Assinatura
A seção Signature do admin console ajuda a definir os diferentes perfis de assinatura e servidores de carimbo de data/hora que são aplicados no momento da resposta à assinatura de um documento feita por meio do serviço de assinatura DSS.
Perfis DSS
Essa exibição fornece uma lista de perfis definidos, bem como funções para pesquisar e filtrar itens.
Um perfil de assinatura consiste em uma série de parâmetros que são aplicados ou verificados no momento da assinatura. Alguns desses parâmetros podem ter um valor forçado no perfil ou oferecer um intervalo de valores possíveis a serem escolhidos pelo cliente. A tabela a seguir mostra o comportamento do serviço de assinatura, dependendo se um parâmetro é forçado no perfil e/ou se a solicitação especifica um valor específico para esse parâmetro.
| Valor forçado | Faixa de valores | |
|---|---|---|
| Solicitação com valor especificado compatível com o perfil. | Assinatura com valor especificado / forçada | Assinatura com valor especificado na solicitação. |
| Solicitação com valor especificado não compatível com o perfil. | Retornar erro. | Retornar erro. |
| Assinatura com valor especificado / forçada. | Assinatura com valor especificado no perfil. | Retornar erro. |
Assistente de criação de assinatura
Geral
O botão New abre um assistente no qual você define o perfil de assinatura.
A primeira etapa é escolher um nome para o perfil, o status do perfil e o tipo de assinatura no qual o perfil se baseará.
| Configuração | Descrição |
|---|---|
| Nome | Nome descritivo do perfil. Ele deve ser exclusivo, pois será o identificador do perfil no momento da solicitação de assinatura contra o serviço. |
| Status | Status do perfil (ativado/desativado). |
| Selecione um tipo de assinatura | Selecione o tipo de assinatura entre CMS, XMLDSIG, XAdES, CAdES ou PAdES. |
Configuração
Dependendo do tipo de assinatura selecionado, as etapas seguintes do assistente variam. A seção a seguir mostra as opções de configuração para XAdES, que é a que tem todas as opções de configuração possíveis.
| Seção | Configuração | Descrição |
|---|---|---|
| Níveis | Forçar | Permite especificar qual nível de assinatura o perfil deve atender. Escolha um conjunto possível de níveis ou force um nível específico. |
| Selecione os níveis de assinatura | CMS e XMLDSig: No levels | |
| XAdES e CAdES BES: formulário básico que simplesmente atende aos requisitos legais da Diretiva para assinatura eletrônica avançada. EPES: formulário básico ao qual foram adicionadas informações de política de assinatura. T: (timestamp), adiciona um campo de carimbo de data/hora para proteger contra repúdio. C: (complete), adiciona referências a dados de verificação (certificados e listas de revogação) a documentos assinados para permitir verificação e validação off-line no futuro (mas não armazena os dados em si) X: (extended), adiciona registros de data e hora às referências introduzidas por C para evitar que uma cadeia de certificados seja comprometida no futuro. XL: (extended long-term), adiciona os próprios certificados e listas de revogação aos documentos assinados para permitir a verificação no futuro, mesmo que as fontes originais (pesquisa de certificados ou listas de revogação) não estejam mais disponíveis. A: (archiving), adiciona a possibilidade de registro de data e hora periódico (por exemplo, todo ano) de documentos arquivados para evitar que eles sejam comprometidos devido à fragilidade da assinatura durante um longo período de armazenamento. | ||
| PAdES BES: formulário básico que simplesmente atende aos requisitos legais da diretiva para assinaturas eletrônicas avançadas. EPES: formulário básico ao qual foram adicionadas informações sobre a política de assinatura. LTV: esse nível permite uma assinatura válida além da validade do próprio certificado de assinatura. | ||
| Modos | Forçar | Permite que você especifique o modo de assinatura Escolha um conjunto possível ou force um valor ou um deles. |
| Modos permitidos | Enveloped: (XMLDSig, XAdES, PAdES) A assinatura está dentro do próprio documento assinado. Enveloping: (CMS, XMLDSig, CAdES, XAdES) O documento assinado está dentro da assinatura. Detached: (CMS, XMLDSig, CAdES, XAdES) A assinatura e o documento original assinado estão em arquivos separados. Para validar a assinatura, ela deve estar sempre acompanhada do documento original. | |
| Algoritmos | Assinatura | Permite que você escolha um conjunto de algoritmos de assinatura e um algoritmo de resumo. Os algoritmos de assinatura compatíveis com cada tipo são: RSA: (CMS, XMLDSig, CAdES, XAdES, PAdES) o tipo mais difundido, válido tanto para criptografia quanto para assinatura. DSA: (CAdES, XAdES, PAdES) padrão do Governo Federal dos Estados Unidos da América, é usado para assinatura, mas não para criptografia, e requer mais tempo de computação do que o RSA. ECDSA: (CAdES, XAdES, PAdES) modificação do DSA, usa operações em pontos de curva elíptica. |
| Resumo | Os algoritmos de resumo permitidos para cada tipo são: SHA1: (CMS, XMLDSig, CAdES, XAdES, PAdES) Secure Hash Algorithm, segunda versão do sistema, produz um resumo de 20 bits. O uso deste método é desaconselhado. SHA256 e SHA512: (CAdES, XAdES, PAdES) Duas das quatro funções do SHA2, que é a versão seguinte do SHA1, produzem resumos de 32 e 64 bits, respectivamente. |
TSA (opcional)
Nesta etapa, você pode escolher os servidores TSA (Time Stamp Authority) que o servidor pode usar para carimbar a hora das assinaturas que o exigem. Você pode escolher um servidor primário e um secundário, que será usado somente se o primário não estiver disponível.
