http://www.pedro.jmrezende.com.br/sd.htm > ICP: ICP no Brasil

Sistema de Pagamento e ICP-Brasil


Publicado no Observatório da Imprensa em 13/03/2002

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
10/03/02


Índice

1- Safety versus Security
2- Objeto e Alcance da MP2200
3- Calcanhar de Aquiles
4- Tipos mais simples de Fraude e Ofuscação do seu Risco
5- O Perigo de Erosão Jurídica na Datação de Revogações
6- Discussão em torno de um Exemplos Didáticos
7- Conclusão


 

1- Safety versus Security

Em visita a São Paulo em 25/02/02, onde deu palestra no Consulado Americano, o especialista em segurança de redes de computadores Richard Forno foi também entrevistado pela reportagem do Último Segundo, do IG. Nesta entrevista, foi-lhe perguntado sobre a segurança de serviços bancários -- os brasileiros cada vez mais informatizados, e em particular do Sistema de Pagamento Brasil, que irá em breve interligar todos os bancos do país ao Banco Central por meio de uma intranet, utilizando o mesmo protocolo que a Internet, o TCP-IP. "Isso é seguro?", perguntou-lhe a repórter. Solicitado a comentar sobre o tema e a entrevista, tomo a oportunidade para oferecer uma reflexão mais detalhada sobre o contexto em que surge este Sistema de Pagamento. Um pano de fundo para possibilitar algum entendimento útil a perguntas e respostas como as daquela entrevista, publicada no IG às 20:47 do dia 26/02.

Uma pergunta como esta acima, assim geral e solta, nada informa diretamente ao leitor com sua resposta. Ela dá ao entrevistado a liberdade de reverberar, na sua audiência, a percepção sobre riscos alheios que o alcança ou que lhe convém, e a de conduzir os rumos da entrevista, qualquer que seja sua intenção, se o fizer. Enquanto existe uma variada gama de intenções entre os interessados no assunto, e portanto uma correspondente gama de percepção de riscos, e vários ângulos de abordagem a essas intenções e riscos entre os experts. Nada é seguro por si só, ou para si só. Porém, uma tal pergunta informa indiretamente. Através da escolha do entrevistado, das perguntas e das perspectivas que o diálogo escolhe oferecer. O Sr. Forno entendeu que o aspecto da segurança a merecer atenção era o de seu experise, que o "isso" da pergunta se referia aos protocolos digitais de comunicação. E respondeu dizendo que o TCP "é bem seguro".

Ele estava falando da segurança no transporte dos bits, quando poderíamos estar interessados, por exemplo, na segurança jurídica daquilo que sequências desses bits em si transportam. A repórter então insiste nessa linha do "isso", lembrando que os bancos estarão servindo de ponte entre os serviços de varejo que oferecem na Internet, onde os bits já ganharam a reputação do convívio promíscuo, e a rede fechada do Sistema de Pagamento, controlada pelo Banco Central. Não seria melhor evitar, na rede fechada, o uso do protocolo da rede aberta, o TCP-IP, dificultando o caminho para os hackers?

O Sr. Forno retruca, sinalizando que existem trade-offs em cada escolha. O que mais pesa, neste aspecto, é a natureza geral do controle sobre o uso do transporte de bits, e não seu formato ou sua opacidade relativa. Numa rede para pagamentos o controle precisa se focar nas intenções, na semântica do uso deste transporte. Por isso a intranet, onde o controle das condições de uso dos aplicativos tem alguma chance de eficácia. Enquanto o formato e a opacidade oferecem apenas controle sintático, incapaz de reconhecer, por exemplo, a má fé no uso interno e legítimo do transporte de dados. Por outro lado, um protocolo único facilita a integração entre as duas redes, o fluxo de dados que cada banco irá processar.

Sobre o aspecto que escolheu comentar, o Sr. Forno tem razão. O TCP é um protocolo bem testado e amadurecido, as tecnologias para sua operacionalização e manutenção são relativamente baratas e universalmente difundidas. E, mais importante, neste cenário o papel do hacker é apenas o de uma arma. Ele apenas presta serviço com suas habilidades, podendo tanto estar agindo a serviço da lei ou em benefício da cidadania, como contra elas. É um erro comum, amplificado por manipulações e vícios na mídia, atribuir sempre exterioridade e intenções malignas a esta persona, enquanto se sabe que quatro em cada cinco incidentes de segurança na informática são crimes domésticos, praticados por quem trabalha para o sistema atacado ou junto a ele.

Mas os holofotes continuam apontando para o esteriótipo do hacker que se esconde em algum canto escuro da grande rede, despido de valores éticos e transbordando ira e sadismo contra a humanidade. Ocultar ou não desta persona o formato do transporte do Sistema de Pagamento não fará muita diferença. A sugestão oferecida pela entrevistadora ao entrevistado é interessante, mas hoje irrelevante. É comparável à sugestão de se adotar como idioma oficial para documentos interbancários o Esperanto, para dificultar a ação criminosa. O suposto benefício não compensa o garantido transtorno. Se esta comparação parecer descabida podemos examinar, para melhor iluminá-la, um caso recente onde discrepantes intenções, riscos, e formatos de transporte entraram recentemente na mesma cena, pelas telas de TV de nossas casas.

Há uma malha de estradas entre cidades paulistas que está privatizada. Isso é seguro? Em certo sentido, sim. Revestimento, sinalização e meios de socorro nela melhoraram, sendo mantidos em níveis satisfatórios pela cobrança de pedágio e fiscalização. Com isso o transporte ficou mais seguro, no sentido que o Sr. Forno entende em seu idioma nativo por safety, isto é, o do controle ou proteção contra falhas não intencionais. Este sentido não tem nada a ver com o de security, contra falhas intencionais. Por serem independentes esses dois sentidos, a privatização não diminuiu a incidência de assaltos e de roubo de cargas nesta malha, se é que não contribuiu para aumentar. E tendo aumentado, isso não fornece motivos para seus novos donos mudarem os padrões de sinalização e de regras de tráfego que compartilham com a malha pública, para confundir a ação das quadrilhas, pois os usuários dos serviços de ambas malhas são potencialmente os mesmos.

Assim, apesar de privatizada e segura (safe), a via rodoviária entre São Paulo e Sorocaba conhecida por "Castelinho" não impediu que um "bonde do mal" por ela trafegasse, na primeira semanda de março, com a intenção de assaltar ou barbarizar no destino. Não foram desconhecimentos das regras de tráfego na Castelinho que denunciaram este comboio ou desencorajaram outros. Nem foi algum cobrador de pedágio quem percebeu sua intenção. Mas foi a existência do pedágio que permitiu à polícia armar-lhe cilada. E foi pelo ouvido e pela perspicácia de quem precisa investigar as intenções dos usuários da malha rodoviária, por meio de quaisquer malhas a seu alcance, que este bonde do mal pôde ser interceptado naquele pedágio. E foi por não saberem até onde suas intenções eram conhecidas que os bondistas caíram na cilada, reagindo. A transparência, até no escuro, do ar para a transmissão do som dá o mote: ouvir é a origem do verbo "auditar". Mecanismos de Auditoria Externa são essenciais para a eficácia da segurança (security) de interlocutores nas redes digitais, onde intenções se sobrepõem à comunicação humana ou nela se ocultam. Portanto, controle ou proteção eficaz contra falhas intencionais nessas redes requer garantias que possibilitem sua ação, critérios de transparência impostos por formas adequadas de pedágio.

 Há um grande perigo em entrevistas como esta, nas quais um assunto tão entranhado em intenções humanas, como o fluxo de dinheiro, é abordado em relação à segurança. Ele surge e se mantém na retroalimentação e amplificação de várias formas de falácias, como as que simplificam ou ignoram a independência entre seus  aspectos safety (falhas não intencionais) e security (falhas intencionais). Dessas, a mais frequente supõe ser "security" um problema externo a demandar solução interna, como se poderia supor do "safety", desprezando a proporção de quatro para um entre as origens interna e externa dos incidentes intencionais de segurança na informática que chegam às estatísticas. Quando na verdade "security" é um problema de equilíbrio dinâmico entre perspectivas de risco contrárias, demandando a correta arquitetura de salvaguardas e contrapesos normativos. O perigo surge ao se embaralhar aspectos e perspectivas, entre perguntas e respostas, e se mantém no "jogo conhecido" para esse baralho.

Uma jogada desse jogo aqui se destaca, com peculiaridades que merecem nossa atenção. Por que os holofotes sobre os hackers ofuscam questões tão urgentes sobre os possíveis efeitos deste Sistema de Pagamento na segurança jurídica dos agentes envolvidos, entre bancos, correntistas, o cidadão contribuinte e o próprio Estado? A resposta pode estar no hermético simplismo da norma que respalda juridicamente a iniciativa de implantação deste sistema, a Medida Provisória 2200 e atos normativos derivados. Da perspectiva de um leitor externo, informado e atento, seu hermetismo parece equidistante da inépcia, da imprudência e do maquiavelismo. No restante deste artigo buscaremos, enquanto explanamos esta opinião, lançar alguma luz sobre tais efeitos.
 

