Author Archives: Etienne Ruedin

6th OpenPGP Email Summit

There will be the 6th OpenPGP Email Summit on Friday, May 27 & Saturday, May 28, 2022 in Geneva (Switzerland) at the offoffices of Proton AG (the company behind ProtonMail and OpenPGP.js) (those interested, please ask the secretary to forward you the invitation) https://wiki.gnupg.org/OpenPGPEmailSummit202205

This is an event open for anybody involved in the development of email clients using OpenPGP for encryption, and related software. The agenda will be driven by the attendees. Anyone may propose any topic for discussion, as long as he is ready to lead the discussion.

As you know, you can having a CAcert signature on your PGP keyring. Having a CAcert signature on your PGP keyring signifies that your identity has been verified (assured) by at least two other people (that’s the only way to get more than 50 Assurance Points). So it gives credibility to your PGP keys’ authenticity.

If you want to strengthen the relationship between CAcert and OpenPGP, please feel free to representet CAcert at the 6th OpenPGP Email Summit.

Wer ist Anonymous?

https://www.nzz.ch/technologie/anonymous-wer-steckt-hinter-dem-hacker-kollektiv-ld.1678465

Sie wurden bekannt, indem sie sorglosen Umgang mit Sicherheit ausnutzten: Mit geleakten E-Mails und gehackten russischen Servern sorgte die Internetaktivisten-Gruppe Anonymous auch jüngst wieder für Schlagzeilen. Doch wer steckt hinter dem Kollektiv? Hier teilen die Investigativ-Journalisten der NZZ ihre Erkenntnisse über Ursprünge, Funktionsweisen und Tätigkeiten von Anonymous mit uns.

Prepare the reconstruction of Ukraine now!

DEUTSCH Jetzt den Wiederaufbau der Ukraine vorbereiten! In der Ukraine hatte CAcert vor Kriegsausbruch Assurer in Lemberg und Kiew. Befinnden sich zur Zeit in Ihrer Umgebung ukrainische Flüchtlinge? Dann helfen Sie diesen, Assurer zu werden.

Zum Beispiel indem Sie beim CATS übersetzen. Indem Sie ihnen bei den Assurance beistehen und andere Assurer beiziehen, sich selber assuren lassen.

ENGLISCH Prepare the reconstruction of Ukraine now! In Ukraine, CAcert had assurers in Lviv and Kiev before the outbreak of war. Are there Ukrainian refugees in your area at the moment? Then help them to become assurers. For example, by translating at CATS. By assisting them with the assurances and involving other assurers, or by becoming an assurer yourself.

POLSKI Przygotuj si? do odbudowy Ukrainy ju? teraz! Na Ukrainie CAcert mia? przed wybuchem wojny asesorów we Lwowie i Kijowie. Czy w Twojej okolicy mieszkaj? obecnie uchod?cy z Ukrainy? Nast?pnie pomó? im sta? si? asesorami. Na przyk?ad t?umacz?c w CATS. Pomagaj?c im w uzyskaniu zapewnienia i anga?uj?c innych asekuruj?cych lub samemu staj?c si? asekuratorem.

Die Sternsinger sind wieder unterwegs

Und es kamen #Assurer aus dem #Osten und brachten dem Kind #Geschenke mit: einen #Fingerprint, ein freies #Zertifikat und einen digitalen #Identitästausweis. Sei auch du ein #König und verbreite #CAcert in der ganzen #Welt #Gib_Dich_als_Assurer_zu_erkennenhttps://bit.ly/2Rcy1Rj

The carol singers come on Epiphany Day

What will the Post look like in ten years?

Roberto Cirillo has been CEO of Swiss Post for just under two years. Before that, he was a McKinsey consultant, CEO of the British hospital group Optegra and head of the activities of the service company Sodexo in France. Cirillo took up his post with the aim of stopping the downward trend. In the past five years, the Post’s turnover has fallen by around CHF 1 milliard. The volume of letters is decreasing rapidly, the post offices are less and less frequented.

In an interview with the NZZ, he said: “Today, we make more than 90% of our turnover in the logistics sector with business customers. Especially in e-commerce and goods logistics. Of the CHF 3 milliard we plan to invest in the next four years, the majority will go into logistics and communication services. The reason why the Post was created over 170 years ago was not to transport letters. It was the secrecy of letters. It was about transmitting information securely, reliably and trustworthily. That’s what we want to do more of in the digital world as well.” (22.02.2021)

Merry CAcertmas!

Dear friends and members of the CAcert community. Are you curious and want to know what is wrapped in the package under the tree? This year, Father Christmas has packed something really nice.

