A Nova Dimensão da Entidade Electrónica em Portugal

Transcrição

1 A Nova Dimensão da Entidade Electrónica em Portugal Vasco Nicolau, Paul Andrew Crocker, Simão Melo de Sousa Tel Resumo: Nesta comunicação apresenta-se um estudo do novo documento de Identidade Nacional o Cartão de Cidadão (CC). Focaremos a nossa atenção nas potencialidades e teceremos considerações sobre a nova forma de identificação electrónica. Em particular discutiremos questões relacionadas com o nível de segurança nacional versus o crescente uso das novas tecnologias. Também se apresenta uma metodologia com suporte tecnológico para criar uma plataforma de auditoria ao CC Português e, como caso de estudo, investigaremos até que ponto é segura a obtenção dos dados, sem colocar em risco a protecção de dados pessoais. Como resultado desta investigação e tendo em conta as novas potencialidades e funcionalidades do CC abrem-se novas formas de cooperação, nomeadamente, com os países de língua portuguesa. Assim, apresentaremos um protótipo para autenticação biométrica usando o CC Português, que poderá ser utilizado como objecto de estudo e efectivamente utilizado em diversas áreas relacionadas com a identificação e a autenticação. Palavras-chave: Cartão de Cidadão, Identidade, Segurança, Autenticação, Biometria.

2 1. Introdução Neste artigo apresentamos um estudo do novo documento de Identidade Nacional o Cartão de Cidadão. Começaremos com um breve enquadramento histórico da Cartão Cidadão. No restante artigo, focaremos a nossa atenção nas características que definem o cartão de cidadão, bem como nas potencialidades e nas preocupações desta nova forma de identificação electrónica. Em particular discutiremos as questões relacionadas com o nível de segurança nacional tendo em conta o crescente uso das novas tecnologias. Seguidamente, apresentaremos o estudo realizado sobre o Cartão de Cidadão, no qual se insere a nossa proposta de desenvolvimento duma plataforma de auditoria ao mesmo, capaz de analisar os níveis de segurança e a facilidade de acesso aos dados pessoais. Por fim, como resultado da plataforma de auditoria apresentaremos a plataforma de validação biométrica desenvolvida capaz de responder as necessidades encontradas, bem como fortalecer todos os sistemas de identificação e autenticação pessoal. 2. Enquadramento Histórico A caracterização da Identidade Nacional, com particular incidência no bilhete de identidade surgiu com a implementação da República. Em 18 de Fevereiro de 1911 oficializou-se o Registo Civil pelo Código do Registo Civil, um ano mais tarde em Setembro de 1912 surge a primeira tentativa de criação de um arquivo nacional capaz de armazenar os dados de identificação dos cidadãos, recorrendo a técnicas de identificação criminal. O ministro do Fomento, Aurélio da Costa Ferreira, institui a carteira de identidade para todos os funcionários públicos e dos ministérios, este documento continha as impressões digitais dos cinco dedos da mão direita, sinais particulares e uma fotografia. Contudo esta primeira tentativa foi um fracasso, foram poucos os funcionários que requisitaram a referida carteira, pois esta veio criar uma certa agitação na medida em que os cidadãos julgavam-se observados, cientificamente, como criminosos, como descreveu Alfredo Ladeira, numa sessão da Câmara dos Deputados. Em 1918, foi criado o Arquivo Nacional de Identificação de Lisboa, em substituição do Arquivo Central de Identificação e Estatística Criminal, onde se começou a fazer a identificação civil. Seguidamente, em 1919 é instituído o Bilhete de Identidade Português, todas as pessoas que fossem nomeadas para algum cargo público em Lisboa, teriam que possuir.

