Prevenção de fraudes em documentos eletrônicos

Tamanho: px

Começar a partir da página:

Download "Prevenção de fraudes em documentos eletrônicos"

Edite Lage Domingos
9 Há anos
Visualizações:

1 CIAB 2010 Prevenção de fraudes em documentos eletrônicos 09/06/10 Wander Blanco

2 Agenda Documentos Eletrônicos Prevenção Casos de uso Boas Práticas

3 Documentos Eletrônicos Fraudes com documentos eletrônicos Não é relevante o conceito de original e cópia Alterações fáceis Prevenção Implementar mecanismos que: Identifiquem o autor Identifiquem alterações Possuam rotinas de manipulação padronizadas Possam ser usados como prova

Implementar mecanismos que: Identifiquem o autor Identifiquem

4 Assinatura Digital DOCUMENTO ELETRÔNICO ASSINATURA DIGITAL 1 4 : 0 4 : / 2 0 / 0 0 Autenticidade Integridade Irretratabilidade

$Assinatura Digital fraca Assinatura fraudada$

5 Assinatura Digital fraca Assinatura fraudada Algoritmo fraco (MD5) Assinaturas digitais são idênticas

$Algoritmo fraco (MD5)$

6 Assinaturas Digitais Padrão validado pelo Governo Federal Interoperabilidade - geração e verificação padronizadas Validação a médio e longo prazo 5 formatos de assinaturas (CAdES/XAdES) Uma sem carimbo do tempo Quatro com carimbo do tempo Preocupação com implementações seguras Quantidade de certificados ICP-Brasil emitidos

assinaturas (CAdES/XAdES) Uma sem carimbo do tempo Quatro com carimbo do tempo

7 Formatos de Assinatura Digital a) Assinatura Digital com Referência Básica (AD-RB) b) Assinatura Digital com Referência do tempo (AD-RT) c) Assinatura Digital com Referências para Validação (AD-RV) d) Assinatura Digital com Referências Completas (AD-RC) e) Assinatura Digital com Referências para Arquivamento (AD-RA) AD-RA AD-RC Documento Eletrônico Atributos Assinados AD-RV AD-RT AD-RB Política de Assinatura Assinatura Digital Carimbo do Tempo sobre AD-RB REF Referências sobre certificados e dados de revogação Carimbo do tempo sobre AD-RT + REF VAL Valores dos certificados e dos dados de revogação Carimbo do tempo sobre AD-RC

AD-RA AD-RC Documento Eletrônico Atributos Assinados AD-RV AD-RT AD-RB Política de Assinatura Assinatura Digital Carimbo do Tempo sobre AD-RB REF Referências

8 Assinatura Digital com Referência Básica Campo de Aplicação Este tipo de assinatura deve ser utilizado em aplicações ou processos de negócio nos quais a assinatura digital agrega segurança à autenticação de entidades e verificação de integridade, permitindo sua validação durante o prazo de validade dos certificados dos signatários. Uma vez que não são usados carimbos do tempo, a validação posterior só será possível se existirem referências temporais que identifiquem o momento em que ocorreu a assinatura digital. Nessas situações, deve existir legislação específica ou um acordo prévio entre as partes definindo as referências a serem utilizadas.

9 Casos de uso

10 Contratos de Câmbio Situação atual Padrão de assinaturas proposto pela FEBRABAN em 2003 e validado pelo BACEN Circulares e 3.234, de ABR/2004 Utiliza a referência de tempo do próprio documento Assinatura funciona como chancela de contratos registrados no SISBACEN Avaliação Indicação pelo uso da assinatura AD-RB Encaminhamento Proposta de ajustes na regulamentação de contratos de câmbio tendo em vista o padrão de assinaturas da ICP- Brasil enviada em dez/09 FEBRABAN ao BACEN.

234, de ABR/2004 Utiliza a referência de tempo do próprio documento Assinatura funciona como chancela de contratos

11 Troca eletrônica de cheques Situação atual Características da imagem do cheque: Preto e branco Formato TIFF ISO dpi 22 Kb por imagem (Registros de 27 Kb) lotes 400 cheques (800 imagens) Avaliação Indicação de uso de assinatura ICP-Brasil AD-RB Utilizar o horário da máquina que esta assinando o arquivo Encaminhamento Recomendações incorporadas ao manual técnico (v.5)

imagens) Avaliação Indicação de uso de assinatura ICP-Brasil AD-RB Utilizar o horário da

12 Sistema de Pagamentos Brasileiro (SPB) Situação atual Mensageria em XML com protocolo proprietário Usa rede privada: RSFN (Sistema Financeiro Nacional) Assinatura garante integridade e autenticidade da transação Protocolo de criptografia proprietário (cabeçalho de 332 bytes)

Financeiro Nacional) Assinatura garante integridade e autenticidade

13 Cabeçalho de segurança do SPB RSA 1024 RSA bytes 256 bytes

14 Algoritmos Criptográficos Resolução nº 65, de 09 de junho de 2009 Padrões e Algoritmos Criptográficos da ICP-Brasil(versão 2) Algoritmos(Chaves) ATUAIS 3DES NOVOS AES(128/256) RSA(1024*/2048) RSA(4096), ECDSA(256/512) SHA-1* SHA-2(256/512) * Recomendado até 31/12/2010 A ICP-Brasil emitirá certificados com SHA-1 e RSA1024 até final de 2011.

NOVOS AES(128/256) RSA(1024*/2048) RSA(4096), ECDSA(256/512) SHA-1* SHA-2(256/512) *

15 Sistema de Pagamentos Brasileiro (SPB) Avaliação Proposta de ajustes no padrão de segurança do SPB(Manual de segurança da RSFN): Algoritmos: Substituir a função hash SHA-1 por SHA-256 Substituir as chaves RSA1024 por RSA2048 Assinatura: Incluir o conceito de criptograma de autenticação Excluir o conceito de assinatura digital Possibilidade de uso de certificados do tipo A3 Encaminhamento Enviada a proposta da FEBRABAN ao BACEN em 11/02/10

RSA2048 Assinatura: Incluir o conceito de criptograma de autenticação Excluir o conceito de assinatura digital

16 Framework de Certificação Digital. Carimbo do tempo GERENCIADOR DE LCRs VALIDADOR VERIFICADOR CARIMBADOR ASSINADOR Framework Web Services Aplicações

17 Framework de Certificação Digital

18 Boas Práticas na prevenção de fraudes Autenticação usando Certificados Digitais Algoritmos criptográficos fortes Assinatura padrão da ICP-Brasil Acompanhar/participar das definições da FEBRABAN

19 Obrigado! WANDER BLANCO NUNES Gerência de Certificação Digital Vice-presidência de Tecnologia CAIXA ECONÔMICA FEDERAL

Documentos relacionados

EVOLUÇÃO HISTÓRICA DA DOCUMENTAÇÃO ELETRONICA NO BRASIL. Aula 4 - Documentos eletrônicos 07/mai/2012. Prof. Apresentador: José Maria Ribeiro

EVOLUÇÃO HISTÓRICA DA DOCUMENTAÇÃO ELETRONICA NO BRASIL Aula 4 - Documentos eletrônicos 07/mai/2012 Prof. Apresentador: José Maria Ribeiro Agenda Anterior: Conceitos da NF-e Objetivo Histórico Modelo Operacional