1Documento Restrito RN ####

Fernando Nery

fnery@modulo.com.br

Sistema de Análise de Riscos

e Gestão do Conhecimento

em Segurança da Informação

1Documento Restrito RN 1160

Interoperabilidade deHardware e Software Interoperabilidade deHardware e Software

Fernando Neryfnery@modulo.com.br

2Documento Restrito RN ####

Uso oficial de certificados digitais

SPB / Banco CentralSusep / Apólices de SeguroCFM / Prontuário EletrônicoImprensa Nacional – DOUIOESP – Diário OficialReceita Federal – e-cpf, e-cnpjSecretaria de Fazenda de PE...

3Documento Restrito RN ####

ICP é parte da Segurança

Início da Internet Comercial Discussão sobre tamanho da chave criptográfica Problemas:

Invasões DDOS Sites falsos Ataque aos equipamentos dos clientes

Confidencialidade, Integridade, Disponibilidade Proteção da chave privada, proteção contra ataques Compliance com Código Civil, Resoluções do Banco

Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799

TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico

Proteção das chaves privadas

4Documento Restrito RN ####

Histório de Interoperabilidade

Confiança em identidades Passaporte, Carteira de Identidade, Crachá empresarial,

Carteira do Clube, Cartão Fidelidade Cartões de crédito e telefonia celular Protocolos

IPX, SNA, NetBUI, IP! Interfaces

Windows, GDK, HTTP! Consolidação do mercado

Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ... Aplicações e insumos

Certificação cruzadas e Clearing houses de certificados digitais

Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)

5Documento Restrito RN ####

Interoperabilidade exige

Definição do nível de segurança

Auditoria e certificação dos atores

Definição de níveis de serviço e requisitos

técnicos mínimos

Normas técnicas (ABNT)

Interoperabilidade técnica e jurídica

Gerenciamento de certificados expirados e

revogados

Acompanhamento das auditorias das ACs

participantes

6Documento Restrito RN ####

Interoperabilidade

Interoperabilidade de AC Raiz Interoperabilidade Funcional

Facilidade de uso Portabilidade Benefício para o usuário vs uso compulsório

Ambiente de Certificados Digitais X509 Cartões inteligentes Chips de Celular Time stamp Token CD, Disquete

Cross-certification Relação de confiança entre ACs - Acordos

Seguros, Responsabilidade Civil Notarização Consular

7Documento Restrito RN ####

Exemplo Razoavelmente Simples de Interoperabilidade

ICE CAR – The European Telematics Applications Programme Internetworking Public Key Certification Infrastructure for

Commerce, Administration and Research “Interoperabilidade é um dos maiores obstáculos para

prover segurança” Interoperabilidade entre emails (x509, pkcs) Aspectos considerados

ACs s/mime, Plug-in de icp em emails LDAP (v2, v3) Cliente s/mime Cliente Outlook Express, Outlook, Netscape Messenger ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de

diretório, ?outros algoritmos de criptografia

8Documento Restrito RN ####

Novas tecnologias

WirelessCelularesPDAWeb servicesVoIPIPv6TV DigitalLinux

9Documento Restrito RN ####

Conclusões

Segmento ainda não tem maturidade técnica Não existe massa crítica de aplicações Os resultados alcançados foram mais lentos que o

esperado Deve haver consolidação no setor Neste momento a discussão “filosófica” é

prejudicial à aplicação, estaremos perdendo dinheiro com isso

Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...)

Deve-se considerar níveis de segurança Deve-se focar no usuário e na aplicação e não na

tecnologia