<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style>
<!--
@font-face
{font-family:Calibri}
@font-face
{font-family:Tahoma}
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif"}
p.MsoBodyText2, li.MsoBodyText2, div.MsoBodyText2
{margin:0cm;
margin-bottom:.0001pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman","serif";
font-weight:bold}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline}
a:visited, span.MsoHyperlinkFollowed
{color:purple;
text-decoration:underline}
p
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif"}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif"}
p.msochpdefault, li.msochpdefault, div.msochpdefault
{margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Times New Roman","serif"}
span.estilodeemail17
{font-family:"Calibri","sans-serif";
color:windowtext}
span.estilodeemail18
{font-family:"Calibri","sans-serif";
color:#1F497D}
span.estilodeemail19
{font-family:"Calibri","sans-serif";
color:#1F497D}
span.EstiloDeEmail22
{font-family:"Calibri","sans-serif";
color:#1F497D}
span.TextodebaloChar
{font-family:"Tahoma","sans-serif"}
span.Corpodetexto2Char
{font-weight:bold}
.MsoChpDefault
{font-size:10.0pt}
@page WordSection1
{margin:70.85pt 3.0cm 70.85pt 3.0cm}
-->
</style><style id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
</head>
<body ocsi="0" fpstyle="1" lang="PT-BR" link="blue" vlink="purple">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Oi Bruno, 'listas' , Muniz e Tiago<br>
<br>
Tudo bem?<br>
<br>
Entendo seus argumentos, depois do último email há alguns dias eu tenho pensado nesse assunto. Assim como, durantes esses dias que se passaram, eu passei a ter o sentimento de que esses fossem justificativas compatíveis às propostas que eu havia lido naquelas
versões anteriores da nc09, antes mesmo de voce me encaminhar esses argumentos de agora.<br>
<br>
O que eu tenho questionado é, e isso deveria ser pensado pela abin, gsi e órgãos do governo, se há foi levantando alguns quesitos como:<br>
<br>
1) O que a ABIN acha dessa proposta?<br>
<br>
2) Quais as implicações dessas proposta? digo, não estou levantando apenas o problema da flexibilização de uso de algoritmo criptográfico.<br>
<br>
3) O que os Órgãos de Governo acham? ou acharão?<br>
<br>
4) Vantagens e desvantagens?<br>
<br>
5) Há possibilidade de haver algum 'ruído' (negativo) ?<br>
<br>
6) Essa proposta resolve Um problema (de um ou outro órgão específico) ou resolve de forma genérica 'vários' problemas?<br>
<br>
7) Há algum sentimento de que os órgãos de governo querem algo sermelhante à essa proposta?<br>
<br>
Divirtam-se,<br>
<br>
Carrijo.<br>
Agência Brasileira de inteligência - ABIN<br>
<br>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<hr tabindex="-1">
<div style="direction: ltr;" id="divRpF205890"><font color="#000000" face="Tahoma" size="2"><b>De:</b> Bruno Pereira Pontes [bruno.pontes@presidencia.gov.br]<br>
<b>Enviado:</b> segunda-feira, 18 de novembro de 2013 14:59<br>
<b>Para:</b> JOSÉ CARRIJO<br>
<b>Cc:</b> criptografia@listas.planalto.gov.br<br>
<b>Assunto:</b> RES: ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013<br>
</font><br>
</div>
<div></div>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">Olá Carrijo,</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">Creio que o ponto mais “polêmico” da proposta seja a questão do Algoritmo “Registrado”. Sendo assim tentarei clarear qual o objetivo da proposta e o porque precisamos da ajuda da ABIN para refinar essa proposta.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">Se não me falhe a memória na reunião do CGSI de setembro foi levantada uma proposta de “flexibilização” do uso de algoritmo de estado para as informações classificadas como reservada. Essa proposta foi deixada
de lado pois seria necessário alterar decretos já publicados. </span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">No entanto, a NC09 da forma como está escrita agora, recomenda o uso do Algoritmo de Estado para as informações sigilosas (texto abaixo). Recomendar para o Gestor de TI do órgão é quase que obrigar o uso. Dessa
maneira deveremos ter uma alta demanda por recurso criptográfico baseado em algoritmo, o que poderá comprometer sua segurança e dificultar bastante o controle. Limitar o uso de algoritmo de estado apenas para informações classificadas poderia minimizar o problema,
visto que a maioria dos órgão possui bem mais informações sigilosas do que classificadas.
