Certificado digital, Chaves públicas e Assinaturas
O que são, como funcionam e como não funcionam
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
14 de agosto de 2000
Parte 1: A assinatura convencional e a eletrônica
Parte 2: As premissas da autenticação
Parte 3: Os limites da confiança
Parte 4: Como confiar em certificados digitais?
Parte 5: PKI - Infra-estruturas para chaves públicas
Parte 6: Leis sobre assinatura digital e seus riscos
Parte 7: As leis sobre assinatura eletrônica nos EUA
Ao simplificar explicações sobre estes temas para alcançar a atenção que o leitor médio dispensa à leitura, autores tendem a cometer incorreções perigosas, e quando buscam apoio em profissionais da área, muitas vezes repassam distorções guiadas por interesses comerciais ou ideológicos, ou mesmo por ingênuo entusiasmo, em matérias que pretendem ser didáticas sobre o tema. Esta serie de sete artigos tenta contrabalançar esta tendência.Os primeiros protocolos para autenticação simbólica não triviais foram adotados em jurisprudências comerciais, no final da Idade Média. Eram as letras de cambio, introduzidas por banqueiros da península italiana. Não é por coincidência que, historicamente, tenham demorado tanto para serem concebidos e assimilados, pois suas nuanças de funcionalidade e premissas de confiabilidade não podem ser comprimidas em contextos intelectuais ou cognitivos limitados.
A correta compreensão das limitações e premissas desses protocolos, e dos riscos e responsabilidades decorrentes, tampouco poderá se dar na pressa e superficialidade comuns à comunicação de massa. Só poderá ser assimilada através de atenta reflexão. Esta série é dedicado ao leitor que estiver disposto a buscar tal nível de compreensão, sobre as questões acima introduzidas.
A assinatura digital, assim como a convencional, procura oferecer garantias de identificação da autoria do documento à qual é aposta, como também da integridade de seu conteúdo desde o ato de sua assinatura. Serve também para vincular vontade ou anuência do autor ao conteúdo do documento, em contratos. Por isso não se deve assinar papel em branco nem documento rasurado ou não lido, nem se dar credibilidade a documentos assinados que contenham rasura.
Mas esta comparação está ainda incompleta. Precisamos saber a quem, e como, tais garantias são oferecidas, antes de nos deixarmos levar pelas promessas virtuais. Nesse ponto imprecisões comprometedoras, e mesmo falácias, podem surgir da simplificação. Algumas chegam a mencionar riscos da assinatura convencional ser falsificada ou roubada, e que esses riscos não existiriam para a assinatura digital, quando o contrário seria, pretende-se mostrar, muito mais plausível.
Só teria sentido o "roubo" de assinatura convencional, à caneta e em papel, para reuso. Isto é, sua extração de um documento legítimo para autenticar um outro. O roubo literal produz rasura ou emenda no suporte físico da assinatura reusada -- o papel, que a vincula ao conteúdo pretensamente autenticado. Mas rasuras ou emendas são facilmente detectáveis por inspeção deste suporte. Entretanto, para a assinatura digital não há suporte material, pois o documento eletrônico é apenas uma seqüência binária, que representa símbolos. Alem de codificar seu conteúdo, esta seqüência terá que servir também como suporte para sua própria assinatura.
Para documentos eletrônicos, é ingênuo e perigoso pensar no meio magnético como suporte, já que cópias digitais são indistinguíveis de "originais". Sua assinatura digital deverá então ser calculada, a partir da seqüência binária que lhe dá suporte e de uma outra seqüência binária que servirá para identificar o assinante, denominada chave de assinatura. A seqüência de bits resultante deste cálculo é então aposta a seu suporte, isto é, concatenada a tal documento. Para eficácia do processo, tal chave precisa ser mantida em sigilo por seu titular, e por isso é também chamada de chave privada. O equivalente ao sigilo da chave privada na assinatura convencional é a exigência legal de que sua impressão seja cursiva, ou seja, de próprio punho. Por isso a reprografia as invalida.
A exigência da caneta e tinta serve portanto para impedir falsificações não-cursivas. Impressões cursivas marcam o papel de modo rítmico, irregular, enquanto as reproduções fotográficas e carimbos não, sendo assim distinguíveis da escrita manual.
Ampliando-se o sentido literal de roubo tem-se a contrafação, que é a falsificação cursiva de uma assinatura de punho. A contrafação requer conhecimento e reprodução de padrões adquiridos pelo cerebelo do titular da assinatura, o que quase sempre revelará sua inautenticidade numa perícia grafotécnica. Se duas assinaturas são absolutamente idênticas na forma, pelo menos uma delas terá sido produzida por impressão não-cursiva, já que ninguém produz à mão duas assinaturas exatamente iguais. E se duas assinaturas de punho, que pretendam a mesma titularidade, diferirem significativamente em ritmo e forma caligráfica, pelo menos uma será tida como falsa.A verificação de assinaturas digitais não é, como a convencional, feita apenas por inspeção visual. Primeiro inverte-se o calculo da assinatura, que deverá produzir a seqüência binária à qual foi aposta, representando o conteúdo por ela autenticado. Para isso o verificador precisa obter do assinante uma outra chave criptográfica, capaz de sempre reverter a operação da chave privada que gera assinaturas. Estas duas chaves formam um par. A verificação se dá pela exatidão desta inversão, que assim atestará a integridade do suporte (o documento) desde o ato da assinatura, e vinculará a mesma titularidade às chaves usadas na assinatura e na verificação, dando suporte à identificação do assinante. Nos próximos artigos, veremos porque a criptografia é essencial ao processo.