2- Objeto e alcance da MP2200

A Medida Provisória 2200 institui a Infra Estrutura de Chaves Públicas Brasileira, ou ICP-B. Esta, grosso modo, credencia e fiscaliza entidades prestadoras de serviço denominadas autoridades certificadoras, ou ACs. Tais serviços são os de assinar certificados de chave pública de terceiros, bem como o de registrar o histórico da validade e titulação destas chaves. O registro de uma certificadora na ICP-B se destina, na prática, a diferenciar o serviço prestado, no sentido que lhe dá seu parágrafo único do artigo 10, que diz:
"As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil."
Entretanto, o viés Orwelliano do texto da MP2200-2 confunde enormemente a compreensão leiga sobre o objeto e alcance da lei, e o que realmente significa para o cidadão comum esta diferenciação. Veja como a lei começa:
"Art. 1o Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras."
Ora, quem pode garantir a autenticidade e a integridade de documentos em forma eletrônica são sistemas criptográficos apropriados (os de pares de chaves assimétricas - púbilca e privada) operando em condições adequadas, e não a norma jurídica. Em linguagem técnica, o uso do termo "Infra Estrutura de Chaves Públicas" se refere a um conjunto desses sistemas e dos meios adequados para sua operação. Tais sistemas são propriedade de certas formas matemáticas do mundo platônico, de conhecimento público há mais de 24 anos e de domínio público há mais de dois. São sistemas de manipulação de símbolos que obedecem a certas leis semiológicas, mensuráveis enquanto tais sistemas operam em condições adequadas.

Tendo sido já descobertas e não sendo criação ou propriedade intelectual ou material do legislador, ou de quem quer que seja, esses sistemas não estão em poder do legislador para serem por ele instituídos no sistema jurídico brasileiro. Estão na bagagem cultural da sociedade, na forma como esta os disponha. O que caberia a uma norma jurídica instituir sobre uma tal infra estrutura seria, apenas, a regulação dos efeitos jurídicos do uso de tais sistemas sob condições adequadas. A norma jurídica não pode, por si só, garantir integridade e autenticidade digital alguma. São leis semiológicas que garantem. Da mesma forma que não faz sentido uma norma jurídica decretar ou revogar uma lei física, como a lei da gravidade, a lei da relatividade ou as leis da termodinâmica, estas as que mais se assemelham a leis semiológicas.

A validade jurídica de documentos eletrônicos -- cuja instituição por lei especial alguns juristas dizem ser desnecessária, e a presunção de veracidade quanto à identificação de seus signatários -- cujo efeito jurídico é o cerne da MP2200-2, deveriam ser instituídas através de vínculos entre a produção e o processamento dos documentos eletrônicos, por um lado, e as condições adequadas ao apropriado funcionamento de tais sistemas, por outro, se a norma instituinte estiver buscando preservar a segurança jurídica buscada pelo Código Civil. E não instituídas pela intermediação de serviços credenciados capazes de induzir apenas uma parte dessas condições, como fazem a MP2200-2 e os atos normativos dela derivados. Como diz, e gosta de repetir incessantemente um dos diretores da maior empresa de serviços de segurança computacional do Brasil, Fernando Nery, a segurança é uma corrente tão forte quanto seu elo mais fraco. Esta máxima certamente é válida para qualquer tipo de segurança, seja física, computacional, jurídica ou de qualquer natureza.

Assim, para compreendermos a MP2200-2, temos que nos ater aos verdadeiros sujeito e objeto da sua ação instituidora. O que ela pode estar instituindo é um vínculo entre, por um lado, a validade jurídica e a presunção de autoria de documentos eletrônicos, e por outro, a intermediação de serviços credenciados capazes de constituir um dos elos da corrente de procedimentos necessários à operação adequada desses sistemas. Ao passo que esses sistemas só são capazes de garantir, através do processo de assinatura digital, a autenticidade e integridade de tais documentos se operarem sob condições completamente adequadas. Mas o desequilíbrio da MP2200-2 não pára nesta insuficiência.

Ela se torna Orwelliana na medida em que ignora outros elos, ao mesmo tempo em que institui poderes ao orgão controlador deste vínculo para subverter a capacidade dos signatários buscarem, por si mesmos, o controle da robustez dessa corrente, se obrigados a expressarem sua vontade através dela. Duas formas importantes desta subversão nela ocorrem. Uma, nas condições de credenciamento que limitam a transparência dos procedimentos dos prestadores do serviço credenciado, restringindo sua auditabilidade àquela praticada internamente pelo órgão credenciador, como determinam as resoluções 1 a 9 já emitidas pelo comitê gestor da ICP-B. Outra, no poder que outorga a este comitê para homologar aplicações dos mecanismos de assinatura digital, sem critérios objetivos para o seu exercício.

Falar de chave pública registrada na ICP-B é falar de chave pública que estaria sendo transportada em certificado assinado por uma certificadora credenciada pela ICP-B. Um tal certificado, por sua vez, pretende identificar publicamente o titular de um par de chaves, registrar a intenção deste titular quanto ao uso deste par, bem como sua concordância em relação às implicações legais deste uso. Mas quem realmente gera um par de chaves criptográficas assimétricas, e quem verdadeiramente manipula qualquer delas, são softwares. Não importa se imerso em hardware dedicado ou instalado em hardware genérico, já que, por exemplo, a geração sadia de um par de chaves precisa interagir com quem comanda o processo de geração de chaves, para que este o insemine com aleatoriedade. A primeira das condições adequadas à operação de tais sistemas é que esta interação seja inconspícua.

O titular de um par de chaves é, pelo parágrafo único do artigo 6 da MP2200-2, quem teria comandado a algum software a geração deste par, e se dispõe a responder pelo uso da chave privada do par para fins de autenticação da sua vontade em documentos eletrônicos. A titulação da chave pública do par em um certificado emitido por uma certificadora credenciada registra, portanto, esta intenção e concordância. Esta seria a interpretação técnica mais razoável para a linguagem do parágrafo único do artigo 10, à luz do artigo 1 citados acima. Entre o falar de chaves públicas transportadas em certificados emitidos por certificadora credenciada, e o falar de chaves públicas que verazmente identificam seu titular como signatário, há uma respeitável distância numa via onde cabem muitos bondes do mal. Dar como iguais essas duas coisas, como cartas equivalentes no baralho da segurança virtual, é retroalimentar uma falácia. Não é por estar esta equivalência decretada, pela canetada presidencial na MP2200, que os problemas da segurança jurídica do comércio e governo eletrônicos se resolverão por si mesmos. Estar assim decretado apenas os liberta da caixa de Pandora. No restante deste artigo oferecemos uma avaliação dos riscos à cidadania decorrentes desta libertação.
 

3- Calcanhar de Aquiles

Comecemos pelo assunto do artigo "O Silêncio que Produz Ruídos", onde descrevo o choque frontal entre opiniões públicas do autor e do diretor do SERPRO, Sr. Wolney Martins, sobre o significado do certificado digital da AC-Raiz da ICP-Brasil ser auto-assinado. Para ele, um "detalhe técnico que não merece atenção". Para o autor, um calcanhar de Aquiles. O SERPRO é custodiante desta AC-Raiz e, como tal, leva vantagem para ocupar espaço na mídia. Assim, esta oportunidade para comentar a entrevista do Sr. Forno, e de temas nela tratados, reiluminará este choque para início desta avaliação. Para isto temos que retroceder um pouco no assunto e examinarmos alguns conceitos.

Um software que lavra ou verifica assinaturas por meio de um sistema criptográfico em uma ICP precisa seguir padrões e formatos digitais que sejam públicos. Isto porque a lavra e a verificação de asssinaturas, possibilitadas por um tal par de chaves, destinam-se a ocorrer em diferentes computadores, com diferentes softwares e em variados tipos e formatos de documentos eletrônicos, já que, no contexto duma tal infra estrutura, entende-se por assinatura digital uma marca publicamente reconhecível identificadora da autoria de sua lavra. Os primeiros padrões propostos pela indústria para este fim vieram a ser conhecidos como PKCS (1 a 13), e se tornaram padrão de fato através do uso disseminado na internet. Um desses -- o PKCS 8, que evoluiu para o X.509 -- trata do formato e dos registros em um tipo de documento eletrônico destinado a transportar, depois de assinado, uma chave pública titulada que servirá para verificar assinaturas do titular em outros documentos. Abreviadamente, um documento neste formato e padrão é chamado de certificado digital.

Qualquer discriminação que um software porventura imponha ao uso de uma chave privada qualquer, só poderá basear-se na interpretação que sua lógica faça do significado daquilo que seu usuário queira, com tal chave, assinar. Teria, portanto, que basear-se na semântica de padrões e formatos digitais. E para que esta discriminação seja do conhecimento de outros softwares que devam com ele interagir, conhecimento que evitaria verditos enganosos na intermediação que operam, esses padrões devem ser públicos.

