Uma das estratégias utilizadas pelos governos para desenvolver programas de e-Gov é a adoção de um sistema de gestão de identidade eletrônica (GId). Portanto, o governo brasileiro ainda busca formas de definir sua estratégia de gestão de identidade nacional.
PROBLEMA DE PESQUISA
Solução Proposta
Um provedor de identidade foi implementado para simular o registro de eID móvel e identificar o cidadão perante um provedor de serviços. H3 - Uma solução móvel de eID construída de acordo com as especificações FIDO e alinhada com um sistema GId construído de acordo com o padrão SAML melhora a segurança, a facilidade de uso e a privacidade do usuário.
Delimitação de Escopo
A impressão digital do usuário foi utilizada como fator de segurança para esta chave privada. Poderia também informar ao cidadão quais atributos pessoais são exigidos pelo SP acessível, além de aguardar a confirmação do usuário antes de fornecer os atributos.
OBJETIVOS
Objetivo Geral
Objetivos Específicos
METODOLOGIA
Metodologia da Pesquisa
Do ponto de vista da abordagem do problema, a pesquisa é classificada como qualitativa no sentido de fornecer uma solução eID Mobile para cidadãos brasileiros, sem a utilização de elementos seguros mostrados nos trabalhos relevantes, mas que pode garantir o mesmo nível de usabilidade. sem comprometer a segurança. A abordagem do problema também é classificada como quantitativa, pois serão realizadas pesquisas para avaliar os fatores de usabilidade e privacidade do modelo proposto.
Procedimentos Metodológicos
Para tal, abrangeu desde a recolha de requisitos e a descrição de cenários de utilização até à modelação do próprio sistema de gestão de eID móvel. Implementação do protótipo: Como prova de conceito, o sistema de eID móvel proposto foi implementado na forma de uma aplicação desenvolvida para a plataforma Android e um contexto de autenticação para o IdP.
ESTRUTURA DA DISSERTAÇÃO
Foi realizada uma análise comparativa entre esses trabalhos, que serviu de base para a modelagem do sistema Mobile eID proposto. O Capítulo 4 descreveu a visão geral do sistema de eID móvel proposto, a modelagem e a implementação do protótipo desenvolvido.
GOVERNO ELETRÔNICO
Governo Eletrônico no Brasil
Conforme descrito pelo GOV.BR (2016b), o e-Gov brasileiro inclui a definição de padrões, a padronização, a articulação da integração de e-serviços, o fornecimento de boas práticas e a construção de infraestrutura tecnológica. Foram disponibilizados documentos em formato de folheto sobre codificação, administração, usabilidade, estilo de redação e identidade visual do governo na web (GOV.BR, 2008).
Arquitetura e-PING
IDENTIDADE ELETRÔNICA (EID)
- Sistemas de Gestão de Identidade (SGId)
- Estratégia Nacional de GId
- Identidade Eletrônica Móvel (eID Móvel)
- Classificação das Soluções de eID Móvel
Para montar um sistema de gerenciamento de identidade, devem existir três atores: o usuário, o provedor de identidade (IdP) e o provedor de serviços (SP) (BHARGAV-SPANTZEL et al., 2007). Portanto, propõe-se uma base de atributos vinculada a um IdP, para que os dados pessoais dos cidadãos permaneçam vinculados à sua respectiva identidade eletrônica (TORRES et al., 2016).
ALIANÇA FIDO
Universal Authentication Framework (FIDO UAF)
O Autenticador FIDO UAF (Figura 4 - Item 1) é uma entidade segura, conectada ou instalada dentro do dispositivo de hardware do usuário, que tem a capacidade de utilizar a chave pública gerada no momento do registro no SP (ou IdP) para testemunhar ( sinal) . Registro: permite que um Autenticador FIDO UAF seja associado a uma conta de usuário com um SP ou IdP.
Universal Second Factor (FIDO U2F)
Isso permite que o mesmo núcleo criptográfico U2F seja incorporado em qualquer dispositivo de hardware, mantendo a padronização do protocolo. Para que o SP solicite informações do segundo fator de autenticação do usuário, o navegador de internet do usuário deve ter uma API Javascript que permita ao SP se comunicar com o U2F presente no dispositivo de hardware.
CONSIDERAÇÕES DO CAPíTULO
A seleção dos trabalhos foi feita com base numa revisão sistemática da literatura, com o objetivo de identificar publicações relacionadas com a ID móvel dentro e fora do contexto do governo eletrónico.
MARTENS (2010)
Este capítulo apresenta trabalhos acadêmicos publicados relacionados ao uso, implementação ou modelagem de identidade eletrônica móvel. A utilização do SK como elemento central é considerada a razão pela qual o uso da identidade eletrônica pode ser implementado no país, bem como a razão para a adoção da assinatura eletrônica de documentos. No modelo adotado na Estónia, o eID móvel é ativado ligando o cidadão à polícia e à guarda de fronteira, o mesmo departamento responsável pela emissão dos cartões de identidade eletrónicos.
