No início dos tempos, a certificação digital não existia, criptografia era coisa de poderosos analistas e máquinas de alto poder de processamento.
Por Evandro Oliveira
Com efeito, criptografia usa algoritmos matemáticos complexos para tornar as coisas simples de fazer.
Hoje, com a explosão do comércio eletrônico, alguns serviços básicos da criptografia nem são lembrados. Aqui estamos para falar apontá-los e mostrar que poderiam ser úteis para muita gente que não imagina que os serviços de certificação de criptografia assimétrica serve para isto.
Quando falamos em troca de informação via canais digitais, deveríamos nos preocupar com fatores como: Integridade, Acessibilidade, Autenticidade, Privacidade e Não-Repúdio.
Rapidamente:
Integridade é igual à capacidade de uma mensagem sair do emissor e chegar ao receptor sem que ninguém tenha “pirateado” ou copiado a mensagem para outro destino.
Acessibilidade diz respeito à capacidade de que o destinatário, o emissor, o criador ou o interessado em um conteúdo digital, tenha acesso a este conteúdo, desde que seja autorizado quando quiser.
Autenticidade é uma funcionalidade que indica que a mensagem ou conteúdo digital pertence a quem está dizendo ser o autor daquele conteúdo ou, no caso de um fiel depositário, que ele é o “dono” autorizado do conteúdo.
Privacidade é a capacidade de que o conteúdo digital seja do conhecimento de quem o produziu e somente das pessoas autorizadas por ele.
Não Repúdio é a característica de que, a partir do momento que uma pessoa diz ser autora ou proprietária de um conteúdo digital, não é mais possível ela dizer que não lhe pertence ou não foi esta pessoa que fez ou criou alguma coisa.
Imaginando que o mundo digital esteja satisfeito com estas características, um certificado digital, bem utilizado, garante o que está aí descrito.
Tomemos um exemplo simples:
Um e-mail é enviado do Presidente de uma empresa para seu Diretor em outro país, contendo um segredo de negócio e ordem de execução de atividade.
Tanto emissor quanto receptor vão querer autenticidade, não-repúdio, privacidade, acessibilidade e integridade.
Ao usar uma assinatura eletrônica no e-mail, o presidente garante que é autêntica a autoria da mensagem. A assinatura gera alguns arquivos que garantirão que serão íntegros e caso ocorra algum problema, o arquivo ficará corrompido.
Somente seu Diretor poderá abrir a mensagem. Ao abri-la ele tem garantia de autoria, a mensagem não poderá ser rejeitada pelo Presidente quanto autoria, ambos terão confiança de que a mensagem não foi copiada e outras características.
A mesma situação permite a analogia com um comércio eletrônico onde, de um lado, temos o comprador e seu certificado digital, de outro o vendedor e seu site seguro.
Tudo Isto numa cadeia de confiança. As partes – emissor e receptor ou vendedor e comprador – elegem um “terceiro” confiável. Aquele terceiro em que os dois podem confiar e, no caso de Certificação Digital está apresentado na figura da Autoridade Certificadora.
Dito isto, vou colocar um problema que vem acontecendo em algumas empresas que não tem muito cuidado com questões de segurança.
A empresa usa sistema de mensagens da Internet para seus funcionários. O Presidente, de nome João C. B. Ganhou um e-mail joaocb@nomedaempresa.com , seu diretor, de nome Pedro E. D, ganhou o e-mail pedroed@nomedaempresa.com. Trocaram muitas mensagens. O diretor, após alguns anos e milhares de mensagens, deixou a empresa. A primeira coisa que a área de segurança fez foi cortar o acesso dele e destruir a caixa postal. A empresa não trabalhava com certificado digital para assinatura. Seis meses depois, entra um estagiário na empresa e recebe o email pedroed@nomedaempresa.com. Após algumas semanas de trabalho, este estagiário começa a receber mensagens de vários fornecedores, clientes e amigos do antigo diretor. Ele resolve fazer algumas brincadeiras de mau gosto. Até que um grande problema explode e envolve até a Justiça.
Será que o uso de certificação digital ajudaria a empresa a evitar este problema?
Como provar que o estagiário foi quem usou as mensagens como se fosse o antigo diretor?
Qual as orientações que as pessoas que atuam com Segurança da Informação proporiam para os gestores desta empresa?
A questão é simples, objetivamos mostrar aqui as possibilidades de uso de certificados digitais, mesmo que, em muitos e na maioria dos casos, não seja necessário o uso de certificados da ICP-Brasil. Mas por que não?
Certificados da ICP-Brasil devem ser usados quando houver a necessidade de dar validade jurídica a um arquivo eletrônico.
Mas… cuidado!!!
Um e-mail do gerente da área de recursos humanos, para um funcionário, comunicando férias, por exemplo, ou recomendando alguma atividade, pode se tornar um importante documento aos olhos da Justiça.
Certificados Digitais e uma boa estrutura de assinatura eletrônica, pode sair por um preço muito baixo. A importância está em contratar uma consultoria que avalie as tecnologias disponíveis às necessidades de cada organização. Infelizmente, no Brasil, uso dos certificados digitais tem sido feito por necessidade ou decreto. Os usuários são capacitados para usar certificados somente na medida daquilo que são obrigados a usar.
Parafraseando um criptólogo europeu, “se você acha que uma tecnologia de segurança vai resolver seu problema de segurança, você tem dois problemas: 1) Não conhece seu problema; 2) Não conhece a tecnologia que vai usar.”
Continuaremos com os fundamentos da criptografia assimétrica, proporcionando esclarecimentos que se fizerem necessários. Deixe seu comentário em caso de dúvidas e sugestões sobre conhecimento básico, terminologia, e termos técnicos.
Nos vemos em breve.
Bibliografia Recomendada:
Bruce Schneier: E-Mail Security – How To Keep Your Electronic Messages Private.
John Wiley & Sons, Inc., EUA, 1995.
OLIVEIRA, Evandro L. As Armadilhas Virtuais; In: Prodabel – Diário de Bordo.
Belo Horizonte. p. 2-3, Jul. 1999.
MACHIAVELLI, Niccolo. O Príncipe. Tradução: Antônio D’Elia. São Paulo:
Cultrix. 1992
Site: http://www.pgpi.org
Sobre Evandro Oliveira
- Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.
Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.
Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.
Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.
Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)
Palestrante e Conferencista.
Colunista do Portal CryptoID.