E-Docs Chain - A solução de Assinatura Eletrônica Avançada do E-Docs
O E-Docs Chain é a solução que garante a autoria e a integridade dos documentos capturados no E-Docs. Inspirada em conceitos de Blockchain, mas adaptada ao contexto institucional do PRODEST, sua estrutura é uma cadeia de documentos especiais (os Documentos-Elo) encadeados criptograficamente, que torna detectável qualquer tentativa de alteração posterior em qualquer documento da cadeia.
Motivação
No final de 2019, durante o desenvolvimento do E-Docs, foi realizada uma consulta (Processo E-Docs 2019-MCWKD) à Secretaria de Estado de Controle e Transparência (SECONT) acerca do cumprimento das exigências legais e normativas relacionadas à gestão documental, principalmente considerando a Medida Provisória 2.200-2 de 24 de agosto de 2001, que instituiu a ICP-Brasil e permite, em seu art. 10, § 2º, que outras formas de comprovação de autoria e integridade sejam utilizadas, desde que admitidas como válidas pelas partes envolvidas.
Desta consulta, foi elaborada uma proposta técnica que atendesse às recomendações destacadas: identificação unívoca da pessoa física, uso de meios confiáveis de verificação de identidade e garantia de que quaisquer tentativas de modificação dos documentos após a assinatura do usuário fossem detectáveis.
Para a maior parte dos requisitos, a equipe do PRODEST possuía conhecimento e experiência. O maior desafio era garantir a detecção de modificações nos documentos, inclusive para identificar fraudes internas. A primeira proposta foi armazenar o hash dos documentos em um storage que garantisse imutabilidade via hardware, mas a equipe de infraestrutura desencorajou a abordagem: tais equipamentos possuem garantia de apenas 5 anos e não podem ser mantidos indefinidamente, o que acarretaria transferências periódicas de dados para novos equipamentos e quebraria a confiança da solução.
Inspirados pelos conceitos de Blockchain, decidiu-se então registrar esses hashes em uma cadeia de documentos especiais, os Documentos-Elo, assinados com certificado digital e autorrelacionados de forma a criar uma cadeia de confiança. Nasceu o E-Docs Chain.
O E-Docs Chain entrou em operação oficialmente em 1º de abril de 2021 e protege os documentos capturados a partir dessa data. Documentos capturados anteriormente não integram a cadeia de Documentos-Elo.
Legislação aderente
A solução de Assinatura Eletrônica Avançada viabilizada pelo E-Docs Chain foi desenhada a partir da MP 2.200-2/2001. Na consulta realizada à SECONT em 2019, a Secretaria utilizou como referencial comparativo a regulamentação europeia de Identificação Eletrônica e Serviços Confiáveis (eIDAS 910/2014/EC).
Durante o desenvolvimento da solução, novas legislações foram publicadas sobre o tema, todas convergentes com a proposta original:
- MP 2.200-2/2001 instituiu a ICP-Brasil. O art. 10, § 2º admite formas alternativas de comprovação de autoria e integridade, base legal para a Assinatura Eletrônica Avançada do E-Docs.
- Lei Federal 14.063/2020 trouxe critérios mais claros para a implementação e o uso de Assinatura Eletrônica Avançada, classificando as assinaturas eletrônicas em simples, avançada e qualificada.
- Decreto Federal 10.543/2020 regulamentou o art. 5º da Lei 14.063/2020, definindo o nível mínimo exigido para a assinatura eletrônica em interações com o ente público. Permanece vigente, com revogação parcial pelo Decreto Federal 11.077/2022, limitada ao art. 11.
Após a implantação da solução, a SECONT, órgão de controle do Estado e autoridade no assunto, manifestou-se sobre a aderência da solução no Documento E-Docs 2021-D6WP5Z:
"Os controles de segurança desenvolvidos, em especial a cadeia de confiança chamada de “E-Docs Chain”, ampliam a garantia de integridade e conferem confiança aos processos de verificação de autenticidade. Dessa forma, torna-se possível afirmar que as premissas de integridade e autenticidade são agora garantidas em determinado nível pelos recursos técnicos implantados."
A solução
A solução de Assinatura Eletrônica Avançada do E-Docs é composta por cinco elementos:
- Identificação unívoca da pessoa física por meio de sistema de autenticação com meios confiáveis de verificação de conta.
- Adição de assinatura digital ICP-Brasil da aplicação nos documentos PDF (padrão PAdES).
- Guarda sequenciada e imutável do hash dos documentos após assinados (Documentos-Elo).
- Consulta pública para confirmar que o documento está íntegro e é o mesmo que consta na base do sistema.
- Sistemas de log de erros, acessos e alterações nas bases de dados do sistema de autenticação (Acesso Cidadão) e do próprio E-Docs.
Identificação unívoca da pessoa física
Para atender a este requisito, o E-Docs utiliza como forma de identificação dos usuários a solução de autenticação e autorização do Estado do Espírito Santo, o Acesso Cidadão, que adota os protocolos OAuth2 e OpenID Connect.
O uso desta forma de identificação garante dois níveis de segurança:
- Criação de contas de usuários somente com CPF válido na Receita Federal, confirmando também data de nascimento, nome completo e nome completo da mãe.
- Verificação de contas, uma exigência para uso do E-Docs, que garante que a pessoa que criou a conta é realmente a pessoa informada no cadastro.
