Assinatura digital Rabin-Williams - sem randomização e com prova eficiente de segurança / Rabin-Williams digital signature without randomization and with tight security proof.

Magri, Bernardo Caraponale

13 April 2012

Com o surgimento da criptografia de chave pública, muito esforço foi feito para a criação de protocolos de criptografia e de assinatura que fossem comprovadamente seguros contra indivíduos maliciosos. Existem várias definições de segurança, tanto para protocolos de criptografia como para protocolos de assinatura, e também existem vários modelos de adversários, que simulam um indivíduo malicioso tentando corromper o protocolo. A família de protocolos de assinatura Rabin possui os recordes de velocidade de vericação da assinatura, chegando a ser até 100 vezes mais rápida do que o RSA. Este trabalho apresenta uma redução eficiente de segurança no modelo do oráculo aleatório para uma variante do protocolo de assinatura Rabin descrito por Bernstein, onde não é necessário o uso de nenhuma função para geração de bits pseudo-aleatórios, o que torna o protocolo mais robusto. A redução apresentada é uma redução polinomial e eficiente do problema da fatoração de inteiros para o problema de quebrar o protocolo Principal Rabin-Williams B = 0. / With the development of public-key cryptography, many efforts were made to build encryption and signature protocols that were provably secure against malicious adversaries. There are many definitions of security for encryption and signature protocols, and there are many adversary models to simulate the behaviour of a malicious adversary against a given protocol. The Rabin family of signature protocols has the speed records for verification of signature, being up to 100 times faster than RSA. This work presents a tight security proof in the random oracle model for a variant of the Rabin signature protocol presented by Bernstein, that does not require the use of pseudo-random bits, making the protocol more robust. The proof presented here is a polynomially tight reduction for the problem of integer factorization to the problem of breaking the Principal Rabin-Williams B = 0 protocol.

Assinatura Digital

Criptografia

Cryptography

Digital Signature

Rabin-Williams

Rabin-Williams

RSA

RSA

Sociedades anônimas: reuniões e assembleias gerais eletrônicas no Brasil

Botteselli, Ettore Alves Rigo de Lima

29 September 2016

Submitted by Filipe dos Santos (fsantos@pucsp.br) on 2016-11-21T12:42:51Z No. of bitstreams: 1 Ettore Alves Rigo De Lima Botteselli.pdf: 888307 bytes, checksum: 411881ed8c3efe41ba3e8de0dcbb80e2 (MD5) / Made available in DSpace on 2016-11-21T12:42:51Z (GMT). No. of bitstreams: 1 Ettore Alves Rigo De Lima Botteselli.pdf: 888307 bytes, checksum: 411881ed8c3efe41ba3e8de0dcbb80e2 (MD5) Previous issue date: 2016-09-29 / The current global dynamics demands fast and precise decisions. The technological development has allowed the creation and enforcement of digital documents. The electronic documents have their validity and enforcement recognized in several countries, including Brazil. One of the elements that enforced the consolidation of the electronic document in our law was the creation of the digital signature trough the digital certificates. That has granted to the digital documents legal certainty in regard to its authorship and origin. The usage of technological methods in corporate acts ensure a higher participation of the administration boards members and shareholders, besides the highest agility in decision making. The adoption of electronic mechanisms to hold such corporate acts, probably, would overcome the issues related to the absence, however the holding of corporate acts only in electronic format may, in some cases, create some uncertainty. The Brazilian corporate law sets forth several procedures and formalities which should be observed and, consequently, may compromise the validity and enforcement of corporate acts only in electronic format, especially the shareholders meeting. Notwithstanding such procedures and formalities, there is still a structure issue in regard to the registries of commerce, which may difficult the settlement of corporate acts only in electronic format / A dinâmica global atual exige decisões rápidas e precisas. O avanço tecnológico permitiu a criação e efetiva implementação de documentos digitais. Os documentos eletrônicos possuem a sua validade e eficácia reconhecida em diversos países, incluindo o Brasil. Um dos fatores que assegurou a consolidação do documento eletrônico em nosso ordenamento foi a criação da assinatura digital, por meio de certificados digitais. Isso assegurou aos documentos digitais segurança jurídica quanto a sua autoria e origem. A utilização de meios tecnológicos em atos societários assegura maior participação dos membros da administração e acionistas, além de maior agilidade na tomada de decisões. A adoção de mecanismos eletrônicos para a realização de tais atos, provavelmente, supriria questões relativas ao absenteísmo, no entanto, a realização de atos societários, essencialmente eletrônicos, pode, em alguns casos, gerar insegurança jurídica. A legislação societária brasileira estabelece diversos ritos e formalidades que devem ser observados e, portanto, podem comprometer a validade e eficácia dos atos societários essencialmente eletrônicos, em especial da assembleia geral eletrônica. Não obstante tais ritos e formalidades, ainda existe uma questão estrutural junto aos registros de comércio, que podem dificultar a implementação dos atos societários em formato totalmente eletrônico

