quinta-feira, 15 de novembro de 2007

Certificação digital (segurança)


Para quem nunca ouviu falar em certificação digital, aproveite para conhecer agora, pois fará parte do seu dia-a-dia como sua carteira de identidade( em aproximadamente dois anos!!).
O certificado digital é uma espécie de documento eletrônico criptografado(os dados são transformados em códigos praticamente indecifráveis), que contém informações como nome, e-mail, CPF, dois números denominados chave pública e privada, além do nome e da assinatura da AC (Autoridade Certificadora) que o emitiu. A chave privada é que garante o sigilo dos dados do titular que assina a mensagem. A pública permite que ele compartilhe com outras pessoas a informação protegida por criptografia. Assinatura e segurança são então, as palavras-chave, pois quando você possui essa certificação digital, ela age como uma assinatura, conferindo garantia, autenticidade e confiabilidade ao seu documento.

Ainda não vi utilidade nisso. Por que fará parte do meu dia a dia em breve?
Você já comprou algo no submarino, mercado livre, americanas.com, etc?? Já acessou os recursos que seu banco oferece pela internet, como saber seu extrato, realizar transferências on-line, pagamento de contas. Já aproveitou pra enviar sua declaração de imposto de renda por aqui mesmo pela net? Muita gente hoje já faz isso tranquilamente, mas estes serviços ainda não são comuns a todos, pois muitos dos usuários de internet ainda são vítimas de golpes, por não saber se podem confiar ou não em tais serviços. Isso muda com a assinatura digital.
Com ela, suas ações na web tornam-se mais seguras, como por exemplo no caso do banco, em que, quando você está acessando sua conta on-line, ele sabe que é você mesmo quem está acessando, graças ao seu certificado digital, evitando assim, fraudes. O Banco do Brasil, Caixa Econômica Federal e Receita Federal são exemplos de instituições que já utilizam estes certificados.

Além de segurança, que vantagens mais a certificação digital traz?

No momento em que você acessa um site cujo servidor possui certificação, a chave pública(citada no primeiro parágrafo do assunto) é transmitida entre o servidor e o seu computador(também chamado "cliente"), garantindo assim, sigilo e privacidade na web.
Também quando você utiliza seu e-mail (sem certificação), onde o sistema de correio eletrônico
não possui recursos nativos para impedir a violação da correspondência eletrônica, você corre muitos riscos, dentre os quais, ter sua mensagem interceptada. Com a certificação digital para e-mail, você pode você selar a sua correspondência em um "envelope digital criptografado" e certificar-se de que apenas o destinatário será capaz de compreender seu conteúdo. Desta forma também está garantindo a autenticidade de suas mensagens. Já pensou em como isso é útil para seu e-mail de trabalho, por exemplo?

Como eu tiro a minha Certificação digital?

No Brasil existem várias Autoridades Certificadoras (AC), que são os órgãos responsáveis por fornecer este serviço(tanto para pessoa física como jurídica). A CertiSign(empresa privada), o SERPRO (Serviço Federal de Processamento de Dados), IMESP (Imprensa Oficial do Estado de São Paulo), a PRODEMG (empresa de tecnologia de informação do Governo de Minas Gerais), e a Caixa Econômica Federal, dentre outros, são exemplos dessas ACs.
Os interessados têm algumas opções, dentre as quais está procurar uma dessas ACs, preencher um formulário com seus dados e pagar uma taxa que varia de acordo com o modelo do documento(por exemplo o A1 ou o A3, que são os mais usados e falarei mais abaixo). Depois deve se apresentar em uma AR (Autoridade de Registro, como Correios, Caixa Econômica Federal, Sincor, Banco do Brasil, Bradesco, Itaú, e Itautec), com documentos como Carteira de Identidade ou Passaporte - se for estrangeiro-, CPF, Título de Eleitor, comprovante de residência e número do PIS/PASEP. Já pessoas jurídicas devem apresentar registro comercial, no caso de empresa individual, ato constitutivo, estatuto ou contrato social, CNPJ e documentos pessoais da pessoa física responsável.
Agora se você estava lendo sobre isso apenas para se manter atualizado, mas gostou da idéia, vale essa dica que vou dar para você, meu leitor: Uma prima minha que é analista de sistemas e trabalha para uma multinacional japonesa, me indicou esse site onde podemos fazer inscrição gratuita e obtermos certificação digital para nosso e-mail. Ela também utiliza isso para o mail de trabalho dela, e como tal, achei q poderia ser útil para vocês. Caso queiram também, tenho um tutorial, explicando passo a passo, com imagens, inclusive, para ajudar quando você estiver se cadastrando neste serviço, e é importante que você use um programa como o outlook ou thunderbird para isso, pois acredito não funcionar nos webmails(e-mail que vc acessa pelo navegador - no internet explorer, firefox ou opera, por ex)! Quem estiver interessado neste tutorial, basta deixar o e-mail nos comentarios, solicitando, que eu mando o mais rápido possível!
Vale lembrar também que existem diversos tipos de assinaturas digitais e, para cada uma, diferentes características, como segurança fornecida, período de validade do certificado e preços. Entre as mais usadas está a A1, gerada e armazenada em software. Pode ser gravada em HDs, CDs ou DVDs e tem validade de um ano. Este modelo custa por volta de R$ 100. Ele é mais simples e menos seguro que os outros. A A3, também um dos modelos mais usados, é gerada e armazenada em hardwares como smartcards ou tokens (espécie de pen drive com saída USB e leitora embutida). Esta modalidade é mais segura que a A1 e tem validade de três anos. O preço do kit com leitora, smartcard e assinatura digital, fica em torno de R$ 300. Já o modelo com token sai por R$ 400. Interessante, não? Alguns podem ver isso como mais uma forma de você gastar, porém de maneira consciente, pois é como se seu produto estivesse ganhando um selo de qualidade, logo, vale a pena!


Observações importantes para quem possui, ou pretende tirar sua certificação digital:


Você deve proteger sua senha de maneira que somente você saiba. Não forneça ela a namorada(o), melhor amigo(a). Não coloque em Cd's, disquetes, ou dispositivos que outras pessoas possam ter acesso(caso haja essa necessidade, esconda tais dispositivos para evitar que caia nas mãos de outras pessoas!). Se isso vier a acontecer, quem tiver este acesso pode utilizar seu nome para realizar ações ilegais, logo, é altamente recomendado também, em caso de suspeita de clonagem( alguém enviando e-mails por você, por exemplo), que você faça pedido de revogação do certificado!

RESPOSTA AO LEITOR:

Diego, explicando melhor com relação à segurança: O que acontece se alguém roubar seu certificado é que, se a pessoa se passar por você, utilizando-se de seu certificado, será difícil que você consiga comprovar que quaisquer ações desta pessoa não são de sua autoria. Agora, veja bem o exemplo: Eu fiz o meu certificado de e-mail aqui. Vou formatar meu PC e salvo o certificado num pendrive. Se alguém tiver acesso a meu pendrive, e pegar o certificado, para tentar mandar um mail se passando por mim, antes disso, ele vai precisar ter acesso ao meu e-mail( ou seja, saber a minha senha), para então se passar por mim... o processo é o mesmo de um e-mail comum.. a questão é que o certificado é a garantia d autoria de sua mensagem.. Se você está viajando a trabalho e precisa mandar um documento para seu chefe via e-mail, você muito provavelmente terá uma certificação para ele, pois hoje em dia essa prática já é muito comum nas grandes empresas, onde a segurança de suas informações é fundamental.
Deu pra assimilar melhor?? mais alguma duvida??
Com relação à minha certificação, eu fiz sim. Agora estou atrás de membros notórios para me concederem pontos suficientes para que meu e-mail saia com uma mensagem automatica relacionada à segurança. No caso dessa certificação, funciona assim, tendo em vista que não temos a autoridade de registro( o gerente do meu banco, por exemplo), para fazer meu reconhecimento mediante a Autoridade Certificadora(thawte, no meu caso).
abraços!




fontes:
http://wnews.uol.com.br/site/noticias/materia_especial.php?id_secao=17&id_conteudo=264
http://br-linux.org/tutoriais/002209.html - excelente para quem curte Software Livre
http://www.thawte.com/
fontes das imagens:
http://www.calau.com.br/files/img_cartao_cpf.gif
http://www.modulo.com.br/arquivoboletins/2k3/msnews_no302.htm




4 comentários:

  1. Gostei! Só achei meio caro.. desse jeito vai demorar pra "pegar".
    E se toda vez que passar a validade pagar isso tudo, aí é que demora mesmo. =P
    Outra coisa.. vc disse que tem que esconder de todo mundo.. então é mais fácil de se passar por outro que os documentos normais, já que é só ter um em mão que vc já se passa pelo outro..
    Só uma pergunta: já fez a sua certificação digital? hehehe
    Abração!!

    ResponderExcluir
  2. Valeu pela resposta, Peri.
    Depois converso mais contigo sobre isso no HEMI-SN. huehuehe ;)

    Ei, meu blog está ativo!! :D
    Acabei de começar. Dá uma checada lá e vê o que achou.
    Depois quero que me explique como coloco links favoritos..
    E mais uma ruma de coisas! hahaha
    Abraçãaaao!

    ResponderExcluir
  3. Olá, Olha Diego vc achou meio caro, concordo porém, imagine se vc for fazer todos os serviços oferecido pelo certificado digital pessoalmente. Quanto vc irá gastar? Pense bem. Acaba saindo mais barato ter o Certificado.

    Márcio

    ResponderExcluir
  4. Olá,achei muito interessante e gostaria de receber auqle tutorial uqe vc comentou ok

    Desde ja obrigado

    zoarvc@yahoo.com.br

    ResponderExcluir