Professional Documents
Culture Documents
COLIGIDO POR
Mário Mineiro
DOCENTES
Joaquim Pombo
13 Outubro 2010
Administração de Sistemas Informáticos
Benjamin Franklin
ILUSTRAÇÕES
Ilustração 1 - Abstracto área de acesso seguro .................................................................................................................. 8
Ilustração 2 - Cartão Inteligente ......................................................................................................................................... 9
Ilustração 3 – Sistemas de Controlo de Acessos. ............................................................................................................... 10
Ilustração 4 - Ambientes de controlo Físico e lógico ......................................................................................................... 12
Ilustração 5 – Abstracto de Segurança Física .................................................................................................................... 13
Ilustração 6 - Dumpster Diving .......................................................................................................................................... 16
Ilustração 7 - "Insiders" ..................................................................................................................................................... 17
Ilustração 8 - Smart Card .................................................................................................................................................. 20
Ilustração 9 - Tipos de Cartões Inteligentes - Smart Cards ................................................................................................ 21
Ilustração 10 - Esquema Genérico do Chip do Cartão Inteligente de Contacto................................................................. 22
Ilustração 11 - Camadas e um Cartão inteligente ............................................................................................................. 23
Ilustração 12 - Cartão Multiaplicações ACOS6 .................................................................................................................. 24
Ilustração 13 - Etiqueta RFID ............................................................................................................................................. 25
Ilustração 14 - Abstracto Biometria .................................................................................................................................. 26
Ilustração 15 - Dispositivo Biométrico com Cartão Inteligente ........................................................................................ 28
Ilustração 16 - Captura de Pontos Biométricos ................................................................................................................. 29
Ilustração 17 - Reconhecimento da Impressão Digital ...................................................................................................... 30
Ilustração 18 - Identificação da Íris ................................................................................................................................... 31
Ilustração 19 - Geometria da Mão .................................................................................................................................... 32
Ilustração 20 - Reconhecimento de Impressões digitais ................................................................................................... 34
Ilustração 21 - Sistemas de Controlo de Ponto.................................................................................................................. 35
Ilustração 22 - Cartão Inteligente ..................................................................................................................................... 38
Ilustração 23 - Quotidiano de Autenticação...................................................................................................................... 39
Ilustração 24 - Autenticação por PIN ................................................................................................................................ 41
Ilustração 25 - Informação e aplicações residentes no chip do Cartão de Cidadão .......................................................... 47
TABELAS
Tabela 1 - Esquema dos pontos e contacto do Chip nos Smart Cards ............................................................................... 22
Tabela 2 - Análise comparativa dos tipos de tecnologias Biométricas (Ribeiro & Yamashita, 2008) .............................. 33
Tabela 3 - Comparação entre as características biométricas para SCA (Ribeiro & Yamashita, 2008) .............................. 34
ÍNDICE
Resumo .......................................................................................................................................................................... 7
Introdução ................................................................................................................................................................... 8
Controlo de Acessos............................................................................................................................................. 10
Conceito....................................................................................................................................................... 10
Elementos de Controlo .......................................................................................................................... 11
Sujeito...................................................................................................................................................... 11
Objecto .................................................................................................................................................... 11
Ambientes de Controlo .......................................................................................................................... 11
Ambiente global de segurança....................................................................................................... 11
Ambiente local de segurança.......................................................................................................... 11
Ambiente eletrônico de segurança .............................................................................................. 11
Principios de Segurança........................................................................................................................ 12
Disponibilidade ................................................................................................................................... 12
Integridade ............................................................................................................................................ 12
Confidencialidade ............................................................................................................................... 12
Áreas de Segurança.............................................................................................................................................. 13
Segurança Física....................................................................................................................................... 13
Lista de acesso físico.......................................................................................................................... 14
Áreas ........................................................................................................................................................ 14
Localização dos Centros de Dados ............................................................................................... 15
Controlo de Acesso Físico ................................................................................................................ 15
Eliminação de Resíduos e Documentos...................................................................................... 16
Rasto ........................................................................................................................................................ 17
Segurança do Pessoal ............................................................................................................................. 17
Segurança Lógica ..................................................................................................................................... 18
Criptografia ........................................................................................................................................... 18
Conclusão .................................................................................................................................................................. 45
RESUMO
Palavras-Chave
Controlo de Acessos, PACS, Biometria, Smart Card,
INTRODUÇÃO
No quotidiano actual e numa cada vez mais sociedade da informação, ao mesmo tempo
que as informações são consideradas o principal património dos indivíduos e das
organizações, estão também sob constante risco, como nunca estiveram antes. Com isso, a
segurança de informações tornou-se um ponto crucial para a sobrevivência das pessoas e das
instituições.
No passado em que as informações eram armazenadas apenas em papel, a segurança era
relativamente simples. Bastava guardar os documentos num armário e vedar o acesso físico
àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a
estrutura de segurança tornou-se mais sofisticada, com a incorporação de controlos lógicos,
porém ainda centralizados. Mais tarde, com a chegada dos computadores pessoais e das redes
de computadores que interligam o mundo da informação, os aspectos de segurança atingiram
um nível de complexidade que actualmente existe a necessidade de criação de equipas e
sistemas de segurança cada vez mais evoluídos. Paralelamente, os sistemas de informação
também adquiriram importância vital para a sobrevivência da maioria das organizações
modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de
informação pode se tornar inviável.
Desde sempre foram usados métodos de controlo de acesso, tenham sido por motivos de
segurança ou para registo de assiduidade. O termo controlo de acesso foi e é uma referência à
prática de permitir o acesso a edifícios ou salas por pessoas com a devida autorização. Os
métodos vão de uma simples fechadura ou folha de registo até aos mais recentes sistemas de
controlo electrónico. Este tipo de controlo desempenha um papel cada vez mais importante
no meio em que se vive actualmente onde existe a necessidade crescente de proteger bens e
informação assim como controlar entradas e saídas de milhões de pessoas em empresas e
instituições.
Em segurança, especialmente
segurança física, o termo controlo de
acessos é uma referência à prática de
permitir o acesso a uma propriedade,
prédio, ou sala, apenas para pessoas
autorizadas. O controlo físico de acesso
pode ser obtido através de pessoas
(um guarda, segurança ou
recepcionista); através de meios
mecânicos como fechaduras e chaves;
ou através de outros meios
tecnológicos, como sistemas baseados
em cartões de acesso, biometrias, etc.
A segurança física e o controlo de
acesso de indivíduos assume cada vez Ilustração 1 - Abstracto área de acesso seguro
mais um papel relevante tendo em (Fonte: Google Images 2010)
conta a segurança de informação e respectivos sistemas de informação.
Uma das medidas de segurança mais importantes numa organização com políticas de
controlo de acessos é confirmar a identidade dos visitantes e as credenciais de funcionários e
indivíduos autorizados.
A concretização dessas medidas é feita actualmente na maioria dos casos na forma mais
simples pela verificação de um documento de identidade com fotografia ou credencial. No
entanto, olhar rapidamente para a fotografia do documento de identificação ou credencial não
basta, é necessário o uso a tecnologias capazes de melhorar e facilitar a identificação e
concessão de acesso dos indivíduos. Entre várias tecnologias, pretende-se destacar neste
trabalho o uso de duas tecnologias imprescindíveis no que se refere a sistemas de controlo de
acessos com vista à segurança física.
