regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 7 de outubro de 2011

Novo modelo de perícia médica do INSS só com certificados digitais.

Centrais debatem perícias médicas em audiência no Ministério da Previdência






Na última terça-feira (04), as centrais sindicais CTB, NCST e Força Sindical particparam da segunda audiência sobre a humanização das perícias médicas do INSS, no Ministério da Previdência, em Brasília.

Participaram da audiência o secretário Executivo do Ministério da Previdência, Carlos Gabas, o presidente do INSS, Mauro Hauschild e Filomena Gomes, diretora de Saúde do Trabalhador do INSS, Paulo Vinícius da Silva secretário da Juventude Trabalhadora da CTB Nacional, Luis Antônio Festino e Celso Pimenta (NCST), Arnaldo Gonçalves e Luís Oliveira (FS) e pelo DIESAT, seu presidente Gilberto Almazan e Pérsio Dutra.

O presidente do INSS relatou que nos próximos dias será lançado edital para a contratação de uma pós-graduação específica para 800 médicos peritos. Como não é possível - devido à oposição do Ministério Público – fazer a contratação de peritos a partir de edital que já estabeleça a especialização como critério de seleção no concurso, a existência de cursos de pós-graduação que formem os peritos nas especialidades necessárias ao seu trabalho no INSS.

O INSS também avaliou que há dificuldades de comunicação interna que precisam ser sanadas, para que as melhorias e a normatização do atendimento sejam efetivas em toda a rede, e que estão em curso medidas para que atos normativos e as informações percorram toda a rede do INSS.

O novo modelo de perícia não admitirá atestado médico de papel, só o eletrônico, com certificação digital e pelo portal do INSS. Certificações digitais serão entregues a partir de janeiro para todos os médicos, o que fortalecerá a legitimidade dos atestados médicos.


Fonte: Mundo Sindical

quarta-feira, 5 de outubro de 2011

Fique atento: O 'Beast' pode roubar seus dados até em navegação segura

Dois pesquisadores conseguiram decifrar a tecnologia de codificação de dados padrão na internet, a TLS 1.0. Entenda o perigo.


A encriptação de dados é a pedra angular da segurança na Internet.Toda vez que você entra no seu e-mail ou acessa um site de vendas online, é quase certo que seu navegador esteja conectado de forma segura ao servidor usando a tecnologia de encriptação TLS (Camada de Transporte de Segurança, na sigla em inglês).

Desenvolvida em 1999, como uma melhoria da encriptação SSL 3.0 (Camada de Soquete de Segurança), a TLS 1.0 é usada como parte da encriptação HTTPS e agora é padrão na internet. Quase todos os sites e navegadores usam a TLS para proteger informações transferidas entre você e o site.

Agora, os pesquisadores Thai Duong e Juliano Rizzo afirmam ter “crackeado” a encriptação TLS 1.0 usando um detector de tráfego e um pouco de código JavaScript.

Eles se apresentaram em meados de setembro deste ano na conferência de segurança Ekoparty, na Argentina, para demonstrar a exploração da brecha de segurança, apelidada de BEAST (Exploração de Navegador Contra SSL/TLS ou “fera” em inglês). Enquanto os detalhes do ataque são altamente técnicos, agora sabemos que ele começa com um fragmento de ataque em JavaScript que infecta seu navegador quando você acessa links suspeitos ou visita sites maliciosos.

Leia também: 15 tentações digitais em que você não deveria cair

Quando o BEAST infecta um navegador, ele monitora os dados que você troca com sites criptografados. Ele insere blocos de texto simples para o fluxo de dados e tenta decifrar esse código, fazendo suposições sobre a chave de criptografia.

Depois de passar bastante tempo (cerca de 9:55 minutos, de acordo com relatos de Rizzo para a The Register), o BEAST, inevitavelmente, consegue desvendar o código. Em seguida, utiliza esses dados para a engenharia reversa da chave de criptografia e decifra dados confidenciais armazenados nos cookies da sessão de navegação.

Antes da exibição pública, os pesquisadores responsáveis notificaram os desenvolvedores de navegadores populares como Firefox e Internet Explorer, e a publicidade envolvendo essa falha incentivará mais servidores e desenvolvedores de navegadores a atualizarem seus sistemas de encriptação para aproveitar os protocolos mais recentes, como TLS 1.1 ou 1.2, que permanecem teoricamente imunes ao ataque do BEAST.

A Microsoft já prometeu um patch no Windows, e um especialista da Kaspersky Lab, Kurt Baumgartner, acredita que os usuários do Google Chrome têm pouco com o que se preocupar, porque há três meses o código-fonte do Chromium foi corrigido.

