regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quarta-feira, 26 de janeiro de 2011

Certificação Digital e Cloud Computing

Bruno de Paula  Ribeiro

 

Por: Bruno de Paula Ribeiro, M.Sc., CSSLP

Secure Software Developer  








Gostaria de aproveitar o fórum e colocar uma discussão, a meu ver, interessante. Nestes tempos de cloud computing, onde tudo está se tornando serviço e as estações de trabalho (termo de gente velha num mundo de smart phones e tablets) voltam a ser burras, como já o foram num passado remoto, problemas inconvenientes surgem.

Li em algum lugar (fico devendo a referência) que 2010 foi o ano da cloud computing. E que 2011 será o ano de erradicar da face da Terra tudo aquilo que não é cloud computing.

É claramente um exagero, mas se for verdade nos próximos anos, nós, que trabalhamos com PKI de forma abrangente (na certificação digital) e não apenas como uma tecnologia embarcada, precisamos pensar em soluções para tornar nossos sistemas de informação, em sua maioria Web, viáveis.

Pensemos nos dois seguintes cenários:


• O certificado digital e-CPF ou e-CNPJ, na sua forma mais segura, ou seja, A3, precisa de um par de chaves gerado em um dispositivo criptográfico. Um smartcard, por exemplo.

• A utilização deste certificado, seja para assinar um documento ou se autenticar num sistema como o e-CAC, precisa que o hash de uma seqüência arbitrária de bits seja criptografado, usando-se para tal a chave privada associada. Essa operação, como sabemos, é realizada pelo dispositivo criptográfico.

São apenas dois cenários que resumem a forma como os titulares de certificados digitais usam os mesmos.

O mundo mágico da cloud computing prega que todo processamento um pouquinho mais inteligente do que coletar dados de um formulário e postar os mesmos seja realizado “na nuvem”.

Entretanto, os dois cenários descritos acima, que não são a coisa mais simples do mundo, precisam necessariamente ser executados na companhia do usuário e de seu smartcard, por assim dizer.

Em outras palavras, a chave privada do portador do certificado não pode sair para passear na nuvem e depois voltar ao smartcard.

Isso já seria preocupante o suficiente. Mas não pára por aí. No último Appsec-BR, evento da OWASP sobre segurança de aplicações Web, realizado em Campinas em Novembro de 2010, pude ouvir, em conversas com vários brasileiros e estrangeiros, que tecnologias como ActiveX e Java Applets devem ser evitadas a todo custo.

Cheguei a questionar o Jason Lee, americano que ministrou um curso de segurança em aplicações Web, qual seria o futuro da PKI frente à obsolescência dos componentes “inteligentes” que rodam nos browsers.

Ele me disse para não me preocupar, já que o uso da PKI não é muito difundido, estando voltado apenas para software embarcado, TV digital, etc. Após o curso , contei a ele sobre a ICP-Brasil, mas não sei ainda se ficou convencido.

O que vocês acham a respeito? E o que nós, desenvolvedores de software, podemos fazer para encontrar um lugar para a PKI nesse mundo em nuvens?

 Clique e participe  agora dessa discussão no Grupo CERTIFICAÇÃO DIGITAL  do LinkedIn

 

Bruno de Paula Ribeiro, M.Sc., CSSLP  

Secure Software Developer
São Paulo e redondezas, Brasil
Expert in secure software engineering and programming, with 11+ years of experience in analysis, development and requirement specification of secure software. Master's Degree in Software Engineering and Computer Science from one of the Top 5 Brazilian Universities. A team player with passion for programming and solving challenging problems.
- C/C++, Microsoft.NET, JAVA, ActiveX/COM, Javascript.
- Visual Studio, Eclipse, ClearCase, Subversion.
- Common Criteria (ISO 15408), Rational RUP.
- Cryptography and PKI, Smart cards, tokens, digital certificates and network communication protocols; security libraries; MS Crypto API; .NET Security Library; JAVA JCA/JCE; Bouncy Castle; OpenSSL; ASN.1.
- Technical writing of standards, requirements, books, articles and training material.
- Workshop Speaker and University Professor.

Nenhum comentário:

Postar um comentário

Agradecemos sua participação.