Pioneirismo e segurança
O Brasil é o primeiro País do mundo a assinar um acordo na área de certificação digital com uma empresa da comunidade de software livre. Em solenidade realizada no Palácio do Planalto, em Brasília, no final de março, o Instituto Nacional de Tecnologia da Informação (ITI) assinou acordo com a Conectiva, sócia fundadora do consórcio UnitedLinux - que reúne, além da Conectiva, as distros TurboLinux, SuSE e SCO
Com o acordo, será permitida a inserção do certificado raiz da Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil) no novo Conectiva Linux 9. Para o presidente do ITI, Sérgio Amadeu da Silveira, o ato é da maior importância para o país, uma vez que o Governo Federal se manifesta favoravelmente à popularização da certificação digital. "Colocaremos o nosso certificado em todos os navegadores, para garantir o comércio eletrônico, a modernização administrativa do Estado e também a privacidade do cidadão", disse.
Com relação à inserção do certificado raiz em softwares livres, Amadeu afirmou que não é possível que o código-fonte dos softwares de segurança não sejam conhecidos. Para ele, a intenção do Governo é trabalhar com código aberto, principalmente na área da segurança da informação. "Não é possível desenvolvermos uma idéia de segurança atrasada, quando temos que dominar o processo tecnológico do início ao fim", afirmou. Amadeu também frisou que o governo só terá vantagens em adotar ferramentas livres. "Na área de tecnologia da informação nós vamos avançar com o software livre", completou.
Representando o governo federal na cerimônia, esteve presente o secretário executivo da Casa Civil e coordenador do Comitê Gestor da ICP-Brasil, Swedenberger do Nascimento Barbosa, que ressaltou a importância do Linux para acabar com a exclusão digital. "Todo projeto que garanta uma infra-estrutura da Informação em nosso país nascerá morto se não considerar a importância do uso de padrões abertos reconhecidos por organismos internacionais", afirmou Barbosa. De acordo com ele, padrões tecnológicos que pertencem a uma única empresa geram uma situação de monopólio insustentável. "Neste sentido, um padrão deve levar em consideração o conforto e as facilidades do usuário, deve considerar a comunidade como um todo, e não apenas servir como meio para a concentração e monopólio de mercado", disse.
Segundo o termo de acordo assinado na ocasião, o objetivo da ação é fomentar o uso da certificação digital não só no âmbito da Administração Pública, mas também de toda a coletividade. A parceria, válida até 2011, beneficia as empresas e usuários Linux em todo o Brasil, inclusive outras distribuições do sistema operacional que atuam no País. "Assim como acontece em todas as ações que envolvem o mundo Linux, quando idealizamos o projeto pensamos também no benefício que ele traria para a comunidade de software livre como um todo", disse Sandro Nunes Henrique, diretor-presidente da Conectiva. "Isto porque nosso principal objetivo é fortalecer o sistema operacional no País, adequando-o cada vez mais às necessidades do setor governamental e aprimorando a qualidade dos serviços oferecidos aos usuários de diferentes mercados", afirmou.
"Esse acordo abre campo para as vendas, afinal, o governo está assinando embaixo dos produtos de código aberto. E também abre campo na área de segurança", comenta o diretor de produtos e soluções da Conectiva, Rodrigo Stulzer Lopes. A partir de maio, as novas possibilidades de negócios já poderão começar a ser sentidas, pois o certificado digital já passa a fazer parte das soluções da Conectiva - e, posteriormente, da UnitedLinux. O Conectiva Linux 9, será o primeiro produto da empresa dentro desses padrões. Todas as ferramentas baseadas nessa versão também utilizarão o certificado.
Netscape
A Conectiva também conseguiu resolver a última pendência para a inserção da chave raiz da ICP-Brasil no sistema operacional Conectiva Linux 9. A America Online, detentora do Netscape, foi contatada pelos técnicos da Conectiva, que, depois de fazerem adaptações, receberam o aval para a inserção da chave digital, último passo para que todos os browsers gráficos da distribuição reconhecessem o certificado brasileiro. Com isto, além do Konqueror, Mozilla e Galeon, a versão do Netscape 7 também será compatível com a chave raiz da ICP-Brasil.
