Perfil do Alvará do Carimbo do Tempo da ICP-Brasil - DOC-ICP-12.01 v.2.0 5
1 DEFINIÇÃO
1.1 No contexto da infraestrutura de carimbo do tempo da ICP-Brasil um certificado de atributo
digital também é conhecido como Alvará. Um alvará consiste de um objeto de dados que contém uma
estrutura de campos que segue o formato definido pela RFC 5755, podendo ser codificado em formato
ASN.1 ou XML.
1.2 Todo Alvará, antes de sua emissão, deve ser assinado digitalmente utilizando certificados
digitais de equipamento por meio do MSC contido no SAS.
2 LOCAL ADMITIDO
2.1 O alvará, como limitador de autorização, tem seu uso admitido no TSTInfo, conforme previsto
no MCT 10 da ICP-Brasil [3], e no signingCertificate, admitido pelas RFC 5035 e RFC 2634.
2.2 Quando presente no signingCertificate a validação do alvará deverá seguir, no mínimo, os
procedimentos previstos no item 3.1.1. No TSTInfo essa validação não é obrigatória, sendo uma
decisão do verificador realizá-la.
3 IDENTIFICAÇÃO E VALIDAÇÃO DO ALVARÁ
3.1 Os procedimentos descritos a seguir tem como objetivo identificar e validar o alvará quando
estiver presente no signingCertificate, podendo ser utilizado para validação no TSTInfo.
3.1.1 Para identificar se um certificado de atributo, presente em um carimbo do tempo, é um alvará
é necessário averiguar os seguintes fatores:
a) O certificado de atributo tem o formato especificado no Manual de Condutas Técnicas (MCT)
10, Volume I [3];
b) Checar a integridade da sua assinatura;
c) O emissor deve ser um certificado considerado confiável para emissão de alvarás na ICP-
Brasil;
d) O alvará deverá estar válido no período do carimbo do tempo, conforme DOC-ICP 12 [1],
item 9.6.1.2.c e atender ao procedimento de validação definido.
3.1.2 Recomenda-se, ainda, a validação completa do alvará, que pode ser feita acrescentando os
itens abaixo, além daqueles descritos no item sobre validação de uma assinatura digital ICP-Brasil
com referência de tempo, constante no DOC-ICP 15.01 [2], no processo de validação.
a) O certificado do emissor do alvará não deve ser uma AC, ou seja, o valor de sua extensão
basicConstraints.cA deve ser falso;
b) O certificado do emissor precisa ter o bit de assinatura digital configurado como verdadeiro,
ou 1, em sua extensão keyUsage;
c) Validar o conteúdo do alvará conforme os requisitos V7 ao V14 e V17, do MCT 10, Volume
I [3].