Certificação digital e

segurança na rede: desafios para o e-gov.

André José LimaArthur Jorge dos S. AndradeAyme Takahashi MizumukaiCamila CardosoDanilo Flávio PestanaHenrique Leon do Rosa MartinsGuilherme RossiJoyce Kelly de Mello Huziwara

O que é Certificação Digital?

Certificação Digital funciona como uma identidade virtual que irá permitir a identificação segura do autor de uma mensagem ou transação feita em meios eletrônicos, ou seja, o certificado digital é um documento eletrônico que garante proteção às transações online e a troca virtual de documentos, mensagens e dados, com validade jurídica.

Tal documento é gerado e assinado por uma terceira parte confiável (Autoridade Certificadora – AC) que associa uma entidade a um par de chaves criptográficas.

Os certificados possuem os dados se seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.

O que é Certificação Digital?

Os sistemas de informação podem validar e reforçar os mecanismos de segurança online, utilizando a tecnologia para garantir a privacidade e confirmar a autenticidade das informações dos usuários, empresas e instituições na rede.

São requisitos de segurança do Certificado Digital:

Autenticidade: Um documento eletrônico é considerado autêntico se foi assinado digitalmente, por meio do uso de um certificado digital válido.

Integridade: É a prova de que um determinado documento não foi alterado, sob nenhum aspecto.

Irrefutabilidade: “Que não se pode refutar; evidente, irrecusável, incontestável”.

Tempestividade: Possibilidade de se comprovar que um evento eletrônico ocorreu em um determinado instante específico no tempo.

O que é Certificação Digital?

A ICP (infra-estrutura de chaves públicas) é um sistema que tem como um de suas finalidades atribuir certificados digitais aos seus usuários. Eles são a terceira parte de confiança, e além de atribuir os certificados, eles também gerenciam o ciclo de vida dos certificados, já que os mesmos podem ser revogados a qualquer momento.

Infra-estrutura: fundação que dissemine algo para um amplo ambiente ou para um grande universo de interessados.

A ICP-Brasil é uma estrutura composta por um Comitê Gestor, pela AC-Raiz da ICP-Brasil, pelas Autoridades Certificadoras e pelas Autoridades de Registro.

O comitê gestor é um conselho deliberativo com sua principal função de coordenar a implantação e o funcionamento da ICP-Brasil definindo normas técnicas. Porém todas as diretrizes feitas pelo comitê são anadalisadas previamente pela Comissão Técnica Executiva(COTEC) que dá suporte ao órgão deliberativo.

As resoluções feitas são aplicadas e cumpridas pela Autoridade Certificadora de Raiz que é o Instituto Nacional de Tecnologia da Informação (autarquia federal vinculada à Casa Civil da Presidência da República) principais atribuições do ITI são as de auditar, credenciar e fiscalizar as Autoridades Certificadoras.

O que é Certificação Digital?

Autoridades Certificadoras

AC – Raiz Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira

autoridade da cadeia de certificação.

É ela quem executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, ou seja, é ela que emite, expede, distribui, revoga e gerencia os certificados das autoridade certificadoras de nível imediatamente abaixo do seu.

Ela também emite a lista de certificados revogados (LCR) e fiscaliza e audita as Autoridade Certificadoras (ACs), Autoridade de Registro (ARs) e as demais prestadoras de serviço habilitados na ICP-Brasil

Autoridades Certificadoras

AC - Autoridade Certificadora  É uma entidade (pública ou não) subordinada à hierarquia da ICP-Brasil,

responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.

Cabe à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da identificação realizada.

Criptografias

Criptografia: do grego kryptós gráphein - escrita secreta. É a ciência de reescrever um texto de forma a esconder o seu significado.

O processo de cifragem é baseado em regras matemáticas de substituição das letras da mensagem e um número que altera o comportamento desta regra.

Existem dois tipos de criptografia:

1. A simétrica: forma mais simples, pois a cifragem e a decifragem da mensagem são realizadas com a utilização de uma mesma senha. Essa forma apresenta algumas limitações, a primeira delas é que para criar a senha é preciso que as partes convencionem juntas o código que será utilizado. A segunda limitação é que teria que criar um novo código para cada pessoa que voce deseja se comunicar.

