< voltar

Notícias do Mercado

Certificados Digitais em dispositivos móveis | o que dizem os especialistas?


14/04/2016 - Fonte: Crypto ID

O Comitê Gestor Nacional do Processo Judicial Eletrônico (PJe) autorizou o uso de certificados digitais em dispositivos móveis, como smartphones e tablets, para assinatura digital de peças processuais no PJe.

A mudança possibilitará a expansão do uso do sistema, aumentando a rapidez na conclusão de processos judiciais. A decisão foi tomada este mês de abril pelo Departamento de Tecnologia da Informação (DTI) do Conselho Nacional de Justiça (CNJ).

Durante a reunião, também foi instituído um grupo de trabalho vinculado ao Comitê Gestor do PJe para apresentar uma proposta que modifique os níveis de sigilo para acesso aos processos em segredo de Justiça, administrativos e judiciais, adequando-os à Resolução n. 215/2015, que regulamentou a Lei de Acesso a Informação.

Uma proposta contendo as alterações, que deverão ser implementadas para contemplar as previsões legais estabelecidas pela norma será apresentada na próxima reunião do comitê, a ser agendada.

Outra proposta de revisão de Resolução diz respeito à de n. 185/2013, que instituiu o PJe como sistema de processamento de informações e prática dos atos processuais.

Atualmente, a regra contida no § 4º do art. 6º da resolução impede o acesso ao conteúdo de processos em sigilo ou segredo para quem não possui certificado digital.

No âmbito da ICP-Brasil estão em andamento estudos coordenados pelo ITI – Instituto Nacional de Tecnologia da Informação, em conjunto com o Grupo Técnico de Trabalho, sobre o tipo do certificado digital para os dispositivos móveis assim como normas e padrões.

O CryptoID está acompanhando o amadurecimento das aplicações e o desenrolar dos marcos regulatórios. Neste ínterim, conversamos com o Doutor Maurício Coelho, do ITI, e com alguns dos nossos colunistas para colher suas impressões sobre a aplicação das assinaturas de documentos eletrônicos produzidas por meio de dispositivos mobile.

Perguntamos ao Dr. Maurício Coelho, diretor do ITI – Instituto Nacional de Tecnologia da Informação Instituto Nacional de Tecnologia da Informação, que tipo de certificado digital será utilizado para assinatura em dispositivos moveis? Será um A1 ou será criado um outro tipo de certificado (AM | Assinatura Mobile) como ele já havia dito em uma sua palestra ministrada no Seminário de Certificação Digital 2015 em São Paulo?

Segundo Dr. Maurício Coelho “Nosso entendimento é o de que um certificado específico atenderia de forma plena aos anseios dessa inovação. Foi criado um Grupo Técnico de Trabalho para tratar do tema e, ao passo em que este grupo apresentar resultados, os mesmos serão noticiados pelo ITI. ”

Dr. Maurício Coelho complementa – “A aplicação mobile com certificação digital ICP-Brasil já é uma realidade. Por exemplo, o CNJ recentemente autorizou o uso de mobile no PJe, e há soluções providas pelo mercado. O Grupo de trabalho sobre o tema no ITI avalia a necessidade de regulamentar um certificado específico para melhor explorar eventuais vantagens apresentadas pelos dispositivos móveis, ou ainda, propor proteções extras que blindem eventuais fragilidades próprias destes dispositivos. Portanto, trata-se de estudo em andamento e não há ainda qualquer decisão pela regulamentação ou não.

Observe-se, porém, que uma eventual decisão pela não regulamentação de um certificado específico não representará inviabilidade de utilização de certificados digitais ICP-Brasil em dispositivos móveis, mas sim o prevalecimento do entendimento de que os certificados atuais A1 e A3 seriam suficientes para atender a contento as necessidades dessa demanda.

Creio que todas as perguntas feitas por vocês neste momento, dependem de manifestação do GTT e, como ela ainda não ocorreu, qualquer resposta estaria mais para o campo da especulação do que da concretização”, acrescenta Coelho.

[ Veja alguns questionamentos do CryptoID descritos a seguir. Se você tem outras questões não abordadas, deixe nos cometários ou nos envie um email redacao@cryptoid.com.br]

1- O prazo para expiração do certificado utilizado nos dispositivos móveis será de no máximo um ano, como o certificado de A1 ?

2- Se o certificado for gerado em um dispositivo com padrões criptográficos poderá ser considerado como um certificado com nível de segurança 3?

3- O Certificado em questão poderá ser renovado de forma online?

4 – Se for um novo tipo de certificado específico para dispositivos móveis as Autoridades Certificadoras terão que atualizar suas DPCs, isso terá impacto nos prazos?

O que dizem os colunistas do CryptoID?

Marcelo Brocardo

“Os dispositivos móveis atuais tem um poder computacional superior aos supercomputadores do século passado.

A cada dia, mais e mais, aplicações estão migrando para os dispositivos móveis, desde jogos com qualidade de imagens superiores, passando por pagamentos, acesso ao banco e também o acesso a sistemas corporativos. Uma das vantagem em relação ao uso do token ou smart-card é mais fácil esquecer o cartão do que o celular, além é claro de não ter um desgaste físico quanto ao uso constante do USB.

Seguindo essa tendência, o uso de dispositivos móveis para realizar assinatura digital é um caminho sem volta.

