Carta aberta ao Dr. Renato Opice Blum
Proposta de Debate
1a. Conferência Internacional de Direito na Internet e na Informática
São Paulo, 6 e 7 de Novembro de 2000Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
9 de Novembro de 2000
Caro Dr. Renato,
Tive o prazer de conhece-lo na 1a. Conferencia Internacional do Direito na Internet e da Informática que se encerrou ontem em São Paulo, onde tive a oportunidade de perguntar-lhe das razões por sua preferencia pessoal pelo projeto de lei brasileira sobre assinaturas digitais que segue o modelo da Uncitral, em detrimento do projeto da OAB, durante sua palestra naquele evento.Como o Sr. divulgou seu email e convidou, ao final da palestra, a platéia para posteriores reflexões sobre o que havia exposto, tomo a liberdade de enviar cópia desta para alguns dos participantes da conferência, e disponibilizá-la ao público de minha pagina web.
No encerramento da conferência, foi anunciado que o Sr. havia sido, junto com um representante do Bradesco, escolhido por aclamação pelo plenário para fazer parte de uma comissão consultiva que irá atuar no processo legislativo, buscando a consolidação das leis sobre o comercio eletronico no Brasil. Suponho que esta nomeação implica em responsabilidade social, o que me leva a sugerir que considere os subsidios que ofereço por meio desta carta, conforme lhe prometi, onde teço considerações pessoais sobre o assunto.
Fora da esfera científica onde surgiu, observa-se muita confusão em referência à criptografia assimétrica, como também indícios de que este ruido semântico seja intencionalmente produzido por interesses afetos ao tema. Esta confusão dificulta a compreensão e a comunicação acerca do que surge em primeiro plano, quando se considera a possibilidade de mecanismos autenticatórios para contratos eletrônicos. Tais falhas de compreensão e comunicação geram riscos sociais que deveriam, em princípio, ser ponderados no ordenamento jurídico do tema, tanto pelo legislador como pelo operador do direito. Creio que comungamos a crença de que o ordenamento jurídico deva se ocupar dos conceitos gerais, e não da tecnologia. Mas a questão delicada e importante que se coloca é sobre o grau dessa generalidade. A começar pelo que possa ser tecnologia.
A confusão a que me refiro se estabelece quando se classifica a criptografia assimétrica como "tecnologia". Criptografia assimétrica não é tecnologia. É conceito semiótico, cujos elementos são emissores, receptores, canais, códigos e linguagens. Criptografia assimétrica é o conjunto de condições para a possibilidade de identificação dos emissores e receptores de conteudos semânticos, e da integridade na transmissão desses conteudos, numa rede de comunicação aberta. Os algoritmos e protocolos que materializam essas possibilidades em redes digitais é que são suas tecnologias.
No que se refere à generalidade das leis sobre comércio eletrônico, creio que discordamos sobre quais devam ser os conceitos e procedimentos a serem abordados em leis sobre assinaturas eletrônicas, devido à confusão a que me refiro. O risco de se legislar com conceitos excessivamente vagos, como sugere o Uncitral, está na lei vir a concentrar excessivo poder nos organismos executivos encarregados de normatizar e fiscalizar seu cumprimento, por parte dos mecanismos que irão operar estes conceitos para a sociedade, criando assim atratores e tendências para o desequilíbrio, onde o poder econômico tentará naturalmente afastar de si os riscos e resposabilidades nos processos socias que se valem desses mecanismos.
