INSTRUÇÃO NORMATIVA N

07, DE 25 DE AGOSTO DE 2015.

APROVA A VERSÃO 7.0 DO

DOCUMENTO REQUISITOS DAS

POLÍTICAS DE ASSINATURA DIGITAL

NA ICP-BRASIL (DOC-ICP-15.03).

O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido

Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil,

de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4°

da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê

Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência,

prevista no § 6º art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do

Coordenador titular e suplente; e

CONSIDERANDO a necessidade de complementar a regulamentação do padrão de assinatura

digital PAdES na ICP-Brasil.

RESOLVE:

Art. 1º Alterar o item 1.4 do DOC-ICP-15.03, versão 6.1, que passa a vigorar com a seguinte

redação:

1.4 Esta estrutura prevê a criação de uma única assinatura digital (também conhecida

como assinatura digital simples ou primária), a criação de assinaturas digitais em

paralelo (também conhecidas como coassinaturas), a criação de assinaturas digitais

em série (também conhecidas como contra-assinaturas) ou a criação de assinaturas

digitais seriais em arquivos PDF (múltiplas assinaturas PAdES).

Art. 2º Alterar o item 1.10 do DOC-ICP-15.03, versão 6.1, que passa a vigorar com a seguinte

redação:

1.10 O restante deste documento está organizado da seguinte forma. O Capítulo 2

apresenta o conteúdo de uma Política de Assinatura. O Anexo 1 apresenta as tabelas

dos atributos disponíveis para cada perfil de política de assinatura. O Anexo 2 lista as

Políticas de Assinatura Padrão da ICP-Brasil baseadas em CMS Advanced Electronic

Signatures (CAdES), em XML Advanced Electronic Signatures (XAdES) e em PDF

Advanced Electronic Signatures (PAdES). O Anexo 3 descreve o processo de

gerenciamento de PAs na ICP-Brasil.O Anexo 4 explica as extensões das políticas de

assinatura utilizadas no padrão PAdES e as entradas PDF inseridas nos dicionários de

validação do PDF.

REVOGADA

Art. 3º Alterar o primeiro parágrafo do item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, que

passa a vigorar com a seguinte redação:

Para facilitar a utilização de Políticas de Assinatura pelos usuários finais, o ITI criou 14

políticas de assinatura. Essas políticas foram criadas a partir do cruzamento do Perfil de Uso

Geral para Assinaturas Digitais ICP-Brasil, definido no documento DOC-ICP-15.02, com os

cinco formatos de assinatura digital da ICP-Brasil, derivados dos padrões CMS Advanced

Electronic Signature (CAdES), XML Advanced Electronic Signature (XAdES) e PDF

Advanced Electronic Signature (PAdES), citados no documento DOC-ICP-15.01, a saber:

As Tabelas A.2 a A.13 mostram a combinação dos elementos aplicada aos diferentes

contextos de assinatura. A Tabela A.1 mostra o significado das abreviações utilizadas nas

tabelas seguintes. Nos documentos 2 até 15 têm-se as 14 Políticas de Assinatura-padrão.

Art. 4º Acrescentar ao item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, as notas 7, 8 e 9, com a

seguinte redação:

Nota 7: Para as políticas PAdES deve-se observar as restrições de uso de atributos

impostas nas Tabelas A.14 à A.21. Essas restrições são baseadas nos perfis ETSI

PAdES-EPES [8] e ETSI PAdES-LTV [9].

Nota 8: Nas assinaturas PAdES-ICP-Brasil, deve-se usar as extensões de dicionários

condizentes com as estruturas PDF para que uma aplicação leitora aderente

reconheça e seja capaz de validar corretamente as assinaturas. Para todas as

assinaturas deve-se usar as extensões indicadas no item 4.4.4.2, do DOC-ICP 15.02.

Nota 9: As tabelas A.14 à A.21 definem os atributos do CAdES, contidos na entrada

Contents do dicionário de assinatura, assim como as entradas dos dicionários de

assinatura, DSS, VRI e Document Time-stamp.

Art. 5º Acrescentar ao item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, as tabelas e respectivas

notas:

• A.14 - Atributos assinados no SignerInfo do Assinante para assinaturas PAdES;

• A.15 - Presença de atributos não-assinados no SignerInfo do signatário para

assinatura PAdES;

• A.16 - Presença de atributos assinados no SignerInfo do TimeStampToken de

“carimbo do tempo de assinatura” para assinaturas PAdES;

Nota: Deve-se observar que embora os atributos id-aa-signingCertificate e id-aa-

signingCertificateV2 sejam opcionais (P), a presença de um deles é obrigatória, ou

seja, a ausência dos dois atributos é considerada um erro. Esta é uma situação

transitória em função da atualização da RFC 3161 pela RFC 5816. Recomenda-se

que seja utilizado o atributo id-aa-signingCertificateV2.