Tecnicamente, o processo pelo qual um software lavra uma assinatura em um documento não carece dos bits cuja sequência constitui tal documento. O processo de lavra consiste em se misturar a chave privada e um digesto (hash criptográfico) deste documento, segundo as instruções do sistema de assinatura digital por ele implementado. Este digesto é uma sequência de bits (normalmente de 160 bits) que funciona como "impressão digital" do documento, e a mistura resultante se destina a ser apensada ao documento, para autenticá-lo (as sequências do documento e da mistura são concatenadas). Portanto, como não há razão para o software que executa a lavra da assinatura tomar conhecimento dos bits do documento a ser assinado, e sim os do seu digesto, seria de se esperar que nenhum padrão público para lavra e verificação de assinaturas digitais preveja tais discriminações.

Este é o caso do conjunto de padrões de fato hoje em uso na internet (PKCS 1 a 13). Havendo programas auditáveis que implementam algum ou alguns desses padrões, como é o caso do PGP, do OpenSSL, do Netscape Navigator e outros, torna-se de conhecimento público a existência de softwares que podem assinar digitalmente qualquer sequência de bits. Da mesma forma como é de conhecimento público que existem canetas que podem assinar qualquer papel. E mesmo que softwares não discriminatórios inexistissem, sendo tais sistemas criptográficos de domínio público nada impediria, em tese, a legítima construção de softwares não discriminatórios que os implementem. Daí a minha afirmação naquele artigo: "qualquer um que gerar um par de chaves pode assinar um certificado da sua própria chave pública com sua chave privada", isto é, autocertificar-se. "Pode" no sentido de inexistir impedimento técnico (o que permite a falsa titulação), e não no sentido da lei facultar explicitamente (o que não faria sentido). Pela lógica da MP2200-2 a validade jurídica da assinatura num certificado auto-assinado, como ato gerador de presunção ne identificação do signatário, aplica-se apenas à certificadora raiz da ICP-Brasil. Porém, sem nenhum embasamento nas características ou condições adequadas à operação dos sistemas de assinatura digital.

Se aquele que é nomeado titular numa autocertificação for mesmo quem comandou a geração do par de chaves  envolvido, o significado deste certificado auto-assinado equivale ao de um cartão de visitas com o nome e número do telefone do titular, e uma frase assinada de punho dizendo "eu testei este número, e funciona". Aliás, é assim que algumas certificadoras distribuem sua chave pública, já que os softwares a que destinam tais chaves seguem padrões e formatos supondo tais chaves sendo transportadas em certificados assinados. Se assim não lhes forem passadas as chaves, eles não funcionarão. Se o nomeado titular não for o mesmo que comandou a geração do par de chaves, não estando quem as gerou agindo por seu consentimento e anuência, o certificado possui titulação forjada, e, para efeito do uso público a que se destinam os certificados digitais, a saber, a identificação de assinantes de documentos eletrônicos, este seria um certificado falso. A AC-Raiz já gerou seu par de chaves e já autocertificou-se, para poder distribuir sua chave pública.

Mas por que as certificadoras precisam distribuir sua chave pública? Porque tal chave é que cria mercado para o seu serviço, fazendo-se necessária na ponta do consumidor dos certificados emitidos aos clientes, para que esses consumidores possam validar a integridade desses certificados. E por que esta chave é distribuída em certificados assinados?  Porque é assim que softwares hoje em uso por esses clientes esperam receber essas chaves. Portanto, ou a certificadora distribui sua chave pública em certificado assinado por outra certificadora, se for subordinada, ou a distribui em certificado assinado por ela mesma (auto-assinado), se for raiz.

No caso do cartão de visitas, se alguém que você já conhece lhe entregar um em mãos, o fato dele estar assinado pelo próprio titular nada significa. Você já conhece o titular. E se algúem que você não conhece jogar um tal cartão em sua caixa postal, o fato deste cartão estar assinado pelo próprio titular também nada sigifica. Aquela assinatura nada acrescenta ou diminui à crença que você porventura sustente sobre a veracidade do que está ali impresso. Você não tem como conhecer a assinatura de quem ainda não conhece. O mesmo ocorre com os certificados digitais na internet, com a diferença de um detalhe importante, que veremos em seguida: o da "carona no navegador". A propósito, você conhece a Verisign ou a AC-Raiz da ICP-B, ou apenas ouviu falar delas?

Portanto, o único objetivo de se assinar um certificado destinado a transportar o par da chave que o assina (certificado auto-assinado) é o de se alcançar autonomia na distribuição de uma chave pública, para softwares que esperam receber chaves públicas em certificados assinados. Por outro lado, esta autonomia é que permite a esses softwares interomperem o que seria uma cadeia infinita de validações necessárias para a verificação de qualquer assinatura, respeitados os padrões estabelecidos. A expectativa de que estes certificados lhes cheguem assinados cria-lhes a necessidade de receberem antes pelo menos um certificado auto-assinado, para operarem adequadamente. No caso dos certificados digitais na internet, como hoje usados, esta necessidade esconde um calcanhar de Aquiles no processo de verificação de assinaturas digitais, quando empregado para a identificação de autoria de documentos.

Este calcanhar de Aquiles está num detalhe. A saber, na confiança implícita na carona que alguns certificados auto-assinados pegam com um navegador (browser Internet Explorer, Netscape Navegator, Opera, Mozilla, etc.), uma jogada que deu impulso inicial ao negócio da certificação. O internauta que recebe o navegador "de graça" e passa a usá-lo estará "reconhecendo", e dando por confiáveis, os titulares dos certificados auto-assinados que já vêm neste navegador, quando interpreta o cadeado amarelo se fechando no canto inferior esquerdo da janela como sinal de identificação segura do seu interlocutor naquela conexão.

O sucesso desta jogada faz surgir em outros o desejo de pegarem o "bonde do navegador" andando, promovendo a distribuição de seu certificado auto-assinado separadamente do browser, o que exporá esse calcanhar de Aquiles no processo de identificação a que se destina. Enquanto este processo for facultado ao cidadão virtual, o uso que dele faça equivale ao da contratação particular de uma espécie de apólice de seguro. Mas, se este uso se tornar obrigatório e ocorrer sob a vigência da norma em questão, o detalhe desse calcanhar passa a abrigar possibilidades de logro para fraudes, contra o usuário do navegador ou contra seus interlocutores, possibilidades que por sua vez são influenciadas pelo efeito jurídico do sucesso no logro.

Qual a relação entre risco e benefício para as fraudes possibilitadas por este "detalhe que não merece atenção?". A confecção de um certificado digital auto-assinado com titulação forjada seria um ato de falsidade idelógica, caso este certificado se destine a identificar signatários digitais. Se, por exemplo, o nome do titular for o da certificadora raiz da ICP Brasil (AC-Raiz), tal logro poderia ser classificado como falsificação de documento público, crime previsto no código penal. Porém, no caso do documento público ser eletrônico, o equilíbrio entre risco de punição e benefício da fraude se dilui, devido às dificuldades adicionais na caracterização do crime, peculiares ao fato do documento em questão ser eletrônico.

Vejamos porque. No ciberespaço, o conceito de portador de um documento não pode ter o mesmo sentido clássico de responsabilização perante a lei, devido à opacidade introduzida pela intermediação do software e à natureza semiológica do documento eletrônico: um tal documento é apenas um padrão simbólico imaterial, cujas cópias são indistinguíveis do "original". Portanto, haverá não apenas um "portador do original", mas portadores de exemplares indistinguíveis. Em especial no caso dos certificados, o esperado é que haja uma chusma de portadores de exemplares indistinguíveis. A identificação do falsificador dificilmente poderá ser equacionada a partir do portador, pois, além deste não ser único, na maioria das vezes ele não terá ciência da  identidade de quem lhe transmitiu seu exemplar, que terá sido algum software em alguma máquina na internet.

Até a perícia nos registros das transações eletrônicas terá enorme dificuldades para rastrear o vínculo entre esses softwares e uma pessoa que tenha originado um documento eletrônico falso, da mesma forma como ocorre hoje em relação a invasores de sites. Mesmo que seja rastreado, basta ao falsificador ter tido o cuidado de gravar zeros no lugar do único exemplar da chave privada com que assinou o documento falso, para destruir qualquer possível prova documental contra si. Quem sabe fazer direito só será pego se der mole.

Estas peculiaridades semiológicas, caso não sejam contempladas ao se instituir a presunção de veraridade na identificação de signatários de documentos eletrônicos, introduzirão graves desequilíbrios no ordenamento jurídico, pois a autocertificação pode servir para a falsificação de qualquer documento. Por outro lado, a tendência para se tentar neutralizar estes desequilíbrios semiológicos tem sido a aprovação de leis draconianas que se desequilibram na direção de "compensar" tais desequilíbrios. Produzindo leis eivadas de exageros na prescrição das penas, de inconsistênicas e de simplismos na caracterização de crimes, esta tendência causa efeito ainda mais perverso na segurança jurídica, pois, ao migrar tais desequilibrios para as leis, pode vir a atender a outros propósitos, nem sempre confessáveis, com seus efeitos colaterais. Aliás, tais efeitos colaterais podem se antecipar e se valer desta tendência para escamotear, sob a necessidade desta "compensação", propósitos inconfessáveis ou indefensáveis no lobby por novas leis sobre o virtual, hipótese que tenho comentado e examinado em vários dos meus artigos. A ressaca da corrida do ouro digital certamente não terminou com a implosão da bolha especulativa das empresas ponto com. O estouro da bolha especulativa em torno dos valores jurídicos nos bits ainda nos aguarda.

