Download - Proposta Inicial de Aplicações Práticas de Assinaturas e Certificados Digitais para a OAB (v3)
Proposta Inicial de Aplicações Proposta Inicial de Aplicações Práticas de Assinaturas e Práticas de Assinaturas e Certificados Digitais para a OABCertificados Digitais para a OAB(v3)(v3)
Marco “Kiko” Carnut, CISSP <[email protected]>Marco “Kiko” Carnut, CISSP <[email protected]>
Encontro Nacional de Tecnologia da Informação da OABEncontro Nacional de Tecnologia da Informação da OABAbril/2005Abril/2005
AgendaAgenda
Uma breve ressalva Para que serve...
... a assinatura digital?... o certificado digital?
Alguns princípios básicos Onde podemos aplicar isso hoje? Que aplicações estão disponíveis hoje para
as seccionais?
A Assinatura DigitalA Assinatura Digital
Objetivo maior: conferir ao documento eletrônico eficácia probanteeficácia probante equivalente ou superior a um documento em papel.Resistência a adulteração cientificamente
periciável;Identifica o signatário;Programas como o ViaCert tornam-nas acessíveis
a leigos em informática; Viabiliza realizar seguramenteseguramente por meios por meios
totalmente eletrônicostotalmente eletrônicos uma série de trâmites formais que antes só eram concebíveis em papel.Celeridade nos processos, conveniência e acão à
distância (onde apropriado).
Documento Digital: Fácil de ForjarDocumento Digital: Fácil de Forjar
Documentos digitais são, em última instância, longas seqüências de bits
Modificá-los é rápido, corriqueiro, eficiente e não não deixa evidências físicasdeixa evidências físicasEm geral não é possível determinar se um
documento foi feito a partir de outro nem qual deles foi criado primeiro
Meta-dados de controle, tal como a data de criação/modificação do arquivo, também são documentos digitais e, portanto, fáceis de forjar
O Grande Medo dos Operadores do DireitoDocumentos Digitais Menor Segurança Jurídica
O Certificado DigitalO Certificado Digital
Objetivo maior: identificar os signatáriosidentificar os signatários, estabelecendo a correspondência entre as chaves públicas (suas “identidades virtuais”) e suas identidades institucionais/civis/etc no “mundo real”.Não apenas diz o nome e o número de
inscrição na Ordem,......mas também demonstra (pericialmente, se
necessário)
Certificado DigitalCertificado Digital
Marco CarnutCISSP – Diretor
w w w . t e m p e s t . c o m . b r
Recife
Av. Marquês de Olinda, 126 - 5o andarEdf. Citibank – Recife Antigo – 50.030-901fone/fax: +55 81 3424.3670
São Paulo
Rua Jerônimo da Veiga, 164 - 6o andarItaim Bibi – 04.536-001fone/fax: +55 11 3644.7249
Assinatura Digital
3307593482764144383236407422893115834377614890899624009442099845693490214573567788278071557866894234862782864842514558492006345426665612583589955074261322149433007623318136633859241816528422417014741402229389782364764071422531994119155607620122108426217561226430893455427068133155467382027190322146133297262276110015235819528391147029664383805647966466610930005540080821077564303251873506562261793490643836045444308449796374610594658997400915322105907963083905777281153889820615690238747596150597146931269072781094216513660091453537585805022066803217838163216563737476746283832612840308825648045756458529060541743815
Chave Pública
e=65537,n=142239367858416975776709973865450073964317047967537963581498770739727353522092089230343487731587869752994941931696743826295415252444227103015424408026248310161052096481075828264719552128147343307191910433656494782751532754737317882243505044499826239887391048898863537027610940275999724385631333089769833207271
Chave Pública
e=65537,n=142239367858416975776709973865450073964317047967537963581498770739727353522092089230343487731587869752994941931696743826295415252444227103015424408026248310161052096481075828264719552128147343307191910433656494782751532754737317882243505044499826239887391048898863537027610940275999724385631333089769833207271
(RSA com hash SHA1) (criptossistema RSA)
O=FreeICP.ORGOU=Verified Identity TEST Certification
AuthorityCN= Marco Carnut
Emitente:C=BR, ST=Pernambuco, L=Recife, O=Tempest Security
Technologies,OU=FreeICP.ORG, CN=Verified Identity TEST Certification
Identifica-me no mundo eletrônico
Prova que o emitente dá o seu aval de que essa chave
pública me pertence.
Minha Identificação (em um certo contexto
institucional/normativo)
Identificação do emitente (no mesmo contexto
institucional/normativo)
As duas nascem juntas,a partir de certos ingredientes matemáticos,...
Uma vez descartados esses ingredientes, não é possível calcular uma a partir da outra!
