| ICP-EDU: disseminando a certificação digital no âmbito acadêmicoMódulo Security Magazine Luis Fernando Rocha 27.09.2004 O advento da tecnologia permitiu que muitos processos fossem transferidos do papel para o meio eletrônico, agilizando assim a troca de informações e o acesso a diversos serviços. Um dos segmentos mais beneficiados neste contexto foi o meio acadêmico. Mas para que essa evolução seja instituída com sucesso, ela terá que garantir o uso seguro desses novos meios eletrônicos. Isso porque o ambiente acadêmico, por exemplo, conta com um tráfego digital constante de informações críticas: estamos falando da emissão de diplomas, históricos escolares, certificados, pareceres, revisões e resultados de pesquisas e provas. Assim, o desafio é contar com tecnologias que garantam a confidencialidade, integridade e autenticidade desses sistemas. Uma das tecnologias que começa a ser utilizada no universo acadêmico brasileiro é a chamada Infra-Estrutura de Chaves Públicas (ICP; em inglês o termo é conhecido como Public Key Infrastructure - PKI). Em 2003, a Rede Nacional de Ensino e Pesquisa (RNP), ligada ao Ministério da Ciência e Tecnologia (MCT) e que conecta milhares de computadores em mais de 800 instituições em todo o país, lançou uma chamada pública para financiamento de projetos, que apresentassem soluções viáveis para a implantação de uma infra-estrutura capaz de dar suporte ao uso de assinaturas digitais no cotidiano das universidades. "A função da RNP é colocar em rede os principais recursos computacionais distribuídos em universidades e institutos de pesquisa espalhados pelo Brasil, de modo a permitir o uso racional destes equipamentos. Para garantir que estes recursos sejam acessados apenas pelo meio acadêmico, há a necessidade de autenticação para o acesso a esta rede. É aí que surge a necessidade de a RNP disponibilizar uma estrutura que permita a obtenção fácil e rápida de certificados digitais", explica o professor Ricardo Custódio. O projeto selecionado foi o GT ICP-EDU, grupo de trabalho coordenado pelos professores Daniel Santana, Ricardo Dahab, Ricardo Custódio e Jeroen van de Graaf, que reúne dez pesquisadores, entre professores e alunos, de três respeitadas universidades do país: Universidade Federal de Santa Catarina (UFSC), Universidade Estadual de Campinas (Unicamp) e Universidade Federal de Minas Gerais (UFMG). A seguir, você confere mais detalhes sobre o trabalho desse grupo. Objetivos do ICP-EDUEngana-se quem pensa que a tecnologia ICP é assunto novo no âmbito acadêmico. Segundo o ICP-EDU, já existem exemplos efetivos do uso desta tecnologia neste segmento. Como exemplos, podemos citar o uso de ICP proprietária, através de recursos existentes no Lotus Notes, na intranet da UFMG e a existência de uma Autoridade Certificadora Raiz (AC-Raiz) na UFSC. Assim, o objetivo principal do GT ICP-EDU é criar condições necessárias para implantação de uma ICP no âmbito acadêmico. "Para isto, estamos disponibilizando todo o software necessário para a criação, gestão e operação confiáveis de uma ICP. De posse deste software, qualquer universidade ligada à RNP poderá facilmente implantar e gerenciar a sua própria ICP, ligando-a à AC-Raiz da RNP no momento em que a sua infra-estrutura local estiver definida", revela Custódio. Além disso, explica o professor, o grupo analisa os problemas de diferentes interfaces com os usuários, através da disponibilização de módulos públicos adequados aos principais navegadores utilizados para a solicitação de certificados. "O objetivo é colocar em funcionamento um Diretório Público para servir de repositório para os certificados que serão emitidos quando a estrutura do ICP-EDU estiver em pleno funcionamento", diz. Certificados sem custos e de maneira fácilImagine a disponibilização, sem custos e de maneira facilitada, de certificados digitais para alunos, professores, funcionários ou pesquisadores acadêmicos? Pois esse é um dos principais benefícios na adoção de uma ICP no ambiente acadêmico. "Não há como difundir a idéia do uso de certificados se cada professor ou aluno tiver que comprar um certificado digital emitido por uma ICP comercial. Para ter custo baixo, a credibilidade de um certificado digital da ICP-EDU estará ligada somente à confiança que as instituições universitárias depositam na RNP. Mas esta confiança é mais do que suficiente para todos os sistemas universitários que deverão passar a incluir autenticação de alto nível em suas transações, tais como sigilo e autenticação no uso das redes de pesquisa