Parte 2: As premissas da autenticação
O roubo literal de assinaturas de punho é inócuo, mas o roubo de assinaturas digitais poderia em princípio ter sucesso, já que uma assinatura digital é apenas uma seqüência de bits concatenada ao documento que pretende autenticar. Afinal, recortes ou colagens digitais não deixam marcas ou rasuras. Para neutralizar esta possibilidade é que se deve usar criptografia no cálculo da assinatura digital. Neste caso, uma assinatura digital não terá sucesso para autenticar outros documentos, pois a probabilidade de que a verificação digital resulte exata numa reutilização pode ser ajustada, pela criptografia, para ser tão próxima de nula quanto queiram as partes no protocolo. Isso pode parecer infalsificabilidade à primeira vista, mas há aqui outros detalhes, e também uma premissa de sigilo, que precisam ser examinados.Para que o titular de um par de chaves tenha garantias de que um verificador não usará sua chave de verificação para fraudar documentos em seu nome, seu par de chaves precisa ter características essenciais: Deve ser proibitivo, para um pretenso verificador, o custo para se deduzir a chave de assinaturas a partir de assinaturas por ela criadas, ou da sua correspondente chave de verificação. Neste caso a chave de verificação, devidamente titulada, pode ser distribuída às claras, sendo por isso chamada de chave pública. Arquivos em formato binário padronizado autenticados, para distribuição de chaves públicas tituladas, são abreviadamente chamados de certificados digitais.
Para a assinatura convencional, o equivalente à titularidade de uma chave pública autenticada é a exigência de que sua verificação seja feita por comparação a um documento de fé pública, tal como o registro para carteira de identidade, um cadastro funcional ou financeiro, ou a assinatura na presença e com o registro de testemunhas. Quem assina ou verifica uma assinatura de punho sabe como sua própria negligência poderá lhe expor à fraude, podendo com isso decidir o equilíbrio aceitável entre risco e conveniência nas suas interações sociais. Mas ao delegar o ato de assinatura e verificação a um ambiente computacional, fica-lhe mais difícil perceber como a negligência, incompetência ou má fé de quem faz, instala ou gerencia elementos desta nova plataforma de autenticação poderiam lhe expor a embustes antes desconhecidos. Fraudes em documentos de papel decorrem quase sempre da imprópria verificação de assinaturas, mas em documentos digitais elas podem ser bem mais sutis, pois a criptografia apenas transfere para outro objeto o interesse do "roubo".
Sistemas com as características essenciais para assinatura, chamados algoritmos de criptografia assimétrica, são raríssimos. São constituídos de grandes conjuntos de pares de chaves criptográficas e as duas funções de cifragem. Se as funções de cifragem comutarem, ou seja, se cada chave sempre inverter a operação de seu par, uma chave pública pode ser também usada para estabelecer comunicações sigilosas com seu titular. Dentre os algoritmos assimétricos conhecidos, apenas quatro são hoje satisfatoriamente robustos: RSA, ECC, DSA e Meta-ElGamal. Desses, o DSA é propositadamente não comutativo e o ECC é uma adaptação do RSA. A descoberta destes algoritmos, no final da década de 70, é considerada tão importante por filósofos da ciência com cultura matemática para entender seu alcance, que alguns deles atribuem a uma passagem bíblica, no capítulo 2 do livro de Apocalipse, uma referência profética a esta descoberta.
Para melhor se entender e comparar a natureza dos processos de assinatura, pode-se traçar paralelos entre a destreza da mão que autentica assinando -- e a chave privada, e entre a perspicácia do olho que verifica comparando -- e a chave pública. Constatamos então que um processo de autenticação baseado em assinatura só será eficaz se quem nele se engajar tiver meios para substanciar duas crenças:
1)- Ninguém alem do titular de uma chave de assinatura a conhece.Estas são as premissas de confiabilidade dos processos autenticatórios baseados em assinatura. No processo por assinatura de punho existem salvaguardas que nos permitem substanciar tais crenças. Mas para a assinatura digital estas salvaguardas se tornam bem mais sutis e delicadas, com tentará explicar o restante desta série.2)- Alguém com uma chave de verificação deve poder identificar o titular de suas assinaturas.
Como a chave privada é uma seqüência de bits, consideremos a possibilidade de que tal chave seja vazada, isto é, que alguém obtenha uma cópia desta chave. Documentos podem então ser forjados de forma perfeita, como se fossem da autoria de quem é identificado pelas assinaturas produzidas por ela. Aí começam os problemas da assinatura digital. Vazamento não é o mesmo que roubo, pois a chave pode ser copiada sem que seu titular perceba. Já um cerebelo, se roubado, não servirá para assinar papéis, como no caso da chave privada. Cerebelos não podem, ainda, ser copiados. E se algum for roubado, seu titular morreria. A crença na primeira premissa para a assinatura de punho vem do conhecimento atual sobre o corpo humano e suas habilidades.
