Pat34708cusu evista arte f - prodemge.gov.br · Tudo que você deve saber sobre certificação...

FonteFonte 1

Esta edição da revista contou com o apoio:

Uma Publicação da:Caro Leitor,

Governador do Estado de Minas GeraisAécio Neves da Cunha

Secretário de Estado de Planejamento e GestãoAntonio Augusto Junho Anastasia

Diretor-PresidenteMaurício Azeredo Dias Costa

Diretora de Projetos e NegóciosGlória Maria Menezes Mendes Ferreira

Diretor de Tecnologia e ProduçãoRaul Monteiro de Barros FulgêncioDiretor Administrativo e Financeiro

José Ronaldo FidelisDiretor de Desenvolvimento Empresarial

Nathan Lerman

CONSELHO EDITORIALAntonio Augusto Junho Anastasia

Maurício Azeredo Dias CostaMárcio Luiz Bunte de CarvalhoAmílcar Vianna Martins Filho

Gustavo da Gama TorresPaulo Kléber Duarte Pereira

Marcos Brafman

EDIÇÃO EXECUTIVAAssessoria de Comunicação

Pedro Marcos Fonte Boa BuenoEdição, reportagem e redação

Isabela Moreira de Abreu – MG 02378 JPCoordenação do projeto editorial, gráfico e publicitário

Gustavo Grossi de LacerdaUniversidade Corporativa Prodemge

Enilton Rocha FerreiraMarta Beatriz Brandão P. e Albuquerque

Luiz Cláudio Silva CaldasProjeto gráfico, capa, ilustrações, diagramação

e editoração gráficaGuydo José Rossi Cardoso de Meneses

Estágio programação visualCamila Maciel Leite Seabra

RevisãoFátima Campos

Fotolito e impressãoPolicron / Gráfica Formato

TiragemTrês mil exemplares

PeriodicidadeSemestral

PATROCÍNIO

Prodemge - Rua da Bahia, 2277 – Bairro LourdesProdemge - Rua da Bahia, 2277 – Bairro LourdesCEP 30160-012 – Belo Hor izonte, MG, Bras i lCEP 30160-012 – Belo Hor izonte, MG, Bras i lwww.prodemge.mg.gov.br

/ [email protected]

Ano 1 – nº 1 – Dezembro de 2004

Há alguns meses, quando decidimos lançar uma revista técnica,com a chancela da Prodemge, estabelecemos de imediato umcompromisso: criar uma publicação relevante, que tivesse umdestino outro que enfeitar mesinhas de ante-salas de repartições.O maior temor num projeto como esse era de que, depois depronto, soasse como uma mera reverência às vaidades de umaestatal que atua no ramo da tecnologia.

Definimos então, como premissa editorial, a concentraçãoexclusiva em temas que estivessem na ordem do dia dosusuários, atuais ou potenciais, da tecnologia da informação.Além disso, a abordagem deveria buscar o tom exato entre aprofundidade e a leveza. A primeira, deveria torná-la referênciade pesquisa para usuários, técnicos e executivos em busca deconhecimentos para ajudá-los em suas decisões e estudantesem busca da última palavra sobre os temas em pauta. A segun-da, cuidaria de que fosse uma publicação agradável, rica einformativa, capaz de despertar também a atenção do públicointeressado, mas não especializado, importante já que numerosoe formador de opinião.

Este primeiro número de Fonte reflete bem essas diretrizes.

O tema não poderia ser mais atual: Certificação Digital.

É assunto novo, com vastas áreas ainda em discussão, e quecertamente provocará, em futuro próximo, profunda revoluçãonos costumes da sociedade em geral e, principalmente, naadministração pública, com reflexos simplificadores sobre a vidados cidadãos. Abordamos todos os seus aspectos: os legais, ostécnicos, os administrativos e os culturais. Buscamos comocolaboradores as maiores autoridades em cada setor, quecontribuíram com entrevistas exclusivas ou textos inéditos. Procu-ramos, sem a pretensão de esgotar o assunto, refletir o panoramamais atual do estágio em que se encontram as discussões sobre otema no País.

Temos a consciência de que o que apresentamos agora não é umproduto acabado. Por isso, abrimos uma seção para interaçãocom os leitores. Dela, tiraremos sugestões, ouviremos críticas e,eventualmente, buscaremos inspiração para possíveis e oportunascorreções de rumo.

Finalmente, analisando este primeiro número de Fonte ,, queagora publicamos, temos a esperança de termos escapado dairrelevância.

No entanto, submetemos esta avaliação ao julgamentosoberano - na realidade o que realmente importa - dosnossos leitores.

Um abraço,

Maurício Azeredo Dias Costa

2 FonteFonte

Interação: comentários e sugestões de leitores

Diálogo: entrevista com o advogado-geral do Estadode Minas Gerais, José Bonifácio Borges de Andrada,que fala dos aspectos histórico e jurídico da certificaçãodigital no País

ICP-Brasil: Evolução com Equilíbrio e Correção- o diretor do ITI, Evandro Oliveira, aborda ocomportamento do mercado frente à consolidação dacertificação digital

Governo Eletrônico: Projeto de Segurança daInformação do Governo Mineiro - a secretária-adjunta de Planejamento e Gestão do Governo do Estadode Minas Gerais, Renata Vilhena, comenta o desafio dasegurança da informação com o uso crescente datecnologia

A Criptografia na Ficção - técnicas antigas efantasias modernas no artigo do analista de sistemas daProdemge, Luís Carlos Silva Eiras

Dossiê: panorama da certificação digital - aplicações,benefícios, perspectivas e a opinião de autoridades noassunto

Benchmarking: duas experiências de sucesso - aReceita Federal e o Tribunal Regional do Trabalho 4ªRegião (RS)

Fórum: a certificação digital e os cartórios - o professorde Ciência Política, José Eisenberg, comenta o desafioque a certificação digital representa para o futuro daburocracia

Universidade Corporativa Prodemge: seleção deartigos acadêmicos inéditos sobre os temas certificaçãodigital e segurança da informação

Considerações sobre a interoperabilidade aplicada àinfra-estrutura de chaves públicas - Fabiano Menke

A privacidade na ICP-Brasil - Alexandre RodriguesAtheniense

Tudo que você deve saber sobre certificação digital -Jeroen van de Graaf

Certificação digital: uma realidade em Minas - RaymundoAlbino e Sérgio Daher

03

11

04

13

14

16

32

35

37

Sumário

Número 01- Dezembro de 2004

FonteFonte 3

Este espaço é

destinado a acolher

as opiniões e

sugestões de

nossos leitores.

Participe, contribua,

faça contato:

seu retorno é

fundamental para

que a

revista evolua a cada

edição.

e-mail:[email protected]

Rua da Bahia, 2277, Lourdes -Belo Horizonte, MG - CEP:30160-012, aos cuidados daAssessoria de Comunicação daProdemge - Companhia deTecnologia da Informação doEstado de Minas Gerais.

Interação

4 FonteFonte

José Bonifácio Borges deAndrada, advogado-geral do Estado/MG.Dentre os vários cargospúblicos que exerceu, foiadvogado-geral daUnião, subsecretário-geral da Presidência daRepública, secretário-executivo do Ministério daJustiça, subchefe paraassuntos jurídicos da CasaCivil da Presidência daRepública e consultorjurídico do Ministério daPrevidência e AssistênciaSocial. Tem o cargoefetivo de procuradorregional da república.

Segurança e armazenamentode documentos: da inscrição napedra à Certificação Digital

Na primeira edição da RevistaFonte, o entrevistado é oadvogado-geral do Estado,José Bonifácio Borges deAndrada. Com larga expe-riência no setor público, noqual ocupou importantescargos nos governos Federale Estadual, e também comgrandes conhecimentos naárea de tecnologia da infor-mação, o advogado-geral doEstado teve participação deci-siva na criação da Infra-Estru-tura de Chaves Públicas doBrasil – ICP-Brasil, atuandoprimeiramente como consul-tor jurídico do Ministério daPrevidência e Assistência So-cial, onde surgiram as primei-ras evidências da necessidadede mecanismos de proteçãoàs informações eletrônicas; e,posteriormente, como subse-cretário-geral da Presidênciada República e advogado-geral da União, quando foifinalmente estabelecida aMedida Provisória 2200, queregulamenta a certificaçãodigital no Brasil.Nesta entrevista, José Boni-fácio traça, de forma didá-tica, um panorama históricoda certificação digital no Paíse fala, com propriedade ebom humor, das perspectivasdessa tecnologia no Brasil. Elerefuta o mito de seu usoexplosivo no comércio eletrô-nico e pontua os benefíciosde sua utilização para o setorpúblico, enfatizando a experi-ência em Minas, onde atecnologia tornou-se realida-de em 2004 .

Fonte: Como surgiram asprimeiras iniciativas paraestabelecer o serviço noBrasil?

“Eu fui despertado para essasquestões de informática, do pontode vista legal, quando trabalhavano Ministério da Previdência.Algumas fraudes vinham sendofeitas no sistema ou através dosistema. Algumas, muito primá-rias, muito simples; outras, devidoà falta de cuidado de pessoas quedeixavam seu cartão magnéticocom a senha pregada com durexna tela do computador, parafacilitar o serviço. Havia noentanto outras mais complexas,mais elaboradas, que exigiam umpouco mais de conhecimentos.Houve um dia em que um hackerconseguiu fazer clone da páginada Previdência e colocou infor-mações para confundir as pes-soas. A nossa sorte é que elecolocou um Fale Conosco. Man-damos então um e-mail para ele,dizendo que a Polícia estavachegando. Conseguimos resolvero problema e tirar a falsa páginado ar.

Com esses episódios, chegamosà conclusão de que era neces-sária uma legislação criminalespecífica para a área previden-ciária. Elaboramos então algu-mas alterações no Código Penal,que estão em vigor hoje, para aproteção da base de dados daPrevidência. Esse projeto foi en-caminhado ao Congresso. Nessemeio tempo, eu fui convidadopara trabalhar na Casa Civil e oprojeto tramitava no Congresso.

Diálogo

FonteFonte 5

Na Casa Civil, nós temos umcontato maior com a estrutura deGoverno e começamos a perce-ber que a demanda era comuma todos os outros órgãos.”

Fonte: Naturalmente, houvenecessidade de adequa-ções na Lei. Como foi con-duzido o processo?

“Percebemos que todos os órgãostinham dados e informações queprecisavam ser preservados e queo projeto da Previdência, queestava mais avançado, na verda-de servia para todo mundo.Fizemos então algumas altera-ções no Projeto de Lei que estavana Câmara e o adequamos paraa administração pública. Foramentão criados, pela primeira vez,alguns crimes específicos, queestão no Código Penal. Isso éimportante também: não fizemosuma lei específica, fizemos alte-rações no Código Penal, que é alei penal comum, que todo mundousa, a lei básica criminal do País,protegendo documentos e infor-mações constantes em bases dedados e também criando algu-mas hipóteses criminais de inva-são de bases de dados.

Por exemplo, ceder senha deacesso a um banco de dadosprotegido a um terceiro, emcertos casos, é crime. Umapessoa não pode passarinformalmente a senha a umapessoa não autorizada. Só passara senha já é crime. Se issosignifica uma invasão a uma basede dados, é um outro crime compena mais grave. Se, da invasão,resulta um dano à base dedados, aí é outro crime, com penamais alta ainda. Não estávamosainda na fase da certificaçãodigital. Mas chegou-se a umponto em que houve demandapela certificação digital.”

Fonte: Nessa época, comooutros países conduziam aquestão da segurança deseus documentos eletrô-nicos?

“Nessa época, ou um pouquinhoantes, a Europa já tinha feito umadiretriz para a União Européia.Uma diretriz básica que orientavatodos os países sobre comoregulamentar a certificaçãodigital na Europa.

Outros países também estavamfazendo uma legislação própria.Nos Estados Unidos, bem no seuestilo – devido à liberdade decada Estado –, cada um definia

sua forma de atuação maisconveniente. Mas o assuntoestava em fase de organização,por volta de 1999/2000.

E nós sentimos a necessidade deque houvesse aqui no País tam-bém alguma forma de regula-mentação. Nós, da área jurídica,conhecíamos pouco sobre oassunto; tivemos que estudar,porque não conhecíamos, natu-ralmente, a legislação, a práticae os mecanismos de funciona-mento da certificação digital.Tivemos que nos informar, estudarmuito, contando com a ajuda deespecialistas. O professor Miguel

Teixeira Carvalho, do Ministério daCiência e Tecnologia na época, eo pessoal do Serpro nos ajudarammuito no entendimento da certifi-cação digital e os conceitos dechave pública, chave privada,algoritmo de hash e outros. E, aoentender a certificação digital,tivemos também que entrar noconceito de Autoridade Certifica-dora e Autoridade Raiz, o que foimuito importante para depoisestabelecer o modelo.”

Fonte: O senhor participouativamente da concepçãoda ICP-Brasil, ajudando adefinir o modelo de certifi-cação que foi adotado noPaís. Como foi feita essaescolha?

“O modelo de certificação digitalque o Brasil adotou está naMedida Provisória 2200. Foramestudados os modelos do mundoe o Governo optou por adotar omodelo vigente na ComunidadeEuropéia, previsto na Diretiva 93/1999, por dois motivos: primeiro,devido à similitude da legislação– a nossa legislação é uma he-rança do sistema romano-germâ-nico, nossas leis são baseadasnas leis portuguesas, espanholas,italianas, e sofrem muita influên-cia do direito alemão. A maneirade legislar brasileira, a nossamaneira de agir no processojudicial, é muito mais próxima dosistema europeu. Chegamos àconclusão de que seria, portanto,mais fácil para o mundo jurídicobrasileiro assimilar, com maisrapidez, um conjunto de normasque tivesse uma sistemática euro-péia do que uma sistemáticaamericana.

O segundo motivo é que a sis-temática européia é compatívelcom a sistemática americana,mas o contrário não ocorre. Se

“Foram estudados

os modelos do

mundo e o go-

verno optou por

adotar o modelo

vigente na Comu-

nidade Européia...”

6 FonteFonte

adotássemos o modelo europeu,o sistema brasileiro conversariacom os americanos; mas seadotássemos o modelo ameri-cano, teríamos dificuldades paraconversar com os europeus. É quea Diretiva Européia 93/1999 dápadrões mínimos básicos deorganização do sistema, mas, aomesmo tempo, ela tem que serflexível o suficiente para respeitaras diversidades culturais de cadapaís. A Diretiva, portanto, nãopoderia ser muito rígida.

Resumindo, as coisas funcionammais ou menos assim: na medidaem que nós respeitamos a Di-retiva Européia, passamos a sercomo “um membro da comuni-dade européia”. Se os sistemasdos vários países falam entre si,falam também com o nosso. Isso,para negociações futuras, facilitanosso ingresso na Europa; e osistema americano é absolu-tamente aberto, na realidade,aceita qualquer um.”

Fonte: O que exatamentedetermina a Medida Provi-sória 2200?

“A opção do Governo estásintetizada na MP-2200, queprevê dois sistemas paralelos, queoperam simultânea e livremente:um sistema de certificação livre eum sistema de certificaçãogovernamental.

Para este, foi criada a AutoridadeRaiz única – que é o ITI –, umaautarquia federal, a Infra-Estrutura de Chaves Públicashierarquizada, dentro da estru-tura da ICP. A MP estabeleceuainda que a Autoridade Raiz nãotem contato com o usuário, querdizer, ela não é a fornecedora docertificado no nível do usuário; elacertifica as autoridades certi-ficadoras de segundo nível, que

podem ser órgãos públicos ouprivados. Ou seja: a MP criou omodelo da infra-estrutura e fixouas atribuições legais do sistemapúblico e privado, copiando ri-gorosamente a Diretiva Euro-péia.”

Fonte: Faça, por favor, umparalelo entre uma opera-ção apoiada pela ICP-Brasil e uma feita foradessas regras.

“Em pouquíssimos casos, há aobrigatoriedade de se trabalharcom a autoridade pública. Naprática, é o seguinte: se vocêtrabalha com a ICP-Brasil eassina um documento eletrônico,você não pode negar que assinouo documento. E a parte do outrolado tem o direito de presumir quevocê o assinou. Se você quiserdizer que aquele documento nãofoi assinado por você, você temque fazer a prova. É a presunçãode autoria. É uma operação maissegura, porque equivale a umaoperação com testemunhas. AAutoridade Raiz e a AutoridadeCertificadora são testemunhas deque você é você – o Governocertifica que você é você e a Leipresume que você é o autor dodocumento.

Fora da ICP, acontece o contrário:se a outra parte duvidar daautoria, cabe ao emitente provara autenticidade de sua assinatura.As operações são mais tranqüilase mais rápidas porque a outraparte aceitará a sua assinatura sequiser; se não quiser, ela nãoconcorda que você assinou e nãofaz a operação. E se ela questio-nar a sua assinatura, você é quetem que provar que ela é au-têntica.

Fora da ICP, você não terá umaautoridade: você terá uma

testemunha privada que as partesaceitarão se e na medida em quequiserem. Por exemplo, duasempresas podem contratar umacertificadora privada e fazernegócios, sem problema nenhum,fora da PKI ou ICP oficial.”

Fonte: Na prática, como omercado assimilará essesdois sistemas paralelos?

“Eu acredito que será o seguinte:na maioria das operaçõescomerciais de baixo valor, vocênão usará certificação nenhuma,permanecerá como está funcio-nando atualmente, com cartõesde crédito, por e-mail porexemplo. Eu não vou querercomprar um cartão de certifi-cação para isso. E o entregadorde gás ou pizza também vaicontinuar da mesma forma. Acertificação seria um custo amais.

Para as operações de portemédio, eventualmente as em-presas vão contratar infra-estrutura particular. Não seránecessário entrar na esferagovernamental, que é mais caraporque a segurança é maior. Sevocê não precisa de muitasegurança, não há motivo paraaumentar o custo.

Agora, para documentos oficiais,para os quais a Lei exige auten-ticidade, aí, nesses poucos casos,você será obrigado a entrar nosistema da ICP-Brasil; ou aindase o valor das operações for muitoalto ou se, por segurança, aspartes optarem também pela ICP-Brasil. E as empresas certifica-doras também têm inteira liber-dade. A mesma empresa podeoferecer serviços dentro da ICP efora da ICP.O que vai acontecer é que acertificação emitida pela ICP-

FonteFonte 7

Brasil vai custar mais caro; forado sistema, a empresa não vaiprecisar pagar taxas por essedocumento, não é submetida àfiscalização e não é exigido delaum certo padrão de qualidade,como a ICP-Brasil, que tempadrão internacional. A nossaAutoridade Raiz – que é o ITI –tem que estar e está no mesmopadrão de qualidade da Europa.”

Fonte: Comente a certifi-cação digital como soluçãopara a questão da seguran-ça. Como esse expedientese contrapõe ao uso dodocumento em papel?

“No fundo, nós convivemos como uso da correspondência eletrô-nica em grande escala: hoje, vocêtroca muito e-mail, muita corres-pondência por computador. Alémdo e-mail, há também o sistemade mensagem direta, que são osmessengers, e o sistema deimagem também – brevemente acertificação vai ter que contem-plar a imagem. Daqui a pouco,você vai ter a conversa na internetcom som e imagem, gravá-los emCD e com possibilidade de certi-ficação do CD.

A partir de um determinadomomento, a comunicação pelainternet perde a confiabilidade.Isso acontece mais ou menoscomo com o telefone e com o fax.Ninguém compra, por exemplo,uma casa por telefone. Tantovendedor quanto comprador vãoquerer tudo bem escrito, docu-mentado, com testemunhas, emcartório. Há o serviço de telepizza– por telefone –, mas não há otelecasa. Há vários serviços decomércio por telefone. Masalgumas operações, a partir deum certo valor, você não vai fazerpor telefone. Você vai querer secertificar da operação.

Em geral, a certificação se faz empapel: você faz um contrato, bus-ca testemunhas, registra emcartório. Na verdade, a certifi-cação digital não se dirige para agrande massa de operaçõescomerciais. É um engano acharisso. Funciona da mesma formaque a certificação em papel, quevocê faz para operações de gran-des valores, duradouras. Assimcomo você não faz a compra deuma casa ou apartamento, portelefone, você também não fazuma escritura pública para com-prar um sanduíche. Ali é impor-tante justamente que não tenhaa certificação. Porque ela torna o

processo mais lento e, nos negó-cios de grande escala, de peque-no valor unitário, você quer velo-cidade, e a certificação vai atra-palhar isso. A relação custo–be-nefício faz valer a pena o risco.

Para ilustrar: quando você pedeuma entrega de gás, por telefone,você pode estar falando com oJack, o Estripador. Há uma pos-sibilidade mínima de não ser oentregador de gás. Da mesmaforma que o rapaz do gás podeestar recebendo o telefonema doJack, o Estripador. Se, toda vezque se fizer uma operação dessanatureza, for exigido documentode identidade, ou outros, ele nãovai vender nenhum botijão de gás.

Ele, portanto, tem que correralgum risco.

Isso vale, da mesma forma, paraa compra de uma passagemaérea pela internet: você querfacilidade, velocidade, portanto,não se usa a certificação. E temfuncionado. A empresa aérea queexigir que o cliente tenha umcartão, um token ou um outroelemento de certificação estácriando um complicador para ocliente. E o que ela quer é facilitar.Isso já vale até para os cartõesde crédito. Já se dispensa, emmuitos casos, a assinatura do ti-tular, bastando informar o nú-mero do cartão. O cartão já dis-pensou a certificação – que é anossa assinatura – para ganhartempo.”

Fonte: Em que casos, então,a certificação é a soluçãomais indicada?

“Ela entra quando você quer terperenidade e durabilidade nainformação, para que outrospossam saber que a operação foifeita. A operação ou o documen-to será armazenado por longotempo, como alguns documentospúblicos ou por exigência legal.Ou quando o valor da operaçãoé tão grande que você deseja umasegurança a mais.

Enfim, a certificação não é nadamais nada menos que um pro-cesso de autenticação, não dodocumento, mas da autoria dodocumento. Em algumas ope-rações, você tem que saber comcerteza com quem está falando,quem está enviando a mensagem.Em outras, você não precisa tercerteza; você presume a certeza.A quantidade de ligações tele-fônicas que fazemos, e-mails e faxque transmitimos mostra que amaioria das mensagens que

“Na verdade, a

certificação digital

não se dirige para

a grande massa de

operações comer-

ciais. É um engano

achar isso.”

8 FonteFonte

trocamos dispensa um tipo decertificação mais séria. Em geral,você se contenta com o nome dapessoa no cabeçalho do e-mail,o que é facilmente falsificável.

A estrutura da ICP-Brasil funcionapara uns poucos casos em que éobrigatória. Fazendo um paralelo:quando é que nós somos obri-gados a ir a um cartório passaruma escritura? Em pouquíssimoscasos.

Na maioria das vezes, nósfazemos os nossos negócios pordocumentos particulares. A ICP,da mesma forma, é obrigatóriaem um número limitadíssimo decasos e ela faz uma remissão parao Código Civil Brasileiro. Namaioria dos casos, a ICP não éobrigatória: você pode trabalharcom ICPs particulares, privadas efora do sistema governamental.”

Fonte: Com relação aocomércio eletrônico, háuma grande expectativa deaquecimento nesse tipo detransação. Essa expectativaé procedente?

“Fala-se muito em comércio ele-trônico. É um engano pensar quea certificação digital é importantepara o comércio eletrônico. Naverdade, o comércio eletrônico emgeral não vai usar a certificação,ou vai usar muito pouco. Naminha opinião, é muito impor-tante para a maioria das tran-sações comerciais justamente quenão haja o processo de certifi-cação, a fim de agilizar esse tipode operação.”

Fonte: Na prática, comofunciona no setor público ouso da certificação digital?

“No Governo Federal, desde2000, as correspondências

oficiais dos ministros ao Presi-dente da República – propondoprojetos de lei, projetos dedecretos, minutas de medidasprovisórias – são feitas, trans-mitidas e assinadas eletronica-mente. Cada ministro de Estadotem seu cartão, sua senha, e osdocumentos são transmitidospara a Casa Civil com a garantiade autenticidade não do trans-missor da mensagem, mas doautor do documento.

A certificação digital substitui aassinatura em papel. E quemrecebe o documento tem a maisabsoluta certeza de que foiproduzido por determinado minis-tro, por determinada autoridade.Não se faz mais esses documen-tos em papel.

