Os certificados digitais no Padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil de usuários finais emitidos sob a cadeia V1 vão expirar no dia 31 de dezembro, conforme previsto no Plano de Adoção de Novos Padrões Criptográficos, de outubro de 2009. Permanecerão ativos os certificados V1 da Autoridade Certificadora Raiz – AC-Raiz e das ACs de primeiro e segundo nível. As informações são do Instituto Nacional de Tecnologia da Informação- ITI.
O Plano de Adoção de Novos Padrões Criptográficos está previsto na Resolução do ITI nº 65, de junho de 2009, que regulamenta os padrões de hardware, os algoritmos e parâmetros criptográficos a serem empregados em todos os processos realizados no âmbito da ICP-Brasil. De acordo com o coordenador-geral de Normalização e Pesquisa do ITI, Wilson Hirata, o plano foi adotado após uma necessidade mundial de atualização dos padrões criptográficos para o fortalecimento da segurança nos processos.
Com a expiração da V1, as Políticas de Assinaturas associadas a esta cadeia também só têm validade até o final do ano de 2014, conforme está previsto no anexo II do DOC-ICP-15.03, versão 6.1. De acordo com o documento, a validação da política de assinatura deve ser feita tomando como ponto de confiança os certificados da AC-Raiz da ICP-Brasil. Para informações sobre as políticas de assinatura utilizadas atualmente pela Infraestrutura, acesse a Lista de Políticas Aprovadas – LPA.
O coordenador-geral de Normalização e Pesquisa do ITI, Wilson Hirata, falou sobre as mudanças que devem ocorrer com a expiração da cadeia V1 para usuários finais:
Por que a cadeia V1 da ICP-Brasil expirará no fim de 2014?
Com o enfraquecimento de alguns algoritmos, a ICP-Brasil, seguindo uma tendência mundial, adotou em 2009 um plano de migração e atualização dos padrões criptográficos, fundamental para que a Infraestrutura passasse por uma mudança gradual. Dessa forma, desde 31 de dezembro de 2011 não se emite mais certificados na cadeia V1 para usuário final. Como na época, o certificado digital para usuário tinha validade máxima de 3 anos, o emitido no último dia de 2011, quando ainda era permitido, teria sua validade até o último dia de 2014. Ou seja, até o final deste ano não devemos ter mais nenhum certificado válido na cadeia V1 para usuário final. Já os certificados de ACs ainda estarão válidos. Eles se mantêm até o certificado da AC-Raiz expirar, o que acontecerá em 29 de julho de 2021. Significa dizer que até lá a AC-Raiz e as AC”s continuarão emitindo e assinando Listas de Certificados Revogados – LCRs na cadeia V1.
Com a expiração da cadeia V1, também serão expiradas algumas políticas de assinatura?
As assinaturas com certificados digitais ICP-Brasil são baseadas em Políticas de Assinatura. Atualmente, são cinco políticas para cada perfil de assinatura – CAdES e XAdES. Essas políticas têm como regras a obrigatoriedade da associação da política com uma cadeia de confiança. Sendo assim, a versão 1 das políticas de assinatura está associada à cadeia V1, e com a expiração da cadeia a política expira conjuntamente. No último dia 08, foi publicada uma nova LPA contendo as válidas e revogadas.
Quais as mudanças para os usuários finais e para as aplicações que utilizam certificação digital ICP-Brasil com a expiração da cadeia V1 e suas políticas de assinatura?
No dia 1° de janeiro de 2015, as que ainda estão utilizando certificado válido da cadeia V1, além de obter um certificado válido na cadeia V2, também devem atualizar as políticas de assinatura para manter a conformidade da aplicação. Fica o alerta para que todos fiquem atentos para essas expirações e providenciem as necessárias atualizações para evitar inconformidades. Até 31 de dezembro de 2014, o usuário deve procurar sua Autoridade de Registro – AR para emitir um novo par de chaves criptográficas, gerado na cadeia V2.