Indícios de que esta confusão é propositadamente gerada, podem ser ouvidos no mantra
"as leis de informatica não devem engessar a tecnologia",cantilena repetida por pessoas muito generosas na autoavaliação de suas competências para definir o que seja tecnologia. Ouço esta cantilena ad nauseum dos marqueteiros e lobbistas, reverberada nesta conferência. Felizmente não a ouvi em sua palestra, apesar de nela ter ouvido o seu eco. Nas escolas de Direito ensina-se que o legislador busca, por meio de códigos específicos, o equilíbrio de riscos e responsabilidades nos processos sociais onde este equilíibrio não ocorre pelo próprio fluir do processo. E que por isso temos o código de defesa do consumidor, o código de trânsito, as leis sobre porte de armas, as leis sobre venda de medicamentos, etc.Veja como pode doer em ouvidos sensíveis a cantilena desse mantra do gesso: a tecnologia da industria farmacêutica estaria por acaso sendo engessada pela legislação que impede a venda de cocaína, heroína e êxtase nas farmácias, e que exige licenciamento para venda de produtos em drogarias? A tecnologia naval e aeronáutica estariam sendo engessadas pelo codigo de trânsito, que regula os tipos de veículos que podem trafegar nas estradas? A tecnologia bélica estaria sendo engessada pela legislação que proíbe a venda de armamento pesado na loja da esquina? Por que a assinatura digital tem que ser diferente, se exemplos de abusos e desequilíbrios promovidos pela industria de software já são mais que abundantes? Na discussão sobre assinatura eletrônica, o silêncio sobre as possíveis razões para se legislar chega a ser, para mim, ensurdecedor.
Nas pretensas razões oferecidas para esse novo legislar, sobram vilipêndios contra "hackers" e faltam palavras sobre equilíbrio. No mundo virutal a confusão entre um conceito e sua operacionalização pode ser especialmente desastrosa, tema favorito de minhas palestras. E esta confusão está patente no Uncitral.
Em relação à criptografia assimétrica, julgo prudente aquilatarmos nosso conhecimento sobre ela antes de aderirmos ou rejeitarmos o coro sinfônico do engessamento. Sabe-se que os algoritmos para operacionalizá-la foram buscados pelos pesquisadores da Marinha americana por pelo menos dez anos, sem sucesso. Esta busca foi motivada (financiada) pela sua utilidade, se algum fosse encontrado. A descoberta do primeiro deles, o RSA, se deu no meio acadêmico e foi publicamente divulgada em 1978. Conhecem-se pelo menos quatro que são hoje eficazes, com caracteristicas distintas. Desses, o RSA ainda é o mais simples e versátil. Sua patente expirou há menos de dois meses e ninguém poderá mais ganhar dinheiro pela cessão do direito de seu uso. Será que esta expiração por si só o tornaria obsoleto?
A criptografia assimétrica oferece, ao indivíduo que precisa se identificar eletronicamente, protocolos onde ele mesmo detém o controle sobre o risco de certo tipo de fraude na sua identificação: aquelas forjáveis a partir dos mecanismos que verificam sua identidade. Este controle é possibilitado por duas propriedades, que definem para os computatas a criptografia assimétrica:
Sabemos que o custo desta derivação diminui com o aumento da capacidade computacional disponível no mundo, e também com a descoberta de algoritmos mais eficientes para fatoração de números inteiros. Mas o que realmente conta para a funcionalidade do protocolo é o controle sobre este custo, que deve estar na escolha de parâmetros para a geração do par de chaves.A posse do segredo que o identifica (sua chave privada) não precisa ser compartilhado com quem precisa identificá-lo, pois quem precisa identificá-lo usará para isso algo distinto deste segredo (sua chave pública).
O custo (em tempo e máquinas necessários) para a derivação desse segredo (a chave privada) a partir do mecanismo para verificar seu uso (a chave publica), pode ser controlado pelo indivíduo ao gerar seu par chaves, através da escolha do tamanho adequado destas, onde esta derivação permitiria forjas em condições normais de uso do protocolo. À medida que cai o custo da derivação do segredo da chave privada, com o aumento da velocidade e quantidade de computadores disponíveis a quem esteja na rede, esta queda pode ser recuperada com a geração de um novo par de chaves mais longas. Este ajuste tem sido sugerido para cada cinco anos. Mas precisamos saber em que condições esta tática pode manter a eficácia do algoritmo. A resposta é simples e de natureza aritmética: esta tática, de aumentar a chave para manter inviável o custo de certas fraudes, será eficaz enquanto a relação entre o custo para operar as chaves, e o custo para derivar uma chave a partir da outra, estiver sob controle do tamanho da chave. Controlar a ordem de grandeza da relação entre estes dois custos significa tornar praticável a assinatura digital e impraticável sua forja através da manipulação do mecanismo de verificação de assinaturas.
