® BuscaLegis.ccj.ufsc.br
Sistema de Pagamento Brasileiro e ICP - Brasil
Pedro Antônio Dourado de Rezende*
Sumário: 1- Safety versus Security ; 2- Objeto e Alcance da MP2200 ; 3- Calcanhar de Aquiles ; 4- Tipos mais simples de Fraude e Ofuscação
do seu Risco ; 5- O Perigo de Erosão
Jurídica na Datação de Revogações ; 6-
Discussão em torno de um Exemplos Didáticos ; 7-
Conclusão.
1- Safety versus Security
Em visita a São Paulo em 25/02/02, onde deu palestra no
Consulado Americano, o especialista em segurança de redes de computadores
Richard Forno foi também entrevistado pela reportagem do Último Segundo, do IG.
Nesta entrevista, foi-lhe perguntado sobre a segurança de serviços bancários --
os brasileiros cada vez mais informatizados, e em particular do Sistema de
Pagamento Brasil, que irá em breve interligar todos os bancos do país ao Banco
Central por meio de uma intranet, utilizando o mesmo protocolo que a Internet,
o TCP-IP. "Isso é seguro?", perguntou-lhe a repórter. Solicitado a
comentar sobre o tema e a entrevista, tomo a oportunidade para oferecer uma
reflexão mais detalhada sobre o contexto em que surge este Sistema de
Pagamento. Um pano de fundo para possibilitar algum entendimento útil a
perguntas e respostas como as daquela entrevista, publicada no IG às 20:47 do
dia 26/02.
Uma pergunta como esta acima, assim, geral e solta, nada
informa diretamente ao leitor com sua resposta. Ela dá ao entrevistado a
liberdade de reverberar, na sua audiência, a percepção sobre riscos alheios que
o alcança ou que lhe convém, e a de conduzir os rumos da entrevista, qualquer
que seja sua intenção, se o fizer. Enquanto existe uma variada gama de
intenções entre os interessados no assunto, e portanto uma correspondente gama
de percepção de riscos, e vários ângulos de abordagem a essas intenções e
riscos entre os experts. Nada é seguro por si só, ou para si só. Porém,
uma tal pergunta informa indiretamente. Através da escolha do entrevistado, das
perguntas e das perspectivas que o diálogo escolhe oferecer. O Sr. Forno
entendeu que o aspecto da segurança a merecer atenção era o de seu experise,
que o "isso" da pergunta se referia aos protocolos digitais de
comunicação. E respondeu dizendo que o TCP "é bem seguro".
Ele estava falando da segurança no transporte dos bits,
quando poderíamos estar interessados, por exemplo, na segurança jurídica
daquilo que sequências desses bits em si transportam. A repórter então insiste
nessa linha do "isso", lembrando que os bancos estarão servindo de
ponte entre os serviços de varejo que oferecem na Internet, onde os bits já
ganharam a reputação do convívio promíscuo, e a rede fechada do Sistema de
Pagamento, controlada pelo Banco Central. Não seria melhor evitar, na rede
fechada, o uso do protocolo da rede aberta, o TCP-IP, dificultando o caminho
para os hackers?
O Sr. Forno retruca, sinalizando que existem trade-offs
em cada escolha. O que mais pesa, neste aspecto, é a natureza geral do controle
sobre o uso do transporte de bits, e não seu formato ou sua opacidade relativa.
Numa rede para pagamentos o controle precisa se focar nas intenções, na
semântica do uso deste transporte. Por isso a intranet, onde o controle das
condições de uso dos aplicativos tem alguma chance de eficácia. Enquanto o
formato e a opacidade oferecem apenas controle sintático, incapaz de
reconhecer, por exemplo, a má fé no uso interno e legítimo do transporte de
dados. Por outro lado, um protocolo único facilita a integração entre as duas
redes, o fluxo de dados que cada banco irá processar.
Sobre o aspecto que escolheu comentar, o Sr. Forno tem
razão. O TCP é um protocolo bem testado e amadurecido, as tecnologias para sua
operacionalização e manutenção são relativamente baratas e universalmente
difundidas. E, mais importante, neste cenário o papel do hacker é apenas o de
uma arma. Ele apenas presta serviço com suas habilidades, podendo tanto estar
agindo a serviço da lei ou em benefício da cidadania, como contra elas. É um
erro comum, amplificado por manipulações e vícios na mídia, atribuir sempre
exterioridade e intenções malignas a esta persona, enquanto se sabe que quatro
em cada cinco incidentes de segurança na informática são crimes domésticos,
praticados por quem trabalha para o sistema atacado ou junto a ele.
Mas os holofotes continuam apontando para o esteriótipo do
hacker que se esconde em algum canto escuro da grande rede, despido de valores
éticos e transbordando ira e sadismo contra a humanidade. Ocultar ou não desta
persona o formato do transporte do Sistema de Pagamento não fará muita
diferença. A sugestão oferecida pela entrevistadora ao entrevistado é
interessante, mas hoje irrelevante. É comparável à sugestão de se adotar como
idioma oficial para documentos interbancários o Esperanto, para dificultar a
ação criminosa. O suposto benefício não compensa o garantido transtorno. Se
esta comparação parecer descabida podemos examinar, para melhor iluminá-la, um
caso recente onde discrepantes intenções, riscos, e formatos de transporte
entraram recentemente na mesma cena, pelas telas de TV de nossas casas.
