TRABALHO FINAL DE CURSO - INESC-ID
TRABALHO FINAL DE CURSO - INESC-ID
TRABALHO FINAL DE CURSO - INESC-ID
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
MobileREVS 15-10-2006<br />
Apesar de não ser possível avaliar os resultados da execução do M<strong>ID</strong>let de teste<br />
em SATSA nos telemóveis anteriores, foi possível determinar que a função<br />
criptográfica RSA é a que consome mais tempo de execução em relação às funções<br />
3<strong>DE</strong>S e SHA-1, conforme já era esperado (ver Tabelas 5, 6 e 7).<br />
5. Conclusões<br />
A investigação e análise dos mecanismos de segurança apresentados permitiram<br />
obter as conclusões que se seguem.<br />
Relativamente à biblioteca Bouncy Castle (Light Edition), esta disponibiliza<br />
todos os algoritmos de segurança requeridos para o projecto MobileREVS. Como é<br />
incluída no M<strong>ID</strong>let suite oferece portabilidade à aplicação ao não ter dependências com<br />
os ambientes J2ME dos telemóveis. Porém, todas as funcionalidades são realizadas ao<br />
nível da aplicação, não havendo qualquer aproveitamento das funcionalidades de<br />
segurança oferecidas pelos smart cards. Outra das desvantagens da utilização desta<br />
biblioteca consiste no aumento significativo do tamanho do M<strong>ID</strong>let.<br />
A Optional Package SATSA não permite a utilização das operações de cifra e<br />
decifra RSA directamente. Estas, apesar de implementadas, são apenas utilizadas no<br />
contexto da criação e verificação de assinaturas digitais. Esta limitação tem algumas<br />
implicações no desenvolvimento do projecto MobileREVS, principalmente na<br />
manipulação de assinaturas cegas que, definitivamente, deixam de ser possíveis de se<br />
realizar. Por outro lado, a Optional Package SATSA disponibiliza uma API de<br />
comunicação com o cartão, algo que oferece uma mais valia em termos de segurança da<br />
informação do processo de eleição. A sua utilização traria algumas vantagens de<br />
segurança ao nível do armazenamento seguro e da manipulação de dados sensíveis, pois<br />
seriam realizados dentro das barreiras de segurança do cartão. Conforme foi descrito na<br />
Secção 2.3.3, outra das vantagens que adviria da utilização das funcionalidades<br />
criptográficas do cartão seria a diminuição do espaço total ocupado pelo M<strong>ID</strong>let no<br />
telemóvel. Além disso, a utilização da cifra RSA do cartão (U)SIM permitiria contornar<br />
o problema, inicialmente referido, da impossibilidade da utilização de operações RSA<br />
directamente ao nível da aplicação, desde que também fossem disponibilizadas<br />
operações de aritmética modular. Outra solução, seria a inclusão de funções externas no<br />
M<strong>ID</strong>let, como por exemplo as funções de RSA do Bouncy Castle (Light Edition). O<br />
principal problema da utilização da Optional Package SATSA é que esta só está<br />
disponível se os fabricantes desses dispositivos a incluírem na implementação J2ME do<br />
telemóvel, o que não é muito usual actualmente. No caso dos telemóveis onde foram<br />
desenvolvidos os testes, esta Optional Package não se encontra presente.<br />
Como nota importante, o facto de alguns dos mecanismos apresentados<br />
oferecerem uma implementação do algoritmo RSA não é suficiente para a realização de<br />
assinaturas cegas. Isto porque são também necessárias operações de aritmética modular<br />
de grandes números para gerar assinaturas cegas, algo que nem sempre está disponível<br />
nas implementações fornecidas. Em todo o caso, a presença de uma implementação do<br />
algoritmo RSA é um ponto a favor já que permite uma autenticação mais segura por<br />
parte dos eleitores.<br />
Finalmente, não foi possível determinar quais os cartões (U)SIM usados pelas<br />
operadoras de telecomunicações móveis portuguesas. Seria importante obter informação<br />
sobre o modo de acesso às funções criptográficas oferecidas pelos cartões para efeitos<br />
da exploração destas funcionalidades no desenvolvimento do projecto.<br />
Luis Costa, Nuno Santos 73