INSTRUÇÃO NORMATIVA N

06, DE 25 DE AGOSTO DE 2015.

APROVA A VERSÃO 3.0 DO

DOCUMENTO PERFIL DE USO GERAL

PARA ASSINATURAS DIGITAIS NA

ICP-BRASIL (DOC-ICP-15.02).

O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido

Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil,

de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4°

da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê

Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência,

prevista no § 6º art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do

Coordenador titular e suplente; e

CONSIDERANDO a necessidade de complementar a regulamentação do padrão de assinatura

digital PAdES na ICP-Brasil.

RESOLVE:

Art. 1º Alterar o item 1.1 do DOC-ICP-15.02, versão 2.1, que passa a vigorar com a seguinte

redação:

1.1 Este documento define um perfil para assinatura digital na Infraestrutura de Chaves

Públicas Brasileira (ICP-Brasil) que contém um sub-conjunto dos atributos, propriedades ou

entrada de dicionários definidos respectivamente nos padrões CMS Advanced Electronic

Signatures (CAdES) [1], XML Advanced Electronic Signatures (XAdES) [2] e PDF

Advanced Electronic Signatures (PAdES) [9]. Tal perfil foi criado com o objetivo de

minimizar as diferenças entre implementações e maximizar a interoperabilidade das

aplicações para geração e verificação de assinaturas digitais.

Art. 2º Alterar o item 1.5 do DOC-ICP-15.02, versão 2.1, que foi renumerado para 1.4 e passa a

vigorar com a seguinte redação:

1.4 O restante deste documento está organizado da seguinte forma. O capítulo 2 apresenta o

perfil de assinatura digital com base no CAdES; o capítulo 3 apresenta o perfil de assinatura

digital com base no XAdES e o capítulo 4 o perfil de assinatura digital com base no PAdES.

Art. 3º Acrescentar as referências [9], [10], [11], [12] e [13] na Bibliografia do DOC-ICP-15.02,

versão 2.1, com a seguinte redação:

[9] ETSI. PDF Advanced Electronic Signatures Profiles. Part 1 PAdES Overview – a

framework document for PAdES: TS 102 778-1 V1.1.1. ed. [S.l.], 2009. Acesso em:

23/01/2015.

[10] ISO. ISO 3166 – Country Codes. https://www.iso.org/obp/ui/#search. Acesso em :

REVOGADA

20/01/2015.

[11] ETSI. PDF Advanced Electronic Signatures Profiles. Part 3: PAdES Enhanced –

PAdES BES and PAdES EPES Profiles. TS 102 778-3 V1.2.1. ed. [S.l.], 2010. Acesso em:

23/01/2015.

[12] ETSI. PDF Advanced Electronic Signatures Profiles. Part 4: PAdES Long Term –

PAdES LTV Profile. TS 102 778-4 V1.1.2. ed. [S.l.], 2009. Acesso em: 23/01/2015.

[13] ISO. ISO 32000-1 - Document management - Portable document format - Part 1: PDF

1.7. https://www.iso.org/obp/ui/#iso:std:iso:32000:-1:ed-1:v1:en. Acesso em 28/04/2015

Art. 4º Acrescentar o item 4, seus subitens e alíneas ao DOC-ICP-15.02, versão 2.1, com a seguinte

redação:

4. PERFIL DE ASSINATURA DIGITAL COM BASE NOS PADRÕES PDF/PAdES

4.1 PROPRIEDADES ASSINADAS

A Tabela 1 apresenta os atributos assinados para assinaturas no formato PAdES, em

conformidade com o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A

coluna Ref aponta a seção no documento ETSI TS 101 733 [1] em que o atributo está

especificado.

Atributo Ref [1] Requisitos adicionais / Observações

id-contentType 5.7.1

id-messageDigest 5.7.2

id-aa-signingCertificate

5.7.3

Uso proibido no padrão PAdES.

id-aa-signingCertificate

Os certificados digitais empregados DEVEM

atender ao perfil definido no documento

DOC-ICP-04 [7].

id-aa-ets-sigPolicyId 5.8

id-aa-ets-signerAttr 5.11.3

id-aa-ets-signerLocation 5.11.2

Uso proibido no padrão PAdES. A entrada

Location do dicionário de assinatura deve ser

utilizada para este propósito. Ver Tabela 3

para mais detalhes.

id-signingTime 5.9.1

Uso proibido no padrão PAdES. O instante

da geração da assinatura digital declarado

pelo assinante deve estar na entrada M do

dicionário de assinatura. Ver Tabela 3 para

mais detalhes.

id-aa-ets-

contentTimestamp

5.11.4

Os carimbos do tempo utilizados DEVEM

seguir o perfil definido no documento DOC-

ICP-12 [6].

adbe-

revocationInfoArchival

Uso proibido no padrão PAdES. O atributo

está descrito no item 12.8.3.3.2 Revocation

Information da ISO 32000-1 [13].