4- Tipos mais simples de Fraude e Ofuscação do seu Risco

Quem procura examinar as possibilidades de fraude numa ICP tende a suspeitar que a fraude mais simples possível consiste no "roubo" da chave privada da vítima, para a assinatura de documentos forjados em seu nome. Mas não é. Tecnicamente, o termo correto para este tipo de incidente é "vazamento", pois o ato não priva o dono da chave de "posse" do objeto em questão. O que constitui um complicador jurídico, pois o exemplar vazado pode ser usado sem que o titular disso suspeite.  Normalmente a chave privada reside em um arquivo cifrado por senha, no diretório do browser ou no registro do sistema operacional.

Em 70% dos casos de escolha de senha, esta cifragem pode ser quebrada por crackers (hackers criminosos), usando programas que aplicam ataques de dicionário em tais cifragens. E quando a senha for robusta, o atacante pode se valer de programas cavalos-de-tróia, amplamente difundidos no mundo do cibercrime e facilmente implementáveis na linguagem de comunicação de processos do Windows (VBscript), também uma linguagem de programação de conteúdo ativo no Internet Explorer e no Outolook, para interceptarem furtivamente do teclado a digitação da senha e o acesso ao chaveiro do navegador, transmitindo-as ao atacante, até através de carona em conexões a sites insuspeitos.

E aqui está o nó de um novo golpe branco contra a cidadania, perpetrável por meio de leis de assinatura digital obtusas em que poderiam se encaixar como luva objetivos não confessáveis, mencionados na seção anterior. Segundo a letra do artigo 1 da MP2200, esta lei teria sido promulgada

"para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras."
Tudo bem, se for para garantir tudo isto. Mas falta explicar como, o que fica para os atos normativos da autoridade gestora, conforme o artigo 3 da mesma MP:
"A função de autoridade gestora de políticas [será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República".
Estamos, portanto, diante de um dos três Poderes reescrevendo, na prática, parte significativa de um novo Código Civil. Ao menos o princípio de contrapesos dos três Poderes, basilar na democracia moderna, foi aqui desprezado. Será que isso é mesmo assunto para lei provisória, que pode ser mudada a cada mês com uma canetada? Mas tudo bem, se for em boa causa. O motivo apresentado pelos defensores da MP2200 para este desprezo é o de que o Legislativo tem sido muito lento para decidir estas coisas tão urgentes. Tudo bem, se, ao final, se estiver buscando a manutenção da segurança jurídica, isto é, o equilíbrio de riscos e responsabilidades nas práticas sociais intermediadas pelo virtual. Podemos até ignorar que a morosidade do Legistalivo, que vinha debatendo o tema com a socieade há mais de dois anos, possa ter sofrido a inflluência do próprio Executivo para praticar esta morosidade.

O que se vê então, até aqui, no trabalho dos que tomaram para si toda esta autoridade e responsabilidade? O que deste trabalho primeiro se depreende é uma preocupação muito maior com a segurança do negócio do pedágio a ser cobrado, do cidadão e da Justiça, para trânsito de valores jurídicos no espaço virtual, do que com a segurança jurídica do cidadão e dos agentes sociais subrepresentados nesse novo jogo de poder. Apesar da linguagem pomposa e cheia de tecnicismos dessas normas sugerir ao leigo o contrário. Cito em meus artigos vários indícios de que, como estou aqui afirmando, esta forma de pedágio não é adequada à segurança jurídica da assinatura eletrônica.

O que significa, por exemplo, a linguagem da MP2200 que diz

"garantir a validade jurídica ... das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais"? O que significa "aplicações habilitadas"?
Habilitadas por adesão de sua lógica a padrões públicos de interoperabilidade, por critérios técnicos que capacitem garantias de segurança computacional aos elos do sistema onde atuam, por critérios burocráticos, por critérios indiretos de discriminação forçada por padrões proprietários, ou por combinação desses? Ainda não sabemos o que virá a ser isso na prática, no escopo da ICP-B. Mas já o sabemos na Inglaterra. Lá, na prática, só funcionam aplicações "habilitadas" pelo padrão de fato introduzido pelo produtor de software que licenciou a operação e a custódia de todos as bases de dados do governo britânico, a maior empresa do mundo, recém condenada em última instância por práticas monopolistas predatórias. Só o navegador dela consegue interoperar com os servidores dessas bases de dados usando sistema de assinatura. Da mesma forma como acontece hoje com alguns serviços do internet banking da Caixa Econômica Federal.

Na lei italiana, os critérios são conhecidos e claros, estando neles visível a busca do equilíbrio que representa a segurança jurídica dos signatários digitais. A lei só estabelece a validade jurídica e a presunção de autoria de documentos assinados por chaves privadas em torno das quais os critérios de segurança computacional na sua geração, guarda e operação melhor aproximam dos seus equivalentes na jurisprudência do processo clássico da assinatura de punho. Na qual o tabelião precisa, por exemplo, avaliar se o signatário estava, no ato da assinatura, em gozo de suas capacidades. Tal busca de equivalência envolve, pelo menos mas não apenas, hardware dedicado (por exemplo, cartão inteligente).

Na lei brasileira, dos atos normativos do comitê gestor da ICP-B, que parecem se preocupar muito mais com a segurança do negócio do pedágio do que com a segurança jurídica dos titulares das chaves, emanam efeitos desequilíbrantes na teia jurídica que por sua vez podem induzir nefastas influências, que passo a listar. Como explicado antes, por razões semiológicas que escapam ao legislador e aos operadores do Direito, e que discuto em alguns dos meus artigos, na esfera virtual o conceito de ônus da prova resulta muito próximo ao conceito de sentença condenatória. Por isso, em transações virtuais do governo e comércio eletrônicos, os riscos decorrentes de fraudes podem ser, na prática, transferidos para o interlocutor sobre o qual recaia o ônus da prova de fraude. Por sua vez, consolida esta transferência o descaso na norma jurídica com os elos da corrente da segurança operacional dos sistemas de assinatura digital onde esses intelocutores atuam.

Assim, vigindo norma jurídica que, como parece ser o caso do artigo 10 da MP2200-2, imputa ao titular da chave que verifica uma assinatura o ônus da prova de fraude sempre que esta titulação esteja registrada por certificadora credenciada, duas tendências surgirão naturalmente da lógica de poder desta vigência. Monopólios, grandes agentes econômicos e estatais tenderão a demandar, do cidadão comum ou do agente social que com ele precise transacionar, a forma eletrônica de transacionar e a certificação credenciada de sua chave pública. Tenderão certamente a eliminar alternativas. Se a lei proibir esta eliminação eles irão dificultá-las, como faz a Receita Federal com a declaração de renda via formulário em papel, e como estão fazendo os bancos com alguns dos serviços que prestam, ou com a tentativa de circunscreverem a jurisdição do Código de Defesa do Consumidor em exclusão aos serviços bancários.

Esta demanda sofrerá menos resitência do leigo se ele for importunado ao mínimo para aceitar novos riscos. Como 19 entre 20 já usam o navegador e o sistema operacional da Microsoft, e os pacotes de "desenvolvimento integrado" para a "nova geração de serviços web" estão empurrando as empresas e os desenvolvedores de sistemas de informação para o círculo de controle semiológico (padrões proprietários) desta mesma empresa, sem que as normas para credenciamento na ICP-B especifiquem qualquer critério ou patamar de proteção à chave privada em posse do titular no varejo, a tendência é cairmos todos na vala comum da insegurança jurídica.

E se o acesso a serviços universais for inviablizado a softwares concorrentes, como está acontecendo na CEF e na Inglaterra, nos veremos impedidos de nos proteger, por iniciativa própria, desses novos riscos a que estaremos sendo forçados a nos expor. Neste caso, estaremos sendo obrigados a gerar um par de chaves e certificá-lo em certificadora credenciada, a operar a chave privada em ambiente no qual não exercemos controle adequado sobre riscos, ao mesmo tempo em que somos forçados a arcar com o ônus da prova de uso indevido desta chave. O cidadão só irá aceitar isso se achar que a conveniência compensa os riscos, mas dificilmente irá acreditar que este cenário corrresponde, para ele, a uma escravidão consentida a um grande irmão.

Não devemos nos esquecer de que os módulos de segurança dos softwares da Microsoft são inauditáveis, e de que há indícios copiosos de abuso desta opacidade para fins de espionagem e de controle semiológico sobre seus usuários, e pior, de falhas estruturais comprometedoras da segurança desses usuários que não poderão nunca ser efetivamente corrigidas, a menos de mudanças na filosofia da arquitetura desses softwares. Porém, mundanças que inviablizariam tal controle semiológico sobre usuários, controle sobre o qual assenta a segurança do negócio da empresa, e portanto, mudanças cuja ocorrência não devemos esperar como voluntárias ou irresistíveis. Este assunto perpassa os autos do processo em que a empresa foi condenada por danos sociais decorrentes de prática monopolista predatória, e que revisito com frequência em meus artigos, como por exemplo, "Sapos Piramidais nas Guerras Virtuais".

