecer soluções seguras que atendem às exigências do eIDAS para QTSPs. Essa integração proporciona flexibilidade de implantação e operação fluida para as organizações.
Ascertia e Nextsense oferecem:
- SAMs que funcionam de forma independente com soluções próprias de assinatura das organizações.
- Integração pronta com a Remote Signing Suite (RSS) da Ascertia e Nextsense.
Nextsense
- SAM Externo para Luna HSMs: A Thales e a Ascertia colaboram para oferecer soluções completas de confiança digital. O ADSS SAM Appliance é um Dispositivo de Criação de Assinatura Qualificada Remota (RQSCD) certificado pelo Common Criteria, permitindo que TSPs forneçam serviços de assinatura qualificada para pessoas físicas, representantes legais, registros de tempo e eSeals. O SAM pode ser fornecido com um HSM certificado EN419221-5 ou integrado a um HSM externo como o Thales Luna Network HSM.
- SAM Embutido para Luna HSMs: O Nextsense Signature Activation Module (NSSAM), integrado aos HSMs Luna Network e PCIe, oferece uma solução segura e escalável, certificada Common Criteria EAL 4+ AVA_VAN.5, EN 419 241-2, EN 419 221-5 e compatível com o eIDAS. O NSSAM garante que somente usuários autenticados possam ativar o processo de criação de uma assinatura qualificada (QES), com controle exclusivo e suporte para validade jurídica.
Thales Luna Network e PCIe HSMs:
- Oferecem desempenho robusto, proteção de chaves de alta confiança e administração/monitoramento centralizado das operações criptográficas necessárias para assinaturas eletrônicas, selos e serviços de confiança compatíveis com eIDAS.
- São validados FIPS 140-3 Nível 3, Common Criteria (CC) EAL4+ e certificados como Dispositivo de Criação de Assinatura e Selo Qualificado (QSCD) EN 419 221-5.
Os HSMs Luna da Thales, integrados aos SAMs dos parceiros de tecnologia, possuem certificação Common Criteria, padrão internacionalmente reconhecido, garantindo elevado nível de segurança e confiança global em ambientes altamente regulados.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.