Reflex

1

• Reflexão sobre Segurança e Web 2.0

2

• Apresentação
• Conceito
• Práticas Mundiais
• Projecto Pegasus
• Segurança?
• Conclusão

3

• Apresentação

4

• O que é o Cartão do Cidadão?
• documento físico
• identificação visual do cidadão
• autenticação digital
• assinatura electrónica

5

• O que é o Cartão do Cidadão?
• integra num só documento
• Bilhete de Identidade
• Segurança Social
• Serviço Nacional de Saúde
• Contribuinte
• Eleitor

6

• Conceito

7

• Cartão do Cidadão
• Frente
• fotografia e os elementos de identificação civil
• Verso
• números de identificação dos diferentes
  organismos, uma zona de leitura óptica (MRZ) e o
  chip

8
(No Transcript)
9

• Práticas Mundiais

10

• Paises com CC
• Áustria
• Bélgica
• Estónia
• Finlândia
• Suécia

• Itália
• Hong Kong
• Malásia
• Singapura

11
(No Transcript)
12
(No Transcript)
13

• Áustria
• Todos os certificados dos cartões da Áustria
  cumprem a directiva comunitária sobre assinaturas
  digitais 1999/93/EC, bem como o standard X509 v3
  sobre certificados digitais e PKI.

14

• Bélgica
• Todos os certificados do cartão da Bélgica
  cumprem a directiva comunitária sobre assinaturas
  digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem
  como o standard X509 v3 sobre certificados
  digitais e PKI, e ainda o standard BS 7799 sobre
  segurança e infra-estrutura.

15

• Estónia
• cumprem a directiva comunitária sobre assinaturas
  digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem
  como o standard X509 v3 sobre certificados
  digitais e PKI.
• Plataforma de código para assinatura electrónica
  open source
• http//www.legaltext.ee/en/andmebaas/ava.asp?tyyp
  SITE_ALLptyypIm000queryDigital

16

• Projecto Pegasus

17

• Tarefas e Parceiros Pegasus

18
(No Transcript)
19

• Arquitectura Lógica

comunicação coerente e coordenada entre as
restantes componentes da prova de
conceito, interligando tecnologias e aplicações
distintas por meio de standards tecnológicos como
XML e web services.
20

• Infra-estrutura de Chaves Públicas (PKI)
• RFC 3647 Internet X.509 Infra-estrutura de
  Chaves Públicas Políticas de Certificados e
  Declaração de Pratica de Certificados.
• RFC 2459 Internet X.509 Infra-estrutura de
  Chaves Públicas Perfis de Certificados e de
  Listas de Revogação de Certificados.
• RFC 3039 Internet X.509 Infra-estrutura de
  Chaves Públicas Perfis de Certificados
  Qualificados.
• RFC 2560 X.509 Infra-estrutura de Chaves
  Públicas Protocolo OCSP
• ETSI TS 101 456 Requisitos de Políticas para
  Entidades de Certificação que emitam Certificados
  Qualificados.
• ETSI TS 101 862 Perfis de Certificados
  Qualificados.
• ETSI TS 102 042 Requisito de Políticas para
  Entidades de Certificação que emitam Certificados
  de chaves publica.
• ISO 17799 Guia para as boas práticas de
  segurança.

21

• Mensagens suportadas pela Plataforma Integradora
• XML Definition Schema (XSD)

22

• Características físicas do chip
• 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM
• RSA 1024, 2048 bits
• DES, TDES, AES
• CC EAL5 (in progress)
• OS ICitizen V2 64K
• Java Card 2.2.1 (http//java.sun.com/products/java
  card/)
• Global Platform 2.1 (http//www.globalplatform.org
  /)
• 64K de memória para aplicações e dados
• Multiple PIN Mangement

23

• Dados Contidos no Cartão
• Pedido (Numero e Balcão)
• Nome do Cidadão
• Naturalidade
• Nacionalidade
• Data de Nascimento
• Sexo
• Filiação Pai
• Filiação Mãe
• Residência

• BI
• NIF
• SS
• SNS
• Eleitor
• Certificado
• Dados de Saúde
• Dados Biométricos (Fotografia e 2 Impressões
  Digitais)

24

• Aplicações de Suporte
• Plataforma de CRM, Contact Center Siebel v7.8
• Web server IIS Server
• DB Server Microsoft SQL Server 2000
• Ciclo de Vida Microsoft .NET Framework 2.0,
  Microsoft DirectX, WebServices (ASPX) SOAP / WSDL
  / XML

25

• Aplicações Plataforma de Iteroperabilidade
• ASP.NET 2.0.50272
• IIS v6.0.3790
• Microsoft .NET Framework 2.0
• Microsoft Biztalk Server 2004

26

• Aplicações Plataforma de Iteroperabilidade
  (Integração e Federação)
• Windows Server 2003 R2
• Microsoft Biztalk Server 2004
• Microsoft SQL Server 2000

27

• Aplicações Plataforma de Iteroperabilidade
  (Autenticação)
• Windows Server 2003 R2 incluindo
• Active Directory
• Active Directory Federation Services

28

• Aplicações de Cliente (teste)
• Middleware Axalto Smart Card Activity Monitor
  (v5.01)
• Microsoft Windows XP SP2 e o browser Internet
  Explorer (v6.0)

29

• Aplicações de Cliente (teste)
• Middleware Axalto Smart Card Activity Monitor
  (v5.01)
• Microsoft Windows XP SP2 e o browser Internet
  Explorer (v6.0)

Testes em ambientes open source e Macintosh
esquecidos por completo
30

• Aplicações de Servidor (Portal do Cidadão)
• ASP.NET 2.0.50272
• IIS v6.0.3790
• Microsoft .NET 1.1 migrado para Microsoft .NET
  Framework 2.0

31

• Aplicações - Backoffice da Conservatoria
• ASP.NET 2.0.50272
• IIS v6.0.3790
• Microsoft .NET Framework 2.0
• Microsoft Biztalk Server (2004?)

32

• Aplicações - SI Identificação Civil
• OutSystems Hub Server 3.2
• JBoss JBoss-4.0.3SP1
• Java j2sdk-1_4_2_06
• Oracle 9.0.2
• WebServices Axis (Apache JBoss)

33

• Aplicações - SI Segurança Social
• J2EE Java 2 Enterprise Edition / Sun
  Application Server
• Apache Axis Apache Extensible Interaction
  System
• Oracle 9i Enterprise DBMS

34

• Aplicações - SI Finanças
• Framework MVC (Model-View-Controller) Struts
• JDK1.4
• WebLogic 8.1
• EJB 2.0
• J2EE 1.3

35

• Aplicações Receita Electrónica
• DB Oracle 9i
• Tecnologia Oracle Developer Forms 10g e Oracle
  Developer Reports 10g
• Servidor Windows Server 2003

36

• Segurança

37

• Segurança

38

• Segurança

39

• Segurança Postos de Trabalho
• Microsoft Windows XP Professional (com SP2)
• Microsoft DirectX 9.x
• Adobe Acrobat Reader 6.0 (ou superior)
• Microsoft .NET Framework Runtime 2.0
• Siemens Pegasus Enrollment System 1.0
• Drivers da Estação de recolha de dados biométricos

40

• Conclusões

41

• Web 2.0
• A experiencia da internet aproxima-se dos
  utilizadores
• http//www.portaldocidadao.pt/
• Os utilizadores aproximam-se dos serviços
• Certidões, Licenças, Registos e Afins
• Criação de Empresa Online
• Renovação do Cartão Jovem Eurolt26
• O que significa a Web 2.0 para os serviços
  públicos?

42

• Perguntas
• É privado? A privacidade esta assegurada com
  este sistema?
• O meu conceito de privacidade não esta a ser
  devassado?
• Estarão os meus dados pessoais mais importantes
  protegidos?
• Uma estrutura assente em tecnologias Microsoft e
  não open source, será a melhor política?

43

• Perguntas
• É apresentado como sendo seguro, e é Seguro?
• Clonagem do Cartão
• Fhishing dos Sistemas de Autenticação
• Com uma infraestrutura assente muitas vezes na
  parte de servidor e na de cliente em tecnologias
  Microsoft, estará este sistema vulneravel a virus
  e a ataques?
• Essa situação esta a ser prevista?

44

• Perguntas
• Será esta uma plataforma fiável face ao número de
  utilizadores?

45

• Segurança
• One time password pela INCM (no CRM)
• autenticação forte do cartão, existem basicamente
  3 soluções/tecnologias possíveis
• EMV-CAP
• standard OATH (http//www.openauthentication.org/)
  
• solução desenhada à medida para o CC, mas que
  implicaria leitores especialmente customizados
  para o efeito.

46

• Refrexão
• Preposição de um grupo de trabalho voluntario a
  estudar as questões de segurança, e a denunciar
  falhas
• Um Wiki como plataforma de trabalho
• Experiencias no estrangeiro sobre Watchdogs
  privados de segurança bases de dados e de
  documentos
• A minha experiencia no WTH