A Assinatura Digital e Legislação
Por: thiagovpassos • 15/6/2015 • Trabalho acadêmico • 1.438 Palavras (6 Páginas) • 339 Visualizações
Assinatura Digital e Legislação
Para acompanhar a crescente imersão de novos serviços no ambiente da Internet, tanto na validação de documentos como em transações onlines, fez-se necessário o uso de mecanismos de segurança que pudessem garantir a confiabilidade sobre a autenticidade do conteúdo e do autor do documento. E para que este pilar de segurança se sustentasse seria necessário a criação de uma legislação que
Como o próprio nome sugere, a assinatura digital tem a função de assinar documentos eletrônicos, equivalendo a uma assinatura de próprio punho. Esta tecnologia é responsável por garantir o envio de informações pela Internet sem que estas sejam alteradas e, para tanto, faz uso do método de criptografia assimétrica, ou seja, utiliza-se um par de chaves, sendo uma pública e outra privada, onde esta deve ser mantida em sigilo pelo signatário, para codificar as informações em formato eletrônico, a fim de se ter um maior controle sobre a criptografia e perceber se houve alguma alteração no conteúdo, bem como confirmar a autoria do possuidor do documento.
Os dados são criptografados utilizando-se a chave privada, e apenas a chave pública pode ser utilizada para decriptografá-los. Essa técnica não serve como garantia de segurança contra leitura dos dados criptografados, pois, utilizando-se uma chave pública para decriptografar, qualquer pessoa com a posse dessa chave poderá ter acesso aos dados de maneira legível. No entanto, essa técnica serve para assegurar o conteúdo de um documento, pois, se uma chave pública decriptografar um documento adequadamente, significa que esse documento só pode ter sido criptografado com a chave privada equivalente.
A assinatura digital compreende um mecanismo capaz de fornecer confiabilidade sobre a autenticidade do conteúdo e do autor do documento. É relevante destacar que atualmente é baseada na técnica de criptografia assimétrica, mas nada impede que diante do surgimento de uma técnica de segurança mais aprimorada ela seja adaptada.
No ano de 2001, para dar validade a esta tecnologia, o Governo editou a Medida Provisória nº 2.200-2 que instituiu a Infra-Estrutura de Chaves Públicas brasileira (ICP-Basil), criando órgãos reguladores das atividades das entidades certificadoras de documentos eletrônicos, uma vez que a realização de contratos eletrônicos pela Internet vinha crescendo a cada ano e algumas entidades privadas já emitiam certificados digitais, ainda que sem nenhum controle do Poder Público até a referida Medida Provisória.
Em sua organização, A ICP-Brasil é composta por uma estrutura de órgãos dispostos hierarquicamente de modo a existir uma entidade gestora de políticas dessa infra-estrutura chamada Comitê Gestor da ICP-Brasil, formado por representantes dos seguintes Ministérios, que desempenham funções de relevante interesse público: Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; além da Casa Civil da Presidência da República e do Gabinete de Segurança Institucional da Presidência da República.
Para executar essas políticas criadas pelo mencionado Comitê há um órgão raiz, denominado autoridade certificadora raiz, que opera conforme as definições do referido Comitê e que, segundo a citada medida provisória, consiste no Instituto de Tecnologia da Informação – ITI-,autarquia federal relacionada com o Ministério da Ciência e Tecnologia, que é responsável pela emissão, expedição, distribuição e revogação de certificados das autoridades certificadoras a ela subordinadas, assim como controla a lista de certificados expedidos por estas e executa atividades de credenciamento, fiscalização e auditorias nas autoridades certificadoras subsequentes a ela e nas autoridades de registro.
Às autoridades certificadoras, que podem ser entidades públicas ou privadas, cabe emitir, revogar e gerenciar os certificados digitais para os usuários finais, bem como manter listas atualizadas dos certificados expedidos e registro de suas operações. Cabe, ainda, a essas entidades a obrigação da transparência em suas atividades, para garantir segurança e consulta as suas operações realizadas.
Por fim, existem também as autoridades de registro, que são entidades públicas ou privadas operacionalmente vinculadas a determinada autoridade certificadora, com competência para identificar e cadastrar os usuários finais, na presença destes, e encaminhar as solicitações de certificados destes à autoridade certificadora. Há também casos em que uma mesma entidade concentra em si atividades de autoridade de registro e autoridade certificadora.
A estrutura hierárquica da ICP-Brasil busca estabelecer uma relação de confiança entre as autoridades certificadoras e proporciona significativa economia de escala e recursos técnicos, o que permite que as informações transitem sem as etapas intermediárias de certificação, eliminando uma parcela burocrática neste tipo de atividade.
2- Descrição do Assunto
O autor apresenta vários algoritmos de criptografia simétrica e assimétricas. Explica o funcionamento do AES, fala do surgimento dos algoritmos de chave pública, RSA e Diffie-Hellman, explana sobre os tipos de usos dos algoritmos de chave pública.
3- Apreciação Crítica
O DES(Data Encryption Standard) foi o algoritmo mais usado antes do surgimento do 3DES e do AES. Foi desenvolvido em 1970 pela IBM. Apesar se ser muito usado, ele é considerado inseguro[2-5]. Este algoritmo é muito frágil ao ataque de força bruta, pois sua chave de 56 bit é pequena. Ela deveria ser de 128 bits, que teve que ser reduzida para caber no chip da época[14]. Existe um ataque de criptoanálise que é muito mais veloz que a força bruta: diferencial criptoanálise [15], linear criptoanálise [16] e ataque do Davie melhorada [17]. Já o AES[6], foi criado com o objetivo de ser mais seguro que o DES e o 3DES. Inicialmente foi feita uma competição para escolher qual seria o algoritmo e o ganhador foi o chamado de Rijndael, que provou ser o melhor de todos. Durante muito tempo, era apenas conhecido um tipo de ataque e em apenas algumas implementações apresentavam a vulnerabilidade. Mas logo foram encontradas falhas no algoritmo também. Em 2002, um ataque teórico chamado XSL Ataque, que demonstrava uma vulnerabilidade [7]. Em 2009 foi publicado um trabalho que mostrava um ataque relacionado com as chaves do AES nas versões 192 e 256 bits [8-9]. O problema foi a complexidade exponencial do método descoberto: 2119. Apesar de pouco tempo depois ter sido aperfeiçoado para uma complexidade de 296 [10]. Depois de algum tempo foi descoberto o primeiro ataque da chave conhecida na versão reduzida do AES 128 bits [11], que na verdade se trata de uma melhoria em outro método de ataque. O primeiro método de recuperação de chave foi um baseado em bicliques e é mais veloz que força bruta em um fator de 4 vezes [12]. Ele precisa de 2126.1 operações para recuperar a chave de uma chave de 128 bits, 2189 para 196 bits e 2254 para 256. Existem alguns outros tipos de ataques que mais estão relacionados com as implementações. Isso é chamado de ataque side-channel. Em [13] podemos ver esse tipo de ataque no framework OpenSSL. Este ataque requer cerca de 200 milhões de palavras.
...