regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 19 de julho de 2014

Snowden convoca hackers para atacar a NSA

HOPE - Hackers On Planet Earth

Snowden durante o evento convoca os hackers a construírem softwares para atacar a NSA !







Snowden, falou ao vivo com os participantes da conferência, realizada dia 11 de julho, por videoconferência a partir de Moscou. Disse que pretende dedicar muito do seu tempo à promoção de tecnologias, incluindo aquelas que permitem que as pessoas comuns se comuniquem de forma anônima utilizando criptografia para garantir o sigilo de suas mensagens.

"Vocês que estão nesta sala, possuem os meios e conhecimento para melhorar o futuro através da codificação de programas e protocolos pelos quais estamos sujeitos todos os dias ", disse ele na conferência de Nova York, conhecido como “Hackers On Planet Earth, or HOPE”

Snowden em todas as entrevistas e declarações sempre enfatiza o uso da criptografia para garantir o sigilo nas comunicações.

"Esse será meu trabalho no futuro”, disse à centenas de hackers que se aglomeravam em um auditório e salas de apoio para assisti-lo falar de Moscou.

Snowden é visto como um herói por um grande parte da comunidade de hackers que participaram na conferência HOPE, que inclui especialistas em informática, ativistas anti-vigilância, artistas e outros tipos de hackers.

Na conferência HOPE, várias palestras abordaram detalhadamente tecnologias para impedir a vigilância do governo, incluindo um sistema conhecido como SecureDrop que é projetado para permitir que as pessoas divulguem de forma anônima documentos sigilosos aos jornalistas.

A conferência contou com cerca de 100 apresentações sobre temas que vão desde a vigilância à pirataria e roteadores domésticos.

Snowden não tratou do seu status em relação a expiração do visto russo.

Acompanhe e divulgue esse blog!

Leia também
Manifestantes pressionam governo brasileiro para dar asilo a Snowden

A criptografia e a neutralidade da Internet

Net neutrality a key battleground in growing fight over encryption, activists say

Activists and tech companies fended off efforts in the U.S. in the 1990s to ban Internet encryption or give the government ways around it, but an even bigger battle over cryptography is brewing now, according to Sascha Meinrath, director of X-Lab, a digital civil-rights think tank launched earlier this year. One of the most contested issues in that battle will be net neutrality, Meinrath said.

The new fight will be even more fierce than the last one, because Internet service providers now see dollars and cents in the details of packets traversing their networks. They want to charge content providers for priority delivery of their packets across the network, something that a controversial Federal Communications Commission proposal could allow under certain conditions. Friday is the filing deadline for the first round of public comments on that plan.

Encrypted traffic can’t be given special treatment because it can’t be identified, Meinrath said. That could eliminate a major revenue source for ISPs, giving them a strong reason to oppose the use of encrypted services and potentially an indirect way to degrade their performance, he said. Meinrath laid out parts of this argument in a recent essay in the June issue of Critical Studies in Media Communication, called “Crypto War II” and written with tech policy activist Sean Vitka.

The U.S. government once sought to keep the country’s cryptographic technology to itself or to hold onto the keys to all encrypted data. Opponents won out and opened the door to encrypted services people use every day, such as shopping and email. But the ability to use encryption is under fire both from government and potentially from ISPs’ new business models, the essay said. The looming cryptography debate will also involve several other hot topics, including government surveillance spreading from networks into individual devices and the privacy of data generated by the “Internet of Things,” the authors wrote.

Net neutrality could be important to the use of encryption in at least two ways, according to Meinrath. For one thing, if broadband capacity is scarce on a busy service-provider network, and some traffic gets paid priority, then other traffic could suffer. Encrypted traffic is likely to get the short end of that deal. For example, a streaming video service that was encrypted and couldn’t be prioritized might stall or have longer buffer times if it had to share a crowded pipe with favored video streams.

In addition, ISPs might start to block encrypted traffic in order to maintain their business model. For example, if carriers can discriminate among applications, they can make some exempt from a user’s data consumption cap. AT&T has already announced plans for such a service, called Sponsored Data, on its cellular data network. Among other things, this could allow content providers to cover the cost of delivering their data to consumers, making their content more attractive.

