Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Resumo: Explica como suportar Assinaturas Eletrónicas Avançadas XML (XAdES) no Excel, PowerPoint e Word documentos. Além disso, determine como selecionar os certificados adequados para a sua implementação.
Os utilizadores assinam digitalmente um documento do Excel, PowerPoint ou Word por muitas das mesmas razões pelas quais podem colocar uma assinatura escrita à mão num documento em papel. Uma assinatura digital ajuda a autenticar a identidade de um criador. Verifica o autor de informações digitais, incluindo documentos, mensagens de e-mail e macros. Este processo utiliza algoritmos criptográficos.
A autoridade de certificação (AC) emite certificados digitais, que servem como verificadores de identidade. Estes certificados formam a base das assinaturas digitais. Ela funciona de modo semelhante ao uso dos documentos de identidade impressos. Por exemplo, uma entidade governamental ou um empregador emite documentos de identidade, tais como cartas de condução, passaportes e cartões de ID de funcionário. Outras pessoas dependem desses documentos para verificar se uma pessoa é quem afirma ser.
Este artigo inclui chaves de registo de assinatura digital que são novas no Office 2016.
Dica
Está à procura de ajuda com as definições de assinatura digital no Office 2016 no seu ambiente de trabalho? Poderá estar à procura de um destes artigos, que o ajudarão a proteger o Office 2016 no seu ambiente de trabalho: Assinaturas digitais e certificados, Adicionar ou remover uma assinatura digital em ficheiros do Office e Obter um ID digital.
As assinaturas digitais ajudam a estabelecer as seguintes medidas de autenticação:
Autenticidade A assinatura digital e o respetivo certificado digital subjacente ajudam a garantir que o signatário é a pessoa que afirma ser. Isso ajuda a impedir que outras pessoas finjam ser o autor de um documento específico, o equivalente à falsificação de um documento impresso.
Integridade A assinatura digital garante que os conteúdos não são alterados ou adulterados depois de serem assinados digitalmente. Esta assinatura digital impede que os documentos sejam intercetados e alterados sem o conhecimento do criador do documento.
Não rejeição A assinatura digital ajuda a provar a todas as partes a origem do conteúdo assinado. "Repúdio" refere-se à negação pelo signatário de qualquer associação com o conteúdo assinado. A assinatura digital ajuda a provar que o originador do documento é o verdadeiro criador e não outra pessoa, independentemente das reivindicações do signatário. Um signatário não pode repudiar a sua assinatura nesse documento sem repudiar também a chave digital, o que afeta outros documentos assinados com essa chave.
Para estabelecer essas condições, o criador do conteúdo deve assinar digitalmente o conteúdo, criando uma assinatura que atenda aos seguintes critérios:
A assinatura digital é válida. O sistema operativo tem de confiar na Autoridade de Certificação (AC) que assina o certificado digital subjacente à assinatura digital.
O certificado associado à assinatura digital não expirou ou contém um carimbo de data/hora que indica que o certificado era válido no momento da assinatura.
O certificado associado à assinatura digital não é revogado.
O destinatário confia na pessoa ou organização que assinou (conhecida como o publicador).
Word 2016, Excel 2016 e PowerPoint 2016 detetar estes critérios e avisar o utilizador se existir um problema com a assinatura digital. As informações sobre certificados problemáticos podem ser visualizadas facilmente num painel de tarefas de certificado que aparece na aplicação do Office 2016. As aplicações do Office 2016 permitem-lhe adicionar múltiplas assinaturas digitais ao mesmo documento.
O cenário a seguir mostra como você pode usar assinaturas digitais em documentos em um ambiente de negócios:
Um funcionário utiliza Excel 2016 para criar um relatório de despesas. Em seguida, o colaborador cria três linhas de assinatura: uma para si, uma para o seu gestor e outra para o departamento de contabilidade. As assinaturas servem para:
identificar que o empregado é o autor do documento
indicar que não ocorrem alterações no documento à medida que se move para o gestor e o departamento de contabilidade
demonstrar que existem provas de que o gestor e o departamento de contabilidade receberam e analisaram o documento
O gestor recebe o documento e adiciona a assinatura digital ao documento, confirmando que o reviu e aprovou. Em seguida, é reencaminhado para o departamento de contabilidade para pagamento.
