regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 11 de outubro de 2014

Módulo eSocial tem consulta pública

O eSocial vai coletar de maneira integrada as informações trabalhistas, previdenciárias, tributárias, fiscais e do FGTS relativas à contratação e utilização de mão de obra onerosa, com ou sem vínculo empregatício

Até 4 de novembro está aberta a Consulta Pública para subsidiar o desenvolvimento de módulo do eSocial específico para Micro e Pequenas Empresas. 

Essa é uma iniciativa conjunta entre o Sebrae, a Secretaria da Micro e Pequena Empresa, o Ministério do Trabalho e Emprego, a Receita Federal do Brasil, a Caixa Econômica Federal (CEF), o Ministério da Previdência Social (MPS), o Instituto Nacional de Seguro Social (INSS) e a Fenacon.

O eSocial é um projeto do Governo Federal que vai coletar de maneira integrada as informações trabalhistas, previdenciárias, tributárias, fiscais e do FGTS relativas à contratação e utilização de mão de obra onerosa, com ou sem vínculo empregatício. Um de suas premissas é não criar novas obrigações às empresas e empregadores e aproveitar as informações já disponíveis nas bases do Governo Federal, evitando duplicidades.

Inicialmente, o layout do eSocial foi concebido para abranger todo o espectro de empresas e empregadores, das menores até grandes empresas. Por isso, ele contém uma série de campos de preenchimento para dar conta dos eventos que podem acontecer numa empresa no decorrer de suas atividades. Percebeu-se, no entanto, que vários desses eventos não seriam possíveis de ocorrer em MPE, devidos as suas peculiaridades.

Por esse motivo, e como forma de garantir o tratamento constitucional diferenciado aos pequenos negócios, decidiu-se pelo desenvolvimento de um módulo específico para as MPE. Além de apenas possuir campos relativos a eventos possíveis de ocorrer considerando a realidade desse grupo de empresas, prevê-se formato que torne o preenchimento mais simples e amigável. Lembrando que esse módulo não se aplica aos Microempreendedores Individuais (MEI).

O documento em consulta já é um primeiro avenço em direção ao módulo para a MPE. Podendo fazer mais e tornar o módulo ainda mais adequado à realidade do donos de pequenos negócios. Para isso, a colaboração de todos é essencial.

Acesse www.consultas.governoeletronico.gov.br, clique na aba “Consultas em Andamento” e dê a sua contribuição.

quinta-feira, 9 de outubro de 2014

Guia Interativo sobre SSL

SSL Certificates
symantec-wss.com

Veja o guia interativo da Symantec sobre a segurança em seus negócios e utilização da criptografia em servidores web.

https://www.symantec



ensure safe online transactions for your business, protecting your customers from internet security threats. Our interactive guide covers everything you need to get started, with an introduction to new encryption technology.

e-Safer, Symantec e CryptoId convidam: SSL's Day


e-Safer, Symantec e CryptoId convidam: SSL Day

"Será que a minha organização está em risco?"

A e-Safer e a Symantec tem o prazer em convidá-lo(a) para uma tarde no escritório da Symantec.

Você vai entender a importância dos certificados SSL e conhecer algumas maneiras de garantir a segurança contra as mais recendentes vulnerabilidades.

Abertura

 Symantec – Leandro Vicente | e-Safer - Willian Bergamo |
| Blog Certificação Digital – Regina Tupinambá.

Vulnerabilidades e a Importância dos certificados SSL Eder Souza(e-Safer)

O que está rolando e você precisa entender
Eder Souza(e-Safer)

Porque fazer parte da maior rede de segurança mundial?

Esperamos por você!

Inscreva-se

Quarta-feira, Outubro 22, 2014
14:00 - 17:30 GMT-3

Localização
Symantec
Av. Dr. Chucri Zaidan, 920 - 14o andar - Torre 1 do Shopping Market Place - São Paulo - SP BRA

quarta-feira, 8 de outubro de 2014

Certidão Eletrônica é lançada oficialmente no Estado do Rio Grande do Sul


Serviço que permite a emissão de certidões entre cartórios entra em vigor em 13 de outubro



Porto Alegre (RS) - Foi lançada oficialmente nesta terça-feira (07.10), na sede do Palácio da Justiça do Rio Grande do Sul, , na Praça da Matriz no Centro de Porto Alegre, o serviço de emissão de certidões eletrônicas de nascimentos, casamentos e óbitos no Estado. O novo serviço permite que o usuário se dirija a qualquer cartório para solicitar um registro que esteja em qualquer das 409 unidades registrais gaúchas e a receba por meio de transmissão eletrônica, utilizando a Central de Registro Civil (CRC-RS).