That concept may get more complicated if encryption comes into play, Meinrath said. For example, in some developing countries, Facebook and mobile operators together are offering cheap mobile data deals that only cover Facebook. There are encrypted services that can tunnel through Facebook to give users access to other service, but carriers will want to know if anyone is circumventing the exclusive Facebook deal.

“The problem is that providers are going to say, ‘We need to be able to know that you’re not doing that, therefore we need to be able to ensure that you are not encrypting,’” he said.

All this doesn’t necessarily spell doom for your favorite banking, health insurance or video chat sites. The implications are deeper and longer term, Meinrath said.

“The problem is usually not the big 50 or big 100 services,” he said. “They always carve out for themselves an exemption.” But if a new competitor comes along that does the same thing better, it may be a different story.

“If you want to create the new Skype, or the new Facebook, or the new Google, you will have a hell of a time getting the same treatment as the incumbents,” Meinrath said.

Because of the way network discrimination could affect encrypted services, guaranteeing net neutrality will be critical to ensuring consumers’ right to privacy online, the authors wrote. They also call for regulators to keep control of communications in the hands of users and in their own devices at the edge of networks, giving consumers the power to encrypt their communications from end to end.

Conversando sobre criptografia com Henrique Costabile em um Cartório de Registro Civil

Esta semana, acompanhei o Guilherme, que trabalha comigo na Insania, até o cartório de Registro Civil na Rua Frei Caneca.  Estava aguardando o reconhecimento de firma sentada ao lado de um senhor que falava com outra senhora de como era bem organizado o Cartório de Registro Civil na Alamêda Santos. Que era informatizado etc. Fiquei curiosa  e mais tenta quando ouvi ele falar “certificado digital” e claro, me introduzi na conversa.

E ele continuou falando sobre a informatização nos cartórios. 

E eu não poderia perder a oportunidade para sondar seu conhecimento sobre o Portal de Registro Civil  (www.registrocivil.org.br), projeto em que a Insania esta trabalhando numa campanha publicitária para a ARPEN- SP.

Perguntei se ele sabia que poderia solicitar a segunda via da certidão pela internet e receber em sua casa. E ele não só conhecia o Portal de Registro Civil como já tinha utilizado e me falou do Portal. Incrível! Como precisava desta certidão no mesmo dia ele foi pessoalmente ao cartório senão teria pedido pela internet.

A essa altura, já estava torcendo para que não chamassem o número da fichinha do Guilherme.

Lembrei que as segundas vias das certidões de nascimento, casamento e óbito podem ser eletrônicas, enviadas por e-mail com a assinatura digital. E ele me perguntou? Você sabe o que é um certificado digital? Sem me deixar responder me deu uma aula básica sobre chaves públicas e privadas, criptografia assimétrica e por ai foi.

Depois me perguntou se eu sabia quem tinha descoberto a criptografia assimétrica e eu prontamente respondi o R , o S e o A. Sim, Ron Rivest, Adi Shamir e Len Adleman, disse ele. Opa! Ali vi que ele não era apenas um leigo bem informado.

Henrique Costabile
E então o forcei a se apresentar. Bem, eu estava conversando com
Henrique Costabile* que foi presidente do SERPRO, da 
FEBRABAN, PRODESP entre outras inúmeras e não menos ilustres atividades 
de sua vida profissional

E ele me disse que foi um dos primeiros a implantar a criptografia (simétrica)
 no Brasil num projeto da Forças Armadas, se não me engano em 1967.

A conversa se estendeu muito. A certidão do Guilherme ficou pronta
e continuávamos falando sobre certificação digital e de pessoas que fizeram
parte da implantação dessa tecnologia no Brasil, conhecidos em comuns.
Entre eles, o Dr Marcos da Costa, atual presidente da OAB SP, que sabe tudo e mais um pouco sobre certificação digital e demonstrou isso quando ainda fazia parte da comissão de tecnologia da FEBRABAN.