Uma das tecnologias referidas acima é a biometria1, que verifica impressões digitais, o
mapeamento da retina ou características faciais e pessoais usando sistemas complexos de
computador para detectar se o individuo é quem diz ser. Os sistemas de reconhecimento
biométrico são utilizados quase sempre com vista à garantia da segurança.
Actualmente, existem várias estratégias biométricas de autenticação de indivíduos que
já estão a ser utilizadas em aplicações comerciais e por isso mais acessíveis. De forma a tornar
os sistemas mais aceitáveis e utilizáveis, deve-se tanto procurar as soluções de menor custo,
de maior confiabilidade e de maior simplicidade no que ser refere a seus procedimentos de
utilização.
Outra das tecnologias destacada neste documento é o uso de Smart Cards2 ou Cartões
Inteligentes que normalmente se assemelham em forma e tamanho a um cartão de crédito
convencional de plástico com fita magnética. Um facto curioso é que a maioria de nós usa um
destes cartões, mas que devido ao seu uso específico possuem outra designação, quer na
forma de cartão SIM que podemos encontrar em todos os telemóveis ou também o caso dos
CHIP de segurança que os nossos cartões de débito (MB) e/ou crédito possuem.
A grande diferença entre os diversos Smart Cards que se podem encontrar é
normalmente na capacidade de processamento
que cada um possui, pois cada
um incorpora um
microprocessador e
memória (que armazena
vários tipos de informação
na forma electrónica),
com sofisticados
mecanismos de segurança.
Actualmente e
especialmente no caso
português no seio da
união europeia, é cada vez
maior o número de cartões
de crédito que utilizam a tecnologia
(Wikipédia (PT), 2010).
CONTROLO DE ACESSOS
CONCEITO
O Controlo de Acessos pode ser do
tipo físico (PACS 3 ), que se refere ao
controlo real do acesso físico a instalações,
recursos serviços, e sistemas de
informação que se encontram protegidos
por uma ou várias razões, ou pode ser do
tipo lógico (LACS 4 ), que se refere ao
controlo e protecção de acessos de
conteúdos digitais ou transmissão dos
sistemas de informação, quer via sistemas
filares ou sem fio, através da
implementação de politicas,
procedimentos e técnicas usados em
sistemas informáticos. Normalmente os
PACS e os LACS dentro de uma organização
são administradas separadamente, no
entanto, os requisitos do ponto de vista da
arquitectura são semelhantes, mesmo para
as diferentes ameaças especificas de cada
sistema.
Assim, o Controlo de Acessos visa
restringir, controlar e registar o acesso e
movimento a áreas ou sistemas restritos Ilustração 3 – Sistemas de Controlo de Acessos.
(Fonte: Google Images 2010)
somente a indivíduos autorizados, poderá
incluir uma política de controlo horários e por isso estar incorporado em sistemas de controlo
de ponto.
Os Sistemas de Controlo de Acessos (SCA) impõem características de segurança que
controlam a forma como os indivíduos interagem com os sistemas e recursos, tais como:
Capacidade de permitir e controlar o acesso físico apenas a indivíduos
autorizados.
Atribuição ou negação de permissão para acesso determinados recurso e/ou
sistemas de informação de acordo com um modelo de segurança.
Conjunto de procedimentos executados por hardware, software e
administradores de sistemas de informação para monitorizar acessos, identificar
requisições de acesso de indivíduos, registar tentativas de acesso, e permitir ou
bloquear o acesso baseado em regras pré-estabelecidas.
ELEMENTOS DE CONTROLO
SUJEITO
Um sujeito é o elemento de controlo que assume o papel no âmbito dos SCA de entidade
activa que solicita acesso a um objecto ou a áreas ou aos recursos dentro de um objecto.
OBJECTO
Um objecto é o elemento de controlo que assume o papel no âmbito dos SCA de entidade
passiva que contém recursos, serviços ou sistemas de informação a aceder.
AMBIENTES DE CONTROLO
Os acessos de visitantes, clientes e outras pessoas não directamente envolvidas com a
operação do sistema, devem ser feitos com restrições e o contacto com o sistema deve ser o
menor possível. Quando usados para autenticação, consistem de uma base de dados contendo
informações sobre o nível de acesso dos indivíduos e um esquema para garantir a
identificação dos mesmos.
PRINCIPIOS DE SEGURANÇA
Qualquer SCA usado garantir a segurança fornecerá pelo menos um destes princípios de
segurança:
Disponibilidade
Integridade
Confidencialidade
DISPONIBILIDADE
Aceder uma informação não parece ser tão importante até o momento que ela se torne
inacessível. Locais, Sistemas, Informações e recursos devem estar disponíveis para os
indivíduos em tempo útil de forma que a produtividade não seja afectada.
INTEGRIDADE
A informação deve ser precisa, completa e protegida contra modificações não
autorizadas. Se algum tipo de modificação ilegal ocorrer, o mecanismo de segurança deve
alertar o individuo utilizador ou administrador de alguma forma.
CONFIDENCIALIDADE
É a garantia de que a informação não é divulgada para indivíduos, programas ou
processos não autorizados. Os SCA precisam estar organizados e funcionais para ditar quem
pode aceder e o que o sujeito pode fazer depois de autorizado. Essas actividades devem ser
controladas, auditadas e monitoradas.
ÁREAS DE SEGURANÇA
SEGURANÇA FÍSICA
O ambiente físico no qual uma organização Segurança física -> Ambiente
desenvolve a sua actividade pode constituir um dos Segurança lógica -> Software
elementos mais importantes no que se refere à
A segurança começa pelo ambiente físico
salvaguarda da informação e respectivos sistemas.
Abrange todo o ambiente onde os sistemas de “Não adianta investir dinheiro em esquemas
informação estão instalados: sofisticados e complexos se não instalarmos
Prédio uma simples porta para proteger fisicamente
Portas de acesso os servidores da rede.”
Trancas A segurança lógica deve ocorrer após a
Piso segurança física, através de software e
Salas protocolos
Computadores
Os danos intencionais ou acidentais provocados por visitantes, funcionários, prestadores
de serviço, elementos de limpeza e de vigilância podem variar desde o furto de equipamentos
e componentes internos, até alteração, cópia ou divulgação de informações confidenciais e
actos de vandalismo (destruição de equipamentos, corte de cabos eléctricos e linhas
telefónicas).
A inexistência de sistemas controlo de acesso
físicos (PACS) aos computadores pode permitir
também a actuação de invasores/hackers nas suas
tentativas de enganar sistemas de controlo lógicos
(LACS) de acesso aos recursos computacionais e suas
informações, comprometendo a integridade e a
confidencialidade das informações e dos dados.
Os aspectos de segurança apresentados a seguir
podem ser utilizados como uma lista de verificação
(check-list), tanto pela equipa de administração de
sistemas informáticos (ASI), como pela equipa de
auditoria. Para a ASI, essa lista (apresentada na página
seguinte) pode servir como um conjunto de tarefas a
serem realizadas para garantir a segurança de acesso
Ilustração 5 – Abstracto de Segurança Física físico na organização.
(Fonte: Google Images 2010)
ÁREAS
Em zonas densamente povoadas, como é o caso dos centros urbanos, a questão da
escolha da localização da organização pode estar altamente condicionada. Porém, a
importância da definição de áreas, no seio da própria organização, contribui decisivamente
para a construção de ambientes seguros. Existem erros que, fruto de condicionamentos de
espaço, podem efectivamente fragilizar a capacidade de protecção da informação.
