Últimas notícias

Fique informado
Certificação digital e e-mails, tudo a ver. Por Cristina De Luca

Certificação digital e e-mails, tudo a ver. Por Cristina De Luca

29 de setembro de 2013

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Fortunas são desviadas por e-Mail #IC3 #BEC

Ontem foi o Dia da Privacidade dos Dados então, pare por

29 de janeiro de 2015

O governo acordou para as vulnerabilidades de e-Mails sem assinatura e criptografia?

Estou adorando esse movimento em torno das vulnerabilidades nas comunicações

27 de setembro de 2013

MACHINE-master180Violou-se a correspondência eletrônica reservada da Presidente Dilma.

DGNOW! Cristina De LucaPublicada em 28/09/2013 15:39

Para muitos _ inclusive eu _ a notícia chamou especial atenção por desnudar o descaso com que muitos dos integrantes do governo brasileiro tratam a proteção de dados. Então a correspondência de Dilma não está protegida, criptografada?

A presidente não usa Certificação Digital para proteger as suas mensagens eletrônicas, garantindo a integridade e sigilo?

Nas últimas semanas tive a oportunidade de conversar com vários especialistas em segurança e esclarecer muitos pontos que até então faziam pouco ou nenhum sentido em toda essa história de espionagem americana.

O primeiro deles é que, de fato, a Presidência da República usa certificação digital apenas para assinar digitalmente decretos e medidas provisórias.As poucas aplicações que requerem o uso de certificados digitais no governo federal são o melhor indicador de que prevalece entre os técnicos o entendimento de que a certificação digital é apenas uma identidade eletrônica, que garante a identificação inequívoca do dono do certificado e confere valor jurídico aos documentos assinados eletronicamente.

Do tripé confiabilidade, legalidade e segurança, o grosso do uso da certificação digital endereça apenas os dois primeiros.

Pouca gente lembra do fato de que a certificação digital pode e deve ser usada para garantir o sigilo de mensagens de correio eletrônico, e arquivos anexados, com criptografia forte. Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – o Certificado S. O uso de certificação para e-mail, portanto, pode ter duas funções: a autenticação e a criptografia.

A criptografia é um pouco mais complicada porque as duas pontas têm que ter as chaves.

Por isso, é comum ouvir contra-argumentos de que para uso de certificados ICP-Brasil em e-mails todos os seus contatos também precisem usar nosso padrão de certificação digital. E que a emissão desses certificados S requer validação presencial, tornando-os inadequados para criptografar e-mails em larga escala. Mas não seria de se esperar de toda a correspondência entre os três poderes, ministérios e autarquias já fizesse uso deles?

O Expresso, do Serpro, não deveria ser o e-mail padrão para todo o governo federal?

Outros obstáculos
É claro que, como toda tecnologia de segurança, o uso da certificação tem lá seus obstáculos e vulnerabilidades. Mas eles não deveriam servir de desculpa ou impedimento para o uso, especialmente se consideramos a criptografia através da certificação digital uma camada a mais na cadeia de segurança.

Infalível? claro que não.

Nesse episódio da ação da NSA nas comunicações do Planalto, uma das surpresas, de fato, para os profissionais de segurança, segundo José Damico, diretor de pesquisa e desenvolvimento da InfoSERVER/TIX11, foi ver que a agência americana tem sistematicamente quebrado o https, que tem muitas chaves de 2.048 bits, longas, difíceis de quebrar.

A ideia corrente era a de que, pela qualidade do algoritmo e o tamanho da chave, seria computacionalmente inviável quebrar criptografia forte.

A NSA mostrou que para o poder computacional que ela tem, nada é computacionalmente inviável.

A partir daí, considerando que ela possa ter quebrado uma chave de um certificado digital, tudo aquilo que ele armazenou passa a estar vulnerável.Mas, pelo visto, nem esse trabalho os agentes da NSA tiveram para ter acesso ao teor dos e-mails da Dilma.

Some-se a isso o fato da certificação ICP-Brasil ainda não estar disponível para uso em tablets e smartphones do governo federal. Só este ano, o governo e a indústria despertaram para a importância de ter certificação em dispositivos iOS e Android, usando novas tecnologias como NFC, por exemplo. Portanto hoje, ao acessar e-mails em um tablet Android ou smartphones, Dilma estaria vulnerável.

A Certisign, por exemplo, começou a ter uma série de demandas da iniciativa privada, pós caso Snowden, para proteção de e-mails.

A solução da empresa para isso já existe há anos, mas mesmos os clientes que a compraram, usavam pouco. Agora a empresa está investindo em portá-la, junto com soluções de certificação digital para uso em tablets e smartphones.

“Estamos desenvolvendo uma solução para o mercado corporativo que permite ao desenvolvedor agregar um componente de certificação nas suas aplicações. Para usar o certificado, podemos importá-lo no aparelho, no caso da Plataforma Android, ou fazer uso de capas especiais com leitoras de certificados embutidos nos cartões que já vendemos hoje, no caso dos iPads e iPhones”, conta Maurício Balassiano, diretor de Tecnologia da Certisign. “No Android eu já consigo importar um certificado S4 e enviar e receber e-mails assinados digitalmente e criptografados.

No iOS ainda não. Precisaria de um app para isso, que a gente ainda não desenvolveu. Mas a gente já tem o componente para esse desenvolvimento”, explica.

Os produtos estão em fase de protótipo.

A intenção da Certisign é começar a vender a solução no fim deste ano, início do ano que vem.

O fato é que Snowden e a NSA nos fizeram um favor, ao desnudar o quanto estamos relapsos no uso de tecnologias de segurança, muitas delas desenvolvidas no país.

Em tempo:  O Brasil possui 3,5 milhões de certificados digitais ativos e vem emitindo cerca de 200 mil a cada mês conforme dados apresentados pelo Instituto Nacional de Tecnologia da Informação (ITI). Menos de um terço são usadas por pessoas físicas, embora sejamos beneficiados diretamente por seu uso, sem saber, na rápida compensação de cheques, agilização do saque do FGTS na Caixa Econômica Federal, do atendimento médico (graças ao prontuário eletrônico) e da tramitação de processos na Justiça.

Fonte: IDGNOW!

images (5)Por Cristina De Luca
Uma das mais mais conceituadas jornalista brasileira que trata de tecnologia da informação.
Jornalista, Editor at large do Grupo Now!Digital, é formada em Comunicação com Master em Marketing pela PUC do Rio de Janeiro e ganhadora do Prêmio Comunique-se na categoria Tecnologia em 2005 e 2010.
Não deixe e ler:  O governo acordou para as vulnerabilidades na troca de e-Mails sem assinatura e criptografia