Norma
30/10/2015
#167087

INSTRUÇÃO NORMATIVA Nº 7, DE 25 DE AGOSTO DE 2015

Aprova a versão 7.0 do documento de requisitos das políticas de assinatura digital na ICP-Brasil, atualizando regras e tabelas para assinaturas digitais em formato PDF.

APROVA A VERSÃO 7.0 DO DOCUMENTO REQUISITOS DAS POLÍTICASDE ASSINATURA DIGITAL NA ICP-BRASIL (DOC-ICP-15.03).

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE

CHAVES PÚBLICAS BRASILEIRA - CG ICP-BRASIL, no exercício do cargo de COORDENADORDO REFERIDO COMITÊ, conforme previsão constante no art. 1º da Resolução nº 33 doComitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nosincisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,

Considerando o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestorda Infraestrutura de Chaves Públicas Brasileira - CG ICP-Brasil e fixa a competência, prevista no § 6ºart. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular esuplente; e

Considerando a necessidade de complementar a regulamentação do padrão de assinatura digitalPAdES na ICP-Brasil, resolve:

Art. 1º Alterar o item 1.4 do DOC-ICP-15.03, versão 6.1, que passa a vigorar com a seguinteredação:

1.4 Esta estrutura prevê a criação de uma única assinatura digital (também conhecida como

assinatura digital simples ou primária), a criação de assinaturas digitais em paralelo (também

conhecidas como coassinaturas), a criação de assinaturas digitais em série (também conhecidas

como contra-assinaturas) ou a criação de assinaturas digitais seriais em arquivos PDF (múltiplas

assinaturas PAdES).

Art. 2º Alterar o item 1.10 do DOC-ICP-15.03, versão 6.1, que passa a vigorar com a seguinteredação:

1.10 O restante deste documento está organizado da seguinte forma. O Capítulo 2 apresenta o

conteúdo de uma Política de Assinatura. O Anexo 1 apresenta as tabelas dos atributos disponíveis

para cada perfil de política de assinatura. O Anexo 2 lista as Políticas de Assinatura Padrão da ICP Brasilbaseadas em CMS Advanced Electronic Signatures (CAdES), em XML Advanced Electronic

Signatures (XAdES) e em PDF Advanced Electronic Signatures (PAdES). O Anexo 3 descreve o

processo de gerenciamento de PAs na ICP-Brasil.O Anexo 4 explica as extensões das políticas de

assinatura utilizadas no padrão PAdES e as entradas PDF inseridas nos dicionários de validação do

PDF.

Art. 3º Alterar o primeiro parágrafo do item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, quepassa a vigorar com a seguinte redação:

Para facilitar a utilização de Políticas de Assinatura pelos usuários finais, o ITI criou 14

políticas de assinatura. Essas políticas foram criadas a partir do cruzamento do Perfil de Uso Geral

para Assinaturas Digitais ICP-Brasil, definido no documento DOC-ICP-15.02, com os cinco for matosde assinatura digital da ICP-Brasil, derivados dos padrões CMS Advanced Electronic Sig nature(CAdES), XML Advanced Electronic Signature (XAdES) e PDF Advanced Electronic Sig nature(PAdES), citados no documento DOC-ICP-15.01, a saber:

As Tabelas A.2 a A.13 mostram a combinação dos elementos aplicada aos diferentes contextos

de assinatura. A Tabela A.1 mostra o significado das abreviações utilizadas nas tabelas seguintes.

Nos documentos 2 até 15 têm-se as 14 Políticas de Assinatura-padrão.

Art. 4º Acrescentar ao item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, as notas 7, 8 e 9,com a seguinte redação:

Nota 7: Para as políticas PAdES deve-se observar as restrições de uso de atributos impostas nas

Tabelas A.14 à A.21. Essas restrições são baseadas nos perfis ETSI PAdES-EPES [8] e ETSI

PAdES-LTV [9].

Nota 8: Nas assinaturas PAdES-ICP-Brasil, deve-se usar as extensões de dicionários condizentes

com as estruturas PDF para que uma aplicação leitora aderente reconheça e seja capaz de validar

corretamente as assinaturas. Para todas as assinaturas deve-se usar as extensões indicadas no item

4.4.4.2, do DOC-ICP 15.02.

Nota 9: As tabelas A.14 à A.21 definem os atributos do CAdES, contidos na entrada Contents

do dicionário de assinatura, assim como as entradas dos dicionários de assinatura, DSS, VRI e

Document Time-stamp.

