Proposta Inicial de Aplicações
Práticas de Assinaturas e
Certificados Digitais para a OAB
(v3)
Marco “Kiko” Carnut, CISSP <[email protected]>
Encontro Nacional de Tecnologia da Informação da OAB
Abril/2005
Agenda
 Uma breve ressalva
 Para que serve...
... a assinatura digital?
... o certificado digital?
 Alguns princípios básicos
 Onde podemos aplicar isso hoje?
 Que aplicações estão disponíveis hoje para
as seccionais?
A Assinatura Digital
 Objetivo maior: conferir ao documento eletrônico
eficácia probante equivalente ou superior a um
documento em papel.
Resistência a adulteração cientificamente
periciável;
Identifica o signatário;
Programas como o ViaCert tornam-nas acessíveis
a leigos em informática;
 Viabiliza realizar seguramente por meios
totalmente eletrônicos uma série de trâmites
formais que antes só eram concebíveis em papel.
Celeridade nos processos, conveniência e acão à
distância (onde apropriado).
Documento Digital: Fácil de Forjar
 Documentos digitais são, em última instância,
longas seqüências de bits
 Modificá-los é rápido, corriqueiro, eficiente e não
deixa evidências físicas
Em geral não é possível determinar se um
documento foi feito a partir de outro nem qual
deles foi criado primeiro
Meta-dados de controle, tal como a data de
criação/modificação do arquivo, também são
documentos digitais e, portanto, fáceis de forjar
 O Grande Medo dos Operadores do Direito
Documentos Digitais  Menor Segurança Jurídica
O Certificado Digital
 Objetivo maior: identificar os signatários,
estabelecendo a correspondência entre as
chaves públicas (suas “identidades virtuais”) e
suas identidades institucionais/civis/etc no
“mundo real”.
Não apenas diz o nome e o número de
inscrição na Ordem,...
...mas também demonstra (pericialmente, se
necessário)
Certificado Digital
Prova queIdentifica-me
o emitente dáno
o
seu aval de
que essa
chave
mundo
eletrônico
O=FreeICP.ORG
pública me pertence.
OU=Verified Identity TEST Certification Authority
CN=Marco
MarcoCarnut
Carnut
Minha Identificação (em
um certo contexto
institucional/normativo)
Recife Pública (criptossistema RSA)
Chave
CISSP – Diretor
[email protected]
[email protected]
www.tempest.com.br
SHA1)
Emitente:
São Paulo Digital (RSA com hash
Assinatura
C=BR, ST=Pernambuco, L=Recife, O=Tempest Security Technologies,
e=65537,n=1422393678584169757767099738
Av. Marquês de Olinda, 126 - 5o andar 33075934827641443832364074228931158343776148908996240094
Rua Jerônimo da Veiga, 164 - 6o andar
42099845693490214573567788278071557866894234862782864842
OU=FreeICP.ORG,
CN=Verified
Identity
TEST Certification Authority
65450073964317047967537963581498770739
6545007396431704796753796358149877073
Edf. Citibank – Recife Antigo – 50.030-901 51455849200634542666561258358995507426132214943300762331
Itaim Bibi – 04.536-001
72735352209208923034348773158786975299
9727353522092089230343487731587869752
81366338592418165284224170147414022293897823647640714225
[email protected]
fone/fax: +55 81 3424.3670
fone/fax:
+55 11 3644.7249
31994119155607620122108426217561226430893455427068133155
49419316967438262954152524442271030154
9949419316967438262954152524442271030
46738202719032214613329726227611001523581952839114702966
24408026248310161052096481075828264719
1542440802624831016105209648107582826
43838056479664666109300055400808210775643032518735065622
55212814734330719191043365649478275153
4719552128147343307191910433656494782
61793490643836045444308449796374610594658997400915322105
Identificação do emitente
90796308390577728115388982061569023874759615059714693126
27547373178822435050444998262398873910
7515327547373178822435050444998262398
90727810942165136600914535375858050220668032178381632165
(no mesmo contexto
48898863537027610940275999724385631333
8739104889886353702761094027599972438
63737476746283832612840308825648045756458529060541743815
089769833207271
5631333089769833207271
institucional/normativo)
Chaves Privadas
 A toda chave pública está associada uma (e
somente uma) chave privada
Chave Pública
Chave Privada
e=65537,n=14223936785841697577
67099738654500739643170479675
37963581498770739727353522092
08923034348773158786975299494
19316967438262954152524442271
03015424408026248310161052096
48107582826471955212814734330
71919104336564947827515327547
37317882243505044499826239887
39104889886353702761094027599
9724385631333089769833207271
d=455130737264022744971121873
75821996218728416949314546946
14044858778948103863909601600
27491877618917638036708084138
39912801228572529665774876532
96263537913163056722091731362
26557927435951598580164810267
85861643971550766288990167133
657888343401183947460265117578
35001950039889837206493980062
2637320099687830497

(essa não é minha chave
privada de verdade, é claro...)
