quarta-feira, 9 de dezembro de 2009

O futuro da Certificação Digital no Brasil

Cenários de futuro da Certificação Digital em nosso país.



Qualquer que seja o cenário de futuro construído para a Certificação Digital, uma coisa é certa, se não reduzirmos drasticamente (para não dizer eliminar) o uso do papel, nossa sociedade terá sérias conseqüências no âmbito da sustentabilidade.

O curto prazo

Atualmente, (2009/2010) a ICP-Brasil depositou seu foco em dois grandes temas, quais sejam:
  • O ajuste do marco regulatório e da infraestrutura de software referente ao Padrão Brasileiro de Assinatura Digital;
  • Implementação e operacionalização da Infraestrura de Carimbo de Tempo ICP-Brasil.

Com relação aos avanços no marco regulatório do Padrão Brasileiro de Assinatura Digital, a ICP-Brasil contratou o LabSEC[1] para a execução da revisão do DOC-ICP-15, que reza sobre as Assinatura Digitais no âmbito da ICP-Brasil. Estes padrões passam a ser obrigatórios a partir de janeiro de 2010 (http://gersonrolim.blogspot.com/2009/01/icp-brasil-publica-seus-padres-de.html).

Os investimentos referentes à infraestrutura de software necessária para a Assinatura Digital baseada nos requisitos do novo padrão é tema de um convênio assinado entre o ITI e o CNB-SP, onde este último se comprometeu a desenvolver, conjuntamente com a camara-e.net, o Assinador Digital de Referência do Padrão Brasileiro de Assinatura (http://www.colegionotarial-rj.org.br/?pagina=noticia&id=99).

A implementação e operação da Infraestrura de Carimbo de Tempo ICP-Brasil consiste na migração da ACT-Raiz de tempo brasileira, hoje hospedada no Observatório Nacional (http://pcdsh01.on.br/ReTempHLB.html), para a Sala Cofre da AC-Raiz da ICP-Brasil. Toda o arcabouço normativo já foi desenvolvido e publicado em novembro de 2008 – DOC-ICP-11, DOC-ICP-12, DOC-ICP-13 e DOC-ICP-14 (http://gersonrolim.blogspot.com/2008/11/comit-gestor-da-icp-brasil-aprova.html), restando agora apenas a licitação para a aquisição da infraestrutura de hardware e software necessários à ACT-Raiz, que ocorre em 2009.

O próximo passo - Identidade X Atributo

Um dos temas que nossa infra-estrutura nacional de certificação digital terá que se deparar num futuro breve, é o tema do Certificado de Atributo. Para o leitor que ainda busca se familiarizar com a certificação digital em si, talvez seja inquietante saber que poder-se-á encontrar uma espécie de “variante” dentro da plataforma ICP-Brasil.

Uma das cláusulas pétreas para a ICP-Brasil, no que tange à discussão sobre os Atributos se baseia na premissa de que, quando forem configurados, e, assim, passarem a existir, num Certificado Digital ICP-Brasil, devem ser transparentes e efetivos para a aplicação, para o mundo do software. Senão teremos uma regra no papel, apenas e tão-somente uma regra.

Neste cenário, o ETSI (European Telecommunications Standards Institute) tem feito um importante esforço para criar as normas para o Certificado de Atributo. O que é certamente uma condição importante para o aparecimento de produtos (softwares) estáveis. Ali encontramos a definição de atributo como a informação ligada a um usuário que especifica uma característica deste mesmo usuário, tal como membro de um grupo ou um papel (role), ou outra informação associada com este usuário. Assim sendo, teríamos certificados com uso restritivo frente ao certificado de uso geral. Um estagiário, por exemplo, teria um certificado digital geral identificando-o com tal ou qual nome e outros dados essenciais, e outro certificado de atributo ligado a este com tal atributo “ser estagiário” configurado. Poder-se-ia considerar ainda outros atributos como de assinatura digital ou o de apenas identificação numa rede. Pode ser um recurso útil para ICP-Brasil tal diferenciação. O brasileiro teria no seu smart card um certificado digital e poderia acumular outros atributos no mesmo cartão ou no seu token criptográfico.

O que será desafiador para o sistema ICP-Brasil é como está especificada hoje a infra-estrutura para a emissão de certificados de atributo. Na verdade, monta-se uma ICP paralela com ACs de Atributo, ou emissoras de Certificados Digitais de Atributo, que a ETSI chama de ACA (Attribute Certification Authority). Algumas disciplinas típicas do mundo PKI são simplesmente replicadas, outras figuras são novas para atender a esta ICP de Atributos. Mas o balanço de todo framework escapa aos limites deste artigo.

De qualquer forma, os padrões devem encontrar o devido respaldo em produtos comerciais e em projetos de implementação concreta para que as ACs possam estar aptas a um tipo novo de certificado, viabilizando o compartilhamento de Atributos, seja por meio de Certificados de Atributos ou em Diretórios específicos. Será sempre assim em tecnologia... (como diria Renato Martini, do ITI).

Um pouco mais a frente...

Podemos dizer que o Futuro da Certificação Digital “já começou”... E isto, graças à evolução de seu uso nas principais esferas da Economia Digital, ou seja, o Governo Eletrônico e o Comércio Eletrônico.

Governo Eletrônico + Comércio Eletrônico = ECONOMIA DIGITAL

 

Economia Digital + Certificação Digital = CIDADANIA DIGITAL

Assim, projetos como RIC, Registro Único do Cidadão, o Titulo de Eleitor Eletrônico, a CNH Eletrônica, a Carteira de Trabalho Eletrônica, o Passaporte Eletrônico, etc., nos remetem para um período cujo foco estará centrado, principalmente, na IDENTIDADE ELETRÔNICA - eID, viabilizando a prática do conceito da CIDADANIA DIGITAL, que desmaterializa todos os documentos e o Ciclo de Vida da Cidadania de aproximadamente 140 milhões de cidadãos brasileiros, construindo as suas Identidades Eletrônicas, como mostra o gráfico a seguir:

Ciclo de Vida da Cidadania Digital

Ciclo de Vida - Cidadania Digital

E o que mais está por vir?

Ao analisar as macro e micro-tendências relacionadas à Economia Digital como um todo, certamente devemos estar atentos à prestação de Serviços, micro-Serviços, em Nuvem (Cloud Computing).

Macro e Micro TendênciasNovos Webservices

Além dos relevantes aspectos da “Green IT”, da Desmaterialização e da Identidade Digital, que certamente representarão um papel de destaque na sociedade do futuro, independentemente do país analisado, a transformação dos serviços prestados via Internet em commodities como são hoje a água e a luz colaborarão de forma ímpar para a massificação acesso a estes serviços.

Certificação Digital na Nuvem

Certificacao Digital na Nuvem

A Economia Digital como um todo, comércio eletrônico e governo eletrônico se beneficiarão da Certificação Digital em Nuvem. Isto possibilitará a oferta de micro-serviços e micro-produtos (em sua maioria via celular), devido ao advento da Identidade Digital ubíqua.

No caso específico do comércio eletrônico, os micro-serviços também dependerão da viabilização dos micro-pagamentos via Internet, que se tornarão possíveis, principalmente, pela possibilidade de identificação inequívoca de e-consumidores. Vale lembrar, que a cobrança manual de micro-pagamentos não efetuados automaticamente torna-se mais onerosa do que o valor do serviço prestado.

O Título Net é um excelente exemplo de micro-serviço governamental baseado em formulários web.

Outro excelente exemplo de micro-serviços públicos é a CSEC (Central de Serviços Eletrônicos Compartilhados) dos cartórios, que trata da emissão de Certificados Digitais e Carimbos de Tempo, assim como a custódia online de documentos eletrônicos digitalmente assinados, por exemplo.

Serviços Eletrônicos Compartilhados dos Cartórios - CSEC

CSEC

Por fim, todo este cenário digital não estará restrito aos países, necessitando-se a negociação de acordos de reconhecimento mútuo de certificados digitais entre os Estados para que suas ICPs se compatibilizem. Neste caso, o Brasil está adiantado, em relação ao restante do planeta, pois já tem acordos deste tipo com seus vizinhos do Mercosul (http://mercosuldigital.blogspot.com/2009/08/firma-electronica-avanzada-en-el-ambito.html) e com Portugal (http://gersonrolim.blogspot.com/2009/06/reconhecimento-mutuo-de-certificados.html).


[1] O LabSEC foi fundado em abril 2000 e faz parte do INE - Departamento de Informática e de Estatística da UFSC - Universidade Federal de Santa Catarina. O laboratório tem por objetivo estudar, pesquisar, avaliar e implementar soluções na área de segurança em computação, e em particular: criptografia; assinatura digital; segurança em sistemas computacionais; infra-estrutura de chaves públicas; e protocolos criptográficos.

3 comentários:

Regina disse...

Gerson,
Excelente matéria!
Carimbo de tempo e certificados de atributos são temas da maior relevãncia do cenário da certificação digital nos próximos dois anos.

Jose Coura disse...

Uma matéria introdutória excelente. Gerson, legal agora tratar cada processo, suas facilidades e dificuldades para sua implementação, como a questão dos equipamentos não virem ainda como leitores apropriados para uso da Certificação Digital.

Joao Paulo disse...

Oi, bem legal o seu blog, muitas informações de qualidade e um ótimo ambiente para se informar e descontrair. Voltarei sempre e também indicarei.
http://www.economiahoje.com.br/
Abraço!