Os componentes críticos de armazenamento, processamento ou transmissão não
deverão encontrar-se demasiado expostos, nem deverão ser de acesso demasiado fácil. Não é
necessário criar bunkers mas, por exemplo, é de evitar a instalação de componentes sensíveis,
como sejam arquivos, ou bastidores de dados, em zonas de acesso público (como corredores).
A segurança física deverá ser pensada em moldes concêntricos e de profundidade, com
vista a incrementar os níveis de protecção contra acessos não autorizados. Segundo esta
lógica, os bens mais preciosos deverão encontrar-se mais perto do centro das instalações,
obrigando à passagem por diversos níveis de validação. Pelo contrário, os componentes
Sistemas de Controlo de Acessos 14
Administração de Sistemas Informáticos
menos valiosos, ou mais facilmente substituíveis, poderão ficar em zonas periféricas, menos
protegidas, mas nunca dispensando por completo um qualquer tipo de salvaguarda. (Silva,
Carvalho, & Torres, 2003)
Os diferentes níveis de validação devem, igualmente, ser proporcionais à informação
que protegem.
Exemplo: O acesso a uma sala de processamento de dados é protegido por um leitor de
cartões magnéticos. Dentro dessa sala, o acesso à zona das “consolas” de Administração dos
sistemas centralizados já requer, para além do cartão magnético, um PIN numérico. Por outro
lado, o acesso à sala dos servidores já poderá obrigar ao registo num livro de acesso, bem
como à utilização do cartão e do PIN ou o uso de sistemas biométricos e Smart Cards.
soluções de controlo não são ultrapassadas, evitando situações em que, por comodismo, uma
porta é encravada aberta, por exemplo.
Mas o controlo de acessos não se resume a uma portaria com guardas e, eventualmente,
um sistema de vídeo em circuito fechado.
Este controlo deve ser alargado a todas as áreas sensíveis, nomeadamente aos centros
de dados e aos arquivos centrais, e deverá ser abrangente, na medida em que não devem
existir excepções.
Na sala de servidores da organização, por exemplo, devem ser registados os acessos de
todos os operadores e administradores, incluindo as suas horas de entrada e de saída. Casos
haverá em que, para além de um sistema automático de controlo, como por exemplo um leitor
de cartões magnéticos ou smart card, fará sentido a existência de um livro de registo de
acessos, onde todos deverão inserir a data e hora de entrada e saída, bem como uma rubrica
para autenticação do registo.
Existem igualmente soluções, baseadas em tecnologia, que permitem definir, de forma
automatizada, horários de acesso a determinados locais, e que podem ser implementadas com
um impacto relativamente reduzido sobre o funcionamento normal da organização.
Nenhuma destas medidas, porém, fará sentido sem o devido acompanhamento.
6 http://en.wikipedia.org/wiki/Dumpster_diving
RASTO
O rasto é, resumidamente, o registo de qualquer actividade monitorizada nas instalações
de uma organização. Este registo pode ser composto pelos mais diversos elementos, quer
sejam gravações vídeo, áudio, registos biométricos, de cartões de acesso (de banda magnética
ou smart cards), etc.
É o rasto que permite reconstituir um qualquer evento, revelando quem fez o quê,
quando e como. Como tal, todos os registos gerados pelas medidas de protecção física devem
ser arquivados por um determinado período, permitindo reconstituir, nesse espaço de tempo,
o rasto de todos os indivíduos presentes nas instalações e, dessa forma, detectar actividades
não autorizadas, quebras de segurança ou, mais simplesmente, acções suspeitas. Somente
através do cruzamento dos vários rastos criados pelas diversas formas de segurança física
conseguirá o responsável, ou a equipa de segurança, investigar e, eventualmente, evitar
potenciais compromissos de confidencialidade, integridade ou disponibilidade da informação.
(Silva, Carvalho, & Torres, 2003)
SEGURANÇA DO PESSOAL
A segurança tende, na grande parte dos casos, a ocupar-se principalmente com as
facetas física e lógica (tecnológica) dos problemas, devotando particular atenção às soluções
técnicas para as fragilidades inerentes à tecnologia. A mitigação das vulnerabilidades e das
ameaças tende, por seu lado, a reflectir a utilização de meios tecnológicos, melhor ou pior
enquadrados nas necessidades do negócio. É nestas áreas que os especialistas em segurança
investem mais tempo (e dinheiro), especializando-se nesta disciplina restrita e altamente
especializada da segurança dos sistemas de informação. Como consequência, constata-se
frequentemente que muito pouca relevância é conferida a um dos elos mais importantes da
cadeia: a componente humana.
São as pessoas que interagem diariamente com os sistemas, que têm acesso à
informação neles contida, que condicionam o processamento dessa mesma informação, que a
gerem. E, também muitas vezes, são as próprias pessoas a principal ameaça a esses mesmos
sistemas.
As estatísticas realizadas na área da segurança dos SI
têm revelado uma tendência continuada, se não mesmo
crescente, para a existência de um grande número de
ataques consumados por insiders, ou seja, por elementos
internos à própria organização. Esses ataques podem ser
acções deliberadas e planeadas com antecipação e com o
objectivo de provocar grandes prejuízos à organização, ou,
simplesmente, podem ser o resultado de acções mal
executadas, de erros humanos. Mas, apesar destas
evidências, a ênfase continua a ser dada à tecnologia e às
soluções que esta pode proporcionar, em detrimento de
acções de sensibilização e formação junto dos utilizadores.
É a esta acção pedagógica que nos iremos dedicar de
seguida. A pedagogia da segurança é, provavelmente, uma Ilustração 7 - "Insiders"
das tarefas mais sensíveis sob a alçada do responsável pela (Fonte: Google Images 2010)
segurança da Empresa. Não por se tratar de um tema extraordinariamente complexo, mas por
implicar a gestão de sensibilidades e percepções distintas e a interacção com personalidades
diferentes. De facto, e independentemente da dimensão da organização em causa, dificilmente
se encontrarão dois colaboradores iguais.
Sistemas de Controlo de Acessos 17
Administração de Sistemas Informáticos
SEGURANÇA LÓGICA
Acesso de controlo lógico refere-se ao controlo electrónico cujo propósito é limitar o
acesso aos ficheiros de dados e aos programas informáticos aos indivíduos que têm
autoridade genuína para aceder a tal informação. Isso pode ser possível através de algoritmos
para autenticação e diferenciação.
Acesso de controlo lógico é uma ferramenta utilizada para a identificação, autenticação,
autorização e contagem. Estas são componentes que reforçam as medidas de controlo de
acessos para os sistemas, programas, processos e informação. O acesso de controlo lógico
pode ser envolvido nos sistemas operativos, aplicações, pacotes de segurança add-on, bases
de dados e sistemas de gestão de telecomunicações. Assim, a segurança lógica, compreende
entre outros, os seguintes mecanismos de protecção baseados em software.
