5.2.1.14 Coletar críticas ou sugestões de melhoria dos avaliadores
Quanto a esta questão aberta, todas as respostas são apresentadas na íntegra no Apêndice F. De forma geral, algumas das sugestões são apresentadas abaixo:
• “Disponibilizar versões do aplicativo para as plataformas iOS e Windows Phone”;
• “Melhorar a interface do aplicativo, no sentido de aumentar a responsividade e usabilidade”;
• “Disponibilizar um manual para usuários leigos e disponibilizar o código-fonte para aumentar a confiança dos usuário em relação aos dados coletados pela aplicação”;
• “Explicar de forma rápida e simples a motivação do projeto, para que fique claro aos avaliado- res”; e,
• “Apresentar breve explicação sobre o funcionamento atual dos serviços de governo”.
5.2.1.15 Verificar se os avaliadores tinham algum comentário adicional
Nessa questão aberta, os avaliadores apresentam comentários como: “o software pode aumentar o nível de segurança de autenticação nos sistemas de governo”; “minimizar problemas como o esqueci- mento de senhas”; “os portais governamentais estão precisando de um incremento em segurança”; “as limitações apontadas são relativas a apresentação”; e, “em termos de sua funcionalidade, o sistema parece bom, mas UI/UX é tudo, se seu usuário não entende como o sistema funciona e tem dificuldade de interagir, o sistema não serve para nada”. Todas as respostas escritas pelos avaliadores podem ser encontradas na íntegra no Apêndice F.
Conforme descrito por Krimpe (2014), essas soluções de eID Móvel que se baseiam no cartão SIM geram uma dependência do cidadão e do governo com os padrões estabelecidos pelas operadoras de telefonia móvel. Como toda infraestrutura de segurança e autenticação é provida pelas operadoras de telefonia móvel, segundo Kerttula (2015), essa característica exige do cidadão também a assinatura de um plano de dados móveis. Neste sentido, o mID-BR se diferencia ao permitir que o cidadão possa fazer uso de qualquer rede sem fio que tenha acesso à Internet, não prendendo o cidadão ao uso de redes de dados oferecidas pelas operadoras.
Segundo Martens (2010), para as soluções que implementam a eID Móvel através de parcerias com as operadoras de telefonia, como por exemplo na Islândia (apresentada por Prusa (2015)), é exigido do cidadão a troca do seu cartão SIM por outro com capacidades criptográficas. No entanto, os cartões SIM oferecidos geralmente possuem alguma tecnologia proprietária embarcada, o que contribui para elevar o custo com a aquisição dos cartões SIM PKI e a dependência com as operadoras. Como o mID-BR propõe o uso de criptografia de chave pública forte, implementada através do protocolo FIDO UAF, qualquer dispositivo móvel ou de hardware que possua a pilha FIDO UAF embarcada pode ser utilizado.
Apesar da maioria das soluções de eID Móvel apresentadas estabelecerem parcerias entre o governo e a iniciativa privada, não foi apresentado pelos trabalhos relacionados o grau de envolvimento entre eles. Ou seja, não foi possível identificar até que ponto o governo dita as regras de negócios e determina quais padrões tecnológicos devem ser seguidos. No trabalho de Zefferer e Teufl (2015), é apresentada soluções totalmente proprietárias de eID Móvel, oferecidas à governos por empresas privadas, como soluções prontas para uso. Ao contrário, o mID-BR propõe a utilização de tecnologias de padrão aberto e alinhadas à arquitetura e-PING, o que permite ao governo brasileiro adaptar a solução conforme sua necessidade e criar suas próprias regras de negócio para atender melhor a população.
Por fim, o trabalho de Torres et al. (2016) apresenta uma estratégia de gestão de identidades para o Brasil, citando a adoção da eID Móvel para acesso ao serviços de e-Gov que exigem mais alto nível de segurança. No entanto, essa estratégia carece de resultados de uma prototipação, igualmente às soluções apresentadas por Wu et al. (2014) e En-Nasry e Kettani (2011) que tratam apenas de modelos teóricos, sem apresentarem resultados práticos. Pelo contrário, o mID-BR descreve a implementação de um protótipo desenvolvido totalmente com padrões abertos e apresenta resultados científicos de um sistema de Gestão de eID Móvel Nacional.
6 CONCLUSÃO
Um grande número de países vem enfrentando o desafio de estreitar a relação da população com o governo, de forma a promover desenvolvimento sustentável, transparente e aumentar a participação do cidadão nas decisões públicas. Implantar políticas de governo eletrônico, com auxílio das tecnologias de informação e comunicação, tem se mostrado um caminho promissor para estimular novos empregos, melhorar as condições de saúde e educação, além de promover a inclusão social e crescimento econômico de uma nação (ONU, 2014). De acordo com (OECD, 2011b), a concretização das políticas de e-Gov é favorecida com o desenvolvimento de estratégias nacionais de GId.
