P & demais da lista, > > Dado q qqr um pode enviar declaração de imposto de renda no nome de > > qqr um (exceto no caso de quem tem certificação digital), > > acho q nem faz tanta diferença onde está a aplicação em si . . . > > No caso de quem tem certificação digital, apenas dá mais > trabalho (não muito, para quem opera sua chave privada na > plataforma ruindows): > envia-se a declaração falsa assinada pela chave capturada da > vítima (certificados A1 ou A2), ou a partir da máquina da > vítima (certificados > A3 e A4) controlada por um cavalo de tróia com tal finalidade. > > Havendo demanda, em mais um serviço explorável por > ciberquadrilhas (como as que hoje alugam zumbis por 1K/hora a > US $25, depositáveis em bancos mafiosos na Rússia).
Você está certo, mas por uma razão mais sutil que sei que você sabe, mas talvez cumpra esclarecermos aqui na lista. A questão é que no caso das assinaturas digitais (resisto ao termo "certificação digital" por razões que você bem same), você é responsável por manter sua chave segura (pelo menos o princípio conceitual é esse; tenho consciência de que há quem debata se a legislação é de fato clara sob esse aspecto). Se um usuário deixou seu computador vulnerável o bastante para ser invadido e se tornar zumbi,... problema dele. O "tchan" do uso das assinaturas digitais é que, sendo assinatura realizada em um ambiente computacional sob o meu controle, posso algumas certezas um pouco maiores do que no caso de um sistema totalmente controlado por outrém. Tenho plena consciência de que a maioria dos usuários não tem o mesmo preparo que eu e que muitos de nós aqui na lista para defender nossas máquinas de invasões. De fato, eu vivo dizendo que a segurança dos sistemas baseados em assinaturas digitais não tem como ser maior que a segurança da plataforma computacional subjacente; e que sem dúvida, o usuário leigo poderá sofrer com isso em um primeiro momento, porque as plataformas computacionais populares são pateticamente vulneráveis. Mas arrisco-me a dizer que à medida em que esses sistemas se tornem mais populares, a importância da segurança das plataformas clientes será enfatizada e melhor tratada. Uma observação de casos semelhantes na história nos autoriza a especular que será um processo paulatino e nada indolor, mas será sem dúvida alguma uma evolução. Muito pior seria continuar dependendo de sistemas computacionais fora do nosso controle, onde o administrador de rede/banco de dados é Deus para suprimir, fabricar ou forjar evidências contra nós. Caberá a nós esclarecer e clamar por sistemas operacioanis e computacionais onde a segurança por default se torne 'commodity' (em contraste com a raridade que é hoje) para viabilizar que as assinaturas digitais antinjam seu potencial de nos livrar do "quinto poder". -K. _______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
