Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo...

172
GLAIDSON MENEGAZZO VERZELETTI IDENTIDADE M ´ OVEL PARA O GOVERNO BRASILEIRO UMA SOLUC ¸ ˜ AO CENTRADA NO USU ´ ARIO PARA E-GOV Itaja´ ı (SC), Junho de 2017

Transcript of Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo...

Page 1: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

GLAIDSON MENEGAZZO VERZELETTI

IDENTIDADE MOVEL PARA O GOVERNO BRASILEIRO

UMA SOLUCAO CENTRADA NO USUARIO PARA E-GOV

Itajaı (SC), Junho de 2017

Page 2: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

UNIVERSIDADE DO VALE DO ITAJAI

PRO-REITORIA DE POS-GRADUACAO,PESQUISA, EXTENSAO E CULTURA

PROGRAMA DE MESTRADO ACADEMICO EMCOMPUTACAO APLICADA

IDENTIDADE MOVEL PARA O GOVERNO BRASILEIRO

UMA SOLUCAO CENTRADA NO USUARIO PARA E-GOV

por

Glaidson Menegazzo Verzeletti

Dissertacao apresentada como requisito parcial aobtencao do grau de Mestre em Computacao Apli-cada.Orientadora: Michelle Silva Wangham, Dra

Itajaı (SC), Junho de 2017

Page 3: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 4: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

“Solidários, seremos união.

Separados uns dos outros seremos pontos de vista.

Juntos, alcançaremos a realização de nossos propósitos.”

Dr. Bezerra de Menezes

Page 5: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

AGRADECIMENTOS

Enquanto fazia a última leitura para a entrega desse trabalho, parei por alguns minutos pararefletir. Sempre tive a certeza que nunca realizamos de fato algo sozinhos, mas percebi que, geralmenteé necessário um conjunto grande de pessoas para que algo realmente aconteça. Ao lembrar dasprimeiras palavras que comecei a escrever na vida, me recordo no mesmo instante do rosto das minhasprimeiras professoras. E aí percebi, que muito antes desse momento, Alguém, “lá em cima” permitiuque eu estivesse aqui hoje. Sinceramente não sei como começar a agradecer, mas com certeza sei aquem agradecer primeiro: aos Amigos e Mentores do plano Maior e ao Pai Eterno. Pela vida, pelonovo nascimento, por mais uma experiência, pela inspiração, oportunidade de crescimento intelectuale moral, ..., Muito Obrigado!

Muitas pessoas andaram junto de mim nesta caminhada de crescimento ao longo dos anos, ealgumas destas pessoas felizmente ainda continuam. Aos meus pais, que me acompanham desde osprimeiros passos nessa vida (e possivelmente muito antes disso), e hoje, à minha esposa e aos meusdois filhinhos, que caminham junto de mim, me dando forças, me ajudando a cada dia ser uma pessoamelhor, só posso dizer que meu amor por vocês transcende a existência atual.

Aos meus mentores e amigos Michelle e Emerson, sem vocês esse trabalho jamais teriainiciado. Todo crescimento é difícil e dolorido, todo aprendizado requer esforço e dedicação, mastodos precisamos de pessoas para nos mostrar o norte e nos incentivar para que não venhamos a desistir.Muito obrigado por me guiarem nessa trajetória de desafios, oportunidades e crescimento.

Finalmente, agradeço a todos os amigos que me ajudaram nesta jornada. Não vou listarseus nomes aqui pois sabem quem são. Ainda lembro das primeiras dicas sobre como se portar emapresentações, as primeiras notas em guardanapo sobre criptografia (se duvidar ainda as tenho), asconversas sobre o projeto de dissertação, os momentos de almoço na universidade, os estudos nabiblioteca, o auxílio com latex e especialmente a ajuda com os códigos e com as codificações. E comonão poderia deixar de esquecer, as conversas nos momentos mais difíceis. Todos vocês contribuíramde alguma forma para a evolução desse trabalho. Não tenho palavras para agradecê-los.

Page 6: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

IDENTIDADE MOVEL PARA O GOVERNO BRASILEIRO

UMA SOLUCAO CENTRADA NO USUARIO PARA E-GOV

Glaidson Menegazzo Verzeletti

Junho / 2017

Orientadora: Michelle Silva Wangham, Dra

Área de Concentração: Computação Aplicada

Linha de Pesquisa: Sistemas Embarcados e Distribuídos

Palavras-chave: Identidade Móvel, Identidade Eletrônica, Governo Eletrônico.

Número de páginas: 171

RESUMO

Os programas de governo eletrônico (e-Gov) têm como principal característica promover atransparência das ações governamentais e melhorar a interação com os cidadãos. Uma das estratégiasutilizadas pelos governos para o desenvolvimento dos programas de e-Gov é a adoção de um sistemade Gestão de Identidade Eletrônica (GId). Um sistema de GId permite criar contextos de autenticaçãopara as identidades eletrônicas (eID), oferecendo um sistema mais robusto em termos de segurança.O Brasil ainda não definiu uma Estratégia Nacional de Gestão da Identidade. Consequentemente,algumas iniciativas foram desenvolvidas nos últimos anos por alguns Estados brasileiros. Muitospaíses evoluídos em e-Gov, com sistemas de GId estabelecidos, tem implementado uma solução deidentidade eletrônica móvel (eID Móvel) para acesso aos provedores de serviço (SP) governamentais.Dentre os principais benefícios desta implementação destacam-se a usabilidade e maior interaçãoentre os cidadãos e o governo. Entretanto, observa-se que a adoção da eID Móvel em grande partedos países pesquisados é feita através de parcerias entre o governo e as operadoras de telefonia móvel.Esta abordagem, embora simples de ser implantada, cria uma dependência financeira e tecnológicacom as empresas de telefonia. Dentro desse contexto, esta dissertação tem por objetivo possibilitaro uso de eID Móvel em um sistema de GId Nacional alinhado ao Programa de Governo EletrônicoBrasileiro, por meio de uma solução que prime pela segurança, privacidade e usabilidade. O trabalhoenvolveu: (1) a revisão bibliográfica; (2) a análise dos trabalhos relacionados; (3) a descrição de umsistema de eID Móvel Nacional; (4) o desenvolvimento de um protótipo em software como prova deconceito; e, (5) a avaliação do protótipo de eID Móvel e a comparação da solução com os trabalhosrelacionados. Os resultados obtidos mostram que é possível garantir a segurança e a usabilidade da eIDMóvel, por meio dos padrões FIDO UAF, TEE e SAML. Comprovou-se também pelos experimentos,que é possível garantir privacidade do cidadão, por meio do sistema de Gestão de eID Móvel proposto.Contudo, observou-se nos experimentos que a usabilidade pode ser afetada quando mensagens dealerta não são compreendidas pelo usuário.

Page 7: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

MOBILE IDENTITY FOR BRAZILIAN GOVERNMENT

A USER-CENTRIC SOLUTION FOR E-GOVERNMENT

Glaidson Menegazzo Verzeletti

June / 2017

Advisor: Michelle Silva Wangham, Dra

Area of Concentration: Applied Computer Science

Research Line: Embedded and Distributed Systems

Keywords: Mobile Identity, Eletronic Identity, Eletronic Government.

Number of pages: 171

ABSTRACT

The purpose of electronic government (e-Gov) programs is to promote government trans-parency and improve interactions with its citizens. One of the strategies used by governments forthe development of e-Gov programs is the adoption of an Electronic Identity Management (IdM)system. An IdM system enables the creation of authentication contexts for electronic identities (eID),offering a more robust system with regards to security. Brazil has not yet defined a National Strategyfor Identity Management. Consequently, some initiatives have been developed in the last few years bysome Brazilian States. Many countries that are more developed in e-Gov, with established IdM systems,have implemented a solution of mobile eID to access government service providers (SP). Amongthe main benefits of this solution are its user-friendliness, and the promotion of greater interactionbetween citizens and governments. However, it can be observed that the adoption of the mobile eID, inmost of the researched countries is done through partnerships between the government and mobiletelephone network carriers. This approach, although straightforward to implement, creates financialand technological dependence on the mobile network carriers. This work aims to enable the use ofMobile eID in a National eIDM system aligned with the Brazilian e-Gov Program, through a solutionthat prioritizes security, privacy and usability. The work includes: (1) a literature review; (2) analysisof related works; (3) description of a National Mobile eID system; (4) development of a prototype insoftware as a proof of concept; and (5) evaluation of the mobile eID prototype and a comparison of theproposed solution with related works. The results show that it is possible to guarantee the security andthe usability of the Mobile eID prototype through the use of FIDO UAF, TEE and SAML standards.The experiments also showed that it is possible to guarantee citizens’ privacy when using the proposedMobile eID management system. However, it was observed that usability can be affected when thewarning messages are not clearly understood by the user.

Page 8: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

LISTA DE ILUSTRACOES

Figura 1. Classificação dos modelos de gerenciamento de identidade ................................ 34Figura 2. Proposta de Estratégia Nacional de GId para o Brasil........................................ 41Figura 3. Arquitetura do TEE................................................................................... 47Figura 4. Arquitetura FIDO UAF .............................................................................. 51Figura 5. Dispositivo FIDO U2F utilizado para autenticação no SP .................................. 54Figura 6. Visão Geral do Sistema de Gestão de eID Móvel Nacional................................. 74Figura 7. Fase de cadastro da eID Móvel .................................................................... 75Figura 8. Fase de registro da eID Móvel nos SP de e-Gov............................................... 76Figura 9. Acessando SPs governamentais com a eID Móvel............................................ 77Figura 10. Revogação da eID Móvel ........................................................................... 78Figura 11. Cenário de uso - admissão como servidor público ............................................ 81Figura 12. Cenário de uso - votação online ................................................................... 83Figura 13. Apresentação do mID-BR e sua integração com a API FIDO UAF ...................... 86Figura 14. Lista de atributos personalizada por SP.......................................................... 87Figura 15. Árvore LDAP utilizada pelo IdP .................................................................. 88Figura 16. Interface REST PHP utilizada no processo de autenticação ................................ 89Figura 17. Arquivo metadata.xml gerado pelo SP ........................................................... 90Figura 18. Interação entre os atores mID-BR, IdP e SP. ................................................... 91Figura 19. Telas do protótipo mID-BR (Cadastro da eID Móvel) ....................................... 94Figura 20. Telas do aplicativo mID-BR apresentadas quando um SP é acessado .................... 96Figura 21. Página inicial do módulo de autenticação authFidoUAF (IdP) ............................ 96Figura 22. Mensagens informativas apresentadas pelo módulo de autenticação authFidoUAF .. 97Figura 23. Telas geradas pelo módulo de consentimento do IdP......................................... 98Figura 24. Telas do aplicativo mID-BR apresentadas quando um SP é acessado .................... 100Figura 25. Telas do aplicativo mID-BR quando o usuário solicita apagar o cadastro............... 101Figura 26. Erro ao acessar um SP quando o usuário não possui uma eID Móvel .................... 101Figura 27. Captura das mensagens trafegadas na rede entre cliente e servidor ....................... 102Figura 28. Gráfico de desempenho do mID-BR.............................................................. 104Figura 29. Avaliação dos resultados - experimentação 02a ............................................... 107Figura 30. Avaliação dos resultados - experimentação 02b ............................................... 107Figura 31. Avaliação dos resultados - experimentação 08 ................................................. 111Figura 32. Diagrama de sequência do cadastro da eID Móvel (C) ...................................... 141Figura 33. Diagrama de sequência da fase autenticação (A).............................................. 143Figura 34. Diagrama de classes do mID-BR.................................................................. 146Figura 35. XSD para o contexto de autenticação do IdP................................................... 147Figura 36. Escolha do módulo de autenticação padrão no IdP ........................................... 148Figura 37. Configuração das variáveis globais para o módulo authFidoUAF......................... 149Figura 38. Arquivo de metadados do SP....................................................................... 149Figura 39. Página inicial do módulo authFidoUAF que recebe o token do cliente ativo ........... 149Figura 40. Arquivo principal do módulo authFidoUAF.................................................... 150Figura 41. Função do módulo authFidoUAF que testa token recebido ................................. 150Figura 42. Pesquisa de satisfação - gráfico da pergunta 03................................................ 161

Page 9: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

Figura 43. Pesquisa de satisfação - gráfico da pergunta 04................................................ 161Figura 44. Pesquisa de satisfação - gráfico da pergunta 07................................................ 162Figura 45. Pesquisa de satisfação - gráfico da pergunta 09................................................ 162Figura 46. Pesquisa de satisfação - gráfico da pergunta 10................................................ 163Figura 47. Pesquisa de satisfação - gráfico da pergunta 13................................................ 163Figura 48. Pesquisa de satisfação - gráfico da pergunta 14................................................ 164Figura 49. Pesquisa de satisfação - gráfico da pergunta 18................................................ 165Figura 50. Pesquisa de satisfação - gráfico da pergunta 20................................................ 166Figura 51. Pesquisa de satisfação - gráfico da pergunta 21................................................ 166Figura 52. Pesquisa de satisfação - gráfico da pergunta 2 ................................................. 166Figura 53. Pesquisa de satisfação - gráfico da pergunta 23................................................ 167

Page 10: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

LISTA DE TABELAS

Tabela 1. Especificações técnicas de interconexão ........................................................ 124Tabela 2. Especificações técnicas de segurança ............................................................ 124Tabela 3. Especificações técnicas de meios de acesso .................................................... 125Tabela 4. Especificações técnicas de organização e intercâmbio de informações .................. 125Tabela 5. Especificações técnicas das áreas de integração para e-Gov................................ 125Tabela 6. Extração e Análise dos Dados - RSL 01......................................................... 137

Page 11: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

LISTA DE QUADROS

Quadro 1. Comparação dos trabalhos relacionados ....................................................... 66Quadro 2. Caso de Teste 01 - Cadastro da eID Móvel .................................................... 94Quadro 3. Caso de Teste 02 - Geração e utilização do token de acesso............................... 95Quadro 4. Caso de Teste 03 - Consentimento do usuário ................................................ 98Quadro 5. Caso de Teste 04 - Acesso ao provedor de serviço .......................................... 99Quadro 6. Caso de Teste 05 - Apagar cadastro da eID Móvel .......................................... 100Quadro 7. Caso de Teste 06 - Comunicação através de canal criptografado seguro ............... 102Quadro 8. Caso de Teste 07 - Desempenho do mID-BR ................................................. 103

Page 12: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

LISTA DE ABREVIATURAS

AES Advanced Encryption Standard

APIs Application Programming Interfaces

BLE Bluetooth Low Energy

CA Certificate Authority

CNH Carteira Nacional de Habilitação

CPF Cadastro de Pessoa Física

CPU Central Processing Unit

DIN Documento de Identificação Nacional

e-CPF Cadastro de Pessoal Física Eletrônico

e-CNPJ Cadastro Nacional de Pessoa Jurídica Eletrônico

e-Gov Electronic Government

e-PING Padrões de Interoperabilidade em Governo Eletrônico

eID Electronic Identity

eIDMS electronic Identity Management System

EGDI e-Government Development Index

ePWG Padrões Web para Governo Eletrônico

FIDO Fast IDentity Online

G2C Governo para Cidadão

G2E Government to Employees

G2G Governo para Governo

GId Gestão de Identidade

GTTI Grupo de Trabalho Interministerial

HCI Human Capital Index

IAA Identity, Authentication, Authorization

ICN Identidade Civil Nacional

ICP Infraestrutura de Chave Pública

Page 13: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

IdP Identity Provider

IMSI International Mobile Subscriber Identity

IP Internet Protocol

JSON JavaScript Object Notation

MITM Man-in-The-Middle

OSI Online Service Index

PKI Public Key Infrastructure

PIC Personal Identification Code

PIN Personal Identification Number

RA Registration Authority

RCN Registro Civil Nacional

REE Rich Execution Environment

RIC Registro de Identidade Civil

RG Registro Geral

SAML Security Assertion Markup Language

SAT SIM Application Toolkit

SE Secure Element

SGId Sistema de Gestão de Identidade

SIM Subscriber Identification Module

SMC Secure Memory Card

SO Sistema Operacional

SP Service Provider

SSO Single Sign-On

STORK Secure idenTity acrOss boRders linKed

TIC Tecnologia da Informação e Comunicação

TII Telecommunication Infrastructure Index

TSE Tribunal Superior Eleitoral

U2F Universal Second Factor

Page 14: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

UAF Universal Authentication Framework

UICC Universal Integrated Circuit Card

VMM Virtual Machine Monitor

XML EXtensible Markup Language

Page 15: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

SUMARIO

1 INTRODUÇÃO ................................................................................161.1 PROBLEMA DE PESQUISA .............................................................. 191.1.1 Solução Proposta ....................................................................................... 221.1.2 Delimitação de Escopo................................................................................ 231.2 OBJETIVOS ........................................................................................ 241.2.1 Objetivo Geral .......................................................................................... 241.2.2 Objetivos Específicos .................................................................................. 241.3 METODOLOGIA ................................................................................ 241.3.1 Metodologia da Pesquisa ............................................................................ 241.3.2 Procedimentos Metodológicos ..................................................................... 251.4 ESTRUTURA DA DISSERTAÇÃO ..................................................... 26

2 FUNDAMENTAÇÃO TEÓRICA ................................................282.1 GOVERNO ELETRÔNICO ................................................................ 282.1.1 Governo Eletrônico no Brasil ...................................................................... 302.1.2 Arquitetura e-PING ................................................................................... 322.2 IDENTIDADE ELETRÔNICA (EID) ................................................. 332.2.1 Sistemas de Gestão de Identidade (SGId) ...................................................... 342.2.2 Estratégia Nacional de GId ......................................................................... 392.2.3 Identidade Eletrônica Móvel (eID Móvel)...................................................... 422.2.4 Classificação das Soluções de eID Móvel ....................................................... 482.3 ALIANÇA FIDO .................................................................................. 492.3.1 Universal Authentication Framework (FIDO UAF) .......................................... 502.3.2 Universal Second Factor (FIDO U2F) ............................................................ 532.4 CONSIDERAÇÕES DO CAPíTULO .................................................. 55

3 TRABALHOS RELACIONADOS ..............................................563.1 MARTENS (2010) ................................................................................ 563.2 EN-NASRY E KETTANI (2011) ...........................................................573.3 BICAKCI ET AL. (2014) ..................................................................... 583.4 WU ET AL. (2014) ............................................................................... 583.4.1 Horsch, Braun e Wiesmaier (2011) ............................................................... 593.5 KRIMPE (2014) ................................................................................... 603.6 PRUSA (2015) .......................................................................................613.7 ZEFFERER (2015) ............................................................................... 623.7.1 CNP (2015) ............................................................................................... 633.8 KERTTULA (2015) .............................................................................. 633.9 ANÁLISE DOS TRABALHOS RELACIONADOS ............................ 643.10 CONSIDERAÇÕES ............................................................................. 68

Page 16: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

4 SISTEMA DE GESTÃO DE EID MÓVEL NACIONAL .......704.1 VISÃO GERAL E PREMISSAS ......................................................... 704.2 DETALHAMENTO DA SOLUÇÃO PROPOSTA .............................. 754.2.1 Cenários de Uso ........................................................................................ 794.3 PROTÓTIPO DESENVOLVIDO ........................................................ 834.3.1 Ferramentas e Tecnologias Selecionadas ....................................................... 844.3.2 Aplicativo mID-BR .................................................................................... 854.3.3 Servidor IdP ............................................................................................. 864.3.4 Servidor SP .............................................................................................. 894.3.5 Integração entre os Atores .......................................................................... 904.4 CONSIDERAÇÕES ............................................................................. 92

5 RESULTADOS .................................................................................935.1 RESULTADO DOS TESTES FUNCIONAIS ...................................... 935.1.1 Teste Funcional de Cadastro da eID Móvel .................................................... 945.1.2 Teste Funcional de Geração e Uso do Token de Acesso..................................... 955.1.3 Teste Funcional de Consentimento do Usuário ............................................... 985.1.4 Teste Funcional de Acesso ao Provedor de Serviços ........................................ 995.1.5 Teste Funcional de Revogação da eID Móvel................................................ 1005.1.6 Teste Não-Funcional de Segurança ............................................................. 1025.1.7 Teste Não-Funcional de Desempenho .......................................................... 1035.1.8 Análise dos Casos de Teste ........................................................................ 1045.2 AVALIAÇÃO DA PESQUISA DE SATISFAÇÃO ..............................1055.2.1 Avaliação dos Resultados .......................................................................... 1065.3 COMPARAÇÃO COM OS TRABALHOS RELACIONADOS ........113

6 CONCLUSÃO ................................................................................1156.1 CONTRIBUIÇÃO DA DISSERTAÇÃO .............................................1176.2 SUGESTÃO PARA TRABALHOS FUTUROS ..................................117

Referências ............................................................................................118APÊNDICE A – ESPECIFICAÇÕES TÉCNICAS E-PING .....124APÊNDICE B – RSL ..........................................................................126APÊNDICE C – MODELAGEM DO PROTÓTIPO ...................139APÊNDICE D – CONTEXTO DE AUTENTICAÇÃO (IDP) ... 147APÊNDICE E – PESQUISA DE SATISFAÇÃO .......................... 151APÊNDICE F – RESPOSTAS DA PESQUISA ............................ 161

Page 17: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

16

1 INTRODUÇÃO

O setor público deve entregar com eficiência serviços de saúde, educação, entre outros, que

atendam às necessidades do cidadão, bem como oferecer oportunidades para crescimento econômico,

além de facilitar a participação do cidadão na criação de políticas públicas. Dentro desse contexto,

o uso de políticas de governo eletrônico (Electronic Government – e-Gov) traz como benefício

a transformação da administração pública em um instrumento que se utiliza das tecnologias de

informação e comunicação (TIC) para oferecer serviços aos cidadãos. Dessa forma, e-Gov pode ser

definido como uso e aplicação de TIC na administração pública para agilizar os fluxos de trabalho e

processos, gerenciando eficazmente dados e informações, consequentemente, melhorando a entrega de

serviços aos cidadãos do país (ONU, 2014).

Segundo ONU (2014), o uso das TICs pelos governos provaram ser plataformas eficientes para

troca de conhecimento e desenvolvimento sustentável, além de auxiliarem os governos a responder às

solicitações de transparência e responsabilidade pública. Portanto, implantar políticas de e-Gov com

auxílio dessas tecnologias pode gerar benefícios importantes na forma de novos empregos, mais saúde,

melhores condições de educação, estimulando o crescimento econômico e provendo a inclusão social

(ONU, 2014).

O Departamento de Assuntos Econômicos e Sociais da ONU publica a cada dois anos um

relatório sobre governo eletrônico, a partir de uma pesquisa realizada com seus Estados membros. Esse

relatório é utilizado para guiar as políticas e estratégias de e-Gov, uma vez que apresenta os desafios,

pontos fortes e tendências dos Estados pesquisados. Dentre as características pesquisadas, encontra-se

o provimento da gestão de identidade eletrônica como um importante meio de monitorar, regular e

padronizar o acesso aos serviços on-line. O relatório publicado em 2014 indica que, dos 193 países

membros, 69 deles possuem alguma estratégia de gestão de identidade, o que representa um aumento

de 9% em relação ao relatório publicado em 2012 por aquela instituição (ONU, 2014).

Na maioria dos países, a concretização do governo eletrônico é favorecida com o desenvol-

vimento de estratégias nacionais de gestão de identidade eletrônica (GId). Estas estratégias visam

beneficiar tanto cidadãos e governos, quanto as próprias empresas privadas. Dessa forma, elas são

consideradas a chave da inovação nos setores público e privado, uma vez que, favorecendo o uso de

uma autenticação eletrônica mais forte, habilitam o uso de serviços que requerem um alto nível de

segurança. O aumento da confiança e segurança sobre as identidades eletrônicas (Electronic Identity

Page 18: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

17

– eID) se destaca como o principal benefício entre os interessados nas transações ou comunicações

on-line (OECD, 2011b).

Para compor a identidade de uma pessoa, é necessário reunir uma quantidade grande de

informações pessoais, a fim de caracterizar corretamente um indivíduo. Dependendo da situação e do

contexto, a identidade pode ser composta por um conjunto pequeno destas informações pessoais. A

identidade eletrônica é criada quando um conjunto destas informações é utilizado para caracterizar um

indivíduo no meio digital (CLAUSS; KÖHNTOPP, 2001). Portanto, a eID pode ser definida como um

conjunto de dados pessoais, utilizados para representar uma entidade ou pessoa, dentro do contexto

eletrônico (WANGHAM et al., 2010). De acordo com a norma ITU (2009), a eID é constituída de três

elementos: identificador, credenciais e atributos.

Segundo ITU (2009), a gestão de identidade é entendida como o conjunto de tecnologias e

processos utilizados para aumentar a confiabilidade das informações referentes à uma identidade. Este

conjunto de tecnologias e processos é conhecido como sistema de gestão de identidade (SGId), o qual

provê mecanismos de autenticação, autorização, contabilização e auditoria para as eIDs.

A medida que as infraestruturas de redes convergem para oferecer serviços on-line disponíveis

a qualquer momento e de qualquer lugar, aumenta-se também a complexidade dos SGId, o que

pode acarretar em uma maior vulnerabilidade. Portanto, garantir a segurança sem comprometer os

requisitos de usabilidade, constitui-se de um grande desafio no projeto destes sistemas (DHAMIJA;

DUSSEAULT, 2008).

Conforme apresentado por Bhargav-Spantzel et al. (2007), um SGId é composto de três

principais elementos: usuário, provedor de identidade (Identity Provider – IdP) e provedor de serviço

(Service Provider – SP). O usuário é representado por uma entidade que faz uso de algum recurso; o IdP

é responsável por gerenciar as identidades de uma entidade e intermediar o processo de autenticação;

e o SP é o sistema acessado pela entidade, oferecendo normalmente acesso à algum recurso restrito,

ou seja, que depende de autenticação para ser acessado. Conforme classificado por Jøsang e Pope

(2005), a maneira com que esses elementos interagem entre si, formam os seguinte modelos de GId:

tradicional, centralizado, federado e centrado no usuário.

Uma vez definido o modelo de GId por um governo, naturalmente multiplicam-se os serviços de

e-Gov oferecidos aos cidadãos. Com isso cresce a necessidade dos governos em oferecer mecanismos

de autenticação robustos, de forma a aumentar a confiança dos usuários e provedor de serviço,

potencialmente, estimulando novos investimentos e promovendo a inovação no país (OECD, 2011a).

Page 19: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

18

Oferecer serviços a todos os cidadãos, de qualquer lugar do país, a qualquer momento e a partir de

qualquer dispositivo (celular, computador, etc), contribui também no combate à corrupção e na redução

da burocracia (ONU, 2014). Para atingir estes objetivos, uma das estratégias de GId adotadas por

alguns países é limitar a quantidade de credenciais (eIDs) que os cidadãos utilizam para acessar os

SPs, de forma a reduzir a complexidade dos sistemas de TIC (OECD, 2011a).

Ao implantar as estratégias nacionais de GId, os países geralmente seguem uma estratégia

semelhante aos procedimentos off-line já em uso, apenas migrando estes procedimentos para o meio

digital. Por exemplo, segundo apresentado na pesquisa realizada pela OECD (2011b), países que

faziam uso de um documento de identidade em papel para seus cidadãos, passaram a emitir um cartão

eletrônico (cartão de eID – ID Card) com funcionalidades de identidade eletrônica. Portanto, além de

seguir o padrão já estabelecido de identificação física, estes países passaram a permitir que o cidadão

também fizesse acesso aos serviços de e-Gov através do uso do cartão de eID.

Os cartões eID, diferentemente das identidades em papel, são cartões inteligentes (smart

cards) dotados de um chip ou microchip, permitindo que os dados pessoais do portador permaneçam

armazenados com segurança (NAUMANN; HOGBEN, 2008). Esta segurança é possível em virtude do

uso de elementos criptográficos presentes no próprio cartão, o que possibilita também que este execute

aplicações de forma segura (BOUDRIGA, 2009).

No Brasil, o projeto de Registro de Identidade Civil (RIC), instituído pela lei 9.454 de 1997 e

regulamentado pelo Decreto 7.166/10, foi criado com o objetivo de ser um documento de identificação

único, substituindo a tradicional carteira de identidade, CPF (Cadastro de Pessoa Física), título

de eleitor, carteira nacional de habilitação (CNH), entre outros (MJ, 2014). Projeto de documento

semelhante foi lançado recentemente pelo Tribunal Superior Eleitoral, conhecido por Documento de

Identidade Nacional (DIN), com proposta de ser também um cartão para fins de identificação eletrônica.

Se por um lado o projeto RIC apresenta indícios de descontinuidade (MJ, 2017), por outro o DIN

ainda precisa seguir os trâmites legais para se tornar uma realidade (GOV.BR, 2017).

Portanto, o governo brasileiro ainda procura formas para definir sua estratégia nacional de

gestão de identidade. Existe apenas uma definição de padrões de interoperabilidade de sistemas,

conhecida como arquitetura e-PING, na qual se destaca a recomendação do SAML (Security Assertion

Markup Language), como protocolo padrão para troca de informações de autenticação e autorização

(BRASIL, 2016).

Enquanto o governo brasileiro busca formas de implantar suas políticas de e-Gov e maneiras de

Page 20: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

19

definir sua estratégia nacional de GId, muitos países estão passando a adotar soluções de eID baseadas

em dispositivos móveis (eID Móvel1). Conforme observado por Ruiz-Martínez et al. (2007), esta

motivação se deve ao crescente uso dos serviços de comunicação móvel e principalmente pela baixa

aceitação das eIDs baseadas em cartão.

De acordo com Krimpe (2014), a eID Móvel provê o uso da identidade eletrônica de forma

simples, ao mesmo tempo que oferece um ambiente tão seguro quanto os tradicionais cartões de banco

no acesso ao provedor de serviço. Constitui-se portanto de uma importante ferramenta para conectar

cidadãos e governos, permitindo integrar diferentes serviços de forma coerente, uma vez que provê o

acesso aos serviços em tempo integral, de forma transparente e eficiente para o usuário.

Como as soluções de eID Móvel oferecem a possibilidade de autenticação usando a eID a partir

do próprio telefone móvel do usuário, o uso do cartão de eID pode ser substituído nos processos de

autenticação ou funcionar como complemento às estratégias nacionais de GId. Neste último cenário,

as soluções de eID Móvel atuam como tecnologias de inclusão, permitindo que mais pessoas se

beneficiem do uso de uma eID para interagir com o governo. Resumidamente, as soluções de eID

Móvel tem como potencial aumentar significativamente o fator usabilidade e inclusão digital, sem

perder o nível de segurança oferecido pelas soluções baseadas em cartão de eID (RATH et al., 2014).

Diante do contexto apresentado, este trabalho procura fazer uma contribuição para a área

de identidade eletrônica móvel, dentro do contexto de governo eletrônico. Para tanto, foi descrito

um sistema de Gestão de eID Móvel para o governo brasileiro e que esteja alinhado à arquitetura

de e-PING. Também foi construído um protótipo em software, utilizando tecnologias emergentes e

padrões abertos, como prova de conceito.

1.1 PROBLEMA DE PESQUISA

Nos programas de e-Gov, a gestão de identidade eficiente pode levar à prestação de serviços

on-line eficientes (BALDONI, 2012). Como consequência, nos últimos anos, vários governos têm

aprovado diretrizes para melhorar os meios de identificação do cidadão e a forma com que ele se

registra nos SP públicos. Segundo Baldoni (2012), a representação da identidade digital e o formato

para a troca de informações entre recursos torna-se um problema crítico, especialmente porque em um

cenário de colaboração, cada organização possui sua arquitetura própria de sistemas e requisitos.1 Nota do autor: em inglês diversos termos são utilizados para definir essas identidades, como por exemplo: MobileID,

Mobile eID ou M-ID.

Page 21: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

20

Devido à complexidade dos sistemas de GId, ao mesmo tempo que eles possuem funcionali-

dades que permitem simplificar o trabalho dos SPs, trazem consigo fraquezas (vulnerabilidades) em

potencial. Proporcionar um nível adequado de segurança sem comprometer questões de desempenho e

usabilidade, são grandezas inversamente proporcionais (DHAMIJA; DUSSEAULT, 2008).

Segundo Dhamija e Dusseault (2008), os usuários e o provedor de serviço devem confiar

mutuamente nos sistemas de GId. Portanto, esses sistemas devem ser capazes de tratar incidentes de

segurança rapidamente, além de controlar o fluxo de informações pessoais durante os processos de

identificação, autorização e criação das asserções. Sistemas de GId mal projetados podem auxiliar

no aumento de vulnerabilidades, permitindo por exemplo, que dados pessoais dos usuários sejam

roubados. A falta de confiança por parte dos usuários é apontada por Dhamija e Dusseault (2008)

como um problema a ser resolvido.

Para Jøsang e Pope (2005), ao se implementar um sistema de GId baseado no modelo centrado

no usuário, transfere-se para o usuário a responsabilidade de decisão sobre quais atributos serão

efetivamente encaminhados a um provedor de serviço. Essa característica contribui para resolver o

problema da privacidade.

De acordo com Zefferer e Teufl (2015), durante muitos anos os sistemas de GId foram baseados

em tecnologias que fazem uso do cartão de eID, cartão este adotado em países como a Áustria, Bélgica,

Estônia, Portugal e Espanha. A confiança deste modelo está na presença de elementos criptográficos

para proteger as informações pessoais, informações essas que ficam de posse dos seus portadores

(NAUMANN; HOGBEN, 2008). Ao contrário das iniciativas dos países citados, o Brasil não oficializou

até o momento sua estratégia nacional de gestão de identidade. Esta situação tem contribuído para

que diversas soluções de GId fossem propostas ou implementadas ao longo dos anos, dentre as quais

podem ser citadas: o projeto RIC desenvolvido pelo Ministério da Justiça, o Cartão Cidadão emitido

pelo governo do Estado do Espírito Santo e o Registro Civil Nacional (RCN) apresentado em 2015

pelo Tribunal Superior Eleitoral.

Em 2016, uma proposta de estratégia nacional de GId foi proposta por Torres et al. (2016) para

alavancar o programa de e-Gov brasileiro. Nessa proposta2, o país passaria a operar em um sistema de

gestão de identidade centralizado e o cidadão poderia contar com diversos formatos para sua identidade

eletrônica, como por exemplo um cartão de eID.

2 Nota: entre os autores do artigo publicado encontra-se o autor dessa dissertação.

Page 22: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

21

Entretanto, conforme citado por Zefferer e Teufl (2015), soluções baseadas em cartões de eID

têm como característica a baixa utilização pelos cidadãos. Os seguintes fatores contribuem para este

cenário: necessidade de uso de hardwares adicionais, como os leitores de cartões; e a necessidade de

instalação de softwares específicos, como o módulo de acesso para cartões de eID. Para Tavora, Torres

e Fustinoni (2015), o alto custo financeiro para emissão dos cartões de eID também é um dos grandes

motivadores para que soluções alternativas de eID sejam buscadas pelos governos.

Para contornar os problemas da usabilidade, dos custos elevados e da aceitação dos usuários,

surgem as soluções de eID Móvel que visam substituir os cartões de eID pelos dispositivos móveis nos

acessos aos SPs (ZEFFERER; TEUFL, 2015). Como exemplos de implementação da eID Móvel por

governos, podem ser citadas as soluções da Áustria com o “Austrian Mobile Phone Signature” e da

Estônia com o “Estonian Mobiil-ID” (GEMALTO, 2014).

Na última década, algumas soluções de eID Móvel foram propostas, testadas e outras implemen-

tadas por alguns governos. Enquanto algumas soluções continuam em uso, outras foram abandonadas

ou substituídas. Atualmente, um conjunto heterogêneo de soluções encontra-se em produção, en-

globando um número crescente e contínuo de diferentes conceitos tecnológicos e implementações.

Isto dificulta decisões efetivas relacionadas à adoção e implementação de soluções de eID Móvel

(ZEFFERER; TEUFL, 2015). Na proposta de GId feita por Torres et al. (2016), é prevista a utilização

da eID Móvel, contudo não foi descrito como seria esta implementação e nenhum resultado científico

de prototipação é apresentado.

Apesar da diversidade de soluções existentes, a confiança no modelo de GId das soluções de

eID Móvel provém do uso de algum elemento seguro (secure hardware element – SE), o qual é capaz

de armazenar as informações do usuário e realizar operações de criptografia (RATH et al., 2014). Para

Rath et al. (2014), dependendo da localização e tipo de implementação do elemento seguro, pode-se

dividir as soluções de eID Móvel em soluções baseadas no cliente e em soluções baseadas no servidor.

Conforme apontado por Do et al. (2013), nos últimos anos, a identidade e a privacidade dos

usuários de telefone móvel têm sido protegidas adequadamente e o número de fraudes têm sido mantido

a níveis insignificantes. Esse fato se deu graças ao uso do cartão SIM como elemento seguro, uma

vez que ele contém o International Mobile Subscriber Identity (IMSI3) e utiliza funções fortes de

criptografia, utilizadas para autenticação do usuário pela rede móvel.3 IMSI é uma identidade numérica e exclusiva, codificada dentro do cartão SIM e associada ao usuário que utiliza uma

rede GSM ou UTMS.

Page 23: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

22

Porém, observando os trabalhos científicos relacionados à eID Móvel, nota-se que a implemen-

tação que faz uso do cartão SIM como elemento seguro traz desvantagens como a falta de confiabilidade

citada por Martens (2010), a dependência das operadoras de telecomunicações conforme citado por

Krimpe (2014) e a geração de custos para o usuário como citado por Zefferer e Teufl (2015).

Neste contexto, pensando em oferecer aos cidadãos e ao governo brasileiro uma solução de

eID Móvel nacional, surgem as seguintes perguntas de pesquisa:

1. Quais soluções de padrão aberto podem ser utilizadas para gerar a eID Móvel do cidadão e

garantir o mesmo nível de segurança e usabilidade das soluções atualmente em uso?

2. Como integrar um sistema de eID Móvel ao cenário e-Gov nacional, considerando uma solução

baseada em tecnologias emergentes e que promova a usabilidade e a privacidade?

1.1.1 Solução Proposta

Partindo das perguntas de pesquisa formuladas, este trabalho teve por objetivo descrever um

sistema de Gestão de eID Móvel Nacional por meio do desenvolvimento de um protótipo em software

o qual foi capaz de oferecer meios seguros para o tráfego, identificação, autorização e autenticação

(Identity, Authentication, Authorization – IAA) dos usuários, durante suas interações com provedores

de serviço. O protótipo em software desenvolvido é composto de duas partes: (1) um aplicativo para

dispositivo móvel para operar como um agente do usuário e (2) um contexto de autenticação para o

framework simpleSAMLphp do IdP.

Considerando que a identificação presencial assegura o nível mais alto de segurança no processo

de identificação de uma pessoa (KERTTULA, 2015), o sistema proposto por este trabalho assumiu

como premissa o cadastro pessoal do cidadão perante uma entidade pública de registro. Após o

cadastro do cidadão, uma identidade eletrônica móvel foi criada para ser utilizada como identificador

nas transações on-line. Um provedor de identidade foi implementado de forma a simular o cadastro da

eID Móvel e para identificar o cidadão perante um provedor de serviço. Dois provedores de serviço

foram instalado para representar o acesso do cidadão à um serviço governamental. Para a troca de

asserções entre esses atores foi utilizado o protocolo SAML, recomendado pela arquitetura e-PING.

A garantia da segurança do cidadão, evitando que sua chave privada fosse conhecida por

terceiros, também foi uma preocupação. Portanto, o aplicativo para dispositivo móvel foi capaz de

gerar o par de chaves criptográficas assimétricas do usuário e no momento do cadastro presencial da

Page 24: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

23

eID Móvel. Isto evitou que outros sistemas de informação tivessem conhecimento desta chave privada,

mesmo que temporariamente. Como fator de proteção desta chave privada, foi feito uso da impressão

digital do usuário.

Para garantir a privacidade do cidadão, o contexto de autenticação criado foi capaz de fornecer

uma identificação desse cidadão (pseudônimo), exclusiva para cada SP acessado pelo usuário. Também

foi capaz de informar ao cidadão quais atributos pessoais o SP acessado solicitou, além de aguardar

uma confirmação do usuário antes de encaminhar os atributos.

Diante do exposto, as seguintes hipóteses foram elencadas:

H1 - O uso da tecnologia TEE (ambiente de execução confiável) garante um alto nível de segurança,

auxiliando a proteção das informações biométricas do usuário, podendo ser utilizada como

substituto do elemento seguro nas soluções de eID Móvel.

H2 - A utilização dos padrões estabelecidos pela aliança FIDO provê a segurança necessária nas

interações entre o dispositivo móvel do cidadão e o IdP, bem como possibilita gerar de forma

segura a eID Móvel do cidadão.