Documentos eletrônicos

Assinatura digital

Sociedades anônimas

Electronic documents

Digital signature

Corporations

Análise de elementos jurídico-tecnológicos que compõem a assinatura digital certificada digitalmente pela Infra-estrutura da Chaves Públicas do Brasil (ICP-Brasil). / Analysis of legal-technological elements that compose the certifyd digital signature for the infrastructure of public keys of Brazil (ICP-Brasil).

Airton Roberto Guelfi

22 March 2007

Este trabalho faz uma análise crítica dos elementos jurídicos-tecnológicos de uma assinatura digital certificada digitalmente. O primeiro aspecto a ser abordado advém da verificação da competência para o desenvolvimento da atividade de certificação, em decorrência da natureza jurídica do certificado digital. Consoante se verificou, o certificado digital é o instrumento hábil a assegurar a autenticidade dos documentos eletrônicos por meio de uma assinatura digital. Dessa forma, equipara-se ao ato de reconhecimento de firma, atividade notarial desenvolvida pelos Cartórios Notariais, de acordo com a competência fixada no artigo 236 da Constituição da República Federativa do Brasil. Todavia, segundo regra presente na Medida Provisória 2.200-2/01, desde 2001 essa atividade vem sendo desenvolvida sob a competência do Governo Federal, através do Instituto Nacional de Tecnologia da Informação - ITI (Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas do Brasil. Como decorrência tem-se que a Medida Provisória 2.200-2/01 é inconstitucional, uma vez que não respeita regra de competência material fixada pela Constituição da República Federativa do Brasil para o desenvolvimento da atividade notarial. Sob um prisma tecnológico, têm-se que a ICP-Brasil, por meio de seu Comitê Gestor, fixa expressamente qual a tecnologia que deve ser empregada para a produção das assinaturas digitais. Neste caminho, até maio de 2006, entre outros, foi indicado o algoritmo criptográfico de função hash MD5 para a geração das assinaturas digitais com autenticidade e integridade garantidas por lei. Todavia, o MD5 perdeu sua utilidade em 2004, quando foi quebrado, ocasionando a possibilidade de fraudes, inclusive a geração de documentos eletrônicos forjados. Sem dúvida, a legislação brasileira vinha assegurando validade jurídica e força probante a documentos eletrônicos assinados com algoritmo criptográfico de função hash MD5 que poderiam ter sido forjados. Para que o documento eletrônico assinado digitalmente possa ser amplamente utilizado em relações sociais é preciso que regras jurídicas e tecnológicas sejam respeitadas, sob pena de se criar uma enorme insegurança social. / This work presents a critical analysis of the technology and law aspects of certified digital signatures, and their implementation in Brazil. We discuss and verify the competency rules that apply to the certification activity according to the legal nature of the digital certificate. A digital certificate is the instrument that secures the authenticity of an electronic document by means of a digital signature. According to the article 236 of the Brazilian Constitution, authenticity certifications are of exclusive competence of public notaries. Nevertheless, based on an under constitutional statute, digital certification has being conducted by the Federal Government thru its National Institute of Information Technology (Instituto Nacional de Tecnologia da Informação - ITI), who is responsible for the Brazilian public key root certification authority. We found that the statute that supports those activities (Medida Provisória 2.200-2/01) is unconstitutional, and therefore invalid and unenforceable, since it does not satisfy constitutional rules of material competency. Under a technology view, we find that the Managing Committee of the Brazilian Public Key Infrastructure explicitly defines the technology to be used in digital signatures. According to that ruling, until may 2006, among others, the MD5 hashing algorithm was used to generate digital signatures with statutory presumption of authenticity and integrity. Nevertheless, MD5 lost its technical usefulness in 2004, when it was broken, and became prone to fraud such as the generation of forged electronic documents. There is no doubt that Brazilian legislation gave legal value and probatory force to electronic documents signed using the already broken MD5 hashing algorithm that could very well had been forged. Digitally signed electronic documents can only be successfully used if legal rules and the technological aspects be fully understood and respected. Otherwise, the result will be high levels of uncertainty in law relations.