3 Em Agosto de 1926, a emissão do bilhete de identidade foi alargada, tendo em conta um leque de situações em que era exigido o documento. De facto de acordo com a lei, a posse do bilhete de identidade passou a ser obrigatória para o exercício de qualquer emprego público, com excepção de alguns cargos (juiz, entre outros). Em 1927 a identificação nacional passou a ser obrigatória para todos os que exerciam alguma profissão ou que estudassem no ensino secundário. Consequentemente surgiram três Arquivos de Identificação Nacional para lidar com a burocracia crescente. Inicialmente a criação dos mesmos suscitou grande instabilidade e desconfiança, na medida em que os cidadãos julgavam que estes visavam apenas o controlo por parte do estado aos cidadãos. Durante o Século XX, o documento teve algumas alterações significativas ao nível do seu conteúdo e dimensões e sobretudo o seu alcance. No inicio do século XXI, em Janeiro 2001, o estado definiu como sendo obrigatório que todos os cidadãos nacionais com idade superior a dez anos possuam um bilhete de identidade válido. Este facto depreende-se com a identificação do indivíduo em Portugal e na União Europeia. Fig1. Bilhete de Identidade Português [8] Em Fevereiro de 2007, a Identidade Nacional conhece uma nova dimensão, o surgimento do Cartão de Cidadão da República Portuguesa. Englobado no Plano Tecnológico, introduzido pelo governo do Eng.º José Sócrates, o cartão de cidadão surge com o alto apoio do estado à inovação tecnológica, nomeadamente a modernização da administração pública, em termos de simplificação, agregação, segurança e desmaterialização. O novo documento de identidade (CC) alcança assim uma nova dimensão pois para além de continuar a possibilitar a identificação presencial de forma segura, permite a identificação perante serviços informatizados. Consequentemente o novo documento integra e potencia a cidadania no contexto da sociedade do conhecimento. Outro objectivo foi melhorar o nível de segurança dos documentos de identificação, dificultando eventuais reproduções ou falsificações dos mesmos, por entidades ilícitas/criminosas. O conceito do novo documento de cidadania passa ainda pelo facto de agrupar diversos documentos, o cartão de contribuinte, segurança social e saúde, num documento único, com o

4 objectivo de maximizar a automatização entre diversas entidades de serviços públicos. Deste modo, pretende-se evitar a dispersão de suportes físicos sem, no entanto, reduzir o universo de identificadores (números) afectos a cada cidadão, uma vez que a constituição Portuguesa proíbe o uso de um único número de identificação unívoco para identificar um cidadão, como acontecera durante o regime ditatorial do estado novo. Assim, a identidade portuguesa é reconhecida a nível Europeu pela capacidade de fazer parte do grupo de países europeus com identificação electrónica dos seus cidadãos, sendo que o Cartão de Cidadão veio introduzir um paradigma de simplicidade e racionalidade na relação, entre o cidadão e o estado, uma vez que este pretende beneficiar sobretudo a vida do cidadão em todos os aspectos do seu relacionamento com os serviços do estado. Fig2. Cartão do Cidadão [9] 3. O Cartão de Cidadão da República Portuguesa O documento de cidadania em Portugal quebrou a barreira da informação física e acompanha a inovação tecnológica, visto que com o surgimento do Cartão de Cidadão a identidade electrónica é uma realidade. Este novo documento segue as normas internacionais recomendadas por diversos organismos, nomeadamente a International Organization for Standarization (ISO), International Civil Aviation Organization (ICAO) e até no emergente European Citizen Card (ECC) o que o torna um documento de identificação reconhecido oficialmente na União Europeia. Produzido pela Imprensa Nacional - Casa da Moeda (INCM), apresenta-se fisicamente como um SmartCard à semelhança do comum cartão de crédito. A característica física mais inovadora do Cartão de Cidadão é a integração de um chip que possui um microcomputador embebido, capaz de armazenar toda a informação privada, reservada e pública do cidadão, realizando ainda operações criptográficas, e sustentando também as funcionalidades electrónicas de autenticação, assinatura digital, para além de outras funcionalidades interessantes.