Isso é possível porque a TLS 1.1 está disponível desde 2006, mas a maioria dos sites e navegadores não tinha suporte a ela devido ao tempo e esforço necessários para atualizar todos os seus serviços (como extensões do navegador no Chrome ou o API do Facebook Connect) para autenticar os dados usando um método de criptografia diferente.

Até que o façam, a única maneira infalível de se proteger contra esse ataque é evitar malwares por meio da criação do hábitos de navegação segura. Nunca abra e-mails de desconhecidos, quando não solicitados, e não clique em links que você não confia. Seja cuidadoso sobre os dados que você compartilha em redes sociais e altere as suas senhas frequentemente.

Por PC World (US)
Publicada em 05 de outubro de 2011 às 08h00 
(Alex Wawro)
 

terça-feira, 4 de outubro de 2011

Canal de ConectividadeICP - YouTube




Renato da Silveira Martini, Diretor Presidente do ITI, discursa sobre a Certificação Digital ICP Brasil e a entrada dessa tecnologia no novo acesso ao Conectividade Social ICP.



José Maria Oliveira Leão, Superintendente Nacional do FGTS - CAIXA, aborda a nova Procuração Eletrônica, os benefícios e a facilidade da outorga de poderes, ...


Canal de ConectividadeICP - YouTube

Procuração Eletrônica na Conectividade Social ICP :: CertDicas

O que é a Procuração Eletrônica

Publicado em 20-09-2011 por Conectividade Social ICP
Outorga de poderes , Procuração Eletrônica




A procuração eletrônica é uma permissão, uma concessão de poderes que o usuário do Conectividade Social ICP repassa para outro usuário. Essa procuração é necessária sempre que o titular da empresa não for realizar diretamente os serviços referentes ao FGTS e precisar que um terceiro (funcionário ou escritório contábil) desempenhe essa função, além de permitir outras funcionalidades.


O serviço está disponível no próprio portal do Conectividade Social ICP, em um menu simples e fácil de acessar. A procuração foi remodelada para o novo acesso e, agora, é possível que os empregados das empresas acessem o canal utilizando seu próprio Certificado Digital de Pessoa Física, por meio de uma procuração eletrônica concedida por seu empregador. Agora, também é possível conceder aos outorgados, seja ele empregado da empresa ou escritório contábil, todos ou apenas parte dos serviços disponíveis. Assim, a empresa tem a gestão completa das procurações que concedeu.

Além disso, a outorga de poderes só é permitida de um Certificado Digital ICP-Brasil para outro, mantendo assim a segurança que a tecnologia da certificação traz ao novo ambiente.

Como acessar?

Para utilizar esse recurso, é só escolher a opção Procuração na janela superior direita do portal. Então, aparecerá um menu lateral à esquerda da tela com todos os serviços disponíveis dentro da Procuração Eletrônica:

- Outorgar Procuração

- Substabelecer Procuração

- Renovar Procuração

- Aditar Procuração

- Revogar Procuração

- Consultar Procurações Outorgadas

- Consultar Procurações Substabelecidas

- Consultar Procurações recebidas por Outorga

- Consultar Procurações recebidas por Substabelecimento

Para saber mais sobre as regras gerais da procuração eletrônica, a cadeia de outorga, o perfil e o certificado necessários para os outorgados fique atento aos próximos posts do Conectividade Social ICP e não se esqueça de ler o Guia de Orientações ao Usuário, disponível na opção DOWNLOAD, localizada no topo desta página.

 

domingo, 2 de outubro de 2011

Orion lança CardioCloud com certificação digital

A aplicação do certificado digital na área de saúde cresce à medida que ferramentas tecnológicas são adotadas para o atendimento da população.

Exemplo disso foi o lançamento do CardioCloud, pela Orion Digital, que utiliza certificação digital da Certisign, durante o Congresso Brasileiro de Cardiologia, realizada entre 17 e 19 de setembro, em Porto Alegre (RS).


O CardioCloud permite a geração de laudos precisos, melhoria no atendimento, faturamento e a colaboração entre equipes médicas. Como o nome sugere, foi desenvolvimento para aplicação no conceito de computação em nuvem.

A solução contém funcionalidades que vão desde a recepção dos pacientes até o faturamento dos serviços prestados, com módulos de Gestão de Clínicas, Laudos e 2ª Opinião. Este último permite o auxílio de renomado corpo clínico para o fechamento de diagnósticos.

“Sob a orientação do Prof. Dr. Wilson Mathias Jr., o CardioCloud 2ª Opinião possibilita solicitar auxílio para diagnósticos com maior precisão. É como se o médico tivesse um corpo clínico de primeira linha trabalhando ao seu lado”, explica Danilo Pellegrino, gerente comercial da Orion Digital.


O uso do certificado digital garante a segurança das informações que circulam no ambiente virtual, tais como o laudo e a segunda opinião enviados pela equipe médica.

