regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 27 de setembro de 2013

O governo acordou para as vulnerabilidades na troca de e-Mails sem assinatura e criptografia

Estou adorando esse movimento em torno das vulnerabilidades nas comunicações por e-mails. Há 15 anos falamos sobre isso, mas as pessoas comuns e até mesmo, o mundo corporativo e autoridades, nunca dedicaram atenção ao assunto como deveriam.

Mas estou curiosa no entanto. Será criado um novo tipo e certificado ICP Brasil? Será um classe 1 com validação apenas da existência da conta de e-mail? Validação automática? Qual ou quais serão as Autoridades Certificadoras emissoras desses certificados?

Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – Certificado S, S de sigilo. Assim como o certificado tipo A, de assinatura, existem os certificados S1, S2, S3 e S4. Veja o quadro no final do artigo

O certificado tipo S que emitimos hoje na hierarquia da ICP Brasil é um certificado que requer validação presencial e consequentemente não é um certificado adequado para criptografar e-mails com a escala que se pretende (população em geral), principalmente, com fornecimento gratuito por parte do governo.

É um grande passo o governo se preocupar com o assunto e buscar alternativas para que a população tenha  privacidade na troca de seus e-mails.  Porém, as pessoas só utilizarão os recursos disponibilizados pelo governo se entenderem os riscos a que se expõem na troca de e-mails sem criptografia. Sem uma campanha de esclarecimento à população o governo estará apenas se blindando contra eventuais críticas eleitoreiras em relação a responsabilidade da custódia das informações eletrônicas dos brasileiros e ponto.

Essa campanha de esclarecimento à população sobre o uso de e-mail com sigilo será importante porque levará à outros questionamentos em relação à vulnerabilidades no uso do meio eletrônico como por exemplo:  o uso de senhas para acesso a aplicações de autenticação. 

Cabe ao governo  investir em comunicação para explicar o que é um certificado digital, certificados de assinatura e sigilo e explicar a diferença entre esses tipos de certificados e um e-CPF, por exemplo.

Até hoje o ônus do aculturamento sobre o uso do certificado digital coube apenas às Autoridades Certificadoras privadas. E chegou a hora de educarmos a população brasileira, com investimentos públicos, sobre as boas práticas no uso dos meios eletrônicos. Só assim conseguiremos alertar milhões de brasileiros que se expõem diariamente nas trocas de e-mails e em transações em sites falsos e sem criptografia

Será também uma excelente oportunidade para que os atuais usuários de certificados digitais entenderem que as "obrigatoriedades" do uso de certificados para relacionamento com o governo na verdade lhes trás uma série de benefícios que hoje só é percebido por quem utiliza o certificado diariamente em mais de uma aplicação.

Essa campanha para divulgação sobre a certificação digital será oportuna também para que os decisores de organizações públicas e privadas deem mais atenção aos pleitos de seus profissionais de TI que lutam diariamente para obter recursos para implementar práticas mais seguras e são literalmente ignorados.

Para as organizações públicas ou privadas será importante uma ferramenta para gerenciamentos desses certificados de sigilo, porque a perda do certificado digital poderá causar a perda das informações criptografadas e isso para o mundo corporativo será um grande problema. Para os usuários comuns a perda do certificado de sigilo também é um problema, mas esses terão sempre a possibilidade de buscar em seus arquivos as informações originais trocadas com a criptografia. No mundo corporativo a impossibilidade de acessar arquivos criptografados significará perda de ativos importantes.

Vamos ver como o governo vai lidar com o entorno dos e-mails criptografados e aguardar para ver se essa preocupação  não passará de fumaça.

De qualquer forma a NSA veio para apontar as vulnerabilidades a que estamos expostos. Como “Só do caos nascem as grandes estrelas”, segundo Nietzsche - VIVA A NSA! 

Valeu OBANA por "acordar" nossos governantes. Agora a indiferença à este assunto pode lhes tirar votos!

Regina Tupinambá

Entenda as diferenças dos tipos de certificado digital A e S

Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada.

O Tipo A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.

O Tipo S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade. 

Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico - cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive).


Os certificados mais comuns são

A1 - de menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada,

A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.

Certificados da Receita Federal 

O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte.

Eles foram criados em 2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.



                                                                               Fonte: UOL/ Gisele Ribeiro


Leia a matéria: e-Mail criptografado dos Correios deve ficar pronto este ano



O serviço de e-mail criptografado dos Correios deve ficar pronto ainda este ano, como informou a Agência Brasil nesta terça-feira (24).

Os primeiros testes devem começar já no próximo mês, de acordo com declaração do Ministro das Comunicações, Paulo Bernardo. Oferecido pelos Correios, o sistema vem sendo desenvolvido pela Serpro (Serviço Federal de Processamento de Dados), e segundo Presidente da estatal, Marcos Mazoni, o serviço vai ser gratuito e custeado pelo governo.

Continue lendo em http://www.baboo.com.br