http://www.pedro.jmrezende.com.br/sd.htm > Riscos: Receita Federal

Riscos no uso de chaves públicas com a Receita Federal

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
26 de Abril de 2001

postado numa lista sobre segurança na informática:

At 20:34 21/03/2001 -0300, Ari wrote:

Declaração de imposto via Internet no Brasil é insegura e propicia fraudes:

http://www.jornaldigital.com/vernot.php3 ?noticia=23798

 
A denuncia de fragilidade, contida na reportagem acima, está certa mas solução proposta é um desastre!
Vejam só:

"Para Escobar, a solução para o problema de insegurança nas declarações via internet é simples, de baixo investimento, com pouquíssima burocracia e de nível tecnológico acessível: a adopção de assinaturas ou senhas com certificação electrónica. O contribuinte cadastraria a sua senha ou assinatura electrónica nos postos da Receita Federal previamente e, a partir daí, passaria a enviar os seus dados com segurança."

Hoje, se alguem tiver sua declaração fajutada por terceiros poderá sempre alegar que não foi ele que a apresentou. Com a adoção da assinatura digital (que não passa de um pequeno arquivo gravado no computador da pessoa), o contribuinte não poderá mais repudiar uma declaração fajuta feita com sua assinatura que tenha sido, porventura, roubada de seu micro.

O problema é o seguinte: a Microsoft não dá nenhuma garantia de que o sistema operacional Windows, que lhe fornece, é seguro (leia o contrato de adesão que aparece na tela antes do sistema se instalar). A Microsoft também não lhe permite analisar o código do Windows (engenharia reversa), se você fizer isto estará cometendo um crime. Mas o sistema tem falhas de segurança, isto é fato notório, e eventualmente sua assinatura digital poderá ser copiada por terceiros que tenham acesso físico ou remoto ao seu micro. A partir deste momento sua assinatura digital poderá ser usada para gerar documentos falsos em seu nome e você NÃO TERÁ O DIREITO DE REPÚDIO, ou seja, será resposável legal por todo uso indevido da "sua assinatura" que foi roubada devido a falhas dos programas que você é impedido de analisar!

O deslumbre das pessoas com a tal assinatura digital é muito semelhante com deslumbre com a urna eletrônica. Eles acham que coisa "moderna", "científica", etc... e se esquecem de entender o funcionamento real da coisa.

Assinatura digital, apesar do nome, NÃO É EQUIVALENTE À ASSINATURA MANUAL!

A assinatura manual pode ser repudiada pelo pretenso emitente, assinatura digital, não. A assinatura digital pode ser roubada por terceiros e usada indevidamente, assinatura manual, não (não existe técnica de "copiar" a configuração do seu cérebro, mas é fácil copiar um arquivo do seu micro).

Acho que teremos que criar o Fórum da Assinatura Digital ou, ao menos, estender o tema do Forum do Voto-e!
O que vocês acham?
 

[ ]s
Amilcar

21/3/2001 - [Rede]

Caro Amilcar,

Para sua informação, aqui seguem detalhes sobre a regulamentação do uso de chaves assimetricas pela Receita. Talvez seja útil circular estes detalhes na lista do voto seguro: 

Amilcar Brunazo Filho wrote:

[...]
A denuncia de fragilidade, contida na reportagem acima, está certa mas solução proposta é um desastre!

Vejam só: "Para Escobar, a solução para o problema de insegurança nas declarações via internet é simples, de baixo investimento, com pouquíssima burocracia e de nível tecnológico acessível: a adopção de assinaturas ou senhas com certificação electrónica. O contribuinte cadastraria a sua senha ou assinatura electrónica nos postos da Receita Federal previamente e, a partir daí, passaria a enviar os seus dados com segurança."

Hoje, se alguem tiver sua declaração fajutada por terceiros poderá sempre alegar que não foi ele que a apresentou. Com a adoção da assinatura digital (que não passa de um pequeno arquivo gravado no computador da pessoa), o contribuinte não poderá mais repudiar uma declaração fajuta feita com sua assinatura que tenha sido, porventura, roubada de seu micro.

De fato!

Veja o artigo 16 da Instrução Normativa da Secretaria da Receita Federal nº 156, de 22 de dezembro de 1999, Publicada no Diário Oficial da União em 27/12/1999, pág. 23/25. Ele diz o seguinte:

Art. 16. "O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos praticados perante a SRF utilizando o referido certificado e sua correspondente chave privada, devendo adotar as medidas necessárias para garantir a confidencialidade desta chave, e requerer imediatamente à Autoridade Certificadora a revogação do certificado, em caso de comprometimento de sua segurança."

