RenatoMartini.Net

Category: criptografia (page 1 of 5)

Nota Técnica sobre as mudanças nas políticas de assinatura

O Instituto Nacional de Tecnologia da Informação – ITI, por meio de sua Diretoria de Auditoria, Fiscalização e Normalização – DAFN e da Coordenação-Geral de Normalização e Pesquisa – CGNP, torna pública a Nota Técnica nº 003/2016 – CGNP/ITI.

O documento traz esclarecimentos sobre as alteações nas Políticas de Assinatura – PAs e sobre as atualizações nas Listas de Políticas de Assinatura – LPAs aprovadas no âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

A Nota tem por objetivo reforçar as informações apresentadas na Nota Técnica nº 1/2016 – CGNP/ITI, publicada em 1º de junho de 2016.

Leia a Nota Técnica na íntegra aqui.

//FONTE//

 
Revisão v. 1.0a
 

ITI abre consulta pública sobre requisitos das políticas de assinatura digital ICP-Brasil

O Instituto Nacional de Tecnologia da Informação – ITI, disponibilizou em sua página consulta pública sobre requisitos das políticas de assinatura digital ICP-Brasil. Segundo o coordenador-geral de Normalização e Pesquisa do ITI, Wilson Hirata, no segundo semestre de 2015 o Comitê Gestor da ICP-Brasil aprovou a regulamentação de um novo Padrão de Assinatura Digital, o PAdES ICP-Brasil e a criação de um grupo permanente de trabalho para revisão do Padrão Brasileiro de Assinaturas Digitais, o GT PBAD. Também foi aprovada a emissão de uma nova cadeia de certificação da AC Raiz, a cadeia V5, cujo certificado foi emitido em março de 2016.

Além disso, no âmbito de GT PBAD, o grupo tem avaliado um conjunto de melhorias e propostas para fortalecer os três formatos de assinatura regulamentados na ICP-Brasil, ou seja, o CAdES, o XAdES e o PAdES.

Alguém poderia perguntar: o que essas iniciativas têm em comum? As três remetem para a criação de novas Políticas de Assinatura da ICP-Brasil. As Políticas ICP-Brasil são disponibilizadas no repositório da AC-Raiz, e constam de uma lista atualizada a cada 90 dias, Lista de Políticas de Assinatura Aprovadas – LPA.

A próxima LPA está prevista para ser disponibilizada em 01/06/2016. Esta será uma grande oportunidade para disponibilizar um novo conjunto de políticas de assinatura, incluindo as primeiras versões das políticas PAdES e as atualizações das políticas CAdES e XAdES utilizando a cadeia V5, nas versões textuais e em código de máquina.

“O ITI quer expandir e compartilhar essa oportunidade com toda a comunidade interveniente em assinaturas digitais ICP-Brasil. Assim, antes de serem disponibilizadas no repositório da AC Raiz as políticas ficarão disponíveis para consulta pública. O documento que define os Requisitos das Políticas de Assinatura Digital na ICP-Brasil, DOC-ICP-15.03, versão preliminar de teste (rascunho), também estará disponível na consulta”, declarou Hirata.

O ITI esclarece que os artefatos são componentes de teste e que não devem ser utilizados nos processos produtivos.

Os artefatos Políticas de Assinatura (PA), Lista de Políticas de Assinatura Aprovada (LPA), schemas e a versão textual (DOC-ICP-15.03) encontram-se disponíveis conforme referências abaixo:

- PA e LPA - CAdES;
- PA e LPA - XAdES;
- PA e LPA - PAdES;
- Schemas para PA e LPA;
- DOC-ICP-15.03

Para encaminhar contribuições com críticas ou sugestões acesse o formulário Consulta Pública - Assinaturas Digitais ICP-Brasil. A consulta vai até o dia 18 de maio.

ITI abre consulta pública sobre requisitos das políticas de assinatura digital ICP-Brasil

