Uma publicação da tecepe. Ano I número 3.
O par chaves de encripção (chave pública e chave privada) é a identificação eletrônica de um servidor na Internet. A chave pública pode ser comparada a uma assinatura. E existem também os "cartórios" eletrônicos: as Autoridades Certificadoras.
A chave pública de um servidor deve ser previamente certificada para comprovar que ela pertence mesmo a este servidor. Desta maneira o usuário do browser pode ter certeza de não estar se conectando e passando suas informações confidenciais para um desconhecido. Este certificado é fornecido por uma Autoridade Certificadora.
O mecanismo de certificação é simples, embora a burocracia envolvida seja grande. A Autoridade Certificadora, após verificar a autenticidade das informações fornecidas pelo solicitante do certificado, assina (i.e. encripta) uma parte da chave pública do solicitante com a sua chave privada.
Os browsers seguros tem as chaves públicas dos certificadores. Ao receber uma chave certificada de um servidor, o browser primeiro verifica a assinatura do certificador, desencriptando esta assinatura com as chaves públicas dos certificadores conhecidos.
O Netscape 1.x recusa chaves certificadas por autoridades desconhecidas. Já o Netscape 2.0, um pouco mais educado, apresenta o certificado desconhecido ao usuário, perguntando se deve ou não proseguir com a sessão. Escolhendo Options Security Preferences... no menu do Netscape 2.0, você poderá ver a lista das autoridades certificadoras reconhecidas pelo seu browser.
Se você tem o Netscape 2.0 e deseja ver como este processo funciona, veja a versão segura
deste artigo. Antes de passar para a versão segura, observe que:
É fácil perceber que as chaves privadas são informações muito sigilosas. Especialmente as chaves privadas das Autoridades Certificadoras. Se alguém se apoderar de uma destas chaves, poderá assinar certificados falsos, comprometendo todo sistema de segurança descrito. Por este motivo, as chaves dos certificadores são conservadas em computadores especialmente construídos, que destroem a chave em caso de tentativa de violação.
Para alguns, existe um exagero na questão. Afinal, o cartão de crédito de uma pessoa passa por diversas mãos toda vez que ela efetua um pagamento em uma loja ou restaurante, não podendo ser considerado um número tão sigiloso assim. Mas o trânsito destes números pela Internet permite a fraude de cartão de crédito em grande escala e sem deixar pistas, algo difícil no comércio regular. Na Internet, o sigilo deste tipo de dados é fundamental.
Existem duas propostas de implementação do protocolo Http seguro: HTTPS e SSL. SSL (Secure Socket Layer) parece ser o padrão mais popular, por ser o protocolo usado pelo Netscape Navigator, o líder do mercado. De qualquer forma, os dois funcionam de maneira similar.
Os métodos de encripção podem ser divididos em duas categorias: Os simétricos usam a mesma chave para codificar e decodificar a mensagem. Os assimétricos, também conhecidos como encripção de chave pública, usam duas chaves diferentes. Uma mensagem encriptada com uma chave só pode ser desencriptada com a outra e vice-versa.
O protocolo SSL usa os dois tipos de encripção. O de chave pública é versátil pois permite a passagem de chaves através da própria Internet. O simétrico, por outro lado, é centenas de vezes mais rápido e é usado durante toda a conversação após a passagem da chave secreta. O processo todo é um pouco complicado, fato apontado como responsável pela lentidão do avanço do comércio via Internet.
Suponha que você (browser) deseja estabelecer uma sessão sigilosa com um servidor chamado wwws.xpto.com.br. A sequência de eventos para negociação da chave é:
1) O browser contata o servidor wwws.xpto.com.br solicitando a chave pública deste servidor. Esta chave deverá estar previamente "assinada" por uma autoridade reconhecida pelo browser. A assinatura consiste na encripção da chave pública do servidor com a chave privada da autoridade. Como o browser conhece a chave pública da autoridade, ele desencripta a mensagem com a chave pública da autoridade. Se a desencripção der certo, o browser sabe que a chave pública recebida pertence efetivamente a wwws.xpto.com.br e não a um impostor. É o que se chama de chave pública certificada.
2) O browser faz então um desafio ao servidor. Ele fabrica uma mensagem aleatória, encripta com a chave pública do servidor e envia. O servidor então desencripta a mensagem com sua chave privada e devolve ao browser. Se a mensagem devolvida for igual à original, o browser pode ter certeza que o servidor realmente possue a chave privada que alega ter. Não entendo muito bem para que este passo: se o servidor não tivesse esta chave privada, ele não poderia desencriptar a chave de sessão gerada no passo a seguir (3).
3) O browser agora fabrica uma chave aleatória. Esta chave é chamada de chave de sessão. A chave de sessão é uma chave de encripção simétrica, o processo de encripção mais rápido. O browser encripta a chave de sessão com a chave pública de wwws.xpto.com.br e envia para este servidor.