Mas na ausência de suporte material, onde a assinatura digital autentica, algo muda. Seria ingênuo transferir, da assinatura de punho para a assinatura digital, a crença na primeira premissa, já que a natureza em cena não é mais a do corpo humano e sim a da psique, tornando possível um tipo de fraude até então incabível: a alegação do titular de um par de chaves, em má fé, de que sua chave privada foi involuntariamente vazada, para refutar a autoria de assinaturas que o identificam. O titular poderá até alegar que só se deu conta do suposto vazamento após a data no documento cuja assinatura repudia, para se livrar de eventuais responsabilidades por negligência. Por outro lado, que juiz levaria a sério uma alegação de roubo de cérebro por parte de quem deseja contestar um laudo grafotécnico? Temos dificuldades para enxergar os riscos de fraudes indefectíveis na esfera virtual porque tais fraudes são impensáveis na esfera convencional.
Parte 3: Os limites da confiança
Comparemos com um exemplo a funcionalidade de não-repudiação nos dois tipos de assinatura. O projeto de um edifício arquivado numa prefeitura, digamos que seja o do Palace II, contem assinatura do responsável pelo projeto e construção, e seu número de registro no CREA. Identificado o titular deste registro, a assinatura no projeto pode ser verificada contra a assinatura no CREA. Se este titular alegar em juízo que sua assinatura no projeto foi fraudada por desafetos políticos para incriminá-lo, o juiz poderá pedir e acatar o laudo de perícia grafotécnica sobre a autenticidade da assinatura aposta ao projeto, relativo à do registro no CREA.Se a assinatura for digital, o titular poderá alegar que sua chave privada teria sido copiada de seu computador, sem seu conhecimento e para incriminá-lo. Caso seja hábil na manipulação de seu computador, não haverá perícia técnica possível capaz de, competente e honestamente, desmenti-lo ou inocentá-lo. Como também haverá perícias possíveis capazes de, competente e desonestamente, tanto desmenti-lo como confirmá-lo, através da manipulação posterior e indefectível da mídia magnética apreendida.
Mas o que fazer quando se descobre ou se suspeita que a chave privada foi mesmo comprometida? Certamente seu titular desejará invalidar aquele par de chaves. Mas como avisar a todos que detenham uma copia da sua chave pública, por ele ou por outros distribuída, de que agora tem motivos para não mais querer vincular-se a documentos através daquela chave? Afinal, uma cópia de certificado digital é indistinguível do "original", retendo a mesma funcionalidade deste.
Revogar um certificado digital não é tão simples quanto cassar uma carteira de motorista. Para cassá-la o DETRAN intima seu titular a devolvê-la. E os certificados? Quanto custa tentar revogar todas as cópias de um certificado? Como autenticar as tentativas de revogação, já qua a chave autenticadora é a que está comprometida? Qual sua eficácia presumida? Como se distribuem responsabilidades entre verificador e titular, com relação à diligência para se evitar responsabilidades em assinaturas cuja validade seja questionada por tentativas pretéritas de revogação? Podemos ver que as nuanças e premissas da assinatura digital são delicadas.
Minha primeira carteira de motorista tinha as assinaturas de punho do diretor do DETRAN e a minha, e dizia no timbre: "não plastificar". Era um documento de fé pública. Quando renovei, a economia de escala havia substituído a assinatura do diretor por sua estampa, tornado mais fácil sua contrafação, então equivalente à falsificação ou roubo do papel timbrado e a fraude eletrônica no banco de dados do DETRAN para "esquentá-la". Noutra renovação, um contrato do DETRAN com uma empresa transformou-a num crachá, onde ambas assinaturas viraram timbres. Agora é também plausível a repudiação da contrafação pelo suposto titular, caso seja descoberto que sua carteira cassada foi "esquentada".
Crachás não são documentos assinados, como são os contratos e escrituras. São simulacros dos documentos que supostamente lhe deram origem. São indexadores físicos de bancos de dados digitais. Mas por hábito os tomamos como documentos assinados e, por fina ironia, a facilidade para suas contrafações nos é apontada como motivo para nos jogarmos depressa nos braços dos computadores. O que não seria em si perigoso, não fosse a presença da índole humana no controle dessas máquinas.
Algumas leis de assinatura digital tentam artificialmente superar tais dificuldades "criando" por decreto a função de não-repudiação do processo autenticatório que legitimam, declarando a responsabilidade completa e total do titular de uma chave privada pela sua guarda (p.ex: a lei do estado de Utah). Mas aí surge outra classe de problemas com a primeira crença, sobre o sigilo da chave, afetos ao controle dos processos digitais.
Seu par de chaves será gerado por um programa, quase certamente de autoria alheia. E o par será armazenado em alguma mídia óptica ou magnética, já que as chaves são muito longas para serem memorizadas (~1024 bits aleatórios). E mesmo que memorizasse sua chave privada, teria que transferi-la ao computador sempre que fosse usá-la. A mídia onde é armazenada e a memória onde será temporariamente alocada para o calculo da assinatura em documentos são manipuladas e gerenciadas por programas, também quase certamente de autoria alheia.
Para se evitarem riscos numa possível promiscuidade, consentida ou não, do ambiente computacional onde tal cálculo será processado, pode-se armazenar a chave privada em um cartão inteligente (smartcard), que conterá também um processador para efetuar esses cálculos, com as respectivas instruções. O smartcard cria um ambiente computacional dedicado para a chave privada, de onde ela não precisará mais "sair", uma vez lá armazenada.