 As duas nascem juntas,
a partir de certos ingredientes matemáticos,...
 Uma vez descartados esses ingredientes, não é
possível calcular uma a partir da outra!
Chaves Privadas
 Como na prática as
chaves são muito
longas, decorá-las é
inviável
 O usuário não lida com
elas diretamente – as
operações com elas são
feitas por programas
criptográficos em
nome do usuário
 Ficam armazenadas em
disco rígido, memória,
smart cards, etc.
Chave Privada
45513073726402
27449711218737582199
62187284169493145469461404
4858778948103 8639096016002
749187761891
763803670808
41383991280
12285725296
657748765329
626353791316
3056722091731 36226557927435
95159858016481026785861643
97155076628899016713
36578883434011
83947
460265
11757835
001950
03988
983720
649
39800
622637
32009968
78304
97
Assinatura Digital: Geração
Declaro para
para os
os
Declaro
devidos fins
fins que
que a
devidos
Empresa
Ind. E
Fulano
de XYZ
Tal dos
Com.
Ltdaestá
estárigorigoA.
Pereira
rosamente em
em dia
dia
rosamente
com todas
todas suas
suas obriobricom
gações junto
junto àà OrOrgações
dem dos
dos Advogados
Advogados
dem
do Brasil.
Brasil.
do
Fulano de
de Tal,
Tal,
Fulano
Secretário.
Secretário.
45513073726402
27449711218737582199
62187284169493145469461404
4858778948103 8639096016002
749187761891
763803670808
41383991280
12285725296
657748765329
626353791316
3056722091731 36226557927435
95159858016481026785861643
97155076628899016713
36578883434011
83947
460265
11757835
001950
03988
983720
649
39800
622637
32009968
78304
97
814541843798
478120951923912873
1294299672425116704939
379782806261398363322476
91938406256616968505551753
4267117705433844765720549710
Tw+1
4+ajkwLx
6181756836089324584054538487
kOEjYlzQ
9718083509370315958244857253
e//qZi
9462183005843996155364051919
34571045163287364997789829
246974656206298609167179
3861231705542771753043
061760561432648197
395710299238
1. A geração da assinatura digital é
um cálculo (na prática, feito por
um programa de computador)
que usa dois ingredientes:
a. O documento a ser assinado;
b. A chave privada do signatário;
2. O resultado é um número, chamado de assinatura digital.
3. Essa assinatura é salva em um
arquivo de computador, podendo
ser usada em separado…
4. ... ou pode ser anexada ao documento original, o que, na prática, é muito comum.
Conferência da Assinatura
1. A conferência é um cálculo
(também feito por um computador)
Declaro para os
devidos fins que a
2. que usa a chave pública
Fulano de Tal dos
A. Pereira está rigodo signatário (contida no
rosamente em dia
com todas suas obricertificado) e a assinatura
gações junto Ordem dos Advogados
3. que diz se o documento
do Brasil.
Fulano de Tal,
sendo conferido é ou não
Secretário.
idêntico ao documento de
onde assinatura foi gerada.
6. E que, portanto, podemos confiar no teor
4. Se a conferência bater,
deste documento como sendo legítima
sabe-se também que a asdapresumir
vontade/anuência
dopelo
5. O expressão
que permite
que foi feita
sinatura só pode ter sido
signatário.
detentor
da chave privada, cujo titular legal
gerada pela chave privada
é aquele identificado pelo nome civil
correspondente.
contido no certificado digital.
=
Conferência da Assinatura
1. Se, ao invés, a conferência
falhar,…
Declaro para os
devidos fins que a
Fulano de Tal dos
B. Pereira está rigorosamente em dia
com todas suas obrigações junto Ordem dos Advogados
do Brasil.
Fulano de Tal,
Secretário.

2. …tratamos o documento
como sendo digitalmente
rasurado
3. e o descartamos
Propriedades das Assinaturas
 Gerar assinaturas é privilégio exclusivo dos
detentores da chave privada;
Supondo chaves de tamanho adequado (mais
de 200 dígitos), que é a praxe;
 Conferir assinaturas é possível para qualquer
um, inclusive para terceiros imparciais, pois
só requer dados públicos;
 Convenciona-se que uma assinatura válida em
um documento sinaliza a anuência do titular (o
“detentor responsável” identificado no
certificado correspondente) com o conteúdo do
documento.
