INSTRUÇÃO NORMATIVA N
o
03, DE 01 DE JUNHO DE 2016.
APROVA A VERSÃO 7.1 DO
DOCUMENTO REQUISITOS DAS
POLÍTICAS DE ASSINATURA DIGITAL
NA ICP-BRASIL (DOC-ICP-15.03) E A
VERSÃO 3.1 DO DOCUMENTO PERFIL
DE USO GERAL PARA ASSINATURAS
DIGITAIS NA ICP-BRASIL (DOC-15.02).
O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES
PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido
Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil,
de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4°
da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê
Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência,
prevista no § 6º art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do
Coordenador titular e suplente; e
CONSIDERANDO a necessidade de melhoria do conjunto normativo de assinaturas digitais da
ICP-Brasil; e
CONSIDERANDO a necessidade de inclusão da Cadeia V5 nas Políticas de Assinatura da ICP-
Brasil.
RESOLVE:
Art. 1º Alterar as tabelas A.6, A.8, A.10 e A.12, do DOC-ICP-15.03, na versão 7.0, na linha
referente ao Certificado do Signatário, que passa a vigorar com a seguinte redação:
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate ¹
id-aa-signingCertificateV2 ² O O O O O
SigningCertificate
¹ – Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² – Atributo a ser adotado a partir da versão 2.1.
Art. 2º Alterar a tabela A.16, do DOC-ICP-15.03, na versão 7.0, na linha referente ao Certificado
do Signatário, que passa a vigorar com a seguinte redação:
Certificado do signatário
(ESS signing certificate)
id-aa-signingCertificate ND ND ND ND
id-aa-signingCertificateV2 O O O O
Parágrafo único. A nota explicativa sobre a linha mencionada no caput será excluída.
REVOGADA
Art. 3º Alterar a tabela A.19, do DOC-ICP-15.03, na versão 7.0, que passa a vigorar com a seguinte
redação:
Entrada Valor Padrão
Perfil AD
RB RT RC RA
Type DSS O O O O
VRI Não aplicável O O O O
Certs Não aplicável O O O O
OCSPs Não aplicável P
*
P
*
P
*
P
*
CRLs Não aplicável P
*
P
*
P
*
P
*
PBAD_PolicyArtifacts Não aplicável P P P O
PBAD_LpaArtifacts Não aplicável P P P O
PBAD_LpaSignatures Não aplicável P P P O
Tabela A.19: Presença das entradas do dicionário DSS do PAdES.
Nota *: As entradas OCSPs e CRLs DEVEM constar no DSS. Nota-se que o uso de ambas ao
mesmo tempo não é proibido.
Art. 4º Alterar a tabela A.20, do DOC-ICP-15.03, na versão 7.0, que passa a vigorar com a seguinte
redação:
Entrada Valor Padrão
Perfil AD
RB RT RC RA
Type VRI O O O O
Cert Não aplicável O O O O
OCSP Não aplicável P
1
P
1
P
1
P
1
CRLs Não aplicável P
1
P
1
P
1
P
1
TU Não aplicável P
2
P
2
P
2
P
2
TS Não aplicável P
2
P
2
P
2
P
2
PBAD_PolicyArtifact Não aplicável P P P O
PBAD_LpaArtifact Não aplicável P P P O
PBAD_LpaSignature Não aplicável P P P O
Tabela A.20: Presença das entradas do dicionário VRI do PAdES.
Nota 1: As entradas OCSP e CRL DEVEM constar no VRI. Nota-se que o uso de ambas ao
mesmo tempo não é proibido.
Nota 2: As entradas TU e TS são mutuamente exclusivas, ou seja, se um for codificado o outro
não deve ser codificado.
Art. 5º Incluir no Anexo 2 do DOC-ICP-15.03, versão 7.0, as novas versões das Políticas de
Assinatura CAdES e XAdES da ICP-Brasil, com a seguinte redação:
O nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO
CMS, versão 2.2 e o seu Object Identifier (OID) é 2.16.76.1.7.1.1.2.2.
O nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO
FORMATO CMS, versão 2.2 e o seu Object Identifier (OID) é
2.16.76.1.7.1.2.2.2.
O nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO
NO FORMATO CMS, versão 2.2 e o seu Object Identifier (OID) é
2.16.76.1.7.1.3.2.2.
O nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO
FORMATO CMS, versão 2.2 e o seu Object Identifier (OID) é
2.16.76.1.7.1.4.2.2.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS PARA
ARQUIVAMENTO NO FORMATO CMS, versão 2.3 e o seu Object Identifier
(OID) é 2.16.76.1.7.1.5.2.3.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO
XML-DSig, versão 2.3 e o seu Object Identifier (OID) é 2.16.76.1.7.1.6.2.3.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO
FORMATO XML-DSig, versão 2.3 e o seu Object Identifier (OID) é
2.16.76.1.7.1.7.2.3.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO
NO FORMATO XML-DSig, versão 2.3 e o seu Object Identifier (OID) é
2.16.76.1.7.1.8.2.3.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO
FORMATO XML-DSig, versão 2.3 e o seu Object Identifier (OID) é
2.16.76.1.7.1.9.2.3.
O nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL
PARA ASSINATURA DIGITAL COM REFERENCIAS PARA
ARQUIVAMENTO NO FORMATO XML-DSig, versão 2.3 e o seu Object
Identifier (OID) é 2.16.76.1.7.1.10.2.3.
Parágrafo único. Estas versões de Políticas de Assinatura se diferenciam das anteriores nas
seguintes configurações:
a) Data de Emissão: 27/04/2016;
b) Período de Assinatura: 27/04/2016 a 02/03/2029;
c) Raiz Confiável:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt;
d) Identificador de Algoritmo: SHA256withRSA e SHA512withRSA.
Art. 6º Alterar a alínea “a”, do item 2, do Anexo 2, do DOC-ICP-15.03, versão 7.0, em todas as
Políticas PAdES, que passa a vigorar com a seguinte redação:
a) para a versão 1.0: 25/08/2015.
Art. 7º Alterar o item 5.1 do Anexo 2, do DOC-ICP-15.03, versão 7.0, em todas as Políticas
PAdES, que passa a vigorar com a seguinte redação:
Para a versão 1.0, o período para assinatura desta PA é de 25/08/2015 a 02/03/2029.
Art. 8º Acrescentar ao Anexo 2, do DOC-ICP-15.03, versão 7.0, na Política AD-RB PAdES, o item
5.2.1.1.3, renumerando os subsequentes, com a seguinte redação:
5.2.1.1.3 - Atributos ou Propriedades Não-Assinados Obrigatórios
Não possui atributos não-assinados obrigatórios.
Art. 9º Acrescentar ao Anexo 2, do DOC-ICP-15.03, versão 7.0, em todas as Políticas PAdES, o
item 5.2.1.1.6, com a seguinte redação:
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.1.6.1 Extensão br_ext_mandatedPdfSigDicEntries.
5.2.1.1.6.1.1 Entradas obrigatórias do Dicionário de Assinaturas:
a) Type;
b) Filter;
c) SubFilter;
d) Contents;
e) ByteRange.
Art. 10. Alterar a alínea “a”, do item 5.2.2.1.1, do Anexo 2, do DOC-ICP-15.03, versão 7.0, em
todas as Políticas PAdES, que passa a vigorar com a seguinte redação:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt.
Art. 11. Alterar a alínea “a”, do item 5.2.3.1.1.1, do Anexo 2, do DOC-ICP-15.03, versão 7.0, em
todas as Políticas PAdES, que passa a vigorar com a seguinte redação:
a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou
sha512WithRSAEncryption(1.2.840.113549.1.1.13).
Art. 12. Atualizar o texto do Anexo 3 do DOC-15.03, versão 7.0, para refletir a evolução dos
artefatos de assinatura digital da ICP-Brasil.
Art. 13. Acrescentar ao Anexo 4, do DOC-ICP-15.03, versão 7.0, o item 2.5, com a seguinte
redação:
2.5 - Relação dos tipos de PdfEntry
Definição em ASN.1 dos valores de cada tipo de entrada de dicionário. As entradas não
descritas aqui não possuem um valor fixo aplicável, portanto, dispensa a codificação de um
valor. Sua presença indica sua obrigatoriedade.
Entrada (id) Sintaxe ASN.1 (value)
Type UTF8String (SIZE (1..MAX))
Filter UTF8String (SIZE (1..MAX))
SubFilter UTF8String (SIZE (1..MAX))
ValidationValues ValidationReq
Tabela A.4.3 - Sintaxe ASN.1 por tipos de entradas.
A entrada de dicionário ValidationValues, não reflete a uma entrada do DSS ou VRI de fato,
mas indica qual tipo de artefato de revogação deve ser incluido nessas estruturas. Essa
estrutura pode indicar se um DSS ou VRI deve conter apenas LCRs, apenas OCSPs,
qualquer um dos dois ou obrigatoriamente os dois.
ValidationReq ::= ENUMERATED {
crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada
ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada
either (2), -- indica que podem ser usadas LCRs ou OCSPs no DSS/VRI
both (3) -- indica que devem ser usadas LCRs e OCSPs no DSS/VRI
}
Art. 14. Alterar o título dos itens 4.1 e 4.2, do DOC-ICP-15.02, versão 3.0, que passam,
respectivamente, a vigorar com a seguinte redação:
4.1 ATRIBUTOS ASSINADOS
4.2 ATRIBUTOS NÃO ASSINADOS
Art. 15. Aprovar a versão 7.1 do DOC-ICP-15.03 - REQUISITOS DAS POLÍTICAS DE
ASSINATURA DIGITAL NA ICP-BRASIL e versão 3.1 do DOC-ICP-15.02 - PERFIL DE
USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL.
§ 1º Todas as demais cláusulas dos DOC-ICP-15.03 e DOC-ICP-15.02, em suas versões
imediatamente anteriores, em sua ordem originária, integram as presentes versões e
mantêm-se válidas.
§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade,
no sítio http://www.iti.gov.br.
Art. 16. Esta Instrução Normativa entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
