O escrivão da Internet
14/12/2011
O engenheiro Carlos Martínez, responsável de pesquisas e desenvolvimento do LACNIC, foi convocado pela Agência de Governo Eletrônico e Sociedade da Informação do Uruguai para fazer parte de um número pequeno mas seleto de especialistas que atuam como tabeliães públicos dos procedimentos eletrônicos e dos sites da Internet certificados nesse país.
Carlos tem uma vasta experiência em certificação electrônica já que integra um grupo similar a nível mundial que procura garantir a operação segura da Internet e evitar diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infra-estrutura de rede.
Qual é a sua função na autoridade certificadora do Uruguai? Quem escolheu você para cumprir essa função?
A função da autoridade certificadora (CA) é operar como âncora de confiança de todo o sistema de certificação eletrônica. Isso quer dizer que é o último depositário de confiança, a organização na que todas as outras confiam e com a que constroem suas correntes de confiança.
O processo de arranque de uma CA implica a criação de “material criptográfico”. Esse material consiste em um conjunto de dados eletrônicos, os que devem ser criados sob estritas medidas de segurança, e é nesse processo de criação que reside a confiança que o público pode ter na CA.
Para que quem opera a CA possa demonstrar imparcialidade na gestão da mesma, é de praxe convidar diferentes representantes a participar desse processo de arranque.
No caso da CA do Uruguai, AGESIC optou por esse modelo e convidou representantes do Estado, do setor acadêmico, do setor privado e da sociedade civil. No meu caso, eu fui convidado como representante da sociedade civil, fato associado de alguma forma com o papel que desempenha o LACNIC na região, particularmente no Uruguai.
Mesmo que todos os convites foram de caráter pessoal, AGESIC avaliou os vínculos profissionais de cada um para cumprir com a diversidade esperada.
Pode se dizer que são os escrivães da Internet no Uruguai?
De alguma forma a autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade. Em outros países se usa efetivamente o termo “tabelião público”.
“A autoridade certificadora é a “tabeliã pública”, depositária da confiança da sociedade”
O papel dos guardiões de senha não é tanto o de atuar como tabeliães mas sim como garantes da confiança em todo o sistema.
Qual é o objetivo de criar uma organização certificadora para o sistema de governo eletrônico do Uruguai?
A assinatura eletrônica é uma tecnologia habilitante. Isso quer dizer que seu valor não é tanto em si mesmo mas sim nos negócios que a mesma habilita.
Um mecanismo de assinatura eletrônica pode gerar um ambiente favorável para o desenvolvimento de serviços de governo electrônico como o acesso a documentação pessoal, a registros de veículos ou transações de compra e venda de propriedades sem ter que estar fisicamente num escritório, com as vantagens que isso implica para os cidadãos que moram em regiões ou cidades afastadas de Montevidéu, por exemplo.
O comércio eletrônico também poderia ser reforçado por uma infraestrutura desse tipo, da mesma forma que, por exemplo, os advogados poderiam começar a apresentar escritos de forma completamente eletrônica ou os escritórios de contabilidade fariam o mesmo com as declarações de impostos.
Como funciona a certificação eletrônica no Uruguai? Que mecanismos de certificação eletrônica existem no país? São 100% confiáveis?
Historicamente O Correio operava uma autoridade certificadora que era usada apenas para fornecer segurança aos sites da web. Tem havido algumas outras experiências interessantes, como a da Suprema Corte da Justiça, que começou a emitir certificados aos advogados para que eles pudessem enviar emails cifrados e assinados de forma digital.
Essas experiências, mesmo que tenham sido muito interessantes, não tinham por sua própria natureza alcance geral.
A autoridade certificadora de AGESIC cria então um ambiente em que todas as CAs que quiserem, possam ter uma raiz de confiança geral.
Quanto à confiabilidade, pode se dizer que são 100% confiáveis.
Com relação a sua participação no grupo de especialistas a nível mundial sobre certificação de nomes de domínio, para que serve a certificação dos sites?
A certificação de nomes de domínio ou DNSSEC, como é conhecida a tecnologia que o implementa, proporciona instrumentos para introduzir assinaturas eletrônicas dentro dos nomes de domínio que usamos normalmente como ser www.google.com ou www.lacnic.net.
Dessa forma, o usuário que consulta o sistema de nomes de domínio pode verificar que as respostas que obtêm do mesmo são válidas.
Isso é de fundamental importância para garantir a operação segura da Internet, já que permite prevenir diferentes tipos de abuso e de ataques tanto contra os usuários quanto contra a infraestrutura da rede propriamente dita.
Que organizações estão habilitadas para certificar sites na Internet?
A assinatura de domínios deve ser realizada pelo operador de cada um deles. Porém, para que a mesma seja útil, deve ser possível construir correntes de confiança até a raiz do sistema.
Para isso faz falta que os domínios médios (.com, .net, .org) estejam assinados de forma apropriada, assim como também a própria raiz. A raiz foi assinada em julho de 2010 e os domínios genéricos como o com, o net e o org foram assinados durante a segunda metade de 2010 e começos de 2011. No caso dos domínios de alto nível relacionados com códigos de país (uy, ar, br, fr, de, por exemplo), o status da implementação é mais confuso, apresentando-se um elevado nível de implementação na Europa e um nível mais tímido em nossa região, em que até hoje apenas o br, cl e co têm DNSSEC em produção.
A certificação de sites é muito cara?
A assinatura de zonas do DNS não tem por que ser cara em infraestrutura, principalmente no caso de zonas ou domínios pequenos. É importante que as zonas pai ofereçam o serviço de DNSSEC, e pelo que estamos observando hoje, quem estão realizando isso, não estão cobrando dinheiro adicional por esse serviço.
Os usuários sentem mais confiança perante um site certificado?
É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição, como ter certeza de que sua comunicação vai estar cifrada sempre que for importante (por exemplo, durante o curso de uma transação de comércio eletrônico) e de que o domínio esteja assinado de forma adequada com DNSSEC.
“É importante educar os usuários no uso de todas as ferramentas de segurança que tem à sua disposição”
É de esperar que na medida em que evolucione a implementação de DNSSEC os usuários comecem a exigir a presença dessa tecnologia em sites sensíveis.
Contudo, vale salientar que também é responsabilidade de todos os que operamos sites na web e serviços da Internet, garantir a segurança e integridade de nossos serviços.
Que organizações ou empresas deveriam ser as mais certificadas?
Todas aquelas que transmitam ou trabalhem com informações de algum grau de sensibilidade.