Violou-se a correspondência eletrônica reservada da Presidente Dilma.
DGNOW! Cristina De LucaPublicada em 28/09/2013 15:39
Para muitos _ inclusive eu _ a notícia chamou especial atenção por desnudar o descaso com que muitos dos integrantes do governo brasileiro tratam a proteção de dados. Então a correspondência de Dilma não está protegida, criptografada?
A presidente não usa Certificação Digital para proteger as suas mensagens eletrônicas, garantindo a integridade e sigilo?
Nas últimas semanas tive a oportunidade de conversar com vários especialistas em segurança e esclarecer muitos pontos que até então faziam pouco ou nenhum sentido em toda essa história de espionagem americana.
O primeiro deles é que, de fato, a Presidência da República usa certificação digital apenas para assinar digitalmente decretos e medidas provisórias.As poucas aplicações que requerem o uso de certificados digitais no governo federal são o melhor indicador de que prevalece entre os técnicos o entendimento de que a certificação digital é apenas uma identidade eletrônica, que garante a identificação inequívoca do dono do certificado e confere valor jurídico aos documentos assinados eletronicamente.
Do tripé confiabilidade, legalidade e segurança, o grosso do uso da certificação digital endereça apenas os dois primeiros.
Pouca gente lembra do fato de que a certificação digital pode e deve ser usada para garantir o sigilo de mensagens de correio eletrônico, e arquivos anexados, com criptografia forte. Hoje a ICP Brasil já dispõe de um certificado para criptografia de e-mails e arquivos eletrônicos em geral – o Certificado S. O uso de certificação para e-mail, portanto, pode ter duas funções: a autenticação e a criptografia.
A criptografia é um pouco mais complicada porque as duas pontas têm que ter as chaves.
Por isso, é comum ouvir contra-argumentos de que para uso de certificados ICP-Brasil em e-mails todos os seus contatos também precisem usar nosso padrão de certificação digital. E que a emissão desses certificados S requer validação presencial, tornando-os inadequados para criptografar e-mails em larga escala. Mas não seria de se esperar de toda a correspondência entre os três poderes, ministérios e autarquias já fizesse uso deles?
O Expresso, do Serpro, não deveria ser o e-mail padrão para todo o governo federal?
Outros obstáculos
É claro que, como toda tecnologia de segurança, o uso da certificação tem lá seus obstáculos e vulnerabilidades. Mas eles não deveriam servir de desculpa ou impedimento para o uso, especialmente se consideramos a criptografia através da certificação digital uma camada a mais na cadeia de segurança.
Infalível? claro que não.
Nesse episódio da ação da NSA nas comunicações do Planalto, uma das surpresas, de fato, para os profissionais de segurança, segundo José Damico, diretor de pesquisa e desenvolvimento da InfoSERVER/TIX11, foi ver que a agência americana tem sistematicamente quebrado o https, que tem muitas chaves de 2.048 bits, longas, difíceis de quebrar.
A ideia corrente era a de que, pela qualidade do algoritmo e o tamanho da chave, seria computacionalmente inviável quebrar criptografia forte.
A NSA mostrou que para o poder computacional que ela tem, nada é computacionalmente inviável.
A partir daí, considerando que ela possa ter quebrado uma chave de um certificado digital, tudo aquilo que ele armazenou passa a estar vulnerável.Mas, pelo visto, nem esse trabalho os agentes da NSA tiveram para ter acesso ao teor dos e-mails da Dilma.
Some-se a isso o fato da certificação ICP-Brasil ainda não estar disponível para uso em tablets e smartphones do governo federal. Só este ano, o governo e a indústria despertaram para a importância de ter certificação em dispositivos iOS e Android, usando novas tecnologias como NFC, por exemplo. Portanto hoje, ao acessar e-mails em um tablet Android ou smartphones, Dilma estaria vulnerável.
A Certisign, por exemplo, começou a ter uma série de demandas da iniciativa privada, pós caso Snowden, para proteção de e-mails.
A solução da empresa para isso já existe há anos, mas mesmos os clientes que a compraram, usavam pouco. Agora a empresa está investindo em portá-la, junto com soluções de certificação digital para uso em tablets e smartphones.
“Estamos desenvolvendo uma solução para o mercado corporativo que permite ao desenvolvedor agregar um componente de certificação nas suas aplicações. Para usar o certificado, podemos importá-lo no aparelho, no caso da Plataforma Android, ou fazer uso de capas especiais com leitoras de certificados embutidos nos cartões que já vendemos hoje, no caso dos iPads e iPhones”, conta Maurício Balassiano, diretor de Tecnologia da Certisign. “No Android eu já consigo importar um certificado S4 e enviar e receber e-mails assinados digitalmente e criptografados.
No iOS ainda não. Precisaria de um app para isso, que a gente ainda não desenvolveu. Mas a gente já tem o componente para esse desenvolvimento”, explica.
Os produtos estão em fase de protótipo.
A intenção da Certisign é começar a vender a solução no fim deste ano, início do ano que vem.
O fato é que Snowden e a NSA nos fizeram um favor, ao desnudar o quanto estamos relapsos no uso de tecnologias de segurança, muitas delas desenvolvidas no país.
Em tempo: O Brasil possui 3,5 milhões de certificados digitais ativos e vem emitindo cerca de 200 mil a cada mês conforme dados apresentados pelo Instituto Nacional de Tecnologia da Informação (ITI). Menos de um terço são usadas por pessoas físicas, embora sejamos beneficiados diretamente por seu uso, sem saber, na rápida compensação de cheques, agilização do saque do FGTS na Caixa Econômica Federal, do atendimento médico (graças ao prontuário eletrônico) e da tramitação de processos na Justiça.
Fonte: IDGNOW!