Oi Banffy,

> Como tratar a exigência de Windows para usar eCPF?
> 
> Eu não consegui encontrar quem vendesse um certificado digitali que
> não estivesse preso a um smartcard ou que não exigisse Windows XP com
> IE 6 "ou superior".
> 
> E não. Não se referiam a um *nix com Firefox...

Por padrão, as Autoridades Certificadoras ICP-BR "empurram" certificados
tipo "A3", que requerem um co-processador criptográfico -- normalmente
na forma de smartcards, que por sua vez requrem "leitoras". Alguns
poucos desktops e notebokos já vêm com leitoras de smart cards, mas a
maioria não. Se o seu não tem, você precisará adquiria a leitora
também.

Na minha experiência, o smartcard que funciona melhor no Linux são os
da GD Burti que usam o sistema operacional de cartão StarCos SPK 2.3.
São normalmente vendidos no pacote da Certisign.

Particularmente legal no StarCOS SPK 2.3 é que ele tem um sistema
que traduz "automagiacamente" o obsoleto formato PKCS#11 que as
ACs brasileiras insistem em usar para PKCS#15, usado pelas aplicações
mais recentes.

Algumas ACs estào usando os JavaCards da Gemplus. Até agora sei de
ninguém que tenha conseguido colocá-los para funcionar no Linux.
Se alguém souber, por favor me contem, adoraria saber.

Todas as MCTs (leitoras) que eu já testei funcionam direitinho no
Linux -- já testei a da Gemplus (serial/usb), a da Perto e Towitoko.
Todas, sem exceção, são lerdas, algumas mais do que outras.

A instalação do middleware normalmente pode ser bem rebuscada e
a receita exata depende da aplicação que você quer usar.

Muitas ACs também oferecem certificados A3 em tokens, que se conectam
diretamente na USB, dispensando as leitoras. A maioria usa o ikey2032,
um modelo obsoleto há anos que foi vendido aos milhões aqui no Brasil
a preço de banana. Ele tem um driver para Linux feito a posteriori
que permite que ele funcione até razoavelmente bem com o Firefox,
mas muitas ACs não sabem disso. Se tiver dificuldade em consegui-lo,
fale comigo que eu te passo o binário (o software é proprietário,
de sorte que os fontes não são disponibilizados).

Se você quiser token e tiver a opção de escolher o iKey3000, eu
recomendo, apesar de ser mais caro. Ele também usa o StarCOS SPK 2.3
e por isso funciona muito bem praticamente toda aplicação que eu
tenha testado, notoriamente aquelas que usam middleware baseado
na OpenSC.

Muitas ACs também oferecem a emissão dos certificados "em software"
(ou "no navegador", como elas chamam, ou tipo "A1", no jargão da
ICP-BR), mas você tem de explicitamente pedir por isso. Costuma ser
mais barato, mas as ACs deliberadamente não fazem muita propaganda
deles.

Muita gente diz que A3 é "melhor" ou "mais seguro" que A1. Eu
discordo; na minha opinião, um A1 bem usado pode ser tão ou
mais seguro do que o A3, dependendo do seu critério de "seguro"
(contra o que? :)).

Certificados A1 têm praticamente zero problemas de interoperabilidade.
Smart cards ou tokens, na minha experiência, sempre dão problemas
cedo ou tarde. Se tiver escolha e quiser evitar dores de cabeça,
use certificados A1. Todo projeto em que eu me meti que tinha smart
cards foi um sofrimento; todo projeto que eu me meti que só usava
A1 foi integralmente bem sucedido, dentro do prazo e do orçamento.

Note que o fato que seu certificado aparecer no Firefox do Linux
não quer dizer que todo e qualquer site que autentique ou assine
usando certificados digitais venha a funcionar. Isso só é verdade
se a implementação do site tiver explicitamente focado
interoperabilidade, preocupação que muitos deles não têm.

Muitos sites 'Windows-centric', por exemplo, usam Java+CAPICOM.
Este último só existe no Windows, fazendo com que esses sites/sistemas
não funcionem no Linux em absoluto. O mais notório deles era o
e-CAC da SRF -- mas já faz alguns anos desde que eu chequei isso
pela última vez, pode ser que eles tenham consertado isso.

A maior parte disso tudo que eu falei também vale para outros
SO's unix-like, como Solaris, OpenBSD e FreeBSD.

Não sei se ajudei, mas espero ter esclarecido pelo menos um pouco. :)

-K.


_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
SAIR DA LISTA ou trocar a senha:
http://listas.softwarelivre.org/mailman/options/psl-brasil

Responder a