Se você ainda não conhecia,veja como esse novo padrão poderá facilitar a sua vida nas aplicações que dependam do uso de certificados digitais na web.
Por Sérgio Leal
Sergio Leal – Colunista CryptoID
W3C
O World Wide Web é o “padronizador mundial” da web, que conta com um grupo de funcionários e muitos colaboradores externos. Entre outros padrões são eles que coordenam, com todos os big players do setor, as regras para o Web Cryptography API.
Por que precisamos da Web Cryptography API?
Tomando como exemplo o SSL/TLS que sempre foi um “cidadão de primeira classe” nos navegadores que sempre veio incorporado nativamente aos navegadores, percebemos que boa parte de seu sucesso deve-se à experiência transparente derivada dessa perfeita integração.
Já a assinatura digital sempre foi deixada de lado pelos criadores dos navegadores e nunca teve esse mesmo status. A consequência foi que as soluções sempre tiveram que apoiar-se em componentes ActiveX (como o CAPICOM) e Applet Java que nem sempre ofereciam o apoio necessário.
O que é a Web Cryptography API?
É uma API usada através de Javascript que oferece acesso às operações criptográficas básicas como: geração de hash, criação e verificação de assinaturas e acesso às chaves criptográficas.
Seu grande benefício é a integração com o navegador, dispensando o download de contreúdo ativo e todos os riscos associados a esse processo. Basta olhar na Internet o volume de problemas se segurança derivado do uso dos plugins nos navegadores como os applet Java.
Qual o seu status atual?
O padrão ainda não está terminado, e os principais navegadores já trazem implementações parciais. Não é dificil encontrar alguns exemplos na Internet, e você conseguirá executar no seu navegador. O grande gap que ainda existe é a impossibilidade de acesso aos tokens e smart cards através de APIs como o PKCS#11. Até que esses problemas sejam sanados o padrão, e suas implementações, não passarão de um belo brinquedo.
O que a Web Cryptography API não faz?
Seu objetivo é bem claro e focado nas operações criptográficas báscias. Assim, ele não se propões a realizar operações mais complexas, como criar envelopes se assinatura em multiplos padrões como CAdES, XAdES, assinatura nativa de PDF, ou aplicação de carimbo de tempo.
Para onde vamos daqui?
Por outro lado, estaremos dependentes do interesse de todos os envolvidos de fazer uma implementação completa e adequada aos ambientes de produção, mas isso ainda não parece no horizonte.
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pela UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Sérgio Leal é colunista e membro do conselho editorial do CryptoID.
