Norma
30/10/2015
#170991

INSTRUÇÃO NORMATIVA Nº 6, DE 25 DE AGOSTO DE 2015

Aprova a versão 3.0 do documento de requisitos para geração e verificação de assinaturas digitais na ICP-Brasil.

APROVA A VERSÃO 3.0 DO DOCUMENTO PERFIL DE USO GERAL PARAASSINATURAS DIGITAIS NA ICP-BRASIL (DOC-ICP-15.02).

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE

CHAVES PÚBLICAS BRASILEIRA - CG ICP-BRASIL, no exercício do cargo de COORDENADORDO REFERIDO COMITÊ, conforme previsão constante no art. 1º da Resolução nº 33 doComitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nosincisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,

Considerando o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestorda Infraestrutura de Chaves Públicas Brasileira - CG ICP-Brasil e fixa a competência, prevista no § 6ºart. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular esuplente; e

Considerando a necessidade de complementar a regulamentação do padrão de assinatura digitalPAdES na ICP-Brasil, resolve:

Art. 1º Alterar o item 1.1 do DOC-ICP-15.02, versão 2.1, que passa a vigorar com a seguinteredação:

1.1 Este documento define um perfil para assinatura digital na Infraestrutura de Chaves Públicas

Brasileira (ICP-Brasil) que contém um sub-conjunto dos atributos, propriedades ou entrada de

dicionários definidos respectivamente nos padrões CMS Advanced Electronic Signatures (CAdES)

[1],XML Advanced Electronic Signatures (XAdES) [2] e PDF Advanced Electronic Signatures

(PAdES) [9]. Tal perfil foi criado com o objetivo de minimizar as diferenças entre implementações

e maximizar a interoperabilidade das aplicações para geração e verificação de assinaturas digitais.

Art. 2º Alterar o item 1.5 do DOC-ICP-15.02, versão 2.1, que foi renumerado para 1.4 e passaa vigorar com a seguinte redação:

1.4 O restante deste documento está organizado da seguinte forma. O capítulo 2 apresenta o

perfil de assinatura digital com base no CAdES; o capítulo 3 apresenta o perfil de assinatura digital

com base no XAdES e o capítulo 4 o perfil de assinatura digital com base no PAdES.

Art. 3º Acrescentar as referências [9], [10], [11], [12] e [13] na Bibliografia do DOC-ICP-15.02,versão 2.1, com a seguinte redação:

[9] ETSI. PDF Advanced Electronic Signatures Profiles. Part 1 PAdES Overview - a framework

document for PAdES: TS 102 778-1 V1.1.1. ed. [S.l.], 2009. Acesso em: 23/01/2015.

[10] ISO. ISO 3166 - Country Codes. https://www.iso.org/obp/ui/#search. Acesso em :

20/01/2015.

[11] ETSI. PDF Advanced Electronic Signatures Profiles. Part 3: PAdES Enhanced - PAdES

BES and PAdES EPES Profiles. TS 102 778-3 V1.2.1. ed. [S.l.], 2010. Acesso em: 23/01/2015.

[12] ETSI. PDF Advanced Electronic Signatures Profiles. Part 4: PAdES Long Term - PAdES

LTV Profile. TS 102 778-4 V1.1.2. ed. [S.l.], 2009. Acesso em: 23/01/2015.

[13] ISO. ISO 32000-1 - Document management - Portable document format - Part 1: PDF 1.7.

https://www.iso.org/obp/ui/#iso:std:iso:32000:-1:ed-1:v1:en. Acesso em 28/04/2015

Art. 4º Acrescentar o item 4, seus subitens e alíneas ao DOC-ICP-15.02, versão 2.1, com aseguinte redação:

4. PERFIL DE ASSINATURA DIGITAL COM BASE NOS PADRÕES PDF/PAdES

4.1 PROPRIEDADES ASSINADAS

A Tabela 1 apresenta os atributos assinados para assinaturas no formato PAdES, em conformidadecom o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A coluna Refapontaa seção no documento ETSI TS 101 733 [1] em que o atributo está especificado.

Tabela 1: Atributos assinados para assinaturas no formato PAdES

4.2 PROPRIEDADES NÃO ASSINADAS

A Tabela 2 apresenta os atributos não assinados para assinaturas no formato PAdES, emconformidade com o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A coluna Refaponta a seção no documento ETSI TS 101 733 [1] em que o atributo está especificado.

Tabela 2: Atributos não assinados para assinaturas no formato PAdES

A Tabela 3 apresenta a relação entre atributos e entradas do dicionário de assinaturas comconflito de conteúdo e que devem ser atendidos no PAdES.

Tabela 3: Relação de entradas do dicionário de assinatura e atributos com conteúdos similares

4.3 ENTRADAS DO DICIONÁRIO DE ASSINATURAS

Tabela 4: Entradas do dicionário de assinatura

4.4 DICIONÁRIOS DE VALIDAÇÃO

4.4.1 Document Security Store (DSS)

A Tabela 5 apresenta as entradas do dicionário DSS, em conformidade com o documento ETSITS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Entries in a DSS Dictionary",Anexo A.1 do documento ETSI 102 778-4.

Tabela 5: Entradas do dicionário DSS

4.4.2 Validation Related Information (VRI)

A Tabela 6 apresenta as entradas do dicionário VRI, em conformidade com o documento ETSITS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Entries in a Signature VRIDictionary", Anexo A.1 do documento ETSI 102 778-4.

Tabela 6: Entradas do dicionário VRI

4.4.3 Document Time-stamp

A Tabela 7 apresenta as entradas do dicionário Document Time-stamp, em conformidade com odocumento ETSI TS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Modifications totable 252 for a Document Time-stamp Dictionary", Anexo A.2 do documento ETSI 102 778-4.

Tabela 7: Entradas do dicionário Document Time-stamp

4.4.4 Versões e Extensões do PDF

4.4.4.1 Versões

Para garantir que todos os recursos necessários na validação de uma assinatura PAdES sejaminterpretados corretamente pelo leitor aderente, deve-se usar no mínimo a versão 1.7 do PDF. Esta versãoé a mais atual, mantida pelo documento ISO 32000-1 [13], e possibilita a utilização das extensõesnecessárias para a inclusão do DSS e VRI. Os detalhes sobre as versões do PDF estão descritos noAnexo I, do documento ISO 32000-1. Caso seja necessário usar PDF/A deve-se usar a versão PDF/A-2ou superior, pois a versão PDF/A-1 não possui suporte para assinaturas CAdES, que é um requisitopara o PAdES-ICP-Brasil.

4.4.4.2 Extensões

Nos documentos de referência, ETSI TS 102 778-3 e ETSI 102 778-4, há a indicação do usode extensões de dicionário para indicar o uso de características específicas do PDF, que no caso deassinaturas Padrão ICP-Brasil serão identificadas com o prefixo PBAD. Assim, para indicar que aassinatura PAdES possui política de assinatura, deve-se utilizar a seguinte extensão:

<

<

/ExtensionLevel 2

>>

>>

E para assinaturas que possuam DSS e VRI, deve-se usar a seguinte extensão:

<

<

/ExtensionLevel 1

>>

>>

Art. 5º Aprovar a versão 3.0 do DOC-ICP-15.02 - REQUISITOS PARA GERAÇÃO E VERIFICAÇÃODE ASSINATURAS DIGITAIS NA ICP-BRASIL.

§ 1º Todas as demais cláusulas do DOC-ICP-15.02, na sua versão 2.1, em sua ordem originária,integram a presente versão 3.0 e mantêm-se válidas.

§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítiohttp://www.iti.gov.br

Art. 6º Esta Instrução Normativa entra em vigor na data de sua publicação.