A Casa Civil, inclusive, recusaquando feitos em papel. Era assimnos dois últimos anos do governoFernando Henrique, mas achoque não mudou a sistemática.Cada ministro de Estado, cadasecretário de Ministério tem a suasenha, que é o seu cartão mag-nético, é um cartão com um chipcontendo exatamente a chaveprivada com um algoritmo.”

Fonte: Como será a apli-cação da certificação digi-tal em Minas?

Será a mesma coisa: temos aquia Advocacia Geral, a transmissãode documentos oficiais para oPalácio, a transmissão de docu-mentos do Palácio para aImprensa Oficial. Hoje é neces-sário adotar as duas formas:envia-se o documento por meioeletrônico, mas, por segurança,o papel vai atrás. Quando tiver-mos a certificação digital, vamosacabar com o papel. Vamosganhar tempo.”

Fonte: Sintetize, por favor,os benefícios da certifi-cação digital para a admi-nistração pública.

“Você ganha velocidade na trans-missão da informação eletrônica;já tem isso, mas você passa atransmitir dados e documentospor meio eletrônico que você nãopoderia fazer se não estivesse naICP-Brasil.

Não se pode, hoje, mandar umdocumento oficial para o gover-nador e não assinar; eu tenho queassinar, qualquer secretário quemandar um documento oficialtem que assinar.

Não se pode, hoje, mandar umdocumento oficial para o gover-nador por e-mail, ainda que ogovernador se disponha a rece-ber esse e-mail.

Primeiro, o governador tem umproblema de segurança: ele nãosabe se quem está passandoaquele e-mail é o própriosecretário ou um auxiliar dele;segundo, ele não tem certezaquanto à autenticidade do do-cumento: ele não sabe se odocumento foi modificado nomeio do caminho ou se o docu-mento não foi modificado no seupróprio computador. Com acertificação, se ele estiver assi-nado e alguém fizer algumaalteração, essa assinatura cai;saberemos que esse documentosofreu uma alteração.

Ganhamos na velocidade eeliminamos o office-boy em mui-tas circunstâncias. Ganhamos navelocidade, no tempo, na distân-cia.”

Fonte: Quais são as vanta-gens de uma entidade pú-blica no processo de

FonteFonte 9

certificação digital?

“Com a certificadora pública,você passa a ter um pouco maisde liberdade. No caso daProdemge, por exemplo, comouma Autoridade Certificadoradentro da ICP-Brasil, passamos ater a liberdade de, nós mesmos,emitirmos os nossos certificados,tendo as nossas autoridades deregistro. Mas, provavelmente, aProdemge não vai entrar nomercado privado para competircom empresas privadas de certifi-cação, mesmo porque o perfildela é voltado para servir aoEstado.

Isso equivale mais ou menostambém àquela história: o Estadopode ter ou não a sua própriacompanhia de energia elétrica;Minas tem a Cemig. Não sei seoutros estados têm, mas nem porisso o pessoal de lá está noescuro. É claro que você, tendo oserviço próprio, passa a ter umacerta liberdade. Não é bom nemruim, depende da conveniência.”

Fonte: Como o senhor ava-lia a questão da tradiçãodo uso do documento empapel, que é algo palpá-vel, com a entrada do do-cumento digital, através dacertificação?

“O papel não vai acabar. Namedida em que você certifica umdocumento eletrônico, você passaa poder armazená-lo com segu-rança. Não com segurança daduração do armazenamento,mas com segurança da autenti-cidade do documento. Uma coisaé você achar um papel velho;outra é você achar um papelvelho com uns rabiscos e umaassinatura do Beethoven embaixo.Ah, isso aqui é o original daQuinta Sinfonia!

Na medida em que o papelpassou a ser assinado, ficouimportante ele ser guardado. Damesma forma, na medida em queo documento eletrônico possa serassinado, pode-se armazenaresse documento, ele começa aficar importante, porque ele passaa ter o valor do papel assinado.Recentemente, entreguei ao Ar-quivo Público Mineiro algumasdezenas de metros de papéis queeram originais de decretos desdemais ou menos 1940 até hoje.Eram os originais, que estavamguardados aqui porque sãoproduzidos aqui. Se, mais tarde,o governador estiver fazendoassinaturas eletrônicas de decre-tos, eu não vou ter decretos aqui,

arquivados em papel, mas arqui-vados eletronicamente. Ao invésde metros de papel, eu vou teralguns centímetros de CDs numacaixinha, que eu posso, inclusi-ve, duplicar e enviar para oarquivo até pela internet.”

Fonte: Com relação à mídiade armazenamento dessasinformações e documentos,o senhor se preocupa comos meios de recuperaçãodas informações. Comenteesse aspecto.

“Temos que considerar as

mesmas dificuldades de ummicrofilme, por exemplo. Eu tenhoem minha casa algumas dezenasde LPs antigos e tenho lá um toca-discos que está sem agulha. Euestou atrás de uma agulha paraesse toca-discos. Todos já estãoduplicados em CD, mas eu gostodo LP. Ou seja, a minha mídia estáficando ultrapassada. Quemguardou alguma coisa naquelesdisquetes de 5 ¼ e não passoupara outra mídia perdeu infor-mação. Vai ter que ir a um museupara recuperá-los – você vai terque trabalhar com a arqueologiaeletrônica. Há essas suscepti-bilidades. Não vamos pensar queo meio eletrônico é a grandesolução. Ele tem problemas.Obviamente, na sepultura dosnossos parentes, nos cemitérios,nós vamos continuar colocandoo nome na pedra, no mármore,porque nós queremos que issodure muito. Ninguém vai largarum chip na sepultura.

A pedra é uma das mídias maisduráveis que já se descobriu. Ohomem da pedra descobriu,quando começou a escrever, quetratava-se de uma mídia durável.Não era só porque não tinha opapel. Não é prático, mas temmuita escrita em pedra querecuperou a nossa história. Nósnão sabemos a durabilidade deum CD. A carta de Pero Vaz deCaminha já durou 500 anos; nósnão sabemos se a mídia eletrô-nica se conserva por 500 anos.Os documentos do Qumranduraram 2 mil; estão arquivadoshá 2 mil anos. Não sabemos sedaqui a 500 anos alguém vai lerum disquete.

A certificação permite que vocêpasse a ter um armazenamentoimportante de informações, mas,eventualmente, como não é umarmazenamento físico, você tem

“Os documentos do

Qumran duraram 2

mil; estão arquiva-

dos há 2 mil anos.

Não sabemos se

daqui a 500 anos

alguém vai ler um

disquete.”

10 FonteFonte

um problema de recuperação. Émais fácil recuperar informaçãode um LP do que de um DVD oude um disquete de computador,em que o armazenamento élógico.

A certificação digital valorizamuito o armazenamento da infor-mação eletrônica, porque elepassa a ser um armazenamentocom alto grau de confiabilidadequanto à autenticidade. Elaagrega valor ao documento. Masa certificação não acrescentanada com relação à durabilidade.Mesmo a certificação privada, éimportante, por exemplo, paradocumentos históricos particu-lares. A carta de Pero Vaz deCaminha é um documentooficial, tratava-se de um escrivãodo rei na esquadra, uma autori-dade pública.

De outra forma, são documentosparticulares os Lusíadas, Odis-séia, a Ilíada. Mesmo a certifi-cação privada agregará valor adocumentos privados arquivadoscom certificação digital privada.”

Fonte: Sistemas da Micro-soft estariam adaptadospara o sistema brasileiro decertificação digital. Comofunciona?

“No caso da chave públicabrasileira, foi assinado, em 2002,um convênio entre o Governobrasileiro e a Microsoft. A partirdaquela data, a chave públicabrasileira estaria fazendo parte dosistema da Microsoft. Nós somosum dos poucos países do mundoa fazer esse acordo com aMicrosoft. Como funciona: parausar o sistema de certificação, noseu computador, há o sistema desenha e contrasenha e o seucomputador tem que conhecer acontrasenha da autoridade

certificadora da autoridade raiz,ou seja, essa contrasenha tem queestar nos sistemas, é a chavepública.

Se ela não estiver nos sistemas,você vai ter que baixá-la no com-putador. Se você vai trabalhar coma ICP, vai ter que entrar no site daautoridade raiz, baixar a chavepública no seu computador,armazenado-a na memória. Nahora em que você fizer comuni-cações usando assinaturas ele-trônicas, o computador da outraparte, ao receber a sua men-sagem, vai ter condições de lhedizer que a autoridade raiz estágarantindo a operação. Se issonão está no computador, você temque fazer algumas operaçõesmanuais para consultar a raiz ouconsultar a certificadora.

É mais ou menos isso: alguém metelefona e diz uma senha; vocêtem que dar a contrasenha. Aívocê teria que ligar para umaterceira pessoa e confirmar sesenha e contrasenha estão com-patíveis, porque você não confiana ligação, mas você confia emquem vai lhe dar informaçõessobre a senha, que é a autoridadecertificadora. Esse sistema podeser on-line ou através de váriospassos. Uma vez dentro dosistema da Microsoft, é como sehouvesse uma linha com a raiz.

A Microsoft permite que, na horaque você colocar o sistema desenha e contrasenha ou de chavepública e chave privada nocomputador, a consulta seja feitaautomaticamente. E, no compu-tador, você já pode saber se odocumento é válido. Com esseacordo, isso já vem no sistema. AMicrosoft só fez isso depois de teruma declaração formal do Brasilde que a nossa Autoridade Raizatende a uma série de requisitos

que ela solicitou. Eles quiseramauditar o sistema, mas isso nósnão permitimos.”

FonteFonte 11

Após um tempo considerável, desde que acertificação digital no Brasil tomou rumos maisclaros e específicos (a Medida Provisória 2.200-2sobre o tema foi publicada em agosto de 2002),ainda encontramos pessoas que, mesmo atuandona área de informática, mesmo sendo profissionaisqualificados, ainda não conhecem o funcio-namento, aplicabilidade e exemplos práticos dasvantagens de se ter a adoção de uma Infra-estrutura de Chaves Públicas (dePKI - Public Key Infrastructure).

Alguns casos de não reconhe-cimento chegam a repetir certatécnica muito utilizada noutrotema muito polemizado ult i-mamente, o software livre. Osdesconhecedores util izam daaplicação do medo, da incertezae da dúvida (FUD, da expressão eminglês) quanto à eficácia ecorreção do processo de Infra-estrutura de Chaves PúblicasBrasileira (ICP-Brasil), com argu-mentos que são do domínio deparcela que nem mesmo discuteo tema com qualidade.

Embora a ICP-Brasil preveja que particularespossam utilizar qualquer tipo de certificação,ainda são muitos os profissionais de informáticaque não entenderam em quais condições devemusar processos diferenciados de certificação digital.Entendemos que se os profissionais de TI passarema usar certificados digitais, assinaturas eletrônicas,criptografia assimétrica e até mesmo criptografia

simétrica, com a preocupação de interopera-bilidade entre estes mecanismos, constatarão quea estrutura adotada no Brasil é a mais apropriadaaos propósitos de Governo e Setor Privado.

Mas como é natural que mais pessoas passem aquestionar os processos existentes e vejam asvantagens do uso de certificação digital como umgrande passo na melhoria e segurança dos

procedimentos e transaçõesfeitas por particulares e por estese o poder público, o que estamospresenciando é uma crescenteadoção e aceitação dos regula-mentos previstos na MP 2.200-2 e nas resoluções publicadaspelo Comitê Gestor da ICP-Brasil.

Para começar a entender ofuncionamento dessa estrutura, énecessário saber a diferençaentres as formas e processos decertificação digital e a hierarquiaadotada no País (www.iti.gov.br).O regulamento implantadodetermina que as regras devem

ser aprovadas pelo Comitê Gestor que temrepresentação do Poder Executivo Federal e daSociedade Civil (com previsão de que os PoderesLegislativo e Judiciário passem a ter representaçãono referido Comitê). Este Comitê é assessoradopor um Conselho Técnico que estuda e debate asquestões técnicas, questões jurídicas e adminis-trativas e adoção de tecnologias para promover ainteroperabilidade entre certificados de autori-dades certificadoras diferentes da estrutura.

Evolução com Equilíbrio e CorreçãoICP-Brasil

“Os desconhece-

dores utilizam da

aplicação do me-

do, da incerteza e

da dúvida quanto

à eficácia e cor -

reção do processo

de Infra-estrutura

de Chaves Públi-

cas Brasileira...”

Evandro Oliveira

12 FonteFonte

A Autoridade Certificadora Raiz, representadapelo Instituto Nacional de Tecnologia daInformação – I T I (www.it i .br) –, autarquiavinculada à Casa Civil da Presidência daRepública, cuida para que a operação dasautoridades certif icadoras, aut oridades deregistro, prestadores de serviço, auditoriasindependentes e demais intervenientes possamatuar na estrutura com as melhores condições efuncionalidades.

As empresas da iniciativa privadae órgãos públicos já estão seposicionando de forma a escolheronde estão mais aptos e adequa-dos a atuar com certificaçãodigital na estrutura da ICP-Brasile, após serem auditados paramostrar conformidade com asregras estabelecidas, recebem ocredenciamento e podem atuarcom os demais e servindo aocidadão com garantias que nãopresenciamos em métodos decertificação não auditáveis. Cabeentão a cada um desses interve-nientes estudar o tema, se apre-sentar como capaz para desem-penhar o papel que deseja e, apóscredenciado, se qualificar como debatedor epartícipe da evolução do processo.

Confiar que a estrutura estabelecida podedeterminar as técnicas e tecnologias a seremadotadas e que as auditorias são realizadas comintuito de verificar o proposto e realizado pelasentidades credenciadas é mais importante do quenão participar e querer que um ponto aqui e outroacolá seja modificado para atender interessescorporativos e particulares.

As regras de ICP-Brasil têm evoluído a partir daprimeira estrutura montada, e devemos ressaltar

que é importantíssimo não “jogar fora” oinvestimento valioso já implementado e em uso noPaís. Não se deve nem imaginar o estrago quepoderia ser feito se o Sistema de PagamentosBrasileiro, o maior exemplo do uso prático dacertificação digital no País, tivesse que ser refeito.Outro exemplo a ser referenciado daqui a algunsdias é o uso integral, por parte dos servidores daReceita Federal, de certificados digitais da ICP-Brasil.

Trabalhamos para, a cadareunião do Comitê Gestor,propor revisões que consolidem,cada vez mais, a inserção deinstituições do setor público quenão sejam da esfera federal, nãopelo método do medo, incertezae dúvida, mas por contribuirmospara que todos acreditem queestão fazendo a escolha porsistemas criptográficos apropria-dos e, a partir daí, passem acontribuir com o País na adoçãoe aplicação das estruturas eregras da ICP-Brasil, elevandoconsider avelmente os níveis desegurança nas transações queutil izem as mais variadas

tecnologias da informação.

Diretor de Auditoria, Fiscalização e Normalização

Instituto Nacional de Tecnologia da Informação –

ITI – Casa Civil – Presidência da República

Evandro Oliveira

“As empresas pri-

vadas e órgãos

públicos já estão

se posicionando

de forma a esco-

lher onde estão

mais aptos e ade-

quados a atuar

com certificação

digital...”

FonteFonte 13

Com o crescente uso das novas tecnologias da in-formação e comunicação, principalmente com oadvento da internet, e com a importância da infor-mação enquanto recurso estratégico, a segurançada informação passou a ser uma das principais preo-cupações das organizações, sejam elas públicas ouprivadas.No que tange às organizações públicas, inserem-se,num contexto de modernização do Estado, propos-tas que envolvem novastecnologias da informação e co-municação nas relações entre Go-verno e Cidadão (G2C), Governoe Empresas (G2B), Governo e Ser-vidores (G2E) e Governo e Gover-no (G2G). Entretanto, nessas re-lações, é necessário um aparatoque dê garantias e confiabilidadenas transações eletrônicas entre oGoverno e a Sociedade.Nesse sentido, o Governo do Esta-do de Minas Gerais, em consonân-cia com o Programa de Gover-nança Eletrônica, está promoven-do ações com o intuito de desen-volver um projeto de implantaçãode Modelo de Gestão de Seguran-ça da Informação na Administração Pública doPoder Executivo Estadual.Sob coordenação da Secretaria de Estado de Plane-jamento e Gestão (Seplag) e em parceria com a Se-cretaria de Estado de Fazenda (SEF) e da Compa-nhia de Tecnologia da Informação de Minas Gerais(Prodemge), o Projeto de Segurança da Informaçãotem como objetivo preparar as referidas instituiçõespara alcançar um nível de segurança desejada.Para tanto, serão realizadas atividades que vão des-de uma ampla análise de riscos em seus ativostecnológicos e seus principais processos de negócio

até a elaboração e divulgação de política de segu-rança da informação, capacitação de técnicos e cam-panhas de sensibilização de usuários, desenvolvimentode um Plano Diretor de Segurança da informação ede um Plano de Continuidade de Negócios.Outra ação de destaque diz respeito à capacitaçãotecnológica da Prodemge, que se tornará um SecurityProvider, contando com a parceria da Módulo, em-presa brasileira com maior renome em segurança

da informação no País, com maisde 19 anos de existência e consi-derada uma das maiores empresasde segurança da informação domundo. Pretende-se também obtera Certificação Internacional daProdemge junto à BS 7799, normade referência internacional em se-gurança da informação.Enfim, esse projeto, em consonân-cia com a Certificação Digital - pro-jeto em andamento e coordenadopela Prodemge - proporcionará aoGoverno do Estado infra-estruturade tecnologia da informação e co-municação e processos de negó-cios seguros. Dessa forma, aAdministração Pública do Poder

Executivo Estadual estará apta para a prestação deinformações e serviços eletrônicos de forma segura,fortalecendo os mecanismos de participação dos ci-dadãos e transformando as relações entre Estado eSociedade, condição fundamental para a inserçãoefetiva do Estado de Minas Gerais na sociedade dainformação.

Secretária-adjunta de Planejamento e Gestão do

Governo do Estado de Minas Gerais

Renata Vilhena

“...o Governo de Minas,

em consonância com o

Programa de Gover-

nança Eletrônica, está

promovendo ações

para desenvolver um

projeto de implantação

de Modelo de Gestão

de Segurança da Infor-

mação na Administra-

ção Pública do Poder

Executivo Estadual.”

Governo Eletrônico SeguroO projeto de segurança da informação dogoverno mineiroRenata Vilhena

14 FonteFonte

Técnicas antigas e fantasias modernasCriptografia na ficçãoLuís Carlos Silva Eiras

A mais famosa mensagem secreta da ficção foiescrita na parede do palácio do rei Baltazar: “Menêmenê tequêl u-parsîn”. E foi decifrada pelo profeta(e criptólogo) Daniel, conforme se lê no capítulo 5do seu livro, e é sobre o breve futuro do rei – Baltazarmorreu momentos depois da mensagem lida. DaBíblia para cá, muitos são os exemplos de mensagenssecretas em narrativas, já que boaparte da ficção conta a história deinvestigações e, com uma mensa-gem a ser decifrada, já se tem oprincipal da história.

É o que faz Edgar Allan Poe em OEscaravelho de Ouro, novelapublicada em 1843. Conta comoum pergaminho, descoberto numapraia, continha uma mensagemsecreta e como ela foi decifrada,possibilitando que se achasse umtesouro de piratas. Allan Poe seconcentra primeiro em explicarque, a partir de uma tabela defreqüência, os caracteres semsentido vão, aos poucos, revelando um texto – que,por sua vez, não faz o menor sentido!Então, Poe usa a imaginação para revelar o sentidodesse texto e achar o tesouro. Uma proeza de dupladecifração.

Não era a primeira vez que Poe tocava no assunto.Em 1841, publicou num jornal que tinha recebidoduas mensagens secretas de um certo W. B. Tyler,mas, apesar de ter decifrado mais de cemmensagens, estava sem tempo (!) para resolvê-las,deixando isso para os leitores. Essas mensagens

demoraram 150 anos para ser decifradas, aprimeira, em 1992, por Terence Whalen, e, asegunda, em 2000, por Gil Broza, o que acaboucom qualquer dúvida sobre quem era o tal W. B.Tyler. Allan Poe escreveu ainda o ensaio Criptografia(1842), uma prévia de O Escaravelho de Ouro.

Outro autor famoso queusa o assunto é Júlio

Verne. Em MatiasSandorf (1885), acriptografia é feitaatravés de uma

tabela de trêscolunas de letra,

sobre a qual secolocam cartões perfura-

dos. As letras que ficam visíveisformam a mensagem. Com essemétodo, foi possível decifrar nesteano o manuscrito Voynich, 230páginas de uma escritaincompreensível por mais de 5séculos. Agora se sabe: o

manuscrito não faz mesmo sentido e trata-se deuma fraude.

Mesmo em romances mais recentes, são utilizadascriptografias antigas como no O Nome da Rosa(1980) e O Pêndulo de Foucault (1988), de UmbertoEco. O primeiro usa a substituição de palavras porsímbolos, o segundo, o cifrário de Vigenère,conhecido desde o século XVI.

Carl Sagan, em Contato (1985), é que inventa algocomplicado. Imagens da transmissão de TV das

FonteFonte 15

Olimpíadas de Berlim, de 1936, foram capturadaspor extraterrestres e reenviadas para a Terra. Só que,no meio das freqüências da velha transmissão, haviamensagens para os terráqueos. Michael Crichton,em Esfera (1987), é mais modesto. Uma naveespacial encontrada no fundo do Oceano Pacíficoenvia uma seqüência de números, que vão aospoucos sendo reagrupados até formaremmensagens inteligíveis.

Mais recente, Cryptonomicon, de Neal Stephenson,de 1999, faz a ligação entre osdecifradores dos códigos alemãesda Segunda Guerra Mundial e oshackers atuais, para quemconseguir atravessar as suas 900páginas de idas e vindas no tempo.

No cinema, também aparecemcriptografias bem variadas, quetentam, às vezes, se aproximar darealidade. Não é o caso de Quebrade Sigilo (1992), onde RobertRedford vai atrás de uma caixacapaz de quebrar a senha dequalquer computador, já que a caixasabe como funcionam os númerosprimos1 . Nem de Código para oInferno (1998), onde Bruce Willis se envolve comum garoto autista que sabe ler códigos secretos, quecustaram um bilhão de dólares para serdesenvolvidos. Muito menos é o caso de A Senha(2001), onde um hacker consegue digitar maisrápido do que um programa de segurança.

Mas é o caso de Enigma (2001). Dougray Scott fazum matemático mais ou menos baseado em AlanTuring e mostra como os ingleses decifraram oscódigos secretos dos alemães utilizando o Colossus,o primeiro computador. (Mostra também, numa cenade bar, Mick Jagger, o produtor do filme.) Turing é opersonagem principal da peça Breaking The Code(1987), de Hugh Whitemore, onde conta como elee Churchill leram todas as mensagens secretas dos

nazistas, inclusive a localização do Bismarck, o quepossibilitou seu afundamento em 19412 .

Já o filme U-571 exagera na importância da capturade uma máquina Enigma num submarino alemãopelos americanos. Os poloneses conheciam ofuncionamento da máquina desde o início dos anos30 e repassaram esse conhecimento para osfranceses e ingleses. Eles sabiam também que nãoera suficiente conhecer seu funcionamento paradecifrar as mensagens codificadas. Porém, a versão

em DVD tem uma boa entrevistacom David Kahn, autor doclássico The Codebreakers(1996), ainda não editado noBrasil.

Mas é em Uma Mente Brilhante(2001) que essa história dedecifrar códigos secretos apareceem filme da maneira maisinteressante. Russel Crowe faz omatemático John Nash, que eracapaz de ler códigos secretosrussos escondidos em notícias dejornais e revistas. Todos ima-ginários.

“... boa parte da

ficção conta a

história de investi-

gações e, com uma

mensagem a ser

decifrada, já se

tem o principal da

história.”

Analista de Sistemas da Prodemge

Luís Carlos Silva Eiras

NOTAS11 Se você também sabe como funcionam os números primos,

você pode ganhar um milhão de dólares. É só responder sobre a

conjectura de Riemann para o Instituto Clay de Matemática do

MIT. Mais informações em

http://www.claymath.org/millennium/.

22 O funcionamento do Enigma, do Colossus e de outros métodos

citados aqui pode ser testado pelo leitor em

http://www.apprendre-en-ligne.net/crypto/.

