O escrivão da Internet

14/12/2011

O escrivão da Internet

Carlos Martínez, O escrivão da Internet

O engenheiro Carlos Martínez, responsável de pesquisas e desenvolvimento do LACNIC, foi convocado pela Agência de Governo Eletrônico e Sociedade da Informação do Uruguai para fazer parte de um número pequeno mas seleto de especialistas que atuam como tabeliães públicos dos procedimentos eletrônicos e dos sites da Internet certificados nesse país.

Carlos tem uma vasta experiência em certificação electrônica já que integra um grupo similar a nível mundial que procura garantir a operação segura da Internet e evitar diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infra-estrutura de rede.

Qual é a sua função na autoridade certificadora do Uruguai? Quem escolheu você para cumprir essa função?

A função da autoridade certificadora (CA) é  operar como âncora de confiança de todo o sistema de certificação eletrônica. Isso quer dizer que é o último depositário de confiança, a organização na que todas as outras confiam e com a que constroem suas correntes de confiança.

O processo de arranque de uma CA implica a criação de “material criptográfico”. Esse material consiste em um conjunto de dados eletrônicos, os que devem ser criados sob estritas medidas de segurança, e é nesse processo de criação que reside a confiança que o público pode ter na CA.

Para que quem opera a CA possa demonstrar imparcialidade na gestão da mesma, é de praxe convidar diferentes representantes a participar desse processo de arranque.

No caso da CA do Uruguai, AGESIC optou por esse modelo e convidou representantes do Estado, do setor acadêmico, do setor privado e da sociedade civil. No meu caso, eu fui convidado como representante da sociedade civil, fato associado de alguma forma  com o papel que desempenha o LACNIC na região, particularmente no Uruguai.

Mesmo que todos os convites foram de caráter pessoal, AGESIC avaliou os vínculos profissionais de cada um  para cumprir com a diversidade esperada.

Pode se dizer que são os escrivães da Internet no Uruguai?

De alguma forma a autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade. Em outros países se usa efetivamente o termo “tabelião público”.

“A autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade”

O papel dos guardiões de senha não é tanto o de atuar como tabeliães mas sim como garantes da confiança em todo o sistema.

Qual é o objetivo de criar uma organização certificadora para o sistema de governo eletrônico do Uruguai?

A assinatura eletrônica é uma tecnologia habilitante. Isso quer dizer que seu valor não é tanto em si mesmo mas sim nos negócios que a mesma habilita.

Um mecanismo de assinatura eletrônica pode gerar um ambiente favorável para o desenvolvimento de serviços de governo electrônico como o acesso a documentação pessoal, a registros de  veículos ou transações de compra e venda de propriedades sem ter que estar fisicamente num escritório, com as vantagens que isso implica para os cidadãos que moram em regiões ou cidades afastadas de Montevidéu, por exemplo.

O comércio eletrônico também poderia  ser reforçado por uma infraestrutura desse tipo, da mesma forma que, por exemplo, os advogados poderiam começar a apresentar escritos de forma completamente eletrônica ou os escritórios de contabilidade fariam o mesmo com as declarações de impostos.

Como funciona a certificação eletrônica no Uruguai?  Que mecanismos de certificação eletrônica existem no país? São 100% confiáveis?

Historicamente O Correio operava uma autoridade certificadora que era usada apenas para fornecer segurança aos sites da web. Tem havido algumas outras experiências interessantes, como a da Suprema Corte da Justiça, que começou a emitir certificados aos advogados para que eles pudessem enviar emails cifrados e assinados de forma digital.

Essas experiências, mesmo que tenham sido muito interessantes, não tinham por sua própria natureza alcance geral.

A autoridade certificadora de AGESIC cria  então um ambiente em que todas as CAs que quiserem, possam ter uma raiz de confiança geral.

Quanto à confiabilidade, pode se dizer que são 100% confiáveis.

Com relação a sua participação no grupo de especialistas a nível mundial sobre certificação de nomes de domínio, para que serve a certificação dos sites?

A certificação de nomes de domínio ou DNSSEC, como é conhecida a tecnologia que o implementa, proporciona instrumentos para introduzir assinaturas eletrônicas dentro dos nomes de domínio que usamos normalmente como ser www.google.com ou www.lacnic.net.

Dessa forma, o usuário que consulta o sistema de nomes de domínio pode verificar que as respostas que obtêm do mesmo são válidas.

Isso é de fundamental importância para garantir a operação segura da Internet, já que permite prevenir diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infraestrutura da rede propriamente dita.

Que organizações estão habilitadas para certificar sites na Internet?

A assinatura de domínios deve ser realizada pelo operador de cada um deles. Porém, para que a mesma seja útil, deve ser possível construir correntes de confiança até a raiz do sistema.

Para isso faz falta que os domínios médios (.com, .net, .org) estejam assinados de forma apropriada, assim como também a própria raiz. A raiz foi assinada em julho de 2010 e os domínios genéricos como o com, o net e o org foram assinados durante a segunda metade de 2010 e começos de 2011. No caso dos domínios de alto nível relacionados com códigos de país (uy, ar, br, fr, de, por exemplo), o status da implementação é mais confuso, apresentando-se um elevado nível de implementação na Europa e um nível mais tímido em nossa região, em que até hoje apenas o br, cl e co têm DNSSEC em produção.

A certificação de sites é muito cara?

A assinatura de zonas do DNS não tem por que ser cara em infraestrutura, principalmente no caso de zonas ou domínios pequenos. É importante que as zonas pai ofereçam o serviço de DNSSEC, e pelo que estamos observando hoje, quem  estão realizando isso, não estão cobrando dinheiro adicional por esse serviço.

Os usuários sentem mais confiança perante um site certificado?

É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição, como ter certeza de que sua comunicação vai estar cifrada  sempre que for importante (por exemplo, durante o curso de uma transação de comércio eletrônico) e de que o domínio esteja assinado de forma adequada com DNSSEC.

“É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição”

É de esperar que na medida em que evolucione a implementação de DNSSEC os usuários comecem a exigir a presença dessa tecnologia em sites sensíveis.

Contudo, vale salientar que também é responsabilidade de todos os que operamos sites na web e serviços da Internet, garantir a segurança e integridade de nossos serviços.

Que organizações ou empresas deveriam ser as mais certificadas?

Todas aquelas que transmitam ou trabalhem com informações de algum grau de sensibilidade.

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail