Oi Banffy,
Como tratar a exigência de Windows para usar eCPF?
Eu não consegui encontrar quem vendesse um certificado digitali que
não estivesse preso a um smartcard ou que não exigisse Windows XP com
IE 6 ou superior.
E não. Não se referiam a um *nix com Firefox...
Por padrão, as Autoridades Certificadoras ICP-BR empurram certificados
tipo A3, que requerem um co-processador criptográfico -- normalmente
na forma de smartcards, que por sua vez requrem leitoras. Alguns
poucos desktops e notebokos já vêm com leitoras de smart cards, mas a
maioria não. Se o seu não tem, você precisará adquiria a leitora
também.
Na minha experiência, o smartcard que funciona melhor no Linux são os
da GD Burti que usam o sistema operacional de cartão StarCos SPK 2.3.
São normalmente vendidos no pacote da Certisign.
Particularmente legal no StarCOS SPK 2.3 é que ele tem um sistema
que traduz automagiacamente o obsoleto formato PKCS#11 que as
ACs brasileiras insistem em usar para PKCS#15, usado pelas aplicações
mais recentes.
Algumas ACs estào usando os JavaCards da Gemplus. Até agora sei de
ninguém que tenha conseguido colocá-los para funcionar no Linux.
Se alguém souber, por favor me contem, adoraria saber.
Todas as MCTs (leitoras) que eu já testei funcionam direitinho no
Linux -- já testei a da Gemplus (serial/usb), a da Perto e Towitoko.
Todas, sem exceção, são lerdas, algumas mais do que outras.
A instalação do middleware normalmente pode ser bem rebuscada e
a receita exata depende da aplicação que você quer usar.
Muitas ACs também oferecem certificados A3 em tokens, que se conectam
diretamente na USB, dispensando as leitoras. A maioria usa o ikey2032,
um modelo obsoleto há anos que foi vendido aos milhões aqui no Brasil
a preço de banana. Ele tem um driver para Linux feito a posteriori
que permite que ele funcione até razoavelmente bem com o Firefox,
mas muitas ACs não sabem disso. Se tiver dificuldade em consegui-lo,
fale comigo que eu te passo o binário (o software é proprietário,
de sorte que os fontes não são disponibilizados).
Se você quiser token e tiver a opção de escolher o iKey3000, eu
recomendo, apesar de ser mais caro. Ele também usa o StarCOS SPK 2.3
e por isso funciona muito bem praticamente toda aplicação que eu
tenha testado, notoriamente aquelas que usam middleware baseado
na OpenSC.
Muitas ACs também oferecem a emissão dos certificados em software
(ou no navegador, como elas chamam, ou tipo A1, no jargão da
ICP-BR), mas você tem de explicitamente pedir por isso. Costuma ser
mais barato, mas as ACs deliberadamente não fazem muita propaganda
deles.
Muita gente diz que A3 é melhor ou mais seguro que A1. Eu
discordo; na minha opinião, um A1 bem usado pode ser tão ou
mais seguro do que o A3, dependendo do seu critério de seguro
(contra o que? :)).
Certificados A1 têm praticamente zero problemas de interoperabilidade.
Smart cards ou tokens, na minha experiência, sempre dão problemas
cedo ou tarde. Se tiver escolha e quiser evitar dores de cabeça,
use certificados A1. Todo projeto em que eu me meti que tinha smart
cards foi um sofrimento; todo projeto que eu me meti que só usava
A1 foi integralmente bem sucedido, dentro do prazo e do orçamento.
Note que o fato que seu certificado aparecer no Firefox do Linux
não quer dizer que todo e qualquer site que autentique ou assine
usando certificados digitais venha a funcionar. Isso só é verdade
se a implementação do site tiver explicitamente focado
interoperabilidade, preocupação que muitos deles não têm.
Muitos sites 'Windows-centric', por exemplo, usam Java+CAPICOM.
Este último só existe no Windows, fazendo com que esses sites/sistemas
não funcionem no Linux em absoluto. O mais notório deles era o
e-CAC da SRF -- mas já faz alguns anos desde que eu chequei isso
pela última vez, pode ser que eles tenham consertado isso.
A maior parte disso tudo que eu falei também vale para outros
SO's unix-like, como Solaris, OpenBSD e FreeBSD.
Não sei se ajudei, mas espero ter esclarecido pelo menos um pouco. :)
-K.
___
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
SAIR DA LISTA ou trocar a senha:
http://listas.softwarelivre.org/mailman/options/psl-brasil