16 FonteFonte

CertificaçãoDigital:CertificaçãoDigital:

Confiança e segurança. As bases históricas dasrelações, sejam elas comerciais ou não, sobrevi-vem intactas, ao longo do tempo, às mudançasculturais, sociais ou tecnológicas, embora agoramarcadas pela impessoalidade. São funda-mentos de grandes e pequenas operações,condições para que alianças se concretizem.

O velho "fio de bigode", a caderneta do armazémou a palavra empenhada, atributos incontes-táveis de confiança, que vêm assegurando aconfiabilidade das partes envolvidas emqualquer transação comercial, ganham, comotudo na era digital, a sua versão eletrônica.

Adaptado à consolidação da internet e aocrescimento desenfreado das operações feitasatravés da rede mundial de computadores, umnovo recurso tecnológico passa a se integrar aospoucos à vida dos brasileiros: a certificaçãodigital, que agrega aos documentos eletrônicos,inclusive aos e-mails, a garantia de sua autoriae autenticidade, imprimindo às operaçõeseletrônicas segurança e confiabilidade.

o fio de bigode eletrônicoo fio de bigode eletrônico

16

FÓRUM

FonteFonte 17

instantaneidade que a tecnologia imprime às co-municações passou a exigir mecanismos que as-segurem às empresas, sejam elas públicas ou pri-

vadas, e às pessoas, físicas ou jurídicas, pleno aproveita-mento do potencial oferecido pela tecnologia dainformação.

A certificação digital é um arquivo eletrônico que acom-panha um documento assinado digitalmente, contendoinformações que identificam a empresa ou a pessoa comquem se está tratando na rede. Um documento eletrôni-co com certificação digital tem, portanto, validade jurídi-ca. Isso garante sua autenticidade de origem e autoria,integridade de conteúdo, confidencialidade eirretratabilidade, ou seja, que a transação, depois de efe-tuada, não possa ser negada por nenhuma das partes.

Além da segurança e velocidade na tramitação de docu-mentos, a certificação digital transcende a questão deespaço, ao permitir, por exemplo, que um executivo pos-sa assinar normalmente um documento juridicamenteválido a partir de qualquer ponto geográfico e em qual-quer horário, com o mesmo valor de um documento empapel. Viabiliza ainda a guarda e o arquivamento segu-ros de documentos - oficiais ou não - com a mesma va-lidade do seu original em papel.

O diretor de Infra-Estrutura de Chaves Públicas do ITI -Instituto Nacional de Tecnologia da Informação -autarquia federal vinculada à Secretaria da Casa Civilda Presidência da República, Renato Martini, resume osbenefícios do uso dessa tecnologia. Para ele, a certificaçãodigital agrega aos serviços maior segurança, transpa-rência, desmaterialização, redução do consumo e trân-sito de papéis, contribuindo para a diminuição do custoBrasil. Do ponto de vista institucional e social, melhora arelação do Governo com o cidadão e abre possibilida-des para oferta de mais serviços pela internet - o cidadãonão precisa sair de casa para ter acesso a uma série deserviços, na medida em que esteja equipado para se iden-tificar na rede.

A assinatura eletrônica não é, no entanto, a digitalizaçãode uma assinatura, mas um complexo sistema de códi-gos. Para o advogado especialista em Direito Internacio-nal e professor gaúcho Fabiano Menke, ex-procurador

17

18 FonteFonte

geral do Instituto Nacional de Tecnologia da Infor-mação, a assinatura digital é um meio de agregarconfiança ao ambiente virtual, confirmando a im-portância da autoria e identificação principalmentepara questões legais. A assinatura digital agrega àinternet, segundo ele, o atributo da identificação:tem, portanto, os mesmos efeitos de uma assinatu-ra manuscrita feita no papel.

Um certificado digital contém informações relativasa seu usuário: a codificação de sua assinatura (chaveprivada), nome e endereço de e-mail, identificaçãoda Autoridade Certificadora, número de série, a as-sinatura digital e o período de validade do certifica-do, que pode ser de um ou dois anos.

A chave privada do usuário pode ser armazenadaem seu microcomputador, ou ainda num smart cardou token, que são mídias portáteis, que permitemseu uso a partir de outras estações. O acesso àsinformações contidas em seus chips é feito por meiode uma senha pessoal, determinada pelo titular. Osmart card assemelha-se a um cartão magnético,sendo necessário um aparelho leitor para seu funcio-namento. Já o token assemelha-se a uma chave erequer a conexão à porta USB do computador. Asegurança desses três recursos é garantida tambémpor senha.

Quanto aos preços, podem ainda ser consideradosaltos. Segundo o presidente da CertiSign, uma dasempresas certificadoras credenciadas pela ICP/Brasil– Infra-Estrutura de Chaves Públicas, SérgioKulikovsky, “a média é de R$100,00 por certificado(com validade de um ano), considerado compatívelcom a capacidade do usuário”. Ele prevê que essepreço caia a médio prazo: “Naturalmente, na medi-da em que se aumenta a demanda, o preço cai,uma vez que é estabelecido em função da quantida-de”. E conclui: “Se o serviço oferecido é bom, o pre-ço se justifica pelo benefício que ele oferece”.

Chaves Públicas - a questão legal

No Brasil, a exemplo do modelo adotado pela co-munidade européia, a certificação digital pode ser

concedida a pessoas físicas e a pessoas jurídicas pordiferentes autoridades certificadoras que, por suavez, podem ser públicas ou privadas. O sistema ofi-cial brasileiro de certificação digital baseia-se na ICP-Brasil – Infra-Estrutura de Chaves Públicas Brasilei-ra, regulamentada pela Medida Provisória 2200-2,de agosto de 2001. Ela foi instituída para “garantira autenticidade, a integridade, a validade jurídicade documentos em forma eletrônica, das aplicaçõesde suporte e das aplicações habilitadas que utilizemcertificados digitais, bem como a realização de tran-sações eletrônicas seguras”. O ITI é a AutoridadeCertificadora Raiz da estrutura.

De acordo com a Medida Provisória, a organizaçãoda matéria é composta por uma autoridade gestorade políticas – o Comitê Gestor da ICP-Brasil – e pelacadeia de autoridades certificadoras, composta pelaAutoridade Certificadora Raiz (AC-Raiz), pelas Au-toridades Certificadoras (AC) e pelas Autoridades deRegistro (AR). O Comitê Gestor é composto por cin-co representantes da sociedade civil, integrantes desetores interessados, designados pelo Presidente daRepública, e um representante dos ministériosda Justiça; da Fazenda; do Desenvolvimento, Indús-tria e Comércio Exterior; do Planejamento, Orça-mento e Gestão; da Ciência e Tecnologia; da CasaCivil da Presidência da República e do Gabinete deSegurança Institucional da Presidência daRepública.

O Comitê Gestor estabeleceu o padrão tecnológicomínimo para emissão da certificação digital, e ospré-requisitos para que órgãos públicos ou privadosse tornem autoridades certificadoras credenciadas.O sistema dá validade jurídica a documentos envia-dos por e-mail e a transações feitas pela internet queestejam com certificação. Atualmente, estão cadas-tradas pela ICP/Brasil para atuar como autoridadescertificadoras as seguintes entidades: Presidência daRepública, Serpro, Serasa, CertiSign, Caixa Econô-mica Federal e Secretaria da Receita Federal.

O advogado Fabiano Menke comenta, em artigosobre Interoperabilidade Aplicada à ICP, “o acertoda posição adotada pelo Brasil” na aprovação da

18

FonteFonte 19

Medida Provisória: “Sem proibir que o mercado (aqui en-tendido como o conjunto dos agentes não estatais) im-plante soluções que possam vir a ser díspares no sentidode não direcionadas à coletividade, decidiu-se por fun-dar uma espinha dorsal normativa comum, um troncoou, mais precisamente, uma árvore invertida, situandono topo (na raiz da árvore invertida) uma entidade dedireito público, a autarquia federal Instituto Nacional deTecnologia da Informação - ITI, com as atribuições prin-cipais de auditar, credenciar e fiscalizar as autoridadescertificadoras, autoridades de registro e prestadores deserviços de suporte que integram a ICP-Brasil”.

O advogado, que é mestre em Direito Especial – EfeitosJurídicos da Assinatura Digital –, comenta outros benefí-cios de uma estrutura nacional: “Havendo uma ICP maisabrangente, como são a brasileira e a alemã, torna-sebem mais viável e atraente a celebração de acordos in-ternacionais de reconhecimento recíproco de certifica-dos digitais, o que possibilitará transações eletrônicasinternacionais mais seguras entre empresas e entre con-sumidores e empresas”.

Está em tramitação no Congresso Nacional o Projeto deLei 7316/2002, que disciplina o uso de assinaturas ele-trônicas e a prestação de serviços de certificação. A ne-cessidade e urgência de aprovação dessa Lei são defen-didas pelo diretor de Infra-Estrutura de Chaves Públicasdo ITI, Renato Martini: “O maior mérito é institucionalizaruma estrutura que está funcionando operacionalmente.O Brasil vai ganhar uma Lei para disciplinar a questão”,afirma. “A Lei é flexível, pode ser alterada, ao contrárioda Medida Provisória; pode sofrer emendas e se adaptarà evolução da sociedade. É muito importante uma Leidisciplinando a questão da certificação digital e da es-trutura de chaves públicas”, garante. O Projeto de Leitem como relator o deputado federal Jorge Bittar.

(Confira, nesta edição, na seção “Diálogo” - página 4 -entrevista com o advogado-geral do Estado de MinasGerais, José Bonifácio Borges de Andrada, abordando,dentre outros aspectos, a questão legal da certificaçãodigital no País).

Pensar nos benefícios da Certificação Digital significa,em resumo, pressupor a falta de riscos no ambiente vir-

19

20 FonteFonte

tual, uma vez que a tecnologia utilizada no processocoíbe a ação de hackers na adulteração ou inter-ceptação de documentos ou mensagens eletrônicas.Como um documento selado, evita-se, inclusive, aleitura de conteúdos por pessoas não autorizadas.

Facilidades como essas têm ampliado de forma ex-pressiva o seu uso: segundo Sérgio Kulikovsky, háhoje aproximadamente 200 mil certificados emiti-dos em todo o território nacional, a maior parte parapessoas físicas, em uso profissional. “O número decertificados tem crescido muito”, avalia. “Neste ano,registramos cerca de 50% de crescimento em rela-ção ao ano passado.” Para o ano que vem, a expec-tativa é de que esse número cresça ainda mais. “Aprevisão é de que teremos pelo menos 1 milhão decertificados emitidos em 2005.”

Esse crescimento se justifica, para Sérgio Kulikovsky,pelos investimentos que têm sido feitos na tecnologiaque viabiliza seu uso. “A tendência é um rápidocrescimento daqui para a frente; o mercado neces-sitava de uma série de requisitos de infra-estrutura,e têm sido feitas muitas implementações, que abremagora uma boa perspectiva.”

“A popularização da certificação digital é fundamen-tal para garantir a privacidade e os novos direitosna sociedade em rede”, afirma o diretor-presidentedo ITI, Sérgio Amadeu da Silveira. “É, também, umaforma de dar mais segurança às transações eletrô-nicas. Atualmente, há vários projetos para dar maissegurança aos dados que transitam na rede. Pode-mos citar, como exemplo, uma política de divulga-ção, com utilização de mídia dirigida, eventos, entreoutros, com o objetivo de tornar essa tecnologia maisconhecida.”

Em sua experiência à frente da CertiSign, Kulikovskyafirma que as resistências que se anunciavam noinício do processo, em grande parte atribuídas àcultura do uso do papel, aos poucos vão dando lu-gar à aceitação de um recurso que tem se mostradoseguro. “Havia também o desafio da tecnologia, comrelação à segurança e avaliação da possibilidadede risco” – lembra. “Mas, cada vez mais, as pessoas

vêem que esse tipo de questão não procede, elasvão se convencendo de que o recurso é, de fato,bom. Que vale a pena, desde que cercado das devi-das precauções.”

O leque de empresas usuárias, representantes dosmais variados setores, se abre com a consolidaçãoda tecnologia, contemplando principalmente aque-les que envolvem públicos de relacionamento nume-rosos, como é o caso das empresas públicas e dosistema bancário. O Sistema de Pagamentos Brasi-leiro, por exemplo, que movimenta diariamente mi-lhões de reais entre os bancos, emprega de formaefetiva a certificação digital.Da mesma forma, a Receita Federal se prepara paratornar ainda mais segura a relação com os contri-buintes: brevemente, seus 25 mil servidores estarãoutilizando certificados digitais, garantindo de formamais eficaz o sigilo fiscal. A Receita investe tambémna segurança da Declaração de Imposto de RendaRetido na Fonte, trabalhando em conjunto com o ITIe bancos públicos e privados no projeto de emissãodos CPFs eletrônicos - E-CPF, que deverá contem-plar todos os correntistas do País, substituindo o CPFem papel pelo eletrônico a médio e longo prazos.(Detalhes na página 32).

Governos estaduais descobrem nessa tecnologia asolução não só para a troca de documentos entremembros do alto escalão - no envio de conteúdosformatados eletronicamente para publicação emseus diários oficiais e tramitação burocrática de pro-jetos de Lei –, mas, também, envolvendo contribuin-tes, como é o caso do Governo de Pernambuco,estado brasileiro pioneiro na adoção da tecnologia.

A Secretaria da Fazenda do Estado disponibilizou umconjunto de serviços pela internet, permitindo queos contribuintes inscritos sob regime normal de apu-ração cumpram com suas obrigações relativas àsinformações econômico-fiscais, aos benefícios fiscaisdo Prodepe - Programa de Desenvolvimento dePernambuco - e à escrita fiscal mensal.

Na área jurídica, que trata com grandes volumes depapel na tramitação de documentos, a adoção da

20

FonteFonte 21

certificação digital é recebida com empenho e bons re-sultados. O Tribunal de Justiça do Rio Grande do Sul jáadota um sistema de informatização de sessões que per-mite que desembargadores redijam votos em seus gabi-netes, compartilhem textos e emitam acórdãos com as-sinatura digital para publicação em tempo real nainternet. No Rio de Janeiro, o Tribunal de Justiçaimplementa sistema para aumentar a segurança no usode documentos resultantes de atos notariais.

Outro exemplo de sucesso é o Peticionamento Eletrôni-co adotado pelo Tribunal Regional de Trabalho/ 4ª Re-gião, no Rio Grande do Sul, que tem proporcionado,desde junho de 2004, ganhos importantes para advo-gados e para o sistema. Segundo o diretor da Secretariade Informática da entidade, Eduardo Kenzi Antonini, nãohá ainda mensuração matemática desses resultados,devido ao curto espaço de tempo desde sua implanta-ção, mas o ganho em segurança é evidente, e a reduçãode custos para advogados de todo o Estado é drástica:“Não é necessário comparecer pessoalmente para en-trega das petições; a economia de tempo e dinheiro comdeslocamentos e hospedagens é expressiva. É importan-te destacar o aspecto da segurança da informação, poisnão há extravio de documentos e garante-se a autentici-dade e o não-repúdio, premissas que, num Tribunal, sãoessenciais”.

O serviço de Peticionamento Eletrônico ganha agoraproporções nacionais, com o projeto E-Doc – SistemaIntegrado de Protocolização e Fluxo de Documentos Ele-trônicos da Justiça do Trabalho –, que está em desenvol-vimento, sob coordenação do TRT 4ª Região (Detalhesna seção Benchmarking, página 33).

O emprego da certificação digital ganha terreno tam-bém no comércio eletrônico, garantindo segurança aoscompradores virtuais de produtos em sites seguros, iden-tificados através da imagem de um cadeado; e nasáreas médica e odontológica, em prontuários virtuais.

Sérgio Kulikovsky identifica a generalização do uso dacertificação, que já extrapola as entidades detentoras degrandes públicos de relacionamento, como bancos eseguradoras. Segundo ele, o Estado é um dos grandesusuários, mas profissionais liberais também já reconhe-

21

22 FonteFonte

cem a importância da segurança em seus relacio-namentos pela internet.

Opinião semelhante tem o diretor de Infra-Estruturade Chaves Públicas do Instituto Nacional deTecnologia da Informação, Renato Martini. Segun-do ele, o poder público, através das aplicações doGoverno Eletrônico, começa a se aproximar de umsistema de certificação digital. As máquinas finan-ceira e bancária se apresentam mais organizadas eadiantadas que os governos. “Isso não é por acaso”– explica. “Reflete a conjuntura que criou a ICP, em2001.”

Renato Martini explica: “O sistema financeiro tradi-cionalmente investe em tecnologia; portanto, parao setor, isso não é novidade. Quando se trata deusar a tecnologia para implementar segurança, issotambém não é novidade. Já com as aplicações doGoverno Eletrônico, não é tão fácil. São instituiçõesque trabalham com tempos diferentes”.

Para Sérgio Kulikovski, um dos aspectos mais im-portantes de todo o processo, no momento, refere-se às perspectivas que a construção de uma infra-estrutura tecnológica satisfatória viabiliza. Ele defen-de a opinião de que “o principal é poder oferecermais serviços, para mais gente, de maneira menosburocrática e mais transparente”.

As restrições impostas pela falta de segurança - ca-racterística da rede mundial de computadores - li-mitaram, ao longo do tempo, a oferta de serviços,que acabaram por se perpetuar no papel. SérgioKulikovsky defende que o foco das empresas, a par-tir desse momento, deve estar nas possibilidades deampliação de seu leque de produtos e serviços combase na segurança que a certificação agrega aquaisquer operações eletrônicas.

Para ele, “o grande desafio da certificação, agora,está na criação de aplicações úteis”. Ou seja, “pen-sar em quem vai usar, como e por que vai usar. Ofoco deve, portanto, ser deslocado da tecnologiapara sua aplicação inteligente e útil, abandonandomitos e focalizando o usuário”.

Inclusão Digital - Inclusão Social

Se a certificação digital representa a possibilidadede oferta de um número maior de novos serviçospor um universo mais abrangente de empresas, omesmo pode ser dito da ampliação dos usuáriospotenciais num segmento já tão elitizado? Na opi-nião do diretor do ITI, Renato Martini, sim. “Atual-mente, não se pode falar de inclusão social sem as-sociar a idéia da inclusão digital”, explica. “Atecnologia está presente fortemente em todos os se-tores e uma das ações políticas do Governo Federalé a popularização desse serviço. Todo cidadão quetiver uma conta bancária terá acesso. Se você po-pulariza uma tecnologia, você promove a inclusãodigital. A participação do cidadão brasileiro no usode uma tecnologia de ponta promove naturalmentea inclusão social.”

A transparência que a certificação viabiliza para usu-ários detentores de um certificado é considerada,pelo presidente da CertiSign, um elemento de inclu-são. “O cidadão passa a ter mais acesso ao queestá acontecendo, pode acompanhar e até mesmofiscalizar os serviços que são oferecidos. Isso signifi-ca que mais gente pode ter acesso a mais informa-ções”, afirma. Com relação à indisponibilidade demicrocomputadores em domicílios de baixa renda,Kulikovsky argumenta: “Não é necessário que vocêtenha um computador. Com o smart card ou token(mídias portáteis), o cidadão pode ter acesso a ser-viços e informações a partir de qualquer lugar, dequalquer computador. Você é você em qualquer lu-gar onde esteja. Você deixa de ser uma senha e pas-sa a ser você de fato; passa a ser parte doprocesso”.

Interoperabilidade

Garantir que todos os equipamentos que compõema infra-estrutura da certificação digital no Brasil secomuniquem, independente do modelo, fabricanteou procedência, tem sido uma preocupação dasautoridades envolvidas no processo. Para o advo-gado Fabiano Menke, “a interoperabilidade é umatributo necessário a qualquer infra-estrutura que

22

FonteFonte 23

pretenda atingir a coletividade”.Na sua opinião, em artigo sobre o tema, “a idéia queinfluenciou a criação da ICP-Brasil foi justamente a deconstruir uma infra-estrutura para a coletividade, paratoda a sociedade, tornando mais facilitada a comunica-ção entre os titulares de certificados digitais”. Ele defen-de a necessidade de padronização, “a fim de que, naprática, se tenha a possibilidade de assinar digitalmente,bem como verificar as assinaturas digitais a partir dequalquer equipamento”. (Leia artigo de Fabiano Menkesobre o assunto na página 39).

Nesse sentido, o Comitê Gestor da Infra-Estrutura deChaves Públicas Brasileira aprovou, no dia 21 de outu-bro, através da Resolução nº 36, o regulamento parahomologação de sistemas e equipamentos de certificaçãodigital no âmbito da ICP-Brasil. A condução do processoserá feita pela Autoridade Certificadora Raiz da ICP-Bra-sil, o Instituto Nacional de Tecnologia da Informação -ITI, e contempla mídias como tokens criptográficos esmart cards, sistemas como de assinatura eletrônica, deautenticação de assinatura, de autoridades certificadorase de registro, e equipamentos como os de HSM,sincronismo e carimbo de tempo, entre outros.

Segundo o diretor-presidente do ITI, Sérgio Amadeu daSilveira, “a implementação de um laboratório que che-cará e homologará os dispositivos de segurança, comosmart cards, que suportam os certificados, é uma inicia-tiva relevante. Já que, a partir dessa checagem, teremoscerteza, seja qual for o fabricante do dispositivo, de queele será interoperável, ou seja, aceito em todos os siste-mas. Essa iniciativa reduzirá os custos dos certificados,facilitando a sua utilização em escala. O Governo, tam-bém, tem feito um esforço de utilizar essa tecnologia comoforma de reduzir o trâmite de papéis e dar rapidez aosprocessos”.

O estabelecimento de padrões e especificações técnicasmínimas garantirá, portanto, a sua interoperabilidade ea confiabilidade dos recursos de segurança da informa-ção. De acordo com a Resolução, os produtos homolo-gados terão um laudo de conformidade emitido e utiliza-rão o selo de homologação e seu correspondente núme-ro de identificação. Para isso, já foi inaugurado, em no-vembro, o primeiro Laboratório de Ensaios e Auditoria –

23

24 FonteFonte

LEA, em São Paulo, numa parceria do ITI com o La-boratório de Sistemas Integráveis – LSI da Escola Po-litécnica da USP. O LEA será responsável pela ho-mologação de sistemas e equipamentos decertificação digital no âmbito da ICP-Brasil.

Chaves Públicas

O sistema de chaves públicas prevê a certificaçãoatravés de duas chaves, uma chave privada – doseu proprietário, o remetente – utilizada para assi-nar o documento; e uma chave pública, de conhe-cimento geral, que validará a assinatura, consolida-das ambas num certificado digital.

O que garante segurança ao processo é justamentea autoridade certificadora, uma terceira entidadepresente no processo, que atesta para o destinatá-rio que o remetente é quem de fato assina o docu-mento. O processo de emissão de um certificadopressupõe o reconhecimento pessoal do interessa-do em ter seu certificado pela entidade certificadora.Funciona, em outras palavras, como uma assinatu-ra reconhecida em cartório pelo tabelião, que asse-gura que determinada assinatura pertence de fatoàquela pessoa.

A tecnologia adotada é a criptografia assimétrica.Isso quer dizer que é impossível identificar o códigode uma das chaves a partir da outra. Outra carac-terística é o fato de uma chave desempenhar exata-mente função inversa à outra: uma delas – a priva-da – é usada para assinar o documento; a outra, achave pública, é utilizada para reconhecer a auten-ticidade da assinatura.

A criptografia assimétrica se distingue da criptografiasimétrica: neste caso, ambos – remetente e destina-tário – conhecem o algoritmo utilizado paracriptografar a mensagem, o que a torna menos se-gura.

As chaves garantem não só a autenticidade da assi-natura, mas também a comunicação segura paratroca de documentos e mensagens. Um dispositivo,o “algoritmo de hash”, é capaz de acusar qualquer

interferência na mensagem em seu trânsito entre oremetente e o destinatário.

Assinatura Eletrônica x Assinatura Digital

O professor Fabiano Menke define de formaesclarecedora a diferença básica entre a assinaturaeletrônica e a assinatura digital. Insere-se na primei-ra categoria qualquer meio para identificar o reme-tente de uma mensagem, como a assinaturaescaneada ou digitalizada. Mesmo que a ela sejamassociados outros atributos - como digitais, íris, voz- é facilmente editável, estando portanto mais sujei-ta a fraudes.

Já a assinatura digital é algo mais, por associar ine-quivocamente uma pessoa a um documento, umcódigo exclusivo a uma pessoa. Baseia-se nacriptografia assimétrica – uma parte é privada e outraé pública –, ao contrário da criptografia simétrica,em que ambas as partes compartilham um código.Pressupõe ainda uma autoridade certificadora.