A tecnologia tem sido fundamental também para implantação do prontuário eletrônico do paciente (PEP), pois assegura, sob o ponto de vista legal, que a informação registrada somente nos meios eletrônicos é verdadeira, original e de autoria de quem assina o arquivo digitalmente. O papel impresso passa a ser a “cópia”.

O certificado digital garante que a informação gravada é imutável. Com isso, as equipes médicas deixam de imprimir e assinar cada documento gerado no sistema de gestão hospitalar.

Segundo Decio Tomaz, diretor comercial de soluções corporativas da Certisign, as soluções com certificação digital reduzem custos operacionais, desburocratizam os processos, incrementam ganhos de produtividade do corpo clínico e facilitam o acesso às informações, que são arquivadas digitalmente. 

“E tudo isto com garantia jurídica”, lembra.

Como o CardioCloud foi desenvolvido para aplicação em nuvem, as suas informações podem se acessadas de qualquer local e a qualquer momento, com total segurança.

Outra vantagem é que permite o encaminhamento de solicitações em um clique e o retorno de diagnósticos em até 72 horas, além de auxiliar na redução de custos do consultório.
 
“A área de cardiologia pode contar, a partir de agora, com uma solução completa que integra todas as funcionalidades de atendimento, financeiras e administrativas de uma clínica, com imagens do paciente, Prontuário Eletrônico e ERP”, destaca Flávio Camilo, gerente de tecnologia da Orion Digital.


Fonte: TIINSIDE

O que são SSL, SSH, HTTPS?


Para que serve o SSL?

SSL = Secure Socket Layer

É um sistema que permite a troca de informações entre dois computadores, de modo seguro. SSL fornece 3 coisas: 




  • Privacidade: Impossível espionar as informações trocadas. 
  • Integridade: Impossível falsificar as informações trocadas.
  • Autenticação: Ele garante a identidade do programa, da pessoa ou empresa com a qual nos comunicamos.

SSL é um complemento ao TCP / IP e pode (potencialmente) proteger qualquer protocolo ou programa usando TCP/IP.

O SSL foi criado e desenvolvido pela empresa Netscape e RSA Segurança.

Agora há versões de código aberto (Open Source), assim como um protocolo livre semelhante: TLS (ver mais abaixo).

 

Por que usar o SSL em vez de outro sistema?


Por que usar o OpenSSL?

  • SSL é padronizado.
  • Existe uma versão livre do SSL: OpenSSL que você pode usar nos seus programas, sem pagar direitos autorais.
  • OpenSSL é Open Source: todo mundo pode controlar e verificar o código-fonte (O segredo fica nas chaves de criptografia, não no algoritmo em si).
  • SSL foi criptoanalizado: este sistema foi mais analisado do que todos os seus concorrentes. O SSL foi revisado por inúmeros especialistas em criptografia. Portanto, pode ser considerado seguro.
  • Ele é muito conhecido: é fácil criar programas que interagirão com outros programas usando o SSL.

Muito cuidadocom os sistemas proprietários: ao contrário do que se poderia pensar, a segurança de um sistema de criptografia não se baseia no segredo do algoritmo de criptografia, mas no segredo da chave. Devemos confiar apenas em sistemas que foram publicados e analisados.

 

Como funciona o SSL?

SSL é composto de dois protocolos:
  • SSL Handshake protocol: antes de comunicar, os dois programas SSL negociam chaves e protocolos de criptografia em comum.
  • SSL Record protocol: Uma vez negociados, eles criptografam todas as informações trocadas e realizam vários testes.

O aperto de mão SSL ("handshake")

No início da comunicação o cliente e o servidor trocam:
  • A versão SSL com a qual eles querem trabalhar,
  • A lista de métodos de criptografia (simétrico e assimétrico) e de assinatura que todo mundo conhece (com comprimentos de chaves),
  • Métodos de compressão que todo mundo conhece
  • Números aleatórios,
  • Certificados.

Cliente e servidor tentam usar o melhor protocolo de criptografia e diminuem até encontrar um protocolo comum para ambos. Depois de feito isso, eles podem começar a troca de dados.

 

A comunicação SSL ("record")

Com o SSL, o remetente de dados:
  • Corta os dados em pacotes,
  • Comprime os dados,
  • assina criptograficamente os dados,
  • Criptografa os dados,
  • Envia os dados.

Aquele que recebe os dados:
  • Desencriptografa os dados,
  • Verifica a assinatura dos dados,
  • Descompacta os dados,
  • Remonta os pacotes de dados.

 

Como o SSL protege as comunicações?

