gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Regulamentação da Assinatura Digital
Contribuído por vd em 02-05-03 14:58
do departamento das-chaves-digitais
Portugal jneves escreve "Parece que é desta que vão ser definidas as regras técnicas para as entidades credenciadoras (também conhecidas por "certification authorities") em Portugal.
Até 16 de Maio podem dar os vossos comentários sobre a proposta de projecto-lei para o ITIJ (Instituto de Tecnologias de Informação na Justiça).
Mais informações em www.itij.mj.pt/acn/index.html."


vd: Por causa da Secção III - validação cronológica, faz-me lembrar um evento da Ordem dos Advogados (OA) em que eu e o Paulo Trezentos participamos sobre Assinaturas Digitais, onde foi referido o facto de o "timestamp" dos emails com assinaturas seria efectuado pelo servidor CTT. Noto também que o sistema judicial está a fazer um esforço por levar esta "nova" forma de autenticação às pessoas que mais necessitam de fazer prova de identidade.

A própria OA tem um manual bastante simples que divulga aos seus membros. Quantos mais existirão ?

O nosso canto e o canto deles | KDE e GNOME vistos pelos seus criadores  >

 

gildot Login
Login:

Password:

Referências
  • um manual
  • jneves
  • www.itij.mj.pt/acn/index.html
  • um evento
  • Mais acerca Portugal
  • Também por vd
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    timestamps... (Pontos:3, Esclarecedor)
    por Cyclops em 02-05-03 16:38 GMT (#1)
    (Utilizador Info)
    A questão das timestamps assusta-me. Um terceiro pode revogar a validação de um documento, ou um documento só é legítimo de tantos a tantos? Não digo que não haja situações onde seja desejável que um documento tenha data de validade, mas timstampping é prazo de validade ou de legitimização? Um documento que eu escrevi é um documento que eu escrevi, em qualquer altura, e essa autenticidade ser definida/imposta por terceiros não me parece algo muito acertado de um ponto de vista um tanto ou quanto paranoico. Mas tudo depende como é a legislação (que ainda não li este projecto) e de como se fazem as coisas.

    Antes que alguém diga que apenas certificados x509 incluem datas, um texto assinado com gpg têm uma timestamp, que pode (ou não) coincidir com a data/hora de envio/leitura. Por exemplo:

    From: Rui Miguel Seabra
    Date: 02 May 2003 17:28:39 +0000
    Subject: teste
    To: Rui Silva Seabra

    [-- PGP output follows (current time: Fri 02 May 2003 05:28:51 PM UTC) --]
    gpg: Signature made Fri 02 May 2003 05:28:38 PM UTC using DSA key ID 7A34FADE
    gpg: Good signature from "Rui Miguel Silva Seabra <rms@1407.org>"
    gpg: aka "Rui Miguel Silva Seabra <rms@ansol.org>"
    [-- End of PGP output --]

    [-- The following data is signed --]
    boo
    --
    + No matter how much you do, you never do enough -- unknown
    + Whatever you do will be insignificant,
    | but it is very important that you do it -- Gandhi
    + So let's do it...?

    Please AVOID sending me WORD, EXCEL or POWERPOINT attachments.
    See http://www.fsf.org/philosophy/no-word-attachments.html

    [-- End of signed data --]


    Estão aqui as 3 datas/horas explícitas que interessam:
    1. o momento em que foi criado
    2. o momento actual
    3. o momento em que o email foi enviado

    Declarar o prazo de validade é algo que facilmente se coloca na mensagem, e sobra para as célulazinhas cinzentas entender a linguagem.
    Re:timestamps... (Pontos:2)
    por vd em 02-05-03 16:45 GMT (#2)
    (Utilizador Info) http://paradigma.co.pt
    Estiveste la' quase...

    onde foi referido o facto de o "timestamp" dos emails com assinaturas seria efectuado pelo servidor CTT.

    Nao e' prazo de validade, mas sim a data e hora a que o email foi efectivamente enviado.

    Por exemplo:
    Um processo judicial que devia ser entregue ate' 'as 24:00 do dia X, necessito de garantir que o enviei 'as 23:59.

    Os CTT vao efectuar este servico de "carimbo".

    Estão aqui as 3 datas/horas explícitas que interessam:

    A que interessa e' a 3 - "o momento em que o email foi enviado". E esse terá de vir de um entidade "certificada" que não apenas o teu sendmail ou postfix.

    //vd
    Re:timestamps... (Pontos:2, Interessante)
    por Cyclops em 02-05-03 17:13 GMT (#5)
    (Utilizador Info)
    1. Interessam as 3 datas.
    Pela combinação das 3 podes obter a validade temporal do conteúdo.

    2. Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é? Não me parece um critério muito ético ou responsável...

    De qualquer das formas, o exemplo que deste do CTT não se aplica muito bem: o SMTP receptor acrescenta a hora de chegada ao email. Podes argumentar que pode não ser fiável, mas o carimbo também pode ser preparado para dizer que foi entregue numa hora diferente.
    Re:timestamps... (Pontos:2)
    por vd em 02-05-03 17:26 GMT (#6)
    (Utilizador Info) http://paradigma.co.pt
    No meu caso concreto e especifico - uso das assinaturas digitais na Ordem dos Advogados - as que interessam são:

    - Timestamp dos CTT (a certificar que foi enviada 'as XX:YY:xxx)
    - Periodo em que o Certificado Digital e' valido

    Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é?

    A unica entidade que ira' ser credenciada para "timestamps" em Portugal, relativamente a este caso e pelo que eu conheço, sera' os CTT.

    De qualquer das formas, o exemplo que deste do CTT não se aplica muito bem: o SMTP receptor acrescenta a hora de chegada ao email.

    Do outro lado vamos ter um servidor do sistema informatico do tribunal a receber emails que passaram pelo SMTP dos CTT.
    Caso haja algum maluco na 'area de informatica do tribunal que altere a data de um email recebido, os CTT devem (nao tenho a certeza) estar obrigados a divulgar o registo desse mesmo email. Fazendo prova de que foi enviado 'as horas correctas.

    //vd
    Re:timestamps... (Pontos:2)
    por Cyclops em 02-05-03 17:48 GMT (#7)
    (Utilizador Info)
    >>Nesse caso assume-se imediatamente que um cidadão qualquer não é digno de confiança mas que um que tenha um grande capital social (para poder vir a ser uma entidade credenciada) já o é?
    >A unica entidade que ira' ser credenciada para "timestamps" em Portugal, relativamente a este caso e pelo que eu conheço, sera' os CTT.


    Sim?... quer dizer que ainda devo adicionar o problema de ser apenas uma entidade?
    Re:timestamps... (Pontos:2)
    por raxx7 em 02-05-03 18:13 GMT (#8)
    (Utilizador Info)
    O problema é: tem de haver uma ou mais entidades de confiança que possam garantir que um E-Mail foi enviado e que foi enviado a determinada hora, caso o emissor e o receptor discordem sobre isso. Os CTT são a escolha óbvia, uma vez que são a entidade com a mesma responsabilidade para o correio normal.
    Qual o problema de ser apenas uma entidade a certificar a hora de envio do E-Mail?
    Que outras entidades devem poder fazer o mesmo?

    Remember to be the Killer, not the Victim! (Nuklear Girl)
    Re:timestamps... (Pontos:1)
    por Lowgitek em 02-05-03 18:39 GMT (#9)
    (Utilizador Info) http://www.youthinkwedo.com
    Realmente acho que tens toda a razão se confiamos (confiamos ?) no CTT para o correio normal, é um passo natural o pode fazer para a sua componente electrônica. Vejo com melhores olhos serem os ctt do que uma Microchip qualquer da vida duma esquina qualquer em Lisboa (insira aqui a sua cidade preferida).


    Re:timestamps... (Pontos:2)
    por Cyclops em 02-05-03 23:44 GMT (#17)
    (Utilizador Info)
    Nenhuma. E confesso ter sérias dúvidas a respeito da capacidade informática da função pública... Será que o software é do Estado ou há alguma dependência em privados?
    Re:timestamps... (Pontos:1)
    por Init em 05-05-03 6:20 GMT (#20)
    (Utilizador Info)

    E confesso ter sérias dúvidas a respeito da capacidade informática da função pública...
    Tendo eu lidado directamente com a função pública também tenho duvida da capacidade de execução. Mas penso que os CTT são uma empresa pública e os seus funcionários não são funcionários públicos, as empresas públicas funcionam bem melhor neste aspecto.

    Será que o software é do Estado ou há alguma dependência em privados?
    Isso sim já pode ser problemático.


    Re:timestamps... (Pontos:2)
    por vd em 02-05-03 22:55 GMT (#14)
    (Utilizador Info) http://paradigma.co.pt
    Sim?... quer dizer que ainda devo adicionar o problema de ser apenas uma entidade?

    E ?...

    Quando mandas uma carta registada com aviso de recepção mandas por onde ? Quando assinas uma procuração vais reconhece-la a que sitio ?

    Faco notar que este exemplo dos CTT apenas servirá (ao que tenho conhecimento) para os advogados e tribunais.

    //vd
    Re:timestamps... (Pontos:2)
    por Cyclops em 02-05-03 23:42 GMT (#16)
    (Utilizador Info)
    A distribuição do correio físico não está limitada aos CTT. Felizmente há mais, mas são bem caros.

    Procurações também podem ser reconhecidas noutros sítios. Penso que é algo recente.
    Re:timestamps... (Pontos:1)
    por New_Wave em 06-05-03 8:58 GMT (#21)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/


    Multicert = Única empresa nacional de certificação digital (a Novis lançou recentemente algo no mercado, mas em concreto ainda não se sabe bem o que...)

