Fisiologia do sistema respiratório, avaliação metabólica e prescrição cardiorrespiratória
(in)Segurança na Prescrição electrónica - cracs.fc.up.pt Final (frente).pdfUma análise do atual...
Transcript of (in)Segurança na Prescrição electrónica - cracs.fc.up.pt Final (frente).pdfUma análise do atual...
-
6 ed
(in)Segurana na Prescrio Eletrnica
Uma anlise do atual sistema e proposta de um sistema de prescrio eletrnica
Hugo Andr Malheiro Rodrigues
MESTRADO EM INFORMTICA MDICA 2 CICLO DE ESTUDOS
Fev|2013
-
6 ed
(in)Segurana na Prescrio Eletrnica
Uma anlise do atual sistema e proposta de um sistema de prescrio eletrnica
Hugo Andr Malheiro Rodrigues
MESTRADO EM INFORMTICA MDICA 2 CICLO DE ESTUDOS
ORIENTADORES Prof. Doutor Manuel Correia, professor auxiliar da FCUP Prof. Doutor Lus Antunes, professor associado da FCUP
Fev|2013
-
i (in)Segurana na Prescrio Electrnica
Agradecimentos
Aos meus professores, Doutor Manuel Eduardo Correia e Doutor Lus
Antunes, pelo apoio incondicional, incentivo permanente e pela forma
como se disponibilizaram para me guiarem e orientarem neste percurso
acadmico conducente ao grau de mestre, registo e anuncio o
profissionalismo.
Joana, pela pacincia, pelo apoio incondicional, pelas inmeras horas
de trabalho a meu lado, pelo incentivo frreo e pela motivao que sempre
se dignou emprestar nos momentos de trabalho intenso e de desalento.
A todos os que, direta ou indiretamente, contriburam para a construo
deste trabalho, no elencados mas registados nas nossas memrias.
Por fim, mas no em ltimo lugar, aos meus pais e ao Jorge, pelo apoio
emocional e afectivo que me deram ao longo desta caminhada, em
permanente contacto e preocupao.
-
ii (in)Segurana na Prescrio Electrnica
Resumo
Introduo: A introduo do sistema de prescrio eletrnica (SPE) em 2004
produziu uma importante evoluo no sistema de sade portugus que permitiu
uma semi-desmaterializao e melhor controlo das prescries realizadas.
Anteriormente, as prescries medicamentosas limitavam-se a receitas escritas
mo cuja leitura era por vezes complexa e cuja potencialidade de fraude se tornou
cada vez maior. Com o evoluir dos cuidados de sade primrios e da medicina
preventiva, o nmero de prescries aumentou exponencialmente, o que tornou a
certificao das mesmas numa tarefa complicada e consumidora de recursos.
Desde ento tm sido criadas legislaes orientadas a que esse sistema se tornasse
o principal meio de prescrio, tendo sido alargado s instituies de sade
privadas o acesso e a obrigatoriedade de uso do SPE.
Problema: O SPE, enquanto recurso do sistema nacional de sade, revelou-se uma
mais-valia quer pela adeso mdica, quer pela possibilidade de gesto e controlo
das prescries. A partir de 2011 decretou-se a obrigatoriedade do uso SPE,
implementado em Portugal nas instituies privadas por meio de empresas de
software de prescrio que disponibilizam os recursos tecnolgicos necessrios
para o transporte dos dados de prescrio at ao Ministrio da Sade. A introduo
de terceiras entidade no circuito das prescries eletrnicas, fragiliza os nveis de
segurana na prescrio e compromete a confidencialidade e privacidade dos
dados pessoais dos mdicos e dos seus utentes.
-
iii (in)Segurana na Prescrio Electrnica
Objectivos: Este trabalho tem como objectivos: descrever o atual sistema de
prescrio e identificar falhas de segurana que podem colocar em causa a
privacidade dos dados das prescries e potenciam a fraude; descrever os
principais SPE existentes na Europa; propor medidas passveis de serem
implementadas no atual SPE de forma a permitir uma melhor proteo dos dados
das prescries eletrnicas, capazes de certificar os prescritores e de manter a
integridade e segurana dos dados pessoais dos mdicos e dos seus utentes.
Mtodos: A descrio do atual sistema de prescrio foi produzida com base nas
informaes fornecidas por pessoal mdico e pelo Ministrio da Sade. Para o
efeito recorreu-se realizao de um inqurito orientado para os responsveis
pelos sistemas de prescrio nas instituies privadas. A elaborao de propostas
de melhorias ao sistema de prescrio atual realizada tendo por base os
conceitos e as melhores prticas de segurana atualmente disponveis, tendo
sempre em linha de conta a viabilidade da sua incluso e implementao no SPE
atualmente existente e em produo.
-
iv (in)Segurana na Prescrio Electrnica
Abstract
Introduction: The deployment of the SPE (Electronic Prescription System)
constituted an important evolutionary step for the Portuguese Health system, as it
promoted the dematerialization and better control of the emitted prescriptions.
Before the SPE, medical prescriptions were handwritten and where thus very
difficult to read and potentially very vulnerable to fraud. The last decades massive
evolution of medical knowledge, the generalization of preventive medicine
practices and new drugs developed by the pharmaceutical industry have led to an
exponentially increase in the number of prescriptions, whose verification and
certification has thus become a very hard and expensive task for the health service.
The Electronic Prescription System (EPS) is a National Health Service (NHS) resource
that has proved time and again to be an invaluable asset, not only by its high level
of healthcare professionals acceptance and adherence, but also by the provided
increased level of management and control with the associated reductions in
prescription costs and levels of fraud.
Problem: Since 2011, in Portugal it is mandatory to prescribe through an electronic
system. The NHS institutions may use the Internal Health Network (RIS-Rede
Interna da Sade) to transmit electronic prescriptions. Because private institutions
are not allowed to connect with RIS, the health ministry negotiated with approved
software companies to provide prescription software/interfaces and act as
gateways to relay prescription data from the private practitioners to the Health
Ministry information systems.
We contend the use of those companies in this circuit weakens the security level of
the national EPS and can severely compromise the doctors trust in the system and
the patients privacy.
-
v (in)Segurana na Prescrio Electrnica
Aim: Our main aim is to extend the current EPS model to protect prescription
integrity, increase its level of confidentiality and to strongly authenticate its main
actors and provide the EPS with strong non-repudiation properties.
To better understand and achieve these objectives, we start by describing in detail
the current Portuguese prescription system in order to better identify security
vulnerabilities that may compromise personal sensitive data and potentiate fraud.
We will also provide a comparison survey of the main European prescription
systems to better understand how they have dealt with similar problems and use
this knowledge and experience to improve upon the Portuguese EPS.
Methods: The description of the actual prescription system has been based on
information provided by medical practitioners, legislation and normative
documents published by the Health Ministry. We have also employed one
questionnaire to determine the perceived security doctors have about of the actual
prescription systems and another to better categorize other countries prescribing
systems. Our proposal is based in current best of breed security protocols and best
security practices, conductive of practical and pragmatic implementations.
Expected Results: During the course of this work we have identified several
security problems and privacy issues related with the current PEM model. They
comprise excessive personal information demanded from the medical professionals
by the services companies, weak authentication procedures, weak integrity and
validity mechanisms, easily replicable prescriptions, non-real-time validation of
prescription data, potential misuse of patients information by software companies
and lack of confidentiality during the dispensation process at the pharmacies.
These are some of the problems we want to tackle with the proposed model
described by this document.
