regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 27 de setembro de 2013

O governo acordou para as vulnerabilidades na troca de e-Mails sem assinatura e criptografia

Estou adorando esse movimento em torno das vulnerabilidades nas comunicações por e-mails. Há 15 anos falamos sobre isso, mas as pessoas comuns e até mesmo, o mundo corporativo e autoridades, nunca dedicaram atenção ao assunto como deveriam.

Mas estou curiosa no entanto. Será criado um novo tipo e certificado ICP Brasil? Será um classe 1 com validação apenas da existência da conta de e-mail? Validação automática? Qual ou quais serão as Autoridades Certificadoras emissoras desses certificados?

Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – Certificado S, S de sigilo. Assim como o certificado tipo A, de assinatura, existem os certificados S1, S2, S3 e S4. Veja o quadro no final do artigo

O certificado tipo S que emitimos hoje na hierarquia da ICP Brasil é um certificado que requer validação presencial e consequentemente não é um certificado adequado para criptografar e-mails com a escala que se pretende (população em geral), principalmente, com fornecimento gratuito por parte do governo.

É um grande passo o governo se preocupar com o assunto e buscar alternativas para que a população tenha  privacidade na troca de seus e-mails.  Porém, as pessoas só utilizarão os recursos disponibilizados pelo governo se entenderem os riscos a que se expõem na troca de e-mails sem criptografia. Sem uma campanha de esclarecimento à população o governo estará apenas se blindando contra eventuais críticas eleitoreiras em relação a responsabilidade da custódia das informações eletrônicas dos brasileiros e ponto.

Essa campanha de esclarecimento à população sobre o uso de e-mail com sigilo será importante porque levará à outros questionamentos em relação à vulnerabilidades no uso do meio eletrônico como por exemplo:  o uso de senhas para acesso a aplicações de autenticação. 

Cabe ao governo  investir em comunicação para explicar o que é um certificado digital, certificados de assinatura e sigilo e explicar a diferença entre esses tipos de certificados e um e-CPF, por exemplo.

Até hoje o ônus do aculturamento sobre o uso do certificado digital coube apenas às Autoridades Certificadoras privadas. E chegou a hora de educarmos a população brasileira, com investimentos públicos, sobre as boas práticas no uso dos meios eletrônicos. Só assim conseguiremos alertar milhões de brasileiros que se expõem diariamente nas trocas de e-mails e em transações em sites falsos e sem criptografia

Será também uma excelente oportunidade para que os atuais usuários de certificados digitais entenderem que as "obrigatoriedades" do uso de certificados para relacionamento com o governo na verdade lhes trás uma série de benefícios que hoje só é percebido por quem utiliza o certificado diariamente em mais de uma aplicação.

Essa campanha para divulgação sobre a certificação digital será oportuna também para que os decisores de organizações públicas e privadas deem mais atenção aos pleitos de seus profissionais de TI que lutam diariamente para obter recursos para implementar práticas mais seguras e são literalmente ignorados.

Para as organizações públicas ou privadas será importante uma ferramenta para gerenciamentos desses certificados de sigilo, porque a perda do certificado digital poderá causar a perda das informações criptografadas e isso para o mundo corporativo será um grande problema. Para os usuários comuns a perda do certificado de sigilo também é um problema, mas esses terão sempre a possibilidade de buscar em seus arquivos as informações originais trocadas com a criptografia. No mundo corporativo a impossibilidade de acessar arquivos criptografados significará perda de ativos importantes.

Vamos ver como o governo vai lidar com o entorno dos e-mails criptografados e aguardar para ver se essa preocupação  não passará de fumaça.

De qualquer forma a NSA veio para apontar as vulnerabilidades a que estamos expostos. Como “Só do caos nascem as grandes estrelas”, segundo Nietzsche - VIVA A NSA! 

Valeu OBANA por "acordar" nossos governantes. Agora a indiferença à este assunto pode lhes tirar votos!

Regina Tupinambá

Entenda as diferenças dos tipos de certificado digital A e S

Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada.

O Tipo A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.

O Tipo S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade. 

Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico - cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive).


Os certificados mais comuns são

A1 - de menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada,

A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.

Certificados da Receita Federal 

O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte.

Eles foram criados em 2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.



                                                                               Fonte: UOL/ Gisele Ribeiro


Leia a matéria: e-Mail criptografado dos Correios deve ficar pronto este ano



O serviço de e-mail criptografado dos Correios deve ficar pronto ainda este ano, como informou a Agência Brasil nesta terça-feira (24).

Os primeiros testes devem começar já no próximo mês, de acordo com declaração do Ministro das Comunicações, Paulo Bernardo. Oferecido pelos Correios, o sistema vem sendo desenvolvido pela Serpro (Serviço Federal de Processamento de Dados), e segundo Presidente da estatal, Marcos Mazoni, o serviço vai ser gratuito e custeado pelo governo.

Continue lendo em http://www.baboo.com.br

terça-feira, 24 de setembro de 2013

Senhas: aprenda mudanças simples que fazem toda a diferença


Somos capazes de lembrar de apenas duas ou três senhas - e a maioria das pessoas escolhe combinações relativamente curtas e previsíveis. É hora de mudar.
Markus Jakobsson, TechHive.com 
Há 20 anos, uma das maiores preocupações de segurança era que um colega poderia descobrir a sua senha por conta do post-it que você colocou na sua tela do computador. A solução era simples: não escreva suas senhas! Isso foi um bom conselho, e a maioria das pessoas podiam facilmente lembrar as duas ou três combinações de que precisavam.

Desde então, as ameaças contra a segurança evoluíram além do conhecimento, mas a nossa capacidade de lembrar de senhas manteve-se inalterada. Ainda somos capazes de lembrarmos de apenas duas ou três senhas - e a maioria das pessoas escolhem combinações relativamente curtas e bastante previsíveis, a fim de serem capazes de recordá-las.

Gerenciadores de senhas resolveram esse problema, mas eles apareceram com seus próprios. E se um malware invadir e roubar todas as senhas? E o que você faz, em termos práticos, quando tem um dispositivo novo ou emprestado?

Camadas de segurança

Primeiro de tudo, devemos revisar o conselho dos anos 90. Hoje, o adversário típico não é um colega olhando por cima do ombro, mas um hacker sem rosto a milhares de quilômetros de distância. 

Anotar as senhas em pedaços de papel pode não ser uma má ideia - embora ainda não recomendamos deixá-los em sua tela. Isto faz sentido particularmente quando o número de senhas aumenta.

Para implementar uma camada adicional de segurança à sua "cola", você pode fazer todas as senhas serem compostas por duas partes. Uma que você memoriza - esta parte é a mesma para todas as suas senhas dentro de uma determinada categoria - e outra que você anota (e essa é única). Usando este método, qualquer pessoa pode gerenciar centenas de senhas enquanto ainda só terá que lembrar de duas ou três coisas.

Seja criativo

Em segundo lugar, precisamos criar senhas fortes. Quando os usuários são obrigados a incluir letras maiúsculas e minúsculas, bem como números e caracteres especiais, o que eles fazem? Reúnem esses requisitos de maneira que seja mais fácil para lembrar. Então, ao invés de usar senhas como "password" ou "seguro", eles usam "Password1!" E "Seguro1!".

Este não é muito inteligente, em termos de segurança, especialmente porque crackers sabem muito bem, provavelmente melhor do que ninguém, que tipo de senhas que as pessoas escolhem. 

Se exigimos caracteres maiúsculos em senhas, quase todo mundo vai capitalizar a primeira letra. Se exigimos um numeral, o número "1" é quase três vezes mais provável do que o número "9", e "3456" é mais de dez vezes mais comum que "4321". 

Da mesma forma, os caracteres "especiais" que as pessoas usam estão longe de ser especiais quando você olha quais são usados ​​e onde eles são colocados na senha. Portanto, técnicas tradicionais de força de senha criam uma falsa sensação de segurança, uma vez que eles contam caracteres, mas pecam em olhar para probabilidades.

O papel dos desenvolvedores

Os usuários não são os únicos culpados. A indústria está dando uma falsa sensação de segurança com a maneira como usam os verificadores de senhas. Em vez de considerar letras maiúsculas e minúsculas, números e caracteres especiais mais exigentes, verificadores de força de senhas deveriam entender as combinações e recusar senhas que são muito previsíveis.