Governo Mineiro Adota Certificação Digital

A administração pública em Minas conta com osbenefícios da tramitação de documentos e informa-ções pela internet de forma segura, através datecnologia de certificação digital. A Companhia deTecnologia da Informação de Minas Gerais -Prodemge - é a Autoridade Certificadora em Minas,coordenando um dos principais projetos previstosno Programa de Governança Eletrônica do Gover-no do Estado.

A adoção da tecnologia no Governo de Minas foifeita dentro dos parâmetros estabelecidos pela ICP-Brasil, portanto, orientada por padrões internacio-nais, que colocam a administração pública mineiraem condições de se relacionar virtualmente comentidades de todo o mundo.

Para emitir os certificados, a Prodemge adequou suainfra-estrutura às exigências da ICP-Brasil. Foi feitoprocesso de licitação para contratação de uma au-toridade certificadora denominada de primeiro nível

24

FonteFonte 25

– a CertiSign foi a vencedora - que hospeda em suasinstalações os utilitários e o ambiente de segurança ne-cessários, eliminando, num primeiro momento, a neces-sidade de grandes investimentos para montagem da es-trutura. A equipe técnica da Prodemge também desen-volveu as aplicações de suporte ao serviço.

Para o diretor do ITI, Renato Martini, a Prodemge refletehoje a aplicação da certificação digital no serviço públi-co: “A empresa inteligentemente escolheu um dos cená-rios possíveis dentro dos parâmetros do ICP, ao aprovei-tar uma estrutura já existente, que custou grandes inves-timentos ao Governo e à sociedade”. Ela poderá, comoAC, cadastrar, fazer a identificação física para emissãodo certificado e ter o certificado para usar em seus pro-cedimentos dentro do Governo. “Em um outro momen-to, a Prodemge poderá optar por evoluir para atuar comoautoridade certificadora de primeiro nível”, explicaMartini. “Nesse caso, é necessária a montagem da es-trutura que exige grandes investimentos, como a sala-cofre e uma estrutura complexa de criptografia. Há ce-nários diferentes, a regulamentação da ICP é bastanteflexível, oferecendo várias possibilidades.”

A adoção da certificação digital pelo governo mineirorepresenta um importante passo na modernização doEstado, ao eliminar de forma substancial a necessidadeda tramitação de papéis.

Os primeiros projetos de certificação digital desenvolvi-dos são para a Junta Comercial do Estado de MinasGerais – Jucemg – para envio eletrônico de livros mer-cantis, com significativa redução da tramitação de pa-péis e agilização do processo. Outra aplicação é da Se-cretaria de Estado de Planejamento e Gestão, e abrangetodo o processo de tramitação de atos normativos doGoverno provenientes da Secretaria, utilizando ferramen-ta de workflow. A Secretaria de Governo do Estado pas-sa a contar com o Sistema Integrado de Processamentode Atos - SIPA -, destinado aos atos de provimento decargos comissionados. A assinatura digital para respon-sáveis por esses atos representa também mais agilidadee economia na tramitação de papéis.

Outras aplicações que se beneficiarão de forma efetivado serviço são a tramitação de informações e documen-

25

26 FonteFonte

tos da Secretaria da Fazenda com os contribuintesdo ICMS; a gestão eletrônica de documentos daJunta Comercial, que representa grandes volumesde papel; o relacionamento da Secretaria de Plane-jamento e Gestão com os fornecedores de serviçose produtos para o Estado; o envio de documentosoficiais para publicação pela Imprensa Oficial doEstado e a identificação segura de usuários dos sis-temas corporativos do Estado, entre várias outras.

Empresas públicas estaduais e acertificação digital

O Instituto Nacional de Tecnologia da Informação -ITI vem trabalhando com as empresas da ABEP –Associação Brasileira de Empresas Estaduais deProcessamento de Dados-, a fim de consolidar atecnologia junto aos governos estaduais. Segundo odiretor do Instituto, Renato Martini, já foram promo-vidos encontros em Brasília, com o presidente doConselho da entidade, Marcos Vinícius FerreiraMazoni, e com os presidentes das empresas estadu-ais de processamento de dados em Florianópolis,na última edição do Secop – Seminário Nacional deInformática Pública.

O ITI conduz um projeto de comunicação que visaa esclarecer o tema para as áreas públicas estaduale municipal. “Entendemos que a entrada dacertificação digital para o serviço público é atravésdas empresas estaduais de informática e chamamosa Abep para ser protagonista nesse processo, atra-vés de uma ação coordenada que contribua para ainstitucionalização do projeto.” Martini argumentaque é importante que as empresas públicas se orga-nizem para ter um padrão, se coordenem e desen-volvam um projeto coletivo.

Para ele, trata-se de uma tecnologia complexa. “Daía importância de explicar ao gestor público o seufuncionamento e benefícios. Estamos fazendo con-tato com os profissionais da área pública.Pernambuco tem hoje seus procedimentosfazendários baseados na certificação digital. Foi oEstado que saiu na frente. Há também boas iniciati-vas no Poder Judiciário. Mas é possível perceber um

desnível no conhecimento e aplicação da certificaçãodigital entre os estados – alguns muito avançados,outros, não.”

O projeto do ITI busca justamente levar ao gestorpúblico esse conhecimento. “Estamos elaborandoguias, manuais, com conteúdo esclarecedor e textode fácil entendimento.” O material será produzidopela Universidade Federal de Santa Catarina, quetem convênio com o ITI.

Dicas do ITI para maior segurança nautilização da certificação digital(fonte: site do ITI)

Primeiramente, deve-se lembrar que o certificadodigital representa a “identidade” da pessoa no mun-do virtual. Assim, é necessária a adoção de algunscuidados para se evitar que outra pessoa possa pra-ticar negócios jurídicos, acessar páginas na internete realizar transações bancárias em nome do titulardo certificado. Recomendações para o uso de umcertificado digital:

- a senha de acesso da chave privada e a própriachave privada não devem ser compartilhadas comninguém;

- caso o computador onde foi gerado o par de cha-ves criptográficas seja compartilhado com diversosusuários, não é recomendável o armazenamento dachave privada no disco rígido, pois todos os usuá-rios terão acesso a ela, sendo melhor oarmazenamento em disquete, smart card ou token;

- caso a chave privada esteja armazenada no discorígido de algum computador, deve-se protegê-lo deacesso não-autorizado, mantendo-o fisicamente se-guro. Nunca deixe a sala aberta quando for neces-sário sair e deixar o computador ligado. Utilize tam-bém um protetor de tela com senha. Cuidado comos vírus de computador, eles podem danificar suachave privada;- caso o software de geração do par de chaves per-mita optar entre ter ou não uma senha para prote-

26

FonteFonte 27

ger a chave privada, recomenda-se a escolha pelo aces-so por meio de senha. Não usar uma senha significaque qualquer pessoa que tiver acesso ao computadorpoderá se passar pelo titular da chave privada, assinan-do contratos e movimentando contas bancárias. Em ge-ral, é bem mais fácil usar uma senha do que protegerum computador fisicamente;

- utilize uma senha longa, com várias palavras, uma vezque existem programas com a função de desvendar se-nhas. Deve-se evitar o uso de dados pessoais como nomede cônjuge ou de filhos, datas de aniversários, endere-ços, telefones ou outros elementos relacionados com aprópria pessoa. A senha nunca deve ser anotada, sendorecomendável sua memorização.

Como verificar umaassinatura digital?

Fonte: site da CertiSign

Antes de confiar no conteúdo de um e-mailAntes de confiar no conteúdo de um e-mailassinado digitalmente, você precisa verificarassinado digitalmente, você precisa verificarse o certificado utilizado para assiná-lo é le-se o certificado utilizado para assiná-lo é le-gítimo. Nesse caso, a assinatura é verdadeiragítimo. Nesse caso, a assinatura é verdadeirae você pode confiar no conteúdo da mensa-e você pode confiar no conteúdo da mensa-gem que recebeu, pois ela realmente foi envi-gem que recebeu, pois ela realmente foi envi-ada pela pessoa ou empresa que a está assi-ada pela pessoa ou empresa que a está assi-nando.nando.Não ter esse cuidado pode significar confiarNão ter esse cuidado pode significar confiarnuma mensagem falsa, fraudada, em nomenuma mensagem falsa, fraudada, em nomeda pessoa ou empresa que a está assinando.da pessoa ou empresa que a está assinando.Por isso, é importante verificar sempre a vali-Por isso, é importante verificar sempre a vali-dade da assinatura digital antes de confiardade da assinatura digital antes de confiarnos e-mails e newsletters que você recebe.nos e-mails e newsletters que você recebe.C e r t i f i c a d o v á l i d o s i g n i f i c a a s s i n a t u r aC e r t i f i c a d o v á l i d o s i g n i f i c a a s s i n a t u r averdadeira.verdadeira.O procedimento de verificação é diferente paraO procedimento de verificação é diferente paracada programa de e-mail.cada programa de e-mail.

27

28 FonteFonte

WebmailQuando recebemos um e-mail assinado digitalmente através de um webmail, omesmo entende que a assinatura digital é um mero arquivo anexo (Smime.p7s)conforme a imagem abaixo:

Para poder verificar essa assinatura, você pode clicar no arquivo anexo e salvar omesmo em sua área de trabalho.

Após ter salvo o arquivo, você poderá dar um duplo clique no mesmo e verificara assinatura digital que foi utilizada para assinar o e-mail que lhe foi enviado.

28

FonteFonte 29

OutlookAo receber um e-mail assinado,você irá visualizar uma chancelaem vermelho no e-mailrecebido.

Para verificar a assinatura do emissor,você deve clicar na mesma e, emseguida, nas opções “Exibir certifica-dos” - “Certificado de autenticação”.

Em seguida, lhe será mostrado ocertificado digital que foi utilizado paraassinar a mensagem.

29

30 FonteFonte

NetscapeAo receber um e-mailassinado uti l izando oNetScape, você poderávisualizar uma “caneta” nocabeçalho da mensagem,representando que a mes-ma foi assinada digital-mente.

Para que você possaverificar a assinaturadigital contida na mensa-gem, você deve clicarduas vezes neste ícone“Caneta” que a mesma irálhe mostrar os dadosreferentes à certificaçãodigital.

Para que você consiga todas asinformações referentes a estecertificado, você deverá clicarem “Exibir Certif icado deAssinatura”.

30

FonteFonte 31

GlossárioAutenticidade: garantia de que a mensagem foi enviada por umremetente determinado e de que não é possível que outra pessoa sepasse por ele.

Autoridade Certificadora: entidade autorizada a emitir certifica-dos que vinculem uma determinada chave pública ao seu titular.Tem ainda outras atribuições, entre elas suspender, renovar ou revo-gar certificados digitais e emitir listas de certificados revogados.

Confidencialidade: atributo da mensagem protegida que garanteque, após enviada, só será lida pelo destinatário e mais ninguém.

Criptografia: ramo das ciências exatas que tem como objetivo es-crever em cifras. Trata-se de um conjunto de operações matemáticasque transformam um conteúdo em um texto cifrado.

Garantia de Autoria: presunção de que a mensagem é de fatoassinada pela pessoa que se identifica.

Interoperabilidade: é pressuposto de uma infra-estrutura e podeser definida como a capacidade que possuem os aparelhos e equi-pamentos que dela fazem parte de comunicarem-se entre si, inde-pendentemente de sua procedência ou de seu fabricante. (FabianoMenke)

Integridade: garantia de que a mensagem que chega ao destina-tário é exatamente a mesma que saiu do remetente, não tendo sofri-do qualquer alteração em nenhuma de suas partes.

Não-repúdio: garantia de que o titular do certificado e autor damensagem não pode negar a autoria de determinado documento.Numa situação assim, será dele o ônus de comprovar que seu cer-tificado foi utilizado indevidamente.

PKI: tradução da expressão inglesa Public-Key Infrastructure - Infra-Estrutura de Chaves Públicas

Token e smart card: são hardwares portáteis que funcionam comomídias armazenadoras. Em seus chips, são armazenadas as chavesprivadas dos usuários.

Saiba Mais

Instituto Nacional de Tecnologia da Informaçãowww.iti.br

Infra-Estrutura de Chaves Públicaswww.icpbrasil.org

Companhia de Tecnologia da Informação do Estadode Minas Gerais

wwww.prodemge.mg.gov.br

CertiSignwww.certisign.com.br

Tribunal Regional do Trabalho 4ª Regiãowww.trt4.gov.br

Módulo Securitywww.modulo.com.br

31

32 FonteFonte

Embora ainda em fase deconsolidação no País, o usoda certificação digital ga-nha espaço em importan-tes setores da prestação deserviços públicos.A seção Benchmarkingmostra dois exemplos deprojetos abrangentes esuas perspectivas para umnúmero considerável decidadãos brasileiros.

Benchmarking

Os 25 mil funcionários da Recei-ta Federal, em todo o País, já seintegram à crescente parcela deusuários da certificação digital.O órgão investe ainda na adoçãodessa tecnologia para os contri-buintes, ampliando o leque deserviços oferecidos pela internet,através do e-CPF ou CPF eletrô-nico, certificados digitais emitidoscom a chancela do ICP-Brasil eque viabilizarão outro importanteprojeto: o Serviço Interativo deAtendimento Virtual, através doqual o contribuinte terá acesso,pelo computador, a serviços pres-tados atualmente apenas de for-ma presencial.O projeto é conduzido em parce-ria com o ITI e bancos públicos eprivados, para emissão de CPFseletrônicos, que substituirão, amédio e longo prazos, o CPF empapel. As instituições bancáriasdeverão emitir um smart card con-tendo o certificado digital docliente, com chancela da ICP-Brasil e o número de CPF docorrentista. Esse talvez seja o mais

abrangente projeto em andamen-to no País, considerando-se o nú-mero de correntistas de bancos ea capilaridade das instituiçõesbancárias.

Segundo o chefe da Divisão deSegurança da Informação da Re-ceita Federal, Ariosto de SouzaJúnior, a adoção da tecnologiapara os funcionários e para ospúblicos de relacionamento dainstituição se deve principalmen-te à consolidação da internetcomo canal de comunicação como contribuinte: “Grande parte dasinformações com as quais lida-mos são protegidas por sigilo fis-cal, o que torna restrito o atendi-mento que podemos prestar senão tivermos a certeza de que oautor da demanda é efetivamen-te o contribuinte”, explica.

Para ele, a certificação digital tra-rá maior comodidade ao contri-buinte, agilizará o atendimentoaos processos e agregará maiorsegurança, consolidando, por

exemplo, um dos serviços impor-tantes da Receita que é a entregadas declarações do Imposto deRenda: “Sem adotarmos acertificação digital, podemos re-ceber as declarações via internet,mas alguns problemas que pode-riam ser resolvidos remotamenteacabam demandando o atendi-mento presencial, gerando des-necessárias filas nas delegaciasda Receita”.

Ele explica ainda como atecnologia agregará agilidade aoprocesso: “Se recebemos um nú-mero cada vez maior de declara-ções via internet, a tendência é aReceita começar a dar encami-nhamento aos processos todos deforma digital. Assim, por exemplo,quando um fiscal for analisar umprocesso, ele poderá assiná-lo ele-tronicamente com o seu e-CPF eaquele ato terá validade jurídica.A medida traz segurança aos sis-temas informatizados da institui-ção e mais conforto também aosfuncionários que, pelos métodos

FonteFonte 33

tradicionais, têm que lembrar vá-rias senhas para acesso a diferen-tes sistemas da Receita.

Ariosto de Souza Júnior lembra oprocesso de utilização da internetpara oferta de produtos da Recei-ta, que teve início em 1996,quando foram disponibilizadassomente a legislação tributária,informações de comércio ex-terior e trocas de informações como contribuinte via correio eletrô-nico: “Em 97, a Receitadisponibilizou o Receitanet, que éusado por 96% dos contribuintesbrasileiros. Em 2004, o site daReceita registrou um total de 130milhões de acessos e a entregade 32 milhões de declarações. Oserviço, que antes era utilizadoapenas para a entrega das decla-

rações, já ampliou o atendimen-to a mais 120 outros documen-tos. Começamos então adisponibilizar serviços de consul-ta a aplicações, como a consultaà irregularidade fiscal e certidãonegativa. Posteriormente, desen-volvemos aplicações para envio dedados como a declaração deisento, entre outras”.

A adesão dos usuários impôs,segundo Souza, a necessidade daimplantação de novos recursos:“Avançamos até o limiar do quepoderia ser oferecido sem ferir osigilo fiscal. Como grande partedos dados armazenados na Re-ceita são protegidos por sigilo fis-cal, chegamos no limite do quepoderíamos fornecer sem a iden-tificação do contribuinte”.

O processo de implantação dacertificação digital passou pelaaquisição de 27.500 smartcards, em fevereiro deste ano.Foram montados dois laborató-rios de testes – um em Belo Hori-zonte, outro em Brasília –, alémde um projeto piloto na Delega-cia da Receita Federal em Conta-gem (MG). O projeto abrange567 unidades da Receita Federalem todo o País.

“Usamos todo esse arranjo” –explica Ariosto Souza – “porquea Receita não quer aumentar ovolume de atendimentos de bal-cão. Todo esse processo é parareduzir o atendimento presenciale facilitar a relação do contribu-inte com a Receita”.

No Rio Grande do Sul, o Tribu-nal Regional do Trabalho – 4ªRegião implementou o primeirosistema de Peticionamento Ele-trônico do País, com adoção dacertificação digital.O serviço permite o envio eletrô-nico de petições através dainternet, sem a necessidade daapresentação posterior dos ori-

ginais. A segurança da transaçãoé garantida pela assinatura digi-tal com utilização de certificadosemitidos pela ICP-Brasil, que pos-suem validade jurídica de acordocom a Medida Provisória2200-2.

Segundo o diretor da Secretariade Informática do TRT, Eduardo

Kenzi Antonini, o projeto piloto foidesenvolvido com 20 advogadosem dezembro de 2003 e, já emmaio de 2004, o serviço foi am-pliado para todos os interessados.Nos primeiros cinco meses doPeticionamento Eletrônico, cercade 200 dos 8 mil advogados ca-dastrados no TRT4 já haviamadotado essa forma de trabalho.

34 FonteFonte

Embora o pequeno tempo de usodo serviço não permita aindamedir com exatidão os seus re-sultados, o ganho em segurançae a redução de custos para advo-gados de todo o Estado é eviden-te. As vantagens se estendem tam-bém ao jurisdicionado, que ga-nha em rapidez e segurança; eao sistema do judiciário, que fi-cou mais seguro - não há extra-vio de documentos -, ágil e sim-ples. A autenticidade e o não-re-púdio são, afinal, premissas es-senciais num Tribunal.

Como funciona

O TRT4 permite o envio de peti-ções ao Tribunal e a todas as Va-ras do Trabalho da 4ª Região. Nãoestão contempladas no serviço aspetições iniciais de 1ª instância e/ou seus aditamentos.

Em primeiro lugar, o usuário deveadquirir um certificado digital dequalquer entidade credenciada àICP-Brasil. Para efetivar seu ca-dastro, é só acessar um formulá-rio na internet e preencher os da-dos requisitados. No site do Tri-bunal, é possível fazer o downloaddo Assinador Eletrônico; uma vezinstalado no computador dousuário, o programa deverá serusado para assinar eletronica-mente suas petições, antes deenviá-las ao TRT.Os arquivos são criptografadosdurante o envio. Ao receber apetição enviada eletronicamente,

o Tribunal analisa o arquivo rece-bido, verificando a validade daassinatura digital e se ela perten-ce efetivamente à petição envia-da; consulta a data e a hora dorecebimento junto ao Observató-rio Nacional; e gera um recibo dapetição, que poderá ser impressoou armazenado pelo advogado.

Projeto E-Doc

O serviço de Peticionamento Ele-trônico ganha agora proporçõesnacionais, com o projeto E-Doc– Sistema Integrado de Proto-colização e Fluxo de Documen-tos Eletrônicos da Justiça do Tra-balho – , que está em desenvolvi-mento, a cargo do Grupo de Pla-nejamento da Informatizaçãoda Justiça do Trabalho, coorde-nado pelo TRT da 4ª Região.O objetivo é disponibilizar, atra-vés de infra-estrutura distribuídanos tribunais que compõem aJustiça do Trabalho, um sistemade envio e recebimento eletrôni-co de documentos aos TribunaisRegionais e ao Tribunal Superiordo Trabalho. Da mesma formaque o Peticionamento Eletrônicodo TRT4, será exigido o uso decertificados digitais emitidos pelaICP-Brasil, garantindo validadejurídica ao serviço.

Quando implantado, o E-Docagregará ao sistema da Justiça doTrabalho mais agilidade edesburocratização, redução decustos e integração dos tribunais.

FonteFonte 35

FÓRUMCertificação Digital: o fim dos Cartórios?

A certificação digital – a atri-buição de valor jurídico, atra-vés de criptografias persona-lizadas, para assinaturas en-viadas através da rede mun-dial de computadores – apre-senta um desafio instigantepara o futuro da burocraciapública e privada, tal qual elase conformou ao longo dahistória do Brasil. O nosso sis-tema jurídico, herdeiro do sis-tema centralizado portuguêse sua estrutura oligárquica decertificação de assinaturas em papel, em particularno Direito Civil, distribui a autoridade pública decertificação no mundo privado através de um siste-ma de cartórios, funcional e geograficamente atri-buído, onde ainda funcionam antigas instituições deparentesco na reprodução do exercício daquela au-toridade.

Para a economia, os cartórios representam simulta-neamente custos de transação, a serem devidamen-te incluídos na formação de preços, e segurançapara essas mesmas transações, em caso de litígios.Para o Direito, eles são entidades privadas investidasde autoridade pública cuja certificação confere vali-dade a um documento envolvendo uma ou maispartes de um processo. Já para os cidadãos, os car-tórios em geral representam uma senha para umanova fila, uma taxa que subiu de novo, uma cópiaautenticada da identidade que não ficou boa, ou,no caso dos mais afortunados, finalmente a escritu-ra lavrada de uma casa própria.

A certificação digital, no modelo regulamentado pelaICP-Brasil (Infra-Estrutura de Chaves Públicas) naMedida Provisória 2200-2 de 8/2001, criou umaestrutura hierárquica de autoridades certificadoras,centralizadas em uma autoridade certificadora raiz

e regulada por uma nova agên-cia, o Comitê Gestor da ICP-Brasil. As autoridades certifi-cadoras, bem como as autori-dades de registro abaixo delas,formarão um mercado que seráregulado por esta agência,sendo cada ente auditado,credenciado e fiscalizado poruma entidade de direito públi-co, o Instituto Nacional deTecnologias de Informação (ITI),a autoridade certificadora raiz.Hoje ainda testemunhamos os

primeiros passos no sentido da implementaçãodesse sistema, já que são em torno de seis autorida-des certificadoras, sendo a maioria órgãos vincula-dos à União.

Para a economia, a certificação digital representauma potencial diminuição dos custos de transaçãoque resultam das prerrogativas de certificação doscartórios. Amplia-se um mercado de certificação dedocumentos, mais moderno tecnologicamente e maiságil do ponto de vista do tempo de transação, quecertamente fará com que pessoas jurídicas, comcada vez mais freqüência, incorram nos custosiniciais de investimento em uma estrutura decertificação digital (seja um token, um smart cardou uma chave no PC) para poder agilizar e diminuiros custos dessas transações. Em transações inter-nacionais, em particular, ter acesso à certificaçãodigital já está se tornando um imperativo.

Quanto à segurança das transações econômicas,ela será indubitavelmente maior. Uma criptografiaassimétrica não é mais manipulável e/ou perigosado que um carimbo, um selo ou uma rubrica de escri-vão de cartório. Há certos mitos sobre as novastecnologias de informação e comunicação que preci-sam ser abertamente combatidos e este é um deles.

José Eisenberg

36 FonteFonte

Computadores são uma das formas mais segurasde armazenamento de informação já concebidaspela humanidade.

Já para o Direito, a certificação digital pode possibi-litar uma verdadeira revolução no sistema proces-sual. Com o grau de segurança e sigilo que a internethoje permite, a certificação digital pode contribuirde forma decisiva para que os tribunais brasileirosesvaziem suas estantes e arquivos de processos.Desde acórdãos com assinatura digital publicadoson-line, até a tramitação interna mais cotidiana deprocessos e seus documentos, a assinatura digitalpode ser um instrumento vital que faltava ao Direitobrasileiro para que ele, finalmente, converta sua ricaestrutura de processamento de litígios e de garantiade direitos em uma ágil rede de interações capaz demobilizar a capilaridade social de nossos tribunaisem práticas democráticas de acesso à justiça paraos menos favorecidos.