    Multicert = SIBS=INCM=CTT
    Percebem agora porque razao os CTT se estão a fazer ao piso para ficarem com o serviço de timestamping? ISto é tudo a comer do mesmo tacho. Já temos um em Portugal um servidor de "tempo" (NTP) legal

    http://www.oal.ul.pt/cgi-bin/hora.cgi

    deveria de ser esse servidor a fornecer o timestamping... De certo que estão mais avançados tecnologicamente, até porque já tem toda a infraestrutura up, and running.

    Realmente toda esta "promiscuidade" entre SIBS, CTT, e Multicert deixa muito a desejar...


    New Wave "May The Peace Be Green"
    Re:timestamps... (Pontos:2, Esclarecedor)
    por vd em 02-05-03 16:48 GMT (#3)
    (Utilizador Info) http://paradigma.co.pt
    PGP output follows

    PGP ou GPG não e' aceite em tribunal.
    So' com certificado digital de nivel 3 - presencial, com assinatura de contrato e identificação do individuo.

    //vd
    Re:timestamps... (Pontos:2, Esclarecedor)
    por Cyclops em 02-05-03 17:05 GMT (#4)
    (Utilizador Info)
    Se isso for verdade, então a Lei está definitivamente mal feita e claramente favorecedora de interesses comerciais. De qualquer das formas, o que me lembro da Lei é: o que interessa é se a assinatura digital é reconhecida ou não. Se a chave pública tiver sido assinada por uma entidade credenciada, então tem imediatamente legitimidade. Caso contrário, tem de haver um documento onde ambas as partes se reconheçam mutuamente.
    Atrasos (Pontos:1)
    por taf em 02-05-03 19:52 GMT (#10)
    (Utilizador Info)
    Ou seja, toda a gente tem de ter uma conta de email nos CTT...
    Caso contrário, se o smpt que eu uso estiver com um atraso de 5 ou 6 horas arrisco-me a estar atrasado, não tendo qualquer conhecimento disso, e muito menos a culpa
    Re:Atrasos (Pontos:2)
    por vd em 02-05-03 22:50 GMT (#13)
    (Utilizador Info) http://paradigma.co.pt
    Ou seja, toda a gente tem de ter uma conta de email nos CTT...

    Não. Este exemplo foi para um caso especifico onde o remetente tem de certificar a hora de envio do seu email, com a sua assinatura digital para um organismo judicial.

    //vd
    Re:Atrasos (Pontos:1)
    por taf em 03-05-03 0:25 GMT (#18)
    (Utilizador Info)
    Como toda a gente que usa internet vai precisar de enviar mails desses, toda a gente vai precisar de uma conta de email nos CTT ...

    Mais uma coisa para pagar...
    Re:Atrasos (Pontos:2, Informativo)
    por vd em 03-05-03 0:34 GMT (#19)
    (Utilizador Info) http://paradigma.co.pt
    Que raio... Ou nao me fiz entender ou entao estamos a falar de duas coisas diferentes.

    Eu estou a falar de um exemplo concreto em que e' obrigatorio um timestamp oficial de uma entidade para garantir datas,horas e segundos exactos.

    Estou a falar de uma classe especifica e de um sistema - o judicial.

    E nao, porque carga de agua preciso eu de um timestamp oficial para enviar um email meu com assinatura digital ? Eu por acaso preciso de fazer prova de que o enviei 'as horas certas ?

    ps: risque as opcoes, - enviar email com trabalhos para a escola ou para o emprego, - enviar recibo ou contrato para a entidade empregadora.

    //vd
    Manual ? (Pontos:3, Interessante)
    por chbm em 02-05-03 19:59 GMT (#11)
    (Utilizador Info) http://chbm.nu/
    Preciso de uma versão mais recente do Internet Explorer para usar certificados digitais ? huuuuuuuuummm
    Re:Manual ? (Pontos:4, Esclarecedor)
    por Gamito em 02-05-03 20:17 GMT (#12)
    (Utilizador Info) http://www.dte.ua.pt/~gamito
    Não vi lá isso, mas não me admira nada.
    Ontem fiz a entrega do meu IRS no site da direcção geral das contribuições e impostos e as instruções eram um ficheiro de powerpoint para download.

    Mário Gamito
    my web shelter
    Re:Manual ? (Pontos:2, Informativo)
    por vd em 02-05-03 22:56 GMT (#15)
    (Utilizador Info) http://paradigma.co.pt
    São duas perguntas :)

    Para ler o manual precisas do Internet Explorer, para usares certificados digitais não.

    O mozilla a partir da build 1.2.1 ja' tem os problemas resolvidos com certificados digitais.

    //vd

     

     

    [ Topo | FAQ | Editores | Contacto ]