Planejar configurações de assinatura digital do Office 2013
Aplica-se a: Office 2013
Tópico modificado em: 2016-12-16
Resumo: explica como dar suporte a assinaturas digitais XAdES em documentos do Excel 2013, PowerPoint 2013 e Word 2013.
Público: profissionais de TI
Os usuários podem assinar digitalmente um documento do Office 2013Excel, do PowerPoint ou do Word por muitas das mesmas razões pelas quais incluem uma assinatura manuscrita em um documento em papel. A assinatura digital é usada para ajudar a autenticar a identidade do criador das informações digitais, como documentos, mensagens de email e macros, usando algoritmos criptográficos.
As assinaturas digitais são baseadas em certificados digitais. Os certificados digitais são verificadores de identidade que são emitidos por uma terceira parte confiável, conhecida como uma autoridade de certificação (CA). Ela funciona de modo semelhante ao uso dos documentos de identidade impressos. Por exemplo, uma terceira parte confiável, como uma entidade governamental ou empregador, emite documentos de identidade, como carteiras de motorista, passaportes e cartões de identificação dos funcionários. Outras pessoas dependem desses documentos para verificar se uma pessoa é realmente quem diz ser.
Este artigo inclui chaves do Registro de assinatura digital que são novas para o Office 2013.
|
Este artigo faz parte do Guia para a segurança do Office 2013. Use o mapa como um ponto inicial para artigos, downloads, scripts e vídeos que ajudam você a avaliar a segurança do Office 2013. Você está procurando ajuda sobre as configurações de assinatura digital no Office 2013 em sua área de trabalho? Você pode estar procurando um destes artigos, que vão ajudá-lo a proteger o Office 2013 em sua área de trabalho. |
.jpg "Seta do mapa para o guia de segurança do Office.")
Neste artigo:
Introdução às assinaturas digitais e como elas são usadas no Office 2013
Escolhendo tipos de certificados digitais para o Office 2013
Planejamento níveis de assinatura digital em documentos do Office 2013
Introdução às assinaturas digitais e como elas são usadas no Office 2013
As assinaturas digitais ajudam a estabelecer as seguintes medidas de autenticação:
Autenticidade A assinatura digital e o certificado digital subjacente ajudam a garantir que o signatário é a pessoa que afirma ser. Isso ajuda a impedir que outras pessoas finjam ser o autor de um documento específico, o equivalente à falsificação de um documento impresso.
Integridade A assinatura digital ajuda a garantir que o conteúdo não foi alterado nem adulterado desde que foi assinado digitalmente. Isso ajuda a evitar que documentos sejam interceptados e alterados sem o conhecimento do autor do documento.
Não repúdio A assinatura digital ajuda a provar a todas as partes a origem do conteúdo assinado. "Repúdio" refere-se à negação pelo signatário de qualquer associação com o conteúdo assinado. A assinatura digital ajuda a provar que o originador do documento é o verdadeiro criador e não outra pessoa, independentemente das reivindicações do signatário. Um signatário não pode rejeitar a assinatura no documento sem repudiar sua chave digital e, assim, outros documentos assinados usando essa chave.
Requisitos para assinaturas digitais no Office 2013
Para estabelecer essas condições, o criador do conteúdo deve assinar digitalmente o conteúdo, criando uma assinatura que atenda aos seguintes critérios:
A assinatura digital é válida. Uma CA confiável do sistema operacional deve assinar o certificado digital em que se baseia a assinatura digital.
O certificado associado à assinatura digital não expirou ou contém um carimbo de data/hora que indica que o certificado era válido no momento da assinatura.
O certificado associado à assinatura digital não foi revogado.
A pessoa ou organização signatária (conhecida como editor) é de confiança do destinatário.
O Word 2013, o Excel 2013 e o PowerPoint 2013 detectam esses critérios e alertam o usuário se há um problema com a assinatura digital. Informações sobre certificados problemáticos podem ser facilmente visualizadas em um painel de tarefas de certificado que é mostrado no aplicativo Office 2013. Os aplicativos do Office 2013 permitem adicionar várias assinaturas digitais para o mesmo documento.