Há uma malha de estradas entre cidades paulistas que está
privatizada. Isso é seguro? Em certo sentido, sim. Revestimento, sinalização e
meios de socorro nela melhoraram, sendo mantidos em níveis satisfatórios pela
cobrança de pedágio e fiscalização. Com isso o transporte ficou mais seguro, no
sentido que o Sr. Forno entende em seu idioma nativo por safety, isto é,
o do controle ou proteção contra falhas não intencionais. Este sentido não tem
nada a ver com o de security, contra falhas intencionais. Por serem
independentes esses dois sentidos, a privatização não diminuiu a incidência de
assaltos e de roubo de cargas nesta malha, se é que não contribuiu para
aumentar. E tendo aumentado, isso não fornece motivos para seus novos donos
mudarem os padrões de sinalização e de regras de tráfego que compartilham com a
malha pública, para confundir a ação das quadrilhas, pois os usuários dos
serviços de ambas malhas são potencialmente os mesmos.
Assim, apesar de privatizada e segura (safe), a via
rodoviária entre São Paulo e Sorocaba conhecida por "Castelinho" não
impediu que um "bonde do mal" por ela trafegasse, na primeira semanda
de março, com a intenção de assaltar ou barbarizar no destino. Não foram
desconhecimentos das regras de tráfego na Castelinho que denunciaram este
comboio ou desencorajaram outros. Nem foi algum cobrador de pedágio quem
percebeu sua intenção. Mas foi a existência do pedágio que permitiu à polícia
armar-lhe cilada. E foi pelo ouvido e pela perspicácia de quem precisa
investigar as intenções dos usuários da malha rodoviária, por meio de quaisquer
malhas a seu alcance, que este bonde do mal pôde ser interceptado naquele
pedágio. E foi por não saberem até onde suas intenções eram conhecidas que os
bondistas caíram na cilada, reagindo. A transparência, até no escuro, do ar
para a transmissão do som dá o mote: ouvir é a origem do verbo
"auditar". Mecanismos de Auditoria Externa são essenciais para a
eficácia da segurança (security) de interlocutores nas redes digitais,
onde intenções se sobrepõem à comunicação humana ou nela se ocultam. Portanto,
controle ou proteção eficaz contra falhas intencionais nessas redes requer
garantias que possibilitem sua ação, critérios de transparência impostos por
formas adequadas de pedágio.
Há um grande perigo em entrevistas como esta, nas quais um
assunto tão entranhado em intenções humanas, como o fluxo de dinheiro, é abordado
em relação à segurança. Ele surge e se mantém na retroalimentação e
amplificação de várias formas de falácias, como as que simplificam ou ignoram a
independência entre seus aspectos safety (falhas não intencionais) e security
(falhas intencionais). Dessas, a mais frequente supõe ser "security"
um problema externo a demandar solução interna, como se poderia supor do "safety",
desprezando a proporção de quatro para um entre as origens interna e externa
dos incidentes intencionais de segurança na informática que chegam às
estatísticas. Quando na verdade "security" é um problema de
equilíbrio dinâmico entre perspectivas de risco contrárias, demandando a
correta arquitetura de salvaguardas e contrapesos normativos. O perigo surge ao
se embaralhar aspectos e perspectivas, entre perguntas e respostas, e se mantém
no "jogo conhecido" para esse baralho.
Uma jogada desse jogo aqui se destaca, com peculiaridades
que merecem nossa atenção. Por que os holofotes sobre os hackers ofuscam
questões tão urgentes sobre os possíveis efeitos deste Sistema de Pagamento na
segurança jurídica dos agentes envolvidos, entre bancos, correntistas, o
cidadão contribuinte e o próprio Estado? A resposta pode estar no hermético
simplismo da norma que respalda juridicamente a iniciativa de implantação deste
sistema, a Medida Provisória 2200 e atos normativos derivados. Da perspectiva
de um leitor externo, informado e atento, seu hermetismo parece equidistante da
inépcia, da imprudência e do maquiavelismo. No restante deste artigo buscaremos,
enquanto explanamos esta opinião, lançar alguma luz sobre tais efeitos.
2- Objeto e alcance da MP2200
A Medida Provisória 2200 institui a Infra Estrutura de
Chaves Públicas Brasileira, ou ICP-B. Esta, grosso modo, credencia e fiscaliza
entidades prestadoras de serviço denominadas autoridades certificadoras, ou
ACs. Tais serviços são os de assinar certificados de chave pública de
terceiros, bem como o de registrar o histórico da validade e titulação destas
chaves. O registro de uma certificadora na ICP-B se destina, na prática, a
diferenciar o serviço prestado, no sentido que lhe dá seu parágrafo único do
artigo 10, que diz:
"As
declarações constantes dos documentos em forma eletrônica produzidos com a
utilização de processo de certificação disponibilizado pela ICP-Brasil
presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei
no 3.071, de 1o de janeiro de 1916 - Código Civil."
Entretanto, o viés Orwelliano do texto da MP2200-2
confunde enormemente a compreensão leiga sobre o objeto e alcance da lei, e o
que realmente significa para o cidadão comum esta diferenciação. Veja como a
lei começa:
"Art.
1o Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira -
ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica
de documentos em forma eletrônica, das aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem como a realização de
transações eletrônicas seguras."
Ora, quem pode garantir a autenticidade e a integridade de
documentos em forma eletrônica são sistemas criptográficos apropriados (os de
pares de chaves assimétricas - púbilca e privada) operando em condições
adequadas, e não a norma jurídica. Em linguagem técnica, o uso do termo
"Infra Estrutura de Chaves Públicas" se refere a um conjunto desses
sistemas e dos meios adequados para sua operação. Tais sistemas são propriedade
de certas formas matemáticas do mundo platônico, de conhecimento público há
mais de 24 anos e de domínio público há mais de dois. São sistemas de
manipulação de símbolos que obedecem a certas leis semiológicas, mensuráveis
enquanto tais sistemas operam em condições adequadas.