5 3.1 Potencialidades Enquanto documento físico, permite ao cidadão identificar-se presencialmente de forma muito mais segura, em comparação com o Bilhete de Identidade. Na sua concepção todos os mecanismos de segurança física tendem a impedir a sua falsificação, tais como, a transformação contínua e suave de formas geométricas e o micro texto com dimensão e disposição variáveis, elementos característicos de um documento de segurança. A sua característica digital permite ainda ao seu portador efectuar operações electronicamente, dando-lhe a segurança da autenticação forte e da assinatura electrónica. Permite ainda identificar qualquer cidadão perante serviços informatizados, seja via Internet ou mesmo por telefone, com a possibilidade de autenticar e assinar digitalmente documentos electrónicos. Conta ainda com a impressão digital arquivada no chip que permite aos serviços competentes aferir a titularidade do documento apresentado. O processo de validação da impressão digital é realizado dentro do cartão (Match-On-Card), ou seja, os dados da impressão digital (template) são submetidos ao cartão e a sua validação nunca sai do mesmo. Importa referir que este processo potencia fortemente os princípios da privacidade. As potencialidades associadas ao documento são inúmeras, não esquecendo os objectivos estratégicos de modernização que visam garantir sobretudo a melhoria de prestação dos serviços públicos com incidência na simplificação da vida dos cidadãos, desburocratizando os processos. O cartão de cidadão promove ainda a competitividade nacional no desenvolvimento de soluções e serviços que utilizem o cartão, com valor acrescido em termos de modernização e inovação dos serviços e da identidade nacional. Alguns dos serviços já existentes permitem, através da Internet, utilizar o cartão de cidadão na formalização duma empresa, efectuar o registo automóvel ou até apresentar uma queixa judicial. Entre muitos outros serviços já existentes e em desenvolvimento para melhor servirem os interesses do cidadão. 3.2 Impacto O impacto gerado com a implementação do novo documento de identidade nacional, possibilita-nos tecer diversos tipos de considerações, sociais, políticas, económicas, de privacidade e segurança, sendo estas duas últimas o alvo nuclear do nosso artigo, como será referido mais adiante.

6 A nível social surgem diversas melhorias para o cidadão que eram impensáveis antigamente. O Cartão de Cidadão proporciona um sistema relacionamento multicanal, internet, telefone e loja do cidadão, capaz de interagir com os serviços da administração pública entre outros de forma desmaterializada, independentemente do local onde se encontre ou presencial. Outro grande benefício é a agregação de quatro cartões num único cartão. Também se podem tirar lições a nível político e económico, visto que Portugal ao apostar na identidade electrónica inscreveu-se no seio da Comissão Europeia como um dos países modelo no projecto e na adopção do Cartão de Cidadão. O sucesso que resultou desta iniciativa, despertou ainda mais o interesse da Comissão Europeia, para que o cartão de cidadão europeu (ECC) venha a seguir as directrizes do cartão de cidadão Português. Economicamente, os benefícios para o estado são vastos mesmo tirando em conta os custos do cartão. Também existem vantagens para os cidadãos que, por exemplo, não necessitam de despender do seu tempo em processos burocráticos dispersos e o custo do cartão é aceitável tendo em vista toda a sua utilidade. A nível nacional as empresas começam a apostar na utilização do cartão de cidadão para automatizarem e assegurarem melhor os seus processos. Finalmente, podemos salientar o resultado de um estudo Europeu de 2009 [1] que revela que Portugal está em primeiro lugar no Ranking de sofisticação dos serviços públicos, e na completa disponibilização on-line dos serviços públicos. 3.3 Preocupações Os aspectos mais importantes e tidos em conta no estudo de implementação do cartão, foram a privacidade e a segurança. O Cartão de Cidadão adopta garantias de segurança física que dificultam as possibilidades de usurpação da identidade do cidadão. No entanto as garantias a nível de segurança electrónica em termos de mecanismos que impossibilitem a violação da privacidade do cidadão, impedido o acesso a quaisquer dos seus dados pessoais sem o seu consentimento expresso, Lei nº 7/2006 de 5 de Fevereiro de 2007, artigo 42º, podem não estar a serem cumpridas com as mesmas garantias. Um analise técnico dos riscos a privacidade pessoal é feito em [7] mas de facto existem também diversos factores que colidem com a privacidade a partir do momento em que a utilização electrónica do documento é difundida em canais de comunicação como a Internet Existem diversas preocupações associadas ao cartão que surgem com a tecnologia associada ao mesmo:

