<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
p.MsoBodyText2, li.MsoBodyText2, div.MsoBodyText2
{mso-style-link:"Corpo de texto 2 Char";
margin:0cm;
margin-bottom:.0001pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman","serif";
font-weight:bold;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p
{mso-style-priority:99;
margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texto de balão Char";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";}
p.msochpdefault, li.msochpdefault, div.msochpdefault
{mso-style-name:msochpdefault;
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Times New Roman","serif";}
span.estilodeemail17
{mso-style-name:estilodeemail17;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.estilodeemail18
{mso-style-name:estilodeemail18;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.estilodeemail19
{mso-style-name:estilodeemail19;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.EstiloDeEmail22
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.TextodebaloChar
{mso-style-name:"Texto de balão Char";
mso-style-priority:99;
mso-style-link:"Texto de balão";
font-family:"Tahoma","sans-serif";}
span.Corpodetexto2Char
{mso-style-name:"Corpo de texto 2 Char";
mso-style-link:"Corpo de texto 2";
font-weight:bold;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="PT-BR" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Olá Carrijo,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Creio que o ponto mais “polêmico” da proposta seja a questão do Algoritmo “Registrado”. Sendo assim tentarei clarear qual o objetivo da proposta e o porque precisamos da ajuda da ABIN para refinar essa proposta.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Se não me falhe a memória na reunião do CGSI de setembro foi levantada uma proposta de “flexibilização” do uso de algoritmo de estado para as informações classificadas como reservada. Essa proposta foi deixada
de lado pois seria necessário alterar decretos já publicados. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">No entanto, a NC09 da forma como está escrita agora, recomenda o uso do Algoritmo de Estado para as informações sigilosas (texto abaixo). Recomendar para o Gestor de TI do órgão é quase que obrigar o uso. Dessa
maneira deveremos ter uma alta demanda por recurso criptográfico baseado em algoritmo, o que poderá comprometer sua segurança e dificultar bastante o controle. Limitar o uso de algoritmo de estado apenas para informações classificadas poderia minimizar o problema,
visto que a maioria dos órgão possui bem mais informações sigilosas do que classificadas.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoBodyText2" style="margin-left:70.8pt"><span style="background:yellow;mso-highlight:yellow">5.1 Informações Sigilosas<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:70.8pt;text-align:justify;text-indent:24.0pt">
<span style="background:yellow;mso-highlight:yellow"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-left:70.8pt;text-align:justify"><span style="background:yellow;mso-highlight:yellow">5.1.1 Recomenda-se o uso de recursos criptográficos baseados em algoritmo de Estado para cifração e decifração;</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">A grande questão é como fazer essa limitação. Um opção seria retirar da NC09 essa recomendação e deixar cada órgão se virar para usar o algoritmo que quiser para cifrar/decifrar as informações sigilosas. Achamos
que seria adequado orientar minimamente o órgão para que ele tenha controle quanto ao algoritmo que irá usar (possibilidade de auditar código fonte principalmente). Veja que a proposta consiste em orientar o órgão para que exija o código fonte para que o mesmo
possa ser auditado quando necessário.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Como não temos a melhor solução de como fazer esse controle, surgiu a proposta de “registrar” o algoritmo e depositar o seu código fonte em algum local, de forma que ele possa ser auditado e cause um certo receio
à empresa que irá vender/desenvolver quanto a inserção de backdoors. Como o CEPESC é o órgão especialista em criptografia, a proposta foi de registrar nele. Mas é só uma proposta. Podemos também depositar o código no próprio órgão. Mas não sabemos qual seria
a melhor forma de fazer. Por isso a importância da ABIN na construção dessa proposta.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">O importante é não perder o foco dos objetivos da revisão da NC09, que seriam:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">- permitir o uso de algoritmo que não seja de estado para informações sigilosas;<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">- orientar minimamente quanto a forma de comprar/desenvolver esse algoritmo;<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">- ter a posse do código fonte desse algoritmo, de forma que ele possa ser auditado.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Abraços.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">De:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> JOSÉ CARRIJO [mailto:carrijo@abin.gov.br]
<br>
<b>Enviada em:</b> quarta-feira, 30 de outubro de 2013 22:10<br>
<b>Para:</b> Bruno Pereira Pontes; criptografia@listas.planalto.gov.br<br>
<b>Assunto:</b> ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">Oi Bruno, 'lista' e Muniz<br>
<br>
Tudo bem?<br>
<br>
Acho que encaminhei email com anexo anterior, agora a pouco, segue agora com anexo correto.<br>
<br>
Encaminho comentários sobre a versão v4 da nc09 que voce me encaminhou hoje, 30out2013.<br>
<br>
Divirtam-se,<br>
<br>
Carrijo.<br>
Agência Brasileira de Inteligência - ABIN <o:p></o:p></span></p>
<div>
<div class="MsoNormal" align="center" style="text-align:center"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";color:black">
<hr size="2" width="100%" align="center">
</span></div>
<div id="divRpF740551">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black">De:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:black"> Bruno Pereira Pontes [bruno.pontes@presidencia.gov.br]<br>
<b>Enviado:</b> quarta-feira, 30 de outubro de 2013 17:57<br>
<b>Para:</b> <a href="mailto:criptografia@listas.planalto.gov.br">criptografia@listas.planalto.gov.br</a><br>
<b>Cc:</b> JOSÉ CARRIJO<br>
<b>Assunto:</b> Nova versão da proposta de revisão da NC09 - 30/10/2013</span><span style="font-size:12.0pt;font-family:"Times New Roman","serif";color:black"><o:p></o:p></span></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="color:#1F497D">Caros,</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Segue a versão praticamente finalizada da proposta de revisão da NC09. Observem que muita coisa mudou desde a última proposta que enviei. Fizemos algumas discussões internas e achamos por bem propor a revisão
de uma outra forma.</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Peço que avaliem a proposta e enviem sugestões de melhoria ou correções que por ventura achem necessárias.</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Abraços.</span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">--<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">Bruno Pereira Pontes<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">Departamento de Segurança da Informação e Comunicações<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">DSIC/GSI/PR<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">Brasília/DF<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">Site: <a href="http://docente.ifb.edu.br/brunopontes" target="_blank">
http://docente.ifb.edu.br/brunopontes</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black">Currículo Lattes: <a href="http://lattes.cnpq.br/6635259952735344" target="_blank">
http://lattes.cnpq.br/6635259952735344</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>