2. A assimétrica: forma mais complexa, foi desenvolvida nos anos 70 pelos pesquisadores norte-americanos Whitfield Diffie, Martin Hellman e Ralph Merkle. O método utiliza duas chaves, pública e privada, utilizadas pelo emissor e receptor da mensagem. A chave privada é excluisva do titular da chave de assinatura, já a chave pública pode ser amplamente divulgada. Elas são uma combinação de letras e números bastante extensa e atuam em conjunto em que o receptor ao receber a mensagem aplicará a chave pública do remetente para verificar se ela foi efetivamente enviada pelo tal emissor.

Esquema da Certificação Digital

A Certificação digital pode ser utilizada tanto por entidades públicas como privadas. Dentro da esfera pública, ela é utilizada para dar rapidez e segurança aos processos internos ou para prestar informações ao cidadão.

Exemplos da certificação no Governo Federal:

Programa Universidade para Todos – PROUNI;

Programa Juros Zero;

Troca de Informações de Saúde Suplementar – TISS;

Instituto Nacional da Propriedade Industrial – INPI;

ComprasNet;

Sistema de Diárias e Passagens;

Serviço de Documentos Oficiais – SIDOF;

Sistema de Pagamentos Brasileiro – SPB;

Sistema do Banco Central do Brasil – Sisbacen;

Sistema Integrado de Comércio Exterior – SISCOMEX;

FGTS

Receita Federal

O órgão que mais utiliza a certificação é a Secretaria da Receita Federal do Brasil, para agilizar e dar comodidade ao contribuinte, além de garantir o sigilo fiscal estipulado por lei. Algumas das iniciativas utilizadas pela Receita são:

1. Central Virtual de Atendimento ao Contribuinte (e-CAC.

2. Registro de operações e prestação de impostos federais, como: DCTF, DIRPF, DIRPJ, PAF (SRF/MF);

3. Sistema Público de Escrituração Digital (SPED);

4. Nota Fiscal Eletrônica (NF-e).

Entidades Credenciadas

Visualize a lista de entidades credenciadas acessando aqui.

Entidades DescredenciadasVisualize a lista de entidades descredenciadas acessando aqui.

Entidades em CredenciamentoVisualize a lista de entidades em credenciamento acessando aqui.

Benefícios da Certificação Digital

Economia de tempo e redução de custos; Desburocratização de processos; Validade jurídica nos documentos eletrônicos; Possibilidade de eliminação de papéis; Autenticação na Internet com segurança; Praticidade ao não ter que se deslocar a um

órgão e evitando filas; Acessibilidade aos serviços a qualquer hora e em

qualquer lugar

Desafios do E-Gov

Apesar do grande avanço da gestão pública no meio eletrônico, o acesso não é universal, pois apenas uma pequena parcela da população têm acesso à rede.

“Segundo a coordenação do Cetic/CGI (Comitê Gestor da Internet no Brasil), há uma relação direta entre o nível de instrução e a faixa de renda e o uso do governo eletrônico: quanto maior a renda e quanto maior o nível de instrução, maior o uso dos serviços eletrônicos de governo. Entre os motivos mais citados para a não utilização do governo eletrônico, a preferência pelo contato pessoal, com 53% das menções, a preocupação com segurança dos dados, com 19% e a constatação de que o contato com a administração pública é muito complicado, com 17%, aparecem nas primeiras posições.” (SANTOS, 2010)

Um dos principais desafios para este momento do processo de evolução do governo eletrônico brasileiro é garantir o sincronismo, foco e priorização dos projetos de transformação em curso. Ao mesmo tempo, tem-se que promover ações para ampliar o acesso de grupos da sociedade menos favorecidos à tecnologia disponível, para garantir que estes benefícios atingidos possam ser um fator de ampliação e inclusão digital, e consequente, inclusão social da população brasileira. (SANTOS, 2010).

Desafios do E-Gov

Desafios do E-Gov

A estratégia do G-Buster Anti-Fraud System* para Governo Eletrônico, é dotar a Aplicação Web de efetivo sistema de segurança, em aderência às normas e legislação vigentes, que versam sobre o sigilo e a inviolabilidade de informações de interesse da sociedade e do Estado, no âmbito da Administração pública.

*G-Buster Anti-Fraud System, também conhecido como GBPlugIn é uma solução que estrutura um ambiente virtual blindado, com os requisitos necessários para a arealização de transações financeiras através da Internet.