Mas com a índole humana em cena, a própria tecnologia para testar a qualidade e o correto funcionamento destes cartões pode ser usada para, se o cartão não tiver sido projetado e fabricado com as devidas precauções, deduzir a seqüência binaria da chave privada ali armazenada, através da leitura de flutuações na corrente elétrica fornecida ao cartão no momento do cálculo, pela plataforma em contato direto com o cartão, onde estará o documento a ser assinado e onde será aposta sua assinatura.
Como então aceitar tais responsabilidades, caso o titular se sinta impedido de julgar a confiabilidade dos mecanismos de suporte à guarda de sua chave privada? Esta situação é comum, já que as licenças de uso de software exigem que este seja aceito como é, eximindo seu produtor de responsabilidades por danos causados ao licenciado no uso. E se o software for proprietário, nem o licenciado nem um perito de sua confiança terão acesso ao código fonte do qual foi produzido, dificultando enormemente a descoberta nele de possíveis falhas, embustes ou engodos, atribuíveis ou não à intenção ou à negligência do seu produtor.
Parte 4: Como confiar em certificados digitais?
Sabemos que existem casos passados de engodos, embustes e falhas gritantes em softwares sensíveis, que usam autenticação eletrônica. Na nova legislação americana que pretende uniformizar as licenças de uso de software (UCITA), a investigação e divulgação de tais desvios será criminalizada. Tudo isso ocorre ao mesmo tempo em que a propaganda da maior empresa do mundo -- que produz software em regime de quase monopólio e patrocina o esforço por esta uniformização -- nos põe seu fundador e arquiteto-chefe a nos dizer que seus próximos produtos irão "antecipar nossas necessidades". O que fazer? Estas questões nos inquietam, mas fingimos que não são importantes, pois não gostamos do sentimento de insegurança e impotência que a atenção a elas nos provoca.O uso de chaves assimétricas oferece uma técnica de autenticação digital bem versátil e prática, embora delicada, sendo a técnica digital que melhor se aproxima em funcionalidade da assinatura de punho, mas sem alcançar toda a funcionalidade desta. Ao contrário do que possa parecer numa leitura superficial, esta série de artigos não promove a tecnofobia ou o neo-ludistismo, nem combate o uso da assinatura digital. É plausível que seu advento tenha sido profetizado há quase 2000 anos. Qualquer outra alternativa para autenticação digital apresenta riscos e limitações sensivelmente mais graves, assunto comentado em <http://www.pedro.jmrezende.com.br/trabs/biometrica.htm>. É o conhecimento das premissas e nuanças da autenticação digital que precisa ser promovido.
Não parece justificado o tipo de simplificação costurada para apresentar uma ou outra tecnologia como solução mágica para a segurança virtual e futura. Essas simplificações são perigosas. Muito menos as empulhações acerca da natureza dos riscos das partes envolvidas no seu uso, principalmente quando emanam de quem possa vir a lucrar com tais simplificações. Essas são ainda mais perigosas. A questão que deve ganhar foco não é se, ou para quem, uma tecnologia é boa ou ruim, mas como torná-la compatível com os princípios de liberdade humana, conquistados a duras penas por nossa civilização.
Precisamos saber onde estão os riscos no uso da assinatura digital, ou de qualquer outro procedimento de autenticação eletrônica, para, ponderando as responsabilidades decorrentes, podermos decidir em que situações aceitá-las como alternativa ao processo de assinatura de punho. Ou ao fio de bigode ou a outro mecanismo autenticatório com suporte físico socialmente aceito. Precisamos evitar o cerceamento do direito de decidirmos por nós mesmos em que situações aceitaremos tais riscos, para podermos influir, com nossas escolhas, no controle social de tais riscos, principalmente em serviços facilmente virtualizáveis e monopolizáveis. Precisamos, enfim, evitar o ciberaparthied.
As confusões sobre o tema se tornam ainda mais problemáticas quando se começa a falar de certificados digitais. As autoridades certificadoras, auto-proclamadas ou não, não podem gerar crença na primeira premissa da autenticação por assinatura, a saber, no sigilo da chave privada de quem se disponha a usar uma. Não protegem a chave privada de ninguém, exceto a própria. O único serviço coletivo que oferecem é algum tipo de suporte para substanciar crenças na segunda premissa, a saber, sobre como identificar titulares de chaves públicas, usadas para verificação de assinaturas ou para estabelecimento de canais sigilosos.
Suporte -- e não certezas. Mas o que elas vendem? Um serviço de autenticação digital de chaves públicas de terceiros, e listagens de revogação de certificados. Assinam digitalmente documentos binários padronizados (em formato x509) – os chamados certificados digitais de chave pública – contendo a chave publica e o nome de seu titular conforme apresentados, que é então enviado a tal titular para ser por ele redistribuído. Não vendem – por não estar à venda – a confiança em terceiros. Não podem vender a confiança na primeira crença enquanto as complexas questões sobre revogação, como as levantadas nesta série e outras, não forem resolvidas, sendo que algumas talvez nem possam.
Não é correto dizer que a chave privada "só poderá ser lida por quem detiver uma chave pública, como agencias estatais ou órgãos regulamentadores", como afimou um grande jornal (JB 06/07/00). A chave pública que é par de uma chave privada não a lerá, mas permitirá a inversão das operações por ela efetuadas. Chaves públicas não são programas, e sim seqüências aleatórias de bits, mas uma chave privada poderá ser lida – e portanto vazada – por qualquer programa que a ela tiver acesso. A afirmação acima parece referir-se a exceções legais à premissa de sigilo de chaves privadas, cuja crença é essencial para a eficácia do procedimento autenticatório nelas baseado. Tais exceções são tentativas estatais de controle sobre o processo de comunicação digital, classificadas na literatura especializada como mecanismos de caução de chaves (key escrow).
