Software Público Brasileiro, 4CMBR e Dados Abertos
Desenvolvimento de Interfaces Web e Segurança de Certificados e Assinaturas Digitais
1. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Compartilhamento de Experiência
Danilo Barreto de Araújo
DSI / CGIT
Brasília, 17 de Maio de 2013
2. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Agenda
●
Desenvolvimento de Interfaces Web
−
Bibliotecas Javascript
●
Segurança de Certificados Digitais
−
Entidades Certificadoras
●
Segurança de Assinaturas Digitais
−
Perenidade da Assinatura Digital
3. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Desenvolvimento de Interfaces Web
Bibliotecas JavaScript
4. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Desenvolvimento de Interfaces Web
“jQuery […] torna muito mais simples coisas
como manipular e percorrer documentos HTML,
tratar eventos, fazer animações e usar Ajax,
através de uma API de fácil uso que funciona
em uma variedade de navegadores.
Por sua combinação de versatilidade e
extensibilidade, jQuery mudou a forma como
milhões de pessoas escrevem JavaScript.”
5. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Desenvolvimento de Interfaces Web
“Tirar vantagem de novas tecnologias web é
muito divertido, até que se tenha que suportar
navegadores antigos.
Modernizr torna fácil pra você a escrita
condicional de JavaScript e CSS para lidar com
cada situação, quando um navegador suporta
ou não uma funcionalidade. É perfeita para
facilmente realizar melhorias progressivas. [...]”
6. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Fonte: https://upload.wikimedia.org/wikipedia/commons/7/74/Timeline_of_web_browsers.svg [em 23-06-2013]
7. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Desenvolvimento de Interfaces Web
A ferramenta preferida
para manipulação do
DOM HTML, para tratar
eventos e usar AJAX de
maneira uniforme em
diferentes navegadores
A melhor ferramenta
para fazer a detecção de
funcionalidades e auxiliar
no tratamento de
navegadores antigos
Essenciais...
8. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
Quão seguro são os
certificados da web?
12. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
1
2
3 RELAÇÃO DE
CONFIANÇA
13. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
O Firefox, por exemplo,
possui hoje em torno de 88
Autoridades Certificadoras
– CAs
Há alguma fragilidade neste modelo que possa
comprometer o ecossistema da web?
14. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
Revendo o passo-a-passo:
1. O usuário acessa o site via HTTPS
2. O site envia seu certificado
3. O navegador verifica a validade do certificado contra
todas as Autoridades Certificadoras que ele reconhece
(confia)
●
Se OK: SITE VALIDADO
●
Se NOK: ALERTA O USUÁRIO
15. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
Revendo o passo-a-passo:
1. O usuário acessa o site via HTTPS
2. O site envia seu certificado
3. O navegador verifica a validade do certificado contra
TODAS as Autoridades Certificadoras que ele
reconhece (confia)
●
SE OK: SITE VALIDADO
●
SE NOK: ALERTA O USUÁRIO
19. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Se alguma Autoridade Certificadora
for Comprometida?
Impacto
MUITO ALTO
−
Caso uma única Autoridade
Certificadora seja
comprometida, TODOS os
sites seguros da WEB podem
ser forjados através de um
ataque “man in the middle”.
Probabilidade
NÃO TÃO BAIXA
−
Eventos recentes
demonstram fragilidade na
segurança das Autoridades
Certificadoras
20. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Se alguma Autoridade Certificadora
for Comprometida?
Impacto
MUITO ALTO
−
Caso uma única Autoridade
Certificadora seja
comprometida, TODOS os
sites seguros da WEB podem
ser forjados através de um
ataque “man in the middle”.
Probabilidade
NÃO TÃO BAIXA
−
Eventos recentes
demonstram fragilidade na
segurança das Autoridades
Certificadoras
...lembrando que:
RISCO = IMPACTO X PROBABILIDADE
21. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
Qual a solução?
24. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Certificados Digitais
●
A proposta é interessante, no entanto é mais
complexa que a solução atual. Maior complexidade
pode significar mais pontos de falha.
●
O problema está sendo discutido já há algum tempo
e outras propostas devem surgir.
●
O importante é estarmos cientes do problema e
considerarmos isso nas nossas decisões.
26. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Assinaturas Digitais
~ 2030
As chaves de 4096 bits poderão ser quebradas...
27. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Assinaturas Digitais
~ 2030
Caso uma chave privada de uma autoridade certificadora se torne
pública, um documento pode ser assinado em 2030 com data de 2013,
por exemplo... a CUSTO ZERO.
28. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Assinaturas Digitais
~ 2013
O que é necessário para que alguém consiga falsificar hoje um
documento de 20 anos atrás?
29. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Assinaturas Digitais
~ 2030
Várias implicações:
−
Questões de Segurança Jurídica: como comprovar ou reprovar a
autenticidade de um documento de 2013 lá em 2030?
−
Esforço para reassinar documentos passados que sejam reconhecidos
como verdadeiros, de forma a reatestar sua veracidade lá em 2030.
−
Necessidade de se manter uma infraestrutura de arquivo de
documentos oficiais digitalmente assinados para comparação pública.
30. Ministério do
Planejamento Orçamento e Gestão
Secretaria de
Logística e Tecnologia da Informação
Segurança de Assinaturas Digitais
De volta a 2013:
●
Segurança digital é um assunto vital para o Estado
●
Deve-se trabalhar com a hipótese de que a segurança de documentos
digitalmente assinados é volátil no tempo
●
Certificados, assinaturas, sistemas, infraestruturas, etc, demandarão
uma atenção cada vez maior (ainda maior que a que já temos hoje) e
mais especializada