3.5 Problemas de Segurança
graphic
“-Security is a chain; It´s only as strong as the weakest link.”[5]
      Ao se utilizar o esquema de certificação digital com assinatura e verificação de autenticidade, pode parecer que todos os problemas de segurança no que tange estes aspectos estão resolvidos. Mas a realidade não condiz totalmente com esta idéia. Ao observarmos a frase que inicia esta seção, que diz “A segurança é uma corrente. Ela é tão forte quanto o seu elo mais fraco”, podemos perceber que a questão de segurança não pode ser resolvida tão facilmente. No caso das PKIs, existem diversos elos, ou etapas, que não são baseados em métodos criptográficos. Além disso, encontramos na ponta da estrutura de PKI o elo mais fraco de todos no que tange a segurança: as pessoas que utilizam o serviço. De que adianta um sistema perfeitamente seguro e protegido, se uma pessoa descuidada for responsável pelo acesso ao sistema?
     Podemos perceber que um dos maiores problemas de uma PKI é: Como proteger a sua chave privada?[5]  Podemos afirmar com certeza que a maioria dos usuários não possui um sistema computacionalmente seguro, com restrições de acesso, robustez a ataques, dentre outras proteções. De fato, é praticamente impossível adquirir tais proteções em um computador convencional. No caso de chaves privadas protegidas por senha, como garantir que estas senhas são realmente fortes? Em um caso aparentemente seguro, como o armazenamento da chave em um smart card, o que acontece se o cartão for furtado? São estas questões relevantes que expõem a relativa fragilidade das infra-estruturas de chave pública.
     Outro ponto importante a ser discutido é a questão do não repudio. Partindo do pressuposto que os algoritmos de assinatura digital e a criptografia empreendida no par de chaves são computacionalmente invioláveis para os padrões atuais, não podemos assumir que todo conteúdo assinado por uma chave privada é de completa responsabilidade do dono da chave. Justamente pela dificuldade de se manter a segurança nos elos mais fracos da cadeia de segurança, o fato de uma pessoa não ter controle completo e irrestrito sobre sua chave privada não pode responsabilizar esta pessoa por qualquer crime cometido e ratificado com esta mesma chave privada.
Esta sessão deixa a questão de segurança em aberto. Mesmo que os sistemas de PKI ofereçam um grande ferramental de segurança, ainda podemos esbarrar em problemas aparentemente simples, que podem colocar toda esta segurança por água abaixo.
Topo