-
vi (in)Segurana na Prescrio Electrnica
ndice
Agradecimentos ........................................................................................ i
Resumo .................................................................................................... ii
Abstract................................................................................................... iv
ndice ...................................................................................................... vi
Acrnimos ............................................................................................. viii
ndice de Figuras...................................................................................... ix
ndice de tabelas ...................................................................................... x
Prefcio ................................................................................................... xi
1 Introduo ......................................................................................... 1
1.1 Breve histria do SNS ................................................................... 2
1.2 Contexto Atual ............................................................................. 6
1.3 Material e Mtodos ................................................................... 11
1.4 Trabalhos Realizados.................................................................. 14
2 Estado de Arte.................................................................................. 16
2.1 Privacidade, Confidencialidade e Segurana.............................. 16
2.2 Segurana Eletrnica.................................................................. 18
2.2.1 Chaves Simtricas e Chaves Assimtricas ....................... 20
2.2.2 Mtodo DES e AES .......................................................... 24
2.2.3 Algoritmo RSA ................................................................. 27
2.2.4 Assinaturas...................................................................... 31
2.2.5 Assinaturas de Grupo...................................................... 35
2.3 Infraestrutura de Chaves Pblicas.............................................. 37
2.4 Smartcards ................................................................................. 41
2.4.1 Carto de Cidado........................................................... 45
-
vii (in)Segurana na Prescrio Electrnica
2.4.2 Carto da ordem dos mdicos ........................................ 51
2.5 Prescrio Eletrnica de Medicamentos.................................... 54
2.5.1 Publicaes sobre a Segurana na PEM.......................... 57
2.5.2 Prescrio Eletrnica na Europa ..................................... 61
2.5.3 Projeto epSOS ................................................................. 66
3 Sistema de Prescrio Atual ............................................................. 69
3.1 SPM - Sistema de Prescrio Manual ......................................... 70
3.2 SPE - Sistema de Prescrio Eletrnica ...................................... 74
4 Avaliao da Percepo dos Riscos de Segurana na PEM................. 83
4.1 Introduo.................................................................................. 83
4.2 Mtodos ..................................................................................... 84
4.3 Caraterizao da Amostra .......................................................... 85
4.4 Resultados.................................................................................. 86
4.5 Discusso dos Resultados........................................................... 89
4.6 Concluso ................................................................................... 94
5 SPE Proposto Modelo eletrnico ................................................... 95
6 SPE Proposto - Modelo fsico .......................................................... 101
6.1 QR-Code da Receita (QR-Presc)................................................ 104
6.2 QR-Code do Certificado (QR-Cert)............................................ 109
7 Concluses ..................................................................................... 113
8 Trabalho Futuro ............................................................................. 118
9 Anexos ........................................................................................... 119
9.1 Anexo 1: Questionrio de Avaliao da Percepo dos Riscos de
Segurana nos Profissionais de Sade .................................................... 120
10 Referncias .................................................................................. 123
-
viii (in)Segurana na Prescrio Electrnica
Acrnimos
ACSS Entidades Pblico-Privadas
AES Advanced Encryption Standard
ARS Administraes Regionais de Sade
CA Certification Authority
CCF Centro de Conferncia de Facturas
CPE Carto profissional eletrnico
DES Data Encrypt Standard
DSA Digital Signature Algorithm
DSS Digital Signature Standard
EPE Entidades Pblico-Privadas
ERS Entidade Reguladora da Sade
EEPROM Electrically Erasable Programmable Read-Only Memory
epSOS Smart Open Services for European Patients
MAC Message authentication code
PEM Prescrio Eletrnica de Medicamentos
PDS Plataforma de Dados de Sade
PGP Pretty Good Privacy
PKI Public-Key Infrastructure
RCU2 Resumo Clnico nico do Utente
RIS Rede de Informao da Sade
RSA Modelo Criptogrfico Assimtrico do Rivest, Shamir e Adleman
SMS Servios Mdico-Sociais
SNS Servio Nacional de Sade
SOA Service-Oriented Architecture
SPE Sistema de Prescrio Eletrnica
SPM Sistema de Prescrio Manual
SPMS Servios Partilhados do Ministrio da Sade
TTP Trusted third party
-
ix (in)Segurana na Prescrio Electrnica
ndice de Figuras
Figura 1: Exemplo de formulrio de inscrio numa empresa de software .............. 7 Figura 2: Mtodos de Seleo de Artigos ................................................................ 12 Figura 3: Exemplo de chave simtrica ..................................................................... 20 Figura 4: Exemplo de encriptao com uma chave Assimtrica .............................. 21 Figura 5: Exemplo de autenticao com uma chave Assimtrica ............................ 22 Figura 6: Processos de Encriptao e desencriptao com o algoritmos DES ......... 24 Figura 7: Esquema de funcionamento do DES (CBC, CFB, OBF) [29] ....................... 25 Figura 8: Exemplo dos componentes necessrios para gerar uma chave RSA ........ 29 Figura 9: Assinatura da hash de um documento ..................................................... 33 Figura 10: Exemplo de criao de uma chave de grupo .......................................... 35 Figura 11: Representao de uma PKI (Public Key Infrastructure)........................... 39 Figura 12: Exemplo de um smartcard, o chip interno e dos seus conectores ......... 43 Figura 13: Carto de Cidado (frente e verso) ......................................................... 46 Figura 14: Informao contida no Carto de cidado.............................................. 48 Figura 15: Esquema de certificao usado no carto de cidado............................ 50 Figura 16: Esquema de um SPE................................................................................ 55 Figura 17: Esquema representativo do TROPPI-project [58] ................................... 59 Figura 18: epSOS - Lista de pases aderentes ao projeto ......................................... 66 Figura 19: epSOS - Projeto-piloto de prescrio e de dispensa eletrnica .............. 67 Figura 20: Receita Manual (2012) ............................................................................ 70 Figura 21: Receitas Manuais (2013)......................................................................... 70 Figura 22: Exemplo das Vinhetas em vigor a partir de 2013 (Pantone 305 U) ........ 71 Figura 23: Esquema do Atual Sistema de Prescrio Manual .................................. 72 Figura 24: Esquema do Atual Sistema de Prescrio Eletrnica .............................. 75 Figura 25: SPE, seus intervenientes e o potencial fuga de informao ................... 78 Figura 26: Esquema da PEM impressa em papel (frente) ........................................ 81
-
x (in)Segurana na Prescrio Electrnica
Figura 27: Esquema da PEM impressa em papel (verso) ......................................... 81 Figura 28: Distribuio geogrfica da amostra populacional................................... 86 Figura 29: Respostas sobre as entidades interessadas nos dados das prescries . 88 Figura 30: Respostas sobre as desvantagens da prescrio eletrnica ................... 89 Figura 31: Respostas sobre o armazenamento dos dados das prescries ............. 89 Figura 32: Modelo do Carto Profissional Eletrnico proposto............................... 96 Figura 33: Encriptao de documentos a partir da chave simtrica do CPE............ 97 Figura 34: Proteo proposta dos dados das PEM................................................... 98 Figura 35: Esquema do Sistema Proposto de Prescrio Eletrnica ........................ 99 Figura 36: Modelo proposto da PEM impressa em papel...................................... 102 Figura 37: Exemplo de um QR-Presc e QR-Cert com 35 mm de lado .................... 103 Figura 38: Computao da receita em QR-Code (Cryptool 2.0)............................. 107 Figura 39: Sistema Proposto para o modelo fsico da Prescrio Eletrnica ......... 108
ndice de tabelas
Tabela I: Planificao da tese................................................................................... 12 Tabela II: Estado da Prescrio Eletrnica na Europa em 2010 ............................... 62 Tabela III: Respostas s questes sobre segurana e privacidade dos dados.......... 87 Tabela IV: Mdia de Idades e Desvio padro das respostas sobre segurana e
privacidade dos dados ............................................................................................. 87 Tabela V: Campos necessrios para o processo de dispensa de uma PEM ........... 104 Tabela VI: Capacidade mxima de dados de QR-Codes......................................... 106 Tabela VII: Campos do QR-Cert.............................................................................. 110
-
xi (in)Segurana na Prescrio Electrnica
Prefcio
A Prescrio Eletrnica de Medicamentos (PEM) projeta perspectivas de
um sistema de gesto medicamentosa mais seguro, mas para o sistema ser
funcional torna-se necessrio o acesso imediato das informaes dos
utentes de vrias entidades, o que levanta questes relativamente
privacidade, confidencialidade e segurana dos dados clnicos dos utentes.
A menos que o Sistema de Prescrio Eletrnica (SPE) seja construdo com
os nveis de segurana apropriados, os benefcios retirados do mesmo
podem pr em causa problemas ticos relacionados com a partilha desses
mesmos dados. [1]
A elaborao deste trabalho, revelou-se um desafio pessoal, uma vez
que este foi realizado durante um perodo de permanentes alteraes
legislativas relativas PEM, o que implicou uma constante reviso
bibliogrfica sobre a temtica. Ao contrrio do previsto, a necessidade de
atualizao revelou-se por um lado altamente motivante, quer por ver
certos aspectos de segurana a serem corrigidos, mas por outro lado, a
necessidade cada vez maior de realar os aspectos de segurana esquecidos
durante todo este processo de transformao do SPE.
-
1 (in)Segurana na Prescrio Electrnica
1 Introduo
Desde a primeira receita eletrnica emitida em Portugal em 2004, ao
abrigo da Portaria 1501/2002[2], foram vrias as alteraes regulamentares
e tecnolgicas introduzidas na ltima dcada. As condies eram simples:
qualquer prescrio podia ser preenchida informtica ou manualmente.
As prescries de medicamentos podem ser classificadas em cinco
grupos [3]:
Medicamentos no sujeitos a receita mdica;
Medicamentos de receita mdica no renovvel;
Medicamentos de receita mdica renovvel;
Medicamentos sujeitos a receita mdica especial;
Medicamentos de receita mdica restrita de utilizao reservada a
certos meios especializados.
Este trabalho incide sobre a prescrio sujeita a receita mdica. Mas
antes de nos debruarmos sobre o atual sistema de prescrio importante
rever a histria do Sistema Nacional de Sade de Portugal e descrever o
contexto atual.
-
2 (in)Segurana na Prescrio Electrnica
1.1 Breve histria do SNS
Antes de 1974, a sade em Portugal ficava a cargo de vrias instituies
com razes diferentes na histria do Pas e cujas vias se sobrepunham [4]:
Misericrdias, responsveis pela gesto de grande parte das instituies
hospitalares e de outros servios distribudos pelos pas;
Servios Mdico-Sociais (SMS), prestadores de cuidados mdicos aos
beneficirios da Federao de Caixa de Previdncia;
Servios de Sade Pblica, responsveis pela proteo da sade
(vacinaes, proteo materno-infantil, saneamento ambiental);
Hospitais estatais, gerais e especializados (principalmente localizados
nos grandes centros urbanos);
Servios privados, dirigidos aos estratos socioeconmicos mais elevados.
Em 1971 comeou-se a projetar um Servio Nacional de Sade (SNS):
entretanto os hospitais das Misericrdias foram nacionalizados em 1975; o
financiamento proveio do oramento geral do estado em 1976 e em 1979
criou-se o SNS, que ainda hoje representa uma rede de rgos e servios
prestadores de cuidados globais de sade a toda a populao, atravs da
qual o Estado Portugus salvaguarda o direito sade (promoo,
preveno e vigilncia) a todos os cidados portugueses. [4]
Definiu-se como objectivo primrio do SNS a proteo da sade
individual e colectiva atravs da prestao de cuidados integrados de
sade, com a promoo e vigilncia da sade, a preveno da doena, o
diagnstico e tratamento dos doentes e a reabilitao mdica e social.