O sistema processual brasileiro certamente tem suasdeficiências institucionais. Entretanto, a sua falta deceleridade resulta primordialmente de um aparatoburocrático pouco preparado para acomodar asdemandas advindas da sociedade, bem como a ener-gia investigativa de um Ministério Público ativo e in-dependente. Ainda que a informatização não tenhaatingido a vasta malha de tribunais de justiça noBrasil, qualquer medida que leve o Estado a fazer osinvestimentos necessários para tornar o judiciáriomais ágil deve ser louvada. Particularmente, se elaaumenta, simultaneamente, o grau de transparên-cia das suas atividades.

Para os cidadãos, no curto prazo, tudo que diz res-peito à certificação digital não passa de conversa degente que mexe com computador. No longo prazo,porém, a inclusão digital é um problema educacio-nal estrutural da sociedade brasileira que precisa seratacado com políticas públicas dirigidas, porém uni-versais, para que as novas gerações de brasileirosestejam devidamente equipadas com os instrumen-tos necessários ao pleno exercício da cidadania. Acertificação digital é somente mais um prenúncio dapremência desta outra agenda já que, caso ela se

consolide e encontre tanto no mercado quanto nopoder público a receptividade e atenção que mere-ce, não demorará muito para que nós passemos aser uma sociedade dividida entre os com-CPF e ossem-CPF, mas também entre os que têm ou não as-sinatura digital. Seria ela o Registro Geral (R.G.) dofuturo?

A grande virtude da Certificação Digital reside napossibilidade da descartorialização do nosso siste-ma de autenticação e certificação de transaçõesentre entidades de direito civil, sejam elas pessoasfísicas ou pessoas jurídicas. Abrir um mercado semcartórios não é uma garantia contra a suaoligopolização (nem uma idéia tão inovadora assimnos tempos de hoje), mas faz sentido. Faz mais sen-tido ainda a centralização mantida na estrutura deautoridades constante na medida provisória apro-vada sobre o assunto. Haverá sempre um problemade regulação desse mercado, e os agentes públicose da sociedade civil precisam efetivamente operarnos diversos níveis da burocracia regulatória paraagir como efetivos fiscalizadores da qualidade dosserviços de certificação digital oferecidos.

A segurança do sistema virá. Mas pairam dúvidas.Curiosamente, no dia 1o de novembro, a página doITI para divulgação de seu 2 o Fórum de CertificaçãoDigital estava fora do ar, tendo sido invadida por umprotesto que clamava “Nós somos os fora-da-lei deuma lei que não existe”.

Todos, pelo jeito, até mesmo os invasores da páginado ITI, aguardam a aprovação do Projeto de Lei7316/2002, que disciplinará o uso de assinaturaseletrônicas e o mercado de certificação digital. Eu,de minha, parte, espero que, no longo prazo, pos-samos olhar para os passos que damos hoje comoo começo do fim de uma era dos cartórios no Brasil.

José Eisenberg - Professor de Ciência Política

(IUPERJ), é co-organizador de Internet e Política:teoria e prática da democracia eletrônica (BeloHorizonte: Ed. UFMG, 2001) e autor de vários artigossobre novas tecnologias de informação e comunicação.

FonteFonte 37

CORPORATIVA U N I V E R S I D A D E

P R O D E M G E

38 FonteFonte

FonteFonte 39


P R O D E M G E

Considerações sobre a interoperabilidadeaplicada à infra-estrutura de chaves públicas

Fabiano MenkeAdvogado. Ex-procurador-geral do Instituto Nacional de Tecnologiada Informação. Membro da Comissão Técnica Executiva da Infra-Estrutura de Chaves Públicas Brasileira. Mestre em Direito peloCurso de Pós-Graduação de Concentração em Direitos Especiais.Professor de Direito Civil no Centro Universitário Ritter dos Reis,Canoas, RS.

O artigo analisa a interoperabilidade aplicada à Infra-Es-trutura de Chaves Públicas (ICP). Principia delineando no-ção geral de interoperabilidade e, após, versa especifica-mente sobre a interoperabilidade existente numa ICP. Expli-ca o significado da palavra “infra-Estrutura”, que é de fun-damental importância para a análise do objeto de estudo.A abordagem é feita com ênfase na Infra-Estrutura de Cha-ves Públicas Brasileira (ICP-Brasil), instituída pela MedidaProvisória nº 2.200. Além disso, apresenta ainteroperabilidade como gênero que se divide em dois, ainteroperabilidade formal, operacional, técnica ou objeti-va, e a interoperabilidade substancial ou subjetiva.

RESUMO

1. Noção geral de interope-rabilidade

Uma noção geral de interope-rabilidade pode ser obtida a par-tir de um exemplo prático, comoo regulado pela Diretiva da Co-munidade Européia nº 96/48,de 23 de julho de 1996, que tra-ta da “interoperabilidade do sis-tema ferroviário transeuropeu dealta velocidade”. Nos consi-derandos dessa Diretiva, é dito:“para que os cidadãos da União,os operadores econômicos e as

coletividades regionais e locais sebeneficiem plenamente das van-tagens decorrentes da criação deum espaço sem fronteiras, impor-ta, designadamente, incentivar ainterconexão e a interopera-bilidade das redes nacionais detrens de alta velocidade, bemcomo o acesso a essas redes”.Observe-se bem, a ComunidadeEuropéia resolveu adotar umadiretiva estabelecendo critérios epadrões comuns para possibilitarque um trem francês possa sair deParis, passar por cidades alemãs

e finalmente chegar a Viena, naÁustria, sem que no percurso en-contre qualquer problema de in-compatibilidade. Para atingir esseobjetivo, foram criadas as ETI, quesão as especificações técnicas deinteroperabilidade, “a que cadasubsistema é objeto a fim de sa-tisfazer os requisitos essenciais,estabelecendo as necessárias re-lações funcionais recíprocas en-tre os subsistemas do sistema fer-roviário transeuropeu de alta ve-locidade”.

Talvez esse exemplo seja o maiselucidativo para ilustrar o queseja, numa acepção mais geral,interoperabilidade. Por meio dele,verifica-se que a interopera-bilidade é um apanágio necessá-rio de qualquer infra-estrutura epode ser definida como a capa-cidade que possuem os aparelhosou equipamentos que dela fazemparte de comunicarem-se entre si,independentemente de sua pro-cedência ou do seu fabricante.Num sistema de telefonia celular,por exemplo, a interoperabilidadepermite que dois indivíduos quetenham aparelhos diversos e li-nhas telefônicas de operadorasdiversas possam conversar semproblemas. O mesmo princípio seaplica a uma infra-estrutura dechaves públicas, ou seja, “A” po-derá se comunicar eletronica-mente com “B”, ainda que os seuscertificados digitais e os equi-pamentos que utilizem para criare verificar assinaturas digitais não

Palavras-chave: interoperabilidade; infra-estrutura (de chaves públicas).

40 FonteFonte

sejam fornecidos pelo mesmo for-necedor (aqui incluídos a respec-tiva autoridade certificadora emis-sora do certificado digital e os for-necedores de hardware e sof-tware utilizados para criar e veri-ficar assinaturas).

2. Infra-Estrutura e ICP-Brasil

Não raro, os debates sobre ostemas atinentes às assinaturas ecertificados digitais fecham osolhos para uma característica fun-damental de uma infra-estruturade chaves públicas (ICP), qualseja, a de que, antes de tudo, epor mais pleonástico e óbvio quepossa soar, uma ICP é uma infra-estrutura1 . E por ser uma infra-estrutura é que a interope-rabilidade lhe é ínsita. Portanto,seja qual for a infra-estrutura (deenergia elétrica, de saneamentobásico, de ferrovias, de telefoniafixa, de telefonia móvel, de cha-ves públicas, etc.), a palavrainteroperabilidade, no mais dasvezes, estará presente e dela seráum atributo indispensável, sem-pre que o serviço fornecido tiverpor escopo atingir a coletividade.

Insistindo no ponto, uma infra-estrutura de chaves públicas temo mesmo princípio de qualqueroutra instalação estrutural postaà disposição da sociedade, qualseja o de prover um serviço quepode ser obtido por qualquer in-teressado. Como é sabido, o ter-mo infra-estrutura de chaves pú-blicas é tradução da expressão dalíngua inglesa: public-key infras-tructure (PKI). Os norte-america-nos bem souberam esclarecê-la,partindo, primeiramente, da pró-pria definição da palavra infra-estrutura. Carl i s le Adams Car l i s le Adams eSteve LloydSteve Lloyd, na obra Under-standing Public-Key Infras-tructure2 enfatizaram que umainfra-estrutura se caracteriza por

ser uma pervasive substrate, ouseja, uma fundação que dissemi-ne algo para um amplo ambien-te ou para um grande universo deinteressados. Salientam que duasinfra-estruturas comuns são a decomunicações eletrônicas e a deenergia elétrica. Asseveram que oprincípio de ambas é idêntico: ainfra-estrutura existe para quequalquer usuário possa sim-plesmente acoplar-se a ela e delafazer uso quando necessário.

A infra-estrutura uniforme evitaque sejam aplicadas soluçõesdíspares por cada entidade.

Quanto a esse ponto, é eluci-dativa a explicação de Adams Adams eLloydLloyd: “The pervasive securityinfrastructure is fundamentallythe sensible architecture formany environments. Thisarchitecture avoids piecemeal,point-to-point, ad hoc, non-interoperable solutions, therebyintroducing the possibility ofmanageable, consistent securityacross multiple applications andcomputing platforms. It is notdifficult to imagine the chaos thatwould result from every pair ofcommunicants running their owncommunications lines, or fromevery person running his/herown power generator at his/herown arbitrarily chosen voltageand current. Many facets of bothancient and modern societydemonstrate that the uniformityand convenience offered by awell-designed, well-defined,pervasive infrastructure is worththe effort involved in the designand definition stages”3 .

Atente-se bem à observação con-tida no texto citado: uma infra-estrutura de segurança dissemi-nada, uniforme, evita soluçõesdíspares, isoladas, não intero-peráveis. O exemplo fornecido do

caos que resultaria do fato decada indivíduo operar as suaspróprias linhas de comunicaçãoou de geração de energia éemblemático.

Daí, no meu entender, o acerto daposição adotada pelo Brasil noque toca ao modelo de infra-es-trutura de chaves públicas esco-lhido por meio da Medida Provi-sória nº 2.200 e regulações pos-teriores. Sem proibir que o mer-cado (aqui entendido como oconjunto dos agentes não esta-tais) implante soluções4 que po-dem vir a ser díspares no sentidode não direcionadas à coletivida-de, decidiu-se por fundar umaespinha dorsal normativa co-mum, um tronco ou, mais preci-samente, uma árvore invertida(inverted tree)5 , situando no topo(na raiz da árvore invertida) umaentidade de direito público, aautarquia federal Instituto Nacio-nal de Tecnologia da Informação– ITI, com as atribuições princi-pais de auditar, credenciar e fis-calizar as autoridades certifica-doras, autoridades de registro eprestadores de serviços de supor-te que integram a ICP-Brasil.

O modelo adotado pelo Brasil éidêntico ao alemão6 . Lá, uma divi-são do órgão regulador Regu-lierungsbehörde für Telekom-munikation und Post (Reg-TP),com natureza de direito público evinculada ao Ministério da Eco-nomia e Tecnologia, desempenhao mesmo papel que o InstitutoNacional de Tecnologia da Infor-mação, ou seja, credencia, fisca-liza e emite certificados digitaispara os prestadores de serviçosde certificação (Zertifizie-rungsdiensteanbieter) do primei-ro nível hierárquico da cadeia. Atéo presente momento, vinte e trêsZertifizierungsdiensteanbieter jáobtiveram credenciamento pe-

FonteFonte 41

rante a RegTP. Entre os creden-ciados, encontram-se os correios(Deutsche Post), diversas empre-sas, as entidades de classe dosadvogados, as representações deconsultores fiscais7 .

Curiosamente, há que se ressal-tar que nos Estados Unidos daAmérica o desenvolvimento e aexpansão das infra-estruturas dechaves públicas se deu de formabastante desorganizada, de sor-te que hoje em dia são diver-sas as ICPs em funcionamentonaquele país, com base tanto eminiciativas governamentais quan-to em iniciativas privadas.

As razões desse fenômeno sãodiversas, sendo que um dos mo-tivos principais é o fato de que aautonomia dos estados federadosfez com que cada unidade da fe-deração editasse a sua própria leisobre assinaturas digitais e ma-térias afins, sem que houvesseuma harmonia principiológicapermeando esses diplomas.

Todavia, cientes de que “PKI is nogood if you are only talking toyourself”8 , os norte-americanoshá alguns anos promoveram ainiciativa do projeto Federal Brid-ge Certification Authority, quetem por escopo fundamentalviabilizar a intercomunicação en-tre os titulares de pares de cha-ves cujos respectivos certificadossejam provenientes de auto-ridades certificadoras diversas.Em que pese os esforços, os pró-prios envolvidos no projeto têmreconhecido que a iniciativa setransformou numa “empreitadaque tem sido marcada pelo lentoprogresso”9 .

Daí a razão de ser mais racionale de resultados certamente me-lhores à implementação, desde oprincípio, de uma ICP nacional.

Outro aspecto é que, havendouma ICP mais abrangente, comosão a brasileira e a alemã, torna-se bem mais viável e atraente acelebração de acordos interna-cionais de reconhecimento recí-proco de certificados digitais, oque possibilitará transações ele-trônicas internacionais mais segu-ras, entre empresas e entre con-sumidores e empresas10 .

No Brasil, as normas a seremcumpridas e observadas pelo ITIe por todas as entidades integran-tes da ICP-Brasil são deliberadaspelo Comitê Gestor, que tem naComissão Técnica Executiva(COTEC) o seu braço técnico eórgão consultivo que examina to-das as proposições a serem apre-ciadas11 .

Dos estudos da COTEC, e dascontribuições advindas da consul-ta pública realizada em 2001, éque se originaram os documen-tos básicos da ICP-Brasil, poste-riormente aprovados pelo Comi-tê Gestor. Até o momento, jáforam deliberadas cerca de trintaresoluções, mas aquelas que po-deriam ser consideradas o núcleoduro normativo são as Resoluçõesde nºs 1, 2, 7 e 8 (respectivamen-te, Declaração de Práticas deCertificação da AC Raiz, Políticade Segurança da ICP-Brasil, Re-quisitos mínimos para as Políticasde Certificados e Requisitos míni-mos para as Declarações de Prá-ticas de Certificação).

3. Interoperabilidade e ICP-Brasil: interoperabilidadeobjetiva e interoperabilidadesubjetiva

Este conjunto de resoluções e aMedida Provisória nº 2.200-2contém a base técnica e jurídicada infra-estrutura, e tem comoum dos escopos principais garan-

tir a interoperabilidade na utiliza-ção dos serviços relacionados àcertificação digital, a partir doestabelecimento de padrões12 . Ea idéia que influenciou a criaçãoda ICP-Brasil foi justamente a deconstituir uma infra-estruturapara a coletividade13 , para todaa sociedade, tornando mais faci-litada a comunicação entre os ti-tulares de certificados digitais.Evidente que nem tudo está feito,pelo contrário, a implementaçãodas assinaturas digitais certamen-te trará dificuldades e problemase mostrará que há muito por fa-zer para que efetivamente se atinjaa desejada interoperabilidade,que deve ser encarada como umdesafio, algo em constante cons-trução, e não como algo prontoe acabado, que tenha se esgota-do com a simples edição do con-junto normativo mencionado.

E um desses desafios é o relativoà compatibilidade dos cartões in-teligentes, leitoras e softwares.Esse ponto é fundamental. Háque se padronizar esses instru-mentos, a fim de que, na prática,se tenha a possibilidade de assi-nar digitalmente, bem como veri-ficar as assinaturas digitais a par-tir de qualquer equipamento. Porisso, há que se louvar a iniciativado Instituto Nacional deTecnologia da Informação emconstituir, por meio da Portaria nº33, de 8 de abril de 2003, grupode trabalho “para o estudo depadrões com especificações mí-nimas para o uso de hardwares esoftwares na Infra-Estrutura deChaves Públicas Brasileira – ICP-Brasil”, que redigirá “minuta deresolução que será submetida aoComitê Gestor da ICP-Brasil” eque tem como uma das finalida-des “colaborar na interoperabi-lidade desses dispositivos”14 .Realmente, este é um ponto es-sencial, mas não é só a partir dele

42 FonteFonte

que se explica a interopera-bilidade, que, a meu juízo, nãotermina aí. O que se verifica éque, além dessa interoperabi-lidade, que eu proporia a deno-minação de interoperabilidadeoperacional, formal, técnica ouobjetiva, existe uma outrainteroperabilidade, que se pode-ria cunhar de interoperabilidadesubstancial ou subjetiva. Enquan-to que a primeira tem em mira aoperação em si, ou seja, a pró-pria criação da assinatura digitale a sua posterior verificação pelodestinatário do documento eletrô-nico, a segunda, a interoperabi-lidade subjetiva, vai um poucoalém, ela invoca um fundocomum principiológico de índolenormativa que faz com que osindivíduos envolvidos na comuni-cação ou transação eletrônica,seja como signatário, seja comorelying party, confiem na utiliza-ção do serviço, sentindo-se segu-ros não só aqui e agora, ou seja,no momento da utilização do cer-tificado digital, mas para trás epara frente, isto é, antes e depoisde efetuada a transação eletrôni-ca. A preocupação ora enfocadase dirige a aspectos outros, comoos relativos aos critérios observa-dos para identificar os titulares decertificados, à forma de geraçãodo par de chaves criptográficas,direitos e obrigações das partes(deveres de indenizar, de contra-tação de seguro, etc.) e muitosoutros que sustentam e regulama operação técnica da utilizaçãoda assinatura digital.

O que se quer dizer com isso éque não basta que os dispositi-vos de criação e de verificação dasassinaturas funcionem aqui e ago-ra. Da mesma forma, não bastaque todos os indivíduos envolvi-dos na transação ou na comuni-cação utilizem o padrão do for-mato do certificado X.509. Pre-

tender que a interoperabilidade seresolva apenas a partir da utiliza-ção disseminada do padrãoX.509 é, sem dúvida, analisar oproblema de forma bastante su-perficial e com total desconheci-mento da magnitude envolvidanessa questão.

Por isso, dentre outras coisas, éimportante que se tenha confian-ça de que aquele indivíduo queassinou digitalmente foi correta-mente identificado pela autorida-de de registro. Assim, Pedro de-verá ser realmente Pedro, e nãoJoão. Aqui, portanto, vai um pri-meiro princípio, de suma impor-tância, que é o da identificaçãodo indivíduo mediante a sua pre-sença física15 , no sentido de ten-tar evitar, o máximo possível, asfraudes.

Outra norma importantíssima éa da geração do par de chavespelo próprio titular do certificado,que tem por evidente finalidadeevitar a alegação de rejeição daautoria de determinado docu-mento eletrônico pelo titular docertificado, alcançando-se,assim, o denominado não-repú-dio16 . Poder-se-ia citar também asnormas referentes ao tempo limi-te para revogação dos certifica-dos e a freqüência de emissão daLista de Certificados Revogados(LCR)17 .

Por outro lado, para que ainteroperabilidade efetivamente serealize, é preciso que as aplica-ções que requeiram a utilizaçãoda certificação digital não restrin-jam o acesso a certificado digitalespecífico, isto é, emitido por ape-nas uma das autoridades certi-ficadoras. Isso, evidentemente,para os casos de “aplicações vol-tadas para atendimento ao públi-co em geral, assim considerados,dentre outros, os consumidores,

os contribuintes, os cidadãos, osbeneficiários do sistema de saú-de, do FGTS, da seguridade soci-al (...)”18 . Essa norma tem forteconotação de proteção do con-sumidor, para evitar, na medidado possível e da razoabilidade,que para cada aplicação setenha que utilizar um certificadodigital diferente.

Sem a pretensão de fazer um elen-co exaustivo de todas essas re-gras que constituem esse fundoprincipiológico normativo co-mum, chama-se a atenção paraum outro ponto, pouco falado,mas de fundamental importância,que é o contido no item 6.3.1 daResolução nº 7 da ICP-Brasil, quese refere à obrigação das autori-dades certificadoras de armaze-nar, pelo prazo mínimo de 30anos, as chaves públicas dos ti-tulares de certificados digitais jáexpirados. Esse é um item essen-cial. Por meio da observânciadele, é possível que se verifique aassinatura digital muito tempo de-pois de ter sido assinado o docu-mento eletrônico, o que é de sumaimportância naqueles casos emque se fará necessária a sua pos-terior apresentação e conferên-cia. Esse prazo é mínimo, por ve-zes pode haver a necessidade deque as chaves públicas sejam ar-mazenadas por tempo aindamaior19 . O lapso temporal de 30anos é devido ao prazo máximoprescricional que poderia haverna legislação. Vale lembrar que,na Alemanha, o certificado deuma autoridade certificadoracredenciada é considerado im-prescindível, entre outros tantosaspectos, porque há esta obriga-ção de armazenamento das cha-ves públicas, que também é de 30anos a contar do primeiro dia doano seguinte ao da expiração docertificado digital20 . Para as enti-dades que não são creden-

FonteFonte 43

ciadas, a obrigação é de, no míni-mo, 5 anos21 .

Conforme referido, existe, na ICP-Brasil, um sem-número de outrosaspectos, tão ou mais importan-tes do que os alinhados, como aobrigatoriedade de contrataçãode seguro pelas autoridadescertificadoras, segurança dos dis-positivos de armazenamento dachave privada, segurança doambiente físico das autoridadescertificadoras, vedação do deno-minado key-escrow, proce-dimentos de auditoria e de fisca-lização, que acabam por consti-tuir esse fundo principiológicocomum, de índole normativa, eque geram, ou devem gerar, nosindivíduos integrantes da estrutu-ra e naqueles que utilizam ou con-ferem os certificados digitais, umsentimento de segurança, e, maisdo que isso, a confiança, que tal-vez seja a palavra-chave de umainfra-estrutura de chaves públicase que os alemães bem souberamutilizar ao qualificarem a sua, de-nominando-a de Kette desVertrauens (cadeia, ou rede daconfiança).É verdade que nem todos os indi-víduos, ao utilizarem o seu certifi-cado digital, estarão conscientesde todos esses aspectos, e tam-bém é verdade que fraudes e er-ros ocorrerão, pois nenhum sis-tema é de todo imune à falhas,mas o importante é que os usuá-rios tenham um mínimo de segu-rança e de discernimento de queo máximo foi feito para se evitarproblemas, e que se, porventura,algum venha a ocorrer, alguémserá responsabilizado, como nahipótese de uma autoridadecertificadora encerrar definitiva-mente as suas atividades, caso emque outra entidade deverá assu-mir as suas funções, pelo menosno que toca aos certificados digi-tais já emitidos22 . Oportuno des-

tacar aqui, também, a importân-cia de o Estado regular e fiscali-zar esse incipiente, mas promis-sor, mercado, haja vista que osconsumidores ainda não têm ummínimo de consciência acerca doque significa e do que não signifi-ca qualidade no que toca à pres-tação dos serviços de certificaçãodigital. Quanto a esse aspecto,recomendo expressamente a lei-tura da resposta número um dasFAQs, contida na página daRegulierungsbehörde für Teleko-mmunikation und Post23 , onde éfeito um preciso paralelo entre asexigências dos consumidores,motoristas de automóveis, de vintee cinco anos atrás, e as de hoje.

Assim, verifica-se que para haverinteroperabilidade não basta queo simples procedimento da assi-natura digital do momento, doaqui e do agora, funcione. É ne-cessário que todo o sistema tenhafuncionado satisfatoriamente des-de a primeira identificação do pri-meiro titular de certificado e quecontinue a funcionar, indefinida-mente, de forma razoável. Alémdisso, será muito difícil que se es-tabeleçam transações ou comu-nicações virtuais que demandemsegurança se as pessoas naturaisou jurídicas não estiverem regidase protegidas por um fundo prin-cipiológico comum que, além delhes impor deveres, lhes transmi-ta confiança na utilização domeio eletrônico. Em suma, é im-portante que os documentos bá-sicos das autoridades certifi-cadoras (as PC e DPC) conte-nham um mínimo de similarida-de quanto aos aspectos primor-diais dos serviços, a fim de queseja possível a “conversação”. Daía importância dessa “outra per-na” da interoperabilidade, queenfeixa todos os aspectos citados,que poderia ser chamada, paraefeitos ilustrativos, de interopera-

bilidade substancial ou subjetiva.