7 Uma delas é a privacidade pois a tecnologia pode ser o principal inimigo da privacidade quando não é bem entendida e bem utilizada. Por exemplo, os dados inseridos no chip do Cartão servem apenas para identificar o cidadão perante uma entidade gestora, que depois utilizará exclusivamente apenas os dados necessários à execução do serviço pretendido pelo cidadão. Isto implica que entidades como a Segurança Social, Finanças, Serviço Nacional de Saúde tenham acesso apenas aos dados relativos a cada entidade, supostamente salvaguardando a inacessibilidade a registos específicos das bases de dados das outras entidades. O possível cruzamento de informações fora dos requisitos legais pode ser utilizado para delinear um perfil completo do cidadão, e aqui é o grande cerne da questão, porque não é simples especificar quem certifica e garante que não existem quebras na recolha dos dados e a sua utilização incorrecta. O facto de um cidadão realizar uma autenticação biométrica numa entidade pública para possibilitar o acesso aos dados requisitados contidos no chip e por isso sentir-se mais seguro. Este processo não garante que a entidade apenas obteve os dados pretendidos, pois poderá aceder por exemplo ao número de contribuinte sem supostamente ter de o fazer. A nível social também existem questões como a idade, qualificações e a formação das pessoas que antevêem uma desigualdade social no uso electrónico do cartão de cidadão. Questões de ética podem ser levantadas, nomeadamente com a futura utilização em massa do cartão de cidadão em entidades como os bancos. Não está definido quem pode garantir que os dados são recolhidos apenas para um determinado serviço e não existe uma apropriação indevida dos mesmos. Pois como é sabido os níveis de segurança de identificação civil dependem muito mais da engenharia social e das características do sistema de informação, das regras, utilização e práticas operacionais adoptadas, do que da concentração da informação. Deste modo, a segurança da informação e a sua concentração em chips obriga a preocupações quanto à inviolabilidade, posse indevida dos dados, fiabilidade ou a sua clonagem, o que pode significar a perda global da identidade dos cidadãos.

8 O caso de roubo de identidade e a utilização fraudulenta da informação individual sensível, também é alarmante, importa saber quais os mecanismos e meios possíveis de solucionar este problema de segurança nacional. Muito importante também é o nível de formação dos funcionários e a sua maneira de agir perante um possível roubo de identidade, erros no próprio cartão e usurpação dos procedimentos actuais (por exemplo a notificação do roubo dum cartão por alguém que não seja o proprietário do mesmo) todos os cenários devem ser considerados independentemente da sua probabilidade de acontecerem. Existe também a questão da confiança nas tecnologias usadas para construir o cartão. Será que é demasiado complicado e caro para, por exemplo, redes terroristas possam criar cartões falsificados, prática que tem sido corrente nas redes terroristas europeias como a ETA e IRA aquando dos cartões de identidade não electrónicos [2]. Todas estas preocupações se apresentam como um risco imediato ao qual é preciso procurar soluções, uma vez que o avanço tecnológico é um caminho acessível a situações fraudulentas. Tal como aconteceu com o Passaporte Digital (epassport) cujos níveis de segurança foram quebrados e tornou possível a sua utilização de forma fraudulenta [3, 4]. 4. Novas tecnologias Considera-se que o aparecimento das novas tecnologias e a forma como foram utilizadas por governos, empresas, indivíduos e sectores sociais possibilitou o surgimento da "sociedade da informação". O documento de cidadania veio associar-se a esta sociedade de informação, e a era das novas tecnologias permitiu criar um novo conceito tendo por base o antigo documento físico que vem do século passado, utilizado sobretudo para a identificação pessoal. A sua inserção e implementação na era digital representa um grande passo no desenvolvimento do país que o adopta, traduzindo-se em consequências bastante abrangentes, a nível político, social e económico. A Internet é sem dúvida, actualmente um dos meios mais populares e usado mundialmente na troca de informações. Para qualquer sociedade ter ao seu alcance os serviços públicos e a disponibilização da informação de forma desmaterializada é uma mais-valia. Contudo, os níveis de segurança de Internet estão dependentes da utilização, da administração e da configuração das tecnologias usadas (SSL, VPN s etc.) e que dificilmente são perceptíveis

