Olá pessoal, estarei apresentando a vocês algumas definições da certificação digital, importante ferramenta de controle e combate ao crime digital ou por computador; que está dividido em duas partes.
Esta primeira fala sobre:
Autenticidade;
Algoritmo matemático;
3. Autoridades certificadoras
1 - A identidade do terceiro milênio
Os principais institutos de pesquisa calculam que, nos dias de hoje, no mundo inteiro, pelo menos 70% das transações econômicas passam pela Internet. É na web que, cada vez mais, empresas e instituições, de diferentes setores,
independentemente do porte, estampam a própria marca, em campanhas institucionais. Nos diferentes países, mensagens publicitárias sem limite de alcance vendem produtos e serviços cujo valor já passa de US$ 500 bilhões.
O risco é, porém, diretamente proporcional ao alcance da mídia e ao sucesso do negócio que ela promove. Mesmo nos Estados Unidos, conhecidos pelo capricho com a segurança, os órgãos de defesa estimam que as fraudes e sabotagens, entre outras formas de ataque perpetradas por meios eletrônicos, geram prejuízo anual(declarado) superior a US$ 1,5 bilhão.
No Brasil, 30% das transações bancárias já são feitas através da internet e, ao mesmo tempo, o país ocupa o 5º lugar no ranking global de ataques virtuais, contra a 12ª posição verificada em 2007, de acordo com uma pesquisa divulgada no primeiro semestre de 2009 pela Symantec. As estatísticas oficiais no Brasil se referem quase que exclusivamente às fraudes com cartões de
crédito. Vítimas preferenciais dos ataques, eles já representam 32% das invasões na internet realizadas pelos cibercriminosos por meio de códigos maliciosos e amargam um rombo de, aproximadamente, R$ 300 milhões por ano. Respondendo por 19% dos crimes digitais no país, os bancos não falam de perdas, mas, a julgar pelo que investem em sistemas de segurança – cerca
de R$ 500 milhões por ano ou 10% dos investimentos em Tecnologia da Informação –, é possível imaginar o tamanho da preocupação. O relatório da Symantec revela ainda que 90% de todas as ameaças virtuais visavam roubo de informações confidenciais de usuários.
Autenticidade
Uma das tecnologias nas quais as empresas mais vêm investindo para prevenir essas práticas e fraudes é a certificação digital, recurso capaz de garantir autenticidade, confidencialidade e integridade às informações que circulam no ambiente web. O crescimento do interesse por essa prática é confirmado por algumas pesquisas e levantamentos. Em junho de 2008, por exemplo, a Receita Federal divulgou alguns dados referentes à adoção da certificação digital pelas corporações nos 12 meses anteriores à pesquisa realizada. No âmbito do serviço e-CAC – Centro Virtual de Atendimento ao Contribuinte da Receita Federal, o órgão detectou um crescimento significativo nas consultas realizadas com a utilização do certificado digital. Até maio daquele ano foram efetuadas 14 milhões de consultas, contra as 2 milhões verificadas durante o mesmo período do ano anterior.
Outro dado interessante coletado na pesquisa da Receita Federal apontou que o volume de atendimentos virtuais envolvendo certificação digital realizados pelo e-CAC já atingia o patamar de 69 milhões em junho, com uma expectativa de superar a barreira dos 150 milhões até o fim do ano. Em 2007, o órgão havia registrado 17,5 milhões de atendimentos.
O avanço da certificação digital também encontra eco nas previsões sobre esse mercado. Presidente da Certisign, Autoridade Certificadora e uma das empresas pioneiras nesse segmento, José Luis Poço prevê que esse mercado atinja um movimento de R$ 1 bilhão até 2013.
Conceituação. O que é?
A base da certificação digital é o certificado digital – documento eletrônico que contém nome e um número público exclusivo denominado chave pública, entre outros dados. Instituído em agosto de 2001, pela Medida Provisória 2.200-2, é ele – o certificado digital – que garante a identificação segura de uma mensagem ou transação eletrônica, mantendo a guarda de documentos e permite assinar, digitalmente, todas as mensagens e transações on-line com confidência, integridade e validade jurídica. É ele, enfim, o documento
digital, que atesta a autenticidade de documentos, mensagens e identidades, de pessoas, empresas e instituições. Atualmente, o certificado digital, requisitado por pessoas físicas, empresas e instituições, vem sendo utilizado, principalmente, para dar segurança às transações na Internet. Por exemplo? No acesso à Receita Federal, para obtenção de certidões on-line e declarações seguras, apresentação de declarações de Imposto de Renda; transações bancárias; operações de comércio eletrônico; correio eletrônico; assinatura de documentos eletrônicos; e cifrações de documentos eletrônicos, entre
outras aplicações.