geridas pela RNP, controle acadêmico e trâmites burocráticos executados com segurança via internet, webmail com assinatura digital e cifragem, VPNs entre laboratórios e muitos outros", explica Custódio. O professor ressalta que a ICP-EDU poderá ajudar ainda no atual processo de disseminação do uso de certificação digital no país. "Por ser um meio habituado a experimentações e novas idéias, a universidade serve como um excelente 'balão de ensaio' e um ótimo ponto de partida para o uso desta tecnologia em larga escala pela sociedade brasileira", diz. Além disso, as universidades brasileiras interessadas em participar desse projeto não terão nenhum custo. "Basta apenas designar um responsável local pela implantação e colocação em funcionamento do software que será disponibilizado pela RNP", orienta. Cultura ainda é obstáculoO aspecto cultural é considerado o maior obstáculo que pode prejudicar a adoção da tecnologia ICP nas universidades. "O uso amplo de certificados digitais envolve uma mudança de hábitos importante. Uma vez que as universidades percebam que podem substituir de maneira segura (e com vantagens) o papel pelo meio eletrônico, deverá haver uma adesão em larga escala à ICP-EDU", revela o professor. Para contornar esse problema, Custódio explica que a RNP estuda a possibilidade de levar cursos e palestras sobre certificação digital e ICP para as principais universidades brasileiras. E os investimentos já realizados pelo governo brasileiro nessa área são sinais positivos numa futura mudança de postura no mercado. "Um outro fator que deve contribuir para essa mudança é a própria recomendação do governo federal para que, até 2006, todos os órgãos públicos federais estejam preparados para se comunicar de maneira totalmente eletrônica com todo cidadão brasileiro que assim o desejar", aponta. ICP-EDU fora da ICP-Brasil?A principal pergunta em relação a esse projeto está no fato da existência - e há três anos em pleno funcionamento - da ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira), mantida pelo Instituto Nacional de Tecnologia da Informação (ITI), entidade pública federal ligada à Casa Civil da Presidência da República, e Autoridade Certificadora Raiz (AC Raiz) na infra-estrutura brasileira. "A ICP-Brasil tem objetivos muito diferentes da ICP-EDU. A ICP-Brasil foi concebida e está sendo montada para ser utilizada no governo brasileiro e também por qualquer instituição externa que com ele queira se comunicar por via eletrônica de forma segura. Os certificados digitais emitidos pela ICP-Brasil deverão ter valor jurídico em eventuais disputas envolvendo seus usuários", diz Custódio. Segundo o professor, as autoridades certificadoras (ACs) que fizerem parte da ICP-EDU não emitirão certificados com valor jurídico. "Uma outra característica peculiar do ambiente acadêmico é a necessidade de emissão de grande quantidade e diferentes tipos de certificados para máquinas (servidores web, por exemplo) ou outros dispositivos e até mesmo de grande quantidade de certificados para teste (como acontece, por exemplo, no contexto de uma disciplina de graduação)", explica. Ele acrescenta ainda que serão emitidos certificados para inúmeras aplicações não previstas na ICP-Brasil. "Está prevista, na ICP-EDU, a criação de ACs com políticas adequadas a estas e outras peculiaridades do ambiente acadêmico. Incluindo também a possibilidade de capacitação de alunos e professores na arte da emissão, teste e uso de certificados digitais. As universidades precisam de flexibilidade, de experimentar com certificados, de propor soluções que usam certificados digitais e isso demanda o total controle sobre o processo e sistemas de emissão de certificados digitais", complementa. Próximos passosA primeira etapa do projeto foi concluída. Agora, a segunda fase (GT EDU II), aprovada recentemente pela RNP para o biênio 2004/2005, estará focada no estudo e desenvolvimento de alternativas viáveis, de baixo custo e baseadas em software livre, para garantir a segurança das chaves privadas. "A seqüência natural do projeto é tratar da segurança e uso eficiente das chaves privadas correspondentes aos certificados emitidos. Toda a credibilidade de uma ICP está ligada à segurança das chaves privadas que assinam os certificados emitidos pelas suas ACs. Estas chaves não podem, de forma alguma, ficar expostas em claro (não criptografadas) na memória dos computadores que executarão as assinaturas", ressalta Custódio. Saiba mais: fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3306&pagecounter=0&i |