Esses serviços tornaram-se muito populares para facilitar a comunicação de URL muito grandes, e entre eles podemos inserir o bit.ly.

Principalmente no twitter onde o número de caracteres é limitado sua adoção tem sido maciça.

Agora emerge o problema de esconder as URL originais, e tirar o foco do usuário para um possível ataque de phishing (onde ele é enganado para acreditar que está em outro site, como, por exemplo,  de um banco).

Como o processo de uso de utilitários assim é crescente e não dá nenhum sinal de diminuir, torna-se fundamental o uso de certificados digitais SSL para identificação real dos sites originais, evitando o sucesso nas tentativas de golpes pela Internet.

Em junho de 2008 a AC raiz da ICP-Brasil abandonou os tradicionais hardware criptográficos certificados FIPS-140 em favor do brasileiríssimo projeto João de Barro, desenvolvido em uma parceria do ITA com a UFSC.

O quanto de testes de segurança foi realizado permanece uma incógnita. Será esse novo produto seguro?

Ao menos os hardwares tradicionais contavam com muito tempo de estrada.

Pergunta importante refere-se ao reconhecimento da ICP-Brasil por outros países. O que eles acharão dessa iniciativa?

Bem, como em oito anos não tivemos nenhum reconhecimento por nação qualquer, essa talvez seja uma preocupação menor.

Ao fazer uma compra online ou fornecer seus dados em cadastros, verifique sempre se a página onde você irá inserir seus dados e dados para pagamento esteja utilizando um certificado. Isso irá garantir que todos os dados que trafegam entre o seu browser e o servidor sejam criptografados, garantindo assim que mesmo que os dados sejam interceptados, ninguém conseguirá decifrá-los.

Verifique que o link no navegador esteja como https:// (indicando estar em área segura) e que o cadeado esteja fechado pelo browser.

Depois de muitos anos o projeto dos Correios de comercializar certificados ICP-Brasil está concretizado.

• Emitindo certificados Serpro
• Custos mais baixos que as outras AC
• Enorme capilaridade

Será que ainda existe espaço para outras AC / AR ICP-Brasil no varejo brasileiro?

Não é jogo de Copa do Mundo, mas O ITI noticia que 8 anos após a sua criação a ICP-Brasil começa sua movimentação para um acordo bi-lateral com Portugal.

Assim construímos as primeiras pontes partindo da nossa “ilha de isolamenteo digital” para outras localidades.

Seria interessante que esse acordo pudesse ser estendido a outros países da UE, pois se levarmos tanto tempo em cada acordo bi-lateral, estaremos fadados a viver em um pequeno arquipélago.

De qualquer maneira parece um primeiro passo na direção correta e devemos felicitar o ITI pela iniciativa. Parabéns!

Entre os principais personagens na criação da ICP-Brasil estavam os bancos e a Receita Federal.

Os bancos há muito já desistiram da certificação digital e optaram pelo uso de tokens OTP (One Time Password).

A SRF que resistia bravamente, abre a possibilidade de acesso aos dados fiscais através de usuário e senha.

http://www.receita.fazenda.gov.br/PessoaFisicaeJuridica/SitFisCodigoAcesso/Orientacoes.htm

Será que a SRF não será mais um motor da ICP-Brasil, que então passará a encolher na medida que os contribuintes que utilizavam certificados optarem pelas senhas (de custo zero)?

Em recente pesquisa realizada pela Netcraft foram encontrados mais de um milhão de sites que utilizam certificados digitais válidos (dentro do prazo de validade, emitidos para o common name onde estão instalados e emitidos por uma CA confiável).

A primeira pesquisa sobre SSL realizada pela Netcraft em novembro de 1996 encontrou apenas 3.283 certificados válidos no mundo todo. Em cerca de um ano este total subiu para 10 mil e apenas em 2000 ultrapassou a marca de 100 mil certificados.

Já no último ano, o crescimento médio é de 18 mil certificados ao mês.

Segundo pude levantar existem apenas duas empresas vendendo certificados ICP-Brasil para o público: Serasa e Certisign. Por outro lado, temos diversos serviços que tornam mandatório o uso deles como a nota fiscal eletrônica.

A pergunta que não quer calar… Como ficariam os usuários brasileiros casos essas duas empresas desistissem dessa linha de produtos ICP-Brasil?

VISÃO GERAL DO SISTEMA DE CARIMBOS DO TEMPO NA ICP-BRASIL
http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/Resolucao_58.pdf

Logo no início do documento encontramos a afirmação:

“1.4 A utilização de carimbos do tempo no âmbito da ICP-Brasil é facultativa. Documentos eletrônicos assinados digitalmente com chave privada correspondente a certificados ICP-Brasil são válidos com ou sem o carimbo do tempo.”

REQUISITOS MÍNIMOS PARA POLÍTICAS DE ASSINATURA DIGITAL NA ICP-BRASIL

“4. Campo de Aplicação

Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócios nos quais a assinatura digital necessita de segurança em relação à irretratabilidade de sua geração, pois o carimbo de tempo serve como evidência de que o certificado do signatário não estava revogado ou expirado no momento da assinatura.”

Afirmar que uma assinatura digital é válida mesmo sem carimbo de tempo, mas que o carimbo é necessário para dar segurança em relação a irretratabilidade não está errado, mas deve confundir muita gente.

As publicações na area de Assinatura Eletrônica da ICP-Brasil feitas pelo ITI serão objeto de um conjunto de posts.

A citação sobre o primeiro tipo AD-CP “ASSINATURA DIGITAL DE CURTO PRAZO” trás a citação abaixo (com que concordo plenamente) já que é “extraída” do CAdES. Apenas o uso da palavra “irretratabilidade” pode ser discutido, já que não há como impedir alguém de arrepender-se de um ato (não negar tê-lo realizado).

Neste tipo de assinatura não são armazenados os dados fundamentais para sua validação futura e nem é colocado carimbo de tempo de assinatura. Como não existem condições de garantir a irretratabilidade da assinatura digital, este tipo de assinatura não pode ser usado para arbitragem, em caso de disputa entre signatário e verificador.

Por esse motivo, assinaturas do tipo AD-CP somente devem ser utilizadas em situações especiais, por exemplo, para serviços transacionais  que exigem autenticação de entidades e/ou verificação de integridade.

O mais interessante é que a grande maioria dos projetos cuja existência pude conhecer tratam esse tipo de assinatura como o mecanismo em caso de arbitragem judicial. Dessa maneira, a legislação deixa claro que tais assinaturas não possuem valor algum.

http://www.acraiz.gov.br/twiki/pub/Certificacao/DocIcp/DOC-ICP-15.03_-_versao_1.0.pdf