ICP-Brasil publica seus Padrões de Assinatura Digital

Os padrões da ICP-Brasil para Geração, Armazenamento e Verificação de Assinatura Digital foram publicados, na última terça-feira (13/01), no Diário Oficial da União.

 

A Resolução ICP-Brasil nº 62, de 09 de janeiro de 2009, aprova a versão 1.0 do documento Visão Geral sobre Assinaturas Digitais na ICP-Brasil (DOC-ICP-15) que estabelece formatos e políticas para assinatura digital de documentos eletrônicos.

 

A Instrução Normativa nº 1, dessa publicação, aprova a versão 1.0 do documento sobre Requisitos Mínimos para Geração e Verificação de Assinaturas Digitais na ICP-Brasil (DOC-ICP-15.01). Este documento regulamenta as premissas a serem observadas nos processos que tratam de Assinaturas Digitais, quanto a:

• Algoritmos e parâmetros para criação de Assinaturas Digitais ICP-Brasil;
• Formato e método de criação de Assinaturas Digitais;
• Procedimentos para verificação e condições para validação de Assinaturas Digitais.

A Instrução Normativa nº 2, por sua vez, aprova a versão 1.0 do Perfil para Assinaturas Digitais na ICP-Brasil (DOC-ICP-15.02). Tal perfil foi criado com o objetivo de minimizar as diferenças entre implementações e maximizar a interoperabilidade das aplicações para geração e verificação de assinaturas digitais. O formato escolhido é baseado em um subconjunto dos atributos/propriedades definidos nos padrões internacionais CAdES e XAdES.

 

A Instrução Normativa nº 3, por fim, aprova a versão 1.0 dos Requisitos Mínimos para Políticas de Assinatura Digital na ICP-Brasil (DOC-ICP-15.03), estabelecendo as premissas a serem obrigatoriamente observadas pelas Entidades Criadoras de Políticas de Assinatura Digital no âmbito da ICP-Brasil.

 

Finalmente, esta evolução da ICP-Brasil é um marco na história da Certificação Digital em nosso país, uma vez que a utilização de formatos padronizados de Assinatura Digital é essencial para a confiabilidade e credibilidade do processo de criação e validação de assinaturas, contribuindo fundamentalmente para a interoperabilidade entre sistemas e documentos assinados digitalmente.

 

Fica instituído o prazo de um ano para que as entidades integrantes da ICP-Brasil adaptem seus sistemas para o atendimento a este padrão.

 

Gerson Rolim é diretor executivo da Câmara Brasileira de Comércio Eletrônico (camara-e.net) e a fonte do artigo é o Blog da Economia Digital ( http://gersonrolim.blogspot.com/)

Descoberta de vulnerabilidade em protocolo de criptografia não afeta o comércio online no Brasil

Gerson Rolim

Em dezembro de 2008, um time composto por 03 pesquisadores revelou a possibilidade de exploração de uma vulnerabilidade (ataque) do protocolo MD5 durante o evento Chaos Communication Congress. A vulnerabilidade foi publicada no Paper denominado "MD5 considered harmful today" - www.win.tue.nl/hashclash/rogue-ca.

No que consiste o Ataque?

Segundo os pesquisadores, obteve-se sucesso no procedimento intitulado “MD5 collision attack” ( “Colisão” no algoritmo de hash MD5), quando utilizou-se um substancial poder computacional para criar um certificado SSL falso, por meio de uma Autoridade Certificadora falsa, a RapidSSL - www.rapidssl.com/index_ssl.htm.

Este tipo de ataque já era conhecido há alguns anos, todavia ainda não havia sido executado na prática contra um Certificado Digital emitido por uma Autoridade Certificadora.

O ataque é consiste em uma ação denominada “Colisão” executada contra o algoritmo de hash MD5. Uma Colisão acontece quando dois conjuntos de dados têm o mesmo resultado de hash. Vale lembrar que algoritmos como o MD5 são desenhados para que colisões sejam extremamente difíceis de serem encontradas.

Impactos práticos

Como citado, a vulnerabilidade relacionada às colisões encontradas no algoritmo MD5 não são novidade, tendo sido demonstradas pela primeira vez em 2004. Desde esta época, diversas organizações relacionadas à Certificação Digital abandonaram o uso do protocolo MD5 em todo o mundo. Sedo que a maioria das Autoridades Certificadoras atualmente em operação utiliza o algoritmo de hash SHA-1, mais forte e até o momento 100% seguro. Ressaltando que os Certificados Digitais assinados usando algoritmo SHA-1 não são afetados por este ataque.

O Brasil está totalmente imune a essa vulnerabilidade, pois, na ICP-Brasil, o uso do algoritmo MD5 não é permitido, conforme demonstra documentação que reza sobre os padrões e algoritmos criptográficos a serem empregados em todos os processos que envolvem geração de chaves criptográficas, solicitação, emissão e revogação de certificados digitais no âmbito da ICP-Brasil - www.iti.gov.br/twiki/pub/Certificacao/DocIcp/DOC-ICP-01.01_-_v_1.1.pdf.

Finalmente, a fim de resguardar o atual estado de segurança absoluta em sua ICP, o Brasil já estuda a migração para uma nova cadeia de certificação usando a família SHA-2 (SHA-256 ou SHA-512), aposentando o SHA-1, dentro em breve.

Gerson Rolim é diretor executivo da Câmara Brasileira de Comércio Eletrônico (camara-e.net) e a fonte do artigo é o Blog da Economia Digital ( http://gersonrolim.blogspot.com/)