Assinatura digital

Certificação digital

Infra-estrutura de chaves públicas

Digital certification

Digital signature

Public key infrastructure

Segurança na sociedade da informação : uma visão desde a autonomia privada

Silva, Eduardo Silva da

January 2006

A presente tese propõe o reconhecimento dos novos papéis desempenhados pela autonomia privada na regulação de aspectos da sociedade da informação. Dada a dimensão da rede de computadores, o seu carater transnacional e a dificuldade para e estabelecimento de uma regulação jurídica internacional uniforme, a autonomia privada, como poder de pradução de efeitos jurídicos, pode apresentar-se como alternativa complementar (nãoexcludente) para a disciplina de questões relacionadas ao estabelecimento de pactos negociais através da rede (o chamado comércio eletrônico) e para a eventual diluição de conflitos deles decorrentes. Ante a ampla liberdade concedida aos particulares e que se materializa através dos inúmeros e criativos empregos que continuamente têm sido atribuidos à rede de computadores, espreita-se uma gama variável de riscos decorrentes do exercício da própria liberdade e que dizem respeito, exemplificativamente,à disseminação de sites eletrônicos falsos, o não-cumprimento de contratos e a ineficácia de decisões judiciais para além dos limites territoriais do Estado prolator da decisão. Em vista destes fatos (a circunscrição da sociedade da informação entre os limites da liberdade e do risco), a tese propõe a contenção dos perigos e o reforço da segurança dos negócios jurídicos mediante o exercício da autonomia privada. Neste esforço se situam os procedimentos de certificação dos sites e de suas práticas através de selos (labelização), gerando uma nomatividade particular, de caráter obrigatório aos que a ela se submetam, transcendente das fronteiras nacionais. Ao mesmo tempo, propõe-se o estabelecimento de mecanismos para a solução de eventuais conflitos que levem em conta as características mais próprias da comércio online, tais como a distância entre as partes, a sobreposição de ordenamentos jurídicos diversos e a necessidade de agilidade das decisões através dos chamados online dispute resolution, notadamente através do emprego da arbitragem eletrônica. / Examine some of the characters that could be played by the private autonomy for the regulation of the information's society aspects that's wanted in this text (thesis). Because of the dimension of tbe computer's net is given, his transnational character and the difficulty for the establishment of international legal standard regulations, the private autonomy, as a power of auto-regulations for private interests, could presents itself as an alternative to discipline questions related to the establishment of negotiable agreements through the net and the eventual dilution of conflicts. So, the prelminary question is about the fact that the infomation's society is based between the liberty and the risk. Before of the great liberty allowed to the private users that shows up through the innumerable and creative uses that has to be attributed to the computer´s net, it could be observed a great variable of risks resulting from the exercise of the own liberty, that had to be, specificaliy, with the false homepage dissemination, with the not compliance with the agreements and the inefficiency of the legal decisions beyond the territorid limits of the State that is responsible for the decision. Therefore, shows up a new psoposal for the business seded by the net, as resultkig from performative acts or from tacit declarations to conclude behaviors, both as expressions of the private liberty. For the risk's restrictions there is the suggestion for the site's certification and its practice with the use of stamps and the establishment of private forms of controversy's dilution, showing one actual expression of the private autonomy and of the civil society.

Autonomia privada

Sociedade da informação

Negocio juridico

Certificação

Assinatura digital

Internet

Autonomy of will

Self regulation

Arbitration

Comparação analítica dos esquemas de autenticação em sistemas P2P de live streaming / Comparative analisys of authentication schemes in P2P live streaming

