Assinatura de Documentos e e-Mail de uma maneira que desconhecia - COMPROVA.COM.BR

[galenogarbe]

Mestres Jedi da SI Brasileira,

Eu preciso implementar sistemas de assinatura, de preferência, mais não obrigatório (para garantir pelo menos a criptografia e inviolabilidade mesmo sem garantir a identidade), para os e-mails e propostas comercial da minha empresa.

Até onde sei, o meio legítimo para prover isso, garantindo também a identidade do emissor é utilizando certificados digitais pelo ICP-Brasil. Hoje, recebi uma "recomendação" do jurídico sobre os serviços da "comprova.com".

Deu uma rápida olhada e de cara já tenho ressalvas no serviço de assinatura de e-mail. Na verdade não entendi muito ainda pois eles garantem o "valor" legal disso. Vou ler melhor.

Alguém já conhece o serviços/sistema e poderia colocar seus comentários?

[Birkoff]

Alguns esclarecimentos.

Mestres Jedi da SI Brasileira,

Eu preciso implementar sistemas de assinatura, de preferência, mais não obrigatório (para garantir pelo menos a criptografia e inviolabilidade mesmo sem garantir a identidade), para os e-mails e propostas comercial da minha empresa.

Até onde sei, o meio legítimo para prover isso, garantindo também a identidade do emissor é utilizando certificados digitais pelo ICP-Brasil.

A ICP-Brasil não é o ideal para sigilo. Ela é voltada para autenticidade (`identidade`), mais especificamente, uma validade jurídica dessa autenticidade. E cabe dizer que certificados digitais para assinatura da ICP-Brasil NÃO podem ser usados para sigilo. Eles não vem com esse uso de chave habilitado. Ou seja, não servirá pras duas coisas ao mesmo tempo.

Hoje, recebi uma "recomendação" do jurídico sobre os serviços da "comprova.com".

Deu uma rápida olhada e de cara já tenho ressalvas no serviço de assinatura de e-mail. Na verdade não entendi muito ainda pois eles garantem o "valor" legal disso. Vou ler melhor.

Alguém já conhece o serviços/sistema e poderia colocar seus comentários?

Olhei rapidamente. Suponho que te referes ao serviço `Email comprova`. O que eles oferecem é uma protocolação de emails. Ele não dará nenhuma garantia quanto a autenticidade, mas sim apenas uma garantia de existência do email. Uma protocolação. Ou seja, ele dará prova legal de que o email existia e foi enviado na data X, através de carimbo de tempo.

Dito isso, cabe um esclarecimento sobre valor legal. Você pode assinar os emails da empresa com PGP por exemplo. Ou certificados emitidos na sua empresa, numa AC não ICP-Brasil. Se o destinatário aceitar a assinatura, ela é válida. Se o juiz aceitar, também. Em caso de alguma disputa judicial, é uma prova válida.

Mas em caso de dúvida e conflito, por exemplo, se o destinatário disser que recebeu um email assinado de você e você negar, o DESTINATÁRIO que terá que provar que você realmente assinou.

O que um certificado ICP-Brasil faz é inverter o ônus dessa prova. Com o Certificado ICP-Brasil, graças a presunção de veracidade dada pela MP2200-2, você , detentor do certificado, é que vai ter que provar que NÃO assinou. Ela é válida até que você prove de alguma forma o contrário.

Área jurídica não é minha praia, mas certificação é hehe... então posso ter usado uns termos errados ou ter me perdido um pouco em alguns conceitos jurídicos, mas é por aí :)

[ALIG_wicked]

Mas em caso de dúvida e conflito, por exemplo, se o destinatário disser que recebeu um email assinado de você e você negar, o DESTINATÁRIO que terá que provar que você realmente assinou.

Me ocorreu o seguinte...no caso do openpgp .. e se eu enviar um email para o comprova com minha chave publica FALANDO .. para os fins de blabla bla ... favor usar essa chave para verificacao de assinatura... ;-)

[s]
-A.A.

[Birkoff]

Mas em caso de dúvida e conflito, por exemplo, se o destinatário disser que recebeu um email assinado de você e você negar, o DESTINATÁRIO que terá que provar que você realmente assinou.

Me ocorreu o seguinte...no caso do openpgp .. e se eu enviar um email para o comprova com minha chave publica FALANDO .. para os fins de blabla bla ... favor usar essa chave para verificacao de assinatura... ;-)

[s]
-A.A.

Eu não sei quão forte é a autenticação dos sistemas da comprova. Mas basicamente não muda muito. O OpenPGP vai te dar a autenticidade, claro, sem inversão de ônus da prova da ICP-Brasil... e a protocolação a âncora temporal do email. O que vai ocorrer é que a assinatura de autenticidade vai estar também ancorada no tempo. MAs persistem a questão de que é necessário provar que aquela chave realmente pertence somente ao remetente e que ele efetivamente a usou.

O ideal é delimitar de maneira bem clara o que se quer na empresa. Que tipo de característica quer efetivamente se agregar aos emails? O que se deseja alcançar?

