Desbloqueie análises Okai
As análises Okai fazem parte do Okai Pro. Faça upgrade ou entre com uma conta que já tenha acesso.
Aprova a versão revisada e consolidada dos requisitos das políticas de assinatura digital na ICP-Brasil.
Aprova a versão revisada e consolidada do documento Requisitos das Políticas de Assinatura Digital na ICP-Brasil DOC-ICP-15.03.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃOConsiderando a determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:
Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Requisitos das Políticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03).
Art. 2º Fica aprovada a versão 8.0 do documento DOC-ICP-15.03 - Requisitos das Políticas de Assinatura Digital na ICP-Brasil, anexa a esta Instrução Normativa.
Art. 3º Ficam revogadas:
I - a Instrução Normativa nº 03, de 09 de janeiro de 2009;
II - a Instrução Normativa nº 03, de 22 de março de 2012;
III - a Instrução Normativa nº 10, de 05 de julho de 2012;
IV - a Instrução Normativa nº 14, de 19 de setembro de 2012;
V - a Instrução Normativa nº 07, de 25 de agosto de 2015;
VI - a Instrução Normativa nº 03, de 01 de junho de 2016;
VII - a Instrução Normativa nº 06, de 15 de julho de 2016;
VIII - a Instrução Normativa nº 03, de 23 de fevereiro de 2017; e
IX - a Instrução Normativa nº 08, de 29 de maio de 2018.
Art. 4º Esta Instrução Normativa entra em vigor em 1º de março de 2021.
REQUISITOS DAS POLÍTICAS DE ASSINATURA DIGITAL NA ICP-BRASIL
DOC-ICP-15.03
Versão 8.0
CONTROLE DE ALTERAÇÕES
Ato que aprovou a alteração |
Item Alterado |
Descrição da Alteração |
IN ITI nº 03, de 12.02.2021 Versão 8.0 |
Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019. |
|
IN nº 08, de 29.05.2018. Versão 7.4 |
1.10, 2.5.2.1.1.2, 2.5.2.1.1.3; Anexo 1: nota 9, Tabelas A.2, A.3, A.4, A.5, A.6, A.7, A.8, A.9, A.10, A.11, A.12, A.13, A.15 (removida) e A.17 (removida), Nota 1 da Tabela A.22; Anexo 2. |
Alteração nos atributos proibidos e opcionais. Tratamento de múltiplas referências nosigningCertificate. Inclusão de novas versões de Políticas de Assinatura. |
IN nº 03, de 23.02.2017. Versão 7.3 |
Itens 2, 2.5.2.1.1.2 e 2.5.2.1.1.3; Tabelas A.9 e A.11; anexos 1, 3 e 4. |
Alteração nas condições de obrigatoriedade dos atributos do Carimbo do Tempo. Disponibilização no repositório do ITI das especificações ASN.1 e XML da LPA e do ASN.1 das extensões PAdES. Ajustes de texto para facilitar o entendimento. |
IN nº 06, de 15.07.2016. Versão 7.2 |
Tabelas A.20 e anexos 2 e 4. |
Ajustes nas políticas PAdES, correção da entrada Cert do dicionário VRI. Novas versões das políticas PAdES AD-RC e AD-RA. |
IN nº 03, de 01.06.2016. Versão 7.1 |
Tabelas A.6, A. 8, A.10, A.12 e A.16, anexos 2, 3 e 4. |
Ajustes nas políticas PAdES e inclusão da raiz V5 em todas as Políticas de Assinatura. |
IN nº 07, de 25.08.2015. Versão 7.0 |
1.4, 1.10 e 4.4; anexos 1, 2 e 4; tabelas A.14, A.15, A.16, A.17, A.18, A.19, A.20 e A.21. |
Regulamentação PAdES |
IN nº 14, de 19.09.2012 Versão 6.1 |
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10. |
Inclui as definições da versão 2.2 da PA |
IN nº 10, de 05.07.2012 Versão 6.0 |
Anexo 1, item 1; Anexo 2, capítulos 5, 6, 7, 8, 9 e 10 Anexo 3, item 4 e 7 |
Melhorias propostas pelo Grupo de trabalho de Revisão do padrão brasileiro de assinatura digital. |
IN nº 03, de 22.03.2012 Versão 5.0 |
Anexo 2 - Item 1 de todas as políticas XAdES Inclui as Notas 1 a 4 no Item 1 do Anexo 1. |
Geradas novas políticas de assinatura versão 2.1 para XAdES. As notas contém esclarecimentos e recomendações de codificação de atributos das políticas de assinaturas baseada em CAdES. |
IN nº 02, de 06.03.2012 Versão 4.0 |
Anexo 1 - Tabela A.2 Anexo 2 - Todas as políticas CAdES Item 5.2.1.1.2 |
Corrigido atributo assinado obrigatório id-aa-signingCertificateV2 para a versão 2.0. Geradas novas políticas de assinatura versão 2.1 para CAdES. |
IN nº 05, de 22.12.2011 Versão 3.0 |
Item 1, Nota 1 e Anexo 2. |
Itens não citados nas políticas de assinatura DEVEM ser considerados como itens proibidos. Retirados todos os itens assinalados como "não se aplica". |
Anexo 1, Tabelas A2 a A13 |
Corrigido as propriedades XadES citadas incorretamente; Corrigido o título da coluna central das Tabelas; Alterado o campo carimbo do tempo na política AD-RB de opcional para "não deve"; Retirado a obrigatoriedade do uso dos atributos referentes a certificado de atributo; Corrigido os termos referentes àtimestampnas tabelas. |
|
Anexo 2, Todas as políticas. Item 5.2.1.1.5 Anexo 3, item 4.2 Item 7.4 |
Inclusão da versão 2.0 que implementa a cadeia V2 da AC Raiz para todas as políticas de assinatura ICP-Brasil. Obrigatoriedade de manter o certificado do signatário no caminho de certificação. Corrigido endereço do repositório de publicação da LPA. Inclusão de codificação da LPA em ASN.1 e XML. |
|
IN nº 03, de 31.03.2010 Versão 2.0 |
Diversos |
Atualização de padrões de assinatura. |
IN nº 03, de 09.01.2009 Versão 1.0 |
Diversos |
Criação do DOC-ICP-15.03. |
Ato que aprovou a alteração
Item Alterado
Descrição da Alteração
IN ITI nº 03, de 12.02.2021
Versão 8.0
Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
IN nº 08, de 29.05.2018.
Versão 7.4
1.10, 2.5.2.1.1.2, 2.5.2.1.1.3; Anexo 1: nota 9, Tabelas A.2, A.3, A.4, A.5, A.6, A.7, A.8, A.9, A.10, A.11, A.12, A.13, A.15 (removida) e A.17 (removida), Nota 1 da Tabela A.22; Anexo 2.
Alteração nos atributos proibidos e opcionais.
Tratamento de múltiplas referências nosigningCertificate.
Inclusão de novas versões de Políticas de Assinatura.
IN nº 03, de 23.02.2017.
Versão 7.3
Itens 2, 2.5.2.1.1.2 e 2.5.2.1.1.3;
Tabelas A.9 e A.11; anexos 1, 3 e 4.
Alteração nas condições de obrigatoriedade dos atributos do Carimbo do Tempo. Disponibilização no repositório do ITI das especificações ASN.1 e XML da LPA e do ASN.1 das extensões PAdES.
Ajustes de texto para facilitar o entendimento.
IN nº 06, de 15.07.2016.
Versão 7.2
Tabelas A.20 e anexos 2 e 4.
Ajustes nas políticas PAdES, correção da entrada Cert do dicionário VRI. Novas versões das políticas PAdES AD-RC e AD-RA.
IN nº 03, de 01.06.2016.
Versão 7.1
Tabelas A.6, A. 8, A.10, A.12 e A.16, anexos 2, 3 e 4.
Ajustes nas políticas PAdES e inclusão da raiz V5 em todas as Políticas de Assinatura.
IN nº 07, de 25.08.2015.
Versão 7.0
1.4, 1.10 e 4.4; anexos 1, 2 e 4; tabelas A.14, A.15, A.16, A.17, A.18, A.19, A.20 e A.21.
Regulamentação PAdES
IN nº 14, de 19.09.2012
Versão 6.1
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10.
Inclui as definições da versão 2.2 da PA
IN nº 10, de 05.07.2012
Versão 6.0
Anexo 1, item 1;
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10
Anexo 3, item 4 e 7
Melhorias propostas pelo Grupo de trabalho de Revisão do padrão brasileiro de assinatura digital.
IN nº 03, de 22.03.2012
Versão 5.0
Anexo 2 - Item 1 de todas as políticas XAdES
Inclui as Notas 1 a 4 no Item 1 do Anexo 1.
Geradas novas políticas de assinatura versão 2.1 para XAdES.
As notas contém esclarecimentos e recomendações de codificação de atributos das políticas de assinaturas baseada em CAdES.
IN nº 02, de 06.03.2012
Versão 4.0
Anexo 1 - Tabela A.2
Anexo 2 - Todas as políticas CAdES
Item 5.2.1.1.2
Corrigido atributo assinado obrigatório id-aa-signingCertificateV2 para a versão 2.0.
Geradas novas políticas de assinatura versão 2.1 para CAdES.
IN nº 05, de 22.12.2011
Versão 3.0
Item 1, Nota 1 e Anexo 2.
Itens não citados nas políticas de assinatura DEVEM ser considerados como itens proibidos.
Retirados todos os itens assinalados como "não se aplica".
Anexo 1,
Tabelas A2 a A13
Corrigido as propriedades XadES citadas incorretamente;
Corrigido o título da coluna central das Tabelas;
Alterado o campo carimbo do tempo na política AD-RB de opcional para "não deve";
Retirado a obrigatoriedade do uso dos atributos referentes a certificado de atributo;
Corrigido os termos referentes àtimestampnas tabelas.
Anexo 2,
Todas as políticas.
Item 5.2.1.1.5
Anexo 3, item 4.2
Item 7.4
Inclusão da versão 2.0 que implementa a cadeia V2 da AC Raiz para todas as políticas de assinatura ICP-Brasil.
Obrigatoriedade de manter o certificado do signatário no caminho de certificação.
Corrigido endereço do repositório de publicação da LPA.
Inclusão de codificação da LPA em ASN.1 e XML.
IN nº 03, de 31.03.2010
Versão 2.0
Diversos
Atualização de padrões de assinatura.
IN nº 03, de 09.01.2009
Versão 1.0
Diversos
Criação do DOC-ICP-15.03.
Ato que aprovou a alteração
Item Alterado
Descrição da Alteração
Ato que aprovou a alteração
Ato que aprovou a alteração
Item Alterado
Item Alterado
Descrição da Alteração
Descrição da Alteração
IN ITI nº 03, de 12.02.2021
Versão 8.0
Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
IN ITI nº 03, de 12.02.2021
Versão 8.0
IN ITI nº 03, de 12.02.2021
Versão 8.0
Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
Revisão e consolidação, conforme Decreto nº 10.139, de 28 de novembro de 2019.
IN nº 08, de 29.05.2018.
Versão 7.4
1.10, 2.5.2.1.1.2, 2.5.2.1.1.3; Anexo 1: nota 9, Tabelas A.2, A.3, A.4, A.5, A.6, A.7, A.8, A.9, A.10, A.11, A.12, A.13, A.15 (removida) e A.17 (removida), Nota 1 da Tabela A.22; Anexo 2.
Alteração nos atributos proibidos e opcionais.
Tratamento de múltiplas referências nosigningCertificate.
Inclusão de novas versões de Políticas de Assinatura.
IN nº 08, de 29.05.2018.
Versão 7.4
IN nº 08, de 29.05.2018.
Versão 7.4
1.10, 2.5.2.1.1.2, 2.5.2.1.1.3; Anexo 1: nota 9, Tabelas A.2, A.3, A.4, A.5, A.6, A.7, A.8, A.9, A.10, A.11, A.12, A.13, A.15 (removida) e A.17 (removida), Nota 1 da Tabela A.22; Anexo 2.
1.10, 2.5.2.1.1.2, 2.5.2.1.1.3; Anexo 1: nota 9, Tabelas A.2, A.3, A.4, A.5, A.6, A.7, A.8, A.9, A.10, A.11, A.12, A.13, A.15 (removida) e A.17 (removida), Nota 1 da Tabela A.22; Anexo 2.
Alteração nos atributos proibidos e opcionais.
Tratamento de múltiplas referências nosigningCertificate.
Inclusão de novas versões de Políticas de Assinatura.
Alteração nos atributos proibidos e opcionais.
Tratamento de múltiplas referências nosigningCertificate.
signingCertificateInclusão de novas versões de Políticas de Assinatura.
IN nº 03, de 23.02.2017.
Versão 7.3
Itens 2, 2.5.2.1.1.2 e 2.5.2.1.1.3;
Tabelas A.9 e A.11; anexos 1, 3 e 4.
Alteração nas condições de obrigatoriedade dos atributos do Carimbo do Tempo. Disponibilização no repositório do ITI das especificações ASN.1 e XML da LPA e do ASN.1 das extensões PAdES.
Ajustes de texto para facilitar o entendimento.
IN nº 03, de 23.02.2017.
Versão 7.3
IN nº 03, de 23.02.2017.
Versão 7.3
Itens 2, 2.5.2.1.1.2 e 2.5.2.1.1.3;
Tabelas A.9 e A.11; anexos 1, 3 e 4.
Itens 2, 2.5.2.1.1.2 e 2.5.2.1.1.3;
Tabelas A.9 e A.11; anexos 1, 3 e 4.
Alteração nas condições de obrigatoriedade dos atributos do Carimbo do Tempo. Disponibilização no repositório do ITI das especificações ASN.1 e XML da LPA e do ASN.1 das extensões PAdES.
Ajustes de texto para facilitar o entendimento.
Alteração nas condições de obrigatoriedade dos atributos do Carimbo do Tempo. Disponibilização no repositório do ITI das especificações ASN.1 e XML da LPA e do ASN.1 das extensões PAdES.
Ajustes de texto para facilitar o entendimento.
IN nº 06, de 15.07.2016.
Versão 7.2
Tabelas A.20 e anexos 2 e 4.
Ajustes nas políticas PAdES, correção da entrada Cert do dicionário VRI. Novas versões das políticas PAdES AD-RC e AD-RA.
IN nº 06, de 15.07.2016.
Versão 7.2
IN nº 06, de 15.07.2016.
Versão 7.2
Tabelas A.20 e anexos 2 e 4.
Tabelas A.20 e anexos 2 e 4.
Ajustes nas políticas PAdES, correção da entrada Cert do dicionário VRI. Novas versões das políticas PAdES AD-RC e AD-RA.
Ajustes nas políticas PAdES, correção da entrada Cert do dicionário VRI. Novas versões das políticas PAdES AD-RC e AD-RA.
IN nº 03, de 01.06.2016.
Versão 7.1
Tabelas A.6, A. 8, A.10, A.12 e A.16, anexos 2, 3 e 4.
Ajustes nas políticas PAdES e inclusão da raiz V5 em todas as Políticas de Assinatura.
IN nº 03, de 01.06.2016.
Versão 7.1
IN nº 03, de 01.06.2016.
Versão 7.1
Tabelas A.6, A. 8, A.10, A.12 e A.16, anexos 2, 3 e 4.
Tabelas A.6, A. 8, A.10, A.12 e A.16, anexos 2, 3 e 4.
Ajustes nas políticas PAdES e inclusão da raiz V5 em todas as Políticas de Assinatura.
Ajustes nas políticas PAdES e inclusão da raiz V5 em todas as Políticas de Assinatura.
IN nº 07, de 25.08.2015.
Versão 7.0
1.4, 1.10 e 4.4; anexos 1, 2 e 4; tabelas A.14, A.15, A.16, A.17, A.18, A.19, A.20 e A.21.
Regulamentação PAdES
IN nº 07, de 25.08.2015.
Versão 7.0
IN nº 07, de 25.08.2015.
Versão 7.0
1.4, 1.10 e 4.4; anexos 1, 2 e 4; tabelas A.14, A.15, A.16, A.17, A.18, A.19, A.20 e A.21.
1.4, 1.10 e 4.4; anexos 1, 2 e 4; tabelas A.14, A.15, A.16, A.17, A.18, A.19, A.20 e A.21.
Regulamentação PAdES
Regulamentação PAdES
IN nº 14, de 19.09.2012
Versão 6.1
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10.
Inclui as definições da versão 2.2 da PA
IN nº 14, de 19.09.2012
Versão 6.1
IN nº 14, de 19.09.2012
Versão 6.1
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10.
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10.
Inclui as definições da versão 2.2 da PA
Inclui as definições da versão 2.2 da PA
IN nº 10, de 05.07.2012
Versão 6.0
Anexo 1, item 1;
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10
Anexo 3, item 4 e 7
Melhorias propostas pelo Grupo de trabalho de Revisão do padrão brasileiro de assinatura digital.
IN nº 10, de 05.07.2012
Versão 6.0
IN nº 10, de 05.07.2012
Versão 6.0
Anexo 1, item 1;
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10
Anexo 3, item 4 e 7
Anexo 1, item 1;
Anexo 2, capítulos 5, 6, 7, 8, 9 e 10
Anexo 3, item 4 e 7
Melhorias propostas pelo Grupo de trabalho de Revisão do padrão brasileiro de assinatura digital.
Melhorias propostas pelo Grupo de trabalho de Revisão do padrão brasileiro de assinatura digital.
IN nº 03, de 22.03.2012
Versão 5.0
Anexo 2 - Item 1 de todas as políticas XAdES
Inclui as Notas 1 a 4 no Item 1 do Anexo 1.
Geradas novas políticas de assinatura versão 2.1 para XAdES.
As notas contém esclarecimentos e recomendações de codificação de atributos das políticas de assinaturas baseada em CAdES.
IN nº 03, de 22.03.2012
Versão 5.0
IN nº 03, de 22.03.2012
Versão 5.0
Anexo 2 - Item 1 de todas as políticas XAdES
Inclui as Notas 1 a 4 no Item 1 do Anexo 1.
Anexo 2 - Item 1 de todas as políticas XAdES
Inclui as Notas 1 a 4 no Item 1 do Anexo 1.
Geradas novas políticas de assinatura versão 2.1 para XAdES.
As notas contém esclarecimentos e recomendações de codificação de atributos das políticas de assinaturas baseada em CAdES.
Geradas novas políticas de assinatura versão 2.1 para XAdES.
As notas contém esclarecimentos e recomendações de codificação de atributos das políticas de assinaturas baseada em CAdES.
IN nº 02, de 06.03.2012
Versão 4.0
Anexo 1 - Tabela A.2
Anexo 2 - Todas as políticas CAdES
Item 5.2.1.1.2
Corrigido atributo assinado obrigatório id-aa-signingCertificateV2 para a versão 2.0.
Geradas novas políticas de assinatura versão 2.1 para CAdES.
IN nº 02, de 06.03.2012
Versão 4.0
IN nº 02, de 06.03.2012
Versão 4.0
Anexo 1 - Tabela A.2
Anexo 2 - Todas as políticas CAdES
Item 5.2.1.1.2
Anexo 1 - Tabela A.2
Anexo 2 - Todas as políticas CAdES
Item 5.2.1.1.2
Corrigido atributo assinado obrigatório id-aa-signingCertificateV2 para a versão 2.0.
Geradas novas políticas de assinatura versão 2.1 para CAdES.
Corrigido atributo assinado obrigatório id-aa-signingCertificateV2 para a versão 2.0.
Geradas novas políticas de assinatura versão 2.1 para CAdES.
IN nº 05, de 22.12.2011
Versão 3.0
Item 1, Nota 1 e Anexo 2.
Itens não citados nas políticas de assinatura DEVEM ser considerados como itens proibidos.
Retirados todos os itens assinalados como "não se aplica".
IN nº 05, de 22.12.2011
Versão 3.0
IN nº 05, de 22.12.2011
Versão 3.0
Item 1, Nota 1 e Anexo 2.
Item 1, Nota 1 e Anexo 2.
Itens não citados nas políticas de assinatura DEVEM ser considerados como itens proibidos.
Retirados todos os itens assinalados como "não se aplica".
Itens não citados nas políticas de assinatura DEVEM ser considerados como itens proibidos.
Retirados todos os itens assinalados como "não se aplica".
Anexo 1,
Tabelas A2 a A13
Corrigido as propriedades XadES citadas incorretamente;
Corrigido o título da coluna central das Tabelas;
Alterado o campo carimbo do tempo na política AD-RB de opcional para "não deve";
Retirado a obrigatoriedade do uso dos atributos referentes a certificado de atributo;
Corrigido os termos referentes àtimestampnas tabelas.
Anexo 1,
Tabelas A2 a A13
Anexo 1,
Tabelas A2 a A13
Corrigido as propriedades XadES citadas incorretamente;
Corrigido o título da coluna central das Tabelas;
Alterado o campo carimbo do tempo na política AD-RB de opcional para "não deve";
Retirado a obrigatoriedade do uso dos atributos referentes a certificado de atributo;
Corrigido os termos referentes àtimestampnas tabelas.
Corrigido as propriedades XadES citadas incorretamente;
Corrigido o título da coluna central das Tabelas;
Alterado o campo carimbo do tempo na política AD-RB de opcional para "não deve";
Retirado a obrigatoriedade do uso dos atributos referentes a certificado de atributo;
Corrigido os termos referentes àtimestampnas tabelas.
timestampAnexo 2,
Todas as políticas.
Item 5.2.1.1.5
Anexo 3, item 4.2
Item 7.4
Inclusão da versão 2.0 que implementa a cadeia V2 da AC Raiz para todas as políticas de assinatura ICP-Brasil.
Obrigatoriedade de manter o certificado do signatário no caminho de certificação.
Corrigido endereço do repositório de publicação da LPA.
Inclusão de codificação da LPA em ASN.1 e XML.
Anexo 2,
Todas as políticas.
Item 5.2.1.1.5
Anexo 3, item 4.2
Item 7.4
Anexo 2,
Todas as políticas.
Item 5.2.1.1.5
Anexo 3, item 4.2
Item 7.4
Inclusão da versão 2.0 que implementa a cadeia V2 da AC Raiz para todas as políticas de assinatura ICP-Brasil.
Obrigatoriedade de manter o certificado do signatário no caminho de certificação.
