ITI ALERTA: HSM não deve conter chave privada de pessoa física
10-Outubro-2012 - Fonte: ITIO Instituto Nacional de Tecnologia da Informação (ITI), por meio de sua Procuradoria Federal Especializada, publicou em sua página na internet uma notificação pública a todos os envolvidos e interessados no Sistema Nacional de Certificação Digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) em que alerta sobre a geração e a guarda da chave privada de pessoa física em HSM (Hardware Secure Module).
Conforme explica o procurador Federal Chefe do ITI, André Garcia, a validade jurídica das manifestações eletrônicas assinadas com um certificado ICP-Brasil está condicionada à propriedade e intransferibilidade da chave privada do titular. “Há casos em que o certificado digital de pessoa física encontra-se no interior de um HSM, o que torna inválida qualquer assinatura eletrônica, uma vez que a chave privada do titular pode ser compartilhada por outros usuários”.
Leia abaixo a íntegra da notificação Pública:
ADVOCACIA-GERAL DA UNIÃO
PROCURADORIA-GERAL FEDERAL
PROCURADORIA FEDERAL JUNTO AO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI
Notificação - Conhecimento Público -
Chave Privada - HSM - Solução
Mercadológica - Infringência
Normativa - Invalidade Jurídica.
O INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI, Autarquia Federal vinculada à Casa Civil da Presidência da República, na qualidade de Autoridade Certificadora Raiz – AC Raiz da Infraestrutura de Chaves Públicas Brasileira/ICP-Brasil, pelo conduto de seus procuradores abaixo assinados, vem a público esclarecer, a todos os interessados, que
A geração e a guarda da chave privada de pessoa física em HSM (Hardware Secure Module), compartilhado por outras pessoas físicas (modelo de rede, com o HSM controlado por um servidor), contraria o padrão ICP-Brasil, de forma que as manifestações eletrônicas que utilizem essa solução não terão validade jurídica, haja vista que a Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em seu art. 6º, parágrafo único, é expressa:
Art. 6º (...).
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.
Logo, a validade jurídica da assinatura digital ICP-Brasil encontra-se condicionada à tutela exclusiva da chave privada pelo seu titular, fato esse inocorrente acaso se utilize a solução de HSM como um centralizador de diversas chaves privadas de pessoas físicas, haja vista que o controle, uso e conhecimento exclusivo da chave privada pelo seu titular é requisito imprescindível para a segurança das manifestações eletrônicas e a sua consequente validade jurídica.
Siga-nos
twitter