Houve esforços de aprovação e manutenção, nos EUA e na França respectivamente, de leis sobre caução de chaves privadas. Tais leis geram jurisprudência sobre o direito de se possuir e pôr em uso um par de chaves assimétricas, obrigando quem deseja exercê-lo a abrir mão do sigilo de sua chave privada para alguma autoridade judicial. Tal caução é uma renúncia à única proteção contra fraudes indefectíveis que um algoritmo assimétrico pode oferecer a um titular de chaves, e seria muito perigosa em um estado totalitário, irresponsável ou megalomaníaco. Os EUA não conseguiram ainda aprovar tal lei, e a França acaba de revogar. O "grande irmão" ainda não foi desta feita, mas é muito perigosa a insinuação de que a caução é necessária para a eficácia dos protocolos de assinatura digital. E é muito inquietante ouvirmos esta insinuação no Brasil.
Pode-se ler sobre o tema em livros de criptografia atualizados, e há até uma associação na industria de segurança computacional, a Key Recovery Alliance, dedicada à promoção das tecnologias de caução de chaves, como alternativa à velha tática de guarda da senha em envelope lacrado no cofre da empresa para o caso do proverbial caminhão atropelar seu titular. A recente falha de segurança no primeiro software a se utilizar de criptografia assimétrica na internet, o PGP, não tem nada a ver com falta de robustez da criptografia assimétrica, mas com a funcionalidade para caução de chaves que seu atual proprietário, a Network Associates, resolveu implementar para satisfazer preferências de grande companhias e do governo americano, apesar da longa história de oposição do PGP à caução de chaves enquanto era software livre (veja http://www.politechbot.com/p-01347.html).
Parte 5: PKI - Infra-estruturas para chaves públicas
Imprecisões são comuns em explicações leigas sobre o processo de certificação. São freqüentes as afirmações de que, para ter um par de chaves assimétricas, o internauta deve primeiro se cadastrar numa certificadora digital, após o qual passará a contar com uma função a mais em seu browser. Não é bem assim. A geração do seu par de chaves é o primeiro passo, que precisa ser executado em seu próprio ambiente para que a crença na primeira premissa da autenticação por assinatura seja substanciada.Com o PGP (programa para sigilo e autenticação de correio eletrônico), com certas ferramentas de groupware (ex: Lotus Notes) e com módulos administrativos de certos tipos de VPN (Virtual Private Networks) por exemplo, a geração do par de chaves e a distribuição da chave pública podem ser totalmente controlados pelo titular do par de chaves. É relativamente fácil escrever programas que geram chaves assimétricas e suas funções de cifragem. Vários alunos de computação na UnB já o fizeram.
O que as auto-denominadas autoridades certificadoras (CA) procuram hoje oferecer, valendo-se dos browsers, é uma infra-estrutura global para o uso interoperável de chaves criptográficas assimétricas: uma PKI (Public Key infrastructure). No caso dos browsers, o processo obedece aos padrões adotados pelo protocolo de segurança neles implementado, o SSL (Secure Sockets Layer), já adaptado ao TCP/IP como TSL. Ao pedir um certificado ao browser, o usuário gera um par de chaves assimétricas (usando uma função que deveria executar na sua máquina). A chave privada será armazenada no seu disco e a chave publica submetida à certificação pela CA escolhida, juntamente com os dados do titular, conforme irão constar no certificado x509 que a distribuirá. Esta CA assina tal certificado mediante cobrança, devolvendo-o assinado ao browser. Apenas certificados assinados são aceitos pelo SSL.
Não é a pessoa quem é cadastrada na CA, mas a chave pública. Posso cadastrar várias chaves públicas em meu nome. Posso cadastrá-las em nome do meu gato. As CAs podem até se esforçar, por um preço adequado, em verificar a identidade civil do titular dos certificados que assina. Mas legalmente se eximem desta responsabilidade, como pode ser lido nas declarações que divulgam a respeito das obrigações e direitos das partes no serviço que vendem. Veja por exemplo o Policy Statement da Verisign, ou o da Certisign, que no Brasil delega esta responsabilidade aos cartórios de notas e ofícios. Num certificado x509 o titular é apenas uma seqüência de letras, e cabe a quem for usá-lo interpretá-la como identificação de alguém ou de algo. A certificação não garante a identidade de ninguém, mas apenas a integridade léxica de uma chave pública e de um nome, a ela associado no ato de certificação por quem a apresentou.
"O certificado garante que o titular é quem diz ser" é um figura de linguagem para efeito de marketing. Apesar de repetida ad nauseum nas simplificações, não pode ser levada a sério, assim como não podemos levar a sério as insinuações nas propagandas de cigarros, bebidas e automóveis. A questão de alguém ser o que diz ser não tem nada a ver com criptografia. A criptografia é constituída de procedimentos sintáticos, e a identificação de uma entidade física ou jurídica é um procedimento semântico, um processo cultural que se torna bem mais complexo no ciberespaço, onde projetamos nossas expectativas e entendimentos para terreno desconhecido e etéreo. Quem é "merlin@ig.com.br"? Quem é "www.amazon.com"? Quem é "encol"? Quem é "ikal"? Quem é "grupoOK"? De que forma cada uma dessas seqüências de letras poderia garantir ser quem diz ser, ontem, hoje ou amanhã?