Esta relação é dada pelo quociente entre a complexidade dos algoritmos que executam estas tarefas. A saber, o que produz e verifica assinaturas a partir de chaves, e o mais eficiente disponível para derivar uma chave da outra. Ilustremos o cenário com o exemplo onde o algoritmo seja o RSA. O RSA é na verdade uma coleção de algoritmos, um para cada etapa do protocolo a que serve. A geração simultânea do par de chaves é feita por um algorimo que divide numeros inteiros, descoberto por Euclides há 2500 anos. A assinatura e sua verificação são feitas por um algoritmo que executa exponenciação modular. Dos algoritmos que fazem isso, o mais eficiente conhecido, chamado FME (Fast Modular Exponentiation), é de complexidade linear. Para se quebrar o RSA, isto é, para se derivar a chave privada a partir da chave pública, precisa-se fatorar numeros inteiros, e o algoritmo mais eficiente hoje conhecido para isso é o NFS (Number Field Sieve), de complexidade exponencial. Esses algoritmos juntos atingem o propósito da criptografia assimétrica, devido a uma propriedade de numeros inteiros descrita por um teorema, demonstrado há 250 anos por um juiz de Direito de Toulouse na França, que era matemático nas horas vagas: Pierre de Fermat, um dos mais geniais matemáticos de todos os tempos.
Enquanto a relação entre o custo para se gerar e usar as chaves, e o custo para derivar uma da outra, for uma relação linear/exponencial, o controle de custo da fraude pela manipulação da chave de verificação estará com o indivíduo que gera as chaves. A questão sobre a volatilidade das tecnologias digitais, que o Sr corretamente levantou na sua palestra, no caso do RSA se resume ao fato de que poderá ser descoberto amanhã uma forma mais eficiente de se fatorar números. Esta descoberta só inviabilizaria o RSA se este novo método de se fatorar números tiver complexidade sub-exponencial. Mas será que existe algoritmo para isso? Em tese poderia existir, pois nenhum matemático até hoje provou que um tal algoritmo não possa existir. Mas se existir, qual a probabilidade de que tal algoritmo venha a ser decoberto? Aqui faz-se necessário registrar que os matemáticos mais brilhantes que a humanidade já produziu tem buscado este algorimto há pelo menos 2500 anos sem sucesso, e que dentre os contemporâneos, muito poucos admitiriam acreditar na possibilidade de sua existência. A outra possiblidade para a fatoração sub-exponencial é a computação quântica, que poderia linearizar a complexidade da fatoração, através da paralelização exponencial de um dos algoritmos de fatoração já conhecidos. Mas a computação quântica é por enquanto apenas uma promessa.
E caso um algoritmo eficiente para fatoração de inteiros venha algum dia a ser descoberto, ou a computação quântica venha realizar esta eficiência, o que poderíamos fazer? Poderíamos, ou podemos desde já, como fazem alguns, substituir o RSA por um outro algoritmo que evite esta vulnerabilidade, nos protocolos que se valem da criptografia assimétrica. Hoje conhecemos quatro algoritmos para criptografia assimétrica, e dentre eles podemos escolher o ECC, pois o ECC se baseia na aritmética de curvas elípticas, no qual o problema matemático a ser resolvido para sua quebra é o da interpolação em planos projetivos discretos, e não o da fatoração. Para a quebra do ECC um algoritmo de fatoração seria inútil, eficiente ou não. A maior parte das pesquisas em criptografia asssimétrica hoje giram em torno do ECC, tanto na seleção de instancias robustas (defesa), como na busca de algoritmos de interpolação projetiva eficientes (ataque). Até o momento, o algoritmo de interpolação mais eficiente (Pollard-Rho) é também exponencial. Os algoritmos de interpolação projetiva discreta tem complexidade exponencial e são, até onde se sabe, não-quantizáveis, fato que dá hoje eficácia ao ECC, isto é, dá à defesa vantagens decisivas contra o ataque.