O acordo firmado entre o governo e a Conectiva é de significativa importância para a comunidade Linux/Free Software/Open Source, por se tratar do primeiro governo no mundo a reconhecer e manifestar interesse em adotar padrões de segurança em certificação digital nas próximas versões do Linux.
Sandro também ressaltou a importância do certificado digital do governo federal para a sociedade brasileira. "Hoje, o Brasil exporta US$ 1 bilhão por ano em pagamento de licenças de uso de software. Em 2005, esse número deve superar a conta petróleo. Isso prova porque o Linux é uma alternativa consistente para a inclusão digital, já que está maduro para atender tanto ao usuário final quanto ao governo federal", concluiu.
Da redação da Revista do Linux e assessorias
"Carteira de identidade"
Os certificados digitais são uma espécie de arquivo de computador que agem como uma de "carteira de identificação" virtual. Eles identificam seu detentor - que pode ser uma pessoa, uma instituição ou até mesmo um computador. O certificado contém o nome do seu detentor e outros dados que ajudam a identificá-lo. A Autoridade Certificadora atua como um "cartório". Ela é quem reconhece publicamente seu certificado.
Quando a Autoridade Certificadora lhe reconhece, ela gera uma assinatura digital, anexando-a ao seu certificado. Essa assinatura tem duas características interessantes. A primeira é que é praticamente impossível de forjar e pode ser facilmente verificada usando-se certos programas de computador e tendo-se alguns outros arquivos de certificados. Os certificados digitais têm validade, geralmente, de um ano. Terminado este prazo, você precisará contatar a Autoridade Certificadora novamente para renová-lo.
O certificado contém um item denominado "chave pública". De fato, a chave pública é a coisa mais importante que o seu certificado carrega. Essa chave é a metade de um sistema de segurança extremamente resistente e sofisticado. Ela é chamada "pública" porque não há necessidade de mantê-la em segredo - tanto é que ela consta no seu certificado.
A outra metade, chamada "chave privativa", ou "chave privada", deve ser mantida em segredo. Ela fica armazenada em algum programa (normalmente o browser). Essas chaves permitem estabelecer comunicações à prova de interceptação na Internet. Assim, é possível acessar um site sem medo de ter seus dados pessoais, cartões de crédito ou senhas expostas. Ou mandar correio eletrônico de uma forma tal que só o destinatário consiga ler.
Inclusão digital é prioridade no governo Lula
Sérgio Amadeu da Silveira é o novo presidente do ITI - Instituto Nacional de Tecnologia da Informação, responsável pela Infra-Estrutura de Chaves Públicas do Brasil, a ICP-Brasil, entidade raiz do sistema de certificação digital das organizações governamentais e privadas brasileiras. Sérgio foi professor da Faculdade de Comunicação Cásper Líbero e atuou como assessor parlamentar do PT na Assembléia Legislativa do Estado de São Paulo, além de integrar o movimento de Rádios Livres. Tornou-se mestre pela USP com a dissertação "Poder no Ciberespaço: Estado-Nação, controle e regulamentação da Internet", em 2000, é autor de "Exclusão Digital - A Miséria na Era da Informação". É doutorando do Departamento de Ciência Política da USP, onde pesquisa a teoria democrática na era da informação. Foi coordenador de projetos do Instituto Florestan Fernandes e Coordenador do Governo Eletrônico da Prefeitura de São Paulo, responsável pelo Plano de Inclusão Digital do Município e pela implantação de 22 telecentros nas áreas mais carentes da cidade, atendendo a mais de 70 mil pessoas. Os centros oferecem curso básico de informática, acesso livre à Internet, restringindo apenas conteúdo pornográfico, e outros programas. Durante sua gestão, o Governo Eletrônico da capital paulista optou por equipar as máquinas com o sistema Linux, no lugar do Windows, da Microsoft, o que proporcionou a economia de R$ 25 mil por unidade. Até 2003, a prefeitura promete instalar outras 81 unidades e chegar à marca de 100 telecentros. Agora, o principal desafio do Presidente do ITI será popularizar a certificação digital e o software livre no País. É com ele que conversamos sobre certificação e exclusão digitais e também sobre os objetivos do ITI para os próximos anos.
