Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail parag1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.
G1 Explica é uma série da coluna Segurança Digital que explica termos do mundo da segurança cibernética em um formato de perguntas e respostas. O tema de hoje é a certificação digital. A certificação digital é uma tecnologia antiga, mas que está em ascensão: é essa tecnologia que poderá criar uma "revolução" em todos os nossos processos burocráticos que ainda precisam de muito papel, assinaturas, selos e carimbos. Confira as perguntas e respostas abaixo para entender essa tecnologia.
1. O que é a certificação digital?
Um "certificado" é um documento que serve para provar algo. Fora da internet, um documento assinado à mão pode ser autenticado por um cartório. No meio digital, qualquer informação, inclusive uma "assinatura", pode ser infinitamente copiada. Essa situação gera um problema: como confiar em um documento digital?
A certificação digital é um conjunto de procedimentos e tecnologias para a autenticação de dados no mundo digital, servindo de solução para esse desafio. Por meio dessa certificação digital, um cidadão, um site ou uma empresa podem provar sua identidade e comprovar a autenticidade de documentos.
2. Quem usa a certificação digital? Qual a importância disso?
A certificação digital tem vários usos. No Brasil, os certificados digitais são usados nos sistemas de e-CPF e e-CNPJ. Esses sistemas podem ser usados para autenticar a interação das pessoas com o governo (declaração de imposto de renda e o acesso ao sistema da Nota Fiscal Paulista são exemplos). Advogados usam a certificação para assinar documentos enviados aos tribunais, de modo a impedir que terceiros se passem por eles em processos em trâmite eletrônico.
Sites de internet usam a certificação digital para comprovar sua identidade e poder exibir o "cadeado de segurança" no navegador. Programadores de software usam certificados para comprovar a origem dos programas. É assim que um celular pode saber que um aplicativo foi baixado da loja oficial do sistema, por exemplo.
É graças à certificação digital que processos burocráticos "do mundo real" podem ser realizados digitalmente com segurança.
Assim como outros documentos de identificação (como passaportes), cada sistema de certificação digital é separado dos demais e atende a um púbico específico ou a pessoas com uma finalidade específica.
3. Como funciona a tecnologia da certificação?
A tecnologia da certificação é baseada relações matemáticas complexas, mas elas são invisíveis. Do ponto de vista do utilizador, o mais comum é a existência de uma autoridade certificadora (AC), uma chave pública e uma chave privada.
A chave privada é como se fosse uma senha longa e deve ser guardada em sigilo pelo utilizador. A chave pública é derivada da chave privada a partir da fórmula matemática escolhida (existem múltiplas tecnologias para essa finalidade, que varia dependendo do sistema). Quando um utilizador cria uma "assinatura digital" usando sua chave privada, isso gera uma sequência que qualquer pessoa pode então verificar usando a chave pública, que é de livre distribuição.
A analogia a seguir não é totalmente correta, mas pode ajudar na visualização do processo: a chave privada é uma "caneta", que você usa para "escrever" a assinatura, enquanto a chave pública é um "modelo" que qualquer um pode olhar para ver se a assinatura deixada está correta.
Isso prova que há uma relação entre a chave pública e a privada, mas ainda há um problema: não há como saber se a chave é mesmo da pessoa correta. A chave não tem relação com seu conteúdo (se duas pessoas chamadas "José da Silva" criarem uma chave, ambas as chaves serão diferentes). É nesse momento que entra o trabalho da autoridade certificadora: ela dá o seu aval para a chave pública, garantindo que ela é daquela pessoa.
Dessa maneira, a confiabilidade do sistema também depende da confiabilidade dessa autoridade. Uma pessoa A não pode criar uma chave em nome de B e ter sua chave confirmada.
4. O que impede a duplicação da assinatura?
Qualquer "bit" digital pode ser copiado. Logo, se uma assinatura está em um documento, ela pode ser copiada para outro. Mas, no caso da certificação digital, isso não duplica a assinatura.
A assinatura funciona como um selo – semelhante aos selos que são usados para saber se um produto ou embalagem foi violado. A ideia da assinatura é que ela tenha uma relação com o conteúdo assinado. Se ela for colocada em outro documento ou o conteúdo do documento for alterado, a assinatura não vale.