Chaves PrivadasChaves Privadas
A toda chave pública está associada uma (e somente uma) chave privada
(essa não é minha chaveprivada de verdade, é claro...)
e=65537,n=142239367858416975776709973865450073964317047967537963581498770739727353522092089230343487731587869752994941931696743826295415252444227103015424408026248310161052096481075828264719552128147343307191910433656494782751532754737317882243505044499826239887391048898863537027610940275999724385631333089769833207271
Chave Pública
d=45513073726402274497112187375821996218728416949314546946140448587789481038639096016002749187761891763803670808413839912801228572529665774876532962635379131630567220917313622655792743595159858016481026785861643971550766288990167133657888343401183947460265117578350019500398898372064939800622637320099687830497
Chave Privada
Chaves PrivadasChaves Privadas
Como na prática as chaves são muito longas, decorá-las é inviável
O usuário não lida com elas diretamente – as operações com elas são feitas por programas programas criptográficoscriptográficos em nome do usuário
Ficam armazenadas emdisco rígido, memória,smart cards, etc.
Chave Privada
45513073726402 27449711218737582199 62187284169493145469461404 4858778948103 8639096016002749187761891 76380367080841383991280 12285725296657748765329 626353791316 3056722091731 36226557927435 95159858016481026785861643 97155076628899016713 36578883434011 83947 460265 11757835 001950 03988 983720 649 39800 622637 32009968 78304 97
Declaro para osdevidos fins que a Empresa XYZ Ind. E Com. Ltda está rigo- rosamente em dia com todas suas obri- gações junto à Or- dem dos Advogados do Brasil.
Fulano de Tal, Secretário.
Assinatura Digital: GeraçãoAssinatura Digital: Geração
Tw+1 4+ajkwLx kOEjYlzQ e//qZi
Declaro para osdevidos fins queFulano de Tal dos A. Pereira está rigo- rosamente em dia com todas suas obri- gações junto à Or- dem dos Advogados do Brasil.
Fulano de Tal, Secretário.
1. A geraçãogeração da assinatura digital é um cálculocálculo (na prática, feito por um programa de computador) que usa dois ingredientes:a. O documento a ser assinado;b. A chave privadachave privada do signatário;
45513073726402 27449711218737582199 62187284169493145469461404 4858778948103 8639096016002749187761891 76380367080841383991280 12285725296657748765329 626353791316 3056722091731 36226557927435 95159858016481026785861643 97155076628899016713 36578883434011 83947 460265 11757835 001950 03988 983720 649 39800 622637 32009968 78304 97
814541843798 478120951923912873 1294299672425116704939 379782806261398363322476 919384062566169685055517534267117705433844765720549710618175683608932458405453848797180835093703159582448572539462183005843996155364051919 34571045163287364997789829 246974656206298609167179 3861231705542771753043 061760561432648197 395710299238
2. O resultado é um número, cha-mado de assinatura digitalassinatura digital.
3. Essa assinatura é salva em um arquivo de computador, podendoser usada em separadousada em separado…
4. ... ou pode ser anexadaou pode ser anexada ao do-cumento original, o que, na prá-tica, é muito comum.
Conferência da AssinaturaConferência da Assinatura
Declaro para osdevidos fins que a Fulano de Tal dos A. Pereira está rigo- rosamente em dia com todas suas obri- gações junto Or- dem dos Advogados do Brasil.
Fulano de Tal, Secretário.
1. A conferênciaconferência é um cálculocálculo(também feito por um com-putador)
2. que usa a chave públicachave públicado signatário (contida nocertificado) e a assinaturae a assinatura
3. que diz se o documentosendo conferido é ou não é ou não idênticoidêntico ao documento de onde assinatura foi gerada.
=
4. Se a conferência bater,sabe-se também que a as-sinatura só pode ter sidogerada pela chave privadacorrespondente.
5. O que permite presumir que foi feita pelo detentor da chave privada, cujo titular legal é aquele identificado pelo nome civil contido no certificado digital.
6. E que, portanto, podemos confiar no teor deste documento como sendo legítima expressão da vontade/anuência do signatário.
Conferência da AssinaturaConferência da Assinatura
Declaro para osdevidos fins que a Fulano de Tal dos B. Pereira está rigo- rosamente em dia com todas suas obri- gações junto Or- dem dos Advogados do Brasil.
Fulano de Tal, Secretário.
1. Se, ao invés, a conferênciafalhar,…
2. …tratamos o documentocomo sendo digitalmenterasurado
3. e o descartamos
Propriedades das AssinaturasPropriedades das Assinaturas
Gerar assinaturas é privilégio exclusivo dos privilégio exclusivo dos detentoresdetentores da chave privada;Supondo chaves de tamanho adequado (mais
de 200 dígitos), que é a praxe; Conferir assinaturas é possível para qualquer
um, inclusive para terceiros imparciaisinclusive para terceiros imparciais, pois só requer dados públicos;
Convenciona-se que uma assinatura válida em um documento sinaliza a anuênciaanuência do titular (o “detentor responsável” identificado no certificado correspondente) com o conteúdo do documento.