Certificados assinados por CAs são necessários ao browser porque este implementa o SSL. No SSL, uma cadeia de autenticação é percorrida, onde as chaves públicas destas entidades são usadas para verificar assinaturas em certificados, transmitidos ao browser no momento da abertura de uma conexão protegida (as que mostram um cadeado fechado na tela). Um certificado enviado ao SSL contem a chave pública para estabelecimento de sigilo com seu titular, ou para verificação de sua assinatura. A integridade do conteúdo deste certificado é verificada pela chave publica da CA que o assinou. Mas quem autentica a chave publica desta CA?
O truque aqui está no fato do browser já vir com algumas delas, em certificados auto-assinados. Estes certificados auto-assinados terminam as cadeias de autenticação no SSL, afirmando no protocolo algo como "eu sou um certificado íntegro", apesar do ambiente onde operam poder não sê-lo, se nele estiver ativo algum troiano ou backdoor. Existe no caso deste cenário o risco de um certificado auto-assinado ser introduzido por um troiano para fins de embuste, se a proteção ao ambiente computacional for inadequada. Este é, hoje, o calcanhar de aquiles das PKIs que poucos gostam de reconhecer. No SSL a certificação do usuário do browser é opcional, mas a normatização de procedimentos ou cartelização de serviços que usam a internet poderá exigi-los, antes que as questões sobre riscos e responsabildades inerentes à guarda de chaves e certificados em seu ambiente de operação sejam devidamente abordadas.
Há uma luta econômica sendo travada sobre o tema, que se desdobra em duas frentes. A primeira delas é pela jurisprudência do direito de se operar na hierarquia de cadeias de autenticação de certificados, em PKIs ou em outras infra-estruturas virtuais para o exercício da confiança. Quanto mais alta a posição na hierarquia, maior a fatia do mercado de venda de certificados ou instrumentos autenticatórios com demanda assegurada. Os certificados possuem prazo de validade, justificado para se atenuar problemas afetos à revogação, e portanto precisam de renovação constante.
Nesta frente a luta se desdobra em batalhas pela imposição de protocolos proprietários, em detrimento de protocolos abertos, visto que os abertos apresentam obstáculos à monopolização de serviços e à imposição de padrões "de mercado". A segunda frente na luta econômica hora em curso sobre o tema concentra-se no dimensionamento do mercado de mecanismos eletrônicos de autenticação.
Parte 6: Leis sobre assinatura digital e seus riscos
Quanto mais pessoas e processos forem obrigados a usar certificados digitais ou instrumentos equivalentes, maior o mercado garantido. E para tal age o lobby legislativo dos que são "a favor do e-commerce". Esta série de artigos não busca combater a assinatura digital ou o e-commerce, mas divulgar conhecimento sobre o cenário onde surgem. Criptólogos precisam ser interdisciplinares, e ficam assim mais sensíveis a esses assuntos. E alguns sentem-se no dever de alertar a opinião pública sobre o que está em jogo na revolução digital.Nos EUA a câmara de deputados aprovou (426 votos a 4), e o presidente Bill Clinton promulgou em 30/06/00, uma lei que valida o uso de "assinaturas eletrônicas" em documentos digitais. Esta lei também exige do governo federal empenho pela aprovação de legislação semelhante em outros países. Segundo Lauren Weinstein, moderador do Privacy Forum e membro do comitê para políticas púbicas da Association of Computer Machinery, tal legislação torna substituível a assinatura de punho por praticamente qualquer procedimento que as partes envolvidas resolvam chamar de "assinatura eletrônica", sem nenhuma salvaguarda requerida dos seus mecanismos, em termos de padrões mínimos de funcionalidade autenticatória ou proteção contra embustes e falhas, intencionais ou não.
Ao permiti-las sem critérios, permitirá também que cartéis estabeleçam, por sua própria conta, os níveis de custo indireto com riscos de fraudes, conluios, falhas e limitações a que estarão expostos os usuários de seus serviços e produtos. Nós, usuários comuns, precisamos estar atentos para o fato de que há riscos na virtualização de processos de interação social, e que a usurpação do direito de decidirmos, coletiva ou individualmente, em que casos sua conveniência compensa os riscos, é a verdadeira ameaça desse lobby legislativo que busca, em síntese, acelerar e lotear um mercado estratégico. O mercado dos instrumentos de controle da própria virtualização dos processos sociais, cuja regulamentação no Brasil está em discussão no Congresso, em seis propostas para a chamada "lei do comercio eletrônico", cuja aprovação é prometida para este ano.
O mais recente exemplo da perda individual desse direito de escolha ocorre no Brasil, pelo decreto presidencial Nº 3.585, de 5/9/2000, que em seu art. 57-A. estabelece: "A partir de 1º de janeiro de 2001, os documentos a que se refere este Decreto [regulamentado o uso da PKI do governo Brasileiro] somente serão recebidos, na Casa Civil da Presidência da República, por meio eletrônico." Para que possa haver controle social sobre os riscos coletivos a que estaremos sendo expostos nesta urgência pela legitimação de processos digitais, é importante identificarmos aqueles protocolos cuja eficácia e segurança puderam, podem e poderão ser analisados e verificados abertamente, por toda a comunidade que estaria a ele se submetendo.