Contudo, existem algumas questões críticas que o usuário deve ponderar antes de adotar tal solução, como por exemplo:

1) Se o certificado digital é instalado dentro do dispositivo, o que acontece com ele se eu trocar de celular? Essa situação é muito recorrente, pois a maioria das pessoas não fica mais do que três anos com o mesmo celular.

2) O que acontece com o certificado digital se o celular for roubado, perdido ou quebrado? Além do usuário perder o celular, agora ele tem que comprar outro certificado digital também?

3) Como ficará a questão da interoperabilidade, ou seja, quando o usuário precisar utilizar o certificado em aplicações que não estão no celular ou são desenvolvidas por terceiros?

Me parece que a demanda real não é ter o certificado no celular, mas sim poder utilizar o certificado no celular sem perder a capacidade de uso dele fora do celular. Neste sentido, talvez o ideal seja a guarda do certificado digital em um dispositivo seguro na nuvem, como em um HSM, e o celular seria utilizado como um fator de autenticação (posse) aliado a outros fatores de autenticação (senha, biometria) para a liberação do uso da chave privada. Desta forma, o certificado passa a estar disponível também – mas não somente – no celular.

Além disso, ao trocar o celular ou em caso de perda, bastaria o usuário utilizar o seu PUK para habilitar um novo dispositivo móvel”

Augusto Marcacinni

“No final dos anos 90, a OAB-SP e, alguns anos depois, o Conselho Federal da OAB propuseram – e tive a honra de ser um dos participantes dessa iniciativa – a criação de uma ICP para uso exclusivamente profissional.

E, sugeríamos que o mesmo fosse feito pelo Judiciário e Ministério Público. Essa infraestrutura fechada e limitada seria fator de segurança para os usuários, pois o uso desse certificado não seria considerado válido para outros fins, como, por exemplo, acesso a contas bancárias.

Então, diante de um uso mais restrito, a proposta mais acessível era instalar o certificado nos browsers, situação semelhante, mas relativamente mais segura do que instalar nos celulares, pois estes são aparelhos que circulam nas mãos do usuário e são, frequentemente, perdidos ou subtraídos.”

Sérgio Leal

“Implementações de criptografia em ambientes móveis podem trazer grande risco e precisam ser feitas de maneira profissional e cuidadosa, portanto tenha cautela e conheça a credibilidade de seu fornecedor.

Os dispositivos podem variar muito de qualidade e não há nenhuma garantia que todos eles fizeram o ‘dever de casa’ de maneira correta.

Devemos lembrar que todas essas implementações são recentes, e expomos nossos dispositivos publicamente o tempo todo, uso diferente do que fazemos habitualmente com nossos computadores.

A falta de padrões de segurança para certificação de produtos pode trazer um risco ainda maior aos usuários.”

 

José Luiz Brandão

CryptoID: Brandão, em sua visão, na prática como serão assinados os documentos eletrônicos via dispositivos móveis? Serão necessários portais de assinatura para versão mobile?

Brandão: “Um dos princípios da certificação em dispositivos móveis é simplificação do processo de assinatura digital. Hoje, o processo depende de Token, Smart-card, leitores, drivers, Java, etc. Isso gera muitos problemas para o usuário comum. O ideal é que toda a integração seja feita diretamente como sistema demandador da certificação digital.

Os usuários recebem diretamente em seus dispositivos uma notificação informando da solicitação de assinatura de um determinado conteúdo.

Nesta solicitação é informada a origem da demanda (nome da empresa, pessoa ou sistema). O conteúdo pode ser um documento ou uma transação.

O usuário pode visualizar o conteúdo que será assinado. Caso concorde com assinatura insere o seu PIN para liberar o acesso à chave privada gravada no dispositivo. A assinatura é feita e envida diretamente para o sistema solicitante.”

CryptoID: A e-Sec tem uma plataforma mobile para assinatura digital há 3 anos. Vocês estão preparados para integração com outros portais de assinatura eletrônicas, ERPs e outros sistemas?

Brandão: “De fato, os targets principais do Certillion são os portais de assinaturas e ERPS, porém, qualquer sistema é candidato a fazer integração com o Certillion, toda feita por meio de web service. A vantagem do uso do web service é a diversidade de plataformas que se pode atingir. No modelo atual, apenas sistemas Windows funcionam bem com tokens e smart-cards.

Por mais que haja suporte a MAC e Linux, a dificuldade de configuração e suporte a esses ambientes dificulta muito a usabilidade. A integração via web service é muito mais simples e gera muito menos suporte técnico.

Nossa Plataforma está disponível na nuvem e também pode ser instalado nos servidores corporativos. A instalação, configuração e integração é muito mais simples que o padrão de SDK, por exemplo, que exige muito esforço de programação.”

Regina Tupinambá

“A matéria destacou como usuário da assinatura digital via dispositivos móveis o judiciário. Os advogados devem aderir a assinatura via mobile e poderão ser grandes usuários dessa aplicação, por que trará mobilidade para quem assina seus processos de onde estiver sem a necessidade do compartilhamento indevido.

Atualmente, alguns advogados deixam seus certificados digitais com terceiros para assinarem os documentos eletrônicos que são enviados aos tribunais. Porém, compartilhar o certificado digital não é um mal hábito apenas dos advogados, o mesmo ocorre com médicos, enfermeiros, empresários e até com magistrados.

Sendo assim a possibilidade de assinatura com valor legal via mobile trará também o benefício da uso correto dos certificados digitais. Sem compartilhamento!”