Este serviço foi resultado do trabalho do Sindicato dos Notários e Registradores (Sindiregis-RS) junto à Corregedoria Geral da Justiça do Estado (CGJ-RS). Calixto Wenzel, diretor do Sindiregis-RS e coordenador da Comissão Gestora Central da Certidão Eletrônica, apontou que o novo serviço, disponível pelo Provimento nº 17 da CGJ-RS, entra em vigor no próximo dia 11.10, sábado, e passa a funcionar em todo o Estado no dia 13.10. Calixto apresentou um vídeo ilustrativo do novo serviço para que todos os presentes compreendessem melhor a inovação. Clique aqui e assista o vídeo.


Edison Ferreira Espíndola, presidente do Sindiregis-RS, agradeceu especialmente a CGJ-RS pela parceria e por “confiar no trabalho dos registradores civis do Estado”. Edison destacou a presença da Associação dos Registradores de Pessoas Naturais do Brasil (Arpen-Brasil) e das associações estaduais do Paraná, Rio de Janeiro e São Paulo, dizendo que o “apoio dos colegas registradores é muito importante e nos honra muito sua presença neste evento”.

O presidente da Arpen-Brasil, Ricardo Augusto de Leão, também foi convidado a compor a mesa e discursar. Ricardo falou que “todos os corregedores do Brasil devem normatizar sobre este assunto, para padronizar o serviço dos registradores”. “O Registro Civil não pode criar seus próprios meios de trabalho, por isso vim agradecer e reconhecer o serviço da CGJ-RS e do TJ-RS, pois só com eles é possível melhorarmos nossa prestação de serviços”, destacou o presidente.

O Corregedor-Geral da Justiça, Desembargador Tasso Caubi Soares Delabary, disse ser “uma satisfação poder realizar o lançamento desse serviço tão importante para a cidadania”. “Temos uma parceria com o extrajudicial para levarmos à população serviços mais seguros e ágeis”, ressaltou o Corregedor.

Deborah Coleto Assumpção de Moraes, Juíza Corregedora do TJ-RS, destacou que “esta parceria deve ser reforçada entre a CGJ e o extrajudicial, pois temos muitas outras ferramentas para colocar em prática”.

O presidente do TJ-RS, desembargador José Aquino Flôres de Camargo, disse que o “deixa muito feliz ver como anda o trabalho da Corregedoria, que a par da função de fiscalizar, tem uma visão abrangente do extrajudicial, que presta um serviço de qualidade à população”. “A CRC facilita a vida do cidadão e a correição por meio da Corregedoria”, ressaltou Camargo.
Fonte: Assessoria de Imprensa

Conheça a Nação Digital





No último dia 5 de outubro, foi oficializada a fundação do movimento de um grupo autointitulado “Nação". Eles se reuniram em Brasília para fundar a Nação Digital que é uma OSCIP - Organização da Sociedade Civil de Interesse Público.

A Nação Digital tem como objetivo trabalhar pelo uso intensivo da Tecnologia da Certificação Digital, ou seja, levar à cidadania aos brasileiros pelo uso dessa tecnologia.

Os ideais que fundamentam o grupo são:

Qualquer cidadão, a qualquer momento, e de qualquer lugar, deveria ter sua voz ouvida no processo de formulação das leis e políticas públicas

A tecnologia atual, a Internet, os computadores, a criptografia moderna, e a ICP-Brasil, aliadas à CF/88, torna possível a criação de um espaço público que todos podemos frequentar para discutir, concordar, discordar, comentar e aprimorar as ideias e projetos de lei do país, dando nosso voto com a segurança e a validade jurídica do Certificado Digital ICP Brasil.