As assinaturas digitais no ambiente de negócios do Office 2013
O cenário a seguir mostra como você pode usar assinaturas digitais em documentos em um ambiente de negócios:
Uma funcionária usa o Excel 2013 para criar um relatório de despesas. A funcionária cria então três linhas de assinatura: uma para si, outra para seu gerente e outra para o departamento de contabilidade. As assinaturas servem para:
identificar que o empregado é o autor do documento
indicar que nenhuma alteração ocorrerá no documento enquanto ele for transferido para o gerente e o departamento de contabilidade
demonstrar que há prova de que o gerente e o departamento de contabilidade receberam e analisaram o documento
A gerente recebe o documento e coloca nele a sua assinatura digital confirmando que ela o analisou e aprovou. Em seguida, ela o encaminha ao departamento contábil para pagamento.
Um representante do departamento contábil recebe o documento e o assina, confirmando seu recebimento.
Este exemplo demonstra a capacidade de adicionar várias assinaturas a um único documento do Office 2013. Além da assinatura digital, o signatário do documento pode adicionar um gráfico de sua assinatura real ou usar um tablet para escrever uma assinatura real na linha de assinatura no documento.
Problemas de compatibilidade com documentos do Office anteriores ao Office 2013
O Office 2013, assim como o Office 2010 e o Office 2007, usa o formato XML-DSig para assinaturas digitais. Além disso, o Office 2013 tem suporte para XAdES (XML Advanced Electronic Signatures). O XAdES é um conjunto de extensões em camadas para XML-DSig, cujos níveis se baseiam nos níveis anteriores para fornecer assinaturas digitais mais confiáveis. Para obter mais informações sobre os níveis de XAdES com suporte no Office 2013, confira Planejando níveis de assinatura digital em documentos do Office 2013 mais adiante neste artigo. Para obter mais informações sobre os detalhes de XAdES, confira a especificação de XML Advanced Electronic Signatures (XAdES).
É importante estar ciente de que as assinaturas digitais criadas no Office 2013 são incompatíveis com as versões do Office anteriores ao 2007 Office system. Por exemplo, se um documento é assinado usando um aplicativo do Office 2013, Office 2010 ou Office 2007 e aberto usando um aplicativo do Office 2003 com o Pacote de Compatibilidade do Office instalado, o usuário é informado de que o documento foi assinado em mais recente versão do Office e que a assinatura digital será perdida.
A figura a seguir mostra o aviso de que o usuário vê, depois de abrir um documento em uma versão do Office que é anterior ao Office 2007.
Aviso de assinatura digital para documentos originalmente assinados em versões do Office 2003 ou anteriores.
.jpg "Figura 1, Questões de Compatibilidade")
Além disso, se você usar XAdES para uma assinatura digital no Office 2013, a assinatura digital não será compatível com o Office 2010 ou o 2007 Office system, a menos que você defina a configuração de Política de Grupo Não incluir objeto de referência XAdES no manifesto e configure-a como Habilitada. Para obter mais informações sobre as configurações de Política de Grupo de assinatura digital, consulte Planeja configurações de assinatura para o Office 2013 mais adiante neste artigo.
Se desejar que as assinaturas digitais que você cria no Office 2013 sejam compatíveis com o Office 2003 e versões anteriores, você poderá definir a configuração de Política de Grupo Assinaturas de formato herdado e configurá-la como Habilitada. Essa configuração de Política de Grupo está localizada em User Configuration\Administrative Templates\Microsoft Office 2013\Signing. Depois que você alterar essa configuração para Habilitada, os aplicativos do Office 2013 usarão o formato binário do Office 2003 para aplicar assinaturas digitais para os documentos binários do Office 97–2003 que você criou no Office 2013. Para obter mais informações, consulte Arquivos de Modelos Administrativos do Office 2013 (ADMX/ADML) e Ferramenta de Personalização do Office
Escolhendo tipos de certificados digitais para o Office 2013
Os certificados digitais podem ser autoassinados ou emitidos por autoridades de certificação em uma organização, como um computador com o Windows Server 2012 ou o Windows Server 2008 que está executando os Serviços de Certificados do Active Directory, ou uma autoridade de certificação pública, como VeriSign ou Thawte. Certificados autoassinados são normalmente usados por pessoas e pequenas empresas que não querem configurar uma PKI (infraestrutura de chave pública) para suas organizações e não querem comprar um certificado comercial.
A principal desvantagem do uso de certificados autoassinados é que eles só são úteis se você trocar documentos com aqueles que o conhecem pessoalmente e estão confiantes de que você é o autor real do documento. Ao usar certificados autoassinados, não há terceiros que validem a autenticidade do seu certificado. Cada pessoa que recebe o documento assinado deve decidir manualmente se deve confiar em seu certificado.
