b) assinaturas digitais simples e assinaturas seriais, para assinaturas baseadas no
padrão PadES.
Cada assinatura gerada DEVE ser verificada e DEVE atender aos requisitos do processo
de validação.
Art. 18 Alterar o item 2.2.3.9 do DOC-ICP-15.01, versão 2.1, que passa a vigorar com a seguinte
redação:
2.2.3.9 Com exceção do padrão PAdES, um conteúdo digital PODE estar armazenado de
forma particionada em um repositório interno de um ambiente computacional. Por
exemplo, um conteúdo digital PODERIA ser composto de várias partes que estejam
armazenadas em tabelas diferentes de um mesmo servidor de banco de dados. Neste caso
específico, o processo de geração DEVE primeiro juntar as partes para formar o conteúdo
digital e depois gerar a assinatura digital propriamente dita. Como consequência, o
processo de verificação de assinatura digital DEVE requerer, quando necessário, a
reconstrução, de forma confiável, de um conteúdo digital já assinado anteriormente para a
verificação das assinaturas. Este requisito não se aplica para o padrão PAdES porque a
assinatura deve estar inserida em um documento PDF.
Art. 19 Acrescentar o item 2.2.3.12 no DOC-ICP-15.01, versão 2.1, com a seguinte redação:
2.2.3.12 Verificação de Longo Prazo no PAdES
A validação do carimbo do tempo do PAdES, o Document Timestamp, deve ser feita de
acordo com o descrito no capítulo 7, DOC-ICP 12, e no documento que descreve o
PAdES-LTV, ETSI TS 102 778-4. No primeiro documento são referenciadas as normas
para validar o carimbo do tempo na ICP-Brasil e no segundo é descrito como usar o DSS
na validação do PAdES e carimbos do tempo. Nota-se, ainda, que foram adicionadas a
PA, a LPA e a assinatura da LPA ao DSS, de forma obrigatória na PA_AD_RA e opcional
nas demais PAs. Dessa maneira, quando o verificador encontrar tais artefatos no DSS eles
devem ser usados, após a validação dos Document Timestamps, no processo de validação
da assinatura. Esse processo poderia seguir o fluxo descrito a seguir, no entanto fica a
critério do verificador implementar dessa forma, o importante é que o resultado da
verificação deve ser o mesmo.
1 - Buscar os objetos (PA, LPA e assinatura da LPA) referenciados pelo VRI dentro do
DSS;
2 - Validar a LPA através da verificação da assinatura da LPA;
3 - Verificar se a PA está ou estava válida na data de verificação de acordo com a LPA
validada no passo anterior;
4 - Verificar se a PA referenciada no VRI possui o mesmo OID e hash presentes no
atributo identificador da política de assinatura.
Caso o processo falhe em algum desses passos a assinatura deverá ser considerada
inválida e o verificador pode apontar que existe inconsistências entre a assinatura aposta e
os artefatos PA e/ou LPA arquivados no documento.
Art. 20 Acrescentar o item 2.2.3.13 no DOC-ICP-15.01, versão 2.1, com a seguinte redação:
2.2.3.13 Verificação de Revisões PAdES
Uma característica do PDF é o uso de revisões de documento a cada assinatura. Essa
característica pode trazer problemas para a validação da assinatura digital. Ao adicionar
uma nova assinatura o DSS anterior pode perder ou ter algum objeto sobreposto se for
mal manipulado. Assim, recomenda-se, antes de iniciar o processo de verificação das