H3 - Uma solução de eID Móvel construída com as especificações FIDO e que está alinhada a

um sistema de GId construído com o padrão SAML aprimora a segurança, a usabilidade e a

privacidade do usuário.

1.1.2 Delimitação de Escopo

Esse trabalho limitou-se a descrever um sistema de gestão de eID Móvel para o cenário de

e-Gov brasileiro, sem necessariamente propor um novo sistema de gestão de identidade. Não fez parte

dos objetivos criar um produto comercial ou uma solução pronta para ser implementada de imediato.

Não pretendeu-se abordar questões de auditoria com a homologação do IdP e SPs governamentais.

Não pretendeu-se abordar os detalhes técnicos da assinatura eletrônica de documentos.

Questões legais não foram tratadas no escopo desta dissertação, como por exemplo, a discussão

a cerca da Proteção de Dados Pessoais4 ou a regulamentação do Marco Civil da Internet5,6.4 <http://www.brasil.gov.br/defesa-e-seguranca/2015/11/governo-quer-maior-seguranca-para-dados-pessoais-da-populacao>5 <http://marcocivil.com.br/>6 <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8771.htm>

Page 25: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

24

1.2 OBJETIVOS

1.2.1 Objetivo Geral

Possibilitar o uso da eID Móvel em um sistema de GId Nacional, alinhado ao Programa de

Governo Eletrônico Brasileiro, por meio de uma solução que prime pela segurança, privacidade e

usabilidade.

1.2.2 Objetivos Específicos

1. Garantir a segurança e a usabilidade da eID Móvel, de forma similar às implementações que

fazem uso do cartão SIM ou do HSM;

2. Garantir a segurança e a privacidade do cidadão, por meio de um sistema de Gestão de eID

Móvel Nacional, alinhado à estratégia nacional de e-Gov brasileiro proposta em Torres et al.

(2016); e

3. Avaliar a funcionalidade e a usabilidade de um sistema de gestão de eID móvel, bem como os

impactos sobre a privacidade, considerando o seu uso em um estudo de caso.

1.3 METODOLOGIA

Nesta seção é apresentada a metodologia de pesquisa, bem como os procedimentos metodoló-

gicos adotados para esta dissertação.

1.3.1 Metodologia da Pesquisa

O método adotado no desenvolvimento desta dissertação foi o hipotético-dedutivo. Este método

parte da percepção de uma lacuna no conhecimento, acerca da qual formula-se e verificam-se hipóteses

(POPPER, 2004). A definição por este método se dá pela necessidade de averiguar as hipóteses

definidas na Subseção 1.1.1, através do desenvolvimento de um protótipo e análise comparativa com

os trabalhos relacionados.

O método utilizado sob o ponto de vista de sua natureza foi o de pesquisa aplicada. Conforme

descrito em FÁVERI, BLOGOSLAWSKI e FACHINI (2008), a pesquisa aplicada tem como propósito

a geração de conhecimentos com o intuito de prover uma aplicação prática, a qual deve resolver um

Page 26: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

25

problema específico. A adoção deste método se justifica, uma vez que, este trabalho tem por finalidade

encontrar uma solução para o problema de privacidade e segurança envolvendo o uso da eID Móvel,

no cenário de e-Gov brasileiro.

Sob o ponto de vista da forma de abordagem do problema, a pesquisa se classifica como

qualitativa no que se refere ao oferecimento de uma solução de eID Móvel para o cidadão brasileiro,

sem o uso dos elementos seguros indicados nos trabalhos relacionados, mas que possa garantir o

mesmo nível de usabilidade sem prejuízos em relação ao quesito segurança. Nessa classificação, a

avaliação será feita de forma descritiva, através da análise comparativa com os trabalhos relacionados.

A abordagem do problema se classifica também como quantitativa, uma vez que será realizada uma

pesquisa para avaliar os fatores de usabilidade e privacidade do modelo proposto.

Com relação aos objetivos, a pesquisa foi conduzida de maneira exploratória. Segundo Minayo

et al. (2013) a pesquisa exploratória deve ser constituída pela pesquisa bibliográfica disciplinada,

crítica e ampla, pela fase de articulação criativa e pela humildade. A pesquisa exploratória visa realizar

um estudo preliminar em torno do principal objetivo do trabalho, conforme definido na Subseção 1.2.1.

1.3.2 Procedimentos Metodológicos

Com a finalidade de atingir os objetivos elencados para esta dissertação, os seguintes procedi-

mentos metodológicos foram adotados:

1. Pesquisa bibliográfica: Para prover a base teórica necessária como forma de fundamentar os

assuntos tratados nesta dissertação, foi utilizado o método de pesquisa bibliográfica, o qual

é realizado a partir de publicações em livros, artigos de periódicos, dissertações, teses, entre

outros (GIL, 2010). Os principais temas pesquisados estão relacionados a: governo eletrônico no

Brasil, identidade eletrônica móvel, tipos de elementos seguros , privacidade, ambiente seguro

de execução e padrões estabelecidos pela aliança FIDO.

2. Análise dos trabalhos relacionados: Nessa etapa foi definido um protocolo de busca, afim de,

identificar os trabalhos publicados relacionados ao uso de eID Móvel dentro e fora do cenário de

e-Gov (Apêndice B). A análise destes trabalhos possibilitou identificar as estratégias adotadas

por outros países, tecnologias escolhidas e soluções propostas ou implementadas a cerca do

armazenamento dos atributos do cidadão com uso dos dispositivos móveis e como este cidadão

é identificado pelos SPs e IdPs.

Page 27: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

26

3. Definição do Sistema de Gestão de eID Móvel Nacional: Com base na pesquisa bibliográfica

e na análise dos trabalhos relacionados, buscou-se definir um sistema de eID Móvel que fosse

relevante para a comunidade acadêmica e ao mesmo tempo fosse relevante do ponto de vista

social. Para se definir este sistema, foi necessário aprofundar os conhecimentos sobre algumas

tecnologias emergente como os protocolos FIDO e o ambiente de execução confiável (TEE).

Isto possibilitou definir um fluxo de sequência, englobando desde o cadastro da eID do cidadão

perante uma entidade pública e registro do dispositivo móvel no SP, até o acesso propriamente

dito aos SPs governamentais.

4. Modelagem do protótipo: Essa etapa teve por objetivo atender o objetivo específico 1 e parcial-

mente os objetivos específicos 2 e 3. Para tanto, compreendeu desde o levantamento de requisitos

e descrição dos cenários de uso, até a modelagem do sistema de gestão de eID Móvel em si.

5. Implementação do protótipo: Como prova de conceito, o sistema de eID Móvel proposto foi

implementado na forma de um aplicativo desenvolvido para a plataforma Android e de um

contexto de autenticação para o IdP. Foi necessário também instalar um servidor FIDO UAF e

dois provedores de serviço, para comporem o cenário de experimentação. Essas implementações

possibilitaram comprovar ou refutar as hipóteses elencadas na Subseção 1.1.1. É importante des-

tacar que as escolhas tecnológicas foram feitas buscando-se a usabilidade do usuário, aderência

as recomendações do padrão e-PING e uso de software livre.

6. Avaliação do protótipo desenvolvido: Para avaliar o protótipo desenvolvido foram realizados

testes funcionais, buscando-se aferir a funcionalidade do mesmo. Também foi realizada uma

pesquisa de satisfação com diversos usuários, de forma a avaliar a usabilidade, privacidade

e aplicabilidade do protótipo desenvolvido. E finalmente, uma comparação com os trabalhos

relacionados foi feita.

1.4 ESTRUTURA DA DISSERTAÇÃO

Este trabalho foi organizado em seis capítulos. No Capítulo 1, foi descrito uma breve introdução

sobre conceitos de e-Gov, eID Móvel e sistemas de GId. Foram elencadas as justificativas deste trabalho,

bem como foi exibida a delimitação do seu escopo e descrita a solução proposta.

O Capítulo 2 apresentou a fundamentação teórica através da revisão bibliográfica da literatura,

buscando embasar tanto os conceitos de governo eletrônico e eID Móvel quanto os conceitos sobre as

tecnologias emergentes adotadas por esse trabalho.

Page 28: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

27

O Capítulo 3 apresentou os trabalhos relacionados, selecionados a partir do protocolo de busca

apresentado no Apêndice B. Uma análise comparativa entre esses trabalhos foi realizada, servindo

como base para a modelagem do sistema de eID Móvel proposto.

O Capítulo 4 descreveu a visão geral do sistema de eID Móvel proposto, a modelagem e

implementação do protótipo desenvolvido.

No Capítulo 5 foram apresentados os resultados dos casos de teste realizados, a avaliação

feita pelos usuários (através da pesquisa de satisfação) e a comparação do sistema proposto com os

trabalhos relacionados.

Por fim, no Capítulo 6 foram descritas as considerações finais, apresentando o confronto

das hipóteses e objetivos com os resultados obtidos. Foram também descritos os trabalhos futuros,

possibilitando a continuidade da pesquisa desenvolvida.

Page 29: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

28

2 FUNDAMENTAÇÃO TEÓRICA

Neste capítulo são descritos os conceitos de governo eletrônico (e-Gov), o panorama de e-

Gov no Brasil e os padrões de interoperabilidade e-PING. Em seguida, a definição de identidade

eletrônica (eId) é apresentada, bem como os conceitos sobre SAML, privacidade e sistemas de gestão

de identidades. Na sequência algumas estratégias nacionais são descritas, assim como a eID Móvel e

suas possíveis implementações com uso de um módulo de hardware seguro, um elemento seguro ou um

ambiente de execução confiável. Por fim, são apresentados os padrões e especificações estabelecidos

pela aliança FIDO.

2.1 GOVERNO ELETRÔNICO

A expressão governo eletrônico foi criada após o advento do comércio eletrônico e é utilizada

para designar o processo de informatização do setor público (LENK; TRAUNMÜLLER, 2002). Utili-

zando as tecnologias de informação e comunicação (TIC), os governos podem gerenciar eficazmente

dados e informações, agilizando processos e otimizando fluxos de trabalho. A integração do governo

com as TICs promove uma expansão nos canais de comunicação com a população, aumentando a

participação dos cidadãos nos processos públicos (DAWES; PARDO, 2002).

Para ONU (2014), através de um Programa de e-Gov, as instituições públicas podem oferecer

melhores serviços à população, atendendo com mais eficácia as demandas por transparência e prestação

de contas. Além disso, o uso do e-Gov permite estimular o crescimento econômico e promover

inclusão social, particularmente dos grupos vulneráveis e desfavorecidos. De forma geral, o e-Gov traz

importantes benefícios para os países que o utilizam, na forma de novos empregos, melhores condições

de saúde e educação.

Uma das formas de disponibilizar serviços de e-Gov para os cidadãos, é por meio da Internet

(DAWES; PARDO, 2002). Tecnologias baseadas na Internet facilitam a entrega de serviços e proporci-

onam uma relação de comunicação mais direta com a população. Porém, a decisão de disponibilizar

os serviços através deste meio de comunicação traz preocupações com a segurança dos dados. Por-

tanto, se faz necessário utilizar adequadamente as ferramentas de TICs como forma de mitigar as

vulnerabilidades e trazer mais segurança para as transações online (CARTER; BELANGER, 2004)

Para Dawes e Pardo (2002), as soluções de TICs devem ser integradas para que as organizações

Page 30: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

29

públicas e privadas possam trabalhar colaborativamente buscando objetivos em comum. Os trabalhos

colaborativos podem ser classificados em quatro tipos: entre o governo e o cidadão (G2C), entre

governo e seus funcionários (G2E), entre organizações públicas (G2G) e entre governo e organizações

privadas (G2B) (CARTER; BELANGER, 2004).

Nesse cenário de colaboração, os governos têm procurado aprimorar suas infraestruturas

de TIC para promover a interoperabilidade entre seus sistemas. Esse aprimoramento é necessário

devido à heterogeneidade dos procedimentos e dados existentes, tanto entre os órgãos que compõe a

administração pública, quanto entre as organizações públicas e privadas (BALDONI, 2012). Portanto,

se bem empregadas, as infraestruturas de TIC se transformam em plataformas eficazes que facilitam

o compartilhamento de conhecimento, desenvolvimento de habilidades e construção de soluções de

e-Gov, promovendo a capacidade de interoperabilidade sustentável (ONU, 2014).

Com o intuito de auxiliar os governos a definirem suas políticas e estratégias de e-Gov, o

Departamento de Assuntos Econômicos e Sociais da ONU publica a cada dois anos um relatório

que avalia o desenvolvimento de e-Gov de seus 193 Estados Membros. Esse relatório demonstra

as estratégias adotadas, as tendências e práticas inovadoras, bem como desafios e oportunidades

enfrentados por aquelas nações. Desde a concepção do relatório em 2003, o Departamento adotou uma

abordagem baseada em três pilares fundamentais, a saber: disponibilidade dos serviços online (Online

Service Index – OSI), infraestrutura de telecomunicação (Telecommunication Infrastructure Index –

TII) e investimento em capital humano (Human Capital Index – HCI) (ONU, 2014).

Para cada um dos pilares é gerada uma nota individual, que quando somadas gera o índice

de desenvolvimento de e-Gov (e-Government Development Index – EGDI). O EGDI é um relatório

que classifica a evolução dos países em relação ao desenvolvimento do governo eletrônico. No último

relatório publicado em 2014, o Brasil ficou na oitava colocação em relação ao continente americano,

porém, na 57a posição da classificação geral. Ao analisar os índices do Brasil individualmente, observa-

se que o investimento em capital humano é o índice mais alto (pontuação 0,7372 do máximo de 1,000),

entretanto, o país carece de investimentos na área de infraestrutura de telecomunicações (pontuação

0,4668) e de serviços online (pontuação 0,5984) (ONU, 2014).

Especificamente em relação ao índice de serviços online, um dos fatores que contribuem para

seu aumento é o uso de canais móveis, uma vez que eles não requerem grandes investimentos dos

governos e se amparam, normalmente, em fatores de consumo e plataformas não governamentais. Os

dados apresentados pelo relatório indicam que em 2014 cerca de 1,5 bilhões de telefones inteligentes

estavam em uso globalmente. Entre 2012 e 2014, o número de países que ofereciam APPs móveis e

Page 31: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

30

portais móveis aumentou para quase 50 países. Este dado é muito positivo para a ONU, pois canais

como esses contribuem diretamente para dar suporte à inclusão social, bem como para promover o

desenvolvimento econômico, proteção ambiental e gerenciamento de desastres (ONU, 2014).

A adoção de políticas de governo eletrônico demonstra ser um caminho positivo para o desen-

volvimento dos países. Neste cenário, o uso eficiente das tecnologias de informação e comunicação é

imprescindível. Aproveitar o potencial da Internet e disponibilizar serviços de e-Gov de forma online é

uma maneira de promover o desenvolvimento. Aliado a isso, os dispositivos móveis se constituem de

uma grande ferramenta quando o assunto é inclusão e participação dos cidadãos nas interações com o

governo.

2.1.1 Governo Eletrônico no Brasil

O programa de governo eletrônico teve início no Brasil no ano de 2000 com a criação de um

grupo de trabalho interministerial (GTTI). O objetivo deste grupo era propor políticas, diretrizes e

normas relacionadas às formas de interações eletrônicas do governo junto ao cidadão, bem como a

melhoria da gestão interna e a integração com parceiros e fornecedores (CIVIL, 2000).

Conforme descrito por GOV.BR (2016b), o e-Gov brasileiro compreende a definição de padrões,

a normatização, a articulação da integração de serviços eletrônicos, a disponibilização de boas práticas

e a construção de infraestrutura tecnológica.

Diversas ações e projetos surgiram desde a implementação da política de e-Gov no país. Um

dos projetos mais abrangentes é o programa “Sociedade da Informação”, conduzido pelo Ministério

de Ciência, Tecnologia e Inovação1, que entre suas ações buscou ampliar o acesso da população aos

benefícios gerados pelas TICs (GOV.BR, 2016b). O detalhamento dessas ações está contido em um

documento publicado em setembro de 2000, denominado Livro Verde2 (TAKAHASHI, 2000).

Além da Sociedade da Informação, outras contribuições também auxiliaram o Governo Federal

no estabelecimento das principais diretrizes do governo eletrônico no Brasil. Como por exemplo,

a criação da infraestrutura de chaves públicas (ICP-Brasil3) que possibilitou o uso de assinaturas

eletrônicas e de certificação digital, promovendo a validade jurídica dos documentos que tramitam por

meio eletrônico no país (BRASIL, 2016).1 No ano de 2000, era apenas Ministério de Ciência e Tecnologia (Socinfo/MCT).2 Livro disponível em <http://www.governoeletronico.gov.br/documentos-e-arquivos/livroverde.pdf>.3 Disponível em <http://www.iti.gov.br/icp-brasil>.

Page 32: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

31

Porém, somente em 2004, um Departamento de Governo Eletrônico4 foi criado no Brasil. Este

departamento ficou encarregado de coordenar a implantação de ações unificadas de e-Gov, promover

atividades relacionadas à prestação de serviços públicos por meios eletrônicos, além de disseminar

ações de e-Gov na administração federal. Naquele mesmo ano, foi publicada a primeira versão do

documento “Padrões de Interoperabilidade em Governo Eletrônico (e-PING)”, o qual definiu um

conjunto de especificações técnicas para regulamentar a utilização das TICs no governo federal

(BRASIL, 2016).

Em 2008, surgiram os padrões web para governo eletrônico (ePWG), com recomendações de

boas práticas para aprimorar a comunicação, o fornecimento de informações e serviços prestados pelos

órgãos do Governo Federal por meios eletrônicos. Foram disponibilizados documentos no formato de

cartilhas para codificação, administração, usabilidade, modo de escrita e identidade visual do governo

na Web (GOV.BR, 2008).

Em 2012, observou-se uma melhora dos serviços públicos de e-Gov devido ao estabelecimento

dos padrões de interoperabilidade e-PING e da criação da infraestrutura de chaves públicas ICP-

Brasil. Essas diretrizes e padrões possibilitaram a troca de informações entre diferentes esferas

governamentais, bem como entre o governo e empresas privadas. Como exemplo, podem ser citados

a nota fiscal eletrônica que substituiu a emissão do modelo em papel e o amplo uso da certificação

digital em serviços de eGov(GOV.BR, 2016b).

Muito embora o programa de governo eletrônico brasileiro tenha sempre buscado aprimorar a

qualidade dos serviços prestados aos cidadãos, às empresas e entre os órgãos do próprio governo, logo

nas primeiras ações do GTTI, se identificou a existência de várias ações isoladas na área de serviços.

A entrega de declarações do imposto de renda, divulgação de editais de compras governamentais,

emissão de certidões de pagamentos e impostos, acompanhamento de processos judiciais, prestação de

informações sobre aposentadorias e benefícios da previdência social, são alguns exemplos de serviços

oferecidos pelo governo de forma não integrada (GOV.BR, 2016b).

Ao longo dos últimos anos, apesar da diversidade de soluções que foram implementadas, se

forem seguidas as recomendações da arquitetura e-PING garante-se pelo menos a padronização das

tecnologias utilizadas, situação esta que favorece a integração entre os sistemas de e-Gov no país.4 Departamento criado pelo Decreto no 5.134, de 07 de julho.

Page 33: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

32

2.1.2 Arquitetura e-PING

Com a primeira versão publicada no ano de 2004 e oficialmente instituída pela Portaria

Ministerial no 5 de 2005 (GOV.BR, 2016b), a arquitetura e-PING define um conjunto de políticas,

premissas e especificações técnicas para regulamentar o uso das TICs, promovendo a interoperabilidade

dos serviços de e-Gov oferecidos no Brasil. Além disso, essa arquitetura estabelece condições para

que ocorra a interação entre as esferas governamentais e com a sociedade em geral (BRASIL, 2016).

Se entende por interoperabilidade como a capacidade dos sistemas de informação trabalharem

em conjunto em prol de um objetivo comum, de forma a garantir o intercâmbio de informações de

maneira eficiente e eficaz (IDE; PUSTEJOVSKY, 2010).

Dentre as políticas que norteiam os trabalhos e publicações dessa arquitetura, encontram-se

a adoção de padrões abertos, o uso de software público ou software livre e a adoção de soluções

amplamente utilizadas pelo mercado. Ao definir estas políticas, o e-PING objetiva reduzir os custos

e riscos no planejamento e implementação dos sistemas de informações governamentais (GOV.BR,

2016a).

Como forma de organizar a definição dos padrões, a arquitetura e-PING foi dividida em cinco

partes ou grupos de especificações técnicas. Cada grupo é classificado em quatro níveis de acordo

com o grau de aderência da especificação às políticas gerais da arquitetura: adotado (homologado),

recomendado, em transição e em estudo. O Apêndice A apresenta alguns padrões que serão utilizados

para a confecção desse trabalho, dentre os quais se destacam os protocolos TLS (Transport Layer

Security), SSL (Secure Sockets Layer) e SAML.

Desde sua concepção em 2004, a arquitetura e-PING vem sofrendo atualizações constantes

ao longo dos anos, de forma a se manter atualizada com relação aos padrões de mercado (GOV.BR,

2016b). Para exemplificar, a última versão 2016 traz a adoção da sexta versão do protocolo de Internet

(IPv6) para as redes de intercomunicação e a recomendação de uso das suas camadas de segurança

(BRASIL, 2016). Aderir aos padrões estabelecidos pela arquitetura e-PING e manter as infraestruturas

de TICs sempre alinhadas as últimas atualizações, promove meios para que os serviços e sistemas do

governo possam se comunicar com facilidade.

Page 34: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

33

2.2 IDENTIDADE ELETRÔNICA (EID)

A identidade de uma pessoa pode ser definida como sendo um conjunto de informações

pessoais, utilizados a fim de caracterizar corretamente um indivíduo. Essas informações podem ser,

por exemplo, o nome da pessoa, o registro biométrico, a altura, a cor do cabelo, entre outros. Para

realizar essa caracterização, a identidade pode também estar associada a outros atributos ligados à

pessoa como o nome da mãe, a data e o local de nascimento. Dependendo da situação e do contexto, a

identidade pode ser composta somente por algumas destas informações pessoais (NSTC, 2008).

Para Clauß e Köhntopp (2001), a identidade eletrônica (eID) é criada quando informações

pessoais são utilizadas para se caracterizar uma pessoa no meio digital. Conforme descrito por

Wangham et al. (2010), a eID pode então ser definida como um conjunto de dados pessoais utilizado

para representar uma entidade ou pessoa dentro do contexto eletrônico.

De acordo com a norma ITU (2009), a eID é constituída de três elementos:

• Identificador: representado por um conjunto de caracteres para identificar uma identidade. Por

exemplo: endereço de email, número de telefone, endereço IP (protocolo de internet);

• Credenciais: elementos que atestam uma identidade, como por exemplo: certificados digitais,

tokens, biometria; e,

• Atributos: conjunto de dados que caracterizam uma identidade, tais como: nome completo, CPF,

data de nascimento, endereço e telefone comercial.

Quando uma eID é usada em sistemas eletrônicos, é necessário fazer a gestão desta identidade,

de forma que esta possa torna-se confiável. De acordo com ITU (2009), a gestão de identidades pode

ser entendida como um conjunto de tecnologias, processos e políticas utilizados que visa garantir

a qualidade das informações de uma identidade (identificadores, credenciais e atributos) de forma

a possibilitar que essas identidades (e as informações associadas a estas) possam ser usadas por

mecanismos de autenticação, autorização, contabilização e auditoria para garantir ao usuário o acesso

a um determinado recurso.

Page 35: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

34

2.2.1 Sistemas de Gestão de Identidade (SGId)

Um sistema de gestão de identidades consiste na integração de tecnologias, políticas e processos

de negócio, resultando em um sistema de autenticação de usuários aliado a um sistema de gestão de

atributos (WANGHAM et al., 2010). Para compor um sistema de gestão de identidade, é necessário

que existam três atores: o usuário, o provedor de identidade (Identity Provider - IdP) e o provedor de

serviço (Service Provider - SP) (BHARGAV-SPANTZEL et al., 2007). O usuário é a entidade que

utiliza uma eID para acessar algum recurso eletrônico disponibilizado em um SP; o IdP é o responsável

por gerenciar as eIDs de seus usuários e autenticá-los; e o SP oferece recursos aos usuários, que exige

destes uma autenticação para conceder acesso aos recursos requeridos.

Para Jøsang e Pope (2005), a forma que um usuário, um IdP e um SP interagem pode caracterizar

quatro diferentes modelos de SGId: tradicional, centralizado, federado e centrado no usuário. A Figura 1

ilustra esses modelos.

Figura 1. Classificação dos modelos de gerenciamento de identidadeFonte: Adaptado de Wangham et al. (2010).

O modelo tradicional, também chamado de modelo isolado ou em silo, é o modelo mais

simples. A implementação do IdP e do SP é agrupada em uma única entidade e cabe a esta fazer a

autenticação e o controle de acesso de seus usuários sem depender de qualquer outra entidade. Neste

modelo, o usuário não consegue aproveitar o registro para acessar outro SP (não há o compartilhamento

Page 36: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

35

de identidades entre diferentes provedores). Por consequência, a quantidade de cadastros para um

mesmo usuário cresce proporcionalmente à quantidade de SPs que ele utiliza, aumentando assim a

complexidade de memorização e gerência destes cadastros e a proliferação de seus dados pessoais por

diferentes serviços (problemas de privacidade) (MELLO et al., 2009).

No modelo centralizado, usuário precisa registrar sua eId em apenas uma entidade, o que

significa que apenas um IdP é utilizado. Portanto, independente da quantidade de SPs que o usuário

acessar, o mesmo IdP será utilizado, o que minimiza a complexidade de manter diversas credenciais.

Como fator de incremento da segurança é possível utilizar chaves PKI (infraestrutura de chave pública)

para autenticar o usuário, ao invés das senhas simples. Outra facilidade oferecida por este modelo é a

autenticação única (Single Sign-On – SSO), que permite ao usuário autenticado acessar diversos SPs

sem realizar o login novamente (BHARGAV-SPANTZEL et al., 2007).

O modelo federado é construído quando se estabelece relações de confiança entre diferentes

domínios administrativos. Esses domínios correspondem a universidades, empresas ou órgãos do go-

verno que possuem um IdP e diversos SPs. Em uma federação, todos os SPs aceitam que a autenticação

do usuário seja feita a partir de qualquer IdP confiável da federação (CAMENISCH; PFITZMANN,

2007). Assim, para se garantir a segurança dos processos de autenticação são geradas asserções pelos

IdPs para serem apresentadas aos SPs, evitando que as credenciais dos usuários transitem entre este

diferentes domínios. Essas asserções são trocas em conexões seguras que utilizam métodos confiáveis.

A autenticação única também é provida neste modelo.

Nos modelos apresentados acima, o usuário precisa se registrar em um provedor de identidade,

o qual passa a fazer tanto a autenticação quanto a gestão dos próprios atributos dos usuários. O modelo

centrado no usuário visa dar ao usuário o controle sobre manipulação de suas informações pessoais,

possibilitando que ele decida quais atributos o SP receberá. Normalmente, a implementação é feita com

as informações pessoais sendo armazenadas em um dispositivo de hardware, que pode ser um cartão

inteligente (smartcard) ou mesmo um dispositivo móvel (ex. telefone celular). O IdP continua atuando

como terceira parte confiável, mas o controle das informações pessoais é feito pelo usuário (os IdPs

atuam de acordo com os interesses dos usuários e não de acordo com os interesses dos SPs)(JØSANG;

POPE, 2005).

Nesse contexto do SGId, destaca-se o conjunto de especificações SAML, o qual tem suporte

a diversos mecanismos para realizar a gestão das identidades e tratar das comunicações entre os

provedores de identidade e serviço.

Page 37: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

36

2.2.1.1 Security Assertion Markup Language – SAML

Desenvolvido pela OASIS (Organization for the Advancement of Structured Information

Standards), o SAML é um padrão para intercâmbio de dados de autenticação e autorização entre os

domínios de segurança. Tornou-se padrão em novembro de 2002, com a versão 1.0. Desde então, vem

sendo amplamente implementado em sistema de gestão de identidades (LOCKHART; CAMPBELL,

2008).

De acordo com Lockhart e Campbell (2008), a arquitetura SAML é definida por um conjunto

de componentes que permitem atender diferentes cenários de uso. Dentre os componentes básicos do

SAML, encontram-se os seguintes:

• As asserções (assertions), são pacotes que contém informações com uma ou mais declarações

feitas por uma entidade SAML. São definidas três tipos de asserções diferentes:

– Asserção de Autenticação: contém informações que afirmam quais os meios utilizados por

uma entidade para autenticar um sujeito (por exemplo um usuário), e quando exatamente

a autenticação ocorreu. Nos SGId a entidade responsável por gerar estas asserções é o

provedor de identidades;

– Asserção de Atributo: contém informações ligadas a um sujeito, como por exemplo o

nome completo de um usuário, o endereço de email de um cidadão, o perfil de uma pessoa

pertencente a uma instituição de ensino, entre outros;

– Asserção de Autorização: contém informações que indicam se um sujeito está autorizado

ou não a fazer acesso ao recurso solicitado.

• Os protocolos (protocols) descrevem como a estrutura das asserções devem ser montadas. Dessa

forma, suas mensagens são compostas de solicitações e respostas para obter asserções, o que é

definido a partir de um esquema XML (XML Schema);

• As ligações (bindings) definem como as mensagens são transportadas, de acordo com o protocolo

de comunicação adotado. Por exemplo, a ligação SOAP (Simple Object Access Protocol) SAML

especifica como uma mensagem SAML é encapsulada em um envelope SOAP, sendo ele mesmo

ligado a uma mensagem HTTP;

• Os perfis (profiles) descrevem como as asserções, protocolos e ligações se combinam entre si,

para proporcionar maior interoperabilidade em cenários de uso específico. Por exemplo, o perfil

Page 38: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

37

Web Browser SSO define como uma entidade utiliza o protocolo de requisição de autenticação

e as mensagens SAML de resposta para realizar a autenticação única com um navegador de

internet padrão;

• Os contextos de autenticação (authentication context) definem os métodos de autenticação

usados em um IdP, determinando a força da autenticação que usuário deve realizar para que uma

asserção seja aceita; e,

• Os metadados (metadata) definem formas para expressar e compartilhar informações de confi-

guração entre entidades SAML, como por exemplo informações sobre um IdP ou um SP. Eles

são descritos em um esquema XML, podendo conter uma chave criptográfica para assinar e

criptografar informações, bem como conter a identificação e as ligações suportadas por uma

entidade.

De forma geral, o SAML é um padrão flexível e extensível, projetado para ser usado e customi-

zado de acordo com a necessidade dos sistemas, em especial, dos sistemas de gestão de identidades.

Entretanto, apesar do padrão SAML oferecer alguns padrões para o funcionamento de um SGId, é

importante que esses sistemas também sejam projetados para garantir a privacidade do usuário.

2.2.1.2 Privacidade

Laurido e Feitosa (2015) descreve privacidade como sendo o direito de cada pessoa de manter e

controlar suas informações pessoais, decidindo quem pode ter acesso a elas. Além do nome, endereço

e informações físicas, o modo de vida, os hábitos, os segredos, os fatos ocorridos com o indivíduo e

até seus planos futuros se incluem no conjunto de informações pessoais.

A violação da privacidade é considerada um problema ao expor atributos sensíveis de uma

pessoa como um simples endereço de residência, até informações privadas e particulares como

doenças ou estilos de vida (POURNAJAF et al., 2014). Entretanto, como é um direito conferido ao

indivíduo decidir quais informações pessoais divulgar, quando ocorre a quebra de privacidade, o grau

de comprometimento das informações pessoais está diretamente ligado a quantidade de informações

divulgadas (JUNIOR et al., 2010).

No meio eletrônico, a privacidade está ligada a quantidade de informações pessoais (atributos)

que o usuário expõe a um provedor de serviço. A privacidade também está intimamente ligada à

Page 39: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

38

capacidade do usuário em realizar transações com um SP sem ser identificado ou fornecendo um

conjunto mínimo de atributos (JUNIOR et al., 2010).

Como a identidade digital de uma pessoa pode estar atrelada à um conjunto de informações

pessoais, conforme afirmado por Jøsang, Zomai e Suriadi (2007), o sistema de gestão de identidade

desempenha um papel importante na preservação da privacidade. Para Hansen, Schwartz e Cooper

(2008), há uma grande variedade de princípios e guias que visam estabelecer e manter a privacidade

do sistema de gestão de identidade. Os princípios mais amplamente aceitos são as Práticas para

Informação Justa (Fair Information Practice – FIPs), que foram desenvolvidos na década de 1970.

A OECD5 publicou um conjunto de diretrizes baseado no FIPs que objetiva garantir a pri-

vacidade para a troca de dados pessoais (HANSEN; SCHWARTZ; COOPER, 2008). Em 2013, o

conjunto de diretrizes criado pela OECD foi atualizado, de forma a garantir aderência ao avanço

tecnológico dos últimos anos. Ao adotá-lo como guia, um sistema de gestão de identidade passa

a operar no modelo centrado no usuário, oferecendo ao usuário o controle sobre suas informações

pessoais (CO-OPERATION; DEVELOPMENT, 2013). Ao total foram definidas oito diretrizes:

1. Limitação de Coleta: as informações podem ser coletadas apenas por força de lei ou através do

consentimento do indivíduo;

2. Qualidade dos Dados: dados pessoais devem ser coerentes com o propósito para o qual foram

coletados. Dependendo do fim a que se destinam, devem ser precisos, completos e atualizados;

3. Especificação de propósito: o motivo para o qual os dados serão utilizados deverá ser informado

ao usuário, no mais tardar no momento da coleta;

4. Limite de Uso: os dados coletados não poderão ser divulgados, exceto por expressa autorização

do usuário ou por força de lei;

5. Segurança: dados pessoais devem ser protegidos contra riscos como acessos indevidos, destrui-

ção, uso, modificação ou divulgação sem autorização;

6. Transparência: deve haver uma política geral sobre a disponibilidade e uso dos dados pessoais.

O mantenedor dos dados deve se capaz de informar a existência de dados pessoais, a natureza

(origem) deles, os efeitos da utilização desses dados e a forma de armazenamento;5 Disponível em <http://oecdprivacy.org/>.

Page 40: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

39

7. Participação Individual: o indivíduo tem o direito de ver e alterar sua própria informação. Para

tanto o mantenedor dos dados deve informar a existência ou não dos dados pessoais, sempre que

solicitado pelo indivíduo; e

8. Responsabilidade: o mantenedor dos dados deve ser responsável pelo cumprimento de medidas

para tornar efetivas as diretrizes anteriores.

De forma geral, dentre os princípios estabelecidos o usuário tem o direito de garantir seu

anonimato no meio eletrônico, bem como o direito de divulgar as informações pessoais que julgar

adequado. Estas são caraterísticas previstas nesse trabalho através do uso de pseudônimos e do

consentimento do usuário para envio dos atributos aos SPs.

2.2.2 Estratégia Nacional de GId

A estratégia nacional de gestão de identidade pode ser definida como o conjunto de proce-

dimentos, normas, leis e sistemas que são utilizados pelos governos para administrar as eIDs dos

cidadãos. Definir e implementar estratégias nacionais de GId, bem como escolher o formato da eID e

definir um sistema de gestão para essas identidades são práticas que colaboram para a concretização

do governo eletrônico em um país (OECD, 2011b).

Atualmente, praticamente dezesseis anos após a criação do programa de e-Gov no Brasil, ainda

não foi definida uma estratégia nacional de GId. Para Torres et al. (2015), essa realidade é um fator

que contribui para a falta de integração entre os SPs governamentais e para o surgimento de diversas

soluções de GId. Consequentemente, esta ausência também contribui para o baixo índice de serviços

online, conforme demonstrado no relatório da ONU em 2014.

Dentre os sistemas de GId que surgiram ao longo dos últimos anos, pode ser citado o Projeto

de Registro de Identidade Civil (RIC). Instituído pela lei 9.454 de 1997 e regulamentado pelo Decreto

7.166/10, foi criado com o objetivo de ser um documento de identificação único, substituindo o RG, o

CPF, o título de eleitor, a carteira nacional de habilitação e, possivelmente, servindo como identificador

eletrônico para o cidadão brasileiro (MJ, 2014). Porém, até a escrita desse documento o projeto não

saiu do papel (MJ, 2017).

Com proposta semelhante ao projeto RIC, o Registro Civil Nacional (RCN) foi apresentado em

2015 pelo Tribunal Superior Eleitoral (TSE) para integrar os principais documentos utilizados pelos

brasileiros, como CPF, RG e Título de Eleitor (SERRAGLIO, 2015). O RCN passou a ser conhecido

Page 41: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

40

por Documento de Identificação Nacional (DIN), após a aprovação do projeto de lei no 19 em abril de

2017 (GOV.BR, 2017), e em notícia recente publicada pelo TSE (2017) foi referenciado ainda como

Identidade Civil Nacional (ICN). De qualquer forma, a previsão é que este documento seja integrado

com bases de dados biométricas (TSE, 2015; TSE, 2017), assim com previsto pelo projeto RIC.

Uma estratégia de GId que saiu do papel e está sendo implementada é encontrada no Estado

do Espírito Santo. Trata-se do Cartão Cidadão, oferecido desde 2014 de forma gratuita aos cidadãos

daquele Estado. Foi concebido através de parceira entre a Prodest6 e a Secretaria de Segurança Pública

do Estado. Possui um chip de contato, para armazenar um certificado digital e um chip sem contato,

para identificar o cidadão. A intenção é que o cartão seja utilizado para acesso aos serviços online

prestados pelo governo estadual, como por exemplo a marcação de consultas médicas e matrícula

escolar (SANTO, 2013).

Em Verzeletti et al. (2014) foi realizado um estudo que descreveu e analisou as estratégias

nacionais de GId dos dez primeiros países listados no ranking da ONU em 2014 sobre e-Gov. Nesse

estudo, também foi realizada uma comparação entre as estratégias adotadas por esses países bem como

destacadas as soluções implementadas. Nos relatórios técnicos UnB (2015c) e UnB (2015b), foram

descritas as estratégias de outros países dos continentes europeu e asiático. Contudo, esses trabalhos

foram realizados apenas com o intuito de auxiliar a equipe que estava trabalhando no Projeto do RIC a

identificar soluções e técnicas que poderiam ser empregadas na estratégia brasileira de GId.

2.2.2.1 Proposta de uma Estratégia de GId para o Brasil

Em 2016, uma estratégia nacional de gestão de identidade foi proposta por Torres et al. (2016).

Nesta proposta, o sistema de GId adota o modelo de gestão de identidade centralizado e possibilita o

uso de diferentes fatores de autenticação dependente do nível de segurança exigido pelo SP (Level of

Assurance - LoA) acessado pelo cidadão.

Conforme apresentado, dependendo do nível de segurança exigido por um provedor de serviço,

um cidadão pode utilizar um fator de posse (dispositivo pessoal de autenticação), como um cartão

inteligente com chip empregado em cartões bancários EMV (Europay Master Visa) ou um dispositivo

móvel pessoal - smartphones) ou um fator de conhecimento baseado em senha, incluindo senhas

descartáveis (One-time passwords – OTPs) (TORRES et al., 2016). O cartão com chip oferece proteções

de segurança contra ataques físicos e funcionalidades como capacidade de processamento e de memória6 O Prodest é Entidade Certificadora (Certificate Authority – CA) de 2o nível e emite certificados digitais ICP-Brasil dos

tipos e-CPF, e-CNPJ (Cadastro Nacional de Pessoa Jurídica Eletrônico), Servidor Web e Assinatura de Código.

Page 42: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

41

importantes para eIDs. Embora a proposta defina o smartphone como uma possível estrutura de suporte

da eID, a proposta não detalha como a eID Móvel pode ser implementada e utilizada pelo cidadão (um

sistema de gestão de eID Móvel).

A solução proposta pelos autores define o uso e gerência de uma base de dados central (RIC),

alimentada a partir do cadastramento de registro civil realizado pelos Estados. A responsabilidade

dessa base RIC é armazenar os atributos pessoais dos cidadãos, já a criação e a gestão da eID fica

a cargo de um IdP único. Portanto, uma base de atributos vinculada a um IdP é proposta, de forma

que as informações pessoais dos cidadãos permaneçam ligadas à sua respectiva identidade eletrônica

(TORRES et al., 2016). A Figura 2 ilustra o modelo proposto em Torres et al. (2016).

Figura 2. Proposta de Estratégia Nacional de GId para o BrasilFonte: Torres et al. (2016).

