Quando você quer baixar um programa da Internet e você sabe exatamente qual programa baixar, em qual lugar você o procura primeiro?

Não vale dizer que é do Google, hein!

Tá, pode dizer que é pelo Google (ou outro buscador, para não ser monopolista ;) ), mas o X desta questão é: você baixa o programa a partir de seu site oficial ou de um site de downloads?

Desde antes da Web, os BBSs eram a nossa fonte de loucupletação onde baixávamos nossos programas (eu não peguei essa época); daí com a profusão da Web surgiram alguns sites de download, sendo os mais famosos o Tucows e o Download.com da CNET.

Aqui em Terra Brasilis não é muito diferente. Os dois maiores exemplos de “agregadores de downloads” são o Baixaki, hoje pertencente ao portal Terra, e o Superdownloads, do iG.

Os sites contam com uma grande variedade de programas para serem baixados, acompanhados de descrição, resenha, informações sobre a licença, comentários dos usuários, entre outros serviços.

Estes sites, na minha opinião, são feitos mais para atender ao público leigo em informática. Não que isso seja ruim, muito pelo contrário, pois são uma fonte segura de onde estes usuários poderão baixar os programas com um risco menor de contrair pragas virtuais.

Eu mesmo baixo, conforme a necessidade, programas por essas vias, de sites como o Softpedia, e até mesmo dos supracitados Baixaki e Superdownloads, mas, em primeiro lugar, como um usuário avançado, prefiro primeiro procurar o site oficial do programa, na minha opinião, a melhor fonte de download de um determinado programa.

Baixar a partir do site oficial conta com a vantagem de se obter a versão mais atualizada do programa em questão, e além disso, ver a planilha de recursos, quais foram as modificações realizadas em relação às versões anteriores, ver questões de licenciamento, entre outras coisas.

Só que dependendo do programa, um impecilho para os usuários mais leigos baixarem a partir do site oficial é o idioma.

O “Mundo Linux” conta com os repositórios, onde com alguns cliques, sem acessar um navegador de Internet, temos à disposição milhares de programas para serem baixados e automaticamente instalados. Mas, isso vai depender muito de qual distribuição você estará utilizando, os pacotes e repositórios podem diferir muito entre elas. Mas eles também são uma fonte confiável.

E você, a partir de quais fontes costuma baixar seus programas?

Leia o restante deste post...

Já aprendermos como assinar arquivos digitalmente, no formato PKCS #7 a partir de certificados X.509 instalados através de arquivos .pfx, ou seja, certificados do tipo A1.

Os certificados do tipo A3 são armazenados em hardware, tais como smartcards (cartões inteligentes) e tokens (parecido com um pendrive). Para utilizá-los, primeiramente é necessário instalar os drivers necessários: driver do cartão / token e driver da leitora.

Após a instalação destes pré-requisitos, ao espetar o token na USB ou colocar o cartão na leitora, os certificados armazenados nestes dispositivos são exibidos pelo Gerenciador de Certificados do Windows, como mostra a imagem abaixo:

Veja só onde ele aparece: No armazenamento “Pessoal” do usuário que está logado na máquina! E ele pode ser acessado através da classe X509Store :).

Se você já teve a curiosidade e testou os códigos presentes na classe SignWrappers que foi postada anteriormente, ao passar um certificado do tipo A3 para o método SignFile você pode ter ficado decepcionado, pois dá uma mensagem de erro com alguma coisa remetendo a um modo silencioso (não me lembro da mensagem exata hehe).

E se você notou, cada vez que você utiliza o certificado A3 em um programa para assinar arquivos, como a suite Microsoft Office, ele sempre pede a senha PIN do certificado, coisa que não ocorre na nossa classe de assinatura digital.

Meus queridos, estes problemas podem ser resolvidos com uma minúscula alteração no método SignFile da nossa classe SignWrappers! Veja o código:

public static byte[] SignFile(X509Certificate2Collection certs, byte[] data)
{
	try
	{
		ContentInfo content = new ContentInfo(data);
		SignedCms signedCms = new SignedCms(content, false);
		if (VerifySign(data))
		{
			signedCms.Decode(data);
		}
		foreach (X509Certificate2 cert in certs)
		{
			CmsSigner signer = new CmsSigner(cert);
			signer.IncludeOption = X509IncludeOption.WholeChain;
			signedCms.ComputeSignature(signer, false);
		}
		return signedCms.Encode();
	}
	catch(Exception ex)
	{
		throw new Exception("Erro ao assinar arquivo. A mensagem retornada foi: " + ex.Message);
	}
}

Neste post tem o funcionamento completo da classe. A adição que fizemos foi passar o parâmetro “Silent”, do tipo booleano, no método ComputeSignature do objeto SignedCms. E o que ele faz?

Caso passemos true, a assinatura será calculada sem intervenção do usuário, ou seja, a senha para acessar a chave privada do(s) certificado(s) deverá(ão) ser informada(s) junto com o certificado. Isso é válido para os certificados A1, vide sobrecargas do método SignFile que possui passagem de senha.

Um certificado A3 geralmente pede a senha PIN (utilizada para acesso aos objetos privados do token / smartcard) através de uma caixa de diálogo do driver do dispositivo, e caso o método ComputeSignature esteja em modo silencioso, esta caixa não será exibida e disparará uma exceção com a mensagem de erro informando a respeito.

Para que a caixa de diálogo do PIN apareça quando o método ComputeSignature for chamado, devemos passar false como valor do parâmetro Silent do ComputeSignature.

E então é isso! Um grande abraço ;)

Ah, e na próxima vamos fazer um programinha que assina arquivos? ;)

Leia o restante deste post...

Há algum tempinho atrás, postei uma classe com métodos estáticos cuja finalidade é empacotar arquivos com assinatura digital em uma mensagem PKCS #7, utilizando certificados padrão X.509.

Em um dos comentários daquele post, fui questionado sobre como fazer a verificação da validade dessa assinatura digital.

Opa, mas na classe tem um método chamado VerifySign, que verifica se existe a assinatura em um arquivo que é passado como parâmetro. Sim, você leu direito: ele verifica apenas a existência da assinatura, não a sua validade.

Dando uma pesquisada, achei o método CheckSignature do objeto SignedCms, que faz exatamente o que o nosso leitor quer: verificar a validade da assinatura digital. Vamos ao código:

public static bool VerifySign2(byte[] data)
{
	try
	{
		SignedCms signed = new SignedCms();
		signed.Decode(data);
		signed.CheckSignature(true);
	}
	catch
	{
		return false;
	}
	return true;
}

Chamei-o de VerifySign2, para não “quebrar” o propósito do outro método.

A única adição que é necessária fazer ao método VerifySign existente no outro post é a chamada do método CheckSignature do objeto da classe SignedCms, que verifica a validade da assinatura digital, e recebe como parâmetro um booleano que indica se será verificada apenas a validade da assinatura (true) ou se além da validade da assinatura também serão verificados os dados dos certificados empregados, tais como a validade, revogação, propósito da chave privada, entre outros.

Vamos dar uma recapitulada no funcionamento do método VerifySign, já incluindo esta pequena adição.

O método recebe como parâmetro um arquivo qualquer, assinado ou não, e cria uma instância da classe SignedCms na variável signed, que manipula mensagens PKCS #7.

Em seguida, chamamos o método Decode() passando como parâmetro este arquivo. Ele serve para decodificar a mensagem PKCS #7, de maneira que possamos acessar os certificados utilizados para acessar o arquivo e o arquivo em si, para poder “detachá-lo” da mensagem PKCS #7.

Se o arquivo não contiver uma assinatura digital, será disparada uma exceção do tipo CryptographicException, que será interceptada pelo “catch” e fará o nosso método retornar false. Neste caso o retorno é false causado pela não existência de assinatura digital.

Se o arquivo estiver assinado, chamaremos o método CheckSignature do objeto “signed”, informando que apenas queremos verificar a validade da assinatura digital, sem verificar os detalhes dos certificados (se passarmos false, o processo de verificação dos certificados requer uma conexão com a Internet – o que nem sempre é possível -, para verificação de lista de certificados revogados – geralmente no servidor da entidade que emitiu o certificado - entre outras coisas).

Interessante é que este método retorna void! Caso a assinatura seja inválida, por exemplo, o arquivo foi alterado depois de assinar, também será disparada uma exceção do tipo CryptographicException, que será interceptada pelo “catch” e fará com que o nosso método VerifySign retorne false.

Caso o método não dispare nenhuma exceção, ele retornará true, informando que a assinatura digital é válida.

Simples, não é?

Abraços!

Leia o restante deste post...