Tal cenário de insegurança computacional, por sua vez, justifica a necessidade jurídica da possibilidade da revogação de chaves, bem como a expectativa de sua ocorrência frequente. Estão previstas, nas normas ditadas pelo comitê gestor da ICP-B, dois tipos de revogação: por iniciativa do titular ou do certificador. A revogação por iniciativa do titular se destina a amenizar o desequilíbrio jurídico decorrente das possibilidades de vazamento de sua chave privada. Amenizar, e não neutralizar, pois a inicativa do titular em revogar sua chave presume-se decorrente de suspeita da quebra indevida do sigilo de sua chave, ao passo que este quebra normalmente é sorrateira, pois sua chave "continuará onde sempre esteve". Tais peculiaridades fazem com que, na prática e no caso geral, tal suspeita só se materialize perante o conhecimento da ocorrência de fraude, para as quais a revogação será inóqua, a menos que retroaja. E se puder retroagir, a norma estará escancarando a porta para o tipo de fraude que trataremos em seguida.

Por sua vez, a revogação por iniciativa do certificador se destina a amenizar o desequilibrio jurídico decorrente de possivel falsidade ideológica na titulação da chave. E novamente: amenizar, e não neutralizar, pelos mesmos motivos. A supracitada norma não especifica detalhes das exigências documentais e processuais a serem cumpridas para o registro da revogação de chaves pelas certificadoras credenciadas. Apenas da padronização de sua divulgação em meio eletrônico. Nesta omissão estão as brechas para o tipo de fraude descrito abaixo, que parece ser o mais grave possível. E por fim, a frequência de revogações que se pode esperar do uso disseminado de chaves assimétricas em ambientes computacionalmente promíscuos, por usuários a ele forçados sem a devida aculturação aos seus riscos e consequências, servirá para melhor escamotear esse tipo de fraude.
 

5- O Perigo de Erosão Jurídica na Datação de Revogações

Diferentemente dos mecanismos jurídicos ou computacionais de proteção, os riscos são transitivos. Riscos se contaminam e se retroalimentam, como no cenário que vamos aqui descrever. Um corrupto em potencial que precise, por exemplo, emitir ordens de pagamento digitalmente assinadas para cometer atos ilícitos, ordens essas que constituem prova de conduta irregular do assinante, irá buscar uma forma de se livrar da autoria das mesmas, assim que surtam o efeito desejado, como o de fazer algum dinheiro mudar de lugar. Tendo praticado um tal ato, ele em princípio poderá aguardar até que o rastro eletrônico deste ato produza acusação de ilícito, para então argumentar que sua chave teria sido usada indevidamente, fato do qual teria tomado conhecimento pela acusação mesma. Este argumento justificaria um possível pedido de revogação de sua chave, mas não o livraria das pesadas responsabilidades decorrentes do paragrafo único do artigo 10 da MP, se a revogação não retroagir.

Ao avaliar os riscos a que estará exposto ao praticar ilícitos por meio de documentos eletrônicos, o corrupto em potencial estará examinando a possibilidade de, se e quando uma eventual acusação de ilícito lhe for dirigida, poder obter da sua certificadora a revogação de sua chave com data anterior à do documento que estaria consubstanciando tal imputação, sem que tal retroação seja publicamente admitida. Seria como se ele já não estivesse mais usando aquela chave na ocasião. Se puder revogar assim, estaria obtendo garantias de impunidade na medida em que a retrodatação da revogação seja, publicamente, apenas uma hipótese indemonstrável. Ele poderá então ir fraudando com esta chave até ser acusado, safar-se da acusação e continuar as fraudes com uma nova chave.

Além de obter também, de quebra, a possibilidade de reverter a imputação de ilícito sobre quem vier a lhe acusar, pois o acusador se poria, com sua "prova", como principal suspeito de ter lhe provocado as suspeitas de vazamento de sua chave, suspeitas que o teriam levado a revogar sua chave na data que consta da sua revogação. Mesmo se o acusador tiver o cuidado de, antes de decidir anexar tal documento aos autos do processo, verificar, junto à certificadora do signatário suspeito, que aquela chave de assinatura estava em vigor na data de assinatura do documento.

E mesmo se o acusador tiver o cuidado extra de anexar aos autos a lista de revogação desta certificadora, assinada por ela e com data posterior à do documento probante do ilícito, mostrando que a revogação em questão não constava naquela data, a certificadora poderá produzir para a defesa, e sustentar como legítima, uma outra lista assinada com mesma data onde consta a revogação em questão. Esta sustentação seria inatacável devido à blindagem contra auditoria externa que lhe dá a MP2200-2, na forma do "foro privilegiado" da auditoria interna, e o acusador poderia neste caso se ver acusado de também fraudar a certificadora.

Como o réu se beneficia em caso de dúvida, o acusador teria feito papel de palhaço e o corrupto ganho impunidade e oportunidade de capitalização política, por ter sido "vítima de maliciosa perseguição". Este jogo não seria novidade, já existindo com os documentos de papel. A diferença é que, com o papel, o jogo é de astúcia processual, arbitrado pela jurisprudência dos códigos de processo. Ao passo que, como armado pelo cenário das normas em vigor para os documentos eletrônicos, vira um jogo de cartas marcadas onde o poder Judiciário poderia ser fácil presa ou cúmplice de logro pela manipulação de opacidades e desequilíbrios de natureza semiológica.

Dependendo do contexto e do modo como faça sua avaliação, o potencial corrupto poderá estar estimulando o conluio com certificadoras, legisladores e gestores, para que a norma impossibilite a detectação de retroação em revogações. O avaliador dos riscos de corrupção pode agir então como corruptor, se expuser a relação risco/benefício deste conluio não em público, como estou tentanto fazer aqui, mas reservadamente para o alvo certo, no contexto adequado de pressões subjetivas e indiretas. A indemonstrabilidade da retroação de revogações pode ser alcançada, por exemplo, impedido-se a auditoria externa sobre os processos e procedimentos das certificadoras credenciadas.

Sinais compatíveis com as hipóteses deste cenário estão estampados nas normas da ICP-Brasil, que insiste em ignorar os riscos na opacidade e na falta de garantias públicas no processo de revogação. Quanto mais despercebidas e desimpedidas puderem ocorrer estas hipotéticas interações nefastas, mais difícil será reverter seus efeitos. Nem mesmo a inexperiência ou limitações no domínio técnico do legislador justificam esta coincidência, pois ela certamente irá atrair a má fé alheia, até a exploração pelo crime organizado, se ignorada.

A única entidade fora do governo que tem defendido publicamente o espírito e o texto da MP 2200 tem sido a Febraban, através do seu diretor-geral. Certamente porque sua vigência pode implicar em menos riscos para esta entidade. Acontece que a gama de riscos não diminui quando o documento se desmaterializa do papel para migrar para o ciberspaço. As capacidades da Justiça para investigar e julgar ficam prejudicadas com esta migração, a começar pela complexificação do valor probante de documentos e da tipificação de crimes. Se há mais riscos no geral, e menos para a Febraban em sua avaliação, obviamente o saldo repousa com seus potenciais demandantes judiciais. A saber, o cidadão, o correntista, e o braço do Estado que fiscaliza suas atividades.

Mas será que o cidadão será mesmo obrigado a correr novos e graves riscos? Na medida em que vier a ser obrigado a gerar chaves sob o regime da ICP-B para transacionar com instituições que prestam serviços universais, sim, em vista do exposto sobre o ônus da prova digital. Sinais do que virá já podemos ver nas práticas discriminatórias da Caixa Econômica Federal e do INSS. O equilíbrio jurídico na presença de normas que explicitem presunção de valor jurídico de assinatura digital depende de uma delicada e minunciosa ponderação das condições implicadas pelo ônus da prova digital, onde qualquer obrigatoriedade é potencialmente desestabilizante. A iniciativa da Febraban em questionar, no STF, a jurisdição do Código de Defesa do Consumidor sobre serviços bancários, código que poderia se opor ao cerne do efeito pretendido pela MP2200, é um péssimo sinal para o consumidor/usuário dos seus serviços. E também para o poder fiscalizador exógeno do Estado, que passa a correr novos riscos, na medida em que lhe seja vedada a normatização e a auditoria nos processos de revogação de chaves conduzidos pelas certificadoras credenciadas pela ICP-B.

Se o Cidadão for impedido, na sua necessidade de acesso a serviços universais, de se proteger desses novos riscos por conta própria, através da livre escolha do ambiente computacional através do qual irá operar na jurisdição da ICP-B, isto é, da livre escolha dos "aplicativos de suporte e habilitados" para os padrões e formatos supostamente públicos que a constituem, a exemplo do que ocorre na Inglaterra e com alguns serviços da Caixa Econômica Federal, e ao mesmo tempo impedido de usar a alternativa de tinta e o papel, a exemplo de alguns serviços de recolhimento de tributos do INSS, a segurança jurídica na esfera virtual será natimorta, como natimorto viria o rei de Angolmois, de acordo com a décima centúria de Nostradamus, numa estrofe ancorada à última eclipse solar do segundo milênio (72).
 

