ICPEdu: a autenticidade dos documentos eletrônicos ao alcance das universidades públicas brasileiras

Depois do Conferência Web e da CAFe, a nossa série sobre os serviços da RNP que tiveram origem no Programa de P&D vira o foco para a segurança digital, mais especificamente para a Infraestrutura de Chaves Públicas (ICP, em inglês Public Key Infrastructure ou PKI). É ela que traz os meios para preservar a confidencialidade, autenticidade, integridade, inimputabilidade e auditabilidade de documentos eletrônicos, transações, acesso a recursos, etc. 

Vamos contar como surgiu a ideia que culminou no ICPEdu, que permite às organizações usuárias emitirem certificados digitais do tipo SSL (Secure Sockets Layer) e que, em breve, viabilizará a emissão de certificados pessoais.

Um pouco de história
Lá pelos longínquos anos de 2002 e 2003, havia, por parte do governo federal, o desejo de produzir um HSM (Hardware Security Module) para substituir o equipamento em uso na época pelo SPB (Sistema de Pagamentos Brasileiro), vinculado à ainda nascente ICP-Brasil. O equipamento em questão era de tecnologia proprietária estrangeira, o que dificultava qualquer tentativa de auditoria independente, além de constituir-se em ameaça à soberania nacional. O governo deu, então, início ao projeto João de Barro, que deveria projetar e produzir um protótipo desse equipamento.

Os professores Ricardo Custódio (UFSC), Ricardo Dahab (Unicamp) e Jeroen van de Graaf (UFMG) foram convidados a participar do João de Barro. Em vez desse projeto,  resolveram aceitar o desafio de construir um HSM nacional para um outro um pouco menos ambicioso, em resposta ao Programa de P&D da RNP, lançado mais ou menos na mesma época. Assim, nasceu a ICPEdu, com a missão de projetar e produzir o HSM juntamente com o software de gerenciamento do ciclo de vida de certificados digitais, o que incluía o software do HSM e das autoridades certificadoras que dele fizessem uso. A infraestrutura tinha como objetivo inicial tornar-se a autoridade certificadora do sistema científico-educacional de nível superior brasileiro.

O projeto foi dividido em dois GTs de editais consecutivos da RNP

1 - Pesquisa e desenvolvimento de um hardware de alta segurança para gerenciamento do ciclo de vida das chaves criptográficas de autoridades certificadoras.

Resultados obtidos:

  1. Projeto e desenvolvimento do ASI-HSM em parceria com a Kryptus, startup de Campinas;
  2. Criação da AC-Raiz da ICPEdu;
  3. Piloto da ICPEdu em várias universidade e centros de pesquisa brasileiros;
  4. Em razão de percalços, o projeto João de Barro não se materializou, e o governo federal acabou por adotar ASI-HSM desenvolvido pelo GT.

2 - Pesquisa e desenvolvimento de sistemas de gerenciamento do ciclo de vida de certificados digitais.

Resultados obtidos:

  1. Sistema de Gerenciamento de Certificados da ICPEdu (SGCI);
  2. Capacitação da RNP e parceiros em certificados digitais e aplicações;
  3. Emissão de certificados digitais ICPEdU;
  4. Assinatura de documentos eletrônicos (E-mail seguro).

Posteriormente, o projeto ICPEdu teve continuidade, com:

3 - Integração da ICP-EDU com a federação de identidades CAFe da RNP.

  • Desenvolvimento do sistema SAEC (Sistema Automático de Emissão de Certificados) da ICPEdu. Trata-se de uma modificação do SGCI, para obter dados de forma automática da CAFe para a emissão de certificados digitais.

Olhando esses tópicos com tantos resultados, parece até que o caminho foi fácil de ser trilhado. Muito pelo contrário. Os obstáculos enfrentados foram tão grandes que, em vários momentos, a rota precisou ser recalculada.

Criando uma cultura de certificação digital
“À época, havia pouca experiência e expertise no Brasil sobre certificação digital e aplicações, e em especial pouco conhecimento de hardware criptográficos para ACs (PKI). Assim, além da capacitação tecnológica, muito tempo e energia foram investidos na criação da cultura de certificação digital, na forma de palestras, cursos e redação de documentos regulatórios, como as políticas e práticas de certificação digital.  Alguns desses desafios foram vencidos com a adoção de certificados ICPEdu em algumas instituições, notadamente a UFSC, que abriga a sala-cofre da ICPEdu”, relembram os professores Ricardo Custódio (UFSC) e Ricardo Dahab (Unicamp).

Os anos se passaram e, atualmente, há suficiente experiência para adoção em massa da certificação digital via ICPEdu pelas instituições impede que isso aconteça brasileiras de ciência e tecnologia, porém, os professores citam a principal barreira que precisa ser transposta. “Essa adoção sofre a concorrência econômica e cultural das soluções prontas, sempre mais rápidas e baratas na implantação, mas não no custo final a longo prazo, especialmente se considerarmos a dependência tecnológica pela falta de capacitação da comunidade usuária”, explicam.

Com relação às dificuldades técnicas enfrentadas durante o desenvolvimento, uma das maiores foi criada pela empresa Netscape, empresa norte-americana de serviços de computador que tinha ampla atuação durante o surgimento da internet.

“A ICP é uma tecnologia complicada. Eu pensava que por ser criptografo leria os dados em seis semanas, mas custei um ano. Por quê? É preciso voltar um pouco a história da internet para entender. Ela surgiu por volta de 96 e a empresa forte era a empresa Netscape e ela percebeu que, se você tem protocolo TICP/IP, não tem nenhuma segurança. Então, ciaram um protocolo em cima, que quem está navegando não está enxergando que tem certificado, mas tem e criou a primeira versão do protocolo SSL. O problema é que usaram o padrão de certificados X500, que foi um monstro que nunca deu certo e todas as formas de endereçamento não têm nada a ver com TCP/IP.  Nunca funcionou. Em cima, eles criaram o X509. Então, X500 morreu, mas por causa do SSL, o X509 ficou vivo e isso trouxe um monte de problemas. Precisamos entender um monte de coisas para simplesmente entender o que estava acontecendo. Essa foi uma das dificuldades que enfrentamos. Apesar delas, me lembro com muito prazer do projeto, foi muito legal. Para mim, a RNP é um exemplo de uma coisa no Brasil que funciona”, conta o professor holandês da UFMG Jeroen van de Graaf

O futuro do serviço
Para os desenvolvedores, a ICPEdu tem totais condições de seguir em evolução, se tornando um ambiente para prover serviços de assinatura eletrônica de documentos eletrônicos remotos. Eles acreditam que o conceito de certificados possa ser tornado transparente para o usuário, que simplesmente assinará digitalmente seus documentos e, caso não possua um certificado digital, este será emitido de forma automática.

Além disso, o domínio e controle sobre a tecnologia traz inúmeras outros benefícios estratégicos. “Por exemplo, novas formas de autenticação e outras tecnologias possibilitadas por avanços de técnicas criptográficas, e que exijam serviços de certificação, poderiam ser testados e incorporados independentemente por laboratórios de pesquisa e instituições científicas sem necessidade de aprovação prévia ou complicadas negociações com grandes companhias. A ICPEdu nasceu para servir a comunidade científica, no seu sentido mais geral. Isso nos moveu desde o primeiro momento”, destacam os professores Custódio e Dahab.