Senhas
Listas de controlo de acesso
Criptografia
Firewall
Sistemas de detecção de intrusão (IDS7)
Redes virtuais privadas (VPN8)
CRIPTOGRAFIA
Para além de todas as medidas “clássicas” de segurança lógica que possam ser utilizadas
para a protecção dos dados existentes em suportes digitais, tais como palavras-passe, gestão
de privilégios, etc., existe um mecanismo, já antigo mas de visibilidade relativamente
reduzida, que permite garantir a confidencialidade dos dados armazenados. Esse mecanismo
é a cifra, também designada criptografia (uma adopção literal do termo anglo-saxónico
“cryptography”). Na sua essência, a cifra é o processo através do qual se protege/encripta um
conjunto de dados, de modo a que este apenas possa ser desprotegido/desencriptado por
alguém que conheça um determinado segredo. Utilizando um algoritmo de cifra e
adicionando-lhe uma chave (palavra ou frase secretas), gera-se uma operação matemática de
substituição dos dados a proteger por outros elementos. O algoritmo é tanto mais poderoso e
eficiente quanto melhor for a utilização que faz dessa chave e quanto mais resistente for à
criptoanálise9.
GENERALIDADES
Nos sistemas de controlo de acesso, o individuo é identificado por algum dispositivo que
a representa. Entre diversas soluções para o controlo de acesso físico desde a simples
fechadura electrónica, apresentam-se os seguintes exemplos de tecnologias utilizadas
actualmente:
Tokens10
o Cartões Magnéticos,
o Cartões com código de barras.
o iButtons11.
Cartões Inteligentes (Smart Cards).
Biometria
TOKENS
A ideia de fornecer tokens a indivíduos como forma de identificá-los é bastante antiga.
No nosso dia-a-dia estamos frequentemente utilizando tokens para aceder a alguma coisa. O
cartão de débito (MB) e crédito com chip são exemplos de tokens. O cartão magnético é ainda
uma token especial, pois guarda outras informações. Um token pode ser definido, então, como
um objecto que o individuo possui, que o diferencia das outras pessoas e o habilita a aceder a
algum objecto. A desvantagem dos tokens em relação às senhas é que os tokens, por serem
objectos físicos, podem ser perdidos, roubados ou reproduzidos com maior facilidade.
CARTÕES M AGNÉTICOS
O cartão magnético, ou cartão de banda magnética, foi criado por Forrest Parry12, um
engenheiro da IBM. O projecto surgiu ao abrigo de um contrato com o governo dos EUA para
um sistema de segurança e foi criado no início dos anos 70 para ser inicialmente utilizado
para cartões de identificação e de crédito. Esta tecnologia é universalmente aplicada e
continua a ser uma das mais usadas tecnologias para controlo de acesso e de transacções.
10 http://en.wikipedia.org/wiki/Security_token
11 http://www.maxim-ic.com/products/ibutton/ibuttons/
12 http://en.wikipedia.org/wiki/Forrest_Parry
Apesar da sua grande utilização, a capacidade limitada de informação que pode ser
armazenada num dispositivo de banda magnética e o baixo nível de segurança em relação a
alternativas mais recentes são os seus factores mais limitativos, razão pela qual, outras
tecnologias como os cartões inteligentes de chip (smart cards), e de código de barras, estão a
absorver alguma parte do mercado que anteriormente era dominado por cartões de fita
magnética. (Gonçalves & Oliveira, 2010)
13 http://www.innovatron.fr/
Cartões de Contacto
Os cartões de contacto (Contact Card), são o tipo mais comum de cartão inteligente. Os
contactos de cobre localizados no exterior do cartão identificam-no e servem de interface por
contacto entre o microprocessador do cartão e o leitor do cartão quando o mesmo é inserido.
Estes contactos eléctricos de cobre estão dispostos conforme a figura seguinte e estão ligados
directamente ao chip encapsulado no cartão com as funcionalidades descritas na tabela
seguinte.
Cartões de Memória
Os cartões de memória não podem gerir ficheiros e não possuem poder de
processamento para gestão de dados. Todos os cartões de memória comunicam com os
leitores através de protocolos síncronos e escrevem-se (com excepção do cartões de
proximidade) e lêem-se os dados num endereço fixo do cartão. Existem 3 tipos de cartões de
memória de contacto: Straight, Protected, Stored Value.
Antes de projectar implementar este tipo de cartões num sistema existente, o ASI deve
verificar se os leitores de cartões e/ou terminais suportam os protocolos de comunicação do
chip do cartão escolhido.
Straight
Estes cartões apenas armazenam dados e não têm a capacidade de processamento
de dados. Muitas vezes feito com I2C14 ou semicondutores serial flash, estes ofereciam
normalmente o preço mais baixo por bit de memória usada. No entanto, com a massiva
quantidade de processadores construídos para o mercado GSM, actualmente esta
vantagem do preço mais baixo desapareceu. Estes cartões devem ser considerados como
disquetes de vários tamanhos, mas sem o mecanismo de bloqueio (read only) e não se
conseguem identificar ao leitor de cartões o
que obriga que o sistema tenha que saber
antecipadamente que tipo de cartão está a
ser inserido no leitor. Estes cartões são
facilmente duplicados e não podem ser
controlados e seguidos (tracking) por
identificadores no cartão.
Protected / Segmented
Estes cartões têm lógica interna para
controlar o acesso à memória do cartão. Às
vezes referido como cartões de memória
inteligente, estes dispositivos podem ser
configurados para escrever-proteger alguns
ou a matriz de memória inteira. Algumas
destas placas podem ser configuradas para
restringir o acesso à leitura e à escrita. Isso
geralmente é feito através de uma chave ou
senha do sistema. Estes cartões podem ser
divididos em seções lógicas para
multifuncionalidades planeadas. Estes
cartões não são facilmente duplicados, mas
pode eventualmente ser reproduzidos por
hackers. Estes cartões, geralmente podem
ser podem ser controlados e seguidos Ilustração 11 - Camadas e um Cartão inteligente
(tracking) por identificadores no cartão (Fonte: Smartcardbasics)
Stored Value
Estes cartões são concebidos com a finalidade específica de armazenar valor ou
tokens. São descartáveis ou recarregáveis. A maioria dos cartões deste tipo incorpora
medidas permanentes de segurança de fábrica. Estas medidas podem incluir chaves
lógicas e senhas que são embutidas no chip pelo fabricante. As matrizes de memória
destes dispositivos são configuradas contadores. Há pouca ou nenhuma memória
deixada para qualquer outra função. Para aplicações simples, como um cartão telefónico,
o chip tem 60 ou 12 células de memória, um para cada unidade de telefone. Uma célula
de memória é eliminada sempre que uma unidade de telefone é usada. Quando todas as
unidades de memória são usadas, o cartão torna-se inútil. Este processo pode ser
revertido no caso de cartões recarregáveis.
14 http://www.i2c-bus.org/
Existem muitas configurações de chips, nesta categoria, incluindo chips que suportam
criptografia Public Key Infrastructure 16 (PKI) com co-processadores matemáticos ou
JavaCard17 com blocos de hardware da máquina virtual. Como regra de ouro - quanto mais
funções, maior o custo do cartão.
15 http://www.cardwerk.com/smartcards/smartcard_operatingsystems.aspx
16 http://www.rnp.br/_arquivo/sci/2000/pki.pdf
17 http://www.oracle.com/technetwork/java/javacard/index.html
Cartões RF que comunicam (read & write) em 13,56 MHz e de acordo com a norma
ISO 14443. Geralmente do tipo de memória protegida.