4. Conclusões

(a) a interoperabilidade é um atri-buto necessário de qualquer infra-estrutura que pretenda atingir acoletividade, e consiste, numaacepção geral, na capacidadeque têm os aparelhos ou equipa-mentos que fazem parte dessainfra-estrutura de comunicarem-se entre si, independentemente desua procedência ou do seu fabri-cante; assim como uma infra-es-trutura ferroviária necessita depadrões, uma infra-estrutura dechaves públicas também deveráestabelecer standards mínimos aserem observados pelos seus in-tegrantes;

(b) neste sentido, o modelo daICP-Brasil, previsto na MedidaProvisória nº 2.200-2, e que éidêntico ao adotado pela Ale-manha e outros países, deve serconsiderado razoável, uma vezque, com o estabelecimento deuma espinha dorsal normativacomum, resta bastante facilitadaa interoperabilidade;

(c) a noção de interoperabilidadeaplicada a uma infra-estrutura dechaves públicas não se esgota nosimples funcionamento da cria-ção da assinatura digital, numaponta, e de sua verificação naoutra; portanto, ao lado dessainteroperabilidade objetiva, for-mal ou operacional, há que sereferir à interoperabilidade subje-tiva ou substancial, que invocaum fundo principiológico comum,expressado nas normas e pa-drões, que conferem as necessá-rias confiança e segurança aosusuários dos serviços de certifi-cação digital;

(d) enfim, a interoperabilidade éalgo a ser permanentemente

44 FonteFonte

construído, um desafio constan-te, que exige esforço de todos osenvolvidos. Há, como se sabe,muito a ser feito na ICP-Brasil. Porfim, eu chamaria a atenção paraum último ponto que exigiráregulação num futuro bem próxi-

mo e que, salvo meu desconheci-mento, pouco tem sido aborda-do no Brasil com vistas a sua in-serção na ICP-Brasil, que é oatinente à necessidade de se pro-ceder a reassinatura (aposição denova assinatura digital) nos do-

Notas1 A definição do vocábulo “infra-estrutura” do Dicionário Aurélio, no que toca à área de urbanismo, é a mais adequada à acepção ora enfocada, inverbis: “Numa cidade, o conjunto das instalações necessárias às atividades humanas, como rede de esgotos e de abastecimento de água, energiaelétrica, coleta de águas pluviais, rede telefônica e gás canalizado.” Vide Novo Aurélio Século XXI: o dicionário da língua portuguesa , AurélioBuarque de Holanda Ferreira. Rio de Janeiro: Nova Fronteira, 1999.2 Obra cujo subtítulo é Concepts, Standards, and Deployment Considerations. Indianapolis: New Riders, 1999. p. 27.3 Ob.cit. p.27-28.4 É o que se depreende do parágrafo segundo da Medida Provisória nº 2.200-2, de 24 de agosto de 2001: “O disposto nesta Medida Provisória nãoobsta a utilização de outro meio de comprovação de autoria e integridade de documentos em forma eletrônica, inclusive os que utilizemcertificados digitais não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto odocumento”.5 A comparação com a árvore invertida está na obra citada, página 134.6 Pelo que se tem notícia, além de Brasil e Alemanha (www.regtp.de), Coréia do Sul (www.rootca.or.kr), Índia (www.cca.gov.in), Áustria (www.rtr.at),México e Japão apresentam o mesmo modelo hierárquico com uma entidade de direito público desempenhando o papel de Autoridade CertificadoraRaiz. Quanto ao Japão e sua forte inspiração alemã, vide “Japanische Signaturgesetzgebung – Auf dem Weg zu „e-Japan”. Artigo deautoria de Alexander Roânagel e T. Yonemaru, Revista Multimedia und Recht, nº 5, volume 12, p. 798 – 806.7 Conferir em www. regtp.de8 São as exatas palavras proferidas por Peter Alterman, diretor de operações do escritório de pesquisa extra-mural do Instituto Nacional de Saúdedos Estados Unidos da América. Declaração contida no artigo PKI at the crossroads, de autoria de Jennifer Jones, capturado, em http://www.fcw.com/fcw/articles/2002/0624/tec-pki-06-24-02.asp, no dia 04.07.2002.9 Idem anterior. O texto original diz o seguinte: “Years in the works, a federal effort to link the public-key infrastructures (PKIs) of agencies hasproved quite an undertaking and has been marked by that appears to be rather slow progress”.10 O art. 4º, inciso VII, da MP 2.200-2, determina que compete ao Comitê Gestor da ICP-Brasil “identificar e avaliar as políticas de ICP externas,negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional,certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais”. 11 Sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira e a Comissão Técnica Executiva, vide o Decreto nº 3.872, de18.07.2001. Sobre a necessidade de a COTEC manifestar-se previamente sobre todas as matérias a serem apreciadas pelo Comitê Gestor, vide art.4º, parágrafo terceiro, inciso I do aludido decreto.12 De maneira que foi absorvida e ampliada, pela ICP-Brasil, a iniciativa da ICP-Gov de que tratava o revogado Decreto nº 3.587, de 5.09.2000.13 Vide os considerandos da Portaria nº 33, de 08.04.2003.14 Esta exigência foi determinada no art. 7º da Medida Provisória nº 2.200-2 e reafirmada no item 3.1.9 da Resolução nº 7.15 Vide o parágrafo único do art. 6º da MP 2.200-2 e item 6.1.1 da Resolução nº 7. O não-repúdio é uma presunção relativa de que aquele que assinoudigitalmente, a princípio, estará vinculado à declaração de vontade manifestada. Por ser uma presunção relativa ou juris tantum , é possível a provaem contrário. Por exemplo, o suposto autor da manifestação de vontade poderá provar que foi coagido a assinar determinado documentoeletrônico, e, assim, fazer cessar a presunção de autoria. Todavia, tudo dependerá da análise do conjunto probatório, e se o caso chegar ao PoderJudiciário, o magistrado competente deverá investigar fatos como, se após cessada a coação, o coagido tomou as devidas cautelas para comunicarao destinatário da mensagem sobre o ocorrido, a fim de paralisar eventual execução contratual (comunicando até mesmo a necessidade derevogação do certificado perante a autoridade certificadora). Enfim, existem infinitas possibilidades de combinação de fatos que deverão seranalisados com prudência e cuidado pelo juiz.16 Estes procedimentos estão estabelecidos nos itens 4.4.3 a 4.4.9 (vide também anexo I), da Resolução nº 7.17 Como dispõe o item 1.3.4 da Resolução nº 7, que assim continua “(...), que aceitarem certificados de um determinado tipo previsto pela ICP-Brasil, devem aceitar todo e qualquer certificado de mesmo tipo, ou com requisitos de segurança mais rigorosos, emitidos por qualquer AC integranteda ICP-Brasil”.18 Casos de documentos eletrônicos que tenham de ser arquivados por prazos de tempo ainda maior. Por exemplo, caso os registros de imóveis e osofícios de registros civis venham a armazenar os seus registros de forma eletrônica, o armazenamento das chaves públicas certamente deverá serpor prazo indeterminado.19 Quanto a este aspecto, vide o item 2 do parágrafo quarto do Decreto de Assinatura alemão, de 16.11.2002, o denominado Signaturverordnung.Na doutrina alemã, quanto a este aspecto e quanto à valorização e à indispensabilidade do certificado digital fornecido por autoridadecertificadora credenciada perante a Regulierungsbehörde für Telekkomunikation umd Post , vide Alexander Roânagel, no artigo Recht l i cheRecht l i cheUnterschiede von SignaturverfahrenUnterschiede von Signaturverfahren , publicado na Revista Multimedia und Recht, nº 4, 2002, p. 215-222.20 Vide o item 1 do parágrafo quarto da Signaturverordnung.21 Daí ser de extrema importância o disposto no parágrafo 3º do art. 11 do Projeto de Lei nº 7.316/2002, uma vez que dispõe que, em último caso,a própria AC Raiz, como a âncora de confiança do sistema, acaba por assumir os documentos relativos aos certificados já emitidos por entidade quevenha a encerrar as suas atividades.22 www.regtp.de23 Tradução livre que fiz de trecho do excelente artigo de Ralf Brandner, Ulrich Pordesch, Alexander Roânagel e Joachim Schachermayer, sob o títuloLangzei ts icherung Quali f iz ier ter Elektronischer SignaturenLangzei ts icherung Quali f iz ier ter Elektronischer Signaturen (A proteção duradoura das assinaturas eletrônicas qualificadas), que versaespecificamente sobre o tema, publicado na Revista DuD – Datens-chutz und Datensicherheit, nº 2/2002, p. 97-103.

cumentos eletrônicos que neces-sitam arquivamento por longoperíodo de tempo, tendo em vistaque “os procedimentos decriptografia podem perder, aolongo dos anos, seus atributos desegurança”24 .

FonteFonte 45

A privacidade na ICP-Brasil

Alexandre Rodrigues AthenienseAdvogado. Sócio da Aristóteles Atheniense Advogados S/C.Coordenador do Curso de atualização de Direito na Informática naPUC Minas Virtual. Presidente da Comissão de Informática doConselho Federal da Ordem dos Advogados do Brasil. Presidenteda Comissão de Informática da Seccional de Minas Gerais da Ordemdos Advogados do Brasil. Vice-presidente jurídico da Sucesu-MG.

O artigo apresenta a delimitação do conceito de privacida-de, assim entendido pela doutrina clássica do Direito. Pro-cede-se, então, a uma análise da tutela constitucional daintimidade e da vida privada. Clarifica-se, para fins mera-mente didáticos, a distinção existente entre os termos ”inti-midade“ e ”vida privada“. São traçadas algumas linhas arespeito da ideologia da infra-estrutura de chaves públi-cas, implementada pela Medida Provisória n° 2.200-2, ana-lisando a doutrina nacional a seu respeito. Parte-se, assim,para as críticas a serem feitas em relação à instituição deum certificado único para os usuários e à possibilidade dese realizar análise de tráfego dos certificados revogadospelas autoridades certificadoras.

RESUMO

Palavra-chave: privacidade (na ICP-Brasil).

1. O conceito do direito à privacidade

O direito à privacidade tem con-sistido em objeto de estudo deinúmeros juristas ao longo dosanos. No entanto, revela-se, emcerta medida, ingrata, a difícil ta-refa a que alguns se propunhamde delimitar sua abrangência navida social.

Cumpre esclarecer, portanto, an-tes de adentrarmos à análiseconceitual desse direito, a própriaetimologia da palavra, que deri-va do termo latino privatus, e que,

segundo SAMPAIO (1998)1, sig-nifica fora do Estado, pertencen-te à pessoa ou ao indivíduo mes-mo.

É assim que podemos conceituara privacidade como uma faculda-de inerente a todo e qualquer in-divíduo de manter fora do alcan-ce de terceiros o conhecimentosobre fatos inerentes a sua pró-pria pessoa ou atividades particu-lares.

É o direito à privacidade, destarte,um direito eminentemente subje-tivo, delimitado pela própria

cognição do indivíduo. Nesse sen-tido, assinalou a melhor doutrinanorte-americana ao decidir, nocaso Katz vs. United States, queo direito à privacidade do indiví-duo não se estenderia apenas àsua casa e documentos, mas tam-bém a qualquer lugar no qual elepudesse ter razoável expectativade privacidade.A privacidade concebida em seusentido lato ainda pode ser enten-dida como “o conjunto de infor-mação acerca do indivíduo queele pode decidir manter sob seuexclusivo controle, ou comunicar,decidindo a quem, quando, ondee em que condições, sem a issopoder ser legalmente sujeito ”( SIL-VA, 2001)2.

O direito à privacidade é, dessamaneira, excepcional, na medidaem que consiste num direito ne-gativo, ou seja, expresso exata-mente pela não-exposição a co-nhecimento de terceiro de ele-mentos particulares da esfera re-servada do titular (BITTAR,2001)3. Mera espécie do direitoà privacidade é o direito à auto-determinação informativa, cria-ção da doutrina espanhola, e co-mentado por COSTA (2001)4:“Passados pouco mais de 100anos daquela publicação, vive-mos hoje também a necessidadeda criação de um novo direito docidadão, curiosamente nascidodaquele direito à privacidade, queacabou consagrado no últimoséculo, fundado nas mesmas ra-zões do desenvolvimento tecnoló-gico e de métodos comerciais,


P R O D E M G E

46 FonteFonte

agora por causa da informáticae da telemática, e pautado naque-la mesma expressão singela, masmarcante, de que nos deixem empaz, direito esse que se constituina proteção do cidadão em facedo tratamento automatizado deseus dados (...)”.

No entanto, decerto que a abran-gência desse direito não é incon-dicional. GODOY (2002)5, citan-do CALDAS, nos lembra que: “(...)a vida privada do indivíduo apre-sente, necessariamente, uma facepública, consubstanciada nascontingências da vida de relações,da vida profissional de alguém, desua obrigatória exposição, (...)essa exposição será maior, a limi-tar a privacidade, de acordo coma atividade da pessoa (...)”.

Assim é que podemos concluirque o direito à privacidade serátanto menor quanto maior seja anotoriedade ou publicidade doindivíduo, estando certos de quea liberdade de imprensa tambémé um direito resguardado pelanossa Constituição.

2. A proteção constitucionalda intimidade e da vidaprivada

A Constituição Federal consa-grou, em seu artigo 5°, inciso X,que são invioláveis a intimidade,a vida privada, a honra e a ima-gem das pessoas, assegurado odireito a indenização pelo danomaterial ou moral decorrente desua violação.

Não obstante, temos a privacida-de como valor constitucionalinserto no seleto rol de direitos egarantias fundamentais da pes-soa humana, sem os quais nãose poderia assegurar uma convi-vência digna e igualitária do teci-do social. Nesse particular, vale a

ressalva do art. 60, §4° da LeiMagna que erigiu tal garantia àcondição de cláusula pétrea.

Custosa é a distinção doutrináriaao analisar a disparidade entre ostermos intimidade e vida privada,insculpidos no rol de garantiasindividuais de nossa Carta Mag-na. A doutrina converge, confor-me assinala GODOY (2002)6, nosentido de que, quando se pro-cura diferenciar vida privada e in-timidade do indivíduo, estabelece-se, entre os conceitos, verdadeirarelação de gênero e espécie.

E continua, agora citando SERRA-NO: “(...) privacidade qualificada,na qual se resguarda a vida indi-vidual de intromissões da própriavida privada, reconhecendo-seque não só o poder público ou asociedade podem interferir navida individual, mas a própria vidaem família, por vezes, pode vir aviolar um espaço que o titulardeseja manter impenetrável mes-mo aos mais próximos, que com-partilham consigo a vida cotidia-na”.

Em que pesem os argumentos deCASTRO (2002)7 e SZANIAWSKI(1993)8, entendemos ser meradedução lógica o entendimentode que a intimidade consiste emuma vertente do direito à vida pri-vada, estando ambos previstos nobojo da Norma Constitucional emrazão de má-técnica legiferante.

De acordo com o iter até aqui tra-çado, resta claro que a privaci-dade há de ser assegurada inde-pendentemente do meio escolhi-do para a prática de quaisqueratos jurídicos, inclusive o eletrô-nico, ora objeto desta análise.

Nesse ínterim, não podemos en-tender a privacidade como odireito de estar só, há anos

conclamado pela doutrina anglo-saxônica, mas, sim, como um di-reito de manter-se, e à sua pro-priedade, fora do controle de ter-ceiros, o que englobaria, neces-sariamente, o liame residual com-petente a cada indivíduo de im-pedir o acesso e a divulgação deinformações sobre sua vida pri-vada.

3. O direito à privacidade esua tutela jurídica

O desenvolvimento de sistemasinformáticos tem feito com que abusca pela tutela jurídica efetivados direitos da personalidade sejaposta em evidência. Assim, pode-mos notar uma tendência àdisciplinação desses direitos emalguns códigos modernos, taisquais o italiano (artigos 5 a 10) eo português (artigos 70 a 81).

BITTAR (2001) assinala que incur-sões na vida privada, especial-mente ditadas pela evolução datecnologia e das comunicações,têm exigido o reconhecimentoexpresso desses direitos e a suaregulamentação, para garantir-lhes proteção no âmbito privado.

No Código Civil Brasileiro de2002, deixou, o legislador, de tra-tar do direito à intimidade de for-ma precisa, limitando-se a esta-belecer, em seu artigo 21, que avida privada é inviolável, e o juiz,a requerimento do interessado,adotará as providências necessá-rias para impedir ou fazer cessarato contrário a esta norma.

A privacidade dos indivíduos éresguardada, portanto, não sóem relação a fatos inerentes à suavida privada, profissional e fami-liar, mas, também, em relação àssuas informações pessoais. Talqual é a importância dessa pro-teção, que o Código de Defesa

FonteFonte 47

do Consumidor tutelou, em seuartigo 13, incisos X a XV, algumascondutas consideradas ilícitas emrelação à manipulação de infor-mações dos consumidores, quaissejam: impedir ou dificultar oacesso gratuito do consumidor ainformações em cadastros, fichasou registros de dados pessoais(...); elaborar cadastros de con-sumo com dados irreais ou im-precisos; deixar de comunicarao consumidor, no prazo de cin-co dias, as correções cadastraispor ele solicitadas; etc.

Não obstante a tutela jurídica dasinformações no âmbito privado,previu, a Constituição Federal,ação mandamental destinada àciência de informações contidasem bancos de dados pertencen-tes a entidades públicas ou de ca-ráter público, o habeas data.

Assim sendo, em se tratando deentidade ligada à AdministraçãoPública, compete ao indivíduo uminstrumento processual adequa-do como garantia dos direitosprevistos no artigo 5°, inciso X(supracitado), XXXIII (direito a re-ceber dos órgãos públicos infor-mações de seu interesse particu-lar) e XXXIV, “b” (obtenção de cer-tidões em repartições públicas,para defesa de direitos e esclare-cimentos de situações de interes-se pessoal).

Podemos notar, deste modo, quea tutela jurídica da vida privada,dada sua importância, encontraamplo respaldo seja na Constitui-ção Federal, seja em lei infra-constitucional.

4. A infra-estrutura de chavespúblicas

O desenvolvimento econômicoda internet certamente gera umademanda para que os negócios

ali realizados sejam acobertadospor um certo nível de segurançajurídica. Assim, surge a necessi-dade tanto da transmissão quan-to do conteúdo das informaçõesque trafegam na rede serem con-servadas fidedignas para que pos-sam servir de substrato tanto co-mo prova de uma relação ocorri-da quanto do convencimento domagistrado em uma eventual lide.

Dessa maneira, insurge-se falarsobre o papel de um terceiro, es-tranho à relação jurídica e por-tanto dotado de neutralidade, quedetém poderes bastante para au-tenticar a identidade dos usuá-rios e certificar a autenticidadetanto do conteúdo quanto datransmissão das informações emuma rede, a priori, insegura.

Tal qual é a opinião de BARRETO(2001)10:“O papel dos terceiros certifica-dores insere-se perfeitamente nes-sa lógica de proporcionar segu-rança nas transmissões de dadosvia internet, sem que haja contu-do ingerência no conteúdo de taistransmissões, bem como fornecerprovas irrefutáveis que possam seraceitas pelas partes em caso delitígio”.

Esse foi o espírito que motivou aedição da Medida Provisória2.200-2, de 24 de agosto de2001, que, dentre outros, insti-tuiu a Infra-estrutura de ChavesPúblicas no País.

De imediato, causa-nos estra-nheza que uma norma de tama-nho impacto social seja elabora-da por um ato do executivo, o quenão deveria ocorrer em uma de-mocracia representativa.

Em que pesem as críticas, insti-tuiu a referida MP, o arcabouçofundamental concernente à vali-

dade jurídica do documento ele-trônico. Através deste ato emana-do pelo Poder Executivo, adotou-se uma estrutura centralizada –vertical – para a expedição decertificados eletrônicos.

Essa estrutura vertical, por suavez, foi constituída sob a premis-sa de que um único certificadodigital emitido para o usuário fi-nal se prestaria à prática de to-dos os atos da vida civil, facilitan-do, assim, a interoperabilidadeentre os sistemas de certificação.

Com toda a venia às opiniõescontrárias, entendemos que aadoção de um certificado únicoem nada facilitaria a interope-rabilidade do sistema por abso-luta inexistência de nexo causalentre os fatos.

A simples exigência da obser-vância do credenciamento peran-te a AC-Raiz, por si só, represen-taria um risco social e um ônusinsuportável a cargo do indivíduo.

A interoperabilidade entre as au-toridades certificadoras é relacio-nada, sim, com o modelo decertificação adotado no mercado,tal como o X.509. BARRETO11 traza lume uma interessante ilustra-ção: “Esse modelo é freqüente-mente referido como o modelo docartão de crédito, na medida emque reflete o modelo comercial noqual a indústria do cartão de cré-dito se baseia. Na indústria docartão de crédito, o que faz ocomerciante aceitar o cartão decrédito apresentado pelo consu-midor como forma de pagamen-to é o fato de o cartão ter sidoemitido por um banco que eleconhece ou, ainda que o comer-ciante nunca tenha ouvido falardo banco que emitiu o cartão decrédito, esse banco terá sido cer-tificado por uma companhia de

48 FonteFonte

cartões de crédito (...).Do momento em que o comerci-ante conheça e confie na com-panhia de cartões de crédito, elepoderá confiar no banco e noconsumidor, e assim aceitar aque-le cartão de crédito como formade pagamento”.

E continua a referida autora: “Aabordagem hierárquica do pa-drão X.509 oferece algumas van-tagens, ao permitir que inúmeroscertificados se relacionem a umamesma raiz confiável”.

Mas o repúdio à estrutura do cer-tificado único não se dá única eexclusivamente em razão de suainteroperabilidade, mas pelaameaça da instituição de um nú-mero único para cada indivíduo.

4.1. A adoção do certificadoúnico

A implementação de um certifi-cado único envolveria a congre-gação de todas as informaçõesacerca do indivíduo em um mes-mo suporte, para se compatibi-lizar à ampla gama de serviçosoferecidos no meio eletrônico.Nesse diapasão, assevera SILVA12

que “o amplo sistema de informa-ções computadorizadas gera umprocesso de esquadrinhamentodas pessoas, que ficam com suaindividualidade inteiramentedevassada”2.

Cumpre lembrar que, no final de1995, a Comunidade Européiaeditou a diretiva 95/46 segundoa qual os “Estados Membros de-vem proteger os direitos e liberda-des fundamentais das pessoasnaturais, e em particular seu di-reito à privacidade em relação aoprocessamento de dados pes-soais”.

Além disso, a própria Constitui-

ção Portuguesa vedou expressa-mente a adoção de um númeroúnico exatamente por antever osefeitos que poderiam ser causa-dos pela prática deste ato, inverbis:

“Art. 35. “Art. 35. Utilização da infor-mática:5 – – É proibida a atribuição deum número nacional único aoscidadãos”.

Com efeito, a instituição de umcertificado único, como querimplementar e regulamentar oCG – ICPBrasil, acabaria porcomprometer a individualidade,intimidade e privacidade do cida-dão. Não se pode elidir tal garan-tia sob a pretensa alegação defacilidade na utilização. Ademais,a instituição de uma AC Raiz (ár-vore única) garante o monopóliodas informações por parte destainstituição, quando o mais segu-ro seria pulverizar as informa-ções sobre o indivíduo em várioscertificados, permitindo-se vári-as AC Raiz em um sistema flo-resta. A existência de uma únicaraiz é justificada pelo fato de per-mitir a interoperabilidade entreas ACs, entretanto, essa fami-gerada interoperabilidade podeser alcançada através da adoçãode padrões tecnológicos comuns(v.g. X.509).

A violação de um banco de da-dos contendo todas as informa-ções pessoais (que será a tônicaem um ambiente com certifica-do único) de um determinado in-divíduo representaria um riscosocial insuportável na medidaque sua vida privada poderia sercompleta e indevidamente devas-sada. A utilização de aparatosinformáticos facilita o tratamen-to da informação. Assim, estaviolação não atingiria somente oâmbito de relacionamento do in-

divíduo com o órgão em ques-tão, mas todo relacionamentodaquele com a sociedade. Bemassevera GRECO (2000)13 aoafirmar que: “numa sociedadecomplexa (...) o poder advém daposse de informações sobre pes-soas, eventos ou coisas3”.