9 pelo público em geral. Assim torna-se importante relacionar as vantagens e potencialidades que se antevêem do uso da identidade electrónica com os níveis de segurança e fiabilidade que se devem assegurar a caracterização da identidade nacional. 4.1 Nível de segurança nacional vs Novas Tecnologias Como se referiu anteriormente as vantagens e potencialidades são inúmeras, e actualmente é possível concentrar a identidade nacional global de um cidadão num único Chip electrónico. Até mesmo a impressão biométrica digital armazenada e validada directamente no Chip é uma realidade. Na era das novas tecnologias de informação e comunicação, elementos como a Internet, redes sociais, vigilância e privacidade digital, compõem a sociedade de informação em que vivemos e nos expomos, será que com tanta tecnologia mantemos a nossa privacidade? Existe alguma controvérsia em torno da privacidade, até que ponto estamos dispostos a perdêla, por exemplo facultando a nossa fotografia, para depois ganhar segurança e novos serviços mais acessíveis? Na prática há uma aceitação por parte da sociedade, uma vez que a segurança é tida como um bem importante, mas ainda assim como se pode constatar [5] a introdução do Cartão de Cidadão continua a não ser pacífica. A que nível de privacidade podemos ter direito enquanto cidadãos portadores de uma identidade electrónica? Existem momentos, locais e serviços em que devemos ter a nossa própria esfera de privacidade, independentemente de vivermos numa sociedade que nos oferece tecnologia para vigiar os outros, devendo ser possível salvaguardar a privacidade pessoal. Torna-se um desafio bastante importante e com proporções não só nacionais, mas também internacionais. A resolução deste problema passa por garantir a integridade da esfera de privacidade de qualquer cidadão na sociedade de informação, com incidência na Internet. Se esta relação for garantida então a segurança e a privacidade estão de mãos dadas. Mas como se pode constatar, o problema não é local nem de resolução fácil. Pois para inúmeras questões relacionadas com a Internet, é difícil encontrar respostas assertivas capazes de garantir que não se quebra a esfera da privacidade. O que pode dar origem ao roubo da identidade digital, através da Internet. Possivelmente uma solução, embora sendo bastante polémica, seria criar uma identidade na Internet, tal como defende Eugene Kaspersky, [6]. Ele justifica esta ideia com o facto que o

10 anonimato na rede é um problema devido ao facto que a Internet não foi desenvolvida para uso público, mas sim para cientistas e portanto foi errado introduzi-la à população da mesma forma como era usada por um grupo limitado de pessoas. A utilização do cartão de cidadão como uma identidade na internet é na nossa opinião, de facto uma forma possível de solucionar o problema. No entanto deve-se ter muita cautela pois existem rapidamente outras questões pertinentes, como os direitos de expressar opiniões livremente onde o anonimato é uma vantagem. É importante assim perceber se o progresso tecnológico não se torna uma ameaça à esfera de privacidade individual, e não fará com que exista uma desconfiança e consequente retorno ao passado onde não havia privacidade. Assim, surge a necessidade de criar garantias de segurança na utilizando o cartão de cidadão em qualquer meio de comunicação, nomeadamente na Internet. A nossa contribuição seria dar um passo neste sentido desenvolvendo uma metodologia tecnológica que possa ser utilizada na auditoria do cartão de cidadão que descreveremos no próximo capítulo. 5. Metodologia Tecnologia que visa auditar o CC O nosso contributo com a presente comunicação, visa despertar o interesse numa metodologia tecnológica capaz de auditar o cartão de cidadão, com o objectivo de garantir que a nossa esfera de privacidade e segurança não seja violada. A metodologia que investigamos e desenvolvemos consiste em tentar obter o máximo de informação do cartão de cidadão, sem usar qualquer tipo de informação governamental e baseado exclusivamente na simples observação da informação. Na prática, existem questões técnicas como efectuar o processo de comunicação entre o computador e o cartão de cidadão (SmartCard) que tornaram possível a obtenção dos dados. Resumidamente e sem entrar em demasiados pormenores técnicos, qualquer comunicação entre um leitor de SmartCards e um computador pode ser capturado para uma análise forense offline. Os formatos dos pacotes usados e o funcionamento de muitos leitores são estandardizados (ISO /IEC 7816 etc.). O resultado prático da nossa metodologia culminou na obtenção dos dados do cidadão, na sua íntegra, excepto aqueles que requerem o PIN. Assim, como resultado desta investigação, criamos um middleware completo e independente de acesso ao cartão para a obtenção dos dados.

11 Fig3. Uma Aplicação Construída pelos Autores usando o Middleware Desenvolvido 5.1 Análise crítica Actualmente, o mundo em que vivemos está repleto de tecnologia que permite recolher facilmente dados sobre as pessoas. Imensas são as situações no dia-a-dia que efectuam a recolha de dados de milhões de pessoas, aeroportos, websites, multibanco, telemóveis, bancos, câmaras de vigilância, entre outras. Desta forma, os cidadãos sentem-se inseguros assim que se fala de identidade digital, uma vez que associam a identidade digital com o roubo da identidade, isto é, os cidadãos sentem que perdem o controlo sobre a informação armazenada dado o desconhecimento sobre a tecnologia utilizada. É um dos problemas que tem vindo a ser usual por todo o mundo. A fácil obtenção dos dados, a sua usurpação e a consequente mediatização dos casos nos meios de comunicação social constitui um sério problema, provocando um impacto socioeconómico negativo na sociedade. Assim julgamos que seja necessário que haja mecanismos que aumentem o grau de confiança na sociedade em geral. 5.2 Contribuição importante desta metodologia A importância desta plataforma na sociedade visa sobretudo sensibilizar as pessoas sobre as preocupações inerentes sobre privacidade e a segurança do cartão de cidadão. É necessário

12 averiguar se o modo como se podem obter/manipular os dados, está de acordo com as disposições planeadas e são adequados à consecução dos objectivos. 6. Protótipo Resultaram deste estudo uma plataforma de auditoria, inúmeras ideias de utilização do cartão de cidadão, capazes de garantir melhores serviços ao cidadão, nomeadamente nas áreas de identificação e autenticação, que são indissociáveis da esfera envolvente da privacidade. Foi desenvolvido um protótipo, que tende a garantir que, numa situação em que é requerida a identificação pessoal e a sua autenticação perante serviços, esta possa ser feita utilizando os recursos do cartão, tendo em conta as possíveis adversidades do meio de comunicação. Deste modo, meios difíceis de controlar como a Internet, podem ver minimizados os riscos de segurança associados. Uma vez que o importante é garantir que a validação dos dados nunca saia do cartão, como acontece na validação da impressão biométrica no cartão do cidadão. Assim, sempre que um utilizador perante entidades físicas ou digitais necessite de validar a sua identidade, esta deve ser possível de se realizar no próprio cartão. Apesar do cartão do cidadão permitir realizar esta validação, o estado português não utiliza este tipo de mecanismo em nenhum dos seus serviços, nem proporciona ao cidadão a utilização do mesmo, e é neste ponto que esta investigação vem alertar para as vantagens da sua utilização e implementação. 6.1 Apresentação do Protótipo Nesta linha de orientação, o protótipo desenvolvido, baseia-se na recolha dos dados do cartão e na exploração das potencialidades do Chip para permitir a validação do cidadão através da sua impressão digital. Importa referir que não dispusemos de qualquer tipo de documentação governamental, o que por si só deve despertar o interesse sobre as preocupações de segurança que falamos anteriormente. Deste modo, criou-se um sistema capaz de ser utilizado, não colocando em risco a protecção dos dados pessoais do cidadão, e preservando a esfera de privacidade. Pois a impressão digital e a validação biométrica nunca sai do cartão, sendo este o responsável por efectuar as tarefas de verificação.

13 Fig3. Inserção do CC no terminal Fig4. Validação biométrica 6.2 Cooperação com os Países de Língua Portuguesa Entendemos assim que este protótipo pode ser considerado um meio privilegiado para colaborar e contribuir para a identificação electrónica. Assim, este facto é particularmente relevante no contexto dos PALOPS na medida em que vem reforçar os ideais da identidade e cidadania. Tendo em conta, que os PALOPS poderão vir a implementar um cartão de cidadão (SmartCard), e conhecidas as dificuldades de gestão nos processos eleitorais, o protótipo desenvolvido poderá garantir novos mecanismos de segurança e privacidade. 6.3 Contribuição para a Sociedade Do ponto de vista social, existem imensos benefícios com a implementação deste tipo de sistema. Tomemos como exemplos, a utilização do cartão numa entidade bancária e a sua utilização via Internet. No primeiro caso, como referimos anteriormente é necessário garantir que a esfera da privacidade de uma pessoa não seja violada quando utilizar o cartão nessas entidades, sendo necessário regulamentar o acesso aos dados do chip, pois podem ser obtidos dados sem o consentimento expresso do cidadão. Em outras situações, se for alvo de roubo e a identidade for utilizada para abrir uma conta bancária, possivelmente essa tentativa poderá ter sucesso. Deste modo, o nosso protótipo pode vir acrescentar novos valores aos princípios da privacidade e segurança, na medida em que qualquer informação só pode ser obtida do cartão com o nosso consentimento expresso através do reconhecimento da impressão digital. No segundo caso, devido à complexidade de existirem imensas variáveis o problema é mais difícil de solucionar, mas a nossa ideia vai de encontro à opinião de Eugene Kaspersky, a criação de uma identidade na Internet poderá ser um contributo importante para a sociedade