6- Discussão em torno de exemplos didáticos

Vamos ilustrar com exemplos a gravidade do que está aqui em jogo, didáticos o suficiente para tentar convencer os incrédulos dessa gravidade, mas não o suficiente para ofender possíveis atores com referências diretas à vida real. Para isso, precisamos examinar mais alguns detalhes sobre o processo de certificação, isto é, do processo de registro, emissão (assinatura) e revogação de certificados digitais.

A chave de um par assimétrico que é submetida a certificação é a pública. Entretanto, o certificado precisa também dizer para qual sistema criptográfico (algoritmo) aquela chave se destina. Um tal algoritmo é algo semelhante a um modelo de fechadura digital. Ao mencionar o algoritmo, e sendo este assimétrico, o certificado estará fazendo referência à existência de uma outra chave (a chave privada) que forma par com esta chave pública, que teria sido gerada junto com ela, com a propriedade de que uma reverte a ação da outra no sistema, sem entretanto permitir sua imitação. Portanto, o certificado digital que transporta uma chave pública faz referência ao par pública-privada a que pertence esta chave, mas transporta apenas a pública..

O certificado faz também outras referências a chaves. Como precisa ser assinado para obedecer aos padrões vigentes (x509), ele precisa transportar também o nome daquele que o assinou (do certificador), para que sua integridade possa ser verificada por quem for usá-lo. Obviamente, usando a chave pública deste certificador. Assim, um certificado assinado por uma certificadora cujo titular seja um cidadão, faz, no total, referência a quatro chaves. O par pública-privada do cidadão, cuja pública ele transporta, e o par pública-privada da certificadora, cuja privada o teria assinado, e cuja pública é necessária para verificar sua integridade. Como estão relacionadas na prática essas chaves? Quem pretende verificar uma assinatura em um documento eletrônico deve usar para isso a chave pública do signatário. Precisa para isso de um exemplar do certificado que transporta esta chave, e, para confiar na integridade do exemplar que lhe chega às mãos, precisa antes verificar a assinatura neste certificado. Isto lhe asseguraria que o nome do titular no exemplar do certificado em seu poder é o mesmo que nele constava no ato da sua assinatura pela certificadora.

Como esta verificação de integridade do certificado requer a chave pública do certificador, pressupõe-se que tal chave venha em um outro certificado. A necessidade de verificar uma assinatura disparou assim uma cadeia recursiva de necessidades de verificação de assinaturas em certificados. Esta cadeia seria infinita se não chegasse a um certificado no qual a chave transportada é a mesma que "verifica sua integridade". Um tal certificado é dito auto-assinado, ou raiz. Os dois pares de chaves a que ele se refere, o do titular e o do certificador, são o mesmo.

Tanto um certificado "normal" (no qual o titular e o certificador nomeados são distintos), quanto um certificado auto-assinado (no qual o titular e o certificador tem o mesmo nome, presumindo que os dois pares de chaves referidos são os mesmos), destinam-se a tornar conhecida a chave pública transportada. O certificador é simplesmente alguém que apresenta o titular ao portador do certificado. Assim, o certificador e titular de um certificado auto-assinado é alguem que se apresenta a si mesmo. O fato de que qualquer um pode se apresentar no mundo virtual através de um certificado auto-assinado, não é, em si, nem bom nem ruim para ninguém.

Aliás, como já vimos, sob os padrões vigentes é inevitável que alguém assim o faça, e esses padrões estão hoje em uso porque foram os que melhor funcionaram. A discussão jurídica sobre a ICP-B começa pelo direito natural de fazê-lo. A MP2200-2 está dizendo quem a AC-Raiz, e só ela, tem o direito natural de apresentar-se a si mesma com presunção de veracidade, para os que transitam por um novo portão por ela aberto, separando o mundo virtual do mundo jurídico. E que só ela tem o direito de apresentar aqueles que vão poder apresentar, com presunção de veracidade, os que transitam por este portão. A MP2200-2 vai além e cria, com sua estrutura de certificação em árvore (estrutura erroneamente denomidada "cadeia" no artigo 2o.), um regime de castas para esta nova "etiqueta social", com a AC-Raiz no papel de soberano supremo e o comitê gestor como guardião do regime: Quem se apresentar por meio desta hierarquia é presumido verdadeiro, cabendo a quem duvidar o ônus da prova, ao reverso para os párias. É uma lei esperta pois o legislador pode, através dela, instituir neste portão o pedágio que quiser, enquanto quem se beneficiar desta presunção poderá conduzir ou forçar seus interlocutores através do mesmo.

Quando, na verdade, o direito à auto-apresentação presumidamente verdadeira é, subjetivamente, uma questão de foro íntimo, e objetivamente, uma questão regida por norma constitucional, se considerarmos qualquer outro portão no mundo da vida que tenha significado na esfera jurídica. Se você, ao cruzar um portão de madeira no mundo da vida, se depara com alguém que se apresenta a si mesmo e lhe propõe um contrato, na tradição jurídica clássica nada lhe impede de aceitar ou recusar, desde que você aceite ou recuse os riscos envolvidos, na medida em que os perceba.  Não ter a quem cobrar por eventuais prejuízos decorrentes de falsas representações nesta auto-apresentação é um desses riscos, para cujo controle a presunção de veracidade é regulada pelo artigo 236 da Constituição Federal.

No que tem de bom, a lei americana de assinatura digital (e-Sign) universaliza a interpretação subjetiva da veracidade das apresentações no novo portão dela. Segundo ela, ninguém tem ali qualquer privilégio em relação à presunção de veracidade. Fosse assim também a MP2200, isto é, omitisse ela o parágrafo único do artigo 10, a sedução do pedágio da certificação credenciada desapareceria para os grandes agentes econômicos e sociais, como panacéia para seus riscos se demandada aos cidadãos que queiram ou precisem contratar seus serviços, e a estrutura de castas em árvore se faria desnecessária para a certificação.

Em lugar desta árvore, uma malha de confiança para aceitação da autocertificação, baseada nas relações sociais do mundo da vida diluiria a vulnerabilidade da ICP-B ao calcanhar de Aquiles da autocertificação de sua AC-Raiz, a exemplo da primeira caricatura de ICP surgida na internet com o PGP, vulnerabilidade esta que comentamos em seguida. Entretanto, no que tem de ruim a lei americana, este direito de igualdade subjetiva nela opera para escamotear desequíbrios abissais em desfavor da cidadania, como comento em meu artigo "Uncitral". Numa e noutra, entre optar pela cidadania ou pelo Grande Irmão a lei escolhe, cada uma a seu modo, o segundo.

Espera-se, portanto, de quem engendrou e de quem defende a MP2200, uma justificativa razoável para a adoção do regime de castas no espaço social em volta do seu novo portão. Uma justificativa para a escolha dos critérios que designam quem pode apresentar-se a si mesmo com tal presunção, e quem pode fazer herdar esta presunção em apresentações subsequentes neste portão, critérios que ignoram o artigo 236 da Contituição Federal. Esta justificativa, e não o fato de que alguém precisa, e pode, apresentar-se a si mesmo, é que será boa ou ruim. A comissão de informática jurídica da OAB sustenta por exemplo, em meu entender, que a lógica desta justificativa não pode ser de natureza jurídica sem abalar vários pilares da tradição jurídica do país, referentes à natureza da fé pública. Tampouco pode ser de natureza técnica, pois as características dos sistemas não podem embasar a presunção de veracidade na identficação do signatário autocertificado, seja qual for sua titulação. Desvendar a verdadeira lógica desta justificativa é matar a charada da referida equidistância do hermetismo simplista da MP2200.

A justificativa que tem sido recitada pelos defensores da MP2200 é baseada na competência técnica e na autoridade. A chave privada da AC-Raiz estaria no cofre mais seguro, gerada pelo software mais caro, operada pelo serviço de processamento de dados com maior escala e volume de serviço no país, com a supervisão e o aval da Casa Civil da Presidência da República, a maior autoridade do país, etc. Tudo isto oferece à sociedade apenas parte das garantias que ela deveria esperar e cobrar de tamanho privilégio e poder. Porem, as garantias recitadas arrazoam apenas sobre um dos aspectos da segurança jurídica em questão. Só descrevem a resistência de um dos elos da corrente que faz a segurança jurídica desta presunção. A saber, do elo cujo risco de ruptura é o uso sorrateiro da chave privada da AC-Raiz, para assinar certificados com titulação falsa.

Em relação a outros aspectos, a justificativa recitada nada arrazoa. Outros elos dessa corrente são por ela ignorados. Senão vejamos. A AC raiz precisa, para cumprir o que promete a MP2200, fazer sua chave pública conhecida de todo software destinado a verificar assinaturas digitais que presumam veraz a identificação do signatário, em qualquer computador em qualquer parte do território nacional, chave esta que dará a palavra final sobre a integridade de uma cadeia de assinaturas avalisadoras desta presunção. E é só isto que ela pode fazer. E sendo só isto o que o certificado auto-assinado da AC-Raiz é capaz de oferecer, escapam do seu controle os outros elos.