Adorei a conversa, fiquei com pena de ter que ir embora. O convidei a escrever um artigo para nosso blog. Vamos ver se ele nos brinda com um artigo.

É sempre muito bom conversar com as pessoas que contribuíram e contribuem com a implantação dessa tecnologia e conhecer suas percepções sobre o momento atual quando já termos mais de seis milhões de certificados digitais emitidos na hierarquia brasileira e muitas aplicações no judiciário, na saúde, em órgão públicos, na iniciativa privada, nos cartórios etc.

O mercado financeiro é que ficou para trás na adoção dessa  tecnologia. Noutro dia, estava relendo um artigo de 2002 ou 2003 em que o Ariosto da Receita Federal do Brasil falava sobre o futuro e nele ele dizia que a expansão do uso da certificação digital se daria pelo meio do mercado financeiro. É o que todos nós acreditávamos naquela época, mas vamos reservar esse tema para outro artigo do blog.

Temos muito a evoluir no campo da criptografia e identificação digital em relação as funcionalidades, aplicações, legislação, usabilidade etc, mas temos que admitir que já conquistamos muito.

E vamos em frente!


* Henrique Costabile é Engenheiro formado na Escola Politécnica da USP, com aperfeiçoamento em Administração Financeira pela Fundação Getúlio Vargas, especializou-se, nos Estados Unidos, em Computação e Marketing e, na França, em Redes de Dados e Telecomunicações. Em sua carreira profissional exerceu vários cargos públicos, foi professor da PUC/SP e trabalhou em grupos financeiros de porte como Citibank, Unibanco, Banco Itamarati, Banco Antônio de Queiroz e Banco Fibra. No governo, já exerceu os cargos de Diretor da Prodesp, Subsecretário de Serviços da Secretaria Especial de Informática, membro do Conselho Nacional de Informática e diretor de logística da Caixa Econômica Federal, onde desenvolveu projetos relevantes como a prestação de serviços bancários em estabelecimentos comerciais e cartórios de todo o país e a implantação do Cartão do Cidadão.

quinta-feira, 17 de julho de 2014

Easier Ways to Protect Email From Unwanted Prying Eyes



By MOLLY WOOD
JULY 16, 2014

IT’S time to face reality: Pursuing digital security should be as much of a no-brainer as locking
your door before you leave the house.

Identity theft, corporate security breaches and an increased interest in personal privacy are forcing some changes. Many of us are choosing stronger passwords and changing them more often, locking down social media accounts and being more conscious of how we communicate. If you haven’t taken these steps, you should.

But one of our favorite forms of electronic communication — email — remains one of the hardest to secure. Security experts say email is a lot more like a postcard than a letter inside an envelope, and almost anyone can read it while the note is in transit. The government can probably read your email, as can hackers and your employer.

What’s the solution? Make your email more like a letter inside an envelope. The best way to do this is with a process known as encryption, which scrambles a message into unreadable code that needs a key to be unlocked, providing a layer of protection if someone intercepts your email.

Molly Wood

The downside to encryption tools is that they are usually difficult to install and use. In addition, they require the person on the other end to be using the same tools. Thanks to a renewed focus on privacy and security, however, new tools are arriving regularly that should make it easier to encrypt email.

One promising new encryption tool is Virtru, a feature that can be added to Chrome and Firefox browsers or installed on the Mail program on the Mac and for Outlook on Windows. One of Virtru’s big selling points is that it works with web-mail services like Gmail, Yahoo and Hotmail. There are also apps for iOS and Android.

Another big benefit of Virtru is that recipients don’t have to be using the service or any other encryption program to see your email. They receive an email that contains a link to your encrypted message. Once they click a button to verify their email address, they can read the unencrypted message in a separate web page and reply.

Their responses won’t be encrypted unless they also use Virtru, but your original email won’t be included in the response, so it remains hidden from prying eyes.

While Virtru is not a completely seamless experience, it is a walk in the park compared with some of the other options, which require signification coordination with the recipient of your messages.

