bry-logo-azul-pq

Normativa SCT: o que garante a validade do carimbo do tempo?

por Darlan Vivian
publicado em 30 de janeiro de 2020

Um dos principais componentes que garante a confiabilidade da data e hora aplicadas por meio de um carimbo do tempo é o módulo de segurança de hardware (HSM na sigla em inglês para hardware security module). Esse requisito faz parte das características do Servidor de Carimbo do Tempo definidas no conjunto de normativa SCT (Servidor Carimbo do Tempo), segundo a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Ela é o órgão responsável por regulamentar a geração e utilização de carimbos do tempo.

Para estar em conformidade com o que preconiza a ICP-Brasil, o equipamento de segurança precisa estar dentro do Sistema de Auditoria e Sincronismo (SAS) e do Servidor de Carimbo do Tempo (SCT). Ainda assim, é importante garantir que o servidor atenda a níveis adequados de funcionamento — principalmente nos quesitos segurança e interoperabilidade. Para isso, o governo brasileiro criou um processo de avaliação de conformidade. Incorporado ao Sistema Nacional de Metrologia (Sinmetro), que é considerado um padrão nacional de qualidade, propõe que todo o dispositivo utilizado na gestão, no armazenamento e uso de certificados digitais e carimbos do tempo atenda aos requisitos de segurança estabelecidos em manuais técnicos disponibilizados publicamente. 

No caso dos Servidores de Carimbo do Tempo, um dos requisitos mais importantes é a utilização de um HSM interno e controlado exclusivamente pelo SCT, como preconiza os normativa SCT. O módulo desse servidor tem dois propósitos distintos: 

  • manter em segurança a chave que assina os carimbos;
  • possuir um relógio interno com acesso restrito às funções de ajuste. 

Esses dois pontos evitam a possibilidade de emitir carimbos do tempo com data e hora não confiáveis.

Problemas causados pelo não cumprimento de normativa SCT 

Uma das principais funções do carimbo do tempo é garantir que uma informação existia em um determinado momento no passado. Isso garante que conflitos por conta de ajustes particulares de relógios não colocarão em xeque nem vão relativizar os momentos ao longo da tramitação de um documento.

Ao permitir a emissão de um carimbo do tempo com data diferente da atual, por exemplo, alguém que tivesse um objetivo intencional de fraudar esse validador poderia adulterar um registro de ponto eletrônico, substituir uma petição judicial recebida em tempo hábil por outra, modificar um laudo médico ou mesmo uma declaração de imposto de renda. Isso porque a inexistência de um padrão regulamentado de monitoramento da hora (lastro temporal), torna-se simples fazer uma nova assinatura digital de modo que ela pareça ter sido feita no momento verdadeiro.

O controle desta ameaça exige preocupações especiais tanto sobre a chave de assinatura de carimbos quanto sobre o relógio do SCT.

Como garantir o cumprimento de normativa SCT

O controle de acesso ao relógio é fundamental para que apenas o servidor de carimbo do tempo possa realizar ajustes da data e hora do HSM. Eles precisam ser solicitados por um Sistema de Autoria e Sincronismo (SAS) e também devem cumprir uma regulamentação específica.

Toda intervenção deve ser registrada em trilhas de auditoria, arquitetura indispensável para garantir a confiabilidade na data de hora de um carimbo do tempo, como a normativa SCT. Se qualquer outra aplicação tiver controle sobre o relógio do SCT, ela poderá alterar a data e hora do equipamento de forma imperceptível — provocando a emissão de um carimbo com data inválida, principal ameaça a uma Autoridade de Carimbo do Tempo (ACT).

Já o controle relacionado à chave de assinatura de carimbos evita qualquer possibilidade de cópia dela. Ela precisa ser única porque quando uma chave é copiada, torna-se mais difícil controlar sua utilização. No caso da chave de um SCT, copiá-la significa tornar possível que uma segunda instância da chave seja restaurada em um ambiente que não possui seu relógio controlado por um SAS, o que permitirá também a emissão de carimbos aparentemente autênticos — porém inválidos — com data e hora não confiáveis.

É por isso que não existe a possibilidade de backup de um módulo de segurança. Se o HSM de um servidor de carimbo do tempo fosse compartilhado com outro sistema (como o de gestão de autoridades certificadoras), os administradores poderiam facilmente ajustar o relógio utilizado pelo SCT ou mesmo realizar cópias de segurança da chave.

Atenção ao fornecedor da tecnologia de carimbo do tempo

Antes de optar por uma tecnologia de carimbo do tempo ou mesmo pelo fornecimento de um serviço dessa natureza, é importante certificar que o fornecedor (ou a ACT no caso de serviço) atende aos critérios de segurança que você leu neste texto. Isso vai garantir a redução do risco de comprometer todos os registros cujas data e hora tenham sido certificadas pelos carimbos, além de estar adequado à normativa SCT, da ICP-Brasil.

A Bry Tecnologia é uma Autoridade de Carimbo do Tempo ICP-Brasil e a única empresa a ter depositado sua tecnologia de carimbo do tempo para avaliação de conformidade. Além do compromisso com a total aderência aos padrões de qualidade estabelecidos, a Bry também emprega mecanismos adicionais para garantia de confiabilidade nos carimbos do tempo, como a datação relativa.

Leia outros conteúdos sobre certificação digital e carimbo do tempo no nosso blog e conheça outras soluções que oferecemos para aumentar a confiabilidade dos processos da sua empresa no nosso site.

Quer saber mais sobre as soluções da Bry?
Preencha o formulário abaixo para falar com os nossos especialistas!

Saiba como nossas soluções geram resultado para nossos clientes:

Foto do case Case ASOEC: tecnologia possibilita emissão de 3 mil diplomas digitais em um dia, processo levava 3 meses
Foto do case Syngular torna-se uma das maiores ACs do país com tecnologia da Bry
Foto do case Com assinatura digital da Bry, Selbetti oferece plataforma mais completa de gestão de documentos e amplia sua participação no mercado
Foto do case O que a Crefisa fez para economizar 64% ao mês com redução de papéis?
Foto do case Como o Banco Inter conseguiu compensar cheques para 5 mil clientes por dia
Foto do case Como a Flex conseguiu agilizar processos internos e reduzir 30 mil folhas de papel
Foto do case Saiba como a Prefeitura de Vitória diminui entrega de exames de 30 dias para 1 semana
Foto do case Como o Ministério Público Federal se integrou ao Judiciário com alto nível de segurança a partir de certificados digitais
Foto do case Como o Grupo Sifra faz 15 mil assinaturas por mês de forma digital
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram