Aline Sueli de Salles Santos, Augusto Jun Devegili *
O mundo todo passa por um processo acelerado de transformações impulsionado principalmente pelo desenvolvimento de novas tecnologias de informação. Esta nova situação não é facilmente assimilada por toda a sociedade, em especial por alguns de seus setores e instituições; o Direito, com certeza, está abalado com o alcance e a rapidez das mudanças que a globalização implica, e que são muito mais rápidas do que ele possa acompanhar.
Entre as inovações tecnológicas que se estendem incrivelmente, a Internet acaba apresentando claros desafios à aplicação de regras jurídicas (nacionais) no seu espaço (global). Essas dificuldades, no entanto, não podem servir de justificativa para que os Estados deixem de tentar intervir naquela dinâmica, regulamentando objetos e condutas de interesse público.
Assim é no caso do Estado brasileiro, ao se preocupar com a segurança e autenticidade das informações que circulam pela Rede. Sendo a Internet um espaço imaterial que facilita o anonimato, é fundamental disciplinar a troca, armazenamento e geração das informações, de modo que desses dados virtuais possam surtir efeitos reais, através do seu reconhecimento jurídico.
A fim de abordar essa questão, o Brasil conta com uma política e uma legislação sobre “certificação eletrônica” e “assinatura digital” – ambas desenvolvidas sobre um sistema de segurança de criptografia assimétrica – que busca assegurar a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos.
As próximas seções deste artigo explicam os conceitos criptográficos relacionados à assinatura digital e certificação eletrônica, bem como apresenta a legislação pertinente.
Conceitos de criptografia
1. Esteganografia
O objetivo da esteganografia é esconder a existência de uma informação dentro de outra informação. Por exemplo, em um certo livro algumas letras podem estar com uma marcação especial. Ao juntar estas letras, obtém-se a informação oculta. Computacionalmente, a esteganografia costuma ser obtida usando-se imagens ou sons devido à grande redundância presente neste tipo de mídia. Alice pode ocultar uma mensagem secreta dentro de uma fotografia e enviá-la a Bob. Eva, ao observar a transmissão, pode ser iludida achando que é apenas uma foto.
2. Criptografia simétrica
Na criptografia simétrica, Alice e Bob precisam acordar uma chave secreta que irá proteger as mensagens trocadas entre eles. Pode-se comparar a criptografia secreta a um cadeado com senha: apenas os que conhecem a senha conseguem destravar o cadeado. Devido às técnicas matemáticas e computacionais envolvidas, considera-se inviável tentar descobrir a chave secreta correta. A princípio, quanto maior a chave, mais segura a comunicação. Por exemplo, para uma chave de 128 bits (algo parecido com 50 letras), estima-se que para descobrir a chave correta seria necessário mais tempo do que a idade atual do universo.
3. Criptografia assimétrica ou criptografia de chave pública
A criptografia assimétrica difere da criptografia simétrica pela utilização de um par de chaves no lugar de uma única chave secreta. Este par é composto por uma chave pública, de conhecimento geral, e uma chave privada, de posse exclusiva da pessoa que a gerou (1). A característica da criptografia assimétrica é que informações encriptadas com uma chave pública só podem ser decriptadas com a chave privada equivalente e vice-versa. Para que Alice envie uma mensagem confidencial a Bob, ela deve encriptar essa mensagem com a chave pública de Bob que, de posse de sua chave privada, consegue decriptá-la. Como, em tese, ninguém tem acesso à chave privada de Bob, ninguém pode decriptar a mensagem.
Similarmente à criptografia simétrica, quanto maior a chave, mais segura ela é. Geralmente considera-se que chaves assimétricas com 2048 bits representam segurança mais do que suficiente. Uma das diferenças entre criptossistemas simétricos e assimétricos é que estes últimos baseiam-se em problemas matemáticos. O RSA, criptossistema assimétrico mais utilizado atualmente, baseia-se no fato de que até hoje não existe uma técnica eficaz para fatorar um número muito grande.
Outra forma de utilização da criptografia assimétrica é a assinatura digital. Para assinar uma informação, Alice encripta-a com sua chave privada. Qualquer pessoa pode decriptar essa informação usando a chave pública de Alice, posto que ela é de conhecimento geral. A consideração importante é que, se a informação pôde ser decriptada com a chave pública de Alice, isto significa que apenas Alice pôde ter gerado a informação, uma vez que somente ela detém a chave privada equivalente.
4. Assinatura digital e função resumo
A assinatura digital comumente faz uso da criptografia assimétrica para prover garantia de procedência de uma determinada informação. Se Alice encripta um documento com sua chave privada, qualquer pessoa pode usar a chave pública de Alice para decriptar o documento, verificando portanto que este realmente foi assinado por Alice. Além disso, técnicas de assinatura digital utilizam funções resumo para verificar se o documento não foi alterado após ter sido assinado.
Uma função resumo calcula o resumo de uma determinada informação. Funções resumo criptográficas possuem duas características importantes: a partir de um resumo, não se consegue obter a informação que o gerou, e não deve ser computacionalmente viável encontrar duas informações diferentes que gerem o mesmo resumo. Se Alice produz uma informação e calcula seu resumo, então qualquer alteração que venha a ser feita nessa informação deverá gerar necessariamente um resumo diferente. Desta forma, pode-se verificar, através do resumo, se uma informação foi alterada.
A assinatura digital, portanto, oferece dois serviços importantes: identificação de procedência e detecção de alterações. Uma das decorrências do serviço de detecção de alterações é que a assinatura digital é única para cada documento. Cada documento possui um resumo criptográfico único e, portanto, a assinatura digital muda para cada documento.
5. Certificado digital, autoridade certificadora e infra-estrutura de chave pública
A criptografia assimétrica baseia-se no uso de chaves privadas e públicas. Um problema que surge é a confiabilidade da chave pública: como pode-se ter certeza de que uma certa chave pública, dita de Alice, é realmente de Alice? A situação é similar ao caso de documentos de identidade: como alguém pode ter certeza de que uma carteira de identidade é realmente da pessoa que consta no documento? No caso da carteira de identidade, ela é emitida por um órgão idôneo, por exemplo a Secretaria de Segurança Pública de um Estado, que atesta sua validade. No caso de uma chave pública, uma autoridade certificadora emite um certificado digital atestando que uma entidade detém um certo par de chaves. No certificado digital constam a identificação da entidade, sua chave pública, o período de validade do certificado e a assinatura da autoridade certificadora dando fé ao certificado. Autoridades certificadoras podem ser agrupadas em infra-estruturas de chave pública, ou ICPs.
Uma das práticas comuns das autoridades certificadoras é a emissão das Listas de Certificados Revogados (LCR). Estas listas contêm certificados que, por diversos motivos, foram cancelados e que portanto deixam de ter validade. O motivo mais comum talvez seja o comprometimento da chave privada do usuário, seja por extravio ou suspeita de furto.
No caso da Internet, as autoridades certificadoras são geralmente empresas privadas, como por exemplo as empresas VeriSign e sua subsidiária brasileira, a CertiSign; Entrust, representada no Brasil pela Módulo; e Baltimore, representada no Brasil pela UniCERT.
Aspectos jurídicos
O Brasil possui uma iniciativa denominada ICP-Brasil, regulamentada pela medida provisória MP 2.200-2, de 24 de agosto de 2001. A ICP-Brasil procura definir os padrões necessários à instituição de autoridades certificadoras no território brasileiro e prover validade legal à assinatura digital. Complementam esta medida provisória uma série de resoluções, portarias e decretos. A ICP-Brasil possui origens na ICP-Gov, uma ICP do Poder Executivo Federal, instituída pelo Decreto 3.587, de 5 de setembro de 2000 e revogada pelo Decreto 3.996, de 31 de outubro de 2001.
A MP 2.200-2 prevê as regras básicas para o credenciamento das Autoridades Certificadoras (AC), que irão emitir os certificados aos usuários finais, conferindo autenticidade à assinatura digital contida naquele documento. “Gozam, dessa forma, de presunção relativa ou juris tantum de autenticidade, as assinaturas digitais contidas no documento certificado eletronicamente por uma Autoridade Certificadora que atenda aos requisitos estabelecidos pelo Comitê Gestor da ICP-Brasil (CG da ICP-Brasil).” (2)
É verdade que o reconhecimento jurídico do documento não depende unicamente deste meio para sua comprovação, podendo sua autenticidade ser atestada por outras vias, inclusive por certificados expedidos por autoridades não-cadastradas na ICP-Brasil.
Tampouco o Projeto de Lei 4906-A, de 2001, que dispõe sobre comércio e mensagens eletrônicas e que tramita pela Câmara dos Deputados, já aprovado pelo Senado Federal, restringe a validade jurídica dos documentos àqueles gerados através da criptografia assimétrica , deixando claro que o método a ser utilizado para assegurar a integridade e autenticidade dos documentos é apenas instrumental. Esta flexibilidade para comprovação dos documentos também deixa o universo jurídico mais permeável à evolução das tecnologias.
Hoje, no entanto, é certo que o sistema de chave pública permite auferir um alto grau de segurança para as partes envolvidas e para o sistema jurídico, tanto no que diz respeito aos requisitos de validade do documento quanto no que se refere à preservação da intimidade e privacidade dos seus signatários, uma vez que neste sistema de criptografia assimétrica, a chave privada é uma informação personalíssima que não é compartilhada (como é o caso das senhas que se comunicam com os bancos de dados). Isso vem contribuir com o sigilo de correspondência garantido pelo art. 5º., inciso XXII, da Constituição Federal do Brasil, “apimentando” a discussão sobre a equivalência ou não dos emails às correspondências tradicionais que têm o papel como suporte material.
Discussão e considerações finais
Existem, entretanto, alguns pontos a serem discutidos. Um deles refere-se ao armazenamento da chave privada. Uma das práticas adotadas atualmente é que ela seja arquivada no computador do sujeito que a possui. Por outro lado, como pode-se ter certeza de que o computador não foi invadido e alguém possa ter se apropriado da chave privada? Neste caso, outras pessoas poderiam estar usando esta chave sem o conhecimento prévio do sujeito que originalmente detinha a chave privada. Em caso de má utilização desta chave, o sujeito original pode ser considerado responsável por esta má utilização? A utilização de cartões inteligentes (smart cards) pode ajudar a diminuir este problema, posto que são objetos físicos e geralmente são protegidos contra tentativas de violações externas. Similarmente aos cartões de banco, percebe-se sua falta quando são furtados ou extraviados. Neste caso, o usuário do cartão inteligente deve notificar a autoridade certificadora que emitiu o certificado digital avisando que a chave privada foi comprometida, o que acarreta, para a autoridade certificadora, a inclusão deste certificado na Lista de Certificados Revogados.
Outra questão é o controle estatal das chaves privadas dos cidadãos e empresas. A princípio, o usuário tem posse exclusiva de sua chave privada, e este é o fundamento da assinatura digital (autenticação) e da comunicação privada (confidencialidade). Por outro lado, existem iniciativas governamentais objetivando regulamentar a custódia de chaves privadas de tal forma que o governo possa ter acesso ao conteúdo das informações nos casos em que urge o interesse público. Caso essa custódia seja prevista por lei, quais os parâmetros para que ela não seja abusiva?
Por fim, cumpre ressaltar que ao lado da disciplina jurídico-estatal que vem sendo elaborada, é necessário o reconhecimento das normas da auto-regulamentação que se desenvolvem na Internet, e que tendem a ganhar cada vez maior legitimidade entre os usuários, dada a sua dinâmica e horizontalidade.
Notas de rodapé
(1) Cada sujeito (pessoa ou computador) precisa gerar um par de chaves (privada e pública). Esta geração envolve uma série de cálculos matemáticos e é comumente realizada por um programa de computador.
(2) FONTES, Felipe Costa, e COLARES, Rodrigo Guimarães. Assinatura digital: Sua importância nos negócios eletrônicos. Disponível em: http://conjur.uol.com.br/view.cfm?id=12833&ad=c.
Revista Consultor Jurídico
Aline Sueli de Salles Santos é mestre em Direito pela UNISINOS e professora do Centro Universitário Luterano de Palmas – CEULP/ULBRA.
Augusto Jun Devegili é mestre em Ciência da Computação pela UFSC, pesquisador do Laboratório de Segurança em Computação da UFSC e professor do Centro Universitário Luterano de Palmas – CEULP/ULBRA