Para as organizações maiores, dois métodos principais para a obtenção de certificados digitais estão disponíveis: certificados que são criados usando uma organização ou corporação PKI e certificados comerciais. As organizações que desejam compartilhar documentos assinados apenas entre os outros funcionários da organização podem preferir uma PKI corporativa para reduzir custos. As organizações que desejam compartilhar documentos assinados com pessoas fora da organização podem preferir usar certificados comerciais.
Certificados que são criados usando uma organização ou corporação PKI
As organizações têm a opção de criar sua própria PKI. Neste cenário, a empresa configura uma ou mais autoridades de certificação (CAs) que podem criar certificados digitais para computadores e usuários em toda a empresa. Quando combinado com o serviço de diretório do Active Directory (AD DS), uma empresa pode criar uma solução completa de PKI para que toda a organização ou computadores corporativos gerenciados tenham a organização ou cadeia de CA corporativa instalada e que os usuários e computadores recebam automaticamente certificados digitais para assinatura de documentos e criptografia. Isso permite que todos os funcionários de uma empresa confiem automaticamente em certificados digitais (e, portanto, em assinaturas digitais válidas) de outros funcionários da mesma empresa.
Para obter mais informações, confira Serviços de Certificados do Active Directory.
Certificados comerciais
Você pode comprar certificados comerciais de uma empresa cujo setor é a venda de certificados digitais. A principal vantagem do uso de certificados comerciais é que o certificado da CA raiz do fornecedor certificado comercial é automaticamente instalado em sistemas operacionais Windows da organização. Isso permite que esses computadores confiem automaticamente em CAs. Ao contrário da organização ou solução PKI corporativa, certificados comerciais permitem que você compartilhe seus documentos assinados com usuários que não pertencem à sua organização.
Existem três tipos de certificados comerciais:
Classe 1 Os certificados da classe 1 são emitidos para pessoas que têm endereços de email válidos. Os certificados da classe 1 são adequados para assinaturas digitais, criptografia e controle de acesso eletrônico para transações não comerciais em que não é necessária prova de identidade.
Classe 2 Os certificados da classe 2 são emitidos para pessoas e dispositivos. Os certificados individuais da classe 2 são adequados para assinaturas digitais, criptografia e controle de acesso eletrônico em transações em que a prova de identidade que se baseia em informações do banco de dados de validação é suficiente. Os certificados de dispositivos da classe 2 são apropriados para autenticação de dispositivo; integridade de mensagem, software e conteúdo e criptografia de confidencialidade.
Classe 3 Os certificados da classe 3 são emitidos para pessoas, organizações, servidores, dispositivos e administradores de autoridades de certificação e RAs (autoridades raiz). Os certificados individuais Classe 3 são adequados para assinaturas digitais, criptografia e controle de acesso em operações em que a prova de identidade deve ser assegurada. Os certificados de servidor da classe 3 são apropriados para autenticação de servidores, integridade de mensagens, software e conteúdo e criptografia de confidencialidade.
Para obter mais informações sobre certificados comerciais, confira Identificação digital.
Planejando níveis de assinatura digital em documentos do Office 2013
Os usuários podem assinar documentos digitalmente usando o Excel 2013, o PowerPoint 2013 e o Word 2013. Eles também podem usar o Excel 2013, o InfoPath 2013 ou o Word 2013 para adicionar uma linha ou um carimbo de assinatura. A assinatura digital de um documento que tenha um certificado digital, mas não tem uma linha ou um carimbo de assinatura é conhecida como a criação de uma assinatura digital invisível. Assinaturas digitais visíveis e invisíveis usam um certificado digital para assinar o documento. A diferença é a representação gráfica no documento quando uma linha de assinatura digital visível é usada. Para obter mais informações sobre como adicionar uma assinatura digital, confira Adicionar ou remover uma assinatura digital em arquivos do Office.
Por padrão, o Office 2013 cria assinaturas digitais XAdES-EPES, quando um certificado autoassinado ou um certificado assinado por uma autoridade de certificação é usada durante a criação da assinatura digital.
Os níveis de assinatura digital XAdES, os quais são baseados no padrão de assinatura digital XML-DSig e estão disponíveis no Office 2013, são listados na tabela a seguir. Cada um dos níveis se baseia no nível anterior e contém todos os recursos dos níveis anteriores. Por exemplo, o XAdES-X também contém todas os recursos do XAdES-EPES, XAdES-T e XAdES-C, para além da nova funcionalidade introduzida no XAdES-X.
