Entrevista: certificação digital tornará a rede mais segura
IDG Now Dabiela Braun com colaboração de Camila Fusco 19.03.2004
A utilização das certificações digitais por corporações ou internautas em geral tornará mais seguro o tráfego de informações pela rede. Esta foi a afirmação do diretor-presidente do Instituto Nacional de Tecnologia da Informação (ITI), Sérgio Amadeu, durante a apresentação de palestra sobre Certificação Digital realizada esta semana na Security Week Brasil 2004, em São Paulo.
No evento, Amadeu reforçou as funções da certificação digital, arquivo eletrônico que acompanha um documento com uma assinatura digital e cujo conteúdo é criptografado, ou seja, escrito em cifras e que só pode ser decodificado com após um reprocessamento do receptor.
A certificação digital garante a autenticidade, a integridade a confidencialidade e o não-repúdio de uma mensagem, ou seja, impede que o remetente negue que foi o autor de uma determinada mensagem, por exemplo, afirmou.
Amadeu ressaltou também as metas e iniciativas do governo em relação à certificação digital e ainda destacou a necessidade de maior popularização para o tema. Confira abaixo trechos da entrevista exclusiva que o diretor-presidente do ITI concedeu ao IDG Now!:
IDG Now! - Quais os benefícios da certificação digital?
Sérgio Amadeu - Com a certificação digital o relacionamento com o governo ou mesmo as transações bancárias ficam mais seguras. O uso de certificados digitais transformam uma rede insegura em uma rede segura. O usuário poderá assinar e enviar seus e-mails com maior segurança.
A certificação digital garante autenticidade, integridade e o não-repúdio, ou seja, impede que o remetente negue posteriormente que tenha enviado uma mensagem. A mensagem com certificação digital tem o status e a validade de um documento, propriamente dito.
IDG Now! - Qualquer pessoa física pode ter uma certificação digital ou o uso é destinado a pessoas jurídicas?
Sérgio Amadeu - Qualquer pessoa física ou jurídica pode ter uma certificação digital da ICP Brasil [Infra-Estrutura de Chaves Públicas Brasileira, órgão que regulamenta técnicas, práticas e procedimentos, a serem implementados pelas organizações governamentais e privadas brasileiras].
IDG Now! - Qual o procedimento para se obter uma certificação digital?
Sérgio Amadeu - O usuário pode obter uma certificação digital a partir de uma Autoridade Certificadora, ou seja, órgãos responsáveis por emitir o documento. No Brasil hoje temos seis delas. Primeiramente o internauta comunica os dados ao site, é orientado a cadastrar seus dados pessoais e também um par de chaves criptográficas [dispositivos que farão a identificação do usuário e o reconhecimento da certificação].
A partir daí, ele precisa ir pessoalmente à Autoridade Certificadora para registrar seus dados e levar as provas dos dados que forneceu online. Aí então o processo está pronto. Ele recebe as chaves criptográficas e sua assinatura digital.
IDG Now! - Qual o custo de uma certificação digital?
Sérgio Amadeu - O custo depende do nível de segurança da certificação digital. Existem dois tipos de certificação digital, o A-1 e o A-3. O A-1 é aquele em que a assinatura digital e os dados do usuário são armazenados em uma mídia móvel, como um CD, por exemplo.
O A-3 representa os smart cards ou tokens, hardwares portáteis que atuam como mídias armazenadoras. Em seus chips podem ser armazenadas as chaves privadas dos usuários. Já as companhias podem solicitar a certificação digital para colocar em seus sites, o que dificultará, por exemplo, a clonagem dessas páginas.
IDG Now! - De que maneira a certificação digital é reconhecida?
Sérgio Amadeu - Quando o usuário entra em um site oficial, o brower que tem funções criptográficas reconhece que aquele é um site certificado. Já o usuário poderá ter seu certificado digital reconhecido a partir da assinatura digital.
IDG Now! Quais aplicações a certificação digital poderia ter?
Sérgio Amadeu - O mesmo certificado digital serviria, por exemplo, para todas as instâncias de governo, federal, municipal, estadual, até mesmo no judiciário. São inúmeras vantagens que ele oferece. Já em relação à certificação digital oferecida pelos bancos, a vantagem para o consumidor está no fato em que ele evita que qualquer pessoa se passe por ele no momento de movimentar a conta.
IDG Now! - Existe alguma maneira das certificações serem fraudadas?
Sérgio Amadeu - É muito difícil ocorrer violações. Existe a possibilidade de se quebrar uma chave de 1024 bits, mas isso demora muito. Até existir a quebra, talvez a certificação esteja até revogada. Já no caso da certificação A-3, por exemplo, a fraude só acontece se o usuário revelar o PIN (personal identification number) a outra pessoa e entregar o cartão magnético. Ele estaria transferindo sua identidade para alguém. Em caso de violação [com o PIN errado], porém, após três tentativas a certificação seria revogada.
IDG Now! - Como funcionaria um serviço público que exigisse a certificação?
Sérgio Amadeu - No caso da declaração do Imposto de Renda, por exemplo. O contribuinte poderá fazer sua declaração normalmente e ao final, fazer um resumo do documento em uma linha [message digest]. Assim, eu cifro a minha mensagem com a chave criptográfica privada. Eu envio esse message digest junto com a declaração cifrada, e lá na Receita, o sistema confronta os dados e reconhece, ou não, a certificação digital.
IDG Now! A certificação já é utilizada por algum órgão do governo?
Sérgio Amadeu - Atualmente o governo já utiliza o sistema de certificação digital em algumas operações. Os ministros, por exemplo, assinam portarias por meio de assinatura digital. Pretendemos ampliar isso para outras funções dentro do próprio governo, com funcionários públicos e posteriormente ampliar isso para a população.
Porém, para ampliar o serviço para a população precisaríamos de muita conscientização sobre o uso do serviço. Para a declaração do Imposto de Renda, por exemplo, a Receita precisaria iniciar um processo de conscientização pelo menos um ano antes.
IDG Now! - Quais iniciativas têm sido tomadas em relação a popularização da certificação digital?
Sérgio Amadeu - Já criamos um grupo que trabalha na construção do primeiro hardware de plataforma criptográfica no País. Participam desse projeto, além do ITI, o ITA (Instituto Tecnológico de Aeronáutica), o Casnav (Centro de Análises e Sistemas Navais) o Cepesc (Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações), a RNP (Rede Nacional de Pesquisas), a Universidade Federal de Santa Catarina (UFSC), a Universidade Federal de Minas Gerais (UFMG) e a Universidade de Campinas (Unicamp).
A função desse hardware é armazenar dados criptográficos utilizados no processo de certificação digital. Acreditamos que em cerca de 18 meses já estaremos dominando essa tecnologia.
IDG Now! - Quais as medidas que vêm sendo tomadas para a popularização da certificação digital?
Sérgio Amadeu - Em nossa gestão, desde fevereiro de 2003, constatamos a importância da certificação digital. O governo tem papel decisivo na popularização da mesma. É dele o papel de se criar uma cultura de uso, inicialmente nos serviços públicos, posteriormente, nos serviço aos cidadãos. Estamos trabalhando também para que os órgãos implantem esses serviços em breve. fonte: http://idgnow.terra.com.br/idgnow/pcnews/2004/03/0054 |