Um representante do departamento contábil recebe o documento e o assina, confirmando seu recebimento.
Este exemplo demonstra a capacidade de adicionar múltiplas assinaturas a um único documento do Office 2016. Além da assinatura digital, o signatário do documento pode adicionar um gráfico da sua assinatura real ou utilizar um Tablet PC para escrever uma assinatura na linha de assinatura no documento.
O Office 2016, tal como o Office 2013, o Office 2010 e o Office 2007, utiliza o formato XML-DSig para assinaturas digitais. Além disso, o Office 2016 tem suporte para XAdES (Assinaturas Eletrónicas Avançadas XML). O XAdES é um conjunto de extensões em camadas para XML-DSig, cujos níveis se baseiam nos níveis anteriores para fornecer assinaturas digitais mais confiáveis. Para obter mais informações sobre os níveis de XAdES suportados no Office 2016, consulte Planear níveis de assinatura digital em documentos do Office 2016 mais à frente neste artigo. Para obter mais informações sobre os detalhes do XAdES, veja a especificação para Assinaturas Eletrónicas Avançadas XML (XAdES).
As assinaturas digitais criadas no Office 2016 são incompatíveis com as versões do Office anteriores ao sistema do Office de 2007. Por exemplo, considere um documento assinado com uma aplicação no Office 2016, Office 2013, Office 2010 ou Office 2007. Quando um utilizador abre este documento no Office 2003 com o Pacote de Compatibilidade do Office, o sistema notifica-os. Informa que o documento tem sessão iniciada numa versão mais recente do Office. Como resultado, a assinatura digital é perdida.
A figura a seguir mostra o aviso de que o usuário vê, depois de abrir um documento em uma versão do Office que é anterior ao Office 2007.
Aviso de assinatura digital para documentos originalmente assinados em versões do Office 2003 ou anteriores.
Se utilizar o XAdES para uma assinatura digital no Office 2016, a assinatura digital não é compatível com o sistema do Office 2010 ou 2007, a menos que configure a definição Política de Grupo, Não inclua o objeto de referência XAdES no manifesto e defina-o como Ativado. Para obter mais informações sobre as definições de Política de Grupo de assinatura digital, consulte Planear definições de assinatura para o Office 2016 mais à frente neste artigo.
Se quiser que as assinaturas digitais criadas no Office 2016 sejam compatíveis com o Office 2003 e versões anteriores, pode configurar a definição Política de Grupo, assinaturas de formato legado e defini-la como Ativada. Esta definição de Política de Grupo está localizada em Configuração do Utilizador\Políticas\Modelos Administrativos\Microsoft Office 2016\Signing. Depois de alterar esta definição para Ativado, as aplicações do Office 2016 utilizam o formato binário do Office 2003 para aplicar assinaturas digitais a documentos binários do Office 97-2003 que criou no Office 2016.
As Autoridades de Certificação (ACs) podem emitir certificados digitais ou podem ser autoassinados. Dentro de uma organização, o processo pode envolver um computador Windows Server 2012 a executar os Serviços de Certificados do Active Directory. Em alternativa, uma AC pública, como VeriSign ou Thawte, pode emiti-las. Os certificados autoassinados são normalmente utilizados por indivíduos e pequenas empresas. Escolhem esta opção quando não querem estabelecer uma infraestrutura de chaves públicas (PKI) para as suas organizações ou comprar um certificado comercial.
A principal desvantagem dos certificados autoassinados reside no seu utilitário limitado. Só são eficazes ao trocar documentos com pessoas que o conhecem pessoalmente. Os indivíduos também têm de ter a certeza de que é o criador real do documento. Quando utiliza certificados autoassinados, não existe autenticidade de validação externa do certificado. Cada pessoa que recebe o seu documento assinado tem de decidir manualmente se confia no seu certificado.
Para as organizações maiores, dois métodos principais para a obtenção de certificados digitais estão disponíveis: certificados que são criados usando uma organização ou corporação PKI e certificados comerciais. As organizações que desejam compartilhar documentos assinados apenas entre os outros funcionários da organização podem preferir uma PKI corporativa para reduzir custos. As organizações que desejam compartilhar documentos assinados com pessoas fora da organização podem preferir usar certificados comerciais.
As organizações podem criar a sua própria PKI. Neste cenário, a empresa configura uma ou mais autoridades de certificação (CAs) que podem criar certificados digitais para computadores e usuários em toda a empresa. Quando uma empresa combina os Serviços de Diretório do Active Directory (AD DS) com os respetivos sistemas, pode estabelecer uma solução PKI completa. Esta integração garante que todos os computadores geridos pela organização ou pela empresa têm a cadeia de AC necessária instalada. Além disso, o sistema permite a atribuição automática de certificados digitais a utilizadores e computadores. Estes certificados são cruciais para assinatura e encriptação de documentos. Este processo permite que todos os funcionários de uma empresa confiem automaticamente em certificados digitais (e, portanto, assinaturas digitais válidas) de outros colaboradores na mesma empresa.
Você pode comprar certificados comerciais de uma empresa cujo setor é a venda de certificados digitais. A vantagem main de utilizar certificados comerciais é que o certificado de AC de raiz do fornecedor de certificados comerciais é instalado automaticamente nos sistemas operativos Windows da organização. Isso permite que esses computadores confiem automaticamente em CAs. Ao contrário da organização ou da solução de PKI empresarial, os certificados comerciais permitem-lhe partilhar os seus documentos assinados com utilizadores que não pertencem à sua organização.
Existem três tipos de certificados comerciais:
Classe 1 Os certificados de classe 1 são emitidos para pessoas com endereços de e-mail válidos. Os certificados de classe 1 são adequados para assinaturas digitais, encriptação e controlo de acesso eletrónico para transações não comerciais em que não é necessária uma prova de identidade.
Classe 2 Os certificados de classe 2 são emitidos para pessoas e dispositivos. Os certificados individuais de classe dois são adequados para assinaturas digitais, encriptação e controlo de acesso eletrónico em transações em que a prova de identidade baseada em informações na base de dados de validação é suficiente. Os certificados de dispositivos da classe 2 são apropriados para autenticação de dispositivo; integridade de mensagem, software e conteúdo e criptografia de confidencialidade.
Classe 3 Os certificados de classe 3 são emitidos para pessoas, organizações, servidores, dispositivos e administradores para ACs e autoridades de raiz (RAs). Os certificados individuais de classe três são adequados para assinaturas digitais, encriptação e controlo de acesso em transações em que a prova de identidade tem de estar assegurada. Os certificados de servidor da classe 3 são apropriados para autenticação de servidores, integridade de mensagens, software e conteúdo e criptografia de confidencialidade.
Para obter mais informações sobre certificados comerciais, consulte Localizar serviços de assinatura digital ou ID digital.
Os utilizadores podem assinar digitalmente documentos com Excel 2016, PowerPoint 2016 e Word 2016. Também podem utilizar Excel 2016, InfoPath 2016 ou Word 2016 para adicionar uma linha de assinatura ou um carimbo de assinatura. Assinar digitalmente um documento que tenha um certificado digital, mas que não tenha uma linha de assinatura ou carimbo, é conhecido como criar uma assinatura digital invisível. Assinaturas digitais visíveis e invisíveis usam um certificado digital para assinar o documento. A diferença é a representação gráfica no documento quando uma linha de assinatura digital visível é usada. Para obter mais informações sobre como adicionar uma assinatura digital, consulte Adicionar ou remover uma assinatura digital em ficheiros do Office.
Por predefinição, o Office 2016 cria assinaturas digitais XAdES-EPES quando é utilizado um certificado autoassinado ou um certificado assinado por uma AC durante a criação da assinatura digital.
Os níveis de assinatura digital XAdES, baseados no padrão de assinatura digital XML-DSig e disponíveis no Office 2016, estão listados na tabela seguinte. Cada um dos níveis se baseia no nível anterior e contém todos os recursos dos níveis anteriores. Por exemplo, o XAdES-X também contém todas os recursos do XAdES-EPES, XAdES-T e XAdES-C, para além da nova funcionalidade introduzida no XAdES-X.