4) O servidor recebe a chave de sessão encriptada e desencripta com sua chave privada. Como a chave de sessão foi encriptada com a chave pública de wwws.xpto.com.br, somente este servidor - e o browser que fabricou a chave - conhecem a chave de sessão. Esta chave é então usada para codificar todas as mensagens subsequentes trocadas entre os dois computadores.
No Netscape Navigator, o ícone da chave quebrada (localizado abaixo à direita) se fecha após a negociação da chave de sessão, indicando o início da sessão segura. Vale observar que as chaves de sessão são longas (128 bits nos EUA e 40 bits no resto do mundo). É virtualmente impossível obter estas chaves pelo método das tentativas. Também não é possível desencriptar as mensagens sem a chave de sessão.
Cabe mencionar que existe uma proposta alternativa, o chamado IPSec. Este protocolo permite encripção similar ao nível do protocolo básico IP. Isto teria a vantagem de prover o sigilo não só no http, mas também nos outros protocolos que funcionam em cima do IP (ftp, mail etc). Embora esta proposta apresente vantagens, parece que sua adoção está comprometida pela corrida que se estabeleceu no mercado de browsers, principalmente pela Netscape.
Nos anos 90 parece que este panorama mudou. O setor de serviços, antes responsável pela absorção dos excedentes de trabalhadores gerados pela automação industrial, está agora em processo de encolhimento. Parece que finalmente a produtividade está aumentando nesta área. Muitos atribuem tal ganho à chamada curva de aprendizado: passado o período inicial de educação é que o retorno começa a aparecer.
No setor bancário, as máquinas de auto serviço estão fazendo boa parte do trabalho antes realizado por pessoas. Nas comunicações, embora haja uma enorme expansão da capacidade, o número de trabalhadores vem reduzindo rapidamente. E nos próximos anos é provável que sistemas de comunicação como a Internet invadam também o setor do comércio.
O lado positivo desta mudança é a redução do custo das transações comerciais que hoje ultrapassa, em muitos casos, o custo de produção das mercadorias. Resultado: queda no custo de vida.
Porém o aumento da produtividade significa maior desemprego. Isto leva a mais criminalidade e menos renda para alimentar a economia. Agravaria ainda mais as diferenças sociais e levaria à estagnação econômica.
Muitos economistas tem se debruçado sobre este assunto. Até o momento parece que a única solução encontrada é a redução da jornada de trabalho, associada a retreinamento profissional para o trabalho com as novas tecnologias. O tempo liberado seria usado no lazer e educação, ou em serviços públicos subsidiados pelo governo. Estes subsídios seriam pagos com aumento dos impostos nos setores automatizados.
Mas como conseguir que as pessoas trabalhem menos no sistema capitalista e desregulamentado? Este é um problema que ainda não tem solução simples.
Ver também.
O caso brasileiro não é diferente. Já ouvi estatísticas de 200.000 usuários. É um destes números que todos citam, mas ninguém sabe de onde veio. Como a história de que só usamos 10% do nosso cérebro.
Talvez mais significante que o número de usuários seja o número total de servidores. Ele reflete a quantidade de informação na rede e pode ser estimado usando informações encontradas na própria Internet: os links hipertexto.
Para o secretário do Ministério da Ciência e Tecnologia, Ivan Moura Campos (em entrevista à revista Internet World de abril), a Internet brasileira teria uns 26.000 servidores. Pode ser, mas parece um pouco alto, especialmente considerando que o mesmo número para Internet mundial é estimado em 300.000, 60% deles nos EUA.
Para tentar estimar este número, fiz uma busca de links hipertexto em servidores http brasileiros (incluindo aí os serviços de indexação tipo Cadê e Embratel). Encontrei até agora 740 hosts diferentes. Esta lista pode ser encontrada aqui.
A lista não leva em conta que muitos servidores são virtuais, ou seja, vários servidores na mesma máquina. Por outro lado, muitos servidores novos ainda não estão indexados, não aparecendo em links. Se você conhece algum servidor não listado, favor me comunicar neste e-mail.
Se convidado a dar um chute, eu arriscaria uns 2000 servidores http. Com uma média de 250 páginas por servidor, já são mais de meio milhão de páginas web.
Consta que Fidel Castro e Che Guevara se comunicavam por meio de mensagens criptografadas, usando o método conhecido por "One-Time Pad", ainda hoje considerado totalmente seguro.
Nos EUA, a NSA (National Security Agency) foi a organização que se dedicou a estudar e controlar a criptografia. Temendo as consequências do uso de métodos criptográficos por terroristas e criminosos internacionais, a NSA proibiu a exportação desta tecnologia.
Ocorre que, com o passar do tempo, os métodos criptográficos começaram a ser estudados fora da NSA, em universidades e empresas. Inúmeros livros, papers e conferências sobre o assunto contribuiram para a divulgação da criptografia.
Hoje em dia, qualquer um pode comprar o livro Applied Cryptography, de Bruce Schneier, que contém fontes em C de programas para criptografia (interessante notar que o disquete contendo os mesmos programas não pode ser exportado. Vai entender!). O programa PGP (Pretty Good Privacy), desenvolvido por Phil Zimmermann, foi colocado na Internet e provê criptografia de qualidade militar para o público em geral.