Das possíveis falácias sobre este tema, a mais nefasta é se engajar na crença de que eventuais proibições à análise de protocolos proprietários e secretos possam oferecer ao consumidor alguma proteção ou vantagem duradoura. Esta crença obscurantista promove a verdadeira exclusão social da era digital. A alardeada ameaça dos piratas e hackers, onde já foi invocada para este propósito, não pôde ser comprovada, como nos processos contra usuários que promovem o Napster ou o DeCSS. Tais proibições tentam proteger apenas o risco econômico de quem possa se interessar em investir em protocolos proprietários, a partir de uma posição privilegiada no mercado. Ainda mais do que já lhes protegem, hoje, os termos das licenças de uso do software de prateleira. (veja p.ex., comentário em artigo disponível em <http://www.law.com/>).
Existe nesta luta um risco grave, inerente à condição humana, perpetuado na crença da suprema sabedoria da mão invisível do mercado. É o risco da legitimação dos protocolos digitais ser guiada por questões de conveniência, antítese da segurança. Nos protocolos de autenticação digital conhecidos, apenas os que empregam a criptografia assimétrica podem oferecer algum grau de não-repúdio aos regimes jurídicos reguladores dos contratos onde forem ser usados. Em todos os outros, a autenticação se baseia em algum compartilhamento de segredo e a não-repudiação é por isso vazia, pois o verificador estará apto a usar o segredo compartilhado para personificar o assinante, em outros documentos. Criá-la por decreto é arremedar na vida a ficção Orwelliana. (veja http://firstmonday.org/issues/issue5_8/mccullagh/index.html)
A única proteção possível para o usuário em relação aos riscos inerentes ao uso de protocolos digitais, está em se evitar que a autoridade para legitimação de sua eficácia ou de sua obrigatoriedade se restrinja ao próprio fabricante e seus parceiros. Em outras palavras, em se evitar que a raposa tome conta do galinheiro. A ocultação da lógica de um protocolo digital não tem nada a ver com sua funcionalidade ou segurança, como pode ser insinuado ao leigo. Não se trata de tecnofobia mas sim de liberdade, e um exemplo pode ajudar a dissipar impressões errôneas sobre as intenções do autor.
O último projeto de graduação em Ciência da Computação na Universidade de Brasília, orientado pelo autor, rendeu ao aluno e seus sócios na empresa que montaram com o produto do projeto, o 1° prêmio no 1° concurso nacional e-cobra para planos de negócio em comércio eletrônico no Brasil, em julho deste ano <e-cobra.com.br>. Tendo concorrido com 740 outras empresas, o serviço de editoração eletrônica virtual da CopyMarket, que oferece proteções inéditas no mundo a autores de obras literárias, foi concebido e montado sobre protocolos de segurança e em ambiente de desenvolvimento livres e abertos.
Quando a mídia anuncia novos produtos ou serviços afetos à segurança dos processos de informação, prestaria um grande benefício à coletividade se procurasse informar o funcionamento e a natureza dos protocolos subjacentes, ao invés de apenas repetir a linha de promessas alardeadas pelos magos da comunicação encarregados de promovê-los. Propaganda é sempre propaganda, seja de software, de cigarros ou de bebidas. É apenas veículo de opinião. Notícia é outra coisa.
Parte 7: As leis sobre assinatura eletrônica nos EUA
As batalhas em torno da adoção de padrões para autenticação eletrônica, com força de lei, estão atingindo momento decisivo. O modelo proposto para o ambiente do comércio eletrônico pela UNCITRAL Electronic Commerce Model Law busca, em seu artigo 13, fazer com que o ônus da prova de forja ou de não negligência recaia sobre o titular da assinatura, ao contrário da jurisprudência tradicional na sua quase totalidade, refletindo enorme pressão de forças de mercado. Já a seção 15 do Electronic Transactions Act (CWTH) de 1999 rejeita o artigo 13 da UNCITRAL e determina a imputabilidade da assinatura somente perante autorização de seu titular. Qualquer que sejam entretanto as disposições de uma lei sobre a repudiação, ela será falha nos casos em que a segurança do ambiente onde a assinatura é produzida não puder ser assegurado. E aí surge um abismo.Um bom retrato deste momento pode ser lido num relatório, elaborado para o Congresso dos EUA pelo serviço de pesquisa de sua famosa Biblioteca, que trata do desenvolvimento tecnológico e de questões legislativas afins. Este relatório define vários conceitos, apropriando-se do termo "assinatura" para descrever o que, em criptografia, é conhecido como autenticação, isto é, qualquer método de verificação de identidade para fins de controle de acesso a sistemas e autorização de transações eletrônicas. Vários desses métodos, tais como os que se baseiam em senha memorizável (login), em senha portável (PIN) ou em senha intransferível e irrevogável (atributo biométrico) são ali citados como exemplos de "assinatura eletrônica".
O uso de chaves assimétricas é citado como sendo um dos vários tipos de assinatura eletrônica. Ali chamada de "assinatura digital", seu uso é explicado para prover não-repudiação e verificação de integridade ao documento eletrônico a que se vincula. Como já foi explicado antes, outros mecanismos não podem prover tais funções por basearem-se em compartilhamento de segredo, mas esse detalhe é ali desconsiderado.
As qualidades de não-repudiação e verificação de integridade, providas em adição à identificação do assinante pela assinatura de punho, fazem dela o único mecanismo autenticatório aceitável para a espécie jurídica do contrato, na tradição do Direito. O princípio jurídico da analogia, aplicado à evolução tecnológica, deveria exigir essas mesmas qualidades de um mecanismo equivalente, para os contratos no comércio eletrônico.
