O governo acordou para as vulnerabilidades de e-Mails sem assinatura e criptografia?
27 de setembro de 2013Estou adorando esse movimento em torno das vulnerabilidades nas comunicações por e-mails.
Há 15 anos falamos sobre isso, mas as pessoas comuns e até mesmo, o mundo corporativo e autoridades, nunca dedicaram atenção ao assunto como deveriam.
Será criado um novo tipo e certificado ICP Brasil?
Será um classe 1 com validação apenas da existência da conta de e-mail? Validação automática? Qual ou quais serão as Autoridades Certificadoras emissoras desses certificados?
Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – Certificado S, S de sigilo. Assim como o certificado tipo A, de assinatura, existem os certificados S1, S2, S3 e S4. Veja o quadro no final do artigo.
O certificado tipo S que emitimos hoje na hierarquia da ICP Brasil é um certificado que requer validação presencial e consequentemente não é um certificado adequado para criptografar e-mails com a escala que se pretende (população em geral), principalmente, com fornecimento gratuito por parte do governo.É um grande passo o governo se preocupar com o assunto e buscar alternativas para que a população tenha privacidade na troca de seus e-mails.
Porém, as pessoas só utilizarão os recursos disponibilizados pelo governo se entenderem os riscos a que se expõem na troca de e-mails sem criptografia.
Sem uma campanha de esclarecimento à população o governo estará apenas se blindando contra eventuais críticas eleitoreiras em relação a responsabilidade da custódia das informações eletrônicas dos brasileiros e ponto.Essa campanha de esclarecimento à população sobre o uso de e-mail com sigilo será importante porque levará à outros questionamentos em relação à vulnerabilidades no uso do meio eletrônico como por exemplo: o uso de senhas para acesso a aplicações de autenticação.
Cabe ao governo investir em comunicação para explicar o que é um certificado digital, certificados de assinatura e sigilo e explicar a diferença entre esses tipos de certificados e um e-CPF, por exemplo.
Até hoje o ônus do aculturamento sobre o uso do certificado digital coube apenas às Autoridades Certificadoras privadas.
E chegou a hora de educarmos a população brasileira, com investimentos públicos, sobre as boas práticas no uso dos meios eletrônicos.
Só assim conseguiremos alertar milhões de brasileiros que se expõem diariamente nas trocas de e-mails e em transações em sites falsos e sem criptografia.
Será também uma excelente oportunidade para que os atuais usuários de certificados digitais entenderem que as “obrigatoriedades” do uso de certificados para relacionamento com o governo na verdade lhes trás uma série de benefícios que hoje só é percebido por quem utiliza o certificado diariamente em mais de uma aplicação.
Essa campanha para divulgação sobre a certificação digital será oportuna também para que os decisores de organizações públicas e privadas deem mais atenção aos pleitos de seus profissionais de TI que lutam diariamente para obter recursos para implementar práticas mais seguras e são literalmente ignorados.
Para as organizações públicas ou privadas será importante uma ferramenta para gerenciamentos desses certificados de sigilo, porque a perda do certificado digital poderá causar a perda das informações criptografadas e isso para o mundo corporativo será um grande problema.
Para os usuários comuns a perda do certificado de sigilo também é um problema, mas esses terão sempre a possibilidade de buscar em seus arquivos as informações originais trocadas com a criptografia. No mundo corporativo a impossibilidade de acessar arquivos criptografados significará perda de ativos importantes.
Vamos ver como o governo vai lidar com o entorno dos e-mails criptografados e aguardar para ver se essa preocupação não passará de fumaça.De qualquer forma a NSA veio para apontar as vulnerabilidades a que estamos expostos.
Como “Só do caos nascem as grandes estrelas”, segundo Nietzsche – VIVA A NSA!
São duas séries de certificados, com quatro tipos cada.
O Tipo A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.
O Tipo S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas.
Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico – cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive).
Os certificados mais comuns são:A1 – de menor nível de segurança, é gerado e armazenado no computador do usuário.
Os dados são protegidos por uma senha de acesso.
Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada,A3 – de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.
Certificados da Receita Federal
O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte.Eles foram criados em 2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações via Internet.
Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.