Coelho, Rafael Vieira

January 2011

As aplicações de live streaming em redes P2P têm grande potencial de crescimento, em popularidade e qualidade, mas são potencialmente vulneráveis ao ataque de poluição de conteúdo. Tal ataque corresponde a qualquer adulteração de áudio e/ou vídeo na mídia transmitida buscando ludibriar espectadores. A autenticação de blocos do fluxo de dados contínuo (stream) permite a detecção de conteúdo poluído e a possível identificação de pares maliciosos na rede P2P. A literatura contém diversas propostas de autenticação baseadas em assinatura digital leve e em amortização de assinatura digital. O presente trabalho, como nenhum anterior, compara tanto os esquemas de assinatura leve quanto os de amortização sob diferentes perspectivas de qualidade de transmissão (vídeos convencionais e de alta definição) em redes P2P de live streaming através da formularização analítica dos mesmos. Para isto, é feita uma comparação quantitativa de sobrecargas e nível de segurança, observando fenômenos e identificando desafios de pesquisa que precisarão ser vencidos. Particularmente, para avaliar a viabilidade dos esquemas, foi definido um coeficiente que leva em consideração o tempo total de transmissão e o custo computacional proporcionado pelo esquema estudado. Como uma das conclusões inéditas dessa análise, o esquema PARM2 obteve o melhor desempenho dentre os esquemas leves de assinatura. Já em relação aos esquemas de amortização, o Linear Digests se sobressaiu entre os demais. Por fim, foi analisada uma solução baseada na amortização de um esquema de assinatura leve, algo também inédito. A partir dessa análise em particular, foi possível observar que a autenticação é viável apenas com baixos e médios níveis de segurança em transmissões convencionais. Além disso, a partir dos resultados foi possível observar que o esquema de amortização Linear Digests deve ser utilizado isoladamente apenas em transmissões convencionais. Por fim, o esquema PARM2, se utilizado individualmente, não apresenta valores de coeficiente aceitáveis para os cenários estudados. / P2P live streaming applications have great potential for improvements in terms of popularity as well as quality. However, they are subject to pollution attacks, in which a malicious user tampers with audio/video of streams in order to trick other users. The authentication of blocks in a stream allows the detection of pollution in received content and can lead to the identification of malicious users. The literature includes several proposals of light digital signature schemes and amortization schemes. Our work, unlike previous ones, compares both amortization schemes and light signature schemes under di erent perspectives of transmission quality (convencional and high definition videos) in P2P live streaming by formulating equations for them. For such, it quantitatively compares overheads and security levels during P2P streaming sessions, identifying research challenges to be faced. In particular, to assess the viability of such schemes, we defined a coe cient that takes into account the total transmission time and computational cost provided by such scheme. As one of the novel findings of our analysis, the scheme PARM2 showed the best performance among light signature schemes. With respect to amortization, Linear Digests was the most e cient. Finally, we analyzed a solution based on the amortization of a light signature. From this particular analysis, we observed that the authentication is only feasible in conventional transmissions with low and medium security leves. In addition, the amortization scheme Linear Digests must be used in isolation only in conventional transmissions. Finally, the scheme PARM2, if used alone, has no acceptable coe cient values for the studied scenarios.

Redes P2P

Assinatura digital

Redes : Computadores

Live streaming

High definition

Authentication

Desenvolvimento de um leitor de cartões inteligentes para dispositivos móveis com comunicação Bluetooth

Caldas Neto, Carlos Castelo Branco

21 June 2011

Submitted by Diogo Barreiros (diogo.barreiros@ufba.br) on 2017-02-09T18:53:31Z No. of bitstreams: 1 Carlos Castelo Branco Caldas Neto.pdf: 3406573 bytes, checksum: 989e2168ab7188877e29843add45876b (MD5) / Approved for entry into archive by Vanessa Reis (vanessa.jamile@ufba.br) on 2017-02-10T11:24:33Z (GMT) No. of bitstreams: 1 Carlos Castelo Branco Caldas Neto.pdf: 3406573 bytes, checksum: 989e2168ab7188877e29843add45876b (MD5) / Made available in DSpace on 2017-02-10T11:24:33Z (GMT). No. of bitstreams: 1 Carlos Castelo Branco Caldas Neto.pdf: 3406573 bytes, checksum: 989e2168ab7188877e29843add45876b (MD5) / Atualmente, diversas transações que envolvem utilização de serviços governamentais, bancários ou comerciais são realizados eletronicamente e assinados de forma digital. No Brasil, desde 2001, documentos assinados com certificados digitais ICP-Brasil têm validade legal e, recentemente, têm se difundido muito devido a ações de fomento realizadas pelo governo que são visíveis em leis, normas e na utilização de documentos como e-CPF, e-CNPJ e doravante o Registro Único de Identidade Civil (RIC). Os documentos supracitados são cartões inteligentes (ou smart cards) que armazenam certificados digitais e, consequentemente, podem ser usados para realizar assinatura digital. Embora leitores de smart cards (também conhecidos como CAD – Card Acceptance Device) estejam populares e venham sendo utilizados, como é possível constatar, por exemplo, na Receita Federal e na Justiça Superior, a grande maioria os leitores de cartões inteligentes atualmente disponíveis funcionam apenas ligados a computadores pessoais. A grande popularização de tablets e telefones celulares inteligentes (ou smart phones) tem gerado uma forte tendência de utilização destes dispositivos móveis para a realização de transações eletrônicas como compras, transferências bancárias, envio de e-mails e outros. Dessa forma, é desejável assinar documentos digitalmente, através de um certificado digital armazenado em um cartão inteligente, a partir de um dispositivo móvel, como por exemplo, um celular. Este trabalho apresenta o projeto e implementação de um dispositivo leitor e escritor portátil de cartões inteligentes, denominado SCREADMOD (Smart Card Reader for Mobile Devices). Ele foi desenvolvido para ser acoplado e/ou utilizado de forma integrada com objetos inteligentes (celulares, computadores pessoais, tablets PC?s, etc.), que possam se comunicar utilizando a tecnologia de comunicação sem fios Bluetooth. Para demonstrar a viabilidade técnica do protótipo, um exemplo de aplicativo que executa sobre o sistema operacional móvel Android foi desenvolvido.

