O escrivão da Internet

14/12/2011

Carlos Martínez, O escrivão da Internet

O engenheiro Carlos Martínez, responsável de pesquisas e desenvolvimento do LACNIC, foi convocado pela Agência de Governo Eletrônico e Sociedade da Informação do Uruguai para fazer parte de um número pequeno mas seleto de especialistas que atuam como tabeliães públicos dos procedimentos eletrônicos e dos sites da Internet certificados nesse país.

Carlos tem uma vasta experiência em certificação electrônica já que integra um grupo similar a nível mundial que procura garantir a operação segura da Internet e evitar diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infra-estrutura de rede.

Qual é a sua função na autoridade certificadora do Uruguai? Quem escolheu você para cumprir essa função?

A função da autoridade certificadora (CA) é  operar como âncora de confiança de todo o sistema de certificação eletrônica. Isso quer dizer que é o último depositário de confiança, a organização na que todas as outras confiam e com a que constroem suas correntes de confiança.

O processo de arranque de uma CA implica a criação de “material criptográfico”. Esse material consiste em um conjunto de dados eletrônicos, os que devem ser criados sob estritas medidas de segurança, e é nesse processo de criação que reside a confiança que o público pode ter na CA.

Para que quem opera a CA possa demonstrar imparcialidade na gestão da mesma, é de praxe convidar diferentes representantes a participar desse processo de arranque.

No caso da CA do Uruguai, AGESIC optou por esse modelo e convidou representantes do Estado, do setor acadêmico, do setor privado e da sociedade civil. No meu caso, eu fui convidado como representante da sociedade civil, fato associado de alguma forma  com o papel que desempenha o LACNIC na região, particularmente no Uruguai.

Mesmo que todos os convites foram de caráter pessoal, AGESIC avaliou os vínculos profissionais de cada um  para cumprir com a diversidade esperada.

Pode se dizer que são os escrivães da Internet no Uruguai?

De alguma forma a autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade. Em outros países se usa efetivamente o termo “tabelião público”.

“A autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade”

O papel dos guardiões de senha não é tanto o de atuar como tabeliães mas sim como garantes da confiança em todo o sistema.

Qual é o objetivo de criar uma organização certificadora para o sistema de governo eletrônico do Uruguai?

A assinatura eletrônica é uma tecnologia habilitante. Isso quer dizer que seu valor não é tanto em si mesmo mas sim nos negócios que a mesma habilita.

Um mecanismo de assinatura eletrônica pode gerar um ambiente favorável para o desenvolvimento de serviços de governo electrônico como o acesso a documentação pessoal, a registros de  veículos ou transações de compra e venda de propriedades sem ter que estar fisicamente num escritório, com as vantagens que isso implica para os cidadãos que moram em regiões ou cidades afastadas de Montevidéu, por exemplo.

O comércio eletrônico também poderia  ser reforçado por uma infraestrutura desse tipo, da mesma forma que, por exemplo, os advogados poderiam começar a apresentar escritos de forma completamente eletrônica ou os escritórios de contabilidade fariam o mesmo com as declarações de impostos.

Como funciona a certificação eletrônica no Uruguai?  Que mecanismos de certificação eletrônica existem no país? São 100% confiáveis?

Historicamente O Correio operava uma autoridade certificadora que era usada apenas para fornecer segurança aos sites da web. Tem havido algumas outras experiências interessantes, como a da Suprema Corte da Justiça, que começou a emitir certificados aos advogados para que eles pudessem enviar emails cifrados e assinados de forma digital.

Essas experiências, mesmo que tenham sido muito interessantes, não tinham por sua própria natureza alcance geral.

A autoridade certificadora de AGESIC cria  então um ambiente em que todas as CAs que quiserem, possam ter uma raiz de confiança geral.

Quanto à confiabilidade, pode se dizer que são 100% confiáveis.

Com relação a sua participação no grupo de especialistas a nível mundial sobre certificação de nomes de domínio, para que serve a certificação dos sites?

A certificação de nomes de domínio ou DNSSEC, como é conhecida a tecnologia que o implementa, proporciona instrumentos para introduzir assinaturas eletrônicas dentro dos nomes de domínio que usamos normalmente como ser www.google.com ou www.lacnic.net.

Dessa forma, o usuário que consulta o sistema de nomes de domínio pode verificar que as respostas que obtêm do mesmo são válidas.

Isso é de fundamental importância para garantir a operação segura da Internet, já que permite prevenir diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infraestrutura da rede propriamente dita.

Que organizações estão habilitadas para certificar sites na Internet?

A assinatura de domínios deve ser realizada pelo operador de cada um deles. Porém, para que a mesma seja útil, deve ser possível construir correntes de confiança até a raiz do sistema.

Para isso faz falta que os domínios médios (.com, .net, .org) estejam assinados de forma apropriada, assim como também a própria raiz. A raiz foi assinada em julho de 2010 e os domínios genéricos como o com, o net e o org foram assinados durante a segunda metade de 2010 e começos de 2011. No caso dos domínios de alto nível relacionados com códigos de país (uy, ar, br, fr, de, por exemplo), o status da implementação é mais confuso, apresentando-se um elevado nível de implementação na Europa e um nível mais tímido em nossa região, em que até hoje apenas o br, cl e co têm DNSSEC em produção.

A certificação de sites é muito cara?

A assinatura de zonas do DNS não tem por que ser cara em infraestrutura, principalmente no caso de zonas ou domínios pequenos. É importante que as zonas pai ofereçam o serviço de DNSSEC, e pelo que estamos observando hoje, quem  estão realizando isso, não estão cobrando dinheiro adicional por esse serviço.

Os usuários sentem mais confiança perante um site certificado?

É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição, como ter certeza de que sua comunicação vai estar cifrada  sempre que for importante (por exemplo, durante o curso de uma transação de comércio eletrônico) e de que o domínio esteja assinado de forma adequada com DNSSEC.

“É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição”

É de esperar que na medida em que evolucione a implementação de DNSSEC os usuários comecem a exigir a presença dessa tecnologia em sites sensíveis.

Contudo, vale salientar que também é responsabilidade de todos os que operamos sites na web e serviços da Internet, garantir a segurança e integridade de nossos serviços.

Que organizações ou empresas deveriam ser as mais certificadas?

Todas aquelas que transmitam ou trabalhem com informações de algum grau de sensibilidade.