Criptografia assimétrica significa literalmente "escrita oculta assimétrica". Essas três palavras remetem respectivamente à linguagem, à cognição e à geometria, coisas perenes que existem independentemente de qualquer ferramenta ou lei criada pelo homem, antecedendo e sobrevivendo suas utilidades. Não pode portanto ser considerada tecnologia, sendo antes um conceito semiótico. Quando aplicada ao contexto das comunicações em redes digitais, subordina-se ao conceito de autenticação digital, nas quais sua realização pressupõe o uso de ferramentas matemáticas. Para entendermos o perigo na confusão entre o conceito semiótico e suas ferramentas realizadoras, precisamos examinar os possíveis conceitos de autenticação digital. O conceito pragmático de autenticação em redes de comunicação digital abarca hoje tres conceitos semióticos distintos. Esses tres conceitos são os seguintes, em ordem decrescente em relação às propriedades relevantes para a autenticação que exibem:
Destes três, somente o primeiro permite autenticações onde a verificação pode ser aberta sem para isso demandar compartilhamento do segredo identificador. Esta propriedade é que possibilita equipararmos autenticação digital a assinatura de punho, sendo imprescindível à segurança em redes abertas, pois o que caracteriza as redes abertas é o fato de nelas os canais e os interlocutores serem potencialmente hostis. Nelas os outros dois conceitos não podem equiparar-se à assinatura, pois não exibem a propriedade necessária: o conhecimento zero oferece verificação fechada, e a senha demanda compartilhamento do segredo. Esses dois conceitos mais toscos podem ser úteis em redes fechadas, mas não são suficientes para autenticação em redes abertas. Este estado de coisas não impede que amanhã algum marqueteiro ou vendedor surja com um novo conceito de autenticação para redes abertas, distinto desses três, exibindo a propriedade acima citada. Mas se surgir, seu novo conceito será apenas uma filigrana semântica, pois o que define a criptografia assimétrica para os computatas é justamente esta propriedade acima citada, qual seja, a propriedade que se quer de um mecanismo de autenticação digital para que seja equiparável à assinatura de punho em ambiente hostil. A menos que alguem saiba como identificar inequivocamente a origem de uma cadeia de bits sem a premissa de um segredo necessário para sua geração. E se alguem souber, por favor ensine aos criptógrafos, e vamos todos jogar no lixo os livros que falam da teoria da informação de Shannon, a base da criptografia moderna.A criptografia assimétrica,
que permite protocolos determinísticos baseados em cifras que usam pares de chaves pública e privada.O conhecimento zero,
que permite protocolos probabilísticos baseados na demostração cumulativa de evidências da posse de segredo identificador.A senha,
que permite protocolos baseados no compartilhamento de segredo identificador.Criptografia não é, nem faz, mágica. Ela apenas permite-nos intercambiar pontos e modos onde a confiança é pressuposta em comunicações humanas, mas não eliminá-los, e a confusão sobre o que seja criptografia pode levar a falácias. Cada um dos tres conceitos semióticos conhecidos para autenticação digital dirige a busca e a descoberta de distintas tecnologias (algoritmos e protocolos) que possam realizar o conceito, e para cada conceito as tecnologias descobertas apresentam riscos e fragilidades distintos. O conceito de senha, por exemplo, permite protocolos como aqueles onde o indivíduo precisa memorizá-la, ou aqueles onde senhas são usadas uma só vez e geradas por um cartão, ou aqueles onde a senha é uma leitura biométrica. Essas mecansimos realizadores do conceito de senha exibem riscos e fragilidades distintas, mas comparáveis. No bojo da confusão entre conceito e mecanismos realizadores, alguns vendedores alardeiam a biométrica como solução mágica para autenticação na internet, por eliminar riscos do verificador. No alarde ignoram ou desconversam os riscos do emissor, que numa rede aberta não são desprezíveis. Fazem-no impunemente porque não contextualizam os riscos da tecnologia no protocolo autenticatório onde se pretende empregá-lo, se a nescessidade desta contextualização passa despercebida ao interlocutor.
A justificativa para que a legislação sobre assinatura digital não se restrinja à cripotgrafia assimétrica é de que amanhã poderá haver tecnologia mais segura. Esta justificativa é vazia, já que não diz nada. Compara formas e medidas díspares. E torna-se paradoxal, quando o que se pretende regular seja algo equiparável à assinatura de punho em redes abertas. Ela faz dobradinha com o mantra do gesso, e foi oferecida pelo Sr. em resposta à minha pergunta sobre suas preferências, em sua palestra. Os distintos conceitos acima descritos tem funcionalidades distintas, e as fragilidades e riscos de suas tecnologias só podem ser comparadas dentro da mesma funcionalidade, descrita pelo mesmo conceito autenticatório. Tal justificativa parece fazer sentido apenas quando se confunde conceitos de autenticação digital e tecnologias que os implementam. Esta confusão precisa ser denunciada, sendo ou não proposital, pelos perigos que embute.