EN-NASRY E KETTANI (2011)
BICAKCI ET AL. (2014)
Horsch, Braun e Wiesmaier (2011)
Em relatório técnico publicado por Horsch, Braun e Wiesmaier (2011), o software MONA3 (Mobile use of the new German ID card) é apresentado como um aplicativo Java ME (Java Micro Edition) desenvolvido para possibilitar a leitura do eID alemão. cartão. através de dispositivos móveis equipados com tecnologia NFC. Lançado em 2011, o MONA foi a primeira solução na Alemanha a permitir a utilização de cartões de identificação eletrónicos através de dispositivos móveis em interações entre cidadãos e governo. Assim, a solução teórica apresentada por Wu et al. 2014), enquanto as soluções móveis de eID implementadas na Alemanha dependem de um cartão equipado com um chip para armazenar a eID, atributos e chaves criptográficas do cidadão.
KRIMPE (2014)
PRUSA (2015)
ZEFFERER (2015)
CNP (2015)
Uma das referências citadas no artigo de Zefferer e Teufl (2015) levou à publicação do governo espanhol no CNP (2015) sobre a solução de eID do país. Embora as soluções nacionais de identidade móvel e de assinatura electrónica ainda estejam em fase de crescimento na Europa, Zefferer e Teufl (2015) afirmam que a adopção pelos utilizadores ainda é uma grande barreira. No entanto, não é apresentada uma proposta alternativa para um eID móvel baseado em tecnologias e padrões abertos.
KERTTULA (2015)
Para que o DNIe funcione como um eID móvel, o INCIBE5 (Instituto Nacional de Ciberseguridad) criou o projeto DNIeDroid para desenvolver uma aplicação em Java, permitindo que o DNIe seja utilizado tanto com sistemas operativos Android como iOS, que é lido pelo telemóvel dispositivos equipados com tecnologia NFC (CNP, 2015). Da mesma forma, a assinatura móvel utiliza um conjunto de aplicativos (SIM Application Toolkit – SAT) inseridos no SE. O foco principal do trabalho está no modelo de gestão do Mobile eID, que é realizado pelas operadoras de telefonia móvel.
Neste cenário, o governo finlandês estabelece padrões de segurança tecnológica, mas está totalmente dependente destes operadores para oferecer um serviço aos cidadãos, tanto ao nível da implementação do eID móvel como do modelo de negócio estabelecido por estes operadores.
ANÁLISE DOS TRABALHOS RELACIONADOS
Pode-se observar na Tabela 1 que a maioria dos trabalhos analisados (cerca de 70%) implementa o eID móvel utilizando o cartão SIM como elemento seguro. No entanto, a proposta não detalha como a solução de eID móvel funcionará no país e não fornece resultados de protótipos. Em comparação com as soluções analisadas, a última linha apresenta algumas características da solução de eID móvel proposta neste trabalho.
Por fim, o mID-BR, como todas as soluções de eID móvel, também exige que o cidadão possua um dispositivo móvel.
CONSIDERAÇÕES
Este capítulo descreve uma proposta de sistema nacional de gerenciamento de identidade eletrônica móvel alinhado aos padrões de interoperabilidade definidos pela arquitetura e-PING. Uma descrição detalhada do sistema de gerenciamento de eID móvel e dos cenários de uso é descrita na seção 4.2. A Figura 6 mostra a integração entre o sistema de gerenciamento Mobile eID deste trabalho com a estratégia GId proposta por Torres et al.
Visão geral do sistema nacional de gestão de identidade eletrônica móvel Fonte: Adaptado de Torres et al.
DETALHAMENTO DA SOLUÇÃO PROPOSTA
Cenários de Uso
Supondo que o cidadão possua a sua identidade eletrónica móvel, poderá realizar todos os trâmites burocráticos online e onde quer que esteja, uma vez que este eID é utilizado a partir do seu dispositivo móvel pessoal. Este exemplar poderá estar disponível em formato digital para impressão ou poderá ser acedido pela DGP da Câmara Municipal após autorização do cidadão; Atenção: neste caso não é necessário apresentar RG e CPF, pois o uso do eID Móvel comprova eletronicamente a identidade do cidadão.
O sistema eleitoral em vigor no país exige que o cidadão esteja em situação regular perante um tribunal superior eleitoral e impõe ou estabelece a obrigação de votar.
PROTÓTIPO DESENVOLVIDO
- Ferramentas e Tecnologias Selecionadas
- Aplicativo mID-BR
- Servidor IdP
- Servidor SP
- Integração entre os Atores
Ao construir interfaces REST em PHP foi possível garantir a comunicação entre o cliente FIDO e o servidor FIDO UAF. Tanto o serviço de autenticação de usuários quanto o próprio servidor FIDO UAF foram instalados no IdP, pois o objetivo era avaliar apenas a funcionalidade desses serviços e não o desempenho. Para viabilizar esse cadastro, também foi instalado no IdP um servidor FIDO UAF.
Essas interfaces também possibilitaram a comunicação entre o servidor FIDO e o framework simpleSAMLphp, suportando o processo de autenticação do usuário junto ao IdP.
CONSIDERAÇÕES
Neste capítulo são apresentadas análises dos resultados obtidos durante a fase de avaliação do sistema nacional de eID móvel proposto.
RESULTADO DOS TESTES FUNCIONAIS
- Teste Funcional de Cadastro da eID Móvel
- Teste Funcional de Geração e Uso do Token de Acesso
- Teste Funcional de Consentimento do Usuário
- Teste Funcional de Acesso ao Provedor de Serviços
- Teste Funcional de Revogação da eID Móvel
- Teste Não-Funcional de Segurança
- Teste Não-Funcional de Desempenho
- Análise dos Casos de Teste
Detalhe do caso de teste 01: Após o cumprimento dos pré-requisitos, o aplicativo mID-BR foi aberto e o menu de configurações foi selecionado (Figura 19 - ilustração A). Telas do aplicativo mID-BR apresentadas ao acessar o SP Fonte: Elaborado pelo próprio autor. O aplicativo mID-BR aparece na tela quando o usuário solicita a exclusão do cadastro Fonte: Elaborado pelo próprio autor.
Detalhe do Caso de Teste 06: Para este teste foi utilizado o aplicativo mID-BR em uma rede sem fio (wifi) cujo gateway de Internet possuía a ferramenta de captura de tráfego de rede (tcpdump) instalada.
AVALIAÇÃO DA PESQUISA DE SATISFAÇÃO
Avaliação dos Resultados
Além disso, determine o nível de conhecimento dos avaliadores sobre conceitos, tecnologias e leis relacionadas à privacidade do usuário. A maioria dos avaliadores (69,2%) acredita que gerar um “nome de usuário” (pseudônimo) único no SP contribui para garantir a privacidade do usuário, mas 30,8% responderam que não têm certeza. Um dado importante é que nenhum dos avaliadores descura a utilização do pseudónimo como fator de garantia da privacidade dos utilizadores.
Este índice é importante, pois reflete o nível de conhecimento dos avaliadores sobre a importância do uso de pseudônimos para preservar a privacidade.
COMPARAÇÃO COM OS TRABALHOS RELACIONADOS
Por fim, o trabalho de Torres et al. 2016) apresentam uma estratégia de gestão de identidade para o Brasil, referindo-se à adoção de eID móvel para acesso a serviços de e-Gov que exigem um maior nível de segurança. Pelo contrário, o mID-BR descreve a implementação de um protótipo desenvolvido inteiramente com padrões abertos e apresenta resultados científicos de um Sistema Nacional de Gestão de eID Móvel. Devido a esta baixa adoção e ao uso crescente de serviços de comunicação móvel, diversas soluções de eID móvel surgiram nos últimos anos (RUIZ-MARTÍNEZ et al., 2007).
Contudo, a implementação de eID móvel utilizando cartões SIM PKI gera elevados custos de aquisição (ZEFFERER; TEUFL, 2015), bem como custos com a contratação de um plano de dados móveis (KERTTULA, 2015), uma vez que o cidadão é identificado por redes móveis (DO) et al., 2013).
CONTRIBUIÇÃO DA DISSERTAÇÃO
SUGESTÃO PARA TRABALHOS FUTUROS
O Servidor FIDO deve ser capaz de comunicar ao IdP o status das transações realizadas com o Cliente FIDO; O servidor FIDO prepara uma mensagem de solicitação de registro após verificar que não há registro para o “nome de usuário” recebido e a encaminha para o cliente FIDO; Etapas C6 e C7: O Autenticador FIDO verifica se não há par de chaves criptográficas para o servidor FIDO e solicita a impressão digital do usuário;
Passo C8: Um novo par de chaves criptográficas assimétricas é gerado para o servidor FIDO e a impressão digital do usuário é utilizada para protegê-lo; Etapa A9: O cliente FIDO encaminha o desafio para ser assinado junto com a política e o ID do servidor FIDO para a API FIDO UAF;. Etapas A10 e A11: O Autenticador FIDO verifica a existência de um par de chaves criptográficas para o servidor FIDO e solicita a impressão digital do usuário para desbloquear a chave privada;
