Dicas-L: Utilizando smartcards e o e-CNPJ com software livre
Apesar de ser um sistema operacional extremamente robusto, exite pouca documentação sobre como fazer smarcard readers funcionarem no Linux, isso depende de alguns fabricantes mas grande parte dos equipamentos já tem suporte. Por meio de smartcards podemos utilizar um cartão inteligente para nos autenticar nos mais diversos serviços, seja logar na rede, seja acessar uma área restrita de alguma intranet.(postado por Augusto Campos)
Comentários dos leitores
Comentário de brain
30/06/05 12:02 - usuário registrado #1
confiar no emissor e em quem armazena: Aqui tem algumas informações interessantes sobre o e-CNPJ: http://www.certsign.com.br/produtos/ecnpj/e-cnpj.jsp - note que ele pode ser tipo A1 (mais ou menos como você gostaria) e tipo A3 (com a chave privada gravada no cartão).
Mas, independente do procedimento de emissão, usar os serviços de uma autoridade externa para emitir, armazenar ou de outra forma manipular informações de autenticação normalmente exige confiar nela para isto. Existem serviços em que a chave privada fica exclusivamente em poder do usuário desde o momento de sua criação, mas acredito que são bem menos comuns no mercado.
Da mesma forma, seu banco manipula as informações sobre a sua senha do cartão magnético, por exemplo, e não oferece nenhuma garantia (neste sentido a que você se refere) de que ela não é armazenada em algum outro lugar e pode ser usada para falsificar transações em caixas eletrônicos. Neste caso específico do CNPJ, mesmo na opção do certificado tipo A1 você tem que confiar no programa que gera o par de chaves, e nos programas que manipulam a chave privada.
Mas, independente do procedimento de emissão, usar os serviços de uma autoridade externa para emitir, armazenar ou de outra forma manipular informações de autenticação normalmente exige confiar nela para isto. Existem serviços em que a chave privada fica exclusivamente em poder do usuário desde o momento de sua criação, mas acredito que são bem menos comuns no mercado.
Da mesma forma, seu banco manipula as informações sobre a sua senha do cartão magnético, por exemplo, e não oferece nenhuma garantia (neste sentido a que você se refere) de que ela não é armazenada em algum outro lugar e pode ser usada para falsificar transações em caixas eletrônicos. Neste caso específico do CNPJ, mesmo na opção do certificado tipo A1 você tem que confiar no programa que gera o par de chaves, e nos programas que manipulam a chave privada.
Comentário de D3v1L
30/06/05 13:14 - usuário registrado #1402
Certificado confiável: Olá
Antes de mais nada vou esclarecer: sou o autor do artigo.
Bom quanto ao e-CNPJ e e-CPF são gerados pela própia autoridade certificadora. Existem 3 autoridades aptas a realizar essa autenticação: o CertiSign, o SerPro e o Serasa.
Não trabalho em nenhuma destas empresas e também não tenho vínculo algum com elas, mas acredito que sejam confiáveis pois estão criando um serviço público e ligeiramente acessível à população (uma identidade digital custa algo em torno de R$ 200,00). Caso haja algum furo na segurança este tipo de identificação iria perder a credibilidade e o investimento de milhões de reais que a receita federal está fazendo iria por água à baixo. Haja o que houver acho que pelo menos o setor de TI do governo é bem sério, nunca ouvimos falar que interceptaram as declarações de IRPF enviadas para a receita (e já estamos enviando desde 1999).
Até mais
Bruno Sant'Anna
Antes de mais nada vou esclarecer: sou o autor do artigo.
Bom quanto ao e-CNPJ e e-CPF são gerados pela própia autoridade certificadora. Existem 3 autoridades aptas a realizar essa autenticação: o CertiSign, o SerPro e o Serasa.
Não trabalho em nenhuma destas empresas e também não tenho vínculo algum com elas, mas acredito que sejam confiáveis pois estão criando um serviço público e ligeiramente acessível à população (uma identidade digital custa algo em torno de R$ 200,00). Caso haja algum furo na segurança este tipo de identificação iria perder a credibilidade e o investimento de milhões de reais que a receita federal está fazendo iria por água à baixo. Haja o que houver acho que pelo menos o setor de TI do governo é bem sério, nunca ouvimos falar que interceptaram as declarações de IRPF enviadas para a receita (e já estamos enviando desde 1999).
Até mais
Bruno Sant'Anna
Comentário de Dados espostos...
