O grupo PKIX do IETF está considerando transformar o draft abaixo em um padrão.

Using Extended Key Usage (EKU) for Session Initiation Protocol (SIP) X.509 Certificates: http://www.ietf.org/internet-drafts/draft-ietf-sip-eku-05.txt

Ele cria um identificador para o SIP na extensão EKU. Assim, poderia indicar se um certificado deve ou não ser utilizado para aplicações dessa natureza.

O SIP tornou-se bem popular por ser usado nos aplicativos de telefonia (voip) e de video conferência. Se for um fator importante para a adoção dos certificados digitais nesse tipo de aplicativo, que o novo padrão seja bem vindo.

Quanto tempo será que precisaremos esperar para que os aplicativos que implementam SIP passem a coniderar essa extensão?

Que a análise de riscos é um ponto fundamental para um projeto, não é grande novidade.

Na medida que trocamos documentos impressos por documentos eletrônicos assinados, apoiamos nossa organização sobre a confiabilidade de tais dispositivos. Falha a assinatura eletrônica, o colapso torna iminente.

Dos projetos de assinatura eletrônica que acompanhei, em muito tive a oportunidade de perceber a falta de uma análise de risco adequada. Como já haviam passado do “ponto sem retorno”, bastou fecharem os olhos e acelerar.

Mas podemos perguntar o quanto um projeto padrão de assinatura eletrônica é vulnerável? Eu diria que é uma das tecnologias menos compreendidas no mercado, atualmente, e por consequência muitas implementações ajudam a desbravar uma estrada até o desastre.

Veja o arquivo ASSINADO.GIF um gif que indica uma informação. Ele pode ser assinado, e essa informação estará congelada… não poderá ser modificada.

Mas basta renomeá-lo para .zip e ver que a nova informação é completamente diferente.

A assinatura eletrônica resolve problemas como esse? Não.

Ele afeta, diretamente, processos baseados em documentos eletrônicos? Sim.

Qual a resposta?

Foi aprovado no PKIX a publicação do novo Internet Draft: Internet X.509 Public Key Infrastructure: Certificate Image

Ele pode ser encontrado em http://www.ietf.org/internet-drafts/draft-ietf-pkix-certimage-00.txt

O resumo de seu conteúdo é:

“This document specifies a method to bind a visual representation of a certificate in the form of a certificate image to a [RFC5280] public key certificate by defining a new otherLogos image type according to [RFC3709].”

Considerando que a discussão para aprovação do rascunho já foi bem quente, devemos esperar muitas emoções antes de uma possível publicação.

A discussão sobre como apresentar certificados digitais aos usuários é longa.

O “logotipo certificado” de um banco, ou empresa de varejo seria uma ótima referência para quem navega na Internet.

Já existem 2 RFC que tratam do assunto:

RFC 3709

• Community logo
• Issuer logo
• Subject logo
• Loyalty logo
• Background image

RFC 3739

• Picture of the Subject
• Image of subject’s handwritten signature

Discute-se agora no grupo de trabalho ETF-PKIX sobre a criação de um “cert-image” que no caso do nosso e-CPF permitiria exibir a imagem impressa no cartão.

As pessoas que apóiam acreditam que imagens descrevem melhor do que palavras muitas informações. Principalmente, em ambientes multi-liguisticos.

No outro grupo estão aqueles que temem incluir nos certificados conteúdo ativo e que permita o armazenamento de malware em certificados confiáveis.

Ainda existe a discussão se o ideal é incluí-los dentro do certificado, ou utilizar um mecanismo seguro de provisioning.

Desde a criação da ICP-Brasil, ouvimos que o modelo de certificado único seria amplamente apoiado em certificados de atributos (que nada mais são do que um certificado comum sem chave pública).

A idéia era que portando uma credencial única pudéssemos ter um modelo de gestão de direitos baseado nos certificados de atributos, bastando emitir ou revogar e consequentemente alterar as relações de cada um de nós?

Seria a falta dos certificados de atributos um dos grandes “travadores” que impedem o desenvolvimento da ICP-Brasil?

http://www.zawya.com/Story.cfm/sidZAWYA20090408082840/

Vale ressaltar que diferentemente da ICP-Brasil (que é uma caixa totalmente preta) a cerimônia de geração de chaves foi assistida por auditores externos da Noruega.

Podemos imaginar as consequências da criação de ICP nacionais o que vai gerar para os usuários a necessidade de compreender e analisar profundamente cada uma delas.

Vocês não tem saudades da época em que pensávamos ICP com a simplicidade de um cartão de crédito internacional?

Parece que os políticos recusam-se a aceitar que a Internet (e o mundo) são globais e que dessa maneira fogem-lhe ao controle.

Caso alguém tenha uma experiência de interoperabilidade entre ICP nacionais para relatar, ficaremos satisfeitos de ouví-lo.

Enfim passamos pela comemoração do dia da morte do maior herói brasileiro, Tiradentes.

Com toda força estamos prontos para estrear os treinamentos, resultado da insistência dos que se dedicam a essa área no Brasil.

É curioso enxergar o panorama atual no Brasil. Quando comecei com essa história de treinamento na área (uns 6 anos passados talvez) ainda falava de RSA, explicava o que era chave pública e privada, criptografia simétrica, hackers brasileiros, crescimento do e-commerce e afins.

Era um momento de conhecimento incipiente quando as portas ainda estavam sendo abertas. Passados alguns anos, é interessante perceber que esse público, não sumiu, mas cresceu. Isso aconteceu porque com a Certificação Digital, ainda na curva de crescimento, temos mais empresas e profissionais adotando tais tecnologias.

A grande curiosidade é que o capitulo seguinte nunca foi materializado no Brasil.Ao conversar com meus ex-alunos e ouvir deles que o mercado não ofereceu nenhuma oportunidade a esses sedentos profissionais nesse breve hiato (nem tão breve em que me dediquei a ouras áreas). Caso alguém conheça treinamentos que avancem além daquilo que foi plantado há alguns anos, ficaria grato pela informação.

Com tal cenário, inauguramos um novo momento no uso da assinatura eletrônica brasileira rompendo essa represa de conhecimento.

Estreamos no mês de maio - a primeira turma (de muitas espero) do nosso curso ‘Assinatura Digital’.

Preparem-se para o lançamento de um portfólio completo de treinamentos de certificação digital ainda em 2009.