Bruno de Paula Ribeiro |
Por: Bruno de Paula Ribeiro, M.Sc., CSSLP
Secure Software Developer
Gostaria de aproveitar o fórum e colocar uma discussão, a meu ver, interessante. Nestes tempos de cloud computing, onde tudo está se tornando serviço e as estações de trabalho (termo de gente velha num mundo de smart phones e tablets) voltam a ser burras, como já o foram num passado remoto, problemas inconvenientes surgem.
Li em algum lugar (fico devendo a referência) que 2010 foi o ano da cloud computing. E que 2011 será o ano de erradicar da face da Terra tudo aquilo que não é cloud computing.
É claramente um exagero, mas se for verdade nos próximos anos, nós, que trabalhamos com PKI de forma abrangente (na certificação digital) e não apenas como uma tecnologia embarcada, precisamos pensar em soluções para tornar nossos sistemas de informação, em sua maioria Web, viáveis.
Pensemos nos dois seguintes cenários:
• O certificado digital e-CPF ou e-CNPJ, na sua forma mais segura, ou seja, A3, precisa de um par de chaves gerado em um dispositivo criptográfico. Um smartcard, por exemplo.
• A utilização deste certificado, seja para assinar um documento ou se autenticar num sistema como o e-CAC, precisa que o hash de uma seqüência arbitrária de bits seja criptografado, usando-se para tal a chave privada associada. Essa operação, como sabemos, é realizada pelo dispositivo criptográfico.
São apenas dois cenários que resumem a forma como os titulares de certificados digitais usam os mesmos.
O mundo mágico da cloud computing prega que todo processamento um pouquinho mais inteligente do que coletar dados de um formulário e postar os mesmos seja realizado “na nuvem”.
Entretanto, os dois cenários descritos acima, que não são a coisa mais simples do mundo, precisam necessariamente ser executados na companhia do usuário e de seu smartcard, por assim dizer.
Em outras palavras, a chave privada do portador do certificado não pode sair para passear na nuvem e depois voltar ao smartcard.
Isso já seria preocupante o suficiente. Mas não pára por aí. No último Appsec-BR, evento da OWASP sobre segurança de aplicações Web, realizado em Campinas em Novembro de 2010, pude ouvir, em conversas com vários brasileiros e estrangeiros, que tecnologias como ActiveX e Java Applets devem ser evitadas a todo custo.
Cheguei a questionar o Jason Lee, americano que ministrou um curso de segurança em aplicações Web, qual seria o futuro da PKI frente à obsolescência dos componentes “inteligentes” que rodam nos browsers.
Ele me disse para não me preocupar, já que o uso da PKI não é muito difundido, estando voltado apenas para software embarcado, TV digital, etc. Após o curso , contei a ele sobre a ICP-Brasil, mas não sei ainda se ficou convencido.
O que vocês acham a respeito? E o que nós, desenvolvedores de software, podemos fazer para encontrar um lugar para a PKI nesse mundo em nuvens?
Clique e participe agora dessa discussão no Grupo CERTIFICAÇÃO DIGITAL do LinkedIn
Expert in secure software engineering and programming, with 11+ years of experience in analysis, development and requirement specification of secure software. Master’s Degree in Software Engineering and Computer Science from one of the Top 5 Brazilian Universities. A team player with passion for programming and solving challenging problems.
– C/C++, Microsoft.NET, JAVA, ActiveX/COM, Javascript.
– Visual Studio, Eclipse, ClearCase, Subversion.
– Common Criteria (ISO 15408), Rational RUP.
– Cryptography and PKI, Smart cards, tokens, digital certificates and network communication protocols; security libraries; MS Crypto API; .NET Security Library; JAVA JCA/JCE; Bouncy Castle; OpenSSL; ASN.1.
– Technical writing of standards, requirements, books, articles and training material.
– Workshop Speaker and University Professor.