RessalvasRessalvas
Assinatura digital não tem nada a vernão tem nada a ver com assinatura autógrafa digitalizada
814541843798386938129429967242511670493937978280626139836332247691938406256616968505551753542671177054338447657205497102618175683608932458405453848749718083509370315958244857253294621830058439961553640519198345710451632873649977898299246974656206298609167179638612317055427717530434061760561432648197
Diferente a cada documento, pois é
calculada em função deste.
Melhor quanto mais semelhante for entre
um documentos e outro
Demonstração IDemonstração I
Operações com Arquivos de ComputadorAssinatura de ArquivosConferência de Assinaturas em Arquivos
Operações com Área de TransferênciaAssinatura de mensagens curtasVerificação de mensagens curtas
Assinatura de formulários no navegador WebAssinatura de “Recibos Digitais”
Outra UtilidadeOutra Utilidade
Além de prover resistência contra adulteração em documentos, a assinatura digital pode tornar a entrada/identificação entrada/identificação
em portais na Webem portais na Web mais fácil e segura. Como?
Substituindo nome+senha......por assinaturas digitais instantâneas.
Autenticação via SenhaAutenticação via Senha
VantagensSimples e Intuitivo
DesvantagensSenha trafega pela rede,
podendo ser capturada em trânsito
Site é guardião co-responsável pela senha: usuário sempre pode dizer que o site vazou sua senha
Fácil convencer o usuário a inadvertidademente dar a senha para um atacante: basta fazer um site que se pareça com o real
SiteXYZ
servidorrequisita
nome+senha
usuárioresponde
s&nh@ s&nh@ Banco deDados=
?
site compartilhada senha
senha trafegapela rede!
Autenticação via SenhaAutenticação via Senha
Área de VulnerabilidadeO próprio usuário
A Internet- interceptadores,
hackers, worms,...- Clones do site legítimo
que podem ser criados por qualquer um
O próprio sitelegítimo
SiteXYZ
s&nh@ Banco deDados
Clone2
Clone 1
Desafio-Resposta via AssinaturaDesafio-Resposta via Assinatura
Site XYZ
desafio
resposta
Vantagens: Menos vulnerávelFrase-senha só existe na mente do
usuário: não trafega pela rede nem é armazenada no servidor
Área de vulnerabilidade: apenaso próprio usuário
Naturalmente mais resistente asites clonados e phishing scams
Desvantagens:Requer distribuição
prévia de certs digitaisFerramentas ainda
não muito amigáveis Área vulnerávelmuito menor
ViaCert tornasimples e seguro
Vantagens: em detalheVantagens: em detalhe
Não é necessárioNão é necessário digitardigitar seu nomeJá vem no certificadoE já contém seu número na OABE já garantido pela própria OAB
O site não precisa sabernão precisa saber sua frase-senhaNão há um banco de dados de senha que possa
“vazar” ou ser quebrado;A senha não trafega na rede; portanto, não pode
ser interceptada.A frase-senha não sai do seu computador pessoal.Naturalmente mais resistente às “páginas falsas
de recadastramento” (“phishing scams”) que assola os bancos hoje em dia
Desvantagens: em detalheDesvantagens: em detalhe
MobilidadeÉ preciso andar com uma cópiaandar com uma cópia do seu ViaCert
e da seu certificado+chave privada. Fácil e barato de resolverFácil e barato de resolver hoje em dia:
- Pen-drives USB e CDs regraváveis. É preciso ter cuidado para não extraviá-la ou
roubarem física ou digitalmente- Ao chegar em uma máquina nova, basta
instalar o ViaCert e usar. Outras soluções mais seguras porém mais carasmais seguras porém mais caras:
Smart Cards, tokens criptográficos, etc.
Demonstração IIDemonstração II
Entrada via Certificado Digital no site seguro do WebMail da OAB/MG
Recursos do WebMail da OAB/MG Serviços OAB integrados com o Webmail:
emissão de certidões.
ConclusõesConclusões
As seccionais já contavam com a ICP-OABcontavam com a ICP-OAB,... ... e agora contam também com aplicações aplicações
práticaspráticas que usam a alta segurança proporcionada por esses certificados:Tempest ViaCert
- Proteção ao trâmite de documentos eletrônicosWebMail com serviços OAB integrados... e outras que desenvolvermos juntos!
Próximo grande passo:Convencer os tribunais a aceitarem petições e
outros documentos formais assinados digitalmente online usando essas tecnologias.