Tendo sido já descobertas e não sendo criação ou
propriedade intelectual ou material do legislador, ou de quem quer que seja,
esses sistemas não estão em poder do legislador para serem por ele instituídos
no sistema jurídico brasileiro. Estão na bagagem cultural da sociedade, na
forma como esta os disponha. O que caberia a uma norma jurídica instituir sobre
uma tal infra estrutura seria, apenas, a regulação dos efeitos jurídicos do uso
de tais sistemas sob condições adequadas. A norma jurídica não pode, por si só,
garantir integridade e autenticidade digital alguma. São leis semiológicas que
garantem. Da mesma forma que não faz sentido uma norma jurídica decretar ou
revogar uma lei física, como a lei da gravidade, a lei da relatividade ou as
leis da termodinâmica, estas as que mais se assemelham a leis semiológicas.
A validade jurídica de documentos eletrônicos -- cuja instituição
por lei especial alguns juristas dizem ser desnecessária, e a presunção de
veracidade quanto à identificação de seus signatários -- cujo efeito jurídico é
o cerne da MP2200-2, deveriam ser instituídas através de vínculos entre a
produção e o processamento dos documentos eletrônicos, por um lado, e as
condições adequadas ao apropriado funcionamento de tais sistemas, por outro, se
a norma instituinte estiver buscando preservar a segurança jurídica buscada
pelo Código Civil. E não instituídas pela intermediação de serviços
credenciados capazes de induzir apenas uma parte dessas condições, como fazem a
MP2200-2 e os atos normativos dela derivados. Como diz, e gosta de repetir
incessantemente um dos diretores da maior empresa de serviços de segurança computacional
do Brasil, Fernando Nery, a segurança é uma corrente tão forte quanto seu elo
mais fraco. Esta máxima certamente é válida para qualquer tipo de segurança,
seja física, computacional, jurídica ou de qualquer natureza.
Assim, para compreendermos a MP2200-2, temos que nos ater
aos verdadeiros sujeito e objeto da sua ação instituidora. O que ela pode estar
instituindo é um vínculo entre, por um lado, a validade jurídica e a presunção
de autoria de documentos eletrônicos, e por outro, a intermediação de serviços
credenciados capazes de constituir um dos elos da corrente de procedimentos
necessários à operação adequada desses sistemas. Ao passo que esses sistemas só
são capazes de garantir, através do processo de assinatura digital, a
autenticidade e integridade de tais documentos se operarem sob condições
completamente adequadas. Mas o desequilíbrio da MP2200-2 não pára nesta
insuficiência.
Ela se torna Orwelliana na medida em que ignora outros
elos, ao mesmo tempo em que institui poderes ao orgão controlador deste vínculo
para subverter a capacidade dos signatários buscarem, por si mesmos, o controle
da robustez dessa corrente, se obrigados a expressarem sua vontade através
dela. Duas formas importantes desta subversão nela ocorrem. Uma, nas condições
de credenciamento que limitam a transparência dos procedimentos dos prestadores
do serviço credenciado, restringindo sua auditabilidade àquela praticada
internamente pelo órgão credenciador, como determinam as resoluções 1 a 9 já
emitidas pelo comitê gestor da ICP-B. Outra, no poder que outorga a este comitê
para homologar aplicações dos mecanismos de assinatura digital, sem critérios
objetivos para o seu exercício.
Falar de chave pública registrada na ICP-B é falar de
chave pública que estaria sendo transportada em certificado assinado por uma
certificadora credenciada pela ICP-B. Um tal certificado, por sua vez, pretende
identificar publicamente o titular de um par de chaves, registrar a intenção
deste titular quanto ao uso deste par, bem como sua concordância em relação às
implicações legais deste uso. Mas quem realmente gera um par de chaves
criptográficas assimétricas, e quem verdadeiramente manipula qualquer delas,
são softwares. Não importa se imerso em hardware dedicado ou instalado em
hardware genérico, já que, por exemplo, a geração sadia de um par de chaves
precisa interagir com quem comanda o processo de geração de chaves, para que
este o insemine com aleatoriedade. A primeira das condições adequadas à
operação de tais sistemas é que esta interação seja inconspícua.
O titular de um par de chaves é, pelo parágrafo único do
artigo 6 da MP2200-2, quem teria comandado a algum software a geração deste
par, e se dispõe a responder pelo uso da chave privada do par para fins de
autenticação da sua vontade em documentos eletrônicos. A titulação da chave
pública do par em um certificado emitido por uma certificadora credenciada
registra, portanto, esta intenção e concordância. Esta seria a interpretação
técnica mais razoável para a linguagem do parágrafo único do artigo 10, à luz
do artigo 1 citados acima. Entre o falar de chaves públicas transportadas em
certificados emitidos por certificadora credenciada, e o falar de chaves
públicas que verazmente identificam seu titular como signatário, há uma
respeitável distância numa via onde cabem muitos bondes do mal. Dar como iguais
essas duas coisas, como cartas equivalentes no baralho da segurança virtual, é
retroalimentar uma falácia. Não é por estar esta equivalência decretada, pela
canetada presidencial na MP2200, que os problemas da segurança jurídica do
comércio e governo eletrônicos se resolverão por si mesmos. Estar assim
decretado apenas os liberta da caixa de Pandora. No restante deste artigo
oferecemos uma avaliação dos riscos à cidadania decorrentes desta libertação.