ESPECIFICAÇÕES E STANDARDS
A maioria dos tipos de cartões inteligentes – Smart Card são regulados pelas normas ISO
7816-1,2 & 3. Estas Normas ISO, definem a dimensão física dos contactos, a sua resistência à
electricidade estática, à radiação electromagnética, descrevendo ainda a posição física do Chip
no cartão. Esta Norma estabelece ainda especificações sobre o protocolo de transmissão.
18 http://mifare.net/
BIOMETRIA
Em poucas palavras, Biometria (do grego Bios = vida, metron = medida) é o uso de
características biológicas em mecanismos de identificação. Entre essas características tem-se
a íris, a retina (membrana interna do globo ocular), a impressão digital, a voz, o formato do
rosto e a geometria da mão. Há ainda algumas características físicas que poderão ser usadas
no futuro, como DNA (Deoxyribonucleic Acid) e odores do corpo. (Info Wester, 2005)
Com a crescente procura por sistemas de segurança mais eficazes e ânsia por melhorias
nestes sistemas, surge a biometria como a resposta tecnológica mais recente mesmo para
sistemas de baixo custo.
A palavra biometria está ligada a verificação da
identidade de uma pessoa por meio de uma
característica fisiológica mensurável única a essa
pessoa. A característica única citada pode ser desde
uma impressão digital, passando pelo scanner de
íris, um amostragem de voz, da caligrafia e até a
projecção facial. O baixo índice de fraudes e a
facilidade de utilização são as suas melhores
características e pontos fortes.
Os mecanismos de autenticação por biometria
funcionam baseados no registo e na verificação. Para
o uso inicial da biometria, cada individuo deve ser
registado num sistema, que armazena uma
característica fisiológica desse individuo, física ou
comportamental para ser utilizada, posteriormente,
na verificação da identidade do mesmo individuo.
Quando o individuo solicita a autenticação, a sua
característica física é capturada pelo sensor e essa
informação recolhida é então comparada com o
modelo biométrico armazenado desse individuo.
Seja qual for o sistema biométrica utilizada, a característica biométrica deve estar
enquadrada num sistema biométrico a onde o individuo é previamente registado e seu perfil
biométrico fica armazenado associado com a técnica de captura usada:
Impressão digital;
Identificação de íris;
Reconhecimento de voz;
Reconhecimento da dinâmica da digitação;
Reconhecimento da face;
Identificação da retina;
Geometria da mão e
Reconhecimento da assinatura.
Vantagens
As vantagens dos sistemas biométricos face aos convencionais são inúmeras. Uma delas
tem a ver com o facto de as características biológicas serem realmente pessoais e
intransmissíveis. Não há forma duplicar o seu código a terceiros ou de lhes emprestar o seu
cartão. É a única forma de segurança que implica realmente a presença física da pessoa em
causa. Outro factor importante é o facto de a biometria não estar dependente de um
computador específico, na qual está instalado um certificado digital. Com a biometria, não há
cookies nem qualquer tipo de vínculo ao computador utilizado.
As vantagens deste tipo de sistemas resumem-se em duas palavras: "Segurança e
conveniência", as quais não pode existir uma sem a outra.
Desvantagens
A biometria também tem desvantagens. Quando nos referimos à autenticação em
grandes massas de trabalho, o seu desempenho e eficiência e não é tão boa quanto deveria
ser. Dependendo da quantidade de indivíduos na base de dados biométricos, a autenticação
do individuo torna-se lenta e inviável para utilização.
A pensar em todas esses factores, foram criados
cartões que comportam a tecnologia biométrica e
também outros níveis de segurança usados nos cartões
inteligentes para as aplicações, não só dos cartões, mas
também em redes e projectos de segurança em geral,
tornando um sistema único. O uso de uma quantidade
muito maior de informações para cada impressão
digital, ao invés da simples verificação de impressões
digitais, mostra a capacidade de trabalho dessa
tecnologia.
Ilustração 15 - Dispositivo Biométrico
com Cartão Inteligente
Vulnerabilidades (Fonte: Precise Biometrics)
Como qualquer mecanismo de segurança, os dispositivos biométricos estão sujeitos a
falhas. São três os tipos de erros:
Falsa rejeição do atributo físico de um individuo. O sistema não reconhece o padrão
mesmo estando correcto. É classificado na taxa de falsa rejeição;
Falsa aceitação de um atributo físico. Neste caso, o sistema aceita a pessoa errada. O
tipo de erro é classificado na taxa de falsa aceitação;
Erro no registo de um atributo físico. São casos onde a variação de características
físicas pode dificultar a operação do sistema. Alguém com problemas de voz, por
exemplo, pode atrapalhar o funcionamento do dispositivo, aumentando a taxa de
erro.
Erros
De uma maneira geral, a comunidade biométrica diferencia vários tipos de erros,
conforme a localização lógica de sua ocorrência. As diferentes aplicações biométricas podem
ter diferentes definições dos erros associados. Consequentemente, há muita terminologia para
expressar a precisão de uma aplicação. O que é bastante claro e aceite por toda a comunidade
biométrica é que qualquer sistema biométrico cometerá erros e que o verdadeiro valor
associado às diversas taxas de erro não pode ser estabelecido teoricamente, por cálculo, mas
somente por estimativas estatísticas dos erros, que são expressos em taxas e percentagens.
19 http://www.rnp.br/_arquivo/sci/2000/pki.pdf
Padronização
A padronização é necessária para a ampla aceitação de tecnologias biométricas.
Actualmente, os dispositivos não possuem interoperabilidade. Padrões internacionais
relativos a tecnologias biométricas têm sido propostos e estão em fase de amadurecimento.
Estes padrões pretendem dar suporte à troca de dados entre aplicações e sistemas e tentam
evitar os problemas e custos oriundos dos sistemas proprietários (Moreira, 2001)
Tecnologias
Existem no mercado diversos tecnologias de sistemas que utilizam a biometria para
captura das seguintes características biométricas do individuo:
Impressão digital;
Íris;
Retina;
Voz;
Face;
Geometria da mão
Assinatura.
Reconhecimento da Impressão Digital
A individualidade da impressão digital é amplamente reconhecida, e tem sido usada
desde o final do século XIX. É uma das tecnologias mais difundidas no mundo da biometria.
A impressão digital é o desenho formado por vales e cristas (as papilas) na palma da
mão e na ponta dos dedos. É formada ainda no feto, muda muito pouco com a idade e não é a
mesma nem no caso gémeos univitelinos, o que leva os
especialistas a crer que nem mesmo em seres humanos
clonados a impressão digital será a mesma.
O desenho formado pela impressão digital possui pontos
característicos que permitem a sua identificação: fim de linha,
bifurcações, núcleos, deltas, entre outras. Esta grande variedade
de detalhes torna a impressão digital o sistema biométrico
preferido para aplicações de grande porte.
Outras vantagens são a rapidez e a confiança, aliada ao
baixo preço (juntamente com o reconhecimento pela voz) e o
pequeno tamanho dos leitores de impressões digitais. Muitos
Ilustração 17 - Reconhecimento da
utilizadores consideram de todos os tipos de biometria, a Impressão Digital
impressão digital a menos intrusiva. Talvez seja por esse (Fonte: Google Images 2010)
motivo, que se constitui, actualmente, na técnica mais utilizada.
