Violação da chave privada

     Como o sistema de assinatura digital se baseia numa criptografia de chaves assimétricas, uma das possibilidades de fraude seria o roubo da chave privada. Normalmente, esta chave fica guardada no computador pessoal do usuário. Portanto, a segurança da assinatura dependerá da segurança deste computador.

     Uma das opções para tornar a chave privada mais difícil de ser roubada é o uso de smart cards. Esses cartões são capazes de armazenar a chave privada do usuário, e assinar digitalmente qualquer documento. A grande vantagem  é que não há como ler a chave privada armazenada em um smart card. O chip do cartão é que faz o processo de criptografia dos dados, fazendo com que o computador usado pelo usuário não tenha acesso à sua chave privada, apenas à mensagem já assinada.

SmartCard

 
Leitores de SmartCard

Retirado do site Club Do Hardware

     Existe ainda o eToken da Aladdin, que é basicamente igual ao SmartCard. É uma chave que é ligada ao USB do computador e que contêm o mesmo chip encontrado no SmartCard., ou seja, é um SmartCard USB. Sua vantagem perante o SmartCard ? Compare o número de computadores que possuem leitor de cartões e o número de computadores que possuem porta USB, aí está a sua resposta.

Retirado do site da Aladdin

Distribuição da chave pública

     Como em todo tipo de criptografia com chave assimétrica, a segurança da divulgação da chave pública é muito importante. Caso contrário, uma pessoa pode distribuir chaves públicas em nome de outras pessoas. Por exemplo:

     Digamos que um atacante deseje transmitir uma mensagem em nome de uma pessoa A. Ele cria uma chave pública e a distribui, como se esta fosse a chave pública de A. Em seguida, ele pode encriptar qualquer mensagem usado sua chave privada, assinar digitalmente o documento e enviá-lo para um destinário B. B verificará a assinatura e não encontrará fraude. Para previnir este tipo de ataque, é necessário que haja uma ICP (Infra-estrutura de Chaves Públicas) ou, em inglês, PKI (Public Key Infrastructure).

     As ICPs garantem a autenticidade das chaves públicas. No Brasil, a ICP-Brasil controla seis Autoridades Certificadoras*: a Presidência da República, a Receita Federal, o SERPRO, a Caixa Econômica Federal, a Serasa e a CertiSign.

* Autoridades Certificadoras são órgãos responsáveis pela emissão de Certificados Digitais**.
** Certificados Digitais são documentos que contém a chave pública de um usuário e os dados necessários para garantir sua identidade.

Timing Attacks

     Outra possibilidade de descoberta da chave privada é quando o atacante conhece muito bem o hardware do usuário que assina uma mensagem digitalmente e é capaz de interceptar as mensagens assinadas por este. Se o atacante tiver conhecimento do tempo de encriptação(assinatura) de diversas mensagens, é possível que ele descubra a chave privada do usuário. Em geral, esse tipo de ataque era usado contra smart cards, no entanto Dan Boneh e David Brumley mostraram que é possível descobrir a chave privada de um servidor de uma rede local, com segurança baseado em OpenSSL, o que foi publicado no artigo Remote Timing Attacks are Practical (2003).

     Uma forma de evitar timing attacks é garantir que o processo de encriptação seja feito sempre em tempo constante, para qualquer texto que seja assinado, apesar de acarretar uma perda de eficiência.