3- Calcanhar de Aquiles
Comecemos pelo assunto do artigo "O Silêncio que
Produz Ruídos", onde descrevo o choque frontal entre opiniões públicas do
autor e do diretor do SERPRO, Sr. Wolney Martins, sobre o significado do
certificado digital da AC-Raiz da ICP-Brasil ser auto-assinado. Para ele, um
"detalhe técnico que não merece atenção". Para o autor, um calcanhar
de Aquiles. O SERPRO é custodiante desta AC-Raiz e, como tal, leva vantagem
para ocupar espaço na mídia. Assim, esta oportunidade para comentar a
entrevista do Sr. Forno, e de temas nela tratados, re-iluminará este choque
para início desta avaliação. Para isto temos que retroceder um pouco no assunto
e examinarmos alguns conceitos.
Um software que lavra ou verifica assinaturas por meio de
um sistema criptográfico em uma ICP precisa seguir padrões e formatos digitais
que sejam públicos. Isto porque a lavra e a verificação de asssinaturas,
possibilitadas por um tal par de chaves, destinam-se a ocorrer em diferentes
computadores, com diferentes softwares e em variados tipos e formatos de
documentos eletrônicos, já que, no contexto duma tal infra estrutura,
entende-se por assinatura digital uma marca publicamente reconhecível
identificadora da autoria de sua lavra. Os primeiros padrões propostos pela
indústria para este fim vieram a ser conhecidos como PKCS (1 a 13), e se
tornaram padrão de fato através do uso disseminado na internet. Um desses -- o
PKCS 8, que evoluiu para o X.509 -- trata do formato e dos registros em um tipo
de documento eletrônico destinado a transportar, depois de assinado, uma chave
pública titulada que servirá para verificar assinaturas do titular em outros
documentos. Abreviadamente, um documento neste formato e padrão é chamado de
certificado digital.
Qualquer discriminação que um software porventura imponha
ao uso de uma chave privada qualquer, só poderá basear-se na interpretação que
sua lógica faça do significado daquilo que seu usuário queira, com tal chave,
assinar. Teria, portanto, que basear-se na semântica de padrões e formatos
digitais. E para que esta discriminação seja do conhecimento de outros
softwares que devam com ele interagir, conhecimento que evitaria verditos
enganosos na intermediação que operam, esses padrões devem ser públicos.
Tecnicamente, o processo pelo qual um software lavra uma
assinatura em um documento não carece dos bits cuja sequência constitui tal
documento. O processo de lavra consiste em se misturar a chave privada e um
digesto (hash criptográfico) deste documento, segundo as instruções do sistema
de assinatura digital por ele implementado. Este digesto é uma sequência de
bits (normalmente de 160 bits) que funciona como "impressão digital"
do documento, e a mistura resultante se destina a ser apensada ao documento, para
autenticá-lo (as sequências do documento e da mistura são concatenadas).
Portanto, como não há razão para o software que executa a lavra da assinatura
tomar conhecimento dos bits do documento a ser assinado, e sim os do seu
digesto, seria de se esperar que nenhum padrão público para lavra e verificação
de assinaturas digitais preveja tais discriminações.
Este é o caso do conjunto de padrões de fato hoje em uso
na internet (PKCS 1 a 13). Havendo programas auditáveis que implementam algum
ou alguns desses padrões, como é o caso do PGP, do OpenSSL, do Netscape
Navigator e outros, torna-se de conhecimento público a existência de softwares
que podem assinar digitalmente qualquer sequência de bits. Da mesma forma como
é de conhecimento público que existem canetas que podem assinar qualquer papel.
E mesmo que softwares não discriminatórios inexistissem, sendo tais sistemas
criptográficos de domínio público nada impediria, em tese, a legítima
construção de softwares não discriminatórios que os implementem. Daí a minha afirmação
naquele artigo: "qualquer um que gerar um par de chaves pode assinar um
certificado da sua própria chave pública com sua chave privada", isto é,
autocertificar-se. "Pode" no sentido de inexistir impedimento técnico
(o que permite a falsa titulação), e não no sentido da lei facultar
explicitamente (o que não faria sentido). Pela lógica da MP2200-2 a validade
jurídica da assinatura num certificado auto-assinado, como ato gerador de
presunção ne identificação do signatário, aplica-se apenas à certificadora raiz
da ICP-Brasil. Porém, sem nenhum embasamento nas características ou condições
adequadas à operação dos sistemas de assinatura digital.
Se aquele que é nomeado titular numa autocertificação for
mesmo quem comandou a geração do par de chaves envolvido, o significado deste
certificado auto-assinado equivale ao de um cartão de visitas com o nome e
número do telefone do titular, e uma frase assinada de punho dizendo "eu
testei este número, e funciona". Aliás, é assim que algumas certificadoras
distribuem sua chave pública, já que os softwares a que destinam tais chaves
seguem padrões e formatos supondo tais chaves sendo transportadas em
certificados assinados. Se assim não lhes forem passadas as chaves, eles não
funcionarão. Se o nomeado titular não for o mesmo que comandou a geração do par
de chaves, não estando quem as gerou agindo por seu consentimento e anuência, o
certificado possui titulação forjada, e, para efeito do uso público a que se
destinam os certificados digitais, a saber, a identificação de assinantes de
documentos eletrônicos, este seria um certificado falso. A AC-Raiz já gerou seu
par de chaves e já autocertificou-se, para poder distribuir sua chave pública.
Mas por que as certificadoras precisam distribuir sua
chave pública? Porque tal chave é que cria mercado para o seu serviço,
fazendo-se necessária na ponta do consumidor dos certificados emitidos aos
clientes, para que esses consumidores possam validar a integridade desses
certificados. E por que esta chave é distribuída em certificados assinados?
Porque é assim que softwares hoje em uso por esses clientes esperam receber
essas chaves. Portanto, ou a certificadora distribui sua chave pública em
certificado assinado por outra certificadora, se for subordinada, ou a
distribui em certificado assinado por ela mesma (auto-assinado), se for raiz.