Em 1984 iniciou-se a integrao dos centros de sade com os postos
mdicos dos SMS e, com esta ao, foi implementada o SNS projetado. Este
-
3 (in)Segurana na Prescrio Electrnica
foi constitucionalmente definido como universal, geral e tendencialmente
gratuito (tendo em conta as condies econmicas e sociais dos cidados)
onde ficou definido como papel do Estado a orientao das suas aes para
a socializao dos custos dos cuidados mdicos e medicamentosos. A lei
inicial admitia as convenes e ressalvava o sector privado, livre mas
complementar. [5]
Em 1990, foi alterada a Constituio Portuguesa, onde o direito
proteo da sade passaria a ser garantido pelo Sistema de Sade, em vez
do SNS. Esta modificao veio permitir acordos com entidades privadas e a
gesto empresarial dos hospitais pblicos. [5]
Em 2002, so introduzidas modificaes profundas na Lei de Bases da
Sade [6] optando-se por um novo modelo de gesto hospitalar, aplicvel
aos estabelecimentos hospitalares que integram a rede de prestao de
cuidados de sade com os modelos de gesto de tipo empresarial: as
Entidades Pblico-Privadas (EPE).
Em 2007, foi criada a Administrao Central do Sistema de Sade (ACSS),
instituto pblico, dotado de autonomia administrativa e financeira que se
responsabilizou por assegurar a gesto dos recursos financeiros e humanos,
das instalaes e equipamentos do SNS e por implementar as polticas,
normas, regulamentao e planeamento em sade, em articulao com as
Administraes Regionais de Sade (ARS).
A partir de 2010, o Governo Portugus aprovou a criao de uma
empresa de prestao de servios partilhados ao SNS: Servios Partilhados
do Ministrio da Sade, EPE (SPMS). [7] Com autonomia financeira,
administrativa e empresarial, com superviso e controlo do Ministrio da
Sade e do Ministrio das Finanas, estes servios estabeleceram como
-
4 (in)Segurana na Prescrio Electrnica
objectivo promover a eficcia e eficincia nas organizaes ligadas ao SNS,
relacionadas com o mercado de medicamentos, equipamentos e de
servios teraputicos privados, de forma a assegurar a prestao de
servios partilhados ao nvel de compras e logstica, gesto financeira,
recursos humanos especializados e sistemas de Tecnologias de Informao
e Comunicao para as vrias entidades que integram o SNS.
Em Abril de 2011, o governo portugus viu-se obrigado a pedir ajuda
financeira ao Fundo Monetrio Internacional e a Bruxelas, pela terceira vez
em trs dcadas, tendo sido elaborado um Memorando de Entendimento
sobre as condicionalidades da Poltica Econmica [8] e um Programa de
Estabilidade e Crescimento [9], de forma a estabelecer um oramento de
estado que permitisse a reduo de custos. Estes eventos levaram criao
de vrias medidas com o objectivo de reduzir os custos nos vrios
ministrios, includo o da sade. Uma das medidas consistiu na
desmaterializao de todo o circuito administrativo do medicamento, de
forma a reduzir os custos da prescrio e a combater a fraude, em vigor a
partir de Agosto de 2011. [10]
A desmaterializao do processo de prescrio eletrnica permitiria
ainda aumentar a qualidade da prescrio e incrementar a segurana do
circuito do medicamento, onde era incentivada a informatizao do
sistema de sade, estimulada a comunicao entre os profissionais das
diferentes instituies e diminudo o risco de erro ou confuso na
prescrio, enquanto se adquire mais informaes sobre o circuito do
medicamento, desencorajando a fraude. [11]
Neste momento, o sistema de sade portugus constitudo por uma
rede de cuidados de sade primrios, uma rede de cuidados hospitalares
-
5 (in)Segurana na Prescrio Electrnica
(Centros Hospitalares, Hospitais Privados), Instituto Portugus de Oncologia
e Instituies de Sade Privadas. Os cuidados de sade primrios, por sua
vez encontram-se organizados geograficamente em ACES (definidos pelo
nmero de pessoas residentes) que podem compreender as seguintes
unidades funcionais: [12]
Unidades de sade familiar (USF);
Unidades de cuidados de sade personalizados (UCSP);
Unidades de cuidados na comunidade (UCC);
Unidades de sade pblica (USP);
Unidades de recursos assistenciais partilhados (URAP);
Outras unidades ou servios, propostos pela respectiva ARS e aprovados
por despacho do Ministro da Sade.
As instituies pblicas, nomeadamente centros hospitalares e unidades
de Cuidados de Sade Primrios intercomunicam atravs da Rede de
Informao da Sade (RIS) e, mais recentemente, usando a Plataforma de
Dados de Sade (PDS), implementada pelos SPMS, que introduziu o Resumo
Clnico nico do Utente (RCU2) de forma a permitir aos profissionais de
sade o acesso informao clnica relevante dos utentes em qualquer
ponto do pas desde o primeiro semestre de 2011. [13]
A prpria Ordem dos mdicos, preocupada com os nveis de segurana
verificados a nvel nacional, decidiu avanar com medidas de segurana que
incluem a atribuio de cdulas profissionais com capacidade de assinatura
digital. [14]
-
6 (in)Segurana na Prescrio Electrnica
1.2 Contexto Atual
Nos ltimos anos tem-se verificado um aumento da preocupao com a
cibersegurana, quer a nvel da comunidade europeia, quer a nvel da
comunidade portuguesa. Tal preocupao verifica-se nos resultados de um
inqurito, realizado em Julho 2012 pelo Eurobarmetro, onde se refere que
os utilizadores da Internet esto muito preocupados com a
cibersegurana. Em Portugal, num universo de mil entrevistados, os dados
obtidos demonstram que 75% dos inquiridos afirmam estar mal informados
sobre os riscos de cibercrime, 69% receiam ser vtimas de roubo de
identidade, 77% concordam que o risco de ser vtima de um ato de
cibercriminalidade aumentou em 2010 e 61% afirmaram no ter alterado
nenhuma palavra-chave (password) de acesso a servios on-line. [15]
Durante o ano de 2012, foram anunciadas vrias reformas sobre a
prescrio eletrnica, vinhetas mdicas e dispensa eletrnica. No entanto,
como foi explicado na contextualizao histrica do SNS, o problema que se
aborda nesta tese tem incio com a desmaterializao do processo de
Prescrio Eletrnica de Medicamentos (PEM) de uma maneira no
controlada e sem os nveis de segurana que este exige.
A transmisso de dados no interior do SNS assegurada pela RIS, que
interliga os sistemas de apoio ao mdico nos cuidados de sade primrios
com os sistemas existentes nos meios hospitalares e nas vrias entidades
pblicas da rea da sade. As instituies privadas, por se encontrarem
excludas da RIS, no podem realizar essa comunicao diretamente. Com a
introduo da legislao, que obriga os profissionais de sade a
prescreverem electronicamente, levantou-se um problema relativo
-
7 (in)Segurana na Prescrio Electrnica
transmisso dos dados constantes nas prescries que incide
principalmente nas instituies desprovidas de uma ligao SPMS.
A soluo que o ministrio da sade encontrou e aplicou consistiu na
abertura ao mercado de produtos de software de PEM que seriam
certificados e responsveis pela transmisso dos dados das prescries
mdicas ACSS. Esta medida levou a que inmeras empresas (vinte e uma
com declarao de conformidade) desenvolvessem a apresentassem
solues informticas de Sistemas de Prescrio Eletrnica (SPE). [16]
Os contractos celebrados entre as empresas de software de PEM e os
clientes prescritores exibem potenciais falhas, quer pelo excesso de
informao exigida aos mdicos prescritores, quer pela falta de clareza
sobre a responsabilidade da garantia de privacidade dos dados introduzidos
no sistema. Para a celebrao do contracto so pedidas cpias do carto da
Ordem dos Mdicos, que contm todas as informaes profissionais
necessrias para realizar uma prescrio, complementadas atravs do
Carto de Cidado, onde constam todas as informaes pessoais que
confirmam a identidade do mesmo prescritor (Figura 1).
Figura 1: Exemplo de formulrio de inscrio numa empresa de software
-
8 (in)Segurana na Prescrio Electrnica
Com acesso a estas informaes, qualquer indivduo pode registar-se em
alguns produtos de software de PEM, que no exija um registo presencial
ou autenticado (roubo de identidade), o que torna teoricamente possvel a
produo de prescries eletrnicas certificadas por indivduo no
autorizados. Assim se potencia a usurpao da identidade digital e se
procede de forma fraudulenta prescrio eletrnica. O mesmo pode
acontecer caso haja conhecimento das simples credenciais de acesso dos
vrios sistemas desenvolvidos.
Relativamente aos produtos fornecidos pelas empresas, a maioria destes
so sob a forma de portais de internet e os seus utilizadores devem estar
consciencializados que a informao introduzida na plataforma
armazenada no servidor da companhia de software ou, mais grave ainda,
num servidor de outra companhia que no a contratada (conceito de Cloud
computing), o que poder por em causa a privacidade dos dados clnicos
processados. A subcontratao de empresas um negcio cada vez mais
adoptado no mundo ciberntico e a inexistncia de regulamentao sobre
este aspecto no impede que sejam contratados terceiros para fornecer os
recursos necessrios para vrias empresas operarem no mercado.
De referir ainda que a cessao do contracto poder igualmente ser
mais complexa do que previsto e, embora existam clusulas que obriguem
ambas as partes a apagar os dados, no existe nenhum mecanismo de
certificao deste processo.
Deter a informao nos dias de hoje corresponde a deter poder
potencial, e o registo das prescries pode revelar-se informao valiosa
para muitas organizaes, desde laboratrios farmacuticos (com
interesses na rea dos medicamentos) at companhias de seguros,
-
9 (in)Segurana na Prescrio Electrnica
instituies bancrias, ou mesmo simples empresas que pretendem
recrutar novos funcionrios (com interesse na rea da prescrio que
permitisse inferir a situao clnica do indivduo).
A recente introduo das medidas legislativas relativas prescrio
eletrnica tem sido debatida entre as ARS, Ordem dos Mdicos e Ministrio
da Sade, temtica que tem chamado a ateno dos rgos de
comunicao social desde o incio do ano de 2012. [17-20]
O prprio Bastonrio da Ordem dos Mdicos, descreveu a atual situao
como aterradora, depois de informado sobre empresas que armazenam
indevidamente as informaes dos utentes e que transmitem dados
mdicos de forma no encriptada. [16]
A Comisso Nacional de Proteo de Dados (CNPD) alertou para o
enfraquecimento progressivo da relao mdico-doente devido,
existncia de intermedirios no processo de prescrio eletrnica, e para a
dificuldade em determinar o circuito da informao digital. Esta limitao
no controlo da informao deve-se existncia de subcontrataes de
servios (que podem ser realizadas recursivamente, podendo mesmo ser
subcontratados servios estrangeiros); possibilidade de acesso remoto
por parte dos tcnicos de informtica; e incapacidade atual de identificar
os indivduos responsveis pelo uso incorreto dos SPE [21]. A CNPD chamou
ateno para o facto de os profissionais mdicos no possurem
conhecimentos tecnolgicos suficientes, pelo que importante iniciar uma
campanha de sensibilizao que permita aos profissionais ter mais
conscincia sobre o atual sistema de prescrio e dos seus componentes.
[20]
-
10 (in)Segurana na Prescrio Electrnica
No ato de prescrio, os mdicos so responsveis pelo preenchimento
de uma prescrio que replicada sob uma forma digital (que transmitida
ACSS) e uma forma material (impresso em papel) que entregue ao
utente, servindo como moeda de troca (token) numa farmcia, para ter
direito a uma comparticipao por parte do estado.
Enquanto a privacidade dos dados na prescrio impressa fica ao cargo
do prprio utente, a transmisso de dados eletrnica fica a cargo da RIS (no
caso de se tratar de uma entidade do SNS) ou das companhias de software
(no caso das companhias privadas).
A recente introduo da PDS (Plataforma de Dados de Sade) tambm
levanta algumas questes de segurana relativamente ao acesso dos dados
dos utentes por parte dos profissionais de sade. A nvel dos cuidados de
sade primrios, a consulta das informaes clnicas (nomeadamente
exames, dirios mdicos e relatrios) de qualquer utente inscrito na
instituio onde os dados so consultados no depende nem da presena
do utente, nem de um seguimento mdico anterior, o que permite a
qualquer profissional de sade aceder a esses dados em qualquer
momento, mesmo nunca tendo assistido o utente em questo.
Embora fosse referida a existncia de um registo dos acessos aos dados
dos utentes, a no existncia de uma auditoria interna responsvel pelo
acesso aos dados, representa uma eventual fuga de dados [22]. Esta fuga
de dados preocupante, dado a interveno de vrias organizaes no
sistema que podero ter interesse nas informaes existentes nas
prescries eletrnicas e nas elaes clnicas que destas possvel elencar.
-
11 (in)Segurana na Prescrio Electrnica
1.3 Material e Mtodos
A recolha de informaes iniciais foi realizada com base numa reviso
bibliogrfica na Pubmed realizada em Agosto de 2012 com base nos
artigos que incluem as palavras chave Computer Security[Mesh] AND
(Prescriptions[Mesh] OR Electronic Prescribing[Mesh]) da qual foram
encontrados 51 artigos. Aps leitura dos resumos, foram selecionados 12
trabalhos de interesse, em ingls, cinco dos quais com acesso ao artigo
completo. interessante verificar que a maioria dos artigos pertence
Escandinvia, Reino Unido, Estados Unidos e Tailndia pelo que se pode
inferir uma preocupao acrescida por parte destas sociedades.
Esta lista foi complementada com outros artigos sobre o tema
procurados com o motor de busca Google, com informaes existentes na
pgina da internet do ministrio da sade, ACSS e a legislao existente
sobre a PEM em Dirio da Repblica (Figura 2).
O trabalho de investigao incluiu ainda a realizao de um inqurito
dirigido aos responsveis pelos sistemas de prescrio das instituies de
sade privadas (profissionais de sade ou no), aplicado a nvel nacional
constitudo por perguntas de resposta fechada, realizado atravs da
plataforma Medquest [23];
Os dados dos inquritos foram analisados descritivamente e com cross-
tables com auxlio do SPSS.
-
(in)Segurana na Prescrio Electrnica 12
Resultados da Pubmed (n=51)
Excludos pela lngua, leitura do ttulo ou abstract
(n=39)
Artigos identificados para reviso
(n=12)
Acesso ao artigo completo (n=5)
Artigos includos por reviso bibliogrfica
(n=6)
Artigos revistos e includos (n=13)
Artigos includos por procura no Google
(n=2)
Figura 2: Mtodos de Seleo de Artigos
Tabela I: Planificao da tese
2012 2013 Jan Fev Mar Abr Mai Jun Jul Ago Set Out Dez Jan Fev
Pesquisa bibliogrfica Realizar Inqurito Segurana Aplicar Inqurito Segurana Analisar Inqurito Segurana Descrio do Atual SPM e SPE Proposta de sistema de PEM Analisar Inqurito Europeu Comparar SPE na Europa
-
13 (in)Segurana na Prescrio Electrnica
Neste contexto surgiu a ideia de realizar este trabalho que se encontra
dividido em quatro seces principais:
Estado de arte com a descrio dos meios de segurana e as tecnologias
atuais;
Descrio do atual SPE e SPM, onde so identificando as vrias falhas e
os riscos subsequentes do sistema atual;
Elaborao de um questionrio aplicado a nvel nacional aos
responsveis pelos uso dos sistemas de prescrio de instituies
privadas, com o objectivo de avaliar o nvel de percepo da segurana
transmitida pelos atual sistema de prescrio e anlise dos mesmos;
Anlise dos sistemas de Prescrio em vrios pases da Europa;
Proposta de um sistema de prescrio capaz de corrigir as falhas
encontradas e aumentar de uma maneira global os nveis de segurana,
confidencialidade e privacidade dos dados pessoais dos mdicos e dos
utentes.
-
14 (in)Segurana na Prescrio Electrnica
1.4 Trabalhos Realizados
presente data, o autor apresenta os seguintes trabalhos elaborados no
mbito do mestrado:
Participao no Prmio Ensaio da Comisso Nacional de Proteo de
Dados com o trabalho Privacidade dos Dados Clnicos, Lisboa, 2012;
Apresentao oral do protocolo da tese (in)Security in Electronic
Prescription no Simpsio de Informtica Medica, Porto, 9/11/2012;
Apresentao oral do artigo Physicians awareness of e-prescribing
security risks no 26th IEEE International Symposium on Computer-
Based Medical Systems, Porto, 20/06/2013;
Apresentao oral intitulada i-Society - Proposal of a Secure Electronic
Prescription System no congresso i-Society 2013, Toronto, Canad,
24/07/2013;
Apresentao do artigo Benefits, Challenges and Impact of
Teleconsultation - A Literature Review, como coautor, no congresso
MedInfo 2013, Copenhaga, Dinamarca, 20/08/2013.
-
15 (in)Segurana na Prescrio Electrnica
-
16 (in)Segurana na Prescrio Electrnica
2 Estado de Arte
2.1 Privacidade, Confidencialidade e
Segurana
De acordo com o Artigo 8 do captulo de Direitos Fundamentais da Unio
Europeia, relativo proteo dos dados pessoais: todos os cidados tm
direito proteo dos seus dados pessoais; esses dados devem apenas ser
processados para fins especficos e mediante o consentimento informado
da prpria pessoa (ou do seu representante legal legtimo); qualquer
indivduo tem direito a aceder aos dados pessoais recolhidos ou
relacionados com o prprio.
Dale OBrien e William Yasnoff, definem privacidade, confidencialidade e
segurana de forma simples: privacidade o direito de um indivduo deter
secretamente informao sobre ele prprio, sem conhecimento de outrem;
a confidencialidade baseia-se na pressuposio que nenhuma informao
capaz de identificar o indivduo ser revelada sem o consentimento do
mesmo (excepto nos casos previstos pela lei); segurana informtica
representa o conjunto de mecanismos e infraestruturas que permitem a
implementao e gesto de polticas de privacidade e confidencialidade
num computador e sistema de telecomunicaes. [24]
-
17 (in)Segurana na Prescrio Electrnica
Uma eventual fuga de informao respeitante a um indivduo, sem o
consentimento do mesmo, representa um cenrio de invaso sua
privacidade.
-
18 (in)Segurana na Prescrio Electrnica
2.2 Segurana Eletrnica
Tendo em conta a crescente informatizao que atualmente existe
numa escala mundial, importante assegurar que as comunicaes se
mantenham seguras e que os dados eletrnicos dos indivduos que
transitam se encontrem seguros nos vrios sistemas que interagem entre si.
A definio de Segurana Eletrnica um conceito multidimensional,
que engloba os aspectos fsicos de uma infraestrutura, pelas ligaes que
esta estabelece, pelos protocolos utilizados e pelas aplicaes que esta
executa. Dada a complexidade e conectividade dos sistemas de informao
atuais, praticamente impossvel falar de um sistema de forma isolada sem
considerar que este se encontra interligado a outros sistemas. Este
fenmeno de rede obriga-nos a preocupar o mximo possvel com qualquer
sistema ou plataforma que se implemente ou que j esteja implementada
(nomeadamente os sistemas de partilha de informao e de registo de
informaes clnicas e dos utentes), uma vez que o nvel de segurana desta
depende fortemente do nvel de segurana do seu componente mais
vulnervel.
Na rea da sade, o nvel de segurana eletrnica baseia-se em cinco
conceitos bsicos [24-26]:
Confidencialidade dos dados garantir que a transferncia e
armazenamento dos dados dos utentes so confidenciais, impedindo o
acesso no autorizado por indivduos ou entidades no autorizadas;
Privacidade dos dados garantir que as informaes sejam mantidas
privadas para os intervenientes responsveis e a sua transmisso ou
visualizao sejam consentidas por um utente devidamente informado
das polticas de acesso em vigor;
-
19 (in)Segurana na Prescrio Electrnica
Integridade dos dados certificar que um documento ou sistema
eletrnico no sofre alteraes, quer durante a transmisso, quer no
momento em que acedido, quer durante o perdurante que mantido
pelos sistemas de informao.