Art. 5º Acrescentar ao item 1, do anexo 1, do DOC-ICP-15.03, versão 6.1, as tabelas erespectivas notas:

 A.14 - Atributos assinados no SignerInfo do Assinante para assinaturas PAdES;

 A.15 - Presença de atributos não-assinados no SignerInfo do signatário para assinatura

PA d E S ;

 A.16 - Presença de atributos assinados no SignerInfo do

TimeStampToken de "carimbo do tempo de assinatura" para as sinaturasPAdES;

Nota: Deve-se observar que embora os atributos id-aa-sig ningCertificateeid-aa-signingCertificateV2sejamopcionais

(P), a presença de um deles é obrigatória, ou seja, a ausência dos

dois atributos é considerada um erro. Esta é uma situação tran sitóriaem função da atualização da RFC 3161 pela RFC 5816.

Recomenda-se que seja utilizado o atributo id-aa-signingCer tificateV2.

 A.17 - Presença de atributos não-assinados no SignerInfo

do TimeStampToken de "carimbo do tempo de assinatura" para

assinaturas PAdES;

 A.18 - Presença das entradas do dicionário de assinaturas

do PadES;

Nota: É possível associar um Seed Value Dictionary a um

dicionário de assinatura, esse dicionário pode ser usado para

indicar qual política de assinatura um assinante deverá usar. Para

isso, devem ser usadas as modificações descritas no documento

ETSI TS 102 773-3. É importante perceber que o uso desse

dicionário não substitui o uso de políticas de assinatura, pois esse

dicionário é apenas uma condição para a geração da assinatura,

enquanto uma PA são regras acordadas entre assinante e ve rificadoras quais ambos devem seguir.

 A.19 - Presença das entradas do dicionário DSS do PadES;

Nota: Nos perfis AD RC e RA uma das entradas OCSPs e

CRLs DEVE constar no DSS. Nota-se que o uso de ambas ao

mesmo tempo não é proibido.

 A.20 - Presença das entradas do dicionário VRI do PadES;

Nota: Nos perfis AD RC e RA uma das entradas OCSP e

CRL DEVE constar no VRI. Nota-se que o uso de ambas ao

mesmo tempo não é proibido.

 A.21 - Presença das entradas do dicionário de assinatura do

Document Timestamp do PAdES; e

 A.22 - Presença de dicionários PDF relacionados às as sinaturasPadES.

Nota: Caso seja utilizado DSS para os formatos RB e RT

deve-se usar o VRI.

Art. 6º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão6.1, o item 11 POLÍTICA-PADRÃO AD-RB BASEADA EM PADES,com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é

POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM

REFERENCIA BASICA NO FORMATO PDF, versão 1.0 e o

seu Object Identifier (OID) é 2.16.76.1.7.1.11.1.

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distin guishedName "C=BR, O=ICP-Brasil, OU=Instituto Nacional de

Tecnologia da Informação - ITI".

4 Campo de Aplicação

Este tipo de assinatura deve ser utilizado em aplicações ou

processos de negócio nos quais a assinatura digital agrega se gurançaà autenticação de entidades e verificação de integridade,

permitindo sua validação durante o prazo de validade dos cer tificadosdos signatários.

Uma vez que não são usados carimbos do tempo, a validação

posterior só será possível se existirem referências temporais que

identifiquem o momento em que ocorreu a assinatura digital. Nes sassituações, deve existir legislação específica ou um acordo pré vioentre as partes definindo as referências a serem utilizadas.

Segundo esta PA, é permitido o emprego de múltiplas as sinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado deve ser externo à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatóriosas seguintes atributos assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referênciaapenas ao certificado do signatário.

5.2.1.1.4 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiançaos certificados da AC-Raiz da ICP-Brasil, disponíveis em :

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinaturadeverão ser criadas com chave privada associada aocertificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Conjunto de Restrições de Algoritmos

5.2.3.1 Restrições de Algoritmos para Signatários

5.2.3.1.1 Restrições de Algoritmos

5.2.3.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundoesta PA devem utilizar o algoritmo:

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.3.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chaves para criação de assinaturassegundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 7º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão6.1, o item 12 POLÍTICA-PADRÃO AD-RT BASEADA EM PADES,com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é

POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM

REFERENCIA DO TEMPO NO FORMATO PDF, versao 1.0 e o

seu Object Identifier (OID) é 2.16.76.1.7.1.12.1.

2 Data de Emissão

A data de emissão de cada PA é: a) para a versão 1.0:

00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distin guishedName "C=BR, O=ICP-Brasil, OU=Instituto Nacional de

Tecnologia da Informação - ITI".

4 Campo de Aplicação

Este tipo de assinatura deve ser utilizado em aplicações ou pro cessosde negócios nos quais a assinatura digital necessita de se gurançaem relação à irretratabilidade do momento de sua geração.

Como esse tipo de assinatura não traz, de forma autocontida,

referências ou valores dos certificados e das informações de re vogação(LCRs ou respostas OCSP) necessários para sua va lidaçãoposterior, ele deve ser utilizado somente quando esses

dados puderem ser obtidos por meios externos, de forma ine quívoca.Uma assinatura desse tipo pode ter sua capacidade pro bantediminuída, no caso de comprometimento da chave da AC

que emitiu qualquer um dos certificados da cadeia de certifi cação.

Segundo esta PA, é permitido o emprego de múltiplas as sinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de

00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado deve ser externo à assinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA devem conter, obri gatoriamente,os seguintes atributos assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obriga tórios

As assinaturas feitas segundo esta PA devem conter, obri gatoriamente,o atributo não assinado signatureTimeStampToken.

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referência

apenas ao certificado do signatário.

5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenha sido incluído pelo signatário, o atributo id-aa-

signatureTimeStampToken DEVE ser incluído pelo verificador.

5.2.2 Condições de Confiabilidade dos Certificados dos Sig natários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiança

os certificados da AC-Raiz da ICPBrasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Bra silv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de As sinaturadeverão ser criadas com chave privada associada ao

certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID

2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID

2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID

2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID

2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade de Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempo

deve ser feita tomando como ponto de confiança os certificados

da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Bra silv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave pri vadaassociada a certificados ICP-Brasil tipo T3 (do OID é

2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é

2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme defi nidono DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2 Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatários

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas se gundoesta PA devem utilizar o algoritmo :

a) para a versão 1.0: sha256WithRSAEncryp tion(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chaves para criação de assinaturas

segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 8º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão6.1, o item 13 POLÍTICA-PADRÃO AD-RC BASEADA EM PADES,com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é

POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM

REFERENCIAS COMPLETAS NO FORMATO PDF, versão 1.0

e o seu Object Identifier (OID) é 2.16.76.1.7.1.13.1.

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015;

3 Nome da Entidade Emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo DistinguishedName"C=BR, O=ICP-Brasil, OU=Instituto Nacional deTecnologia da Informação - ITI".

4 Campo de Aplicação

Este tipo de assinatura inclui, no seu próprio corpo, umareferência do tempo da assinatura, os certificados que compõema cadeia de certificação e as informações de revogação do certificadodigital do signatário. Além disso, será acrescentado oulogicamente conectado, sobre todo o conjunto de dados, um carimbodo tempo.

Deve ser usado em situações onde é necessária a verificaçãocompleta da validade da assinatura digital a qualquer momento,pois os dados necessários estão auto contidos na assinatura. Estetipo de assinatura demanda uma maior capacidade de armazenamento.

Além de oferecer segurança quanto à irretratabilidade, elepermite que se verifique a validade da assinatura digital mesmoque ocorra comprometimento da chave privada da AC que emitiuo certificado do signatário, desde que o carimbo do tempo que foiaplicado sobre todo o conjunto de dados tenha sido colocadoantes desse comprometimento.

Segundo esta PA, é permitido o emprego de múltiplas assinaturas.

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado pode ser tanto externo quanto interno àassinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatóriosos seguintes atributos assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatóriosos seguintes atributos não- assinados:

1. id-aa-signatureTimeStampToken;

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referênciaapenas para o certificado do signatário.

5.2.1.1.5 Certificados Obrigatórios no Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.1.6 Regras Adicionais do Signatário

5.2.1.1.6.1 Extensão br_ext_dss

5.2.1.1.6.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

5.2.1.1.6.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

c) Cert

d) OCSP ou CRLs

5.2.1.1.6.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenham sido incluídos pelo signatário, os seguintesatributos DEVEM ser incluídos pelo verificador:

1. id-aa-signatureTimeStampToken;