No caso do cartão de visitas, se alguém que você já
conhece lhe entregar um em mãos, o fato dele estar assinado pelo próprio
titular nada significa. Você já conhece o titular. E se algúem que você não
conhece jogar um tal cartão em sua caixa postal, o fato deste cartão estar
assinado pelo próprio titular também nada sigifica. Aquela assinatura nada
acrescenta ou diminui à crença que você porventura sustente sobre a veracidade
do que está ali impresso. Você não tem como conhecer a assinatura de quem ainda
não conhece. O mesmo ocorre com os certificados digitais na internet, com a
diferença de um detalhe importante, que veremos em seguida: o da "carona
no navegador". A propósito, você conhece a Verisign ou a AC-Raiz da ICP-B,
ou apenas ouviu falar delas?
Portanto, o único objetivo de se assinar um certificado
destinado a transportar o par da chave que o assina (certificado auto-assinado)
é o de se alcançar autonomia na distribuição de uma chave pública, para
softwares que esperam receber chaves públicas em certificados assinados. Por
outro lado, esta autonomia é que permite a esses softwares interomperem o que
seria uma cadeia infinita de validações necessárias para a verificação de
qualquer assinatura, respeitados os padrões estabelecidos. A expectativa de que
estes certificados lhes cheguem assinados cria-lhes a necessidade de receberem
antes pelo menos um certificado auto-assinado, para operarem adequadamente. No
caso dos certificados digitais na internet, como hoje usados, esta necessidade
esconde um calcanhar de Aquiles no processo de verificação de assinaturas
digitais, quando empregado para a identificação de autoria de documentos.
Este calcanhar de Aquiles está num detalhe. A saber, na
confiança implícita na carona que alguns certificados auto-assinados pegam com
um navegador (browser Internet Explorer, Netscape Navegator, Opera,
Mozilla, etc.), uma jogada que deu impulso inicial ao negócio da certificação.
O internauta que recebe o navegador "de graça" e passa a usá-lo
estará "reconhecendo", e dando por confiáveis, os titulares dos
certificados auto-assinados que já vêm neste navegador, quando interpreta o
cadeado amarelo se fechando no canto inferior esquerdo da janela como sinal de
identificação segura do seu interlocutor naquela conexão.
O sucesso desta jogada faz surgir em outros o desejo de
pegarem o "bonde do navegador" andando, promovendo a distribuição de
seu certificado auto-assinado separadamente do browser, o que exporá esse
calcanhar de Aquiles no processo de identificação a que se destina. Enquanto
este processo for facultado ao cidadão virtual, o uso que dele faça equivale ao
da contratação particular de uma espécie de apólice de seguro. Mas, se este uso
se tornar obrigatório e ocorrer sob a vigência da norma em questão, o detalhe
desse calcanhar passa a abrigar possibilidades de logro para fraudes, contra o
usuário do navegador ou contra seus interlocutores, possibilidades que por sua
vez são influenciadas pelo efeito jurídico do sucesso no logro.
Qual a relação entre risco e benefício para as fraudes
possibilitadas por este "detalhe que não merece atenção?". A
confecção de um certificado digital auto-assinado com titulação forjada seria
um ato de falsidade idelógica, caso este certificado se destine a identificar
signatários digitais. Se, por exemplo, o nome do titular for o da certificadora
raiz da ICP Brasil (AC-Raiz), tal logro poderia ser classificado como
falsificação de documento público, crime previsto no código penal. Porém, no
caso do documento público ser eletrônico, o equilíbrio entre risco de punição e
benefício da fraude se dilui, devido às dificuldades adicionais na
caracterização do crime, peculiares ao fato do documento em questão ser
eletrônico.
Vejamos porque. No ciberespaço, o conceito de portador de
um documento não pode ter o mesmo sentido clássico de responsabilização perante
a lei, devido à opacidade introduzida pela intermediação do software e à
natureza semiológica do documento eletrônico: um tal documento é apenas um
padrão simbólico imaterial, cujas cópias são indistinguíveis do
"original". Portanto, haverá não apenas um "portador do
original", mas portadores de exemplares indistinguíveis. Em especial no
caso dos certificados, o esperado é que haja uma chusma de portadores de
exemplares indistinguíveis. A identificação do falsificador dificilmente poderá
ser equacionada a partir do portador, pois, além deste não ser único, na
maioria das vezes ele não terá ciência da identidade de quem lhe transmitiu seu
exemplar, que terá sido algum software em alguma máquina na internet.
Até a perícia nos registros das transações eletrônicas
terá enorme dificuldades para rastrear o vínculo entre esses softwares e uma
pessoa que tenha originado um documento eletrônico falso, da mesma forma como
ocorre hoje em relação a invasores de sites. Mesmo que seja rastreado, basta ao
falsificador ter tido o cuidado de gravar zeros no lugar do único exemplar da
chave privada com que assinou o documento falso, para destruir qualquer possível
prova documental contra si. Quem sabe fazer direito só será pego se der mole.
Estas peculiaridades semiológicas, caso não sejam
contempladas ao se instituir a presunção de veraridade na identificação de
signatários de documentos eletrônicos, introduzirão graves desequilíbrios no
ordenamento jurídico, pois a autocertificação pode servir para a falsificação
de qualquer documento. Por outro lado, a tendência para se tentar neutralizar
estes desequilíbrios semiológicos tem sido a aprovação de leis draconianas que
se desequilibram na direção de "compensar" tais desequilíbrios.