• A.17 - Presença de atributos não-assinados no SignerInfo do TimeStampToken de

“carimbo do tempo de assinatura” para assinaturas PAdES;

• A.18 - Presença das entradas do dicionário de assinaturas do PadES;

Nota: É possível associar um Seed Value Dictionary a um dicionário de

assinatura, esse dicionário pode ser usado para indicar qual política de

assinatura um assinante deverá usar. Para isso, devem ser usadas as

modificações descritas no documento ETSI TS 102 773-3. É importante

perceber que o uso desse dicionário não substitui o uso de políticas de

assinatura, pois esse dicionário é apenas uma condição para a geração da

assinatura, enquanto uma PA são regras acordadas entre assinante e verificador

as quais ambos devem seguir.

• A.19 - Presença das entradas do dicionário DSS do PadES;

Nota: Nos perfis AD RC e RA uma das entradas OCSPs e CRLs DEVE constar no

DSS. Nota-se que o uso de ambas ao mesmo tempo não é proibido.

• A.20 - Presença das entradas do dicionário VRI do PadES;

Nota: Nos perfis AD RC e RA uma das entradas OCSP e CRL DEVE constar no

VRI. Nota-se que o uso de ambas ao mesmo tempo não é proibido.

• A.21 - Presença das entradas do dicionário de assinatura do Document Timestamp do

PAdES; e

• A.22 - Presença de dicionários PDF relacionados às assinaturas PadES.

Nota: Caso seja utilizado DSS para os formatos RB e RT deve-se usar o VRI.

Art. 6º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão 6.1, o item 11 POLÍTICA-PADRÃO

AD-RB BASEADA EM PADES, com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA

ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO PDF, versão 1.0

e o seu Object Identifier (OID) é 2.16.76.1.7.1.11.1.

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distinguished Name “C=BR, O=ICP-

Brasil, OU=Instituto Nacional de Tecnologia da Informação – ITI”.

4 Campo de Aplicação

Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócio nos quais a

assinatura digital agrega segurança à autenticação de entidades e verificação de integridade,

permitindo sua validação durante o prazo de validade dos certificados dos signatários.

Uma vez que não são usados carimbos do tempo, a validação posterior só será possível se

existirem referências temporais que identifiquem o momento em que ocorreu a assinatura

digital. Nessas situações, deve existir legislação específica ou um acordo prévio entre as

partes definindo as referências a serem utilizadas.

Segundo esta PA, é permitido o emprego de múltiplas assinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de 00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado deve ser externo à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatórios as seguintes atributos

assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referência apenas ao certificado do

signatário.

5.2.1.1.4 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiança os certificados da AC-Raiz da

ICP-Brasil, disponíveis em :

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com

chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID

2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3

(do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao

OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Conjunto de Restrições de Algoritmos

5.2.3.1 Restrições de Algoritmos para Signatários

5.2.3.1.1 Restrições de Algoritmos

5.2.3.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o

algoritmo:

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.3.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 7º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão 6.1, o item 12 POLÍTICA-PADRÃO

AD-RT BASEADA EM PADES, com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA

ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO PDF, versao

1.0 e o seu Object Identifier (OID) é 2.16.76.1.7.1.12.1.

2 Data de Emissão

A data de emissão de cada PA é: a) para a versão 1.0: 00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distinguished Name “C=BR, O=ICP-

Brasil, OU=Instituto Nacional de Tecnologia da Informação – ITI”.

4 Campo de Aplicação

Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócios nos quais

a assinatura digital necessita de segurança em relação à irretratabilidade do momento de sua

geração.

Como esse tipo de assinatura não traz, de forma autocontida, referências ou valores dos

certificados e das informações de revogação (LCRs ou respostas OCSP) necessários para

sua validação posterior, ele deve ser utilizado somente quando esses dados puderem ser

obtidos por meios externos, de forma inequívoca. Uma assinatura desse tipo pode ter sua

capacidade probante diminuída, no caso de comprometimento da chave da AC que emitiu

qualquer um dos certificados da cadeia de certificação.

Segundo esta PA, é permitido o emprego de múltiplas assinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de 00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado deve ser externo à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos

assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios

As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, o atributo não

assinado signatureTimeStampToken.

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referência apenas ao certificado do

signatário.

5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenha sido incluído pelo signatário, o atributo id-aa-signatureTimeStampToken

DEVE ser incluído pelo verificador.