30/06/05 14:42
Não é por nada não, mas eu: Não é por nada não, mas eu já ouvi várias vezes de exposição dos dados da declaração, e no ano de 2002 caiu em minhas mãos dados de declarações que SÓ DEVERIAM ESTAR NA MÃO DO GOVERNO !
Eu realmente não acho que estes dados sejam tão seguros assim...
Eu realmente não acho que estes dados sejam tão seguros assim...
Comentário de andreas
30/06/05 15:50
Até pouco tempo atrás os ce: Até pouco tempo atrás os certificados já emitidos eram publicados no site da Serasa. Sim, os certificados são públicos no sentido criptográfico da coisa, mas não deveriam estar expostos assim na internet. Eles contêm muitas informações preciosas para um phisher, como:
- data de nascimento
- título de eleitor
- número do pis
- cpf
- e outras coisas
- data de nascimento
- título de eleitor
- número do pis
- cpf
- e outras coisas
Comentário de toti
30/06/05 17:42 - usuário registrado #279
Não querendo ser um troll, m: Não querendo ser um troll, mas já sendo..
Eu ouvi muita gente falar que conhece o papai noel, mas até agora só os vi em fotos e nos shoppings (é sempre um velhote barrigudo.. nunca o papai noel de verdade)
Eu ouvi muita gente falar que conhece o papai noel, mas até agora só os vi em fotos e nos shoppings (é sempre um velhote barrigudo.. nunca o papai noel de verdade)
Comentário de Luc
30/06/05 19:33 - usuário registrado #2064
Carochinha: Eu, hein? Pois se as empresas, que custam e tentam ganhar muito dinheiro e sempre têm reputação frágil, já têm seus dados roubados por algum funcionário desonesto ou descuidado (basta um). E o governo mete ferro em quem quiser e raramente se explica e não dá a mínima pra reputação pois não compete com ninguém. Imagine se O GOVERNO é confiável.
Essas empresas são empresas como qualquer outra. Leia o noticiário com mais freqüência e venha para a realidade você também: toda semana alguma empresa é roubada e o problema só tende a aumentar. Antes, informática era um grande mistério. Hoje, qualquer malandro sabe usar e o número de golpes vai quintuplicar daqui a dois anos.
Alguém aí topa fazer um bolão? Segundo prêmio para quem adivinhar qual dessas três vai "vazar" primeiro. Primeiro prêmio para quem adivinhar o mês e o ano.
Você também deve ter achado muito inteligente a obrigatoriedade de cadastro dos celulares, né?
Tamo fudido mesmo. Só tem raposa e toupeira vigiando os galinheiros.
Essas empresas são empresas como qualquer outra. Leia o noticiário com mais freqüência e venha para a realidade você também: toda semana alguma empresa é roubada e o problema só tende a aumentar. Antes, informática era um grande mistério. Hoje, qualquer malandro sabe usar e o número de golpes vai quintuplicar daqui a dois anos.
Alguém aí topa fazer um bolão? Segundo prêmio para quem adivinhar qual dessas três vai "vazar" primeiro. Primeiro prêmio para quem adivinhar o mês e o ano.
Você também deve ter achado muito inteligente a obrigatoriedade de cadastro dos celulares, né?
Tamo fudido mesmo. Só tem raposa e toupeira vigiando os galinheiros.
Comentário de recsky
30/06/05 21:43 - usuário registrado #72
Certificado Confiavel: Ola,
Pelo que eu entendi, tanto o modo a1 quando o a3, geram a chave no micro local, com a diferença que o a3 faz isso no hardware seguro (token ou smart card) e vc envia a parte publica do certificado para eles e fica com a sua privada.
Dessa maneira não tem como eles terem uma copia completa do seu certificado.
Se for no modo a3 então, pelo menos até agora, é quase impossivel. (quase pq nunca se sabe)
alias, D3v1l, achei super seu texto, pena só funcionar com leitoras da concorrente... (tsc tsc tsc)...
Pelo que eu entendi, tanto o modo a1 quando o a3, geram a chave no micro local, com a diferença que o a3 faz isso no hardware seguro (token ou smart card) e vc envia a parte publica do certificado para eles e fica com a sua privada.
Dessa maneira não tem como eles terem uma copia completa do seu certificado.
