Requisitos para Geração e Verificação de Assinaturas Digitais na ICP-Brasil - DOC-ICP-15.01 – v 4.0 14
pelo signatário ou pelo verificador da assinatura. Este formato de assinatura é suportado apenas em
assinaturas baseadas nos padrões CAdES ou XAdES, inexistindo representação no padrão PAdES.
2.2.2.13 Uma assinatura digital ICP-Brasil com referências completas:
a) representada nos padrões CAdES e XAdES é criada com base numa assinatura digital ICP-
Brasil com referência de tempo, adicionando-lhe referências para todos os dados necessários
à verificação daquela assinatura, de acordo com o item 2.2.3.1 deste documento, bem como
todos os dados necessários para a verificação dessa assinatura digital ICP-Brasil. As
referências e os dados de validação DEVEM ser incorporados pelo signatário ou pelo
verificador da assinatura.
b) representada no padrão PAdES é criada com base numa assinatura digital ICP-Brasil com
referência de tempo, adicionando-lhe todos os dados necessários para a verificação dessa
assinatura digital ICP-Brasil, de acordo com o item 2.2.3.1 deste documento. Do mesmo
modo, será acrescentado ou logicamente conectado, sobre o conjunto de dados, um carimbo
do tempo, emitido por uma ACT credenciada na ICP-Brasil. O signatário ou o verificador da
assinatura DEVE incorporar os dados de validação e o carimbo do tempo.
2.2.2.14 Uma assinatura digital ICP-Brasil com referências para arquivamento é criada com
base numa assinatura digital ICP-Brasil com referência de tempo ou, caso seja utilizado o padrão
CAdES ou o padrão XAdES, numa assinatura digital com referências para validação, à qual são
anexados todos os dados necessários para a verificação dessa assinatura digital ICP-Brasil. Sobre
esses dados é emitido um novo carimbo do tempo, gerado por uma ACT credenciada na ICP-Brasil,
se possível utilizando algoritmos mais fortes (ou comprimentos de chaves maiores) do que no
carimbo do tempo original. Essa operação, que DEVE ser realizada pelo signatário ou pelo
verificador, PODE ser repetida cada vez que a proteção estiver em vias de se tornar fraca. Assim,
uma assinatura digital ICP-Brasil com referências para arquivamento suporta múltiplos carimbos do
tempo embutidos.
2.2.2.15 Se um documento PDF possuir conteúdo XML embarcado e a intenção for assinar o
PDF, então deve-se usar uma assinatura PAdES-ICP-Brasil. Caso necessite assinar apenas o
conteúdo XML, então é possível assinar com XAdES-ICP-Brasil, no entanto, esse procedimento
pode não proteger o PDF como um todo.
2.2.2.16 Recomenda-se que ao adicionar os objetos de validação de uma assinatura no DSS,
mantenha-se todos os objetos presentes de possíveis assinaturas anteriores. Dessa forma, a última
revisão do DSS sempre terá todos os objetos de validação referenciados de forma correta. Os VRIs
devem ser gerados para as assinaturas e carimbos do tempo.
2.2.3 Validação de uma assinatura digital ICP-Brasil
2.2.3.1 Toda assinatura digital ICP-Brasil DEVE ser passível de validação. Para verificar a validade
de uma assinatura digital ICP-Brasil o verificador DEVE utilizar:
a) o documento eletrônico para o qual a assinatura digital ICP-Brasil foi criada;
b) a assinatura digital ICP-Brasil do documento eletrônico;
c) o certificado digital do signatário e sua correspondente cadeia de certificação;