Níveis de assinatura digital XAdES no Office 2013
| Nível assinatura | Descrição |
|---|---|
XAdES-EPEs (Base) |
Adiciona informações sobre o certificado de assinatura para a assinatura XML-DSig. Esse é o padrão para assinaturas do Office 2013. |
XAdES-T (Timestamp) |
Adiciona um carimbo de data/hora para as seções XML-DSig e XAdES-EPES da assinatura, o que ajuda a proteger contra a expiração do certificado. |
XAdES-C (Completo) |
Adiciona referências à cadeia de certificação e informações de status de revogação. |
XAdES-X (Extended) |
Adiciona um carimbo de data/hora para o elemento SignatureValue XML-DSig e as seções -T e -C da assinatura. O carimbo de data/hora adicional protege os dados adicionais contra repúdio. |
XAdES-X-L (Extended Long Term) |
Armazena o certificado real e a informações de revogação de certificados, além da assinatura. Isso permite a validação do certificado, mesmo que os servidores de certificados não estejam mais disponíveis. |
Planejando assinaturas digitais com carimbo de data/hora no Office 2013
Quando os usuários adicionam uma data e hora para a assinatura digital, ajudam a prolongar a vida útil da assinatura digital. Por exemplo, se um certificado revogado foi usado anteriormente para criar uma assinatura digital, a assinatura digital contém um carimbo de data/hora de um servidor de carimbo de data/hora confiável, e o carimbo de data/hora ocorreu antes da revogação do certificado, a assinatura digital ainda pode ser considerado válida. Para usar a funcionalidade de carimbo de data/hora com assinaturas digitais, você deverá completar as seguintes tarefas:
Configurar um servidor de carimbo de data/hora que seja compatível com RFC 3161
Use a configuração de Política de Grupo Especificar nome do servidor para inserir a localização do servidor de carimbo de data/hora na rede.
Você também pode configurar parâmetros adicionais de carimbo de data/hora, definindo uma ou mais das seguintes configurações de Política de Grupo:
Configurar algoritmo de hash de carimbo de data/hora
Definir tempo limite do servidor de carimbo de data/hora
Se você não configurar e habilitar Configurar algoritmo de hash de carimbo de data/hora, o valor padrão de SHA1 será usado. Se você não configurar e habilitar Configurar tempo limite de servidor de carimbo de data/hora, o Office 2013 aguardará 5 segundos para que o servidor de carimbo de data/hora responda a uma solicitação.
Configurações de assinatura de plano para o Office 2013
Além das configurações de Política de Grupo para definir configurações relacionadas ao carimbo de data/hora, há outras configurações de Política de Grupo para configurar como as assinaturas digitais são configuradas e controladas em uma organização. Os nomes de configuração e as descrições estão listados na tabela a seguir. Eles estão localizados em software\policies\microsoft\office\15.0\common\signatures!
Configurações de assinatura digital de Política de Grupo
| Política de Grupo | Descrição |
|---|---|
Exigir OCSP na ocasião de geração da assinatura |
Esta configuração de política permite determinar se o Office 2013 requer dados de revogação OCSP (Online Certificate Status Protocol) para todos os certificados digitais em uma cadeia quando as assinaturas digitais são geradas. |
Especificar nível mínimo de XAdES para geração de assinaturas digitais |
Essa configuração de política permite que você especifique um nível mínimo de XAdES que os aplicativos do Office 2013 devem atingir a fim de criar uma assinatura digital XAdES. Se os aplicativos do Office 2013 não puderem atingir o nível mínimo de XAdES, o aplicativo do Office não criará a assinatura. |
Verificar as partes XAdES de uma assinatura digital |
Essa configuração de política permite especificar se o Office 2013 verifica as partes XAdES de uma assinatura digital ao validar uma assinatura digital de um documento. |
Não permitir certificados expirados ao validar assinaturas |
Essa configuração de política permite que você configure se os aplicativos do Office 2013 aceitam certificados digitais expirados ao verificar assinaturas digitais. |
Não incluir objeto de referência XAdES no manifesto |
Essa configuração de política permite determinar se um objeto de referência XAdES aparecerá no manifesto. Você deverá definir essa configuração como Habilitada se desejar que o 2007 Office system possa ler as assinaturas do Office 2013 que contém conteúdo XAdES. Caso contrário, o 2007 Office system considerará inválidas as assinaturas que têm conteúdo XAdES. |
Selecionar algoritmo de hash de assinatura digital |
Essa configuração de política permite que você configure o algoritmo de hash que os aplicativos do Office 2013 usam para confirmar assinaturas digitais. |
Definir nível de verificação da assinatura |
Essa configuração de política permite definir o nível de verificação que é usado por aplicativos do Office 2013 ao validar uma assinatura digital. |
Nível de XAdES solicitado para geração de assinatura |
Esta configuração de política permite que você especifique um nível XAdES solicitado ou desejado na criação de uma assinatura digital. |
As seguintes configurações de Política de Grupo adicionais estão relacionadas a assinaturas digitais e também estão localizadas em \software\policies\microsoft\office\15.0\common\signatures!:
Definir diretório de imagens padrão
Filtragem EKU
Assinaturas de formato herdado
Suprimir Provedores de Assinatura do Office
Suprimir comando de serviços de assinatura externos
Para obter mais informações sobre cada configuração de Política de Grupo, consulte os arquivos de ajuda que estão contidos nos arquivos de Modelo Administrativo para o Office 2013.
