RenatoMartini.Net

Month: março 2014

O básico do básico também pode ser complicado

"C'est moi le pitre maintenant. C'est un monde! Moi qu'ai le souci, la discrétion!" L.-F. Céline

Todo este debate sobre uma possível legislação para Internet no Brasil nos traz alguns pontos importantes de ensinamento, digamos assim. Impossível desconsiderar que estes debates quando se aplificam geralmente levam a distorções incríveis, que só tempo mostram em todas as suas implicações. Por isso, Oto Lara dizia que as discussões não trazem a luz, mas sim os perdigotos. Destaco tão-somente dois pontos.

(1) Assunto recorrentemente debatido no que se convencionou chamar Marco Civil é o da guarda de logs. Definamos, de antemão, e para o bom debate, e não o debate de surdos, o que são os tais logs. Log nada mais é do que um registro, por isso log in é registrar-se (ou conectar-se) numa Rede, e log out é desconectar-se. O log é portanto o registro geralmente ativo da transmissão de dados, de tráfego em si, que afeta uma ou mais redes computacionais. A sua guarda significa a possibilidade do administrador de redes acompanhar e avaliar sua rede, seja para um benchmark, seja para preparar uma modificação ou melhoria de hardware e, também, para avaliar o que fazer num incidente de rede. Assim, a produção e armazenamento de logs é algo básico e essencial, quase primário, para aquele que se ocupa de um rede de computadores. Diria mesmo que são dois passos essenciais, garantir que sua rede esteja sincronizada a uma fonte confiável de tempo e produzir e guardar logs de sua rede. Se um jovem administrador de redes não tiver vocação para isso, o melhor a fazer é mudar de profissão. Em outras palavras, para que não reste dúvidas: o administrador deve guardar os logs de sua rede, ou mude logo de profissão.

Simples log gerado pelo jnettop num OpenBSD

Simples log gerado pelo jnettop num OpenBSD

(2) Outro tema: a preservação de plataformas computacionais em nosso país. Tema urgente, que intervém a necessidade também de uma definição prévia. Não falamos somente de presença física do que se chama datacenters, ainda que também possam ser aí considerados. O Brasil deve priorizar a "localização" de suas plataformas computacionais. Sobretudo as estratégicas, a saber, todas e qualquer sistema criptográfico, de identificação com suas bases de dados, sistemas especialistas que orientem tomada de decisão, etc., devem estar integralmente localizados em nosso país. Claro que no mundo do software não basta a presença "física" de dados para que se tenha o domínio dos mesmos. Em suma, não basta cabos e circuitos, e memórias digitais onde podemos gravar bits, mas, sobretudo, o domínio do software e dos algoritmos envolvidos.

 
Revisão v. 1.0
 

Novo encontro da Comissão técnica da ICP-Brasil

ICP-Brasil: Cotec se reúne em Brasília

O Instituto Nacional de Tecnologia da Informação – ITI sediará amanhã, dia 20, a primeira reunião da Comissão Técnica Executiva da Infraestrutura de Chaves Públicas Brasileira – Cotec/ICP-Brasil de 2014. O vídeo com a íntegra do encontro será disponibilizado em breve no canal do ITI no Youtube.

Na Cotec são apresentadas proposições que tenham gerado dúvidas durante as discussões no Comitê Gestor da ICP-Brasil, afim de que elas possam ser analisadas em um fórum tecnico e, ao final, sejam apresentados subsídios para que as decisões sobre os temas ligados ao setor de certificação digital padrão ICP-Brasil sejam as mais acertadas.

Nesta reunião estarão em pauta a criação de Grupo de Trabalho para redigir o documento de regulamentação do PAdES como padrão de assinatura da ICP-Brasil, e propostas como as de regulamentação de processo para a autorização de uso de novos dispositivos de hardware criptográficos ainda não contemplados por Manuais de Condutas Técnicas - MCTs e, portanto, excluídos do processo regular de homologação, de regulamentação para o envio ao ITI de cópia digitalizada dos documentos de identificação utilizados nos processos de emissão de certificados digitais e de regulamentação de apresentação de Certidão emitida por Junta Comercial em substituição à cópia autenticada do contrato social/alteração do contrato social.

Também devem ser apreciadas propostas para o fim da possibilidade de renovação sem identificação presencial para certificados de pessoas jurídicas, de ajuste de redação no DOC-ICP-04 para compatibilização com aplicações em sistemas Android, de ajuste no número de posições do campo otherName e de regulamentação para a criação de processo simplificado de autorização de novas Instalações Técnicas.

FONTE: Editado pela Assessoria de Comunicação - ASCOM - ITI - comunicacao@iti.gov.br http://www.iti.gov.br

 
Revisão v. 1.0
 

O que é ter uma chave privada. Algumas Notas.

Recentemente a Procuradoria Especializada do ITI exarou uma Nota sobre o tema do hardware criptográfico e seu uso para armazenamento de chaves privadas. O texto está publicado e concordo com a essência do documento. Por isso, este artigo, nos limites da sua publicação, não fará nenhuma releitura da sua visão. O que não impede que não sendo nenhum texto sacrossanto, não possa ser revisitado pelo profissionais da casa, a partir de novas demandas sociais e tecnológicas. Desejo apenas fazer algumas anotações sobre o tema, deixando ao leitor a responsabilidade de aprofundar a leitura das fontes. Dou-me por satisfeito se mostrar o espírito que orienta este tema1.

[1] O primeiro aspecto é o que posso chamar de "uso social" de uma plataforma tecnológica. A ICP-Brasil como um sistema nacional não pode querer se preservar puro diante da vida concreta e real, que sempre dinâmica e mutável, e comparativamente imperfeita face a face com as normas e regras que construímos para infraestruturas.