Tipos de Leitores
A ampla popularidade da impressão digital deve-se ao aparecimento de várias
tecnologias de leitura de impressões digitais. Inicialmente todas a impressão digitais
tinham que ser recolhidas com o recurso a tinta e fichas de papel que eram
posteriormente digitalizadas. Este trabalho extra não é mais necessário, sendo a captura
de impressões digitais um processo extremamente rápido, de menos de um segundo na
maioria dos casos.
Com a excepção do leitor óptico, todos os outros são de leitura directa, sendo
portanto muito menores, porém não têm a qualidade do sensor óptico. O sensor óptico
atinge mais facilmente grandes áreas de leitura, sendo usado principalmente nos órgão
do governo ou sistemas de maior segurança. Os leitores ópticos são fornecidos como
produto acabado, geralmente possuem uma saída de vídeo, USB ou firewire. Os outros
tipos de leitores são fornecidos na forma de chips, o que facilita a criação de novos
produtos.
Reconhecimento da Voz
A autenticação por meio da voz tem sido uma área de pesquisa bastante activa desde os
anos 70. Actualmente, os sistemas podem ser divididos em classes, de acordo com o protocolo
estabelecido. (Costa, 2001)
20 http://www.biomedsearch.com/nih/Analysis-IrisCode/20083454.html
Reconhecimento Facial
A aparência da face é uma característica biométrica particularmente convincente, pois é
usada rotineiramente como primeiro método de reconhecimento entre pessoas. Pela sua
naturalidade, é a mais aceitável das biometrias juntamente com a identificação de impressões
digitais. Devido a esta natureza amigável para o individuo, o reconhecimento facial surge
como uma ferramenta poderosa, a despeito da existência de métodos mais confiáveis de
identificação de pessoas, como identificação de íris.
Tecnologia da Assinatura
Nesta forma de reconhecimento biométrico o individuo pode ter de repetir diversas
vezes a sua assinatura para que o sistema possa obter um padrão médio, possibilitando o
reconhecimento posterior. Este facto constitui um factor de inconveniência desta forma de
reconhecimento biométrico. Existe uma outra forma de reconhecimento através da assinatura
que se constitui na dinâmica da assinatura. Nesse método o equipamento utilizado é a caneta
óptica.(Costa, 2001).
A assinatura pode ser off-line ou estática, aquela em documentos de papel, escrita por
meio convencional e posteriormente adquirida por meio de uma câmara ou scanner.
Pode ser ainda on-line ou dinâmica, aquela efetuada num dispositivo electrónico
preparado para capturar, com alto grau de resolução, as característica dinâmicas temporais
da assinatura, como a trajectória da caneta, a pressão, direcção e elevação do traço.
23 A Lei n.º 68/98, de 26 de Outubro, atribui mesmo à CNPD as funções de instância nacional de controlo junto da
instância comunitária de controlo que cria um serviço europeu de polícia (EUROPOL).
24 Uma medida de segurança física que carece igualmente de registo junto da CNPD é a utilização de câmaras de
videovigilância.
O ISO/IEC 17799 está organizado em dez capítulos, que visam cobrir diferentes tópicos
ou áreas da segurança:
1. Política de Segurança;
2. Segurança Organizacional;
3. Controlo e Classificação de Bens;
4. Segurança do Pessoal;
5. Segurança Física e Ambiental;
6. Gestão das Comunicações e das Operações;
7. Controlo de Acessos;
8. Desenvolvimento e Manutenção de Sistemas;
9. Gestão da Continuidade do Negócio;
10. Conformidade.
Entre as tecnologias usadas para autenticar a identidade dos indivíduos num sistema de
controlo de acessos incluem-se contra-senhas de acesso (com um número de variações – não
encriptadas, encriptadas e de uso único), chaves de acesso simétricas, chaves de acesso
público/ privado simétricas e informação biométrica. Os indivíduos normalmente provam a
sua identidade com recurso a um único meio de autenticação.
No entanto, um sistema de autenticação de identidade mais sólido requer o uso de dois
ou três meios de autenticação, tais como: algo que o individuo tem (um objecto seu), algo que
o individuo sabe, informação que só ele sabe), ou algo que o individuo é (uma qualidade física
única ou conduta que o diferencia dos demais).
Assim, e depois de diversa literatura analisada e no caso de implementação de um
sistema de controlo de acesso para utilização não só na segurança física como também eficaz
na segurança lógica num estabelecimento de ensino, a selecção da tecnologia a implementar
recai sobre os cartões inteligentes, pois abarcam
todas as tecnologias de autenticação, ficheiros de
contra-senhas de acesso, infra-estrutura de
certificados públicos contra-senhas, base de dados
de acesso único e dados biométricos de imagem,
assim como, chaves de acesso assimétricas
emparelhadas. Um cartão inteligente combinado com
uma ou mais tecnologias disponibiliza, de forma
significativa e universal, uma segurança eficaz no
acesso físico e das mais ponderosas na autenticação
do acesso lógico. A tecnologia de cartões inteligente Ilustração 22 - Cartão Inteligente
também fornece a flexibilidade necessária para (Fonte: Google Images 2010)
incluir todos os factores de autenticação num único cartão, aumentando todo o processo de
segurança e autenticação.
Por duas ordens de factores. Em primeiro lugar, os custos associados a estas soluções
levam a que apenas possam ser consideradas sem implementações limitadas, tais como no
controlo de acessos a zonas extremamente sensíveis. Por outro lado, existem formas de
ludibriar o sistema. Um investigador da universidade japonesa de Yokohama recolheu
impressões digitais, entre outros, em copos de vidro e, através de um processo simples e
pouco dispendioso, criou “dedos” de gelatina que, em 80% dos casos, conseguiram enganar os
leitores biométricos.
Claro que existem sistemas capazes de detectar “vida” nos objectos que tentam
reconhecer. Mas, mais uma vez, os custos associados não permitem considerá-los, em grande
parte dos casos, como opção. Porém, e devido ao enorme número de vantagens oferecidas
pela biometria, será previsível uma taxa de penetração cada vez maior, à medida que as
soluções existentes forem sendo aperfeiçoadas e os custos se tornem mais acessíveis.
Outras tecnologias que tentam retirar o fardo da Administração de um conjunto
alargado de elementos de autenticação são o “single sign-on25” (SSO) e as infra-estruturas de
chaves públicas.
A primeira propõe substituir-se ao utilizador em todos os processos de autenticação,
bastando a este fornecer uma única palavra-passe ao sistema. Se bem que existam aplicações
capazes de integrar esta tecnologia, ela ainda não é suportada pela grande maioria dos
sistemas. Este factor resulta, em muitos casos, num acréscimo desnecessário de complexidade
em sistemas heterogéneos, incapazes de comunicar entre si as credenciais dos utilizadores.
25 http://pt.wikipedia.org/wiki/Single_sign-on
OS DOCUMENTOS DA SEGURANÇA
A segurança deve ser orientada e enquadrada por um conjunto de documentos que
conferem consistência e exequibilidade às medidas implementadas.
Estes documentos são:
O Plano Global de Segurança;
A Política de Segurança;
As Normas de Segurança;
Os Procedimentos.