As always with CAcert, you can unwrap it faster and enjoy it more quickly if you help out a little. Translate a little. Or do a little programming. Or test a few new functions. Or like this. To do so, you find further information on the web or write to our secretary.

Assinatura digital: você ainda vai ter uma

Em sua coluna semanal do caderno Link do jornal O Estado de São Paulo, o jornalista Ricardo Kobashi anda difundindo a tecnologia da assinatura digital com linguagem fácil, voltada para o público não técnico.

No texto do dia 9 de maio, o jornalista escreveu esse artigo, entitulado “Assinatura digital: você ainda vai ter uma”, o qual traz um primeiro approach sobre a tecnologia para usuários de computador sem qualquer background em criptografia, assinatura ou certificação digitais.

O texto é simples e esclaredor, apesar de o autor utilizar como certa a adoção da ICP-Brasil, sua estrutura e custos, quando fala de certificação. O final, sobre banco P2P, é um pouco inocente, já que fluxo de valores é apenas uma das funções principais das instituições financeiras.

Aqui vai a íntegra do texto, com alguns comentários em itálico:

Assinatura digital: você ainda vai ter uma

Antes de mais nada, vamos lembrar que assinatura digital não tem nada ver com passar a sua assinatura feita à mão por um scanner e sair anexando a imagem em documentos ou mensagens de correio eletrônico.

Na prática, a coisa é um pouco mais complicada. Assinatura digital é um método que usa fórmulas matemáticas complicadíssimas para autenticar uma informação de forma a garantir a identidade de quem a enviou e que o seu conteúdo não foi nem será alterado.

Tem mais. Para que seja possível assinar eletronicamente um documento, é necessário que antes você possua uma ‘identidade digital’, que pode ser conseguida através de uma empresa credenciada a ofereçer o serviço. E que tenha o hardware necessário para guardá-la, seja o disco rígido do seu computador, um cartão inteligente ou um token, uma espécie de memory key que entra na porta USB do micro.

Nesse parágrafo o autor considera que a única forma de se utilizar assinatura digital é com certificados X509, não citando ferramentas como PGP/GnuPG. O comentário sobre HDs, smart card e token é correto, mas falta citar a diferença de segurança entre deixar sua chave no PC, sujeito a ataques, torjan, virii etc. e coloca-la no armazenador smart card ou token, que fornecem segurança comparativamente maior.

Garantir a integridade de uma informação digital e a identidade de seu autor não é pouco. Muito da burocracia governamental ainda resiste amparada pela dificuldade em se reproduzir digitalmente o que conseguimos com papéis, carimbos e cópias autenticadas. É certo que boa parte desses procedimentos tem origem cultural, na tradição do direito lusitano, mas algumas garantias serão sempre necessárias.

A popularização da assinatura digital traria benefícios para muita gente. Com a possibilidade de aumentar os serviços eletrônicos, o governo seria capaz de agilizar o atendimento às empresas, ao cidadão e diminuiria sua necessidade de contratação de pessoal. Nada mal. Do lado de cá, ganharíamos em conveniência, diminuição das filas e deslocamentos e, quem sabe, reduziríamos os gastos com fotocópias, autenticações e taxas afins.

O sistema financeiro também seria beneficiado. E muito. Apesar da
cortina de silêncio que cerca o assunto, as fraudes pela internet correm soltas. Os e-mails travestidos de avisos bancários que roubam nossas senhas e instalam vírus em nosso computador continuam a infernizar a vida dos especialistas em segurança na internet.

Uma refência aos ataques conhecidos como phishing que aumentam a cada dia…

A polícia tem feito prisões importantes, desbaratando quadrilhas aqui e ali, mas a prática continua. Assinatura digital dificultaria muito esse tipo de crime.

O problema é que ter uma assinatura digital, incluindo sua identidade digital e um token para armazená-la, não sai por menos de R$ 400. E, a cada ano será preciso pagar mais R$ 200 a título de renovação.

Esses dados são específicos para o âmbito da ICP-Brasil.

Há rumores de que os bancos estariam dispostos a pagar essa conta para aumentar a segurança das transações eletrônicas com seus clientes. Eles forneceriam a assinatura digital gratuitamente mas, em troca, o ônus das futuras fraudes digitais seria repassado aos correntistas.

É bom lembrar que a assinatura digital dificulta o crime virtual, mas não acaba com ele. Trazendo para o mundo real, a lógica da proposta é mais ou menos o seguinte: o banco coloca um vigilante armado e uma porta giratória com detector de metais na agência e, caso ela seja roubada, o prejuízo sai da sua conta. Não dá para engolir.