Hoje não temos um espaço público como as colina da Pólis, mas com a Nação Digital, em lugar do topo de uma colina, usaremos a força da WEB, dos aplicativos mobile, das redes sociais, e, principalmente da vontade de cada brasileiro de exercer plenamente sua cidadania.

O grupo lembra que nas Pólis surgiram as primeiras formas de democracia. Ali, quando se identificava um problema, todos se reuniam no topo de uma colina, discutiam, e, pelo voto, decidiam sobre as questões. E o que chamamos, “Democracia Direta”! E complementam que hoje enfrentamos três problemas:

1) diversidade - uma solução comum é algo muito mais complexo do que na antiguidade;
2) diferente da Grécia antiga, ser cidadão hoje em dia já não mais é uma vocação; e
3) por não praticarmos a democracia regularmente, muitas vezes nos sentimos despreparados e deixamos de contribuir com boas ideias.


Então, designamos representantes eleitos, que se organizam politicamente e fazem esta discussão pública em nosso nome.



Abaixo segue a lista dos idealizadores e participantes desse importante desafio:

Robson Carvalho Machado (Diretor de Infraestrutura da Via Internet S/A, Responsável pelo desenvolvimento do projeto Rede ICP Seguro e da expansão desse projeto como Rede ICP e, ainda Presidente da Nação Digital); Victor Octávio Machado e Silva (Coordenador de Compliance e Conteúdo da Nação Digital); Bruno Bennotti Barbosa Moura (programador especializdo em Certificação Digital da Via Internet S/A e da Nação Digital); Lucas Ferraro (Analista de Sistemas da Certisign e Mestre em Ciência da Computação, responsável pela Coordenação de Certificação Digital da Nação Digital); Joilson Thadeu Marques de Souza (Analista de sistemas especializado em interfaces de alta performance e acessibilidade da Nação Digital); Carlos Eduardo Lima (Analista de Banco de Dados e Vice-Presidente de Tecnologia da Nação Digital); Jorge Luis Alves (Especialista em Data Intelligence da Nação Digital); Márcio Antônio Matias (Advogado e Auditor, presidente do Conselho Fiscal da Nação Digital); Getulio Romão Campos Junior (especialista em sistemas WEB de alta disponibilidade e em interfaces móveis, Coordenador das áreas de FrontEnd e BackEnd da Nação Digital); Rodrigo Macedo Paiva (Diretor de Business e E-Commerce da Via Internet S/A e Conselheiro da Nação Digital); Alberto Alvares de Sousa (Especialista em Administração Financeira, Vice-Presidente de Finanças e Controle da Nação Digital); Bruno Siqueira de Abreu e Lima (um dos membros fundadores do Movimento Contra a Corrupção e Conselheiro da Nação Digital); Manuel Dantas Matos (Presidente da Via Internet S/A, Conselheiro do Comitê Gestor da ICP Brasil, Delegado da Federação Nacional de Corretores no Sindicado de Corretores de São Paulo, Gestor das Autoridades Certificadoras Sincor SP, Sincor Rio, AC BR e AC Notarial; Patricia Macedo de Paiva (Gestora da MM Consultores Assosiados e coordenadora das Autoridades Certificadoras AC BR e AC Notarial) e Jônatas da Costa Coelho (Advogado da Valadares, Coelho, Leal Advogados Associados, responsáveis pela instituição da Nação Digital).

segunda-feira, 6 de outubro de 2014

Uma tarde sobre SSL. Não perca!


Abertura


Symantec – Leandro Vicente | e-Safer - Willian Bergamo | Blog Certificação Digital – CryptoId - Regina Tupinambá.

Desvendando os certificados SSL                                     
Eder Souza – Consultor e Co fundador da e-Safer
 A evolução técnica dos certificados SSL/TLS






Tipos de certificados SSL/TLS por tipo de validação e funcionalidade
Entenda a diferença entre os Certificados Digitais SSL, WildCard, SAN, EV, EV-MDC e MDC.
Qual é o certificado certo para cada aplicação da sua empresa?
Como sua equipe pode gerar a CSR sem complicações?
Coffe Breack
Vulnerabilidades - Será que minha organização está em risco?
Eder Souza – Consultor de Segurança e Co-fundador da e-Safer
Quais as Instituições internacionais que regulam as regras das boas práticas de segurança dos servidores web?

