Criptografia

Criptografia é a ciência do ocultamento de informações. Criptografar ou cifrar um arquivo significa alterar os bits de tal modo que a informação representada subsiste, mas de forma ininteligível.

O processo inverso é descriptografar ou decifrar: recuperar a informação original, passível de interpretação e modificação. Atualmente a criptografia alcança diferentes aplicações, visando a prover segurança às relações estabelecidas no meio digital, cobrindo desde mecanismos de autenticação e controle de acesso, passando pela assinatura digital de documentos e, mais recentemente, pela implementação de mecanismos seguros de registros públicos, além de inúmeras funções básicas de segurança.

Um GestãoDoc deve utilizar métodos criptográficos para garantir a segurança na comunicação e em sessões web, bem como no armazenamento e recuperação de informações sigilosas.

Especial atenção deve ser dispensada quanto aplicados em documentos de longa temporalidade, em razão dos riscos de comprometimento ou obsolescência da chave, de indisponibilidade do portador da chave e de evoluções tecnológicas.

O conjunto desses requisitos é facultativo e a adoção e a obrigatoriedade apontadas nesta seção devem ser seguidas somente quando um GestãoDoc fizer uso de criptografia.

REQREQUISITOOBRIGTIPO
RSE11.4.1Utilizar criptografia no armazenamento, RN transmissão e na apresentação de documentos digitais ao implementar a política de sigilo.ORNF-O
RSE11.4.2Limitar o acesso aos documentos cifrados RN somente aos usuários portadores da chave de decifração.ORNF-P
RSE11.4.3Registrar os seguintes metadados sobre um RN documento cifrado:
  • indicação se está cifrado ou não;
  • algoritmos usados na cifração;
  • identificação do detentor da chave pública;
    • e identificação do detentor da chave privada.
ORNF-P
RSE11.4.4Permitir a captura de documentos cifrados.DRNF-P
RSE11.4.5Habilitar a usuários autorizados a realização das seguintes operações:
  • incluir, remover ou alterar parâmetros dos algoritmos criptográficos instalados no GestãoDoc;
  • incluir, remover ou substituir chaves criptográficas de programas ou usuários do GestãoDoc;
  • cifrar e alterar a criptografia de documentos; e
  • remover a criptografia de um documento.
A remoção da cifração pode ocorrer quando sua manutenção resultar na indisponibilidade do documento. Por exemplo, se a chave de cifração/decifração estiver embarcada em hardware inviolável cuja vida útil esteja prestes a se esgotar ou se o documento for desclassificado.		ORNF-P
RSE11.4.6Garantir que somente o administrador seja RN capaz de alterar características dos mecanismos criptográficos internos.
Em tais casos, deverão obrigatoriamente ser registradas, em trilha de auditoria, as seguintes informações:
  • descrição técnica da alteração;
  • data e hora da alteração;
  • identificação do executor da operação; e
  • motivo da alteração.
ORNF-O
RSE11.4.7Nos casos de aplicação do item anterior, RN prover mecanismos para convivência temporária de dois mecanismos de criptografia distintos.
O objetivo é viabilizar a transição para o novo sistema sem indisponibilizar a operação do GestãoDoc.		ORNF-O
RSE11.4.8Em caso de remoção da cifração do documento, RN prover o registro dos seguintes metadados adicionais na trilha de auditoria:
  • data e hora da remoção da cifração;
  • identificação do executor da operação;
  • motivo da remoção da cifração.
ORNF-P
RSE11.4.9Impedir a abertura (disclosure) de senhas, RN mesmo para o administrador.
Casos de contingência, no impedimento de recuperação de informação sigilosa (por exemplo, pela morte do usuário detentor da senha) poderão ser tratados em sistemas externos ao GestãoDoc.		ORNF-P
RSE11.4.10Possuir arquitetura capaz de receber RN atualizações tecnológicas no que se refere à plataforma criptográfica.ORNF-O
RSE11.4.11Prover mecanismos de proteção como, por RN exemplo, criptografia, que permitam cópias de segurança de documentos confidenciais, preservando a inviolabilidade da informação.ORNF-O