Uma duvida que sempre tive com esses E-CPFs...: Sempre tive uma duvida com esses E-CPFs: A chave privada do certificado eh emitida pela Serasa? Ou eu gero a minha chave, mandoa chave publica para eles e eles autenticam?

Meu medo eh que eles, ao inves de gerar a chave no proprio smartcard, gerem-na fora, mantenham uma copia e importem-na no carta (sim, tenho medo que eles tenham copias das chaves secretas e, eventualmente, usem-as para falsificar assinaturas).

confiar no emissor e em quem armazena: Aqui tem algumas informações interessantes sobre o e-CNPJ: http://www.certsign.com.br/produtos/ecnpj/e-cnpj.jsp - note que ele pode ser tipo A1 (mais ou menos como você gostaria) e tipo A3 (com a chave privada gravada no cartão).

Mas, independente do procedimento de emissão, usar os serviços de uma autoridade externa para emitir, armazenar ou de outra forma manipular informações de autenticação normalmente exige confiar nela para isto. Existem serviços em que a chave privada fica exclusivamente em poder do usuário desde o momento de sua criação, mas acredito que são bem menos comuns no mercado.

Da mesma forma, seu banco manipula as informações sobre a sua senha do cartão magnético, por exemplo, e não oferece nenhuma garantia (neste sentido a que você se refere) de que ela não é armazenada em algum outro lugar e pode ser usada para falsificar transações em caixas eletrônicos. Neste caso específico do CNPJ, mesmo na opção do certificado tipo A1 você tem que confiar no programa que gera o par de chaves, e nos programas que manipulam a chave privada.

Certificado confiável: Olá

Antes de mais nada vou esclarecer: sou o autor do artigo.

Bom quanto ao e-CNPJ e e-CPF são gerados pela própia autoridade certificadora. Existem 3 autoridades aptas a realizar essa autenticação: o CertiSign, o SerPro e o Serasa.

Não trabalho em nenhuma destas empresas e também não tenho vínculo algum com elas, mas acredito que sejam confiáveis pois estão criando um serviço público e ligeiramente acessível à população (uma identidade digital custa algo em torno de R$ 200,00). Caso haja algum furo na segurança este tipo de identificação iria perder a credibilidade e o investimento de milhões de reais que a receita federal está fazendo iria por água à baixo. Haja o que houver acho que pelo menos o setor de TI do governo é bem sério, nunca ouvimos falar que interceptaram as declarações de IRPF enviadas para a receita (e já estamos enviando desde 1999).

Até mais

Bruno Sant'Anna

Não é por nada não, mas eu: Não é por nada não, mas eu já ouvi várias vezes de exposição dos dados da declaração, e no ano de 2002 caiu em minhas mãos dados de declarações que SÓ DEVERIAM ESTAR NA MÃO DO GOVERNO !

Eu realmente não acho que estes dados sejam tão seguros assim...

Até pouco tempo atrás os ce: Até pouco tempo atrás os certificados já emitidos eram publicados no site da Serasa. Sim, os certificados são públicos no sentido criptográfico da coisa, mas não deveriam estar expostos assim na internet. Eles contêm muitas informações preciosas para um phisher, como:
- data de nascimento
- título de eleitor
- número do pis
- cpf
- e outras coisas

Não querendo ser um troll, m: Não querendo ser um troll, mas já sendo..

Eu ouvi muita gente falar que conhece o papai noel, mas até agora só os vi em fotos e nos shoppings (é sempre um velhote barrigudo.. nunca o papai noel de verdade)

Carochinha: Eu, hein? Pois se as empresas, que custam e tentam ganhar muito dinheiro e sempre têm reputação frágil, já têm seus dados roubados por algum funcionário desonesto ou descuidado (basta um). E o governo mete ferro em quem quiser e raramente se explica e não dá a mínima pra reputação pois não compete com ninguém. Imagine se O GOVERNO é confiável.

Essas empresas são empresas como qualquer outra. Leia o noticiário com mais freqüência e venha para a realidade você também: toda semana alguma empresa é roubada e o problema só tende a aumentar. Antes, informática era um grande mistério. Hoje, qualquer malandro sabe usar e o número de golpes vai quintuplicar daqui a dois anos.

Alguém aí topa fazer um bolão? Segundo prêmio para quem adivinhar qual dessas três vai "vazar" primeiro. Primeiro prêmio para quem adivinhar o mês e o ano.

Você também deve ter achado muito inteligente a obrigatoriedade de cadastro dos celulares, né?

Tamo fudido mesmo. Só tem raposa e toupeira vigiando os galinheiros.

Certificado Confiavel: Ola,

Pelo que eu entendi, tanto o modo a1 quando o a3, geram a chave no micro local, com a diferença que o a3 faz isso no hardware seguro (token ou smart card) e vc envia a parte publica do certificado para eles e fica com a sua privada.

Dessa maneira não tem como eles terem uma copia completa do seu certificado.

Se for no modo a3 então, pelo menos até agora, é quase impossivel. (quase pq nunca se sabe)

alias, D3v1l, achei super seu texto, pena só funcionar com leitoras da concorrente... (tsc tsc tsc)...

gostou?: Obrigado...

bom até a data que escrevi esse artigo o modelo comercializado pelo serasa era o argos mini, da todos. Mandei um e-mail para eles e eles responderam que simplesmente não funcionava no Linux.

Só tive a oportunidade de testar nesses dois equipamentos, acredito que rode na argos de alguma forma...

eu acho que esse tipo de prob: eu acho que esse tipo de problema vai sumir pois toda a informacao vai ficar centralizada.

O que você faria?: E ainda são publicados. Seguindo a regulamentação proposta pela MP 2200 no fim do governo do FHC. E não vejo problema nisso, até porque esses números são sempre divulgados em qualquer transação mais séria que participamos. Por definição os documentos (cpf, rg, titulo) são numeros publicos. Vide o cheque do seu banco, que contém RG e CPF.

A falsificação e má indole sempre vão existir, ainda mais em um país onde uma minoria opta por utilizar a criatividade brasileira para estorquir e prejudicar. E é contra isso que a certificação digital se propõe, criar meios mais seguros para transações: Integridade, Não-Repudio, Confidencialidade, Autenticidade.

Se há ônus, certamente não é pela simples posse dos numeros de seus documentos, mas por uma série de fatores associados e principalmente, por sistemas falhos que se apoiam em numeros públicos - vide contratação de serviços para linha na Telefônica.

Algumas pessoas se aproveitam porque até hoje o ônus de fraudes (bancárias, por exemplo) é da empresa e não do portador dos documentos, mas a Certificação Digital no Brasil propõe um ambiente sério no qual você é fisicamente autenticado (Validação Presencial) com os documentos e assina um Termo de Uso e Responsabilidade com peso jurídico.

Nesse ambiente, duvido muito que haja corpo mole, divulgação de senha ou perda por mau uso. Um certificado digital com Raiz Brasileira é a primeira proposta para unificação destes documentos e PRINCIPALMENTE tráz a responsabilidade do uso para o portador.

Se é uma solução perfeita? Provavelmente não, mas ser um punk crítico é facil. Dificil é propor soluções melhores que realmente tragam benefício para o Sistema. Por isso o movimento se perdeu.

[]'s