Num dos contos das “Mil e Uma Noites”, existe a história de Ali Babá e os Quarenta Ladrões, que a maioria das pessoas não conhece, mas que fala sobre o conto como se Ali Babá fosse amigo dos ladrões. No conto, a história tem uma passagem sobre duas senhas: “Abre, ó Simsim” e “Fecha-te, ó Simsim”, ou a conhecidíssima expressão “Abre-te Sésamo”.
Existem defensores da teoria que Egípcios, por volta de 1900 d.C. e relatos de atividades na Mesopotâmia por volta de 1500 d.C. tratavam de criptografia como forma de proteger ou registrar informações. Existem tumbas de faraós que tinham o verdadeiro conceito de Segurança. Foram fechadas e trancadas com a chave dentro.
Em tempos mais recentes, por volta de 400 d.C, Vatsayna indicou no Kama Sutra (isto mesmo !!!) nas 44ª e 45ª das 64 artes que as pessoas deveriam conhecer e praticar a criptografia:
* A arte de saber escrever em cifras e de escrever palavras de uma forma peculiar.
* A arte de falar mudando as formas da palavra, conhecida como criptolalia.
Esta introdução é para chamar a atenção dos usuários de tecnologias, especialmente de Certificação Digital para o cuidado e critério no uso dos termos desta tecnologia.
A RFC 2459 (do inglês Request for Comments) que trata das questões básicas de uma Infraestrutura de Chaves Públicas (do inglês PKI) é determinante na eliminação do termo senha para o assunto.
A estrutura fala sobre Chave Pública e Chave Privada, e sobre outras formas de autenticação pela informação que a pessoa a qual pertence um certificado pode se identificar e autenticar.
Pode parecer uma questão menor, mas desta compreensão, de como funciona esta infraestrutura, depreendemos alguns níveis de elevação de segurança.
Enquanto uma senha tradicional, mesmo que seja armazenada ou trafegada numa rede criptografada, ela não é do conhecimento exclusivo de quem ela identifica. Por exemplo, um correntista de banco que tem uma senha, mesmo criptografada, pode ter esta senha armazenada no banco e conhecendo-se alguns mecanismos, esta senha pode ser descoberta (quebrada).
Por outro lado, o mecanismo de Chave Pública e Chave Privada, de uma PKI, coloca a Chave Privada somente nas mãos de quem ela identifica e utiliza uma Chave Pública única, que identifica a pessoa para todas as outras pessoas e coisas e, a grande mágica é que, a partir desta Chave Pública o trabalho de descobrir a Chave Privada correspondente é tão grande que pode não compensar no caso de alguma tentativa de assumir o controle de uma conta-corrente ou banco de dados.
Tem sido muito comum, até mesmo entre profissionais que atuam com Certificação Digital, usar o termo senha. É incorreto, foi admissível tempos atrás, antes do advento da PKI, nas “mil e uma noites”, para Ali Babá enganar os ladrões, falar de senha.
Hoje, quem lida com Certificação Digital, até para separar conceitos e mudar comportamentos, deve se referenciar aos termos corretos. Atividades e comportamentos impróprios, como compartilhar senhas e afixar papéis com a senha em telas de computador, não são admissíveis para Certificação Digital. O usuário de certificados digitais, no Brasil, assina um Termo de Responsabilidade que coloca a condição de que ele não divulgará a sua Chave Privada sob o risco de ser processado por Responsabilidade Civil.
Assim sendo, é tempo de usarmos os termos apropriados como Chave Privada, Chave Pública, PIN, PUK (do inglês PIN Unlock Key), Identificação, Autenticação, Assinatura Eletrônica, dentre tantos outros termos específicos, como forma de disseminar uma maneira mais segura e completamente diferente do que conhecemos até hoje com login e senha.
Continuaremos a dar sequência às questões relacionadas ao conhecimento básico sobre infraestrutura de chaves públicas.
Bibliografia Recomendada:
Sobre Evandro Oliveira
Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.
Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.
Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.
Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.
Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)
Palestrante e Conferencista.
Colunista do Portal CryptoID.