Níveis de assinatura digital XAdES no Office 2016
| Nível assinatura | Descrição |
|---|---|
| XAdES-EPEs (Base) |
Adiciona informações sobre o certificado de assinatura para a assinatura XML-DSig. Esta definição é a predefinição para assinaturas do Office 2016. |
| XAdES-T (Timestamp) |
Adiciona um carimbo de data/hora para as seções XML-DSig e XAdES-EPES da assinatura, o que ajuda a proteger contra a expiração do certificado. |
| XAdES-C (Completo) |
Adiciona referências à cadeia de certificação e informações de status de revogação. |
| XAdES-X (Extended) |
Adiciona um carimbo de data/hora ao elemento XML-DSig SignatureValue e às secções -T e -C da assinatura. O carimbo de data/hora extra protege os dados da rejeição. |
| XAdES-X-L (Extended Long Term) |
Armazena o certificado real e a informações de revogação de certificados, além da assinatura. Esta abordagem permite a validação de certificados, mesmo que os servidores de certificados já não estejam disponíveis. |
Quando os usuários adicionam uma data e hora para a assinatura digital, ajudam a prolongar a vida útil da assinatura digital. Por exemplo, considere um cenário com um certificado revogado que foi utilizado para criar uma assinatura digital. A inclusão de um carimbo de data/hora de um servidor de carimbos de data/hora fidedigno torna-se crítica nesse caso. O fator-chave é a temporização do carimbo de data/hora: se tiver sido aplicado antes de o certificado ser revogado, a assinatura digital ainda pode ser considerada válida. Para usar a funcionalidade de carimbo de data/hora com assinaturas digitais, você deverá completar as seguintes tarefas:
Configure um servidor de carimbo de data/hora em conformidade com o RFC 3161.
Use a configuração de Política de Grupo Especificar nome do servidor para inserir a localização do servidor de carimbo de data/hora na rede.
Também pode configurar outros parâmetros de carimbo de data/hora ao configurar uma ou mais das seguintes definições de Política de Grupo:
Configurar algoritmo de hash de carimbo de data/hora
Definir tempo limite do servidor de carimbo de data/hora
Se não configurar e ativar Configurar o algoritmo de hash de carimbo de data/hora, é utilizado o valor predefinido de SHA1. Se não configurar e ativar Definir o tempo limite do servidor de carimbo de data/hora, o Office 2016 aguarda 5 segundos para que o servidor de carimbo de data/hora responda a um pedido.
Política de Grupo fornece definições para configurar as definições relacionadas com o carimbo de data/hora. Além disso, oferece definições para gerir e controlar assinaturas digitais numa organização. Os nomes de configuração e as descrições estão listados na tabela a seguir.
Configurações de assinatura digital de Política de Grupo
| Definição de Política de Grupo | Descrição |
|---|---|
|
Exigir OCSP na ocasião de geração da assinatura |
Pode definir uma política no Office 2016 para garantir que verifica a existência de dados de revogação do OCSP (Online Certificate Status Protocol). Este marcar é necessário para todos os certificados digitais numa cadeia ao gerar assinaturas digitais. |
|
Especificar nível mínimo de XAdES para geração de assinaturas digitais |
Esta definição de política permite-lhe especificar um nível mínimo de XAdES que as aplicações do Office 2016 têm de atingir para criar uma assinatura digital XAdES. Se as aplicações do Office 2016 não conseguirem atingir o nível mínimo de XAdES, a aplicação do Office não cria a assinatura. |
|
Verificar as partes XAdES de uma assinatura digital |
Esta definição de política permite-lhe especificar se o Office 2016 verifica as partes XAdES de uma assinatura digital ao validar uma assinatura digital para um documento. |
|
Não permitir certificados expirados ao validar assinaturas |
Esta definição de política permite-lhe configurar se as aplicações do Office 2016 aceitam certificados digitais expirados ao verificar assinaturas digitais. |
|
Não incluir objeto de referência XAdES no manifesto |