Produzindo leis eivadas de exageros na prescrição das penas, de inconsistênicas
e de simplismos na caracterização de crimes, esta tendência causa efeito ainda
mais perverso na segurança jurídica, pois, ao migrar tais desequilibrios para
as leis, pode vir a atender a outros propósitos, nem sempre confessáveis, com
seus efeitos colaterais. Aliás, tais efeitos colaterais podem se antecipar e se
valer desta tendência para escamotear, sob a necessidade desta
"compensação", propósitos inconfessáveis ou indefensáveis no lobby
por novas leis sobre o virtual, hipótese que tenho comentado e examinado em
vários dos meus artigos. A ressaca da corrida do ouro digital certamente não
terminou com a implosão da bolha especulativa das empresas ponto com. O estouro
da bolha especulativa em torno dos valores jurídicos nos bits ainda nos
aguarda.
4- Tipos mais simples de Fraude e Ofuscação do seu
Risco
Quem procura examinar as possibilidades de fraude numa ICP
tende a suspeitar que a fraude mais simples possível consiste no
"roubo" da chave privada da vítima, para a assinatura de documentos
forjados em seu nome. Mas não é. Tecnicamente, o termo correto para este tipo
de incidente é "vazamento", pois o ato não priva o dono da chave de
"posse" do objeto em questão. O que constitui um complicador
jurídico, pois o exemplar vazado pode ser usado sem que o titular disso
suspeite. Normalmente a chave privada reside em um arquivo cifrado por senha,
no diretório do browser ou no registro do sistema operacional.
Em 70% dos casos de escolha de senha, esta cifragem pode
ser quebrada por crackers (hackers criminosos), usando programas que aplicam
ataques de dicionário em tais cifragens. E quando a senha for robusta, o atacante
pode se valer de programas cavalos-de-tróia, amplamente difundidos no mundo do
cibercrime e facilmente implementáveis na linguagem de comunicação de processos
do Windows (VBscript), também uma linguagem de programação de conteúdo ativo no
Internet Explorer e no Outolook, para interceptarem furtivamente do teclado a
digitação da senha e o acesso ao chaveiro do navegador, transmitindo-as ao
atacante, até através de carona em conexões a sites insuspeitos.
E aqui está o nó de um novo golpe branco contra a cidadania,
perpetrável por meio de leis de assinatura digital obtusas em que poderiam se
encaixar como luva objetivos não confessáveis, mencionados na seção anterior.
Segundo a letra do artigo 1 da MP2200, esta lei teria sido promulgada
"para
garantir a autenticidade, a integridade e a validade jurídica de documentos em
forma eletrônica, das aplicações de suporte e das aplicações habilitadas que
utilizem certificados digitais, bem como a realização de transações eletrônicas
seguras."
Tudo bem, se for para garantir tudo isto. Mas falta
explicar como, o que fica para os atos normativos da autoridade gestora,
conforme o artigo 3 da mesma MP:
"A
função de autoridade gestora de políticas [será exercida pelo Comitê Gestor da
ICP-Brasil, vinculado à Casa Civil da Presidência da República".
Estamos, portanto, diante de um dos três Poderes
reescrevendo, na prática, parte significativa de um novo Código Civil. Ao menos
o princípio de contrapesos dos três Poderes, basilar na democracia moderna, foi
aqui desprezado. Será que isso é mesmo assunto para lei provisória, que pode
ser mudada a cada mês com uma canetada? Mas tudo bem, se for em boa causa. O
motivo apresentado pelos defensores da MP2200 para este desprezo é o de que o
Legislativo tem sido muito lento para decidir estas coisas tão urgentes. Tudo
bem, se, ao final, se estiver buscando a manutenção da segurança jurídica, isto
é, o equilíbrio de riscos e responsabilidades nas práticas sociais
intermediadas pelo virtual. Podemos até ignorar que a morosidade do
Legistalivo, que vinha debatendo o tema com a socieade há mais de dois anos,
possa ter sofrido a inflluência do próprio Executivo para praticar esta
morosidade.
O que se vê então, até aqui, no trabalho dos que tomaram
para si toda esta autoridade e responsabilidade? O que deste trabalho primeiro
se depreende é uma preocupação muito maior com a segurança do negócio do
pedágio a ser cobrado, do cidadão e da Justiça, para trânsito de valores
jurídicos no espaço virtual, do que com a segurança jurídica do cidadão e dos
agentes sociais subrepresentados nesse novo jogo de poder. Apesar da linguagem
pomposa e cheia de tecnicismos dessas normas sugerir ao leigo o contrário. Cito
em meus artigos vários indícios de que, como estou aqui afirmando, esta forma
de pedágio não é adequada à segurança jurídica da assinatura eletrônica.
O que significa, por exemplo, a linguagem da MP2200 que
diz
"garantir
a validade jurídica ... das aplicações de suporte e das aplicações habilitadas
que utilizem certificados digitais"? O que significa "aplicações
habilitadas"?
Habilitadas por adesão de sua lógica a padrões públicos de
interoperabilidade, por critérios técnicos que capacitem garantias de segurança
computacional aos elos do sistema onde atuam, por critérios burocráticos, por
critérios indiretos de discriminação forçada por padrões proprietários, ou por
combinação desses? Ainda não sabemos o que virá a ser isso na prática, no
escopo da ICP-B. Mas já o sabemos na Inglaterra. Lá, na prática, só funcionam
aplicações "habilitadas" pelo padrão de fato introduzido pelo
produtor de software que licenciou a operação e a custódia de todos as bases de
dados do governo britânico, a maior empresa do mundo, recém condenada em última
instância por práticas monopolistas predatórias. Só o navegador dela consegue
interoperar com os servidores dessas bases de dados usando sistema de
assinatura. Da mesma forma como acontece hoje com alguns serviços do internet
banking da Caixa Econômica Federal.
