| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | A questão das timestamps assusta-me. Um terceiro pode revogar a validação de um documento, ou um documento só é legítimo de tantos a tantos? Não digo que não haja situações onde seja desejável que um documento tenha data de validade, mas timstampping é prazo de validade ou de legitimização? Um documento que eu escrevi é um documento que eu escrevi, em qualquer altura, e essa autenticidade ser definida/imposta por terceiros não me parece algo muito acertado de um ponto de vista um tanto ou quanto paranoico. Mas tudo depende como é a legislação (que ainda não li este projecto) e de como se fazem as coisas.
Antes que alguém diga que apenas certificados x509 incluem datas, um texto assinado com gpg têm uma timestamp, que pode (ou não) coincidir com a data/hora de envio/leitura. Por exemplo:
From: Rui Miguel Seabra
Date: 02 May 2003 17:28:39 +0000
Subject: teste
To: Rui Silva Seabra
[-- PGP output follows (current time: Fri 02 May 2003 05:28:51 PM UTC) --]
gpg: Signature made Fri 02 May 2003 05:28:38 PM UTC using DSA key ID 7A34FADE
gpg: Good signature from "Rui Miguel Silva Seabra <rms@1407.org>"
gpg: aka "Rui Miguel Silva Seabra <rms@ansol.org>"
[-- End of PGP output --]
[-- The following data is signed --]
boo
--
+ No matter how much you do, you never do enough -- unknown
+ Whatever you do will be insignificant,
| but it is very important that you do it -- Gandhi
+ So let's do it...?
Please AVOID sending me WORD, EXCEL or POWERPOINT attachments.
See http://www.fsf.org/philosophy/no-word-attachments.html
[-- End of signed data --]
Estão aqui as 3 datas/horas explícitas que interessam:
1. o momento em que foi criado
2. o momento actual
3. o momento em que o email foi enviado
Declarar o prazo de validade é algo que facilmente se coloca na mensagem, e sobra para as célulazinhas cinzentas entender a linguagem.
|
| |
| |
| | Estiveste la' quase...
onde foi referido o facto de o "timestamp" dos emails com assinaturas seria efectuado pelo servidor CTT.
Nao e' prazo de validade, mas sim a data e hora a que o email foi efectivamente enviado.
Por exemplo:
Um processo judicial que devia ser entregue ate' 'as 24:00 do dia X, necessito de garantir que o enviei 'as 23:59.
Os CTT vao efectuar este servico de "carimbo".
Estão aqui as 3 datas/horas explícitas que interessam:
A que interessa e' a 3 - "o momento em que o email foi enviado". E esse terá de vir de um entidade "certificada" que não apenas o teu sendmail ou postfix.
//vd |
| |
| | 1. Interessam as 3 datas.
Pela combinação das 3 podes obter a validade temporal do conteúdo.
2. Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é? Não me parece um critério muito ético ou responsável...
De qualquer das formas, o exemplo que deste do CTT não se aplica muito bem: o SMTP receptor acrescenta a hora de chegada ao email. Podes argumentar que pode não ser fiável, mas o carimbo também pode ser preparado para dizer que foi entregue numa hora diferente.
|
| |
| | No meu caso concreto e especifico - uso das assinaturas digitais na Ordem dos Advogados - as que interessam são:
- Timestamp dos CTT (a certificar que foi enviada 'as XX:YY:xxx)
- Periodo em que o Certificado Digital e' valido
Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é?
A unica entidade que ira' ser credenciada para "timestamps" em Portugal, relativamente a este caso e pelo que eu conheço, sera' os CTT.
De qualquer das formas, o exemplo que deste do CTT não se aplica muito bem: o SMTP receptor acrescenta a hora de chegada ao email.
Do outro lado vamos ter um servidor do sistema informatico do tribunal a receber emails que passaram pelo SMTP dos CTT.
Caso haja algum maluco na 'area de informatica do tribunal que altere a data de um email recebido, os CTT devem (nao tenho a certeza) estar obrigados a divulgar o registo desse mesmo email. Fazendo prova de que foi enviado 'as horas correctas.
//vd |
| |
| | >>Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é?
>A unica entidade que ira' ser credenciada para "timestamps" em Portugal, relativamente a este caso e pelo que eu conheço, sera' os CTT.
Sim?... quer dizer que ainda devo adicionar o problema de ser apenas uma entidade?
|
| |
| | O problema é: tem de haver uma ou mais entidades de confiança que possam garantir que um E-Mail foi enviado e que foi enviado a determinada hora, caso o emissor e o receptor discordem sobre isso. Os CTT são a escolha óbvia, uma vez que são a entidade com a mesma responsabilidade para o correio normal.
Qual o problema de ser apenas uma entidade a certificar a hora de envio do E-Mail?
Que outras entidades devem poder fazer o mesmo?