[2] Segundo aspecto é o aparente equívoco de se pensar que seres humanos podem ter algo assim como "posse de uma chave privada ou secreta". Ao usar usarmos a expressão que "tenho uma chave privada" o faço apenas por analogia, o que é sempre, e sempre será, a pior forma de definir algo, posto que o defino por mera aproximação. Isto é quase dito num sentido metafórico. Diga-se além do que, e a bem da verdade, que a própria expressão tornada corrente assinatura digital é igualmente uma metáfora.

Visto o uso social da tecnologia ser ponto essencial e irrecusável (ponto [1]). Em outras palavras: monta-se tal ou qual sistema tecnológica para cumprir finalidades sociais. Não há erro gravíssimo em se usar a fortiori, por didatismo que o seja, tais metáforas ou expressões cunhadas por analogia a fatos do mundo da vida. Apenas e tão-somente dever-se-ia ter em mente, em certos casos, a precisão de uma linguagem técnica-formal, o que Alfred Tarski chamou de "linguagem especificada" e a linguagem natural, onde certos temas apenas admitem soluções mais ou menos vagas e "sua solução pode ser unicamente aproximada"2.

Quando a nossa já superada3 MP 2.200-2 diz:

"O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento."

Creio que o espírito da lei, desta ou futura, deve ser preservar o cidadão de qualquer tutela (key recovery ou key escrow) de seus segredos criptográficos pelo Estado. De resto, estamos apenas no campo da semântica: nós não geramos nada, apenas comandamos sistemas de software, geralmente embarcados num hardware, para que ele produza minhas chaves criptográficas. Do mesmo modo não tenho chaves privadas em minha posse. Sim, carrego um cartão de PVC, ou policarbonato vai lá, em meu bolso, ali um chip FIPS-140 onde gerei e armazeno minha chave privada, protegida por uma senha ou PIN4. Este pedaço de "plástico" e seu chip é minha chave? Sim e não. Na verdade, são tantas as mediações entre mim e as chaves plasmadas no circuito integrado, que ficaria temerário afirmá-lo, assim sem maiores considerações. Não, eu não posso ter bits em minha posse, eu tenho um ICC card, isto sim, um plástico em meu bolso , mas, por outro lado, posso manifestar meu desejo de usá-los para algo; ou ainda, posso deliberar livremente sobre seus efeitos.

A distância entre o par de chaves que está no chip de meu cartão tipo smartcard ou num dispositivo de hardware tipo HSM5, reside exatamente em todas as complexas camadas de software que possibilitam sua operação efetiva. Um e outro, do pequeno cartão ao hardware mais robusto, tem as mesmas características, resumidamente: operam funções criptográficas básicas e tem algum nível de resistência à violação. Tanto num HSM como num cartão ou token tenho ambas as caraterísticas descritas, e da mesma forma, só tenho acesso a tais dispositivos mediante a presença de drivers, criptoAPIS, um middleware, que fazem de fato exequíveis as cripto operações que nos são exigidas em plataformas como as que temos em nosso país para a ICP-Brasil (Sped, NFe, "conectividade social ICP", e demais).

 
Revisão v. 2.0
 
  1. Uma leitura muito interessante e fundamental sobre este e outros temas é o artigo de Fabiano Menke & Viviane Bertol, que atuaram conosco no ITI: Nota do ITI sobre uso de HSM. []
  2. Cf. A. Tarski. Logic, Semantics, Metamathematics. Hackett Publishing Company, 1983; e também "La concepción semántica de la verdad y los fundamentos de la semántica". In: Teorías de la verdad en el siglo XX. Madrid, Tecnos, 1997. []
  3. Ao falar "superada" não quero em absoluto dizer que ela não tenha realizado seu papel histórico, e mesmo realizado seu ciclo, o fez, e com bastante utilidade ao país. Mas passados quase uma década o seu aspecto quase lacônico relativamente ao uso efetivo que a sociedade fez desta plataforma técnico-jurídica, urge a sua reconstrução e releitura. []
  4. Personal identification number... []
  5. Hardware Security Module. Pode ser definido como " ... a piece of hardware and associated software/firmware that usually attaches to the inside of a PC or server and provides at least the minimum of cryptographic functions. These functions include (but are not limited to) encryption, decryption, key generation, and hashing. The physical device offers some level of physical tamper resistance and has a user interface and a programmable interface." https://www.sans.org/reading-room/whitepapers/vpns/overview-hardware-security-modules-757. []

Biometria para a França em pesquisa do CNIL

Estudos sociológicos e econômicos sobre os impactos das novas tecnologias são fundamentais para a tomada de decisões, seja no setor público ou seja no privado. Claro é que ter bons e sólidos fundamentos técnicos para plataformas tecnológicas é essencial, sejam padrões de interoperabilidade, de visão de segurança da informação, engenharia de software, hardware/software, etc., mas igualmente ter uma boa noção do alcance e impacto social da tecnologia é tão fundamental quanto técnica em si.

Poucos estudos foram publicados sobre a percepção que os franceses têm sobre o uso da biometria. Para medir os desafios que que se perfilam em termos de proteção dos dados, trata-se de avaliar o grau de acitabilidade social desta tecnologia. É neste cenário que o CNIL francês apoiou a pesquisa do Centre de recherche pour l'étude et l'observation des conditions de vie - CRÉDOC.

Os resultados deste trabalho evidenciaram que uma maioria de franceses favoravelmente ao uso legal da biometria, e apenas em duas situações precisas:

1.Nos aquivos policiais com o objetivo da pesquisa de infrações (76 %)
2.Identidade civil (65 %)

Mais informações: Les Français plutôt réservés sur l’usage de la biométrie dans la vie quotidienne, selon une étude du CRÉDOC.

 
Revisão v. 1.0
 

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