Caso nenhum TSA seja escolhido e o perfil de assinatura exija registro de data e hora, serão usados os servidores de registro de data e hora de maior prioridade definidos no sistema.
Consulte a seção [TSAs] (#tsas) deste manual para configurar e adicionar autoridades de registro de data e hora ao sistema.
Policy (opcional)
Nesta etapa, você pode especificar se as assinaturas devem incluir uma referência à sua conformidade com uma determinada política e/ou compromisso de assinatura. Você pode especificar a política usando um identificador OID e/ou um hash de política. Também �é possível definir o tipo de compromisso de assinatura adicionando um ID externo.
O uso de políticas de assinatura é restrito ao nível EPES e superior.
Validação (opcional)
Antes de assinar um documento, você pode especificar se alguma validação é necessária. Os tipos de validação disponíveis são Validação de certificado e Validação da cadeia de certificados.
A opção Validação de certificado permite que você especifique se o certificado de assinatura precisa ser validado antes da assinatura. Se o certificado não for válido, a assinatura falhará. Você pode configurar quem realiza essa validação; por padrão, ela é feita pelo próprio dispositivo, mas pode ser configurada para ser realizada externamente por meio de um serviço fornecido por terceiros.
A opção Validação da cadeia de certificados oferece a possibilidade de especificar um conjunto de certificados que o certificado de assinatura deve ter em sua cadeia de confiança. Se esse não for o caso, a solicitação de assinatura será rejeitada. Os certificados disponíveis para essa cadeia são os encontrados na seção CAs locais. Essa opção permite restringir o acesso de uma assinatura a certificados emitidos somente por uma CA específica.
Gerenciamento de perfil e controle de versão
O Redtrust permite o controle de versão de perfis de assinatura. Os perfis são imutáveis e, uma vez criados, não podem ser modificados, o que garante a integridade de todas as assinaturas feitas com esse perfil. Você pode criar uma versão do perfil modificando os parâmetros necessários. Como as assinaturas incluem sua versão, todas as novas solicitações levarão em conta os novos parâmetros e, ao mesmo tempo, incluirão referências a versões anteriores.
Para criar uma versão de um perfil, mantenha o ponteiro sobre o perfil e selecione Versão.
Essa opção abre uma caixa de diálogo de perfil. Você pode editar os parâmetros de versão, mas não o nome e o tipo de assinatura.
O campo Versão indica a versão do perfil e dos dados. A opção desabilitar é útil quando você tem várias versões do mesmo perfil, a versão que é levada em consideração é a que está habilitada, deixando as demais versões desabilitadas.
Usando o filtro, você pode optar por ver apenas os perfis ativos ou recentes ou ver todas as versões.
TSAs
Uma autoridade de carimbo de data/hora (TSA) é um terceiro confiável que emite carimbos de data/hora para verificar a existência de um documento ou dados em um momento específico. Esses carimbos de data e hora devem ser seguros para servir como prova de tempo para transações relevantes.
Criação do TSA
Esta guia ajuda a criar autoridades de carimbo de data/hora em conformidade com o padrão RFC 3161. Você pode incluir essas autoridades nos perfis de assinatura como servidores primários e/ou secundários do protocolo de carimbo de data/hora.
O botão Novo TSA abre uma caixa de diálogo onde você define o TSA. Para registrar um novo TSA, deve-se especificar um nome e a URL do serviço. Opcionalmente, se o serviço exigir, a política a ser usada pelo TSA e/ou os dados de autenticação no serviço podem ser especificadas.
| Configuração | Descrição |
|---|---|
| Nome | |
| URL | |
| Prioridade | Indica qual TSA será utilizado prioritariamente caso o perfil não especifique nenhum TSA mas a assinatura que você está tentando gerar assim o exija. |
| Estado | |
| Política | |
| Autenticação |
Gestão TSA
O gerenciamento, tanto individual quanto em massa, dos itens da lista TSA é feito da mesma forma que em outras seções do console web de administração. Ao selecionar vários TSAs, eles podem ser excluídos ou ativados/desativados como um grupo.
Clicar em um TSA abre uma janela de exibição que permite que os dados do TSA sejam modificados.