Remember to be the Killer, not the Victim! (Nuklear Girl) |
| |
| | Realmente acho que tens toda a razão se confiamos (confiamos ?) no CTT para o correio normal, é um passo natural o pode fazer para a sua componente electrônica. Vejo com melhores olhos serem os ctt do que uma Microchip qualquer da vida duma esquina qualquer em Lisboa (insira aqui a sua cidade preferida).
|
| |
| | Nenhuma. E confesso ter sérias dúvidas a respeito da capacidade informática da função pública... Será que o software é do Estado ou há alguma dependência em privados?
|
| |
| | | E confesso ter sérias dúvidas a respeito da capacidade informática da função pública...
Tendo eu lidado directamente com a função pública também tenho duvida da capacidade de execução. Mas penso que os CTT são uma empresa pública e os seus funcionários não são funcionários públicos, as empresas públicas funcionam bem melhor neste aspecto. Será que o software é do Estado ou há alguma dependência em privados?
Isso sim já pode ser problemático.
|
| |
| | Sim?... quer dizer que ainda devo adicionar o problema de ser apenas uma entidade?
E ?...
Quando mandas uma carta registada com aviso de recepção mandas por onde ? Quando assinas uma procuração vais reconhece-la a que sitio ?
Faco notar que este exemplo dos CTT apenas servirá (ao que tenho conhecimento) para os advogados e tribunais.
//vd |
| |
| | A distribuição do correio físico não está limitada aos CTT. Felizmente há mais, mas são bem caros.
Procurações também podem ser reconhecidas noutros sítios. Penso que é algo recente.
|
| |
| |
Multicert = Única empresa nacional de certificação digital (a Novis lançou recentemente algo no mercado, mas em concreto ainda não se sabe bem o que...)
Multicert = SIBS=INCM=CTT
Percebem agora porque razao os CTT se estão a fazer ao piso para ficarem com o serviço de timestamping? ISto é tudo a comer do mesmo tacho. Já temos um em Portugal um servidor de "tempo" (NTP) legal http://www.oal.ul.pt/cgi-bin/hora.cgi deveria de ser esse servidor a fornecer o timestamping... De certo que estão mais avançados tecnologicamente, até porque já tem toda a infraestrutura up, and running.
Realmente toda esta "promiscuidade" entre SIBS, CTT, e Multicert deixa muito a desejar...
New Wave "May The Peace Be Green" |
| |
| | PGP output follows
PGP ou GPG não e' aceite em tribunal.
So' com certificado digital de nivel 3 - presencial, com assinatura de contrato e identificação do individuo.
//vd |
| |
| | Se isso for verdade, então a Lei está definitivamente mal feita e claramente favorecedora de interesses comerciais. De qualquer das formas, o que me lembro da Lei é: o que interessa é se a assinatura digital é reconhecida ou não. Se a chave pública tiver sido assinada por uma entidade credenciada, então tem imediatamente legitimidade. Caso contrário, tem de haver um documento onde ambas as partes se reconheçam mutuamente.
|
| |
| | Ou seja, toda a gente tem de ter uma conta de email nos CTT...
Caso contrário, se o smpt que eu uso estiver com um atraso de 5 ou 6 horas arrisco-me a estar atrasado, não tendo qualquer conhecimento disso, e muito menos a culpa
|
| |
| |
| | Ou seja, toda a gente tem de ter uma conta de email nos CTT...
Não. Este exemplo foi para um caso especifico onde o remetente tem de certificar a hora de envio do seu email, com a sua assinatura digital para um organismo judicial.
//vd |
| |
| | Como toda a gente que usa internet vai precisar de enviar mails desses, toda a gente vai precisar de uma conta de email nos CTT ...
Mais uma coisa para pagar...
|
| |
| | Que raio... Ou nao me fiz entender ou entao estamos a falar de duas coisas diferentes.
Eu estou a falar de um exemplo concreto em que e' obrigatorio um timestamp oficial de uma entidade para garantir datas,horas e segundos exactos.
Estou a falar de uma classe especifica e de um sistema - o judicial.
E nao, porque carga de agua preciso eu de um timestamp oficial para enviar um email meu com assinatura digital ? Eu por acaso preciso de fazer prova de que o enviei 'as horas certas ?
ps: risque as opcoes, - enviar email com trabalhos para a escola ou para o emprego, - enviar recibo ou contrato para a entidade empregadora.
//vd |
| |
| | Preciso de uma versão mais recente do Internet Explorer para usar certificados digitais ? huuuuuuuuummm
|
| |
| |
| | Não vi lá isso, mas não me admira nada.
Ontem fiz a entrega do meu IRS no site da direcção geral das contribuições e impostos e as instruções eram um ficheiro de powerpoint para download.
Mário Gamito
my web shelter |
| |
| | São duas perguntas :)
Para ler o manual precisas do Internet Explorer, para usares certificados digitais não.
O mozilla a partir da build 1.2.1 ja' tem os problemas resolvidos com certificados digitais.
//vd |
| |