Autenticidade dos dados garantir que a identidade de todos os
intervenientes num processo de introduo, modificao ou
comunicao eletrnica de dados validada de forma adequada de
forma a garantir a origem e qualidade da informao gerida pelos
sistemas de informao;
No repdio garantir que, durante a introduo, modificao ou envio
de dados, nem o autor da introduo ou modificao possa negar a sua
interveno, nem os intervenientes na comunicao possam negar o seu
envolvimento e acesso a uma determinada informao, assim como a
data e o local a partir do qual esta foi acedida ou recebida.
-
20 (in)Segurana na Prescrio Electrnica
2.2.1 Chaves Simtricas e Chaves Assimtricas
Antes de descrever o mecanismo de assinatura digital, conveniente ter
presente os conceitos de chaves simtricas e chaves assimtricas.
At ao incio da dcada de 70 para que duas pessoas pudessem
comunicar de forma segura, no presencialmente, teriam que combinar
previamente de forma presencial uma chave de cifra que mais tarde seria
usada para cifrar e decifrar (chave simtrica) a mensagem. Uma chave
simtrica representa uma chave que usada simultaneamente para
encriptar e desencriptar uma mensagem e este tipo de cifras so
conhecidos como criptografia simtrica.
Existem vrios tipos de algoritmos para este tipo de criptografia, tais
como AES (explicado na seco seguinte), BlowFish e outras variantes do
DES (Data Encrypt Standard) [27]. Tal exemplificado na Figura 3, onde o
indivduo A e o indivduo B tero que usar o mesmo mtodo criptogrfico e
a mesma palavra-chave para que estando separados fisicamente possam
usar um canal de comunicao inseguro para comunicar de forma segura.
Indivduo A Indivduo B
Password X Password X
Figura 3: Exemplo de chave simtrica
-
21 (in)Segurana na Prescrio Electrnica
Com a massificao das comunicaes eletrnicas e a necessidade
crescente de comunicar de forma segura com vrias pessoas com as quais
no existia nenhum encontro prvio, a criptografia simtrica apresenta
algumas limitaes a nvel de gesto de chaves.
A criptografia assimtrica, ou de chave pblica, surge na tentativa de
resolver o problema da gesto de chaves. Nestes sistemas de cifra cada
utilizador tem um par de chaves (ch_pblica,ch_pblica) com a
caracterstica de, a partir da chave pblica, ser computacionalmente muito
difcil obter a chave privada. O emissor usa a chave pblica do recetor para
cifrar a mensagem e s com a chave privada do recetor se consegue
recuperar a mensagem.
Indivduo A Indivduo B
Chave Pblica do indivduo B
Chave Privada do indivduo B
Figura 4: Exemplo de encriptao com uma chave Assimtrica
No exemplo descrito na Figura 4, a informao cifrada com a chave
pblica do recetor e s pode ser decifrada pela sua chave par (chave
privada) que est, unicamente, na posse do recetor legtimo das
informaes.
-
22 (in)Segurana na Prescrio Electrnica
Indivduo X Indivduo B
Chave Pblica do indivduo B
Chave Privada do indivduo B
Figura 5: Exemplo de autenticao com uma chave Assimtrica
Outra das vantagens deste mtodo verifica-se quando o processo se
realiza no sentido oposto, ou seja, se o Indivduo B aplicar a sua chave
privada numa mensagem, qualquer outro indivduo poder assumir a
mensagem como autntica ou assinada digitalmente pelo individuo B, uma
vez que s o indivduo B possui a chave privada a que corresponde a mesma
chave pblica (Figura 5). Com este mtodo possvel, por um lado cifrar
informao usando a chave pblica (Figura 4) e assinar usando a chave
privada (Figura 5), mantendo a integridade dos dados.
Estas caractersticas permitem a elaborao de outros protocolos
criptogrficos com utilidade para transaes financeiras, criao de chaves
partilhadas, assinaturas digitais, aplicao de selos temporais, protocolos
de no repudiao, etc.
Os algoritmos mais conhecidos de Chaves Assimtricas incluem o RSA e
o DSS (Digital Signature Standard). O software PGP (Pretty Good Privacy)
tornou-se popular pela implementao de chaves pblicas e o OpenSSL pela
gesto de chaves e certificados.
Atualmente so vrias as empresas que lanam desafios comunidade
ciberntica para tentar quebrar este tipo de cifras, como forma de certificar
-
23 (in)Segurana na Prescrio Electrnica
a segurana dos protocolos criptogrficos. A mais recente foi a quebra do
RSA-768 bits realizada por um projeto que envolve uma rede mundial de
milhares de utilizadores*, que demorou cerca de 3 anos tendo envolvido
cerca de 2000 processadores de 2.2Ghz. [28]
Quanto segurana criptogrfica, os sistemas informticos podem ser,
no sentido da informao:
Inseguros se os algoritmos usados podem ser decifrados com alguma
facilidade;
Seguros no sentido da dificuldade computacional de acordo com a
teoria da Complexidade, pode ser extrada do texto cifrado informao
sobre o texto original mas os melhores algoritmos para esse fim
demorariam um tempo proibitivo;
Seguros em que o conhecimento do texto cifrado no permite
qualquer informao sobre o texto original, sendo por isso, em princpio,
impossvel decifr-lo.
Esta experincia tem mostrado a inviolabilidade prtica deste algoritmo
criptogrfico, em considerao que as chaves modernas so superiores a
1024 bits.
* http://www.distributed.net
http:http://www.distributed.net
-
24 (in)Segurana na Prescrio Electrnica
2.2.2 Mtodo DES e AES
Dada a evoluo tecnolgica e de telecomunicaes na dcada de
sessenta, surgiu a necessidade de apostar na rea da criptografia e
proteo dos dados eletrnicos.
Neste contexto histrico foi desenvolvido o DES (Data Encrypt Standard),
entre 1972 e 1974. No incio foi mantido secreto por vrias agncias
governamentais americanas mas a sua publicao em 1975 fez com que se
torna-se o algoritmo de chave simtrica padro (Figura 6).
Figura 6: Processos de Encriptao e desencriptao com o algoritmos DES
O DES uma cifra de bloco o que significa que a mensagem original
dividida em blocos de 64 bits (8 caracteres), sobre os quais aplicada uma
chave com as mesmas dimenses (composta por 56 bits mais 8 bits de
paridade) que resultam num novo bloco cifrado de 64 bits.
-
25 (in)Segurana na Prescrio Electrnica
Cada bloco permutado (alterao da ordem da informao) em dois
subgrupos e, durante 16 ciclos, cada bloco transformado pela Funo de
Feistel, alternadamente, e novamente permutado. A prpria
transformada com divises e rotaes de forma a gerar 16 subchaves de 48
bits que so usadas no ciclo correspondente. A Funo de Feistel
constituda por quatro estgios: Expanso, Mistura de chaves, Transposio
(XOR), Substituio (S-boxes) e nova Permutao. A ordem das
transposies e substituies depende do valor da subchave anterior
Este algoritmo pode ser aplicado de diferentes modos:
Electronic Code Book (ECB) - modo de encriptao nativa do algoritmo
em que um mesmo bloco de texto vai ter o mesmo resultado cifrado;
Cipher Block Chaining (CBC) - modo de encriptao sequencial em que o
bloco cifrado inicialmente usado como chave do bloco seguinte
Cipher Feedback (CFB) - modo de encriptao sequencial em que existe
um vector de inicial ao qual aplicado o algoritmo de cifragem seguido
de um XOR de onde se retiram bits usados no subgrupo seguinte;
Output Feedback (OFB) - semelhante CFB mas os bits so retirados
diretamente do texto cifrado.
Figura 7: Esquema de funcionamento do DES (CBC, CFB, OBF) [29]
-
26 (in)Segurana na Prescrio Electrnica
A evoluo do poder computacional permitiu que os ataques por fora
bruta ao DES fossem cada vez mais rpidos e mais baratos (valores em
dlares americanos) [29, 30]:
em 1977 Diffi e Hellman propuseram uma mquina de vinte milhes de
dlares capaz de quebrar o DES num dia;
em 1993 Wiener props uma mquina semelhante com um custo de um
milho de dlares capaz de quebrar o DES em 7 horas;
em 1997 o projeto DESCHALL quebrou o DES challenge (proposto pela
RSA) em 96 dias usando o poder de computao de milhares de
mquinas existentes na internet;
em 1998 a Electronic Frontier Foundation (EFF), quebrou o DES (DES-
cracker) com um custo de 250,000 USD;
em 2006 o grupo COPACOBANA (Cost-Optimized Parallel Code Breaker)
desenvolveu um dispositivo de baixo custo (10.000 dlares) capaz de
quebrar o DES numa semana.
Em Janeiro de 1997 o National Institute of Standards and Technology
(NIST) lanou um concurso mundial para encontrar um bom substituto para
o DES a que chamou AES (Advanced Encryption Standard). Foram
submetidas 15 cifras das quais foram selecionadas 5: MARS, RC6, Rijndael,
Serpent, e Twofish. Em Outubro de 2000 o Rijandel foi selecionado como
vencedor e em Novembro de 2001 tornou-se um standard oficial com o
algortmo AES [31]. O AES foi desenvolvido por dois criptgrafos belgas,
Vincent Rijmen e Joan Daemen, que o batizaram de Rijndael (conjugao de
ambos os apelidos) em 2000, esta cifra permite tamanhos de chave de 128,
192 ou 256 bits e tamanho de blocos de 128 bits [32]. Atualmente um dos
algoritmos de chave simtrica mais usados na comunidade ciberntica.
-
27 (in)Segurana na Prescrio Electrnica
2.2.3 Algoritmo RSA
O RSA (representao das iniciais dos apelidos dos autores, Rivest,
Shamir e Adleman) um algoritmo criptogrfico de chave pblica descrito
pela primeira vez em 1978 [33] que tem sido progressivamente
implementada nas ltimas dcadas de forma a promover a segurana nas
trocas de informaes confidenciais.