Se for no modo a3 então, pelo menos até agora, é quase impossivel. (quase pq nunca se sabe)
alias, D3v1l, achei super seu texto, pena só funcionar com leitoras da concorrente... (tsc tsc tsc)...
Comentário de D3v1L
01/07/05 8:48 - usuário registrado #1402
gostou?: Obrigado...
bom até a data que escrevi esse artigo o modelo comercializado pelo serasa era o argos mini, da todos. Mandei um e-mail para eles e eles responderam que simplesmente não funcionava no Linux.
Só tive a oportunidade de testar nesses dois equipamentos, acredito que rode na argos de alguma forma...
bom até a data que escrevi esse artigo o modelo comercializado pelo serasa era o argos mini, da todos. Mandei um e-mail para eles e eles responderam que simplesmente não funcionava no Linux.
Só tive a oportunidade de testar nesses dois equipamentos, acredito que rode na argos de alguma forma...
Comentário de D3v1L
01/07/05 8:49 - usuário registrado #1402
eu acho que esse tipo de prob: eu acho que esse tipo de problema vai sumir pois toda a informacao vai ficar centralizada.
Comentário de Reverend
04/07/05 11:34
O que você faria?: E ainda são publicados. Seguindo a regulamentação proposta pela MP 2200 no fim do governo do FHC. E não vejo problema nisso, até porque esses números são sempre divulgados em qualquer transação mais séria que participamos. Por definição os documentos (cpf, rg, titulo) são numeros publicos. Vide o cheque do seu banco, que contém RG e CPF.
A falsificação e má indole sempre vão existir, ainda mais em um país onde uma minoria opta por utilizar a criatividade brasileira para estorquir e prejudicar. E é contra isso que a certificação digital se propõe, criar meios mais seguros para transações: Integridade, Não-Repudio, Confidencialidade, Autenticidade.
Se há ônus, certamente não é pela simples posse dos numeros de seus documentos, mas por uma série de fatores associados e principalmente, por sistemas falhos que se apoiam em numeros públicos - vide contratação de serviços para linha na Telefônica.
Algumas pessoas se aproveitam porque até hoje o ônus de fraudes (bancárias, por exemplo) é da empresa e não do portador dos documentos, mas a Certificação Digital no Brasil propõe um ambiente sério no qual você é fisicamente autenticado (Validação Presencial) com os documentos e assina um Termo de Uso e Responsabilidade com peso jurídico.
Nesse ambiente, duvido muito que haja corpo mole, divulgação de senha ou perda por mau uso. Um certificado digital com Raiz Brasileira é a primeira proposta para unificação destes documentos e PRINCIPALMENTE tráz a responsabilidade do uso para o portador.
Se é uma solução perfeita? Provavelmente não, mas ser um punk crítico é facil. Dificil é propor soluções melhores que realmente tragam benefício para o Sistema. Por isso o movimento se perdeu.
[]'s
A falsificação e má indole sempre vão existir, ainda mais em um país onde uma minoria opta por utilizar a criatividade brasileira para estorquir e prejudicar. E é contra isso que a certificação digital se propõe, criar meios mais seguros para transações: Integridade, Não-Repudio, Confidencialidade, Autenticidade.
Se há ônus, certamente não é pela simples posse dos numeros de seus documentos, mas por uma série de fatores associados e principalmente, por sistemas falhos que se apoiam em numeros públicos - vide contratação de serviços para linha na Telefônica.
Algumas pessoas se aproveitam porque até hoje o ônus de fraudes (bancárias, por exemplo) é da empresa e não do portador dos documentos, mas a Certificação Digital no Brasil propõe um ambiente sério no qual você é fisicamente autenticado (Validação Presencial) com os documentos e assina um Termo de Uso e Responsabilidade com peso jurídico.
Nesse ambiente, duvido muito que haja corpo mole, divulgação de senha ou perda por mau uso. Um certificado digital com Raiz Brasileira é a primeira proposta para unificação destes documentos e PRINCIPALMENTE tráz a responsabilidade do uso para o portador.
Se é uma solução perfeita? Provavelmente não, mas ser um punk crítico é facil. Dificil é propor soluções melhores que realmente tragam benefício para o Sistema. Por isso o movimento se perdeu.
[]'s
Meu medo eh que eles, ao inves de gerar a chave no proprio smartcard, gerem-na fora, mantenham uma copia e importem-na no carta (sim, tenho medo que eles tenham copias das chaves secretas e, eventualmente, usem-as para falsificar assinaturas).