Como pode a certificadorra raiz e seu certificado garantirem, por exemplo, que um certificado com titulação e nome do certificador idênticos ao seu não irá se apresentar a um desses softwares para arrematar uma cadeia de assinaturas falsas, visando a consumação de uma fraude eletrônica, sendo ambos auto-assinados?  Ou então, como pode a sua autocertificação garantir proteção à chave privada de um signatário qualquer, contra quebra indevida de sigilo no seu ambiente? Depois de entendermos como e porque não podem, sobrará o poder de homologação do comitê gestor da ICP-B para oferecer as garantias que faltam ao vínculo jurídico que gerencia. Mas a homologação só poderá oferecer tais garantias se puder comprovar a segurança da operação dos "aplicações de suporte e homologadas". E será que pode? Para intuirmos a resposta, basta observar o crescimento de incidentes de segurança na internet, maior até que o da própria grande rede.

Nada nos argumentos costurados na justificativa recitada têm, como visto, qualquer relevância para superar, para equacionar ou para amenizar o verdadeiro problema da robustez de tal corrente. A segurança jurídica de uma assinatura digital de casta, isto é, presumidamente veraz quanto à sua capacidade de identificar o signatário, será tão forte quanto a mais fraca dessas garantias. Isto, os arquitetos do modelo americano perceberam logo e por isso as evitaram. Já os arquitetos da lei brasileira põe a desfilar o rei, com sua maravilhosa roupa nova. O que eu disse no artigo "O silencio que produz ruídos", em relação ao calcanhar de Aquiles da distribuição de chaves auto-assinadas na ICP-B, foi, em outras palavras, que o rei está nu!

Para enxergarmos através da roupa nova do rei, vamos descrever a mais simples das fraudes que explora a presunção de veracidade ditada pelo parágrafo único do artigo 10 da MP2200. Trata-se de uma fraude de documento eletrônico que se assemelha, por exemplo, ao da falsificação da carteira de habilitação do chefe do DENATRAN, onde a foto falsa corresponde à chave pública de origem falsa. Porém, uma fraude com relação risco/recompensa desproporcionalmente distinta daquela, devido ao valor probante das possíveis provas do crime.

No caso da falsificação da carteira de motorista do chefe do DENATRAN, o promotor terá boas chances de sucesso caso responsabilize pelo crime um sujeito cujo rosto corresponde à foto na carteira falsa. Enquanto no caso do certificado, o promotor só terá chance se encontrar, no computador do acusado, uma sequência de bits que faça par com a chave pública que está no certificado auto-assinado de titulação falsa, na dança do sistema criptográfico para o qual foi gerado aquele par, conforme especificado neste certificado. Esta fraude seria mais fácil que o "roubo" da chave privada da vítima pois, para consumá-la, bastará ao falsário "roubar" (usar indevidamente) os nomes das instituições a serem envolvidas no golpe, que são públicos (pois estão nos certificados verdadeiros das mesmas), e casá-los um a um com chaves públicas de pares que ele tenha gerado exclusivamente para aplicar o golpe.

Digamos, por exemplo, que ele queira produzir uma falsa declaração negativa de débito, ou liberação de verba para depósito em conta laranja, assinada em nome de um órgão público. Na intimidade do seu computador desconectado da rede ele redige e assina este documento com a chave privada de um par por ele gerado só para este golpe. Para que esta assinatura seja tida como autêntica, ele precisa antes colocar a chave pública deste par num certificado falso que contenha, como nome do titular, o desse órgão público. Ele pode, por exemplo, simplesmente copiar ipsi literis o nome do titular e o da sua certificadora, do certificado verdadeiro deste orgão público. Acontece que este certificado falso precisa estar assinado por esta certificadora. O falsário estará, então, diante da necessidade da falsificação recursiva.

Ele precisa gerar também outros pares de chaves. Ele então gera mais um par, para fazê-lo passar por par de chaves da certificadora que emitiu o certificado do órgão público. Com a chave privada deste novo par ele assina o certificado falso do órgão público, completando a falsificação iniciada no passo anterior. A chave pública deste novo par ele põe num certificado falso, cujo titular é a tal certificadora. Novamente, ele pode copiar ipsi literis o do certificado verdadeiro o nome do titular e o da sua certificadora, que seria, digamos, a AC-Raiz. Ele agora tem um certificado falso da certificadora que ainda precisa ser assinado, pela chave da AC-Raiz da ICP-Brasil.

No passo seguinte ele termina esta etapa. Ele gera mais um par de chaves, para fazê-lo passar por par de chaves da AC-Raiz. A chave pública deste último par ele põe no certificado falso da AC-Raiz. E com a chave privada desse novo par ele assina dois certificados: o certificado falso da certificadora do órgão público, completando a falsificação iniciada no passo anterior, e também o último certificado, este da AC-raiz, auto-assinado tal e qual o verdadeiro certificado da AC-Raiz. A cadeia de assinaturas falsas que presumem a veracidade da identificação do signatário do seu documento fraudulento está completa.

Ele agora apaga as três chaves privadas que gerou para aplicar este golpe, eliminando do seu computador as únicas possíveis provas documentais de fraude, pois só quem possui estas chaves privadas poderia ter produzido os certificados falsos, e estará pronto para se conectar na rede e aplicar o golpe.

Na conexão através da qual ele vai aplicar o golpe, isto é, apresentar o documento fraudulento como se fosse autêntico, ele precisa fazer o software da vítima usar os certificados falsos como se fossem verdadeiros. Se os certificados verdadeiros necessários para a cadeia de verificação das asssinaturas envolvidas já tiverem exemplares armazenados sob controle do software da vítima, o falsário pode, ou não (dependendo das configurações do software da vítima, de detalhes nos certificados verdadeiros, e do protocolo que abre a conexão),  precisar antes forçar a troca dos mesmos. Neste caso um software embusteiro (um cavalo-de-troia) poderia ser usado para inseminar os certificados falsos no ambiente onde opera o software da vitima.

Se este software ainda não conhece exemplares dos certificados verdadeiros desta cadeia, ou se a inseminação dos certificados falsos não se fizer necessária, basta ao fraudador configurar a conexão para que os certificados falsos sejam enviados junto com o documento fraudulento. Vamos examinar em detalhe o caso em que o software da vítima seja um navegador, ou outro programa que empregue o protocolo SSL para transacionar com documentos digitalmente assinados. Quando esses certificados falsos forem recebidos, este software perguntará à vítima se "quer mesmo aceitar aquele certificado auto-assinado da AC-Raiz da ICP-Brasil". Isto não lhe será surpresa, pois, para instalar o certificado verdadeiro da AC-Raiz, ele terá, ou teve, que responder à mesma pergunta, já que o certificado verdadeiro também é auto-assinado e tampouco vem com o navegador.

Como a ICP-B divulga no seu site a chave pública, e não o fingerprint do seu certificado auto-assinado, caso ele queira visitá-lo para verificar se o certificado sobre o qual seu navegador lhe perquire é mesmo o que a ICP-Brasil teria gerado, não terá como saber, pois o navegador só lhe mostra o fingerprint do certificado, e não a chave pública transportada. E mesmo que ele saiba qual é o fingerprint do verdadeiro certificado da AC-Raiz, e estiver usando o navegador Internet Explorer, ele não saberá se o fingerprint sendo mostrado na tela foi também copiado pelo falsário do certificado verdadeiro, ou se está sendo calculado pelo navegador naquele instante. E nem poderá saber, por si mesmo ou por alguém de sua confiança, pois o módulo de segurança que funciona com o Internet Explorer da Microsoft é inauditável.

Mesmo que a vítima já tenha passado por isto antes, ao instalar o verdadeiro certificado da AC-Raiz em seu Windows, ele poderá ficar confuso, achando que o navegador está lhe perguntando sobre o certificado da AC-Raiz já instalado por ele, e não sobre um que lhe estaria sendo enviado naquele momento pelo interlocutor daquela conexão. Ou achar que se trata de uma renovação do certificado verdadeiro, já em posse do seu interlocutor mas não dele. Se estiver com pressa ou preguiça mental ele pode até desconfiar mas acabar racionalizando: afinal, a validade do documento e a veracidade de sua autoria estão garantidas pelo parágrafo único do artigo 10 da MP2200-2, já que aquele documento é da própria AC-Raiz da ICP-B, como ele próprio diz (o calcanhar de Aquiles!). Este seria um cenário onde o golpe através de certificados falsos seria mais fácil que o do "roubo" (vazamento) da chave privada da vítima.