O uso de pseudônimos7 como identificador do cidadão é sugerida para a utilização da eID,

garantindo assim a privacidade do cidadão. Da mesma forma, espera-se que o SP só receba do IdP

atributos pessoais se expressamente consentido pelo cidadão.

Outra solução para contribuir com a privacidade, de forma a evitar a rastreabilidade do cidadão

entre provedor de serviço de diferentes entidades, é combinando identificadores a exemplo do modelo

austríaco. No modelo da Áustria, cada SP gera um código criptografado e exclusivo de 160 bits a

partir da eID, recebida do IdP no momento da autenticação do cidadão. Este processo criptográfico

garante que não se possa reproduzir a eID a partir do código criptografado gerado pelo SP. Contudo,

é importante observar que a eID austríaca é criada a partir do identificador civil. Isto significa que,

se a eID fosse utilizada sem passar pelo processo criptográfico, o cidadão poderia facilmente ser

identificado (ZWATTENDORFER; TAUBER; ZEFFERER, 2011).

Para garantir a interoperabilidade na troca de informações entre diferentes sistemas, bem como

na troca de dados de identificação e autenticação, a proposta segue as recomendações da arquitetura7 Nota do autor: nome fictício usado por um cidadão como alternativa ao seu nome real.

Page 43: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

42

e-PING e indica o uso do SAML (Security Assertion Markup Language).

2.2.3 Identidade Eletrônica Móvel (eID Móvel)

Por definição, a identidade eletrônica móvel se refere ao uso da eID através de dispositivos

móveis, como telefones inteligentes (smartphones) e tablets. Segundo Mobile ID World (2015), eID

Móvel é um conjunto formado pela eID do usuário e pelas tecnologias utilizadas para gerenciá-la. Já

para Telia (2016), uma eID Móvel pode ser definida como um cartão de eID dentro de um telefone

móvel.

De acordo com o estudo realizado por Tavora, Torres e Fustinoni (2015), países que utilizaram

somente o cartão eID em suas estratégias nacionais de GId, se depararam com a baixa interação entre

cidadãos e serviços de e-Gov. Para muitos desses países, as estatísticas indicam que menos de 10%

dos cartões emitidos foram de fato utilizados para e-Gov. Motivados por esta baixa aceitação e pelo

crescente uso dos serviços de comunicação móvel, diversas soluções de eID Móvel têm surgido nos

últimos anos (RUIZ-MARTÍNEZ et al., 2007).

Para Rath et al. (2014), as soluções de eID Móvel tem como potencial aumentar significati-

vamente o fator usabilidade, sem perder o nível de segurança oferecido pelas soluções baseadas em

cartão. Essas soluções oferecem a possibilidade de autenticação usando a eID a partir do próprio

telefone móvel do usuário. Além disso, estes dispensam o uso de leitores necessários para o uso do

cartão eID (MARTENS, 2010).

Conforme afirmado por Krimpe (2014), as eID Móveis permitem conectar os cidadãos com

seus governos de maneira eficiência, permitindo que o acesso aos SPs governamentais possa ocorrer a

qualquer hora do dia e de maneira transparente para o cidadão. A eID Móvel pode ainda ser utilizada

pelo usuário para interações com entidades privadas, dependendo das parcerias firmadas com os

governos para uso da eID do cidadão, como ocorre por exemplo em países como a Suíça, Finlândia e

Estônia.

Durante a última década, algumas soluções de eID Móvel foram testadas e implementadas em

vários países. Enquanto algumas soluções continuam em uso, outras foram abandonadas ou substituídas.

Atualmente, um conjunto heterogêneo de soluções encontra-se em produção, englobando um número

crescente e contínuo de diferentes conceitos tecnológicos e implementações (ZEFFERER; TEUFL,

2015).

Page 44: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

43

Para Rath et al. (2014), apesar da diversidade de implementações da eID Móvel, o modelo

de confiança advém do uso de um módulo de hardware seguro (Hardware Security Module – HSM),

instalado no servidor de autenticação, ou do uso de algum elemento seguro (secure element – SE)

presente no dispositivo móvel.

2.2.3.1 Módulo de Hardware Seguro (HSM)

De acordo com (MARTINA; SOUZA; CUSTODIO, 2007), um módulo de hardware seguro é

um tipo de hardware projetado especificamente para proteger chaves digitais contra qualquer tipo de

violação, seja ela lógica, física ou mesmo uma simples extração de material criptográfico. Devido ao

nível de segurança exigido para estes módulos, normalmente, os HSMs passam por um processo de

certificação, sendo que o padrão mais conhecido é o FIPS 140-28.

Conforme descrito por Safenet (2016), um HSM se resume a um cripto-processador dedicado e

projetado especificamente para proteção do ciclo de vida de uma chave criptográfica. Assim, os HSMs

funcionam como âncoras de segurança, gerenciando, processando e armazenando de forma segura

chaves criptográficas dentro de um dispositivo reforçado (inviolável).

Normalmente, um HSM implementa seus próprios protocolos de gerenciamento de chaves,

os quais, devido a preocupações industriais, não são disponíveis publicamente para análise. Esta

característica trás preocupação quanto à real eficiência desses protocolos e tolerância a falhas de código

(MARTINA; SOUZA; CUSTODIO, 2007).

Mesmo com as preocupações apresentadas acima, as empresas têm adquirido estes módulos de

segurança de hardware para proteger suas transações, identidades e aplicativos. Isto tem ocorrido porque

HSMs são excelentes para proteger as chaves criptográficas e provisionar codificação, decodificação,

autenticação e serviços de assinatura digital para uma ampla gama de aplicativos (SAFENET, 2016).

Estas características tornam o HSM ideal para uso pelas instituições bancárias, uma vez que na prática

ele opera como se fosse um cofre digital (MARTINA; SOUZA; CUSTODIO, 2007)

Contudo, as implementações que utilizam o HSM dependem da utilização de esquemas mais

complexos para autenticação, com uso de autenticação em vários fatores como a combinação de

senhas comuns (ex: PIN) e senhas descartáveis (OTPs), por exemplo. Considerando que o modelo

de segurança do HSM é centrado na operação do módulo de hardware, a implementação também

deve considerar que o acesso aos dados pode ocorrer a partir de dispositivos inseguros. Portanto, essa8 <http://csrc.nist.gov/groups/STM/cmvp/standards.html>.

Page 45: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

44

característica colabora com o aumento da complexidade da infraestrutura (redes e servidores), além de

onerar o próprio usuário que precisará utilizar diversas senhas (ZEFFERER; TEUFL, 2015).

2.2.3.2 Elemento Seguro (SE)

Um elemento seguro (do inglês Secure Element - SE) é uma combinação de hardware, software,

interfaces e protocolos embutidos em um aparelho móvel (REVEILHAC; PASQUET, 2009). Um

SE deve ser gerenciável e deve conter uma memória segura, que possibilite a execução de cálculos

criptográficos e execução de aplicativos em um ambiente seguro (MADLMAYR et al., 2007). Uma

das grandes vantagens do elemento seguro é sua alta resistência contra violações físicas (high tamper

resistance), o que minimiza as possibilidade de violação dos dados protegidos (Global Platform, 2011).

Para Reveilhac e Pasquet (2009), essas características possibilitam o uso do SE tanto para

executar transações financeiras, quanto para processos de autenticação que requerem um alto nível

de segurança. Contudo, vale ressaltar que o sistema operacional que executa o SE deve ser capaz de

instalar, personalizar e gerenciar múltiplas aplicações simultaneamente.

Conforme descrito por Guaus et al. (2008), um SE pode ser classificado em três categorias de

acordo com suas formas de armazenamento: hardware não-removível, hardware removível e software.

A seguir, são descritos em mais detalhes as formas de armazenamento mais comuns em hardware:

• Cartão SIM: oferecido pelas operadoras de telefonia celular, o Módulo de Identificação do

Assinante possibilita o armazenamento seguro dos dados do usuário, de forma que estes dados

permaneçam no próprio telefone do portador. Dessa forma, o dispositivo móvel é habilitado

para identificação, autenticação e cifragem de mensagens nas comunicações através de rede de

telefonia celular (TSAI; CHANG, 2006).

• Cartão de Memória Seguro (SMC - Secure Memory Card): se constitui de um cartão removível

(por exemplo: micro SD), dotado de um chip similar ao de um smartcard. Se diferencia do

cartão SIM pela capacidade de armazenar um grande número de dados e não precisar ser

reemitido quando o cliente trocar de operadora de telefonia. Tem a desvantagem de que nem

todos dispositivos móveis possuem entrada para este cartão, mas pode funcionar em qualquer

dispositivo eletrônico que possua uma entrada para ele (REVEILHAC; PASQUET, 2009).

• Cartão de Circuito Integrado Universal (UICC - Universal Integrated Circuit Card): foi

projetado para ser a próxima geração dos cartões SIM, podendo hospedar múltiplas aplicações

Page 46: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

45

simultaneamente (ALIMI; PASQUET, 2009). Pelo fato de operar de forma similar aos padrões

de smartcards, tem a possibilidade de executar até aplicações não relacionadas às operadores de

telefonia móvel. Diferentemente dos SMCs, os UICCs foram projetados para funcionar somente

em dispositivos móveis, assim como ocorre com os cartões SIM (REVEILHAC; PASQUET,

2009).

• Hardware Embutido: também chamado de elemento seguro integrado, esta implementação

se constitui de um chip soldado no dispositivo móvel, integrado ao aparelho durante a fase

de fabricação. Dessa forma, o nível de segurança oferecido por essa implementação é tão alta

quanto as fornecidas por um cartão inteligente. Contudo, não se pode remover e transferir o chip

para outro dispositivo. Consequentemente, toda vez que o usuário trocar seu aparelho, um novo

chip precisa ser adquirido e personalizado (REVEILHAC; PASQUET, 2009).

2.2.3.3 Ambiente de Execução Confiável (TEE)

O ambiente de execução confiável (trusted execution environment – TEE) é um ambiente de

processamento seguro e isolado do sistema operacional, que oferece proteção de integridade para

a execução de aplicativos. Normalmente, um aplicativo é executado pelo sistema operacional (SO)

em um ambiente conhecido por “ambiente de execução rico” (rich execution environment – REE).

Como os REE oferecem ao aplicativo acesso à dados e recursos de hardware do dispositivo de forma

ordenada, porém, sem muita preocupação com a segurança, os TEEs são uma forma de aprimorar a

segurança em um dispositivo móvel.

A medida que os sistemas operacionais para dispositivos móveis evoluem, eles também crescem

em complexidade e funcionalidade, mas ao mesmo tempo tornam-se mais suscetíveis a vulnerabilidades

de software. Os TEEs foram desenvolvidos com o objetivo de fornecer proteção contra ataques que

exploram tais vulnerabilidades. Portanto, mesmo quando há comprometimento do sistema operacional,

os TEEs permitem que aplicativos e serviços continuem seguros, fragmentando-os de forma que

operações e dados sensíveis permaneçam inacessíveis por outros aplicativos ou serviços (EKBERG;

KOSTIAINEN; ASOKAN, 2014).

Quando serviços sensíveis são implementados nos cartões SIM, estes são limitados à cálculos

isolados e restritos quanto ao espaço de armazenamento, trazendo grandes desafios de implementação

devido ao grande número de operadoras de telecom (rede móvel) envolvidas no processo (MARFORIO

et al., 2013). Uma alternativa é equipar o dispositivo móvel com o TEE (SORBER et al., 2012). Dentre

Page 47: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

46

as formas de implementação do TEE, Ekberg, Kostiainen e Asokan (2014) cita as seguintes:

1. Virtualização: ao utilizar um monitor de máquina virtual (virtual machine monitor – VMM) é pos-

sível inicializar com segurança diversos sistemas operacionais, pois eles funcionam isoladamente

uns dos outros. Essas soluções normalmente dependem de um software para garantir integridade

e isolamento das aplicações e sistemas, mas possuem uma arquitetura de funcionamento similar

aos TEEs baseados em hardware;

2. Unidade Central de Processamento (Central Processing Unit – CPU): Arquiteturas de hardware

baseadas no padrão Intel x86, como as que estão embutidas em computadores portáteis (no-

tebooks) ou dispositivos móveis, podem dispor da tecnologia conhecida por raiz dinâmica de

confiança (Dynamic Roots of Trust – DTRM), que permite que o TEE seja implementado no

próprio processador do dispositivo. Isto permite iniciar e rodar pequenos pedaços de software

confiáveis, isolados do sistema operacional, por curtos períodos de tempo; e,

3. Elementos Seguros Embutidos: alguns modelos de dispositivos móveis incluem chips de hard-

ware embutidos em sua placa-mãe. Esses chips constituem-se de cartões inteligentes, que

frequentemente utilizam “JavaCards9”. Eles oferecem total isolamento do hardware, no entanto,

raramente fornecem interfaces abertas e suporte para programação de terceiros.

Atualmente, a forma mais comum de implementação do TEE é através da Unidade Central

de Processamento, na qual o TEE se integra diretamente com processador do dispositivo (EKBERG;

KOSTIAINEN; ASOKAN, 2014). De acordo com Global Platform (2011), a padronização do TEE

é um ponto chave para se evitar a fragmentação das APIs (Application Programming Interfaces).

A fragmentação pode levar à proliferação de soluções de segurança proprietárias, com plataformas

de gerenciamento de sistemas distintas e não compatíveis entre si, o que pode acarretar em altos

custos de desenvolvimento das soluções e aumento no tempo para disponibilizar produtos prontos para

comercialização.

Com o objetivo de evitar a fragmentação das APIs, a GlobalPlatform definiu um conjunto

completo de padrões para interfaces TEE (EKBERG; KOSTIAINEN; ASOKAN, 2014). A Global-

Platform é uma organização sem fins lucrativos que define e desenvolve especificações para facilitar a

implantação e desenvolvimento seguro de aplicações para tecnologia em chip (Global Platform, 2011).

Em julho de 2010, essa organização anunciou sua primeira especificação do TEE, a API Cliente do9 Nota do autor: JavaCard é uma tecnologia que permite que pequenos aplicativos, baseados em plataforma Java, sejam

executados com segurança dentro de cartões inteligentes.

Page 48: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

47

TEE (TEE Client API – Figura 3 Item 1), que trata-se de uma interface para ativar e rodar aplicativos

considerados confiáveis (EKBERG; KOSTIAINEN; ASOKAN, 2014).

Figura 3. Arquitetura do TEEFonte: Adaptado de Global Platform (2011).

Considerando que o S.O do dispositivo móvel (Figura 3 - Item 2), se constitui de ambiente que

permite ao usuário realizar a instalação de softwares de acordo com as suas necessidades pessoais, este

ambiente pode ter sua segurança comprometida caso softwares maliciosos sejam instalados. Dessa

forma, ao integrar o TEE (Figura 3 - Item 3) possibilita-se que aplicativos que necessitam de um nível

de segurança maior, como por exemplo um APP bancário (Internet Banking – Figura 3 Item 4), possam

ser executados de forma segura (Global Platform, 2011).

Para que isto seja possível, uma API (TEE Internal Core API – Figura 3 Item 5) habilita

os aplicativos considerados confiáveis, a rodarem de forma isolada no hardware do dispositivo e a

executarem operações de criptografia, armazenagem segura de dados e comunicações em geral. Essa

API possibilita também a utilização de elementos seguros (Figura 3 Item 6) disponíveis no próprio

dispositivo, caso estejam disponíveis (Global Platform, 2011). Neste contexto, o TEE apresenta-se

como uma solução muito atrativa, especialmente quando utilizado na infraestrutura de um dispositivo

móvel para reforçar a segurança.

Em 2015, a Google anunciou o lançamento de dois novos modelos de celulares da linha Nexus,

os modelos Nexus 5X e Nexus 6P, através de parceria com o fabricante LG e Huawei. Estes aparelhos

foram lançados com sensor de leitura biométrica para impressões digitais10, conhecido como “Nexus

Imprint sensor” (FINGERPRINTS, 2015). Esta tecnologia permite que a captura e reconhecimento da10 fingerprint sensor FPC1025.

Page 49: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

48

impressão digital do usuário seja feita por uma parte segura de hardware do próprio celular, o TEE

(GOOGLE, 2016).

Ao adotar o TEE, estes celulares asseguram que os dados referentes à impressão digital

do usuário sejam criptografados em uma área segura de hardware, impedindo que eles possam ser

copiados, lidos ou alterados fora do ambiente de execução confiável. Funcionalidades de segurança,

como as providas pelo TEE, podem auxiliar também a atender necessidades de segurança dos sistemas

de gestão de identidade.

Portanto, o nível de segurança oferecido por um TEE pode beneficiar também os governos,

ao habilitar o manuseio seguro de informações confidenciais em um dispositivo móvel. O nível

de proteção gerado contra ataques de malwares11, assegura que mesmo dispositivos móveis com a

segurança comprometida, possam manter aplicativos funcionando de forma segura e confiável.

2.2.4 Classificação das Soluções de eID Móvel

Para Rath et al. (2014), as implementações atuais de eID Móvel podem ser classificadas em

dois tipos de soluções, dependendo da localização do elemento seguro, a saber (RATH et al., 2014):

• Soluções baseadas no servidor: essas soluções utilizam as técnicas de nuvem para implementar

um elemento de hardware central, como por exemplo um Módulo de Hardware Seguro (HSM). O

dispositivo móvel do usuário não armazena os dados da eID e não implementa as funcionalidades

de criptografia. Entretanto, o dispositivo móvel participa do processo de autenticação, como um

dos componentes obrigatórios. Isto porque, este dispositivo é o responsável por acessar a eID no

HSM e destravar as funcionalidades de criptografia, o que geralmente é feito com o recebimento

de uma senha descartável (one-time password – OTP).

• Soluções baseadas no cliente: soluções baseadas neste modelo fazem uso de um elemento seguro,

como por exemplo, um cartão SIM (subscriber identity module) especial ou um TEE, capaz de

armazenar a eID de forma segura e ainda prover operações de criptografia como assinatura de

documentos. Tipicamente, o acesso aos dados e funcionalidades deste elemento está protegido

por uma senha secreta, por exemplo, um Personal Identification Number – PIN).11 Termo originado da palavra em inglês malicious software, é um software destinado a infiltrar-se em um S.O. com o

intuito de causar algum dano ou roubo de informações pessoais, como chaves ou dados biométricos.

Page 50: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

49

A adoção de uma destas soluções depende do interesse de cada país. Conforme apresentado por

Zefferer e Teufl (2015), os países Bálticos e Escandinavos adotaram arquiteturas baseadas em cliente

com o uso de cartões SIM como elemento seguro. A Áustria, por outro lado, preferiu a adoção de uma

arquitetura baseada em servidor, utilizando o HSM como elemento seguro.

A implementação de uma solução de eID Móvel pelos governos e sua popularização e cres-

cimento tem atraído muitas oportunidades de negócios. Empresas privadas surgiram para oferecer

soluções de eID Móvel prontas para uso, de forma a facilitar a implantação pelos governos. Como

exemplo destas empresas, podem ser citadas: a Valimo Wireless Ltd12 e a Methics Ltd13, que oferecem

soluções baseadas em cartão SIM; e a ServerBKU14 e PkBox15, que oferecem soluções baseadas no

HSM.

2.3 ALIANÇA FIDO

A Aliança FIDO (Fast IDentity Online Alliance) é uma organização sem fins lucrativos criada

em julho de 2012, cujo objetivo visa definir novos mecanismos de autenticação interoperáveis e

seguros, que sigam os padrões de código aberto e ao mesmo tempo sejam escaláveis (FIDO Alliance,

2016)

Este consórcio da indústria iniciou suas atividades com seis membros fundadores: PayPal,

Nok Nok Labs, Lenovo, Validity Sensors, Agnitio e Infineon. Atualmente conta com mais de 250

membros, entre eles a Google, ING, MasterCard, Microsoft, Samsung e Visa. A aliança FIDO lançou

até o momento a versão 1.0 das suas duas especificações, a saber: um padrão para autenticação

biométrica (Universal Authentication Framework – UAF) e um padrão para autenticação com dois

fatores (Universal Second Factor – U2F), em dezembro de 2014 e maio de 2015 respectivamente

(FIDO Alliance, 2016). As versões 2.0 destas especificações já estão em desenvolvimento por membros

da aliança.

Os dois padrões definidos pela aliança são baseados em criptografia de chave pública e utilizam

protocolos de desafio-resposta (challenge/response) para autenticação. De forma geral, para que um

cliente seja autenticado, este solicita ao servidor o envio de um desafio que, só pode ser respondido

corretamente, caso o cliente detenha a chave privada capaz de responder esse desafio (SRINIVAS;12 <http://www.valimo.com/>13 <http://www.methics.fi/>14 <http://www.valimo.com/>15 <http://www.pksuite.it/eng/pr_pkbox.php>

Page 51: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

50

KEMP; ALLIANCE, 2014).

Uma das vantagens do protocolo UAF é a capacidade de fazer uso das tecnologias de segurança

presentes no próprio aparelho para proteger a chave privada, como sensores digitais (impressão digital),

câmeras (biometria da face), microfone (biometria da voz), Ambiente Seguro de Execução (TEE),

Elemento Seguro (SE), entre outros (SRINIVAS; KEMP; ALLIANCE, 2014).

Em complemento à segurança, o padrão U2F oferece a capacidade de acesso simultâneo à

diversos sistemas e aplicativos, como segundo fator de autentificação. Este padrão previne ataques do

tipo phishing16 que induzem o usuário a divulgar credenciais, bem como do tipo shoulder surfing17 e

do tipo de gravação de teclas (keylogger) (SRINIVAS et al., 2015).

No geral, as especificações FIDO oferecem algumas características, que se associadas à

computação móvel, possibilitam melhorar a usabilidade e minimizar os riscos associados à ataques de

espionagens e roubo de informações (THIEMANN, 2016).

2.3.1 Universal Authentication Framework (FIDO UAF)

De acordo com Srinivas, Kemp e Alliance (2014), dentre os objetivos traçados para o padrão

FIDO UAF encontra-se o fornecimento de mecanismos fortes de autenticação, com uso de sensores

biométricos presentes no dispositivo do usuário. Esta característica permite complementar as soluções

para gerenciamento de identidades, a exemplo dos frameworks que utilizam o OpenID e SAML, bem

como os protocolos de autorização como o OAuth.

A arquitetura do FIDO UAF foi desenhada para atender os objetivos traçados pela Aliança

FIDO, o que é feito através de APIs e protocolos padronizados (SRINIVAS; KEMP; ALLIANCE,

2014). A Figura 4 ilustra a arquitetura de referência do UAF bem como a interação entre seus

componentes. Na sequência, os principais elementos são comentados separadamente.

O Autenticador FIDO UAF (Figura 4 - Item 1) é uma entidade segura, conectada ou instalada

dentro do dispositivo de hardware do usuário, que tem a capacidade de atestar (assinar) a chave pública

gerada no momento de registro junto ao SP (ou IdP). Para poder realizar este ateste, a entidade possui

um par de chaves criptográficas, sendo que sua chave pública fica armazenada em um repositório16 Nota do autor: Forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais como senhas, dados

financeiros, número de cartões de crédito, entre outros.17 Nota do autor: expressão utilizada quando alguém tenta olhar por cima do seu ombro de outra pessoa e tenta roubar a

informação que está sendo digitada (ex. senha numérica).

Page 52: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

51

Figura 4. Arquitetura FIDO UAFFonte: Adaptado de Srinivas, Kemp e Alliance (2014).

central de chaves (Servidor de Metadados FIDO) e é utilizada para confirmar a autenticidade do

Autenticador FIDO UAF.

Para atingir o objetivo de garantir uma autenticação confiável, um Autenticador FIDO UAF

além de provar sua autenticidade, também será capaz de informar ao provedor de serviço qual o tipo

de fator biométrico e algoritmo criptográfico foi utilizado pelo usuário. Isto fornece um alto nível de

confiança ao SP, garantindo que o usuário que está sendo autenticado é o mesmo usuário originalmente

registrado.

O Serviço de Metadados FIDO (Figura 4 - Item 2) funciona como terceira parte confiável,

armazenando e distribuindo a lista de chaves públicas (metadados) correspondentes às chaves privadas

dos Autenticadores FIDO UAF. Todos os servidores de rede que implementam o Servidor FIDO,

recebem periodicamente esse metadados e o armazenam localmente. Durante o processo de registro de

uma conta, junto ao SP ou IdP, o Servidor FIDO consulta esses metadados para atestar a autenticidade

do Autenticador e validar o registro.

O Protocolo UAF (Figura 4 - Item 3) transporta as mensagens entre os dispositivos dos

Page 53: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

52

usuários e os provedores (IdP e SP). Existem basicamente quatro tipos de mensagens:

1. Cadastro: possibilitam associar um Autenticador FIDO UAF com uma conta de usuário junto à

um SP ou IdP.

2. Autenticação: utilizadas para autenticar um usuário já cadastrado junto ao SP ou IdP.

3. Confirmação de Transação: mensagem complementar à “autenticação” que permite ao usuário

confirmar a realização de uma operação sensível, como por exemplo, confirmar uma transação

financeira ou enviar o histórico médico de um paciente.

4. Cancelamento: utilizada para apagar a conta de usuário junto ao SP ou IdP.

O Cliente FIDO (Figura 4 - Item 4) interage com o Autenticador FIDO UAF através de uma

camada de abstração provida pela API FIDO UAF e com o agente do usuário (ex. APP móvel ou

navegador web), enviando e recebendo mensagens do Servidor FIDO UAF. A especificação FIDO UAF

assegura que o Cliente FIDO seja codificado de forma personalizada pelos fabricantes, se adequando a

qualquer plataforma de hardware adotada.

A API ASM (Figura 4 - Item 5) oferece uma interface de baixo nível, que se comunica com

Autenticadores FIDO UAF de diferentes fabricantes. Essa API oferece ao Cliente FIDO a capacidade

de tratar os serviços criptográficos com uniformidade e transparência, independente da plataforma de

hardware do usuário.

O Servidor FIDO UAF (Figura 4 - Item 6) desenhado para para trabalhar de forma integrada

ao provedor (implementação interna) ou como serviço extra (implementação externa), habilita o

provedor a operar como protocolo FIDO UAF. Dentre suas responsabilidades encontram-se:

• Validar o Autenticador FIDO junto ao Serviço Local de Metadados, garantindo que apenas

Autenticadores confiáveis sejam aceitos para uso pelo provedor;

• Gerenciar a associação feita entre o Registro do Autenticador FIDO com sua respectiva conta de

usuário; e,

• Avaliar e validar as respostas de autenticação do usuário.

A arquitetura projetada para o FIDO UAF, além de permitir que o usuário possa gerar e

armazenar seu próprio par de chaves criptográficas assimétricas, traz como facilidade o uso de fatores

Page 54: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

53

biométricos para autenticação. Essa característica contribui para diminuir o roubo ou esquecimento

das senhas numéricas. Ao fazer uso da biometria, o usuário tem uma experiência mais agradável ao se

autenticar em um SP, uma vez que ele não precisa lembrar a senha cadastrada naquele serviço. Por

outro lado, para permitir o acesso do usuário ao serviço oferecido, o SP pode determinar quais fatores

biométricos são aceitos por ele.

Além disso, o padrão FIDO UAF contribui também para simplificar a codificação de programas

clientes. Por criar uma camada de abstração, que se comunica com o hardware dos dispositivos, os

desenvolvedores e fabricantes de software podem criar aplicações mais enxutas, reduzindo as linhas de

código. Além do mais, a padronização oferecida pelo FIDO UAF facilita a portabilidade das aplicações,

independente da plataforma de hardware utilizada.

2.3.2 Universal Second Factor (FIDO U2F)

De acordo com (SRINIVAS et al., 2015), o protocolo U2F foi desenvolvido para permitir

aos serviços online aumentarem a segurança das suas estruturas, adicionando um segundo fator de

autenticação. Basicamente, o usuário continua utilizando suas credenciais (nome de usuário e senha)

para ter acesso aos serviços, mas com o uso do U2F, pode até utilizar senhas mais simples (por ex: um

PIN de 4 dígitos), sem comprometer a segurança.

Contudo, a proposta da Aliança FIDO é que o protocolo U2F seja embarcado em um dispositivo

de hardware no momento da fabricação do dispositivo, de forma a permitir seu transporte físico.

Para tanto, o protocolo pode ser embutido puramente como um software, ou utilizar capacidades

criptográficas seguras do hardware. Entretanto, é recomendado que seja utilizada a segurança suportada

por hardware, para se evitar o roubo de chaves criptográficas, muito embora isto não seja uma exigência.

Uma preocupação da Aliança FIDO foi criar especificações que permitissem o uso do U2F

em qualquer dispositivo moderno, sem que o usuário precisasse fazer download de softwares para

instalação do dispositivo. Neste contexto, o dispositivo USB U2F foi projetado para funcionar com

diversos sistemas operacionais, sem mudanças de software ou instalação de drivers complexos. Este

mesmo conceito pode ser aplicado a outros dispositivos, como por exemplo dispositivos de comunica-

ção por campo de proximidade (Near Field Communication – NFC) e dispositivos de baixo consumo

energético (Bluetooth Low Energy – BLE).

As especificações para o protocolo U2F foram projetadas para que ele funcionasse em duas

camadas: uma camada superior que especifica o núcleo criptográfico do protocolo e uma camada

Page 55: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

54

inferior para se comunicar com o protocolo de transporte (por ex: USB, NFC, Bluetooth). Isto permite

embarcar o mesmo núcleo criptográfico do U2F em qualquer dispositivo de hardware, mantendo a

padronização do protocolo.

Um exemplo de uso do protocolo FIDO U2F é ilustrado pela Figura 5. Neste exemplo o usuário

acessa normalmente o provedor de serviço com as credenciais exigidas, como nome de usuário e senha

(passo 1 da Figura 5). O SP informa ao usuário que é necessário uilizar o dispositivo de segundo fator

para se autenticar. O usuário pressiona o botão de presença do dispositivo U2F (passo 2), confirmando

que está pessoalmente na frente do computador. Finalmente, o SP confirma a existência do dispositivo

U2F e concede o acesso ao SP (passo 3).

Figura 5. Dispositivo FIDO U2F utilizado para autenticação no SPFonte: Adaptado da figura disponóvel em <https://fidoalliance.org/specifications/overview/>.

Para que o SP possa solicitar ao usuário o informe do segundo fator de autenticação, é necessário

que o navegador de Internet do usuário possua uma API Javascript, permitindo a comunicação do SP

com o U2F presente no dispositivo de hardware. Contudo, é perfeitamente possível que os sistemas

operacionais de dispositivos móveis também sejam dotados de APIs para conversar com dispositivos

U2F.

Para que o processo de autenticação ilustrado pela Figura 5 possa ocorrer, o núcleo do protocolo

U2F embarcado no dispositivo de hardware, é dotado de um mecanismo de software que cria um par

exclusivo de chaves criptográficas assimétricas, para cada SP em que o dispositivo for cadastrado pelo

usuário. Por este motivo, é recomendada pela FIDO a presença de um elemento seguro no dispositivo

U2F, de forma que este dispositivo possa armazenar as chaves geradas de forma segura.

De modo geral, o protocolo FIDO U2F foi especificado para incrementar a segurança dos meca-

nismos de autenticação, além de ser projetado para operar de forma modular, oferecendo simplicidade

de implementação e uso.

Page 56: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

55

2.4 CONSIDERAÇÕES DO CAPÍTULO

Ao analisar a situação atual do Brasil com relação ao desenvolvimento de e-Gov, observa-se

que a falta de definição de uma estratégia nacional de GId tem contribuído para o surgimento de

diversas soluções ao longo dos últimos anos. Essa situação tem contribuído para que a burocracia se

mantenha presente, uma vez que o cidadão precisa seguir um procedimento diferente para cada SP

governamental acessado.

Promover a interoperabilidade entre os serviços governamentais é um dos primeiros passos

para minimizar a burocracia. As diretrizes e padrões da arquitetura e-PING já contribuem para atingir

este objetivo. Entretanto, é preciso definir uma forma segura de identificar o cidadão nas interações

com SPs governamentais.

Muitos países adotaram cartões de eID para esta identificação. Contudo, a experiência ao longo

dos anos demonstrou baixa interação cidadãos com o governo. Com o propósito de aumentar essa

interação, esses países passaram a adotar soluções de eID Móvel. Isto porque, entre as características

dessas soluções, está a facilidade de acesso a um serviço de e-Gov a qualquer momento, sendo

necessário tão somente que o cidadão esteja de posse do seu dispositivo móvel.

Dentre as soluções de eID Móvel, as que se utilizam de cartões SIM são as mais bem aceitas

por trazem características como a proteção contra violação física e facilidade de implementação. Como

alternativa existem as soluções com HSM, que são implementadas na nuvem com hardware seguros e

utilizam mecanismos de autenticação mais robustos. Se por um lado os cartões SIM adotados criam

dependências com empresas de telecom, por outro lado a complexidade de autenticação do HSM reduz

a usabilidade. O equilíbrio entre segurança, desempenho e usabilidade pode estar em um mecanismo de

autenticação de padrão aberto, como por exemplo o FIDO UAF, desde que combinado com o ambiente

de execução confiável (TEE).

Esse capítulo teve como principal objetivo pesquisar a situação de e-Gov no Brasil e entender

melhor a proposta da estratégia de GId proposta em Torres et al. (2016). Também contribuiu para

aprofundar os conhecimentos a cerca da eID Móvel e das tecnologias emergentes como FIDO e TEE,

necessários para entender como esse trabalho se relaciona com os trabalhos científicos descritos no

próximo capítulo.

Page 57: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

56

3 TRABALHOS RELACIONADOS

Este capítulo apresenta os trabalhos científicos publicados que tem relação com o uso, imple-

mentação ou modelagem da identidade eletrônica móvel. Ao final do capítulo, é feita a comparação

dos trabalhos apresentados e as considerações.

A escolha dos trabalhos foi feita com base em uma revisões sistemáticas da literatura, com o

objetivo identificar as publicações relacionadas à eID Móvel dentro e fora do contexto de governo

eletrônico. Foram realizadas buscas em cinco bases científicas, conforme descrito no Apêndice B.

3.1 MARTENS (2010)

O trabalho apresentado por Martens (2010) descreve o Sistema de Gestão de Identidade

Eletrônica (electronic Identity Management System – eIDMS) na Estônia para o contexto de e-Gov

do país. A eID Móvel foi introduzida no mercado estoniano em maio de 2007 pela maior operadora

móvel (EMT) em cooperação com a SK (Autoridade Certificadora Estoniana). Para poder utilizar a

eID Móvel o usuário precisa trocar o seu cartão SIM por um cartão com capacidade PKI.

Uma vez que o registro da eID Móvel é feito pela operadora de telefonia móvel, o processo

não é considerado pelo governo como totalmente confiável. Dessa forma, mesmo após realizar a troca

do cartão SIM por outro com funcionalidade PKI, o usuário ainda precisa “ativar” o seu eID Móvel, o

que é feito através do cartão de eID.

Entretanto, o uso da identidade eletrônica móvel é feito de forma independente do cartão de

eID, uma vez que, tanto os certificados digitais utilizados pela eID Móvel quanto os utilizados pelo

cartão de eID armazenam as mesmas informações pessoais do usuário. Basicamente, os certificados

contém o nome completo do cidadão, seu código pessoal1 (Personal Identification Code – PIC) e um

endereço de email reconhecido pelo governo, porém nenhuma informação biométrica é utilizada.

No centro da infraestrutura de eID do país está a Autoridade Certificadora (AS Sertifitseeri-

miskeskus – SK). A SK pertence à quatro das maiores empresas da Estônia: dois dos maiores bancos

(Swedbank e SEB bank) e duas grandes operadoras de telefonia do país (Elion e EMT). Com a adoção

desta infraestrutura, o governo estoniano permitiu que fosse estabelecida uma relação de confiança1 O PIC é atribuído a todo cidadão do país desde a independência do país em 1992.

Page 58: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

57

entre o setor público, bancos e as empresas de telecomunicações. Utilizar o SK como elemento central

é considerado o motivo pelo qual pode-se implantar o uso da identidade eletrônica no país, bem como

a razão da adoção da assinatura eletrônica de documentos.

No modelo adotado na Estônia, a ativação da eID Móvel é feita conectando o cidadão com a

Police and Border Guard Board, mesmo departamento responsável pela emissão dos cartões de eID.

Porém, nesse modelo o governo precisa confiar nas tecnologias adotadas pelas operadoras de telefonia

móvel e também nos certificados emitidos pela CA SK. Assim, esse modelo contribui para aumentar a

dependência do governo com empresas privadas, dificultando a tomada de decisão pública.

3.2 EN-NASRY E KETTANI (2011)

O artigo de En-Nasry e Kettani (2011) propõe um middleware a ser integrado no provedor de

identidade, de forma a oferecer vários métodos de autenticação para o usuário. Segundo afirmado

pelo autor, entre os métodos mais comuns com relação ao modo de autenticação dos sistemas de eID

Móvel, encontram-se os seguintes: autenticação baseada em cartão SIM, autenticação baseada em

chaves públicas (PKI) e autenticação baseada em senhas descartáveis (one time password – OTP).

Independente do sistema de eID Móvel adotado, o modelo proposto por En-Nasry e Kettani

(2011) se baseia em uma camada de software (middleware), de forma que seja capaz de gerenciar perfis

de usuário e contexto, garantindo que a autenticação possa ocorrer a partir de diferentes métodos.

A proposta prima pela usabilidade e adaptabilidade, desobrigando o usuário de lembrar exata-

mente qual o método de autenticação deve utilizar para acessar um SP. Em outras palavras, as formas

de autenticação são disponibilizadas de acordo o contexto móvel e com o perfil do usuário.

O autor sugere integrar o middleware no IdP, porém não deixa claro a utilização de um IdP único.

De qualquer forma, assume como premissa que toda autenticação exigida pelo SP obrigatoriamente

deve passar pelo IdP, para que o usuário possa se beneficiar do mecanismo de autenticação proposto.

Contudo, este trabalho é um apenas um modelo teórico, não tratando de implementações ou

resultados práticos. Além disso, a autenticação baseada em contexto precisa ser muito bem definida

para se evitar problemas de segurança, como por exemplo a identificação falsa de um usuário. Essas

indefinições deixam dúvidas, quanto a implementação dessa solução como um sistema seguro e

funcional, a ser aplicado em um cenário de e-Gov.

Page 59: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

58

3.3 BICAKCI ET AL. (2014)

O protocolo proposto por Bicakci et al. (2014) tem por objetivo garantir a segurança contra

ataques do tipo homem-no-meio2 (Man-in-The-Middle – MITM) em ambientes de autenticação

utilizando soluções tradicionais de eID Móvel.

Para Bicakci et al. (2014), as soluções tradicionais de eID Móvel são as que geram um par de

chaves criptográficas assimétricas (pública e privada) para autenticação do usuário, armazenando essas

chaves no cartão SIM e protegendo-as com uma senha pessoal (PIN).

Na proposta, para autenticar a eID Móvel em um SP, é levada em consideração o contexto

no qual o usuário e o dispositivo estão inseridos. Assume-se também como premissa que o sistema

operacional móvel é seguro, portanto o dispositivo móvel deve estar equipado com o ambiente de

execução confiável (TEE). Para o autor, dentro desta infraestrutura, o uso de uma entidade certificadora

(CA) pode ser dispensada sem comprometer a segurança.

Considerando que, o suporte ao TEE é uma tecnologia que deve estar presente no dispositivo

móvel no momento da fabricação, essa é uma característica que contribui para a segurança do mID-BR.

No entanto, permitir que uma CA confiável seja a responsável pela emissão do certificado implantado

no IdP e o SP, é um fator que contribui para aumentar a segurança de uma solução de eID Móvel

inserida no cenário nacional.

3.4 WU ET AL. (2014)

O método de autenticação em eID Móvel proposto por Wu et al. (2014) é baseado na utilização

da identidade eletrônica em conjunto com a tecnologia NFC (Near Field Communication). Os expe-

rimentos realizados pelo autor demonstraram que o método proposto pode ser utilizado como uma

solução de eID Móvel universal.

Basicamente, a solução de eID Móvel é composta por 5 módulos:

1. Cartão eID baseado em NFC: cartão dotado de um chip NFC que armazena o certificado de

identidade pessoal único, as chaves privadas e senha (código PIN). Por padrão, esses cartões

criptografam as informações antes da transmissão o que proporciona uma camada adicional de2 Nota do autor: referencia a técnica utilizada pelo atacante, para interceptar dados durante a comunicação de rede entre

duas partes.