5.2.1.2.2 Regras Adicionais do Verificador

5.2.1.2.2.1 Extensão br_ext_dss

5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

5.2.1.2.2.1.2 Entradas obrigatórias do campo vriDictionary

a. Type

b. Cert

c. OCSP ou CRLs

5.2.1.2.2.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiançaos certificados da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinaturadeverão ser criadas com chave privada associada aocertificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados de ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade do Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempo

deve ser feita tomando como ponto de confiança os certificados

da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0: http://acraiz.icpbrasil.gov.br/ICP-Bra silv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave pri vadaassociada a certificados ICP-Brasil tipo T3 (do OID é

2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é

2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme defi nidono DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2 Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatário

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas se gundoesta PA devem utilizar o algoritmo:

a) para a versão 1.0: sha256WithRSAEncryp tion(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chave para criação de assinaturas

segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 9º Acrescentar ao anexo 2 do DOC-ICP-15.03, versão6.1, o item 14 POLÍTICA-PADRÃO AD-RA BASEADA EM PADES,com a seguinte redação:

1 Identificador da Política de Assinatura

O nome desta Política de Assinatura para a versão 1.0 é

POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM

REFERENCIAS PARA ARQUIVAMENTO NO FORMATO

CMS, versão 1.0 e o seu Object Identifier (OID) é

2.16.76.1.7.1.14.1

2 Data de Emissão

A data de emissão de cada PA é:

a) para a versão 1.0: 00/00/2015.

3 Nome da Entidade emissora da Política de Assinatura

A entidade emissora desta PA é identificada pelo Distin guishedName "C=BR, O=ICP-Brasil, OU=Instituto Nacional de

Tecnologia da Informação - ITI".

4 Campo de Aplicação

Este tipo de assinatura é adequado para aplicações que ne cessitamrealizar o arquivamento do conteúdo digital assinado

por longos períodos, sabendo-se que podem surgir fraquezas,

vulnerabilidades ou exposição a fragilidades dos algoritmos, fun çõese chaves criptográficas utilizadas no processo de geração de

assinatura digital.

Ele provê proteção contra fraqueza dos algoritmos, funções e

tamanho de chaves criptográficas, desde que o carimbo do tempo

de arquivamento seja realizado tempestivamente e utilize algo ritmos,funções e tamanhos de chave considerados seguros no

momento de sua geração.

Além disso, oferece segurança quanto à irretratabilidade, e

permite que se verifique a validade da assinatura digital mesmo

que ocorra comprometimento da chave privada da AC que emitiu

o certificado do signatário (desde que o carimbo do tempo sobre

as referências/valores dos certificados tenha sido colocado antes

desse comprometimento).

Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.

5 Política de Validação da Assinatura

5.1 Período para Assinatura

Para a versão 1.0, o período para assinatura desta PA é de00/00/2015 a 21/06/2023.

5.2 Regras Comuns

5.2.1 Regras de Signatário e Verificador

5.2.1.1 Regras do Signatário

5.2.1.1.1 Dados Externos ou Internos a Assinatura

O conteúdo assinado pode ser tanto externo quanto interno àassinatura.

5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatóriosos seguintes atributos assinados:

a) id-contentType;

b) id-messageDigest;

c) id-aa-signingCertificateV2;

d) id-aa-ets-sigPolicyId.

5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios

As assinaturas feitas segundo esta PA definem como obrigatóriosos seguintes atributos não- assinados:

id-aa-signatureTimeStampToken;

5.2.1.1.4 Certificados Obrigatoriamente Referenciados

O atributo id-aa-signingCertificateV2 deve conter referênciaapenas para o certificado do signatário.

5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação

Para a versão 1.0: o certificado do signatário.

5.2.1.1.6 Regras Adicionais do Signatário

5.2.1.1.6.1 Extensão br_ext_dss

5.2.1.1.6.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

e) PBAD_PolicyArtifacts

f) PBAD_LpaArtifacts

g) PBAD_LpaSignatures

5.2.1.1.6.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

b) Cert

c) OCSP ou CRLs

d) PBAD_PolicyArtifact

e) PBAD_LpaArtifact

f) PBAD_LpaSignature

5.2.1.1.6.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.1.2 Regras do Verificador

5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios

Caso não tenham sido incluídos pelo signatário, os seguintesatributos DEVEM ser incluídos pelo verificador:

id-aa-signatureTimeStampToken;

