Confira nesse artigo as diversas aplicações de uso dos certificados de atributo que são assinados digitalmente por uma Autoridade de Atributo.
Por João Paulo Foini
Dentre várias qualificações, meu filho (*1) é historiador, um dos poucos medievalistas no Brasil, e também profissional de mídias digitais.
Um determinado dia, estávamos conversando sobre certificados digitais, e ele me mostrou um trecho de sua pesquisa cientifica para UNIFESP, intitulada “‘Right worshipfull sir, I recommend me to you’: o ethos da gentry e as relações de serviço no Feudalismo Bastardo, a partir das Paston Letters (1461-1471)”. Achei muito interessante e de certa maneira adequada para iniciar este artigo. Cito um trecho a seguir:
“Paston Letters”, ou seja, “Cartas Paston”. Trata-se de um conjunto vasto de correspondências e documentos que sobreviveram pelas gerações da família Paston, uma linhagem que ascendeu à gentilidade no século XV e viveu no região da Ânglia Oriental (hoje compreende aos condados de Norfolk e Suffolk, na Inglaterra).
As Paston Letters tornaram-se uma importante fonte para a historiografia, enquanto evidências sobre a vida nos condados em meados do século XV. Seu conteúdo é diversificado. Na coleção, são encontrados inventários, projetos de petições, testamentos, cartas de cunho pessoal e amoroso, notícias de eventos da época (“tidings”), relatórios profissionais, acordos de fidelidade e até correspondências e despachos régios.
Após escritas, as correspondências eram seladas e preparadas com cuidado. No envelope, era posta uma marca que faria ser notada, pelo destinatário, qualquer tentativa de abri-la antes de sua chegada. Era comum, também, o hábito de queimar as cartas após a sua leitura, por segurança, dependendo de eventual teor de sigilo.
É preciso tomar nota de quem as levava. Uma vez que não existia um serviço postal como nos dias atuais, as pessoas tinham que estar preparadas para “[…] enviar um de seus servidores como mensageiro, ou contar com o bom serviço de algum amigo, ou confiar suas cartas a um transportador comum, ou a algum viajante que estivesse de passagem” (BENNETT, 1922, p. 120, tradução nossa).”
Deixando o século XV e retornando ao século XXI, depois de 18 anos de ICP-Brasil com milhões de certificados digitais emitidos neste período, temos hoje a facilidade e a segurança, no envio de informações criptografadas e assinadas digitalmente por certificados digitais ICP-Brasil.
Entretanto, ainda, me dá arrepios quando escuto em reuniões com pessoas relevantes do setor de tecnologia da informação com as seguintes afirmações: “O certificado digital é muito caro! ”, e no nosso caso deste artigo, “Ah … o certificado de atributo não vingou! Não vejo utilidade para o uso do certificado de atributo! ”.
Do jeito que falam, talvez seja melhor voltar à Idade Média!
Uma excelente analogia, foi citada por Viviane Bertol – CEO da PKI Consulting, em seu artigo escrito como colunista do Crypto ID – “Entenda o universo dos Certificados de Atributo.”
“Algumas pessoas confundem Certificados Digitais e Certificados de Atributo. Uma analogia pode fazer a distinção clara. O Certificado Digital pode ser considerado como um passaporte: identifica o titular, tende a durar por um longo período de tempo e não deve ser trivial de obter. Um Certificado de Atributo é mais parecido com um visto de entrada: é normalmente emitido por uma autoridade diferente e não dura por muito tempo. Obter um visto pode ser um processo mais simples do que obter um passaporte, já que a obtenção de um visto normalmente exige a apresentação de um passaporte.”.
Usando certificados de atributo
Durante os 12 anos, fui responsável por uma relevante AC da ICP-Brasil, e tivemos a oportunidade de criar excelentes projetos de identificação funcional.
Nesses projetos, contemplamos a união do mundo físico com o mundo digital, ou seja: foram dezenas de milhares de funcionários com seu crachá físico (em plástico) com identificação impressa, mais um chip PKI para armazenamento do certificado digital (quem é o funcionário) e também o certificado de atributo (a qualificação do funcionário).
Assim, unificamos o processo de identificação, reduzindo custos e otimizando os acessos, com total segurança.
- Basicamente, o funcionário era identificado visualmente no crachá pelo segurança
- Acessava a catraca e fazia o registro eletrônico de entrada
- Ligava seu computador e fazia o login único com seu certificado digital no Windows.
- Depois disso, ele acessava aos sistemas e impressoras
- A partir daí, nesses ambientes o funcionário realizava suas atividades
Os sistemas confiavam nas credenciais do e-CPF e na qualificação dos atributos, (direitos, deveres e alçadas). Como por exemplo: assinar digitalmente uma autorização de compra (documento eletrônico) conforme as regras de negócios da sua própria empresa.
- Como ninguém é de ferro, na hora do almoço o mesmo crachá físico/digital dava acesso às refeições no restaurante.
- E no final do dia fazia seu registro eletrônico de saída da empresa.
Para as ações de dia-a-dia funcional: férias, licenças, demissão ou promoção, transferência de centros de custos etc., bastava revogar o certificado de atributo que todos os acessos eram cortados e emitir um outro se assim fosse o caso.
Observem que o funcionário continuava a ser quem ele é (e-CPF número tal), entretanto, seu “status” ou qualificação estaria temporariamente ou definitivamente revogado.
Outra característica interessante é que um e-CPF pode ter validade de até 05 anos e renovado por outros períodos iguais.
Isso só endossa o descrito anteriormente. Ele continua a ser quem ele é (e-CPF número tal), mas a sua qualificação muito provavelmente irá alterar durante o ciclo de vida funcional.
O prazo de validade de um atributo é em virtude da regra de negócio das empresas. Isso flexibiliza muito o controle de segurança e de acesso aos sistemas.
Infraestrutura dos certificados de atributo
Os certificados de atributo, são assinados digitalmente por uma AA – Autoridade de Atributos (empresa), que tem condições legais de estabelecer esta atribuição. No caso das empresas, elas próprias tem condições de estabelecer regras de acesso em relação aos seus próprios funcionários. No quesito infraestrutura tecnológica, são nas EEA – Entidades Emissoras de Atributos que são processadas as emissões dos certificados de atributos.
Essa infraestrutura pode ser de terceiros ou própria da empresa. No meu caso, utilizava o próprio datacenter (nível 3) da empresa, e as tecnologias BlueX – AET Europe e ADSS – Ascertia.
Nesse ambiente, produzimos aproximadamente 350 mil certificados de atributo em alguns projetos.
Para mais informações, eu recomendo a leitura da normativa do ITI – DOC ICP 16.
Outros exemplos de uso dos certificados de atributo
Os certificados de atributo podem ser utilizados para qualificação de vários elementos?
Um ótimo exemplo é o programa de acessibilidade digital promovido pela Prefeitura da Cidade de São Paulo, que é um processo de certificação e acreditação para sites acessíveis, 100% eletrônico.
Ao final, o solicitante recebe um selo de acessibilidade digital, que é um certificado atributo emitido com o respectivo controle do seu ciclo de vida (emissão/renovação/revogação) gerenciado pela Secretaria Municipal da Pessoa com Deficiência da Cidade de São Paulo.
Recentemente no Brasil tivemos a oportunidade de experimentar a carteira estudantil digital, que foi baseada em certificados de atributo e QR code. Por conta de processos públicos e políticos, fomos obrigados a retroceder ao modelo anterior.
A carteira estudantil digital é muito importante para os estudantes, pois esta geração é conectada no mundo online. Pode colher excelentes benefícios com o seu uso.
Vamos torcer para que os entraves sejam superados e possamos continuar a evolução propiciada pelas carteiras estudantis digitais.
Pois elas são o elo que faltavam para serviços públicos e privados, com segurança e transparência para os milhões de estudantes no Brasil – muito mais que descontos em entradas em atividades culturais e esportivas. Penso também em aplicativos de bancos, seguradoras, livrarias, mobilidade urbana, prestadoras de serviços de saúde, treinamento online, etc.
Certificado de atributo – vale a pena utilizar?
Ah! Para os céticos, que questionam o certificado de atributo, deixo uma pergunta: Qual a infraestrutura necessária e seus respectivos custos para consultas destes perfis (de qualificações) utilizando o modelo tradicional de bancos de dados?
Utilizando certificados de atributo, as consultas desses podem ser online na LCR (lista de certificados revogados) e/ou OCSP (Online Certificate Status Protocol) ou off-line quando armazenado localmente em um dispositivo ou em um chip.
Acredito que seja mais simples, seguro e menos onerosa esta solução!
O que você acha?
Não sejamos medievais em queimar, por sigilo e segurança, as mensagens encaminhadas!
Vamos aproveitar todas iniciativas digitais (públicas ou privadas)!
Temos a nossa ICP-Brasil que atingiu a maioridade de 18 anos e é case de sucesso mundial em PKI.
Vamos continuar a nossa evolução e seguir em frente, com menos burocracia, mais agilidade e menos custos para toda a sociedade.
*João Paulo Foini – Founder at Foini Consultores
Founder – Foini Consultores, possui extensa carreira em gestão de tecnologia da informação, empresarial e de negócios. É especialista em certificação digital, e-business, interatividade digital e em portais corporativos. Tem atuado como palestrante em congressos nacionais e internacionais. Participou e conduziu vários projetos para as seguintes organizações: AET Europe, Imprensa Oficial do Estado S.A., AASP, CAUSP, SECOVI, IEL (FIEMT), CIESP, FIESP, JUCESP, SPPrev, SEFAZ-SP, Câmara e-net – Câmara Brasileira de Comércio Eletrônico, PETROBRÁS, BNDES, Marinha do Brasil, Embraer, Sul América Seguros, TV Globo e General Motors.
(*1) FOINI, F. O. – Historiador – Currículo Lattes
AET Europe e AARB reunem-se para gerar negócios para as ARs
Prefeitura de São Paulo lança Selo de Acessibilidade Digital com apoio do Web para Todos
Policiais Civis ganham documento virtual assinado com Certificado Digital
Certificados de atributo foram gerados para Tabeliães e Registradores gaúchos