Corrigido endereço do repositório de publicação da LPA.
Inclusão de codificação da LPA em ASN.1 e XML.
Inclusão da versão 2.0 que implementa a cadeia V2 da AC Raiz para todas as políticas de assinatura ICP-Brasil.
Obrigatoriedade de manter o certificado do signatário no caminho de certificação.
Corrigido endereço do repositório de publicação da LPA.
Inclusão de codificação da LPA em ASN.1 e XML.
IN nº 03, de 31.03.2010
Versão 2.0
Diversos
Atualização de padrões de assinatura.
IN nº 03, de 31.03.2010
Versão 2.0
IN nº 03, de 31.03.2010
Versão 2.0
Diversos
Diversos
Atualização de padrões de assinatura.
Atualização de padrões de assinatura.
IN nº 03, de 09.01.2009
Versão 1.0
Diversos
Criação do DOC-ICP-15.03.
IN nº 03, de 09.01.2009
Versão 1.0
IN nº 03, de 09.01.2009
Versão 1.0
Diversos
Diversos
Criação do DOC-ICP-15.03.
Criação do DOC-ICP-15.03.
LISTA DE SIGLAS E ACRÔNIMOS
SIGLA |
DESCRIÇÃO |
AC |
Autoridade Certificadora |
ACT |
Autoridade de Carimbo do Tempo |
CAdES |
CMS Advanced Electronic Signatures |
CMS |
Cryptgraphic Message Syntax |
DSS |
Document Security Store |
ETSI |
European Telecommunication Standard Institute |
ICP-Brasil |
Infraestrutura de Chaves Públicas Brasileira |
ITI |
Instituto Nacional de Tecnologia da Informação |
LCR |
Lista de Certificados Revogados |
LPA |
Lista de Políticas de Assinatura Aprovadas |
OCSP |
Online Certificate Status Protocol |
PA |
Política de Assinatura |
PAdES |
PDF Advanced Electronic Signatures |
Portable Document Format |
|
RFC |
Request For Comments |
VRI |
Validation Related Information |
XAdES |
XML Advanced Electronic Signatures |
XML |
Extensible Markup Language |
SIGLA
DESCRIÇÃO
AC
Autoridade Certificadora
ACT
Autoridade de Carimbo do Tempo
CAdES
CMS Advanced Electronic Signatures
CMS
Cryptgraphic Message Syntax
DSS
Document Security Store
ETSI
European Telecommunication Standard Institute
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
ITI
Instituto Nacional de Tecnologia da Informação
LCR
Lista de Certificados Revogados
LPA
Lista de Políticas de Assinatura Aprovadas
OCSP
Online Certificate Status Protocol
PA
Política de Assinatura
PAdES
PDF Advanced Electronic Signatures
Portable Document Format
RFC
Request For Comments
VRI
Validation Related Information
XAdES
XML Advanced Electronic Signatures
XML
Extensible Markup Language
SIGLA
DESCRIÇÃO
SIGLA
SIGLA
DESCRIÇÃO
DESCRIÇÃO
AC
Autoridade Certificadora
AC
AC
Autoridade Certificadora
Autoridade Certificadora
ACT
Autoridade de Carimbo do Tempo
ACT
ACT
Autoridade de Carimbo do Tempo
Autoridade de Carimbo do Tempo
Autoridade de Carimbo do TempoCAdES
CMS Advanced Electronic Signatures
CAdES
CAdES
CMS Advanced Electronic Signatures
CMS Advanced Electronic Signatures
CMS
Cryptgraphic Message Syntax
CMS
CMS
Cryptgraphic Message Syntax
Cryptgraphic Message Syntax
DSS
Document Security Store
DSS
DSS
Document Security Store
Document Security Store
ETSI
European Telecommunication Standard Institute
ETSI
ETSI
European Telecommunication Standard Institute
European Telecommunication Standard Institute
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
ICP-Brasil
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
Infraestrutura de Chaves Públicas Brasileira
ITI
Instituto Nacional de Tecnologia da Informação
ITI
ITI
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
LCR
Lista de Certificados Revogados
LCR
LCR
Lista de Certificados Revogados
Lista de Certificados Revogados
LPA
Lista de Políticas de Assinatura Aprovadas
LPA
LPA
Lista de Políticas de Assinatura Aprovadas
Lista de Políticas de Assinatura Aprovadas
OCSP
Online Certificate Status Protocol
OCSP
OCSP
Online Certificate Status Protocol
Online Certificate Status Protocol
PA
Política de Assinatura
PA
PA
Política de Assinatura
Política de Assinatura
PAdES
PDF Advanced Electronic Signatures
PAdES
PAdES
PDF Advanced Electronic Signatures
PDF Advanced Electronic Signatures
Portable Document Format
Portable Document Format
Portable Document Format
RFC
Request For Comments
RFC
RFC
Request For Comments
Request For Comments
VRI
Validation Related Information
VRI
VRI
Validation Related Information
Validation Related Information
XAdES
XML Advanced Electronic Signatures
XAdES
XAdES
XML Advanced Electronic Signatures
XML Advanced Electronic Signatures
XML
Extensible Markup Language
XML
XML
Extensible Markup Language
Extensible Markup Language
LISTA DE TABELAS
Tabela A.1: Abreviações utilizadas 22
Tabela A.2: Atributos assinados no SignerInfo do Assinante 25
Tabela A.3: Presença de atributos não-assinados no SignerInfo do signatário 26
Tabela A.4: Presença de atributos assinados no SignerInfo de "contra assinatura" 27
Tabela A.5: Presença de atributos não-assinados no SignerInfo de "contra assinatura" 28
Tabela A.6: Presença de atributos assinados no TimeStampToken de "carimbo do tempo de conteúdo" 29
Tabela A.7: Presença de atributos não-assinados no TimeStampToken de "carimbo do tempo de conteúdo" 30
Tabela A.8: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" 31
Tabela A.9: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura." 32
Tabela A.10: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo das referências" 33
Tabela A.11: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo das referências" 34
Tabela A.12: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento" 35
Tabela A.13: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento" 36
Tabela A.14: Atributos assinados no SignerInfo do Assinante para assinaturas PAdES 37
Tabela A.15: Presença de atributos não-assinados no SignerInfo do signatário para assinatura PAdES 38
Tabela A.16: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" para assinaturas PAdES 39
Tabela A.17:Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" para assinaturas PAdES 40
Tabela A.18: Presença das entradas do dicionário de assinaturas do PAdES41
18: Presença das entradas do dicionário de assinaturas do PAdESTabela A.19: Presença das entradas do dicionário DSS do PAdES.42
Tabela A.19: Presença das entradas do dicionário DSS do PAdES.Tabela A.20: Presença das entradas do dicionário VRI do PAdES43
Tabela A.20: Presença das entradas do dicionário VRI do PAdESTabela A.21: Presença das entradas do dicionário de assinatura do Document Timestamp do PAdES44
Tabela A.21: Presença das entradas do dicionário de assinatura do Document Timestamp do PAdESTabela A.22: Presença de dicionários PDF relacionados às assinaturas PAdES 44
Tabela A.4.1 - Entradas adicionais do dicionárioDocument Security Store125
Document Security StoreTabela A.4.2 - Entradas adicionais do dicionário VRI 125
Tabela A.4.3 - Sintaxe ASN.1 por tipos de entradas 126
1 INTRODUÇÃO
1.1 Este documento estabelece os requisitos a serem obrigatoriamente observados pelas entidades criadoras de Políticas de Assinatura Digital no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, em conformidade com a estrutura proposta pelos padrões ETSI TR 102 272 [1] e ETSI TR 102.038 [2].
1.2 Ele faz parte de um conjunto de normativos criados para regulamentar a geração e verificação de assinaturas digitais no âmbito da ICP-Brasil. Tal conjunto se compõe de:
a) VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL - DOC- ICP-15 [3];
b) REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL - DOC -ICP-15.01[4];
c) PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL - DOC-ICP-15.02 [5];e
d) REQUISITOS DAS POLÍTICAS DE ASSINATURA NA ICP-BRASIL - DOC-ICP-15.03(este documento).
1.3 Toda Política de Assinatura elaborada no âmbito da ICP-Brasil DEVE adotar a mesma sintaxe de estrutura empregada neste documento.
1.4 Esta estrutura prevê a criação de uma única assinatura digital (também conhecida como assinatura digital simples ou primária), a criação de assinaturas digitais em paralelo (também conhecidas como coassinaturas), a criação de assinaturas digitais em série (também conhecidas como contra-assinaturas) ou a criação de assinaturas digitais seriais em arquivos PDF (múltiplas assinaturas PAdES).
1.5 As Políticas de Assinatura ICP-Brasil Aprovadas DEVEM ser escritas de uma forma inteligível por seres humanos e; opcionalmente, PODEM ser escritas de uma forma inteligível por sistemas de processamento.
1.6 No caso de políticas que sejam escritas com base no presente documento, a forma inteligível por sistemas de processamento DEVE serAbstract Syntax Notation.One- ASN.1 ou eXtensible Markup Language -XML.
Abstract Syntax Notation.One tensible Markup Language -1.7 As Políticas de Assinatura Aprovadas ICP-Brasil são protegidas contra alterações indevidas por meio da publicação, no repositório da AC Raiz, de seu conteúdo assinado digitalmente por chave privada associada a certificado digital do Instituto Nacional de Tecnologia da Informação - ITI.
1.8 Para facilitar a utilização de políticas de assinatura pelos usuários finais, o ITI criou 14 Políticas de Assinatura-padrão, que estão detalhadas no Anexo 2 deste documento.
1.9 O processo de gerenciamento das Políticas de Assinatura pela AC Raiz da ICP-Brasil está descrito no Anexo 3 deste documento.
1.10 O restante deste documento está organizado da seguinte forma. O capítulo 2 apresenta o conteúdo de uma Política de Assinatura. O anexo 1 apresenta as tabelas dos atributos disponíveis para cada perfil de política de assinatura. O anexo 2 lista as Políticas de Assinatura Padrão da ICP-Brasil baseadas em CMSAdvanced Electronic Signatures(CAdES), emXML AdvancedElectronic Signatures(XAdES) e em PDFAdvanced Electronic Signatures(PAdES). O anexo 3 descreve o processo de gerenciamento de PAs na ICP-Brasil. O anexo 4 explica as extensões das políticas de assinatura utilizadas no padrão PAdES e as entradas PDF inseridas nos dicionários de validação do PDF.
Advanced Electronic Signatures XML Advanced Electronic Signatures Advanced Electronic SignaturesNota: Itens não citados nas políticas de assinatura padrão ICP-Brasil serão considerados itens opcionais e, portanto, sua validação e reconhecimento será opcional também. Alguns atributos podem ser proibidos pelo padrão de assinaturas utilizado, portanto recomenda-se a conferência antes da codificação de atributos não citados neste documento.
2 CONTEÚDO GERAL DE UMA POLÍTICA DE ASSINATURA
A seguir são apresentados os itens que DEVEM fazer parte de uma Política de Assinatura Aprovada ICP-Brasil, de maneira a permitir que a AC Raiz, ao criar uma PA, tenha informações detalhadas, em conformidade com os documentos ETSI TR 102 272 e ETSI TR 102 038 nos quais os conteúdos são descritos na íntegra.
2.1 Identificador da Política de Assinatura (6.1, 8.2)
Neste item DEVE ser informado o identificador (OID) da PA.
2.2 Data de Emissão (5, 8.2)
Neste item DEVE ser informada a data em que a PA foi emitida.
2.3 Nome da Entidade Emissora da Política de Assinatura (6.1, 8.2)
DEVE ser informado o nome da entidade responsável pela emissão da PA.
2.4 Campo de Aplicação (6.1, 8.2)
Neste item DEVE ser definido, em termos gerais, o campo de aplicação da assinatura digital gerada conforme a Política de Assinatura, bem como os propósitos específicos para os quais a assinatura digital é aplicável. Adicionalmente, deverão estar relacionadas, quando cabível, as aplicações para as quais existam restrições ou proibições para o uso da PA.
2.5 Política de Validação da Assinatura (6.2, 8.3)
2.5.1 Período para Assinatura (6.2, 8.2)
Neste item DEVE ser definido o período de validade (data e hora) inicial e, opcionalmente, final de abrangência das regras definidas na Política de Assinatura aplicáveis às assinaturas digitais que se utilizarem da Política.
2.5.2 Regras Comuns (6.3, 8.4)
2.5.2.1 Regras do Signatário e do Verificador (6.5, 8.7)
Nota: item opcional
2.5.2.1.1 Regras do Signatário (6.5.1, 8.7.1)
2.5.2.1.1.1 Dados Externos ou Internos a Assinatura (6.5.1, 8.7.1)
Neste item DEVE ser definido se o conteúdo assinado (documento eletrônico) é externo a assinatura digital. Uma das opções abaixo DEVE ser escolhida:
a) o conteúdo assinado é externo a assinatura; ou
b) o conteúdo assinado é interno a assinatura; ou
c) o conteúdo assinado pode ser tanto externo quanto interno a assinatura.
2.5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios (6.5.1, 8.7.1)
Neste item DEVEM ser relacionados os atributos ou propriedades que DEVEM constar, obrigatoriamente, no pacote da assinatura digital no âmbito desta Política de Assinatura e que são assinados junto ao documento eletrônico. O documento DOC-ICP-15.02 [5], capítulo 2 e 3, define os atributos ou propriedades para os formatos de assinatura digital ICP-Brasil.
2.5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios (6.5.1, 8.7.1)
Neste item DEVEM ser relacionados os atributos ou propriedades que DEVEM constar, obrigatoriamente, no pacote da assinatura digital no âmbito desta Política de Assinatura e que não são assinados junto ao documento eletrônico. O documento DOC-ICP-15.02 [5], capítulo 2 e 3, define os atributos ou propriedades para os formatos de assinatura digital ICP-Brasil.
2.5.2.1.1.4 Referências Obrigatórias de Certificados (6.5.1, 8.7.1)
Neste item DEVE ser definido quais certificados do caminho de certificação do signatário DEVEM ser referenciados nas assinaturas digitais criadas com base nesta Política de Assinatura. Uma das opções abaixo DEVE ser escolhida:
a) o certificado do signatário; ou
b) os certificados do caminho de certificação completo do signatário.
2.5.2.1.1.5 Informações Obrigatórias de Certificados (6.5.1, 8.7.1)
Neste item DEVE ser definido quais certificados do caminho de certificação do signatário devem constar obrigatoriamente nas assinaturas digitais. Uma das opções abaixo DEVE ser escolhida:
a) nenhum certificado; ou
b) o certificado do signatário; ou
c) os certificados do caminho de certificação completo do signatário.
2.5.2.1.1.6 Regras Adicionais do Signatário (6.11, 8.2)
Caso haja a necessidade de incluir regras adicionais relacionadas ao processo de Assinatura Digital executado pelo signatário, essas DEVEM ser incluídas neste item.
2.5.2.1.2 Regras do Verificador (6.5.2, 8.7.2)
2.5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios (6.5.2, 8.7.2)
Este item DEVE conter os identificadores dos atributos ou propriedades descritos no item 2.5.2.1.1.3, que, caso não incluídos pelo signatário, DEVEM ser adicionados à assinatura pelo verificador.
2.5.2.1.2.2 Regras Adicionais do Verificador (6.11, 8.2)
Caso haja a necessidade de regras adicionais relacionadas ao verificador, essas DEVEM ser incluídas neste item.
2.5.2.2 Condições de Confiabilidade dos Certificados dos Signatários (6.7, 8.8)
Nota: item opcional.
2.5.2.2.1 Requisitos de Certificados (6.7, 8.8.2)
Nota: este item PODE se repetir de acordo com o número de raízes confiáveis.
2.5.2.2.1.1 Raiz Confiável (6.6.1, 8.8.2)
Neste item DEVE constar um certificado autoassinado que deve ser adotado como âncora de confiança no processo de validação do caminho de certificação do signatário.
2.5.2.2.1.2 Restrição do Comprimento do Caminho de Certificação (6.6.1, 8.8.2)
Neste item PODE constar o número máximo de certificados de Autoridade Certificadora (AC) abaixo da âncora de confiança do caminho de certificação do signatário. No caso da ICP-Brasil, este número é, no máximo, 2 (dois).
2.5.2.2.1.3 Conjunto de Políticas de Certificação Aceitáveis (6.6.1, 8.8.2)
Neste item PODEM constar os OIDs das políticas de certificação aceitáveis.
2.5.2.2.1.4 Restrições de Nome (6.6.1, 8.8.2)
Neste item PODEM constar as restrições de nomes aplicáveis.
2.5.2.2.1.5 Restrições de Políticas de Certificação (6.6.1, 8.8.2)
Nota: item opcional.
2.5.2.2.1.5.1 Necessidade da Identificação de Políticas (6.6.1, 8.8.2)
Neste item PODE ser definido a partir de qual nível do caminho de certificação é necessária a identificação das políticas de certificação aceitáveis.
2.5.2.2.1.5.2 Proibição do Mapeamento de Políticas
Neste item PODE ser definido a partir de qual nível do caminho de certificação é proibido o mapeamento de políticas de certificação.
2.5.2.2.2 Requisitos de revogação (6.7, 8.8.3)
2.5.2.2.2.1 Requisitos de Revogação para Certificados Finais (6.6.2, 8.8.3)
2.5.2.2.2.1.1 Mecanismos de Revogação para Certificados (6.6.2, 8.8.3)
Neste item DEVE constar uma das opções de mecanismo de verificação do status de revogação dos certificados:
a) Lista de Certificados Revogados (LCR); ou
b) Online Certificate Status Protocol(OCSP); ou
b) Online Certificate Status Protocolc) LCR e OCSP; ou
d) LCR ou OCSP; ou
e) nenhuma verificação; ou
f) outro mecanismo de verificação.
2.5.2.2.2.1.2 Regras Adicionais de Revogação para Certificados (6.1.1, 8.2)
Caso haja a necessidade de regras adicionais para a revogação de certificados, essas devem ser incluídas neste item.
2.5.2.2.2.2 Requisitos de Revogação para Certificados de ACs (6.6.2, 8.8.3)
2.5.2.2.2.2.1 Mecanismos de Revogação para Certificados (6.6.2, 8.8.3)
Neste item DEVE constar uma das opções de mecanismo de verificação do status de revogação dos certificados:
a) LCR; ou
b) OCSP; ou
c) LCR e OCSP; ou
d) LCR ou OCSP; ou
e) nenhuma verificação; ou
f) outro mecanismo de verificação.
2.5.2.2.2.2.2 Regras Adicionais de Revogação para Certificados (6.11, 8.2)
Caso haja a necessidade de regras adicionais para revogação de certificados, essas devem ser incluídas neste item.
2.5.2.3 Condições de Confiabilidade do Carimbo do Tempo (6.11, 8.2)
Nota: item opcional.
2.5.2.3.1 Requisitos de Certificados
Nota: caso este item não esteja presente, então as regras definidas no item 5.2.2.1 se aplicam aos certificados de Autoridade de Carimbo do Tempo (ACT).
2.5.2.3.1.1 Raiz Confiável (6.6.1, 8.8.2)
Neste item DEVE constar um certificado autoassinado que deve ser adotado como âncora de confiança no processo de validação do caminho de certificação da ACT.
2.5.2.3.1.2 Requisitos de Certificados (6.8, 8.9)
Neste item PODE constar o número máximo de certificados de Autoridade Certificadora (AC) abaixo da ancora de confiança do caminho de certificação do signatário. No caso da ICP-Brasil, este número e, no máximo, 2 (dois).
2.5.2.3.1.3 Conjunto de Políticas de Certificação Aceitáveis (6.6.1, 8.8.2)
Neste item PODEM constar os OIDs das políticas de certificação aceitáveis.
2.5.2.3.1.4 Restrições de Nome (6.6.1, 8.8.2)
Neste item PODEM constar as restrições de nomes aplicáveis.
2.5.2.3.1.5 Restrições de Políticas de Certificação (6.6.1, 8.8.2)
Nota: Item OPCIONAL.
2.5.2.2.3.1.5.1 Necessidade da Identificação de Políticas (6.6.1, 8.8.2)
Neste item PODE ser definido a partir de qual nível do caminho de certificação é necessária a identificação das políticas de certificação aceitáveis.
2.5.2.2.3.1.5.2 Proibição do Mapeamento de Políticas (6.6.1, 8.8.2)
Neste item PODE ser definido a partir de qual nível do caminho de certificação é proibido o mapeamento de políticas de certificação.
2.5.2.3.2 Requisitos de Revogação (6.8, 8.9)
2.5.2.3.2.1 Requisitos de Revogação para Certificados Finais (6.6.2, 8.8.3)
2.5.2.3.2.1.1 Mecanismos de Revogação para Certificados (6.6.2, 8.8.3)
Neste item DEVE constar uma das opções de mecanismo de verificação do status de revogação dos certificados:
a) LCR; ou
b) OCSP; ou
c) LCR e OCSP; ou
d) LCR ou OCSP; ou
e) nenhuma verificação; ou
f) outro mecanismo de verificação.
2.5.2.3.2.2.2 Regras Adicionais de Revogação para Certificados (6.11, 8.2)
Caso haja a necessidade de regras adicionais à revogação de certificados, essas devem ser incluídas neste item.
2.5.2.3.2.2 Requisitos de Revogação para Certificados de ACs (6.6.2, 8.8.3)
2.5.2.3.2.2.1 Mecanismos de Revogação para Certificados (6.6.2, 8.8.3)
Neste item DEVE constar uma das opções de mecanismo de verificação do status de revogação dos certificados:
a) LCR; ou
b) OCSP; ou
c) LCR e OCSP; ou
d) LCR ou OCSP; ou
e) nenhuma verificação; ou
f) outro mecanismo de verificação.
2.5.2.3.2.2.2 Regras Adicionais de Revogação para Certificados (6.11, 8.2)
Caso haja a necessidade de regras adicionais à revogação de certificados, essas devem ser incluídas neste item.
2.5.2.3.3 Restrições de Nome (6.8, 8.9)
Neste item PODEM constar as restrições de nomes aplicáveis.
Nota: caso este item não esteja presente, então as regras definidas no item 5.2.3.1.4. se aplicam aos certificados de (ACT).
2.5.2.3.4 Período de Cautela (6.8, 8.9)
Neste item PODE constar o período de tempo, após o instante de assinatura, que o verificador deve aguardar antes de obter o status de revogação necessário para validar a chave do signatário.
2.5.2.3.5 Atraso do Carimbo do Tempo (6.8, 8.9)
Neste item pode constar o período máximo de tempo aceitável entre o instante informado pelo carimbo do tempo e o instante da assinatura.
2.5.2.4 Condições de Confiabilidade dos Atributos (6.9, 8.10)
Nota: item OPCIONAL.
2.5.2.5 Conjunto de Restrições de Algoritmos (6.10, 8.11)
Nota: na necessidade de se incluir um conjunto de restrições de algoritmos, esses DEVEM ser escolhidos entre os listados no documento Padrões e Algoritmos Criptográficos da ICP-Brasil - DOC-ICP-01.01 [6].
2.5.2.5.1 Restrições de Algoritmos para Signatários (6.10, 8.11)
Nota: item OPCIONAL.
2.5.2.5.1.1 Restrições de Algoritmos (6.10, 8.11)
Nota: este item PODE se repetir de acordo com o número de restrições de algorítimos necessárias.
2.5.2.5.1.1.1 Identificador de Algoritmo (6.10, 8.11)
Neste item DEVE constar o OID do algoritmo a ser restringido.
2.5.2.5.1.1.2 Tamanho Mínimo de Chaves (6.10, 8.11)
Neste item PODE constar o tamanho mínimo de chave em bits.
2.5.2.5.1.1.3 Regras Adicionais de Restrições (6.11, 8.2)
Caso haja a necessidade de regras adicionais a restrições de algoritmos, essas devem ser incluídas neste item.
2.5.2.5.2 Restrições de Algoritmos para AC Final (6.10, 8.11)
Nota: item OPCIONAL.
2.5.2.5.2.1 Restrições de Algoritmos (6.10, 8.11)
Nota: este item PODE se repetir de acordo com o número de restrições de algoritmos necessárias.
2.5.2.5.2.1.1 Identificador de Algoritmo (6.10, 8.11)
Neste item DEVE constar o OID do algoritmo a ser restringido.
2.5.2.5.2.1.2 Tamanho Mínimo de Chaves (6.10, 8.11)
Neste item PODE constar o tamanho mínimo de chave em bits.
2.5.2.5.2.1.3 Regras Adicionais de Restrições (6.11, 8.2)
Caso haja a necessidade de regras adicionais a restrições de algoritmos, essas devem ser incluídas neste item.
2.5.2.5.3 Restrições de Algoritmos para AC Intermediária (6.10, 8.11)
Nota: item OPCIONAL.
2.5.2.5.3.1 Restrições de Algoritmos (6.10, 8.11)
Nota: este item PODE se repetir de acordo com o número de restrições necessárias.
2.5.2.5.3.1.1 Identificador de Algoritmo (6.10, 8.11)
Neste item DEVE constar o OID do algoritmo a ser restringido.
2.5.2.5.3.1.2 Tamanho Mínimo de Chaves (6.10, 8.11)
Neste item PODE constar o tamanho mínimo de chave em bits.
2.5.2.5.3.1.3 Regras Adicionais de Restrições (6.11, 8.2)
Caso haja a necessidade de regras adicionais a restrições de algoritmos, essas devem ser incluídas neste item.
2.5.2.5.4 Restrições de Algoritmos para Autoridades de Atributo (6.10, 8.11)
Nota: item OPCIONAL.
2.5.2.5.5 Restrições de Algoritmos para Autoridades de Carimbo do Tempo (6.10, 8.11)
Nota: item OPCIONAL.
2.5.2.5.5.1 Restrições de Algoritmos (6.10, 8.11)
Nota: este item PODE se repetir de acordo com o número de restrições de algoritmos necessárias.
2.5.2.5.5.1.1 Identificador de Algoritmo (6.10, 8.11)
Neste item DEVE constar o OID do algoritmo a ser restringido.
2.5.2.5.5.1.2 Tamanho Mínimo de Chaves (6.10, 8.11)
Neste item PODE constar o tamanho mínimo de chave em bits.
2.5.2.5.5.1.3 Regras Adicionais de Restrições (6.11, 8.2)
Caso haja a necessidade de regras adicionais a restrições de algoritmos, essas devem ser incluídas neste item.
2.5.2.6 Regras Adicionais (6.11, 8.2)
Caso haja a necessidade de incluir regras adicionais para geração ou verificação de assinaturas digitais, essas DEVEM ser incluídas neste item.
2.5.3 Informações Adicionais sobre a Validação das Assinaturas (6.11, 8.2)
Caso haja a necessidade de informações adicionais quanto à validação das assinaturas digitais no âmbito desta Política de Assinatura, elas DEVEM ser incluídas neste item.
2.6 Informações Adicionais sobre a Políticade Assinatura (6.11, 8.2)
Caso haja a necessidade de informações adicionais sobre a Política de Assinatura, elas DEVEM estar incluídas neste item.
3 DOCUMENTOS ICP-BRASIL REFERENCIADOS
3.1. Os documentos abaixo são aprovados por Resoluções do Comitê Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os aprovaram.
Ref |
Nome do documento |
Código |
[3] |
VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL Aprovado pela Resolução nº 62, de 09 de janeiro de 2009 |
DOC-ICP-15 |
[7] |
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL Aprovado pela Resolução nº 07, de 12 de dezembro de 2001 |
DOC-ICP-04 |
Ref
Nome do documento
Código
[3]
VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Resolução nº 62, de 09 de janeiro de 2009
DOC-ICP-15
[7]
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL
Aprovado pela Resolução nº 07, de 12 de dezembro de 2001
DOC-ICP-04
Ref
Nome do documento
Código
Ref
Ref
Nome do documento
Nome do documento
Código
Código
[3]
VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Resolução nº 62, de 09 de janeiro de 2009
DOC-ICP-15
[3]
[3]
VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Resolução nº 62, de 09 de janeiro de 2009
VISÃO GERAL SOBRE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Resolução nº 62, de 09 de janeiro de 2009
DOC-ICP-15
DOC-ICP-15
[7]
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL
Aprovado pela Resolução nº 07, de 12 de dezembro de 2001
DOC-ICP-04
[7]
[7]
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL
Aprovado pela Resolução nº 07, de 12 de dezembro de 2001
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL
Aprovado pela Resolução nº 07, de 12 de dezembro de 2001
DOC-ICP-04
DOC-ICP-04
3.2. Os documentos abaixo são aprovados por Instrução Normativa da AC Raiz, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Instruções Normativas que os aprovaram.
Ref |
Nome do documento |
Código |
[4] |
REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL Aprovado pela Instrução Normativa nº 01, de 09 de janeiro de 2009 |
DOC -ICP-15.01 |
[5] |
PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL Aprovado pela Instrução Normativa nº 02, de 09 de janeiro de 2009 |
DOC-ICP-15.02 |
[6] |
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL Aprovado pela Instrução Normativa nº 04, de 18 de maio de 2006 |
DOC-ICP-01.01 |
Ref
Nome do documento
Código
[4]
REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 01, de 09 de janeiro de 2009
DOC -ICP-15.01
[5]
PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 02, de 09 de janeiro de 2009
DOC-ICP-15.02
[6]
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL
Aprovado pela Instrução Normativa nº 04, de 18 de maio de 2006
DOC-ICP-01.01
Ref
Nome do documento
Código
Ref
Ref
Nome do documento
Nome do documento
Código
Código
[4]
REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 01, de 09 de janeiro de 2009
DOC -ICP-15.01
[4]
[4]
REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 01, de 09 de janeiro de 2009
REQUISITOS PARA GERAÇÃO E VERIFICAÇÃO DE ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 01, de 09 de janeiro de 2009
DOC -ICP-15.01
DOC -ICP-15.01
[5]
PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 02, de 09 de janeiro de 2009
DOC-ICP-15.02
[5]
[5]
PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 02, de 09 de janeiro de 2009
PERFIL DE USO GERAL PARA ASSINATURAS DIGITAIS NA ICP-BRASIL
Aprovado pela Instrução Normativa nº 02, de 09 de janeiro de 2009
DOC-ICP-15.02
DOC-ICP-15.02
[6]
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL
Aprovado pela Instrução Normativa nº 04, de 18 de maio de 2006
DOC-ICP-01.01
[6]
[6]
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL
Aprovado pela Instrução Normativa nº 04, de 18 de maio de 2006
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL
Aprovado pela Instrução Normativa nº 04, de 18 de maio de 2006
DOC-ICP-01.01
DOC-ICP-01.01
4 BIBLIOGRAFIA
[1] ETSI.ASN.1 Format for Signature Policies. Number TR 102 272. v.1.1.1, dez. 2003.
ASN.1 Format for Signature Policies[2] ETSI.XML Format for Signature Policies. Number TR 102 038. v.1.1.1, abr. 2002.
XML Format for Signature Policies[8] ETSI.Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles.TS 102 778-3. V1.2.1. 2010.
Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles.[9] ETSI.Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term - PAdES-LTV Profile.TS 102 778-4. V1.1.1. 2009.
Electronic Signatures and Infrastructures; PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term - PAdES-LTV Profile.[10] RFC 3370, IETF.Cryptographic Message Syntax (CMS) Algorithms, Aug. 2002.
Cryptographic Message Syntax (CMS) Algorithms[11] RFC 5754, IETF.Using SHA2 Algorithms with Cryptographic Message Syntax. Jan, 2010.
Using SHA2 Algorithms with Cryptographic Message SyntaxANEXO 1
1 POLÍTICAS DE ASSINATURA-PADRÃO ICP-BRASIL
Para facilitar a utilização de Políticas de Assinatura pelos usuários finais, foram criadas 14 políticas de assinatura, as quais estão descritas no Anexo II deste documento. Essas políticas foram criadas a partir do cruzamento do Perfil de Uso Geral para Assinaturas Digitais ICP-Brasil, definido no documento DOC-ICP-15.02 [5], com os cinco formatos de assinatura digital da ICP-Brasil, derivados dos padrões CMSAdvanced Electronic Signature(CAdES), XMLAdvanced Electronic Signature(XAdES) e PDFAdvanced Electronic Signature(PAdES), citados no documento DOC-ICP-15.01 [4], a saber:
Advanced Electronic Signature Advanced Electronic Signature Advanced Electronic Signaturea) Assinatura Digital com Referência do Tempo (AD-RT);
b) Assinatura Digital com Referência Básica (AD-RB);
c) Assinatura Digital com Referências para Validação (AD-RV);
d) Assinatura Digital com Referências Completas (AD-RC);
e) Assinatura Digital com Referências para Arquivamento (AD-RA).
As Tabelas A.2 a A.13 mostram a combinação dos elementos aplicada aos diferentes contextos de assinatura. A Tabela A.1 mostra o significado das abreviações utilizadas nas tabelas seguintes.
Abreviação |
Significado |
ND |
Não deve (proibido) |
O |
Obrigatório |
P |
Pode (opcional) |
R |
Recomendável |
Abreviação
Significado
ND
Não deve (proibido)
O
Obrigatório
P
Pode (opcional)
R
Recomendável
Abreviação
Significado
Abreviação
Abreviação
Significado
Significado
ND
Não deve (proibido)
ND
ND
Não deve (proibido)
Não deve (proibido)
O
Obrigatório
O
O
Obrigatório
Obrigatório
P
Pode (opcional)
P
P
Pode (opcional)
Pode (opcional)
R
Recomendável
R
R
Recomendável
Recomendável
TabelaA.1: Abreviações utilizadas.
A.1: Abreviações utilizadas.Nota 1: Na codificação do atributo "SignaturePolicyIdentifier" (id-aa-ets-sigPolicyId {1.2.840.113549.1.9.16.2.15}), recomenda-se o uso do campo "sigPolicyQualifiers" para a indicação da Política de Assinatura, em Linguagem de Máquina, empregada nesta assinatura. Quando utilizado, o campo "sigPolicyQualifiers" somente deverá conter um único qualificador do tipo "spuri" (id-spq-ets-uri {1.2.840.113549.1.9.16.5.1}), cujo conteúdo deverá ser uma URI, ou URL, apontando para a Política de Assinatura, em Linguagem de Máquina, usada na assinatura.
SignaturePolicyIdentifier sigPolicyQualifiers sigPolicyQualifiers spuriNota 2: Ohashda política de assinatura no atributo id-aa-ets-sigPolicyId da assinatura deve ser ohashinterno que está na própria PA e não ohashda PA que se encontra publicada na LPA.
hash hash hashNota 3: Em atenção à RFC 3370 (Cryptographic Message Syntax(CMS)Algorithms), item "2.1 SHA-1" [10]; e RFC 5754 (Using SHA2Algorithms with Cryptographic Message Syntax), item "2 -Message Digest Algorithms" [11], recomenda-se a ausência do campo "parameters" na estrutura "AlgorithmIdentifier", usada na indicação do algoritmo dehash, presente nas estruturas ASN.1 "SignedData.digestAlgorithms", "SignerInfo.digestAlgorithm" e "SignaturePolicyId.sigPolicyHash.hashAlgorithm".
Cryptographic Message Syntax Algorithms Algorithms with Cryptographic Message Syntax Message Digest Algorithms parameters AlgorithmIdentifier hash SignedData.digestAlgorithms SignerInfo.digestAlgorithm SignaturePolicyId.sigPolicyHash.hashAlgorithmAlgorithmIdentifier::=SEQUENCE {
AlgorithmIdentifier SEQUENCE {algorithm OBJECT IDENTIFIER,
algorithm OBJECT IDENTIFIER,parameters ANY DEFINED BY algorithm OPTIONAL }.
parameters ANY DEFINED BY algorithm OPTIONAL }Nota 4: Para o atributo ESSCertIDv2, utilizado nas versões 2.1 das políticas de assinatura baseadas em CAdES, as aplicações NÃO DEVEM codificar o campo "hashAlgorithm" caso utilizem o mesmo algoritmo definido como valordefault(SHA-256), conforme ISO 8825-1.
hashAlgorithm defaultNota 5: Quando do uso da codificaçãoMIMEno campoeContent, alerta-se para a necessidade de cuidado com a conversão do arquivo (attached/detached), pois esta conversão poderá invalidar a assinatura digital.
MIME eContent attached/detachedNota 6: Recomenda-se o uso doMimeTypecaso seja codificada a propriedadeDataObjectFormat, para as políticas XAdES.
MimeType DataObjectFormatNota 7: Para as políticas PAdES deve-se observar as restrições de uso de atributos impostas nas Tabelas A.14 à A.21. Essas restrições são baseadas nos perfis ETSI PAdES-EPES [8] e ETSI PAdES-LTV [9].
Nota 8: Nas assinaturas PAdES-ICP-Brasil, deve-se usar as extensões de dicionários condizentes com as estruturas PDF para que uma aplicação leitora aderente reconheça e seja capaz de validar corretamente as assinaturas. Para todas as assinaturas deve-se usar as extensões indicadas no item sobre extensões do DOC-ICP 15.02 [5].
Nota 9: As tabelas A.14 à A.21 definem os atributos do CMS, contidos na entradaContentsdo dicionário de assinatura, assim como as entradas dos dicionários de assinatura, DSS, VRI eDocument Time-stamp.
Contents Document Time-stampNota 10: Quando o atributoId-aa-signingCertificateouId-aa-signingCertificateV2, de um carimbo do tempo, tiver mais de uma referência, então deve-se aplicar a seguinte regra para aceitar ou não o carimbo em questão:
Id-aa-signingCertificate Id-aa-signingCertificateV2· Para cada referência extra, além da primeira, identificá-la e:
se a referência for um certificado de chave pública:
aceitar e incluir essa referência na lista de certificados que limitam a validação do caminho de certificação.
se a referência for um alvará (ver item sobre visualização e/ou extração do conteúdo digital, do DOC-ICP 15.01 [4]):
aceitar e incluir na lista de alvarás a serem verificados.
se a referência não for identificada:
gerar um alerta indicando que o carimbo possui uma referência dentro do atributoId-aa-signingCertificateouId-aa-signingCertificateV2que é desconhecida e o verificador só deve aceitar esse carimbo caso confie no autor. Caso contrário deve-se descartar tal artefato.
Id-aa-signingCertificate Id-aa-signingCertificateV2Nota 11: Nas assinaturas PAdES-ICP-Brasil o único atributo não-assinado permitido é o id-aa-signatureTimeStampToken. Já para o atributo id-aa-signatureTimeStampToken não é permitido nenhum atributo não assinado. Isto ocorre pela natureza da estrutura de dados das assinaturas PAdES, que possuem um tamanho pré-definido e registrado na entradaByteRange, do dicionário de assinaturas. Toda informação adicional que um atributo não-assinado proporciona é substituída pelo conteúdo do dicionário DSS.
ByteRangeNome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate ¹ id-aa-signingCertificateV2 ² |
O |
O |
O |
O |
O |
SigningCertificate |
||||||
Identificador da política de assinatura (signature policy identifier) |
id-aa-ets-sigPolicyId |
O |
O |
O |
O |
O |
SignaturePolicyIdentifier |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate ¹
id-aa-signingCertificateV2 ²
O
O
O
O
O
SigningCertificate
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
O
O
O
O
O
SignaturePolicyIdentifier
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
content typeid-contentType
id-contentType
O
O
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate ¹
id-aa-signingCertificateV2 ²
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate ¹
id-aa-signingCertificateV2 ²
Id-aa-signingCertificate ¹
id-aa-signingCertificateV2 ²
O
O
O
O
O
O
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
O
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
Identificador da política de assinatura
(signature policy identifier)
signature policy identifierid-aa-ets-sigPolicyId
id-aa-ets-sigPolicyId
O
O
O
O
O
O
O
O
O
O
SignaturePolicyIdentifier
SignaturePolicyIdentifier
SignaturePolicyIdentifier
Tabela A.2: Atributos assinados no SignerInfo do Assinante
2: Atributos assinados no SignerInfo do Assinante¹ - Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² - Atributo a ser adotado a partir da versão 2.1.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Carimbo do tempo de assinatura (signature time stamp) |
id-aa-signatureTimeStampToken |
P |
O |
O |
O |
P |
SignatureTimeStamp |
||||||
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
P |
P |
O |
O |
O |
CompleteCertificateRefs |
||||||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
P |
P |
O |
O |
O |
CompleteRevocationRefs |
||||||
Carimbo do tempo das referências (time-stamped certificate crls references) |
id-aa-ets-escTimeStamp |
P |
P |
O |
O |
P |
SigAndRefsTimesStamp |
||||||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
P |
P |
P |
O |
O |
CertificateValues |
||||||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
P |
P |
P |
O |
O |
RevocationValues |
||||||
Carimbo do tempo de arquivamento (archive time-stamp) |
id-aa-ets-archiveTimestampV2 |
P |
P |
P |
P |
O |
ArchiveTimeStamp |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
P
SignatureTimeStamp
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O
O
O
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O
O
O
CompleteRevocationRefs
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
P
P
O
O
P
SigAndRefsTimesStamp
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O
O
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O
O
RevocationValues
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
P
P
P
P
O
ArchiveTimeStamp
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
P
Carimbo do tempo de assinatura
(signature time stamp)
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
id-aa-signatureTimeStampToken
P
P
O
O
O
O
O
O
P
P
SignatureTimeStamp
SignatureTimeStamp
SignatureTimeStamp
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O
O
O
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
P
P
P
P
O
O
O
O
O
O
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O
O
O
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
P
P
P
P
O
O
O
O
O
O
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
P
P
O
O
P
Carimbo do tempo das referências
(time-stamped certificate crls references)
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
id-aa-ets-escTimeStamp
P
P
P
P
O
O
O
O
P
P
SigAndRefsTimesStamp
SigAndRefsTimesStamp
SigAndRefsTimesStamp
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O
O
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
certificate valuesid-aa-ets-certValues
id-aa-ets-certValues
P
P
P
P
P
P
O
O
O
O
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O
O
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
P
P
P
P
P
P
O
O
O
O
RevocationValues
RevocationValues
RevocationValues
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
P
P
P
P
O
Carimbo do tempo de arquivamento
(archive time-stamp)
Carimbo do tempo de arquivamento
(archive time-stamp)
archive time-stamp)id-aa-ets-archiveTimestampV2
id-aa-ets-archiveTimestampV2
P
P
P
P
P
P
P
P
O
O
ArchiveTimeStamp
ArchiveTimeStamp
ArchiveTimeStamp
Tabela A.3: Presença de atributos não-assinados no SignerInfo do signatário
3: Presença de atributos não-assinados no SignerInfo do signatárioNota:Contra-assinaturas NÃO DEVEM ser empregadas após a aposição de qualquer carimbo do tempo de arquivamento, devido à interferência no processo de validação.