Atualmente, a verificação de contas pode ser feita no Acesso Cidadão usando um dos seguintes meios:
- Certificado Digital ICP-Brasil;
- Importação de selo de confiabilidade da conta Gov.Br (contas digitais de bancos ou biometria facial do TSE); ou
- Autenticação via login do Gov.Br, com conta nível prata ou ouro, que exige validação de identidade presencial ou por biometria facial.
Assinatura digital ICP-Brasil da aplicação
A adição de assinatura digital aos documentos capturados no E-Docs garante que o documento passou pelos fluxos de registro do sistema. A assinatura é incorporada ao arquivo PDF pelo padrão PAdES (PDF Advanced Electronic Signatures), em conformidade com o padrão ICP-Brasil.
A assinatura é aplicada com um certificado digital ICP-Brasil da própria aplicação. Além de atestar que o documento é proveniente do E-Docs, ela permite a identificação de alterações posteriores ao PDF, facilitando a detecção de fraudes.
Há uma exceção a essa regra: PDFs que chegam ao E-Docs já assinados em ICP-Brasil pelo próprio usuário são guardados como recebidos, sem a assinatura de aplicação, para não invalidar a assinatura existente (ver Documentos que entram no Documento-Elo).
Guarda sequenciada e imutável do hash
A assinatura ICP-Brasil da aplicação, por si só, ainda não é suficiente: em caso de acesso indevido à chave privada e à senha do certificado da aplicação, seria teoricamente possível produzir arquivos adulterados similares aos originalmente capturados. Para mitigar essa vulnerabilidade, a solução E-Docs Chain busca inspiração em conceitos de Blockchain.
Todos os documentos eletrônicos capturados no E-Docs, após serem assinados digitalmente com o certificado da aplicação, têm seus hashes (calculados com o algoritmo SHA-512) registrados em uma cadeia de documentos especiais, os Documentos-Elo.
Com uma frequência predeterminada, o sistema gera um novo Documento-Elo, contendo um bloco de hashes dos documentos capturados até aquele momento. Este Documento-Elo é capturado no sistema seguindo as mesmas regras dos demais documentos eletrônicos, incluindo a assinatura digital ICP-Brasil da aplicação. Na rodada seguinte, o hash do Documento-Elo anterior é incluído e destacado no próximo Documento-Elo capturado, criando uma cadeia de confiança que permite rastrear qualquer tentativa de fraude.
É essa selagem periódica que protege a cadeia contra fraudes internas. Entre a geração de um Documento-Elo e a do seguinte há uma janela curta, de no máximo 1 hora (ver Geração dos Documentos-Elo). Um eventual atacante com acesso ao armazenamento teria apenas esse intervalo para substituir um documento antes que seu hash fosse selado na cadeia. Uma vez selado, o hash do documento real permanece registrado de forma pública e imutável, servindo como trilha de auditoria: basta recalcular o hash do arquivo guardado e compará-lo com o que consta no Documento-Elo para evidenciar qualquer adulteração posterior.
A cadeia funciona ainda como um carimbo do tempo: como cada Documento-Elo é selado em uma data conhecida, o registro do hash comprova que aquele documento já existia no E-Docs naquele instante, impedindo que um arquivo seja inserido posteriormente e apresentado como se tivesse sido capturado antes. Por isso, todo documento PDF capturado entra na cadeia, mesmo os que já chegam com assinatura ICP-Brasil do próprio usuário: a assinatura comprova autoria e integridade, mas não quando o documento passou a existir no sistema, e é essa prova temporal que a cadeia acrescenta.
Para permitir o controle por parte da sociedade, todos os Documentos-Elo possuem nível de acesso público, podendo ser baixados por qualquer usuário logado na aplicação.
Onde encontrar os Documentos-Elo: a partir da tela inicial do E-Docs, em Veja Também, na opção Sobre o E-Docs, é possível consultar os Documentos-Elo do E-Docs Chain.
A imagem abaixo apresenta um trecho de um Documento-Elo real, mostrando o bloco de hashes dos documentos capturados no intervalo e o destaque para o hash do Documento-Elo anterior (primeira linha da listagem, em negrito), peça que materializa o encadeamento da cadeia.

Consulta pública de documento assinado
Para que usuários externos ao sistema E-Docs possam conferir a autenticidade de um documento PDF a qualquer momento, sem necessidade de se identificar, há uma consulta pública acessível na página inicial do E-Docs, em Veja Também, na opção Validar Arquivo. O usuário envia um documento PDF e o sistema avalia se ele está presente na cadeia do E-Docs Chain e se permanece íntegro, ou seja, exatamente igual ao que está guardado na base de dados.
A integridade pode ainda ser conferida por outros dois caminhos independentes, sem depender do próprio E-Docs:
- Leitor de PDF compatível com PAdES. Qualquer programa leitor de PDF que suporte o padrão PAdES consegue validar a assinatura ICP-Brasil de aplicação localmente, indicando se houve alteração posterior ao arquivo.
- Validador do ITI. Disponível em validar.iti.gov.br, é uma ferramenta pública e gratuita do Instituto Nacional de Tecnologia da Informação. Aceita o upload do PDF e exibe os detalhes da assinatura ICP-Brasil, incluindo CNPJ do PRODEST, CPF do representante do certificado, número de série, data da assinatura e o veredito sobre a integridade.
Sistemas de log
Tanto o Acesso Cidadão quanto o E-Docs mantêm logs de auditoria das ações dos usuários, incluindo dados como nome, CPF e identificador único global (globally unique identifier, GUID). O CPF e o GUID nunca são reescritos nas bases de dados. Mediante solicitação legal, esses registros podem ser consultados em ambos os sistemas.