Porque é importante entender e acompanhar as novas regras do ICANN para nomear seus servidores por exemplo?
Entenda o que foi considerada a maior vulnerabilidade da Internet:  Heartbleed
Quais seriam as vulnerabilidades a que sua organização está exposta sem as correções sugeridas?
o que tá rolando e você precisa entender
Google dará mais relevância para busca orgânica aos sites com criptografia
Recall de certificados SSL de SHA1 / SHA-2. Quais as ações que você precisa executar?
Livre para perguntas


PARA PARTICIPAR É NECESSÁRIO QUE VOCÊ SE INSCREVA  NO LINK ABAIXO

O que são SSL, SSH, HTTPS?










SSL - Secure Socket Layer

Para que serve o SSL?

É um sistema que permite a troca de informações entre dois computadores, de modo seguro. SSL fornece 3 coisas:

Privacidade: Impossível espionar as informações trocadas.
Integridade: Impossível falsificar as informações trocadas.
Autenticação: Ele garante a identidade do programa, da pessoa ou empresa com a qual nos comunicamos.
SSL é um complemento ao TCP / IP e pode (potencialmente) proteger qualquer protocolo ou programa usando TCP/IP.

O SSL foi criado e desenvolvido pela empresa Netscape e RSA Segurança.

Agora há versões de código aberto (Open Source), assim como um protocolo livre semelhante: TLS (ver mais abaixo).

Por que usar o SSL em vez de outro sistema?

Por que usar o OpenSSL?

SSL é padronizado.
Existe uma versão livre do SSL: OpenSSL que você pode usar nos seus programas, sem pagar direitos autorais.
OpenSSL é Open Source: todo mundo pode controlar e verificar o código-fonte (O segredo fica nas chaves de criptografia, não no algoritmo em si).
SSL foi criptoanalizado: este sistema foi mais analisado do que todos os seus concorrentes. O SSL foi revisado por inúmeros especialistas em criptografia. Portanto, pode ser considerado seguro.
Ele é muito conhecido: é fácil criar programas que interagirão com outros programas usando o SSL.

Muito cuidadocom os sistemas proprietários: ao contrário do que se poderia pensar, a segurança de um sistema de criptografia não se baseia no segredo do algoritmo de criptografia, mas no segredo da chave. Devemos confiar apenas em sistemas que foram publicados e analisados.

Como funciona o SSL?

SSL é composto de dois protocolos:
SSL Handshake protocol: antes de comunicar, os dois programas SSL negociam chaves e protocolos de criptografia em comum.
SSL Record protocol: Uma vez negociados, eles criptografam todas as informações trocadas e realizam vários testes.

O aperto de mão SSL ("handshake")
No início da comunicação o cliente e o servidor trocam:
A versão SSL com a qual eles querem trabalhar,
A lista de métodos de criptografia (simétrico e assimétrico) e de assinatura que todo mundo conhece (com comprimentos de chaves),
Métodos de compressão que todo mundo conhece
Números aleatórios,
Certificados.

Cliente e servidor tentam usar o melhor protocolo de criptografia e diminuem até encontrar um protocolo comum para ambos. Depois de feito isso, eles podem começar a troca de dados.

A comunicação SSL ("record")
Com o SSL, o remetente de dados:
Corta os dados em pacotes,
Comprime os dados,
assina criptograficamente os dados,
Criptografa os dados,
Envia os dados.

Aquele que recebe os dados:
Desencriptografa os dados,
Verifica a assinatura dos dados,
Descompacta os dados,
Remonta os pacotes de dados.

Como o SSL protege as comunicações?

O SSL usa:
um sistema de criptografia assimétrico (como o RSA ou o Diffie-Hellman). Saiba mais aqui: ele é utilizado para criar a "master key" (chave principal), que criará chaves de sessão.
um sistema de criptografia simétrico (DES, 3DES, IDEA, RC4...) usando as chaves de sessão para criptografar os dados.
um sistema de assinatura criptográfico das mensagens (HMAC, utilizando o MD5, SHA...) para ter certeza de que as mensagens não estão corrompidas.

É durante o "handshake" SSL que o cliente e o servidor escolhem os sistemas comuns (criptografia assimétrica, simétrica, assinatura e comprimento de chave).