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiança os certificados da AC-Raiz da

ICPBrasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com

chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID

2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3

(do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao

OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade de Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempo deve ser feita tomando como

ponto de confiança os certificados da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-

Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é

2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2 Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatários

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o

algoritmo :

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 8º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão 6.1, o item 13 POLÍTICA-PADRÃO

AD-RC BASEADA EM PADES, com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA

ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO PDF,

versão 1.0 e o seu Object Identifier (OID) é 2.16.76.1.7.1.13.1.

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distinguished Name “C=BR, O=ICP-

Brasil, OU=Instituto Nacional de Tecnologia da Informação – ITI”.

4 Campo de Aplicação

Este tipo de assinatura inclui, no seu próprio corpo, uma referência do tempo da assinatura,

os certificados que compõem a cadeia de certificação e as informações de revogação do

certificado digital do signatário. Além disso, será acrescentado ou logicamente conectado,

sobre todo o conjunto de dados, um carimbo do tempo.

Deve ser usado em situações onde é necessária a verificação completa da validade da

assinatura digital a qualquer momento, pois os dados necessários estão auto contidos na

assinatura. Este tipo de assinatura demanda uma maior capacidade de armazenamento.

Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a

validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC

que emitiu o certificado do signatário, desde que o carimbo do tempo que foi aplicado sobre

todo o conjunto de dados tenha sido colocado antes desse comprometimento.

Segundo esta PA, é permitido o emprego de múltiplas assinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de 00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado pode ser tanto externo quanto interno à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos

assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não-

assinados:

a) id-aa-signatureTimeStampToken;

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referência apenas para o certificado do

signatário.

5.2.1.1.5 Certificados Obrigatórios no Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.1.6 Regras Adicionais do Signatário

5.2.1.1.6.1 Extensão br_ext_dss

5.2.1.1.6.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

5.2.1.1.6.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

c) Cert

d) OCSP ou CRLs

5.2.1.1.6.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos

pelo verificador:

a) id-aa-signatureTimeStampToken;

5.2.1.2.2 Regras Adicionais do Verificador

5.2.1.2.2.1 Extensão br_ext_dss

5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

5.2.1.2.2.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

b) Cert

c) OCSP ou CRLs

5.2.1.2.2.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiança os certificados da AC-Raiz da

ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com

chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID

2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3

(do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao

OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados de ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade do Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempo deve ser feita tomando como

ponto de confiança os certificados da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-

Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é

2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2 Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatário

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o

algoritmo:

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 9º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão 6.1, o item 14 POLÍTICA-PADRÃO

AD-RA BASEADA EM PADES, com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA

ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO

FORMATO CMS, versão 1.0 e o seu Object Identifier (OID) é 2.16.76.1.7.1.14.1

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015.

3 Nome da Entidade emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distinguished Name “C=BR, O=ICP-

Brasil, OU=Instituto Nacional de Tecnologia da Informação – ITI”.

4 Campo de Aplicação

Este tipo de assinatura é adequado para aplicações que necessitam realizar o arquivamento

do conteúdo digital assinado por longos períodos, sabendo-se que podem surgir fraquezas,

vulnerabilidades ou exposição a fragilidades dos algoritmos, funções e chaves criptográficas

utilizadas no processo de geração de assinatura digital.

Ele provê proteção contra fraqueza dos algoritmos, funções e tamanho de chaves

criptográficas, desde que o carimbo do tempo de arquivamento seja realizado

tempestivamente e utilize algoritmos, funções e tamanhos de chave considerados seguros no

momento de sua geração.

Além disso, oferece segurança quanto à irretratabilidade, e permite que se verifique a

validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC

que emitiu o certificado do signatário (desde que o carimbo do tempo sobre as

referências/valores dos certificados tenha sido colocado antes desse comprometimento).

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de 00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado pode ser tanto externo quanto interno à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos

assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não-

assinados:

id-aa-signatureTimeStampToken;

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referência apenas para o certificado do

signatário.