Na lei italiana, os critérios são conhecidos e claros,
estando neles visível a busca do equilíbrio que representa a segurança jurídica
dos signatários digitais. A lei só estabelece a validade jurídica e a presunção
de autoria de documentos assinados por chaves privadas em torno das quais os
critérios de segurança computacional na sua geração, guarda e operação melhor
aproximam dos seus equivalentes na jurisprudência do processo clássico da
assinatura de punho. Na qual o tabelião precisa, por exemplo, avaliar se o
signatário estava, no ato da assinatura, em gozo de suas capacidades. Tal busca
de equivalência envolve, pelo menos mas não apenas, hardware dedicado (por
exemplo, cartão inteligente).
Na lei brasileira, dos atos normativos do comitê gestor da
ICP-B, que parecem se preocupar muito mais com a segurança do negócio do
pedágio do que com a segurança jurídica dos titulares das chaves, emanam
efeitos desequilíbrantes na teia jurídica que por sua vez podem induzir
nefastas influências, que passo a listar. Como explicado antes, por razões semiológicas
que escapam ao legislador e aos operadores do Direito, e que discuto em alguns
dos meus artigos, na esfera virtual o conceito de ônus da prova resulta muito
próximo ao conceito de sentença condenatória. Por isso, em transações virtuais
do governo e comércio eletrônicos, os riscos decorrentes de fraudes podem ser,
na prática, transferidos para o interlocutor sobre o qual recaia o ônus da
prova de fraude. Por sua vez, consolida esta transferência o descaso na norma
jurídica com os elos da corrente da segurança operacional dos sistemas de
assinatura digital onde esses intelocutores atuam.
Assim, vigindo norma jurídica que, como parece ser o caso
do artigo 10 da MP2200-2, imputa ao titular da chave que verifica uma
assinatura o ônus da prova de fraude sempre que esta titulação esteja
registrada por certificadora credenciada, duas tendências surgirão naturalmente
da lógica de poder desta vigência. Monopólios, grandes agentes econômicos e
estatais tenderão a demandar, do cidadão comum ou do agente social que com ele
precise transacionar, a forma eletrônica de transacionar e a certificação
credenciada de sua chave pública. Tenderão certamente a eliminar alternativas.
Se a lei proibir esta eliminação eles irão dificultá-las, como faz a Receita
Federal com a declaração de renda via formulário em papel, e como estão fazendo
os bancos com alguns dos serviços que prestam, ou com a tentativa de
circunscreverem a jurisdição do Código de Defesa do Consumidor em exclusão aos
serviços bancários.
Esta demanda sofrerá menos resitência do leigo se ele for
importunado ao mínimo para aceitar novos riscos. Como 19 entre 20 já usam o
navegador e o sistema operacional da Microsoft, e os pacotes de
"desenvolvimento integrado" para a "nova geração de serviços
web" estão empurrando as empresas e os desenvolvedores de sistemas de
informação para o círculo de controle semiológico (padrões proprietários) desta
mesma empresa, sem que as normas para credenciamento na ICP-B especifiquem
qualquer critério ou patamar de proteção à chave privada em posse do titular no
varejo, a tendência é cairmos todos na vala comum da insegurança jurídica.
E se o acesso a serviços universais for inviablizado a
softwares concorrentes, como está acontecendo na CEF e na Inglaterra, nos
veremos impedidos de nos proteger, por iniciativa própria, desses novos riscos
a que estaremos sendo forçados a nos expor. Neste caso, estaremos sendo
obrigados a gerar um par de chaves e certificá-lo em certificadora credenciada,
a operar a chave privada em ambiente no qual não exercemos controle adequado
sobre riscos, ao mesmo tempo em que somos forçados a arcar com o ônus da prova
de uso indevido desta chave. O cidadão só irá aceitar isso se achar que a
conveniência compensa os riscos, mas dificilmente irá acreditar que este
cenário corrresponde, para ele, a uma escravidão consentida a um grande irmão.
Não devemos nos esquecer de que os módulos de segurança
dos softwares da Microsoft são inauditáveis, e de que há indícios copiosos de
abuso desta opacidade para fins de espionagem e de controle semiológico sobre
seus usuários, e pior, de falhas estruturais comprometedoras da segurança
desses usuários que não poderão nunca ser efetivamente corrigidas, a menos de
mudanças na filosofia da arquitetura desses softwares. Porém, mundanças que
inviablizariam tal controle semiológico sobre usuários, controle sobre o qual
assenta a segurança do negócio da empresa, e portanto, mudanças cuja ocorrência
não devemos esperar como voluntárias ou irresistíveis. Este assunto perpassa os
autos do processo em que a empresa foi condenada por danos sociais decorrentes
de prática monopolista predatória, e que revisito com frequência em meus
artigos, como por exemplo, "Sapos Piramidais nas Guerras Virtuais".
Tal cenário de insegurança computacional, por sua vez,
justifica a necessidade jurídica da possibilidade da revogação de chaves, bem
como a expectativa de sua ocorrência frequente. Estão previstas, nas normas
ditadas pelo comitê gestor da ICP-B, dois tipos de revogação: por iniciativa do
titular ou do certificador. A revogação por iniciativa do titular se destina a
amenizar o desequilíbrio jurídico decorrente das possibilidades de vazamento de
sua chave privada. Amenizar, e não neutralizar, pois a inicativa do titular em
revogar sua chave presume-se decorrente de suspeita da quebra indevida do
sigilo de sua chave, ao passo que este quebra normalmente é sorrateira, pois
sua chave "continuará onde sempre esteve". Tais peculiaridades fazem
com que, na prática e no caso geral, tal suspeita só se materialize perante o
conhecimento da ocorrência de fraude, para as quais a revogação será inóqua, a
menos que retroaja. E se puder retroagir, a norma estará escancarando a porta
para o tipo de fraude que trataremos em seguida.
