regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 2 de outubro de 2014

Primeira certificação digital móvel brasileira é lançada no Fórum Mobile+



Vinícius Sousa da Soluti e Rodrigo Sodré da eSEC
Aproveitando o último dia do Fórum Mobile+ em São Paulo nesta quarta-feira, 1º, a brasileira eSEC lançou o site para desenvolvedores incorporarem a primeira solução de certificação eletrônica nacional para ser usada por dispositivos móveis, a Certillion.



Como utiliza plataforma web, os interessados não precisam baixar kit de desenvolvimento de software (SDK), apenas testar e colocar em produção. A novidade foi desenvolvida ao longo de três anos pela eSEC, com apoio da Finep, e será adotada inicialmente pela goiana Soluti, uma das poucas autoridades certificadoras privadas do País.

A cobrança será feita por assinatura digital feita, com o preço variando de acordo com o volume. É diferente da praxe do mercado de certificação digital, em que geralmente se cobra uma licença única para uso ilimitado. O presidente do conselho administrativo da Soluti, Vinícius Sousa, explica que isso é uma prática "mais justa para o usuário e para as organizações que querem consumir essas assinaturas – e, por ser flexível, encaixa-se melhor em nichos do mercado". O preço, diz Sousa, varia de R$ 0,10 a R$ 3 por assinatura, de acordo com o volume contratado. "Mas temos feito propostas bem agressivas. Queremos ver a tecnologia nas mãos das pessoas, queremos ter massa crítica", diz.

De acordo com o diretor de tecnologia da eSEC, Rodrigo Sodré, a empresa está negociando pilotos com empresas, bancos e fornecedores. "Para ter a aplicação imediata, mais prática, desenvolvedores e provedores de serviço podem solicitar transações assinadas (com o certificado), e o próprio usuário com assinatura digital pode instalar no celular e instalar no computador – o Certillion permite transferir para o celular para usar o certificado como um tolken virtual", disse ele.

A solução utiliza dois níveis de certificação, nas camadas de software e hardware, identificando se o aparelho é legítimo da mesma forma como bancos fazem com aplicações que precisam que os telefones sejam liberados. Assim, a Certillion pode bloquear o acesso ao backup do dispositivo se ele não for autenticado, por exemplo. No caso de um smartphone Android, a solução permite até a blindagem do ambiente. "Se tem um vírus, ele bloqueia e não consegue capturar a tela e recuperar a chave", diz Sodré. O aplicativo está disponível também para iOS, Java e BlackBerry.

A interface no smartphone funciona de maneira simples, exigindo autenticação por senha uma vez que o dispositivo esteja com o certificado. Sodré explica que comparar esse recurso com outras plataformas de autenticação, como a biométrica (sem o certificado), é uma troca da segurança pela conveniência. "Eu acho isso uma abordagem estranha. Todo mundo sabe que certificação digital é o modelo mais forte, só que ninguém levanta a bandeira porque é complexo e tem custo. Em vez de oferecermos mecanismos mais frágeis, estamos oferecendo um melhor e ultrapassando essa barreira", diz. "O mercado é que vai dizer qual tecnologia vai vingar".

Na visão dele, a grande vantagem é que a certificação digital pode ser usada com outras aplicações. "Serve como pagamento, para médico assinar laudo, contadores assinarem balanço contábil… Não vejo uma situação na qual a certificação não seja a tecnologia ideal", diz.

Fonte: http://www.teletime.com.br
quarta-feira, 1 de outubro de 2014, 18h18

Cloudflare lança SSL gratuito

Matthew Prince, CEO e co-fundador do  Cloudflare
Os certificados SSL serão emitidos gratuitamente para todos clientes do CloudFlare.

Como já diziam nossas avós: Quando a esmola é demais o santo desconfia!







Em declaração a imprensa o CEO e co-fundador do CloudFlare. Matthew Prince disse que estava liberando o serviço de SSL gratuito para todos os clientes interessados.

Explicou que ele resolveu fazer isso porque ele entendeu que essa seria sua missão: Ajudar a construir uma internet melhor e uma das coisas mais importantes que ele podia fazer era ativar o SSL Universal para todos os clientes pagantes e os não pagantes..

Ele disse: "Mesmo que isso faz mal a receita no curto prazo, é a coisa certa a fazer. Tendo criptografia de ponta pode não parecer importante para um pequeno blog, mas é fundamental para o avanço futuro criptografada por padrão da internet.

"Cada byte, porém aparentemente banais, que flui criptografados através da Internet faz com que seja mais difícil para aqueles que desejam interceptar, acelerador ou censurar a web.

"A internet é um sistema de crenças. No CloudFlare, temos orgulho de estarmos contribuindo para o sistema de crenças. E, depois de ter provado que SSL Universal é possível em nossa escala, esperamos muitas outras organizações nos siga e libere o SSL por todos os seus clientes e sem nenhum custo adicional. "

Ele reconheceu que o maior problema é o uso de navegadores antigos que não suportam a assinatura Elliptic Curve Digital Algorithm ( ECDSA ), no entanto, mais de 80% dos pedidos vêm de navegadores modernos (menos de seis anos de idade), e ele disse que percentual está crescendo rapidamente.

Ele disse também que espera que o SSL Universal incentive as pessoas a atualizarem seus navegadores e sistemas operacionais. "Às vezes, o progresso exige sacrificar alguma compatibilidade com versões anteriores", disse ele. "A boa notícia é que nenhum dos atuais clientes free do CloudFlare tinham anteriormente qualquer versão do SSL.