Tabela 1: Atributos assinados para assinaturas no formato PAdES

4.2 PROPRIEDADES NÃO ASSINADAS

A Tabela 2 apresenta os atributos não assinados para assinaturas no formato PAdES, em

conformidade com o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A

coluna Ref aponta a seção no documento ETSI TS 101 733 [1] em que o atributo está

especificado.

Atributo Ref [1] Requisitos adicionais / Observações

id-countersignature 5.9.2 Uso proibido no padrão PAdES.

id-aa-

signatureTimeStampToke

6.1.1

Os carimbos de tempo utilizados DEVEM seguir

o perfil definido no documento DOC-ICP-12

[6].

id-aa-ets-certificateRefs 6.2.1 Uso proibido no padrão PAdES.

id-aa-ets-revocationRefs 6.2.2 Uso proibido no padrão PAdES.

id-aa-ets-

attrCertificateRefs

6.2.3

Uso proibido no padrão PAdES.

id-aa-ets-

attrRevocationRefs

6.2.4

Uso proibido no padrão PAdES.

Atributo Ref [1] Requisitos adicionais / Observações

id-aa-ets-certValues 6.3.3 Uso proibido no padrão PAdES.

id-aa-ets-revocationValues 6.3.4 Uso proibido no padrão PAdES.

id-aa-ets-escTimeStamp 6.3.5 Uso proibido no padrão PAdES.

id-aa-ets-

archiveTimestamp

6.4.1

Uso proibido no padrão PAdES.

Tabela 2: Atributos não assinados para assinaturas no formato PAdES

A Tabela 3 apresenta a relação entre atributos e entradas do dicionário de assinaturas com

conflito de conteúdo e que devem ser atendidos no PAdES.

Informação Uso Recomendado Uso Proibido

Instante de geração da

assinatura declarado pelo

assinante

Entrada M Atributo id-signingTime

Localização do assinante Entrada Location

Atributo id-aa-ets-

signerLocation

Certificado do assinante

Campo “certificates” do

SignedData

Entrada Cert

Certificados do caminho

de certificação

DSS e VRI Atributo id-aa-ets-certValues

LCRs ou OCSPs do

caminho de certificação

DSS e VRI

Atributo id-aa-ets-

revocationValues

Tabela 3: Relação de entradas do dicionário de assinatura e atributos com conteúdos

similares

4.3 ENTRADAS DO DICIONÁRIO DE ASSINATURAS

Entrada Requisitos adicionais / Observação

Type

Indica o tipo de Objeto PDF que esse dicionário representa.

Conforme a Tabela A.18, do DOC-ICP 15.03, o valor padrão é Sig.

Filter

Define o nome do plugin adequado para executar a verificação da

assinatura. Conforme a Tabela A.18, do DOC-ICP 15.03, o valor

padrão é PBAD_PAdES.

SubFilter

Identifica o padrão de assinatura utilizado. Um leitor PDF aderente

deve utilizar um plugin que saiba verificar esse tipo de padrão de

assinatura. Conforme a Tabela A.18, do DOC-ICP 15.03, o valor

padrão é PBAD.PAdES.

Contents

Cert Uso proibido no padrão PAdES. O campo “certificates” do

Entrada Requisitos adicionais / Observação

SignedData deve ser utilizado para este propósito. Ver Tabela 3

para mais detalhes.

ByteRange

Reference

Changes

Name

Entrada com função similar ao atributo “id-signingTime”. Ver

Tabela 3 para mais detalhes sobre o uso dessa entrada.

Location

Entrada com função similar ao atributo “id-aa-ets-signerLocation”.

Ver Tabela 3 para mais detalhes sobre o uso dessa entrada.

Reason

ContactInfo

Prop_Build

Prop_AuthTime

Prop_AuthType

Tabela 4: Entradas do dicionário de assinatura

4.4 DICIONÁRIOS DE VALIDAÇÃO

4.4.1 Document Security Store (DSS)

A Tabela 5 apresenta as entradas do dicionário DSS, em conformidade com o documento

ETSI TS 102 778-4. Todas as entradas descritas estão definidas na Tabela “Entries in a DSS

Dictionary”, Anexo A.1 do documento ETSI 102 778-4.

Entrada Requisitos adicionais / Observação

Type

Indica o tipo do dicionário.. Conforme a Tabela A.19, do DOC-ICP

15.03, o valor padrão é DSS.