A acepção ampliada de "assinatura" ignora as propriedades necessárias para prover não-repudiação e integridade à autenticação, justamente aquelas que, na esfera virtual, definem a criptografia assimétrica. Qual seria então o real motivo para a Biblioteca do Congresso dos EUA apropriar-se do conceito de assinatura, em um sentido dissonante ao princípio da analogia aplicado à sua função contratual, quando a alegada justificativa para isso é a necessidade de sua regulamentação para promover o comercio eletrônico? Podemos encontrar explicações para esta transfiguração semântica do conceito, nas entrelinhas. Não só nas desse relatório, mas também nas dos argumentos de certas empresas interessadas neste processo legislativo.
A criptografia assimétrica é complexa. Para simplificar e desburocratizar o mundo virtual, optaríamos por ignorar o fato de que o compartilhamento do segredo que nos identifica perante um "sistema de computador", com ele mesmo, nos traz riscos. Esta simplificação equipara quaisquer mecanismos de "assinatura eletrônica" e torna a não-repudiação e a verificação de integridade, para fins de resolução de conflitos entre partes contratantes, mero e insignificante detalhe. Afinal, dizem as entrelinhas, computadores não erram nem têm intenções ocultas (programadores, quem sabe), e se a industria de software conseguiu amealhar a maior riqueza que a humanidade já viu, certamente é porque só poderá trazer-nos benefícios. Daí a pressão para que a tradição do direito seja abandonada e o ônus da prova de forja ou não negligência seja transferido do acusador para o titular.
Nos EUA, a jurisprudência para regulamentação do comércio é estadual. No momento, 36 dos 50 estados aprovaram ou discutem a aprovação de 76 leis sobre assinatura eletrônica. Tais leis se enquadram em 3 modelos. Há o modelo "prescritivo", como o da lei de Utah, que regula o uso de assinaturas digitais e o funcionamento de PKIs. Há o modelo "de critérios", como o da Califórnia, que estabelece parâmetros de funcionalidade e confiabilidade para o reconhecimento legal de mecanismos eletrônicos autenticatórios. E há finalmente o modelo "de outorga", como o de Massachussets, que não aborda critérios ou mecanismos, mas delega às partes envolvidas o poder de decidir qual mecanismo pode substituir eletronicamente a assinatura de punho. Das 76 leis, apenas 36 em 20 estados mencionam chaves assimétricas e PKIs.
Duas leis federais foram recentemente aprovadas nos EUA. O Digital Milenium Commerce Act e o e-Sign, que se sobrepõem às leis estaduais até que os estados uniformizem suas leis sobre autenticação eletrônica. Ambas seguem o modelo de outorga, sob o argumento de que o modelo prescritivo e o de critérios "engessam a tecnologia" enquanto o de outorga é "tecnologicamente neutro", e de que as forças do mercado melhor poderão escolher a tecnologia "mais adequada" para autenticação eletrônica. Entretanto, o modelo de outorga implicitamente pressupõe um equilíbrio entre as partes na escolha dos mecanismos permitidos, com relação a riscos e conveniências, que pela natureza do processo e da sociedade contemporânea não se dá. Ignora que, na tradição do Direito, onde este equilíbrio não ocorre naturalmente cabem códigos regulamentadores de defesa e de conduta das partes.
Os argumentos pelo modelo de outorga são equivalentes aos de que as leis de trânsito estariam engessando o desenvolvimento de navios, submarinos e aviões, por não permitir seu tráfego pelas ruas, ou as leis que regulam venda e porte de armas engessando o desenvolvimento de morteiros, granadas e bazucas, por não permitir sua livre comercialização, ou as leis para o comércio de medicamentos engessando o progresso da medicina, por não permitir a venda de qualquer substância nas farmácias e supermercados. Como se as leis de trânsito, de porte de armas e de controle de drogas devessem ser "tecnologicamente neutras"
. Leis sobre autenticação eletrônica não são nem podem ser tecnologicamente neutras por um motivo bem simples. Porque a capacidade humana de enganar, mentir, ludibriar, fraudar e explorar e abusar no poder não o é. A gritaria contra o "engessamento" da tecnologia autenticatória por parte dos lobistas do modelo de outorga, que parecem nada entender de tecnologia e quererem reinventar rodas na tradição do Direito, ocorre coincidentemente próximo à expiração da validade da patente do RSA nos EUA, que em 20/09/00 passará a ser de uso livre.
Um mercado que, através da competição, seleciona seus melhores produtos, é chamado pela teoria econômica de perfeito. Mas ninguém parece se lembrar, em discussões sobre esses temas, das imperfeições de um mercado onde medem forças uma industria monopolizante e usuários dos seus produtos e serviços cuja necessidade, ela mesma, está tão empenhada e apta a criar. É a "tecnologia globalitária", cuja liberdade pretende-se, com uma presumida aura de sacralidade, mais importante que a do homem. O homem é um animal que produz símbolos. Iremos permitir que uma lógica de negócio inverta este fato? Nossos legisladores precisam ater-se à importância dessas questões, no processo decisório que dirige o mergulho de nossa sociedade nesta globalização virtualizante. Como também dele prestar contas.
Pedro Antonio Dourado de Rezende
Brasilia, 14 de Agosto de 2000
v.8