Últimas notícias

Fique informado
Biometria na ICP-Brasil

Biometria na ICP-Brasil

22 de janeiro de 2016

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Criptografia assimétrica | Ameaçada?

Para abordarmos a questão da vulnerabilidade, ou não, da criptografia

11 de janeiro de 2016

Certificação digital no Brasil: fora do compasso?

Prepara!!! A música da Anitta, Show das poderosas, começa dizendo:

20 de julho de 2015

As necessidades de suplementação de procedimentos na identificação de portadores de certificados digitais da ICP-Brasil.

Por Evandro Oliveira

Desde o princípio, a ICP-Brasil tem nas pontas o seu elo mais fraco da hierarquia de certificação digital. Entendamos por pontas, todos os procedimentos realizados pelos Agentes de Registro (AGR´s) nas Autoridades de Registro (AR´s) ou em seus Pontos de Atendimento (PA´s) e Instalações Técnicas (IT´s). E estrutura da ICP-Brasil sempre procurou a regulamentação destes processos, de forma a mitigar os riscos de atribuição de certificados digitais de forma indevida.

Evandro Oliveira | Colunista do CryptoID

Evandro Oliveira | Colunista do CryptoID

Acredita-se que as fraudes só possam acontecer a partir de uma vulnerabilidade ocorrida na ponta da hierarquia. Esta é uma premissa que, com o passar do tempo, vai ser mostrada como falsa. Mas isto é assunto de outra coluna.

Recentemente, foi publicada Instrução Normativa nº 8 de 10/12/2015 / ICP – BRASIL – Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (D.O.U. 18/12/2015), que suplementa os procedimentos de identificação de um requerente de certificado digital na ICP-Brasil, como forma de ampliar a proteção contra a emissão de certificados de forma indevida.

A questão a ser colocada é que o mecanismo proposto no Decreto, que alterou documentos e procedimentos importantes da ICP-Brasil, que introduziu instâncias que não existiam na hierarquia como os Prestadores de Serviço Biométrico (PS-Bio), seria, efetivamente, a melhor opção para elevar a segurança nas pontas, sem que o processo de duração da emissão do certificado digital não fique prejudicado e as AR´s não tenham um custo direto associado ao certificado elevado, justo num momento em que os preços praticados estavam caindo e a utilização passou a ser aceita pelas empresas, cidadãos e profissionais liberais.

Muito antes de atuar com certificação digital na ICP-Brasil, defendi dissertação que tratava do tema “Identificação e Autenticação para Redução de Vulnerabilidades” em que avaliei a questão para aplicação em redes públicas e Internet. No trabalho, analisei e avaliava a questão do custo operacional para a introdução de novas tecnologias e a distribuição do investimento necessário de forma a não onerar ou cidadão ou usuário final. Após a conclusão do trabalho, defendi inclusive a proposta de que o Estado ou o Sistema Financeiro Brasileiro, custeassem os investimentos totais. Esta proposta mostrou-se mais apropriada com a associação da biometria e certificação digital.

Passados mais de quinze anos da defesa de dissertação acima indicada, percebo que os caminhos para o uso de algumas tecnologias ainda não foram suficientemente clarificados quando à funcionalidade e uso. Parecia ser simples a adoção da biometria (fingerprint) que era utilizada nas identificações de responsabilidade das Secretarias Estaduais de Segurança ou Polícia Federal (no caso dos passaportes. Ao participar de debates e início de projetos como o Registro de Identidade Civil (RIC), da tentativa de sincronizar os cadastros de registro civil e cadastros de beneficiários sociais, dentre outros projetos, percebemos que existe grande má vontade de representantes do que chamo “instrumento burocrático” nacional, para que tecnologias consolidadas possam ser adotadas de maneira neutra. A tecnologia é neutra, as pessoas que as utilizam não são.

De certa forma, a Receita Federal do Brasil, depois de ver uma barafunda de soluções paralisantes, resolveu dar um pontapé rumo à unificação e uso racional da tecnologia. Cada criança, ao ser registrada num cartório, pode receber seu CPF. É natural que esta pessoa possa ter sua biometria coletada e assim ter seu registro civil completo e único, como acontece em vários países. Mas, como diriam nas redes sociais: #SQN.

A lógica que imagino para a solução deste tipo de problema, exige uma revisão na forma como se vê o problema, na ICP-Brasil que pode ser resumido como Identificação e Autenticação do solicitante de certificado digital. A linha de implantação de PSBio e alteração das regras, não sugere que o problema foi adequadamente estudado.

É incorreto tomarmos um caso para generalizar. Mas, em determinadas condições, um caso de exceção pode ajudar muito no processo como um todo. Eu tenho um problema com biometria. Os traços das minhas digitais são finos, num processo tradicional de datiloscopia, fica bom ao colocar os dedos com tinta no papel. Em processos digitais, a coleta tem que ser cuidadosa e tenho problemas até com sistemas biométricos de condomínios e clubes. O processo nestes ambientes não pode, nem remotamente, ser comparado às exigências de uma identificação e autenticação para ICP-Brasil, passaporte, etc. Mas, pela experiência própria, acredito que as ocorrências de falsos positivos e falsos negativos deva ser melhor analisada pois será uma constante.

O Tribunal Superior Eleitoral (TSE) tem investido milhões de reais para ter seu próprio sistema de biometria, com coleta, identificação e autenticação. Em testes reais, durante eleições (alguns municípios já utilizam a biometria) os resultados poderiam ser considerados medonhos,  especialmente pelo fato de abandonar a biometria para não formar fila na seção eleitoral. O TSE, como faz na maioria de seus processos, não abre nem para o pessoal especializado, seus procedimentos e resultados. Algumas logs de urnas indicaram, em eleições recentes, até 60% de identificação inválida, que levou o processo para a identificação tradicional.

A remota hipótese de que estes indicadores possam ser reproduzidos no processo da ICP-Brasil, mesmo que não se formem filas de usuários de certificados como numa eleição, pode inviabilizar e gerar uma quantidade de reclamações, que colocaria o processo de identificação e autenticação biométrica sob risco.

Entendo que algumas alternativas para elevar a segurança na ponta, junto aos AGR´s, podem ser mais significativas e menos onerosas do que o processo aprovado e talvez o “melhor dedo” para coleta digital de biometria não seja o mais apropriado no dia em que se for comparar a autenticação do portador daquela impressão. É certo que temos, no Brasil, tecnologia e profissionais qualificados para fazer a coleta, tratamento, identificação, autenticação e uso de biometria dos dedos. Não há nenhuma dúvida sobre isto.

A questão é se a ICP-Brasil é a hierarquia e estrutura mais apropriada para absorver e tratar este tipo de procedimento. Será que nenhuma outra instância como as secretarias estaduais de segurança não estariam mais preparadas para esta transição?

Sobre Evandro Oliveira

Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.

Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.

Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.

Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.

Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)

Palestrante e Conferencista.

Colunista do Portal CryptoID.

Leia outros artigos do colunista Evandro Oliveira aqui!

Dúvidas e sugestões sobre conhecimento básico, terminologia, e esclarecimentos podem ser feitas nos comentários abaixo ou no e-mail evandro.oliveira@bhzlabs.com.br.

TAGS

biometria