Revista do Linux - O que significa o tema "certificação digital" na vida do cidadão comum?
Sérgio Amadeu - As principais atividades econômicas, sociais e culturais cada vez mais serão realizadas por meio de redes informacionais. A expressão sociedade em rede, criada pelo sociólogo espanhol Manuel Castells, define bem a nova morfologia social que emergiu da revolução das novas tecnologias de informação. A rede é um ambiente incerto. Nela, convivem múltiplos interesses. O cidadão precisará de processos seguros para conviver e realizar suas transações no ciberespaço. A certificação digital é um processo que utiliza a criptografia assimétrica de chave pública para dar maior segurança aos cidadãos. Com a criptografia de chave pública podemos assegurar a autenticidade e a integridade das mensagens enviadas e recebidas na rede. Mas as pessoas precisarão saber se uma assinatura digital pertence realmente a uma determinada pessoa ou empresa. Um certificado digital dá essa garantia, uma vez que é emitido por uma autoridade certificadora idônea e confiável. Certificados e assinaturas digitais são instrumentos importantes não somente para o comércio eletrônico, mas principalmente para garantir a privacidade dos cidadãos.
RdL - Como você avalia o problema da exclusão digital no Brasil? Ele existe de fato?
SA - Provavelmente, a Ilha de Manhatan, coração de Nova York, possui mais telefones e computadores do que todo o continente africano. Apenas dois países, Estados Unidos e Canadá, concentram quase a metade do acesso mundial à Internet, precisamente 41%. No Brasil, segundo o Censo 2000, apenas 10,6 % dos domicílios possuem computador em um contexto em que menos de 40 % deles possuem telefone fixo. A pesquisa Internet POP, realizada pelo IBOPE nas 9 principais regiões metropolitanas brasileiras, em maio de 2001, indicou que somente 20% de sua população estavam conectados à rede mundial de computadores. Enquanto a sociedade rica usa com intensidade as redes informacionais para se comunicar, armazenar e processar informações, os países pobres e em desenvolvimento têm suas populações distantes dos benefícios das redes. O cientista político canadense Arthur Kroker, em 1994, já havia alertado para o surgimento de uma nova classe dirigente composta de administradores, formuladores e executores da telemática, uma verdadeira classe virtual. Esta nova elite comandaria uma sociedade partida entre info-ricos e info-pobres. Sua hipótese se chocava com as inúmeras promessas de que o mundo teria encontrado uma tecnologia incorporadora e democratizante per si. Na verdade, a tecnologia da informação não está trazendo uma sociedade mais equânime, ao contrário, seu rápido espraiamento pelo planeta trouxe mais desigualdade e dificuldade em superá-la. Reverter esse processo requer uma política de inclusão digital.
RdL - Que ações podemos esperar do ITI ainda este ano para democratizar o acesso às tecnologias da informação?
