Por Sergio Leal
Acaba de acontecer em Brasília o CertForum – o mais tradicional dos eventos realizados no país sobre a certificação digital ICP-Brasil.
Entre as novidades que acredito vale destacar está o amadurecimento das aplicações mobile.
Como regra geral, vimos que as aplicações apresentam belas interfaces, bem mais maduras do que vi em momentos passados. As interfaces são simples e de boa usabilidade mesmo para usuários que não são especialistas em certificação digital.
Quando falamos de adoção imediata, identificamos que não são direcionadas para o usuário final, mas princialmente para o desenvolvedor integrar esse apps em seus sistemas de legado..
O caminho natural é que sejam absorvidas pelo mercado de forma integrada aos diversos produtos que hoje já suportam assinatura digital de maneira mais tradicional.
Atenção ao seu aparelho
Uma vez que você escolha utilizar uma aplicação de assinatura digital mobile, preocupe-se em escolher um celular de boa qualidade e com um sistema operacional bem atualizado. Olhei nos e-commerce e ainda são vendidos aparelhos com Android 2 sendo que atualmente já estamos na versão 6. São produtos que não oferecem possibilidade de atualização e apresentam um conjunto enorme de falhas de segurança.
Certificados A1 vs. A3
As aplicações que vi são baseadas nos certificados A1.
Para refrescar a memória existem 2 tipos principais de certificados de assinatura na ICP-Brasil:
A1 – A chave fica armazenada localmente em um arquivo e seu nível de segurança é bom. Isso acontece porque esse arquivo precisa ser muito bem protegido, e uma vez que a máquina onde ele está seja comprometida o arquivo pode ser copiado. Ainda existe um PIN (similar a uma senha) que protege a chave privada como uma segunda camada de segurança.
A mobilidade pode ser um pouco complicada uma vez que “esse arquivo” deve ser copiado e instalado em cada computador onde queremos utilizar.
A3 – A chave privada fica armazenada em token ou cartão e seu nivel de segurança é o mais alto de todos. Como a chave não pode ser exportada, é necessário acesso fisico ao token ou cartão para comprometer a chave. Existe um mecanismos de PIN ainda mais sofisticado que contabiliza o numero de tentativas erradas e invalida pra sempre o uso da chave.
E como estão as aplicações mobile hoje?
As aplicações que conheci utilizam apenas o certificado do tipo A1. A experiência é adequada, mas existe um vácuo no mercado para a excelência de um app que suporte o A3.
Para facilitar a mobilidade do certificado algumas aplicações móveis permitem a geração do certificado A1 diretamente no dispositivo. O lado bom é que você não precisa quebrar a cabeça exportando as chaves do seu desktop para o celular, e o outro é que você precisará pagar por outro certificado.
Como ponto de melhoria, ainda existe um lockin na emissão dos certificados A1. Cada AC ainda emite certificados apenas no seu APP, e as empresas que usam certificados de múltiplas AC precisarão encontrar uma maneira de conjugar os vários fornecedores. Isso ainda torna mais difícil trocar de AC caso você esteja insatisfeito com o serviço.
Enfim a certificação digital mobile já está pronta para o mundo real, mas como sempre use com todo cuidado pois toda novidade demanda atenção redobrada.
Sérgio Leal
Ativista de longa data no meio da criptografia e certificação digital.
Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
Bacharel em Ciências da Computação pela UERJ desde 1997.
Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
Sérgio Leal é colunista e membro do conselho editorial do CRYPTO ID.
Autor e professor dos cursos ID Plus | Certificação Digital e Criptografia e Identidade Digital
Deixe sua opinião em comentários ou se preferir fale direto com Sérgio Leal sergio.leal@gmail.com
