P & demais da lista,

> > Dado q qqr um pode enviar declaração de imposto de renda no nome de 
> > qqr um (exceto no caso de quem tem certificação digital), 
> > acho q nem faz tanta diferença onde está a aplicação em si . . .
> 
> No caso de quem tem certificação digital, apenas dá mais 
> trabalho (não muito, para quem opera sua chave privada na 
> plataforma ruindows): 
> envia-se a declaração falsa assinada pela chave capturada da 
> vítima (certificados A1 ou A2), ou a partir da máquina da 
> vítima (certificados
> A3 e A4) controlada por um cavalo de tróia com tal finalidade.
> 
> Havendo demanda, em mais um serviço explorável por 
> ciberquadrilhas (como as que hoje alugam zumbis por 1K/hora a 
> US $25, depositáveis em bancos mafiosos na Rússia).

Você está certo, mas por uma razão mais sutil que sei que você
sabe, mas talvez cumpra esclarecermos aqui na lista.

A questão é que no caso das assinaturas digitais (resisto ao termo
"certificação digital" por razões que você bem same), você é
responsável por manter sua chave segura (pelo menos o princípio
conceitual é esse; tenho consciência de que há quem debata se a
legislação é de fato clara sob esse aspecto).

Se um usuário deixou seu computador vulnerável o bastante para ser
invadido e se tornar zumbi,... problema dele.

O "tchan" do uso das assinaturas digitais é que, sendo assinatura
realizada em um ambiente computacional sob o meu controle, posso
algumas certezas um pouco maiores do que no caso de um sistema
totalmente controlado por outrém.

Tenho plena consciência de que a maioria dos usuários não tem o 
mesmo preparo que eu e que muitos de nós aqui na lista para defender
nossas máquinas de invasões. De fato, eu vivo dizendo que a segurança
dos sistemas baseados em assinaturas digitais não tem como ser maior
que a segurança da plataforma computacional subjacente; e que sem
dúvida, o usuário leigo poderá sofrer com isso em um primeiro momento,
porque as plataformas computacionais populares são pateticamente
vulneráveis.

Mas arrisco-me a dizer que à medida em que esses sistemas se tornem
mais populares, a importância da segurança das plataformas clientes
será enfatizada e melhor tratada. Uma observação de casos semelhantes
na história nos autoriza a especular que será um processo paulatino
e nada indolor, mas será sem dúvida alguma uma evolução. Muito pior
seria continuar dependendo de sistemas computacionais fora do nosso
controle, onde o administrador de rede/banco de dados é Deus para
suprimir, fabricar ou forjar evidências contra nós.

Caberá a nós esclarecer e clamar por sistemas operacioanis e
computacionais onde a segurança por default se torne 'commodity'
(em contraste com a raridade que é hoje) para viabilizar que as
assinaturas digitais antinjam seu potencial de nos livrar do "quinto
poder".

-K.

_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil

Responder a