Sergio Leal – Colunista CryptoID
Diferente do que pensam alguns novatos do assunto, certificação digital mobile não é exatamente uma novidade. Vejam uma matéria da pré-história do Jornal “O Globo” onde lançamos a ferramenta em Premiére mundial!
Algum tempo se passou daquele carnaval de 2010 até hoje, e parece que esse mercado ainda não aconteceu. Quem sabe a hora não chegou?
Considerando a experiência que tivemos no caminho posso garantir que o desenvolvimento desses apps não é uma tarefa simples. No passado nem existiam “drivers” de cartões que permitissem seu uso em leitoras mobile. Assim, escrevemos os drivers que os fabricantes não tinham e “adaptamos” leitoras feitas para cartões de crédito (EMV).
Qual o estágio de maturidade?
Se formos comparar o muito da PKI mobile com o web/desktop, temos que dizer que as diferenças ainda são muitas, e o nível de maturidade são completamente diferentes.
Se falarmos no uso de um certificado em arquivo (*.p12), a coisa não se complica muito, porque seu aplicativo terá acesso a ele e fará o tratamento dentro da aplicação.
E quando falamos de componentes de hardware externo como uma leitora com smartcard?
No web/desktop
Enquanto no web/desktop os drivers são instalados no sistema operacional, e cabe ao aplicativo invocar serviços através de uma interface conhecida (PKCS#11 ou MSCAPI). No mundo mobile, tudo é mais artesanal.
Não que no mundo web/desktop as coisas sejam fáceis, pois os certificados digitais nunca foram “cidadãos de primeira classe” entre os fornecedores de navegadores. Sempre dependemos de “soluções de contorno” como applets Java ou controles ActiveX.
Além disso, a qualidade dos drivers sempre deixou muito a desejar. Basta tentar instalar o seu token no Mac e perceber imediatamente porque digo isso.
De um jeito ou outro, acabamos nos adaptando aos problemas do ambiente web/desktop.
No móbile
Por segurança o processo de acesso ao hardware no mobile é completamente diferente. Não existe esse conceito de acesso livre aos dispositivos conectados. Para cada componente que você precisa acessar, é preciso solicitar autorização ao fabricante, que vai te entregar um número de autorização. Esse número deverá ser entregue ao administrador da App Store.
Agora imagine suportar uma dúzia de leitoras diferentes.
Outra dificuldade é que os drivers dos smartcards não são universais, são licenciados para funcionar em uma leitora e não na outra. Assim, você tem que escolher a leitora certa e que funcione com o cartão usado pela AC que emitiu o seu certificado. Ufa!
Se a coisa não era simples no ambiente web/desktop parece que vai ficar um pouco mais complicado no mundo mobile. Have fun!
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pea UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Sérgio Leal é colunista e membro do conselho editorial do CryptoID.