SA - Estamos trabalhando com os demais órgãos do Governo Federal para que a inclusão digital se torne efetivamente uma política pública. No comitê do governo eletrônico, estamos defendendo que a inclusão digital seja parte integrante e essencial do programa. Como tenho dito há muito tempo, governos eletrônicos que não praticam a inclusão digital estão apenas servindo às camadas privilegiadas do país. Estamos também trabalhando para organizar as iniciativas dispersas e definir qual será o modelo principal de combate à exclusão digital. O ITI tem um projeto com a Eletronorte que aproveita a rede de transmissão e a estrutura da empresa que cobre 58% do território nacional. A Eletronorte e o ITI estão trabalhando para implantar telecentros nas áreas mais carentes da região amazônica. Vamos conectar a inclusão digital à campanha de combate à fome. A política de segurança alimentar acompanhada de uma política de uso das tecnologias da informação pode romper o processo de reprodução da miséria. Computadores conectados em banda larga, em uma região onde não existia a mínima esperança, podem abrir novas perspectivas e mudar a vida de muitos jovens e adultos.
RdL- Qual a importância do movimento de software livre no desenvolvimento do país?
SA - As políticas de inclusão social, modernização administrativa do Estado com o uso de tecnologia da informação não podem estar apartadas da política tecnológica do Brasil. O Estado deve usar o seu gigantesco poder de compra para incentivar a indústria de software e hardware nacionais. Não tenho dúvida de que o caminho do Brasil é apostar no software livre. Primeiro, porque qualquer política massiva de inclusão digital deve ser sustentável. No contexto de crise em que vivemos, não podemos continuar pagando milhões de dólares de royalties de licenças de software. Segundo, porque não seria correto usar recursos públicos para formar usuários para um sistema operacional de um quase-monopólio mundial. Terceiro, ao usarmos software livre, estaremos incentivando o surgimento de empresas cujos recursos gerados ficarão quase que totalmente nos locais em que foram gerados. Quarto, o Brasil deve procurar se transformar no maior desenvolvedor de software livre do mundo. O modelo de negócios de software livre não é baseado em licenças de uso de um mesmo produto, e sim na permanente inovação. Isto gerará um processo de incentivo veloz de soluções sempre novas e criativas. O futuro do Brasil está no software livre. Temos inteligência coletiva para nos tornarmos o número um em software.
RdL - Que tipo de apoio a comunidade de software livre pode esperar do ITI e, conseqüentemente, do governo Lula?
SA - O governo Lula deverá iniciar um processo de uso disseminado do software livre. Um dos projetos em que estamos trabalhando no ITI é construir uma plataforma baseada em código aberto para a infra-estrutura de chaves públicas do país. Para isso, já estamos nos relacionando com outras instituições públicas, ONGs e empresas. O trabalho colaborativo, característico da comunidade de software livre é essencial, e devemos esperar esta sinergia entre governo e comunidade. Alguns governos estaduais, penso, por exemplo, no Projeto Software RS, tentaram este tipo de colaboração. A Prefeitura de São Paulo, durante a minha gestão no projeto de governo eletrônico, implantou o software livre em seus telecentros, em conjunto com diversas entidades. Outro caso significativo, agora fora de nosso país, foi o patrocínio do Projeto GnuPG pelo Governo Federal da Alemanha. Como a comunidade de software livre é dinâmica e produz plataformas, bibliotecas e programas em grande velocidade, por que então não usarmos tal dinamismo? Podemos, assim, incentivar a inteligência coletiva brasileira, e sair da compra maciça de licenças de uso de software para uma indústria de software que possa inovar e criar soluções.
RdL - Como funciona o ITI? A quem está subordinado na estrutura do governo Lula?
SA - O ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República. Ele desempenha o papel de AC-Raiz (Autoridade Certificadora Raiz) da infra-estrutura de chaves públicas do Brasil, chamada comumente de ICP-Brasil. AC-Raiz (CA Root) é uma nomenclatura pertencente ao protocolo PKI/X.509, e fica como que na base de uma cadeia de confiabilidade de natureza hierárquica, competindo ao ITI emitir, expedir, distribuir, revogar e gerenciar a lista de certificados emitidos, revogados e vencidos. Cabe também ao ITI o cadastramento através de auditoria das ACs e ARs (Autoridades de Registro). Além disso, o ITI assessora diretamente o Ministro da Casa Civil nas questões referentes à tecnologia da informação. Recentemente, o ITI teve suas atribuições ampliadas para trabalhar o tema da cidadania digital.