A existência destes vários cadas-tros é, na verdade, uma garan-tia de que o indivíduo não terásua vida devassada na medidaem que dificulta o cruzamento detantas informações complexas.Essa é a principal razão pela quala instituição de um certificadoúnico foi rechaçada pelos paíseseuropeus.

4.2. A análise de tráfego

Outra questão controvertida emrelação a ICP-Brasil concerne àanálise de tráfego da consultados certificados revogados. Nautilização de um certificado digi-tal, a verificação da lista de cer-tificados revogados, mantidapela autoridade certificadora,poderia gerar, para diversos fins,um log, que em última análisepode fornecer algumas informa-ções sobre aquele usuário.

Apesar de não ser capaz deacessar o conteúdo da mensa-gem em razão da certificação di-gital, o simples fato de ter ciên-cia da comunicação seria capazde ameaçar a privacidade dosusuários, uma vez que muitas in-formações podem ser obtidasatravés da análise do perfil (in-tervalo de tempo, tamanho, da-tas e horários das mensagens)dessas mensagens. A violação daprivacidade do indivíduo poderiadar-se não pelo conhecimento doconteúdo que foi transmitido,mas de uma forma muito maissutil, através do conhecimento daexistência de comunicação

FonteFonte 49

entre as partes.Afirma o professor SCHNEIER14

que “often the patterns of com-munication are just as importantas the contents of communi-

cation” 4.Diante dessas considerações, rei-teramos a crítica no sentido denão privilegiar o avanço tecnoló-gico em detrimento dos direitos

1. SAMPAIO, José Adércio Leite, Direito a Intimidade e à Vida Privada, Belo Horizonte: Del Rey, 1998, p.342. SILVA, José Afonso da Silva, Curso de Direito Constitucional Positivo, 19ª ed., São Paulo: Malheiros, 1997, p.2093. BITTAR, Carlos Alberto, Os Direitos da Personalidade, 5ª ed. rev., atual., ampl. por Carlos Bianca Bittar. Rio de Janeiro: Forense, 2001, p.xx, p. xx, p. 1084. COSTA, Marcos da, Novos Ventos Digitais, disponível em: http://www.marcosdacosta.adv.br/documento.asp?ID_Documento=455 - acesso em:15/05/20035. GODOY, Cláudio Luiz Bueno de, A Liberdade de Imprensa e os Direitos da Personalidade. São Paulo: Atlas, 2001, p.47;6. Op. Cit. 5, p. 497. CASTRO, Mônica Neves Aguiar da Silva, Honra, Imagem, Vida Privada e Intimidade em Colisão com Outros Direitos. Biblioteca de Teses. Riode Janeiro: Renovar, 2002, p.328. SZANIAWSKI, Elimar, Direitos da Personalidade e sua Tutela . São Paulo: RT, 1993, p. 1329. Op. Cit. 3, p.3510. BARRETO, Ana Carolina, Assinaturas Eletrônicas e Certificação, In: ROCHA FILHO, Valdir de Oliveira (coord.), O Direito e a Internet, Riode Janeiro: Forense Universitária, 2002, p.4411. Op. Cit. 10, p.4812. Op. Cit. 2, p.21213. GRECO, Marco Aurélio, Internet e Direito , 2ª ed., rev. e aum., São Paulo: Dialética, 2000, p.19414. SCHNEIER, Bruce, Secrets & Lies Digital Security in a Networked World , Wilye Computer Publishing, 2000, p.34

Notas

e garantias fundamentais.E, ainda, compatibilizar a regu-lamentação da ICP Brasil com aideologia constitucionalmenteadotada.

50 FonteFonte

FonteFonte 51

Tudo que você deve saber sobrecertificação digital

Pesquisador em criptografia há mais de 20 anos e doutor na áreapela Universidade de Montreal, Canadá. Atualmente, trabalhacomo pesquisador na UFMG e atua como consultor autônomoatravés da sua empresa, a VDG-InfoSec.

No mundo convencional de papel, estamos acostumados àspropriedades de autenticidade, integridade e não-repúdiode documentos que, juntas, criam a fé indispensável paraquase todos os processos burocráticos. Para um mundo digi-tal (sem papel) dar certo, é necessário que essas proprie-dades continuem valendo. Este texto tenta explicar as no-ções básicas das novas tecnologias que estão surgindo paragarantir a fé de documentos no mundo digital: a assinaturadigital, o certificado digital e a infra-estrutura de chavespúblicas, entre outros.O texto tenta simplificar o máximo possível. No entanto, tam-bém não é desejável simplificar demais esse assunto com-plexo e fascinante; senão há o risco de perder a essência eenganar o leitor. Espero que minha tentativa contribua paraa compreensão desse assunto por um público maior.

RESUMO

1. Assinar um documentoconvencional

Todo mundo já assinou um do-cumento. A única observaçãoimportante é que cada assinatu-ra é igual (em teoria), e que a li-gação entre o texto do documen-to e a assinatura é o meio físicosubjacente: o papel.

2. Assinar um documentodigital

Uma assinatura digital é o resul-

tado de uma computação quetem duas entradas: um documen-to eletrônico e uma chave cripto-gráfica e secreta. A computaçãoembaralha todos os bits do do-cumento e da chave, resultandonuma seqüência de bits de tama-nho fixo (normalmente 1024 bits).Esta é a assinatura digital, que éanexada ao documento original.

Uma assinatura digital tem a se-guinte característica: sem acessoà chave secreta, é matematica-mente impossível calcular qual a

Jeroen van de Graaf seqüência de bits que constitui aassinatura digital. Claro, umforjador sempre pode “chutar”uma assinatura. Mas a probabili-dade de acertar corresponde aganhar a MegaSena 40 vezes se-guidas, um evento tão imprová-vel que, na prática, pode ser mes-mo desconsiderado.

Observe que a autenticidade e onão-repúdio do documento assi-nado digitalmente se baseiam noconhecimento da chave: quem édono da chave secreta é autor da-quele documento. Portanto, o si-gilo da chave é de suma impor-tância. A integridade do docu-mento se baseia numa outra ca-racterística do método da compu-tação: se um bit do documentooriginal for mudado, a assinatu-ra sai completamente diferente;então, adulterar um documentoassinado é impossível.

A assinatura digital se parecemuito com a assinatura de pu-nho, ou com o selo do mundo tra-dicional de papel. No primeiroexemplo, a chave secreta corres-ponde aos movimentos motoresdo assinante e, no segundo, é su-postamente impossível recriar (ouseja, forjar) o selo, com sua es-trutura fina de linhas, papel etinta especial, etc. Como no mun-do digital não há meio físico, aassinatura depende não apenasda chave, mas também do docu-mento. Obviamente, deve ser as-sim; senão seria muito fácil cor-


P R O D E M G E

52 FonteFonte

tar uma assinatura digital de umdocumento e colá-la embaixo deum outro.

3. Verificar uma assinaturaconvencional

Até agora, falamos apenas sobrecomo assinar documentos, masigualmente importante é como severifica uma assinatura. Para en-tender mais tarde a verificação nomundo digital, é importanterelembrar como isso funciona nomundo tradicional. São procedi-mentos tão cotidianos que é fácilse esquecer da sua importância.Para assinaturas de punho, é co-mum que um indivíduo se dirijapessoalmente a uma “autorida-de” (um banco, um cartório). Aautoridade confere a identidadeda pessoa e cria uma ficha comdados pessoais e outros dadosrelevantes, e com a assinaturadaquela pessoa. Em princípio,depois dessa visita, o indivíduonunca mais precisa voltar. Quan-do um terceiro mostrar à autori-dade um documento suposta-mente assinado por aquele indi-víduo, ela procura a ficha, com-para as duas imagens das assi-naturas e dá um veredicto: a as-sinatura é válida ou não. Comselos, a situação é um pouco di-ferente, eles são emitidos por ór-gãos que já têm autonomia, en-tão, não precisam de uma auto-ridade. Mas, nesse caso, tambémdevem existir modelos para queterceiros possam comparar.

4. Verificar uma assinaturadigital

No mundo digital, a verificaçãode uma assinatura é muito pare-cida, e em alguns pontos até maisflexível. Dada a chave secreta queé usada para assinar, é possívelcriar uma outra chave pública cor-respondente, que é usada na ve-

rificação da assinatura. Esse parde chaves tem uma característi-ca surpreendente: mesmo conhe-cendo a chave pública, é mate-maticamente impossível calculara chave secreta correspondente.Este modelo é conhecido comocriptografia com chaves públicas.É diferente da criptografia con-vencional descrita nos livros deespionagem: neles, a chave paracifrar e decifrar deve ser a mes-ma, e ela não pode ser pública.

No mundo convencional, a cha-ve secreta (também chamada dechave privada) corresponde aosmovimentos motores do indivíduo,enquanto a chave pública corres-ponde à imagem da assinaturano papel, um dado que é públi-co. E como no mundo conven-cional é necessário vincular a ima-gem da assinatura a uma identi-dade, é necessário que exista omesmo procedimento no mundodigital. O indivíduo se dirige a umaautoridade com a sua chave pú-blica (e talvez com outros docu-mentos comprovando sua identi-dade), a autoridade confere aidentidade da pessoa e cria umaficha com os dados pessoais e achave pública daquela pessoa.

Mas, em vez de guardar essa fi-cha no seu arquivo, a autoridadeassina-a e publica-a na internet!É esse documento, contendo umachave pública e os dados pesso-ais do seu dono, que é chamadoum certificado digital. Ou seja, ocertificado digital corresponde àficha do cartório, carimbada pelotabelião, publicada livremente.Um certificado digital não é sigi-loso; ao contrário, pode e deveser copiado e distribuído à vonta-de. A grande vantagem é quequalquer pessoa, em qualquerlugar no mundo com acesso àinternet, pode verificar aassinatura.

Em outras palavras, verificar umaassinatura digital é parecido comverificar uma assinatura conven-cional: têm-se o documento assi-nado e o certificado digital; o úl-timo contém a identidade do as-sinante e a sua chave pública. E,através de uma segunda compu-tação matemática, verifica-se seos dois conferem, ou seja, se achave secreta usada para assinaro documento corresponde à cha-ve pública no certificado.

5. Infra-estrutura de ChavesPúblicas (ICP)

Note bem como funciona a ca-deia de confiança no exemploanterior: a identidade do assinan-te é garantida pela autoridadeque emitiu (assinou) o certificadodigital, comumente chamadaAutoridade Certificadora (AC).Ou seja, é necessário que overificador conheça a chave pú-blica daquela AC para verificar seo certificado foi realmente assina-do por ela. É nesse ponto que ascoisas se complicam.

Como existem milhares de ban-cos e cartórios geograficamenteespalhados no Brasil e no mun-do, é claro que devem existir mi-lhares de ACs. Mas é inviável queum verificador conheça todas aschaves públicas dessas autorida-des. Portanto, por motivos deescalabilidade, existem “meta-autoridades”, que credenciam au-toridades intermediárias, que emi-tem certificados a indivíduos.O resultado é uma hierarquia deautoridades certificadoras: existeapenas uma AC-Raiz cujo únicopapel é emitir certificados parasuas AC-intermediárias. Elas, porsua vez, emitem certificados paraos indivíduos ou entidades perten-centes à hierarquia. Um sentidodo termo Infra-estrutura de Cha-ves Públicas (ICP) é essa hierar-

FonteFonte 53

quia (ou árvore) de certificação.Por exemplo, na ICP-Brasil háuma AC-Raiz e seis ACs-Interme-diárias de primeiro nível: a Presi-dência da República, a Serasa, aReceita Federal, o Serpro, a Cai-xa Econômica Federal e aCertiSign.

Aliás, existe um outro uso da si-gla ICP (PKI=Public Key Infras-tructure, em inglês), o que criabastante confusão. Como deve seróbvio, existe uma quantidadeenorme de padrões, software,hardware, procedimentos e docu-mentos para essa tecnologia fun-cionar. O termo Infra-estrutura deChaves Públicas (ICP), no senti-do amplo, é usado também parase referir a esse conjunto, àtecnologia em geral.

Felizmente, existe um padrão ado-tado mundialmente (PKIX-X.509)e existe software livre para cons-truir uma ICP (hierarquia). Porexemplo, o meu notebook contémum software para criar uma ICPfuncional. No entanto, esse pro-grama só serve para pesquisa,não é uma solução viável paragerenciar uma ICP com centenasde certificados. Mesmo assim, háuma implicação importante aqui:qualquer pessoa pode criar umaICP. A padaria na esquina, o Mi-nas Tênis Clube, a UFMG, o Es-tado de Minas Gerais, todo mun-do pode emitir certificados. En-tão, se não houver impedimentostécnicos para emitir certificados,qual é a credibilidade (o valor) deum certificado?

6. A credibilidade de certi-ficados

Nesse contexto, uma outra com-paração com o mundo tradicio-nal é muito interessante. Nossacarteira é cheia de documentos

que atestam nossas credenciais:carteira de identidade, carteira demotorista, cartões de crédito,carteirinha da biblioteca daUFMG, carteirinha da videolo-cadora, carteirinha de seguro desaúde, etc., etc. A credibilidadedessas não depende do docu-mento em si, mas da política dequem o emitiu. Por exemplo, acredibilidade de um cartãoAmerican Express Platinum é di-ferente da do cartão Carrefour.E a carteira de identidade temuma grande credibilidade paraterceiros, porque todo mundosabe que há um processo rigoro-so por trás para consegui-la, en-quanto a carteirinha davideolocadora não tem validadenenhuma porque todo mundoconsegue facilmente.

Com certificados digitais é igual:a sua credibilidade depende com-pletamente da política adotadapela autoridade certificadoraemissora. Por exemplo, existe umsite na internet que emite certifi-cados automaticamente, sem ve-rificação nenhuma e, portanto,sem credibilidade nenhuma, masmesmo assim é útil para testes.Existem empresas que emitem umcertificado a qualquer cidadãocom nome, CPF e título de elei-tor, após a verificação desses da-dos, cobrando uma taxa de 100reais anual. E para ser AC-in-termediária subordinada à AC-Raiz da ICP-Brasil é necessáriopagar centenas de milhares dereais como taxa (sem falar doscustos para montar uma sala-co-fre, que custa milhões, para guar-dar a chave privada). Lembre-seque, em todos os casos, estamosfalando de certificados que sãosimplesmente bits, nem possuemum holograma bonito. Repito, acredibilidade do certificado advémda credibilidade da AC.Aliás, introduzindo carteiras de

identidade, mudamos sutilmentede assunto. Em vez de discutir aassinatura digital, que provê au-tenticidade, integridade e não-re-púdio de documentos, estamosdiscutindo identificação: comoestabelecer a identidade de pes-soas. E, em muitas situações, elaé importante, porque associadaa ela estão privilégios e direitos,por exemplo, o direito de dirigirum carro. Ou seja, a identifica-ção leva a uma autorização. Atecnologia ICP serve tambémpara implementar a identificaçãoe autorização das pessoas nomundo digital.

Ainda por cima, a mesma tec-nologia também pode ser aplica-da para proteger o sigilo de do-cumentos e comunicações, mas,na maioria das situações, as or-ganizações não se preocupamcom o sigilo, e, sim, com a fé dosdocumentos e processos, ou seja,com as questões de autenticida-de, integridade e não-repúdio dedocumentos, e identificação depessoas.

7. O lado comercial dacertificação digital

O valor econômico dessa tec-nologia foi logo percebido nosanos oitenta, mas explodiu coma chegada da internet. Em parti-cular, o certificado digital é ummecanismo poderoso para esta-belecer uma identidade digital daspessoas. Como explicamos, eleserve para assinar documentos,e também para comprovar a iden-tidade. As maioria das empresasque atua nessa área ganha di-nheiro cobrando pela emissão decertificados. As empresas colo-cam um prazo de validade de umano, normalmente, garantindouma fonte de renda regular. Narealidade, muitas vezes elas dei-xam de explicar a seus clientes

54 FonteFonte

que criar uma própria ICP pode-ria ser uma opção interessante,dependendo das circunstâncias.

8. A ICP-Brasil

A ICP-Brasil foi uma iniciativa dogoverno anterior com a intençãode unificar a certificação digital noBrasil. Ela passa a impressão deque deve existir uma única ICP noBrasil, com ela ao topo. A própriapalavra “infra-estrutura” pode le-var o leigo a crer nisto, inconsci-entemente fazendo a analogiacom a rede elétrica num país. Po-rém, a analogia certa é com a te-lefonia celular: podem existir vá-rios operadores de telefonia celu-lar paralelamente.

Não é sempre preciso aderir àICP-Brasil para usar a certificaçãodigital, às vezes nem é aconselhá-vel. Primeiro, se uma organização(pública ou privada) quer emitircertificados para uso interno, elaobviamente tem o direito de fazê-lo. Qual é o ganho de aderir àICP-Brasil, cujas exigências de se-gurança são rígidas demais paramuitas organizações, e cujas ta-xas são altas? Segundo, há aquestão de autonomia: váriasorganizações não querem ounão podem se subordinar a umórgão do Poder ExecutivoFederal.

E terceiro, a Medida Provisória2200-2, que criou a ICP-Brasil,inclui um parágrafo (10.2) dizen-do que se duas partes concorda-rem em assinar documentosusando certificados emitidos poruma ICP que não pertence à ICP-Brasil, estes documentos têm va-lor jurídico.Ou seja, para uso interno, oupara partes que entram em acor-do, não há necessidade de usara ICP-Brasil.

9. ICPs alternativas

Por estes motivos, e por motivosde pesquisa e educação, as uni-versidades brasileiras, lideradaspela UFSC, a Unicamp e aUFMG, estão criando uma ICPindependente. Através de um pro-jeto da Rede Nacional de Desen-volvimento e Pesquisa (órgão depesquisa do MEC e MCT), elascriarão em 2005 a ICP-EDU,uma ICP no âmbito acadêmico,baseada em software livre. A OABjá criou sua própria ICP.

Então, é provável que coexistirãovárias ICPs; isto é inevitável. Pelamesma razão que todos nós te-mos uma grande variedade decarteiras, carteirinhas e cartões,refletindo nossas relações diver-sas com entidades públicas e pri-vadas, teremos vários certificadosdiferentes emitidos por ICPs dife-rentes. Se isso levar a confusão,uma solução seria padronizar aspolíticas das ICPs por lei, não aimposição de uma única ICP.

10. A questão da privacidade

Pessoalmente, não acredito quea idéia de unificar todos esses cer-tificados em um único, emitido pe-la ICP-Brasil, vá dar certo, porquecombinar todos as funcionalida-des requeridas por vários órgãospúblicos é muito complicado.

Aliás, seria o grande sonho doGrande Irmão, um certificadoúnico por cidadão: pode-serastrear a vida digital de uma pes-soa completamente. Essa questãoda privacidade fez vários paísesdesistirem de uma ICP nacional,mas no Brasil ninguém se parecepreocupado; ainda não vi nenhu-ma proposta lidando adequada-mente com esta questão.

11. Conclusão

Certificação digital é umatecnologia muito promissora, poisela permite implementar o não-repúdio e a identificação de pes-soas jurídicas e físicas no mundodigital. Mas é uma tecnologianova, e ainda há bastantes ques-tões tecnológicas, econômicas,jurídicas e políticas a serem resol-vidas.

Porém, o maior obstáculo é cul-tural: estamos todos apegados aomundo do papel. Uma prova dis-so é que a primeira imagem queentra em nossa mente quandopensamos na palavra “documen-to” é a do papel, e não as infor-mações escritas nele. Ou seja, omundo digital traz uma separa-ção de mídia e conteúdo que nomundo de papel não existia.Ainda mais forte: no caso de umaassinatura de punho, a ligaçãoentre o conteúdo e a assinatura éestabelecida através da mídia; opapel é apenas intermediador,porém essencial na questão daautenticidade e, portanto, da va-lidade jurídica.

Até que todo mundo se acostu-me ao documento eletrônico econfie na sua autenticidade, vailevar muitos anos, talvez décadas.É uma profunda mudança deparadigma.

FonteFonte 55

Certificação Digital -Uma Realidade em Minas

Engenheiro eletricista e analista de suporte de sistemas, graduadopela PUC-MG. Atua como assessor técnico da Diretoria de Tecnologiae Produção da Prodemge, tendo passado pela Gerência de Redes eSuperintendência de Produção. Participa atualmente do grupo detrabalho criado pelo governador para implantar a certificação digitalno âmbito do Estado de Minas Gerais.

O artigo dá uma visão global da necessidade do uso dacertificação digital nas instituições, tanto públicas como pri-vadas, especialmente devido ao uso crescente da internetem transações e relacionamentos entre empresas e cidadãos,buscando sempre garantir a Confidencialidade, Integrida-de e Disponibilidade das informações.Em seguida, é feita uma explicação sobre conceitos decriptografia, assinatura digital e certificação digital, mos-trando as principais aplicações já em uso no Brasil.O artigo é concluído com a posição da certificação digital noEstado de Minas Gerais, mostrando o que já foi feito e asaplicações já eleitas para utilizarem os benefícios destatecnologia nos órgãos e entidades estaduais, visando àagilização da máquina administrativa e à melhoria dos pro-cessos de relacionamento entre o Estado e o cidadão.

RESUMO

Raymundo Albino

Sérgio Daher

Palavras-chave: Certificação Digital (do Estado de Minas Gerais)

Com o crescente aumento de uti-lização da internet para o trâmitede documentos eletrônicos, veri-fica-se que as organizações, tan-to públicas como privadas, estãocada vez mais preocupadas coma segurança e legalidade dessesprocessos.Quanto à segurança no tráfego

e armazenamento de documen-tos eletrônicos, os aspectos quemais preocupam as organizaçõessão: sigilo, integridade, autentici-dade e não-repúdio. Quanto à le-galidade, as preocupações se vol-tam para a validade jurídica e for-ça probatória.Informações sigilosas são aque-

las que só podem ser acessadaspelo legítimo receptor do docu-mento. A integridade é a garantiade que o documento recebido nãoestá alterado ou fraudado. A au-tenticidade é a garantia de auto-ria do emissor ou aprovador dodocumento. O não-repúdio é aimpossibilidade do emissor negara realização da transação ou au-toria. Quanto à legalidade, umdocumento ou processo eletrôni-co terá validade jurídica quandoaceito como prova e forçaprobatória e quando não puderser impugnado em uma eventualcontestação. Hoje, a certificação digital, com-binando aspectos tecnológicos ejurídicos, possibilita tratar a segu-rança e legalidade de documen-tos e processos eletrônicos comgarantia de autenticidade, integri-dade, sigilo, não-repúdio e legali-dade. Cresce a cada dia o núme-ro de empresas e organizaçõesgovernamentais que, descobrindoas potencialidades da certificaçãodigital, passam a implementarsoluções baseadas nessatecnologia, aumentando a segu-rança de seus processos.

Criptografia

A inviolabilidade de informaçõessensíveis é uma preocupaçãoconstante da humanidade já hámuitos séculos.Inúmeros mecanismos decodificação de informações foram

Engenheiro eletricista e analista de suporte de sistemas, graduadopela PUC-MG. Atua como superintendente de Tecnologia e Suporteda Prodemge, já tendo exercido diversos cargos gerenciais naempresa. Participa do Grupo de Trabalho de Certificação Digital,instituído pelo Governo do Estado de Minas Gerais.


P R O D E M G E

56 FonteFonte

utilizados, com objetivo de redu-zir a possibilidade de que adver-sários obtivessem informaçõessecretas, através da captura dedocumentos em trânsito ou arqui-vados.

Historicamente, temos evidênciasda utilização de mecanismoscriptográficos remontando à Chi-na antiga. Como exemplo, mos-traremos a CIFRA DE CÉSAR, umpouco mais moderna, da épocaem que Júlio César governava oImpério Romano. Este método foiconcebido através da substituiçãoposicional do alfabeto, utilizandouma chave que marca o deslo-camento a ser adotado nacodificação da mensagem. A se-guir, mostramos um exemploonde é utilizada a chave 6, ouseja, cada letra do alfabeto damensagem original deverá sersubstituída pela letra que estiverna 6ª posição anterior, para for-mar a mensagem cifrada:

Junto ao desenvolvimento da hu-manidade, métodos cada vezmais sofisticados foram desenvol-vidos, sempre na disputa de umaverdadeira guerra: métodos maissofisticados de cifragem contramétodos cada vez mais aperfei-çoados de decifragem.