Ressalvas
 Assinatura digital não tem nada a ver com
assinatura autógrafa digitalizada
8145418437983869381294299672425116704939
3797828062613983633224769193840625661696
8505551753542671177054338447657205497102
6181756836089324584054538487497180835093
7031595824485725329462183005843996155364
0519198345710451632873649977898299246974
6562062986091671796386123170554277175304
34061760561432648197
Diferente a cada
documento, pois é
calculada em
função deste.


Melhor quanto mais
semelhante for entre
um documentos e
outro
Demonstração I
 Operações com Arquivos de Computador
Assinatura de Arquivos
Conferência de Assinaturas em Arquivos
 Operações com Área de Transferência
Assinatura de mensagens curtas
Verificação de mensagens curtas
 Assinatura de formulários no navegador Web
Assinatura de “Recibos Digitais”
Outra Utilidade
 Além de prover resistência contra
adulteração em documentos, a assinatura
digital pode tornar a entrada/identificação
em portais na Web mais fácil e segura.
 Como?
Substituindo nome+senha...
...por assinaturas digitais instantâneas.
Autenticação via Senha
 Vantagens
Simples e Intuitivo
 Desvantagens
Senha trafega pela rede,
podendo ser capturada em
trânsito
Site é guardião coresponsável pela senha:
usuário sempre pode dizer
que o site vazou sua senha
Fácil convencer o usuário a
inadvertidademente dar a
senha para um atacante:
basta fazer um site que se
pareça com o real
servidor
requisita
nome+senha
senha trafega
pela rede!
Site
XYZ
usuário
responde
s&nh@
?
=
s&nh@ Banco de
Dados
site compartilha
da senha
Autenticação via Senha
 Área de Vulnerabilidade
O próprio usuário
A Internet
- interceptadores,
hackers, worms,...
- Clones do site legítimo
que podem ser criados
por qualquer um
O próprio site
legítimo
Site
XYZ
s&nh@ Banco de
Clone 1
Dados
Clone2
Desafio-Resposta via Assinatura
 Vantagens: Menos vulnerável
Frase-senha só existe na mente do
usuário: não trafega pela rede nem é
armazenada no servidor
Área de vulnerabilidade: apenas
o próprio usuário
resposta
Naturalmente mais resistente a
sites clonados e phishing scams
ViaCert torna
 Desvantagens:
simples e seguro
desafio
Requer distribuição
prévia de certs digitais
Ferramentas ainda
Área vulnerável
Site
não muito amigáveis
XYZ
muito menor
Vantagens: em detalhe
 Não é necessário digitar seu nome
Já vem no certificado
E já contém seu número na OAB
E já garantido pela própria OAB
 O site não precisa saber sua frase-senha
Não há um banco de dados de senha que possa
“vazar” ou ser quebrado;
A senha não trafega na rede; portanto, não pode
ser interceptada.
A frase-senha não sai do seu computador pessoal.
Naturalmente mais resistente às “páginas falsas
de recadastramento” (“phishing scams”) que
assola os bancos hoje em dia
Desvantagens: em detalhe
 Mobilidade
É preciso andar com uma cópia do seu ViaCert
e da seu certificado+chave privada.
 Fácil e barato de resolver hoje em dia:
- Pen-drives USB e CDs regraváveis.
 É preciso ter cuidado para não extraviá-la ou
roubarem física ou digitalmente
- Ao chegar em uma máquina nova, basta
instalar o ViaCert e usar.
 Outras soluções mais seguras porém mais caras:
Smart Cards, tokens criptográficos, etc.
Demonstração II
 Entrada via Certificado Digital no site seguro
do WebMail da OAB/MG
 Recursos do WebMail da OAB/MG
 Serviços OAB integrados com o Webmail:
emissão de certidões.
Conclusões
 As seccionais já contavam com a ICP-OAB,...
 ... e agora contam também com aplicações
práticas que usam a alta segurança proporcionada
por esses certificados:
Tempest ViaCert
- Proteção ao trâmite de documentos eletrônicos
WebMail com serviços OAB integrados
... e outras que desenvolvermos juntos!
 Próximo grande passo:
Convencer os tribunais a aceitarem petições e
outros documentos formais assinados
digitalmente online usando essas tecnologias.
Obrigado! Perguntas?
Proteção Real em TI
[email protected]