De uma forma sumria, pretende-se que a chave pblica de cifra (E) seja
usada para cifrar uma mensagem (M) de forma a ser decifrada usando uma
chave privada (D). Estas chaves so complementares, sendo que a cifra
sucessiva de uma mensagem M usando cada uma das chaves produz a
mensagem inicial.
E(D(M)) = M D(E(M)) = M
A segurana deste algoritmo baseia-se na dificuldade computacional do
problema da factorizao de nmeros grandes (valores superiores a 10300).
Note-se que do ponto de vista da complexidade computacional este
problema no est classificado como NP-completo, i.e., um problema muito
difcil nem conhecido um algoritmo eficiente (no se sabe se pertence ou
no a classe P) que o resolva. As implementaes atuais mais vulgares usam
chaves de 1024 e 2048 bits (sendo este ltimo equivalente a um nmero
primo de 617 dgitos). Uma vez que a factorizao em nmeros primos
parece ser um problema computacionalmente difcil, torna-se muito
moroso atacar este sistema a luz do conhecimento atual.
-
28 (in)Segurana na Prescrio Electrnica
O processo de produo da chave pblica e da chave privada, feito a
partir gerao de dois nmeros primos aleatrios (denominados de p,q) dos
quais se pretende obter dois valores (d,e) que sero usados para criar o par
chave pbica (N,d) e o par chave privada (N,e).
O produto dos primos (N = p x q), usado como mdulo (e cujas
dimenses correspondem ao tamanho da chave usada por exemplo um
mdulo de 128 bytes corresponde a uma chave RSA de 1024). Com a
aplicao da funo de Euler (representada por (pq)= (p - 1) x (q - 1). Do
intervalo [1 , (N)] retirado aleatoriamente um coprimo (ou seja, um
nmero que no seja divisor de (N), que corresponder ao expoente e.
(N) = (p - 1) x (q - 1)
(N) e
A chave pblica associada com o par de valores N,e. A mensagem
cifrada calculada a partir do valor da mensagem (M) elevado a e, ao qual
aplicado o mdulo N (ou seja o resto da diviso de Me por N).
C = E(M) = Me (mod N)
Para criar a chave privada, usa-se o mesmo N, mas com um expoente
diferente d (geralmente do mesmo tamanho do mdulo, ou seja, 128 bits)
obtido a partir do mdulo de (N) aplicado ao inverso de e.
-
29 (in)Segurana na Prescrio Electrnica
d e-1 mod ((N))
A chave privada associada com o par de valores N,d. A mensagem
original calculada a partir do valor cifardo (C) elevado a d, ao qual
aplicado o mdulo N (ou seja o resto da diviso de Md por N).
M = D(C) = Md (mod N)
N (poro comum das chaves) 143932567798865930249993706625319833680515069087665527944694241239507354630 752727980808212298507945951271009459906837467582227550299918030785044537574 321528167093670108015450804034129657781464630760315831722287102786970548218 149936166565867909186357029271855250012893138363511659570049423421410903875 253277181
e (parte pblica da chave) 65537
d (parte privada da chave) 124577429174708500961298854305425061349978436286811105286095429147959399790 573534674815219409197319470526523042003073813435681760886408446804871543545 871996003484599438744739812400363790756845448624850997083363093453712751716 827204704854844860275249300187206152390015618977880661085047149672179827789 055417857
Figura 8: Exemplo dos componentes necessrios para gerar uma chave RSA
Como explicado anteriormente, de acordo com a teoria da
Complexidade, este algoritmo considerado seguro no sentido da
dificuldade computacional uma vez que tem como base funes
polinomiais. Esta ltima caraterstica significa que uma determinada funo
facilmente calculada (f(x) em termos de |x|) mas j o inverso no
possvel no pode ser calculada em tempo polinomial (f1(y) em termos de
|y|). O segredo desta propriedade encontra-se no produtos de nmeros
primos (pq), operao matemtica realizada com facilidade, ao contrrio
-
30 (in)Segurana na Prescrio Electrnica
da fatorizao em primos para a qual no se conhece nenhum algoritmo
que resolva eficientemente esse problema. Por esse motivo se chamam a
estas funes polinomiais, funes one-way por s permitirem (em
tempo polinomial) calcular numa determinada direo.
Este algoritmo criptogrfico tem vrias vantagens:
eficiente em tempo real;
pode ser executado por um computador ou smartcards;
no implica partilha da chave privada (que fica sempre na posse do
proprietrio);
dadas as combinaes possveis e o uso de nmeros primos, torna-se
quase impossvel de ser quebrado, a menos que seja descoberto de um
novo algoritmo de factorizao eficiente.
Permite tambm garantir as seguintes caractersticas:
Cifra - com o uso da chave pblica, apenas o dono da chave privada
possa decifrar a informao usando a chave primria;
Autenticao dos dados - com o uso da chave privada, que permite a
confirmao da autoria dos dados por parte de qualquer individuo que
use a chave pblica.
-
(in)Segurana na Prescrio Electrnica 31
2.2.4 Assinaturas
Do ponto de vista semntico, assinatura representa uma qualquer marca
usada por um indivduo (geralmente relacionada com o prprio nome ou
pseudnimo), usada para validar um documento ou produto da autoria do
prprio.
Na rea mdica, a assinatura ou rubrica serve constantemente para
validar qualquer documento manuscrito ou impresso que contm dados do
utente, pareceres mdicos, pedidos de tratamentos, declaraes ou outras
aes realizados por outrem. Para alm destas funes, usada
maioritariamente no ato da prescrio, quer manual, quer eletrnica.
A aplicao da assinatura digital surgiu como meio de substituir a
assinatura manuscrita, de forma a permitir a transao eletrnica de
informao. Durante o processo de assinatura de um documento, o autor
obrigado a confirmar a operao. A legislao portuguesa prev a utilizao
de assinaturas digitais desde 2003 como uma modalidade de assinatura
eletrnica avanada baseada em sistema criptogrfico assimtrico
composto de um algoritmo ou srie de algoritmos, mediante o qual
gerado um par de chaves assimtricas exclusivas e interdependentes, uma
das quais privada e outra pblica [34]. De acordo com o art 7 do DL
62/2003:
A aposio de uma assinatura eletrnica qualificada a um documento
eletrnico equivale assinatura autgrafa dos documentos com forma
escrita sobre suporte de papel e cria a presuno de que:
A pessoa que aps a assinatura eletrnica qualificada a titular desta;
A assinatura eletrnica qualificada foi aposta com a inteno de assinar
o documento eletrnico;
-
(in)Segurana na Prescrio Electrnica 32
O documento eletrnico no sofreu alterao desde que lhe foi aposta a
assinatura eletrnica qualificada.
A aposio de assinatura eletrnica qualificada substitui, para todos os
efeitos legais, a aposio de selos, carimbos, marcas ou outros sinais
identificadores do seu titular.
De acordo com o Artigo 3 do DL 62/2003 quando lhe seja aposta uma
assinatura eletrnica qualificada certificada por uma entidade certificadora:
o documento eletrnico tem a fora probatria de documento particular
assinado, nos termos do artigo 376.o do Cdigo Civil.
o documento eletrnico cujo contedo no seja suscetvel de
representao como declarao escrita tem a fora probatria prevista
no artigo 368.o do Cdigo Civil e no artigo 167.o do Cdigo de Processo
Penal.
O valor probatrio dos documentos eletrnicos aos quais no seja
aposta uma assinatura eletrnica qualificada certificada por entidade
certificadora apreciado nos termos gerais de direito.
Uma vez que estas se baseiam num sistema de encriptao assimtrico
(o que exige um poder de computao acrescido), a aplicao prtica das
assinaturas digitais, como mecanismo de autenticao da autoria dos
dados, incide sobre um resumo dos documentos em que aplicada
(denominada hash e cujas dimenses geralmente no ultrapassam os 512
bits) como se exemplifica na Figura 9. Desta forma, muito mais eficiente
cifrar esta pequena quantidade de informao (resumo) que, depois de
confirmada a assinatura, comparada com um novo resumo obtido do
documento enviado. Se o resumo assinado coincidir com o resumo
decifrado, podemos asseverar que o documento no foi alterado e que o
-
(in)Segurana na Prescrio Electrnica 33
autor inequivocamente o proprietrio da assinatura (mecanismo de
autenticao e no repdio). A funo que calcula o resumo conhecida
publicamente e deve ser resistente a colises, i.e., deve ser extremamente
improvvel que dois documentos diferentes originem o mesmo resumo. As
assinaturas digitas so verificveis publicamente, transferveis e garantem o
no repdio.
Figura 9: Assinatura da hash de um documento
1000111110101011
Chave privada
Chave pblica
Documento Original hash do documento
hash assinada
Documento assinado e enviado
Clculo da hash
hash autenticada Documento recebido
Clculo da hash
1000111110101011
-
(in)Segurana na Prescrio Electrnica 34
Estas assinaturas tm a mesma validade que as assinaturas manuscritas,
desde que se baseiem em certificados emitidos por entidades certificadoras
credenciadas, tpico que ser abordado na seco seguinte.
De uma forma sumria, as assinaturas digitais tm a vantagem de:
identificar de forma unvoca o titular como autor do documento;
serem aplicadas apenas aps confirmao do autor;
estabelecer uma conexo ao documento de forma a detectar qualquer
alterao que este sofra desde o remetente at ao destinatrio.
-
(in)Segurana na Prescrio Electrnica 35
2.2.5 Assinaturas de Grupo
Dentro dos vrios tipos de assinaturas digitais, existem as assinaturas
intermedirias (proxy signature) que permitem a certificao de um
indivduo por um terceiro interveniente no processo, atravs da delegao
do certificado deste e assinaturas de grupo (group signatures), que
permitem que a autenticao e anonimato das informaes. Este ltimo
modelo foi introduzido por David Chaum and Eugne Van Heyst em 1991
[35] de forma a possibilitar a autenticao dos dados transmitidos e,
simultaneamente, o anonimato dos indivduos, uma vez que os
destinatrios apenas conseguem identificar o grupo/organizao a que este
pertence (Figura 10).