Page 60: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

59

segurança;

2. Cliente de eID Móvel: projetado para intermediar a comunicação entre o cartão de eID e as

demais partes do modelo, garantindo agilidade nos processos de autenticação e reduzindo a

complexidade de implementação dos módulos;

3. Provedor de Identidade: oferece o serviço de identificação da eID e validação dos tokens recebi-

dos do servidor de aplicação (SP);

4. Aplicativo (APP): deverá incluir uma opção que permita ao usuário escolher autenticar-se com

uso do cartão de eID. Este APP envia uma solicitação de autenticação para o “Cliente de eID

Móvel”, aguardando o resultado da verificação, ao mesmo tempo que se comunica com o SP

para garantir a legitimidade do token utilizado; e,

5. SP: recebe do IdP as regras de negócio utilizadas para validar a eID. Opera como proxy interme-

diando os pedidos de autenticação do Aplicativo.

De forma geral, o método de eID Móvel proposto busca uma forma segura de autenticação e

que tenha como foco a privacidade do usuário. Na seção de trabalhos relacionados, o autor cita o caso

da eID Móvel na Alemanha, descrito por Horsch, Braun e Wiesmaier (2011).

3.4.1 Horsch, Braun e Wiesmaier (2011)

No relatório técnico publicado por Horsch, Braun e Wiesmaier (2011), é apresentado o software

MONA3 (Mobile usage of the new German identity card) como uma aplicação Java ME (Java Micro

Edition) desenvolvido para permitir que o cartão de eID alemão possa ser lido por dispositivos móveis

equipados com a tecnologia NFC.

Disponibilizado em 2011, o MONA foi a primeira solução na Alemanha a permitir que os

cartões de eID fossem utilizados através dos dispositivos móveis, nas interações entre cidadãos e

governo. No final de 2015, o software oficial do governo para a identidade eletrônica, o “AusweisApp2”,

passou a contar também com versões para sistemas operacionais móveis (BSI, 2015).

Tanto a solução teórica apresentada por Wu et al. (2014), quanto as soluções de eID Móvel

implantadas na Alemanha dependem de um cartão dotado de um chip para armazenar a eID, os

atributos e as chaves criptográficas do cidadão. Para o cenário atual de e-Gov no Brasil, essas soluções3 Desenvolvido inicialmente para o telefone celular Nokia 6212, porém facilmente portado para qualquer outro modelo

Page 61: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

60

não poderia ser implementadas de imediato, pois iriam requerer inicialmente a emissão dos cartões de

eID para os cidadão.

3.5 KRIMPE (2014)

Krimpe (2014) descreve a implementação da eID Móvel na República do Azerbaijão. Conhecida

no país por Asan Ìmza ou “Assinatura Simples”, a solução de eID Móvel faz parte do projeto de

assinatura eletrônica (e-Signature) móvel, sendo o principal componente das políticas de e-Gov

daquele país. A implementação da eID Móvel é baseada em uma parceria público-privada (Public-

Private-Partnership – PPP), realizada com as maiores operadoras de telefonia móvel do país.

Representando um dos elementos centrais de toda a estrutura de eID Móvel do país, a Au-

toridade Certificadora (Asan Certification Service Centre of Ministry of Taxes – MT-ASXM) emite

os certificados digitais com validade de 3 anos para serem utilizados na autenticação dos SPs ou

assinatura de documentos. Outro elemento central é o Mobil ID Center, empresa essa responsável pelo

processo de desenvolvimento tecnológico da solução de eID Móvel, que inclui o desenvolvimento e

atualização de aplicativos (APPs) e softwares, suporte aos clientes e integração de novos SPs (bancos,

e-Services, etc).

Todo cidadão que queira utilizar a eID Móvel, deve solicitar um cartão SIM PKI junto a uma

das operadoras de telefonia móvel homologadas pelo governo. Posteriormente precisa comparecer

pessoalmente em um centro de registro para solicitar seu certificado digital pessoal. O centro de registo

então liga o cartão SIM do cidadão ao seus certificados digitais, de forma que a identidade eletrônica

passe a ter valor legal. Considerando que o processo de registro é feito de forma presencial, essa foi

uma das formas encontradas pelo governo para prevenir a fraude de falsidade ideológica, evitando por

consequência, as fraudes de identidade no meio eletrônico.

Da mesma forma que a solução de eID Móvel implementada na República do Azerbaijão,

para o atual cenário de e-Gov no Brasil, a ativação ou cadastro da eID Móvel pode ser realizada

presencialmente para se evitar fraudes. Entretanto, diferentemente do que foi apresentado, adotar

soluções e especificações abertas possibilitaria ao governo brasileiro desenvolver sua própria solução de

eID Móvel, sem necessidade de estabelecer parcerias com empresas privadas para o desenvolvimento

tecnológico.

Page 62: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

61

3.6 PRUSA (2015)

O trabalho de Prusa (2015) trata dos aspectos ligados à confiança relacionada eID e sua

integração com o governo eletrônico. Discute os projetos europeus STORK e STORK 2.0 e a integração

entre os países da União Europeia, como forma de motivar o avanço da interoperabilidade entre países.

O uso da identidade eletrônica é o foco principal da publicação, abordando de forma rápida o uso da

eID através de dispositivos móveis citando a Áustria, Estônia e Islândia.

Conforme citado pelo autor, não existe neste momento uma solução universal para uso da eID

por todos os países. De qualquer forma, utilizando um estudo comparativo, com a análise de cada

Estado membro da Comunidade Europeia, o autor classifica a utilização das ferramentas de eID em

três grupos: (1) soluções baseadas em certificados digitais com cartões de eID; (2) soluções usando

dispositivos móveis; e (3) soluções SSO construídas com base em software.

As soluções baseadas em dispositivos móveis podem se valer de uma infraestrutura integrada

ao cartão SIM, como observado no serviço oferecido pela empresa Skilriki4 na Islândia. Outra

possibilidade é o uso de senhas descartáveis (one-time passords – OTP), que são enviadas ao dispositivo

móvel do cidadão através de mensagem, semelhante aos serviços fornecidos pelos bancos. Nesse

segundo modelo, a autenticação ocorre em dois momentos: primeiro é requerido um nome de usuário

e senha e por segundo solicita-se a OTP enviada ao telefone móvel pessoal do cidadão.

Para o autor, dentre as tecnologias mais difundidas encontram-se os cartões de eID. Entretanto,

em termos de facilidade de uso esses cartões são parcialmente superados pelas soluções de eID

Móvel. Conforme observado nos países citados no artigo os cidadãos em geral preferem utilizar a eID

Móvel, uma vez que eles estão habituados a utilizar o serviço de Internet Banking que não exige um

conhecimento muito avançado em computação.

O mID-BR garante segurança da eID Móvel com base em uma chave privada, armazenada no

dispositivo de hardware no momento da fabricação, assim como ocorre com a solução apresentada

pelo autor com o cartão SIM. No entanto, o mID-BR dispensa o pagamento de royalties para soluções

proprietárias. Da mesma forma, construir a eID Móvel baseada em chaves criptográficas se apresenta

como uma solução mais segura, se comparada com a solução baseada em nome de usuário e senha

descrita pelo autor.4 Acessível em <http://www.skilriki.is/notendur/skilriki-i-farsima/>

Page 63: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

62

3.7 ZEFFERER (2015)

O trabalho desenvolvido por Zefferer e Teufl (2015) faz uma pesquisa e analisa as soluções

de eID Móvel e assinatura eletrônica adotadas por países europeus. Seguindo uma metodologia de

pesquisa que seleciona apenas as soluções em uso, o artigo filtra os resultados por modelos que

efetivamente estão em uso por governos, descartando soluções exclusivamente em uso por entidades

privadas.

Para os pioneiros na adoção da eID Móvel, as soluções adotadas foram abandonadas ou

substituídas ao longo dos anos. De qualquer maneira, estas experiências serviram para aprimorar ou

escolher novas soluções. Com mais de 5 anos de operação, a nova solução da Áustria batizada de

“Austrian Mobile Phone Signature” e comandada pela Austrian CA A-Trust, oferece uso tanto para o

setor público quanto para o segmento privado.

Na Estônia, a solução de eID Móvel e assinatura eletrônica é conhecida “Mobiil-ID”. Nessa

solução os dados do usuário são armazenado no cartão SIM fornecido pelas operadoras de telefonia

móvel. Com abordagem semelhante, a solução chamada de “BankID” na Noruega indica também

a participação do setor bancário. Outras soluções que seguem a abordagem com uso do cartão SIM

também são encontradas na Finlândia e Lituânia, o que demonstra que os Estados Escandinavos e

Bálticos estão juntamente com a Áustria, entre os países líderes com relação à adoção da eID Móvel e

assinatura eletrônica na Europa.

Ainda em 2007, com o nome “MobilImza” a Turquia desenvolveu a solução de eID Móvel e

assinatura eletrônica, tendo nas operadoras de telefonia móvel Turkcell e Avea os tomadores de decisão

centrais. Assim como nos países Escandinavos e Bálticos, a solução da Turquia segue a abordagem de

arquitetura baseada em cliente, porém utilizando um cartão SIM melhorado.

Recentemente, soluções utilizando o cartão SIM foram adotados pela Moldova e Suíça. Na

Moldova, a solução foi introduzida em 2012 com a participação das operadoras de telefonia móvel e

tendo no governo como Entidade Certificadora raiz. Na Suíça, com o nome de “Swiss Mobile ID”,

a solução foi colocada em produção em 2013. Porém, diferentemente dos demais países a solução

foi colocada em produção primeiramente para prover a funcionalidade de eID Móvel. A função de

assinatura eletrônica foi adicionada recentemente, através de implementação de serviço baseado em

nuvem.

Page 64: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

63

3.7.1 CNP (2015)

Uma das referências citadas no artigo de Zefferer e Teufl (2015), levou a publicação feita em

CNP (2015) pelo governo da Espanha sobre a solução de eID no país. Com o lançamento da versão 3.0

do DNIe (Documento Nacional de Indentificación) em janeiro de 2015, o documento de identificação

do cidadão passou a ser emitido com um chip sem contato (NFC).

Para que o DNIe pudesse operar como uma eID Móvel, a INCIBE5 (Instituto Nacional de

Ciberseguridad), criou o projeto DNIeDroid para desenvolver um aplicativo em Java, permitindo que o

DNIe pudesse operar tanto com sistemas operacionais Android quanto iOS, sendo lido por dispositivos

móveis equipados com a tecnologia NFC (CNP, 2015).

Muito embora as soluções nacionais de eID Móvel e assinatura eletrônica ainda estejam em

fase de crescimento na Europa, Zefferer e Teufl (2015) afirma que a aceitação por parte dos usuários

ainda é uma grande barreira. Tipicamente, soluções que exigem do usuário a troca do cartão SIM

por outro com funcionalidades criptográficas, são elencadas como potenciais barreiras, especialmente

quando essa troca gera custos adicionais para os usuários (ZEFFERER; TEUFL, 2015). No entanto,

não é apresentada uma proposta alternativa de eID Móvel que se baseie em tecnologias e padrões

abertos.

3.8 KERTTULA (2015)

O trabalho de Kerttula (2015) tem por objetivo descrever as questões legais, arquitetura e

padrões do serviço de eID Móvel da Finlândia. O serviço é baseado um uma estrutura PKI móvel

e na federação de asserções de segurança usando padrões ETSI MSS. As credenciais de segurança

pessoais são armazenadas no UICC e as operações de criptografia rodam neste SE a prova de violação

do operador de telefonia móvel.

Os operadores de telefonia móvel participam ativamente do sistema de eID Móvel no país.

Com serviço lançado em junho de 20116, atualmente as operadoras TeliaSonera Finland, Elisa e DNA

são as responsáveis pela implementação e desenvolvimento da eID Móvel, atuando em cooperação

com a FiCom7. Entretanto, o sistema é aberto ao ponto de permitir a entrada de novos operadores de

telefonia.5 Órgão vinculado ao governo com site oficial disponível em: <https://www.incibe.es>6 Disponível em <www.mobiilivarmenne.fi/en/index.html>.7 Finnish Federation of Communications and Informatics.

Page 65: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

64

Esses operadores agem como uma autoridade certificadora raiz (CA) e cuidam das funções

das autoridades de registro (RA) em seus escritórios locais. As RAs autenticam e registram o usuário,

emitem o cartão USIM (Universal Subscriber Identity Module) e fornecem serviços de suporte por

telefone. A CA emite certificados móveis, gerencia suspensão e revogação de certificados e cuida do

repositório de certificados.

Como o modelo se utiliza de um elemento seguro (USIM), as chaves RSA podem ser geradas

de uma forma simples e segura dentro deste elemento. Da mesma forma, a assinatura móvel se utiliza

de um conjunto de aplicativos (SIM Application Toolkit – SAT) inserido no SE. A utilização deste

conjunto de funcionalidade criptográficas é possível pois elas são pré-programadas, pelos fabricantes,

diretamente na memória do UICC.

O foco principal do trabalho reside no modelo de gestão da eID Móvel, realizada através

das operadoras de telefonia móvel. Nesse cenário, o governo da Finlândia estabelece os padrões

tecnológicos de segurança, mas depende totalmente dessas operadoras para oferecer o serviço aos

cidadãos, tanto no sentido da implementação da eID Móvel quanto no próprio modelo de negócios

estabelecido por essas operadoras.

3.9 ANÁLISE DOS TRABALHOS RELACIONADOS

No Quadro 1 são apresentadas algumas informações sobre a implementação das soluções de

eID Móvel, obtidas na análise dos trabalhos relacionados. Esse quadro foi organizado em dez colunas,

conforme segue:

1. Nome do artigo, identificado pela citação dos autores;

2. Cenários de aplicação: domínio de utilização da eID Móvel, ou seja, se a solução de eID Móvel

foi proposta ou implementada para um país específico, ou trata-se apenas de um modelo teórico

onde o autor não especifica onde será utilizada;

3. Nome da solução de eID Móvel reconhecida no país, ou nome dado pelo autor do artigo para

seu modelo teórico;

4. Início da operação: data de lançamento da solução de eID Móvel no país;

5. Se houve o estabelecimento de parcerias público-privada para desenvolvimento da solução;

6. Tipo de elemento seguro adotado pela solução de eID Móvel;

Page 66: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

65

7. Autenticação: o que é preciso informar pelo cidadão para que o processo de autenticação ocorra,

como por exemplo, nome de usuário, senha numérica, senhas descartáveis (OTP), entre outras;

8. Se a solução prevê a capacidade de assinatura eletrônica de documentos; e por fim,

9. Na última coluna é informado se a solução de eID Móvel gera algum custo para o cidadão. Além

da aquisição do próprio dispositivo móvel (por ex. telefone celular), muitas vezes é exigido que

o usuário adquira um elemento seguro (por ex. cartão SIM) e faça a assinatura de algum plano

de dados móveis (por ex. 3G) com uma operadora de telefonia móvel.

Alguns países foram citados em mais de um trabalho relacionado. Para esses casos, foi consi-

derada apenas uma referência (linha) no Quadro, como é o caso da Áustria que aparece nos trabalhos

de Prusa (2015), Zefferer e Teufl (2015) e Martens (2010), da Estônia que é descrita nos trabalhos

de Prusa (2015) e (ZEFFERER; TEUFL, 2015), e da Finlândia que é citada por Kerttula (2015) e

Zefferer e Teufl (2015). Dados incompletos, imprecisos, não informados ou irrelevantes foram deixados

intencionalmente sem preenchimento (marcação “-”).

Nas publicações de Martens (2010), Krimpe (2014) e Kerttula (2015), apenas um país em

cada artigo foi analisado pelos autores, respectivamente a Estônia, a República do Azerbaijão e a

Finlândia. Embora a primeira solução de eID Móvel tenha sido implementada em 2007 (Estônia),

observou-se que as implementações posteriores seguem a mesma abordagem, com a adoção do cartão

SIM como elemento seguro, da utilização de autenticação tanto pelo governo quanto pelo setor privado

e a possibilidade de assinatura eletrônica de documentos.

Os autores En-Nasry e Kettani (2011), Bicakci et al. (2014) e Wu et al. (2014) optaram por

apresentar um modelo teórico de autenticação móvel. En-Nasry e Kettani (2011) propõem um protocolo

extensível para operar de forma independente em plataformas de autenticação (ex. IdP), de forma

que essas plataformas sejam capazes de reconhecer e trabalhar com todos os tipos de autenticação

existentes, como biometria, senhas descartáveis e identificação de contexto por exemplo.

Dentre os trabalhos relacionados, Wu et al. (2014) foi único a propor a utilização do chip

do cartão de eID do cidadão como elemento seguro. No entanto, ao seguir algumas referências dos

trabalhos apresentados, encontra-se implementação semelhante feita pelos governos da Alemanha e da

Espanha. Essas implementações sugerem utilizar dispositivos móveis equipados com um leitor NFC,

para ler o chip dos cartões e acessar as informações do usuário.

Page 67: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

66

Quadro 1. Comparação dos trabalhos relacionadosA

rtig

o

Cen

ário

deA

plic

ação

Nom

eda

Solu

ção

Iníc

ioda

Ope

raçã

o

Parc

eria

Públ

ico-

Priv

ada

Ele

men

toSe

guro

Aut

entic

ação

Ass

inat

ura

Ele

trôn

ica

Cus

topa

rao

Usu

ário

MARTENS(2010) Estônia Mobiil-ID 2007 Sim

CartãoSIM PIN Sim

Telefone,cartão SIM,

assin. mensalEN-NASRYE KETTANI

(2011)

SoluçãoTeórica

Open MobileIDM

Framework- Sim

CartãoSIM OTP Não

Telefone,cartão SIM,

assin. mensal

BICAKCI(2014)

SoluçãoTeórica

Mobile-IDProtocol - Sim

CartãoSIM +TEE

PIN NãoTelefone,

cartão SIM,assin. mensal

WU ET AL.(2014)

SoluçãoTeórica

MobileAuthentication - -

Cartãode eID PIN Não Telefone

KRIMPE(2014)

Repúblicado

AzerbaijãoAsan Ìmza 2014 Sim

CartãoSIM PIN Sim

Telefone,cartão SIM,

assin. mensal

PRUSA(2015) Islândia

SkilrikiService 2014 Sim

CartãoSIM PIN -

Telefone,cartão SIM,

assin. mensal

AustriaMobile Phone

Signature 2010 - HSMSenha +

OTP Sim Telefone

Noruega Bank-ID 2009 SimCartãoSIM PIN Sim

Telefone,cartão SIM,

assin. mensal

ZEFFERER,TEUFL Lituânia

LithuanianEletronicSignature

2007 SimCartãoSIM PIN Sim

Telefone,assinatura

mensal

(2015) Turquia Mobil lmza 2007 SimCartãoSIM PIN Sim

Telefone,cartão SIM,

assin. mensal

Moldova Mobile e-ID 2012 SimCartãoSIM PIN Sim

Telefone,cartão SIM,

assin. mensal

SuíçaSwiss

Mobile ID 2013 SimCartãoSIM PIN Sim

Telefone,assin. mensal

KETTULA(2015) Finlândia

Mobiilivar-menne 2010 Sim

CartãoUSIM

PIN+

OTPSim

Telefone,cartão USIM.assin. mensal

ESTETRABALHO Brasil mID-BR - Não TEE Biometria Sim Telefone

Fonte: Elaborado pelo próprio autor.

Page 68: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

67

O trabalho de En-Nasry e Kettani (2011) aborda a autenticação em multi-fatores, dos quais

o uso biométrico é citado como incremento da segurança. Entretanto, a solução proposta carece

de implementação e resultados práticos. Já o trabalho de Bicakci et al. (2014) tem como foco a

preocupação com a segurança e apresenta o TEE para minimizar o problema com malwares, contudo

propõe integrar o TEE com uma solução já existente de eID Móvel que utiliza o cartão SIM como

elemento seguro.

Na publicação de Prusa (2015), quatro países são citados: Áustria, Estônia, Islândia e Repú-

blica Tcheca, porém poucas informações sobre a implementação da identidade eletrônica móvel são

apresentadas. O autor discute alguns modelos de eID Móvel e afirma não existir uma solução universal.

No entanto, nenhuma solução ou protótipo é apresentado.

Observa-se no Quadro 1 que a maioria do trabalhos analisados (aproximadamente 70%) imple-

menta a eID Móvel com uso do cartão SIM como elemento seguro. No entanto, essa implementação

gera um custo elevado com a aquisição dos cartões SIM PKI, custo esse que normalmente é repassado

para o cidadão ou é subsidiado pelo governo (ZEFFERER; TEUFL, 2015). Além disso, devido à

necessidade de identificação do cartão SIM através da rede de dados das operadoras de telefonia móvel

(DO et al., 2013), o uso da eID Móvel está atrelado à contratação de um plano de dados móveis,

gerando custos extras o cidadão (KERTTULA, 2015).

O único país a apresentar uma solução baseada em servidor foi a Áustria. Conforme estudo

realizado no Capítulo 2, esse modelo pode prejudicar a usabilidade quando mecanismos mais comple-

xos de autenticação são utilizados. Além do mais, esse modelo foca na segurança de armazenamento

e geração das chaves privadas pelo HSM, não estabelecendo padrões para garantir a segurança de

dispositivos móveis infectados por malwares, por exemplo.

Para o Brasil, uma estratégia de gestão de eID foi proposta por Torres et al. (2016), conforme

descrito na Subseção 2.2.2.1. Nessa proposta, é sugerida a adoção da eID Móvel para aumentar o

nível de segurança da identidade eletrônica, e citada a utilização do TEE para aumentar a segurança

das aplicações que são executadas no dispositivo móvel. No entanto, a proposta não detalha como a

solução de eID Móvel operaria no país e não apresenta resultados de uma prototipação.

Em comparação às soluções analisadas, na última linha é apresentada algumas características

da solução de eID Móvel proposta por esse trabalho. O mID-BR segue a maioria das abordagens ao

oferecer uma forma de autenticar o usuário perante SPs governamentais, porém aplicado ao cenário

de e-Gov no Brasil. A segurança da eID é aprimorada através de um elemento seguro presente no

Page 69: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

68

próprio dispositivo móvel e através da criptografia de chave pública implementada pelo protocolo

FIDO UAF. Da mesma forma, o dispositivo deve estar equipado com o TEE, oferecendo um ambiente

seguro contra infecções por malware. Por fim, assim como todas as soluções de eID Móvel o mID-BR

também exige do cidadão um dispositivo móvel. No entanto, não é obrigatória a assinatura de um

plano de dados móveis, uma vez que a solução proposta opera em qualquer rede de dados.

Ao fazer um paralelo entre as soluções adotadas pelos países e as soluções oferecidas por

empresas privadas, observa-se uma grande preocupação das nações em oferecer soluções simples para

os cidadãos, ao mesmo tempo que grandes empresas privadas também estão preparadas para tornar

esta tarefa simples para o governo.

Contudo, adotar algumas dessas soluções proprietárias requerem alguns cuidados. Para um país

como o Brasil, que possui um grande números de usuários em potencial, é preciso analisar o impacto

financeiro de uma solução pronta para uso, bem como analisar a aderência dela com os padrões já

estabelecidos pela arquitetura e-PING.

3.10 CONSIDERAÇÕES

Com avanço tecnológico dos dispositivos móveis, as capacidades de hardware tem se ampliado

e os softwares estão se tornando cada vez mais intuitivos, fazendo destes aparelhos o elemento perfeito

para estar junto do usuário em qualquer lugar. Ao combinar elementos seguros de armazenamento e

processamento, estes dispositivos passam a permitir que transações online seguras possam ser realiza-

das. Neste contexto, as soluções de eID Móvel se destacam como soluções viáveis pela usabilidade

e pela alta segurança oferecida. No geral, os custos para os cidadãos são relativamente baixos, uma

vez que o componente mais caro destas soluções é o dispositivo móvel e normalmente o cidadão já o

possui. Além disso, as demais funcionalidades providas por esses dispositivos permitem ao cidadão

outras facilidades, que não o uso exclusivo como identificador eletrônico.

Conforme observado no estudo dos trabalhos relacionados, a adoção de soluções de eID Móvel

se mostram cada vez mais frequentes. Oferecer serviços a uma gama maior de pessoas tem motivado

sua adoção por governos, além de ter atraído o interesse de empresas privadas. Trabalhos científicos em

sua maioria descrevem as soluções já implementadas e prontas para uso. Poucos trabalhos realmente

propõem uma solução de eID nova ou oferecem resultados de uma prototipação.

Mesmo assim, a maioria das soluções foi concebida através da utilização de cartões SIM,

justamente pela facilidade de implementação. Por outro lado, essas soluções criam uma dependência

Page 70: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

69

financeira e tecnológica com as operadoras de telefonia móvel, tanto por parte do cidadão quanto por

parte do próprio governo.

Finalmente, compreender o funcionamento das soluções existentes e das pesquisas científicas a

cerca da eID Móvel se constituíram um passo importante para a abordagem do problema de pesquisa.

Este capítulo apresentou os trabalhos encontrados na literatura, os quais serviram de base para a

modelagem do sistema de Gestão de eID Móvel Nacional proposto.

Page 71: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

70

4 SISTEMA DE GESTÃO DE EID MÓVEL NACIONAL

Este capítulo descreve a proposta para um sistema de Gestão de eID Móvel Nacional, alinhado

aos padrões de interoperabilidade definidos pela arquitetura e-PING. A Seção 4.1 apresenta a visão

geral e as premissas da solução proposta. A descrição detalhada do sistema de Gestão de eID Móvel e

os cenários de uso estão descritos na Seção 4.2. Com o objetivo de verificar a viabilidade do sistema

proposto, a Seção 4.3 apresenta a modelagem do protótipo desenvolvido como prova de conceito. As

ferramentas e tecnologias escolhidas são detalhadas na sequência, bem como os detalhes técnicos e de

integração dos atores do protótipo.

4.1 VISÃO GERAL E PREMISSAS

O governo brasileiro, até o momento da escrita deste trabalho (junho de 2017), não definiu sua

estratégia nacional de gestão de identidade eletrônica. O que existe é uma definição de padrões para

interoperabilidade de governo eletrônico (arquitetura e-PING), concebida como estrutura básica para a

estratégia de e-Gov no Brasil (BRASIL, 2016). Porém, essa arquitetura apenas define um conjunto

mínimo de premissas e especificações técnicas para regulamentar o uso das TICs nos serviços de

e-Gov, não definindo uma estratégia em si.

Ao longo dos últimos anos, algumas iniciativas surgiram com o propósito de definir uma

estratégia nacional. Dentre estas, destacam-se o projeto para registro de identidade civil (RIC) do

Ministério da Justiça (ARAÚJO, 1998) e o documento de identificação nacional (DIN) do Tribunal

Superior Eleitoral (SERRAGLIO, 2015). Se por um lado o RIC apresenta indícios de descontinuidade

(MJ, 2017), por outro o DIN tende a se tornar uma realidade, principalmente após a aprovação do

projeto de lei no 19, em abril de 2017 (GOV.BR, 2017). Contudo, o futuro do DIN ainda é incerto pois

depende de aprovação legal para ser implementado.

Em 2016, uma estratégia nacional de gestão de identidade eletrônica foi proposta por Torres

et al. (2016) para alavancar o programa de e-Gov brasileiro. Com base no projeto RIC, a estratégia

segue o modelo de gestão de identidade centralizado e com formato da eID dependente do nível de

segurança exigido pelo SP a ser acessado pelo usuário. Por exemplo, se o nível de segurança exigido

for baixo, somente o fator de conhecimento baseado em senha é empregado. Para níveis mais altos,

a eID pode utilizar um fator de posse, como por exemplo um cartão inteligente (smartcard) ou um

Page 72: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

71

dispositivo móvel (smartphone). Embora esteja prevista a utilização de eID Móvel, essa proposta não

descreve como esta pode ser implementada e utilizada pelo cidadão.

Nesse contexto, este trabalho tem por objetivo descrever um sistema de Gestão de eID Móvel

Nacional alinhado à estratégia nacional de e-Gov brasileiro proposta em Torres et al. (2016). Como

forma de verificar a viabilidade da solução proposta, foi desenvolvido um protótipo em software, que

funciona como um agente de usuário para dispositivos móveis. Este protótipo, chamado de mID-BR,

possibilita criar e utilizar a eID Móvel para que o cidadão possa interagir com serviços de governo

eletrônico.

Para garantir a aderência aos padrões e tecnologias recomendados para o programa de e-Gov

brasileiro, foram seguido os padrões de interoperabilidade definidos pela arquitetura e-PING, dos

quais se destacam: o TLS para a transferência segura de dados em rede; o algoritmo AES (Advanced

Encryption Standard) para as chaves de cifragem; o X.509 para os certificados digitais; o SAML para

a troca de informações sobre autenticação e autorização; o XML (EXtensible Markup Language) e o

JSON (JavaScript Object Notation) como linguagem para intercâmbio de dados.

Conforme observado nos trabalhos relacionados (Capítulo 3), as estratégias nacionais de GId

mais comumente adotadas pelos governos que utilizam a eID Móvel são baseadas na implementação

de um modelo cliente com cartão SIM ou de um modelo baseado em servidor com uso de HSM.

O objetivo da solução proposta neste trabalho é definir um sistema de eID Móvel que utilize

mecanismos robustos de autenticação, que não gere custos elevados para o governo ou para o cidadão

e que seja ao mesmo tempo simples de usar e implementar. Os padrões da Aliança FIDO, que são

especificações abertas, visam simplificar o processo de autenticação, aprimorar a segurança com uso

da biometria e garantir a privacidade do usuário. Devido a isto, a tecnologia FIDO UAF foi escolhida

como o elemento central da solução.

Ao combinar o padrão FIDO UAF com tecnologias presentes no próprio dispositivo móvel

do usuário, como um ambiente de execução confiável (TEE) ou um elemento seguro (SE), o sistema

proposto visa aumentar a segurança da geração e do armazenamento das chaves criptográficas. Porém,

quando o aplicativo de eID Móvel é executado no TEE, a capacidade de processamento para as

informações sensíveis é maior quando comparada aos elementos seguros tradicionais (cartão SIM).

Além dessas características, outra vantagem em combinar o FIDO UAF com o TEE ou SE é a

proteção extra contra ataques de malwares. Associar essas tecnologias possibilita que um ambiente de

Page 73: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

72

software e hardware isolado seja criado para executar de forma segura o cliente FIDO instalado no

dispositivo pelo fabricante do hardware.

Com relação aos custos da solução proposta, o usuário terá como gasto a aquisição do próprio

dispositivo móvel, algo que também ocorre com todas as demais soluções de eID Móvel. A tendência

natural é que, quanto mais dispositivos forem fabricados com as tecnologias FIDO UAF, mais baratos

eles se tornem para os cidadãos. Para o governo, por outro lado, aderir às especificações abertas permite

implementar SPs governamentais de baixo custo.

A solução de eID Móvel proposta possui as seguintes características:

• utiliza padrões e tecnologias recomendados pela arquitetura e-PING, o que garante aderência da

solução proposta ao cenário brasileiro;

• faz uso de um IdP centralizado, conforme a estratégia nacional de gestão de identidade eletrônica

proposta por Torres et al. (2016);

• antes de poder fazer uso da sua eID Móvel, o cidadão deve cadastrá-la pessoalmente junto a uma

entidade pública de registro, como por exemplo, um posto de atendimento da Polícia Federal;

• assume como premissa que os dispositivos móveis dos usuários estão preparados para FIDO

e TEE ou SE, desde o momento da fabricação do dispositivo de hardware, mesmo que a

implementação do FIDO UAF tenha sido feita em um hardware removível (por exemplo um

cartão micro SD) e inserido no dispositivo;

• o servidor FIDO UAF pode ser configurado para aceitar somente um grupo específico de fabri-

cantes de hardware, evitando o uso de dispositivos móveis ou hardware removíveis considerados

inseguros pelo Governo brasileiro;

• o mID-BR faz uso do protocolo FIDO UAF para gerar as chaves criptográficas;

• a impressão digital do cidadão é utilizada como fator biométrico para proteger a chave privada

gerada no próprio dispositivo móvel;

• o ambiente seguro de execução (TEE) é utilizado para criar um ambiente de software e hardware

isolado para geração e armazenamento das chaves criptográficas, bem como para armazenar e

validar a biometria do cidadão;

• o “nome de usuário”, cadastrado no IdP, deverá passar por um processo de criptografia antes de

ser entregue ao SP, gerando um pseudônimo único por SP;

Page 74: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

73

• para atender o requisito de autenticidade, integridade e confidencialidade, toda comunicação

estabelecida entre o mID-BR, o IdP e os SPs, é realizada por meio de canais seguros TLS; e

• assume como premissa que certificados digitais utilizados foram emitidos por uma autoridade

certificadora (CA) confiável. Assume-se ainda que a CA confiável é a Infraestrutura de Chaves

Públicas Brasileira (ICP-Brasil1).

Apesar do cidadão poder gerar e armazenar suas chaves criptográficas no seu próprio dispositivo

móvel e protegê-las com uso de fatores biométricos, ainda resta a questão relacionada à privacidade do

usuário e a preocupação com a redução de fraudes no Brasil. Se por um lado, a total preocupação com

a privacidade leva ao uso de pseudônimos e praticamente nenhum atributo pessoal enviado à um SP,

por outro lado, resolver o problema de fraudes requer que os SPs consigam identificar o usuário que

utiliza algum serviço.

De acordo com a proposta de Torres et al. (2016), o nome de usuário deve ser constituído por

um pseudônimo, de forma a garantir a privacidade do cidadão. No entanto, dependendo do nível de

segurança exigido pelo serviço governamental, atributos pessoais deverão ser entregues ao SP de forma

a identificar o cidadão.

De acordo com o relatório técnico produzido por UnB (2015a), o projeto RIC procura definir

algumas informações biográficas, de forma a poder identificar uma pessoa como cidadão único.

Para tanto, define dois conjuntos de informações, sendo um conjunto de informações obrigatórias

e outro conjunto de informações complementares ou não obrigatórias. Com relação às informações

obrigatórias, as seguintes foram definidas pelo RIC: nome completo; data de nascimento; sexo; filiação;

naturalidade; nacionalidade; e matrícula do sistema de informações do registro civil (SIRC) ou RG.

Com o intuito de minimizar o problema com fraudes no Brasil, é necessário que o provedor de

identidades governamental possa identificar o cidadão. O sistema de gestão de eID Móvel proposto

seguirá a diretriz traçada pelo projeto RIC, associando a eID Móvel do cidadão com seus atributos

pessoais armazenados na base de dados do RIC. Essa definição evitará problemas com homônimos

no país, de forma a identificar exatamente quem o cidadão diz ser ao se identificar eletronicamente.

Entretanto, para garantir a privacidade do usuário perante o SP, o “nome de usuário” será encaminhado

pelo IdP ao SP através de asserções SAML e no formato de um hash MD5 personalizado por SP.

1 Acessível em <http://www.iti.gov.br/icp-brasil>.

Page 75: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

74

A Figura 6 ilustra a integração entre o sistema de gestão de eID Móvel desse trabalho, com a

estratégia de GId proposta por Torres et al. (2016) e descrita na Subseção 2.2.2.1. O cidadão, de posse

de seu dispositivo móvel (celular) preparado para FIDO e TEE, interage com o SP governamental

(Provedor de Servido A - SAML) e com o IdP SAML por meio do aplicativo mID-BR. Como as

informações do cidadão estão armazenados na base de dados RIC (base em azul na Figura 6) e são

consultadas pela base eID (base em vermelho na Figura 6), o IdP interage diretamente com a base eID

para buscar os atributos pessoais.

Figura 6. Visão Geral do Sistema de Gestão de eID Móvel NacionalFonte: Adaptado de Torres et al. (2016).

Conforme ilustrado na Figura 6, o aplicativo mID-BR é constituído de um cliente ativo, o qual

interage diretamente com o cliente FIDO disponibilizado pelo fabricante do dispositivo. O cliente

ativo também é responsável pela interação com o usuário e pela troca de asserções SAML. Já as

funcionalidades do cliente FIDO são descritas na Subseção 2.3.1.

Embora exista uma relação de confiança entre as entidades ilustradas na Figura 6, os atributos

do cidadão só serão encaminhados do IdP ao SP governamental após uma confirmação do usuário, por

meio de uma tela de consentimento. Essa abordagem caracteriza um modelo de SGId centralizado e

centrado no usuário, uma vez que toda interação com um SP inicia obrigatoriamente pela identificação

do cidadão junto ao IdP e requer autorização para liberar os atributos pessoais.

De forma geral, tem-se as seguintes entidades no sistema proposto: a eID Móvel sendo represen-

tada pelo mID-BR (agente do usuário), o IdP responsável por identificar o cidadão no meio eletrônico

e os SPs, representando os serviços acessados pelo cidadão e que exigem deste a identificação e a

autenticação, antes de conceder autorização de acesso.

Page 76: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

75

4.2 DETALHAMENTO DA SOLUÇÃO PROPOSTA

O sistema proposto contempla quatro etapas: (1) cadastro da eID Móvel na entidade pública

responsável pelo registro; (2) registro da eID Móvel nos SP de e-Gov, para assinar documentos

eletrônicos; (3) utilização da eID Móvel para acessar um serviço de e-Gov; e, (4) revogação da eID

Móvel.

1a etapa: cadastro da eID Móvel na entidade pública responsável pelo registro

Figura 7. Fase de cadastro da eID MóvelFonte: Elaborado pelo próprio autor.

A Figura 7 ilustra os passos para registro da eID Móvel no provedor de identidade (IdP). Com

seu dispositivo móvel preparado para FIDO e TEE, o cidadão deve comparecer pessoalmente em uma

entidade pública de registro e apresentar ao atendente um documento de identificação civil (passo 1

da Figura 7). O atendente inicia o processo de cadastro da eId Móvel do cidadão no IdP acessando

a aplicação de registro (passo 2). Em seguida, o atendente fornece uma credencial de acesso para o

cidadão, composta por um “nome de usuário” e uma senha descartável (OTP) (passo 3). O cidadão,

através de seu dispositivo móvel, acessa a aplicação de registro com a credencial recebida, baixa e

instalada o aplicativo mID-BR (passo 4). O cidadão executa o aplicativo mID-BR e escolhe a opção

de registro da eID Móvel (passo 5). O aplicativo mID-BR acessa o IdP e envia o “nome de usuário”

solicitando que o cadastro da sua eID móvel (passo 6). Em sua resposta, o IdP solicita que o aplicativo

mID-BR gere um novo par de chaves criptográficas assimétricas (passo 7). O mID-BR solicita ao

cidadão que este informe a sua impressão digital (passo 8). A biometria do cidadão é utilizada como

fator de proteção da chave privada gerada. O mID-BR encaminha ao IdP a chave pública gerada

Page 77: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

76

juntamente com uma informação de ateste2, gerada pelo Autenticador FIDO (passo 9). O IdP, por meio

do Servidor FIDO UAF, valida a informação de ateste e associa a chave pública ao “nome de usuário”,

realizando assim o cadastro da eID Móvel (passo 10). O atendente confere o sucesso da transação

de registro e finaliza o cadastro da eID móvel na aplicação de Registro (passo 11). Finalmente, o

atendente informa ao cidadão que o cadastro da eID Móvel foi realizado com sucesso (passo 12).

2a etapa: registro da eID Móvel nos SP de e-Gov, para assinar documentos eletrônicos

Figura 8. Fase de registro da eID Móvel nos SP de e-GovFonte: Elaborado pelo próprio autor.

Essa etapa prevê a geração de um novo par de chaves criptográfica assimétricas para o SP de

e-Gov, o que permitirá ao cidadão assinar documentos eletronicamente. Para tanto, o cidadão deve

acessar o serviço de e-Gov desejado, através do aplicativo mID-BR (passo 1 da Figura 8). O SP

governamental irá informar ao cidadão que ele deve se identificar para ter acesso ao serviço (passo

2). O aplicativo mID-BR estabelece uma conexão com o IdP para autenticar o cidadão (passo 3),

encaminhando o “nome de usuário”. Na sequência3, o IdP encaminha um desafio para ser assinado pelo

mID-BR (passo 4). O mID-BR solicita ao cidadão que informe sua impressão digital, para desproteger

a chave privada gerada na etapa 1 (passo 5). O mID-BR gera e encaminha ao IdP uma mensagem de

resposta assinada com a chave privada do usuário (passo 6). O IdP atesta a veracidade da mensagem

recebida (passo 7). O IdP apresenta uma tela de consentimento de atributos ao cidadão (passo 8). O2 Conforme citado na Subseção 2.3.1, essa mensagem é gerada com uso da chave privada (armazenada no dispositivo

móvel no momento da fabricação), atestando que trata-se de um dispositivo confiável.3 Os passos “4 a 7” e “12 a 15” da Figura 8 são de responsabilidade das camadas FIDO, presentes tanto no dispositivo

do usuário quanto no IdP e no SP.

