Fernando Nery [email protected]
description
Transcript of Fernando Nery [email protected]
1Documento Restrito RN ####
Fernando Nery
Sistema de Análise de Riscos
e Gestão do Conhecimento
em Segurança da Informação
1Documento Restrito RN 1160
Interoperabilidade deHardware e Software Interoperabilidade deHardware e Software
Fernando [email protected]
2Documento Restrito RN ####
Uso oficial de certificados digitais
SPB / Banco CentralSusep / Apólices de SeguroCFM / Prontuário EletrônicoImprensa Nacional – DOUIOESP – Diário OficialReceita Federal – e-cpf, e-cnpjSecretaria de Fazenda de PE...
3Documento Restrito RN ####
ICP é parte da Segurança
Início da Internet Comercial Discussão sobre tamanho da chave criptográfica Problemas:
Invasões DDOS Sites falsos Ataque aos equipamentos dos clientes
Confidencialidade, Integridade, Disponibilidade Proteção da chave privada, proteção contra ataques Compliance com Código Civil, Resoluções do Banco
Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799
TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico
Proteção das chaves privadas
4Documento Restrito RN ####
Histório de Interoperabilidade
Confiança em identidades Passaporte, Carteira de Identidade, Crachá empresarial,
Carteira do Clube, Cartão Fidelidade Cartões de crédito e telefonia celular Protocolos
IPX, SNA, NetBUI, IP! Interfaces
Windows, GDK, HTTP! Consolidação do mercado
Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ... Aplicações e insumos
Certificação cruzadas e Clearing houses de certificados digitais
Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)
5Documento Restrito RN ####
Interoperabilidade exige
Definição do nível de segurança
Auditoria e certificação dos atores
Definição de níveis de serviço e requisitos
técnicos mínimos
Normas técnicas (ABNT)
Interoperabilidade técnica e jurídica
Gerenciamento de certificados expirados e
revogados
Acompanhamento das auditorias das ACs
participantes
6Documento Restrito RN ####
Interoperabilidade
Interoperabilidade de AC Raiz Interoperabilidade Funcional
Facilidade de uso Portabilidade Benefício para o usuário vs uso compulsório
Ambiente de Certificados Digitais X509 Cartões inteligentes Chips de Celular Time stamp Token CD, Disquete
Cross-certification Relação de confiança entre ACs - Acordos
Seguros, Responsabilidade Civil Notarização Consular
7Documento Restrito RN ####
Exemplo Razoavelmente Simples de Interoperabilidade
ICE CAR – The European Telematics Applications Programme Internetworking Public Key Certification Infrastructure for
Commerce, Administration and Research “Interoperabilidade é um dos maiores obstáculos para
prover segurança” Interoperabilidade entre emails (x509, pkcs) Aspectos considerados
ACs s/mime, Plug-in de icp em emails LDAP (v2, v3) Cliente s/mime Cliente Outlook Express, Outlook, Netscape Messenger ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de
diretório, ?outros algoritmos de criptografia
8Documento Restrito RN ####
Novas tecnologias
WirelessCelularesPDAWeb servicesVoIPIPv6TV DigitalLinux
9Documento Restrito RN ####
Conclusões
Segmento ainda não tem maturidade técnica Não existe massa crítica de aplicações Os resultados alcançados foram mais lentos que o
esperado Deve haver consolidação no setor Neste momento a discussão “filosófica” é
prejudicial à aplicação, estaremos perdendo dinheiro com isso
Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...)
Deve-se considerar níveis de segurança Deve-se focar no usuário e na aplicação e não na
tecnologia