RenatoMartini.Net

Tag: identidade (page 1 of 2)

Participe da Consulta Pública sobre Carteira de Identificação Estudantil

Participe da Consulta Pública sobre a padronização da Carteira de Identificação Estudantil

O Instituto Nacional de Tecnologia da Informação – ITI abre a toda sociedade Consulta Pública sobre os requisitos para padronização da nova Carteira de Identificação Estudantil – CIE, prevista na Lei nº 12.933, de 26 de dezembro de 2013, que trata das novas regras para concessão de meia-entrada para estudantes, idosos, pessoas com deficiência e jovens de 15 a 29 anos comprovadamente carentes em espetáculos artístico-culturais e esportivos.

Todos os interessados em participar da consulta, como pessoas físicas, estabelecimentos de ensino, associações e entidades emissoras de carteiras estudantis, indústrias de cartões e de tecnologia da informação, órgãos públicos, indústria do entretenimento, dentre outros, têm 60 dias, até 10 de abril, para enviar suas sugestões e comentários, através deste formulário. Após a análise das eventuais sugestões, o ITI publicará o padrão oficial da CIE, conforme definido na lei.

A nova identidade estudantil deverá seguir modelo único, padronizado e publicamente disponibilizado. A carteira deverá possuir certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, tecnologia que garante a segurança e a autenticidade do documento.

Confira a documentação:

Requisitos para padronização da Carteira de Identificação Estudantil – CIE

Para encaminhar suas considerações acesse o Formulário: Consulta Pública - Identidade Estudantil

 
Revisão v. 1.0
 

Da Biometria. Uso e definições

Tenho defendido publicamente o uso da biometria. Tenho igualmente defendido seu uso de forma integrada com as plataformas de certificação digital na ICP-Brasil1. Assim o fiz em vários seminários e debates, assim como nas reuniões ordinárias do Comitê Gestor da ICP-Brasil, que coordeno na qualidade de Secretário-Executivo. Mas tenho um ponto de vista crítico para esta integração. A tecnologia da certificação digital e seu uso com as medidas biométricas podem e devem ser otimizadoras de ambos em aplicações em geral. De certa forma, esta visão vale para qualquer tecnologia e plataformas que aparentemente parecem concorrentes ou contraditórias entre si, mas que são perfeitamente complementares, isto é, uma não exclui absolutamente a outra, mas sim se completam numa aplicação qualquer.

A biometria como se sabe é um segredo compartilhável, tal como é uma senha comum, mas que se violado não aceitará nenhuma forma de "revogação". E diferentemente de minha chave privada que devo armazenar num dispositivo FIPS140, resistente à violação. E que se perdida — por uma razão qualquer — posso eletronicamente revogar o certificado digital associado a tal chave criptográfica2. Portanto, se posso fundir e usar ambas as tecnologias em meu dia-a-dia tanto melhor será.

Ainda que tenha esta característica de ser compartilhável, e que possa mesmo ser compartilhada indevidamente, e passível de se formar uma grande base de dados biométricos fora do controle da lei, formando verdadeiros catálogos do indivíduos de uma comunidade; também de sofrer com a evolução natural de qualquer organismo vivo (traumatismos, etc.) e mesmo o envelhecimento (que alguns pesquisadores de Kent tentam questionar), ainda assim e apesar de tudo, a biometria tem tido grande aceitação e uso.

A meu ver, o sucesso da biometria se explica por sua aceitação socialmente mais imediata. É infinitamente mais fácil de se compreender e explicar o uso da impressão digital, para pegar a biometria historicamente mais difundida3, que os esquemas de uma PKI e toda infraestrutura implicada na emissão de certificados digitais. Além do que, a vida social é preenchida de biometria. Se aceitamos a definição do International Biometrics Group - IBG como o "uso automatizado de características fisiológicas ou comportamentais para determinar ou verificar a identidade", pode-se constatar que a expressão do rosto que demostra "aceitação" ou "reprovação" (o "olhar reprovador do pai", o "olhar de zelo da mãe", o "olhar carismático do líder", etc.), fato tão comum na vida coletiva e privada, mostra que a vida social é por si só extremamente biométrica. Por isso mesmo, Thierry Piette-Coudol tem razão ao afirmar que as "relações jurídicas mais seguras dizem respeito a pessoas na presença física uma da outra. O que permite controlar pelo olhar (contrôler de visu) quem dá sua palavra a quem e pelo que, com algumas seguranças quanto ao momento, e mesmo sobre o local do engajamento recíproco".4

