Planejar configurações de assinatura digital para o Office 2010
Aplica-se a: Office 2010
Tópico modificado em: 2015-03-09
Você pode assinar digitalmente os documentos usando o Microsoft Excel 2010, o Microsoft PowerPoint 2010 e o Microsoft Word 2010. Também é possível adicionar uma linha ou um carimbo de assinatura usando o Excel 2010, o Microsoft InfoPath 2010 e o Word 2010. O O Microsoft Office 2010 inclui suporte para XAdES (XML Advanced Electronic Signatures), que é um conjunto de extensões para o padrão XML-DSig. O primeiro suporte para isso ocorreu no Microsoft Office 2007.
Neste artigo:
O que é uma assinatura digital?
Certificado Digital: autoassinado ou emitido por CAs
Usando assinaturas digitais
O que é uma assinatura digital?
Você assina digitalmente um documento por muitos dos mesmos motivos que justificariam uma assinatura manuscrita em um documento de papel. Uma assinatura digital é usada para ajudar a autenticar a identidade do criador de informações digitais — por exemplo, documentos, mensagens de email e macros — usando algoritmos criptográficos.
As assinaturas digitais são baseadas em certificados digitais que, por sua vez, são verificadores de identidade emitidos por um terceiro confiável, mais conhecido como autoridade de certificação (CA). Isso funciona de maneira semelhante ao uso de documentos de identidade impressos. Por exemplo, um terceiro confiável, como uma entidade governamental ou um empregador, emite documentos de identidade — carteiras de motorista, passaportes e cartões de ID do funcionário — nos quais outras pessoas confiam para confirmar se uma pessoa é efetivamente quem ela diz ser.
O que fazem as assinaturas digitais
As assinaturas digitais ajudam a estabelecer as seguintes medidas de autenticação:
Autenticidade A assinatura digital e seu respectivo certificado digital ajudam a garantir que o assinante é quem ele diz ser. Isso ajuda a evitar que outras pessoas finjam ser o originador de um determinado documento (o equivalente à falsificação de um documento impresso).
Integridade A assinatura digital ajuda a garantir que o conteúdo não foi alterado nem adulterado, pois foi assinado digitalmente. Isso ajuda a evitar que documentos sejam interceptados e alterados sem o conhecimento do originador do documento.
Não repúdio A assinatura digital ajuda a provar, para todas as partes, a origem do conteúdo assinado. "Repúdio" refere-se ao ato de o assinante negar qualquer relação com o conteúdo assinado. Isso ajuda a provar que o originador do documento e ninguém mais é o verdadeiro originador, independentemente das alegações do assinante. Um assinante não pode repudiar a assinatura de tal documento sem repudiar sua própria chave digital e, portanto, outros documentos assinados com essa chave.
Requisitos para assinaturas digitais
Para estabelecer essas condições, o criador do conteúdo deve assiná-lo digitalmente criando uma assinatura que atenda aos seguintes critérios:
A assinatura digital é válida. A CA confiável ao sistema operacional deve assinar o certificado digital no qual se baseia a assinatura digital.
O certificado associado à assinatura digital não expirou ou contém um carimbo de hora indicando que o certificado era válido no momento da assinatura.
O certificado associado à assinatura digital não foi revogado.
O assinante -- pessoa ou organização -- (conhecido como editor) é confiável ao destinatário.
O Word 2010, o Excel 2010 e o PowerPoint 2010 detectam esses critérios e avisam você quando aparentemente há algum problema com a assinatura digital. Informações sobre certificados problemáticos podem ser visualizados facilmente em um painel de certificado que é exibido no aplicativo do Office 2010. Os aplicativos do Office 2010 permitem adicionar várias assinaturas digitais ao mesmo documento.
Assinaturas digitais no ambiente de negócios
O cenário a seguir mostra como a assinatura digital de documentos pode ser usada em um ambiente de negócios:
Um funcionário usa o Excel 2010 para criar um relatório de despesas. O funcionário então cria três linhas de assinatura: uma para si mesmo, outra para o gerente e uma terceira para o departamento de contabilidade. Essas linhas são usadas para identificar o funcionário como o originador do documento, que nenhuma alteração é feita no documento quando ele é encaminhado ao gerente e ao departamento de contabilidade, e para comprovar que o gerente e o departamento de contabilidade receberam e revisaram o documento.
O gerente recebe o documento e adiciona sua respectiva assinatura digital ao documento, confirmando tê-lo recebido e aprovado. Em seguida, ele encaminha o documento ao departamento de contabilidade para que o pagamento seja efetuado.