To install the browser plug-in, click the Get Virtru button on the company’s website and it will detect what browser you’re using. Click to download and the extension will install itself, all quickly and easily. You don’t even have to restart your browser. (The company says support for Internet Explorer and Safari is coming soon.)

The next time you compose a new email, you’ll see a blue bar at the top of your email window with a little toggle button that lets you turn Virtru encryption on or off and access other options. Then, type your email normally and hit send.

Emails and attachments are encrypted on your computer or mobile device and decrypted on the other side — so-called end-to-end encryption, which means they can’t be read in transit and they can’t be decrypted without a key if they are intercepted.

I particularly like that you can determine which emails you want to encrypt, case by case; and I like that it encrypts any type of attachment as well as normal email messages.

The service also adds control over your emails after you send them: you can disable forwarding, for example, and even set messages to expire after a certain period of time. You can also revoke access to an encrypted message so your recipient won’t be able to decrypt it in the future if the relationship goes sour.

The methods aren’t foolproof; someone can obviously still take a screenshot of an email once it’s decrypted, or copy and paste the contents into a different file. And if your recipient writes back without encrypting the response, at least part of the conversation is not secure.

Another drawback comes on mobile. You must use Virtru’s app to compose and send secure messages on your mobile device, since it doesn’t work on other mail apps on the phone.

And there is one other aspect about Virtru that might make some people leery of the service: One of the company’s founders, Will Ackerly, was a security engineer for the National Security Agency, the government agency that is said to intercept many forms of digital communications.

Virtru promotes his background as a benefit. And John Ackerly, Mr. Ackerly’s brother, a co-founder and the company’s chief executive, says the company has taken pains to prove it is not tied to the N.S.A. Much of Virtru’s code is open-source and has been published for peer review, giving the public a chance to look for potential vulnerabilities or back doors.

Any Virtru product code that hasn’t been published online is available for anyone who requests it, John Ackerly said. That doesn’t affect the strength of its encryption; it’s more like showing you the inner workings of a lock on a door. You can make sure the lock is strong, but it doesn’t mean you can copy the key.

In addition, the company is encouraging other companies or even individuals to set up servers that will store the encryption keys Virtru uses to decrypt emails. That would prevent all the keys from being stored in one place, adding another layer of security. When it comes to security, such distributed systems are generally safer.

Although Virtru is relatively easy to use, it is not nearly the only option — especially if you just want to send a single encrypted message, perhaps one that contains financial information.

If you’re looking for one-off encryption, try a site like InfoEncrypt, which says it encrypts messages in the browser without storing any information.

With InfoEncrypt, you type a message, create a password and then encrypt it. Then, you copy the encrypted message and paste it into an email and send it to someone. This is a little onerous, though. In order for the recipient to open the message, the sender must also pass along the password, presumably through something other than email.

Another one-off option is SafeMess, which works much like InfoEncrypt. But SafeMess lets you set an expiration time for your messages, ranging from three minutes to 90 days.

Expect more simplified encryption tools soon. Google, for example, is letting developers test end-to-end encryption tools for Chrome and hopes to release them broadly in the near future. And a hacker, Nadim Kobeissi, is showing off a prototype tool, miniLock, at a hacker conference this weekend. The tool is a free, open-source browser plug-in that will let users easily encrypt just about anything.

But for now, at least, a crucial part of email security might be recognizing that email shouldn’t be used for your most secure communications. It’s a hard thing to get used to, since we’ve used email for so much for so long. Security experts say it is easier to encrypt more temporary communications, like text messages (using a service like TextSecure) than far-flung and varied email systems.

And whenever you think about secure communications, it’s good to remember the safest method of all: talking face-to-face.
MACHINE LEARNING

Fonte:

Easier Ways to Protect Email From Unwanted Prying Eyes - NYTimes.com
MACHINE LEARNING
Easier Ways to Protect Email From Unwanted Prying Eyes

segunda-feira, 14 de julho de 2014

Safeweb emite Certificados Digitais no âmbito da ICP-Brasil


FREDY VIEIRA/JC
Afonso, Zancanella, Zancanella Júnior e Schewe

A Safeweb Segurança da Informação é uma empresa gaúcha com 17 anos de atuação no mercado nacional, e credenciada junto ao Instituto Nacional de Tecnologia da Informação (ITI) para emissão de Certificados Digitais no âmbito da ICP-Brasil, sendo parceira oficial da Certificação Digital Serasa Experian. Conta hoje com mais de 110 postos de atendimento em todo País, está presente em 14 estados brasileiros e no Distrito Federal.

