Asset Publisher

 

Na sequência do artigo publicado do Jornal Expresso - edição de 30 de dezembro de 2021, com o título - Cartão de Cidadão usa cifras perigosas na assinatura digital – a AMA esclarece, como aliás já o tinha feito em resposta por escrito ao jornalista em data anterior à publicação, sobre apreciação especulativa dos elementos:

 Os dados impressos e os dados que o cidadão coloca no chip do Cartão de Cidadão, uma vez que só são acessíveis mediante consentimento do titular do Cartão de Cidadão, não constituem, ao contrário do referido, potenciais falhas. Por sua vez, elementos como a morada, são protegidos por PIN, a definir pelo utilizador.
Ainda assim, recomenda-se a não realização de cache em terminais e em computadores partilhados.
 
De notar, também, que estas tecnologias não são disponibilizadas na aplicação de assinatura Autenticação.gov conforme esclarecido ao Expresso pela AMA. Por exemplo em https://helpx.adobe.com/mt/acrobat/kb/SHA1-algorithm-warning-message.html refere-se que a Adobe alerta para uma mensagem de alerta aquando da tentativa de assinar com SHA-1. No entanto, e por defeito, é utilizada a assinatura em SHA-256 desde a versão 9.1, lançada em Fevereiro de 2009. A Adobe só permite o SHA-1 para compatibilidade com dispositivos legacy (i.e., que não permitam assinatura com SHA-256), e de modo a não falhar a criação de assinatura quando os dispositivos não o permitam. Naturalmente, se o cidadão usar outra aplicação não standard e não disponibilizada pela AMA / Estado Português, o Cartão de Cidadão não impede o uso de tecnologia SHA1 se, porventura, recorrer a aplicações que ainda não tenham feito upgrade para SHA-256.
 
Também é mencionado que "a assinatura continua a usar SHA-1, mas passou a conter um módulo SHA256" o que é enganador uma vez que os certificados do Cartão de Cidadão, e em particular a aplicação autenticação.gov disponibilizada pela AMA, estão a usar SHA256.
 
Reiteramos também, como aliás tinha sido comunicado, que as aplicações de assinatura disponibilizadas pela AMA são auditadas por entidades externas, assegurando-se o uso de assinaturas SHA-256 ou superior.
 
É feita referência à possível criação de representações digitais de documentos com SHA-1 e MD5 com um CC de 2020. De notar que, mesmo sendo possível, a assinatura constará como inválida em qualquer programa de validação de assinatura (e.g., adobe,...), o que não foi referido e é de total relevância. Ainda assim, reitera-se que, usando o software oficial Autenticação.gov disponibilizado pela AMA, tal  não é possível.
 
Por fim, são feitas hipotéticas e especulativas alusões a recursos ultrapassados no horizonte de alguns anos, sem ter em consideração, também, desenvolvimentos e adaptações futuras, se e quando necessário.
 
Não deixamos de reiterar que as soluções implementadas são auditadas e estão devidamente enquadradas com todas as regulamentações e recomendações Europeias.