Depois de tanto esforço de busca, e do coroamento deste esforço pela descoberta de algoritmos de criptografia assimétrica, possivelmente profetizada no livro do apocalipse, o Uncitral pretende dar ao burocrata o poder de permitir ao magnata impor o uso de algum conceito mais tosco em seu lugar, cuja funcionalidade forçosamente porá, para o indivíduo, o risco da forja fora de seu controle, sob a justificativa de uma remota possibilidade de que algum algoritmo da criptografia assimétrica possa vir amanhã a se tornar frágil, subtraindo este controle de quem o estiver usando. Essa justificativa confunde planos de relevância no cenario em foco, torcendo a perspectiva como um desenho de Escher. Quando falamos de autenticação digital, a funcionalidade autenticatória está em primeiro plano, e a fragilidade e riscos das tecnologias que implementam uma dada funcionalidade autenticatória estão em segundo. A cantilena do engessamento por quem não vê, ou esconde, a forma como o contexto da sua ilação está riscando uma figura Escheriana para circunscrever a "tecnologia", oculta diferenças fundamentais entre planos ao embaralhar funcionalidades distintas. E sua lógica é aquela descrita na ficção de Orwell, em 1984.
Para termos acessso ao mundo virtual, dependemos hoje de softwares frágeis, de qualidade duvidosa e quase sempre inaquilatável, o que agrava os riscos a serem divididos entre os atores que mergulham na virtualização de nossa cultura e sociedade, com ou sem sua própria volição. Ao invés deste agravamento servir de pretexto para que o risco descambe em direção ao final da cadeia alimentar do capitalismo, onde está o indivíduo, deveria servir de estímulo para que a sociedade passe a rejeitar o modelo de negócio de software que nos coloca nesta situação. Quem, por exemplo, comeria sardinhas se na lata viesse, ao invés do selo de inspeção do ministério da agricultura, um disclaimer sobre responsabilidades pelo efeito dela no intestino de quem ingeri-la, como ocorre nas licenças de uso de software? Como pode a lei ignorar os riscos de forja da assinatura digital, através da manipulação do mecanismo verificador que irá ser distribuido nessas latas? Cumpro aqui com meu dever de consciência, ao colocar-lhe a derradeira pergunta, se o mantra do gesso assim empregado é ou não é um argumento patentemente falacioso.
Caso o Sr tenha assistido à brilhante, inspiradora e maravilhosa palestra do professor Lawrence Lessig, no encerramento do evento de ontem, certamente deverá se lembrar da enfase com que ele recomenda aos países do mundo para que resistam à pressão do governo de seu próprio país, no sentido de que o mundo adote os modelos de leis propostos por "empreendimentos comunitários" como o do Uncitral, e também do tom solene com que denunciou a gravidade dos riscos daí decorrentes. Durante esta conferência o Ministro Nelson Jobim nos explicou com veemência que o processo legislativo irá buscar a amplitude da generalidade das leis, na medida necessária para acomodar interesses que nela conflitem, enquanto o prof. Lessig descortinou para o plenário sua estimativa do preço final que esta estratégia acomodatória irá nos cobrar, quando aplicada no âmbito da revolução digital.
Caso não tenha assistido à palestra do prof. Lessig, recomendo que busque uma oportunidade para assistir sua gravação, feita pelos organizadores do evento. Na pagina web onde mantenho artigos que já publiquei, em http://www.pedro.jmrezende.com.br/segdadtop.htm há vários artigos que abordam esse tema. Talvez o mais adequado para melhor ilustrar os argumentos que aqui lhe ofereço seja a palestra que apresentei no E-dia, organizado pelo Colegio Notarial de São Paulo em Setembro, sob o link "redes abertas", ou a palestra que proferi no Simpósio de Segurança na Informática no mes passado, promovido pelo Instituto Tecnológico da Aeronáutica em São José dos Campos, publicada pelo Jornal do Brasil.
Atenciosamente,
Pedro Antonio Dourado de Rezende
Brasília, 8 de Novembro de 2000
O debate prossegue