segurança computacional > textos > anexos > http://www.pedro.jmrezende.com.br/segdadtop.htm | totalitarismo

MP da assinatura digital é insana, afirma especialista

Professor da UnB diz que cidadão fica impedido de escolher em quem confiar

MARINILDA CARVALHO, para o Jornal do Brasil de 6.7.01


O professor da UnB Pedro Antonio Dourado de Rezende, especialista em criptografia (embaralhamento da escrita para fins de segurança), reforçou ontem as críticas da Ordem dos Advogados do Brasil à Medida Provisória 2.200 que, publicada dois dias antes do recesso parlamentar, ignorou os projetos de lei que tramitam no Congresso sobre a regulamentação de documentos eletrônicos e assinaturas digitais. A MP cria um órgão chamado Infra-Estrutura de Chaves Públicas (ICP-Brasil), espécie de cartório virtual que daria ''autenticidade, integridade e validade jurídica a documentos em forma eletrônica''.

A ICP credenciará entidades certificadoras, que poderão ''emitir certificados digitais vinculando determinado código criptográfico ao respectivo titular'', estabelece a MP, em linguagem quase indecifrável. Isso significa que a partir da aprovação da MP, as entidades credenciadas é que darão, mediante cobrança de taxa, autenticidade a documentos eletrônicos. ''Este é o nó górdio da insegurança do cidadão'', critica Rezende. Para ele, a medida é totalmente injustificável do ponto de vista técnico. Hoje em dia, qualquer pessoa pode encriptar documentos e protegê-los gerando chaves de segurança, uma pública e outra privada - uma espécie de senha e contra-senha - em seu próprio computador, usando programas gratuitos perfeitamente seguros. Agora, além de pagar, o cidadão terá de confiar numa entidade credenciada pela ICP.

Um problema grave é que a ICP seria vinculada ao Cepesc (Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações), uma repartição controlada pela Abin (Agência Brasileira de Inteligência. Em suma, o antigo SNI.

''Está sendo ferida a liberdade do cidadão, que fica impedido, caso a MP seja aprovada, de escolher em quem confiar'', diz Rezende, que deu subsídios ao deputado Julio Semeghini (PSDB-SP), relator do substitutivo de um dos projetos em tramitação na Câmara. ''A partir daí podem ser armados os golpes mais mirabolantes que se possa imaginar, com ajuda da tecnologia.''

Para explicar, Rezende recorre a um cenário imaginário: um procurador que esteja investigando um empresário suspeito de desvio de recursos públicos descobre que no computador da empresa existe uma prova, um contrato com certificação digital. Mediante mandado, ele acessa o documento, usa a chave pública do empresário para confirmar sua autenticidade e verifica, na relação de chaves revogadas (semelhante à lista negra dos cartões de crédito), se a do empresário continua válida. Como a chave não está na lista, o procurador inclui o contrato nos autos.

Ao ser notificado, o empresário resolve subornar um funcionário, digamos, do Cepesc, para que inclua sua chave na lista de chaves revogadas, com data retroativa. O procurador é então surpreendido: acusou o empresário com base num contrato inválido. O empresário pode ir mais longe. Contrataria um hacker (especialista em programação e invasão de redes de computador) para forjar uma invasão do computador do empresário pelo procurador.

Não adiantaria recorrer a uma auditoria externa, por exemplo, a Unicamp. A MP atribui à própria Cepesc esta fiscalização, como também o gerenciamento da lista de revogações de chaves públicas. ''É uma insanidade'', diz Rezende. ''As informações de segurança de cada cidadão com certificado digital estariam entregues a um órgão de espionagem do governo, o lobo cuidando do galinheiro.''

''Estes métodos estão sendo oferecidos como se fossem maravilhas da tecnologia, mas não passam de caixas-pretas para intermediar ações que praticávamos normalmente'', afirma Rezende. ''Uma delas é votar.'' Ele lembra que é o Cepesc que controla a encriptação da urna eletrônica, cujos códigos os especialistas não podem analisar.

Empresas internacionais de certificação digital já vinham fazendo lobby para que suas tecnologias fossem oficializadas, mas até elas foram apanhadas de surpresa pela MP do governo.