Sistemas mecatrônicos

Smart Card

Bluetooth

Android

Smart Phone

ICP-Brasil

Assinatura Digital

Comparação analítica dos esquemas de autenticação em sistemas P2P de live streaming / Comparative analisys of authentication schemes in P2P live streaming

Coelho, Rafael Vieira

January 2011

As aplicações de live streaming em redes P2P têm grande potencial de crescimento, em popularidade e qualidade, mas são potencialmente vulneráveis ao ataque de poluição de conteúdo. Tal ataque corresponde a qualquer adulteração de áudio e/ou vídeo na mídia transmitida buscando ludibriar espectadores. A autenticação de blocos do fluxo de dados contínuo (stream) permite a detecção de conteúdo poluído e a possível identificação de pares maliciosos na rede P2P. A literatura contém diversas propostas de autenticação baseadas em assinatura digital leve e em amortização de assinatura digital. O presente trabalho, como nenhum anterior, compara tanto os esquemas de assinatura leve quanto os de amortização sob diferentes perspectivas de qualidade de transmissão (vídeos convencionais e de alta definição) em redes P2P de live streaming através da formularização analítica dos mesmos. Para isto, é feita uma comparação quantitativa de sobrecargas e nível de segurança, observando fenômenos e identificando desafios de pesquisa que precisarão ser vencidos. Particularmente, para avaliar a viabilidade dos esquemas, foi definido um coeficiente que leva em consideração o tempo total de transmissão e o custo computacional proporcionado pelo esquema estudado. Como uma das conclusões inéditas dessa análise, o esquema PARM2 obteve o melhor desempenho dentre os esquemas leves de assinatura. Já em relação aos esquemas de amortização, o Linear Digests se sobressaiu entre os demais. Por fim, foi analisada uma solução baseada na amortização de um esquema de assinatura leve, algo também inédito. A partir dessa análise em particular, foi possível observar que a autenticação é viável apenas com baixos e médios níveis de segurança em transmissões convencionais. Além disso, a partir dos resultados foi possível observar que o esquema de amortização Linear Digests deve ser utilizado isoladamente apenas em transmissões convencionais. Por fim, o esquema PARM2, se utilizado individualmente, não apresenta valores de coeficiente aceitáveis para os cenários estudados. / P2P live streaming applications have great potential for improvements in terms of popularity as well as quality. However, they are subject to pollution attacks, in which a malicious user tampers with audio/video of streams in order to trick other users. The authentication of blocks in a stream allows the detection of pollution in received content and can lead to the identification of malicious users. The literature includes several proposals of light digital signature schemes and amortization schemes. Our work, unlike previous ones, compares both amortization schemes and light signature schemes under di erent perspectives of transmission quality (convencional and high definition videos) in P2P live streaming by formulating equations for them. For such, it quantitatively compares overheads and security levels during P2P streaming sessions, identifying research challenges to be faced. In particular, to assess the viability of such schemes, we defined a coe cient that takes into account the total transmission time and computational cost provided by such scheme. As one of the novel findings of our analysis, the scheme PARM2 showed the best performance among light signature schemes. With respect to amortization, Linear Digests was the most e cient. Finally, we analyzed a solution based on the amortization of a light signature. From this particular analysis, we observed that the authentication is only feasible in conventional transmissions with low and medium security leves. In addition, the amortization scheme Linear Digests must be used in isolation only in conventional transmissions. Finally, the scheme PARM2, if used alone, has no acceptable coe cient values for the studied scenarios.

