Situações excepcionais relacionadas à política de assinatura digital

A URI fornecida para identificar a política de assinatura não está em formato válido

A versão da política especificada na URI não é suportada pela implementação atual

A versão da política especificada está descontinuada mas ainda suportada

Situações excepcionais relacionadas aos certificados digitais e validação da cadeia

O certificado não está no formato DER codificado em base64 ou está corrompido

A cadeia de certificados não pode ser validada devido a assinatura digital inválida ou subject/issuer incompatíveis

Um ou mais certificados da cadeia estão expirados (data atual > notAfter)

Um ou mais certificados da cadeia ainda não são válidos (data atual < notBefore)

Um ou mais certificados da cadeia foram revogados conforme verificação OCSP/CRL

O certificado foi emitido antes da data mínima exigida pela política (1º julho 2025)

O certificado raiz não pertence à hierarquia da ICP-Brasil

O certificado do signatário vencerá em menos de 30 dias

O certificado utiliza algoritmo ou tamanho de chave considerado fraco pelas práticas atuais

O algoritmo da chave pública do certificado não é suportado pela implementação

Cadeia possui menos de 2 certificados

OID de identificação ausente ou ambíguo

Situações excepcionais relacionadas à verificação de status de revogação de certificados

O serviço OCSP não está acessível (timeout, erro de rede, serviço indisponível)

A lista de revogação CRL não está acessível (timeout, erro de rede, serviço indisponível)

Lista de Certificados Revogados é inválida ou malformada

Resposta OCSP é inválida ou malformada

Ambiente sem conectividade externa impede validação de revogação online

O cache local de status de revogação expirou e não foi possível atualizar online

O certificado não possui extensões AIA (OCSP) ou CDP (CRL) válidas

Resposta OCSP/CRL malformada ou incompleta

Situações excepcionais relacionadas a operações criptográficas

O algoritmo criptográfico especificado não é suportado pela implementação

Falha durante a operação criptográfica de criação da assinatura digital

A assinatura digital não passou na validação criptográfica

A chave privada não pode ser acessada para operação criptográfica

O dispositivo criptográfico (token/smartcard) encontra-se bloqueado

O hash calculado do conteúdo não confere com o hash presente na assinatura

Gerador de números aleatórios com entropia insuficiente para operações ECDSA

Padrões anômalos de tempo detectados durante operações criptográficas

A chave pública presente no certificado é inválida ou malformada

PIN, token ou credencial de acesso inválida

Parâmetros da chave não atendem aos requisitos mínimos de segurança

Situações excepcionais relacionadas ao formato dos dados de entrada

A instância do Bundle não está em conformidade com a especificação FHIR

O Bundle não contém nenhuma entrada para ser assinada

A instância de Provenance não está em conformidade com a especificação FHIR

Uma ou mais referências em Provenance.target não foram encontradas no Bundle

O JSON fornecido não está bem-formado ou contém erros de sintaxe

Dados em base64 contêm caracteres inválidos ou padding incorreto

A estrutura JWS não está no formato header.payload.signature esperado

Bundle.entry.resource ausente para referência declarada

Elemento Reference não está em uma das formas permitidas (identifier exclusiva, UUID, contained ou '#')

Reference UUID ou contained aponta para recurso inexistente

Erro durante o processo de canonicalização JSON RFC 8785

Formato de UUID em fullUrl ou referência não conforme RFC 4122

Encontrado fullUrl duplicado dentro do Bundle

Encontrada referência duplicada em Provenance.target

Bundle excede limite máximo de tamanho (50MB)

Bundle excede limite máximo de entradas (1000)

A ordem das entradas no Bundle não corresponde à ordem das referências em Provenance.target

A ordem dos recursos não permite reprodução determinística do processo de assinatura

Um ou mais recursos não estão em conformidade com os perfis FHIR declarados

Uma extensão obrigatória requerida pelo perfil brasileiro não foi encontrada

Um recurso FHIR não está em conformidade com a especificação R4

O timestamp fornecido não está em formato válido ou fora da janela temporal aceitável

Uma referência em Provenance.target não está no formato UUID válido

Encontrada referência duplicada em Provenance.target

Tipo de resource não suportado para assinatura digital

Assinatura digital não encontrada onde esperada

Formato JWK (JSON Web Key) inválido ou incompatível

Certificado não está em formato PEM válido ou não possui delimitadores corretos

Situações excepcionais relacionadas ao acesso a smartcards e tokens criptográficos