RdL - Em que áreas do governo você acredita que as ferramentas livres poderiam ser implementadas com vantagens em relação às similares proprietárias?
SA - Em primeiro lugar, no item "segurança digital". Todo profissional da área de segurança sabe que não existe de fato segurança se não houver auditabilidade dos programas de computação usados. Para tanto, temos que ter acesso ao código fonte. Outro: a inclusão digital é efetivamente um programa de governo, e ela não existe sem uso de programas livres, - telecentros e o chamado "PC popular" não têm sentido algum sem o uso do Gnu/Linux. Nestes dois itens temos vantagens nítidas para a esfera de governo, tanto quanto para a sociedade em si. Sobretudo, porque usaremos produtos ótimos tecnologicamente, seguros, pelas razões referidas, e sem a necessidade de comprarmos licenças. Por fim, não vejo motivo para utilizar software proprietário em desktops. Trata-se de um desperdício econômico e intelectual.
Rodrigo Asturian
asturian@Revista do Linux.com.Br
Certificação digital e cidadania
A Infra-Estrutura de Chaves Públicas do Brasil foi criada no ano passado pela Medida Provisória 2.200-2, e escolheu tacitamente a Public Key Infrastructure (PKI) e seu padrão de certificados X.509 versão 3. Juntamente com a MP, encontra-se hoje um conjunto de decretos importantes, como, por exemplo, o que cria o Comitê Gestor da ICP-Brasil, o Decreto 3.587 de 2000, que estabelece normas para a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal, e o Decreto 3.996 de 2001, que dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração Pública Federal, entre outros. Há também dezessete Resoluções que criam normas específicas para o funcionamento efetivo de uma Autoridade Certificadora no Brasil. Na sua definição formal, a ICP-Brasil é um conjunto de procedimentos que tem o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública. Todavia, não regula ou dispõe sobre padrões abertos alternativos de criptografia assimétrica, amplamente usados, como o OpenPGP(RFC2440). De resto, a opção por criptossistemas de chave pública, ou assimétricos, foi quase mundial; da Diretiva 1999/93 do Parlamento Europeu, ao Utah Digital Signature Act (EUA) de 1995, ou a Lei Bassanini na Itália de 1997, para citar algumas experiências, assim o fizeram. Mas é exatamente a forma de fazê-lo que traz as conseqüências mais significativas para a cidadania digital. Temos escrito amplamente sobre tema, e convido o leitor a ler algumas destas contribuições no site do CIPSGA (www.cipsga.org.br), assim como os ensaios críticos do Prof. Pedro Resende, disponíveis on line (www.cic.unb.br/docentes/pedro/segdadtop.htm). Sem dúvida, o fascinante no tema certificação digital é a sua confluência de problemas políticos, institucionais e, sobretudo, técnicos. Por isso, tornou-se uma área de dilemas que parecem não ter solução. Um exemplo: técnicos afirmam que um certificado digital só será eficaz - do ponto de vista de sua utilidade - se tiver "campos" com informações importantes (Identidade, CPF, etc.). Mas como ficaria a privacidade e segurança de tais dados?
O padrão Public Key Infrastructure, Infra-estrutura de Chave Pública (PKI) é uma tecnologia por excelência da Era da Internet. Nasceu pelas exigência do comércio eletrônico e, igualmente, por conta das necessidades da vida civil-eletrônica. Ou seja, usar com segurança seu cartão de crédito em compras na Web, autenticar mensagens e até documentos. Assim sendo, ele torna acessível as funções requeridas num criptossistema, tais como privacidade, autenticidade e integridade.