Esta definição de política permite-lhe determinar se um objeto de referência XAdES aparece no manifesto. Tem de configurar esta definição como Ativado se quiser que o sistema do Office 2007 consiga ler assinaturas do Office 2016 que contenham conteúdo XAdES. Caso contrário, o sistema do Office 2007 considera inválidas as assinaturas que contêm conteúdo XAdES. |
|
Selecionar algoritmo de hash de assinatura digital |
Esta definição de política permite-lhe configurar o algoritmo hash que as aplicações do Office 2016 utilizam para confirmar assinaturas digitais. |
|
Definir nível de verificação da assinatura |
Esta definição de política permite-lhe definir o nível de verificação utilizado pelas aplicações do Office 2016 ao validar uma assinatura digital. |
|
Nível de XAdES solicitado para geração de assinatura |
Esta configuração de política permite que você especifique um nível XAdES solicitado ou desejado na criação de uma assinatura digital. |
As seguintes definições de Política de Grupo estão relacionadas com assinaturas digitais:
Definir diretório de imagens padrão
Filtragem EKU
Assinaturas de formato herdado
Suprimir Provedores de Assinatura do Office
Suprimir comando de serviços de assinatura externos
A tabela a seguir mostra as configurações do Registro do Windows que são específicas para as assinaturas digitais e os certificados que são usados para criptografá-las. Estas definições de registo estão localizadas no HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures. Não existem Política de Grupo correspondentes.
Configurações do registro da assinatura digital
| Entrada do Registro | Tipo | Valor | Descrição |
|---|---|---|---|
| FilterIssuer |
WZ |
Vazio |
Reduz o conjunto de certificados disponíveis para aqueles que têm o valor FilterIssuer em seu nome. |
| MinSigningDSABits |
DWORD |
Vazio |
Especifica o número mínimo de bits que têm permissão para criar uma assinatura digital DSA no Office. |
| InvalidDSABits |
DWORD |
Vazio |
Especifica o número máximo de bits que são lidos numa assinatura digital DSA. Quaisquer bits além do valor InvalidDSABits são ignorados. |
| InvalidHashAlg |
WZ |
Vazio |
Especifica os algoritmos hash que foram utilizados anteriormente pela sua organização para criar assinaturas digitais em versões anteriores do Office (Office 2007, Office 2010, por exemplo) que pretende tornar inválidos agora. Se for especificado um hash aqui, a validação falhará para quaisquer documentos ou e-mails que utilizem esse hash para validar uma assinatura digital. |
| InvalidRSABits |
DWORD |
Vazio |
Especifica o número máximo de bits que são lidos numa assinatura digital RSA. Quaisquer bits além do valor InvalidRSABits são ignorados. |
| LegacyDSABits |
DWORD |
Vazio |
Especifica o número mínimo de bits que são processados numa assinatura digital DSA legada, em que legado refere-se a uma assinatura digital criada para um documento ou e-mail com o Office 2007 ou o Office 2010 e onde o algoritmo hash foi especificado na definição da chave de registo LegacyHashAlg. |
| LegacyHashAlg |
WZ |
MD5 |
Defina os algoritmos hash que a sua organização utilizou para criar assinaturas digitais em versões anteriores do Office, como o Office 2007 e o Office 2010. Este passo garante a validação de documentos legados e e-mails assinados digitalmente. |
| LegacyRSABits |
DWORD |
Vazio |
Especifica o número mínimo de bits que são processados numa assinatura digital RSA legada. Uma assinatura digital criada com o Office 2007 ou o Office 2010 para um documento ou e-mail é referida como "legada". Neste contexto, o algoritmo hash é especificado através da definição da chave de registo LegacyHashAlg. |
| MinSigningRSABits |
DWORD |
Vazio |
Especifica o número mínimo de bits que são utilizados para criar uma assinatura digital no Office 2016. |
Assinaturas Eletrónicas Avançadas XML (XAdES)
Política de Grupo ficheiros de Modelo Administrativo (ADMX/ADML) para o Office
Localizar serviços de assinatura digital ou ID digital
Adicionar ou remover uma assinatura digital em ficheiros do Office