Page 78: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

77

cidadão confirma o envio dos atributos ao SP (passo 9). O IdP gera uma resposta (asserção SAML

contendo o ) para o SP governamental e a encaminha para o mID-BR que a repassa para o SP (passo

10). O SP verifica se existe um cadastro para o “nome de usuário” recebido (passo 11). O SP solicita

que o mID-BR gere um par de chaves criptográficas assimétricas (passo 12). O mID-BR solicita ao

cidadão o informe a impressão digital para ser usada como fator de proteção da chave privada gerada

para o SP (passo 13). O mID-BR encaminha ao SP governamental a chave pública gerada (passo 14).

O SP associa a chave pública ao “nome do usuário”(passo 15). O SP informa o cidadão que o registro

foi efetuado com sucesso, e a partir deste momento os documentos eletrônicos poderão ser assinados

digitalmente com a chave privada para o SP (passo 16). Importante observar que, dependendo do

serviço acessado pelo cidadão, essa etapa de registro poderá ser efetivada posteriormente, quando

houver a necessidade de assinar algum documento.

3a etapa: utilização da eID Móvel para acessar um serviço de e-Gov

Figura 9. Acessando SPs governamentais com a eID MóvelFonte: Elaborado pelo próprio autor.

A terceira etapa representa um novo acesso ao SP governamental, após o cidadão ter cadastrado

sua eID Móvel e após o dispositivo móvel ter sido cadastrado no SP. A Figura 9 ilustra os passos do

acesso do cidadão ao serviço requerido. Inicialmente, o cidadão abre o aplicativo mID-BR e escolhe o

serviço que deseja acessar (passo 1 da Figura 9). Uma conexão HTTPS é estabelecida com o SP, o

qual informa ao cidadão que é necessário se autenticar para ter acesso ao serviço desejado (passo 2).

O mID-BR estabelece uma conexão com o IdP para autenticar o usuário (passo 3). O IdP gera uma

asserção SAML de requisição de autenticação e a encaminha ao mID-BR (passo4). O mID-BR solicita

Page 79: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

78

ao cidadão que informe a impressão digital para desproteger a chave privada e gerar a mensagem de

resposta ao IdP (passo 54). O mID-BR encaminha a mensagem de autenticação para o IdP (passo 6). O

IdP valida a mensagem recebida (passo 7) e apresenta a tela de consentimento (passo 8). O cidadão

confirma o envio dos atributos ao IdP (passo 9). O IdP gera uma asserção SAML de resposta ao SP,

com a lista de atributos e com o “nome de usuário” (passo 10). O SP verifica o “nome de usuário” e

suas políticas de segurança locais, para determinar o nível de privilégio que o cidadão terá no sistema

(passo 11). O SP concede para o cidadão acesso ao serviço (passo 12).

4a etapa: revogação da eID Móvel

Figura 10. Revogação da eID MóvelFonte: Elaborado pelo próprio autor.

A etapa de revogação da eID Móvel compreende a inutilização do par de chaves criptográficas,

de forma que o processo de autenticação do cidadão não seja mais permitido até que um novo cadastro

da eID Móvel seja realizado. Essa etapa prevê duas situações:

1. A revogação da eID Móvel poderá ocorrer à pedido do cidadão, por exemplo em casos de

venda, destruição, perda ou roubo do dispositivo móvel. Nesses casos, o pedido deverá ser feito

presencialmente e será atendido após a identificação do cidadão; ou,

2. A revogação poderá ocorrer a qualquer momento pelo usuário, a partir do próprio mID-BR, por

exemplo em casos de venda do dispositivo móvel. Porém, o cadastro da nova eID Móvel deverá4 Os passos 5 a 6 da Figura 9 são de responsabilidade das camadas FIDO, presentes tanto no dispositivo do usuário

quanto no IdP.

Page 80: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

79

seguir os trâmites descritos na 1a etapa (cadastro da eID Móvel).

A Figura 10 ilustra os passos para a revogação da eID Móvel a partir do mID-BR. Para esse

processo, o cidadão acessa o aplicativo mID-BR e seleciona a opção de revogação da eID Móvel (passo

1 da Figura 10). O mID-BR solicita ao usuário que informe sua impressão digital para desproteger a

chave privada e gerar a mensagem de revogação (passo 2). Tanto a confirmação da impressão digital

quanto a geração da mensagem de revogação são de responsabilidade da camada FIDO presente no

dispositivo do usuário. Após a mensagem de revogação ter sido gerada, o protocolo FIDO a encaminha

ao IdP (passo 3). O IdP verifica a existência do cadastro, confirma a veracidade da mensagem recebida

e realiza a revogação da chave criptográfica do usuário (passo 4). O IdP inclui o “nome de usuário”

na lista de chaves revogadas (passo 5) e envia uma mensagem informativa ao mID-BR (passo 6),

confirmando que a revogação ocorreu com sucesso. O SP que possui a funcionalidade de assinatura de

documentos, após um tempo programado (por exemplo, a cada 2 horas), consulta a lista de chaves

revogadas (passo 7). Como a lista gerada pelo IdP é exibida ao SP de forma personalizada, o SP

só consegue consultar os “nomes de usuário” que ele conhece. Uma vez verificado que o “nome de

usuário” teve sua chave revogada no IdP, o SP também revoga a chave criptográfica cadastrada para

esse mesmo “nome de usuário” (passo 8), evitando que essa chave seja utilizada para novas assinaturas

de documentos.

4.2.1 Cenários de Uso

Para exemplificar a utilização da eID Móvel no Brasil, esta seção tem por objetivo apresentar

dois cenários de uso, apresentando situações reais em que o cidadão poderia se beneficiar da sua eID

Móvel.

4.2.1.1 Admissão como servidor público

Antes ser admitido como servidor público em uma prefeitura vários documentos são exigidos

do cidadão, entre eles podem ser citados os seguintes: documento que comprove sua identidade civil

(RG e CPF), exames médicos do seu estado de saúde (SUS) e comprovação de regularização perante

os órgão eleitoral (TSE), fiscal (Receita Federal) e militar (alistamento).

De acordo com os trâmites atuais, para cada uma das atividades listadas acima o cidadão

precisa seguir os seguintes procedimentos:

Page 81: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

80

• Consulta médica: o cidadão precisará fazer gratuitamente seu cartão SUS em hospitais, clínicas,

postos de saúde ou outros locais definidos pela secretaria municipal de saúde. Para a emissão,

precisará do RG, CPF e certidão de nascimento. Após fazer seu cartão, o cidadão entra em

contato com a Secretaria de Saúde do seu município, para localizar a unidade de saúde mais

próxima da sua residência. Comparece na unidade de saúde escolhida e agenda sua consulta.

• Certidão de quitação eleitoral: utilizando seu título eleitoral, acessa o portal de serviços do

Tribunal Superior Eleitoral (TSE), emite e imprime o documento de quitação eleitoral.

• Declaração de imposto de renda: caso o cidadão não tenha mais o programa para declaração de

imposto de renda, ou uma cópia impressa da declaração, haverá dois caminhos possíveis para

conseguir a segunda via: fazer agendamento e comparecer em um dos postos da Receita Federal,

ou, no portal da Receita Federal através do Centro Virtual de Atendimento ao Contribuinte

(eCAC), utilizando um certificado digital previamente adquirido ou um nome de usuário e senha.

• Comprovante de endereço: poderá fazer uma cópia simples de uma fatura de água, luz ou

telefone em seu nome.

• Documento de identidade civil: poderá fazer uma cópia simples do RG para a entrega.

• Cadastro de pessoa física: poderá fazer uma cópia simples para a entrega. Caso o CPF esteja com

situação pendente de regularização, suspenso, cancelado ou nulo, deverá comparecer procurar a

Receita Federal para verificar o motivo e providenciar a regularização.

Todos os passos descritos acima requerem tempo, dedicação e deslocamento do cidadão até os

postos, agências ou locais determinados. Os trâmites burocráticos aumentam proporcionalmente diante

da necessidade de regularizar alguma situação (ex: RG vencido) ou fazer a emissão da 2a via de algum

documento (ex: declaração do imposto de renda). Portanto, quanto mais entraves forem vivenciados

pelo cidadão, mais tempo será necessário para resolver os problemas.

Supondo que o cidadão esteja de posse da sua identidade eletrônica móvel, ele poderia realizar

todos os trâmites burocráticos de forma online e do lugar que estivesse, uma vez que essa eID é

utilizada a partir do dispositivo móvel pessoal. Seria necessário somente acessar qualquer provedor de

serviço, passar pelas etapas de identificação, autenticação e autorização exigida e realizar a transação

desejada. A Figura 11 exemplifica esse cenário de uso:

Page 82: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

81

Figura 11. Cenário de uso - admissão como servidor públicoFonte: Elaborada pelo próprio autor.

• Passo 1: O cidadão acessa o provedor de serviço do SUS e marca a consulta médica em horário

e local mais conveniente para ele. Ao realizar a consulta, o laudo médico fica disponível em

formato digital para o cidadão, no próprio portal. Caso autorize, o setor médico ou o departamento

de gestão de pessoas (DGP) da prefeitura poderá ter acesso ao laudo médico através do próprio

portal do SUS;

• Passo 2: O cidadão acessa o SP do TSE e solicita a declaração de quitação eleitoral, deixando-a

disponível para consulta pelo DGP da prefeitura;

• Passo 3: O cidadão faz acesso ao SP da Receita Federal e solicita a emissão da segunda via da

sua declaração. Essa via pode ficar disponível em formato digital para impressão ou disponível

para consulta pelo pelo DGP da prefeitura mediante autorização do cidadão;

• Passo 4: O cidadão acessa o SP da prefeitura, realiza a entrega da documentação solicitada para

a admissão, informa o endereço de correspondência e telefone de contato; e,

• Passo 5: Por fim, o cidadão assina digitalmente a entrega de documentos, fazendo uso de

criptografia forte.

Page 83: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

82

• Observação: A apresentação do RG e do CPF é dispensada neste caso, pois o uso da eID Móvel

comprova a identidade do cidadão no meio eletrônico. Neste caso, o cidadão pode simplesmente

autorizar o IdP a entregar o número desses documentos para o SP da prefeitura.

4.2.1.2 Votação para presidente, governador ou prefeito

O sistema de votação em operação no país exige que o cidadão esteja com situação regular

perante o Tribunal Superior Eleitoral e impõe a obrigatoriedade de realizar o voto ou justificá-lo.

Caso o cidadão descubra que seu título está com situação cancelado ou suspenso deverá

comparecer ao Cartório Eleitoral, pagar as taxas administrativas, apresentar o comprovante de endereço

e solicitar a regularização. Só assim estará com situação regular e poderá votar. Caso contrário deverá

pagar multa e terá o CPF cancelado, o que implica em impossibilidade de emissão de passaporte,

realização de transações financeiras e caso seja servidor público, poderá ser suspenso até o recebimento

de salário.

A votação presencial exige do cidadão o deslocamento até a zona eleitoral, bem como o

enfrentamento de filas para realizar seu voto. Toda a logística de votação necessita de pessoas para

organizar as zonas eleitorais, compor as mesas de votação, atuar como fiscais e outras pessoas para

atuar nas demais funções.

Contudo, toda essa logística é montada para que seja feita a comprovação da identidade física

do votante, de forma a se evitar problemas com fraudes eleitorais e comprovar que o cidadão exerceu

seu direito ao voto, embora ele tenha caráter obrigatório.

A Figura 12 exemplifica o cenário de uso em que o cidadão utiliza sua eID Móvel para

regularizar o título de eleitor e realizar seu voto a partir do dispositivo móvel pessoal, situação essa

que contempla dois passos:

• Passo 1: Supondo a situação em que o título de eleitor está cancelado, o cidadão acessa o SP-1 do

TSE, faz a emissão da GRU (guia de recolhimento da união) para pagar as taxas administrativas

e solicita a regularização do seu título. Em seguida, o SP gera automaticamente a declaração de

quitação eleitoral ficando disponível para consulta de forma pública;

Page 84: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

83

Figura 12. Cenário de uso - votação onlineFonte: Elaborada pelo próprio autor.

• Passo 2: No dia da eleição, o cidadão faz acesso ao SP-2 do TSE (sistema de votação online),

utilizando sua eID Móvel e se identifica através do IdP governamental. Após registrar seu voto

online, é gerado um comprovante digital de votação para o cidadão, o qual permanece disponível

para consulta. Por fim, o SP-2 atualiza a situação eleitoral do cidadão no SP-1.

4.3 PROTÓTIPO DESENVOLVIDO

Com o objetivo de avaliar a funcionalidade, usabilidade e desempenho da solução proposta, foi

construído um protótipo em software, constituído de um agente de usuário para telefone móvel e de

um contexto de autenticação para o IdP. De forma geral, o cenário de prototipação é composto dos

seguinte atores:

1. mID-BR: agente do usuário instalado no dispositivo móvel do cidadão;

2. IdP: provedor de identidade, responsável pela identificação do cidadão no meio eletrônico;

3. SP: provedor de serviço governamental, simulando a prestação de algum serviço público ao

cidadão;

Esta seção apresenta as ferramentas e tecnologias adotadas, bem como o detalhamento técnico

da implementação do protótipo e a integração entre os atores.

Page 85: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

84

4.3.1 Ferramentas e Tecnologias Selecionadas

A escolha das ferramentas e tecnologias foi baseada, primeiramente, no uso de software livre5,

uma vez que é de entendimento do governo federal que seu uso é uma opção estratégica para reduzir

custos e desenvolver o conhecimento no país. Atender as recomendações da arquitetura e-PING foi a

segunda preocupação, de forma a buscar aderência aos padrões de sistemas já em funcionamento no

Brasil.

Para o desenvolvimento do aplicativo mID-BR, foi utilizado o sistema operacional Android6 e

sua suíte de desenvolvimento oficial, o Android Studio7. Para a codificação, embora seja possível criar

aplicativos com a linguagem de programação Python8 ou C++9, por exemplo, foi escolhido o Java10

por ser a linguagem de programação oficial.

Para a construção do IdP foi escolhido o sistema operacional GNU/Linux Debian11 e o OpenL-

DAP12 para a construção do serviço de diretório, este último por possuir uma característica especial

que é a de permitir a rápida leitura dos dados. Para disponibilizar o serviço na Internet, foi adotado o

servidor web Apache13 com suporte ao PHP14.

O servidor FIDO UAF foi instalado no mesmo servidor IdP, operando como um container

em docker15. Para tanto foi utilizado o código disponível em “<https://github.com/emersonmello/

docker-fidouafserver>”, o qual constitui-se de uma implementação para teste do servidor FIDO UAF,

operando sob o servidor web Tomcat16 e utilizando um banco de dados em MySQL17. Através da

construção de interfaces REST em PHP, foi possível prover a comunicação entre o cliente FIDO e o

Servidor FIDO UAF.

Buscando atender os requisitos da arquitetura e-PING, tanto o IdP quanto os SPs necessários

para a execução dos experimentos, operam através da troca de asserções SAML. Para isto, foi escolhido5 Disponível em: <http://www.governoeletronico.gov.br/acoes-e-projetos/software-livre>6 Disponível em: <https://www.android.com/intl/pt-BR_br/>7 Disponível em: <https://developer.android.com/studio/index.html>8 Disponível em: <https://www.python.org/>9 Disponível em: <https://isocpp.org>10 Disponível em: <https://www.java.com/pt_BR/>11 Disponível em: <https://www.debian.org/>12 Disponível em: <http://www.openldap.org/>13 Disponível em: <http://www.apache.org/>14 Disponível em: <http://php.net/>15 Disponível em: <https://www.docker.com/>16 Disponível em: <http://tomcat.apache.org/>17 Disponível em: <https://www.mysql.com/>

Page 86: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

85

o framework simpleSAMLPHP18, tanto pela quantidade de documentação disponível quanto por se

tratar de um software livre.

Quanto ao serviço disponibilizado pelos SPs, foi instalado o Mediawiki19, de forma a simular

o acesso à um serviço privado, ou seja, que só aceita o acesso ao conteúdo após o usuário estar

autenticado. A interação desse serviço com framework simpleSAMLPHP foi possível após a instalação

do módulo SimpleSamlAuth20.

Por fim, foi necessário prover uma comunicação segura para as trocas de mensagens entre os

atores, o que foi feito através de canais de rede criptografados com o protocolo TLS. Para tanto, foi

utilizado o serviço Let’s Encrypt21 disponibilizado pela Linux Foundation, por se tratar de um serviço

gratuito para geração de certificados digitais no padrão X.509.

4.3.2 Aplicativo mID-BR

O aplicativo mID-BR (agente do usuário), foi implementado de forma a operar no aparelho

de celular modelo Nexus 5X da fabricante LG, lançado pela Google no ano de 2015. Este aparelho

foi escolhido por operar com a última versão do sistema operacional Android22, possuir um leitor de

impressão digital e estar equipado com a tecnologia TEE.

No entanto, como esse aparelho não é fabricado com a pilha FIDO UAF23, foi necessário

utilizar um cliente FIDO que simulasse esse comportamento da pilha FIDO e se comunicasse com o

Servidor FIDO UAF com sucesso. Para tanto, foi utilizada o cliente FIDO disponibilizado por Mello

(2017), justamente por operar em sistemas operacionais Android versão 6 (ou superior) e utilizar o

sensor biométrico de impressão digital dos dispositivos móveis.

A codificação do mID-BR, ilustrada pela Figura 13, foi feita por duas partes distintas conforme

segue descrição abaixo e detalhamento apresentado pelo diagrama de classes do Apêndice C:

18 Disponível em: <https://simplesamlphp.org/>19 Disponível em: <https://www.mediawiki.org/wiki/MediaWiki/pt-br>20 Disponível em: <https://www.mediawiki.org/wiki/Extension:SimpleSamlAuth>21 Disponível em: <https://letsencrypt.org/>22 Versão 7.1.1 em janeiro de 201723 Nota do autor: Os dispositivos conhecidos por FIDO Ready já trazem de fábrica o Cliente FIDO pronto para uso,

como por exemplo os Celulares da Samsung, modelos Galaxy S5 e S6.

Page 87: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

86

Figura 13. Apresentação do mID-BR e sua integração com a API FIDO UAFFonte: Adaptado de Srinivas, Kemp e Alliance (2014).

• 1a parte - cliente ativo: realiza a comunicação entre SP e IdP, sendo responsável pelo enca-

minhamento das asserções SAML (requisição e resposta), pela apresentação das mensagens

informativas e pela interação com o usuário; e,

• 2a parte - interface: interage com o cliente FIDO do telefone, possibilitando o cadastro do

usuário através da geração de um par de chaves criptográficas assimétricas. Participa ativamente

do processo de autenticação, solicitando e recebendo do cliente FIDO as informações sobre as

interações realizadas com o servidor FIDO UAF.

4.3.3 Servidor IdP

No IdP, foi instalado tanto o serviço de autenticação do usuário quanto o próprio servidor FIDO

UAF, uma vez que pretendeu-se avaliar apenas a funcionalidade desses serviços e não o desempenho.

Para disponibilizar o serviço de autenticação do usuário, foi instalado o framework simple-

SAMLphp, conforme descrito na Subseção 4.3.1. Para tanto, a etapa de configuração desse servidor IdP

seguiu o roteiro descrito no Apêndice D. A funcionalidade de consentimento, prevista para o usuário

visualizar e autorizar o envio de atributos ao SP, foi conseguida através da ativação do módulo consent,

nativo nesse framework.

Page 88: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

87

Entretanto, para que houvesse a possibilidade de autenticar o usuário de eID Móvel, conforme

previsto por este trabalho, foi necessário desenvolver módulo de autenticação para o simpleSAMLphp.

Isto só foi possível porque o padrão SAML prevê, em sua própria arquitetura, a utilização de con-

textos de autenticação para expressar a força da autenticação realizada por um sujeito em um IdP

(LOCKHART; CAMPBELL, 2008).

Dessa forma, desenvolveu-se o módulo denominado “authFidoUAF” para validar o token de

autenticação recebido do cliente ativo (mID-BR), através de informações recebidas do servidor FIDO

UAF. Como mecanismos de proteção, foram previstas as seguintes situações neste módulo:

• O token é invalidado após um tempo pré-definido e contado a partir da sua geração;

• O conteúdo do token recebido do cliente ativo é comparado ao último token gerado pelo servidor

FIDO para àquele usuário. Caso não seja igual, a autenticação do usuário é cancelada;

• O token é invalidado pelo IdP imediatamente após a sua utilização; e,

• Só são aceitos tokens gerados a partir da utilização da impressão digital do usuário, muito

embora a especificação FIDO permita indicar outros fatores de identificação do usuário. Mesmo

não aceitando outra forma de geração do token, o módulo pode ser reconfigurado para aceitar

outro fator de identificação ou até um conjunto deles, de forma a atender a especificação FIDO.

Dependendo do nível de segurança ou necessidade de um SP governamental, pode não ser

necessário entregar a ele todos os atributos do usuário cadastrados no IdP. Prevendo esta situação,

o módulo de autenticação entrega por padrão apenas o “nome de usuário”, na forma de um hash

MD5 personalizado por SP. Conforme ilustrado na Figura 14, os dois SPs citados (linha 201) também

receberão o nome completo do usuário (atributo cn – linha 202) e endereço de email (atributo mail –

linha 202) como atributos adicionais.

Figura 14. Lista de atributos personalizada por SPFonte: Elaborada pelo próprio autor.

Page 89: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

88

Os usuários disponibilizados no serviço de diretórios (OpenLDAP), foram cadastrados segundo

os atributos definidos pelo relatório técnico em UnB (2015a). De acordo com a Figura 15, a estrutura

LDAP foi construída com base no modelo centralizado através de uma hierarquia constituída de um

único IdP. A unidade organizacional “Usuários” foi criada para manter o cadastro de cada usuário,

conforme exemplo apresentado pelo registro “UID” da referida figura.

Figura 15. Árvore LDAP utilizada pelo IdPFonte: Elaborada pelo próprio autor.

Uma vez que o usuário esteja cadastrado no serviço de diretórios LDAP, ele só conseguirá se

autenticar no IdP caso tenha uma chave pública associada a ele. Para tanto, precisará gerar um novo

par de chaves criptográficas assimétricas em seu dispositivo móvel, a partir do aplicativo mID-BR,

e cadastrar a chave pública corresponde no servidor FIDO UAF. De forma que esse cadastro fosse

possível de ser realizado, o servidor FIDO UAF também foi instalado no IdP.

Entretanto, para que pudesse haver uma comunicação segura entre o Cliente e o Servidor

FIDO, através de canais de rede criptografados, foram criadas interfaces REST em PHP no servidor

IdP. Essas interfaces também possibilitaram a comunicação entre o Servidor FIDO e o framework

simpleSAMLphp, auxiliando o processo de autenticação do usuário junto ao IdP.

A Figura 16 exemplifica parte do código da interface REST, construída para auxiliar o processo

de autenticação. A biblioteca cURL24 do PHP foi utilizada para o transporte das informações do proto-

colo FIDO, possibilitando a criação de mensagens no formato JSON. As linhas 67 a 76 da Figura 1624 Disponpivel em: <http://php.net/manual/pt_BR/book.curl.php>

Page 90: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

89

apresentam como a biblioteca foi implementada e as linhas 79 a 89 apresentam a decodificação das

mensagens JSON para gerar o LOG de transação (linha 92).

Figura 16. Interface REST PHP utilizada no processo de autenticaçãoFonte: Elaborada pelo próprio autor.

4.3.4 Servidor SP

Como a principal função de um SP, nesse contexto, é apenas servir de apoio para a fase

experimentação do protótipo (mID-BR e contexto de autenticação do IdP), apenas dois SPs foram

implementados com o framework simpleSAMLphp e com uma wiki privada, conforme descrito na

Subseção 4.3.1.

Embora conste na proposta desse trabalho, a implementação da camada FIDO UAF também

no provedor de serviço, para fins de prototipação esta camada não foi considerada, visto que seu

comportamento é semelhante ao encontrado no Servidor FIDO UAF do IdP.

Por outro lado, para que o SP possa integrar o cenário do protótipo, é necessário que o IdP

passe a aceitar e responder as asserções SAML geradas por ele. Para que isto fosse possível, logo

após realizada a instalação do framework simpleSAMLphp no SP foi necessário gerar um par de

chaves criptográficas assimétricas para ele, e utilizar a chave pública gerada para criar um arquivo

de “metadados”. Este arquivo de “metadados” foi então transferido para o IdP de forma a realizar o

cadastro do SP. A Figura 17 ilustra a estrutura básica desse arquivo, sendo possível verificar o campo

de identificação do SP (linha 11) bem como o conteúdo da chave pública correspondente (linha 30).

Arquivo de “metadados” semelhante também foi disponibilizado pelo IdP, de forma que o SP

pudesse cadastrá-lo como servidor de autenticação confiável. Em resumo, a relação de confiança mútua

Page 91: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

90

Figura 17. Arquivo metadata.xml gerado pelo SPFonte: Elaborada pelo próprio autor.

somente pode ser estabelecida entre IdP e SP após a realização do cadastro de metadados, uma vez

que as asserções SAML devem ser sempre assinadas pelos dois lados, de forma a garantir a segurança

da transação.

4.3.5 Integração entre os Atores

Essa seção, trata da interação que ocorre entre os três atores (mID-BR, IdP e SP), considerado

um cenário de autenticação do usuário. A Figura 18 ilustra a interação entre esses atores e os passos são

descritos logo abaixo. Mais detalhes das trocas de mensagens que ocorrem durante a fase de registro e

autenticação do usuário, podem ser consultados no diagrama de sequência do Apêndice C.

A interação inicia com o usuário escolhendo o serviço que deseja acessar, através do menu

do aplicativo mID-BR (passo 0 da Figura 18). Seguindo a ilustração apresentada pela Figura 18, os

próximos passos são descritos a seguir:

• Passo 1: O SP gera uma asserção SAML de requisição, solicitando que o cidadão se identifique

para conceder acesso ao serviço desejado. Essa asserção é entregue ao cliente ativo, que sua vez

solicita um token (senha descartável) ao cliente FIDO, através de uma interface de comunicação;

• Passo 2: O cliente FIDO interage com o Servidor FIDO para comprovar a autenticidade do

usuário e do dispositivo utilizado. Durante este processo, a impressão digital é solicitada ao

usuário para destravar a chave privada. Ao final desse processo, o cliente FIDO recebe um token

(senha descartável);

Page 92: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

91

Figura 18. Interação entre os atores mID-BR, IdP e SP.Fonte: Elaborada pelo próprio autor.

• Passo 3: O cliente FIDO entrega o token para o Cliente Ativo, para que um pedido de autenticação

seja encaminhado ao servidor IdP;

• Passo 4: O servidor IdP verifica a validade do token recebido, consultando o servidor FIDO

UAF;

• Passo 5: Após comprovar a validade do token, o servidor IdP busca os atributos do usuário no

serviço de diretórios LDAP;

• Passo 6: O servidor IdP apresenta ao usuário, através do cliente ativo, a lista de atributos

solicitadas pelo SP (tela de consentimento);

• Passo 7: Após o usuário concordar com o envio dos atributos, o IdP gera uma asserção SAML

de resposta e a entrega ao cliente ativo;

• Passo 8: O cliente ativo encaminha a asserção SAML de resposta ao SP;

• Passo 9: O SP consome a asserção SAML e consulta as políticas locais para verificar o nível de

acesso que o usuário terá ao serviço; e,

• Passo 10: O SP concede acesso ao serviço para o usuário, apresentando a tela do serviço;

Page 93: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

92

4.4 CONSIDERAÇÕES

O sistema de Gestão de eID Móvel Nacional descrito nesse trabalho, está alinhado à estratégia

de gestão de identidades proposta em Torres et al. (2016) para o governo brasileiro. Um único IdP

é responsável pela autenticação do cidadão, que no contexto apresentado, aceita a autenticação do

usuário portador de um dispositivo móvel, com a pilha FIDO UAF implementada e com suporte ao

ambiente de execução seguro (TEE).

A troca de mensagens de autenticação entre IdP e SP é realizada no formato XML para

as asserções SAML, e de mensagens no formato JSON entre cliente e servidor FIDO UAF. As

comunicações também ocorrem através de canais de rede seguros, implementados com o protocolo

TLS. Esses são exemplos de alguns padrões adotados, confirmando o alinhamento do sistema proposto

com a arquitetura e-PING.

Seguindo as políticas e recomendação do governo do Brasil, com relação à preferência por

soluções de padrões abertos, o framework simpleSAMLphp de código livre foi implementado no IdP

e no SP. Para que o framework instalado no IdP, pudesse suportar o mecanismo de autenticação do

aplicativo mID-BR, foi necessário desenvolver um novo módulo para os eventos de autenticação.

Contudo, não foi desenvolvido um módulo no SP para suportar a assinatura eletrônica de documentos,

uma vez que essa tarefa não é trivial. Isso acarretaria no aumento da complexidade de implementação,

tanto para o framework simpleSAMLphp quanto para o aplicativo mID-BR, o que inviabilizaria a

conclusão da proposta desse trabalho dentro do prazo previsto. De qualquer forma, essa funcionalidade

será desenvolvida em trabalhos futuros.

Page 94: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

93

5 RESULTADOS

Neste capítulo, são apresentadas as análises dos resultados obtidos durante a fase de avaliação

do sistema de eID Móvel Nacional proposto. Para tanto, a avaliação foi dividida em três partes distintas:

na Seção 5.1 encontra-se os resultados referentes aos casos de teste funcionais, executados pelo próprio

desenvolvedor e por um aluno de graduação; na Seção 5.2 encontra-se os resultados referentes a um

experimento que envolveu profissionais de T.I. e à aplicação de um questionário com uma pesquisa

de satisfação; e por fim, a Seção 5.3 encontra-se a comparação do sistema proposto com os trabalhos

relacionados.

5.1 RESULTADO DOS TESTES FUNCIONAIS

Esta seção descreve os resultados obtidos a partir da execução de testes funcionais e não

funcionais. A partir do comportamento do protótipo desenvolvido e dos dados coletados, foi gerado

o relatório de casos de uso descritos a seguir. Dentre os resultados que foram avaliados estão a

funcionalidade e segurança.

Para que fosse possível realizar estes teste, foi utilizado um dispositivo móvel de última geração

dotado de um leitor biométrico (digitais), operando com a versão mais recente do sistema operacional

Android e fabricado com o TEE. Além disso, configurou-se um perfil de usuário capaz de realizar a

instalação dos softwares e capaz de acessar a Internet através da rede sem fio (wifi).

Com relação aos servidores de rede utilizados, dois deles foram disponibilizados pela RNP1

(Rede Nacional de Ensino e Pesquisa): um IdP2 e um SP 3. O terceiro servidor4 foi hospedado em uma

das redes de pesquisa do IFSC5 (Instituto Federal de Santa Catarina).

1 Disponível em: <https://www.rnp.br/>.2 Disponível em: <https://idpfido.cafeexpresso.rnp.br/>.3 Disponível em: <https://sp-saml.gidlab.rnp.br/>4 Disponível em: <https://sp04.redes.eng.br/>.5 Disponível em: <https://www.lages.ifsc.edu.br/>.

Page 95: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

94

5.1.1 Teste Funcional de Cadastro da eID Móvel

Os detalhes deste teste são apresentados no Quadro 2 que segue abaixo:

Quadro 2. Caso de Teste 01 - Cadastro da eID Móvel

Tipo de teste FuncionalObjetivo Verificar a comunicação entre o cliente FIDO e o servidor FIDO durante a fase de cadastro.

Pré-requisitosO aplicativo mID-BR e a API FIDO UAF deverão estar instalados no dispositivo móvel,disponibilizado para os experimentos (LG Nexus 5X).

Dados de entrada

No menu de configurações do aplicativo, deverá ser informado o “nome de usuário” (jácadastrado no serviço de diretórios OpenLDAP), a URL do servidor FIDO UAF, o nomedas interfaces REST que intermediarão a comunicação e o parâmetro “SP Timeout” (tempopara aguardar uma resposta do SP).

Descrição

Quando o usuário clicar no botão “Cadastrar Usuário” será esperado que um par de chavescriptográficas seja gerado no dispositivo móvel e a chave pública seja encaminhada ao servi-dor FIDO, para realização do cadastro da conta do usuário. As informações de cadastro deve-rão ser apresentadas na tela principal do aplicativo. É esperado também que a impressão digi-tal do usuário seja solicitada, antes da geração do par de chaves criptográficas.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 01: Após cumprido os pré-requisitos, foi aberto o aplicativo mID-BR

e selecionado o menu de configurações (Figura 19 – ilustração A). Na tela de configurações (Figura 19

– ilustração B), foi digitado o nome de usuário brasil, usuário este já cadastro no serviço de diretórios

OpenLDAP. Para o servidor FIDO UAF, foi digitado o mesmo endereço do servidor IdP, com o prefixo

https. As três opções seguintes foi deixado o padrão informado, pois referem-se às interfaces REST

PHP do próprio servidor IdP. O último parâmetro, o SP Timeout, foi configurado para 20 segundos.

Figura 19. Telas do protótipo mID-BR (Cadastro da eID Móvel)Fonte: Elaborado pelo próprio autor.

Page 96: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

95

De volta à tela inicial (Figura 19 – ilustração A), foi clicado no botão cadastrar usuário.

Em seguida, a impressão digital (Figura 19 – ilustração C) cadastrada no telefone foi solicitada.

Foi observado nessa fase de experimentação, que por questiões de segurança, o sistema operacional

Android diferencia as impressões digitais por perfil de usuário no telefone. Observou-se também, que

só é permitida a coleta biométrica quando algum mecanismo de bloqueio de tela (acesso ao perfil do

usuário) estiver previamente configurado o telefone.

Por fim, o aplicativo mID-BR retornou à tela inicial, apresentando as informações do cadastro

realizado (Figura 19 – ilustração D). Na opção veja mais foi possível consultar todos os caracteres

da chave pública. Durante o teste também foram acompanhadas as mensagens de LOG geradas pelo

servidor IdP, constatando que nenhum erro ocorreu na comunicação entre o cliente e servidor.

Resultado do caso de teste 01: Identidade eletrônica móvel do usuário cadastrada no servidor FIDO.

5.1.2 Teste Funcional de Geração e Uso do Token de Acesso

Os detalhes deste teste são apresentados no Quadro 3 que segue abaixo:

Quadro 3. Caso de Teste 02 - Geração e utilização do token de acesso

Tipo de teste FuncionalObjetivo Avaliar a geração e validade do token (senha descartável).

Pré-requisitosO cadastro da eID Móvel deverá ter sido feita, conforme caso de teste 01.O aplicativo mID-BR deve ser executado em modo depuração a partir do Android Studio.

Dados de entrada O usuário deverá selecionar um dos SPs disponíveis a partir do menu do aplicativo mID-BR.

DescriçãoAo clicar em um SP, deverá ser solicitada a impressão digital do usuário. Após realizada atroca de mensagens entre cliente e servidor FIDO, um token novo deve ser gerado.O mID-BR deverá utilizar este token e se autenticar no IdP.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 02: O aplicativo mID-BR foi executado em modo depuração a partir

do software Android Studio e um ponto de interrupção foi colocado após o método que retorna o token

de acesso entregue pelo servidor FIDO.

Com o aplicativo mID-BR em execução, foi selecionado no menu de serviços o SP sp-

saml.gidlab.rnp.br (Figura 20 – ilustração A). A impressão digital (Figura 20 – ilustração B) foi

solicitada e em seguida uma mensagem informativa (Figura 20 – ilustração C) de acesso ao SP foi

apresentada. Neste momento, o aplicativo mID-BR congelou a execução por ter atingido o ponto

Page 97: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

96

de interrupção colocado no código fonte. O token de acesso ficou visível o que permitiu copiar seu

conteúdo. Na sequência, permitiu-se que o aplicativo continuasse com sua execução normal. Esse

procedimento de captura do token de acesso foi repetido várias vezes, e constatou-se que sempre foi

gerado um token diferente.

Figura 20. Telas do aplicativo mID-BR apresentadas quando um SP é acessadoFonte: Elaborado pelo próprio autor.

Através de um navegador de Internet, foi aberta a URL <https://idpfido.cafeexpresso.rnp.

br/module.php/core/authenticate.php?as=fidouaf>, correspondente à página inicial do módulo de

autenticação authFidoUAF (Figura 21), desenvolvido para o IdP. Foi digitado o último token capturado

no modo de depuração. Uma mensagem informativa (Figura 22 – ilustração A) indicou que o token já

havia sido utilizado e o processo de autenticação foi interrompido.

Figura 21. Página inicial do módulo de autenticação authFidoUAF (IdP)Fonte: Elaborado pelo próprio autor.

Page 98: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

97

Considerando que, o módulo de autenticação foi implementado no IdP de forma que o token

fosse invalidado após um tempo pré-definido, arbitrariamente definiu-se esse tempo como 5 (cinco)

minutos. A partir do modo de depuração, um novo token foi capturado e o aplicativo interrompido,

antes o token fosse encaminhado para o IdP. Dessa vez aguardou-se 6 (seis) minutos antes de inseri-lo

na página inicial do módulo de autenticação. Nesse momento, uma mensagem informativa (Figura 22 -

ilustração B) indicou que este token já não era mais válido.

Por fim, executou-se novamente o aplicativo mID-BR em modo de depuração. O SP foi

acessado por duas vezes seguidas. O token foi capturado nas duas vezes e o aplicativo interrompido. O

primeiro token capturado foi inserido na página inicial do módulo de autenticação. Porém dessa vez,

uma mensagem informativa (Figura 22 – ilustração C) indicou que o token não correspondia ao token

gerado pelo servidor FIDO, interrompendo o processo de autenticação.

Figura 22. Mensagens informativas apresentadas pelo módulo de autenticação authFidoUAFFonte: Elaborado pelo próprio autor.

Observação: como sempre foi utilizada a impressão digital nos processos de autenticação, não

foi possível testar o IdP, quanto a gerar o token com outro fator biométrico. Portanto, não foi possível

reproduzir nos testes a seguinte mensagem de erro: “política utilizada pelo cliente para assinar o

desafio não é aceita por este IdP”.

Resultado do caso de teste 02: Token de acesso gerado com sucesso e válido somente para o exato

momento da autenticação do usuário.

Page 99: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

98

5.1.3 Teste Funcional de Consentimento do Usuário

Os detalhes deste teste são apresentados no Quadro 4 que segue abaixo:

Quadro 4. Caso de Teste 03 - Consentimento do usuário

Tipo de teste FuncionalObjetivo Avaliar a capacidade do IdP gerar uma lista de atributos para o SP.Pré-requisitos Cadastro da eID Móvel ter sido feito, conforme apresentado no caso de teste 01.

Dados de entradaO usuário deverá selecionar um SP no menu de serviços do aplicativo mID-BR e interagircom a tela de consentimento, aceitando ou não o envio dos atributos ao SP solicitante.

DescriçãoÉ esperado que o IdP seja capaz de gerar um “nome de usuário” diferente para cada SP, bemcomo gerar uma lista de atributos distintas. O processo de autenticação deve ser cancelado,caso o usuário não aceite o envio dos atributos.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 03: Após selecionar o SP no menu de serviços (Figura 20 – ilustração

A) e inserir a impressão digital quando solicitado pelo aplicativo Figura 20 – ilustração B), o aplicativo

mID-BR apresentou uma tela de consentimento (Figura 23 – ilustração A) com a lista de atributos

solicitados pelo SP. Observou-se que essa lista de atributos, pode sofrer alteração de acordo com o SP

acessado, conforme exemplificado pela Figura 23, ilustração B.

Figura 23. Telas geradas pelo módulo de consentimento do IdPFonte: Elaborado pelo próprio autor.

Em todos os testes, após concordar com o envio dos atributos, o que é feito ao clicar no botão

aceitar na tela de consentimento, a tela apresentada em seguida foi a do serviço acessado. O teste

foi repedido, porém desta vez o botão rejeitar foi pressionado. Nestes casos uma tela informativa

Page 100: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

99

foi apresentada (Figura 23 – ilustração C), oferecendo duas opções: retornar à lista de atributos ou

confirmar o cancelamento da autenticação com o SP. Quando confirmado o cancelamento, a mensagem

“Você optou por cancelar o envio dos atributos” é exibida sem nenhuma opção de ação ao usuário.

Resultado do caso de teste 03: IdP gerando um UID e uma lista de atributos exclusivo para cada SP

acessado pelo usuário, e também respeitando a decisão do usuário para enviar ou não seus atributos

pessoais ao SP.