Redes P2P

Assinatura digital

Redes : Computadores

Live streaming

High definition

Authentication

Segurança na sociedade da informação : uma visão desde a autonomia privada

Silva, Eduardo Silva da

January 2006

A presente tese propõe o reconhecimento dos novos papéis desempenhados pela autonomia privada na regulação de aspectos da sociedade da informação. Dada a dimensão da rede de computadores, o seu carater transnacional e a dificuldade para e estabelecimento de uma regulação jurídica internacional uniforme, a autonomia privada, como poder de pradução de efeitos jurídicos, pode apresentar-se como alternativa complementar (nãoexcludente) para a disciplina de questões relacionadas ao estabelecimento de pactos negociais através da rede (o chamado comércio eletrônico) e para a eventual diluição de conflitos deles decorrentes. Ante a ampla liberdade concedida aos particulares e que se materializa através dos inúmeros e criativos empregos que continuamente têm sido atribuidos à rede de computadores, espreita-se uma gama variável de riscos decorrentes do exercício da própria liberdade e que dizem respeito, exemplificativamente,à disseminação de sites eletrônicos falsos, o não-cumprimento de contratos e a ineficácia de decisões judiciais para além dos limites territoriais do Estado prolator da decisão. Em vista destes fatos (a circunscrição da sociedade da informação entre os limites da liberdade e do risco), a tese propõe a contenção dos perigos e o reforço da segurança dos negócios jurídicos mediante o exercício da autonomia privada. Neste esforço se situam os procedimentos de certificação dos sites e de suas práticas através de selos (labelização), gerando uma nomatividade particular, de caráter obrigatório aos que a ela se submetam, transcendente das fronteiras nacionais. Ao mesmo tempo, propõe-se o estabelecimento de mecanismos para a solução de eventuais conflitos que levem em conta as características mais próprias da comércio online, tais como a distância entre as partes, a sobreposição de ordenamentos jurídicos diversos e a necessidade de agilidade das decisões através dos chamados online dispute resolution, notadamente através do emprego da arbitragem eletrônica. / Examine some of the characters that could be played by the private autonomy for the regulation of the information's society aspects that's wanted in this text (thesis). Because of the dimension of tbe computer's net is given, his transnational character and the difficulty for the establishment of international legal standard regulations, the private autonomy, as a power of auto-regulations for private interests, could presents itself as an alternative to discipline questions related to the establishment of negotiable agreements through the net and the eventual dilution of conflicts. So, the prelminary question is about the fact that the infomation's society is based between the liberty and the risk. Before of the great liberty allowed to the private users that shows up through the innumerable and creative uses that has to be attributed to the computer´s net, it could be observed a great variable of risks resulting from the exercise of the own liberty, that had to be, specificaliy, with the false homepage dissemination, with the not compliance with the agreements and the inefficiency of the legal decisions beyond the territorid limits of the State that is responsible for the decision. Therefore, shows up a new psoposal for the business seded by the net, as resultkig from performative acts or from tacit declarations to conclude behaviors, both as expressions of the private liberty. For the risk's restrictions there is the suggestion for the site's certification and its practice with the use of stamps and the establishment of private forms of controversy's dilution, showing one actual expression of the private autonomy and of the civil society.

Autonomia privada

Sociedade da informação

Negocio juridico

Certificação

Assinatura digital

Internet

Autonomy of will

Self regulation

Arbitration

Elementos de sustentação da efetividade do uso da certificação digital em aplicações de Internet Banking : estudo de caso em uma instituição pública bancária / Elements to support the effectiveness of the use of certification in digital applications of Internet Banking : case study in a Public Institution Bank