</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoBodyText2" style="margin-left:70.8pt"><span style="background:yellow">5.1 Informações Sigilosas</span></p>
<p class="MsoNormal" style="margin-left:70.8pt; text-align:justify; text-indent:24.0pt">
<span style="background:yellow"> </span></p>
<p class="MsoNormal" style="margin-left:70.8pt; text-align:justify"><span style="background:yellow">5.1.1 Recomenda-se o uso de recursos criptográficos baseados em algoritmo de Estado para cifração e decifração;</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">A grande questão é como fazer essa limitação. Um opção seria retirar da NC09 essa recomendação e deixar cada órgão se virar para usar o algoritmo que quiser para cifrar/decifrar as informações sigilosas. Achamos
que seria adequado orientar minimamente o órgão para que ele tenha controle quanto ao algoritmo que irá usar (possibilidade de auditar código fonte principalmente). Veja que a proposta consiste em orientar o órgão para que exija o código fonte para que o mesmo
possa ser auditado quando necessário.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">Como não temos a melhor solução de como fazer esse controle, surgiu a proposta de “registrar” o algoritmo e depositar o seu código fonte em algum local, de forma que ele possa ser auditado e cause um certo receio
à empresa que irá vender/desenvolver quanto a inserção de backdoors. Como o CEPESC é o órgão especialista em criptografia, a proposta foi de registrar nele. Mas é só uma proposta. Podemos também depositar o código no próprio órgão. Mas não sabemos qual seria
a melhor forma de fazer. Por isso a importância da ABIN na construção dessa proposta.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">O importante é não perder o foco dos objetivos da revisão da NC09, que seriam:</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">- permitir o uso de algoritmo que não seja de estado para informações sigilosas;</span></p>
<p class="MsoNormal"><span style="color:#1F497D">- orientar minimamente quanto a forma de comprar/desenvolver esse algoritmo;</span></p>
<p class="MsoNormal"><span style="color:#1F497D">- ter a posse do código fonte desse algoritmo, de forma que ele possa ser auditado.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="color:#1F497D">Abraços.</span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span></p>
<div>
<div style="border:none; border-top:solid #B5C4DF 1.0pt; padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif"">De:</span></b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif""> JOSÉ CARRIJO [mailto:carrijo@abin.gov.br]
<br>
<b>Enviada em:</b> quarta-feira, 30 de outubro de 2013 22:10<br>
<b>Para:</b> Bruno Pereira Pontes; criptografia@listas.planalto.gov.br<br>
<b>Assunto:</b> ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013</span></p>
</div>
</div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif"; color:black">Oi Bruno, 'lista' e Muniz<br>
<br>
Tudo bem?<br>
<br>
Acho que encaminhei email com anexo anterior, agora a pouco, segue agora com anexo correto.<br>
<br>
Encaminho comentários sobre a versão v4 da nc09 que voce me encaminhou hoje, 30out2013.<br>
<br>
Divirtam-se,<br>
<br>
Carrijo.<br>
Agência Brasileira de Inteligência - ABIN </span></p>
<div>
<div class="MsoNormal" style="text-align:center" align="center"><span style="font-size:12.0pt; font-family:"Times New Roman","serif"; color:black">
<hr align="center" size="2" width="100%">
</span></div>
<div id="divRpF740551">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif"; color:black">De:</span></b><span style="font-size:10.0pt; font-family:"Tahoma","sans-serif"; color:black"> Bruno Pereira Pontes [bruno.pontes@presidencia.gov.br]<br>
<b>Enviado:</b> quarta-feira, 30 de outubro de 2013 17:57<br>
<b>Para:</b> <a href="mailto:criptografia@listas.planalto.gov.br" target="_blank">
criptografia@listas.planalto.gov.br</a><br>
<b>Cc:</b> JOSÉ CARRIJO<br>
<b>Assunto:</b> Nova versão da proposta de revisão da NC09 - 30/10/2013</span><span style="font-size:12.0pt; font-family:"Times New Roman","serif"; color:black"></span></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="color:#1F497D">Caros,</span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Segue a versão praticamente finalizada da proposta de revisão da NC09. Observem que muita coisa mudou desde a última proposta que enviei. Fizemos algumas discussões internas e achamos por bem propor a revisão
de uma outra forma.</span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Peço que avaliem a proposta e enviem sugestões de melhoria ou correções que por ventura achem necessárias.</span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Abraços.</span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><span style="color:black"></span></p>
<p class="MsoNormal"><span style="color:black">--</span></p>
<p class="MsoNormal"><span style="color:black">Bruno Pereira Pontes</span></p>
<p class="MsoNormal"><span style="color:black">Departamento de Segurança da Informação e Comunicações</span></p>
<p class="MsoNormal"><span style="color:black">DSIC/GSI/PR</span></p>
<p class="MsoNormal"><span style="color:black">Brasília/DF</span></p>
<p class="MsoNormal"><span style="color:black">Site: <a href="http://docente.ifb.edu.br/brunopontes" target="_blank">
http://docente.ifb.edu.br/brunopontes</a></span></p>
<p class="MsoNormal"><span style="color:black">Currículo Lattes: <a href="http://lattes.cnpq.br/6635259952735344" target="_blank">
http://lattes.cnpq.br/6635259952735344</a></span></p>
<p class="MsoNormal"><span style="color:black"> </span></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>