5.1.4 Teste Funcional de Acesso ao Provedor de Serviços

Os detalhes deste teste são apresentados no Quadro 5 que segue abaixo:

Quadro 5. Caso de Teste 04 - Acesso ao provedor de serviço

Tipo de teste FuncionalObjetivo Avaliar a capacidade do mID-BR receber e encaminhar asserções SAML ao SP.Pré-requisitos Mesmos dos casos de teste 01, 02 e 03.Dados de entrada Aceitar o envio de atributos na tela de consentimento e informar biometria.

Descrição É esperado que o mID-BR seja capaz de retransmitir as asserções SAML entre SP e IdP,porém realizando interações com o usuário e com servidor FIDO, quando necessário.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 04: Considerando que as trocas de asserções SAML entre SP e IdP

passam pelo aplicativo mID-BR, nesse teste foi verificada a capacidade do aplicativo em intermediar

essas mensagens.

Inicialmente, o aplicativo mID-BR foi executado em modo de depuração no software Android

Studio. No menu de serviços (Figura 24 – ilustração A), o primeiro serviço foi selecionado. A impressão

digital foi solicitada ao usuário. Assim que o usuário inseriu a impressão digital, uma tela informando

que o acesso ao SP estava sendo realizado foi apresentada (Figura 24 – ilustração B) pelo mID-BR.

Nesse momento observou-se na tela do Android Studio que a asserção SAML de requisição, enviada

pelo SP, foi capturada pelo aplicativo mID-BR e um token de acesso foi recebido do servidor FIDO.

Seguindo a depuração do aplicativo, observou-se que a asserção SAML foi utilizada para abrir uma

seção com o servidor IdP e o token enviado para autenticar o usuário.

Page 101: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

100

Figura 24. Telas do aplicativo mID-BR apresentadas quando um SP é acessadoFonte: Elaborado pelo próprio autor.

Quando a tela de consentimento foi apresentada, foi clicado no botão aceitar. Neste momento,

na tela do Android Studio observou-se que uma asserção SAML de resposta foi enviada pelo IdP. O

aplicativo por sua vez a encaminhou ao SP acessado, que devolveu uma tela com acesso ao serviço

(Figura 24 – ilustração C).

Resultado do caso de teste 04: Aplicativo mID-BR reencaminhando corretamente as asserções

SAML.

5.1.5 Teste Funcional de Revogação da eID Móvel

Os detalhes deste teste são apresentados no Quadro 6 que segue abaixo:

Quadro 6. Caso de Teste 05 - Apagar cadastro da eID Móvel

Tipo de teste FuncionalObjetivo Avaliar a capacidade do aplicativo mID-BR apagar o cadastro da eID Móvel.Pré-requisitos Cadastro da eID Móvel, conforme descrito no caso de teste 01

Dados de entrada É esperado uma ação do usuário para apagar o cadastro e que a impressão digital seja solici-tada pelo mID-BR, para confirmar o procedimento.

DescriçãoÉ esperado que o cliente FIDO seja capaz de interagir com o servidor FIDO, apagando o ca-dastro do usuário. As informações de cadastro devem ser excluídas da tela principal do apli-cativo mID-BR e o usuário não poderá mais acessar o SP.

Fonte: Elaborado pelo próprio autor.

Page 102: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

101

Detalhamento do caso de teste 05: Considerando que o cadastro da eID Móvel foi realizado conforme

descrito no caso de teste 01, a tela principal do aplicativo mID-BR deve apresentar informações

semelhantes as da Figura 25 (ilustração A). A opção de apagar cadastro foi selecionada, através de um

clique no botão apagar cadastro do usuário. A impressão digital do usuário foi solicitada (Figura 25 –

ilustração B). Por fim, uma mensagem informou que o cadastro foi apagado com sucesso (Figura 25 –

ilustração C) e as informações de cadastro foram excluídas do telefone, permanecendo na tela inicial

somente o botão cadastrar usuário.

Figura 25. Telas do aplicativo mID-BR quando o usuário solicita apagar o cadastroFonte: Elaborado pelo próprio autor.

Uma vez que o cadastro da eID Móvel foi excluído, ao escolher um SP no menu de serviços do

aplicativo mID-BR, uma mensagem de erro foi apresentada, conforme ilustrado pela Figura 26.

Figura 26. Erro ao acessar um SP quando o usuário não possui uma eID MóvelFonte: Elaborado pelo próprio autor.

Resultado do caso de teste 05: Revogação da eID Móvel realizada com sucesso.

Page 103: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

102

5.1.6 Teste Não-Funcional de Segurança

Os detalhes deste teste são apresentados no Quadro 7 que segue abaixo:

Quadro 7. Caso de Teste 06 - Comunicação através de canal criptografado seguro

Tipo de teste Não-FuncionalObjetivo Avaliar a segurança das mensagens trocadas entre o mID-BR e os servidores de rede (IdP, SP).

Pré-requisitosRealizar o processo de cadastro da eID Móvel e de autenticação no IdP.Posicionar um sniffer (tcpdump) de rede entre o mID-BR e os servidores (SP e IdP), de formaa capturar todo o tráfego de rede trocado entre eles.

Dados de entrada É esperada as ações do usuário, descritas nos casos de teste 01 e 04.Informações capturadas pelo sniffer

DescriçãoAo analisar as mensagens capturadas pelo sniffer de rede no software wireshark, espera-seque as mensagens de dados estejam criptografadas.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 06: Para este teste, o aplicativo mID-BR foi utilizado em uma rede

sem fio (wifi), cujo gateway de acesso à Internet estava com o ferramenta de captura de tráfego de rede

(tcpdump) instalada. Uma vez inicializada a ferramenta de captura, o aplicativo mID-BR foi utilizado

normalmente para realizar o cadastro da eID Móvel e acessar os SPs disponibilizados no menu de

serviços do aplicativo.

Figura 27. Captura das mensagens trafegadas na rede entre cliente e servidorFonte: Elaborado pelo próprio autor.

Todos os pacotes, trafegados entre o aplicativo mID-BR e os servidores IdP e SP, foram

capturados e salvos em um arquivo para análise pelo software wireshark. A Figura 27, apresenta o

Page 104: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

103

conteúdo de um dos pacotes com dados do usuário, demonstrado que as informações trafegadas entre

cliente e servidor foram corretamente criptografadas.

Resultado do caso de teste 06: A análise de captura dos pacotes de dados, demonstrou que o

método POST foi utilizado para a transmissão das informações do usuário, e que essas informações

encontravam-se todas criptografadas.

5.1.7 Teste Não-Funcional de Desempenho

Os detalhes deste teste são apresentados no Quadro 8 que segue abaixo:

Quadro 8. Caso de Teste 07 - Desempenho do mID-BR

Tipo de teste Não-FuncionalObjetivo Avaliar o desempenho do aplicativo mID-BR.

Pré-requisitosConectar o dispositivo móvel em um computador, por meio de um cabo padrão USB.Inicializar o aplicativo mID-BR no dispositivo móvel, através do software Android Studio.

Dados de entradaÉ esperado que o usuário interaja com o aplicativo mID-BR, realizando o cadastro da eIDMóvel e acessando os SPs disponíveis no aplicativo.Iniciar a funcionalidade “monitor” do Android Studio.

DescriçãoEspera-se um baixo consumo de memória e processamento nas tarefas executadas peloaplicativo.

Fonte: Elaborado pelo próprio autor.

Detalhamento do caso de teste 07: Para este teste, foram executados os procedimentos de cadastro

da eID Móvel, autenticação do usuário em dois provedores de serviço e revogação da eID Móvel,

conforme ilustrado na Figura 28. Conforme o usuário foi interagindo com o aplicativo mID-BR, a

função monitor do Android Studio foi gerando gráficos de utilização do processador e consumo de

memória.

É importante observar que, o telefone utilizado (fabricante LG, modelo Nexus 5X) é equipado

com um processador de 6 núcleos operando a 1,6GHz e possui 2Gb de memória RAM. Nos gráficos

representados na Figura 28, pode-se observar a utilização de CPU e memória em decorrência de cada

tarefa executada no aplicativo mID-BR.

Page 105: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

104

Figura 28. Gráfico de desempenho do mID-BRFonte: Elaborado pelo próprio autor.

Resultado do caso de teste 07: O teste demonstrou que o aplicativo mID-BR conseguiu executar as

tarefas para as quais foi desenvolvido, chegando a um pico máximo de processamento (CPU) de 28% e

aproximadamente 16Mb com a alocação de memória, durante a autenticação do usuário no SP-01. As

tarefas de cadastro e revogação da eID Móvel foram as que exigiram menor esforço da CPU, variado

entre 4 e 10% de utilização máxima. Em nenhum momento foi observada a utilização de 100% de

CPU ou memória. Importante destacar que, este caso de teste não foi executado com o intuito de servir

como um teste completo de benchmark, mas apenas para assegurar que o aplicativo mID-BR estava

pronto para ser utilizado para a pesquisa de satisfação, sem que erros de travamento ou lentidão do

aparelho viessem a ocorrer.

5.1.8 Análise dos Casos de Teste

Todos os teste realizados tiveram resultados positivos, logo é possível afirmar que as funci-

onalidades desenvolvidas estão de acordo com a modelagem de software realizada. É importante

destacar que, a utilização de certificados digitais gerados por uma entidade certificadora confiável

(Let’s Encrypt) evitou que erros de certificado fossem apresentados ou precisassem ser tratados pelo

aplicativo em software desenvolvido para o dispositivo móvel.

Page 106: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

105

5.2 AVALIAÇÃO DA PESQUISA DE SATISFAÇÃO

Esta seção apresenta a avaliação da pesquisa de satisfação do protótipo em software desenvol-

vido, pesquisa essa realizada entre 23/01/2017 e 01/02/2017, totalizando um período de dez (10) dias.

O Apêndice E apresenta o formulário de satisfação enviado aos avaliadores, e o Apêndice F apresenta

as respostas coletadas durante o período de avaliação.

Ao realizar a avaliação, buscou-se atingir o terceiro objetivo específico elencado por este

trabalho, de forma a comprovar as hipóteses 2 e 3, que afirmam respectivamente: a utilização dos

padrões estabelecidos pela aliança FIDO provê a segurança necessária nas interações entre o dispositivo

móvel do cidadão e o IdP, bem como possibilita gerar de forma segura a eID Móvel do cidadão; e, uma

solução de eID Móvel construída com as especificações FIDO e que está alinhada a um sistema de

GId construído com o padrão SAML aprimora a segurança, a usabilidade e a privacidade do usuário.

Inicialmente foram criados dois formulários de satisfação para avaliação do protótipo: um

para ser respondido por profissionais de TI que pudessem participar presencialmente da pesquisa

e utilizando um dispositivo móvel fornecido pelos pesquisadores; e, um segundo formulário, para

profissionais de TI que pudessem participar à distância da pesquisa, com uso de um dispositivo móvel

pessoal. Para o primeiro grupo foram convidados aproximadamente 400 profissionais de TI e para o

segundo grupo aproximadamente 1000 profissionais de TI.

Durante a fase de análise da pesquisa, a primeira ameaça identificada neste modelo de dois

formulários foi a possível diferença de percepção dos avaliadores no uso do protótipo, visto que, para

o primeiro grupo de avaliadores o dispositivo móvel fornecido estava preparado para uso, e para o

segundo grupo a instalação do protótipo em software precisou ser feita. A segunda ameaça identificada

se refere ao fato dos pesquisadores terem se identificado para os avaliadores, fator este que pode levar

a respostas diferentes, se considerado casos em que pesquisadores permanecem anônimos. Como

terceira ameaça foi identificada a escolha do público alvo, especificamente formada por profissionais

de TI. Caso o público alvo fosse o público em geral, as respostas poderiam ser diferentes, considerando

as diferentes percepções entre os profissionais de áreas do conhecimento distintas.

A dificuldade para o segundo grupo em ter em mãos um dispositivo móvel preparado para

FIDO UAF, TEE e com leitor biométrico levou a um total de apenas 21% do número total de respostas.

Considerando a primeira ameaça identificada e o menor número de respostas, este segundo grupo foi

desconsiderado da análise.

Page 107: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

106

Por se tratar de um “protótipo”, não foram consideradas todas as situações reais que um usuário

final estaria sujeito. Este fato, associado à dificuldade em se ter um dispositivo móvel preparado para

o experimento, levou a aceitação das respostas do primeiro grupo de avaliadores, mesmo tendo sido

identificadas a segunda e terceira ameaças.

Assim, durante o período da pesquisa, foi entregue aos avaliadores do primeiro grupo um

dispositivo móvel, modelo Nexus 5X da fabricante LG, com o software mID-BR já instalado e com

um perfil configurado com acesso à Internet por meio da rede sem-fio (wifi). Para que os avaliadores

pudessem responder o formulário de avaliação on-line, foi disponibilizado um computador com acesso

à Internet. As perguntas do formulário de avaliação foram antecedidas por uma fase de experimentação,

fase essa conduzida por roteiro descrito no próprio formulário. Importante destacar que, antes de

entregar o dispositivo móvel para cada avaliador, o mID-BR foi reconfigurado para os valores padrões

de instalação.

Considerando apenas o grupo de avaliadores selecionados, ao todo a pesquisa foi respondida

por dezesseis (16) profissionais de TI (tecnologia da informação), que trabalham em instituições

governamentais, e por dez (10) profissionais de TI que trabalham para empresas privadas, somando

vinte e seis (26) avaliações.

5.2.1 Avaliação dos Resultados

5.2.1.1 Identificar o grau de experiência em TI e a área de atuação dos avaliadores

Os índices indicaram que 61,5% dos avaliadores possuem experiência de mais de cinco (5)

anos de atuação na área de TI e 30,8% atuam entre um (1) e cinco (5) anos na área. Quanto à área

de atuação, alguns indicaram trabalhar em mais de uma, sendo que dezessete (17) avaliadores atuam

na área de desenvolvimento de software, oito (8) de redes de computadores, três (3) de gestão em

TI, quatro (4) de segurança computacional e nove (9) em outras áreas. Esses índices apontam que os

avaliadores têm condições técnicas e bom tempo de experiência na área de TI, para realizar a avaliação

do protótipo.

Page 108: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

107

5.2.1.2 Identificar o conhecimento dos avaliadores em relação aos seguintes conceitos: Auten-

ticação Única (SSO), Autenticação Forte Multi-Fator, SAML, FIDO, TEE, IdP. Identi-

ficar também o grau de conhecimento dos avaliadores sobre os conceitos, tecnologias e

direito (leis) relacionados à privacidade do usuário

Em relação às tecnologias que têm relação com o sistema de eID Móvel proposto, 46,2%

dos avaliadores afirmaram conhecer a especificação SAML, o que é um ponto positivo pois este

conhecimento é importante para avaliar com segurança o que ocorre nas comunicações entre SP e

IdP. Com relação ao FIDO, 23,1% afirmam conhecer o projeto e, com relação ao TEE, apenas 7,7%

o conhecem. Devido a falta de conhecimento em relação ao TEE, alguns avaliadores podem ter tido

dificuldades ao compreender mecanismos de segurança presentes no dispositivo móvel.

Figura 29. Avaliação dos resultados - experimentação 02aFonte: Elaborado pelo próprio autor.

Sobre os conceitos de gestão de identidades, conforme ilustrado pela Figura 29, mais da metade

dos avaliadores conhecem o conceito de autenticação única (65,4%), sabem o que é autenticação

multi-fator (57,7%) e o que é um provedor de identidades (69,2%). Estes índices se refletem de uma

maneira muito positiva, pois a maioria dos avaliadores já possuía os conceitos chave sobre sistemas de

gestão de identidades.

Figura 30. Avaliação dos resultados - experimentação 02bFonte: Elaborado pelo próprio autor.

Page 109: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

108

A Figura 30 ilustra em uma escala de 1 (menor conhecimento) a 5 (maior conhecimento), o

conhecimento dos avaliadores em relação aos conceitos e tecnologias sobre a privacidade do usuário

(gráfico em vermelho) e o conhecimento em relação ao direito e leis sobre privacidade (gráfico

em amarelo). Cerca de 61,5% dos avaliadores afirmam tem conhecimento médio (escala 3) sobre

tecnologias e cerca de 46,2% afirmam ter conhecimento médio sobre as leis e direitos.

Quando se trata de sistemas de gestão de identidades, em países mais desenvolvidos no assunto,

como por exemplo, a Alemanha e o Reino Unido, a preocupação com a privacidade do usuário é

assunto crítico, principalmente, porque o direito à privacidade do usuário é algo previsto em lei. No

Brasil, a falta de leis e discussões a cerca do tema pode refletir na maneira como muitos cidadãos

entendem a privacidade, até mesmo na maneira como eles entendem que os sistemas de GId deveriam

operar, o que poderia explicar o baixo conhecimento dos avaliadores, indicado nas escalas 4 e 5.

5.2.1.3 Identificar se os avaliadores conseguiram executar todo o experimento, conforme des-

crito no roteiro. Se estes tiveram alguma dificuldade e quais foram os problemas en-

contrados

Conforme as respostas obtidas, 96,2% dos avaliadores não encontraram problemas para realizar

o cadastro da eID Móvel e 80,8% não tiveram dificuldades para concluir todo o experimento.

Nas respostas abertas, observa-se que os problemas encontrados foram variados, desde um

erro de travamento até indisponibilidade de um dos provedores de serviço. Durante o período de

avaliação, o IdP do CafeExpresso (hospedado na RNP) ficou indisponível por cerca de seis (6) horas e

o SP, utilizado no GidLab (hospedado na RNP), por aproximadamente 14hs, em virtude de problemas

internos nos pontos de presença da RNP. Estas indisponibilidades explica a maioria dos problemas

reportados pelos avaliadores.

Um dos avaliadores reportou um problema de “token já utilizado”. Uma verificação do problema,

demonstrou que dois avaliadores realizaram o experimento em horário semelhante e utilizaram o

mesmo “nome de usuário” disponibilizado para o experimento. Isto não chega a ser um problema, pois

em um sistema real de produção duas pessoas teriam que ter “nomes de usuário” distintos, o que evita

este problema. No experimento, esta restrição não foi implementada por isso ocorreu o problema.

Page 110: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

109

5.2.1.4 Identificar se os avaliadores compreenderam a função do aplicativo utilizado

Os resultados demonstram que 92,3% dos avaliadores compreenderam as funcionalidades

do aplicativo desenvolvido e 76,9% indicaram que as mensagens informativas do aplicativo foram

claras e objetivas. Porém, pouco mais de 20% indicaram que algumas mensagens de erro não foram

compreendidas ou não auxiliaram a contornar a dificuldade encontrada.

Considerando que, grande parte das mensagens de erro também são geradas pelo cliente FIDO

no idioma inglês e que muitas delas tratam-se de textos técnicos, chega-se a conclusão que essas

mensagens merecem especial atenção ao serem exibidas para um usuário final. Essa característica

foi uma situação não tratada no protótipo, mas que deveria ter sido observada de forma a se evitar

problemas com o uso do aplicativo.

5.2.1.5 Identificar o grau de satisfação do usuário quanto ao uso do protótipo e o que poderia

ser melhorado

Os resultados apontam que 96,2% dos avaliadores se sentiram confortáveis durante a realização

do experimento. Isto demonstra uma boa satisfação dos usuários no uso do protótipo desenvolvido.

Alguns dos avaliadores fizeram comentários sobre a usabilidade do aplicativo, como por

exemplo: “design pobre e não responsivo”; “...a utilização do aplicativo foi fácil pois está seguindo

instruções do manual, se um usuário fosse usar apenas o aplicativo ele ficaria bastante perdido...”; e,

“permitir que o usuário insira alguma informação "pessoal"mesmo que inventada, para que possa ver

os resultados”. Essas respostas demonstram que, para um sistema de produção, é muito importante

modelar um aplicativo que se adeque ao tamanho de tela dos diferentes dispositivos móveis existentes

e também ofereça ao usuário uma melhor experiência de uso.

5.2.1.6 Identificar a satisfação dos avaliadores em relação à segurança da eID Móvel, se fosse

permitida a emissão da eID somente mediante cadastro presencial em uma entidade

pública de registro

Do ponto de vista de 69,3% dos avaliadores, o cadastro presencial da eID Móvel através de

identificação pessoal foi considerado um fator importante para aumentar a segurança do sistema

proposto. Já para 26,9% dos avaliadores, o processo de cadastro poderia ter sido feito de forma

eletrônica (on-line), já que para estes avaliadores, este processo garante o mesmo nível de segurança

Page 111: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

110

que o cadastro presencial.

Alguns países europeus permitem o cadastro da eID Móvel de forma online, desde que o

processo seja validado a partir do uso de um documento de identidade com chip, como ocorre por

exemplo na Áustria. Mas é preciso considerar que nestes casos, o processo de emissão do documento

de identidade é considerado seguro pelo governo. Para o Brasil, em que o índice de fraudes é alto,

realizar o cadastro presencial pode ser justificado, uma vez que o documento de identidade emitido

para o cidadão não possui a funcionalidade de identidade eletrônica. Mas, desde que métodos seguros

para ativação da eID Móvel sejam adotados no país, problemas com fraude no país poderiam ser

minimizados.

5.2.1.7 Identificar o grau de satisfação dos avaliadores quanto à garantia da privacidade do

usuário, considerando que o IdP não armazena a impressão digital do cidadão

Na opinião de 76,9% dos avaliadores, manter armazenada os dados da impressão digital usuário

no seu próprio dispositivo móvel colabora para garantir a privacidade do usuário. Por outro lado, 23,1%

dos avaliadores não tem certeza quanto a esta garantia.

Vale ressaltar que não houve nenhuma resposta negativa, o que demonstra que os avaliadores

se preocupam com a questão da privacidade, apesar de que parte deles não tinham certeza se a

característica apresentada pelo sistema proposto, de armazenamento da impressão digital, contribuiu

de alguma forma com a privacidade do usuário.

5.2.1.8 Identificar a opinião dos avaliadores em relação ao uso da biometria nos processos de

autenticação e ao uso de vários fatores para proteger a chave privada

Conforme ilustrado na Figura 31, aproximadamente 46% dos avaliadores avaliaram como

positivo o uso de mais de um fator para se autenticar em sistemas de governo eletrônico, combinando

um PIN com um fator biométrico para proteger a chave privada. Outros 46,2% preferem utilizar

somente um fator biométrico. Acredita-se que uma boa parcela dos avaliadores estava preocupada

muito com a segurança da chave privada, mesmo que isto exija mais de uma ação no processo de

autenticação.

Porém, um dado importante observado pelas respostas, é que ninguém preferiu o uso de

somente uma senha numérica (PIN) para proteger a chave privada. Outro resultado apontou que todos

Page 112: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

111

Figura 31. Avaliação dos resultados - experimentação 08Fonte: Elaborado pelo próprio autor.

os avaliadores consideraram mais seguro combinar uma chave privada com biometria, ao invés utilizar

somente uma senha numérica para se autenticar em um SP. Foi possível observar que os avaliadores

se preocupam com a segurança ao acessar um SP e que optariam por mecanismos mais seguros caso

pudessem escolher.

5.2.1.9 Identificar a opinião dos avaliadores com relação ao uso de pseudônimos no acesso aos

provedores de serviço governamentais

A maioria dos avaliadores (69,2%) consideram que gerar um “nome de usuário” (pseudônimo)

exclusivo por SP, contribui para garantir a privacidade do usuário, porém, 30,8% responderam que não

tem certeza. Um dado importante é que nenhum dos avaliadores desconsidera o uso de pseudônimos

como fator para garantir a privacidade do usuário. Este índice é importante, pois reflete um grau de

conhecimento dos avaliadores sobre a importância do uso de pseudônimos para preservar a privacidade.

5.2.1.10 Identificar a opinião dos avaliadores quanto a apresentação da tela de consentimento,

tanto em relação a usabilidade quanto em relação ao uso dela como mecanismo para

garantir a privacidade do usuário

Para a maioria, 72,7% das pessoas que participaram da pesquisa, a tela de consentimento

contribuiu com a privacidade, ao permitir que o usuário visualizasse quais informações pessoais o

SP solicitou e pudesse decidir enviá-las ou não. Em complemento a esta estatística, 54,5% também

afirmaram ser interessante que o usuário pudesse selecionar, na lista de atributos apresentada, quais

informações suas ele gostaria de enviar ao SP. Apenas 3% acredita que essa tela de consentimento

prejudica a usabilidade e 6,1% afirma que não faz diferença ela existir.

Page 113: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

112

5.2.1.11 Identificar o grau de percepção dos avaliadores quanto à privacidade e segurança

oferecidas pelo protótipo utilizado nos experimentos

A maioria dos avaliadores, cerca de 88,5%, considera que o protótipo do sistema de eID Móvel

proposto contribui mais com a privacidade do usuário do que os atuais sistemas que estes utilizam para

e-Gov. Aproximadamente 90% se sentiu seguro ao acessar um SP a partir do aplicativo mID-BR. Todos

os avaliadores consideram o sistema de eID Móvel proposto seguro para interações com provedores de

serviços governamentais.

5.2.1.12 Identificar se os avaliadores recomendariam a solução de eID Móvel proposta como

uma solução para autenticar os cidadãos nos SPs governamentais

Para 84,6% dos avaliadores, a solução de eID Móvel, se adotada, poderia contribuir de alguma

forma para melhorar a interação do cidadão com os provedores de serviços governamentais, reduzindo

os trâmites burocráticos. Da mesma forma, 80,8% dos avaliadores afirmam recomendar a solução

para autenticar os cidadão perante os serviços de governo eletrônico, contra 19,2% que talvez a

recomendassem. Não houve nenhuma resposta negativa quanto à recomendação da solução.

5.2.1.13 Identificar se os avaliadores consideram que solução de eID Móvel proposta causaria

algum impacto negativo, se fosse adotada pelo Governo do Brasil

Quase 85% do avaliadores afirmaram que a solução de eID Móvel não causaria nenhum impacto

negativo. Os demais avaliadores apontaram que:

• “Depende da criticidade do sistema em questão. Celulares podem ser roubados e pessoas

sequestradas”;

• “A substituição de humanos em determinados cargos. O avanço de soluções tecnológicas

substituem certos empregos”;

• “Nem todos possuem celulares com leitor biométrico”;

• “O único impacto negativo é o fato de muitas pessoas não possuírem android”; e,

• “Restrição na disponibilidade de sistemas para um subgrupo pequeno de usuários. Serviços

públicos precisam ser acessíveis, mas este tipo de tecnologia ainda é restrita”.

Page 114: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

113

5.2.1.14 Coletar críticas ou sugestões de melhoria dos avaliadores

Quanto a esta questão aberta, todas as respostas são apresentadas na íntegra no Apêndice F. De

forma geral, algumas das sugestões são apresentadas abaixo:

• “Disponibilizar versões do aplicativo para as plataformas iOS e Windows Phone”;

• “Melhorar a interface do aplicativo, no sentido de aumentar a responsividade e usabilidade”;

• “Disponibilizar um manual para usuários leigos e disponibilizar o código-fonte para aumentar

a confiança dos usuário em relação aos dados coletados pela aplicação”;

• “Explicar de forma rápida e simples a motivação do projeto, para que fique claro aos avaliado-

res”; e,

• “Apresentar breve explicação sobre o funcionamento atual dos serviços de governo”.

5.2.1.15 Verificar se os avaliadores tinham algum comentário adicional

Nessa questão aberta, os avaliadores apresentam comentários como: “o software pode aumentar

o nível de segurança de autenticação nos sistemas de governo”; “minimizar problemas como o esqueci-

mento de senhas”; “os portais governamentais estão precisando de um incremento em segurança”; “as

limitações apontadas são relativas a apresentação”; e, “em termos de sua funcionalidade, o sistema

parece bom, mas UI/UX é tudo, se seu usuário não entende como o sistema funciona e tem dificuldade

de interagir, o sistema não serve para nada”. Todas as respostas escritas pelos avaliadores podem ser

encontradas na íntegra no Apêndice F.

5.3 COMPARAÇÃO COM OS TRABALHOS RELACIONADOS

Este trabalho, apresentou uma proposta para um sistema de Gestão de eID Móvel para o cenário

de e-Gov brasileiro. O Quadro 1 disponibilizado na Seção 3.9, apresentou a comparação do mID-BR

com os trabalhos relacionados. Desses trabalhos, Bicakci et al. (2014) e Torres et al. (2016) sugeriram

o TEE para reforço da segurança e a maioria deles adotaram o cartão SIM como elemento seguro para a

identidade eletrônica do cidadão. Nesse contexto, o mID-BR abordou a utilização apenas do TEE para

oferecer um ambiente de processamento seguro e com proteção de integridade para as informações

sensíveis, possibilitando a redução de custos para o usuário final.

Page 115: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

114

Conforme descrito por Krimpe (2014), essas soluções de eID Móvel que se baseiam no cartão

SIM geram uma dependência do cidadão e do governo com os padrões estabelecidos pelas operadoras

de telefonia móvel. Como toda infraestrutura de segurança e autenticação é provida pelas operadoras

de telefonia móvel, segundo Kerttula (2015), essa característica exige do cidadão também a assinatura

de um plano de dados móveis. Neste sentido, o mID-BR se diferencia ao permitir que o cidadão possa

fazer uso de qualquer rede sem fio que tenha acesso à Internet, não prendendo o cidadão ao uso de

redes de dados oferecidas pelas operadoras.

Segundo Martens (2010), para as soluções que implementam a eID Móvel através de parcerias

com as operadoras de telefonia, como por exemplo na Islândia (apresentada por Prusa (2015)), é

exigido do cidadão a troca do seu cartão SIM por outro com capacidades criptográficas. No entanto, os

cartões SIM oferecidos geralmente possuem alguma tecnologia proprietária embarcada, o que contribui

para elevar o custo com a aquisição dos cartões SIM PKI e a dependência com as operadoras. Como

o mID-BR propõe o uso de criptografia de chave pública forte, implementada através do protocolo

FIDO UAF, qualquer dispositivo móvel ou de hardware que possua a pilha FIDO UAF embarcada

pode ser utilizado.

Apesar da maioria das soluções de eID Móvel apresentadas estabelecerem parcerias entre o

governo e a iniciativa privada, não foi apresentado pelos trabalhos relacionados o grau de envolvimento

entre eles. Ou seja, não foi possível identificar até que ponto o governo dita as regras de negócios e

determina quais padrões tecnológicos devem ser seguidos. No trabalho de Zefferer e Teufl (2015),

é apresentada soluções totalmente proprietárias de eID Móvel, oferecidas à governos por empresas

privadas, como soluções prontas para uso. Ao contrário, o mID-BR propõe a utilização de tecnologias

de padrão aberto e alinhadas à arquitetura e-PING, o que permite ao governo brasileiro adaptar a

solução conforme sua necessidade e criar suas próprias regras de negócio para atender melhor a

população.

Por fim, o trabalho de Torres et al. (2016) apresenta uma estratégia de gestão de identidades

para o Brasil, citando a adoção da eID Móvel para acesso ao serviços de e-Gov que exigem mais alto

nível de segurança. No entanto, essa estratégia carece de resultados de uma prototipação, igualmente às

soluções apresentadas por Wu et al. (2014) e En-Nasry e Kettani (2011) que tratam apenas de modelos

teóricos, sem apresentarem resultados práticos. Pelo contrário, o mID-BR descreve a implementação

de um protótipo desenvolvido totalmente com padrões abertos e apresenta resultados científicos de um

sistema de Gestão de eID Móvel Nacional.

Page 116: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

115

6 CONCLUSÃO

Um grande número de países vem enfrentando o desafio de estreitar a relação da população com

o governo, de forma a promover desenvolvimento sustentável, transparente e aumentar a participação do

cidadão nas decisões públicas. Implantar políticas de governo eletrônico, com auxílio das tecnologias

de informação e comunicação, tem se mostrado um caminho promissor para estimular novos empregos,

melhorar as condições de saúde e educação, além de promover a inclusão social e crescimento

econômico de uma nação (ONU, 2014). De acordo com (OECD, 2011b), a concretização das políticas

de e-Gov é favorecida com o desenvolvimento de estratégias nacionais de GId.

Ao longo dos anos, alguns países tem desenvolvido suas estratégias de GId com base em cartões

de identidade civil com chip. Porém, conforme observado por Ruiz-Martínez et al. (2007) e por Tavora,

Torres e Fustinoni (2015), esses países têm se deparado com a baixa utilização do cartão de eID nas

interações entre cidadãos e governo. Devido a esta baixa aceitação e o uso crescente dos serviços de

comunicação móvel, diversas soluções de eID Móvel têm surgido nos últimos anos (RUIZ-MARTÍNEZ

et al., 2007). Pela simplicidade de implementação e por oferecer proteção contra violação física (DO

et al., 2013), soluções com cartões SIM tem sido largamente adotadas (ZEFFERER; TEUFL, 2015).

Contudo, implementar a eID Móvel utilizando cartões SIM PKI gera altos custos de aquisição

dos mesmos (ZEFFERER; TEUFL, 2015), bem como custos com a contratação de um plano de

dados móveis (KERTTULA, 2015), pois o cidadão é identificado através das redes de telefonia móvel

(DO et al., 2013). Essa dependência entre governo e operadoras (KRIMPE, 2014), também cria

problemas a serem enfrentados pelos SPs governamentais, como a falta de confiança na infraestrutura

de autenticação das operadoras de telefonia móvel (MARTENS, 2010).

Recentemente, uma estratégia de GId foi proposta em (TORRES et al., 2016) para alavancar

o desenvolvimento de e-Gov nacional. Essa estratégia sugere a utilização da eID Móvel no Brasil,

porém sua implementação não é descrita, como também não são apresentadas formas de contornar os

problemas mencionados acima.

Diante desse cenário, buscando encontrar uma forma de implementar a eID Móvel no Brasil,

que contornasse os problemas enfrentados pelas soluções adotadas por outros países, surgiram os

seguintes problemas de pesquisa: (i) identificar quais soluções de padrão aberto podem ser utilizadas

para gerar a eID Móvel do cidadão e garantir o mesmo nível de segurança e usabilidade das soluções

Page 117: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

116

atualmente em uso; e, (ii) buscar uma forma de integrar um sistema de eID Móvel ao cenário e-Gov

nacional, considerando uma solução baseada em tecnologias emergentes e ao mesmo tempo promova

a usabilidade.

Como forma de contornar os problemas de pesquisa identificados, foi definido o seguinte

objetivo geral: possibilitar o uso da eID Móvel em um sistema de GId Nacional, alinhado ao Programa

de Governo Eletrônico Brasileiro, por meio de uma solução que prime pela segurança, privacidade e

usabilidade. Para atingir esse objetivo geral, três objetivos específicos foram definidos.

O primeiro objetivo, de garantir a segurança e a usabilidade da eID Móvel, de forma similar

às implementações que fazem uso do cartão SIM ou do HSM, foi atingido com a modelagem e

implementação de um protótipo por meio do uso de tecnologias emergentes como o FIDO UAF e o

TEE. O segundo objetivo, de garantir a segurança e a privacidade do cidadão, por meio de um sistema

de Gestão de eID Móvel Nacional, alinhado à estratégia nacional de e-Gov brasileiro proposta em

Torres et al. (2016), foi atingido pela descrição de um sistema de eID Móvel Nacional, alinhado aos

padrões de interoperabilidade definidos pela arquitetura e-PING.

O último objetivo específico, de avaliar a funcionalidade e a usabilidade de um sistema de

gestão de eID móvel, bem como os impactos sobre a privacidade, considerando o seu uso em um

estudo de caso, foi atingido a partir das experimentações de avaliação apresentadas no Capítulo 5.

Diante do exposto, pode-se afirmar que o objetivo geral desse trabalho foi alcançado.

A realização da pesquisa bibliográfica, permitiu identificar as tecnologias emergentes, de forma

a confirmar a primeira hipótese desse trabalho, a qual afirma que o uso da tecnologia TEE garante um

alto nível de segurança, auxiliando a proteção das informações biométricas do usuário, podendo ser

utilizada como substituto do elemento seguro nas soluções de eID Móvel.

A segunda hipótese, afirmava que a utilização dos padrões estabelecidos pela aliança FIDO

provê a segurança necessária nas interações entre o dispositivo móvel do cidadão e o IdP, bem como

possibilita gerar de forma segura a eID Móvel do cidadão. Ao atingir o objetivo específico 1 e

parcialmente o 3, pode-se afirmar que esta hipótese é verdadeira.

Por fim, a hipótese que afirmava que uma solução de eID Móvel construída com as especifica-

ções FIDO e alinhada a um sistema de GId construído com o padrão SAML aprimorava a segurança, a

usabilidade e a privacidade do usuário, foi confirmada ao se atingir os objetivos específicos 2 e 3.

Page 118: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

117

6.1 CONTRIBUIÇÃO DA DISSERTAÇÃO

A principal contribuição dessa dissertação está na descrição de um sistema de eID Móvel,

alinhado ao programa de e-Gov no Brasil e no desenvolvimento de um protótipo em software que: (i)

foi modelado e implementado com padrões abertos e tecnologias emergentes, seguindo as diretrizes

do governo federal; (ii) se diferencia das soluções de eID Móvel atuais, ao não criar dependências

com as operadoras de telefonia móvel; e, (iii) apresenta resultados científicos de uma prototipação,

complementando a proposta de Torres et al. (2016).

A participação no projeto de pesquisa promovido pelo Ministério da Justiça (MJ) em parceria

com a Universidade de Brasília (UNB), entre os anos de 2014 e 2016, cujo objetivo foi identificar,

mapear e desenvolver parte dos processos e da infraestrutura tecnológica necessária para viabilizar a

implantação do número único de Registro de Identidade Civil (RIC) no Brasil, possibilitou a confecção

dos relatórios técnicos UnB (2015c) e UnB (2015b), bem como a publicação dos artigos Verzeletti et

al. (2014) e Torres et al. (2016).

Recentemente, foi publicado o artigo Verzeletti et al. (2016) no Workshop de Gestão de

Identidades Digitais (WGID) do SBSeg, com o resultado da revisão sistemática da literatura descrita

no Apêndice B.

6.2 SUGESTÃO PARA TRABALHOS FUTUROS

Como trabalhos futuros, propõem-se:

• Desenvolver um módulo de autenticação para outros frameworks diferentes do simpleSAMLphp,

para ser usado pelo protótipo mID-BR, e promover testes direcionados de segurança de forma a

encontrar possíveis vulnerabilidades;

• Fazer uso do protótipo desenvolvido em diversos serviços de governo eletrônico, como os que

necessitam de assinatura eletrônica de documentos, de forma a avaliar a aplicabilidade da solução

proposta com uso de diferentes tecnologias e em diferentes contextos, como por exemplo, nos

contextos ilustrados pelos casos de uso da Subseção 4.2.1.2 e da Subseção 4.2.1.1; e,

• Investigar outros protocolos de autenticação seguros e de padrões abertos, comparando esses

protocolos com a solução apresentada nesse trabalho que faz uso dos padrões FIDO UAF.

Page 119: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

118

REFERÊNCIAS

ALIMI, V.; PASQUET, M. Post-distribution provisioning and personalization of a paymentapplication on a uicc-based secure element. In: IEEE. Availability, Reliability and Security,2009. ARES’09. International Conference on. 2009. p. 701–705. Disponível em: <http://dx.doi.org/10.1109/ARES.2009.98>.

ARAÚJO, M. O projeto de registro de identidade civil RIC. [S.l.]: Ministério da Justiça,Departamento, 1998.

BALDONI, R. Federated identity management systems in e–government: the case of italy. ElectronicGovernment, an International Journal, Inderscience, v. 9, n. 1, p. 64–84, 2012. Disponível em:<http://dx.doi.org/10.1504/EG.2012.044779>.

BHARGAV-SPANTZEL, A.; CAMENISCH, J.; GROSS, T.; SOMMER, D. User centricity: ataxonomy and open issues. Journal of Computer Security, IOS Press, v. 15, n. 5, p. 493–527, 2007.Disponível em: <http://dx.doi.org/10.3233/JCS-2007-15502>.

BICAKCI, K.; UNAL, D.; ASCIOGLU, N.; ADALIER, O. Mobile authentication secure againstman-in-the-middle attacks. In: IEEE. Mobile Cloud Computing, Services, and Engineering(MobileCloud), 2014 2nd IEEE International Conference on. 2014. p. 273–276. Disponível em:<http://dx.doi.org/10.1109/MobileCloud.2014.43>.

BOUDRIGA, N. Security of mobile communications. [S.l.]: CRC Press, 2009.

BRASIL. e-PING Padrões de Interoperabilidade de Governo Eletrônico. Comitê Executivo deGoverno Eletrônico, May, 2016. Disponível em: <http://eping.governoeletronico.gov.br/>.

BRASIL, I. Infra-estrutura de Chaves Públicas Brasileira. 2016. Disponível em: <http://www.iti.gov.br/icp-brasil>. Acesso em: 07 jul. 2016.