Segurança da Informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

São características básicas de segurança da informação os atributos de: confiabilidade, integridade, autenticidade e disponibilidade, não estando em confiança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.

Desafios do E-Gov

Referências

BARROS, Otávio Santana Rêgo. GOMES, Ulisses de Mesquita, FREITAS, Lacerda de. (org.) Desafios estratégicos para segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011. p. 216

CORSO, Ildo. Implementação de serviços de E-Gov em prefeituras municipais, usando provedores de serviços de aplicação. UFSC: Florianópolis, Junho de 2003.

DINIZ , Eduardo Henrique [et al.]. O governo eletrônico no Brasil: perspectiva histórica a partir de um modelo estruturado de análise. RAP — RIO DE JANEIRO 43(1):23-48, JAN./FEV. 2009.

FREITAS, Christiana Soares de. VERONESE, Alexandre. Segredo e democracia: certificação digital e software livre. Trabalho apresentado ao Grupo de Trabalho Sobre Sociedade de Informação no XII Congresso Brasileiro de Sociologia (01 jun. 2005; Belo Horizonte, MG).

GANDINI , João Agnaldo Donizeti; SALOMÃO, DianaPaola da Silva ; JACOB, Cristiane . A segurança dos documentos digitais.2001.

HORAN, Thomas A. Introducing e-gov: history, definitions, and issues. Communications of the Association for Information Systems (Volume 15, 2004)713-729.

JARDIM, José Maria. A construção do e-gov no Brasil: configurações político-informacionais. Disponível em: http://www.egov.ufsc.br/portal/sites/default/files/anexos/30772-32926-1-PB.pdf. Acesso em: 28.04.2014.

MENKE, Fabiano. Assinaturas digitais, certificados digitais, infra-estrutura de chaves públicas brasileiras e a ICP alemã. Disponível em: http://egov.ufsc.br/portal/sites/default/files/anexos/4375-4369-1-PB.pdf. Acesso em 28.04.2014.

NAZARENO, Claudio [et al.]. Tecnologias da informação e sociedade : o panorama brasileiro. Brasília: Câmara dos Deputados, Coordenação de Publicações, 2006. 187p. (Série temas de interesse do legislativo ; n. 9).

NOBRE, LF et al. Certificação digital de exames em Telerradiologia: um alerta necessário. Radiol Bras 2007;40(6):415–421

PERSEGONA , Marcelo Felipe Moreira; ALVES, Isabel Teresa Gama. História da Internet: origens do e-gov no Brasil. Disponível em: http://ffb.virtual.ufc.br/solar/arquivos/curso/367/historia_da_internet.pdf. Acesso em: 28.04.2014.

SANTOS, P. M. ; FERREIRA, M. V. A. ; BRAGA, M. de M. ; BERNARDES, M. B. ; ROVER, A. J. . Governo Eletrônico no Brasil: Análise dos Fatores Críticos de Sucesso e dos Novos Desafios. In: 39 JAIIO - Simposio Argentino de Informática y Derecho, 2010, Buenos Aires. Anales del SID 2010: Simposio Argentino de Informática y Derecho. Buenos Aires, 2010. p. 2045-2057

SANTOS, R. J. L.: Governo Eletrônico: o que se deve e o que não se deve fazer, XVI Concurso de Ensayos y Monografías del CLAD sobre Reforma del Estado y Modernización de la Administración Pública “Gobierno Electrónico”, Venezuela (2002)

THOMAZ, Katia P. Repositório digitais confiáveis e certificação. , Rio de janeiro, v.3, n.1, p. 80-89, jan./jun.2007.

Sites:

http://serasa.certificadodigital.com.br/ajuda/o-que-e-certificado-digital/ Acesso em: 10.05.2014.

http://www.fazenda.df.gov.br/arquivos/pdf/O_que_e_certificado_digital.pdf Acesso em: 10.05.2014.

http://www.gastecnologia.com.br/pt/solucoes/SOLU%C3%87%C3%83O%20ANTI-FRAUDE%20PARA%20E-GOV.htm Acesso em: 14.05.2014

http://www.governoeletronico.com.br/index.php?option=com_content&task=view&id=19&Itemid=29 Acesso em: 14.05.2014

http://www.egov.ufsc.br/portal/conteudo/seguran%C3%A7a-de-informa%C3%A7%C3%A3o Acesso em: 14.05.2014