Para que a assinatura digital funcione é preciso que o usuário obtenha um documento eletrônico e a chave pública do destinatário. Graças à ajuda de programas apropriados, o documento é criptografado de acordo com a chave pública e somente decriptografado pelo receptor, que, para isso, deverá usar uma chave privada exclusivamente dele. Se qualquer bit do documento for alterado, a assinatura será deformada, invalidando o arquivo.
Algoritmo matemático
A assinatura digital de documentos eletrônicos é possível graças à função hashing – na verdade um sistema capaz de evitar que a criptografia assimétrica, nas assinaturas digitais, torne o processo de decifragem muito demorado. A função hashing analisa o documento e, com base algoritmo matemático complexo, gera um valor de tamanho fixo para o arquivo. Esse valor, conhecido como valor hash, é calculado com base nos caracteres do documento. Isso deixa claro que, pelo menos teoricamente, o arquivo em
si não precisa ser criptografado (caso não seja algo secreto), mas sim acompanhado do valor hash. Assim, qualquer mudança no arquivo original, mesmo que seja de apenas um único bit, fará com que o valor hash seja diferente, invalidando o documento.
Existem dois tipos de certificado digital: o A-1 e o A-3. O A-1 é aquele em que a assinatura digital e os dados do usuário são armazenados em uma mídia móvel, como um CD, por exemplo. O A-3 vem na forma de smart cards ou tokens, dispositivos portáteis dotados de chips, nos quais são
armazenadas as chaves dos usuários.
A violação do sistema é praticamente impossível, porque quebrar uma chave de 1024 bits demanda muito tempo – talvez o bastante para que a codificação seja revogada. No caso da certificação A-3, a fraude só acontece se o usuário revelar o PIN (Personal Identification Number) ou entregar o cartão magnético a outra pessoa, com o que estaria transferindo a própria identidade para alguém. O certificado digital, com prazo de validade, só pode ser emitido, na presença de quem o solicita, por uma AC, mediante preenchimento de formulário com os dados da pessoa, empresa ou instituição e pagamento de uma taxa, cujo valor varia de acordo com o modelo do documento.
Depois o usuário deve procurar uma AR (Autoridade de Registro), munido da Carteira de Identidade ou Passaporte, se for estrangeiro, CPF, Título de Eleitor, comprovante de residência e número do PIS/PASEP. Pessoas jurídicas
devem apresentar registro comercial, no caso de empresa individual, ato constitutivo, estatuto ou contrato social, CNPJ e documentos pessoais da pessoa física responsável.
2 - A tecnologia da certificação digital
A base da certificação digital é a Criptografia, ciência cujo nome, de origem grega (kryptós, “Sfliters” e gráphein), significa “escrever”. A Criptografia permite, porém, escrever em códigos, de forma a esconder a informação na forma de texto incompreensível a olho nu. A informação codificada chama-se texto cifrado, enquanto a codificação, também conhecida como ocultação, é chamada de cifragem. Ao processo inverso, ou seja, obter a informaçãooriginal a partir do texto cifrado chama-se decifragem. A cifragem e a decifragem são realizadas por programas de computador: os cifradores e
decifradores. Um programa cifrador ou decifrador, além da informação a ser cifrada ou decifrada, recebe um número-chave utilizado para definir a maneira como o programa vai se comportar, o que varia conforme o valor de cada chave. Sem o conhecimento da chave correta não é possível decifrar determinado texto. Assim, para manter uma informação em segredo, basta cifrá-la e conservar a chave sob sigilo.
De fato, a Criptografia, lato sensu, vai muito além da cifragem e decifragem. Ramo especializado da teoria da informação, a Criptografia agrega muitas contribuições de outros campos da Matemática e o resultado da reflexão e pesquisa de autores, tais como Maquiavel, Sun Tzu e Karl von Clausewitz. A Criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos, que podem ser implementados em computadores.
As pesquisas que se referem às formas de esconder o significado de uma mensagem usando técnicas de cifragem caminham juntamente com os estudos sobre as maneiras de ler a mensagem quando não se é o destinatário. A essa especialidade chama-se Criptoanálise. Criptologia é, portanto, a ciência que engloba a Criptografia e a Criptoanálise.
Os profissionais envolvidos na codificação e decodificação de mensagens, para fins de segurança, são chamados criptógrafos, criptólogos ou criptoanalistas, dependendo das funções específicas.
Outros termos relacionados ao conceito de Criptografia são Esteganografia, Criptoanálise e Criptologia. A Esteganografia, estudo das técnicas de ocultação de mensagens, diferentemente da Criptografia, não as oculta, mas as confunde, de forma a tornar ininteligível o significado delas.
A Esteganografia não é considerada parte da Criptologia, apesar de muitas vezes ser estudada em contextos semelhantes e pelos mesmos pesquisadores. Uma informação não-cifrada endereçada por uma pessoa (ou organização) para outra é chamada de “texto claro” (plaintext). Cifragem é o processo de conversão de um texto claro para um código cifrado e decifragem o processo contrário. O mundo deve aos matemáticos norte-americanos Whitfield Diffie, Martin Helman e Ralph Merkle a criação dos sistemas de Criptografia existentes até 1976. Os dois pesquisadores desenvolveram
o sistema de Criptografia de chave pública. Atualmente, existem dois tipos de Criptografia: a simétrica e a de chave pública. A simétrica faz a cifragem e a decifragem de uma informação por meio de algoritmos que utilizam a mesma chave. Com isso, garante o sigilo na transmissão e armazenamento dos dados. Na cifragem e na decifragem, usa-se a mesma chave, que, assim,
precisa ser compartilhada entre quem cifra e quem decifra os dados. O compartilhamento, por sua vez, é conhecido como troca de chaves, processo que deve ser encaminhado de forma segura. Afinal, todos aqueles com acesso à chave podem decifrar a informação cifrada ou mesmo reproduzir a informação cifrada. Os algoritmos de chave pública operam com duas chaves distintas: a chave privada e a chave pública. Ambas são geradas simultaneamente e relacionadas entre si, o que possibilita que a operação executada por uma seja revertida pela outra. A chave privada deve ser mantida em sigilo e protegida pela pessoa, empresa ou instituição que gerou as chaves. A chave pública é a que se entrega a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.
Os algoritmos criptográficos de chave pública permitem garantir a confidencialidade e a autenticidade das informações por eles protegidas.
Quem deseja enviar uma informação sigilosa deve utilizar a chave pública do destinatário para cifrar a informação. Para isso é importante que o destinatário informe a chave pública por ele utilizada, usando, por exemplo, diretórios públicos acessíveis pela Internet.
A certificação digital traz diversas facilidades, mas o uso dela não torna as
transações isentas de responsabilidades: a chave privada autentica a transação ou documento e confere o atributo de não-repúdio à operação; ou seja, posteriormente, o usuário não pode negar a realização daquela transação. Assim, é importante que ele tenha condições de
proteger de forma adequada a chave privada. Isso se faz mediante uso de dispositivos inteligentes. Os certificados digitais são armazenados (gravados) em mídias ou dispositivos, de acordo com o tipo. O certificado tipo A1 se grava em qualquer mídia de armazenamento de dados – disco rígido, disquete, CD-ROM, CD-Card, pen-driver etc. O certificado tipo A3 grava-se em dispositivo eletrônico próprio, como token ou cartão inteligente (smart card), de onde é acessado, não sendo possível a transferência da informação nele armazenada para uma estação de trabalho ou para qualquer outro dispositivo.
Os smart cards, que guardam informação em volume equivalente entre 25 a 52 Megabytes, assemelham-se, em formato e tamanho, a um cartão de crédito convencional. Na verdade, os cartões inteligentes constituem um tipo de hardware criptográfico. Eles são dotados de microprocessadores, com memória capaz de armazenar e processar diversos tipos de informações. Com eles, é possível gerar as chaves e mantê-las em ambiente seguro, por uma razão simples: as operações criptográficas se realizam dentro do próprio dispositivo.
O token é um dispositivo portátil que contém um chip para armazenamento de informações digitais e execução lógica de rotinas predefinidas, a ser conectado a um computador, pela porta USB.
3 - Autoridades Certificadoras e de Registro
Para que o certificado digital seja válido, é necessário que o interessado disponha da chave pública, capaz de comprovar que o documento é legal e tem valor, emitida por uma AC (Autoridade Certificadora), devidamente autorizada para isso. A questão é que elas se contam às dezenas, mundo afora, o que torna impossível para quem quer que seja dispor da
chave pública de cada uma.
A solução encontrada para esse problema foi a criação das “ACs supremas” (ou “ACs-Raiz”), ou seja, instituições que autorizam as operações das ACs que emitem certificados a pessoas e empresas. Esse esquema é conhecido como ICP (Infraestrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure). No Brasil, até agora, a ICP-Brasil controla oito ACs de primeiro nível: Presidência da República, Secretaria da Receita Federal, Serpro (Serviço Federal de Processamento de Dados), a Caixa Econômica Federal, AC Jus, Imprensa Oficial de São Paulo, Serasa e CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, o certificado digital deve ter o aval de uma dessas instituições. Mas para isso, cada instituição pode ter requisitos e custos diferentes, uma vez que cada entidade pode emitir certificados para finalidades distintas, o que se aplica a qualquer AC no mundo.
Política de uso Qualquer instituição, independente do porte que tenha, pode criar uma ICP. Se uma empresa, por exemplo, criou uma política de uso de certificados digitais para garantir a segurança na troca de informações entre a matriz e filiais, não vai ser necessário pedir tais certificados a uma AC
controlada pela ICP-Brasil. A própria empresa pode criar a ICP e fazer com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para uso dos funcionários.
ACs são órgãos autorizados a emitir Certificados Digitais pelo ITI, a chamada AC Raiz(Autoridade Certificadora Raiz). Atualmente, existem diversas ACs no Brasil que emitem certificados para atender a pessoas físicas e jurídicas.
São elas: Serpro (Serviço Federal de Processamento de Dados), CertiSign, Serasa, IMESP (Imprensa Oficial do Estado de São Paulo), Prodemg (Empresa de Tecnologia da Informação do Estado de Minas Gerais), Proderj (Centro de Tecnologia da Informação e Comunicação do Estado do Rio de Janeiro), Caixa Econômica Federal, Petrobras, OAB (Ordem dos Advogados do Brasil), Fenacon (Federação Nacional das Empresas de Serviços Contábeis e
das Empresas de Assessoramento, Perícias, Informações e Pesquisas), Fenacor (Federação Nacional dos Corretores de Seguros), Notarial e Sincor (Sindicato dos Corretores de Seguros do Estado de São Paulo). O Estado do Rio Grande do Sul tornou-se uma AC exclusiva para os gaúchos. E os cartórios deverão ser os próximos a emitir certificados.
A AR, por sua vez, faz o reconhecimento presencial da pessoa que solicita o certificado digital. Entidades como Correios, Caixa Econômica Federal, Sincor, Banco do Brasil, Bradesco, Itaú e Itautec são ARs. Ao solicitar a certificação a uma AC, a pessoa será orientada a procurar a AR mais próxima. As sedes ou sites das ARs contam com os endereços dos postos.
Deveres e obrigações No processo de emissão dos certificados, as ACs têm deveres e obrigações, descritos em um documento chamado Declaração de Práticas de Certificação – DPC. A DPC dever ser pública,
para permitir que as pessoas possam saber como foi emitido o certificado digital. Entre as atividades de uma AC, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a
verificação da identidade do titular. Assim, quanto melhor definidos e mais abrangentes os procedimentos adotados por uma AC, maior a confiabilidade de que ela vai desfrutar.
No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os procedimentos que devem ser adotados pelas ACs. Uma AC que se submete às resoluções do Comitê Gestor pode ser credenciada e, com isso, fazer parte da ICP-Brasil. O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, de instalações técnicas e dos sistemas envolvidos no serviço de certificação, bem como o próprio pessoal.
A pessoa, empresa ou instituição que desrespeita as regras ditadas pelas autoridades encarregadas de emitir e avalizar certificados digitais está sujeita a penalidades, entre as quais se inclui o descredenciamento. As ACs credenciadas são incorporadas à estrutura hierárquica da ICP-Brasil e representam a garantia de atendimento dos critérios estabelecidos em prol da
segurança das chaves privadas. Prazo de validade O certificado digital, diferentemente dos documentos utilizados na identificação pessoal, tais como CPF e RG, tem prazo de validade, que pode ser renovado antes de se dar a expiração. Somente se pode assinar um documento enquanto o certificado se mantém válido. Mas é possível, no entanto, conferir as assinaturas realizadas, mesmo depois de a validade do certificado expirar. As solicitações de revogação devem ser encaminhadas à AC que emitiu o certificado ou a quem foi designada a tarefa da renovação. As justificativas podem ser por diversos fatores, como comprometimento da chave privada, alterações de dados do certificado ou qualquer outro motivo. Quando recebe e analisa o pedido, a AC adiciona o número de série do certificado a um documento assinado chamado Lista de Certificados Revogados (LCR) e o publica. O local de publicação das LCRs está declarado na DPC da AC que emitiu o certificado e, em muitos casos, o próprio certificado possui um campo com apontador para publicação do endereço web que contém o arquivo com a LCR. As LCRs são publicadas de acordo com a periodicidade que cada AC definir. Essas listas são públicas e podem ser consultadas, a qualquer momento, pelo usuário que deseja verificar se um certificado permanece válido ou não. Após a revogação ou expiração do certificado, todas as assinaturas realizadas com o certificado tornam-se inválidas, mas as assinaturas realizadas antes da revogação do documento continuam válidas, se houver uma forma de garantir que a operação foi realizada durante o período de validade do certificado. Mas como obter essa característica? Existem técnicas para atribuir a indicação de tempo a um documento. Trata-se do carimbo de tempo, que adicionando data e hora à assinatura, permitem determinar quando o documento foi assinado.
Nenhum comentário:
Postar um comentário
Olá deixe sua opinião ela é muito importante.