O desenvolvimento da informá-tica tem sido um grande aliadona guerra da criptografia, permi-tindo que sistemas extremamen-

te complexos de codificação pos-sam ser desenvolvidos, assimcomo mecanismos de decodi-ficação, também superpoderosos,possam ser concebidos eimplementados.

O objetivo é alcançar condiçõesonde mesmo os mais poderososcomputadores tenham chancesmínimas de decifragem de men-sagens em prazos em que méto-dos administrativos de seguran-ça possam ser implementados acustos razoáveis (troca sistemáti-ca de chaves).

O método mais eficaz conhecidoé o modelo de chave pública utili-zando exponenciação. Cada par-ticipante da estrutura possui umachave secreta e uma chave públi-ca. Assim sendo, uma mensagem,para ser enviada, é inicialmentecriptografada pela chave do re-ceptor, garantindo que só ele sejacapaz de decifrar a mensagem

através de sua chave secreta. Esteprocesso, utilizando uma chavede duzentos algarismos,despenderia 10 milhões de sécu-los de um computador capaz de1 milhão de multiplicações porsegundo para que o sigilo fossequebrado.

O método pode também ser utili-zado em sistemas de assinaturaeletrônica, quando, então, umdocumento poderá ser enviado

eletronicamente com garantia deorigem e destino.Apesar da transcrição anterior serdatada de 1992, quando foipublicada na revista comemora-tiva dos 25 anos da Prodemge,época ainda anterior à realidadeatual do mundo Web, demonstra-se atual nas técnicas da seguran-ça da informação.

O que ocorreu nos anos que seseguiram foi a massificação dasua utilização através das aplica-ções de comércio eletrônico, hojeutilizado por toda a comunidadeconectada à internet, seja para acompra de mercadorias e servi-ços, ou mesmo a consulta do sal-do de uma conta corrente ban-cária através da Web.

O estágio atual da utilização dastécnicas de criptografia no ambi-ente das transações eletrônicas seresume, na grande maioria dasaplicações, à garantia da auten-ticidade do destino a que seconecta o usuário, assegurando-lhe que a instituição, na qual umadeterminada transação está sen-do efetuada, seja aquela que elerealmente deseja e espera, preser-vando também o sigilo das comu-nicações trocadas durante o pro-cedimento.

O que nos avizinha é a identifica-ção inequívoca também do usu-ário dos sistemas de informação,obtida através de certificados di-gitais pessoais, seja de pessoasfísicas ou jurídicas, garantindo,desta forma, a impossibilidade dorepúdio da realização das tran-sações por elas originadas.

Tal realidade, em um futuro pró-ximo, trará garantias adicionais atoda a comunidade envolvidacom o mundo das transações ele-trônicas, destino inexorável detoda a civilização.

FonteFonte 57

Assinatura Digital

Logicamente, nos dias de hoje,cifras tão simples como a Cifrade César, e até mesmo aquelasmais complexas utilizadas antiga-mente, seriam facilmente quebra-das pelo uso de computadores,através de um método denomina-do “força-bruta”, onde são reali-zadas tentativas sucessivas até sechegar à chave desejada.

A criptografia moderna, essenci-al para a segurança de compu-tadores conectados em rede, es-pecialmente à internet, consisteem algoritmos complexos, de for-ma a dificultar ao máximo a açãode invasores.

As funções de criptografia aplica-

das aos computadores podem serdivididas em duas categorias:criptografia e autenticação.

Criptografia

O ato de criptografar, conformejá abordado e detalhado a seguir,se refere ao embaralhamento dasinformações de uma mensagem,de forma que alguém sem auto-rização não possa compre-endê-la.

Autenticação

Já a autenticação é o procedi-mento para verificação de auten-ticidade do emissor da mensa-gem. Para realizar uma autenti-cação, é necessário proteger amensagem de forma que ela não

seja modificada, o que é normal-mente feito através da incorpora-ção de uma assinatura digital.Tipicamente, uma assinatura éformada pela utilização de umafunção denominada hash,que consiste no cálculo ecodificação de um resumo damensagem completa, formandoum código de tamanho fixoque é cifrado e transmitido juntocom a mensagem original, garan-tindo a autenticidade da men-sagem.Podemos dividir as técnicas decriptografia em dois tipos básicos:Criptografia Simétrica ou de Cha-ve Privada, onde uma única cha-ve é utilizada para criptografar edecriptar, e CriptografiaAssimétrica ou de Chave Pública,onde é usado um par de chaves

O receptor da mensagem:

> escolhe dois números primos, p e q, calculando n=p*q;> determina ø(n) = (p-1)* (q-1);> escolhe o expoente de codificação, tal que 1 < e < ø(n) e mdc =( e, ø(n));> determina o expoente de decodificação, tal que 1 < d < ø(n) e ed = 1 (mod ø(n);> publica o par (n,e), que se diz a Chave Pública, mantendo secreto o par (n,d), a Chave Privada.

O emissor da mensagem:

> converte a mensagem no número inteiro M, 0< M < n, recorrendo a um “alfabeto digital”, por exemplo, A = 01, B = 02, C = 03, ..., Z = 26;> obtém a chave pública (n,e) do destinatário;> converte o número M no número C através da fórmula de codificação:C = Me (mod n), onde M representa a mensagem original e C a mensagem codificada;> envia a mensagem C, ao destinatário.


> determina o inteiro M’ usando a fórmula de decodificação M’ = Cd (mod n);> como M’ = M, recorre ao “alfabeto digital” e obtém a mensagem original.

Exemplo:Determinação das chaves

> Primos p=11 e q = 23; n = 11x 23 = 253, e ø(n) = (11 - 1)(23 - 1) = 10 x 22 = 220.> Como m.d.c (3,220) = 1, o expoente de codificação é e = 3.> Como 3d = 1 (mod 220) - d = 147, o expoente de codificação é d = 147. Assim, a chave pública é (253, 3) e a chave privada é (253, 147).

Codificação da mensagem SOL

> Recorrer-se a um “alfabeto digital”: M = 191512.> Como M > n = 253, divide-se M em blocos M1 = 19, M2 =15 e M3 = 12.> Usando a chave pública (253), efetua-se a codificação de cada um dos blocos:193 = 28 (mod 253), 153 = 86 (mod 253) e 123 = 210 (mod 253)> A mensagem codificada é C = 2886210.

Decodificação da mensagem

> Usando a chave privada, (253, 147), tem-se: 28147 = 19 (mod 253), 86147 = 15 (mod 253) e 210147 = 12 (mod 253)> Portanto, M’ = 191512 = M> Conhecido o número M, basta recorrer ao “alfabeto digital” para obtermos a mensagem inicial: SOL.

Sistema de Criptografia RSA

58 FonteFonte

relacionadas entre si, que são a chave pública e a chave privada. Astécnicas de criptografia simétricas mais conhecidas são a DES e a AES.O RSA é o algoritmo assimétrico mais conhecido.

No âmbito da certificação digital, a modalidade mais utilizada é a de-nominada híbrida, como o protocolo SSL, que utiliza a criptografiaassimétrica na inicialização de uma sessão Web, quando é trocadauma chave simétrica, tipo DES, que será utilizada no transcorrer dasessão já iniciada, até o seu término, quando então é descartada.

Tal procedimento visa a alcançar o máximo de segurança - porque achave simétrica é utilizada apenas uma vez, sendo que ela é geradadinamicamente, a cada sessão estabelecida - aliado ao mínimo deprocessamento necessário nos computadores envolvidos. Assim, oalgoritmo DES consome menos recursos computacionais quando com-parado ao algoritmo RSA utilizado na criptografia assimétrica, ou dechave pública.

Para realizar a assinatura de documentos, é necessária a utilização deum par de chaves, sendo que o emissor assina o documento com sua

chave privada, e o receptor de-verá possuir a chave pública doemissor para que possa ser com-provada a autenticidade do do-cumento.

Já no caso de emissão de docu-mento sigiloso criptografado, oprocedimento é o oposto, ou seja,o emissor deverá possuir a chavepública do receptor, de forma quesomente ele, ao receber o docu-mento, poderá decifrá-lo com asua chave privada.

No caso de documentos assina-dos e criptografados, deverãoser seguidos os dois procedimen-tos anteriormente citados em con-junto.

É importante salientar a diferen-ça entre assinatura digital(explicada acima) e assinaturaeletrônica, que pode ser, porexemplo, um e-mail transmitidoem claro, o qual não possui ga-rantia de autenticidade.

A geração de um par de chavesestá demonstrada no quadro dapágina ao lado.

Certificação Digital

A certificação digital é o procedi-mento que utiliza um arquivo ele-trônico que acompanha um do-cumento assinado de forma digi-tal, cujo conteúdo é criptogra-fado. Este documento é denomi-nado certificado digital e contéminformações que identificam apessoa e/ou computador comque se está tratando na rede. Umdocumento eletrônico que possuicertificação digital tem garantiade autenticidade de origem e au-toria, de integridade de conteú-do, de confidencialidade e de não-repúdio, ou seja, de que a tran-sação, depois de efetuada, nãopoderá ser negada pela parte que

* Criptografia Assimétrica ou de Chave PúblicaCriptografia Assimétrica ou de Chave Pública

Duas chaves: - chave públ ica, que é publ icada;Duas chaves: - chave públ ica, que é publ icada;

- chave privada, que é mantida secreta. - chave privada, que é mantida secreta.

Uma ún ica chaveUma ún ica chave

Tipos de Criptografia

* Criptografia Simétrica ou de chave secretaCriptografia Simétrica ou de chave secreta

FonteFonte 59

utilizou a certificação.

O certificado digital é umacredencial eletrônica definida deacordo com o padrão ITU-TX.509, e é emitido por uma Au-toridade Certificadora (terceiro deconfiança) que garante a identi-dade do portador / usuário deforma análoga a uma Carteira deIdentidade.

A Autoridade Certificadora - AC-e a Autoridade de Registro - AR-são entidades de confiança res-ponsáveis pela emissão dos certi-ficados, bem como pela manu-tenção de toda a estrutura vincu-lada à certificação digital dentrode seu âmbito de atuação. Den-tro da ICP-Brasil, as ACs e ARsestão credenciadas em uma es-trutura hierárquica, que tem umaChave Raiz responsável pela ge-ração das Chaves Secundárias,que por sua vez emitem os certifi-cados de usuários.

As aplicações de certificaçãodigital podem ser divididas emduas categorias que são acertificação pessoal e a certifi-cação de servidores.

> Certificação Pessoal

- A certificação pessoal refere-seaos certificados emitidos em nomede uma pessoa natural ou jurídi-ca, de forma a identificá-la ine-quivocamente, ou seja, a pessoa,ou o representante legal da enti-dade, associada àquela pessoajurídica.

Tais certificados são utilizados naassinatura de mensagens eletrô-nicas, bem como no relaciona-mento dessas pessoas com osaplicativos que exigem a identifi-cação segura de seus usuários.

> Certificação de Servidores

- A certificação de servidores sedestina à identificação de serviçosou grupos de serviços associadosa uma determinada URL primá-ria, Uniform Resource Locator,que é o identificador mundial dedocumentos e demais recursos nainternet, ou seja, todas as URLsderivadas de um determinadoendereço eletrônico de um servi-dor.

Este mecanismo garante que asinformações obtidas se originamverdadeiramente daquele endere-ço certificado, a exemplo dosbancos e demais aplicações querequerem segurança da informa-ção.São exemplos bem-sucedidos deutilização de certificação digital noBrasil:

- o e-CPF e o e-CNPJ na Secre-taria da Receita Federal, que pos-sibilitam o relacionamento segu-ro via internet dos contribuintescom a instituição para acesso deinformações não disponíveis deforma convencional;

- o processo de tramitação ele-trônica de documentos oficiais,que serão publicados no DiárioOficial da União, utilizado peloPresidente e seus ministros, quepossui um sistema que faz o con-trole do fluxo de forma automáti-ca, garantindo segurança, agili-dade e eficiência;

- o Sistema de Escrituração Fis-cal da Secretaria da Fazenda doEstado de Pernambuco, que obri-ga que os lançamentos de regis-tro de operações e prestações re-lativas ao ICMS sejam feitos atra-vés de arquivo eletrônico assina-do de forma digital, que incor-pora uma série de benefícios, taiscomo: entrega de vários docu-mentos em uma única remessa,redução drástica no volume de

erros de cálculo involuntário, eli-minação de múltiplas escritura-ções, redução de custos de escri-turação e armazenamento de li-vros fiscais, etc.;

- sistema de encaminhamento dePetições Eletrônicas no TRT-4 doRio Grande do Sul, agilizando otempo de cada processo de for-ma segura e econômica;

- o sistema PUBNet da ImprensaOficial de São Paulo, queautomatiza por completo todo ociclo de publicações na internetde forma segura e rápida, evitan-do-se congestionamentos telefô-nicos anteriormente registradoscom constância. Também foi pos-sível, através do uso dacertificação digital, a criação doe-diário oficial, que é o DiárioOficial em formato eletrônico.

Certificação Digital no Estadode Minas Gerais

Recentemente, a administraçãopública estadual identificou a ne-cessidade de automatizar deter-minados processos de tramitaçãode documentos em sua esfera,necessitando, portanto, de ferra-mentas capazes de, eletronica-mente, controlar o fluxo dos do-cumentos com segurança, garan-tia de autenticidade e autoria,bem como com garantia de sigi-lo em determinados processosprotegidos pela legislação em vi-gor.

Com base em tais requisitos, op-tou-se, como não poderia deixarde ser, por tecnologias envolven-do certificados digitais para pes-soas físicas e jurídicas, em suasinterações com o poder públicoestadual.

Foram consideradas as possibili-dades existentes no mercado

60 FonteFonte

como a criação de uma infra-es-trutura de chaves públicas (ICP)estadual, baseada em certifica-dos digitais próprios do Estado,bem como a sua adesão à ICP-Brasil.

Essa adesão foi decidida em fun-ção da garantia de validade jurí-dica nos relacionamentos eletrô-nicos conforme disposto no textoda Medida Provisória 2.200-2,bem como pelos fatores técnicosde segurança, já que a ICP-Brasilpossui regras rígidas paracredenciamento, com auditoriasregulares, aumentando, dessaforma, a credibilidade dos certifi-cados emitidos.

Avaliando-se as várias alternati-vas técnico-econômicas apresen-tadas, optou-se pela adesão doEstado à ICP-Brasil, por intermé-dio da contratação de uma auto-ridade certificadora de primeironível, ou seja, diretamente subor-dinada à raiz da ICP-Brasil, queterceirizaria as atividades relacio-nadas à infra-estrutura de segu-rança necessária ao desempenhodas funções relacionadas à emis-são dos certificados, bem comopela guarda da chave primária daAC estadual.

Através da instauração de umgrupo de trabalho específico paradeliberar sobre o assunto, ficoudeterminado que seria a Pro-demge a Autoridade Certifi-cadora do Estado.

Através de um processo licitatório,a Prodemge contratou a empre-sa Certisign como a provedorada infra-estrutura necessária.Cumpridas as determinações doITI, foi publicado o Despacho daentidade, reconhecendo formal-mente a Prodemge como Autori-dade Certificadora e Autoridadede Registro, dentro dos padrões

da ICP-Brasil.

Várias iniciativas estão em cursono Estado para a utilização decertificados digitais em aplicaçõesdo Governo de Minas Gerais,principalmente aquelas que pos-sibilitem a desburocratização dosprocedimentos usuais das empre-sas e cidadãos nos seus relacio-namentos com o Estado.

Podemos destacar, entre essasiniciativas, as seguintes:

- tramitação segura de documen-tos (Workflow) entre os diversossegmentos governamentais, ga-rantindo maior agilidade, segu-rança e redução de custos peladiminuição da burocracia;

- digitalização / Gestão Eletrôni-ca de Documentos da Junta Co-mercial do Estado de Minas Ge-rais, propiciando uma reduçãoexpressiva de documentos, au-mentando a segurança e reduzin-do o tempo de acesso às infor-mações armazenadas;

- registro eletrônico de alteraçõescontratuais via Web na JuntaComercial do Estado de MinasGerais, aumentando a seguran-ça, reduzindo o tempo de atendi-mento e a necessidade de deslo-camentos ao local;

- relacionamento seguro, atravésde certificados, da Secretaria daFazenda do Estado de MinasGerais com contribuintes deICMS, possibilitando o envio econsultas de informações de for-ma segura e identificada;

- relacionamento seguro de for-necedores do Estado, agilizandoos processos de compras e aqui-sições, em especial com a Secre-taria de Planejamento e Gestão,responsável por um volume sig-

nificativo de licitações;

- relacionamento seguro dosservidores estaduais com as diver-sas instituições, em especial coma Secretaria de Estado de Plane-jamento e Gestão e o Instituto dePrevidência Estadual, possibilitan-do maior agilidade no atendimen-to, com redução de custos devi-do a um maior controle;

- identificação segura dos usuá-rios de sistemas corporativoscomputadorizados, garantindosegurança e transparência nasatividades do Estado;

- comercialização segura de do-cumentos sob responsabilidadeda Imprensa Oficial do Estado deMinas Gerais;

- utilização de correio eletrônicocom assinatura por todos os ser-vidores estaduais.

As melhorias incorporadas, coma utilização da certificação digi-tal, nos diversos aplicativos exis-tentes ou em desenvolvimento noEstado de Minas Gerais adicio-narão celeridade aos diversos pro-cessos, bem como trarão aindamaior transparência às ações daadministração pública estadual.

Necessária. Cumpridas as deter-minações do ITI, foi publicado oDespacho da entidade, reconhe-cendo formalmente a Prodemgecomo Autoridade Certificadora eAutoridade de Registro, dentro dospadrões da ICP-Brasil.

FonteFonte 1









Nathan Lerman




Marcos Brafman













PATROCÍNIO


/ [email protected]










Um abraço,


2 FonteFonte














03

11

04

13

14

16

32

35

37

Sumário


FonteFonte 3

Este espaço é

destinado a acolher

as opiniões e

sugestões de

nossos leitores.


faça contato:

seu retorno é

fundamental para

que a


edição.



Interação

4 FonteFonte







Diálogo

FonteFonte 5














“Foram estudados

os modelos do

mundo e o go-

verno optou por

adotar o modelo

vigente na Comu-


6 FonteFonte
















FonteFonte 7













“Na verdade, a


não se dirige para

a grande massa de

operações comer-

ciais. É um engano

achar isso.”

8 FonteFonte




















FonteFonte 9













“Os documentos do

Qumran duraram 2


dos há 2 mil anos.

Não sabemos se

daqui a 500 anos

alguém vai ler um

disquete.”

10 FonteFonte











FonteFonte 11










“Os desconhece-

dores utilizam da

aplicação do me-

do, da incerteza e

da dúvida quanto


reção do processo

de Infra-estrutura

de Chaves Públi-


Evandro Oliveira

12 FonteFonte











Evandro Oliveira

“As empresas pri-

vadas e órgãos


se posicionando

de forma a esco-

lher onde estão

mais aptos e ade-

quados a atuar

com certificação

digital...”

FonteFonte 13







Renata Vilhena



Programa de Gover-


promovendo ações

para desenvolver um








14 FonteFonte














FonteFonte 15









“... boa parte da

ficção conta a


gações e, com uma

mensagem a ser

decifrada, já se

tem o principal da

história.”











16 FonteFonte






16

FÓRUM

FonteFonte 17







17

18 FonteFonte











18

FonteFonte 19






19

20 FonteFonte











20

FonteFonte 21






21

22 FonteFonte










Interoperabilidade


22

FonteFonte 23





23

24 FonteFonte


Chaves Públicas














24

FonteFonte 25






25

26 FonteFonte













26

FonteFonte 27






27

28 FonteFonte




28

FonteFonte 29




29

30 FonteFonte




30

FonteFonte 31











Saiba Mais








31

32 FonteFonte


Benchmarking







FonteFonte 33











34 FonteFonte


Como funciona




Projeto E-Doc



FonteFonte 35









José Eisenberg

36 FonteFonte











FonteFonte 37


P R O D E M G E

38 FonteFonte

FonteFonte 39


P R O D E M G E




RESUMO







40 FonteFonte












FonteFonte 41













42 FonteFonte









FonteFonte 43






4. Conclusões





44 FonteFonte





FonteFonte 45




RESUMO











P R O D E M G E

46 FonteFonte



















FonteFonte 47


















48 FonteFonte


















FonteFonte 49





Notas


50 FonteFonte

FonteFonte 51




RESUMO











P R O D E M G E

52 FonteFonte













FonteFonte 53












54 FonteFonte


8. A ICP-Brasil










11. Conclusão




FonteFonte 55




RESUMO

Raymundo Albino

Sérgio Daher





Criptografia




P R O D E M G E

56 FonteFonte















FonteFonte 57

Assinatura Digital





Criptografia


Autenticação
















58 FonteFonte


















FonteFonte 59





















60 FonteFonte






da ICP-Brasil.















FonteFonte 1









Nathan Lerman




Marcos Brafman













PATROCÍNIO


/ [email protected]










Um abraço,


2 FonteFonte














03

11

04

13

14

16

32

35

37

Sumário


FonteFonte 3

Este espaço é

destinado a acolher

as opiniões e

sugestões de

nossos leitores.


faça contato:

seu retorno é

fundamental para

que a


edição.



Interação

4 FonteFonte







Diálogo

FonteFonte 5














“Foram estudados

os modelos do

mundo e o go-

verno optou por

adotar o modelo

vigente na Comu-


6 FonteFonte
















FonteFonte 7













“Na verdade, a


não se dirige para

a grande massa de

operações comer-

ciais. É um engano

achar isso.”

8 FonteFonte




















FonteFonte 9













“Os documentos do

Qumran duraram 2


dos há 2 mil anos.

Não sabemos se

daqui a 500 anos

alguém vai ler um

disquete.”

10 FonteFonte











FonteFonte 11










“Os desconhece-

dores utilizam da

aplicação do me-

do, da incerteza e

da dúvida quanto


reção do processo

de Infra-estrutura

de Chaves Públi-


Evandro Oliveira

12 FonteFonte











Evandro Oliveira

“As empresas pri-

vadas e órgãos


se posicionando

de forma a esco-

lher onde estão

mais aptos e ade-

quados a atuar

com certificação

digital...”

FonteFonte 13







Renata Vilhena



Programa de Gover-


promovendo ações

para desenvolver um








14 FonteFonte














FonteFonte 15









“... boa parte da

ficção conta a


gações e, com uma

mensagem a ser

decifrada, já se

tem o principal da

história.”











16 FonteFonte






16

FÓRUM

FonteFonte 17







17

18 FonteFonte











18

FonteFonte 19






19

20 FonteFonte











20

FonteFonte 21






21

22 FonteFonte










Interoperabilidade


22

FonteFonte 23





23

24 FonteFonte


Chaves Públicas














24

FonteFonte 25






25

26 FonteFonte













26

FonteFonte 27






27

28 FonteFonte




28

FonteFonte 29




29

30 FonteFonte




30

FonteFonte 31











Saiba Mais








31

32 FonteFonte


Benchmarking







FonteFonte 33











34 FonteFonte


Como funciona




Projeto E-Doc



FonteFonte 35









José Eisenberg

36 FonteFonte











FonteFonte 37


P R O D E M G E

38 FonteFonte

FonteFonte 39


P R O D E M G E




RESUMO







40 FonteFonte












FonteFonte 41













42 FonteFonte









FonteFonte 43






4. Conclusões





44 FonteFonte





FonteFonte 45




RESUMO











P R O D E M G E

46 FonteFonte



















FonteFonte 47


















48 FonteFonte


















FonteFonte 49





Notas


50 FonteFonte

FonteFonte 51




RESUMO











P R O D E M G E

52 FonteFonte













FonteFonte 53












54 FonteFonte


8. A ICP-Brasil










11. Conclusão




FonteFonte 55




RESUMO

Raymundo Albino

Sérgio Daher





Criptografia




P R O D E M G E

56 FonteFonte















FonteFonte 57

Assinatura Digital





Criptografia


Autenticação
















58 FonteFonte


















FonteFonte 59





















60 FonteFonte






da ICP-Brasil.















Pat34708cusu evista arte f - prodemge.gov.br · Tudo que você deve saber sobre certificação...

Documents

Transcript of Pat34708cusu evista arte f - prodemge.gov.br · Tudo que você deve saber sobre certificação...