Uma comparação com o padrão OpenPGP pode mostrar um aspecto essencial de tal tecnologia. OpenPGP e PKI não são padrões em si mesmos contraditórios. Ambos usam a chamada criptografia assimétrica, ou criptografia de chave pública. Aí temos duas chaves criptográficas: uma chamada pública e outra privada ou secreta. A primeira cifra ou criptografa as mensagens; a outra decifra . Todavia, no padrão PKI, a chave pública é assinada por uma Agência Certificadora. É ela que garante a identidade do sujeito ou entidade final do certificado. Por isso, as Agências que executam as funções de uma Certificate Authority, [Autoridade Certificadora] (CA), são também chamadas de "trusted third party". Elas são o "terceiro confiável" da relação.
Por exemplo: se visitamos um site de compras que nos garante ter a sua sessão encriptada por um certificado de uma CA, então, entre mim e a Empresa, há um terceiro que garante a identidade da empresa. Um certificado digital é uma coleção de informações emitidas e assinadas por uma autoridade certificadora, como esclarece o órgão CRSC/NIST .
Já no no padrão PGP, o usual é o chamado web of trust, a identidade do possuidor da chave pública é um esforço pessoal deste, que identifica-se a outrem por meio de uma fingerprint única, permitindo que outrem assine, ou certifique, a sua chave.
Por isso, é comum alguns críticos considerarem o padrão OpenPGP pré-Internet. Ele funcionaria a contento em grupos pequenos, no entanto não teria a escalabilidade do PKI...
Mas algumas contribuições têm sido importante nesta área. O Projeto OpenCA, organizado por Massimiliano Pala, atualmente em desenvolvimento , é um projeto open source para a montagem de uma Agência certificadora. Distribuído sob os termos da chamada licença "Apache style", é um software em pleno desenvolvimento, e que tem uma licença de software totalmente permissiva. Portanto, não há limitações quanto ao uso comercial ou privado, tanto o desenvolvimento do código-fonte. A única limitação, de menor importância, está no uso da marca "OpenCA" sem a prévia autorização dos desenvolvedores.
O pacote OpenCA é uma interface via Web para as operações de uma Agência Certificadora. Como veremos depois, possui um layout bem definido para tais operações. Seu uso em conjunto com outros programas, estes em geral cobertos pela GNU General Public License (GPL), fazem a montagem de tal Agência ganhar em segurança, estabilidade e baixo custo, substituindo, assim, a tradicional "venda-casada" de produtos Microsoft. Vejamos:
Na coluna do meio temos a solução livre a ser implementada pelo OpenCA. Qualquer distribuição Linux, como, por exemplo, as distros com as quais estamos mais familiarizados, como o SuSE e o Conectiva, possui tais ferramentas em seus pacotes. Assim, nenhuma solução proprietária necessita ser acrescida para dar funcionalidade à Agência.
Uma implementação importante é o Projeto FreeICP (www.freeicp.org), desenvolvido coletivamente pela empresa Tempest de Recife. Os desenvolvedores adaptaram o Twicki, uma ferramenta de teamwork, para aceitar certificados digitais que são emitidos pela AC do Projeto, é claro que são certificados expressos - sem identificação física - mas que permitem que o usuário possa participar o mais rápido possível na construção do Projeto. O que faz com que "trabalho coletivo" não seja uma palavra vazia, antes disso, algo que pode ser efetivamente realizado. Outra contribuição importante do FreeICP é a adaptação da idéia de "web of trust" para o mundo PKI, a partir de idéia de sistemas de escores para a verificação de identidade. Não poderia deixar de dizer que todas estas contribuições estão disponíveis como software livre para a sociedade.
Softwares usados em uma CA
Sistema Operacional |
GNU/Linux |
Windows NT/2000 |
Criptossistema |
OpenSSL |
MS Certificate Server |
Servidor Web |
Apache/mod_ssl |
IIS |
Linguagem/ script |
Perl |
VBScript |
Para saber mais:
crsc.nist.gov/publications/nistpubs/800-7/node222.html
www.openca.org/docs/releases
Renato Martini - Diretor - ITI/PR - Renato.Martini@planalto.gov.br