E isso pode ser feito! Em um artigo recente que escrevi com meu aluno Mayank Dhiman mostramos como verificadores de força de combinações podem analisar senhas, quebrando-as em componentes, em seguida classificando tais componentes com base na sua semelhança, e computando uma pontuação para a senha com base na pontuação dos componentes.

É hora de ensinar os usuários a serem menos previsíveis.

Fonte IDGNOW

Leia Também:  

Diga adeus às senhas com letras e números


Diga adeus às senhas com letras e números

Por 
ANDREW BLACKMAN

Eis o problema fundamental das senhas: elas são mais eficazes para proteger uma empresa quando são longas, complicadas e trocadas com frequência. Ou seja, quando é mais difícil para os funcionários decorá-las.

Por isso, as firmas de tecnologia estão batalhando para oferecer soluções que sejam, ao mesmo tempo, mais seguras e mais convenientes. Muitos laptops já vêm com leitor de impressões digitais integrado. Os smartphones e outros dispositivos móveis também estão adotando opções biométricas, como reconhecimento facial e de voz.

No ano passado, a Apple Inc. AAPL +4.73% adquiriu a AuthenTec Inc., desenvolvedora de tecnologias para sensores de impressões digitais, e neste mês lançou um novo iPhone com um sensor de impressão digital instalado. A MicrosoftMSFT -0.16% anunciou que seu sistema operacional Windows 8.1, que deve ser lançado em outubro, é "otimizado para a biometria baseada em impressões digitais".
Enlarge Image
Yubico Inc
O token da Yubico gera senhas por uma entrada USB ou ao encostar no celular

Outras empresas, como Google Inc.,GOOG -1.87% PayPal Inc. e Lenovo Group Ltd., 0992.HK +3.14% formaram uma organização conhecida como Aliança Fido (Fast Identity On-line, ou Identidade Rápida On-line), que visa criar padrões para o setor de biometria e outras formas da chamada "autenticação forte".

O Google também está testando um novo tipo de dispositivo, criado pela Yubico Inc., de Palo Alto, na Califórnia. Tal como os tradicionais tokens que geram senhas numéricas aleatórias, já usadas por bancos e outras empresas há anos, os aparelhos da Yubico geram senhas temporárias para serem utilizadas como uma segunda forma de autenticação.

Mas em vez de ter que ler a senha no token e depois digitá-la, o funcionário pode simplesmente introduzir o token numa entrada USB ou encostá-lo num smartphone ou tablet, usando a comunicação de campo próximo (NFC, na sigla em inglês), tecnologia que permite aos dispositivos eletrônicos se comunicarem fazendo contato físico.

O Google está testando os tokens com seus funcionários este ano e pretende oferecê-los aos consumidores em 2014, como uma forma de acessar o Gmail e outras contas do Google com mais segurança. Mayank Upadhyay, diretor de engenharia de segurança do Google, diz que os tokens são fáceis de usar e têm uma criptografia forte.

"Acreditamos que, ao usar esse token, elevamos o nível de segurança para os nossos funcionários para além do que estava disponível no mercado", diz Upadhyay. O token é compatível com o navegador Chrome, do Google, e "vem funcionando muito facilmente e sem problemas para as pessoas no seu fluxo de trabalho diário aqui no Google", diz.

Cálculo de risco e dados biométricos

Outra nova opção, vinda da RSA, a divisão de segurança da EMC Corp.EMC -0.72% e criadora dos tokens SecurID, muito usados, é a autenticação baseada no risco.

Essa tecnologia classifica grandes massas de dados vindas de usuários de diversos grupos numa empresa, definindo qual é o comportamento "normal". Então atribui uma nota de risco para cada usuário. Se um funcionário faz algo incomum, tal como fazer o login no sistema a partir de um novo local, usar outro computador ou tentar acessar um sistema diferente do habitual, sua nota de risco aumenta e pode ser solicitado a ele que forneça mais uma autenticação — por exemplo, confirmar sua identidade por telefone.

Muita gente acredita que o cenário da segurança vai mudar rapidamente à medida que mais pessoas levam seus próprios smartphones e outros dispositivos para o trabalho. Embora muitos considerem a proliferação desses aparelhos uma ameaça à segurança, alguns analistas acham que eles podem melhorar a segurança ao facilitar o uso da autenticação biométrica. A maioria dos dispositivos móveis tem microfone e câmera e pode identificar a localização do usuário.


Enlarge Image
John Chuang

O professor John Chuang, de Berkeley, usa um fone de ouvido projetado para ler possíveis "senhas mentais"

"Acreditamos que a autenticação biométrica será significativamente mais popular e o que vai impulsionar e viabilizar [essa tecnologia] é a computação móvel", diz Ant Allan, vice-presidente de pesquisas da firma americana Gartner Inc. IT +1.25%

Ele explica que para uma grande empresa instalar um novo hardware para cada funcionário pode sair muito caro. Então, um sistema baseado em dispositivos pessoais que já são comuns oferece uma clara vantagem econômica. Além disso, um funcionário com seu smartphone provavelmente vai achar muito mais fácil usar um leitor de impressões digitais do que lembrar e digitar senhas.

Outro desenvolvedor de ferramentas inovadoras de segurança é a empresa espanhola Agnitio SL, que fabrica um software de reconhecimento de voz usado pela polícia. Ela desenvolveu um sistema que permite a um funcionário fazer o login apenas falando uma frase simples.

Já a PixelPin Ltd., de Londres, quer substituir as senhas por fotos. Escolha uma foto da sua esposa, por exemplo, e faça o login clicando em quatro partes do rosto dela, numa sequência que você memorizou. É mais fácil para as pessoas lembrarem de uma foto do que de uma senha com letras e números e mais difícil para os outros replicarem, diz um dos fundadores da empresa, Geoff Anderson.

Eis uma ideia

Olhando para o futuro, pesquisadores da Universidade da Califórnia em Berkeley estão estudando o uso de ondas cerebrais como forma de autenticação. Os participantes de um teste usaram um fone de ouvido que mede os sinais das ondas cerebrais enquanto eles imaginavam executar uma determinada tarefa. Os pesquisadores puderam distinguir entre as diversas pessoas com 99% de precisão. Em teoria, isso pode se tornar a "senha mental" de um funcionário.

A maioria dos especialistas julga que as empresas vão utilizar várias medidas diferentes. O Hospital Saratoga, no Estado de Nova York por exemplo, usa leitores de impressões digitais como uma alternativa mais segura para as senhas. Mas embora eles tenham resolvido muitos problemas de segurança, não são viáveis para todos. Alguns voluntários idosos que trabalham no hospital têm dificuldade para manter a mão imóvel, e o leitor não funciona se alguém estiver de luvas ou com as mãos muito secas, diz Gary Moon, analista de segurança do hospital. Alguns funcionários também se recusaram a registrar suas impressões digitais. Então o hospital continua usando as senhas como um sistema de segurança de reserva.

"Não há nenhuma solução de autenticação que sirva para todos", diz Vance Bjorn, fundador da DigitalPersona Inc., da Califórnia, que forneceu os leitores de impressões digitais para o Hospital Saratoga. "Uma tecnologia resolve alguns problemas, mas pode não ser a combinação adequada de segurança, conveniência, custo e facilidade de implementação para todos."

segunda-feira, 23 de setembro de 2013

Blog Certificação Digital. Me ajude na reorganização do blog?

Regina Tupinambá
Autora do Blog Certificação Digital

Responda a pesquisa. 

Leva menos de um minuto. 







Como vou alterar a organização do Blog sua participação é importante. Até hoje eu mesma  escrevi os artigos, editei todas as páginas e fiz o layout, mas agora vou contar com a ajuda  da minha equipe da Insaina Publicidade  para organizar melhor as informações.

Obrigada! Muita gente já respondeu a pesquisa e recebi excelentes críticas e sugestões. Elogios também :). 

Participe você também. Acesse a pesquisa agora!

Se quiser mandar outras observações sobre o Blog envie um e-mail para mim
rtupinamba@gmail.com