'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C10.221%2012.8327%2012.8327%2010.221%2012.8327%206.99935C12.8327%203.77769%2010.221%201.16602%206.99935%201.16602C3.77769%201.16602%201.16602%203.77769%201.16602%206.99935C1.16602%2010.221%203.77769%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M1.16602%207H12.8327'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M6.99935%2012.8327C8.28802%2012.8327%209.33268%2010.221%209.33268%206.99935C9.33268%203.77769%208.28802%201.16602%206.99935%201.16602C5.71068%201.16602%204.66602%203.77769%204.66602%206.99935C4.66602%2010.221%205.71068%2012.8327%206.99935%2012.8327Z'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M2.875%202.95898C3.93063%204.01461%205.38896%204.66754%206.99978%204.66754C8.61062%204.66754%2010.069%204.01461%2011.1246%202.95898'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M11.1246%2011.0425C10.069%209.98691%208.61062%209.33398%206.99978%209.33398C5.38896%209.33398%203.93063%209.98691%202.875%2011.0425'%20stroke='%23666666'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_1267_9109'%3e%3crect%20width='14'%20height='14'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Desvendando a Assinatura Eletrônica: Entenda como o PAdES Garante a Segurança das Assinaturas em PDF
Aqui está a tradução do texto em Markdown para português:
Na publicação anterior, compreendemos superficialmente o ESI. Nesta publicação, vamos aprofundar e comparar o conceito de PAdES, para ver como o formato de assinatura eletrónica para PDF é regulamentado.
I. O que é PAdES?
- Definição numa frase PAdES (PDF Advanced Electronic Signature) é um conjunto de normas internacionais para assinaturas eletrónicas avançadas concebidas para documentos PDF. É muito mais do que simplesmente colocar um carimbo de assinatura num PDF, mas sim garantir que o ficheiro PDF assinado possa ser verificado e confiável durante muitos anos, através de um conjunto complexo, mas padronizado, de estruturas e mecanismos de dados.
II. A função principal do PAdES:
As assinaturas eletrónicas comuns enfrentam três riscos ao longo do tempo:
Certificados expirados: A validade dos certificados digitais utilizados para assinar é geralmente de apenas 1 a 3 anos. Como verificar a assinatura original após a expiração? Quebra de algoritmos: Os algoritmos de encriptação seguros atuais podem ser quebrados por computadores mais poderosos no futuro. Perda de materiais: Os materiais necessários para verificar a assinatura, como as listas de revogação de certificados (CRL), podem ter os seus servidores encerrados, tornando a verificação impossível. O PAdES resolve estes problemas definindo diferentes níveis de assinatura, passo a passo:
PAdES-B-B (Nível Básico): Prova a identidade do signatário e a integridade do documento. PAdES-B-T (Com Carimbo de Tempo): Adiciona um carimbo de tempo confiável para provar que a assinatura já existia num determinado momento, evitando a negação posterior. PAdES-B-LT (Validação de Longo Prazo): Empacota todos os materiais necessários para a validação (certificados, listas de revogação, etc.) no próprio PDF, evitando a impossibilidade de validação devido ao encerramento de servidores externos. PAdES-B-LTA (Validação de Longo Prazo e Arquivo): Gera periodicamente novos carimbos de tempo com algoritmos mais seguros para cobrir todo o pacote de assinatura, combatendo o risco de algoritmos desatualizados e alcançando a validade permanente. Atualmente, a utilização de PAdES-B-T (com carimbo de tempo) pode satisfazer os requisitos básicos das normas de assinatura eletrónica (afinal, a probabilidade de a própria CA falir não é grande, pelo que a verificação do estado do certificado é geralmente suportada).
III. A composição do PAdES:
Uma assinatura PAdES incorpora um "pacote de dados de confiança" completo no ficheiro PDF:
Valor da Assinatura (Signature Value): O valor da assinatura central baseado em operações criptográficas. Certificado do Signatário (Signer's Certificate): Um documento de identificação eletrónico que prova a identidade do signatário. Carimbo de Tempo Confiável (Trusted Timestamp): Emitido por uma autoridade para provar a hora da assinatura. Dados de Validação (DSS - Document Security Store): Certificados (Certificates): O certificado da autoridade emissora de nível superior do certificado do signatário. Informações de Revogação (Revocation Information): Uma lista que prova que o certificado não foi revogado no momento da assinatura. Carimbo de Tempo de Arquivo (Archive Timestamp): No nível LTA, um novo carimbo de tempo utilizado para "reforçar" periodicamente todo o pacote de assinatura.
IV. A relação entre PAdES, CAdES e XAdES
O PAdES não é uma norma isolada, mas sim, juntamente com o CAdES e o XAdES, forma a "troika" das normas de assinatura eletrónica avançada do ETSI (Instituto Europeu de Normas de Telecomunicações). O conceito central destas três normas é o mesmo, com o objetivo de alcançar a validade a longo prazo e a garantia de confiança das assinaturas eletrónicas. No entanto, têm diferentes características para diferentes formatos de ficheiro e cenários de aplicação.
