Em todos os sistemas de segurança que implantamos, temos que estar atentos a essa questão, porque é ela quem define o grau de segurança do sistema.
Por Marcio Ramirez
Não importa se aplicamos barreiras de FireWall fechando todas as portas, isolando a rede para fora, se deixarmos uma porta para dentro aberta, ou ainda, uma porta vulnerável com a aplicação de um grau de segurança baixo como aplicação de algoritmos fracos e chaves criptográficas pequenas ou ainda, se a regra aplicada não possui controle ao longo do tempo. Também não importa se temos um Certificado SSL com SHA-256, se ele já expirou.
Para mim, o principal fator ofensor e impactante direto no grau de segurança, é o fator tempo.
Sim, pois o tempo impacta no tamanho da chave, na força do algoritmo, na credibilidade da informação pois podemos contestá-la quando estava lá, ou se estava lá de fato naquela data sugerida por uma das partes. O tempo impacta também em processos de rastreabilidade da informação e no seu controle.
Assim, todo o sistema de segurança; por menor que seja; mesmo que apenas na aplicação do sigilo de uma informação, tem prazo de validade. E devemos nos ater à data de aplicação deste, para podermos verificar se o prazo expirou, e se a força do algoritmo ainda continua válido.
Sendo um dos principais alicerces da credibilidade, o fator tempo ainda não é item obrigatório em muitos cenários atualmente, mas, é o elo mais fraco nas contestações de assinatura digital e autenticação, sendo negligenciado e esquecido por muitos.
Desta forma, em aplicações de Digitalização de Documentos, desmaterialização de processos, e bancos digitais, com a abertura de contas a partir de documentos digitalizados, é fundamental a aplicação de Carimbo do Tempo com a data e hora oficial, e acreditada por uma Autoridade de Carimbo do Tempo, ou de uma forma inconteste para todos os envolvidos e não só por uma das partes.
O Carimbo do Tempo deve ser aplicado e ficar contido dentro da própria informação, para que o receptor ou uma terceira parte possam verificá-la sem a intercorrência de outros sistemas e métodos que podem ser contestados para a obtenção da verificação.
Tornar-se uma Autoridade de Carimbo do Tempo pode ser uma alternativa viável em muitos casos, principalmente onde o volume de documentos é alto, sendo o retorno do investimento pago em poucos meses.
Marcio Ramirez
Consultor Sr em PKI e Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, presente na área de segurança da informação e protocolos de segurança desde 1996 e Colunista do CryptoID.
mramirez@consultsoftware.com.br
Leia outros artigos de Marcio Ramirez