VRI

Certs

Entrada com função similar ao atributo “id-aa-ets-certValues”. Ver

Tabela 3 para mais detalhes sobre o uso dessa entrada.

OCSPs

Entrada com função similar ao atributo “id-aa-ets-revocationValues”.

Ver Tabela 3 para mais detalhes sobre o uso dessa entrada.

CRLs

Entrada com função similar ao atributo “id-aa-ets-revocationValues”.

Ver Tabela 3 para mais detalhes sobre o uso dessa entrada.

PolicyArtifacts Descrição na Tabela A.4.1, do DOC-ICP 15.03.

LpaArtifacts Descrição na Tabela A.4.1, do DOC-ICP 15.03.

LpaSignatures Descrição na Tabela A.4.1, do DOC-ICP 15.03.

Tabela 5: Entradas do dicionário DSS

4.4.2 Validation Related Information (VRI)

A Tabela 6 apresenta as entradas do dicionário VRI, em conformidade com o documento

ETSI TS 102 778-4. Todas as entradas descritas estão definidas na Tabela “Entries in a

Signature VRI Dictionary”, Anexo A.1 do documento ETSI 102 778-4.

Entrada Requisitos adicionais / Observação

Type

Indica o tipo do dicionário. Conforme a Tabela A.20, do DOC-ICP

15.03, o valor padrão é VRI.

Cert

OCSP

CRL

A presença deste campo não invalida a assinatura, porém não será

considerado no processo de validação.

A presença deste campo não invalida a assinatura, porém não será

considerado no processo de validação.

Entrada Requisitos adicionais / Observação

PolicyArtifacts Descrição na Tabela A.4.2, do DOC-ICP 15.03.

LpaArtifacts Descrição na Tabela A.4.2, do DOC-ICP 15.03.

LpaSignatures Descrição na Tabela A.4.2, do DOC-ICP 15.03.

Tabela 6: Entradas do dicionário VRI

4.4.3 Document Time-stamp

A Tabela 7 apresenta as entradas do dicionário Document Time-stamp, em conformidade

com o documento ETSI TS 102 778-4. Todas as entradas descritas estão definidas na Tabela

“Modifications to table 252 for a Document Time-stamp Dictionary”, Anexo A.2 do

documento ETSI 102 778-4.

Entrada Requisitos adicionais / Observação

Type

Indica o tipo do dicionário. Conforme a Tabela A.21, do DOC-ICP

15.03, o valor padrão é DocTimeStamp.

SubFilter

Identifica o padrão de assinatura utilizado. Conforme a Tabela A.21,

do DOC-ICP 15.03, o valor padrão é ETSI.RFC3161.

Contents

Tabela 7: Entradas do dicionário Document Time-stamp

4.4.4 Versões e Extensões do PDF

4.4.4.1 Versões

Para garantir que todos os recursos necessários na validação de uma assinatura PAdES sejam

interpretados corretamente pelo leitor aderente, deve-se usar no mínimo a versão 1.7 do

PDF. Esta versão é a mais atual, mantida pelo documento ISO 32000-1 [13], e possibilita a

utilização das extensões necessárias para a inclusão do DSS e VRI. Os detalhes sobre as

versões do PDF estão descritos no Anexo I, do documento ISO 32000-1. Caso seja

necessário usar PDF/A deve-se usar a versão PDF/A-2 ou superior, pois a versão PDF/A-1

não possui suporte para assinaturas CAdES, que é um requisito para o PAdES-ICP-Brasil.

4.4.4.2 Extensões

Nos documentos de referência, ETSI TS 102 778-3 e ETSI 102 778-4, há a indicação do uso

de extensões de dicionário para indicar o uso de características específicas do PDF, que no

caso de assinaturas Padrão ICP-Brasil serão identificadas com o prefixo PBAD. Assim, para

indicar que a assinatura PAdES possui política de assinatura, deve-se utilizar a seguinte

extensão:

<</ESIC

<</BaseVersion /1.7

/ExtensionLevel 2

E para assinaturas que possuam DSS e VRI, deve-se usar a seguinte extensão:

<</PBAD

<</BaseVersion /1.7

/ExtensionLevel 1

Art. 5º Aprovar a versão 3.0 do DOC-ICP-15.02 - REQUISITOS PARA GERAÇÃO E

VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL.

§ 1º Todas as demais cláusulas do DOC-ICP-15.02, na sua versão 2.1, em sua ordem

originária, integram a presente versão 3.0 e mantêm-se válidas.

§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítio

http://www.iti.gov.br

Art. 6º Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI