APROVA A VERSÃO 3.0 DO DOCUMENTO PERFIL DE USO GERAL PARAASSINATURAS DIGITAIS NA ICP-BRASIL (DOC-ICP-15.02).
O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE
CHAVES PÚBLICAS BRASILEIRA - CG ICP-BRASIL, no exercício do cargo de COORDENADORDO REFERIDO COMITÊ, conforme previsão constante no art. 1º da Resolução nº 33 doComitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nosincisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
Considerando o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestorda Infraestrutura de Chaves Públicas Brasileira - CG ICP-Brasil e fixa a competência, prevista no § 6ºart. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular esuplente; e
Considerando a necessidade de complementar a regulamentação do padrão de assinatura digitalPAdES na ICP-Brasil, resolve:
Art. 1º Alterar o item 1.1 do DOC-ICP-15.02, versão 2.1, que passa a vigorar com a seguinteredação:
1.1 Este documento define um perfil para assinatura digital na Infraestrutura de Chaves Públicas
Brasileira (ICP-Brasil) que contém um sub-conjunto dos atributos, propriedades ou entrada de
dicionários definidos respectivamente nos padrões CMS Advanced Electronic Signatures (CAdES)
[1],XML Advanced Electronic Signatures (XAdES) [2] e PDF Advanced Electronic Signatures
(PAdES) [9]. Tal perfil foi criado com o objetivo de minimizar as diferenças entre implementações
e maximizar a interoperabilidade das aplicações para geração e verificação de assinaturas digitais.
Art. 2º Alterar o item 1.5 do DOC-ICP-15.02, versão 2.1, que foi renumerado para 1.4 e passaa vigorar com a seguinte redação:
1.4 O restante deste documento está organizado da seguinte forma. O capítulo 2 apresenta o
perfil de assinatura digital com base no CAdES; o capítulo 3 apresenta o perfil de assinatura digital
com base no XAdES e o capítulo 4 o perfil de assinatura digital com base no PAdES.
Art. 3º Acrescentar as referências [9], [10], [11], [12] e [13] na Bibliografia do DOC-ICP-15.02,versão 2.1, com a seguinte redação:
[9] ETSI. PDF Advanced Electronic Signatures Profiles. Part 1 PAdES Overview - a framework
document for PAdES: TS 102 778-1 V1.1.1. ed. [S.l.], 2009. Acesso em: 23/01/2015.
[10] ISO. ISO 3166 - Country Codes. https://www.iso.org/obp/ui/#search. Acesso em :
20/01/2015.
[11] ETSI. PDF Advanced Electronic Signatures Profiles. Part 3: PAdES Enhanced - PAdES
BES and PAdES EPES Profiles. TS 102 778-3 V1.2.1. ed. [S.l.], 2010. Acesso em: 23/01/2015.
[12] ETSI. PDF Advanced Electronic Signatures Profiles. Part 4: PAdES Long Term - PAdES
LTV Profile. TS 102 778-4 V1.1.2. ed. [S.l.], 2009. Acesso em: 23/01/2015.
[13] ISO. ISO 32000-1 - Document management - Portable document format - Part 1: PDF 1.7.
https://www.iso.org/obp/ui/#iso:std:iso:32000:-1:ed-1:v1:en. Acesso em 28/04/2015
Art. 4º Acrescentar o item 4, seus subitens e alíneas ao DOC-ICP-15.02, versão 2.1, com aseguinte redação:
4. PERFIL DE ASSINATURA DIGITAL COM BASE NOS PADRÕES PDF/PAdES
4.1 PROPRIEDADES ASSINADAS
A Tabela 1 apresenta os atributos assinados para assinaturas no formato PAdES, em conformidadecom o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A coluna Refapontaa seção no documento ETSI TS 101 733 [1] em que o atributo está especificado.
Tabela 1: Atributos assinados para assinaturas no formato PAdES
4.2 PROPRIEDADES NÃO ASSINADAS
A Tabela 2 apresenta os atributos não assinados para assinaturas no formato PAdES, emconformidade com o documento ETSI TS 102 778-3 [11] e ETSI TS 102 778-4 [12]. A coluna Refaponta a seção no documento ETSI TS 101 733 [1] em que o atributo está especificado.
Tabela 2: Atributos não assinados para assinaturas no formato PAdES
A Tabela 3 apresenta a relação entre atributos e entradas do dicionário de assinaturas comconflito de conteúdo e que devem ser atendidos no PAdES.
Tabela 3: Relação de entradas do dicionário de assinatura e atributos com conteúdos similares
4.3 ENTRADAS DO DICIONÁRIO DE ASSINATURAS
Tabela 4: Entradas do dicionário de assinatura
4.4 DICIONÁRIOS DE VALIDAÇÃO
4.4.1 Document Security Store (DSS)
A Tabela 5 apresenta as entradas do dicionário DSS, em conformidade com o documento ETSITS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Entries in a DSS Dictionary",Anexo A.1 do documento ETSI 102 778-4.
Tabela 5: Entradas do dicionário DSS
4.4.2 Validation Related Information (VRI)
A Tabela 6 apresenta as entradas do dicionário VRI, em conformidade com o documento ETSITS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Entries in a Signature VRIDictionary", Anexo A.1 do documento ETSI 102 778-4.
Tabela 6: Entradas do dicionário VRI
4.4.3 Document Time-stamp
A Tabela 7 apresenta as entradas do dicionário Document Time-stamp, em conformidade com odocumento ETSI TS 102 778-4. Todas as entradas descritas estão definidas na Tabela "Modifications totable 252 for a Document Time-stamp Dictionary", Anexo A.2 do documento ETSI 102 778-4.
Tabela 7: Entradas do dicionário Document Time-stamp
4.4.4 Versões e Extensões do PDF
4.4.4.1 Versões
Para garantir que todos os recursos necessários na validação de uma assinatura PAdES sejaminterpretados corretamente pelo leitor aderente, deve-se usar no mínimo a versão 1.7 do PDF. Esta versãoé a mais atual, mantida pelo documento ISO 32000-1 [13], e possibilita a utilização das extensõesnecessárias para a inclusão do DSS e VRI. Os detalhes sobre as versões do PDF estão descritos noAnexo I, do documento ISO 32000-1. Caso seja necessário usar PDF/A deve-se usar a versão PDF/A-2ou superior, pois a versão PDF/A-1 não possui suporte para assinaturas CAdES, que é um requisitopara o PAdES-ICP-Brasil.
4.4.4.2 Extensões
Nos documentos de referência, ETSI TS 102 778-3 e ETSI 102 778-4, há a indicação do usode extensões de dicionário para indicar o uso de características específicas do PDF, que no caso deassinaturas Padrão ICP-Brasil serão identificadas com o prefixo PBAD. Assim, para indicar que aassinatura PAdES possui política de assinatura, deve-se utilizar a seguinte extensão:
<
<
/ExtensionLevel 2
>>
>>
E para assinaturas que possuam DSS e VRI, deve-se usar a seguinte extensão:
<
<
/ExtensionLevel 1
>>
>>
Art. 5º Aprovar a versão 3.0 do DOC-ICP-15.02 - REQUISITOS PARA GERAÇÃO E VERIFICAÇÃODE ASSINATURAS DIGITAIS NA ICP-BRASIL.
§ 1º Todas as demais cláusulas do DOC-ICP-15.02, na sua versão 2.1, em sua ordem originária,integram a presente versão 3.0 e mantêm-se válidas.
§ 2º O documento referido no caput encontra-se disponibilizado, em sua totalidade, no sítiohttp://www.iti.gov.br
Art. 6º Esta Instrução Normativa entra em vigor na data de sua publicação.