Figura 10: Exemplo de criao de uma chave de grupo
Cada grupo detentor de uma chave de grupo pblica e uma chave de
grupo privada, controladas pelo gestor do grupo. Cada membro possui de
igual modo uma chave pblica e uma chave privada emitidas pelo gestor do
Prescrio Autenticada pelo Mdico
Gestor do Grupo Prescritor Prescrio Autenticada pelo Gestor
Destinatrio
Anonimato do prescritor
-
(in)Segurana na Prescrio Electrnica 36
grupo ou outra entidade associada. Desta forma, com a interveno do
gestor neste processo, possvel rastrear a identidade de cada elemento.
Resumidamente, este modelo apresenta trs propriedades
fundamentais:
apenas os membros podem assinar em nome do grupo;
o destinatrio consegue verificar a validade da assinatura do grupo mas
no tem acesso ao autor da informao;
caso seja necessrio apurar responsabilidades, possvel identificar o
autor original.
Do ponto de vista da segurana, este mtodo tem-se revelado fivel por
evitar a associao dos autores, manter o no repdio, ser resistente
coliso de identidades e prtica de fraude. [36] Mais recentemente
podemos encontrar referncias a possveis implementaes deste mtodo
na rea da sade apresentado. [37, 38]
-
(in)Segurana na Prescrio Electrnica 37
2.3 Infraestrutura de Chaves Pblicas
Para funcionar com um multiplicidade de chaves assinaturas digitais,
torna-se imprescindvel a existncia de um sistema capaz de criar, gerir,
armazenar, confirmar, propagar e revogar as chaves pblicas. [39]
Este sistema denominado PKI (Public Key Infrastructure) formado por
mltiplos componentes legislativos/jurdicos, que constituem uma
infraestrutura fsica dotada de tecnologia, recursos humanos, normas,
regulamentos e procedimentos que definem as polticas de certificao
usadas com as assinaturas digitais. Analogicamente corresponde a uma
base de dados ou um chaveiro de chaves pblicas que se encontram
associadas de forma segura ao seu titular de forma a garantir a sua
veracidade.
Para alm dos utilizadores e das suas respectivas chaves, uma PKI
geralmente constituda por uma cadeia de certificao com referncias do
emissor e destinatrio do certificado, composta por diferentes tipos de
entidades de certificao (CA Certification Authority):
Autoridade de Certificao de Raiz organizao de renome mundial
que emite certificados a outras entidades e so incorporadas na maioria
dos sistemas operativos;
Entidades de Certificao Intermediria (ICA Intermediate Certificate
Authority) entidades certificadas pelas Autoridade de Certificao de
Raiz ou por outra ICA, que facilitam o processo de autenticao e
correspondem aos elos centrais de uma cadeia de certificao;
Autoridades de raiz de certificao de terceiros (TTP Trusted third
party) usadas para facilitar as interaes entre duas entidades que
-
(in)Segurana na Prescrio Electrnica 38
analisam as comunicaes entre ambas com o fim de prevenir
transaes fraudulentas.
Dentro de cada entidade h bases de dados (repositrios) onde so
geridas as assinaturas vlidas e as assinaturas no vlidas: Repositrios de
Certificados e Listas de Revogao de Credenciais (CRL Credential
Revocation List).
Existem vrios modelos de PKI, assim como normas, sendo o formato
X.509 bastante difundido na comunidade ciberntica. Este modelo permite
a identificao de um indivduo a partir de um identificador (como correio
eletrnico, endereo de DNS ou smartcard) que passa a ser representado
por um certificado pblico, e simultaneamente recorre a Entidades de
Certificao para confirmar a veracidade das identidades e Listas de
Certificados Revogados (para definir os certificados non-gratos) a partir
de servidores OCSP (Online Certificate Status Protocol), que mantm
atualizada uma lista de certificados/revogaes e devolvem uma resposta
assinada sobre a validade do certificado inquirido que se limita a vlido,
revogado ou desconhecido [40]. Uma vez que este protocolo se
encontra atualmente implementado na maioria dos sistemas operativos, e
foi assumido como padro para o uso dos cartes de identificao em
Portugal, pode representar uma facilidade na implementao das PKI.
Este sistema hierrquico, ao permitir uma propagao e revogao dos
certificados, garante constantemente a integridade dos dados relativos
identidade dos indivduos (Figura 11).
-
(in)Segurana na Prescrio Electrnica 39
Figura 11: Representao de uma PKI (Public Key Infrastructure)
Foram definidas vrias normas de funcionamento, sendo a mais comum
o PKCS (Public-Key Cryptography Standards) definida pela empresa norte
americana RSA, The Security Division of EMC. Na verdade, esta norma
composta por uma srie de funes acessveis apenas por programao que
recorre a componentes de hardware (neste caso, smartcards, leitores e
computadores), e a diferentes formatos pr-definidos (como chaves RSA,
certificados X.509, chaves simtricas DES, etc), existindo 15 subnormas
diferentes. A PKCS#11 ou Cryptoki, conhecida pelas suas potencialidades
relativamente uso de certificados e chaves pblico-privadas tornaram-se
mdulos de uso frequente nos exploradores de pginas de internet, assim
como nos middlewares (programas intermedirios que permitem a
autenticao dos utilizadores em sistemas e programas informticos). Um
exemplo de uso destas normas verifica-se no carto de identificao
Utilizador
CA ICA
Listas de Revogao de chaves pblicas
Repositrio de chaves pblicas
CA
Pedido de chaves pblicas Pedido de revogao
Pedido de chaves pblicas Pedido de revogao
ICA
Actualizao e
certificao cruzad
a
CA
Legenda: CA Entidades de Certificao ICA Entidades de Certificao Intermediria
Vlido? Revogado?
Desconhecido?
-
(in)Segurana na Prescrio Electrnica 40
recentemente implementado em Portugal (Carto de Cidado) [41], como
ser explicado no seguimento deste captulo.
Embora estas infraestruturas no sejam vitais para o uso individual de
assinaturas digitais, tornam-se um pilar na gesto de assinaturas numa
comunidade.
Em termos legislativos [34, 42, 43], em Portugal est definido que a
assinatura digital tem a mesma autenticidade que um documento assinado
em papel e que quem a pretenda usar deve () gerar ou obter os dados de
criao e verificao de assinatura, bem como obter o respectivo certificado
emitido por entidade certificadora.
A gesto das assinaturas digitais em Portugal est dependente do SCEE
que assume como objectivos assegurar a unidade, a integrao e a eficcia
dos sistemas de autenticao digital forte nas relaes eletrnicas de
pessoas singulares e colectivas com o Estado e entre entidades pblicas
[42]. Todavia, a legislao relativa a esta entidade foi recentemente revista
em 2012 apenas para reformular a orgnica da gesto departamental. [44]
-
(in)Segurana na Prescrio Electrnica 41
2.4 Smartcards
A necessidade de manter a chave privada segura, apenas acessvel ao
proprietrio e para a qual possvel dar garantias fortes de que existe
apenas um exemplar, coloca uma nova questo de segurana e de
usabilidade: Onde se poder armazenar a chave privada de forma segura e
garantir unicidade de cpia sem comprometer em demasia a usabilidade do
sistema? Uma hiptese de baixo custo, mas pouco segura, seria a de
armazenar a chave privada num ficheiro ou at como um objecto de
sistema, protegido dentro do prprio sistema operativo do computador. No
entanto, uma vez que na prtica existe a forte possibilidade das estaes de
trabalho serem partilhadas, no se pode assegurar de forma segura que o
ficheiro ou o prprio objecto do sistema onde guardada a chave privada
nunca possa vir a ser copiado por um atacante. A forma normalmente
adoptada para mitigar este risco consiste em armazenar a chave privada
diretamente num dispositivo de segurana fsico pessoal, intransmissvel,
transportvel pelo utilizador e capaz de proporcionar os nveis de proteo
adequados a uma chave privada sensvel. Nomeadamente garantir que
durante o seu tempo de vida til a chave reside sempre dentro do
dispositivo, e que em circunstncia alguma essa chave sai para fora do
controle direto desse dispositivo. Para este tipo de cenrios normal
empregar smartcards ou outro tipo de tokens criptogrficos seguros,
capazes de gerar por eles prprios os pares de chaves e fazer com que seja
extremamente difcil para no dizer impossvel extrair a chave privada do
desse dispositivo de segurana. Note-se que deste modo todas as
operaes criptogrficas que envolvam essa chave privada protegida tero
-
(in)Segurana na Prescrio Electrnica 42
que ser asseguradas pelo prprio dispositivo de segurana, uma vez que s
ele lhe tem acesso.
Os smartcards geralmente aparecem sob a forma de cartes de plstico,
com dimenses correspondentes a 85.60 53.98 mm. Como exemplo
temos os cartes multibanco e cartes de crdito com chip, documentos de
identificaes electrnicos e outros tipos de cartes cumpridores das
normas de caractersticas fsicas ID-1 ISO/IEC 7810 [45]. Este tipo de cartes
tem sido associado a tecnologias de radiofrequncia (ISO/IEC 14443 [46],
sendo a norma MIFARE uma das tecnologias mais utilizadas atualmente
para controlo de acesso fsico a edifcios. Os smartcards aparecem
normalmente sob a forma de cartes de plstico, contendo pequenos
microprocessadores (ISO/IEC 7816 [47]) inseridos num chip com
aproximadamente 1,27 cm de dimetro. Este permite a conexo a leitores
de cartes eletrnicos que, para alm de fornecerem a energia necessria
para o funcionamento do microprocessador, permitem a interao com
esse dispositivo, enviando e recepcionando dados atravs de protocolos de
comunicao pr-estabelecidos ([48]).
