Estou adorando esse movimento em torno das vulnerabilidades nas comunicações por e-mails. Há 15 anos falamos sobre isso, mas as pessoas comuns e até mesmo, o mundo corporativo e autoridades, nunca dedicaram atenção ao assunto como deveriam.
Mas estou curiosa no entanto. Será criado um novo tipo e certificado ICP Brasil? Será um classe 1 com validação apenas da existência da conta de e-mail? Validação automática? Qual ou quais serão as Autoridades Certificadoras emissoras desses certificados?
Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – Certificado S, S de sigilo. Assim como o certificado tipo A, de assinatura, existem os certificados S1, S2, S3 e S4. Veja o quadro no final do artigo
O certificado tipo S que emitimos hoje na hierarquia da ICP Brasil é um certificado que requer validação presencial e consequentemente não é um certificado adequado para criptografar e-mails com a escala que se pretende (população em geral), principalmente, com fornecimento gratuito por parte do governo.
Até hoje o ônus do aculturamento sobre o uso do certificado digital coube apenas às Autoridades Certificadoras privadas. E chegou a hora de educarmos a população brasileira, com investimentos públicos, sobre as boas práticas no uso dos meios eletrônicos. Só assim conseguiremos alertar milhões de brasileiros que se expõem diariamente nas trocas de e-mails e em transações em sites falsos e sem criptografia.
Será também uma excelente oportunidade para que os atuais usuários de certificados digitais entenderem que as "obrigatoriedades" do uso de certificados para relacionamento com o governo na verdade lhes trás uma série de benefícios que hoje só é percebido por quem utiliza o certificado diariamente em mais de uma aplicação.
Essa campanha para divulgação sobre a certificação digital será oportuna também para que os decisores de organizações públicas e privadas deem mais atenção aos pleitos de seus profissionais de TI que lutam diariamente para obter recursos para implementar práticas mais seguras e são literalmente ignorados.
Para as organizações públicas ou privadas será importante uma ferramenta para gerenciamentos desses certificados de sigilo, porque a perda do certificado digital poderá causar a perda das informações criptografadas e isso para o mundo corporativo será um grande problema. Para os usuários comuns a perda do certificado de sigilo também é um problema, mas esses terão sempre a possibilidade de buscar em seus arquivos as informações originais trocadas com a criptografia. No mundo corporativo a impossibilidade de acessar arquivos criptografados significará perda de ativos importantes.
Vamos ver como o governo vai lidar com o entorno dos e-mails criptografados e aguardar para ver se essa preocupação não passará de fumaça.
De qualquer forma a NSA veio para apontar as vulnerabilidades a que estamos expostos. Como “Só do caos nascem as grandes estrelas”, segundo Nietzsche - VIVA A NSA!
Regina Tupinambá
O certificado tipo S que emitimos hoje na hierarquia da ICP Brasil é um certificado que requer validação presencial e consequentemente não é um certificado adequado para criptografar e-mails com a escala que se pretende (população em geral), principalmente, com fornecimento gratuito por parte do governo.
É um grande passo o governo se preocupar com o assunto e buscar alternativas para que a população tenha privacidade na troca de seus e-mails. Porém, as pessoas só utilizarão os recursos disponibilizados pelo governo se entenderem os riscos a que se expõem na troca de e-mails sem criptografia. Sem uma campanha de esclarecimento à população o governo estará apenas se blindando contra eventuais críticas eleitoreiras em relação a responsabilidade da custódia das informações eletrônicas dos brasileiros e ponto.
Essa campanha de esclarecimento à população sobre o uso de e-mail com sigilo será importante porque levará à outros questionamentos em relação à vulnerabilidades no uso do meio eletrônico como por exemplo: o uso de senhas para acesso a aplicações de autenticação.
Cabe ao governo investir em comunicação para explicar o que é um certificado digital, certificados de assinatura e sigilo e explicar a diferença entre esses tipos de certificados e um e-CPF, por exemplo.
Essa campanha de esclarecimento à população sobre o uso de e-mail com sigilo será importante porque levará à outros questionamentos em relação à vulnerabilidades no uso do meio eletrônico como por exemplo: o uso de senhas para acesso a aplicações de autenticação.
Cabe ao governo investir em comunicação para explicar o que é um certificado digital, certificados de assinatura e sigilo e explicar a diferença entre esses tipos de certificados e um e-CPF, por exemplo.
Até hoje o ônus do aculturamento sobre o uso do certificado digital coube apenas às Autoridades Certificadoras privadas. E chegou a hora de educarmos a população brasileira, com investimentos públicos, sobre as boas práticas no uso dos meios eletrônicos. Só assim conseguiremos alertar milhões de brasileiros que se expõem diariamente nas trocas de e-mails e em transações em sites falsos e sem criptografia.
Será também uma excelente oportunidade para que os atuais usuários de certificados digitais entenderem que as "obrigatoriedades" do uso de certificados para relacionamento com o governo na verdade lhes trás uma série de benefícios que hoje só é percebido por quem utiliza o certificado diariamente em mais de uma aplicação.
Essa campanha para divulgação sobre a certificação digital será oportuna também para que os decisores de organizações públicas e privadas deem mais atenção aos pleitos de seus profissionais de TI que lutam diariamente para obter recursos para implementar práticas mais seguras e são literalmente ignorados.
Para as organizações públicas ou privadas será importante uma ferramenta para gerenciamentos desses certificados de sigilo, porque a perda do certificado digital poderá causar a perda das informações criptografadas e isso para o mundo corporativo será um grande problema. Para os usuários comuns a perda do certificado de sigilo também é um problema, mas esses terão sempre a possibilidade de buscar em seus arquivos as informações originais trocadas com a criptografia. No mundo corporativo a impossibilidade de acessar arquivos criptografados significará perda de ativos importantes.
Vamos ver como o governo vai lidar com o entorno dos e-mails criptografados e aguardar para ver se essa preocupação não passará de fumaça.
De qualquer forma a NSA veio para apontar as vulnerabilidades a que estamos expostos. Como “Só do caos nascem as grandes estrelas”, segundo Nietzsche - VIVA A NSA!
Valeu OBANA por "acordar" nossos governantes. Agora a indiferença à este assunto pode lhes tirar votos!
Regina Tupinambá
Entenda as diferenças dos tipos de certificado digital A e S
Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada.
O Tipo A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.
O Tipo S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico - cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive).
Os certificados mais comuns são
A1 - de menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada,
A3 - de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.
Certificados da Receita Federal
O e-CPF e o e-CNPJ são os certificados digitais que pessoas físicas e jurídicas podem usar para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte.
Eles foram criados em 2002 pela Secretaria da Receita Federal para identificar o contribuinte brasileiro em transações via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.
 |
Fonte: UOL/ Gisele Ribeiro
|
Leia a matéria: e-Mail criptografado dos Correios deve ficar pronto este ano
O serviço de e-mail criptografado dos Correios deve ficar pronto ainda este ano, como informou a Agência Brasil nesta terça-feira (24).
Os primeiros testes devem começar já no próximo mês, de acordo com declaração do Ministro das Comunicações, Paulo Bernardo. Oferecido pelos Correios, o sistema vem sendo desenvolvido pela Serpro (Serviço Federal de Processamento de Dados), e segundo Presidente da estatal, Marcos Mazoni, o serviço vai ser gratuito e custeado pelo governo.
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.