Fonte: ITI

 
Revisão v. 1.0
 

Login & Senha: se o atalho fosse o caminho, ele seria o caminho

Nenhuma tecnologia é perfeita, absolutamente segura ou coisa que o valha, disso já sabemos e felizmente tornou-se lugar comum. Motores falham, equipamentos não funcionam, engrenagens por vezes deixam de responder, sistemas digitais saem do ar... Esperamos todavia que equipamentos em seus sistemas funcionem por padrão, tal é nossa expectativa. Dirigimo-nos ao caixa eletrônico esperando que ele responda e atenda nossos comandos.E que nos proteja ao evitar ataques que possam lesar seus usuários. A mais tradicional forma de acesso e identificação de sistemas é o uso da senha alfa-numérica em conjunto com uma identificação ou registro, (log in nada mais é que registrar-se), trata-se do malfadado par "login-senha". Nos últimos anos vimos centenas de vazamentos de arquivos onde estas senhas estavam armazenados. A resposta, veio em forma de endurecimento na escolha de senhas mais complexas, em detrimento da paciência dos usuários... Mas em nenhum dos casos tais exigências e controles na geração de senhas substitui a meu ver do uso combinado da biometria com a criptografia, na forma da infraestrutura de chaves públicas. O recente episódio aqui reportado pela Computer World, do vazamento de dados de 4 milhões de funcionários federais, apenas será mais um capítulo deste problema. O Brasil deve sempre fortalecer seus sistemas de informação, - às vezes o mais simples pode e deve ser contornado pelo mais robusto, o atalho é uma ilusão, o caminho mais longo é e sempre será o mais seguro.

EUA investigam vazamento de dados de 4 milhões de funcionários federais Notícia foi publicada pelo Wall Street Journal e confirmada pelo Departamento de Homeland Security. Hackers chineses são suspeitos Por James Niccolai - IDG News Service 04 de Junho de 2015 - 23h06 Os Estados Unidos confirmaram hoje que estão investigando um gigantesco vazamento de dados pessoais de funcionários públicos federais dos EUA. Segundo a informação, mais de 4 milhões de funcionários teriam tido informações expostas por um ataque de hackers, possivelmente chineses. A notícia foi publicada pelo The Wall Street Journal citando uma fonte anônima que descreveu o problema como sendo "um dos maiores roubos de dados governamentais já vistos". O ataque teria sido disparado contra o Departamento de Gestão de Pessoas (OPM), um escritório do governo federal responsável por contratar e reter funcionários governamentais. O mesmo escritório teria sofrido um outro ataque no ano passado, mas de diferente natureza aparentemente. O Departamento de Homeland Security confirmou a brecha de segurança, informando que dados do OPM e do Departamento do Interior foram comprometidos no início do mês de maio, segundo notícia publicada pela agência Associated Press. Segundo o Homelandy Security, o sistema que detectou o ataque chama-se Einstein. O FBI está investigando para determinar que agências federais foram afetadas, embora potencialmente possam ser todas elas, segundo a reportagem do jornal. -- Fonte: Computer World

 
Revisão v. 1.8b
 

Consulta Pública sobre a regulamentação do padrão de assinatura PAdES

O PAdES é o padrão de assinatura que permite a utilização de assinaturas digitais em arquivos PDF. Os trabalhos sobre o novo padrão de assinatura tiveram início em 2012, quando o Comitê Gestor da ICP-Brasil – CG-ICP-Brasil criou um Grupo de Trabalho – GT, que tinha por objetivo propor uma forma de regulamentação do PAdES no âmbito da ICP-Brasil. Após os estudos, ficou definido que, assim como no CAdES e XAdES, o PAdES deveria ter sua regulamentação baseada em políticas de assinatura ICP-Brasil.

Em 2014, por nova determinação do CG-ICP-Brasil, novo GT foi instituído para elaboração de proposta de regulamentação do PAdES, baseada em políticas de assinatura padrão ICP-Brasil. Essa proposta de regulamentação encontra-se distribuída nesses quatro documentos, disponível para consulta pública. Após a consulta, toda documentação será submetida à apreciação do Comitê Gestor da ICP-Brasil.

“A consulta pública é importante para que toda a sociedade, usuários, academia e indústria tenham espaço para participar da regulamentação do PAdES na ICP-Brasil. A ideia é coletar todas as considerações recebidas por meio da consulta, reunir novamente o Grupo de Trabalho para estudar as colaborações e incorporar à regulamentação o que for pertinente. Após os possíveis ajustes, a proposta será encaminhada ao Comitê Gestor”, explicou o coordenador-geral de Normalização e Pesquisa do ITI, Wilson Hirata.

Os documentos disponíveis para consulta pública são:


DOC-ICP-15 Versão 2.2 – Visão geral sobre assinaturas digitais na ICP-Brasil

DOC-ICP-15.01 Versão 2.2 – Requisitos para geração e verificação de assinaturas digitais na ICP-Brasil.

DOC-ICP-15.02 Versão 2.2 – Perfil de uso geral para assinaturas digitais na ICP-Brasil

DOC-ICP-15.03 Versão 6.2 – Requisitos das políticas de assinatura digital na ICP-Brasil

Para encaminhar suas considerações acesse o Formulário: Consulta Pública PAdES

Solicitamos que ao encaminhar suas considerações, especifique a qual documento elas se referem.

FONTE: http://www.iti.gov.br/noticias/indice-de-noticias/4825-participe-da-consulta-publica-sobre-a-regulamentacao-do-padrao-de-assinatura-pades2

 
Revisão v. 1.0
 
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