14 que todos os dias é alvo de ataques à sua segurança e privacidade por meios digitais. O que defendemos é a utilização do cartão de cidadão enquanto documento electrónico capaz de ser utilizado de forma moderada como mecanismo integrante da identidade pessoal na Internet. Consequentemente terá a capacidade de proporcionar um significativo aumento de confiança na utilização de novos serviços, por parte das pessoas. 6.4 Segurança do Protótipo Atendendo que o protótipo desenvolvido baseia-se essencialmente na utilização/validação biométrica da impressão digital, torna-se então importante mencionar a segurança oferecida pelos métodos biométricos de um modo geral. Actualmente, o método mais difundido no meio social é o reconhecido da impressão digital em sistemas de controlo de assiduidade. Sendo um método já validado e aceite pelos cidadãos a nível mundial, julga-se que em termos de aceitação e implementação não geraria dificuldades operacionais. Sobretudo porque oferece confiança às pessoas, uma vez que a validação se realiza com o cartão de cidadão, que por si só aumenta a confiança das pessoas na sua utilização. Mais ainda quando a própria validação da imagem da impressão digital recolhida, é feita dentro do cartão, não sendo necessário recorrer a base de dados de impressões digitais. A necessidade de autenticação/identificação de utilizadores num determinado serviço, é o principal aspecto para a segurança da informação, ou seja, senão for possível identificar a pessoa que pretende aceder a um determinado serviço, não faz nenhum sentido falar sobre segurança. Deste modo, os sistemas biométricos tendem a proporcionar a segurança necessária, uma vez que relacionam as características físicas de uma pessoa com a sua identificação digital num sistema informático. Prova dada é o aumento de segurança em diversas áreas, tais como: Acesso físico: a biometria pode eliminar os custos e a vulnerabilidade da segurança de credenciais, cartões, códigos de acesso. Acesso virtual: a biometria pode substituir vários PINs e senhas usadas para acesso em redes, sites e serviços de Tecnologias de Informação. Isso não apenas simplifica os processos para os utilizadores, como também elimina o custo de chamadas ao centro de apoio quando as senhas são esquecidas.

15 E-commerce: a camada adicional de autenticação pela biometria pode ajudar a combater o roubo de identidade e a garantir o não repúdio de vendas. Fiscalização: os recursos de fiscalização e negócios como casinos usam técnicas de biometria para ajudar a identificar criminosos e falsários. Importa ainda referir que a Microsoft, também está a desenvolver uma plataforma, a qual designou o nome de Biometric Framework (WBF), que visa integrar nas aplicações uma identificação biométrica para fortalecer a segurança das mesmas. O que vem reforçar ainda mais a nossa afirmação sobre a importância que o cartão de cidadão terá num futuro próximo, pois caso entidades como, policia, aeroportos, serviços governamentais entre outros, utilizem a biometria, de certeza que será uma integração inovadora estratégica. 7. Conclusão Com a evolução tecnológica, o futuro tornará os processos mais simples e acessíveis, e apesar do cartão de cidadão ter imensas potencialidades que nos permite olhar para o futuro com bons olhos, existem diversas preocupações que devem ser solucionadas, visto que o desenvolvimento da tecnologia trás consigo um arrasto de fugas ao seu correcto funcionamento. Julga-se que a investigação realizada, reforçada com o desenvolvimento do respectivo protótipo tende a dar um contributo importante para a sociedade e alertar para algumas das preocupações intrínsecas. Importa referir que o cartão de cidadão veio acrescentar um elevado valor ao simbolismo da identidade nacional e, espera-se que com este passo se torne possível mais ainda o desenvolvimento tecnológico do país, pois os custos de desenvolvimento e implementação são superados facilmente com a segurança e confiança social. Em suma, o protótipo que se desenvolveu perspectiva-se que venha a proporcionar uma maior confiança social, provocando uma maior interacção das pessoas com o seu documento de identidade. Este pode ainda vir a ser usado em outros países, onde Portugal tem um papel fundamental de apoio e cooperação. Futuramente, espera-se que o cartão de cidadão venha a ser utilizado num âmbito mais geral, nomeadamente em empresas, e em outros serviços onde é necessário garantir e preservar a segurança e a privacidade.