.gif "Observação") Observação |
|---|
| Para obter as informações mais recentes sobre configurações de política, consulte a pasta de trabalho do Excel Office2013GroupPolicyAndOCTSettings_Reference.xls, que está disponível na seção Arquivos neste Download da página de download de Arquivos de Modelos Administrativos do Office 2013 (ADMX/ADML) e Ferramenta de Personalização do Office. |
Configurações de registro que se aplicam às assinaturas digitais
A tabela a seguir mostra as configurações do Registro do Windows que são específicas para as assinaturas digitais e os certificados que são usados para criptografá-las. Essas configurações do Registro estão localizadas em HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures. Não há Política de Grupo correspondente.
Configurações do registro da assinatura digital
| Entrada de registro | Tipo | Valor | Descrição |
|---|---|---|---|
FilterIssuer |
WZ |
Esvaziar |
Reduz o conjunto de certificados disponíveis para aqueles que têm o valor FilterIssuer em seu nome. |
MinSigningDSABits |
DWORD |
Esvaziar |
Especifica o número mínimo de bits que têm permissão para criar uma assinatura digital DSA no Office. |
InvalidDSABits |
DWORD |
Esvaziar |
Especifica o número máximo de bits que serão lidos em uma assinatura digital DSA. Quaisquer bits além do valor InvalidDSABits são ignorados. |
InvalidHashAlg |
WZ |
Esvaziar |
Especifica os algoritmos de hash que antes eram usados por sua organização para criar assinaturas digitais em versões anteriores do Office (Office 2007, o Office 2010, por exemplo) que você quer fazer agora inválido. Se um hash é especificado aqui, a validação vai falhar por quaisquer documentos ou emails que usam esse hash para validar uma assinatura digital. |
InvalidRSABits |
DWORD |
Esvaziar |
Especifica o número máximo de bits que serão lidos em uma assinatura digital RSA. Quaisquer bits além do valor InvalidRSABits são ignorados. |
LegacyDSABits |
DWORD |
Esvaziar |
Especifica o número mínimo de bits que serão processados em uma assinatura digital DSA herdada, em que herdada refere-se a uma assinatura digital criada para um documento ou email usando o Office 2007 ou o Office 2010 e em que o algoritmo de hash foi especificado na configuração de chave do Registro LegacyHashAlg. |
LegacyHashAlg |
WZ |
MD5 |
Especifica os algoritmos de hash usados por sua organização para criar assinaturas digitais em versões anteriores do Office (Office 2007, Office 2010, por exemplo) que você deseja disponibilizar para validar documentos herdados e emails que foram assinados digitalmente. |
LegacyRSABits |
DWORD |
Esvaziar |
Especifica o número mínimo de bits que serão processadas em uma assinatura digital RSA herdado. Herdado refere-se a uma assinatura digital, que foi criado para um documento ou email usando Office 2007 ou Office 2010 e em que o algoritmo de hash foi especificado na configuração de chave do registro LegacyHashAlg. |
MinSigningRSABits |
DWORD |
Esvaziar |
Especifica o número mínimo de bits que serão usados para criar uma assinatura digital no Office 2013. |
Consulte também
Guia para a segurança do Office 2013
XAdES (XML Advanced Electronic Signatures)
Arquivos do Modelo Administrativo do Office 2013 (ADMX/ADML) e arquivos da Ferramenta de Personalização do Office
Serviços de Certificado do Active Directory
Identificação digital
Adicionar ou remover uma assinatura digital em arquivos do Office