Dessa maneira, se um advogado assina um documento e o cadastra em um processo eletrônico, aquilo não pode ser mais alterado sem invalidar a assinatura. Se um software com assinatura digital é modificado (por um vírus, por exemplo), ele também perde sua assinatura.
5. Quais são as possíveis falhas na tecnologia?
O tamanho da assinatura é limitado e, portanto, isso significa que há conflitos teóricos. Em outras palavras, em algum momento uma assinatura pode funcionar em outro documento. O cálculo necessário para determinar qual seria esse documento onde a assinatura funcionaria é extremamente complexo e pode não ser um documento útil. Por exemplo, pode ser um documento em que as letras não formam palavras em nenhum idioma, muito menos em português.
A duplicação da assinatura para um documento específico ("forjar a assinatura para um documento") deve ser extremamente difícil e, caso isso seja possível em prazos de tempo razoáveis (meses), considera-se que há uma falha na tecnologia. Não há casos conhecidos disso nos sistemas recomendados hoje.
Outro problema está na proteção das autoridades certificadoras e da própria chave privada de cada utilizador do sistema. No Brasil, chaves com três anos de validade devem ser armazenadas em cartões inteligentes por esse motivo: não deve ser possível extrair uma chave de um cartão.
No sistema de certificação de software usado no Windows, certificados digitais de empresas como Realtek (fabricante de chips), Adobe (do Photoshop) e Foxconn (fabricante do iPhone e de muitos outros eletrônicos) já foram roubados ou abusados por vírus de alguma forma. No sistema de certificação usado por navegadores para determinar a identidade dos sistemas, autoridades certificadoras já foram comprometidas ou de alguma maneira emitiram certificados indevidamente.
6. Qual o custo da certificação digital?
A emissão de certificados digitais, compostos por uma chave pública e uma chave privada, tem um custo mínimo. Esses certificados podem ser gerados em segundos, no máximo minutos, por um computador comum.
O custo do sistema está nos processos de validação desse certificado, como a confirmação da identidade do solicitante do certificado, o armazenamento em mídia adequada e assim por diante. Muitas empresas maiores utilizam sistemas de hardware (chamados pela sigla de "HSM") para armazenar suas chaves com mais segurança e esses sistemas também têm um custo.
Na prática, certificados de websites válidos por um ano são vendidos a R$ 90 (há opções gratuitas), certificados para websites com validação estendida custam R$ 400, certificados de programas custam de R$ 400 a R$ 900 e certificados brasileiros e-CPF por cerca de R$ 100 (valores anuais). Em alguns casos, há descontos para mais anos (é possível encontrar e-CPF por 3 anos por menos de R$ 150, por exemplo) e também há condições especiais de renovação em alguns casos. Esses preços são apenas para referência – há valores bem maiores.
Empresas que quiserem montar um sistema próprio de certificação para a comunicação entre seus funcionários também podem fazê-lo e nesse caso não é preciso depender de uma autoridade certificadora externa.
7. A certificação digital tem outros usos?
As assinaturas digitais atendem a um requisito da segurança da informação chamado de "não repúdio". Ou seja, quem assinou um documento digitalmente não pode depois dizer que não o fez.
Por conta da existência das autoridades certificadoras, que funcionam como "cartórios", a certificação digital também atende ao requisito da autenticidade (pois ela "identifica" o autor da assinatura) e da integridade (pois garante que o documento não foi modificado desde a assinatura).
Finalmente, a certificação digital pode ser usada junto de algoritmos criptográficos para transmitir dados de maneira sigilosa. É isso o que acontece, por exemplo, durante a visita a um site HTTPS, que tem o "cadeado". Os dados são embaralhados para que não seja possível "grampear" a conexão. A certificação também tem função de garantir a confidencialidade dos dados.
Com tanta flexibilidade, as áreas de aplicação da certificação digital são muitas. Com documentos assinados digitalmente, não há necessidade de procedimentos como reconhecimento de firma e cópias autenticadas. Você poderia, por exemplo, obter uma cópia da sua conta de telefone assinada digitalmente pela operadora, ou uma cópia do seu diploma de graduação assinado pela universidade e fazer qualquer inscrição ou cadastro que peça esses documentos on-line e com total confiabilidade.
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/o-que-e-certificacao-digital-g1-explica.html
Nenhum comentário:
Postar um comentário