Um representante do departamento de contabilidade recebe o documento e o assina, confirmando o recebimento.
Esse exemplo demonstra a capacidade de adicionar várias assinaturas a um único documento do Office 2010. Além da assinatura digital, o assinante pode adicionar um elemento gráfico representativo da assinatura real ou usar um Tablet PC para assinar manualmente na linha de assinatura do documento. Há também um recurso "carimbo" que pode ser usado pelos departamentos para indicar que um membro de um departamento específico recebeu o documento.
Problemas de compatibilidade
O Office 2010, assim como o 2007 Office system, usa o formato XML-DSig para assinaturas digitais. Além disso, o Office 2010 adicionou suporte para XAdES (XML Advanced Electronic Signatures). O XAdES é um conjunto de extensões modulares para XML-DSig, cujos níveis criam com base no anterior, para fornecer mais confiabilidade às assinaturas digitais. Para obter mais informações sobre os níveis de XAdES para os quais há suporte no Office 2010, consulte Usando assinaturas digitais, posteriormente neste artigo. Para obter mais informações sobre os detalhes do XAdES, consulte a especificação de XML Advanced Electronic Signatures (XAdES) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x416).
É importante se lembrar de que as assinaturas digitais criadas no Office 2010 são incompatíveis com as versões do Microsoft Office anteriores ao 2007 Office system. Por exemplo, se um documento for assinado usando um aplicativo do Office 2010 ou do 2007 Office system e então for aberto usando um aplicativo do Microsoft Office 2003 com o Pacote de Compatibilidade do Office instalado, o usuário será informado de que o documento foi assinado por uma versão mais recente do Microsoft Office e que a assinatura será perdida.
A figura a seguir mostra um aviso de que a assinatura digital foi removida quando o documento foi aberto em uma versão anterior do Office.
.jpg "Figura 1, Questões de Compatibilidade")
Além disso, se o XAdES for utilizado em uma assinatura digital no Office 2010, essa assinatura não será compatível com o 2007 Office system, a não ser que você configure a definição de Política da Grupo, Não incluir objeto de referência XAdES no manifesto, e a defina como Desabilitado. Para obter mais informações as definições de Política de Grupo para assinatura digital, consulte Configurar assinaturas digitais, posteriormente neste artigo.
Se for necessário que as assinaturas digitais sejam criadas no Office 2010 para garantir compatibilidade com o Office 2003 e versões anteriores, você poderá configurar a definição de Política de Grupo, Assinaturas de formato herdado, e a defina como Habilitado. Essa definição de Política de Grupo está localizada em Configuração do Usuário\Modelos Administrativos\(ADM\ADMX)\Microsoft Office 2010\Assinatura. Depois de definida como Habilitado, os aplicativos do Office 2010 usarão o formato binário do Office 2003 para aplicar assinaturas digitais aos documentos binários do Office 97–2003 criados no Office 2010.
Certificado Digital: autoassinado ou emitido por CAs
Os certificados digitais podem ser autoassinados ou emitidos por CAs em uma organização; por exemplo, um computador Windows Server 2008 que execute Serviços de Certificados do Active Directory ou uma CA pública, como VeriSign ou Thawte. Os certificados autoassinados são tipicamente usados por pessoas e pequenas empresas que não querem configurar uma PKI (infraestrutura de chave pública) para suas organizações e não querem comprar um certificado comercial.
A principal desvantagem de usar certificados autoassinados é que eles são muito úteis quando você troca documentos com pessoas que você conhece pessoalmente e que se sentem seguras de que você é o originador do documento. Ao usar certificados autoassinados, não existe nenhum terceiro para validar a autenticidade do seu certificado. Cada pessoa que recebe o documento assinado por você deve decidir manualmente se confia no seu certificado.
Para organizações de grande porte, há dois métodos principais para obtenção de certificados digitais: certificados criado com uma PKI corporativa e certificados comerciais. As organizações que querem compartilhar documentos assinados apenas com os empregados da organização talvez prefiram uma PKI corporativa para reduzir custos. As organizações que querem compartilhar documentos com pessoas externas à organização podem preferir a utilização de certificados comerciais.
Certificando criados usando uma PKI corporativa
As organizações têm a opção de criar sua própria PKI. Nesse cenário, a empresa configura uma ou mais CAs (autoridades de certificação), as quais podem criar certificados digitais para computadores e usuários de toda a empresa. Quando combinada com o serviço de diretório Active Directory, a empresa pode criar uma solução completa de PKI, de modo que a cadeia de CA corporativa seja instalada em todos os computadores gerenciados corporativamente e usuários e computadores recebam automaticamente certificados digitais para assinatura e criptografia de documentos. Isso permite que todos os funcionários da empresa confiem automaticamente nos certificados digitais (e, portanto, nas assinaturas digitais válidas) de outros funcionários da mesma empresa.