Política de Segurança
A Política de Segurança é um conjunto reduzido de regras que definem, em linhas gerais,
o que é considerado pela escola como aceitável ou inaceitável, contendo ainda referências às
medidas a impor aos infractores. Esta Política deverá referenciar todas as outras políticas
existentes na escola que contenham regras de segurança, bem como fazer alusão às Normas
de segurança, descritas a seguir. As regras contidas neste documento devem ser
suficientemente genéricas para não necessitarem de revisão, excepto em caso de alteração
profunda do contexto. Podem-se encontrar milhares de exemplos de Políticas de Segurança
com uma simples pesquisa na Internet, bem como de políticas específicas de:
Acesso remoto, Uso aceitável do acesso à Internet; Uso aceitável do correio-
electrónico; Ligação à rede; Etc.
Para permitir a utilização rigorosa das políticas, as regras incluídas deverão ser
numeradas e cada política deve indicar a versão da sua redacção.
A Política de Segurança deve ser do conhecimento de todos os colaboradores da Escola
assim como dos Alunos, possivelmente através da edição de um folheto, que deverá ser
fornecido a todos no decurso do seu processo de admissão.
NORMAS DE SEGURANÇA
As Normas de Segurança são o documento composto por todas as regras de segurança
da Escola, concretizando em detalhe as linhas orientadoras estabelecidas na Política de
Segurança.
É neste documento que deverão estar referenciadas as tecnologias utilizadas na Escola e
a forma segura de as utilizar. Apesar do grau de detalhe pretendido ser superior ao
encontrado na Política de Segurança, as Normas não deverão conter detalhes de
implementação ou operação, o que confere ao documento alguma intemporalidade.
Desta forma, não é aconselhável referenciar nas Normas de Segurança aspectos relativos
a marcas, modelos ou versões, algo que deverá ser deixado para o nível mais baixo da
documentação de segurança: os procedimentos.
Exemplo: Os sistemas operativos deverão, sempre que tal seja possível, ser configurados
por forma a impedir a instalação de software pelos utilizadores.
PROCEDIMENTOS
Um procedimento é um documento que descreve uma operação de forma muito
detalhada, ou seja, indicando todos os seus passos. Este tipo de documentos poderá sofrer
alterações frequentes e, tipicamente, não é escrito unicamente por causa da segurança.
CONCLUSÃO
A importância da segurança e o controlo de acessos actualmente assume um elevado
interesse no seio de qualquer organização e até no individuo. Diariamente assiste-se a noticias
de acessos não autorizados a edifícios, a redes informáticas, sistemas de informação que são
acedidos por indivíduos não autorizados e informações e equipamentos roubados ou
vandalizados. Como resultado desta situação, as organizações procuram avaliar e
implementar novos sistemas de controlo de acessos que disponibilizem acessos físicos e
acessos lógicos mais seguros. Para se conseguir implementar um sistema de controlo de
acessos apoiado num sistema forte de autenticação, é necessário o uso de múltiplos meios de
autenticação. A tecnologia de cartões inteligente, geralmente, usada em conjunto com um PIN,
está, cada vez mais, a ser usada para oferecer um importante, segundo ou terceiro, factor de
autenticação que faz o acesso físico e lógico mais seguro.
Os cartões inteligentes e a sua tecnologia, estão disponível nos mais diversos formatos
(cartão plástico, USB ou SIM de um telemóvel) e suportam todas as técnicas de autenticação
usadas actualmente. Os cartões inteligentes podem suportar múltiplas aplicações permitindo
que um único cartão, possa realizar múltiplas funções: permitir que um aluno de um
estabelecimento de ensino entre nos edifícios da escola, aceda a rede interna de informação,
assine documentos, encripte o correio electrónico, faça transacções e pagar a propinas e seu
almoço na cantina da escola, tudo isso de maneira segura.
A tecnologia biométrica nas suas diversas formas (impressão digital, face, íris, retina,
entre outras) tem-se mostrado eficiente no aspecto segurança. No entanto, a utilização isolada
de cada uma dessas técnicas, não garante uma segurança absoluta. Os pontos fortes das
tecnologias biométricas em geral são: fortemente vinculada a uma identidade e não precisa
ser memorizada, nem pode ser esquecida ou emprestada. No entanto, estes pontos fortes
levam também a fraquezas correspondentes, que são: não é revogável e não é segredo.
Com a necessidade crescente que se tem cada vez mais de migrar de meios físicos para
meios digitais e electrónicos, torna-se imperativa a implementação de sistemas de ambientes
seguros, pois, o acesso facilitado a informação sensível e de carácter pessoal – onde a
privacidade ou confidencialidade das pessoas podem ser postas em causa, aumenta o perigo e
a insegurança, uma vez que os dados acabam espalhados nas mãos de estranhos e com os
mais diversos pensamentos (duvidosos, ou não) sobre a sua utilização.
Não nos devemos esquecer que quem tem informação tem poder.
ARTIGOS DO TEMA
DEMOCRACIA VIGIADA
Dr. Fernando Negrão
Ministro da Segurança Social, da Família e da Criança (2004)
(Negrão, Democracia Vigiada, 2008)
Para além do já adquirido, ou seja, dos deve ficar, pelo menos, a interrogação acerca do
instrumentos tecnológicos com os quais destino dos nossos dados pessoais. A quem os
contamos como quase imprescindíveis, como confiamos, qual o grau de fiabilidade dessas
sejam os variados cartões bancários, as inúmeras entidades, qual o uso que deles terá feito, qual o
vias-verdes, os telemóveis, o GPS, a internet e grau de perda de liberdade que tal envolve?
demais parafernália informática, existem outros E, que dizer, do facto de no Reino Unido
bem mais sofisticados e “discretos” que vão, empresas proporem seguros mais baratos para
passo a passo, tomando conta das nossas vidas. motoristas que aceitem não circular em dias de
Os satélites de observação que já maior risco, quando para comprovar que tal se
vasculham a nossa rua, as câmaras de cumpra, a empresa tem o direito de acesso a
videovigilância, as webcam, as soluções RFID todas as informações sobre as deslocações
(identificação por radiofrequência), os aviões contidas nas caixas electrónicas dos veículos. E,
telecomandados (drones), são outras soluções ainda mais prosaico, é o da subscrição dos
tecnológicas e de informação que, começando por designados “cartões de fidelidade”, em que para
justificar a sua utilidade por razões de natureza receber alguns presentes aceito dar em troca
militar, vão sendo progressivamente introduzidas alguns dados de natureza pessoal.
no nosso dia-a-dia, vigiando-nos na nossa vida São sempre bons os motivos para a
pessoal, na nossa actividade profissional e, introdução destas tecnologias, ou porque nos dão
mesmo, no exercício da actividade política. mais segurança, ou porque permitem maior
Tomemos como exemplo o “cartão cidadão” acesso a melhores cuidados de saúde, ou porque
que começa, agora, a ser introduzido no nosso permitem maior rapidez na circulação de
País, com grande entusiasmo e empenho político informação, ou porque tudo se simplifica.
e façamos o exercício de avaliar da nossa Embora, no cômputo geral, o que fica é uma
cumplicidade nessa forma de “vigilância”. sociedade dotada de instrumentos de vigilância,
Veja-se o caso francês, em que as que limitam os nossos direitos, designadamente o
autoridades de transportes públicos criaram o da reserva da vida privada.
