“-Security is a chain; It´s only as
strong as the weakest link.”[5]
Ao se utilizar o esquema de
certificação digital com assinatura e
verificação de autenticidade, pode parecer que todos os
problemas de segurança no que tange estes aspectos estão
resolvidos. Mas a realidade não condiz totalmente com esta
idéia. Ao observarmos a frase que inicia esta seção,
que diz “A segurança é uma corrente. Ela é
tão forte quanto o seu elo mais fraco”, podemos perceber
que a questão de segurança não pode ser resolvida
tão facilmente. No caso das PKIs, existem diversos elos, ou
etapas, que não são baseados em métodos
criptográficos. Além disso, encontramos na ponta da
estrutura de PKI o elo mais fraco de todos no que tange a
segurança: as pessoas que utilizam o serviço. De que
adianta um sistema perfeitamente seguro e protegido, se uma pessoa
descuidada for responsável pelo acesso ao
sistema?
Podemos perceber que
um dos maiores problemas de uma PKI é: Como proteger a sua
chave privada?[5] Podemos afirmar com certeza que a maioria
dos usuários não possui um sistema computacionalmente
seguro, com restrições de acesso, robustez a ataques,
dentre outras proteções. De fato, é praticamente
impossível adquirir tais proteções em um computador
convencional. No caso de chaves privadas protegidas por senha, como
garantir que estas senhas são realmente fortes? Em um caso
aparentemente seguro, como o armazenamento da chave em um smart
card, o que acontece se o cartão for furtado? São
estas questões relevantes que expõem a relativa
fragilidade das infra-estruturas de chave
pública.
Outro ponto
importante a ser discutido é a questão do não
repudio. Partindo do pressuposto que os algoritmos de assinatura
digital e a criptografia empreendida no par de chaves são
computacionalmente invioláveis para os padrões atuais,
não podemos assumir que todo conteúdo assinado por uma
chave privada é de completa responsabilidade do dono da chave.
Justamente pela dificuldade de se manter a segurança nos elos
mais fracos da cadeia de segurança, o fato de uma pessoa
não ter controle completo e irrestrito sobre sua chave privada
não pode responsabilizar esta pessoa por qualquer crime
cometido e ratificado com esta mesma chave
privada.
Esta sessão deixa a
questão de segurança em aberto. Mesmo que os sistemas de
PKI ofereçam um grande ferramental de segurança, ainda
podemos esbarrar em problemas aparentemente simples, que podem
colocar toda esta segurança por água
abaixo.