Certificados A1: segurança e responsabilidade do titular

Cristian Thiago Moecke 12 views0

Recentemente a Adobe incluiu a cadeia de certificação ICP-Brasil como confiável por padrão [http://www.iti.gov.br/noticias/indice-de-noticias/5023-certificado-icp-brasil-ja-faz-parte-do-repositorio-da-adobe] no seu popular software leitor de PDFs, o Adobe Reader. Isto ocorreu através da inclusão da AC Raiz da ICP-Brasil no Adobe Approved Trust List. Porém a novidade veio com uma surpresa: a Adobe decidiu restringir esta confiança à assinaturas realizadas por certificados A2, A3 e A4. Portanto, assinaturas realizadas por A1 passaram a ser exibidas como inválidas no Adobe Reader, atingindo mesmo quem já tinha configurado o aplicativo com a cadeia ICP-Brasil sem qualquer restrição deste tipo.

A mudança repentina e para muitos inesperada reacendeu algumas discussões relacionadas ao uso deste tipo de certificado: porque a Adobe decidiu não aceitar certificados A1? Esse tipo de restrição é permitido pela ICP-Brasil? O certificado A1 é menos seguro ou vale menos que os demais?

Os certificados A1 são certificados ICP-Brasil que não exigem proteção por hardware criptográfico. Tem, portanto, diferença significativa quanto a sua proteção. Mas de quem é a responsabilidade por avaliar e garantir a segurança de um certificado?

Com nosso novo ebook: Certificados A1, buscamos lançar luz sobre algumas destas questões, esclarecendo algumas dúvidas comuns sobre o certificado A1 e destacando algumas características dos certificados ICP-Brasil que devem ser consideradas na análise. Discutimos as restrições ao A1, tanto no software Adobe Acrobat Reader quanto em outras soluções do mercado, e apresentamos dicas de como utilizar um certificado A1 com segurança.

COMPARTILHE ESSA POSTAGEM

Cristian Thiago Moecke

Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina. Atuou desde a graduação em projetos relacionados à ICP-Brasil no Laboratório em Segurança em Computação da Universidade Federal de Santa Catarina, tendo participado do desenvolvimento, gestão de qualidade e gestão de projeto do Sistema de Gestão de Autoridades Certificadoras do projeto João de Barro, plataforma criptográfica nacional para as Autoridades Certificadoras Raiz e Intermediárias da ICP-Brasil. Atuou também em pesquisa e aprimoramento dos padrões brasileiros de assinatura digital. Foi pesquisador em Usable Security no CASED (Center for Advanced Security Research), em Darmstadt, Alemanha. Hoje é colaborador da BRy Tecnologia, onde lidera projetos de inovação na área de segurança em documento eletrônico.

Deixe um comentário

Seu e-mail não será publicado.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>