5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.1.6 Regras Adicionais do Signatário

5.2.1.1.6.1 Extensão br_ext_dss

5.2.1.1.6.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

e) PBAD_PolicyArtifacts

f) PBAD_LpaArtifacts

g) PBAD_LpaSignatures

5.2.1.1.6.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

b) Cert

c) OCSP ou CRLs

d) PBAD_PolicyArtifact

e) PBAD_LpaArtifact

f) PBAD_LpaSignature

5.2.1.1.6.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos

pelo verificador:

id-aa-signatureTimeStampToken;

5.2.1.2.2 Regras Adicionais do Verificador

5.2.1.2.2.1 Extensão br_ext_dss

5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

e) PBAD_PolicyArtifacts

f) PBAD_LpaArtifacts

g) PBAD_LpaSignatures

5.2.1.2.2.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

b) Cert

c) OCSP ou CRLs

d) PBAD_PolicyArtifact

e) PBAD_LpaArtifact

f) PBAD_LpaSignature

5.2.1.2.2.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiança os certificados da AC-Raiz da

ICP-Brasil, disponíveis em:

a) para a versão 1.0:

http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com

chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID

2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3

(do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao

OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados de ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade do Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempo deve ser feita tomando como

ponto de confiança os certificados da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0:

http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-

Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é

2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatário

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o

algoritmo:

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 10 Alterar o item 4.4, do anexo 3, do DOC-ICP-15.03, versão 6.1, que passa a vigorar com a

seguinte redação:

4.4 As LPAs são assinadas com Assinaturas Digitais ICP-Brasil, utilizando PKCS #7

para CAdES e PAdES e XMLDSig para XAdES, todas assinadas por um certificado

de pessoa jurídica do ITI, emitido por uma das autoridades certificadoras

credenciadas na ICP-Brasil.

Art. 11 Acrescentar ao DOC-ICP-15.03, versão 6.1, o anexo 4 - EXTENSÕES DE POLÍTICAS DE

ASSINATURA PARA PAdES, com a seguinte redação:

EXTENSÕES DE POLÍTICAS DE ASSINATURA PARA PAdES

1 INTRODUÇÃO

Para que a estrutura das PAs, descrita em [1], consiga apontar os campos da estrutura do PDF é

necessário expandir essa estrutura. Essa expansão é feita através da descrição de novas extensões de

PA, conforme o item 6.11 de [1]. Essas extensões servirão como guia de implementação dos

dicionários PDF utilizados para criar uma assinatura PAdES.

2 EXTENSÕES

2.1 – DICIONÁRIO DE ASSINATURA

Essa extensão tem função similar à tabela de atributos assinados obrigatórios. Nela constarão todas

as entradas obrigatórias e, opcionalmente, seu valor que deverá constar na assinatura.

2.1.1 – SINTAXE ASN.1

br_ext_mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 }

mandatedPdfSigDicEntries ::= SEQUENCE of PdfEntry

PdfEntry ::= SEQUENCE {

PdfEntryId UTF8String,

PdfEntryValue OCTET STRING OPTIONAL

}

O campo mandatedPdfSigDicEntries representa a lista de entradas obrigatórias que uma assinatura

deverá ter no dicionário de assinaturas. Esse campo é formado por uma lista de entradas PDF,

representadas pela estrutura PdfEntry. O PdfEntry, por sua vez, traz o nome da entrada PDF que

deverá constar no dicionário e, opcionalmente, o valor que deverá ser empregado nessa entrada.

2.2 – DICIONÁRIO DOCUMENT SECURITY STORE (DSS)

Quando esta extensão estiver presente, ela indicará que o DSS DEVE ser codificado na assinatura.

As entradas indicadas por essa extensão serão consideradas obrigatórias.

2.2.1 – SINTAXE ASN.1

br_ext_dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 }

DssDictionary ::= SEQUENCE{

type PdfEntry,

vriDictionary VriDictionary OPTIONAL,

paArtifacts BOOLEAN DEFAULT FALSE

}

VriDictionary ::= SEQUENCE{

type PdfEntry,

timeReference TimeReferenceType OPTIONAL,

paArtifacts BOOLEAN DEFAULT FALSE

}

TimeReferenceType ::= ENUMERATED{

tu (0), -- data/hora em que o dicionário VRI foi inserido

ts (1) -- carimbo do tempo do tipo RFC 3161 codificado em BER

}

O campo DssDictionary representa o dicionário DSS, descrito em ETSI PAdES-LTV [9]. Esse

campo é formado pela indicação de seu tipo, campo type, que é uma entrada de dicionário PDF,

pelo campo vriDictionary, que é a indicação do uso do dicionário Validation Related Information

(VRI) [9] e pelo campo paArtifacts, onde é possível indicar o armazenamento da PA e LPA (ver

item 2.4) utilizadas pelas assinaturas dentro da estrutura do PDF.

O campo VriDictionary faz referência apenas a uma assinatura. Nele, é possível indicar seu tipo,

que é uma entrada do dicionário VRI, o timeReference, que é o tempo do momento da coleta e

validação das informações de validação da assinatura e do indicativo da inclusão das PA e LPA (ver

item 2.4) utilizadas pela assinatura. Quando usado, o campo timeReference, pode ser tanto o tempo

da máquina do usuário quanto um carimbo do tempo, conforme DOC-ICP-11.

2.3 – DICIONÁRIO DOCUMENT TIME-STAMP

Define os campos obrigatórios do carimbo do tempo do documento, que é inserido como uma

assinatura a parte no PDF. As entradas presentes nessa extensão são obrigatórias.

2.3.1 – SINTAXE ASN.1

br_ext_mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 }

mandatedDocTSEntries ::= SEQUENCE of PdfEntry

O campo mandatedDocTSEntries apresenta uma lista de entradas para o dicionário do carimbo do

tempo do documento, ou Document Timestamp, que é um dicionário similar ao dicionário de

assinaturas, mas a entrada Contents possui um carimbo do tempo ao invés de uma assinatura

tradicional.

2.4 – Artefatos de PA e LPA na estrutura PDF

A indicação da codificação dos artefatos de políticas de assinatura (PA, LPA, certificado do

assinante e assinatura da LPA) será formada por 3 entradas no Document Time-stamp. Essas

entradas funcionarão de forma parecida com a codificação dos certificados, LCRs e OCSPs

presentes no DSS. Ou seja, serão referências indiretas aos respectivos objetos codificados em BER.

ENTRADA TIPO VALOR

PBAD_PolicyArtifacts Referência

Uma referência para o objeto PDF que contém as PAs

codificadas em BER. Essa entrada contém as políticas de

assinatura que devem ser usadas para a validação das

assinaturas contidas no documento PDF

PBAD_LpaArtifacts Referência Uma referência para o objeto PDF que contém as LPAs

codificadas em BER. Essa entrada contém as LPAs que

devem ser usadas para validar as políticas de assinatura

usadas nas assinaturas contidas no documento PDF

PBAD_LpaSignatures Referência

Uma referência para o objeto PDF que contém as assinaturas

das LPAs.

Tabela A.4 1 – Entradas adicionais do dicionário Document Security Store.

A Tabela A.4 1 descreve as entradas a serem adicionadas ao DSS, descrito em [9]. Essas entradas

guardam todos os dados necessários para validar uma política de assinatura localmente. A entrada

PBAD_PolicyArtifcats e PBAD_LpaArtifacts são arrays de objetos indiretos (ver ISO 32000-1)

contendo todas as PAs e LPAs, respectivamente, utilizadas no documento PDF assinado no padrão

PAdES. A entrada PBAD_LpaSignatures é um array de objetos indiretos contendo as assinaturas

das LPAs incluídas na entrada PBAD_LpaArtifacts.

ENTRADA TIPO VALOR

PBAD_PolicyArtifact Referência

Uma referência para o objeto PDF que contém uma PA

codificada em BER. Essa entrada contém a política de

assinatura que deve ser usada para a validação da assinatura

PBAD_LpaArtifact Referência

Uma referência para o objeto PDF que contém uma LPA

codificada em BER. Essa entrada contém a LPA que deve ser

usada para validar a política de assinatura usada na assinatura

PBAD_LpaSignature Referência

Uma referência para o objeto PDF que contém a assinatura

da LPA. Essa assinatura deve ser validada com o certificado

da entrada LpaCert

Tabela A.4 2 – Entradas adicionais do dicionário VRI.

A Tabela A.4 2 descreve as entradas a serem adicionadas no dicionário VRI, descrito em ETSI

PAdES-LTV [9]. Essas entradas adicionais servem para indicar qual PA e qual LPA devem ser

utilizadas na validação da assinatura à qual determinado VRI faz referência. A entrada PaArtifact

deve conter um objeto indireto à PA utilizada para realizar a assinatura. A entrada LpaArtifact deve

conter um objeto indireto à LPA vigente durante o período de realização da assinatura. A entrada

LpaSignature deve conter a assinatura da LPA.

Art. 12 Acrescentar as referências [8] e [9] na Bibliografia do DOC-ICP-15.03, versão 6.1, com a

seguinte redação:

[8] ETSI. Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature

Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles. TS 102 778-3.

V1.2.1. 2010.

[9] ETSI. Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature

Profiles; Part 4: PAdES Long Term - PAdES-LTV Profile. TS 102 778-4. V1.1.1. 2009.

Art. 13 Aprovar a versão 7.0 do DOC-ICP-15.03 - REQUISITOS DAS POLÍTICAS DE

ASSINATURA DIGITAL NA ICP-BRASIL.

§ 1º Todas as demais cláusulas do DOC-ICP-15.03, na sua versão 6.1, em sua ordem

originária, integram a presente versão 7.0 e mantêm-se válidas.

§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítio

http://www.iti.gov.br.

Art. 14 Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI