CASC Heartbleed Response

The recent Heartbleed issue has reawakened interest in SSL certificate revocation (see Adam Langley’s blog, Larry Seltzer’s articles here and here, and Steve Gibson’s web pages)

Several years ago, the CA Browser Forum convened a special Revocation Working Group to explore issues and solutions. Leading CAs were actively involved in that group, and many of them invested in moving their OCSP responders to high-performance, high-availability Content Delivery Networks (CDNs) to respond to browser vendors’ requests for increased performance and reliability.

Google was part of the Revocation Working Group and announced CRLSets to that group and the wider CA Browser Forum. CAs were disappointed that Chrome wouldn’t actively retrieve OCSP responses from them, but we were under the impression that CRLSets would include most revoked certificates. Adam did ask CAs to help CRLSets by telling Google about important revocations, and CAs largely complied, for example, when the CA had to revoke intermediate certificates. But CAs have no reliable way of knowing which end-entity certificate revocations are important, since certificate owners don’t reliably tell CAs whether or not the revocation is important. Many CAs allow the customer to choose from a list of “revocation reasons”, but just as companies are hesitant to reveal that they’ve suffered a security breach, it’s assumed that they are hesitant to tell the CA that their private key had been compromised (this would constitute an important revocation).

Posted by the CA Security Council on May 8, 2014

As a result, end users and browsers have no way to determine whether a certificate was revoked because of the server’s loss of control over the key, fraudulent activity by the server administrator, the presence of malware on site, or simply out of an abundance of caution. Heartbleed is a perfect example of why revocation is important even without identified key compromise. No one can say for certain that their server’s private key was compromised. Most of the revocations that have occurred are going on CRLs for “business reasons” (as Adam defines it) and not picked up by CRLSets.

It’s now clear that CRLSets are simply a blacklist of high-profile revoked certificates. Other browsers have similar blacklists, and these can be effective at times (for example, to indicate revocation of an intermediate certificate that may be several years old and does not contain an OCSP pointer). But they’re not a substitute for OCSP checking of end-entity certificates.

Google moved away from supporting OCSP without adequately informing Chrome users of this fact. Although IE and Safari also soft-fail if an OCSP response is not received, those browsers still use OCSP by default. The engineers creating those browsers apparently have not concluded that OCSP is broken. Even if revocation checking by OCSP isn’t 100 percent accurate, it can still protect a high percentage of users who navigate to a site with a revoked certificate and receive an OCSP response indicating revocation. Turning off revocation checking for everyone means that no one is protected.

All browsers compete on speed and performance, and OCSP checking can slow page loading. We think many browser users would tradeoff a small performance hit for increased confidence in the authenticity of the web site.

Revocation is a very complex issue, with lots of room for debate. Reasonable people can disagree on the effectiveness of using OCSP. The CASC agrees that OCSP Stapling, and putting OCSP Must-Staple extensions in certificates, is one of the best solutions to address many issues with revocation at this time. But until that happens, we oppose browsers removing (non-stapled) OCSP checks.

MicroSD capaz de criptografar e proteger smartphones

MicroSD capaz de criptografar e proteger smartphones chega ao Brasil

O TrustChip, chip da empresa KoolSpan capaz de adicionar criptografia a informações de smartphones, chegou ao Brasil. Distribuído pela empresa FGX, ele é um microSD com 2 GB de armazenamento, sendo compatível com qualquer aparelho que tenha entrada para este tipo de cartão de memória. Ele se diferencia de programas de proteção por oferecer a segurança já no próprio hardware do telefone e não via aplicativos.

O TrustChip é um co-processador ARM de criptografia 32-bit, inviolável, que realiza uma criptografia avançada AES 256-bit. Mecanismo de criptografia por hardware-embarcado autossuficiente, o que garante que sua segurança seja obtida no hardware do smartphone.

"O TrustChip está isolado de ameaças de segurança em dispositivos móveis e conectados. Uma vez que a aplicação de segurança reside no próprio chip, e não em software, todas as transações, como uma chamada de voz ou uma transmissão de dados, são codificadas com uma série única e secreta de números”, explica o presidente da FGX, Fábio Guimarães.

Além da segurança nos próprios dispositivos móveis em que é instalado, o TrustChip atua em conjunto com dois aplicativos, TrustCall e TrustText, para garantir proteção nas ligações e mensagens de texto, respectivamente. Eles funcionam com iOS, Android e BlackBerry.

“Quando um telefone com TrustCall chama outro telefone que também utiliza a solução de segurança, os dispositivos, de forma transparente, autenticam-se e conectam-se. Toda a comunicação de voz é então criptografada e enviada por um canal seguro de dados”, diz o site do acessório.

A solução é voltada para o público de negócios, mas também pode ser utilizada pelos usuários comuns. O preço do chip não foi divulgado, nem os seus locais de venda. A FGX, em seu site oficial, pede que os interessados entrem em contato direto com os próprios representantes empresa.

Via 

por THIAGO BARROS

Para o TechTudo

FGX

CAU/RJ mais um conselho de classe adere a Certificação Digital

Mais um conselho de classe adere as vantagens do uso de Certificados Digitais e provém aos associados vantagens na aquisição do certificado digital.

Profissionais e empresas de Arquitetura e Urbanismo registrados no CAU/RJ poderão contar com atendimento diferenciado e valores especiais para emissão de seus Certificados Digitais de Pessoa Física ou Jurídica.

Uma das principais funcionalidades do Certificado Digital permite que empresas de arquitetura e urbanismo efetuem o recadastramento no Sistema de Comunicação do Conselho de Arquitetura e Urbanismo - SICCAU de forma mais segura, ágil e prática.

O Certificado Digital é importante para quem participa de licitações e também é útil para o cadastramento e acesso ao sistema Comprasnet.

Alguns portais de assinaturas eletrônicas já fazem assinatura com validade jurídica e carimbo do tempo em documento AutoCAD e softwares similares, grande vantagem para os profissionais da classe que precisam de agilidade para apresentar seus projetos principalmente junto a empresas públicas.

Além disso, o Certificado Digital pode ser usado para acesso ao sistema da Receita Federal (e-CAC), com facilidades para a declaração do imposto de renda; emissão de procuração eletrônica; consulta a declarações anteriores etc, bem como envio de Nota Fiscal Eletrônica (NF-e); acesso ao Conectividade Social ICP, da Caixa Econômica Federal; acesso bancário mais seguro; envio de e-mail assinado digitalmente e  acesso a vários serviços que utilizam a certificação digital para autenticação.

A tecnologia de certificação digital, atualmente, é a que garante o maior nível de segurança na internet. Assim, com a utilização de Certificado Digital, as Pessoas Físicas e Jurídicas têm garantidas a autenticidade, segurança, privacidade, integridade e inviolabilidade de mensagens, documentos e transações realizadas no meio eletrônico. Outra vantagem da tecnologia é a praticidade, com a redução do acúmulo de documentos em papel.

A carteira do profissional da CAU é um cartão inteligente adequado ao armazenar o Certificado Digital em seu chip.


Dessa forma, arquitetos e urbanistas podem armazenar seus certificados digitais na carteira da CAU e não precisarão adquirir a mídia de armazenamento.

Precisarão apenas adquirir um Certificado Digital. Sendo assim, a carteira do CAU precisará estar com o titular na data da validação presencial para emissão do Certificado Digital.

Os serviços com descontos especiais serão oferecidos através de uma parceria do Conselho com a Autoridade de Registro Pronova, especializada em Certificação Digital.

Os arquitetos e urbanistas poderão ser atendidos na sede do CAU/RJ, a partir do dia 15 de maio, às quintas e sextas-feiras, das 9h às 17h.

O atendimento também estará disponível nas unidades Pronova, de segunda a sexta, das 9h às 18h.

É preciso fazer agendamento prévio, identificando-se como arquiteto e urbanista ou empresa registrada no CAU.

Há ainda o serviço de validação em domicílio, sem cobrança de taxa para os beneficiados do Conselho, que deverão pagar somente o deslocamento do funcionário da Pronova até sua localização, além do custo do Certificado Digital.

O agendamento pode ser feito pelo telefone (21) 4004-0435 – Ramal 9911, ou pela internet, através do hotsite http://www.pronova.com.br/caurj.

Problema em usar seu Certificado Digital no MAC?

Não consegue usar seu certificado digital no MAC?

Pessoal, recebo sempre muitas mensagens sobre a instalação do certificado digital no MAC. 

A Certisign essa semana colocou em sua área de suporte instruções e drives para o MAC. 

Aproveito para pedir a quem tiver conhecimento de outros links divulgue aqui. Vão me tirar da saia justa que fico quando recebo essas mensagens com pedidos de socorro.
Acesse o link  do Site da Certisign em  Instalação de Drives.

Segue o link: http://www.certisign.com.br/atendimento-suporte/downloads/tokens/macmenos

Pessoal, testamos o link na Insania Publicidade  e com a ajuda do SAC da Certisign instalamos em menos de 3 minutos e todos os nossos MACs estão funcionando perfeitamente com os certificados digitais! Porém, nem tudo é perfeito porque não funciona em todos os navegadores, mas não é tão difícil trocar de navegador, quando você sabe que o problema é esse.

UBUNTU - TUTORIAL DO ITI PARA DE INSTALAÇÃO DO CERTIFICADO ICP-BRASIL

Para tornar mais democrático e facilitar o uso do certificado digital no padrão da Infraestrutura de Chaves Públicas Brasiliera – ICP-Brasil, o Instituto Nacional de Tecnologia da Informação - ITI, produziu o Tutorial de instalação do certificado digital ICP-Brasil no sistema operacional GNU/Linux Ubuntu 12.04 LTS.

O arquivo está disponível em PDF e traz os passos necessários para correta instalação. A demanda de dúvidas sobre o processo de instalação do certificado neste tipo de sistema operacional foi a motivação para criação do documento.

"Não há qualquer pretensão do ITI em apresentar uma forma irredutível de realizar a instalação do certificado ICP-Brasil neste versão do sistema operacional Linux. Ao contrário, a partir de nossa experiência enquanto autarquia pública queremos colaborar com aqueles que utilizam o Ubuntu e assim alargar as possibilidades de interação entre a ICP-Brasil e um sistema operacional tão utilizado no mercado", destacou o coordenador da Assessoria de Comunicação do ITI, Edmar Araújo.

O Tutorial está disponível para donwload no link

 http://www.iti.gov.br/images/publicacoes/manuais/tutorial_leitora_ubuntu_12.04lts.pdf

Fonte: ITI

Telegram junta funcionalidades do WhatsApp e Snapchat e tem as mensagens são criptografadas.

O serviço de mensagem Telegram tenta unir o melhor de dois aplicativos de sucesso: os comunicadores instantâneos WhatsApp e Snapchat (que autodestrói mensagens).

Criado em 2013 por Nikolal e Pavel Durov (os fundadores do Vkontakte, rede social mais popular da Rússia), o aplicativo recebeu atenção da mídia após uma falha recente no WhatsApp, que deixou o serviço indisponível por algumas horas.

Na ocasião, segundo o Telegram, a rede adicionou quase 5 milhões de novos usuários e o aplicativo ficou entre os mais baixados na App Store de 48 países.

Gratuito, o Telegram está disponíveis para todas as principais plataformas de dispositivos móveis (iOS, Android e Windows Phone), além de Windows para desktop, complemento para Google Chrome e para Mac OS.

Dessa forma, é possível que o usuário consiga manter simultaneamente suas conversas (salvas na nuvem) em todos os dispositivos que utilizar – no WhatsApp, a conta só funciona em um eletrônico por vez.

Funcionamento

O aplicativo funciona como o WhatsApp. O usuário precisa baixar o programa, inserir seu número de telefone e confirmar um cadastro após o envio de um SMS do Telegram.

Tela de conversa do aplicativo Telegram na versão para o sistema Android

Depois disso, o programa busca automaticamenteem seus contatos quais usuários estão cadastrados na plataforma de mensagem instantânea. Até os ícones verdes são semelhantes aos do WhatsApp: um tique verde significa que a mensagem foi enviada, dois tiques indicam que foi lida.

Com ele, é possível enviar mensagens de texto, voz, imagens, vídeos e a própria localização do usuário. Como diferencial, o aplicativo permite enviar documentos anexados, por exemplo.

Do Snapchat, o aplicativo pegou emprestada a funcionalidade de autodestruição. Ao abrir um chat secreto (secret chat), o usuário consegue determinar a duração da mensagem antes de desaparecer. É possível configurar para dois segundos, cinco segundos, um minuto, uma hora, um dia ou uma semana.

A companhia diz que a troca de mensagens é criptografada e apenas quem as recebe consegue decifrar a codificação de segurança aplicada. Dessa forma, se alguém tentar receptar o conteúdo, visualizará apenas códigos desconexos.

Reprodução

Interface do aplicativo Telegram para iOS; programa tem características que lembram o WhatsApp

A diferença da troca de mensagens do chat secreto é que o conteúdo não fica armazenado na "nuvem" de cada usuário. A mensagem só pode ser vista no próprio dispositivo em que ela foi aberta da primeira vez.

Vale a pena?

Usar o programa vale a pena, pois ele une funcionalidades de duas outras plataformas famosas. No entanto, como toda solução de mensagem instantânea, peca por ainda ser um serviço de pouco alcance, pelo menos no Brasil (assim como em outros comunicadores e redes sociais, você geralmente adere àquilo que seus amigos usam).

No Twitter do aplicativo, a maioria das mensagens fala sobre alguns (poucos) problemas de indisponibilidade para usuários europeus. Segundo a companhia, o Telegram fechou o mês de março com 35 milhões de usuários – algo bem longe dos 500 milhões de usuários do WhatsApp.

Outro fator que pode ser considerado um problema é que ainda não há uma versão em português para o aplicativo.

Fonte:http://tecnologia.uol.com.br