Para obter mais informações, consulte o documento sobre serviços de certificado do Active Directory (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x416).
Certificados comerciais
Os certificados comerciais são comprados de uma empresa cuja linha de negócios é vender certificados digitais. A principal vantagem do uso de certificados comerciais é que o certificado de CA raiz do fornecedor desse tipo de certificado é automaticamente instalado nos sistemas operacionais Windows, o que permite a esses computadores confiar automaticamente nessas CAs. Diferentemente da solução de PKI corporativa, os certificados comerciais permitem o compartilhamento de documentos assinados com usuários que não pertençam à organização.
Há três tipos de certificados comerciais:
Classe 1 Os certificados Classe 1 são emitidos para pessoas que têm endereços de email válidos. Esses certificados são adequados para assinaturas digitais, criptografia e controle de acesso eletrônico em transações não comerciais, as quais não exigem comprovação de identidade.
Classe 2 Os certificados Classe 2 são emitidos para pessoas e dispositivos. Certificados Classe 2 individuais são adequados para assinaturas digitais, criptografia e controle de acesso eletrônico em transações que exigem comprovação de identidade baseada apenas nas informações do banco de dados de validação. Esse tipo de certificado é adequado à autenticação de dispositivo; mensagem, software e integridade de conteúdo; e criptografia de confidencialidade.
Classe 3 Os certificados Classe 3 são emitidos para pessoas, organizações, servidores, dispositivos e administradores de CAs e RAs (autoridades raiz). Certificados Classe 3 individuais são adequados para assinaturas digitais, criptografia e controle de acesso em transações que exigem comprovação segura de identidade. Esse tipo de certificado é adequado à autenticação de servidor; mensagem, software e integridade de conteúdo; e criptografia de confidencialidade.
Para obter mais informações sobre certificados comerciais, consulte a página sobre ID digital – Office Marketplace (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x416).
Usando assinaturas digitais
Você pode assinar documentos digitalmente usando o Microsoft Excel 2010, o Microsoft PowerPoint 2010 e o Microsoft Word 2010. Também é possível adicionar uma linha ou um carimbo de assinatura usando o Excel 2010, o Microsoft InfoPath 2010 e o Word 2010. A assinatura digital de um documento que tem um certificado digital, mas não apresenta uma linha ou um carimbo de assinatura, é conhecida como criação de assinatura digital invisível. Os dois métodos, assinaturas digitais visíveis e invisíveis, usam um certificado digital para assinar o documento. A diferença está na representação gráfica no documento quando uma linha de assinatura digital visível é utilizada. Para obter mais informações, consulte o documento sobre como adicionar ou remover uma assinatura digital de arquivos do Office (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x416).
Por padrão, o Office 2010 cria assinaturas digitais XAdES-EPES, não importando se um certificado autoassinado ou um certificado assinado por uma CA é usado durante a criação da assinatura digital.
Os níveis de assinatura digital XAdES, baseados no padrão de assinatura digital XML-DSig, disponíveis no Office 2010, estão listados na tabela a seguir. Cada um dos níveis cria no nível anterior e contém todos os recursos dos níveis anteriores. Por exemplo, XAdES-X também contém todos os recursos de XAdES-EPES, XAdES-T e XAdES-C, além da nova funcionalidade introduzida pelo XAdES-X.
| Nível de assinatura | Descrição |
|---|---|
XAdES-EPES (Base) |
Adiciona informações sobre o certificado à assinatura XML-DSig signature. Este é o padrão das assinaturas do Office 2010. |
XAdES-T (Carimbo de Data/Hora) |
Adiciona um carimbo de hora às seções XML-DSig e XAdES-EPES da assinatura, o que ajuda a proteger contra expiração de certificado. |
XAdES-C (Completo) |
Adiciona referências à cadeia de certificação e informações de status de revogação. |
XAdES-X (Estendido) |
Adiciona um carimbo de data/hora ao elemento XML-DSig SignatureValue e às seções –T e –C da assinatura. O carimbo adicional de data/hora protege os dados adicionais contra repúdio. |
XAdES-X-L (Longo Prazo Estendido) |
Armazena o certificado real e as informações de revogação de certificado na mesma assinatura. Isso permite a validação do certificado mesmo quando os servidores de certificados não estão mais disponíveis. |
Assinaturas digitais com carimbo de data/hora
A capacidade fornecida pelo Office 2010 de adicionar um carimbo de data/hora a uma assinatura digital ajuda a estender a expectativa de vida dessa assinatura. Por exemplo, se um certificado revogado tiver sido usado para a criação da assinatura digital que contém um carimbo de data/hora em um servidor de carimbos de data/hora, a assinatura digital ainda poderá ser considerada válida se o carimbo de data/hora tiver ocorrido antes da revogação do certificado. Para usar o recurso de carimbo de data/hora com assinaturas digitais, conclua o seguinte procedimento:
Configure um servidor de carimbos de data/hora que seja compatível com RFC 3161
Use a definição de Política de Grupo, Especificar nome de servidor, para inserir o local do servidor de data/hora na rede.