A ideia de associar um microprocessador a um carto de plstico foi
inicialmente concebida pelos engenheiros Helmut Grttrup e Jrgen
Dethloff em 1969. Esta foi patenteada em 1978 [49] aps ter sido criado o
primeiro microprocessador especfico para estes cartes por Michel Ugon
em 1977.
-
(in)Segurana na Prescrio Electrnica 43
Figura 12: Exemplo de um smartcard, o chip interno e dos seus conectores
Uma das vantagens dos smartcards o facto de no necessitarem de
baterias (a energia necessria fornecida pelo prprio leitor) e de
possurem uma memria EEPROM (Electrically Erasable Programmable
Read-Only Memory) que mantm em segurana as informaes guardadas
durante a ausncia de energia.
Outra capacidade de processamento dos micro processadores o uso da
tecnologia Java Card, que permite a programao, execuo e
implementao de aplicaes desenvolvidas em ambiente Java (applets)
nos circuitos do carto. Desta forma possvel executar os applets num
ambiente seguro (no interior do carto), recurso que tem hoje diversas
aplicaes tecnolgicas: Telecomunicaes, Finanas, Governo,
Identificao eletrnica, pagamento de servios, etc. [50]. O
desenvolvimento de applets capazes de efetuar operaes criptogrficas de
forma estandardizada com certificados X509 e outras normas baseadas no
standard PKIX no interior do prprio chip do smartcard [48], garante a
operacionalidade do par de chaves sem que em momento algum a chave
privada tenha que ser extrada para fora do chip do carto. A memria
EEPROM apenas acessvel aps a introduo de um cdigo PIN (chave
-
(in)Segurana na Prescrio Electrnica 44
simtrica) que desbloqueia o uso da chave privada no processamento de
dados provenientes do computador. O isolamento do processamento da
chave privada no interior do smartcard garante que a mesma no seja
exportvel ou duplicada.
As funcionalidades criptogrficas que envolvem a chave privada s se
tornam acessveis aps a introduo de um cdigo PIN (chave simtrica),
que desbloqueia o uso da chave privada no processamento de dados
provenientes do computador diretamente pelo smartcard. O isolamento do
processamento da chave privada no interior do smartcard garante que a
mesma no seja nunca exportvel e/ou duplicada.
Como apresentado na Figura 9 (pgina 33), a assinatura realizada
sobre a sumarizao criptogrfica de um documento (hash), sendo apenas
devolvida pelo carto a sequncia binria da assinatura digital que
anexada ao documento original, ficando este marcado como assinado.
Qualquer alterao realizada ao documento ir resultar em alteraes do
hash do mesmo, que deixar assim de ser idntico ao hash assinado.
-
(in)Segurana na Prescrio Electrnica 45
2.4.1 Carto de Cidado
Em Portugal iniciou-se um processo de atribuio de cartes de
identificao (Carto de Cidado (CC)) em 2007 com o objectivo substituir
de bilhete de identidade (de momento simultaneamente em vigor) e
integrar outros documentos: carto de contribuinte, carto de beneficirio
da Segurana Social, carto de utente do Servio Nacional de Sade e
carto de eleitor. O CC permite a identificao do proprietrio do ponto de
vista fsico (como carto) e eletrnico (atravs da assinatura digital
autenticao forte), sendo aceite internacionalmente dentro da Unio
Europeia.
Com este trabalho pretendemos dar incio a uma eventual especificao
dos atributos de identidade necessrios para um documento de
identificao para profissionais de sade, com caractersticas semelhantes
ao CC, com qualificao profissional. Para isso importante perceber o
modo de funcionamento do CC e quais as funcionalidades que este possui
para poder efetuar assinaturas digitais com validade legal e poder ser
utilizado como factor de autenticao de nvel dois, em contextos onde
importante garantir propriedades fortes de no repdio.
Tal como a maioria dos smartcards, o CC um Java Card que segue as
normas ISO 7810 e ISO 7816-2, anteriormente referidas, [51] e apresenta
um aspecto grfico de acordo com a Error! Reference source not found..
Na face principal, anverso, apresenta uma fotografia do indivduo obtida
durante o processo de registo, e contm de forma legvel o Apelido(s),
Nome(s), Sexo, Altura, Nacionalidade, Data de Nascimento, elementos de
identificao civil (N Documento, Data de Validade e Assinatura do Titular).
No verso descreve a filiao e os nmeros de identificao Fiscal, Segurana
-
(in)Segurana na Prescrio Electrnica 46
Social, nmero de utente do SNS, verso do carto na lateral esquerda e, na
regio inferior, uma zona de leitura tica relativos aos dados impressos na
frente do carto.
Figura 13: Carto de Cidado (frente e verso)
De acordo com o manual de especificaes dos Leitores do CC, o chip do
carto apresenta as seguintes caractersticas [48]:
Suporta a norma Java Card e o uso de logical channels;
Possui uma capacidade de memria EEPROM (ou equivalente) mnima
de 64 KB;
Possui capacidades de gesto de memria dinmica, suportando
garbage collection pela JVM e de proteo de memria;
Possui capacidades de gesto de espao de armazenamento, incluindo
desfragmentao e reutilizao de espao libertado;
Possui capacidades de true random number generation;
Suporta mltiplos PIN, em conformidade com a norma ISO/IEC 7816-4;
Suporta mecanismos de bloqueio em caso de erro na introduo do PIN
aps 3 tentativas e respectivo desbloqueio por meio de introduo de
PUK do cidado e de chave administrativa de acesso ao carto, para
desbloqueio;
-
(in)Segurana na Prescrio Electrnica 47
Suporta mecanismos de gerao de novo PIN do cidado, em caso de
esquecimento deste, mediante a introduo do PUK do cidado e do
PUK aplicacional de gerao de PIN;
Possui um motor criptogrfico interno que suporta:
assinatura e verificao RSA de 1024 bits;
assinatura eletrnica qualificada segundo a norma CEN CWA 14169
(Secure Signature-creation devices EAL 4+);
DES e TDES (triple Data Encription Standard);
MD5, SHA-1 e SHA-256, no mnimo;
MAC (message authentication code);
PKCS#1 (RSA Cryptography Standard) e PKCS#15 (Cryptographic
Token Information Format Standard);
compatvel com leitores de cartes da norma EMV-CAP, para
funcionamento de autenticao multicanal baseada em one-time
password;
Possui uma chave de proteo da personalizao inicial;
Est preparado para resistir aos ataques conhecidos do tipo hardware
attack, timing attack, simple power analysis e differential power
analysis entre outros.
No interior do chip esto armazenadas as seguintes informaes [51]:
a informao visvel no carto (com exceo da assinatura manuscrita);
data de emisso e a entidade emissora;
morada (protegida pelo cdigo PIN da morada);
uma chave (privada) para autenticao do proprietrio nos vrios
sistemas informticos (protegida pelo cdigo PIN da autenticao);
-
(in)Segurana na Prescrio Electrnica 48
uma chave (privada) para assinar documentos de forma a possibilitar o
no repdio (protegida pelo cdigo PIN da assinatura);
dois certificados digitais (chaves pblicas) complementares s chaves
privadas;
dados sobre a impresso digital (apenas para validao da impresso
digital do indivduo obtida a partir de um sensor biomtrico);
um campo de 1000 caracteres alfanumricos editvel.
Ao todo possui trs cdigos PIN, que so independentes e configurveis.
S aps a introduo dos cdigos PIN corretos que permitido o acesso
aos diferentes mdulo e s suas respectivas funcionalidades e informaes
protegidas. As chaves privadas nunca abandonam os mdulos (applets) do
chip em que esto implementadas. Assim as informaes so enviadas pelo
leitor e processadas no interior do chip. A introduo dos cdigos PIN pode
ser realizada atravs de software (por meio da API disponibilizada na portal
do carto de cidado http://www.cartaodocidadao.pt) ou com a
utilizao de leitores com teclado numrico.
Figura 14: Informao contida no Carto de cidado
Certificado de Autenticao
Chave Privada
Dados Gerais (Acesso Livre)
Chaves Pblicas
PIN de Autenticao
PIN de Assinatura
PIN de Morada
Certificado de Assinatura
Chave Privada
Morada
Sistema JavaCard
Mdulo Criptogrfico
-
(in)Segurana na Prescrio Electrnica 49
Relativamente aos pares de chaves assimtricas geradas pelo carto
aquando da sua inicializao, cada uma apresenta uma segurana de 1024
bits, e so assinadas pelo Sistema de Certificao Eletrnica do Estado
(SCEE) cujo certificado se identifica como ECRaizEstado [42], que por sua
vez certificado e emitido pela GTE CyberTrust Global Root, uma
entidade certificadora de raiz com atribuio de confiana internacional. O
certificado ECRaizEstado autentifica o certificado Carto de Cidado 001
(atualmente existe apenas um certificado vlido at 2019) que por sua vez
responsvel pela autenticao dos certificados EC de Autenticao do
Carto de Cidado xxxx e EC de Assinatura Digital Qualificada do Carto
de Cidado xxxx (atualmente existem sete certificados, emitidos
anualmente desde 2007). Esta hierarquia de certificao digital est
representada esquematicamente na Error! Reference source not found..
A SCEE corresponde a uma Entidade de Certificao intermediria que
garante a segurana eletrnica do Estado Portugus e a autenticao digital
forte das transaes eletrnicas entre os vrios servios e organismos da
Administrao Pblica e entre o Estado e os cidados e as empresas.
Os certificados emitidos encontram-se em formato X.509 v3, sendo o
Ministrio da Justia o responsvel pelas funes de repositrio da
Entidade Certificadora do Carto de Cidado e pela publicao do estado
dos certificados emitidos e revogados por meio dos OCSP (Online Certificate
Status Protocol), e qualquer certificado emitido fica armazenado durante