De uma forma simplificada, o certificado de atributo (CA) é um documento assinado digitalmente pela entidade emissora, em que constam dados que qualificam uma pessoa, como por exemplo, indicando qual é a instituição que o aluno está matriculado e a data de validade entre outros.
O certificado de atributo se diferencia principalmente de um certificado digital porque:
- Não contém chaves criptográficas (chave pública/privada);
- Qualificam o portador.
Segundo a ICP-Brasil “O certificado de atributo é um conjunto de informações ou estrutura de dados de segurança e identificação, constantes em campos de um certificado digital, ou anexadas a um outro certificado e assinados com a chave pública da autoridade que o emitiu. Esse certificado traz informações sobre seu titular, como cargo, função, profissão etc. O certificado de atributo também segue o padrão X.509, adotado pela ICP-Brasil na emissão de certificados de pessoa física, jurídica e de equipamentos.”
Pode ser emitido por uma Instituição de Ensino, Associação Nacional de Pós-Graduandos – ANPG –, União Nacional dos Estudantes – UNE -, União Brasileira dos Estudantes Secundaristas – Ubes –, entidades estaduais e municipais, Diretórios Centrais dos Estudantes – DCE – e Centros e Diretórios Acadêmicos, de nível médio e superior. A autoria da emissão da carteirinha ao aluno, contendo o atributo, é feita mediante a utilização de um certificado ICP-Brasil.
No caso das carteirinhas de identificação estudantil (CIE), o link do QRCode DEVE apontar para o endereço da Instituição emissora e fazer o download do respectivo certificado. Uma vez que se tenha feito o download, a aplicação cliente (App no celular) deve fazer a verificação.
O QRCode aponta para uma URL do certificado de atributo e não para uma página web em que se visualiza a carteirinha.
Por exemplo, supondo que o QRCode aponte para https://cie./id/000001, então temos:
<nome da instituição> é o nome da instituição que emitiu o CA. A instituição deve ter um certificado digital e-CNPJ;
id/000001: é um número identificador (id) único para cada carteirinha emitida.
Acessando o link provido no QRCode, deverá ser feito o download de um arquivo similar ao ilustrado abaixo. O Certificado de Atributo DEVE ser codificado em ASN.1 e representado em base64.
-----BEGIN CERTIFICATE----- MIIDxTCCAq8CAQEwUKFOpEwwSjELMAkGA1UEBhMCQlIxDDAKBgNVBAsMA0J SeTETMBEGA1UECgwKSUNQLUJSQVNJTDEYMBYGA1UEAwwPRnVsYW5vIGRhI FNpbHZhoIGYMIGVpIGSMIGPMRswGQYDVQQDDBJCUnk6MDQ0NDE1MjgwMDA xNTcxEzARBgkqhkiG9w0BCQEWBG51bGwxGjAYBgNVBAoMEUJSeSBUZWNub2 xvZ2lhIFNBMQ0wCwYDVQQLDARudWxsMQswCQYDVQQGEwJCUjELMAkGA1UE CAwCU0MxFjAUBgNVBAcMDUZsb3JpYW5vcG9saXMwCwYJYIZIAWUDBAIBAgEI MCIYDzIwMTYwMTAxMjAzOTAwWhgPMjAxNzEyMzEyMDM5MDBaMIG0MG8G BWBMAQoCMWYMZCAgICAgICAgICAgICAgICAgICAgICAgICAgQlJZIFRFQ05PTE9 HSUEgICAgICAgICBET1VUT1IgICAgICAgICAgQ0VSVElGSUNBQ0FPIERJR0lUQUx GTE9SSUFOT1BPTElTU0MwQQYFYEwBCgExOAw2MTAxMDE5ODA2Nzc1ODg1 MzQyMDAwMDAwMDEyMzQ1Njc4OTAwMDAwMDEyMzQ1Njc4OVNTUFNDMIH RMCEGA1UdIwQaBBgwFoAUmbrPMQN9xsYAXBVnpDmhsa3QA9kwWQYIKwYB BQUHAQEETTBLMEkGCCsGAQUFBzAChj1odHRwczovL3NnZWVhMDEtZGV2LmJ yeS5jb20uYnIvaW50dGVzdGUtd2ViL3NnZWVhd3MvZWVhLzEvYWlhMFEGA1U dHwRKMEgwRKBCoECGPmh0dHBzOi8vc2dlZWEwMS1kZXYuYnJ5LmNvbS5ici9 pbnR0ZXN0ZS13ZWIvc2dlZWF3cy9lZWEvMS9sY3JzBQAwCwYJYIZIAWUDBAIB A4IBAQCXgAML4rbAhVWDwUT+n8KZksYWJo76uOJLF8sCFBdqSrOx+Z+8xUOJI1 e8bTUXwVPVdfSF10S35fPRtqjxp+VZbM6kTLkg2vaJ+i6wUDD/pHJ5XlYye6mQ 8gXN487v1WoitUvqAgIgdAZZUG30d9aqEUmkELBxHaQbfvCZNesOiVz2fmjZJX KTZYRFRXQsIL5zHJmygBJx1IJObwuvvEl+bjZAyFtzUPFAAGZX6MoosQQ+uXJGxy rUWfvtnCHmXSn862oSowexHgcbcMF3CVoz7eMZ06rb0C/BLWrG/dEh3wmFLo 0SJe7f9eRdzkJJVJS2QIKDph3BtOmZjnEMhTp
-----END CERTIFICATE-----
Para abrir o certificado de atributo, conforme o ilustrado no Quadro 1, pode-se utilizar um leitor de ASN.1 em que se visualizar dados como Versão, Dados do Aluno, dados da Instituição, Validade, Assinatura Digital, entre outros. A Figura 1 ilustra alguns desses dados quando aberto o certificado num visualizador de ASN.1.
Os OIDs contém os seguintes dados:
a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número da matrícula do estudante; nas 15 (quinze) posições subsequentes, o número do Registro Geral - RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF.
b) OID = 2.16.76.1.10.2 e conteúdo = nas primeiras 40 (quarenta) posições, o nome da instituição de ensino; nas 15 (quinze) posições subsequentes, o grau de escolaridade; nas 30 (trinta) posições subsequentes, o nome do curso, nas 20 (vinte) posições subsequentes, o município da instituição e nas 2 (duas) posições subsequentes, a UF do município.
Concluindo, o processo de validação de um certificado de atributo constitui-se em:
1. Fazer o download do certificado de atributo;
2. Abrir e verificar se a estrutura do certificado de atributo segue o padrão estabelecido pelo ITI;
3. Verificar se o certificado de atributo está integro (se não foi alterado);
4. Verificar se o cerificado digital é de uma instituição habilitada e se foi emitido pela ICP-Brasil;
5. Fazer o download da Lista de Certificado de Atributo Revogado(LCAR) e se o certificado de atributo continua válido;
6. Apresentar o resultado para o usuário final.