Matthew Príncipe disse ainda que este movimento irá dobrar o número de usuários de sites criptografados: "Ontem, havia cerca de dois milhões de sites ativos na internet com criptografia e até o final do dia de hoje, nós vamos ter que dobrou, declarou ele nessa quarta-feira dia 1º de outubro.

"Para um site que não tem atualmente SSL, será o padrão para o nosso modo SSL flexível, o que significa que o tráfego de navegadores para CloudFlare será criptografado, mas o tráfego de CloudFlare para servidor de origem não será criptografado. Para ser criptografado o proprietário do site precisará instalar um certificado em seu servidor web para que possamos criptografar o tráfego para a origem. Depois de instalar o certificado no servidor web e o modo SSL completo é possível criptografar o tráfego de origem e fornecer maior nível de segurança”.

Assim como os navegadores, ainda existe desafios com a carga da CPU e esgotamento do IPv4.

Ao ser questionado se os outros provedores vão seguir o seu exemplo, ele disse: "Nós não acreditamos que outros provedores sigam o mesmo caminho, pelo menos até que alguma pressão seja feita sobre eles.”

"No entanto, nós precisamos de mais navegadores de segurança avançada. Nós gostamos do que Cloudfare está fazendo e eles estão liderando o caminho para colocar a segurança do usuário em primeiro lugar. Nossa esperança é que a pressão o suficiente pode ser aplicada aos prestadores de serviços de comunicação e envergonhá-los para seguir o exemplo. "

Ontem no Grupo do Linkedin sobre Certificação digital foram colocados os seguintes pots sobre o assunto:





Parar de seguir Sergio

Cloudflare lança SSL gratuito

Sergio LealVP of Research and Development at ittruPrincipal contribuidor

Além de operar uma CDN de primeira linha gratuitamente, eles passam a ofecer certificados SSL de graça.

Como será que o mercado vai responder?
http://secutiryguru.blogspot.com.br/2014/09/cloudflare-lanca-ssl-gratuito.html
Security Guru: Cloudflare lança SSL gratuitosecutiryguru.blogspot.com.br
Security Guru: Cloudflare lança SSL gratuito



Eder Alvares. P.
Eder Alvares. P. Souza

Senior security consultant and co-founder at e-Safer Consultoria em Tecnologia da Informação

Sérgio pelo que eu entendi será um certificado provisionado pelo cloudflare que será implantado no servidor deles que atendem ao domínio do cliente. Assim, o cliente não irá gerar um par de chaves e receber o certificado e sim o pessoal da cloudflare irá gerar e disponibilizar um para o cliente. Inclusive o método que será praticado irá cifrar a conexão entre o visitando do site e o servidor da cloudflare e entre o servidor da cloudflare e o servidor do cliente não haverá cifra. Com isso, provavelmente o certificado utilizado será um simples domain validation e eles nem irão valiar a organização.

Pelo menos foi isso que eu entendi.

Abs.,
Eder Souza



Regina Tupinambá
CEO da Insania Publicidade e autora do Blog Certificação Digital

Isso é inacreditável!! Estamos vivendo uma enxorada de vulnerabilidades e ataques como nunca vistos e ainda existe espaço no mercado para certificados com apenas validação de domínio??




Eder Alvares. P. Souza
Senior security consultant and co-founder at e-Safer Consultoria em Tecnologia da Informação

Regina, sabemos quando custa uma validação segura e bem feita. Assim, sem custo somente certificado como esse e é a mesma prática adotada por empresas de hosting, isso quando o cara não compra um SAN DV e insere diversos clientes no mesmo certificado. Tudo para reduzir o custo ao máximo e segurança fica em segundo plano.

Abs.,

Eder Souza




Regina Tupinambá
CEO da Insania Publicidade e autora do Blog Certificação Digital

Eder, o problema é que nem todos os clientes entenderão que o que vale num SSL não é só a criptografia. Acreditarão que a Cloudflare está realmente proporcionando um item de segurança. Que bonzinhos...

A identificação numa cadeia de confiança é fundamental para a internet segura, como o Ceo da Cloudflare afirmou ontem que seria sua missão. Sem essa cadeia de confiança quem garante que o site do Bradesco é mesmo do Bradesco?

Um site idêntico pode estar criptografado por um hacker e as informações vão direto para os cibercrimonosos. SSL com validação de domínio não vale nada! E acho que o Prince - CEO da Cloldflare, não tem ideia do risco que ele esta expondo sua empresa.

Fácil assim: os hackers não precisam invadir servidores, basta colocarem um site clonado com criptografia, enviar uns spans e fisgar os iludidos para a armadilha! Muito mais simples que invadir o site, não acha?



Sergio
Sergio Leal

VP of Research and Development at ittru

Principal contribuidor

Amigos,

Esse assunto é bastante controvertido, ótima discussão.
Sempre apoiei a ideia de que pra cada tipo de necessidade existirá uma solução na medida certa. Assim, existe espaço para os certificados validados por organização (OV) e por domínio (DV).
Com a decisão do Google em favorecer os sites com HTTPS, a demanda de DV tinha tudo para disparar.
No caso do Cloudflare, a validação DV é automática, já que você teve que direcionar o seu DNS para apontar pra eles.
De qualquer maneira, estamos falando de operações que não exigem tanta segurança assim, uma vez que o Cloudflare já faz um man-in-the-middle.

Abs,
Sergio