5.2.1.2.2 Regras Adicionais do Verificador

5.2.1.2.2.1 Extensão br_ext_dss

5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary

a) Type

b) VRI

c) Certs

d) OCSPs ou CRLs

e) PBAD_PolicyArtifacts

f) PBAD_LpaArtifacts

g) PBAD_LpaSignatures

5.2.1.2.2.1.2 Entradas obrigatórias do campo vriDictionary

a) Type

b) Cert

c) OCSP ou CRLs

d) PBAD_PolicyArtifact

e) PBAD_LpaArtifact

f) PBAD_LpaSignature

5.2.1.2.2.2 Extensão br_ext_mandatedDocTSEntries

Entradas obrigatórios do DocumentTimestamp:

a) Type;

b) SubFilter;

c) Contents;

5.2.2 Condições de Confiabilidade dos Certificados dos Signatários

5.2.2.1 Requisitos de Certificados

5.2.2.1.1 Raiz Confiável

A validação deve ser feita tomando como ponto de confiançaos certificados da AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0:

http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável

Assinaturas digitais geradas segundo esta Política de Assinaturadeverão ser criadas com chave privada associada aocertificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID2.16.76.1.2.4.100), conforme definido em DOC-ICP-04.

5.2.2.2 Requisitos de Revogação

5.2.2.2.1 Requisitos de Revogação para Certificados Finais

5.2.2.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.2.2.2 Requisitos de Revogação para Certificados de ACs

5.2.2.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3 Condições de Confiabilidade do Carimbo do Tempo

5.2.3.1 Requisitos de Certificados

5.2.3.1.1 Raiz Confiável

A validação da assinatura constante no carimbo do tempodeve ser feita tomando como ponto de confiança os certificadosda AC-Raiz da ICP-Brasil, disponíveis em:

a) para a versão 1.0:

http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt

5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável

Os carimbos do tempo deverão ser criados com chave privadaassociada a certificados ICP-Brasil tipo T3 (do OID é2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100 ) ou T4 (do OID é2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definidono DOC-ICP-04.

5.2.3.2 Requisitos de Revogação

5.2.3.2.1 Requisitos de Revogação para Certificados Finais

5.2.3.2.1.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.3.2.2Requisitos de Revogação para Certificados de ACs

5.2.3.2.2.1 Mecanismos de Revogação para Certificados

LCR ou OCSP.

5.2.4 Conjunto de Restrições de Algoritmos

5.2.4.1 Restrições de Algoritmos para Signatário

5.2.4.1.1 Restrições de Algoritmos

5.2.4.1.1.1 Identificador de Algoritmo

Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o

algoritmo:

a) para a versão 1.0: sha256WithRSAEncryption(1.2.840.113549.1.1.11).

5.2.4.1.1.2 Tamanho Mínimo de Chave

O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de :

a) para a versão 1.0: 2048 bits.

Art. 10. Alterar o item 4.4, do anexo 3, do DOC-ICP-15.03, versão 6.1, que passa a vigorar coma seguinte redação:

4.4 As LPAs são assinadas com Assinaturas Digitais ICP-Brasil, utilizando PKCS #7 para

CAdES e PAdES e XMLDSig para XAdES, todas assinadas por um certificado de pessoa jurídica

do ITI, emitido por uma das autoridades certificadoras credenciadas na ICP-Brasil.

Art. 11 Acrescentar ao DOC-ICP-15.03, versão 6.1, o anexo 4 - EXTENSÕES DE POLÍTICASDE ASSINATURA PARA PAdES, com a seguinte redação:

EXTENSÕES DE POLÍTICAS DE ASSINATURA PARA PAdES

1 INTRODUÇÃO

Para que a estrutura das PAs, descrita em [1], consiga apontar os campos da estrutura do PDFé necessário expandir essa estrutura. Essa expansão é feita através da descrição de novas extensões dePA, conforme o item 6.11 de [1]. Essas extensões servirão como guia de implementação dos dicionáriosPDF utilizados para criar uma assinatura PAdES.

2 EXTENSÕES

2.1 - DICIONÁRIO DE ASSINATURA

Essa extensão tem função similar à tabela de atributos assinados obrigatórios. Nela constarãotodas as entradas obrigatórias e, opcionalmente, seu valor que deverá constar na assinatura.

2.1.1 - SINTAXE ASN.1

O campo mandatedPdfSigDicEntries representa a lista de entradas obrigatórias que uma assinaturadeverá ter no dicionário de assinaturas. Esse campo é formado por uma lista de entradas PDF,representadas pela estrutura PdfEntry. O PdfEntry, por sua vez, traz o nome da entrada PDF que deveráconstar no dicionário e, opcionalmente, o valor que deverá ser empregado nessa entrada.