chamado “passe navigo”, o qual contém um chip É, porém, difícil, senão mesmo impossível,
de radiofrequência, no qual são incluídos dados prescindir deste manancial tecnológico, embora
pessoais que permitem reconstituir todas as um avanço significativo no recuo do “big
deslocações feitas em 48 horas. Nos EUA, é brother”, passe pela tomada de consciência de
comercializado um cartão para fugir às filas de que estas soluções têm também malefícios e de
espera nos controles dos aeroportos, tendo como que não temos que aceitar tudo o que nos é
condição a resposta a um minucioso questionário apresentado em nome da eficácia e da
e à entrega de elementos de identificação modernidade. Saibamos resistir à introdução de
biométricos. mecanismos que possam limitar a nossa
O primeiro pensamento perante tais liberdade e, aceitando-os, saibamos exigir a sua
soluções só pode ser de “conforto”, pela eficácia efectiva e pública fiscalização, com sanções
que dá à prestação de serviços, assim gerando graves para quem puser em risco, ou violar os
mais tempo disponível para outras actividades e direitos de cada um de nós.
a possibilidade de fuga à burocracia. Contudo,
LITERATURA COMPLEMENTAR
De acordo com o artigo 1.º da Lei n.º 7/2007, de 5 de Fevereiro, “o cartão de cidadão é um
documento autêntico que contém o s dados de cada cidadão relevantes para a sua identificação e inclui
o número de identificação civil, o número de identificação fiscal, o número de utente dos serviços de
saúde e o número de identificação da segurança social.”
Nos termos do artigo 4.º da Lei n.º 7/2007, de 5 de Fevereiro, “o cartão de cidadão constitui
título bastante para provar a identidade do titular perante quaisquer autoridades e entidades públicas
ou privadas, sendo válido em todo o território nacional, sem prejuízo da eficácia extraterritorial
reconhecida por normas comunitárias, por convenções internacionais e por normas emanadas dos
órgãos competentes das organizações internacionais de que Portugal seja parte, quando tal se
encontre estabelecido nos respectivos tratados constitutivos.”
Como documento físico o cartão de cidadão permite ao respectivo titular: Provar a sua
identidade perante terceiros através da leitura de elementos visíveis, coadjuvada pela leitura óptica de
uma zona específica.
Como documento digital o cartão de cidadão permite ao respectivo titular provar a sua
identidade perante terceiros através de autenticação electrónica.
Configurar o servidor para ligações SSL – será necessário obter um certificado para o site
em questão e proceder à sua instalação no servidor web, de modo a ser possível
estabelecer comunicações seguras entre o servidor e as aplicações clientes;
Configurar o servidor para aceitar certificados de clientes – neste passo configurase o
servidor de modo a este efectuar o pedido ao cliente de um certificado digital;
Configurar o servidor para pedir e aceitar o certificado do Cartão de Cidadão – os
servidores estão normalmente configurados para pedir e aceitar certificados clientes que
sejam emitidos pelo seu LDAP, neste passo configura-se o servidor de modo a ele aceitar
igualmente certificados emitidos pela Certification Authority emissora dos certificados
presentes no Cartão de Cidadão (GTE CyberTrust);
Validação aplicacional do certificado – Uma vez que existem diversos certificados
clientes emitidos pela GTE CyberTrust, e de forma a garantir que só são aceites
certificados presentes nos Cartões de Cidadão, o código desenvolvido para autenticação,
deve validar um conjunto de parâmetros presentes no certificado, de forma a garantir a
origem do certificado;
Validação de validade do certificado – A última validação é efectuada pela entidade
emissora do certificado, de modo a garantir que o certificado não foi revogado.
A autenticação com o servidor Extended OpenID será feita através do certificado digital de
autenticação presente no cartão. Note-se que neste processo o utilizador já se registou no Extended
OpenID, sendo préviamente detentor de uma identidade digital (possuindo por isso uma credencial de
identificação interna).
O Extended OpenID que disponibiliza o serviço, deverá pedir a validação do certificado de
autenticação a uma entidade externa, designada por CA (Certificate Authority), que é responsável pela
emissão e gestão dos certificados do Cartão. Esta validação obtém-se por consulta da lista de
certificados activos e revogados, disponibilizada pela CA.
Caso o resultado da validação indique que o certificado do utilizador se encontra activo, o
sistema de autenticação do Extended OpenID associará o certificado recebido à credencial interna do
utilizador
Esta associação será efectuada entre a credencial e os dados de identificação contidos no
certificado digital - o próprio identificador do certificado digital. No entanto, para que este se possa
verificar, o Extended OpenID deverá ter associado previamente o identificador do certificado do
Cartão de Cidadão à credencial interna do utilizador. O Identificador do certificado digital é cancelado
sempre que o respectivo Cartão de Cidadão seja revogado, mantendo-se enquanto o mesmo for válido.
As with all smartcard types, the selection of a card operating system depends on the application that the card is
intended for. The other defining difference lies in the encryption capabilities of the operating system and the chip. The
types of encryption are Symmetric Key and Asymmetric Key (Public Key).
The chip selection for these functions is vast and supported by many semiconductor manufacturers. What
separates a smart card chip from other microcontrollers is often referred to as trusted silicon. The device itself is
designed to securely store data withstanding outside electrical tampering or hacking. These additional security features
include a long list of mechanisms such as no test points, special protection metal masks and irregular layouts of the
silicon gate structures.
The trusted silicon semiconductor vendor list below is current for 2010:
Atmel
EM Systems
Infineon
Microchip
NXP (Philips)
Renesas Electronics
Samsung
Sharp
Sony
ST Microelectronics
Many of the features that users have come to expect, such as specific encryption algorithms have been
incorporated into the hardware and software libraries of the chip architectures. This can often result in a card
manufacturer not future-proofing their design by having their card operating systems only ported to a specific device.
Care should be taken in choosing the card vendor that can support your project over time as card operating
system-only vendors come in and out of the market. The tools and middleware that support card operating systems are
as important as the chip itself. The tools to implement your project should be easy to use and give you the power to
deploy your project rapidly.
REFERÊNCIAS BIBLIOGRÁFICAS
Gonçalves, V., & Oliveira, P. (2010). Controlo de Acessos. Porto: DEE - Laboratório de
Sistemas/ISEP.
Ribeiro, S. S., & Yamashita, Y. (2008). Tecnologia de Controle de Acesso e sua aplicaçºao no
Sistema de Segurança Aeroportuária. Simpósio de Transporte Aéreo (p. 13). Rio de Janeiro:
SITAER 7.
Silva, P. T., Carvalho, H., & Torres, C. B. (2003). Segurança dos Sistemas de Informação - Gestão
Estratégica da Segurança Empresarial. Lisboa: Centro Atlântico.
Smart Card Alliance. (Outubro de 2004). Acesso Lógico Seguro: A Função dos cartões
inteligentes na autenticação confiável. Obtido em 14 de 10 de 2010, de Smart Card Alliance:
http://www.smartcardalliance.org/latinamerica/translations/Logical_Access_Security_Portuguese.pdf
Vicentin, J., Barreto, F., Dickel, D., & Santos, P. (s.d.). Provendo Segurança através da Biometria.
RECURSOS NA INTERNET
RFID
http://www.portalrfid.net/
http://www.tiresias.org/research/guidelines/rfid.htm
http://www.rfid.org/
http://www.rfidinc.com/
BIOMETRIA
http://www.tibs.org/Interior.aspx
http://www.biometrics.org/
http://www.biometricgroup.com/
http://www.biometricscatalog.org/
http://biometrics.com/