O que é um certificado de atributo em uma carteira de identificação estudantil (CIE) na prática
Por Marcelo Brocado
De uma forma simplificada, o certificado de atributo (CA) é um documento assinado digitalmente pela entidade emissora, em que constam dados que qualificam uma pessoa, como por exemplo, indicando qual é a instituição que o aluno está matriculado e a data de validade entre outros. O certificado de atributo se diferencia principalmente de um certificado digital porque:
- Não contém chaves criptográficas (chave pública/privada);
- Qualificam o portador.
Segundo a ICP-Brasil “O certificado de atributo é um conjunto de informações ou estrutura de dados de segurança e identificação, constantes em campos de um certificado digital, ou anexadas a um outro certificado e assinados com a chave pública da autoridade que o emitiu. Esse certificado traz informações sobre seu titular, como cargo, função, profissão etc. O certificado de atributo também segue o padrão X.509, adotado pela ICP-Brasil na emissão de certificados de pessoa física, jurídica e de equipamentos.”
Quem pode emitir um certificado de atributo para alunos?
Pode ser emitido por uma Instituição de Ensino, Associação Nacional de Pós-Graduandos – ANPG –, União Nacional dos Estudantes – UNE -, União Brasileira dos Estudantes Secundaristas – Ubes –, entidades estaduais e municipais, Diretórios Centrais dos Estudantes – DCE – e Centros e Diretórios Acadêmicos, de nível médio e superior. A autoria da emissão da carteirinha ao aluno, contendo o atributo, é feita mediante a utilização de um certificado ICP-Brasil.
Como verificar se a carteirinha é válida?
No caso das carteirinhas de identificação estudantil (CIE), o link do QRCode DEVE apontar para o endereço da Instituição emissora e fazer o download do respectivo certificado. Uma vez que se tenha feito o download, a aplicação cliente (App no celular) deve fazer a verificação.
O QRCode aponta para uma URL do certificado de atributo e não para uma página web em que se visualiza a carteirinha.
Por exemplo, supondo que o QRCode aponte para https://cie.<nome da instituição>/id/000001, então temos:
<nome da instituição> é o nome da instituição que emitiu o CA. A instituição deve ter um certificado digital e-CNPJ;
id/000001: é um número identificador (id) único para cada carteirinha emitida.
Acessando o link provido no QRCode, deverá ser feito o download de um arquivo similar ao ilustrado no Quadro 1. O Certificado de Atributo DEVE ser codificado em ASN.1 e representado em base64.
Para abrir o certificado de atributo, conforme o ilustrado no Quadro 1, pode-se utilizar um leitor de ASN.1 em que se visualizar dados como Versão, Dados do Aluno, dados da Instituição, Validade, Assinatura Digital, entre outros. A Figura 1 ilustra alguns desses dados quando aberto o certificado num visualizador de ASN.1.
Os OIDs contém os seguintes dados:
a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número da matrícula do estudante; nas 15 (quinze) posições subsequentes, o número do Registro Geral – RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF
b) OID = 16.76.1.10.2 e conteúdo = nas primeiras 40 (quarenta) posições, o nome da instituição de ensino; nas 15 (quinze) posições subsequentes, o grau de escolaridade; nas 30 (trinta) posições subsequentes, o nome do curso, nas 20 (vinte) posições subsequentes, o município da instituição e nas 2 (duas) posições subsequentes, a UF do município.
Concluindo, o processo de validação de um certificado de atributo constitui-se em:
- Fazer o download do certificado de atributo;
- Abrir e verificar se a estrutura do certificado de atributo segue o padrão estabelecido pelo ITI;
- Verificar se o certificado de atributo está integro (se não foi alterado);
- Verificar se o cerificado digital é de uma instituição habilitada e se foi emitido pela ICP-Brasil;
- Fazer o download da Lista de Certificado de Atributo Revogado(LCAR) e se o certificado de atributo continua válido;
- Apresentar o resultado para o usuário final.
*Marcelo Luiz Brocardo, PhD
PhD pela Universidade de Victoria no Canadá, onde estudou segurança da informação com foco em em autenticação contínua através de biometria comportamental.
Ele também cursou mestrado no LabSec da Universidade Federal de Santa Catarina e pesquisou certificação digital.
E é Colunista do CryptoID.
Contato: marcelo.brocardo@bry.com.br
Acesse a coluna do Marcelo Brocardo do CryptoID