2.2 - DICIONÁRIO DOCUMENT SECURITY STORE (DSS)

Quando esta extensão estiver presente, ela indicará que o DSS DEVE ser codificado naassinatura. As entradas indicadas por essa extensão serão consideradas obrigatórias.

2.2.1 - SINTAXE ASN.1

O campo DssDictionary representa o dicionário DSS, descrito em ETSI PAdES-LTV [9]. Essecampo é formado pela indicação de seu tipo, campo type, que é uma entrada de dicionário PDF, pelocampo vriDictionary, que é a indicação do uso do dicionário Validation Related Information (VRI) [9]e pelo campo paArtifacts, onde é possível indicar o armazenamento da PA e LPA (ver item 2.4)utilizadas pelas assinaturas dentro da estrutura do PDF.

O campo VriDictionary faz referência apenas a uma assinatura. Nele, é possível indicar seu tipo,que é uma entrada do dicionário VRI, o timeReference, que é o tempo do momento da coleta e validaçãodas informações de validação da assinatura e do indicativo da inclusão das PA e LPA (ver item 2.4)utilizadas pela assinatura. Quando usado, o campo timeReference, pode ser tanto o tempo da máquina dousuário quanto um carimbo do tempo, conforme DOC-ICP-11.

2.3 - DICIONÁRIO DOCUMENT TIME-STAMP

Define os campos obrigatórios do carimbo do tempo do documento, que é inserido como umaassinatura a parte no PDF. As entradas presentes nessa extensão são obrigatórias.

2.3.1 - SINTAXE ASN.1

O campo mandatedDocTSEntries apresenta uma lista de entradas para o dicionário do carimbodo tempo do documento, ou Document Timestamp, que é um dicionário similar ao dicionário deassinaturas,masaentrada Contentspossui um carimbo do tempo ao invés de uma assinatura tradicional.

2.4 - Artefatos de PA e LPA na estrutura PDF

A indicação da codificação dos artefatos de políticas de assinatura (PA, LPA, certificado doassinante e assinatura da LPA) será formada por 3 entradas no Document Time-stamp. Essas entradasfuncionarão de forma parecida com a codificação dos certificados, LCRs e OCSPs presentes no DSS. Ouseja, serão referências indiretas aos respectivos objetos codificados em BER.

Tabela A.4 1 - Entradas adicionais do dicionário Document Security Store.

A Tabela A.4 1 descreve as entradas a serem adicionadas ao DSS, descrito em [9]. Essasentradas guardam todos os dados necessários para validar uma política de assinatura localmente. Aentrada PBAD_PolicyArtifcats e PBAD_LpaArtifacts são arrays de objetos indiretos (ver ISO 32000-1)contendo todas as PAs e LPAs, respectivamente, utilizadas no documento PDF assinado no padrãoPAdES. A entrada PBAD_LpaSignatures é um array de objetos indiretos contendo as assinaturas dasLPAs incluídas na entrada PBAD_LpaArtifacts.

Tabela A.4 2 - Entradas adicionais do dicionário VRI.

A Tabela A.4 2 descreve as entradas a serem adicionadas no dicionário VRI, descrito em ETSIPAdES-LTV [9]. Essas entradas adicionais servem para indicar qual PA e qual LPA devem ser utilizadasna validação da assinatura à qual determinado VRI faz referência. A entrada PaArtifact deve conter umobjeto indireto à PA utilizada para realizar a assinatura. A entrada LpaArtifact deve conter um objetoindireto à LPA vigente durante o período de realização da assinatura. A entrada LpaSignature deveconter a assinatura da LPA.

Art. 12 Acrescentar as referências [8] e [9] na Bibliografia do DOC-ICP-15.03, versão 6.1, coma seguinte redação:

[8] ETSI. Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Pro files;Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles. TS 102 778-3. V1.2.1.

2010.

[9] ETSI. Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Pro files;Part 4: PAdES Long Term - PAdES-LTV Profile. TS 102 778-4. V1.1.1. 2009.

Art. 13 Aprovar a versão 7.0 do DOC-ICP-15.03 - REQUISITOS DAS POLÍTICAS DEASSINATURA DIGITAL NA ICP-BRASIL.

§ 1º Todas as demais cláusulas do DOC-ICP-15.03, na sua versão 6.1, em sua ordem originária,integram a presente versão 7.0 e mantêm-se válidas.

§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítiohttp://www.iti.gov.br.

Art. 14 Esta Instrução Normativa entra em vigor na data de sua publicação.