Comitê Gestor da ICP-Brasil apresenta auditoria anual da AC-Raiz

No último dia 15 de setembro, representantes do governo e da sociedade civil participaram de mais uma Reunião Ordinária do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (CG ICP-Brasil), que exerce a função de autoridade gestora de políticas de certificação digital.

O encontro virtual, realizado pelo Instituto Nacional de Tecnologia da Informação – ITI, autarquia federal vinculada a Casa Civil da Presidência da República, que tem por missão manter e executar as políticas da ICP-Brasil, tratou de diversos temas, entre eles a apresentação do resultado da auditoria anual da Autoridade Certificadora Raiz, em que foi constatada a ausência de inconformidades.

Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar Araújo, que faz parte do Comitê como representante da sociedade civil, o ITI, mais uma vez, cumpriu sua missão institucional de garantir as normas de segurança da ICP-Brasil. “Não houve quaisquer vulnerabilidades que pudessem colocar a mínima dúvida sobre a proteção dos processos de certificação digital no Brasil”.

Outro item apresentado foi o relatório do GTT das Salas Cofres, mantidas na ICP-Brasil pelos prestadores de serviços de suporte. “O debate, anterior à reunião do CG, levou um tempo considerável e não houve consenso. Nós entendemos que o tema deve permanecer em constante revisão por parte de todos os integrantes do CG e dos que operam a cadeia hierárquica de segurança”, diz Araújo.

Reuniões virtuais

Durante a reunião também foi apresentada uma proposta de revogação da Resolução nº 160, que determina que as reuniões do Comitê sejam realizadas de modo virtual, em razão do estado de calamidade pública no país. O posicionamento da AARB foi pela aprovação, com a observação de manter duas possibilidades de participação, virtual e presencial. “É importante termos uma opção a mais de exercer nosso direito democrático. Não podemos perder de vista o quão benéfico foi este modelo de participação virtual”, lembra o presidente da Associação.

Chave PUK

Outro item da pauta foi a possibilidade de gerenciamento da chave PUK dos certificados digitais emitidos em mídias criptográficas pelas Autoridades de Registro ou por uma Autoridade Certificadora. “O posicionamento da AARB foi pela não aprovação do item, por não termos claras em quais condições seria a gestão dessa chave”, disse Araújo, que recordou que a chave PUK não permite a gestão da chave privada, mas apenas permite que seja feita uma nova senha para o certificado. “Então aquela pessoa que esquece a senha PIN do certificado e não sabe a senha PUK, ela poderia se dirigir até uma AR e fazer a gestão da chave PUK, e a partir da dela, gerar uma chave PIN. A AARB entendeu que não era o momento de aprovar este tema, mas fomos voto vencido no Comitê Gestor”.

É possível conferir aqui Reunião Ordinária do Comitê Gestor da ICP-Brasil.