No seu navegador, você pode ver a lista dos sistemas utilizados, colocando o cursor sobre o cadeadinho, quando você está em uma página HTTPS.

Para que servem os certificados?
Durante uma negociação (handshake) SSL, verifique a identidade da pessoa com quem você está se comunicando. Como ter certeza de que o servidor com quem você está falando é quem ele diz ser?

É aí que entram os certificados. Na hora de se conectar a um servidor web seguro, este enviará um certificado com o nome da empresa, endereço, etc. É uma espécie de carteira de identidade.

Como verificar a autenticidade desta carteira de identidade?

São as PKI (Public Key Infrastructure), das empresas externas (às quais você faz, implicitamente, confiança), que vão verificar a autenticidade do certificado.

(A lista destas PKI está incluída no seu navegador. Geralmente tem a VeriSign, a Thawte, etc.)

Estas PKI assinam criptograficamente os certificados das empresas (e elas são pagas por isso).

O uso do SSL: HTTPS, SSH, FTPS, POPS...

O SSL pode ser usado para proteger praticamente qualquer protocolo usando TCP / IP.

Alguns protocolos foram especialmente modificados para suportar o SSL:

HTTPS: é HTTP+SSL. Este protocolo está incluído em praticamente todos os navegadores, e permite que você (por exemplo) consulte suas contas bancárias na web de forma segura.
FTPS é uma extensão do FTP (File Transfer Protocol) usando SSL.

SSH (Secure Shell) é uma espécie de telnet (ou rlogin) seguro. Isso permite que você se conecte a um computador remoto com segurança e ter uma linha de comando. O SSH tem extensões para proteger outros protocolos (FTP, POP3, ou mesmo X Windows).

É possível tornar seguros os protocolos, criando túneis SSL. Depois de criar o túnel, você pode fazer passar qualquer protocolo por ele (SMTP, POP3, HTTP, NNTP, etc). Todos os dados trocados são criptografados automaticamente.

Isto pode ser feito com ferramentas como o STunnel ou o SSH .

Veja este exemplo com o protocolo POP3:




Com o protocolo POP3 que, normalmente, você usa para ler os seus e-mails, as senhas e as mensagens transitam claramente na Internet. Suas senhas e mensagens podem ser roubadas.



Com o túnel SSL, e sem alterar os softwares cliente e servidor , você pode garantir a recuperação de seus e-mails: ninguém pode roubar suas senhas ou e-mails, pois tudo que passa pelo túnel SSL é criptografado.

Mas isso requer a instalação do STunnel no cliente e no servidor.
Alguns provedores de acesso oferecem este serviço, mas ainda é muito raro. Pergunte ao seu provedor de acesso se ele tem este tipo serviço instalado.

O STunnel permite assim a proteção da maioria dos protocolos baseados no TCP/IP, sem alterar os softwares . Ele é muito fácil de instalar. 

Quais são as diferentes versões do SSL?

O SSL versão 3.0 é muito semelhante ao SSL versão 2.0 , mas o SSL v2.0 tem menos algoritmos de criptografia que o SSL V3.0.

TLS v1.0 é um protocolo semelhante com base no SSL. As aplicações usando o TLS v1.0 pode se comunicar facilmente com as aplicações utilizando o SSL v3.0.
Então, quando vejo o cadeado, estou protegido?

O cadeado te indica se as comunicações entre o seu browser e o site são seguras: ninguém pode espiá-los, e ninguém pode mexer nas comunicações. Mas ele não garante nada mais

Para tirar uma foto:

HTTPS (o cadeado), é como um carro blindado: ele garante a segurança do transporte.

Mas realmente só transporte.

O carro blindado não garante que o banco usa bons cofres e que eles fecham bem.

O carro blindado também não garante que o banco não desfalque ninguém.

O carro blindado realmente só garante o transporte.

É a mesma coisa para o HTTPS (o cadeadinho do browser).

Da mesma forma que criminosos podem contratar um carro blindado, piratas e bandidos podem muito bem criar um site seguro (com o cadeadinho).

Tenha cuidado e não confie em qualquer informação em qualquer site, com ou sem cadeado.



Artigo original publicado por sebsauvage

Tradução feita por Lucia Maurity y Nouira