Isto transformou a proibição de exportação em uma legislação arcaica. Mais ainda, passou a ser um problema para empresas americanas desenvolvedoras de software, que queriam usar a criptografia para permitir o comércio seguro pela Internet. Pressionada por estas empresas, a NSA liberou para a exportação a chamada criptografia fraca (com chaves pequenas de até 40 bits). Este é o tipo de criptografia usada na versão exportação do Netscape e outros browsers. A versão para a América do Norte usa chaves de 128 bits, infinitamente mais seguras.
Agora parece que a criptografia forte vai ser finalmente liberada. Um projeto de lei do senador republicano Burns prevê o fim das restrições de exportação. Essa lei pode ser muito importante para promover o comercio via Internet em escala mundial. Além disso, a lei joga água fria na idéia da administração Clinton de obrigar os fabricantes de equipamentos a usar o chamado Clipper Chip, um dispositivo de encripção que permite às autoridades "grampear" comunicações encriptadas. Um bom projeto. Finalmente.
Alguns, como o vice presidente Al Gore, tentam conquistar os usuários da Rede participando dos debates associados ao seu futuro. Outros parecem ter optado por colidir frontalmente com a Internet para conseguir os seus 15 minutos de fama.
É o caso dos congressistas Exon e Coats, responsáveis pelo discutido "Communications Decency Act". Esta lei proibe a publicação de imagens "obscenas" e palavrões na Internet.
A lei fez da Internet a mais censurada das formas de midia eletrônica. E criou situações completamente absurdas. Obras célebres da literatura mundial estão proibidas trafegar pela Internet se contiverem algum dos chamados "filthy words". E-mails estão sujeitos ao mesmo tratamento. Até mesmo as decisões de tribunais relativas à lei não poderão ser publicadas na Internet pois fatalmente vão conter as tais palavras proibidas.
Juristas acham que a lei vai ser derrubada por decisões da suprema corte, pois se choca com a primeira emenda da constituição amaricana (free speech). Isto parece não importar muito para os dois congressistas: eles já obtiveram a notoriedade que queriam.
Um outro deputado, o republicano Hyde, parece que gostou da brincadeira. Ele está querendo incluir na regulamentação das comunicações as provisões de uma lei com mais de 100 anos (Comstock) proibindo "o uso de sistemas de informação on line para divulgação de informações sobre aborto" (o texto não distingue entre opiniões contra ou a favor). Sua lei preve multas de até $250.000 e cinco anos de cadeia. Mais absurdo ainda, a publicação desta lei na Internet é uma violação dela própria, pois discute um assunto relacionado ao aborto. Perguntado a esse respeito, o congressista não soube resolver o seu paradoxo.
Poucos acreditam na aprovação desta lei exótica, mas a simples existência da proposta já dá uma dica do pensamento do político na Internet: Falem bem, falem mal, mas falem de mim. É questão de tempo até os nossos políticos pegarem a deixa.
Nota: (20/4/96) O prefeito do Rio, Sr Cesar Maia, parece que já tomou a dianteira. Está criando uma censura municipal para a televisão. Inconstitucional - claro - mas dá alguns segundos no noticiário da televisão.
Mais informações:
Aborto censurado?
Zundel é um neo-nazista da linha que nega o holocausto. Seu site poderia ser descrito como pouco visitado. Isto é, até que o governo alemão determinou que a Deutsche Telekom, estatal das comunicações, barrasse o acesso dos usuários alemães ao site de Zundel.
Indignados com mais esse ataque à liberdade de expressão, ativistas resolveram colocarar as páginas de Zundel em vários importantes servidores na Internet. A idéia não era, claro, dar suporte às suas idéias revisionistas - fato que os promotores da iniciativa fazem questão de enfatizar. Os mirrors foram instalados para demonstrar a futilidade das tentativas de censurar a Internet.
Com mirrors do site de Zundel nas universidades Carnegie Mellon, MIT, Stanford e University of Pennsylvania, o governo alemão foi forçado a recuar. Ficava chato ter que proibir todos esses importantes servidores. Mais ainda, os ativistas ameaçavam replicar o Zundelsite em dezenas de outros servidores, caso as autoridades insistissem na extratégia.
Terminada a proibição, os mirrors foram rapidamente apagados. Todos estavam ansiosos para se livrarem do polêmico material.
O incidente causou grande desconforto entre as autoridades alemãs. O ministro da tecnologia classificou a iniciativa como uma "interferência nos assuntos internos alemães". Não ficou claro se o ministro entendeu que a ação do seu governo deu publicidade a um site que de outro modo teria pouca relevância.
Para os defensores da liberdade de expressão, que por alguns instantes deram um insólito apoio ao nazista, o incidente teve um sabor de vitória - pequena é verdade - nestes tempos em que a censura ronda a Internet.
mais informações:
Notícia da Reuters
Site de Zundel
Nizkor Home Page