Contra-assinaturas NÃO DEVEM ser empregadas após a aposição de qualquer carimbo do tempo de arquivamento, devido à interferência no processo de validação.Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
O |
Certificado do signatário v1 (ESS signing certificate) |
id-aa-signingCertificate |
O |
O |
O |
O |
O |
SigningCertificate |
||||||
Identificador da política de assinatura (signature policy identifier) |
id-aa-ets-sigPolicyId |
ND |
ND |
ND |
ND |
ND |
SignaturePolicyIdentifier |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Certificado do signatário v1
(ESS signing certificate)
id-aa-signingCertificate
O
O
O
O
O
SigningCertificate
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
ND
ND
ND
ND
ND
SignaturePolicyIdentifier
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
id-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
O
O
Certificado do signatário v1
(ESS signing certificate)
id-aa-signingCertificate
O
O
O
O
O
Certificado do signatário v1
(ESS signing certificate)
Certificado do signatário v1
(ESS signing certificate)
ESS signing certificateid-aa-signingCertificate
id-aa-signingCertificate
O
O
O
O
O
O
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
ND
ND
ND
ND
ND
Identificador da política de assinatura
(signature policy identifier)
Identificador da política de assinatura
(signature policy identifier)
signature policy identifierid-aa-ets-sigPolicyId
id-aa-ets-sigPolicyId
ND
ND
ND
ND
ND
ND
ND
ND
ND
ND
SignaturePolicyIdentifier
SignaturePolicyIdentifier
SignaturePolicyIdentifier
Tabela A.4: Presença de atributos assinados no SignerInfo de "contra assinatura"
4: Presença de atributos assinados no SignerInfo de "contra assinatura"Nota: Contra-assinaturas não devem receber o atributo de identificação da política de assinatura, pois elas seguem as regras da política de assinatura da assinatura que as contém.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
CT |
RV |
RC |
RA |
|
Carimbo do tempo de assinatura (signature time stamp) |
id-aa-signatureTimeStampToken |
P |
O |
O |
O |
P |
SignatureTimeStamp |
||||||
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
P |
P |
O |
O |
O |
CompleteCertificateRefs |
||||||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
P |
P |
O |
O |
O |
CompleteRevocationRefs |
||||||
Carimbo do tempo das referências (time-stamped certificate crls references) |
id-aa-ets-escTimeStamp |
P |
P |
O |
O |
P |
SigAndRefsTimesStamp |
||||||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
P |
P |
P |
O |
O |
CertificateValues |
||||||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
P |
P |
P |
O |
O |
RevocationValues |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
CT
RV
RC
RA
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
P
SignatureTimeStamp
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O
O
O
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O
O
O
CompleteRevocationRefs
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
P
P
O
O
P
SigAndRefsTimesStamp
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O
O
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O
O
RevocationValues
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
CT
RV
RC
RA
Propriedade
Propriedade
RB
RB
CT
CT
RV
RV
RC
RC
RA
RA
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
P
Carimbo do tempo de assinatura
(signature time stamp)
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
id-aa-signatureTimeStampToken
P
P
O
O
O
O
O
O
P
P
SignatureTimeStamp
SignatureTimeStamp
SignatureTimeStamp
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O
O
O
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
P
P
P
P
O
O
O
O
O
O
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O
O
O
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
P
P
P
P
O
O
O
O
O
O
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
P
P
O
O
P
Carimbo do tempo das referências
(time-stamped certificate crls references)
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
id-aa-ets-escTimeStamp
P
P
P
P
O
O
O
O
P
P
SigAndRefsTimesStamp
SigAndRefsTimesStamp
SigAndRefsTimesStamp
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O
O
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
certificate valuesid-aa-ets-certValues
id-aa-ets-certValues
P
P
P
P
P
P
O
O
O
O
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O
O
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
P
P
P
P
P
P
O
O
O
O
RevocationValues
RevocationValues
RevocationValues
Tabela A.5: Presença de atributos não-assinados no SignerInfo de "contra assinatura"
5: Presença de atributos não-assinados no SignerInfo de "contra assinatura"Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate 1, 3 id-aa-signingCertificateV22, 3 |
O |
O |
O |
O |
O |
SigningCertificate |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1, 3
id-aa-signingCertificateV22, 3
O
O
O
O
O
SigningCertificate
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
content typeid-contentType
id-contentType
O
O
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1, 3
id-aa-signingCertificateV22, 3
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate 1, 3
id-aa-signingCertificateV22, 3
Id-aa-signingCertificate 1, 3
id-aa-signingCertificateV22, 3
O
O
O
O
O
O
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Tabela A.6: Presença de atributos assinados no TimeStampToken de "carimbo do tempo de conteúdo"
6: Presença de atributos assinados no TimeStampToken de "carimbo do tempo de conteúdo"¹ - Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² - Atributo a ser adotado a partir da versão 2.1.
3- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
R |
R |
O |
O |
O |
CompleteCertificateRefs |
||||||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
R |
R |
O |
O |
O |
CompleteRevocationRefs |
||||||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
R |
R |
R |
O |
O |
CertificateValues |
||||||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
R |
R |
R |
O |
O |
RevocationValues |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
R
R
O
O
O
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
R
R
O
O
O
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
R
R
R
O
O
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
R
R
R
O
O
RevocationValues
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
R
R
O
O
O
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
R
R
R
R
O
O
O
O
O
O
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
R
R
O
O
O
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
R
R
R
R
O
O
O
O
O
O
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
R
R
R
O
O
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
id-aa-ets-certValues
id-aa-ets-certValues
R
R
R
R
R
R
O
O
O
O
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
R
R
R
O
O
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
R
R
R
R
R
R
O
O
O
O
RevocationValues
RevocationValues
RevocationValues
Tabela A.7: Presença de atributos não-assinados no TimeStampToken de "carimbo do tempo de conteúdo"
7: Presença de atributos não-assinados no TimeStampToken de "carimbo do tempo de conteúdo"Nota: Como o atributo "carimbo do tempo de conteúdo" é assinado, antes da assinatura do signatário devem ser incluídos os atributos não-assinados necessários para o perfil de AD mais complexo considerando seu ciclo de vida completo, pois não poderão ser incluídos posteriormente.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate 1,3 id-aa-signingCertificateV22,3 |
O |
O |
O |
O |
O |
SigningCertificate |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
SigningCertificate
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
content typeid-contentType
id-contentType
O
O
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
O
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Tabela A.8: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura".
8: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura".¹ - Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² - Atributo a ser adotado a partir da versão 2.1.
3- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
P |
P |
O¹ |
O¹ |
O¹ |
CompleteCertificateRefs |
||||||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
P |
P |
O¹ |
O¹ |
O¹ |
CompleteRevocationRefs |
||||||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
P |
P |
P |
O¹ |
O¹ |
CertificateValues |
||||||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
P |
P |
P |
O¹ |
O¹ |
RevocationValues |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O¹
O¹
O¹
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O¹
O¹
O¹
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O¹
O¹
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O¹
O¹
RevocationValues
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O¹
O¹
O¹
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
P
P
P
P
O¹
O¹
O¹
O¹
O¹
O¹
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O¹
O¹
O¹
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
P
P
P
P
O¹
O¹
O¹
O¹
O¹
O¹
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O¹
O¹
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
id-aa-ets-certValues
id-aa-ets-certValues
P
P
P
P
P
P
O¹
O¹
O¹
O¹
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O¹
O¹
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
P
P
P
P
P
P
O¹
O¹
O¹
O¹
RevocationValues
RevocationValues
RevocationValues
Tabela A.9: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura."
9: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura."Nota: A inclusão ou atualização destas propriedades é obrigatória no momento que antecede a inclusão do carimbo do tempo das referências. Caso o carimbo do tempo das referências ainda não tenha sido aplicado, a presença destas propriedades é opcional.
Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate 1,3 id-aa-signingCertificateV22,3 |
O |
O |
O |
O |
O |
SigningCertificate |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
SigningCertificate
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
id-contentType
id-contentType
O
O
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
O
O
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Tabela A.10: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo das referências"
¹ - Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² - Atributo a ser adotado a partir da versão 2.1.
3- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.
- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.Nome do atributo / Propriedade |
Identificação do atributo |
Perfil AD |
||||
Propriedade |
RB |
RT |
RV |
RC |
RA |
|
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
P |
P |
O¹ |
O¹ |
O¹ |
CompleteCertificateRefs |
||||||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
P |
P |
O¹ |
O¹ |
O¹ |
CompleteRevocationRefs |
||||||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
P |
P |
P |
O¹ |
O¹ |
CertificateValues |
||||||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
P |
P |
P |
O¹ |
O¹ |
RevocationValues |
||||||
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O¹
O¹
O¹
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O¹
O¹
O¹
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O¹
O¹
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O¹
O¹
RevocationValues
Nome do atributo / Propriedade
Identificação do atributo
Perfil AD
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Perfil AD
Perfil AD
Propriedade
RB
RT
RV
RC
RA
Propriedade
Propriedade
RB
RB
RT
RT
RV
RV
RC
RC
RA
RA
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
P
P
O¹
O¹
O¹
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
P
P
P
P
O¹
O¹
O¹
O¹
O¹
O¹
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
P
P
O¹
O¹
O¹
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
P
P
P
P
O¹
O¹
O¹
O¹
O¹
O¹
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
P
P
P
O¹
O¹
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
id-aa-ets-certValues
id-aa-ets-certValues
P
P
P
P
P
P
O¹
O¹
O¹
O¹
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
P
P
P
O¹
O¹
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
P
P
P
P
P
P
O¹
O¹
O¹
O¹
RevocationValues
RevocationValues
RevocationValues
Tabela A.11: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo das referências"
11: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo das referências"Nota: A inclusão ou atualização destas propriedades é obrigatória no momento que antecede a inclusão do carimbo do tempo de arquivamento. Caso o tipo de assinatura não exija carimbo do tempo de arquivamento ou este ainda não tenha sido aplicado, a presença destas propriedades é opcional.
Nome do atributo / Propriedade |
Identificação do atributo |
Carimbo |
|
Propriedade |
Anterior |
Corrente |
|
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate 1,3 id-aa-signingCertificateV22,3 |
O |
O |
SigningCertificate |
|||
Nome do atributo / Propriedade
Identificação do atributo
Carimbo
Propriedade
Anterior
Corrente
Tipo de conteúdo
(content type)
id-contentType
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
SigningCertificate
Nome do atributo / Propriedade
Identificação do atributo
Carimbo
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Carimbo
Carimbo
Propriedade
Anterior
Corrente
Propriedade
Propriedade
Anterior
Anterior
Corrente
Corrente
Tipo de conteúdo
(content type)
id-contentType
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
id-contentType
id-contentType
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
Id-aa-signingCertificate 1,3
id-aa-signingCertificateV22,3
O
O
O
O
SigningCertificate
SigningCertificate
SigningCertificate
Tabela A.12: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento"
12: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento"¹ - Atributo a ser adotado para as versões 1.0, 1.1 e 2.0;
² - Atributo a ser adotado a partir da versão 2.1.
3- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.
Nome do atributo / Propriedade |
Identificação do atributo |
Carimbo |
|
Propriedade |
Anterior |
Corrente |
|
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
O |
P |
CompleteCertificateRefs |
|||
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
O |
P |
CompleteRevocationRefs |
|||
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
O |
P |
CertificateValues |
|||
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
O |
P |
RevocationValues |
|||
Nome do atributo / Propriedade
Identificação do atributo
Carimbo
Propriedade
Anterior
Corrente
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
O
P
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
O
P
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
O
P
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
O
P
RevocationValues
Nome do atributo / Propriedade
Identificação do atributo
Carimbo
Nome do atributo / Propriedade
Nome do atributo / Propriedade
Identificação do atributo
Identificação do atributo
Carimbo
Carimbo
Propriedade
Anterior
Corrente
Propriedade
Propriedade
Anterior
Anterior
Corrente
Corrente
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
O
P
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
O
O
P
P
CompleteCertificateRefs
CompleteCertificateRefs
CompleteCertificateRefs
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
O
P
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
O
O
P
P
CompleteRevocationRefs
CompleteRevocationRefs
CompleteRevocationRefs
Valores dos certificados
(certificate values)
id-aa-ets-certValues
O
P
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
id-aa-ets-certValues
id-aa-ets-certValues
O
O
P
P
CertificateValues
CertificateValues
CertificateValues
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
O
P
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
O
O
P
P
RevocationValues
RevocationValues
RevocationValues
Tabela A.13: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento"
13: Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de arquivamento"Nome do Atributo |
Identificação do Atributo |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate |
ND |
ND |
ND |
ND |
Id-aa-signingCertificate V2 |
O |
O |
O |
O |
|
Identificador da política de assinatura (signature policy identifier) |
id-aa-ets-sigPolicyId |
O |
O |
O |
O |
Atributos do signatário (signer attributes) |
id-aa-ets-signerAttr |
P |
P |
P |
P |
Instante da assinatura (signing time) |
id-signingTime |
ND |
ND |
ND |
ND |
Localização do signatário (signer location) |
id-aa-ets-signerLocation |
ND |
ND |
ND |
ND |
Carimbo do tempo de conteúdo (content time stamp) |
id-aa-ets-contentTimeStamp |
P |
P |
P |
P |
Informações de Revogação (adbe Revocation Information) |
adbe-revocationInfoArchival |
ND |
ND |
ND |
ND |
Nome do Atributo
Identificação do Atributo
Perfil AD
RB
RT
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate
ND
ND
ND
ND
Id-aa-signingCertificate V2
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
O
O
O
O
Atributos do signatário
(signer attributes)
id-aa-ets-signerAttr
P
P
P
P
Instante da assinatura
(signing time)
id-signingTime
ND
ND
ND
ND
Localização do signatário
(signer location)
id-aa-ets-signerLocation
ND
ND
ND
ND
Carimbo do tempo de conteúdo
(content time stamp)
id-aa-ets-contentTimeStamp
P
P
P
P
Informações de Revogação
(adbe Revocation Information)
adbe-revocationInfoArchival
ND
ND
ND
ND
Nome do Atributo
Identificação do Atributo
Perfil AD
Nome do Atributo
Nome do Atributo
Identificação do Atributo
Identificação do Atributo
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
content typeid-contentType
id-contentType
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate
ND
ND
ND
ND
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate
Id-aa-signingCertificate
ND
ND
ND
ND
ND
ND
ND
ND
Id-aa-signingCertificate V2
O
O
O
O
Id-aa-signingCertificate V2
Id-aa-signingCertificate V2
O
O
O
O
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
Identificador da política de assinatura
(signature policy identifier)
signature policy identifierid-aa-ets-sigPolicyId
id-aa-ets-sigPolicyId
O
O
O
O
O
O
O
O
Atributos do signatário
(signer attributes)
id-aa-ets-signerAttr
P
P
P
P
Atributos do signatário
(signer attributes)
Atributos do signatário
(signer attributes)
signer attributesid-aa-ets-signerAttr
id-aa-ets-signerAttr
P
P
P
P
P
P
P
P
Instante da assinatura
(signing time)
id-signingTime
ND
ND
ND
ND
Instante da assinatura
(signing time)
Instante da assinatura
(signing time)
signing timeid-signingTime
id-signingTime
ND
ND
ND
ND
ND
ND
ND
ND
Localização do signatário
(signer location)
id-aa-ets-signerLocation
ND
ND
ND
ND
Localização do signatário
(signer location)
Localização do signatário
(signer location)
signer locationid-aa-ets-signerLocation
id-aa-ets-signerLocation
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de conteúdo
(content time stamp)
id-aa-ets-contentTimeStamp
P
P
P
P
Carimbo do tempo de conteúdo
(content time stamp)
Carimbo do tempo de conteúdo
(content time stamp)
content time stampid-aa-ets-contentTimeStamp
id-aa-ets-contentTimeStamp
P
P
P
P
P
P
P
P
Informações de Revogação
(adbe Revocation Information)
adbe-revocationInfoArchival
ND
ND
ND
ND
Informações de Revogação
(adbe Revocation Information)
Informações de Revogação
(adbe Revocation Information)
adbe Revocation Informationadbe-revocationInfoArchival
adbe-revocationInfoArchival
ND
ND
ND
ND
ND
ND
ND
ND
Tabela A.14:Atributos assinados no SignerInfo do Assinante para assinaturas PAdES
Atributos assinados no SignerInfo do Assinante para assinaturas PAdESNome do Atributo |
Identificação do Atributo |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Contra assinatura (countersignature) |
id-countersignature |
ND |
ND |
ND |
ND |
Carimbo do tempo de assinatura (signature time stamp) |
id-aa-signatureTimeStampToken |
P |
O |
O |
O |
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
ND |
ND |
ND |
ND |
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
ND |
ND |
ND |
ND |
Referências aos certificados de atributo (attribute certificate references) |
id-aa-ets-attrCertificateRefs |
ND |
ND |
ND |
ND |
Referências à revogação de atributo (attribute revogation references) |
id-aa-ets-attrRevocationRefs |
ND |
ND |
ND |
ND |
Carimbo do tempo das referências (time-stamped certificate crls references) |
id-aa-ets-escTimeStamp |
ND |
ND |
ND |
ND |
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
ND |
ND |
ND |
ND |
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
ND |
ND |
ND |
ND |
Carimbo do tempo de arquivamento (archive time-stamp) |
id-aa-ets-archiveTimestampV2 |
ND |
ND |
ND |
ND |
Nome do Atributo
Identificação do Atributo
Perfil AD
RB
RT
RC
RA
Contra assinatura
(countersignature)
id-countersignature
ND
ND
ND
ND
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
ND
ND
ND
ND
Valores dos certificados
(certificate values)
id-aa-ets-certValues
ND
ND
ND
ND
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
Nome do Atributo
Identificação do Atributo
Perfil AD
Nome do Atributo
Nome do Atributo
Identificação do Atributo
Identificação do Atributo
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Contra assinatura
(countersignature)
id-countersignature
ND
ND
ND
ND
Contra assinatura
(countersignature)
Contra assinatura
(countersignature)
countersignatureid-countersignature
id-countersignature
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
P
O
O
O
Carimbo do tempo de assinatura
(signature time stamp)
Carimbo do tempo de assinatura
(signature time stamp)
signature time stampid-aa-signatureTimeStampToken
id-aa-signatureTimeStampToken
P
P
O
O
O
O
O
O
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
ND
ND
ND
ND
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
Referências à revogação de atributo
(attribute revogation references)
attribute revogation referencesid-aa-ets-attrRevocationRefs
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
Carimbo do tempo das referências
(time-stamped certificate crls references)
time-stamped certificate crls referencesid-aa-ets-escTimeStamp
id-aa-ets-escTimeStamp
ND
ND
ND
ND
ND
ND
ND
ND
Valores dos certificados
(certificate values)
id-aa-ets-certValues
ND
ND
ND
ND
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
certificate valuesid-aa-ets-certValues
id-aa-ets-certValues
ND
ND
ND
ND
ND
ND
ND
ND
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
ND
ND
ND
ND
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
Carimbo do tempo de arquivamento
(archive time-stamp)
archive time-stamp)id-aa-ets-archiveTimestampV2
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
ND
ND
ND
ND
Tabela A.15: Presença de atributos não-assinados no SignerInfo do signatário para assinatura PAdES
15: Presença de atributos não-assinados no SignerInfo do signatário para assinatura PAdES(A tabela A.15 foi descontinuada pela Instrução Normativa 08/2018)
Nome do Atributo |
Identificação do Atributo |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Tipo de conteúdo (content type) |
id-contentType |
O |
O |
O |
O |
Resumo criptográfico da mensagem (message digest) |
id-messageDigest |
O |
O |
O |
O |
Certificado do signatário (ESS signing certificate) |
Id-aa-signingCertificate 1 |
ND |
ND |
ND |
ND |
Id-aa-signingCertificateV2 1 |
O |
O |
O |
O |
|
Identificador da política de assinatura (signature policy identifier) |
id-aa-ets-sigPolicyId |
ND |
ND |
ND |
ND |
Atributos do signatário (signer attributes) |
id-aa-ets-signerAttr |
ND |
ND |
ND |
ND |
Instante da assinatura (signing time) |
id-signingTime |
ND |
ND |
ND |
ND |
Localização do signatário (signer location) |
id-aa-ets-signerLocation |
ND |
ND |
ND |
ND |
Carimbo do tempo de conteúdo (content time stamp) |
id-aa-ets-contentTimeStamp |
ND |
ND |
ND |
ND |
Nome do Atributo
Identificação do Atributo
Perfil AD
RB
RT
RC
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1
ND
ND
ND
ND
Id-aa-signingCertificateV2 1
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
ND
ND
ND
ND
Atributos do signatário
(signer attributes)
id-aa-ets-signerAttr
ND
ND
ND
ND
Instante da assinatura
(signing time)
id-signingTime
ND
ND
ND
ND
Localização do signatário
(signer location)
id-aa-ets-signerLocation
ND
ND
ND
ND
Carimbo do tempo de conteúdo
(content time stamp)
id-aa-ets-contentTimeStamp
ND
ND
ND
ND
Nome do Atributo
Identificação do Atributo
Perfil AD
Nome do Atributo
Nome do Atributo
Identificação do Atributo
Identificação do Atributo
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Tipo de conteúdo
(content type)
id-contentType
O
O
O
O
Tipo de conteúdo
(content type)
Tipo de conteúdo
(content type)
content typeid-contentType
id-contentType
O
O
O
O
O
O
O
O
Resumo criptográfico da mensagem (message digest)
id-messageDigest
O
O
O
O
Resumo criptográfico da mensagem (message digest)
Resumo criptográfico da mensagem (message digest)
message digestid-messageDigest
id-messageDigest
O
O
O
O
O
O
O
O
Certificado do signatário
(ESS signing certificate)
Id-aa-signingCertificate 1
ND
ND
ND
ND
Certificado do signatário
(ESS signing certificate)
Certificado do signatário
(ESS signing certificate)
ESS signing certificateId-aa-signingCertificate 1
Id-aa-signingCertificate 1
ND
ND
ND
ND
ND
ND
ND
ND
Id-aa-signingCertificateV2 1
O
O
O
O
Id-aa-signingCertificateV2 1
Id-aa-signingCertificateV2 1
O
O
O
O
O
O
O
O
Identificador da política de assinatura
(signature policy identifier)
id-aa-ets-sigPolicyId
ND
ND
ND
ND
Identificador da política de assinatura
(signature policy identifier)
Identificador da política de assinatura
(signature policy identifier)
signature policy identifierid-aa-ets-sigPolicyId
id-aa-ets-sigPolicyId
ND
ND
ND
ND
ND
ND
ND
ND
Atributos do signatário
(signer attributes)
id-aa-ets-signerAttr
ND
ND
ND
ND
Atributos do signatário
(signer attributes)
Atributos do signatário
(signer attributes)
signer attributesid-aa-ets-signerAttr
id-aa-ets-signerAttr
ND
ND
ND
ND
ND
ND
ND
ND
Instante da assinatura
(signing time)
id-signingTime
ND
ND
ND
ND
Instante da assinatura
(signing time)
Instante da assinatura
(signing time)
signing timeid-signingTime
id-signingTime
ND
ND
ND
ND
ND
ND
ND
ND
Localização do signatário
(signer location)
id-aa-ets-signerLocation
ND
ND
ND
ND
Localização do signatário
(signer location)
Localização do signatário
(signer location)
signer locationid-aa-ets-signerLocation
id-aa-ets-signerLocation
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de conteúdo
(content time stamp)
id-aa-ets-contentTimeStamp
ND
ND
ND
ND
Carimbo do tempo de conteúdo
(content time stamp)
Carimbo do tempo de conteúdo
(content time stamp)
content time stampid-aa-ets-contentTimeStamp
id-aa-ets-contentTimeStamp
ND
ND
ND
ND
ND
ND
ND
ND
Tabela A.16: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" para assinaturas PAdES.
16: Presença de atributos assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" para assinaturas PAdES.1- Além do certificado do assinante e dos certificados do caminho de certificação, admite-se a inclusão da referência ao alvará do carimbo do tempo de forma opcional. Caso o alvará seja referenciado, então é obrigatória a inclusão do próprio alvará dentro do campo certificates do SignedData do carimbo do tempo.
Nome do Atributo |
Identificação do Atributo |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Contra assinatura (countersignature) |
id-countersignature |
ND |
ND |
ND |
ND |
Carimbo do tempo de assinatura (signature time stamp) |
id-aa-signatureTimeStampToken |
ND |
ND |
ND |
ND |
Referências completas aos certificados (complete certificate references) |
id-aa-ets-certificateRefs |
ND |
ND |
ND |
ND |
Referências completas à revogação (complete revogation references) |
id-aa-ets-revocationRefs |
ND |
ND |
ND |
ND |
Referências aos certificados de atributo (attribute certificate references) |
id-aa-ets-attrCertificateRefs |
ND |
ND |
ND |
ND |
Referências à revogação de atributo (attribute revogation references) |
id-aa-ets-attrRevocationRefs |
ND |
ND |
ND |
ND |
Carimbo do tempo das referências (time-stamped certificate crls references) |
id-aa-ets-escTimeStamp |
ND |
ND |
ND |
ND |
Valores dos certificados (certificate values) |
id-aa-ets-certValues |
ND |
ND |
ND |
ND |
Valores de revogação (revocation values) |
id-aa-ets-revocationValues |
ND |
ND |
ND |
ND |
Carimbo do tempo de arquivamento (archive time-stamp) |
id-aa-ets-archiveTimestampV2 |
ND |
ND |
ND |
ND |
Nome do Atributo
Identificação do Atributo
Perfil AD
RB
RT
RC
RA
Contra assinatura
(countersignature)
id-countersignature
ND
ND
ND
ND
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
ND
ND
ND
ND
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
ND
ND
ND
ND
Valores dos certificados
(certificate values)
id-aa-ets-certValues
ND
ND
ND
ND
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
Nome do Atributo
Identificação do Atributo
Perfil AD
Nome do Atributo
Nome do Atributo
Identificação do Atributo
Identificação do Atributo
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Contra assinatura
(countersignature)
id-countersignature
ND
ND
ND
ND
Contra assinatura
(countersignature)
Contra assinatura
(countersignature)
countersignatureid-countersignature
id-countersignature
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de assinatura
(signature time stamp)
id-aa-signatureTimeStampToken
ND
ND
ND
ND
Carimbo do tempo de assinatura
(signature time stamp)
Carimbo do tempo de assinatura
(signature time stamp)
signature time stampid-aa-signatureTimeStampToken
id-aa-signatureTimeStampToken
ND
ND
ND
ND
ND
ND
ND
ND
Referências completas aos certificados
(complete certificate references)
id-aa-ets-certificateRefs
ND
ND
ND
ND
Referências completas aos certificados
(complete certificate references)
Referências completas aos certificados
(complete certificate references)
complete certificate referencesid-aa-ets-certificateRefs
id-aa-ets-certificateRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
id-aa-ets-revocationRefs
ND
ND
ND
ND
Referências completas à revogação
(complete revogation references)
Referências completas à revogação
(complete revogation references)
(complete revogation references)id-aa-ets-revocationRefs
id-aa-ets-revocationRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
Referências aos certificados de atributo
(attribute certificate references)
Referências aos certificados de atributo
(attribute certificate references)
id-aa-ets-attrCertificateRefs
id-aa-ets-attrCertificateRefs
ND
ND
ND
ND
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
Referências à revogação de atributo
(attribute revogation references)
Referências à revogação de atributo
(attribute revogation references)
attribute revogation referencesid-aa-ets-attrRevocationRefs
id-aa-ets-attrRevocationRefs
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
id-aa-ets-escTimeStamp
ND
ND
ND
ND
Carimbo do tempo das referências
(time-stamped certificate crls references)
Carimbo do tempo das referências
(time-stamped certificate crls references)
time-stamped certificate crls referencesid-aa-ets-escTimeStamp
id-aa-ets-escTimeStamp
ND
ND
ND
ND
ND
ND
ND
ND
Valores dos certificados
(certificate values)
id-aa-ets-certValues
ND
ND
ND
ND
Valores dos certificados
(certificate values)
Valores dos certificados
(certificate values)
certificate valuesid-aa-ets-certValues
id-aa-ets-certValues
ND
ND
ND
ND
ND
ND
ND
ND
Valores de revogação
(revocation values)
id-aa-ets-revocationValues
ND
ND
ND
ND
Valores de revogação
(revocation values)
Valores de revogação
(revocation values)
revocation valuesid-aa-ets-revocationValues
id-aa-ets-revocationValues
ND
ND
ND
ND
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
Carimbo do tempo de arquivamento
(archive time-stamp)
Carimbo do tempo de arquivamento
(archive time-stamp)
archive time-stamp)id-aa-ets-archiveTimestampV2
id-aa-ets-archiveTimestampV2
ND
ND
ND
ND
ND
ND
ND
ND
Tabela A.17:Presença de atributos não-assinados no SignerInfo do TimeStampToken de "carimbo do tempo de assinatura" para assinaturas PAdES.
(A tabela A.17 foi descontinuada pela Instrução Normativa 08/2018)
Entrada |
Valor padrão |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Type |
Sig |
O |
O |
O |
O |
Filter |
PBAD_PAdES |
O |
O |
O |
O |
SubFilter |
PBAD.PAdES |
O |
O |
O |
O |
Contents |
Não aplicável |
O |
O |
O |
O |
Cert |
Não aplicável |
ND |
ND |
ND |
ND |
ByteRange |
Não aplicável |
O |
O |
O |
O |
Reference |
Não aplicável |
P |
P |
P |
P |
Changes |
Não aplicável |
P |
P |
P |
P |
Name |
Não aplicável |
P |
P |
P |
P |
M |
Não aplicável |
P |
P |
P |
P |
Location |
Não aplicável |
P |
P |
P |
P |
Reason |
Não aplicável |
P |
P |
P |
P |
ContactInfo |
Não aplicável |
P |
P |
P |
P |
R |
Não aplicável |
ND |
ND |
ND |
ND |
V |
0 |
P |
P |
P |
P |
Prop_Build |
Não aplicável |
P |
P |
P |
P |
Prop_AuthTime |
Não aplicável |
P |
P |
P |
P |
Prop_AuthType |
Não aplicável |
ND |
ND |
ND |
ND |
Entrada
Valor padrão
Perfil AD
RB
RT
RC
RA
Type
Sig
O
O
O
O
Filter
PBAD_PAdES
O
O
O
O
SubFilter
PBAD.PAdES
O
O
O
O
Contents
Não aplicável
O
O
O
O
Cert
Não aplicável
ND
ND
ND
ND
ByteRange
Não aplicável
O
O
O
O
Reference
Não aplicável
P
P
P
P
Changes
Não aplicável
P
P
P
P
Name
Não aplicável
P
P
P
P
M
Não aplicável
P
P
P
P
Location
Não aplicável
P
P
P
P
Reason
Não aplicável
P
P
P
P
ContactInfo
Não aplicável
P
P
P
P
R
Não aplicável
ND
ND
ND
ND
V
0
P
P
P
P
Prop_Build
Não aplicável
P
P
P
P
Prop_AuthTime
Não aplicável
P
P
P
P
Prop_AuthType
Não aplicável
ND
ND
ND
ND
Entrada
Valor padrão
Perfil AD
Entrada
Entrada
Valor padrão
Valor padrão
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Type
Sig
O
O
O
O
Type
Type
TypeSig
Sig
O
O
O
O
O
O
O
O
Filter
PBAD_PAdES
O
O
O
O
Filter
Filter
PBAD_PAdES
PBAD_PAdES
O
O
O
O
O
O
O
O
SubFilter
PBAD.PAdES
O
O
O
O
SubFilter
SubFilter
PBAD.PAdES
PBAD.PAdES
O
O
O
O
O
O
O
O
Contents
Não aplicável
O
O
O
O
Contents
Contents
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
Cert
Não aplicável
ND
ND
ND
ND
Cert
Cert
Não aplicável
Não aplicável
ND
ND
ND
ND
ND
ND
ND
ND
ByteRange
Não aplicável
O
O
O
O
ByteRange
ByteRange
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
Reference
Não aplicável
P
P
P
P
Reference
Reference
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Changes
Não aplicável
P
P
P
P
Changes
Changes
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Name
Não aplicável
P
P
P
P
Name
Name
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
M
Não aplicável
P
P
P
P
M
M
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Location
Não aplicável
P
P
P
P
Location
Location
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Reason
Não aplicável
P
P
P
P
Reason
Reason
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
ContactInfo
Não aplicável
P
P
P
P
ContactInfo
ContactInfo
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
R
Não aplicável
ND
ND
ND
ND
R
R
Não aplicável
Não aplicável
ND
ND
ND
ND
ND
ND
ND
ND
V
0
P
P
P
P
V
V
0
0
P
P
P
P
P
P
P
P
Prop_Build
Não aplicável
P
P
P
P
Prop_Build
Prop_Build
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Prop_AuthTime
Não aplicável
P
P
P
P
Prop_AuthTime
Prop_AuthTime
Não aplicável
Não aplicável
P
P
P
P
P
P
P
P
Prop_AuthType
Não aplicável
ND
ND
ND
ND
Prop_AuthType
Prop_AuthType
Não aplicável
Não aplicável
ND
ND
ND
ND
ND
ND
ND
ND
Tabela A.18: Presença das entradas do dicionário de assinaturas do PAdES.
18: Presença das entradas do dicionário de assinaturas do PAdES.Nota: É possível associar um Seed Value Dictionary a um dicionário de assinatura, esse dicionário pode ser usado para indicar qual política de assinatura um assinante deverá usar. Para isso, devem ser usadas as modificações descritas no documento ETSI TS 102 778-3. É importante perceber que o uso desse dicionário não substitui o uso de políticas de assinatura, pois esse dicionário é apenas uma condição para a geração da assinatura, enquanto uma PA são regras acordadas entre assinante e verificador as quais ambos devem seguir.
Entrada |
Valor Padrão |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Type |
DSS |
O |
O |
O |
O |
VRI |
Não aplicável |
O |
O |
O |
O |
Certs |
Não aplicável |
O |
O |
O |
O |
OCSPs |
Não aplicável |
P* |
P* |
P* |
P* |
CRLs |
Não aplicável |
P* |
P* |
P* |
P* |
PBAD_PolicyArtifacts |
Não aplicável |
P |
P |
P |
O |
PBAD_LpaArtifacts |
Não aplicável |
P |
P |
P |
O |
PBAD_LpaSignatures |
Não aplicável |
P |
P |
P |
O |
Entrada
Valor Padrão
Perfil AD
RB
RT
RC
RA
Type
DSS
O
O
O
O
VRI
Não aplicável
O
O
O
O
Certs
Não aplicável
O
O
O
O
OCSPs
Não aplicável
P*
P*
P*
P*
CRLs
Não aplicável
P*
P*
P*
P*
PBAD_PolicyArtifacts
Não aplicável
P
P
P
O
PBAD_LpaArtifacts
Não aplicável
P
P
P
O
PBAD_LpaSignatures
Não aplicável
P
P
P
O
Entrada
Valor Padrão
Perfil AD
Entrada
Entrada
Valor Padrão
Valor Padrão
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Type
DSS
O
O
O
O
Type
Type
TypeDSS
DSS
O
O
O
O
O
O
O
O
VRI
Não aplicável
O
O
O
O
VRI
VRI
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
Certs
Não aplicável
O
O
O
O
Certs
Certs
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
OCSPs
Não aplicável
P*
P*
P*
P*
OCSPs
OCSPs
Não aplicável
Não aplicável
P*
P*
P*
P*
P*
P*
P*
P*
CRLs
Não aplicável
P*
P*
P*
P*
CRLs
CRLs
Não aplicável
Não aplicável
P*
P*
P*
P*
P*
P*
P*
P*
PBAD_PolicyArtifacts
Não aplicável
P
P
P
O
PBAD_PolicyArtifacts
PBAD_PolicyArtifacts
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
PBAD_LpaArtifacts
Não aplicável
P
P
P
O
PBAD_LpaArtifacts
PBAD_LpaArtifacts
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
PBAD_LpaSignatures
Não aplicável
P
P
P
O
PBAD_LpaSignatures
PBAD_LpaSignatures
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
Tabela A.19: Presença das entradas do dicionário DSS do PAdES.
19: Presença das entradas do dicionário DSS do PAdES.Nota: As entradas OCSPs e CRLs DEVEM constar no DSS. Nota-se que o uso de ambas ao mesmo tempo não é proibido.
Entrada |
Valor Padrão |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Type |
VRI |
O |
O |
O |
O |
Cert |
Não aplicável |
O |
O |
O |
O |
OCSP |
Não aplicável |
P1 |
P1 |
P1 |
P1 |
CRL |
Não aplicável |
P1 |
P1 |
P1 |
P1 |
TU |
Não aplicável |
P2 |
P2 |
P2 |
P2 |
TS |
Não aplicável |
P2 |
P2 |
P2 |
P2 |
PBAD_PolicyArtifact |
Não aplicável |
P |
P |
P |
O |
PBAD_LpaArtifact |
Não aplicável |
P |
P |
P |
O |
PBAD_LpaSignature |
Não aplicável |
P |
P |
P |
O |
Entrada
Valor Padrão
Perfil AD
RB
RT
RC
RA
Type
VRI
O
O
O
O
Cert
Não aplicável
O
O
O
O
OCSP
Não aplicável
P1
P1
P1
P1
CRL
Não aplicável
P1
P1
P1
P1
TU
Não aplicável
P2
P2
P2
P2
TS
Não aplicável
P2
P2
P2
P2
PBAD_PolicyArtifact
Não aplicável
P
P
P
O
PBAD_LpaArtifact
Não aplicável
P
P
P
O
PBAD_LpaSignature
Não aplicável
P
P
P
O
Entrada
Valor Padrão
Perfil AD
Entrada
Entrada
Valor Padrão
Valor Padrão
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Type
VRI
O
O
O
O
Type
Type
VRI
VRI
O
O
O
O
O
O
O
O
Cert
Não aplicável
O
O
O
O
Cert
Cert
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
OCSP
Não aplicável
P1
P1
P1
P1
OCSP
OCSP
Não aplicável
Não aplicável
P1
P1
P1
P1
P1
P1
P1
P1
CRL
Não aplicável
P1
P1
P1
P1
CRL
CRL
Não aplicável
Não aplicável
P1
P1
P1
P1
P1
P1
P1
P1
TU
Não aplicável
P2
P2
P2
P2
TU
TU
Não aplicável
Não aplicável
P2
P2
P2
P2
P2
P2
P2
P2
TS
Não aplicável
P2
P2
P2
P2
TS
TS
Não aplicável
Não aplicável
P2
P2
P2
P2
P2
P2
P2
P2
PBAD_PolicyArtifact
Não aplicável
P
P
P
O
PBAD_PolicyArtifact
PBAD_PolicyArtifact
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
PBAD_LpaArtifact
Não aplicável
P
P
P
O
PBAD_LpaArtifact
PBAD_LpaArtifact
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
PBAD_LpaSignature
Não aplicável
P
P
P
O
PBAD_LpaSignature
PBAD_LpaSignature
Não aplicável
Não aplicável
P
P
P
P
P
P
O
O
Tabela A.20: Presença das entradas do dicionário VRI do PAdES.
20: Presença das entradas do dicionário VRI do PAdES.Nota 1: As entradas OCSP ou CRL DEVEM constar no VRI, devendo ser observado o disposto no item 2.5 do anexo 4 deste documento. Nota-se que o uso de ambas ao mesmo tempo não é proibido.
Nota 2: As entradas TU e TS são mutuamente exclusivas, ou seja, se um for codificado o outro não deve ser codificado.
Entrada |
Valor Padrão |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Type |
DocTimeStamp |
O |
O |
O |
O |
SubFilter |
ETSI.RFC3161 |
O |
O |
O |
O |
Contents |
Não aplicável |
O |
O |
O |
O |
V |
0 |
P |
P |
P |
P |
Entrada
Valor Padrão
Perfil AD
RB
RT
RC
RA
Type
DocTimeStamp
O
O
O
O
SubFilter
ETSI.RFC3161
O
O
O
O
Contents
Não aplicável
O
O
O
O
V
0
P
P
P
P
Entrada
Valor Padrão
Perfil AD
Entrada
Entrada
Valor Padrão
Valor Padrão
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Type
DocTimeStamp
O
O
O
O
Type
Type
TypeDocTimeStamp
DocTimeStamp
O
O
O
O
O
O
O
O
SubFilter
ETSI.RFC3161
O
O
O
O
SubFilter
SubFilter
ETSI.RFC3161
ETSI.RFC3161
O
O
O
O
O
O
O
O
Contents
Não aplicável
O
O
O
O
Contents
Contents
Não aplicável
Não aplicável
O
O
O
O
O
O
O
O
V
0
P
P
P
P
V
V
0
0
P
P
P
P
P
P
P
P
Tabela A.21: Presença das entradas do dicionário de assinatura do Document Timestamp do PAdES.
21: Presença das entradas do dicionário de assinatura do Document Timestamp do PAdES.Dicionário |
Identificação do Dicionário |
Perfil AD |
|||
RB |
RT |
RC |
RA |
||
Dicionário de assinatura |
Signature Dictionary |
O |
O |
O |
O |
DSS |
DSS Dicionary |
P |
P |
O |
O |
VRI |
VRI Dictionary |
P* |
P* |
O |
O |
Document Time-stamp |
Document Time-stamp Dictionary |
P |
P |
O |
O |
Dicionário
Identificação do Dicionário
Perfil AD
RB
RT
RC
RA
Dicionário de assinatura
Signature Dictionary
O
O
O
O
DSS
DSS Dicionary
P
P
O
O
VRI
VRI Dictionary
P*
P*
O
O
Document Time-stamp
Document Time-stamp Dictionary
P
P
O
O
Dicionário
Identificação do Dicionário
Perfil AD
Dicionário
Dicionário
Identificação do Dicionário
Identificação do Dicionário
Perfil AD
Perfil AD
RB
RT
RC
RA
RB
RB
RT
RT
RC
RC
RA
RA
Dicionário de assinatura
Signature Dictionary
O
O
O
O
Dicionário de assinatura
Dicionário de assinatura
Signature Dictionary
Signature Dictionary
Signature DictionaryO
O
O
O
O
O
O
O
DSS
DSS Dicionary
P
P
O
O
DSS
DSS
DSS Dicionary
DSS Dicionary
P
P
P
P
O
O
O
O
VRI
VRI Dictionary
P*
P*
O
O
VRI
VRI
VRI Dictionary
VRI Dictionary
P*
P*
P*
P*
O
O
O
O
Document Time-stamp
Document Time-stamp Dictionary
P
P
O
O
Document Time-stamp
Document Time-stamp
Document Time-stamp Dictionary
Document Time-stamp Dictionary
P
P
P
P
O
O
O
O
Tabela A.22: Presença de dicionários PDF relacionados às assinaturas PAdES.
Nota: Caso seja utilizado DSS para os formatos RB e RT, deve-se usar o VRI.
ANEXO 2
1 POLÍTICA-PADRÃO AD-RB BASEADA EM CADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 1.0 e o seu Object Identifier (OID) é 2.16.76.1.7.1.1.1.
O nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.1.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.1.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.1.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO CMS, versão 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.1.2.3.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 2.0: 26/12/2011;
d) para a versão 2.1: 06/03/2012;
e) para a versão 2.2: 27/04/2016;
f) para a versão 2.3: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócio nos quais a assinatura digital agrega segurança à autenticação de entidades e verificação de integridade, permitindo sua validação durante o prazo de validade dos certificados dos signatários.
Uma vez que não são usados carimbos do tempo, a validação posterior só será possível se existirem referências temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situações, deve existir legislação específica ou um acordo prévio entre as partes definindo as referências a serem utilizadas.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 29/02/2012.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 06/03/2012 a 02/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.3, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a) id-contentType;
b) id-messageDigest;
c.1) Para as versões 1.0, 1.1 e 2.0, id-aa-signingCertificate;
c.2) A partir da versão 2.1, inclusive, id-aa-signingCertificateV2;
d) id-aa-ets-sigPolicyId.
5.2.1.1.3 Certificados Obrigatoriamente Referenciados
O atributo signingCertificate deve conter referência apenas ao certificado do signatário.
5.2.1.1.4 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: nenhum certificado.
Para as versões 1.1, 2.0, 2.1, 2.2 e 2.3: o certificado do signatário.
5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt;
b) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Conjunto de Restrições de Algoritmos
5.2.3.1 Restrições de Algoritmos para Signatários
5.2.3.1.1 Restrições de Algoritmos
5.2.3.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0: sha1withRSAEncryption(1 2 840 113549 1 1 5);
b) para a versão 1.1: sha1withRSAEncryption(1 2 840 113549 1 1 5) ou
sha256WithRSAEncryption(1.2.840.113549.1.1.11);
c) para as versões 2.0 e 2.1:
sha256WithRSAEncryption(1.2.840.113549.1.1.11);
d) para a versão 2.2 e 2.3: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.3.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0: 1024 bits;
b) para a versão 1.1: 1024 bits;
c) para as versões 2.0, 2.1, 2.2 e 2.3: 2048 bits.
2 POLÍTICA-PADRÃO AD-RT BASEADA EM CADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO CMS, versão 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.2.2.3.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 2.0: 26/12/2011;
d) para a versão 2.1: 06/03/2012;
e) para a versão 2.2: 27/04/2016;
f) para a versão 2.3: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócios nos quais a assinatura digital necessita de segurança em relação à irretratabilidade do momento de sua geração.
Como esse tipo de assinatura não traz, de forma autocontida, referências ou valores dos certificados e das informações de revogação (LCRs ou respostas OCSP) necessários para sua validação posterior, ele deve ser utilizado somente quando esses dados puderem ser obtidos por meios externos, de forma inequívoca. Uma assinatura desse tipo pode ter sua capacidade probante diminuída, no caso de comprometimento da chave da AC que emitiu qualquer um dos certificados da cadeia de certificação.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 06/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.3, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc.1) Para as versões 1.0, 1.1 e 2.0,id-aa-signingCertificate;
id-aa-signingCertificatec.2) A partir da versão 2.1, inclusive,id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, o atributo não assinadoid-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributosigningCertificatedeve conter referência apenas ao certificado do signatário.
signingCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: nenhum certificado
Para as versões 1.1, 2.0, 2.1, 2.2 e 2.3: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenha sido incluído pelo signatário, o atributoid-aa-signatureTimeStampTokenDEVE ser incluído pelo verificador.
id-aa-signatureTimeStampToken5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade de Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt;
b) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt.
5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatários
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0: sha1withRSAEncryption(1 2 840 113549 1 1 5);
b) para a versão 1.1: sha1withRSAEncryption(1 2 840 113549 1 1 5) ou sha256WithRSAEncryption(1.2.840.113549.1.1.11);
c) para as versões 2.0 e 2.1: sha256WithRSAEncryption(1.2.840.113549.1.1.11);
d) para a versão 2.2 e 2.3: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0: 1024 bits;
b) para a versão 1.1: 1024 bits;
c) para as versões 2.0, 2.1, 2.2 e 2.3: 2048 bits.
3 POLÍTICA-PADRÃO AD-RV BASEADA EM CADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO CMS, versao 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.3.2.3.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 2.0: 26/12/2011;
d) para a versão 2.1: 06/03/2012;
e) para a versão 2.2: 27/04/2016;
f) para a versão 2.3: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura inclui, no seu próprio corpo, referências sobre os certificados que compõem a cadeia de certificação e sobre as informações de revogação do certificado digital do signatário. Um carimbo do tempo provê a ligação entre essas informações e o conteúdo assinado.
Ele deve ser usado em aplicações onde se necessita verificar a assinatura a qualquer momento e onde os dados necessários para isso (que estão referenciados no corpo da assinatura), estejam disponíveis para recuperação.
Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário, desde que o carimbo do tempo sobre as referências tenha sido colocado antes desse comprometimento.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 06/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.3, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos à Assinatura
O conteúdo assinado pode ser tanto interno quanto externo à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigest id-messageDigestc.1) Para as versões 1.0, 1.1 e 2.0,id-aa-signingCertificate;
id-aa-signingCertificate id-aa-signingCertificatec.2) A partir da versão 2.1, inclusive,id-aa-signingCertificateV2;
id-aa-signingCertificateV2 id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos não assinados:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampToken id-aa-signatureTimeStampTokenb)id-aa-ets-certificateRefs;
id-aa-ets-certificateRefs id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefs id-aa-ets-revocationRefsd)id-aa-ets-escTimeStamp.
id-aa-ets-escTimeStamp id-aa-ets-escTimeStamp5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributosigningCertificatedeve conter apenas referência ao certificado do signatário.
signingCertificate5.2.1.1.5 Certificados Obrigatórios da Cadeia de Certificação
Para a versão 1.0: nenhum certificado
Para as versões 1.1, 2.0, 2.1, 2.2 e 2.3: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampToken id-aa-signatureTimeStampTokenb)id-aa-ets-certificateRefs;
id-aa-ets-certificateRefs id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefs id-aa-ets-revocationRefsd)id-aa-ets-escTimeStamp.
id-aa-ets-escTimeStamp id-aa-ets-escTimeStamp5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em :
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade de Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação de Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a)para a versão 1.0: sha1withRSAEncryption(1 2 840 113549 1 1 5);
b) para a versão 1.1: sha1withRSAEncryption(1 2 840 113549 1 1 5) ou sha256WithRSAEncryption(1.2.840.113549.1.1.11);
c) para as versões 2.0 e 2.1 : sha256WithRSAEncryption(1.2.840.113549.1.1.11);
d) para a versão 2.2 e 2.3: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de :
a) para a versão 1.0: 1024 bits;
b) para a versão 1.1: 1024 bits;
c) para as versões 2.0, 2.1, 2.2 e 2.3: 2048 bits.
4 POLÍTICA-PADRÃO AD-RC BASEADA EM CADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO CMS, versão 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.4.2.3.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 2.0: 26/12/2011;
d) para a versão 2.1: 06/03/2012;
e) para a versão 2.2: 27/04/2016;
f) para a versão 2.3: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura inclui, no seu próprio corpo, além das referências, os certificados que compõem a cadeia de certificação e as informações de revogação do certificado digital do signatário. Ele demanda uma maior capacidade de armazenamento.
Ele deve ser usado em situações onde é necessária a verificação completa da validade da assinatura digital a qualquer momento, pois os dados necessários estão autocontidos na assinatura.
Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário, desde que o carimbo do tempo sobre as referências/valores dos certificados tenha sido colocado antes desse comprometimento.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 06/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.3, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc.1) Para as versões 1.0, 1.1 e 2.0,id-aa-signingCertificate;
id-aa-signingCertificatec.2) A partir da versão 2.1, inclusive,id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não- assinados:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampTokenb) id-aa-ets-certificateRefs;
b) id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefsd)id-aa-ets-escTimeStamp;
id-aa-ets-escTimeStampe)id-aa-ets-certValues;
id-aa-ets-certValuesf)id-aa-ets-revocationValues.
id-aa-ets-revocationValues5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributosigningCertificatedeve conter referência apenas para o certificado do signatário.
signingCertificate5.2.1.1.5 Certificados Obrigatórios no Caminho de Certificação
Para a versão 1.0: os certificados do caminho de certificação completo do signatário;
Para as versões 1.1, 2.0, 2.1, 2.2 e 2.3: o certificado do signatário.
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampTokenb)id-aa-ets-certificateRefs;
id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefsd)id-aa-ets-escTimeStamp;
id-aa-ets-escTimeStampe)id-aa-ets-certValues;
id-aa-ets-certValuesf)id-aa-ets-revocationValues.
id-aa-ets-revocationValues5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a)Até a versão 2.2: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0 e 2.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.2 e 2.3:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.2: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.3: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0: sha1withRSAEncryption(1 2 840 113549 1 1 5);
b) para a versão 1.1: sha1withRSAEncryption(1 2 840 113549 1 1 5) ou
sha256WithRSAEncryption(1.2.840.113549.1.1.11);
c) para as versões 2.0 e 2.1: sha256WithRSAEncryption(1.2.840.113549.1.1.11);
d) para a versão 2.2 e 2.3: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de :
a) para a versão 1.0: 1024 bits;
b) para a versão 1.1: 1024 bits;
c) para as versões 2.0, 2.1, 2.2 e 2.3: 2048 bits.
5 POLÍTICA-PADRÃOAD-RA BASEADA EM CADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO CMS, versao 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.5.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 06/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura é adequado para aplicações que necessitam realizar o arquivamento do conteúdo digital assinado por longos períodos, sabendo-se que podem surgir fraquezas, vulnerabilidades ou exposição a fragilidades dos algoritmos, funções e chaves criptográficas utilizadas no processo de geração de assinatura digital.
Ele provê proteção contra fraqueza dos algoritmos, funções e tamanho de chaves criptográficas, desde que o carimbo do tempo de arquivamento seja realizado tempestivamente e utilize algoritmos, funções e tamanhos de chave considerados seguros no momento de sua geração.
Além disso, oferece segurança quanto à irretratabilidade, e permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário (desde que o carimbo do tempo sobre as referências/valores dos certificados tenha sido colocado antes desse comprometimento).
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2011 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 06/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc.1) Para as versões 1.0, 1.1 e 2.0,id-aa-signingCertificate;
id-aa-signingCertificatec.2) Para as versões 1.2, 2.1, 2.2 e 2.3id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não- assinados:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampTokenb)id-aa-ets-certificateRefs;
id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefsd)id-aa-ets-certValues;
id-aa-ets-certValuese)id-aa-ets-revocationValues;
id-aa-ets-revocationValuesf)id-aa-ets-archiveTimestampV2.
id-aa-ets-archiveTimestampV2Para as versões 1.2, 2.2, 2.3 e 2.4:
a) id-aa-ets-certificateRefs;
b) id-aa-ets-revocationRefs;
c) id-aa-ets-certValues;
d) id-aa-ets-revocationValues;
e) id-aa-ets-archiveTimestampV2.
5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributosigningCertificatedeve conter referência apenas para o certificado do signatário.
signingCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: os certificados do caminho de certificação completo do signatário;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)id-aa-signatureTimeStampToken;
id-aa-signatureTimeStampTokenb)id-aa-ets-certificateRefs;
id-aa-ets-certificateRefsc)id-aa-ets-revocationRefs;
id-aa-ets-revocationRefsd)id-aa-ets-certValues;
id-aa-ets-certValuese)id-aa-ets-revocationValues;
id-aa-ets-revocationValuese) id-aa-ets-archiveTimestampV2.
Para as versões 1.2, 2.2, 2.3 e 2.4:
a) id-aa-ets-certificateRefs;
b) id-aa-ets-revocationRefs;
c) id-aa-ets-certValues;
d) id-aa-ets-revocationValues;
e) id-aa-ets-archiveTimestampV2.
5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para as versões 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo :
a) para a versão 1.0: sha1withRSAEncryption(1 2 840 113549 1 1 5);
b) para a versão 1.1 e 1.2: sha1withRSAEncryption(1 2 840 113549 1 1 5) ou sha256WithRSAEncryption(1.2.840.113549.1.1.11);
c) para as versões 2.0, 2.1 e 2.2: sha256WithRSAEncryption(1.2.840.113549.1.1.11);
d) para a versão 2.3 e 2.4: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0: 1024 bits;
b) para a versão 1.1 e 1.2: 1024 bits;
c) para as versões 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
6 POLÍTICA-PADRÃO AD-RB BASEADA EM XADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO XML-DSig, versao 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.6.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 22/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócio nos quais a assinatura digital agrega segurança à autenticação de entidades e verificação de integridade, permitindo sua validação durante o prazo de validade dos certificados dos signatários.
Uma vez que não são usados carimbos do tempo, a validação posterior só será possível se existirem referências temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situações, deve existir legislação específica ou um acordo prévio entre as partes definindo as referências a serem utilizadas.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2012 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 22/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)DataObjectFormat(em assinaturas do tipodetached);
DataObjectFormat detachedb)SigningCertificate;
SigningCertificatec)SignaturePolicyIdentifier.
SignaturePolicyIdentifierPara as versões 1.2, 2.2, 2.3 e 2.4:
a)SigningCertificate;
SigningCertificateb)SignaturePolicyIdentifier.
SignaturePolicyIdentifier5.2.1.1.3 Certificados Obrigatoriamente Referenciados
A propriedadeSigningCertificatedeve conter apenas referência ao certificado do signatário.
SigningCertificate5.2.1.1.4 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: nenhum certificado;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em :
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Conjunto de Restrições de Algoritmos
5.2.3.1 Restrições de Algoritmos para Signatário
5.2.3.1.1 Restrições de Algoritmos
5.2.3.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.2: http://www.w3.org/2000/09/xmldsig#rsa-sha1;
b) para a versão 1.1: http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
c) para a versão 2.0, 2.1 e 2.2: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
d) para a versão 2.3 e 2.4: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha512.
5.2.3.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0, 1.1 e 1.2: 1024 bits;
b) para a versão 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
7 POLÍTICA-PADRÃO AD-RT BASEADA EM XADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-DSig, _ersão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO XML-Dsig, _ersão 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.7.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 22/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócios nos quais a assinatura digital necessita de segurança em relação à irretratabilidade do momento de sua geração.
Como esse tipo de assinatura não traz, de forma autocontida, referências ou valores dos certificados e das informações de revogação (LCRs ou respostas OCSP) necessários para sua validação posterior, ele deve ser utilizado somente quando esses dados puderem ser obtidos por meios externos, de forma inequívoca. Uma assinatura desse tipo pode ter sua capacidade probante diminuída, no caso de comprometimento da chave da AC que emitiu qualquer um dos certificados da cadeia de certificação.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
Os campos a seguir definem os processos para geração e verificação de assinaturas realizadas segundo esta PA.
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2012 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 22/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)DataObjectFormat(em assinaturas do tipodetached);
DataObjectFormat detachedb)SigningCertificate;
SigningCertificatec)SignaturePolicyIdentifier.
SignaturePolicyIdentifierPara as versões 1.2, 2.2, 2.3 e 2.4:
a)SigningCertificate;
SigningCertificateb)SignaturePolicyIdentifier.
SignaturePolicyIdentifier5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades não assinadas:
a)SignatureTimeStamp
SignatureTimeStamp5.2.1.1.4 Certificados Obrigatoriamente Referenciados
A propriedadeSigningCertificatedeve conter apenas referência ao certificado do signatário.
SigningCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: nenhum certificado;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenha sido incluída pelo signatário, a seguinte propriedade DEVE ser incluída pelo verificador:
a)SignatureTimeStamp.
SignatureTimeStamp5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em :
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até versão 2.3: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.2: http://www.w3.org/2000/09/xmldsig#rsa-sha1;
b) para a versão 1.1: http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
c) para a versão 2.0, 2.1 e 2.2: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
d) para a versão 2.3 e 2.4: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha512.
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de :
a) para a versão 1.0, 1.1 e 1.2: 1024 bits;
b) para a versão 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
8 POLÍTICA-PADRÃO AD-RV BASEADA EM XADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA VALIDACAO NO FORMATO XML-DSig, versao 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.8.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 22/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura inclui, no seu próprio corpo, referências sobre os certificados que compõem a cadeia de certificação e sobre as informações de revogação do certificado digital do signatário. Um carimbo do tempo provê a ligação entre essas informações e o conteúdo assinado.
Ele deve ser usado em aplicações onde se necessita verificar a assinatura a qualquer momento e onde os dados necessários para isso (que estão referenciados no corpo da assinatura), estejam disponíveis para recuperação.
Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário, desde que o carimbo do tempo sobre as referências tenha sido colocado antes desse comprometimento.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2012 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 22/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)DataObjectFormat(em assinaturas do tipodetached);
DataObjectFormat detachedb)SigningCertificate;
SigningCertificatec)SignaturePolicyIdentifier.
SignaturePolicyIdentifierPara as versões 1.2, 2.2, 2.3 e 2.4:
a)SigningCertificate;
SigningCertificateb)SignaturePolicyIdentifier.
SignaturePolicyIdentifier5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades não assinadas:
a)SignatureTimeStamp;
SignatureTimeStampb)CompleteCertificateRefs;
CompleteCertificateRefsc)CompleteRevocationRefs;
CompleteRevocationRefsd)SigAndRefsTimeStamp.
SigAndRefsTimeStamp5.2.1.1.4 Certificados Obrigatoriamente Referenciados
A propriedadeSigningCertificatedeve conter apenas referência ao certificado do signatário.
SigningCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: nenhum certificado;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídas pelo signatário, as seguintes propriedades DEVEM ser incluídas pelo verificador:
a)SignatureTimeStamp;
SignatureTimeStampb)CompleteCertificateRefs;
CompleteCertificateRefsc)CompleteRevocationRefs;
CompleteRevocationRefsd)SigAndRefsTimeStamp.
SigAndRefsTimeStamp5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.2: http://www.w3.org/2000/09/xmldsig#rsa-sha1;
b) para a versão 1.1: http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
c) para a versão 2.0, 2.1 e 2.2: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
d) para a versão 2.3 e 2.4: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 ou
http://www.w3.org/2001/04/xmldsig-more#rsa-sha512.
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0, 1.1 e 1.2: 1024 bits;
b) para a versão 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
9 POLÍTICA-PADRÃO AD-RC BASEADA EM XADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO XML-DSig, versao 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.9.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 22/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura inclui, no seu próprio corpo, além das referências, os certificados que compõem a cadeia de certificação e as informações de revogação do certificado digital do signatário. Ele demanda uma maior capacidade de armazenamento.
Ele deve ser usado em situações onde é necessária a verificação completa da validade da assinatura digital a qualquer momento, pois os dados necessários estão autocontidos na assinatura.
Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário, desde que o carimbo do tempo sobre as referências/valores dos certificados tenha sido colocado antes desse comprometimento.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2012 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 22/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)DataObjectFormat(em assinaturas do tipodetached);
DataObjectFormat detachedb)SigningCertificate;
SigningCertificatec)SignaturePolicyIdentifier.
SignaturePolicyIdentifierPara as versões 1.2, 2.2, 2.3 e 2.4:
a)SigningCertificate;
SigningCertificateb)SignaturePolicyIdentifier.
SignaturePolicyIdentifier5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades não assinadas:
a)SignatureTimeStamp;
SignatureTimeStampb)CompleteCertificateRefs;
CompleteCertificateRefsc)CompleteRevocationRefs;
CompleteRevocationRefsd)SigAndRefsTimeStamp;
SigAndRefsTimeStampe)CertificateValues;
CertificateValuesf)RevocationValues.
RevocationValues5.2.1.1.4 Certificados Obrigatoriamente Referenciados
A propriedadeSigningCertificatedeve conter apenas referência ao certificado do signatário.
SigningCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: os certificados do caminho de certificação completo do signatário;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídas pelo signatário, as seguintes propriedades DEVEM ser incluídas pelo verificador:
a)SignatureTimeStamp;
SignatureTimeStampb)CompleteCertificateRefs;
CompleteCertificateRefsc)CompleteRevocationRefs;
CompleteRevocationRefsd)SigAndRefsTimeStamp;
SigAndRefsTimeStampe)CertificateValues;
CertificateValuesf)RevocationValues.
RevocationValues.5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em :
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de Acs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.2: http://www.w3.org/2000/09/xmldsig#rsa-sha1;
b) para a versão 1.1: http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
c) para a versão 2.0, 2.1, 2.2: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
d) para a versão 2.3 e 2.4: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha512.
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0, 1.1 e 1.2: 1024 bits;
b) para a versão 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
10 POLÍTICA-PADRÃO AD-RA BASEADA EM XADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-DSig, _ersão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.1.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 2.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 2.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.2.1.
Object IdentifierO nome desta Política de Assinatura para a versão 2.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 2.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.2.2.
Object IdentifierO nome desta Política de Assinatura para a versão 2.3 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 2.3 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.2.3.
Object IdentifierO nome desta Política de Assinatura para a versão 2.4 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO XML-Dsig, _ersão 2.4 e o seuObject Identifier(OID) é 2.16.76.1.7.1.10.2.4.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 31/10/2008;
b) para a versão 1.1: 26/12/2011;
c) para a versão 1.2: 21/09/2012;
d) para a versão 2.0: 26/12/2011;
e) para a versão 2.1: 22/03/2012;
f) para a versão 2.2: 21/09/2012;
g) para a versão 2.3: 27/04/2016;
h) para a versão 2.4: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura é adequado para aplicações que necessitam realizar o arquivamento do conteúdo digital assinado por longos períodos, sabendo-se que podem surgir fraquezas, vulnerabilidades ou exposição a fragilidades dos algoritmos, funções e chaves criptográficas utilizadas no processo de geração de assinatura digital.
Ele provê proteção contra fraqueza dos algoritmos, funções e tamanho de chaves criptográficas, desde que o carimbo do tempo de arquivamento seja realizado tempestivamente e utilize algoritmos, funções e tamanhos de chave considerados seguros no momento de sua geração.
Além disso, oferece segurança quanto à irretratabilidade, e permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário (desde que o carimbo do tempo sobre as referências/valores dos certificados tenha sido colocado antes desse comprometimento).
5 Política de Validação da Assinatura
Os campos a seguir definem os processos para geração e verificação de assinaturas realizadas segundo esta PA.
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 31/10/2008 a 31/12/2014.
Para a versão 1.1, o período para assinatura desta PA é de 26/12/2011 a 31/12/2014.
Para a versão 1.2, o período para assinatura desta PA é de 21/09/2012 a 31/12/2014.
Para a versão 2.0, o período para assinatura desta PA é de 26/12/2011 a 21/06/2023.
Para a versão 2.1, o período para assinatura desta PA é de 22/03/2012 a 21/06/2023.
Para a versão 2.2, o período para assinatura desta PA é de 21/09/2012 a 21/06/2023.
Para a versão 2.3, o período para assinatura desta PA é de 27/04/2016 a 02/03/2029.
Para a versão 2.4, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado pode ser tanto externo quanto interno à assinatura
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)DataObjectFormat(em assinaturas do tipodetached);
DataObjectFormat detachedb)SigningCertificate;
SigningCertificatec)SignaturePolicyIdentifier.
SignaturePolicyIdentifierPara as versões 1.2, 2.2, 2.3 e 2.4:
a)SigningCertificate;
SigningCertificateb)SignaturePolicyIdentifier.
SignaturePolicyIdentifier5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórias as seguintes propriedades não assinadas:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a)SignatureTimeStamp;
SignatureTimeStampb)CompleteCertificateRefs;
CompleteCertificateRefsc)CompleteRevocationRefs;
CompleteRevocationRefse)CertificateValues;
CertificateValuesf)RevocationValues;
RevocationValuesg)ArchiveTimeStamp.
ArchiveTimeStampPara as versões 1.2, 2.2, 2.3 e 2.4:
a) CompleteCertificateRefs;
b)CompleteRevocationRefs;
CompleteRevocationRefsc)CertificateValues;
CertificateValuesd)RevocationValues;
RevocationValuese)ArchiveTimeStamp.
ArchiveTimeStamp5.2.1.1.4 Certificados Obrigatoriamente Referenciados
A propriedadeSigningCertificatedeve conter apenas referência ao certificado do signatário.
SigningCertificate5.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0: os certificados do caminho de certificação completo do signatário;
Para as versões 1.1, 1.2, 2.0, 2.1, 2.2, 2.3 e 2.4: o certificado do signatário.
5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídas pelo signatário, as seguintes propriedades DEVEM ser incluídas pelo verificador:
Para as versões 1.0, 1.1, 2.0 e 2.1:
a) SignatureTimeStamp;
b) CompleteCertificateRefs;
c) CompleteRevocationRefs;
d) CertificateValues;
e) RevocationValues;
f) ArchiveTimeStamp.
Para as versões 1.2, 2.2, 2.3 e 2.4:
a) CompleteCertificateRefs;
b) CompleteRevocationRefs;
c) CertificateValues;
d) RevocationValues;
e) ArchiveTimeStamp.
5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt;
b) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt.
5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.2:
http://acraiz.icpbrasil.gov.br/Certificado_AC_Raiz.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt ;
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crtb) para a versão 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
c) para a versão 2.0, 2.1 e 2.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasil.crthttp://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt;
d) para a versão 2.3 e 2.4:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Até a versão 2.3: Os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 2.4: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de Acs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.2: http://www.w3.org/2000/09/xmldsig#rsa-sha1;
b) para a versão 1.1: http://www.w3.org/2000/09/xmldsig#rsa-sha1 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
c) para a versão 2.0, 2.1 e 2.2: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256;
d) para a versão 2.3 e 2.4: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 ou http://www.w3.org/2001/04/xmldsig-more#rsa-sha512.
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de :
a) para a versão 1.0, 1.1 e 1.2: 1024 bits;
b) para a versão 2.0, 2.1, 2.2, 2.3 e 2.4: 2048 bits.
11 POLÍTICA-PADRÃO AD-RB BASEADA EM PADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO PDF, versão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.11.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA BASICA NO FORMATO PDF, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.11.1.1.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 25/08/2015;
b) para a versão 1.1: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócio nos quais a assinatura digital agrega segurança à autenticação de entidades e verificação de integridade, permitindo sua validação durante o prazo de validade dos certificados dos signatários.
Uma vez que não são usados carimbos do tempo, a validação posterior só será possível se existirem referências temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situações, deve existir legislação específica ou um acordo prévio entre as partes definindo as referências a serem utilizadas.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 25/08/2015 a 02/03/2029.
Para a versão 1.1, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado deve ser externo à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc)id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 - Atributos ou Propriedades Não-Assinados Obrigatórios
Não possui atributos não-assinados obrigatórios.
5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributoid-aa-signingCertificateV2deve conter referência apenas ao certificado do signatário.
id-aa-signingCertificateV25.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0 e 1.1: o certificado do signatário.
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.1.6.1 Extensãobr_ext_mandatedPdfSigDicEntries.
br_ext_mandatedPdfSigDicEntries5.2.1.1.6.1.1 Entradas obrigatórias do Dicionário de Assinaturas:
a)Type;
Typeb)Filter;
Filterc)SubFilter;
SubFilterd)Contents;
Contentse)ByteRange.
ByteRange5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Para a versão 1.0: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 1.1: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Conjunto de Restrições de Algoritmos
5.2.3.1 Restrições de Algoritmos para Signatários
5.2.3.1.1 Restrições de Algoritmos
5.2.3.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.1: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.3.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0 e 1.1: 2048 bits.
12 POLÍTICA-PADRÃO AD-RT BASEADA EM PADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO PDF, versão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.12.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIA DO TEMPO NO FORMATO PDF, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.12.1.1.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 25/08/2015;
b) para a versão 1.1: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócios nos quais a assinatura digital necessita de segurança em relação à irretratabilidade do momento de sua geração.
Como esse tipo de assinatura não traz, de forma autocontida, referências ou valores dos certificados e das informações de revogação (LCRs ou respostas OCSP) necessários para sua validação posterior, ele deve ser utilizado somente quando esses dados puderem ser obtidos por meios externos, de forma inequívoca. Uma assinatura desse tipo pode ter sua capacidade probante diminuída, no caso de comprometimento da chave da AC que emitiu qualquer um dos certificados da cadeia de certificação.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 25/08/2015 a 02/03/2029.
Para a versão 1.1, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado deve ser externo à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc)id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA devem conter, obrigatoriamente, o atributo não assinadoid-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributoid-aa-signingCertificateV2deve conter referência apenas ao certificado do signatário.
id-aa-signingCertificateV25.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0 e 1.1: o certificado do signatário.
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.1.6.1 -Extensão br_ext_mandatedPdfSigDicEntries.
Extensão br_ext_mandatedPdfSigDicEntries5.2.1.1.6.1.1 - Entradas obrigatórias do Dicionário de Assinaturas:
a)Type;
Typeb)Filter;
Filterc)SubFilter;
SubFilterd)Contents;
Contentse)ByteRange.
ByteRange5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
a)id-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICPBrasil, disponíveis em:
a) para a versão 1.0 e 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Para a versão 1.0: assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 1.1: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade de Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0 e 1.1:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Para a versão 1.0: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 1.1: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatários
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0 e 1.1: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chaves para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0 e 1.1: 2048 bits.
13 POLÍTICA-PADRÃO AD-RC BASEADA EM PADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO PDF, versão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.13.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO PDF, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.13.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS COMPLETAS NO FORMATO PDF, versão 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.13.1.2.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 25/08/2015;
b) para a versão 1.1: 15/07/2016;
c) para a versão 1.2: 14/05/2018.
3 Nome da Entidade Emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura inclui, no seu próprio corpo, uma referência do tempo da assinatura, os certificados que compõem a cadeia de certificação e as informações de revogação do certificado digital do signatário. Além disso, será acrescentado ou logicamente conectado, sobre todo o conjunto de dados, um carimbo do tempo.
Deve ser usado em situações onde é necessária a verificação completa da validade da assinatura digital a qualquer momento, pois os dados necessários estão auto contidos na assinatura. Este tipo de assinatura demanda uma maior capacidade de armazenamento.
Além de oferecer segurança quanto à irretratabilidade, ele permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário, desde que o carimbo do tempo que foi aplicado sobre todo o conjunto de dados tenha sido colocado antes desse comprometimento.
Segundo esta PA, é permitido o emprego de múltiplas assinaturas.
Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 25/08/2015 a 02/03/2029.
Para a versão 1.1, o período para assinatura desta PA é de 15/07/2016 a 02/03/2029.
Para a versão 1.2, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado deve ser externo à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc)id-aa-signingCertificateV2;
id-aa-signingCertificateV2d)id-aa-ets-sigPolicyId.
id-aa-ets-sigPolicyId5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não- assinados:
a)id-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken.5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributoid-aa-signingCertificateV2deve conter referência apenas para o certificado do signatário.
id-aa-signingCertificateV25.2.1.1.5 Certificados Obrigatórios no Caminho de Certificação
Para a versão 1.0, 1.1 e 1.2: o certificado do signatário.
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.1.6.1 - Extensãobr_ext_mandatedPdfSigDicEntries.
br_ext_mandatedPdfSigDicEntries5.2.1.1.6.1.1 - Entradas obrigatórias do Dicionário de Assinaturas:
a)Type;
Typeb)Filter;
Filterc)SubFilter;
SubFilterd)Contents;
Contentse)ByteRange.
ByteRange5.2.1.1.6.2 Extensão br_ext_dss
5.2.1.1.6.2.1 Entradas obrigatórias do campo dssDictionary
a)Type;
Typeb) VRI;
c) Certs;
d) OCSPs ou CRLs (ValidationValues, anexo4).
5.2.1.1.6.2.2 Entradas obrigatórias do campo vriDictionary
a)Type;
Typeb) Cert;
c) OCSP ou CRL (ValidationValues, anexo4).
5.2.1.1.6.3 Extensão br_ext_mandatedDocTSEntries
Entradas obrigatórios doDocumentTimestamp:
DocumentTimestampa)Type;
Typeb)SubFilter;
SubFilterc)Contents.
Contents5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
a)id-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken5.2.1.2.2 Regras Adicionais do Verificador
5.2.1.2.2.1 Extensão br_ext_dss
5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary
a)Type;
Typeb) VRI;
c) Certs;
d) OCSPs ou CRLs (ValidationValues, anexo4).
5.2.1.2.2.1.2 Entradas obrigatórias do campo vriDictionary
a)Type;
Typeb) Cert;
c) OCSP ou CRL (ValidationValues, anexo4).
5.2.1.2.2.2 Extensãobr_ext_mandatedDocTSEntries
br_ext_mandatedDocTSEntriesEntradas obrigatórios doDocumentTimestamp:
DocumentTimestampa)Type;
Typeb)SubFilter;
SubFilterc)Contents.
Contents5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0, 1.1 e 1.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Para as versões 1.0 e 1.1: Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 1.2: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0, 1.1 e 1.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Para as versões 1.0 e 1.1: Os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 1.2: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2 Requisitos de Revogação para Certificados de Acs
cs5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0, 1.1 e 1.2: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0, 1.1 e 1.2: 2048 bits.
14 POLÍTICA-PADRÃO AD-RA BASEADA EM PADES
1 Identificador da Política de Assinatura
O nome desta Política de Assinatura para a versão 1.0 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO PDF, versão 1.0 e o seuObject Identifier(OID) é 2.16.76.1.7.1.14.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.1 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO PDF, versão 1.1 e o seuObject Identifier(OID) é 2.16.76.1.7.1.14.1.1.
Object IdentifierO nome desta Política de Assinatura para a versão 1.2 é POLITICA ICP-BRASIL PARA ASSINATURA DIGITAL COM REFERENCIAS PARA ARQUIVAMENTO NO FORMATO PDF, versão 1.2 e o seuObject Identifier(OID) é 2.16.76.1.7.1.14.1.2.
Object Identifier2 Data de Emissão
A data de emissão de cada PA é:
a) para a versão 1.0: 25/08/2015;
b) para a versão 1.1: 15/07/2016;
c) para a versão 1.2: 14/05/2018.
3 Nome da Entidade emissora da Política de Assinatura
A entidade emissora desta PA é identificada peloDistinguished Name"C=BR, O=ICP-Brasil, OU=Instituto Nacional de Tecnologia da Informacao - ITI".
Distinguished Name4 Campo de Aplicação
Este tipo de assinatura é adequado para aplicações que necessitam realizar o arquivamento do conteúdo digital assinado por longos períodos, sabendo-se que podem surgir fraquezas, vulnerabilidades ou exposição a fragilidades dos algoritmos, funções e chaves criptográficas utilizadas no processo de geração de assinatura digital.
Ele provê proteção contra fraqueza dos algoritmos, funções e tamanho de chaves criptográficas, desde que o carimbo do tempo de arquivamento seja realizado tempestivamente e utilize algoritmos, funções e tamanhos de chave considerados seguros no momento de sua geração.
Além disso, oferece segurança quanto à irretratabilidade, e permite que se verifique a validade da assinatura digital mesmo que ocorra comprometimento da chave privada da AC que emitiu o certificado do signatário (desde que o carimbo do tempo sobre as referências/valores dos certificados tenha sido colocado antes desse comprometimento).
Esse tipo de PA é aplicável apenas em arquivos do tipo PDF.
5 Política de Validação da Assinatura
5.1 Período para Assinatura
Para a versão 1.0, o período para assinatura desta PA é de 25/08/2015 a 02/03/2029.
Para a versão 1.1, o período para assinatura desta PA é de 15/07/2016 a 02/03/2029.
Para a versão 1.2, o período para assinatura desta PA é de 14/05/2018 a 02/03/2029.
5.2 Regras Comuns
5.2.1 Regras de Signatário e Verificador
5.2.1.1 Regras do Signatário
5.2.1.1.1 Dados Externos ou Internos a Assinatura
O conteúdo assinado deve ser externo à assinatura.
5.2.1.1.2 Atributos ou Propriedades Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos assinados:
a)id-contentType;
id-contentTypeb)id-messageDigest;
id-messageDigestc)id-aa-signingCertificateV2;
id-aa-signingCertificateV2d) id-aa-ets-sigPolicyId.
5.2.1.1.3 Atributos ou Propriedades Não-Assinados Obrigatórios
As assinaturas feitas segundo esta PA definem como obrigatórios os seguintes atributos não- assinados:
a)id-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken .5.2.1.1.4 Certificados Obrigatoriamente Referenciados
O atributoid-aa-signingCertificateV2deve conter referência apenas para o certificado do signatário.
id-aa-signingCertificateV25.2.1.1.5 Certificados Obrigatórios do Caminho de Certificação
Para a versão 1.0, 1.1 e 1.2: o certificado do signatário.
5.2.1.1.6 Regras Adicionais do Signatário
5.2.1.1.6.1 - Extensãobr_ext_mandatedPdfSigDicEntries.
br_ext_mandatedPdfSigDicEntries .5.2.1.1.6.1.1 - Entradas obrigatórias do Dicionário de Assinaturas:
a)Type;
Typeb)Filter;
Filterc)SubFilter;
SubFilterd)Contents;
Contentse)ByteRange.
ByteRange5.2.1.1.6.2 Extensão br_ext_dss
5.2.1.1.6.2.1 Entradas obrigatórias do campodssDictionary
dssDictionarya) Type;
b) VRI;
c) Certs;
d) OCSPs ou CRLs (ValidationValues, anexo4);
e) PBAD_PolicyArtifacts;
f) PBAD_LpaArtifacts;
g) PBAD_LpaSignatures.
5.2.1.1.6.2.2 Entradas obrigatórias do campovriDictionary
vriDictionarya) Type;
b) Cert;
c) OCSP ou CRL (ValidationValues, anexo4);
d) PBAD_PolicyArtifact;
e) PBAD_LpaArtifact;
f) PBAD_LpaSignature.
5.2.1.1.6.3 Extensãobr_ext_mandatedDocTSEntries
br_ext_mandatedDocTSEntriesEntradas obrigatórios doDocumentTimestamp:
DocumentTimestampa)Type;
Typeb)SubFilter;
SubFilterc)Contents.
Contents5.2.1.2 Regras do Verificador
5.2.1.2.1 Atributos ou Propriedades Não-Assinados Obrigatórios
Caso não tenham sido incluídos pelo signatário, os seguintes atributos DEVEM ser incluídos pelo verificador:
a)id-aa-signatureTimeStampToken.
id-aa-signatureTimeStampToken5.2.1.2.2 Regras Adicionais do Verificador
5.2.1.2.2.1 Extensão br_ext_dss
5.2.1.2.2.1.1 Entradas obrigatórias do campo dssDictionary
a)Type;
Typeb) VRI;
c) Certs;
d) OCSPs ou CRLs (ValidationValues, anexo4);
ValidationValuese) PBAD_PolicyArtifacts;
PolicyArtifactsf) PBAD_LpaArtifacts;
LpaArtifactsg) PBAD_LpaSignatures.
LpaSignatures5.2.1.2.2.1.2 Entradas obrigatórias do campovriDictionary
vriDictionarya) Type;
b) Cert;
c) OCSP ou CRL (ValidationValues, anexo4);
ValidationValuesd) PBAD_PolicyArtifact;
PolicyArtifacte) PBAD_LpaArtifact;
LpaArtifactf) PBAD_LpaSignature.
LpaSignature5.2.1.2.2.2 Extensãobr_ext_mandatedDocTSEntries
br_ext_mandatedDocTSEntriesEntradas obrigatórios doDocumentTimestamp:
DocumentTimestampa)Type;
Typeb)SubFilter;
SubFilterc)Contents.
Contents5.2.2 Condições de Confiabilidade dos Certificados dos Signatários
5.2.2.1 Requisitos de Certificados
5.2.2.1.1 Raiz Confiável
A validação deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0, 1.1 e 1.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt .
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt5.2.2.1.2 Conjunto de Políticas de Certificado Aceitável
a) Paras as versões 1.0 e 1.1: Assinaturas digitais geradas segundo esta Política de Assinatura deverão ser criadas com chave privada associada ao certificado ICP-Brasil tipo A1 (do OID 2.16.76.1.2.1.1 ao OID 2.16.76.1.2.1.100), tipo A2 (do OID 2.16.76.1.2.2.1 ao OID 2.16.76.1.2.2.100), do tipo A3 (do OID 2.16.76.1.2.3.1 ao OID 2.16.76.1.2.3.100) e do tipo A4 (do OID 2.16.76.1.2.4.1 ao OID 2.16.76.1.2.4.100), conforme definido em DOC-ICP-04 [7].
b) A partir da versão 1.2: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.2.2 Requisitos de Revogação
5.2.2.2.1 Requisitos de Revogação para Certificados Finais
5.2.2.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.2.2.2 Requisitos de Revogação para Certificados de ACs
5.2.2.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3 Condições de Confiabilidade do Carimbo do Tempo
5.2.3.1 Requisitos de Certificados
5.2.3.1.1 Raiz Confiável
A validação da assinatura constante no carimbo do tempo deve ser feita tomando como ponto de confiança os certificados da AC Raiz da ICP-Brasil, disponíveis em:
a) para a versão 1.0, 1.1 e 1.2:
http://acraiz.icpbrasil.gov.br/ICP-Brasilv2.crt e
http://acraiz.icpbrasil.gov.br/ICP-Brasilv5.crt.
5.2.3.1.2 Conjunto de Políticas de Certificado Aceitável
a) Paras as versões 1.0 e 1.1: os carimbos do tempo deverão ser criados com chave privada associada a certificados ICP-Brasil tipo T3 (do OID é 2.16.76.1.2.303.1 ao OID 2.16.76.1.2.303.100) ou T4 (do OID é 2.16.76.1.2.304.1 ao OID 2.16.76.1.2.304.100), conforme definido no DOC-ICP-04 [7].
b) Para a versão 1.2: o conjunto de Políticas de Certificado Aceitável deve estar vazio.
5.2.3.2 Requisitos de Revogação
5.2.3.2.1 Requisitos de Revogação para Certificados Finais
5.2.3.2.1.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.3.2.2Requisitos de Revogação para Certificados de ACs
5.2.3.2.2.1 Mecanismos de Revogação para Certificados
LCR ou OCSP.
5.2.4 Conjunto de Restrições de Algoritmos
5.2.4.1 Restrições de Algoritmos para Signatário
5.2.4.1.1 Restrições de Algoritmos
5.2.4.1.1.1 Identificador de Algoritmo
Os processos para criação e verificação de assinaturas segundo esta PA devem utilizar o algoritmo:
a) para a versão 1.0, 1.1 e 1.2: sha256WithRSAEncryption(1.2.840.113549.1.1.11) ou sha512WithRSAEncryption(1.2.840.113549.1.1.13).
5.2.4.1.1.2 Tamanho Mínimo de Chave
O tamanho mínimo de chave para criação de assinaturas segundo esta PA é de:
a) para a versão 1.0, 1.1 e 1.2: 2048 bits.
ANEXO 3
GERENCIAMENTO DE POLÍTICAS DE ASSINATURA NA ICP-BRASIL
1 INTRODUÇÃO
1.1 Na verificação da validade de uma Assinatura Digital ICP-Brasil diversos atributos e propriedades devem ser checados. É preciso verificar, por exemplo, se a assinatura contém apenas algoritmos e parâmetros permitidos pelas normas da ICP-Brasil.
1.2 Além disso, é necessário validar também se a assinatura foi criada com a utilização de uma Política de Assinatura (PA) aprovada pela AC Raiz da ICP-Brasil.
1.3 O objetivo do presente documento é introduzir regras claras e transparentes para determinar a validade das PAs aprovadas e definir processos de prorrogação e revogação de uma PA.
1.4 Para facilitar a verificação da validade de uma PA aprovada e para permitir a criação de sistemas que decidam de forma automatizada se uma determinada PA foi aprovada, a AC Raiz, além de publicá-la em seu repositório web, gera e assina digitalmente uma Lista de Políticas de Assinatura Aprovadas (LPA), contendo dados que identificam uma PA.
1.5 O formato da LPA e a forma de utilizá-la estão definidos no presente documento, bem como os procedimentos de administração de PAs aprovadas, o que inclui: a forma de publicação das PAs e os procedimentos a serem adotados em caso de término da validade, prorrogação da validade e revogação de PAs aprovadas.
2 ADMINISTRAÇÃO E CICLO DE VIDA DE UMA PA
2.1 PAs aprovadas são gerenciadas pela AC Raiz da ICP-Brasil com base neste documento.
2.2 Uma Política de Assinatura passa pelas seguintes etapas de vida:
a) criação;
b) aprovação;
c) publicação;
d) expiração (se for o caso);
e) prorrogação de validade (se for o caso);
f) revogação (se for o caso).
3 APROVAÇÃO DE UMA PA
As PAs aprovadas pela AC Raiz devem ser submetidas a avaliação prévia do CG-ICP-Brasil.
4. PUBLICAÇÃO DA PA E DA LPA
4.1 Os arquivos com as PAs aprovadas são publicados no repositório da AC Raiz da ICP-Brasil e são utilizados para a criação da LPA.
4.2 As LPAs são assinadas e publicadas pela AC Raiz da ICP-Brasil, de forma segura, no seu repositório no seguinte endereço web:
https://www.gov.br/iti/pt-br/assuntos/repositorio/lista-de-politicas-de-assinatura |
https://www.gov.br/iti/pt-br/assuntos/repositorio/lista-de-politicas-de-assinatura
https://www.gov.br/iti/pt-br/assuntos/repositorio/lista-de-politicas-de-assinatura
https://www.gov.br/iti/pt-br/assuntos/repositorio/lista-de-politicas-de-assinatura
https://www.gov.br/iti/pt-br/assuntos/repositorio/lista-de-politicas-de-assinatura
4.3 As LPAs são atualizadas pela AC Raiz pelo prazo máximo de 90 dias e contêm em seus corpos a data da sua próxima atualização.
4.4 As LPAs são assinadas com Assinaturas Digitais ICP-Brasil, utilizando PKCS #7 para CAdES e PAdES e XMLDSig para XAdES, todas assinadas por um certificado de pessoa jurídica do ITI, emitido por uma das autoridades Certificadora credenciadas na ICP-Brasil.
4.5 As LPAs são codificadas em linguagem de máquina (ASN.1 e XML) e trazem, para cada PA aprovada, os seguintes dados:
a) período de validade da Política;
b) data de revogação, se for o caso;
c) URLs da PA em formato processável por máquina (XML/DER);
d) resumos criptográficos dos arquivos da PA, processável por máquina (XML/DER);
e) assinatura digital PKCS #7 para o formato ASN.1 e XMLdSIG para o formato XML;
f) Identificador da política de assinatura;
4.6 PAs aprovadas são válidas pelo período indicado no campo de período para assinatura se ela não tiver sido revogada.
5 PRORROGAÇÃO DA VALIDADE DE UMA PA APROVADA
5.1 A validade de uma PA pode ser prorrogada desde que não tenham sido encontradas fragilidades na PA, as quais não sejam tecnicamente aceitáveis para o novo período de validade.
5.2 A prorrogação feita por meio da publicação de uma nova versão da PA contendo os dados alterados sobre data de publicação, começo e término da validade da PA. A publicação é feita utilizando os procedimentos citados no capítulo anterior.
6 REVOGAÇÃO DE UMA PA
6.1 PAs aprovadas PODEM ser revogadas pela AC Raiz da ICP-Brasil a qualquer tempo, a partir da emissão de uma nova LPA na qual o campo "data de revogação", relativo àquela PA esteja atualizado com a data da emissão da LPA.
7 PROCEDIMENTOS PARA CRIAÇÃO E VERIFICAÇÃO DA LPA
7.1 A estrutura do arquivo LPA é a seguinte:
a) identificador da política de assinatura;
b) campo PERÍODO PARA ASSINATURA: contém a datas de início e de final do período de validade da PA;
c) campo DATA DE REVOGAÇÃO: contém a data de revogação da PA, se for o caso;
d) campo URL MÁQUINA: contém a URL do repositório da AC Raiz da ICP-Brasil em que está publicada a PA aprovada, em formato DER ou XML;
e) campo RESUMO CRIPTOGRÁFICO MÁQUINA: contém o resumo criptográfico da PA codificada em DER ou XML;
f) assinatura digital PKCS #7 para o formato ASN.1 e XMLDSig para o formato XML.
7.2 A LPA contém as PAs aprovadas vigentes, expiradas e revogadas, característica esta necessária à verificação de Assinaturas Digitais ICP-Brasil criadas no passado por meio de PAs aprovadas que tenham sido válidas por um período, mas que posteriormente tenham expirado ou sido revogadas.
7.3 A LPA DEVE ser verificada em relação ao momento atual, validando-se a assinatura da LPA assim como o certificado do signatário da LPA.
7.4 Codificação de especificações da LPA
A codificação ASN.1 e o esquema XML da LPA podem ser obtidos no repositório do Instituto Nacional de Tecnologia da Informação, mantido em:
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio |
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
Os artefatos também podem ser acessados diretamente pelo link:
http://www.iti.gov.br/repositorio/84-repositorio/133-artefatos-de-assinatura-digitalhttps://www.gov.br/iti/pt-br/assuntos/repositorio/artefatos-de-assinatura-digital |
http://www.iti.gov.br/repositorio/84-repositorio/133-artefatos-de-assinatura-digitalhttps://www.gov.br/iti/pt-br/assuntos/repositorio/artefatos-de-assinatura-digital
http://www.iti.gov.br/repositorio/84-repositorio/133-artefatos-de-assinatura-digitalhttps://www.gov.br/iti/pt-br/assuntos/repositorio/artefatos-de-assinatura-digital
http://www.iti.gov.br/repositorio/84-repositorio/133-artefatos-de-assinatura-digitalhttps://www.gov.br/iti/pt-br/assuntos/repositorio/artefatos-de-assinatura-digital
http://www.iti.gov.br/repositorio/84-repositorio/133-artefatos-de-assinatura-digitalhttps://www.gov.br/iti/pt-br/assuntos/repositorio/artefatos-de-assinatura-digital
ANEXO 4
EXTENSÕES DE POLÍTICAS DE ASSINATURA PARA PAdES
1 INTRODUÇÃO
Para que a estrutura das PAs, descrita em [1] consiga apontar os campos da estrutura do PDF é necessário expandir essa estrutura. Essa expansão é feita através da descrição de novas extensões de PA, conforme o item 6.11 de [1]. Essas extensões servirão como guia de implementação dos dicionários PDF utilizados para criar uma assinatura PAdES.
Estas extensões deverão ser adicionadas no campo de extensões (signPolExtensions) das regras do signatário (item 6.5.1 de [1]) e no campo de extensões (signPolExtensions) das regras do verificador (item 6.5.2 de [1]).
signPolExtensions signPolExtensions2 EXTENSÕES
2.1 - DICIONÁRIO DE ASSINATURA
Essa extensão tem função similar à tabela de atributos assinados obrigatórios. Nela constarão todas as entradas obrigatórias e, opcionalmente, seu valor que deverá constar na assinatura.
2.1.1 - SINTAXE ASN.1
br-ext-mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 } MandatedPdfSigDicEntries ::= SEQUENCE OF PdfEntry PdfEntry ::= SEQUENCE { id UTF8String (SIZE (1..MAX)), value OCTET STRING OPTIONAL -- contém a codificação DER do conteúdo obrigatório da entrada } |
br-ext-mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 }
MandatedPdfSigDicEntries ::= SEQUENCE OF PdfEntry
PdfEntry ::= SEQUENCE {
id UTF8String (SIZE (1..MAX)),
value OCTET STRING OPTIONAL -- contém a codificação DER do conteúdo obrigatório da entrada
}
br-ext-mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 }
MandatedPdfSigDicEntries ::= SEQUENCE OF PdfEntry
PdfEntry ::= SEQUENCE {
id UTF8String (SIZE (1..MAX)),
value OCTET STRING OPTIONAL -- contém a codificação DER do conteúdo obrigatório da entrada
}
br-ext-mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 }
MandatedPdfSigDicEntries ::= SEQUENCE OF PdfEntry
PdfEntry ::= SEQUENCE {
id UTF8String (SIZE (1..MAX)),
value OCTET STRING OPTIONAL -- contém a codificação DER do conteúdo obrigatório da entrada
}
br-ext-mandatedPdfSigDicEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.1 }
MandatedPdfSigDicEntries ::= SEQUENCE OF PdfEntry
PdfEntry ::= SEQUENCE {
id UTF8String (SIZE (1..MAX)),
value OCTET STRING OPTIONAL -- contém a codificação DER do conteúdo obrigatório da entrada
}
O campoMandatedPdfSigDicEntriesrepresenta a lista de entradas obrigatórias que uma assinatura deverá ter no dicionário de assinaturas. Esse campo é formado por uma lista de entradas PDF, representadas pela estruturaPdfEntry. OPdfEntry, por sua vez, traz o nome da entrada PDF que deverá constar no dicionário e, opcionalmente, o valor que deverá ser empregado nessa entrada. Tal valor será codificado em DER de acordo com o tipo da entrada identificada por "id". A tabela A.4.3 apresenta as entradas obrigatórias e a formatação do valor.
MandatedPdfSigDicEntries PdfEntry PdfEntry2.2 - DICIONÁRIODOCUMENT SECURITY STORE(DSS)
DOCUMENT SECURITY STOREQuando esta extensão estiver presente, ela indicará que o DSS DEVE ser codificado na assinatura. As entradas indicadas por essa extensão serão consideradas obrigatórias.
2.2.1 - SINTAXE ASN.1
br-ext-dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 } DssDictionary ::= SEQUENCE{ mandatedEntries SEQUENCE OF PdfEntry, vriMandatedEntries SEQUENCE OF PdfEntry OPTIONAL } |
br-ext-dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 }
DssDictionary ::= SEQUENCE{
mandatedEntries SEQUENCE OF PdfEntry,
vriMandatedEntries SEQUENCE OF PdfEntry OPTIONAL
}
br-ext-dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 }
DssDictionary ::= SEQUENCE{
mandatedEntries SEQUENCE OF PdfEntry,
vriMandatedEntries SEQUENCE OF PdfEntry OPTIONAL
}
br-ext-dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 }
DssDictionary ::= SEQUENCE{
mandatedEntries SEQUENCE OF PdfEntry,
vriMandatedEntries SEQUENCE OF PdfEntry OPTIONAL
}
br-ext-dss OBJECT IDENTIFIER ::= { 2.16.76.1.8.2 }
DssDictionary ::= SEQUENCE{
mandatedEntries SEQUENCE OF PdfEntry,
vriMandatedEntries SEQUENCE OF PdfEntry OPTIONAL
}
O campoDssDictionaryrepresenta o dicionário DSS, descrito em ETSI PAdES-LTV [9]. Esse campo é formado por uma lista de entradas obrigatórias no dicionário DSS e pelo campovriDictionary, que é a indicação do uso do dicionárioValidation Related Information(VRI) [9].
DssDictionary vriDictionary Validation Related InformationO campoVriDictionaryapresenta quais entradas do dicionário VRI são obrigatórias para cada assinatura que usá-lo.
VriDictionary2.3 - DICIONÁRIODOCUMENT TIME-STAMP
DOCUMENT TIME-STAMPDefine os campos obrigatórios do carimbo do tempo do documento, que é inserido como uma assinatura a parte no PDF. As entradas presentes nessa extensão são obrigatórias.
2.3.1 - SINTAXE ASN.1
br-ext-mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 } MandatedDocTSEntries ::= SEQUENCE OF PdfEntry |
br-ext-mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 }
MandatedDocTSEntries ::= SEQUENCE OF PdfEntry
br-ext-mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 }
MandatedDocTSEntries ::= SEQUENCE OF PdfEntry
br-ext-mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 }
MandatedDocTSEntries ::= SEQUENCE OF PdfEntry
br-ext-mandatedDocTSEntries OBJECT IDENTIFIER ::= { 2.16.76.1.8.3 }
MandatedDocTSEntries ::= SEQUENCE OF PdfEntry
O campomandatedDocTSEntriesapresenta uma lista de entradas para o dicionário do carimbo do tempo do documento, ouDocument Timestamp, que é um dicionário similar ao dicionário de assinaturas, mas a entradaContentspossui um carimbo do tempo ao invés de uma assinatura tradicional.
mandatedDocTSEntries Document Timestamp Contents2.4 - Artefatos de PA e LPA na estrutura PDF
A indicação da codificação dos artefatos de políticas de assinatura (PA, LPA e assinatura da LPA) será formada por 3 entradas noDocument Time-stamp. Essas entradas funcionarão de forma parecida com a codificação dos certificados, LCRs e OCSPs presentes no DSS. Ou seja, serão referências indiretas aos respectivos objetos codificados em BER.
Document Time-stampENTRADA |
TIPO |
VALOR |
PBAD_PolicyArtifacts |
Referência |
Uma referência para o objeto PDF que contém as PAs codificadas em BER. Essa entrada contém as políticas de assinatura que devem ser usadas para a validação das assinaturas contidas no documento PDF |
PBAD_LpaArtifacts |
Referência |
Uma referência para o objeto PDF que contém as LPAs codificadas em BER. Essa entrada contém as LPAs que devem ser usadas para validar as políticas de assinatura usadas nas assinaturas contidas no documento PDF |
PBAD_LpaSignatures |
Referência |
Uma referência para o objeto PDF que contém as assinaturas das LPAs. |
ENTRADA
TIPO
VALOR
PBAD_PolicyArtifacts
Referência
Uma referência para o objeto PDF que contém as PAs codificadas em BER. Essa entrada contém as políticas de assinatura que devem ser usadas para a validação das assinaturas contidas no documento PDF
PBAD_LpaArtifacts
Referência
Uma referência para o objeto PDF que contém as LPAs codificadas em BER. Essa entrada contém as LPAs que devem ser usadas para validar as políticas de assinatura usadas nas assinaturas contidas no documento PDF
PBAD_LpaSignatures
Referência
Uma referência para o objeto PDF que contém as assinaturas das LPAs.
ENTRADA
TIPO
VALOR
ENTRADA
ENTRADA
TIPO
TIPO
VALOR
VALOR
PBAD_PolicyArtifacts
Referência
Uma referência para o objeto PDF que contém as PAs codificadas em BER. Essa entrada contém as políticas de assinatura que devem ser usadas para a validação das assinaturas contidas no documento PDF
PBAD_PolicyArtifacts
PBAD_PolicyArtifacts
PolicyArtifactsReferência
Referência
Uma referência para o objeto PDF que contém as PAs codificadas em BER. Essa entrada contém as políticas de assinatura que devem ser usadas para a validação das assinaturas contidas no documento PDF
Uma referência para o objeto PDF que contém as PAs codificadas em BER. Essa entrada contém as políticas de assinatura que devem ser usadas para a validação das assinaturas contidas no documento PDF
PBAD_LpaArtifacts
Referência
Uma referência para o objeto PDF que contém as LPAs codificadas em BER. Essa entrada contém as LPAs que devem ser usadas para validar as políticas de assinatura usadas nas assinaturas contidas no documento PDF
PBAD_LpaArtifacts
PBAD_LpaArtifacts
LpaArtifactsReferência
Referência
Uma referência para o objeto PDF que contém as LPAs codificadas em BER. Essa entrada contém as LPAs que devem ser usadas para validar as políticas de assinatura usadas nas assinaturas contidas no documento PDF
Uma referência para o objeto PDF que contém as LPAs codificadas em BER. Essa entrada contém as LPAs que devem ser usadas para validar as políticas de assinatura usadas nas assinaturas contidas no documento PDF
PBAD_LpaSignatures
Referência
Uma referência para o objeto PDF que contém as assinaturas das LPAs.
PBAD_LpaSignatures
PBAD_LpaSignatures
LpaSignaturesReferência
Referência
Uma referência para o objeto PDF que contém as assinaturas das LPAs.
Uma referência para o objeto PDF que contém as assinaturas das LPAs.
Tabela A.4.1 - Entradas adicionais do dicionárioDocument Security Store.
Document Security StoreA Tabela A.4.1 descreve as entradas a serem adicionadas ao DSS, descrito em [9]. Essas entradas guardam todos os dados necessários para validar uma política de assinatura localmente. A entrada PBAD_PolicyArtifcats e PBAD_LpaArtifacts são arrays de objetos indiretos (ver ISO 32000-1) contendo todas as PAs e LPAs, respectivamente, utilizadas no documento PDF assinado no padrão PAdES. A entrada PBAD_LpaSignatures é umarrayde objetos indiretos contendo as assinaturas das LPAs incluídas na entrada PBAD_LpaArtifacts.
arrayENTRADA |
TIPO |
VALOR |
PBAD_PolicyArtifact |
Referência |
Uma referência para o objeto PDF que contém uma PA codificada em BER. Essa entrada contém a política de assinatura que deve ser usada para a validação da assinatura |
PBAD_LpaArtifact |
Referência |
Uma referência para o objeto PDF que contém uma LPA codificada em BER. Essa entrada contém a LPA que deve ser usada para validar a política de assinatura usada na assinatura |
PBAD_LpaSignature |
Referência |
Uma referência para o objeto PDF que contém a assinatura da LPA. |
ENTRADA
TIPO
VALOR
PBAD_PolicyArtifact
Referência
Uma referência para o objeto PDF que contém uma PA codificada em BER. Essa entrada contém a política de assinatura que deve ser usada para a validação da assinatura
PBAD_LpaArtifact
Referência
Uma referência para o objeto PDF que contém uma LPA codificada em BER. Essa entrada contém a LPA que deve ser usada para validar a política de assinatura usada na assinatura
PBAD_LpaSignature
Referência
Uma referência para o objeto PDF que contém a assinatura da LPA.
ENTRADA
TIPO
VALOR
ENTRADA
ENTRADA
TIPO
TIPO
VALOR
VALOR
PBAD_PolicyArtifact
Referência
Uma referência para o objeto PDF que contém uma PA codificada em BER. Essa entrada contém a política de assinatura que deve ser usada para a validação da assinatura
PBAD_PolicyArtifact
PBAD_PolicyArtifact
PolicyArtifactReferência
Referência
Uma referência para o objeto PDF que contém uma PA codificada em BER. Essa entrada contém a política de assinatura que deve ser usada para a validação da assinatura
Uma referência para o objeto PDF que contém uma PA codificada em BER. Essa entrada contém a política de assinatura que deve ser usada para a validação da assinatura
PBAD_LpaArtifact
Referência
Uma referência para o objeto PDF que contém uma LPA codificada em BER. Essa entrada contém a LPA que deve ser usada para validar a política de assinatura usada na assinatura
PBAD_LpaArtifact
PBAD_LpaArtifact
LpaArtifactReferência
Referência
Uma referência para o objeto PDF que contém uma LPA codificada em BER. Essa entrada contém a LPA que deve ser usada para validar a política de assinatura usada na assinatura
Uma referência para o objeto PDF que contém uma LPA codificada em BER. Essa entrada contém a LPA que deve ser usada para validar a política de assinatura usada na assinatura
PBAD_LpaSignature
Referência
Uma referência para o objeto PDF que contém a assinatura da LPA.
PBAD_LpaSignature
PBAD_LpaSignature
LpaSignatureReferência
Referência
Uma referência para o objeto PDF que contém a assinatura da LPA.
Uma referência para o objeto PDF que contém a assinatura da LPA.
Tabela A.4.2 - Entradas adicionais do dicionário VRI.
A Tabela A.4.2 descreve as entradas a serem adicionadas no dicionário VRI, descrito em ETSI PAdES-LTV [9]. Essas entradas adicionais servem para indicar qual PA e qual LPA devem ser utilizadas na validação da assinatura à qual determinado VRI faz referência. A entradaPaArtifactdeve conter um objeto indireto à PA utilizada para realizar a assinatura. A entradaLpaArtifactdeve conter um objeto indireto à LPA vigente durante o período de realização da assinatura. A entradaLpaSignaturedeve conter a assinatura da LPA.
PaArtifact LpaArtifact LpaSignature2.5 - Relação dos tipos de PdfEntry
Definição em ASN.1 dos valores de cada tipo de entrada de dicionário. As entradas não descritas aqui não possuem um valor fixo aplicável, portanto, dispensa a codificação de um valor. Sua presença indica sua obrigatoriedade.
Entrada (id) |
Sintaxe ASN.1 (value) |
Type |
UTF8String (SIZE (1..MAX)) |
Filter |
UTF8String (SIZE (1..MAX)) |
SubFilter |
UTF8String (SIZE (1..MAX)) |
ValidationValues |
ValidationReq |
Entrada (id)
Sintaxe ASN.1 (value)
Type
UTF8String (SIZE (1..MAX))
Filter
UTF8String (SIZE (1..MAX))
SubFilter
UTF8String (SIZE (1..MAX))
ValidationValues
ValidationReq
Entrada (id)
Sintaxe ASN.1 (value)
Entrada (id)
Entrada (id)
Sintaxe ASN.1 (value)
Sintaxe ASN.1 (value)
valueType
UTF8String (SIZE (1..MAX))
Type
Type
TypeUTF8String (SIZE (1..MAX))
UTF8String (SIZE (1..MAX))
Filter
UTF8String (SIZE (1..MAX))
Filter
Filter
UTF8String (SIZE (1..MAX))
UTF8String (SIZE (1..MAX))
SubFilter
UTF8String (SIZE (1..MAX))
SubFilter
SubFilter
UTF8String (SIZE (1..MAX))
UTF8String (SIZE (1..MAX))
ValidationValues
ValidationReq
ValidationValues
ValidationValues
ValidationReq
ValidationReq
Tabela A.4.3 - Sintaxe ASN.1 por tipos de entradas.
A entrada de dicionário ValidationValues, não reflete a uma entrada do DSS ou VRI de fato, mas indica qual tipo de artefato de revogação deve ser incluido nessas estruturas. Essa estrutura pode indicar se um DSS ou VRI deve conter apenas LCR, apenas OCSP, qualquer um dos dois ou obrigatoriamente os dois.
ValidationReq ::= ENUMERATED { crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada either (2), -- indica que podem ser usadas LCRs/LCR ou OCSPs/OCSP no DSS/VRI both (3) -- indica que devem ser usadas LCRs/LCR e OCSPs/OCSP no DSS/VRI } |
ValidationReq ::= ENUMERATED {
crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada
ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada
either (2), -- indica que podem ser usadas LCRs/LCR ou OCSPs/OCSP no DSS/VRI
both (3) -- indica que devem ser usadas LCRs/LCR e OCSPs/OCSP no DSS/VRI
}
ValidationReq ::= ENUMERATED {
crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada
ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada
either (2), -- indica que podem ser usadas LCRs/LCR ou OCSPs/OCSP no DSS/VRI
both (3) -- indica que devem ser usadas LCRs/LCR e OCSPs/OCSP no DSS/VRI
}
ValidationReq ::= ENUMERATED {
crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada
ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada
either (2), -- indica que podem ser usadas LCRs/LCR ou OCSPs/OCSP no DSS/VRI
both (3) -- indica que devem ser usadas LCRs/LCR e OCSPs/OCSP no DSS/VRI
}
ValidationReq ::= ENUMERATED {
crlsOnly (0), -- indica que apenas a entrada CRLs/CRL pode ser usada
ocspsOnly (1), -- indica que apenas a entrada OCSPs/OCSP pode ser usada
either (2), -- indica que podem ser usadas LCRs/LCR ou OCSPs/OCSP no DSS/VRI
both (3) -- indica que devem ser usadas LCRs/LCR e OCSPs/OCSP no DSS/VRI
}
2.6 - Codificação de especificações ASN.1
A codificação ASN.1 das extensões de Políticas de Assinatura para PAdES podem ser obtidas no repositório do Instituto Nacional de Tecnologia da Informação, mantido em:
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio |
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
http://www.iti.gov.br/repositoriohttps://www.gov.br/iti/pt-br/assuntos/repositorio
Os artefatos também podem ser acessados diretamente pelo link:
http://www.iti.gov.br/repositorio/85-artefatos-de-assinatura-digital/137-codificacao-de-especificacoes-cehttps://www.gov.br/iti/pt-br/assuntos/repositorio/codificacao-de-especificacoes-ce |
http://www.iti.gov.br/repositorio/85-artefatos-de-assinatura-digital/137-codificacao-de-especificacoes-cehttps://www.gov.br/iti/pt-br/assuntos/repositorio/codificacao-de-especificacoes-ce
http://www.iti.gov.br/repositorio/85-artefatos-de-assinatura-digital/137-codificacao-de-especificacoes-cehttps://www.gov.br/iti/pt-br/assuntos/repositorio/codificacao-de-especificacoes-ce
http://www.iti.gov.br/repositorio/85-artefatos-de-assinatura-digital/137-codificacao-de-especificacoes-cehttps://www.gov.br/iti/pt-br/assuntos/repositorio/codificacao-de-especificacoes-ce
http://www.iti.gov.br/repositorio/85-artefatos-de-assinatura-digital/137-codificacao-de-especificacoes-cehttps://www.gov.br/iti/pt-br/assuntos/repositorio/codificacao-de-especificacoes-ce
Este artefato ainda não tem temas.
Nenhum item vinculado a este artefato.