Garantir que eles não sofram alterações? Mas alterações por quem? Ter prova que o email existia? Dar segurança pra que lado, remetente ou destinatário? Ou ambos?

[ALIG_wicked]

... tentativa de cross-certification fail.. rsrs

MAs persistem a questão de que é necessário provar que aquela chave realmente pertence somente ao remetente e que ele efetivamente a usou.


Isso me deixou tb pensando se o sistema da "comprova" comprova de onde o email foi enviado. Entretanto temos muito pouca informacao de como o sistema todo funciona.. Nao encontrei no website informacoes mais tecnicas sobre isso.

Bem.. .::OFF TOPIC::. ja que rolou propagandas indiretas .. aqui vai um direto-de-esquerda.

O projeto h4cklab vai dar como primeiro premio um smartcard Openpgp V2
esse aqui:
g10 Code - Products - Card

[s]
-A.A.

[Birkoff]

... tentativa de cross-certification fail.. rsrs

Sendo chato, cross-certification é outra coisa hehe :P...

Isso me deixou tb pensando se o sistema da "comprova" comprova de onde o email foi enviado. Entretanto temos muito pouca informacao de como o sistema todo funciona.. Nao encontrei no website informacoes mais tecnicas sobre isso.

É, se eles tem uma forma de autenticação, também é uma prova de autoria. Mas convenhamos, provavelmente bastante frágil.

Por isso a pergunta: o que exatamente se quer garantir. E quando digo exatamente, é exatamente *mesmo*, não apenas conceitos amplos como `integridade` :)

[ALIG_wicked]

Citar:
Originalmente enviado por ALIG_wicked Ver Post
... tentativa de cross-certification fail.. rsrs
Sendo chato, cross-certification é outra coisa hehe :P...

Bem, segundo o dicionario de criptologia ali da estante.. "cross" e' um movimento horizontal de confianca entre duas entidades ... que pode ser 1way or 2 ways. (a assina b .. ou a->b e a<-b) diferente do movimento vertical (hierarquia de chave) a wot do pgp mescla ambos...

Quando eu enviei minha chave para o sistema eu imagino que eles devam assinar de alguma maneira para ter validade.

Agora so sendo chato mesmo e querer apronfundar o conceito... nas entranhas de dominios entre 2 CA's.

Onde exatamente eu errei na minha visao??? pode falar sem problemas eu como pretenso jogador de poker .. tenho que reavaliar minhas crencas e conceitos a cada nova informacao ou pespectiva ... como dizem.. a cada carta tudo muda..

[s]
A.A.

[Birkoff]

Bem, segundo o dicionario de criptologia ali da estante.. "cross" e' um movimento horizontal de confianca entre duas entidades ... que pode ser 1way or 2 ways. (a assina b .. ou a->b e a<-b) diferente do movimento vertical (hierarquia de chave) a wot do pgp mescla ambos...

A definição está correta. A idéia é que duas entidades de hierarquias diferentes (ex: duas ICPs) assinem o certificado uma das outras (ou só uma assine o certificado da outra, não é necessário que seja mútuo). A semântica é que a entidade que assina passa a atestar confiança na hierarquia sob a entidade assinada. Se uma AC X assina cruzadamente um certificado de uma AC Y, quem confia na AC X passará a confiar automaticamente nos certificados emitidos sob a AC Y. Mais ou menos por aí, em linhas gerais.

Quando eu enviei minha chave para o sistema eu imagino que eles devam assinar de alguma maneira para ter validade.

Aí talvez eu não tenha entendido algo antes, mas justamente não vi em momento algum algo do tipo `assinatura cruzada de certificados`. O que se faz é uma protocolação de um documento (email), ou seja, uma assinatura com carimbo de tempo de um documento. Se tiver assinatura (openpgp) neste email, você está fazendo uma assinatura em cima da assinatura, ou seja, uma espécie de contra-assinatura. Mas não uma certificação, cruzada ou não. O sistema não estará autenticando e assinando cruzadamente o certificado, mas sim um documento que no caso, contém um certificado (openpgp)

Não sei se me fiz entender...

[Birkoff]

Acabou de me ocorrer... você quis dizer `tentativa de inserir cross-certification` no negócio falhou. Não que botar openpgp no processo de protocolação seja uma certificação cruzada, mas sim que o openpgp é uma aplicação de certificação cruzada.

Se sim, foi um ruído da comunicação apenas, entendi errado o que te referias como cross-certification. Mas fica aí a explicação de qualquer forma para quem estiver curioso.

[ALIG_wicked]

Não sei se me fiz entender...

Esquenta nao... eu sei como e' confuso mesmo... uma vez conversando com um camarada sobre o assunto... de quem deveria confiar em quem... se a entidade A poderia confiar em Z... bem, so' conseguimos fazer entender depois de 10 latas de cerveja cada um...mais nao consguiamos lembrar no outro dia como conseguimos isso.. nao e' a toa que nunca vi livro sobre PKI com menos de 500 paginas... (e tb nunca consegui ler um na integra :-/ ).

[s]
A.A.