Uma compilação interessante do IBG, o Zephyr™ Analysis, mostra alguns critérios interessantes na opção por esta ou aquela tecnologia biométrica. Considerando que a Indústria jamais pensará em termos de "segurança absoluta"ou tecnologia perfeita. Pode-se compilar diferentes biometrias e suas capacidades de atender a certos critérios: (1) effort: esforço requerido pelo usuário no momento da obtenção da medida biométrica, (2) intrusiveness: o quão intrusiva é a tecnologia/coleta/uso da biometria, (3) cost: o custo propriamente dito do processo, e, por fim, (4) accuracy: a acurácia da tecnologia em determinar a identificação. O gráfico abaixo mostra que uma biometria ideal, e portanto, inexistente, alcançaria, o máximo de acurácia, o mínimo de intrusividade, o menor custo e, também, nenhum esforço pelo cidadão-alvo da coleta.

Aqui e como sempre vale ao gestor de TI o critério do caso a caso.

zephyr2002

Referências: International Biometrics Group: http://www.biometricgroup.com/ International Biometric Industry Association: http://www.ibia.org/ National Biometrics Test Center Collected Works: http://www.engr.sjsu.edu/biometrics/nbtccw.pdf The Biometric Consortium: http://www.biometrics.org/ Association for Biometrics: http://www.afb.org.uk/ BioAPI: http://www.bioapi.org/ SecureInfo.com: http://www.securiteinfo.com/conseils/biometrie.shtml

 
Revisão v. 2.35
 
  1. Por exemplo em recente audiência pública, na Câmara dos Deputados em 13/10/2013, na Comissão de Segurança Pública e Combate ao Crime Organizado. []
  2. O papel de uma autoridade certificadora num sistema de certificação digital é, entre tantas outras coisas, a emissão da chamada "lista de certificados revogados", que a AC mesmo assina com sua chave privada: "Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada". []
  3. Segundo pesquisa da IBG o market share da finger-scan em 2003 alcançava 52% do mercado, seguido pela facial-scan com 11.4%, números que acredito não foram alterados sensivelmente de lá para cá... []
  4. Ver: "La sécurisation de l’identité numérique passe par les certificats électroniques", http://www.observatoire-fic.com/la-securisation-de-lidentite-numerique-passe-par-les-certificats-electroniques-par-thierry-piette-coudol-avocat-au-barreau-de-paris/#sthash.xpI6pvjm.dpuf. []

Esquecer senhas e PINs?

Para fazer frente ao esgotamento do par "login-senha" e o problema quase insolúvel do roubo de identidades1, a Sociedade da informação vai se virando. É o que mostra matéria recente "Forget passwords and PINs: Nymi bracelet replaces logins, keys and even wallets with your own HEARTBEAT", — e para resolver também os problemas da biometria tradicional, refiro-me a "impressão digital", a saber, o fato dela ser um falso segredo, um dado compartilhável, como o são senhas e PINs, que esta engenhoca é pensada.

O tal bracelete captura o ritmo cardíaco (HeartID) que mede a quantidade de força elêtrica gerada pelo coração humano, isto é, o ritmo cardíaco que é aferido num tradicional eltrocardiograma. Um algoritmo deve extrair algum tipo de frequência ou dados que nos individualizaria, que é efetivamente o que se quer. Ao aproximar-se de uma fonte que demanda a identificação, um terminal de pagamento, por exemplo, o bracelete por sua vez dispara o processo de medição, e, então, se comunica com o hardware demandante por bluetooth.

Sinceramente? Não indicaria uma solução dessas para ninguém. No entanto, podemos extrair alguns aprendizados.

  1. Soluções para identificação existem várias: senhas, biometria, certificados digitais. Cada um cumpre um papel, são mais ou menos robustas — combinadas tanto melhor.
  2. Soluções de identificação devem ser baseadas em padrões abertos: seus alrotimos de conhecimento da sociedade, implementáveis por qualquer fabricante; jamais segredo de uma única empresa, numa espécie de ambiente anti-concorrencial.
  3. Soluções de identificação devem usar padrões interoperáveis.
  4. Não existem soluções definitivas e absolutamente seguras em tecnologia — lembre-se do Titanic2, seus engenheiros o chamaram de unsinkable.

Referência:

http://www.dailymail.co.uk/sciencetech/article-2409992/Forget-passwords-PINs-Nymi-bracelet-replaces-logins-keys-wallets-HEARTBEAT.html?ito=feeds-newsxml

  1. Falo aqui um pouco sobre os problemas da identificação civil no Brasil []
  2. http://www.britannica.com/titanic/article-9072642. []
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