BSI. Neue Software für den Online-Ausweis. 2015. Federal Office for Information Security.Disponível em: <https://www.ausweisapp.bund.de/en/startseite/>. Acesso em: 27 dez. 2015.

CAMENISCH, J.; PFITZMANN, B. Federated identity management. In: Security, Privacy,and Trust in Modern Data Management. Springer, 2007. p. 213–238. Disponível em:<http://dx.doi.org/10.1007/978-3-540-69861-6_15>.

CARTER, L.; BELANGER, F. Citizen adoption of electronic government initiatives. In: IEEE.System Sciences, 2004. Proceedings of the 37th Annual Hawaii International Conference on.2004. p. 10–pp. Disponível em: <http://dx.doi.org/10.1109/HICSS.2004.1265306>.

CIVIL, P. d. R. C. Grupo de Trabalho Interministerial. 2000. Disponível em: <http://www.planalto.gov.br/ccivil_03/DNN/2000/Dnn8917.htm>. Acesso em: 07 jul. 2016.

CLAUSS, S.; KÖHNTOPP, M. Identity management and its support of multilateral security.Computer Networks, Elsevier, v. 37, n. 2, p. 205–219, 2001. Disponível em: <http://dx.doi.org/10.1016/S1389-1286(01)00217-1>.

CNP. DNI electrónico. 2015. Cuerpo Nacional de Policía. Disponível em: <http://www.dnielectronico.es/>. Acesso em: 23 dez. 2015.

CO-OPERATION, O. for E.; DEVELOPMENT. OECD Guidelines on the Protection of Privacy andTransborder Flows of Personal Data. OECD Publishing, 2013. Disponível em: <http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm>.

Page 120: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

119

DAWES, S. S.; PARDO, T. A. Building collaborative digital government systems. In:Advances in digital government. Springer, 2002. p. 259–273. Disponível em: <http://dx.doi.org/10.1007/0-306-47374-7_16>.

DHAMIJA, R.; DUSSEAULT, L. The seven flaws of identity management: Usability and securitychallenges. Security Privacy, IEEE, v. 6, n. 2, p. 24–29, March 2008. ISSN 1540-7993. Disponívelem: <http://dx.doi.org/10.1109/MSP.2008.49>.

DO, T. van; JONVIK, T.; JORSTAD, I.; DO, T. V. Better user protection with mobile identity. In:IEEE. IT Convergence and Security (ICITCS), 2013 International Conference on. 2013. p. 1–4.Disponível em: <http://dx.doi.org/10.1109/ICITCS.2013.6717809>.

EKBERG, J.-E.; KOSTIAINEN, K.; ASOKAN, N. The untapped potential of trusted executionenvironments on mobile devices. IEEE Security & Privacy, v. 12, n. 4, p. 29–37, 2014. Disponívelem: <http://dx.doi.org/10.1109/MSP.2014.38>.

EN-NASRY, B.; KETTANI, M. D. E.-C. E. Towards an open framework for mobile digitalidentity management through strong authentication methods. In: SPRINGER. FTRA InternationalConference on Secure and Trust Computing, Data Management, and Application. 2011. p.56–63. Disponível em: <http://dx.doi.org/10.1007/978-3-642-22365-5_8>.

FÁVERI, H. J. d.; BLOGOSLAWSKI, I. P. R.; FACHINI, O. Educar para a pesquisa: Normas paraprodução de textos científicos. Nova Letra, v. 200, 2008.

FIDO Alliance. About The FIDO Alliance. 2016. Disponível em: <https://fidoalliance.org/about/overview/>. Acesso em: 30 mar. 2016.

FINGERPRINTS. FPC’s OneTouch R© FPC1025 fingerprint sensor in Google’s Nexus 5X andNexus 6P smartphones. 2015. Disponível em: <http://www.fingerprints.com/blog/2015/09/29/fpcs-onetouch-fpc1025-fingerprint-sensor-in-googles-nexus-5x-and-nexus-6p-smartphones/>.Acesso em: 10 dez. 2015.

GEMALTO. White National Mobile ID schemes: Learning from today’s best practices. [S.l.], 2014.Disponível em: <http://www.gemalto.com/brochures-site/download-site/Documents/documentgating/gov_wp_MobileID.pdf>.

GIL, A. C. Métodos e técnicas de pesquisa social. In: Métodos e técnicas de pesquisa social. [S.l.]:Atlas, 2010.

Global Platform. The trusted execution environment: delivering enhanced security at a lowercost to the mobile market. Global Platform white paper, p. 1–26, 2011. Disponível em:<http://globalplatform.org/%5C/documents/GlobalPlatform_TEE_White_Paper_Feb2011.pdf>.

GOOGLE. Fingerprint security on Nexus devices. 2016. Disponível em: <https://support.google.com/nexus/answer/6300638?hl=en>. Acesso em: 20 jun. 2016.

GOV.BR. ePWG - Padrões Web em Governo Eletrônico. 2008. Disponível em: <http://www.governoeletronico.gov.br/eixos-de-atuacao/gestao/epwg-padroes-web-em-governo-eletronico>.Acesso em: 07 jul. 2016.

. ePING - Padrões de Interoperabilidade de Governo Eletrônico. 2016. Disponívelem: <http://www.governoeletronico.gov.br/eixos-de-atuacao/gestao/interoperabilidade/eping-padroes-de-interoperabilidade-de-governo-eletronico>. Acesso em: 07 jul. 2016.

. Programa de Governo Eletrônico Brasileiro. 2016. Disponível em: <http://www.governoeletronico.gov.br/>. Acesso em: 10 jul. 2016.

. Projeto de Lei da Câmara n. 19, de 2017. 2017. Disponível em: <https://www25.senado.leg.br/web/atividade/materias/-/materia/128224>. Acesso em: 17 jun. 2017.

Page 121: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

120

GUAUS, J.; KANNIAINEN, L.; KOISTINEN, P.; LAAKSONEN, P.; MURPHY, K.; REMES, J.;TAYLOR, N.; WELIN, O. Best practice for mobile financial services: Enrolment business modelanalysis. In: Mobey Forum Mobile Financial Services Ltd., Helsinki, Finland, Online, June.[S.l.: s.n.], 2008.

HANSEN, M.; SCHWARTZ, A.; COOPER, A. Privacy and identity management. IEEE Security &Privacy, IEEE, v. 6, n. 2, p. 38–45, 2008. Disponível em: <http://dx.doi.org/10.1109/MSP.2008.41>.

HORSCH, M.; BRAUN, J.; WIESMAIER, A. Mobile eID application for the German identitycard. 2011. Technische Universität Darmstadt. Disponível em: <https://goo.gl/A4mkGk>. Acesso em:21 jan. 2017.

IDE, N.; PUSTEJOVSKY, J. What does interoperability mean, anyway? toward an operationaldefinition of interoperability for language technology. In: Proceedings of the Second InternationalConference on Global Interoperability for Language Resources. Hong Kong, China. [S.l.: s.n.],2010.

ITU, T. Series Y: Global information infrastructure, internet protocol aspects and next-generationnetwork. Rec. ITU-T Y, v. 2720, 2009.

JØSANG, A.; POPE, S. User centric identity management. In: CITESEER. AusCERT Asia PacificInformation Technology Security Conference. [S.l.], 2005. p. 77.

JØSANG, A.; ZOMAI, M. A.; SURIADI, S. Usability and privacy in identity managementarchitectures. In: AUSTRALIAN COMPUTER SOCIETY, INC. Proceedings of the fifthAustralasian symposium on ACSW frontiers-Volume 68. 2007. p. 143–152. ISBN 1-920-68285-X.Disponível em: <http://dl.acm.org/citation.cfm?id=1274548>.

JUNIOR, A. M.; LAUREANO, M.; SANTIN, A.; MAZIERO, C. Aspectos de segurança e privacidadeem ambientes de computação em nuvem. In: Minicursos – X Simpósio Brasileiro em Segurançada Informação e de Sistemas Computacionais - SBSeg. [s.n.], 2010. p. 53–103. Disponível em:<http://ceseg.inf.ufpr.br/anais/2010/minicursos.html>.

KEELE, S. Guidelines for performing systematic literature reviews in software engineering. In:Technical report, Ver. 2.3 EBSE Technical Report. EBSE. [S.l.: s.n.], 2007.

KERTTULA, E. A novel federated strong mobile signature service—the finnish case. Journalof Network and Computer Applications, Elsevier, v. 56, p. 101–114, 2015. Disponível em:<http://dx.doi.org/10.1016/j.jnca.2015.06.007>.

KRIMPE, J. Mobile id: Crucial element of m-government. In: ACM. Proceedings of the 2014Conference on Electronic Governance and Open Society: Challenges in Eurasia. 2014. p.187–194. Disponível em: <http://dx.doi.org/10.1145/2729104.2729133>.

LAURIDO, J. J. d. V.; FEITOSA, E. L. Segurança em mobile crowd sensing. In: V WGID- Workshop de Gestão de Identidades – XV Simpósio Brasileiro em Segurança daInformação e de Sistemas Computacionais - SBSeg. [s.n.], 2015. p. 51–92. Disponível em:<http://sbseg2015.univali.br/anais/WGID/artigoWGID02.pdf>.

LENK, K.; TRAUNMÜLLER, R. Electronic government: where are we heading? In: ElectronicGovernment. Springer, 2002. p. 1–9. Disponível em: <http://dx.doi.org/10.1007/3-540-46138-8_1>.

LOCKHART, H.; CAMPBELL, B. Security assertion markup language (saml) v2. 0technical overview. OASIS Committee Draft, v. 2, p. 94–106, 2008. Disponível em: <https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf>.

MADLMAYR, G.; DILLINGER, O.; LANGER, J.; SCHAFFER, C.; KANTNER, C.; SCHARINGER,J. The benefit of using sim application toolkit in the context of near field communication applications.In: IEEE. Management of Mobile Business, 2007. ICMB 2007. International Conference on the.2007. p. 5–5. Disponível em: <http://dx.doi.org/10.1109/ICMB.2007.62>.

Page 122: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

121

MARFORIO, C.; KARAPANOS, N.; SORIENTE, C.; KOSTIAINEN, K.; CAPKUN, S. Secureenrollment and practical migration for mobile trusted execution environments. In: ACM. Proceedingsof the Third ACM workshop on Security and privacy in smartphones & mobile devices. 2013.p. 93–98. Disponível em: <http://dx.doi.org/10.1145/2516760.2516764>.

MARTENS, T. Electronic identity management in estonia between market and state governance.Identity in the Information Society, Springer, v. 3, n. 1, p. 213–233, 2010. Disponível em:<http://dx.doi.org/10.1007/s12394-010-0044-0>.

MARTINA, J. E.; SOUZA, T. C. S. de; CUSTODIO, R. F. Openhsm: An open key life cycle protocolfor public key infrastructure’s hardware security modules. In: Public Key Infrastructure. Springer,2007. p. 220–235. Disponível em: <http://dx.doi.org/10.1007/978-3-540-73408-6_16>.

MELLO, E. R. D. A dummy FIDO UAF Client suitable to conduct development testson Android smartphones that are not FIDO Ready. 2017. Disponível em: <https://doi.org/10.5281/zenodo.375567>. Acesso em: 05 mai. 2016.

MELLO, E. R. D.; WANGHAM, M. S.; FRAGA, J. da S.; CAMARGO, E. T. D.; BÖGER,D. da S. A model for authentication credentials translation in service oriented architecture.In: Transactions on Computational Science IV. Springer, 2009. p. 68–86. Disponível em:<http://dx.doi.org/10.1007/978-3-642-01004-0_5>.

MINAYO, M. C. d. S.; DESLANDES, S. F.; NETO, O. C.; GOMES, R. Pesquisa social: teoria,método e criatividade. [S.l.]: Vozes, 2013.

MJ. Conselho nacional de segurança pública - conasp: Recomendação n. 019, de 19 de fevereiro de2014. 2014. Disponível em: <http://goo.gl/qxDXyA>.

MJ. Projeto RIC. 2017. Disponível em: <http://justica.gov.br/Acesso/governanca/ric>. Acesso em:17 jun. 2017.

Mobile ID World. What is Mobile ID? 2015. Disponível em: <http://mobileidworld.com/what-is-mobile-id/>. Acesso em: 17 dez. 2015.

NAUMANN, I.; HOGBEN, G. Privacy features of european eid card specifications. NetworkSecurity, Elsevier, v. 2008, n. 8, p. 9–13, 2008. Disponível em: <http://dx.doi.org/10.1016/S1353-4858(08)70097-7>.

NSTC. Identity management task force report. Subcomiittee on Biometrics and IdentityManagement, 2008. Disponível em: <https://www.whitehouse.gov/sites/default/files/microsites/ostp/nstc-identitymgmt-2008.pdf>.

OECD. Digital Identity Management: Enabling innovation and trust in the internet economy. 2011.OECD Publishing.

. National strategies and policies for digital identity management in OECD countries. [S.l.]:OECD Publishing, 2011.

ONU. e-Government Survey: e-government for the future we want. 2014. Economy & Social Affairs.

POPPER, K. R. A lógica da pesquisa científica. [S.l.]: Editora Cultrix, 2004.

POURNAJAF, L.; XIONG, L.; GARCIA-ULLOA, D. A.; SUNDERAM, V. A surveyon privacy in mobile crowd sensing task management. [S.l.], 2014. Disponível em:<http://www.mathcs.emory.edu/~lpourna/papers/pournajaf-survey14.pdf>.

PRUSA, J. E-identity. In: IEEE. IST-Africa Conference, 2015. 2015. p. 1–10. Disponível em:<http://dx.doi.org/10.1109/ISTAFRICA.2015.7190586>.

Page 123: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

122

RATH, C.; ROTH, S.; SCHALLAR, M.; ZEFFERER, T. A secure and flexible server-based mobile eidand e-signature solution. In: The Eighth International Conference on Digital Society. [S.l.: s.n.],2014. p. 7–12.

REVEILHAC, M.; PASQUET, M. Promising secure element alternatives for nfc technology. In: IEEE.Near Field Communication, 2009. NFC09. First International Workshop on. 2009. p. 75–80.Disponível em: <http://dx.doi.org/10.1109/NFC.2009.14>.

RUIZ-MARTÍNEZ, A.; SÁNCHEZ-MARTÍNEZ, D.; MARTÍNEZ-MONTESINOS, M.;GÓMEZ-SKARMETA, A. F. A survey of electronic signature solutions in mobile devices. Journal ofTheoretical and Applied Electronic Commerce Research, Universidad de Talca, v. 2, n. 3, p. 94,2007. ISSN 0718–1876.

SAFENET. Hardware Security Modules (HSMs). 2016. Disponível em: <http://www.safenet-inc.pt/data-encryption/hardware-security-modules-hsms/>.

SANTO, G. d. E. E. Prodest e Instituto Nacional debatem ações para implan-tar Cartão Cidadão. 2013. Disponível em: <http://www.es.gov.br/Noticias/161898/prodest-e-instituto-nacional-debatem-acoes-para-implantar-cartao-cidadao.htm>. Acessoem: 07 dez. 2015.

SERRAGLIO, O. PL 1775/15 - Registro Civil Nacional (RCN). 2015. Disponível em:<http://www2.camara.leg.br/atividade-legislativa/comissoes/comissoes-temporarias/especiais/55a-legislatura/pl-1775-15-registro-civil-nacional-rcn>. Acesso em: 02 mar. 2016.

SORBER, J. M.; SHIN, M.; PETERSON, R.; KOTZ, D. Plug-n-trust: practical trustedsensing for mhealth. In: ACM. Proceedings of the 10th international conference onMobile systems, applications, and services. 2012. p. 309–322. Disponível em: <http://dx.doi.org/10.1145/2307636.2307665>.

SRINIVAS, S.; BALFANZ, D.; TIFFANY, E.; ALLIANCE, F. Universal 2nd factor (u2f) overview.FIDO Alliance Proposed Standard, p. 1–5, 2015.

SRINIVAS, S.; KEMP, J.; ALLIANCE, F. Fido uaf architectural overview. Citeseer, 2014.

TAKAHASHI, T. Sociedade da informação no Brasil: livro verde. [S.l.]: Ministério da Ciência eTecnologia (MCT), 2000.

TAVORA, R. G. F.; TORRES, J. A. S.; FUSTINONI, D. F. R. Proposta de um modelo de documento deidentidade robusto a fraudes e de baixo custo. In: V WGID - Workshop de Gestão de Identidades –XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais - SBSeg.[s.n.], 2015. Disponível em: <http://sbseg2015.univali.br/anais/WGID/artigoWGID02.pdf>.

TELIA. Mobile ID. 2016. Disponível em: <https://www.telia.ee/en/era/muud-teenused/mobiil-id>.Acesso em: 27 jun. 2016.

THIEMANN, T. Picking the right path to mobile biometric authentication. Biometric TechnologyToday, Elsevier, v. 2016, n. 2, p. 5–8, 2016. Disponível em: <http://dx.doi.org/10.1016/S0969-4765(16)30034-0>.

TORRES, J. A.; PEIXOTO, H.; DEUS, F. de; JUNIOR, R. de S. An analysis of the brazilianchallenges to advance in e-government. In: ACADEMIC CONFERENCES LIMITED. Proceedingsof the 15th European Conference on eGovernment 2015: ECEG 2015. [S.l.], 2015. p. 283.

TORRES, J. A. S.; VERZELETTI, G. M.; TáVORA, R.; SOUSA, R. T.; MELLO, E. R.; WANGHAM,M. S. National strategy of identity management to boost brazilian electronic government program.In: IEEE. Computing Conference (CLEI), 2016 XLII Latin American. Valparaíso/Chile, 2016. p.1–12.

Page 124: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

123

TSAI, Y.-R.; CHANG, C.-J. Sim-based subscriber authentication mechanism for wireless local areanetworks. Computer Communications, Elsevier, v. 29, n. 10, p. 1744–1753, 2006. Disponível em:<http://dx.doi.org/10.1016/j.comcom.2005.09.016>.

TSE. Recadastramento biométrico no Brasil. 2015. Disponível em: <http://www.tse.jus.br/eleitor/recadastramento-biometrico-no-brasil>. Acesso em: 07 nov. 2015.

. Senado Federal aprova criação da Identidade Civil Nacional (ICN).2017. Disponível em: <http://www.tse.jus.br/imprensa/noticias-tse/2017/Abril/senado-federal-aprova-criacao-do-documento-de-identificacao-nacional-din>. Acesso em:07 mai. 2017.

UNB. Relatório Técnico - Dados Biográficos do Programa RIC. 2015. Dis-ponível em: <http://justica.gov.br/Acesso/governanca/pdfs/biometria-e-controle/20150331-mj-ric-rt-dados-biograficos-do-programa-ric.pdf>. Acesso em: 07 jun. 2016.

. Relatório Técnico - Estratégias Nacionais de Gestão de Identidade na Asia. 2015.Disponível em: <http://justica.gov.br/Acesso/governanca/pdfs/>. Acesso em: 03 abr. 2015.

. Relatório Técnico - Estratégias Nacionais de Gestão de Identidade na Europa.2015. Disponível em: <http://justica.gov.br/Acesso/governanca/pdfs/estrutura-documental/20150608-mj-ric-rt-estrategias-nacionais-de-gestao-de-identidade-na-europa.pdf>. Acesso em: 03abr. 2015.

UNINETT. SimpleSAMLphp Documentation. 2016. Disponível em: <https://simplesamlphp.org/docs/stable/>. Acesso em: 21 dez. 2016.

VERZELETTI, G. M.; MELLO, E. R. de; OLIVEIRA, V. H. B. de; WANGHAM, M. S. Estudocomparativo das soluções de eid móvel para governo eletrônico. In: XVI Simpósio Brasileiro emSegurança da Informação e de Sistemas Computacionais — SBSeg. [s.n.], 2016. Disponível em:<http://sbseg2016.ic.uff.br/pt/files/anais.pdf>.

VERZELETTI, G. M.; WANGHAM, M. S.; MELLO, E. R. de; TORRES, J. A. S. Um estudocomparativo de estratégias nacionais de gestao de identidades para governo eletrônico. In: XIVSimpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais — SBSeg.[s.n.], 2014. Disponível em: <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2014/0074.pdf>.

WANGHAM, M. S.; MELLO, E. R. de; BÖGER, D. da S.; GUERIOS, M.; FRAGA,J. da S. Minicursos x simpósio brasileiro de segurança da informação e de sistemascomputacionais. Minicurso-SBSeg 2010-Fortaleza-CE, p. 1–52, 2010. Disponível em:<http://ceseg.inf.ufpr.br/anais/2010/minicursos.html>.

WU, X.; FAN, Y.; ZHANG, X.; XU, J. Research of eid mobile identity authentication method.In: SPRINGER. International Conference on Trustworthy Computing and Services. 2014. p.350–358. Disponível em: <http://dx.doi.org/10.1007/978-3-662-47401-3_46>.

ZEFFERER, T.; TEUFL, P. Leveraging the adoption of mobile eid and e-signature solutions in europe.In: Electronic Government and the Information Systems Perspective. Springer, 2015. p. 86–100.Disponível em: <http://dx.doi.org/10.1007/978-3-319-22389-6_7>.

ZWATTENDORFER, B.; TAUBER, A.; ZEFFERER, T. A privacy-preserving eid based single sign-onsolution. In: IEEE. Network and System Security (NSS), 2011 5th International Conference on.2011. p. 295–299. Disponível em: <http://dx.doi.org/10.1109/ICNSS.2011.6060018>.

Page 125: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

124

APÊNDICE A – ESPECIFICAÇÕES TÉCNICAS E-PING

Este apêndice apresenta algumas das especificações técnicas da arquitetura e-Ping relevantes

para a escrita desse trabalho e para modelagem do protótipo. Cada especificação técnica é composta

por vários itens, relacionados pelo nome do componente, tipo e situação da tecnologia adotada na

versão 2016 do e-PING.

Especificações técnicas de interconexão (conforme Tabela 1):

Tabela 1. Especificações técnicas de interconexão

Componente Tecnologia SituaçãoServiço de diretório LDAP v3 (RFC 4510) AdotadoSincronismo de tempo NTP v4.0.2 (RFC 5905 IETF) AdotadoCamada de transporte TCP (RFC 793) Adotado

Intercomunicação LAN/WAN IPv6 (RFC 2460) AdotadoIPv4 (RFC 791) Transição

Rede local sem fio IEEE 802.11g Adotado

Fonte: Adaptado de BRASIL (2016).

Especificações técnicas de segurança (conforme Tabela 2):

Tabela 2. Especificações técnicas de segurança

Componente Tecnologia SituaçãoTransferência de dados em redes inseguras TLS (RFC 5246) RecomendadoAlgoritmos para troca de chaves de sessão RSA, Diffie-Hellman RSA RecomendadoAlgoritmos para definição de chave de cifração RC4, IDEA, 3DES e AES RecomendadoCertificado Digital X.509 v3 (ICP-Brasil), SASL (RFC 4422) RecomendadoAlgoritmo de cifração 3DES ou AES RecomendadoAlgoritmos para assinatura/hashing SHA-256 ou SHA-512 RecomendadoAutenticação e autorização de acesso XML SAML Recomendado

Intermediação ou Federação de Identidades WS-Security 1.1 RecomendadoWS-Trust 1.4 Recomendado

LAN sem fio 802.11 WPA2 com criptografia AES Recomendado

Fonte: Adaptado de BRASIL (2016).

Page 126: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

125

Especificações técnicas para os meios de acesso (conforme Tabela 3):

Tabela 3. Especificações técnicas de meios de acesso

Componente Tecnologia Situação

Formato de intercâmbio de hipertextoW3C XML v1.0 ou 1.1 (.xml) AdotadoW3C HTML v4.01 TransiçãoW3C HTML v5 Adotado

Mobile W3C Mobile Web application Best Practices Recomendado

Intercâmbio de informações gráficas e imagens estáticasW3C PNG AdotadoSVG RecomendadoJPEG Recomendado

Fonte: Adaptado de BRASIL (2016).

Especificações técnicas para intercâmbio de dados (conforme Tabela 4):

Tabela 4. Especificações técnicas de organização e intercâmbio de informações

Componente Tecnologia Situação

Linguagem para intercâmbio de dados XML AdotadoJSON Adotado

Fonte: Adaptado de BRASIL (2016).

Especificações técnicas para os padrões de e-Gov (conforme Tabela 5):

Tabela 5. Especificações técnicas das áreas de integração para e-Gov

Componente Tecnologia Situação

Protocolo para acesso a Web Service SOAP v1.2 AdotadoHTTP/1.1 (RFC 2616) Adotado

Fonte: Adaptado de BRASIL (2016).

Page 127: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

126

APÊNDICE B – RSL

A construção da Revisão Sistemática da Literatura (RSL) teve como objetivo principal identi-

ficar as publicações relacionadas ao uso da Identidade Eletrônica Móvel (eID Móvel), dentro e fora

do contexto de governo eletrônico. Através da análise das publicações, buscou-se encontrar a forma

utilizada para armazenamento dos atributos do usuário e como ele é identificado pelos provedores de

serviço (SPs) ao fazer uso do identificador eletrônico (eID).

Identificar as soluções de eID Móvel adotadas, serviu como base para a escrita de um sistema

de gestão de eID Móvel nacional, conforme descrito no Capítulo 4.

B.1 PLANEJAMENTO DA REVISÃO SISTEMÁTICA

B.1.1 Questões de pesquisa

Segundo afirmado por (KEELE, 2007), o estabelecimento das questões de pesquisa se constitui

a parte mais importante de qualquer revisão sistemática. O processo de pesquisa visa portanto encontrar

os estudos candidatos capazes de responder as questões de pesquisa formuladas e a análise destes

estudos deverão ser capazes de trazer as respostas esperadas.

Para identificar estes estudos, foi criado um protocolo de busca capaz de encontrar nas bases

científicas os estudos relacionados que pudessem responder a seguinte questão primária:

1. Quais soluções de identidade eletrônica móvel (eID Móvel) propostas são aplicadas no contexto

de governo eletrônico, comércio eletrônico, área e saúde ou instituições em geral?

Algumas questões secundárias também foram estabelecidas, como forma de delimitar o escopo

de pesquisa:

1. Quais tecnologias estão sendo utilizadas para prover a eID Móvel, e

2. Como a questão privacidade é tratada pelas soluções adotadas.

Page 128: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

127

B.1.2 String de Busca

A string de busca foi definida de forma a abranger os termos mais comuns relacionados à

identidade eletrônica móvel, visto que os autores utilizam termos diferentes para suas publicações.

Utilizando os termos mais comuns e as questões de pesquisa estabelecidas na Subseção B.1.1, a

seguinte string genérica foi definida:

(

("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-ID"OR "mobile

identification"OR "mobile identity"OR "identification on mobile") AND ("e-Government"OR

"e-Gov"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGov") > 10 ANOS)

OR

("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-ID"OR "mobile

identification"OR "mobile identity"OR "identification on mobile") > 5 ANOS

)

Cada base científica segue uma metodologia própria para a escrita da string de busca, portanto,

a string acima definida foi adaptada para cada realidade. No entanto, sempre que permitido, a busca

limitou-se a encontrar as palavras-chave nos títulos e resumos dos artigos. Optou-se também pela

busca de artigos no idioma inglês, uma vez que as publicações mais relevantes são encontradas neste

idioma.

B.1.3 Identificação dos recursos

O processo de pesquisa englobou a busca em bases científicas, com relevantes publicações de

artigos na área da tecnologia da informação e comunicação (TIC). A execução do protocolo de busca

foi realizada no mês de Janeiro de 2017, compreendendo o período de Janeiro/2007 a Dezembro/2016

para artigos com foco em e-Gov e de Janeiro/2012 a Dezembro/2016 para todos os demais artigos. A

escolha destes períodos foi determinada de forma a identificar as soluções de e-Gov publicadas nos

últimos 10 anos e as publicações mais recentes (últimos 5 anos) na área de eID Móvel.

Considerando as principais bases científicas da área, as seguintes foram selecionadas:

1. ACM Digital Library <http://dl.acm.org/>

Page 129: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

128

2. IEEE Explore <http://ieeexplore.ieee.org/>

3. Science Direct <http://www.sciencedirect.com/>

4. Scopus <http://link.springer.com/search>

5. SpringerLink <http://link.springer.com/>

B.1.4 Critérios de inclusão e exclusão

A seleção dos artigos elencados para análise seguiu um padrão de inclusão, padrão este que

colaborou para responder as perguntas de pesquisa elencadas na Subseção B.1.1. Os seguintes critérios

foram adotados para incluir os artigos:

• Trabalhos publicados entre 01/01/2007 e 31/12/2016, especificamente com foco em e-Gov;

• Trabalhos publicados entre 01/01/2012 e 31/12/2016, fora do contexto de e-Gov;

• Primeira análise de inclusão feita através da leitura do título e resumo;

• Somente trabalhos descrevendo soluções eID Móvel;

• Artigos completos com mais de 5 páginas; e,

• Resumos estendidos (entre 3 e 5 páginas), após leitura na íntegra.

Os seguintes critérios para exclusão dos artigos foram seguidos:

• Publicações que não tinham nenhuma relação com identidade eletrônica móvel;

• Foi considerada a publicação mais recente dos artigos duplicados;

• Trabalhos classificados como publicações em livros; e,

• Publicações sem resumo.

Page 130: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

129

B.1.5 Seleção dos artigos e extração dos dados

Após a execução da string de busca nas bases científicas escolhidas, todos os artigos retornados

foram submetidos aos critérios de inclusão e exclusão. Desta pré-seleção, os artigos classificados com

relevância duvidosa foram submetidos à avaliação de um especialista na área de Gestão de Identidades,

subárea dos Sistemas Distribuídos.

Como resultado, foi gerada uma tabela com todos os artigos retornados da string de busca

contendo as seguintes informações:

• Base científica;

• Ano da publicação;

• Título do trabalho;

• Autores;

• Resumo;

• Conclusão;

• Link para o download ou DOI; e,

• Status de aceite ou descarte.

B.2 EXECUÇÃO DA REVISÃO SISTEMÁTICA

A etapa de execução teve por objetivo adaptar a string de busca definida na Subseção B.1.2,

para cada uma das bases científicas escolhidas na Subseção B.1.5. Nessa seção é detalhado o processo

de adaptação da string de busca, bem como as particularidades de cada base científica.

B.2.1 ACM

A ACM Digital Library (DL) é uma base de dados de artigos científicos com avaliação pelos

pares(peer-reviewed) no campo da computação e das tecnologias da informação. Disponibiliza o

texto integral dos artigos das revistas publicadas pela ACM, documentos de conferencias (papers),

informativos (newsletters) e conteúdos multimédia.

Page 131: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

130

Com várias funcionalidades de pesquisa, a ACM DL permite recuperar informação através do

seu sistema de classificação (ACM Computing Classification System), visualizar e pesquisar diretamente

nas publicações da ACM por revistas, livros, grupos de interesse especial (SIGs), conferências, entre

outros. Além disso, todas as pesquisas podem ser guardadas no espaço pessoal de cada utilizador

facilitando o resgate futuro.

Utilizando o modo de pesquisa avançado, o qual permite construir uma string de busca mais

completa, os seguintes parâmetros de pequisa foram utilizados:

• Portal: <dl.acm.org/advsearch.cfm>

• Itens publicados em: ACM Publications

• Restrições: título, resumo e palavra-chave

• Período: 2007 - 2016 (string 01)

• Período: 2012 - 2016 (string 02)

string 01:

acmdlTitle:(("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-

ID"OR "mobile identification"OR "mobile identity"OR "identification on mobile") AND

("e-Government"OR "e-Gov"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGov"))

OR

recordAbstract:(("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-

ID"OR "mobile identification"OR "mobile identity"OR "identification on mobile") AND

("e-Government"OR "e-Gov"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGov"))

OR

keywords.author.keyword:(("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile

eID"OR "M-ID"OR "mobile identification"OR "mobile identity"OR "identification on

mobile") AND ("e-Government"OR "e-Gov"OR "eGov"OR "m-Government"OR "m-

Gov"OR "mGov"))

Page 132: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

131

string 02:

acmdlTitle:("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-

ID"OR "mobile identification"OR "mobile identity"OR "identification on mobile")

OR

recordAbstract:("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-

ID"OR "mobile identification"OR "mobile identity"OR "identification on mobile")

OR

keywords.author.keyword:(("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile

eID"OR "M-ID"OR "mobile identification"OR "mobile identity"OR "identification on

mobile")

B.2.2 IEEExplore

O IEEE (Institute of Electrical and Electronics Engineers) é uma das maiores associações

profissionais do mundo, dedicada ao avanço da inovação tecnológica e excelência para o benefício da

humanidade. Fornece uma vasta gama de publicações e normas de qualidade que permitem a partilha

de conhecimento técnico e informação possível entre os profissionais de tecnologia.

Mantenedora da IEEE Xplore, oferece acesso às publicações de diversos periódicos científicos,

permitindo que o usuário possa, entre outras facilidades, definir suas preferências, gravar as suas

pesquisas, criar ou atualizar alertas e ver o histórico de suas pesquisas.

Utilizando o modo de pesquisa por comando, foi possível aplicar filtro para pesquisa por título,

resumo e palavras-chave. Os seguintes parâmetros de pesquisa foram utilizados:

• Portal: <ieeexplore.ieee.org/search/advsearch.jsp?expression-builder>

• Tipo de Conteúdo: Conference Publications and Computer Science,

• Período: 2007 - 2016 (string 01)

• Período: 2012 - 2016 (string 02)

Devido a limitação de termos (15 caracteres) imposta pelo portal da IEEE, a “string 01” foi

separada em 4 partes, de forma a incluir na busca todos os termos definidos no protocolo de busca

Page 133: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

132

deste trabalho.

(("Document Title":"MobileID"OR "Abstract":"MobileID"OR "Author Keywords":"MobileID"OR

"Document Title":"Mobile IDAbstract":"Mobile ID"OR "Author Keywords":"Mobile ID")

AND ("e-Government"OR "e-Gov"OR "eGovernment"OR "eGov"OR "m-Government"OR

"m-Gov"OR "mGovernment"OR "mGov"))

("Document Title":"Mobile-ID"OR "Abstract":"Mobile-ID"OR "Author Keywords":"Mobile-

ID"OR "Document Title":"Mobile eID"OR "Abstract":"Mobile eID"OR "Author Keywords":"Mobile

eID") AND ("e-Government"OR "e-Gov"OR "eGovernment"OR "eGov"OR "m-Government"OR

"m-Gov"OR "mGovernment"OR "mGov")

("Document Title":"M-ID"OR "Abstract":"M-ID"OR "Author Keywords":"M-ID"OR

"Document Title":"mobile identification"OR "Abstract":"mobile identification"OR "Author

Keywords":"mobile identification") AND ("e-Government"OR "e-Gov"OR "eGovern-

ment"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGovernment"OR "mGov")

("Document Title":"mobile identity"OR "Abstract":"mobile identity"OR "Author Keywords":"mobile

identity"OR "Document Title":"identification on mobile"OR "Abstract":"identification on

mobile"OR "Author Keywords":"identification on mobile") AND ("e-Government"OR

"e-Gov"OR "eGovernment"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGovern-

ment"OR "mGov")

A “string 02” de busca foi separada apenas em 2 partes:

("Document Title":"MobileID"OR "Abstract":"MobileID"OR "Author Keywords":"MobileID"OR

"Document Title":"Mobile IDAbstract":"Mobile ID"OR "Author Keywords":"Mobile

ID"OR "Document Title":"Mobile-ID"OR "Abstract":"Mobile-ID"OR "Author Keywords":"Mobile-

ID"OR "Document Title":"Mobile eID"OR "Abstract":"Mobile eID"OR "Author Keywords":"Mobile

eID")

("Document Title":"M-ID"OR "Abstract":"M-ID"OR "Author Keywords":"M-ID"OR

"Document Title":"mobile identification"OR "Abstract":"mobile identification"OR "Author

Page 134: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

133

Keywords":"mobile identification"OR "Document Title":"mobile identity"OR "Abstract":"mobile

identity"OR "Author Keywords":"mobile identity"OR "Document Title":"identification on

mobile"OR "Abstract":"identification on mobile"OR "Author Keywords":"identification

on mobile")

B.2.3 ScienceDirect

A ScienceDirect é uma plataforma online, que permite acesso a artigos em texto completo

escritos por autores do cenário científico, nas principais áreas do conhecimento. Utilizando esta

ferramenta, os pesquisadores têm acesso as revistas científicas da Elsevier, além de livros online

nas áreas científica, tecnológica e médica. Todo o conteúdo é revisado por pares e sofre atualização

diariamente.

Utilizando o modo de pesquisa avançado, foram utilizados os seguintes parâmetros de pesquisa:

• Portal: <www.sciencedirect.com/science/search>

• Tipo: Journals

• Área do conhecimento: Computer Science

• Publicações: Artigos

• Restrições: título, resumo e palavra-chave

• Período: 2007 - 2016 (string 01)

• Período: 2012 - 2016 (string 02)

Este portal de busca permite que o pesquisador entre com uma string de busca já pronta, o que

pode ser feito através do menu “Expert Search”. Entretanto, como houveram mais de 400 artigos como

retorno e destes resultados observou-se que as aspas duplas não foram respeitadas pelo sistema de

busca, optou-se pela busca através do menu “Advanced search”.

string 01:

pub-date > 2004 and TITLE-ABSTR-KEY("MobileID"or "Mobile ID"or "Mobile-ID"or

"Mobile eID"or "M-ID"or "mobile identification"or "mobile identity"or "identification

Page 135: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

134

on mobile") and TITLE-ABSTR-KEY("e-Government"or "e-Gov"or "eGovernment"or

"eGov"or "m-Government"or "m-Gov"or "mGovernment"or "mGov")[Journals(Computer

Science)]

string 02:

pub-date > 2010 and TITLE-ABSTR-KEY("MobileID"or "Mobile ID"or "Mobile-ID"or

"Mobile eID"or "M-ID"or "mobile identification"or "mobile identity"or "identification on

mobile") [Journals(Computer Science)]

B.2.4 Scopus

Assim como a ScienceDirect, a Scopus é mantida pela Elsevier, constituindo-se de uma das

maiores bases multidisciplinares de resumos e citações de literatura científica revisada por pares. Foi

desenvolvida para auxiliar alunos, docentes, pesquisadores e profissionais das áreas de Ciência, Tecno-

logia, Medicina, Ciências Sociais, Artes e Humanidades em suas pesquisas e trabalhos acadêmicos,

por meio de suas publicações reconhecidas por sua qualidade. O principal diferencial da Scopus é

que a base oferece uma série de ferramentas inteligentes para acompanhar, analisar e visualizar a

pesquisa, na forma de indicadores bibliométricos, índices de citação, rankings da produção cientifica e

tecnológica, entre outros.

Para pesquisa nesta base científica, foram utilizados os seguintes parâmetros:

• Portal: <www.scopus.com/search/form.uri?display=advanced>

• Área: Physical Sciences

• Subárea: Computer Science

• Tipo de Conteúdo: Artigos

• Linguagem: English

• Período: 2007 - 2016 (string 01)

• Período: 2012 - 2016 (string 02)

Page 136: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

135

Esta base tem o diferencial de permitir o acesso às ferramentas de busca, somente após o

usuário efetuar o login no portal. Porém, uma vez realizada esta etapa é possível fazer a pesquisa

simplesmente colando a string de busca.

string 01:

((TITLE-ABS-KEY("MobileID") OR TITLE-ABS-KEY("Mobile ID") OR TITLE-ABS-

KEY("Mobile-ID") OR TITLE-ABS-KEY("Mobile eID") OR TITLE-ABS-KEY("M-

ID") OR TITLE-ABS-KEY("mobile identification") OR TITLE-ABS-KEY("mobile iden-

tity") OR TITLE-ABS-KEY("identification on mobile") ) AND (TITLE-ABS-KEY("e-

Government") OR TITLE-ABS-KEY("e-Gov") OR TITLE-ABS-KEY("eGovernment")

OR TITLE-ABS-KEY("eGov") OR TITLE-ABS-KEY("m-Government") OR TITLE-

ABS-KEY("m-Gov") OR TITLE-ABS-KEY("mGovernment") OR TITLE-ABS-KEY("mGov")))

AND PUBYEAR > 2004 AND ( LIMIT-TO(SUBJAREA,"COMP") ) AND ( LIMIT-

TO(LANGUAGE,"English"))

string 02:

((TITLE-ABS-KEY("MobileID") OR TITLE-ABS-KEY("Mobile ID") OR TITLE-ABS-

KEY("Mobile-ID") OR TITLE-ABS-KEY("Mobile eID") OR TITLE-ABS-KEY("M-ID")

OR TITLE-ABS-KEY("mobile identification") OR TITLE-ABS-KEY("mobile identity")

OR TITLE-ABS-KEY("identification on mobile")) AND PUBYEAR > 2010 AND (

LIMIT-TO(SUBJAREA,"COMP") AND ( LIMIT-TO(LANGUAGE,"English")))

B.2.5 Springer

A Springer-Verlag, ou ainda, simplesmente Springer é uma editora mundial baseada na Alema-

nha, a qual publica livros-texto, livros de referência acadêmica e periódicos de artigos com revisão

por pares, com foco em ciência, tecnologia, matemática, e medicina. Possui uma ferramenta de busca

bastante simples, onde no modo simples de busca já é possível colocar toda a string, sendo possível

refinar os resultados de forma facilitada.

