regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 18 de novembro de 2011

Projeto do Google para driblar falsos certificados SSL

Google lança sua loja de música online ».Impressão Digital em cabeçalhos HTTP – projeto do Google para driblar falsos certificados SSL

Para melhor proteger os acessos web contra a distribuição de certificados falsos, uma extensão do cabeçalho HTTP que contém uma impressão digital de seus certificados está sendo projetada e testada. Esta abordagem, que foi parcialmente testada no Chrome, foi apresentada por Ian Fette, gerente sênior de produtos do Google, em uma reunião da Internet Engineering Task Force (IETF), em Taipei.

Fette disse que, após o hackeamento da DigiNotar, outras empresas pediram ao Google uma forma de proteger-se contra os certificados falsos. Como existem inúmeras CAs, a possibilidade de emissão de certificados ilegítimo ainda permanece, explicou o desenvolvedor. No entanto, Fette disse que a incorporação desta nova política poderia resolver isso.
A solução do cabeçalho HTTP que eles descreveram em um rascunho, envolve um hash do campo SubjectPublicKeyInfo (SPKI) de um certificado X.509 que seriam enviados para os usuários como um “PIN de cabeçalho”. Fette disse que hashes incluiriam os certificados que são válidos para a página atual, assim como os CAs raiz para a página. Durante o período de validade estipulado, os pedidos deveriam ser examinados para ver se existe pelo menos um PIN correto e um PIN de back-up estaria disponível.

segunda-feira, 14 de novembro de 2011

DEC: Fazenda paulista cadastra empresas que não aderiram por ofício

14 de novembro de 2011 • 15h06

Por: Eliane Quinalia

SÃO PAULO – As empresas do estado de São Paulo que ainda não se credenciaram ao DEC (Domicílio Eletrônico do Contribuinte) estão sendo credenciadas por meiode ofício pela Secretaria da Fazenda paulista “Desta forma, as empresas evitarão surpresas desagradáveis, já que o governo paulista presume que o acesso às informações ocorra regularmente, podendo autuar as empresas que não se ajustarem às notificações”, explica a consultora tributária da Confirpn Contabilidade, Evelyn Moura.

Para se cadastrar, as empresas deverão utilizar seu certificado digital, sendo este e-CNPJ ou e-CPF, emitido conforme os critérios estabelecidos pela ICP-Brasil (Infraestrutura de Chaves Públicas).

"Depois de credenciada, as comunicações da Secretaria da Fazenda às empresas serão feitas por meio eletrônico,o que dispensará qualquer publicação no Diário Oficial do Estado ou  encaminhamento via postal", detalha Evelyn.

Para que serve?

O DEC é uma comunicação eletrônica que informa a empresa dos atos administrativos, encaminha
notificações e intimações e ainda emite avisos em geral. Mas, para assegurar a eficácia de seu uso, não basta à empresas apenas estar cadastrada, sendo necessário checar constantemente as informações do sistema.

“O problema que estamos observando é que as empresas podem ser notificadas pelo DEC e não se atentarem à importância de acessar este sistema e serem multadas”, informa Evelyn.

Prazos

Os prazos para credenciamento no DEC para todos os contribuintes do ICMS (Imposto sobre Circulação de Mercadorias e Serviços) se encerraram no dia 31 de julho, pelo site www.fazenda.sp.gov.br. Contudo, as que não fizeram por conta própria foram credenciadas por ofício, exceto as optantes pelo Simples Nacional, produtores rurais, contribuintes sujeitos ao RPA (regime periódico de apuração) e aquelas já credenciados anterioremente.

Para as demais, optantes pelo sistema simplificado de cobrança de impostos, os prazos seguem a seguir:

Contribuintes optantes do Simples Nacional



Fonte: InfoMoney

CAIXA disponibiliza nova versão do Guia de Orientações ao Usuário

Publicado em 04-11-2011 por Conectividade Social ICP

A CAIXA disponibilizou, no começo desse mês, uma atualização do guia criado para auxiliar os usuários no acesso ao Conectividade Social ICP. O Guia de Orientações ao Usuário versão 1.4 substitui o documento anterior e traz alterações referentes ao uso de Agentes Públicos.
Nessa atualização do guia já consta o processo para que servidores possam acessar em nome do órgão público, ato permitido somente por meio de um cadastro prévio das informações laborais do funcionário junto aos sistemas do FGTS, da CAIXA. Exigência requerida para que o vínculo empregatício seja comprovado e assim a outorga de poderes permitida.