Também é possível configurar outros parâmetros de carimbo de data/hora configurando uma ou mais destas definições de Política de Grupo:
Configurar algoritmo de hash de carimbo de data/hora
Definir tempo limite do servidor de carimbo de data/hora
Se você não configurar e habilitar Configurar algoritmo de hash de carimbo de data/hora, o valor padrão de SHA1 será usado. Se não configurar Definir tempo limite do servidor de carimbo de data/hora, o tempo padrão que o Office 2010 aguardará por uma resposta do servidor de carimbos de data/hora será de 5 segundos.
Configurar assinaturas digitais
Além das definições de Política de Grupo para configuração das definições relacionadas ao carimbo de data/hora, há outras definições de Política de Grupo para determinar como as assinaturas são configuradas e controladas em uma organização. Os nomes e as descrição das definições estão listados na tabela a seguir.
| Configuração | Descrição |
|---|---|
Exigir OCSP na ocasião de geração da assinatura |
Essa definição de política permite determinar se o Office 2010 deverá exigir dados de revogação do protocolo OCSP de todos os certificados digitais de uma cadeia quando as assinaturas digitais forem geradas. |
Especificar nível mínimo de XAdES para geração de assinaturas digitais |
Essa definição de política permite especificar um nível mínimo de XAdES que os aplicativos do Office 2010 devem alcançar para poder criar um assinatura digital XAdES. Se não for possível alcançar o nível mínimo de XAdES, o aplicativo do Office não criará a assinatura. |
Verificar as partes XAdES de uma assinatura digital |
Essa definição de política permite especificar se o Office 2010 deve verificar as partes XAdES de uma assinatura digital, se existentes, ao validar uma assinatura de digital de documento. |
Não permitir certificados expirados ao validar assinaturas |
Essa definição de política permite configurar se os aplicativos do Office 2010 devem aceitar certificados digitais expirados ao verificar assinaturas digitais. |
Não incluir objeto de referência XAdES no manifesto |
Essa definição de política permite determinar se um objeto de referência XAdES deve ser exibido no manifesto. Configure essa definição como Desabilitado se quiser que o 2007 Office system possa ler as assinaturas do Office 2010 com conteúdo XAdES; caso contrário, o 2007 Office system considerará inválido o conteúdo de XAdES. |
Selecionar algoritmo de hash de assinatura digital |
Essa definição de política permite configurar o algoritmo de hash utilizado pelos aplicativos do Office 2010 para confirmar assinaturas digitais. |
Definir nível de verificação da assinatura |
Essa definição de política permite especificar o nível de verificado utilizado pelos aplicativos do Office 2010 ao validar uma assinatura digital. |
Nível de XAdES solicitado para geração de assinatura |
Essa definição de política permite especificar um nível solicitado ou desejado de XAdES na criação de uma assinatura digital. |
Outras definições de Política de Grupo relacionadas a assinaturas digitais estão listadas a seguir:
Filtragem do Uso da Chave
Definir diretório de imagens padrão
Filtragem EKU
Assinaturas de formato herdado
Suprimir Provedores de Assinatura do Office
Suprimir item de menu de serviços de assinatura externa
Para obter mais informações sobre cada definição de Política de Grupo, consulte os arquivos da ajuda contidos nos arquivo Modelo Administrativo do Office 2010. Para obter mais informações sobre os arquivos Modelo Administrativo, consulte Visão geral da Diretiva de Grupo do Office System 2010.
Observação
Para obter as informações mais recentes sobre configurações de política, consulte a pasta de trabalho do Office2010GroupPolicyAndOCTSettings_Reference.xls Microsoft Excel 2010, que está disponível na seção Arquivos neste Download da página de download dos arquivos de Modelo Administrativo do Office 2010 (ADM, ADMX, ADML) e da Ferramenta de Personalização do Office (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x416).