Para realização da pesquisa nesta base científica, foram utilizados os seguintes parâmetros:

• Portal: <link.springer.com/>

Page 137: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

136

• Área do Conhecimento: Computer Science

• Tipo de Conteúdo: Artigos

• Linguagem: English

• Período: 2007 - 2016 (string 01)

• Período: 2012 - 2016 (string 02)

Pela simplicidade da ferramenta de busca, não foi possível definir os campos (título, resumo

e palavras-chave) como realizados nas bases anteriores. Entretanto, como os artigos retornados não

foram muitos, foi possível realizar a classificação de seleção de forma rápida.

string 01:

("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-ID"OR "mobile

identification"OR "mobile identity"OR "identification on mobile") AND ("e-Government"OR

"e-Gov"OR "eGov"OR "m-Government"OR "m-Gov"OR "mGov")

string 02:

("MobileID"OR "Mobile ID"OR "Mobile-ID"OR "Mobile eID"OR "M-ID"OR "mobile

identification"OR "mobile identity"OR "identification on mobile")

B.3 RESULTADOS DA REVISÃO SISTEMÁTICA

Após a execução da string de busca, mesmo estabelecendo um período de 10 anos para os

trabalhos com foco em e-Gov, apenas 11 artigos retornam como possíveis soluções de eID Móvel

desenvolvidas ou implementadas dentro do cenário de governo eletrônico. Para os demais trabalhos,

pelo período dos últimos 5 anos, foi retornado um total de 254 artigos. Desses totais, verificou-se que

30 correspondiam a trabalhos duplicados.

Considerando as perguntas definidas na Subseção B.1.1, foram aplicados os critérios de

inclusão e exclusão para determinar se os artigos tratavam da eID Móvel. Após aplicar esses critérios,

especialmente após a leitura dos resumos, 18 artigos foram pré-selecionados como aceitos para análise.

Page 138: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

137

Buscando extrair desses artigos pré-selecionados informações que realmente contribuíssem

para a elaboração dessa dissertação, perguntas auxiliares foram elaboradas:

• Dos países que oferecem eID Móvel para seus cidadãos, houve alguma razão especial para esta

adoção, razões como por exemplo o baixo custo da solução, exigência dos cidadãos ou estratégia

de governo?

• A solução adotada no país foi totalmente desenvolvida pelo governo ou houve a participação de

entidades privadas no processo?

• Se houve a participação destas entidades, qual o nível de participação?

• A solução foi implementada puramente em software ou faz uso de hardwares específicos?

• Quais tecnologias de software, protocolos ou padrões foram adotados?

• Quais mecanismos para garantir a segurança da eID Móvel foram adotados?

• Entidades privadas participam no processo de segurança da eID Móvel e qual este nível de

participação?

• A solução proposta apresenta cenários de implementação ou análise de resultados?

• É possível adequar ou adotar a solução para o contexto de e-Gov brasileiro?

Dessa forma, os 18 trabalhos pré-selecionados foram lidos na íntegra de forma a extrair deles

as informações definidas acimas, determinando a real relevância deles para a descrição de um sistema

de eID Móvel. A Tabela 6, apresenta o total de artigos retornados da string de busca, bem como o

quantitativo de trabalhos repetidos, removidos após a aplicação dos critérios de inclusão/exclusão,

pré-selecionados para leitura integral e realmente aceitos para descrição.

Tabela 6. Extração e Análise dos Dados - RSL 01

ACM IEEExplore ScienceDirect Scopus Springer TotalResultado da string de busca 21 24 11 58 165 279Trabalhos repetidos 6 0 6 18 0 30Trabalhos removidos 13 18 5 34 164 234Trabalhos pré-selecionados 2 6 0 6 1 15Trabalhos aceitos 2 2 0 3 1 8

Fonte: Elaborada pelo próprio autor.

Page 139: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

138

Como resultado dessa última análise, 8 artigos foram selecionados como relevantes para esse

trabalho e descritos no Capítulo 3: o artigo de Martens (2010) disponibilizado pela base científica

Springer, os artigos de Kerttula (2015) e Krimpe (2014) da base ACM, os artigos Prusa (2015) e

Bicakci et al. (2014) da base IEEExplorer, e os artigos En-Nasry e Kettani (2011), Wu et al. (2014) e

Zefferer e Teufl (2015) da base Scopus.

Page 140: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

139

APÊNDICE C – MODELAGEM DO PROTÓTIPO

Este apêndice apresenta a modelagem do protótipo desenvolvido, sendo composto pela des-

crição dos requisitos funcionais e não funcionais, pelo diagrama de sequência e pelo diagrama de

classes.

C.1 REQUISITOS FUNCIONAIS E NÃO FUNCIONAIS

• RF 01: No aplicativo mID-BR, o cliente ativo deve ser capaz de interagir com o cliente FIDO,

localizado no próprio dispositivo móvel, para gerar um par de chaves localmente (uma chave

privada e outra chave pública);

• RF 02: No aplicativo mID-BR, o cliente ativo deve ser capaz de interagir com o cliente FIDO

nos processos de cadastro, autenticação e revogação da eID Móvel;

– O Cliente FIDO deve ser capaz de interagir diretamente com o Servidor FIDO, apenas

apresentando uma resposta ao cliente ativo;

– O Servidor FIDO deve ser capaz de comunicar ao IdP o status das transações realizadas

com o Cliente FIDO;

• RF 03: O mID-BR deve ser capaz de interagir com o IdP e com o SP, fazendo uso protocolo

TLS e do padrão SAML, reencaminhando as asserções SAML entre os provedores;

• RF 04: O mID-BR deve ser capaz de solicitar ao usuário sua impressão digital (biometria) em

três momentos apenas: para cadastrar (registro da eID Móvel), para autenticar e para revogar a

eID Móvel do cidadão;

• RF 05: O mID-BR deve ser capaz de solicitar ao cidadão que informe seu “nome de usuário” e

sua impressão digital nos processos de identificação junto ao IdP;

– Se for o primeiro acesso ao IdP ou o primeiro acesso ao SP, o mID-BR deve ser capaz de

gerar um novo par de chaves;

• RF 06: O mID-BR deve ser capaz de apresentar a tela de consentimento (gerada pelo IdP) ao

cidadão, apresentando os atributos solicitados pelo SP;

• RF 07: O IdP deve ser capaz de aceitar solicitações de um SP homologado (registrado);

Page 141: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

140

– O registro do SP ocorre quando as chaves criptográficas (geradas pelo próprio SP) são

registradas manualmente no IdP;

• RF 08: No IdP, o servidor FIDO deve ser capaz de atestar a autenticidade da eID Móvel;

– Este requisito pressupõe que todo ateste feito pelo servidor FIDO seja informado ao

framework simpleSAMLphp responsável pela autenticação do usuário ;

• RF 09: O IdP deve ser capaz de incluir na política de segurança do Servidor FIDO o uso da

impressão digital, como único fator biométrico a ser aceito;

• RF 10: O SP deve ser capaz de suportar o método de autenticação via IdP;

• RF 11: O IdP deve ser capaz de prosseguir com a etapa de cadastro da eID Móvel (chave pública

+ nome de usuário), somente se foi utilizado um dispositivo que dispõe da API FIDO UAF;

• RNF 01: Toda comunicação entre o aplicativo móvel (mID-BR), o IdP e o SP deve ocorrer

somente por canal criptografado (canal seguro);

• RNF 02: O certificado digital, utilizado para estabelecimento do canal seguro, deve ser emitido

pela mesma cadeia de certificados.

– Para esta finalidade deve ser utilizada uma Entidade Certificadora Raiz, como por exemplo

a ICP-Brasil;

• RNF 03: O IdP deve ser capaz de encaminhar os atributos do cidadão ao SP somente após a

confirmação do usuário;

• RNF 04: Todo acesso do usuário ao SP bem como sua autenticação no IdP, só deve ocorrer

através do aplicativo mID-BR;

• RNF 05: Em nenhum momento o mID-BR deve fornecer a chave privada;

• RNF 06: O mID-BR jamais pode fornecer dados biométricos do usuário;

• RNF 07: A utilização do SAML para troca de asserções entre os elementos é obrigatória;

– A linguagem XML deve ser utilizada nas comunicações entre SP e IdP, e a linguagem

JSON entre cliente e servidor FIDO.

Page 142: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

141

C.2 DIAGRAMAS DE SEQUÊNCIA

A Figura 32 apresenta a troca de mensagens, realizadas entre o protótipo em software desenvol-

vido e o servidor FIDO UAF. Essas mensagens demonstram como ocorre o processo de cadastro da eID

Móvel, de forma que o IdP possa utilizar esse cadastro posteriormente, nos processos de autenticação

do usuário. O passos abaixo descrevem o fluxo de mensagens desse cadastro:

• Passo C1: O usuário seleciona a opção de cadastro da eID Móvel no cliente ativo, o qual

encaminha o “nome de usuário” juntamente com a requisição para o cliente FIDO;

• Passos C2 e C3: O cliente FIDO encaminha o pedido de cadastro para o servidor FIDO,

informando o “nome de usuário”. O servidor FIDO prepara uma mensagem de requisição de

registro, após verificar que não existe cadastro para o “nome de usuário” recebido e a encaminha

ao cliente FIDO;

Figura 32. Diagrama de sequência do cadastro da eID Móvel (C)Fonte: Elaborado pelo próprio autor.

Page 143: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

142

• Passos C4: O cliente FIDO faz o download do identificador (facetID) do servidor FIDO UAF;

• Passo C5: O cliente FIDO verifica a política para destravar a chave privada e encaminha a

solicitação de registro para a API FIDO UAF;

• Passos C6 e C7: O Autenticador FIDO verifica que não existe um par de chaves criptográfica

para o servidor FIDO e solicita a impressão digital do usuário;

• Passo C8: Um novo par de chaves criptográficas assimétricas é gerada para o servidor FIDO e a

impressão digital do usuário é utilizada para protegê-la;

• Passo C9: A API FIDO UAF encaminha a chave pública ao cliente FIDO, juntamente com

uma mensagem de ateste gerada pela chave privada armazenada no dispositivo no momento da

fabricação (nesse caso do protótipo, uma chave forjada para fins de experimentação);

• Passo C10: Uma mensagem em formato JSON é preparada e encaminhada pelo cliente FIDO

ao servidor FIDO, mensagem esta contendo o nome do usuário, a chave pública gerada e a

mensagem de ateste; e,

• Passo C11 e 12: O servidor FIDO verifica as informações recebidas, cria um cadastro em banco

de dados para o “nome de usuário” recebido e encaminha uma mensagem informativa ao cliente

FIDO, que por sua vez entrega do cliente ativo. Finalmente, o cliente ativo apresenta a mensagem

de cadastro realizada pelo servidor FIDO ao usuário.

Uma vez cadastrada a eID Móvel, um novo fluxo de mensagens é gerado nos processos de

autenticação. A Figura 33 ilustra esse fluxo de mensagens que são trocadas entre os atores que

compõe o cenário de autenticação. Abaixo seguem os passos ilustrados pelo diagrama de sequência da

Figura 33:

• Passo A1: O usuário escolhe o serviço que deseja ter acesso, através do menu do aplicativo

mID-BR;

• Passo A2: O SP gera uma asserção SAML de requisição, informando que é necessário ao

usuário se autenticar para ter acesso ao serviço;

• Passo A3: O cliente ativo segura a asserção SAML de requisição e solicita ao cliente FIDO um

token (senha descartável);

• Passo A4: O cliente FIDO encaminha uma requisição de autenticação ao servidor FIDO UAF;

Page 144: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

143

Figura 33. Diagrama de sequência da fase autenticação (A)Fonte: Elaborado pelo próprio autor.

• Passos A5 e A6: O servidor FIDO verifica a existência de um cadastro para o usuário e enca-

minha um desafio para ser assinado, juntamente com a política (regras para destravar a chave

privada) para o cliente FIDO;

• Passo A7: O cliente FIDO faz o download do identificador (facetID) do servidor FIDO UAF;

• Passo A8: O cliente FIDO verifica a política para destravar a chave privada;

• Passo A9: O cliente FIDO encaminha desafio a ser assinado, juntamente com a política e o

identificador do servidor FIDO para a API FIDO UAF;

• Passos A10 e A11: O Autenticador FIDO verifica a existência de um par de chaves criptográfica

para o servidor FIDO e solicita a impressão digital do usuário para destravar a chave privada;

Page 145: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

144

• Passos A12 e A13: A API FIDO UAF destrava a chave privada, assina o desafio e encaminha o

desafio assinado ao cliente FIDO;

• Passos A14 a A15: O cliente FIDO gera uma resposta em formato JSON, contendo o desafio

assinado e a encaminha ao servidor FIDO;

• Passo A16: O servidor FIDO verifica a resposta do desafio, gera o token e o encaminha ao

cliente FIDO, que por sua vez entrega ao cliente ativo;

• Passos A17: O cliente ativo encaminha a asserção SAML de requisição juntamente com o token

de acesso ao servidor IdP (simpleSAMLphp);

• Passos A18: O simpleSAMLphp solicita ao servidor FIDO o token gerado para o usuário. O

token recebido do cliente ativo é comparado ao token informado pelo servidor FIDO e passa

pelo processo de validação;

• Passos A19: O simpleSAMLphp apresenta a tela de consentimento que contém a lista de atributos

do usuário, solicitada pelo SP acessado;

• Passos A20: O simpleSAMLphp gera uma asserção SAML de resposta, que é entregue ao cliente

ativo e encaminhada ao SP; e,

• Passos A21: O SP consome a asserção SAML recebida e concede para o usuário acesso ao

serviço solicitado.

C.3 DIAGRAMA DE CLASSES

O diagrama de classes ilustrado na Figura 34, apresenta as classes e métodos utilizados na

implementação do cliente em software desenvolvido para a plataforma Android.

A interface NavigationView é utilizada pelas classes MainActivity e HttpActivity para imple-

mentar o menu lateral que concede acesso aos SPs. O método onNavigationItemSelected é sobrescrito

pelas duas classes citadas, identificando o evento de clique (escolha do SP) e realizando a chamada do

método de autenticação (AuthenticationActivity).

Na classe MainActivity, o método onActivityResult é responsável por tratar a asserção SAML

de requisição gerada pelo SP. As informações da asserção SAML de requisição são enviadas para a

classe HttpActivity, que se comporta de duas formas distintas:

Page 146: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

145

1. Quando a classe HttpActivity é chamada a partir da classe MainActivity, o método reload é

executado limpando a sessão, verificando possíveis parâmetros nulos, recriando o WebView e

interagindo com a classe AuthenticationActivity, para capturar o token (senha descartável) que

será encaminhado ao IdP através do método POST.

2. Quando a classe HttpActivity é chamada a partir do menu lateral, assim que o usuário clica em

um SP, o método onActivityResult é sobrescrito para receber a resposta da classe Authentica-

tionActivity. Posteriormente, o fluxo prossegue pelo método reload da mesma forma que foi

descrito na forma anterior.

A classe WebView também responsável por apresentar a tela de consentimento ao usuário e

encaminhar a asserção SAML de resposta gerada pelo IdP.

Na classe RegisterActivity está contido o método para criar a conta do usuário, a qual utiliza as

configurações definidas através do SharedPreferences. Essa mesma classe é responsável por mostrar a

tela de progresso, enviar a mensagem do cliente para o servidor e exibir possíveis falhas.

Na classe ClientSendFIDORegResponse, que é uma classe interna da RegisterActivity, é

processada a mensagem enviada ao Servidor FIDO UAF utilizando o método POST da classe HttpUtils.

Já a classe CreateAccountTask, que também é interna da classe RegisterActivity, processa os dados

para cadastro do usuário no Servidor FIDO UAF e é responsável pela chamada da API que solicita a

biometria do usuário.

A classe HttpUtils é responsável por estabelecer conexão com o Servidor FIDO UAF, o que é

feito pelos métodos GET e POST.

A classe AuthenticationActivity contém o método de autenticação, que assim como o Registe-

rActivity, verifica os campos nas configurações do aplicativo. É responsável pela troca de mensagens

no formato JSON com o Servidor FIDO UAF, recebendo o token para autenticação e exibindo possíveis

mensagens de falha. Outra classe interna à RegisterActivity é a classe UserAuthenticationTask, também

responsável pela comunicação com o servidor FIDO UAF utilizando a classe HttpUtils.

A classe DeRegisterActivity é responsável por apagar o cadastro do usuário no servidor FIDO

UAF. O método deregister é responsável pela troca de mensagens com a API, executando a tarefa de

apagar o cadastro do usuário, exibir possíveis mensagens de falha e apresentar o resultado da operação.

Por fim, a classe DeRegAsyncTask é responsável por fazer a comunicação com o Servidor FIDO UAF,

utilizando o método POST da classe HttpUtils.

Page 147: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

146

Figura 34. Diagrama de classes do mID-BRFonte: Elaborado pelo próprio autor.

Page 148: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

147

APÊNDICE D – CONTEXTO DE AUTENTICAÇÃO (IDP)

Este apêndice apresenta detalhes técnicos sobre a configuração do framework simpleSAMLphp,

bem como detalhes sobre o funcionamento do módulo de autenticação denominado authFidoUAF,

desenvolvido como um contexto de autenticação para o IdP.

Todas as informações necessárias para a configuração do framework foram obtidas na sua

documentação oficial, consultada em UNINETT (2016). Já as especificações SAML, para o contexto

de autenticação desenvolvido, foram obtidas em Lockhart e Campbell (2008).

A Figura 35 apresenta, por meio da especificação SAML, como o método de autenticação foi

desenvolvido e implementado no IdP.

Figura 35. XSD para o contexto de autenticação do IdPFonte: Elaborado pelo próprio autor.

As linhas 1 a 7 da Figura 35 tratam da definição do Schema XML, definindo um namespace

XML diferente do namespace da especificação SAML. As linhas 9 e 10 definem qual XSD está sendo

Page 149: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

148

definido. A definição do tipo <AuthenticatorTransportProtocolType> na linha 26, exige a presença de

um elemento do tipo SSL e HTTP, indicado que a troca de informações para autenticação se darão

entre cliente e servidor IdP por meio de um canal seguro e através da web.

O tipo de elemento <PrivateKeyProtection> é redefinido, exigindo a presença dos elementos

<KeyStorage> e <KeySharing> (linhas 43 e 44 da Figura 35 e a presença do atributo medium com

valor memory (linhas 54 e 57 da Figura 35). Estas restrições, exigem que a realização de operações

criptográficas por parte do cliente ocorram a parir de um hardware seguro.

Como última parte do squema XSD, é representada na linha 107 a utilização de um token para

o processo de autenticação, o qual é gerado por software (linha 116 da Figura 35 e possui controles de

tempo, uso e seção, conforme ilustrado nas linhas 131, 132 e 133 da Figura 35, respectivamente.

Com relação à instalação do framework simpleSAMLphp, uma das primeiras tarefas foi a de

gerar um novo par de chaves criptográficas e armazená-las no diretório padrão. A referência às chaves

geradas foi feita no arquivo de configurações “metadata/saml20-idp-hosted.php” (linha 20 e 21 da

Figura 36). Neste mesmo arquivo de configuração foi necessário indicar o módulo de autenticação

padrão (linha 25 da Figura 36), a ser utilizado pelo IdP.

Figura 36. Escolha do módulo de autenticação padrão no IdPFonte: Elaborado pelo próprio autor.

No arquivo “config/authsource.php”, foi referenciada a utilização do módulo de autenticação

criado (linha 14 e 15 da Figura 37). Neste mesmo arquivo, foram definidas algumas variáveis globais

para facilitar configuração do módulo (linhas 16 a 27 da Figura 37). Entre as variáveis definidas, pode

ser citada a variável token_expire que determina o tempo (em minutos) de validade do token.

Em seguida, cada um dos SPs criados para o experimento teve o seu metadados cadas-

trado no arquivo “metadata/saml20-sp-remote.php”. A Figura 38 ilustra o metadados do SP “sp-

saml.gidlab.rnp.br”, sendo possível observar os campos obrigatórios, como as informações do contato

técnico (linhas 20 a 23 da Figura 38 e o conteúdo da chave pública (linha 26 da Figura 38) do SP.

A página inicial do módulo de autenticação authFidoUAF, criada no diretório “www” desse

módulo, é ilustrada pela Figura 39. Essa página foi codificada para capturar o token enviado pelo

Page 150: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

149

Figura 37. Configuração das variáveis globais para o módulo authFidoUAFFonte: Elaborado pelo próprio autor.

Figura 38. Arquivo de metadados do SPFonte: Elaborado pelo próprio autor.

cliente ativo (mID-BR), o que é feito pelo método POST (linha 24 da Figura 39) através de um canal

de rede criptografado.

Figura 39. Página inicial do módulo authFidoUAF que recebe o token do cliente ativoFonte: Elaborado pelo próprio autor.

Uma vez capturado, o token é encaminhado para a classe principal do módulo (arquivo

“lib/Auth/Source/FidoUAF.php”) para ser verificado por uma função, especificamente desenvolvida

para este fim (linha 197 da Figura 40). Após a verificação, o serviço LDAP é consultado e alguns

Page 151: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

150

atributos do usuário são retornados (linhas 198 e 199 do Figura 40). Os atributos são preparados para

serem entregues ao SP, de acordo com algumas regras pré-definidas (linhas 201 a 204 da Figura 40).

Figura 40. Arquivo principal do módulo authFidoUAFFonte: Elaborado pelo próprio autor.

A Figura 41, ilustra os testes realizados com o token para validá-lo. Apenas um conjunto

pequeno de testes foi definido (total de 4 testes – linhas 171 a 190 da Figura 41), mas suficientes para

validar o token recebido. Caso seja necessário, a estrutura adotada permite que novos testes sejam

incluídos sem grande esforço.

Figura 41. Função do módulo authFidoUAF que testa token recebidoFonte: Elaborado pelo próprio autor.

Finalmente, se o processo de verificação do token for bem sucedido, os atributos do usuário

são encaminhados ao módulo de consentimento do simpleSAMLphp, que os prepara para serem

encaminhados ao SP.

Page 152: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

151

APÊNDICE E – PESQUISA DE SATISFAÇÃO

Caro avaliador,

Primeiramente, gostaríamos de agradecer por ter aceito participar deste processo de avaliação

do “protótipo em software denominado mID-BR”. Esse software, desenvolvido para a plataforma

Android, tem por objetivo principal exemplificar como um cidadão brasileiro pode fazer uso de uma

Identidade Eletrônica Móvel (eID Móvel) segura para acessar Provedores de Serviço (SP) do Governo.

Este trabalho está sendo desenvolvido pelo aluno de mestrado em Computação Aplicada

Glaidson Menegazzo Verzeletti, na Universidade do Vale do Itajaí (UNIVALI), sob a orientação da

professora Michelle Wangham. O objetivo geral desta dissertação de mestrado é possibilitar o uso de

eID Móvel em um sistema de GId Nacional alinhado ao Programa de Governo Eletrônico Brasileiro,

por meio de uma solução que prime pela segurança, privacidade e usabilidade.

* Lembramos que o experimento a ser executado é de caráter científico. Todos os dados

contidos nesse experimento são fictícios e utilizados apenas para comprovação das funcionalidades

do protótipo em software desenvolvido.

Os objetivos do protótipo são:

1) Ter um aplicativo instalado no dispositivo móvel do usuário para demonstrar como um cidadão

pode ter uma identidade eletrônica móvel para acessar provedores de serviço governamentais. Ao

acessar estes serviços, o usuário será redirecionado à um provedor de identidades centralizado para se

autenticar.

2) Permitir que, todo processo de autenticação com o provedor de identidades possa ocorrer com

a utilização de criptografia de chave pública forte, implementada através do protocolo FIDO UAF

(https://fidoalliance.org/specifications/overview/).

3) Possibilitar que o destravamento (proteção) da chave privada (gerada e armazenada no dispositivo

móvel), ocorra através da utilização da impressão digital do usuário (biometria).

4) Por fim, informar ao usuário quais atributos pessoais estão sendo enviados ao provedor de serviço

acessado. E ainda, possibilitar ao usuário o cancelamento do processo de autenticação, antes que o

provedor de serviço receba suas informações pessoais.

Objetivo do experimento: Avaliar a usabilidade e funcionalidade do protótipo desenvolvido

O tempo total para realização da avaliação deve ser em torno de 20 minutos.

Page 153: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 154: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 155: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 156: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 157: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 158: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 159: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 160: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 161: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia
Page 162: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

161

APÊNDICE F – RESPOSTAS DA PESQUISA

Neste apêndice são transcritas na íntegra as respostas dos avaliadores, referentes às perguntas

de satisfação, apresentadas no Apêndice E.

Perfil do avaliador

1. Identificação - opcional (informar e-mail válido)

• Informações omitidas para preservar a identidade dos avaliadores

2. Você trabalha em uma instituição de governo (municipal, estadual ou federal)?

• Respostas SIM: 16 (61,5%)

• Respostas NÃO: 10 (38,5%)

3. A quantos anos você atua na área de T.I.?

Figura 42. Pesquisa de satisfação - gráfico da pergunta 03Fonte: Elaborado pelo próprio autor.

4. Em qual(is) área(s) da T.I. você atua?

Figura 43. Pesquisa de satisfação - gráfico da pergunta 04Fonte: Elaborado pelo próprio autor.

Page 163: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

162

5. Você conhece o conceito de Autenticação Única (SSO)?

• Respostas SIM: 17 (65,4%)

• Respostas NÃO: 9 (34,6%)

6. Você conhece o conceito de Autenticação Forte Multi-Fator, como por exemplo a combi-

nação de senha com chave criptográfica?

• Respostas SIM: 15 (57,7%)

• Respostas NÃO: 11 (42,3%)

7. Você conhece as tecnologias listadas abaixo?

Figura 44. Pesquisa de satisfação - gráfico da pergunta 07Fonte: Elaborado pelo próprio autor.

8. Você sabe o que é um Provedor de Identidade (IdP)?

• Respostas SIM: 18 (69,2%)

• Respostas NÃO: 8 (30,8%)

9. Indique o seu grau de conhecimento sobre os conceitos e tecnologias relacionados à priva-

cidade do usuário:

Figura 45. Pesquisa de satisfação - gráfico da pergunta 09Fonte: Elaborado pelo próprio autor.

Page 164: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

163

10. Indique o seu grau de conhecimento sobre o direito (lei) à privacidade do usuário?

Figura 46. Pesquisa de satisfação - gráfico da pergunta 10Fonte: Elaborado pelo próprio autor.

Cadastro da identidade eletrônica no provedor de identidade

11. Você teve alguma dificuldade para realizar o cadastro do usuário?

• Respostas SIM: 1 (3,8%)

• Respostas NÃO: 25 (96,2%)

12. Se encontrou alguma dificuldade, qual foi?

• Encontrar o sensor para cadastrar a digital; e,

• Meu dispositivo já possuia um FIDO UAF Client instalado, tive de sair do aplicativo para

verificar qual foi o instalado para este projeto, seu nome não é mnemonico.

13. Sabendo que a impressão digital não é enviada ao provedor de identidade, você consi-

dera neste caso específico, que esta característica colabora para garantir a privacidade do

usuário?

Figura 47. Pesquisa de satisfação - gráfico da pergunta 13Fonte: Elaborado pelo próprio autor.

Page 165: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

164

14. Suponha que esta fase de cadastro só pudesse ser feita presencialmente em uma entidade

pública de registro (ex. a polícia federal) e mediante apresentação de documentos de iden-

tificação (ex: passaporte, RG, etc). Você acredita que isto contribuiria para aumentar a

segurança deste sistema de autenticação proposto?

Figura 48. Pesquisa de satisfação - gráfico da pergunta 14Fonte: Elaborado pelo próprio autor.

Acessando os provedores de serviço

15. Você teve alguma dificuldade para realizar este experimento?

• Respostas SIM: 1 (3,8%)

• Respostas NÃO: 21 (80,8%)

• Respostas PARCIALMENTE: 4 (15,4%)

16. Se encontrou alguma dificuldade, qual foi?

• Precisei replicá-la pois a mesma não acessou o serviço da primeira vez, e houve um erro

de token ja utilizado;

• Aparentemente o aplicativo não estava se conectando no SP, tive que fechar as instâncias

do aplicativo e tentar novamente, e então obtive sucesso;

• Apesar de entender o procedimento e o contexto, a aplicação é pouco ilustrativa na

demonstração do cadastro de usuário. As instruções não são contextualizadas de forma

que leigos possam interagir com o sistema e nas demonstrações, por nenhuma informação

pessoal ter sido inserida, os resultados apresentados não são pertinentes. Tive dificuldade

em entender o propósito da aplicação;

• Conexão com “Serviço sp-saml.gidlab.rnp.br”; e,

Page 166: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

165

• Só apareceram os seguintes SPs: sp-01, sp-02, sp-03 e FidoAUF ao clicar no menu . Ou

seja, não foi possível testar o sp-saml e sp-04. Instalei o app a partir do link da página do

projeto, quando aberta no celular.

17. Você considera que a autenticação com chaves criptográficas e biometria é mais segura

que a autenticação baseada apenas em senha?

• Respostas SIM: 26 (100%)

• Respostas NÃO: 0 (0%)

• Respostas MESMA SEGURANÇA: 0 (0%)

18. Marque a opção que julgar mais adequada, considerando a proteção da chave privada:

Figura 49. Pesquisa de satisfação - gráfico da pergunta 18Fonte: Elaborado pelo próprio autor.

19. Você considera que gerar um nome de login (UID) exclusivo para cada provedor de serviço

contribui para garantir a privacidade do usuário?

• Respostas SIM: 18 (69,2%)

• Respostas NÃO: 0 (0%)

• Respostas NÃO TENHO CERTEZA: 8 (30,8%)

Page 167: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

166

20. Você considera que a tela de consentimento apresentada ao usuário antes de enviar os

atributos ao provedor de serviço (você pode marcar mais de uma opção):

Figura 50. Pesquisa de satisfação - gráfico da pergunta 20Fonte: Elaborado pelo próprio autor.

Pesquisa de Satisfação

21. No seu ponto de vista, as mensagens informativas apresentadas pelo aplicativo foram cla-

ras e objetivas?

Figura 51. Pesquisa de satisfação - gráfico da pergunta 21Fonte: Elaborado pelo próprio autor.

22. As mensagens de erros, caso tenham ocorrido, foram suficientes para apontar e contornar

o problema?

Figura 52. Pesquisa de satisfação - gráfico da pergunta 2Fonte: Elaborado pelo próprio autor.

Page 168: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

167

23. Em algum momento você não soube o que fazer ao utilizar o aplicativo?

Figura 53. Pesquisa de satisfação - gráfico da pergunta 23Fonte: Elaborado pelo próprio autor.

24. Mesmo durante o pouco período de tempo que você utilizou a aplicativo, você se sentiu

confortável ao utilizá-la?

• Respostas SIM: 25 (96,2%)

• Respostas NÃO: 1 (3,8%)

25. Caso sua resposta anterior tenha sido negativa, o que poderia ser melhorado no aplicativo

para que o usuário se sinta confortável ao utilizá-lo?

• Design meio pobre e não tão responsivo, mas é importante me lembrar que se trata de um

protótipo;

• Acho que a utilização do aplicativo foi fácil pois está seguindo instruções do manual,

se um usuário fosse usar apenas o aplicativo ele ficaria bastante perdido, por exemplo

como ele iria descobrir que teria que entrar no menu de configurações para colocar o

nome do usuário para depois cadastrar, o intuitivo seria clicar no botão cadastrar usuário

para se cadastrar. Se o intuito das respostas acima era saber se com as informações do

passo passo foi fácil utilizar daí minha resposta seria sim. Caso contrário achei que faltou

usabilidade;

• Melhorar a contextualização, descrição dos procedimentos de uso e permitir que o usuário

insira alguma informação "pessoal"mesmo que inventada, para que possa ver os resultados

das informações providas nos sistemas com o qual interage.

26. Levou muito tempo para você compreender a função do aplicativo utilizado nesse experi-

mento?

• Respostas SIM: 2 (7,7%)

Page 169: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

168

• Respostas NÃO: 24 (92,3%)

27. Na sua opinião, esta solução de eID Móvel contribui mais com a privacidade do usuário,

quando comparada com as soluções atuais utilizadas no serviços de governo eletrônico?

• Respostas SIM: 23 (88,5%)

• Respostas NÃO: 0 (0%)

• Respostas PARCIALMENTE: 3 (11,5%)

28. Você se sentiu mais seguro ao utilizar este sistema para se autenticar, comparando com os

serviços de governo eletrônico que você utiliza?

• Respostas SIM: 23 (88,5%)

• Respostas NÃO: 0 (0%)

• Respostas PARCIALMENTE: 3 (11,5%)

29. No geral, você considera o aplicativo seguro para utilização no acesso à serviços de go-

verno eletrônico?

• Respostas SIM: 32 (100%)

• Respostas NÃO: 0 (0%)

30. Caso não considere o aplicativo seguro, justifique sua resposta:

• Não houveram respostas para esta pergunta.

31. Na sua opinião, utilizar esta solução de eID Móvel contribuiria para reduzir a burocracia

e melhorar a interação do cidadão com o governo?

• Respostas SIM: 22 (84,6%)

• Respostas NÃO: 4 (15,4%)

32. Você recomendaria a adoção desta solução de eID Móvel para ser utilizada para autenti-

car o cidadão em sistemas de governo eletrônico?

• Respostas SIM: 21 (80,8%)

• Respostas NÃO: 0 (0%)

Page 170: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

169

• Respostas TALVEZ: 5 (19,2%)

33. Você considera que esta solução de eID Móvel pode causar algum impacto negativo se for

adotada pelo Governo do Brasil?

• Respostas SIM: 4 (15,4%)

• Respostas NÃO: 22 (84,6%)

34. Se sim, qual impacto negativo?

• Depende da criticidade do sistema em questão. Celulares podem ser roubados e pessoas

sequestradas;

• A substituição de humanos em determinados cargos. O avanço de soluções tecnológicas

substituim certos empregos;

• Nem todos possuem celulares com leitor biométrico;

• O único impacto negativo é o fato de muitas pessoas não possuírem android; e,

• Restrição na disponibilidade de sistemas para um subgrupo pequeno de usuários. Serviços

públicos precisam ser acessíveis, mas este tipo de tecnologia ainda é restrita.

Considerações Finais

35. Quais são suas críticas ou sugestões de melhoria?

• Gostaria que tivesse uma versão para IOS;

• Seria interessante uma documentação destinada a usuários leigos, apresentando de forma

mais simplificada os aspectos e tecnologias envolvidos na solução;

• Sobre a pesquisa, apresentar ao voluntário o sensor de digital;

• Apresentar uma breve explicação de como os serviços do governo funcionam hoje;

• Acredito que este software ajudaria muito a deixar mais rápido, seguro e amigável a parte

de autenticação dos sistemas do governo federal;

• Uma clareza maior para o usuário padrão. Para pessoas com conhecimento de tecnologia

é bastante fácil, porém acho que o impacto do aplicativo em um usuário comum poderia

desencorajá-lo a usar;

Page 171: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

170

• O cadastro do usuário no aplicativo, não ficou claro, pois existe o cadastro do usuário

através da opção de configuração, e o cadastro de usuário pelo botão na tela principal,

não teve uma explicação que indicasse qual a função de ambos. E se não houvesse o

cadastro do usuário pela configuração? Qual é o comportamento do aplicativo e o sistema

como um todo? O passo da página 5 não funcionou, se a informação do log deveria

mostrar a última iteração do usuário com o servidor, a informação contida não bate com

os experimentos realizados (é necessário informar que o usuário deve buscar pelo mesmo

nome que compõe a URL com o nome do usuário registrado no menu de configurações,

e o nome do usuário sai com letra maiúscula por padrão pois o Android transforma a

primeira letra em maiúscula). Ou a redação da explicação não está de acordo. Existe

alguns erros que podem comprometer o entendimento, do usuário na hora do experimento,

como abaixo: “2- Clique no menu superior esquerdo (três barras na vertical)” e clique no

“Serviço sp-saml.gidlab.rnp.br”, São três barras na horizontal. O menu de configuração é

que é três pontos na vertical.;

• Eu sugiro melhorias no que diz respeito a responsividade. Seguindo os passos da pesquisa,

ficou fácil realizar os procedimentos, mas caso estivesse usando o aplicativo por conta

própria, ficaria confuso para descobrir como o mecanismo do aplicativo funciona;

• Versões pra IOS e Windows Phone;

• Aumentar a gama de aparelhos celulares/plataformas que suportem o aplicativo;

• Minha única dúvida foi colocada no formulário anterior sobre a usabilidade. Se for para

o usuário fazer todos os passos sem um treinamento prévio acho que ficaria incabível a

utilização do aplicativo. E se caso for feito um passo a passo para a utilização do app que

este seja feito com printa das telas, o que facilita muito ao usuário mais antigo;

• Acredito que um usuário leigo possa enfrentar dificuldades para utilização do sistema

devido a IHC aplicada, ajustes na interface devem facilitar a interação;

• Rever apresentação do projeto, fluxo de perguntas. Tente explicar esse projeto para um

patinho de borracha ou criança de 4 anos. No Brasil temos um baixo grau de escolaridade,

e serviços públicos são para todos, assim devem ter um mínimo de consideração em

termos de design de interface e user experience, quesitos que que não tiveram nenhuma

consideração;

• O código-fonte deveria estar disponível para aumentar a confiança dos usuários com

relação aos dados coletados pela aplicação. Não pareceu clara a necessidade de duas

Page 172: Identidade Móvel para o Governo Brasileiro - UNIVALIsiaibib01.univali.br/pdf/Glaidson Menegazzo Verzeletti.pdf · apresentações, as primeiras notas em guardanapo sobre criptografia

171

aplicações distintas a serem instaladas ao invés de apenas uma, ainda que ambas não

peçam permissões adicionais do dispositivo; e,

• Seguindo somente o formulário e o texto que aparece na página para instalar os apps, não

ficou claro a ideia geral do projeto. Creio que a motivação deveria ser explicada de forma

rápida e simples antes de mais nada. Algumas questões só indicavam sim/não/parcial e

poderia ter um "não se aplica", tendo em vista que a pessoa pode não ter percebido algo

sobre a mesma. No meu caso, em várias questões eu gostaria de ter colocado não se aplica,

como por exemplo, sobre a solução ser melhor para a privacidade.

36. Você tem algum comentário adicional?

• Acredito que tal software pode aumentar o nível de segurança de autenticação nos sistemas

do governo e ainda deixar menos burocrático, mais usual e amigável ao usuário e ainda

minimizando problemas que usuários cometem como “esquecimento de senhas”;

• Quanto ao passo do impacto do aplicativo referente a segurança e privacidade do usuário,

e os melhorias dos processos em relação ao Governo Eletrônico, eu ainda tenho algumas

dúvidas. Apesar de ter respondido que sim, algumas das questões eu não tinha como

responder que não, pois era uma questão que eu acredito que melhore, mas eu não tenho

experiências com outros aplicativos para governo eletrônico, nem mesmo dentro do Brasil.

Ou seja, minhas respostas são baseadas no meu conhecimento de tecnologia e da área,

e não de usuário que faz o uso de fato destas tecnologias e tenha propriedade para

compará-las com o aplicativo. No mais, parabéns pelo trabalho!;

• Gostaria de dizer que a proposta é realmente muito boa, o projeto tem que seguir adiante,

por um bem de nível nacional;

• Parabéns pelo trabalho desenvolvido. Certamente será de muita utilidade caso se adotado

pelo Governo Federal;

• Não tenho;

• Os portais governamentais estão precisando de um incremento em segurança e validação

de identidade. Com isso, o eID pode ser uma opção viável para tais sistemas; e,

• As limitações apontadas são relativas a apresentação. Em termos de sua funcionalidade,

o sistema parece bom, mas UI/UX é tudo, se seu usuário não entende como o sistema

funciona e tem dificuldade de interagir, o sistema não serve para nada.