O diretor-presidente da Safeweb, Luiz Carlos Zancanella, diz que a Certificação Digital gera uma série de subprodutos, tendo como tarefa essencial fazer com que a informação seja tratada de maneira segura na internet. Acrescenta que a expertise da Safeweb está, justamente, direcionada à segurança da informação.

Zancanella explica que o certificado digital é ferramenta que possibilita assinaturas eletrônicas com validade jurídica, tais quais as assinadas de próprio punho e reconhecidas em cartório.

Detalha que a Safeweb oferece uma lista de soluções voltadas para a segurança da informação, como Autenticação de Fonte, Sistema de Votação pela Internet, Administração sem Papel, Portal para Assinatura de Documentos Elestrônicos e Soluções para o SPED - Sistema Público de Escrituração Digital, como Notas Fiscais eletrônicas (NF-e), Notas Fiscais de Serviço eletrônicas (NFS-e) e de Conhecimento de Transporte eletrônico (CT-e).

O diretor-presidente, bem como, Luciano Schewe, gerente de canais e Daniel Fabre Afonso, gerente-operacional da empresa e Luiz Carlos Zancanella Júnior, diretor de Tecnologia da Informação (TI), destacam que a base tecnológica da Safeweb é garantida por meio de convênios de cooperação com a Microsoft.

Desde sua fundação, a Safeweb reúne em seu portfólio de clientes, microempresas e grandes companhias. Ao longo deste tempo, já emitiu também mais de 240 mil dertificados digitais e chegou à marca de 15 milhões de assinaturas digitais por meio de seu sistema de nota fiscal eletrônica.

Hoje, conta com uma equipe técnica que reúne profissionais de alto nível com certificação Microsoft, mestrado e doutorado. No que diz respeito à emissão de Certificados Digitais, Zancanella salienta que eles são entregues na hora aos clientes em todos os postos da Safeweb.

A empresa foi fundada em 1996, tendo como foco de mercado, o desenvolvimento de soluções para edifícios inteligentes; em 2001, direcionou as suas atividades para segurança da informação, tornando-se pioneira em Certificação Digital no Estado. Em 2005, obteve autorização para atuar como AR-Safeweb, sendo a primeira Autoridade de Registro ICP-Brasil, vinculada à Serasa Experian no Rio Grande do Sul.

Com a instituição do Sped, em 2007, a Safeweb passou a disponibilizar soluções para os documentos eletrônicos desse sistema, usando modernos conceitos de software como serviço e computação em nuvem.

“Em 2011, a empresa inovou mais uma vez”, explica o empresário, acrescentando que ela deu um passo significativo com a implantação de uma Autoridade de Atributos para dar suporte ao Sass – Safeweb Authentication for Security System – uma solução web para gestão de acesso a sistemas seguros, que integra Certificados de Atributo e Certificados Digitais.

Zancanella lembra que em 2012, a Safeweb inaugurou sua sede própria em Porto Alegre, sendo que as operações desta nova sede se consolidaram em 2013. 

Um grande passo, segundo ele, será dado até o fim de 2014, quando a Safeweb se tornará Autoridade Certificadora e Autoridade de Carimbro de Tempo, vinculada à ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira).

Informações adicionais:

A sede da Safeweb está localizada na avenida Princesa Isabel, 828, em Porto Alegre. Site: www.safeweb.com.br. E-mail: safeweb@safeweb.com.br.

domingo, 13 de julho de 2014

Validade de documentos eletrônicos assinados digitalmente


Hoje recebi um e-mail de um leitor do Blog que se corresponde comigo há algum tempo sobre temas relacionados a certificados digitais, óbvio.

Ele entrou no quesito - tempo de validade de documentos eletrônicos assinados digitalmente.

A maioria dos usuários, e esse não é o primeiro leitor que tem essa mesma dúvida, atribui à validade do documento eletrônico à validade do certificado digital.

Pra mim, que falo sobre o tema há 18 anos isso é a glória. Como dizia vovó - antes tarde do que nunca! Não se discute mais sobre a validade dos documentos eletrônicos assinados digitalmente! 

A preocupação agora é com o “tempo de validade” do documento eletrônico assinado.

Bem, falei com ele sobre tempestividade e temporalidade. Resumidamente: Tempestividade é o momento em que o certificado digital foi aplicado e Temporalidade é justamente sua validade. A comprovação de que no momento em que foi utilizado o certificado digital era válido.

O certificado digital não perde sua validade. Validade é período em que ele estará operacional. O correto é falarmos que a validade expirou para uso, porque a validade do certificado digital é e sempre será o período determinado no momento de sua emissão. Pelo período de tempo previsto que estará válido. O certificado por ser revogado antes do tempo determinado da validade expirar, então ele não será mais operacional.

O período de validade é volátil. Hoje temos certificados com validades distintas. O de uma Autoridade Certificadora no âmbito da ICP-Brasil, por exemplo, é de 10 anos e teremos em futuro breve, uma validade especial para as assinaturas das Autoridades Certificadoras para aplicações de emissão de passaportes que será superior à 10 anos. Certificados de pessoas físicas e jurídicas varia de 1 a 5 anos. Mas, um certificado digital pode ter sua validade com período menor. Nunca maior do que determina a legislação da ICP-Brasil.

O propósito do tempo de validade dos certificados digitais segue o mesmo princípio da validade dos documentos de identidade que utilizamos como CNH, Passaporte, RG etc.. Não é uma questão comercial para a indústria faturar. Isso é administração de riscos. Ë selar pela identidade dos indivíduos e revalidar condições de uso de uma determinada credencial de identificação.

Voltando para a questão da verificação das validades dos documentos assinados digitalmente, entra em cena o CARIMBO DO TEMPO.

Tecnologia indispensável para a massificação do uso dos documentos eletrônicos assinados digitalmente. Isso porque, os técnicos sabem perfeitamente correr uma trilha de auditoria para fazer essa avaliação de tempestividade/temporalidade, mas quem não detém o conhecimento técnico dessa tecnologia precisa se cercar de sinais de fácil verificação para confiar e seguir em frente.

Estamos ansiosamente aguardando uma legislação que determine o uso do CARIMBO DO TEMPO atrelado a assinatura de documentos eletrônicos com validade jurídica.

Hoje alguns portais de assinaturas já utilizam esse recurso tecnológico, mas milhões de documentos são assinados e transmitidos sem esse recurso.

A tramitação dos documentos eletrônicos no âmbito do poder judiciário brasileiro, por exemplo, a maior comunidade de emissores de documentos assinados digitalmente, está subordinada a comprovação da tempestividade das ações pela ponta das aplicações dos tribunais. Isso pode não ser incorreto em termos de legislação, procedimentos, comprovação etc, pois a auditoria em caso de dúvida é possível, mas não é uma ação corriqueira e a falta do Carimbo do Tempo emitido por uma ACT - Autoridade de Carimbo do Tempo subordinada a ICP-Brasil que data a hora oficial brasileira em que a ação foi realizada, no mínimo não contribui com a transparência necessária e indispensável no uso dos recursos tecnológicos.

Precisamos debater mais sobre o assunto! 

Regina Tupinambá
Trabalhou por 15  anos na Certisign Certificadora Digital como diretora responsável pelas áreas de Marketing, Comercial, SAC, Suporte Técnico, Treinamentos, Canais de distribuição e hoje é CEO da Insania Publicidade, uma agência de comunicação interativa e autora do blog certificação digital.

Qualquer dúvida ou contribuição com o artigo, entre em contato pelo e-mail é rtupinamba@gmail.com
 Siga esses Twitters @rtupinamba e @crypto_id