O CAdES (CMS Advanced Electronic Signatures) é uma norma de assinatura eletrónica amplamente aplicável a qualquer formato de ficheiro, especialmente quando é necessária uma assinatura separada do ficheiro. O XAdES (XML Advanced Electronic Signatures) é especificamente concebido para assinar dados XML, podendo ser tão detalhado quanto o nível dos elementos de dados, e é adequado para a assinatura de dados estruturados. Em comparação com estes dois, o PAdES (PDF Advanced Electronic Signatures) centra-se na assinatura de ficheiros PDF, enfatizando a estreita integração da assinatura com o documento e proporcionando uma boa experiência visual, permitindo aos utilizadores perceber intuitivamente a existência da assinatura.
Os três partilham o mesmo conjunto de conceitos e suportam diferentes níveis de assinatura, como B-B, B-T, B-LT e B-LTA, esforçando-se por alcançar a validade a longo prazo. Dependem da mesma infraestrutura, incluindo a infraestrutura de chave pública (PKI) e os serviços de carimbo de tempo (TSA). Em termos de enquadramento legal, os três também seguem requisitos regulamentares semelhantes, em conformidade com os regulamentos da UE, como o eIDAS, para assinaturas eletrónicas avançadas.
Dependendo do formato do ficheiro, os utilizadores podem escolher a norma apropriada conforme necessário: se precisar de assinar qualquer tipo de ficheiro, pode escolher CAdES; se estiver a assinar dados XML, escolha XAdES; e para assinar documentos PDF, escolha PAdES.
V. PAdES vs Norma Chinesa GB/T 31308.3-2023
A norma GB/T 31308.3-2023 da China é tecnicamente consistente com a norma internacional PAdES (ETSI EN 319 142). Os mecanismos centrais, os níveis de assinatura e os objetivos de ambos são os mesmos, com o objetivo de resolver a validade a longo prazo e a validade legal das assinaturas eletrónicas PDF. Em suma, a norma internacional PAdES e a norma GB/T 31308.3 não têm diferenças nas especificações técnicas, mas existem diferentes requisitos em alguns aspetos importantes, que se refletem principalmente na escolha de algoritmos de encriptação e raízes de confiança.
A norma internacional PAdES utiliza geralmente algoritmos de encriptação comuns internacionalmente, como RSA, ECDSA e SHA-2, enquanto a norma GB/T 31308.3 enfatiza mais a utilização de algoritmos de encriptação nacionais desenvolvidos independentemente pela China (como SM2, SM3, SM9). Além disso, o PAdES depende de instituições CA/TSA reconhecidas internacionalmente ou pela UE, enquanto o GB/T 31308.3 exige a utilização de instituições de serviço domésticas que tenham sido certificadas para produtos de encriptação comercial chineses e licenciadas pela CA.
Em termos de áreas de aplicação, o PAdES internacional é mais utilizado em contratos eletrónicos transfronteiriços e documentos de comércio internacional, em conformidade com as necessidades do mercado internacional e os requisitos de reconhecimento mútuo transfronteiriço. O GB/T 31308.3 é principalmente utilizado em documentos oficiais governamentais domésticos, contratos financeiros, provas judiciais e outras áreas, em conformidade com as normas da indústria e os requisitos legais na China.
Em geral, o PAdES internacional pode ser visto como um "passaporte universal internacional", enquanto o GB/T 31308.3 é a "edição especial chinesa" deste passaporte. Embora as especificações técnicas sejam completamente consistentes, na aplicação prática, os requisitos legais da China, como a "Lei de Assinatura Eletrónica" e a "Lei de Encriptação", devem ser seguidos, e a "tecnologia anti-falsificação" especificada (algoritmo de encriptação nacional) deve ser utilizada.
VI. Resumo
O PAdES é uma das tecnologias de base para construir a confiança a longo prazo na era digital. Através da combinação com CAdES e XAdES, fornece soluções abrangentes para diferentes cenários de aplicação, garantindo que as assinaturas eletrónicas de dados para documentos podem resistir ao teste do tempo.
Para as empresas, compreender e adotar o PAdES (ou o GB/T 31308.3 doméstico) significa:
Garantia legal: Os contratos eletrónicos assinados têm maior validade como prova judicial. Redução de custos e aumento da eficiência: Alcançar um processo totalmente sem papel, tornando a gestão, o arquivo e a verificação de contratos mais convenientes. Conformidade a longo prazo: Cumprir vários regulamentos nacionais e estrangeiros sobre os requisitos de arquivo a longo prazo de assinaturas eletrónicas.