Scrócaro, Rúbia

15 July 2013

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2013. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2013-11-11T14:59:36Z No. of bitstreams: 1 2013_RubiaScrocaro.pdf: 1141184 bytes, checksum: 58a0287bf969e61f0ee168acf3846245 (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2013-11-13T14:34:37Z (GMT) No. of bitstreams: 1 2013_RubiaScrocaro.pdf: 1141184 bytes, checksum: 58a0287bf969e61f0ee168acf3846245 (MD5) / Made available in DSpace on 2013-11-13T14:34:37Z (GMT). No. of bitstreams: 1 2013_RubiaScrocaro.pdf: 1141184 bytes, checksum: 58a0287bf969e61f0ee168acf3846245 (MD5) / Esta dissertação apresenta uma análise dos elementos de sustentação da efetividade do uso do certificado digital em aplicações de Internet Banking, com estudo de caso de uma Instituição Pública Bancária, com nome fictício de Banco Capital. O Banco Capital, para implementar o projeto certificado digital no Internet Banking, adotou uma solução de framework de certificado digital que assina e verifica a assinatura digital em documento eletrônico, requisição carimbo de tempo de uma autoridade certificadora, válida o certificado digital e sua correspondente cadeia de certificação e gerencia as listas de certificados revogados. O presente trabalho foi desenvolvido com embasamento em pesquisas do setor bancário e revisões de literatura relacionadas ao tema, com a finalidade de analisar se a solução de framework de certificado digital trata os elementos suficientes que garantem a sustentação da efetividade do projeto na Instituição. O projeto certificado digital no Internet Banking está em fase de testes, o piloto está disponível para os acessos de empregados do banco, com previsão de expansão para todos os clientes. Durante a realização do estudo, a solução de framework de certificado digital apresentou características não satisfatórias em relação às considerações apontadas pelos autores. Uma proposta com recomendações é sugerida em forma de plano de ação. ______________________________________________________________________________ ABSTRACT / This paper presents an analysis of the elements supporting the effectiveness of using the digital certificate in Internet Banking applications, with case study of a Public Bank, with real name of Bank Capital. The Capital Bank, to implement the project digital certificate in Internet Banking, adopted a solution framework digital certificate that signs and verifies the digital signature on an electronic document, requests the time stamp of a certification authority, validates the digital certificate and its corresponding certificate chain and manages the certificate revocation lists. This work was developed with grounding in research in banking and literature reviews related to the topic, in order to examine whether the solution framework of the digital certificate is sufficient to ensure the support of the effectiveness of the project in the institution. The project digital certificate in Internet Banking is in the testing phase, the pilot is available for access to bank employees, with expected expansion to all customers. During the study, the solution framework of digital certificate presented unsatisfactory characteristics in relation to the considerations mentioned by authors. A proposal with recommendations is suggested in the form of an action plan.

Certificação digital

Internet banking

Assinatura digital

Assinatura digital Rabin-Williams - sem randomização e com prova eficiente de segurança / Rabin-Williams digital signature without randomization and with tight security proof.

Bernardo Caraponale Magri

13 April 2012

Com o surgimento da criptografia de chave pública, muito esforço foi feito para a criação de protocolos de criptografia e de assinatura que fossem comprovadamente seguros contra indivíduos maliciosos. Existem várias definições de segurança, tanto para protocolos de criptografia como para protocolos de assinatura, e também existem vários modelos de adversários, que simulam um indivíduo malicioso tentando corromper o protocolo. A família de protocolos de assinatura Rabin possui os recordes de velocidade de vericação da assinatura, chegando a ser até 100 vezes mais rápida do que o RSA. Este trabalho apresenta uma redução eficiente de segurança no modelo do oráculo aleatório para uma variante do protocolo de assinatura Rabin descrito por Bernstein, onde não é necessário o uso de nenhuma função para geração de bits pseudo-aleatórios, o que torna o protocolo mais robusto. A redução apresentada é uma redução polinomial e eficiente do problema da fatoração de inteiros para o problema de quebrar o protocolo Principal Rabin-Williams B = 0. / With the development of public-key cryptography, many efforts were made to build encryption and signature protocols that were provably secure against malicious adversaries. There are many definitions of security for encryption and signature protocols, and there are many adversary models to simulate the behaviour of a malicious adversary against a given protocol. The Rabin family of signature protocols has the speed records for verification of signature, being up to 100 times faster than RSA. This work presents a tight security proof in the random oracle model for a variant of the Rabin signature protocol presented by Bernstein, that does not require the use of pseudo-random bits, making the protocol more robust. The proof presented here is a polynomially tight reduction for the problem of integer factorization to the problem of breaking the Principal Rabin-Williams B = 0 protocol.

Assinatura Digital

Criptografia

Rabin-Williams

RSA

Cryptography

Digital Signature

Rabin-Williams

RSA