16 Agradecimentos. Aproveitarmos esta oportunidade de agradecer a colaboração da empresa Multicert e do Instituo de Telecomunicações. Bibliografia [1] Smarter, Faster, Better egovernment 8th Benchmark Measurement, November 2009 Capgemini, Rand Europe, Idc, Sogeti And Dti European Commission, Directorate General For Information Society And Media. [2] Spanish police nab fugitive ETA suspect, Al Goodman, [consultado ] [3] An epassport emulator, [consultado ] [4] WiKi Cartão do Cidadão, [consultado ] [5] O fim da privicidade, Susana Lage, Ciência Hoje, Fevereiro [consultado ] [6] Microsoft OneCare was 'good enough', Vivian Yeo, ZDNet Asia October [consultado ] [7] Privacy Features of European eid Card Specifications, Ingo Naumann, Giles Hogben European Network and Information Security Agency (ENISA) Position paper ( Jan 27, 2009 [8] National eid in Portugal, André Vasconcelos, National eid and epassport Conference - Lisbon [9] Portal do Cartão de Cidadão,

17 Currículos Paul Crocker, Licenciado em Matemática pela Universidade de Leeds, Inglaterra. Doutorouse em Matemática Aplicada na mesma instituição com uma Tese relacionada com a modelação de sistemas de Combustão e simulação usando Sistemas Paralelos. Depois de trabalhar na indústria de desenvolvimento de Software e apoio aos sistemas Bancários, em 1996, foi convidado a entrar no Departamento de Matemática e Informática da Universaidade de Beira Interior onde actualmente é docente no Departameto de Informática. Os seus interesses de investigação são Sistemas Operativos, Programação Paralela e Distribuída e Segurança Informática. É membro e investigador do Instituo de Telecomunicações. crocker@di.ubi.pt Vasco Nicolau, Licenciado em Engenharia Informática pela Universidade da Beira Interior (UBI). Actualmente a concluir a tese de Mestrado - Computação e Sistemas Inteligentes na UBI. A tese, desenvolvida em pareceria com a Multicert, consiste numa plataforma que possibilita a compra de bilhetes Online para eventos. Destaca-se como elemento catalisador a utilização do Cartão de Cidadão, este faz parte integrante da camada de segurança embebida no sistema. Englobando diversas tecnologias, como o NFC, GSM, Código de Barras, Biometria e a Computação Móvel, perspectiva-se que desperte o interesse e a interactividade do cidadão, dada a utilidade inovadora proporcionada pelo Cartão de Cidadão. m2207@ubi.pt Simão Melo de Sousa é especialista em fiabilidade e segurança dos sistemas informáticos, em particular desenvolve trabalho de investigação nos fundamentos e no desenho de técnicas e de ferramentas para a verificação e validação formal de software. É Professor do departamento de informática da Universidade da Beira Interior e doutorou-se pelo INRIA Sophia Antipolis (França) na temática "ferramentas e técnicas para a verificação formal da plataforma JavaCard". É coordenador do grupo de investigação RELEASE (RELiablE And SEcure Computation group) da Universidade da Beira Interior. É investigador responsável do projecto de investigação RESCUE (REliable and Safe Code execution for Embedded systems). Colabora com várias empresas nacionais líderes na área dos sistemas críticos, da segurança, dos transportes ferroviários, da industria aeroespacial e aeronáutica, em projectos de transferências de tecnologia. desousa@ubi.pt