O SSL usa:
  • um sistema de criptografia assimétrico (como o RSA ou o Diffie-Hellman). Saiba mais aqui: ele é utilizado para criar a "master key" (chave principal), que criará chaves de sessão.
  • um sistema de criptografia simétrico (DES, 3DES, IDEA, RC4...) usando as chaves de sessão para criptografar os dados.
  • um sistema de assinatura criptográfico das mensagens (HMAC, utilizando o MD5, SHA...) para ter certeza de que as mensagens não estão corrompidas.

É durante o "handshake" SSL que o cliente e o servidor escolhem os sistemas comuns (criptografia assimétrica, simétrica, assinatura e comprimento de chave).

No seu navegador, você pode ver a lista dos sistemas utilizados, colocando o cursor sobre o cadeadinho, quando você está em uma página HTTPS.

 

Para que servem os certificados?

Durante uma negociação (handshake) SSL, verifique a identidade da pessoa com quem você está se comunicando. Como ter certeza de que o servidor com quem você está falando é quem ele diz ser?

É aí que entram os certificados. Na hora de se conectar a um servidor web seguro, este enviará um certificado com o nome da empresa, endereço, etc. É uma espécie de carteira de identidade.

Como verificar a autenticidade desta carteira de identidade?

São as PKI (Public Key Infrastructure), das empresas externas (às quais você faz, implicitamente, confiança), que vão verificar a autenticidade do certificado.

(A lista destas PKI está incluída no seu navegador. Geralmente tem a VeriSign, a Thawte, etc.)

Estas PKI assinam criptograficamente os certificados das empresas (e elas são pagas por isso).

O uso do SSL: HTTPS, SSH, FTPS, POPS...

O SSL pode ser usado para proteger praticamente qualquer protocolo usando TCP / IP.


Alguns protocolos foram especialmente modificados para suportar o SSL:
  • HTTPS: é HTTP+SSL. Este protocolo está incluído em praticamente todos os navegadores, e permite que você (por exemplo) consulte suas contas bancárias na web de forma segura.
  • FTPS é uma extensão do FTP (File Transfer Protocol) usando SSL.
  • SSH (Secure Shell) é uma espécie de telnet (ou rlogin) seguro. Isso permite que você se conecte a um computador remoto com segurança e ter uma linha de comando. O SSH tem extensões para proteger outros protocolos (FTP, POP3, ou mesmo X Windows).

É possível tornar seguros os protocolos, criando túneis SSL. Depois de criar o túnel, você pode fazer passar qualquer protocolo por ele (SMTP, POP3, HTTP, NNTP, etc). Todos os dados trocados são criptografados automaticamente.

Isto pode ser feito com ferramentas como o STunnel ou o SSH .


Veja este exemplo com o protocolo POP3: 






Com o protocolo POP3 que, normalmente, você usa para ler os seus e-mails, as senhas e as mensagens transitam claramente na Internet. Suas senhas e mensagens podem ser roubadas. 





Com o túnel SSL, e sem alterar os softwares cliente e servidor , você pode garantir a recuperação de seus e-mails: ninguém pode roubar suas senhas ou e-mails, pois tudo que passa pelo túnel SSL é criptografado.

Mas isso requer a instalação do STunnel no cliente e no servidor.
Alguns provedores de acesso oferecem este serviço, mas ainda é muito raro. Pergunte ao seu provedor de acesso se ele tem este tipo serviço instalado.

O STunnel permite assim a proteção da maioria dos protocolos baseados no TCP/IP, sem alterar os softwares . Ele é muito fácil de instalar.
Quais são as diferentes versões do SSL?

O SSL versão 3.0 é muito semelhante ao SSL versão 2.0 , mas o SSL v2.0 tem menos algoritmos de criptografia que o SSL V3.0.

TLS v1.0 é um protocolo semelhante com base no SSL. As aplicações usando o TLS v1.0 pode se comunicar facilmente com as aplicações utilizando o SSL v3.0.
Então, quando vejo o cadeado, estou protegido?

O cadeado te indica se as comunicações entre o seu browser e o site são seguras: ninguém pode espiá-los, e ninguém pode mexer nas comunicações. Mas ele não garante nada mais

Para tirar uma foto:

HTTPS (o cadeado), é como um carro blindado: ele garante a segurança do transporte.

Mas realmente transporte.

O carro blindado não garante que o banco usa bons cofres e que eles fecham bem.

O carro blindado também não garante que o banco não desfalque ninguém.

O carro blindado realmente garante o transporte.

É a mesma coisa para o HTTPS (o cadeadinho do browser).

Da mesma forma que criminosos podem contratar um carro blindado, piratas e bandidos podem muito bem criar um site seguro (com o cadeadinho).

Tenha cuidado e não confie em qualquer informação em qualquer site, com ou sem cadeado.


Artigo original publicado por sebsauvage

Tradução feita por Lucia Maurity y Nouira