Ao longo dos anos, alguns países tem desenvolvido suas estratégias de GId com base em cartões de identidade civil comchip. Porém, conforme observado por Ruiz-Martínez et al. (2007) e por Tavora, Torres e Fustinoni (2015), esses países têm se deparado com a baixa utilização do cartão de eID nas interações entre cidadãos e governo. Devido a esta baixa aceitação e o uso crescente dos serviços de comunicação móvel, diversas soluções de eID Móvel têm surgido nos últimos anos (RUIZ-MARTÍNEZ et al., 2007). Pela simplicidade de implementação e por oferecer proteção contra violação física (DO et al., 2013), soluções com cartões SIM tem sido largamente adotadas (ZEFFERER; TEUFL, 2015).
Contudo, implementar a eID Móvel utilizando cartões SIM PKI gera altos custos de aquisição dos mesmos (ZEFFERER; TEUFL, 2015), bem como custos com a contratação de um plano de dados móveis (KERTTULA, 2015), pois o cidadão é identificado através das redes de telefonia móvel (DO et al., 2013). Essa dependência entre governo e operadoras (KRIMPE, 2014), também cria problemas a serem enfrentados pelos SPs governamentais, como a falta de confiança na infraestrutura de autenticação das operadoras de telefonia móvel (MARTENS, 2010).
Recentemente, uma estratégia de GId foi proposta em (TORRES et al., 2016) para alavancar o desenvolvimento de e-Gov nacional. Essa estratégia sugere a utilização da eID Móvel no Brasil, porém sua implementação não é descrita, como também não são apresentadas formas de contornar os problemas mencionados acima.
Diante desse cenário, buscando encontrar uma forma de implementar a eID Móvel no Brasil, que contornasse os problemas enfrentados pelas soluções adotadas por outros países, surgiram os seguintes problemas de pesquisa: (i) identificar quais soluções de padrão aberto podem ser utilizadas para gerar a eID Móvel do cidadão e garantir o mesmo nível de segurança e usabilidade das soluções
atualmente em uso; e, (ii) buscar uma forma de integrar um sistema de eID Móvel ao cenário e-Gov nacional, considerando uma solução baseada em tecnologias emergentes e ao mesmo tempo promova a usabilidade.
Como forma de contornar os problemas de pesquisa identificados, foi definido o seguinte objetivo geral: possibilitar o uso da eID Móvel em um sistema de GId Nacional, alinhado ao Programa de Governo Eletrônico Brasileiro, por meio de uma solução que prime pela segurança, privacidade e usabilidade. Para atingir esse objetivo geral, três objetivos específicos foram definidos.
O primeiro objetivo, de garantir a segurança e a usabilidade da eID Móvel, de forma similar às implementações que fazem uso do cartão SIM ou do HSM, foi atingido com a modelagem e implementação de um protótipo por meio do uso de tecnologias emergentes como o FIDO UAF e o TEE. O segundo objetivo, de garantir a segurança e a privacidade do cidadão, por meio de um sistema de Gestão de eID Móvel Nacional, alinhado à estratégia nacional de e-Gov brasileiro proposta em Torres et al. (2016), foi atingido pela descrição de um sistema de eID Móvel Nacional, alinhado aos padrões de interoperabilidade definidos pela arquitetura e-PING.
O último objetivo específico, de avaliar a funcionalidade e a usabilidade de um sistema de gestão de eID móvel, bem como os impactos sobre a privacidade, considerando o seu uso em um estudo de caso, foi atingido a partir das experimentações de avaliação apresentadas no Capítulo 5.
Diante do exposto, pode-se afirmar que o objetivo geral desse trabalho foi alcançado.
A realização da pesquisa bibliográfica, permitiu identificar as tecnologias emergentes, de forma a confirmar a primeira hipótese desse trabalho, a qual afirma que o uso da tecnologia TEE garante um alto nível de segurança, auxiliando a proteção das informações biométricas do usuário, podendo ser utilizada como substituto do elemento seguro nas soluções de eID Móvel.
A segunda hipótese, afirmava que a utilização dos padrões estabelecidos pela aliança FIDO provê a segurança necessária nas interações entre o dispositivo móvel do cidadão e o IdP, bem como possibilita gerar de forma segura a eID Móvel do cidadão. Ao atingir o objetivo específico 1 e parcialmente o 3, pode-se afirmar que esta hipótese é verdadeira.
Por fim, a hipótese que afirmava que uma solução de eID Móvel construída com as especifica- ções FIDO e alinhada a um sistema de GId construído com o padrão SAML aprimorava a segurança, a usabilidade e a privacidade do usuário, foi confirmada ao se atingir os objetivos específicos 2 e 3.