Se pensarmos um pouco… como em qualquer negócio, o risco de o banco perder dinheiro por fraudes ou roubos, inclusive os virtuais, já está embutido nos preços cobrados por eles. Isso acontece em qualquer negócio, principalmente em ramos altamente profissionais como o bancário. Se as fraudes diminuírem, é possível que a competição entre bancos leve até o preço dos serviços a baixarem proporcionalmente à economia do próprio banco.

Sonho com o dia que irão inventar o banco P2P, como o Kazaa, Messenger ou Skype. Vamos trocar valores sem intermediários e mandar uma banana para o sistema financeiro e seus lucros astronômicos. Mas, como isso ainda pode demorar alguns anos, é melhor se prevenir. Se você começar a ouvir falar em bancos oferecendo assinatura digital de graça, cuidado.

Discordo com o autor nesse ponto. Primeiramente, os bancos possuem outras funções, como crédito, por exemplo, que são essenciais não apenas para as pessoas físicas, mas principalmente para o governo e as empresas. Segundo, não vejo uma saída para implementação de troca de valores sem meio físico nem endosso por terceiros (nesse caso os bancos). Não pensei muito sobre o assunto, mas o que primeiro vêm a mente é a natural multiplicação do dinheiro. Certo que os bancos fazem isso, mas de uma forma controlada e supervisionada.

Pode ser que você esteja diante de um autêntico cavalo de Tróia. Pior que seu original grego, este presente pode torná-lo o único responsável por qualquer prejuízo ou futura fraude que ocorra durante suas transações online, isentando o banco ou o governo de qualquer ônus. Olho vivo.

Discordo parcialmente. Com a assinatura digital, uma transação seria exatamente como antes do mundo virtual: para cada ordem, há uma assinatura. E, no caso de certificados ICP-Brasil, essa assinatura tem validade legal no Brasil. Basta que se possa garantir que uma pessoa nunca irá assinar um documento com sua assinatura digital por engano. Isso sim, pode ser um problema. Vou escrever mais sobre esse aspecto no futuro…

Texto original por Ricardo Kobashi.

Sobre a Comunidade CAcert Brasil

Unspectacular General Assembly 2021

The General Assembly of 2021 will go down as the shortest meeting in the history of CAcert. After only one and a half hours, President Brian McCullough was able to close the last agenda item. Kim N from Sweden is a new member of the committee.

Furthermore, the integration of CAcert in OpenIDConnect could be announced, thanks to a cooperation with RIPE NCC for this project.

When Captain CAcert rescues the Notaries of the Round Table

Today we are going on a little journey through time for a current occasion. Are you ready? Then jump into the fountain together with Frog King!

Many, many years ago, when grandmother was still a little girl, it may have been in 1995, a hardworking man named Mark Shuttleworth started a certificate issuing service in his poor parents’ garage, just like CAcert is one.

The name of this service was Thawte. Thawte was a great and important service. It is said that it covered half of the empire at that time. And because he was so old and so wise, he enjoyed some privileges. When Uncle Netscape, the browser, introduced new rules for certificates, Aunt Thawte, considering her age, only had to comply if she wanted to.

Now it was the case in those days that some people would have liked to send letters in an envelope. Good Aunt Thawte said: I have so many envelopes, I will give you some! And everyone who booked a free e-mail address with her got the certificate to wrap the messages as a gift. The Web of Trust was created to ensure that everything was above board and that the big bad wolf didn’t pretend to be one of the seven little goats. There, the letter writers met with the most trustworthy men and women of the entire empire for the knighting.

After the wizard Verisign took over Aunt Thawte’s service in 1999, the Web of Trust’s noble round table was abolished a few years later. Its members were very surprised to be thrown out of the castle just like that, since they had selflessly served the cause as noble knights and notaries.

However, it was a stormy time. And the storm wind blew a big sailing ship with full rigging from New South Wales, a spot of earth on a big island in the middle of the big, wide sea in the New World, across the ocean. Its name was emblazoned in gold letters on the stern: CAcert.

The captain held the wheel with both hands until the ship docked in a safe harbour. Immediately the crew rushed ashore to the desperate notaries and knights of the Thawte Round Table and offered to take them in their ship.

Numerous were those who gratefully accepted this offer, even more so when the captain said that he trusted Aunt Thawte. So it happened that large parts of Thawt’s Web of Trust were integrated into CAcert’s Web of Trust and the Thawte notaries became CAcert assurers. In a special program named Tverfiy, they could have their trust points transferred in 2009. Today, more than a decade later, CAcert is discontinuing the corresponding web site, after a long time since scattered notaries have joined CAcert’s community.

Further reading:
https://wiki.cacert.org/Tverify
https://en.wikipedia.org/wiki/Thawte#Web_of_Trust
old blog posts from the time