O smartcard especificado não foi encontrado no leitor indicado

O token criptográfico especificado não foi encontrado

O PIN do dispositivo foi bloqueado devido a tentativas incorretas consecutivas

Falha na comunicação com o middleware do dispositivo seguro

O certificado especificado não foi encontrado no smartcard/token

O acesso à chave privada no dispositivo foi negado

Situações excepcionais relacionadas ao middleware para dispositivos seguros

A biblioteca PKCS#11 especificada não foi encontrada ou não pode ser carregada

As configurações específicas do middleware contêm parâmetros inválidos

O caminho especificado para a biblioteca PKCS#11 não existe ou não é acessível

O arquivo especificado não é uma biblioteca dinâmica válida

O Slot ID especificado não é um valor numérico não negativo

O token label especificado está vazio ou excede 32 caracteres

Nenhum mecanismo suportado (CKM_RSA_PKCS, CKM_ECDSA) foi especificado

O modo de sessão deve ser 'read-only' ou 'read-write'

Um ou mais valores de timeout do middleware estão fora da faixa permitida

O número de tentativas de autenticação deve estar entre 1 e 10

Os parâmetros de retry (intervalo ou máximo) estão fora da faixa permitida

Situações excepcionais relacionadas às configurações operacionais

Um ou mais parâmetros nas configurações operacionais são inválidos

A estratégia fornecida não é 'iat' ou 'tsa'

O TTL do cache OCSP/CRL está fora da faixa permitida (300-86400 segundos)

Um ou mais valores de timeout estão fora da faixa permitida (5-120 segundos)

As credenciais fornecidas para acesso à TSA são inválidas

A URL da TSA não é válida ou não usa protocolo HTTPS

O tipo de trust store especificado não é válido

O array de certificados do trust store está vazio

A referência do sistema para trust store está vazia ou inacessível

A URL do trust store não é HTTPS válida ou hash de integridade ausente

Um certificado no trust store não corresponde aos hashes conhecidos da ICP-Brasil

O intervalo de atualização está fora da faixa permitida (3600-604800 segundos)

O OID de política de carimbo de tempo TSA é inválido

Parâmetro obrigatório não fornecido nas configurações operacionais

Valor de timestamp mínimo de emissão inválido

Timestamp mínimo fora do intervalo permitido (2021-2100)

Limite configurado de entradas do Bundle está fora da faixa (100-10000)

Limite configurado de bytes do Bundle está fora da faixa (1MB-200MB)

Timeout de verificação do Bundle fora da faixa (5s-300s)

Situações excepcionais relacionadas a serviços de carimbo de tempo (TSA)

A Autoridade de Carimbo de Tempo não está acessível ou não respondeu

A resposta da TSA não passou na validação criptográfica ou está malformada

Token de timestamp malformado ou inválido

Falha na validação criptográfica do timestamp

Situações excepcionais relacionadas a validações temporais

O timestamp iat da assinatura está fora do período de validade do certificado

Valor iat malformado ou fora dos limites

Timestamp da TSA fora dos limites aceitáveis

A assinatura foi criada há muito tempo e pode não ser mais confiável

Detectada diferença significativa entre relógios do sistema

Situações excepcionais relacionadas ao processo de validação de assinatura digital

A assinatura digital não passou na verificação criptográfica

O algoritmo de assinatura não é suportado pelo validador

Evidências de Long Term Validation inconsistentes

Presença inválida de iat/sigTst em JWS

Assinatura não conforme com política declarada

Assinatura validada com sucesso

Situações excepcionais relacionadas ao ambiente de execução

Memória insuficiente para completar a operação de assinatura

A operação excedeu o tempo limite estabelecido

A versão da biblioteca criptográfica não é compatível com os requisitos

Situações excepcionais relacionadas a aspectos de segurança e ataques

Detectada possível tentativa de ataque de replay na validação

Número de entradas do Bundle excede limite configurado

Tamanho serializado do Bundle excede limite configurado

Processamento de verificação do Bundle excedeu o timeout configurado

Quantidade de referências Provenance.target excede limite configurado