Caso o falsário precise inseminar certificados falsos no ambiente de operação do software da vítima ele estará, em princípio, ainda diante de um ataque mais fácil que o do "roubo" da chave privada, pois precisa apenas alterar um ou mais arquivos neste ambiente, cuja codificação não envolve nenhuma senha da vítima. Se ele quiser fazer um serviço limpo, que não deixa rastro, o cavalo-de-tróia pode ser acionado também para reestabelecer o estado anterior deste software, após sua aceitação do documento fraudulento, em relação aos exemplares de certificados que mantém armazenados em disco, e depois deletar-se. Se o falsário já negocia eletronicamente com a vítima fica mais fácil contaminar seu ambiente com um cavalo-de-troia, pelo hábito de ambos trocarem arquivos pela rede.

Se necessária, a inseminação anterior da máquina da vítima com certificados falsos só será detectada se o software anti-virus ou outro software de segurança da mesma vigiar adequadamente o software de verificação de assinaturas, mas cavalos-de-tróia feitos ou adaptados sob medida podem burlar qualquer anti-virus, se houver competência suficiente na sua confecção ou adaptação. Se o falsário não souber fazer tudo isso sozinho, há uma pizzaria em Brasília onde se reúnem semanalmente cibervândalos de aluguel, onde tal serviço pode ser contratado. Serviços corriqueiros já tem preço tabelado. Se e quando este tipo de golpe virar rotina, certamente suas variantes também terão preço tabelado.

E se a ferramenta para inseminação remota de certificados falsos falhar, resta sempre a alternativa do suborno ou ação furtiva para contaminar in loco a máquina da vítima. Neste caso seria suficiente, na maioria das situações, um disquete de boot e um curto circuito na bateria da BIOS para zerar a senha de setup do computador da vítima. Para detectar esta ação furtiva simples, o software de lavra e verificação de assinaturas teria que estar fazendo validação mediante senha dos arquivos que armazenam certificados. Neste caso a ação furtiva precisa de duas etapas: uma para grampear ou quebrar esta senha, e outra para modificar, de forma indetectável, o arquivo contendo os certificados no disco da vítima. Por exemplo, com a instalação via este boot de um rootkit contendo grampo de teclado. Ou numa intervenção mais limpa, que não suja os bits da vítima, via chip que se coloca dentro do teclado para grampear senhas. Neste caso o golpe dos certificados falsos seria de mesmo grau de dificuldade técnica, e mais arriscado que o do "roubo" da chave privada pois tende a deixar mais rastros.
 

7- Conclusão

Deste cenário de riscos decorre a importância de uma lei de assinatura digital considerar a segurança computacional do ambiente criptográfico no varejo, onde assinaturas são lavradas e verificadas pelo cidadão comum, ao decretar sua segurança jurídica. Para haver equilíbrio, é necessário que tal lei se atenha objtivamente a todas as condições de operação dos sistemas criptográficos, cuja ação surtirá, direta ou indiretamente, os efeitos jurídicos por ela criados. Isto busca fazer, por exemplo, a lei italiana, que, depois de mais de cinco anos de debate, deixou claro seu objetivo de buscar a segurança jurídica da sociedade, e não os interesses deste ou daquele grupo, confessáveis ou não. Daí o perigo no poder do comitê gestor para "homologar aplicativos", num contexto onde este comitê não exibe ainda o perfil adequado para compreender ou se sensibilizar com o impacto e a dimensão dos riscos à segurança jurídica da sociedade decorrentes das normas que dita.

Ademais, um contexto no qual o caminho de menor resistência para este comitê será justamente o de "sacramentar" o uso no varejo de ambientes computacionais dos mais promíscuos e vulneráveis possíveis, isto é, os que hoje pululam o ciberespaço. A norma da ICP-B só se ocupa da segurança computacional no ambiente das certificadoras crendenciadas, e a pressa com que o Executivo quer instalá-las e pô-las em operação ainda não está bem explicada nem compreendida, no plano jurídico. Por sua vez, esta operacionalização precipitada, sob o atrativo dos desequilíbrios jurídicos da MP2200-2, pode ser o passo necessário par se criar "fatos consumados" que justifiquem passos seguintes no projeto virtualizante por trás deste ucasse, como por exemplo, o da homologação de aplicativos por critérios obscuros ou mal explicados.

Como disse no artigo "O silêncio que produz ruídos", e explico em mais detalhes no início desta artigo, a revogação retroativa sem possibilidade de auditoria externa nas certificadoras é um golpe muito mais limpo e devastador para a socieade do que o "roubo" de chaves privadas ou a falsificação de certificados em ambientes computacionais promíscuos. Por outro lado, é um golpe de possível interesse para quem estiver, no mercado do crime organizado, em posição oposta em relação ao da falsificação de certificados e "roubo" de chaves, mas facilitado pela justificativa de se combater estes. Portanto, há aqui uma possibilidade natural de parceria. Para melhor entender este tipo de golpe, é essencial que sejam compreendidos dois dos seus detalhes.

Para rogar tal confiança, ou para cuidar da ocultação de tais sinais, o argumento da incompetência alheia advinda da ignorância "do sistema", direcionado a desqualificar a questionamento de quem critica esta rogação ou aponta tais sinais, cai como uma luva Kafkiana  E esta luva já foi publicamente oferecida em pelo menos três ocasiões, e nelas calçada pela mídia. Pela dimensão de tais golpes, eles serão filtrados pelo seu significado político. A acusação "fraudulenta" viria a surgir com o "óbvio propósito de denegrir a imagem e dilapidar o patrimônio político" do acusado, certamente por motivos mesquinhos, tal qual na investigação do escândalo da SUDAM. Mas com a crucial diferença de que, aqui, o campo jurídico é antes preparado para que eventuais provas sejam tecnicamente insustentáveis. E na dúvida, pró réu, o que significa garantia de impunidade. Se já é difícil ao ministério público e à Justiça investigarem crimes de grande calibre cuja execução precisa deixar rastro documental em papel e tinta, imagine-se o que virá quando o círculo que delimita o buraco negro dos sistemas de informática for ampliado para alcançar qualquer tipo de documento.

Imagine-se este mesmo cenário para o Sistema de Pagamento Brasil, comparando-o ao cenário atual em que se apresenta seu mentor e dono, o Banco Central do Brasil. Com rastros em papel o trabalho de auditores internos como Patruni Junior hibernou em gavetas, onde só pôde chegar por ocultação ardilosa de sua octanagem.

Com rastros em papel o processo contra a fraude do Banco Nacional sumiu, junto com o interesse da mídia, até quase a data de sua precrição. Fraude esta cuja investigação, aliás, não chegou a atingir o auditor externo do réu, a empresa KPMG, algo impensável em cenários equivalentes em outras culturas no primeiro mundo, como por exemplo, o do caso Enron nos EUA. Auditor externo este que, por sinal, é hoje o mesmo auditor externo do próprio Banco Central.

Com rastros em papel o Ministério Público não consegue afastar por mais de quinze dias, da fábrica e da lata de lixo de documentos do Banco Central, a sua chefa de fiscalização interna, para rastrear os indícios públicos de seu envolvimento em suposto tráfego de influência no caso dos bancos Marka e Font-Cidam.

O que acontecerá quando os documentos assinados em papel forem substituídos por cadeias de bits, para as quais o conhecimento das entranhas do processo que lhes irá presumir "verdadeiros em relação aos signatários" estará bloqueado à sociedade, ao Judiciário e a qualquer outro poder público, e restrito ao "foro privilegiado" da auditoria interna decretada pela MP2200?

A solução para os problemas aqui levantados certamente não estará, como já se cogitou,  no Executivo negociar, a peso de ouro, a distribuição do certificado auto-assinado da AC-raiz da ICP-Brasil no navegador usado por nove entre dez estrelas, e nos obrigar a usá-lo como "garantia de validade jurídica das transações eletrônicas", algo semelhante ao que tentaram fazer os gestores do FUST em relação ao programa Internet na Escola, com sua "garantia de sucesso no mercado de trabalho do futuro" para os alunos da rede pública do ensino médio e fundamental. A medida cogitada só iria dificultar um pouco mais o mais simples dos golpes possíveis na segurança jurídica da ICP-B.

Não sabemos exatamente do que veio tratar o presidente da Microsoft com o Presidente da República, que o recebeu no Planalto em 20/8/01. Mas sabemos que sua empresa está negociando sua apenação por práticas monopolistas predatórias exercidas no negócio em torno deste navegador. E também sabemos que ela deseja legitimar a ocultação, aos seus usuários, da verdadeira dimensão dos riscos a que estão se expondo através do uso de seus softwares, valendo-se de argumentos Kafkianos, através da recente fundação da OIS e de muito dinheiro para gastar com lobby e com mídia.

A solução para os problemas aqui levantados está na sociedade se aperceber das consequências do desequilíbrio jurídico na norma que o Executivo está querendo lhe impor, e demandar dos outros Poderes a correção de rota na evolução desta norma, em direção ao equilíbrio jurídico que lhe seja aceitável, antes que seja tarde. Caso contrário estaremos contribuindo, com nosssa omissão, para a construção de um Estado predador, como o define Manuel Castells em sua monumental trilogia "A Era da Informação: Economia, Sociedade e Cultura", obra essencial para aprendermos a navegar no turbulento espaço de fluxos que tece a realidade contemporânea.