Clique aqui e conheça a nova versão ou então acesse o site da CAIXA

O que é DPC? Declaração de Práticas de Certificação :: CertDicas

Quis custodiet ipsos custodes? Ou, como dizem os ingleses, quem vigia os vigilantes? 

A Declaração de Práticas de Certificação Digital - DPC é o principal documento no âmbito da certificação digital. 

Descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-lo público.

A escolha de confiar em uma Autoridade Certificadora é similar ao que ocorre em transações convencionais, fora do meio eletrônico.  Por exemplo, na aquisição de um imóvel o comprador deve obter a documentação do imóvel e de seus proprietários, certidões atualizadas e conferir a validação dos órgãos públicos competentes emissores de cada documento.  Existe, aí, uma relação de confiança já estabelecida com esses órgãos e outras instituições acima deles que atestam suas credenciais. É uma cadeia de confiança que é estabelecida para credibilizar as informações fornecidas ao público.

Da mesma forma, existem cadeias de confiança das infraestruturas de chaves públicas: Brasileira e internacionais. Os usuários podem escolher a Autoridade Certificadora à qual desejam confiar à emissão de seus certificados digitais com base dos documentos apresentados e por quem à  referencia.

Para a emissão dos certificados, as Autoridades Certificadoras possuem deveres e obrigações que são descritos na Declaração de Práticas de Certificação – DPC.

A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado digital. 

Entre as atividades de uma Autoridade Certificadora, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a verificação da identidade do seu titular.

Por estes motivos, quanto melhor definidos, abrangentes e detalhados forem os procedimentos adotados por uma Autoridade Certificadora maior sua confiabilidade. 

No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os procedimentos que devem ser adotados pelas Autoridades Certificadoras.

As Autoridades Certificadoras credenciadas são incorporadas à estrutura hierárquica da ICP-Brasil e representam a garantia de atendimento dos critérios estabelecidos em prol da segurança de suas chaves privadas. 

Para ser credenciada à ICP-Brasil, a Autoridade Certificadora precisa se submeter às resoluções do Comitê Gestor de Certificação Digital. O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, das instalações das Autoridades Certificadoras e respectivas Autoridades de Registro, dos sistemas envolvidos no serviço de certificação, bem como seus funcionários envolvidos no ciclo de vida dos certificados digitais.

A não concordância com as regras acarreta em aplicações de penalidades, que podem levar inclusive ao descredenciamento da Autoridade de Registro e/ou certificadora.

Já a  regulamentação internacional para Políticas de Certificação (DPC e PC) é a RFC 3647.  Este documento substitui RFC 2527.

Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework.

Este documento apresenta uma estrutura para ajudar os escritores de políticas de certificados ou declarações de práticas de certificação para os participantes dentro de infra-estruturas públicas. Em particular, o quadro fornece uma lista abrangente de tópicos que potencialmente (a critério do escritor) precisa ser coberta com uma política de certificado ou uma declaração de práticas de certificação. 

Teoricamente toda Infraestrutura de Chaves Públicas (Hierarquia de Certificação) possui uma Política de Certificação que serve para descrever as práticas e políticas correspondentes ao processo relacionado ao ciclo de vida dos certificados. 

Dois links que devem ser consultados sobre  informações sobre PKI Internacionais  e especialmente sobre Políticas de Certificação Internacionais.

As melhores práticas de segurança nos negócios, entre estes o processo operado por Autoridades Certificados  são definidas pela WebTrust  que é uma organização criada pela Canadian Institute of Chartered Accountants - CICA  e American Institute of Certified Public Accountants - AICPA tem com objetivo fornecer aos consumidores finais a garantia de serviços confiáveis.

À partir dos critérios por ela definidos, existem empresas de auditoria que fazem esta verificação de conformidade como a SAS-70   que é um padrão de auditoria desenvolvido pela American Institute of Certified Public Accountants AICPA e amplamente reconhecido no mercado.

Escrito por Regina Tupinambá