O problema é o seguinte: a Microsoft não dá nenhuma garantia de que o sistema operacional Windows, que lhe fornece, é seguro (leia o contrato de adesão que aparece na tela antes do sistema se instalar). A Microsoft também não lhe permite analisar o código do Windows (engenharia reversa), se você fizer isto estará cometendo um crime. Mas o sistema tem falhas de segurança, isto é fato notório, e eventualmente sua assinatura digital. Melhor dito, sua chave privada para assinatura digital poderá ser copiada ou usada por terceiros que tenham acesso físico ou remoto ao seu micro. A partir deste momento sua assinatura digital poderá ser usada para gerar documentos falsos em seu nome e você NÃO TERÁ O DIREITO DE REPÚDIO, ou seja, será resposável legal por todo uso indevido da "sua assinatura" que foi roubada devido a falhas dos programas que você é impedido de analisar!

Vamos agora examinar os detalhes. O artigo 16 da IN 156/99 acima exige que eu me reporte à autoridade certificadora para, caso haja comprometimento da minha chave, por cuja guarda sou inteiramente responsável, submeter um pedido de revogação da minha chave para gerar, a partir deste ato, o direito de repudiar autenticações por ela produzidas.

Vejamos agora o paragrafo único do artigo 3 desta IN, que fala do formato dos documentos autenticáveis eletronicamente junto à receita:

Art. 3º "Os documentos assinados eletronicamente, inclusive pela SRF, mediante utilização de Certificado Eletrônico e-CPF ou e-CNPJ, consideram-se originais e têm o mesmo valor comprobatório daqueles emitidos em papel e firmados pelos meios convencionais. Parágrafo único. Os documentos emitidos na forma deste artigo conterão obrigatoriamente data, hora, minuto e segundo da emissão."

Muito bem. Se eu quiser usar PKI com a Receita Federal preciso proteger minha chave, e reportar à Autoridade Certificadora caso minha chave privada tenha sido comprometida, para revogar sua validade. Documentos produzidos antes da solicitação de revogação não serão invalidados por tal revogação, como reza o artigo 18 paragrafo 2 abaixo, por um motivo muito simples. Se a revogação pudesse retroagir, esta retroação permitiria a solicitação da revogação em má fé, para o repúdio da legitimidade de documentos perfeitos. 

Art. 18. "Os certificados e-CPF e e-CNPJ serão revogados:I - a pedido do titular do certificado ou de seu procurador, expressamente autorizado;
II - de ofício ou por determinação da SRF, caso se verifique o uso indevido do certificado emitido ou a sua expedição baseada em informações falsas, bem assim na hipótese de extinção ou falecimento do usuário, no caso de pessoa jurídica ou física, respectivamente;
III - no encerramento das atividades da Autoridade Certificadora, quando não houver transferência dos certificados para outra Autoridade;
§1o A revogação deve indicar a data, hora, minutos e segundos a partir da qual será aplicada.
§2o Os certificados não poderão ser revogados retroativamente."

Vejamos agora o efeito do sincronismo dos dispositivos legais já listados. 

Eu só posso ter certeza que saberei do comprometimendo da minha chave privada ANTES que a cópia vazada possa ser usada em fraudes, se minha auditoria no sistema que manipula minha chave privada for:

  1. Instantânea
  2. Eficaz para o tipo de invasão que venha a lhe comprometer.
Estarei portanto legalmente impedido de repudiar fraudes perpetradas contra mim a partir da invasão do meu sistema, nas situações em que o mecanismo de proteção à minha chave nele em operação não seja perfeito, ou nos casos em que seja mas em que eu não tenha interpretado corretamente a instantânea detecção da intrusão e agido, também, instantaneamente. (Os documentos eletronicos assinados par a receita tem
que registrar até minuto e segundo da lavra da assinatura)

Para o caso em que a plataforma computacional da PKI que utilizo ser um computador pessoal ligado à internet, alguem conhece um sistema de detecção de intrusão perfeito? Ou que tenha sua perfeição assegurada até o final da validade da minha chave assimétrica? Para o caso de sistemas dedicados (cartão inteligente), alguem conhece uma interface de cartão para computadores pessoais perfeita? Alguem conhece algum usuário que interage (instala, configura, opera e reage) de forma perpeita com um sistema de detecção de intrusão que, nesse caso, também tem que ser perfeito? 

O verdadeiro custo da conveniência, neste caso, é o risco das consequencias de se viver num mundo imperfeito.