Por sua vez, a revogação por iniciativa do certificador se
destina a amenizar o desequilibrio jurídico decorrente de possivel falsidade
ideológica na titulação da chave. E novamente: amenizar, e não neutralizar,
pelos mesmos motivos. A supracitada norma não especifica detalhes das exigências
documentais e processuais a serem cumpridas para o registro da revogação de
chaves pelas certificadoras credenciadas. Apenas da padronização de sua
divulgação em meio eletrônico. Nesta omissão estão as brechas para o tipo de
fraude descrito abaixo, que parece ser o mais grave possível. E por fim, a
frequência de revogações que se pode esperar do uso disseminado de chaves
assimétricas em ambientes computacionalmente promíscuos, por usuários a ele
forçados sem a devida aculturação aos seus riscos e consequências, servirá para
melhor escamotear esse tipo de fraude.
5- O Perigo de Erosão Jurídica na Datação de
Revogações
Diferentemente dos mecanismos jurídicos ou computacionais
de proteção, os riscos são transitivos. Riscos se contaminam e se retroalimentam,
como no cenário que vamos aqui descrever. Um corrupto em potencial que precise,
por exemplo, emitir ordens de pagamento digitalmente assinadas para cometer
atos ilícitos, ordens essas que constituem prova de conduta irregular do
assinante, irá buscar uma forma de se livrar da autoria das mesmas, assim que
surtam o efeito desejado, como o de fazer algum dinheiro mudar de lugar. Tendo
praticado um tal ato, ele em princípio poderá aguardar até que o rastro
eletrônico deste ato produza acusação de ilícito, para então argumentar que sua
chave teria sido usada indevidamente, fato do qual teria tomado conhecimento
pela acusação mesma. Este argumento justificaria um possível pedido de
revogação de sua chave, mas não o livraria das pesadas responsabilidades decorrentes
do paragrafo único do artigo 10 da MP, se a revogação não retroagir.
Ao avaliar os riscos a que estará exposto ao praticar
ilícitos por meio de documentos eletrônicos, o corrupto em potencial estará
examinando a possibilidade de, se e quando uma eventual acusação de ilícito lhe
for dirigida, poder obter da sua certificadora a revogação de sua chave com
data anterior à do documento que estaria consubstanciando tal imputação, sem
que tal retroação seja publicamente admitida. Seria como se ele já não estivesse
mais usando aquela chave na ocasião. Se puder revogar assim, estaria obtendo
garantias de impunidade na medida em que a retrodatação da revogação seja,
publicamente, apenas uma hipótese indemonstrável. Ele poderá então ir fraudando
com esta chave até ser acusado, safar-se da acusação e continuar as fraudes com
uma nova chave.
Além de obter também, de quebra, a possibilidade de reverter a imputação
de ilícito sobre quem vier a lhe acusar, pois o acusador se poria, com sua
"prova", como principal suspeito de ter lhe provocado as suspeitas de
vazamento de sua chave, suspeitas que o teriam levado a revogar sua chave na
data que consta da sua revogação. Mesmo se o acusador tiver o cuidado de, antes
de decidir anexar tal documento aos autos do processo, verificar, junto à
certificadora do signatário suspeito, que aquela chave de assinatura estava em
vigor na data de assinatura do documento.
E mesmo se o acusador tiver o cuidado extra de anexar aos autos a lista
de revogação desta certificadora, assinada por ela e com data posterior à do
documento probante do ilícito, mostrando que a revogação em questão não
constava naquela data, a certificadora poderá produzir para a defesa, e
sustentar como legítima, uma outra lista assinada com mesma data onde consta a revogação
em questão. Esta sustentação seria inatacável devido à blindagem contra
auditoria externa que lhe dá a MP2200-2, na forma do "foro
privilegiado" da auditoria interna, e o acusador poderia neste caso se ver
acusado de também fraudar a certificadora.
Como o réu se beneficia em caso de dúvida, o acusador teria feito papel
de palhaço e o corrupto ganho impunidade e oportunidade de capitalização
política, por ter sido "vítima de maliciosa perseguição". Este jogo
não seria novidade, já existindo com os documentos de papel. A diferença é que,
com o papel, o jogo é de astúcia processual, arbitrado pela jurisprudência dos
códigos de processo. Ao passo que, como armado pelo cenário das normas em vigor
para os documentos eletrônicos, vira um jogo de cartas marcadas onde o poder
Judiciário poderia ser fácil presa ou cúmplice de logro pela manipulação de
opacidades e desequilíbrios de natureza semiológica.
Dependendo do contexto e do modo como faça sua avaliação, o potencial
corrupto poderá estar estimulando o conluio com certificadoras, legisladores e
gestores, para que a norma impossibilite a detectação de retroação em
revogações. O avaliador dos riscos de corrupção pode agir então como corruptor,
se expuser a relação risco/benefício deste conluio não em público, como estou
tentanto fazer aqui, mas reservadamente para o alvo certo, no contexto adequado
de pressões subjetivas e indiretas. A indemonstrabilidade da retroação de
revogações pode ser alcançada, por exemplo, impedido-se a auditoria externa
sobre os processos e procedimentos das certificadoras credenciadas.
Sinais compatíveis com as hipóteses deste cenário estão estampados nas
normas da ICP-Brasil, que insiste em ignorar os riscos na opacidade e na falta
de garantias públicas no processo de revogação. Quanto mais despercebidas e
desimpedidas puderem ocorrer estas hipotéticas interações nefastas, mais
difícil será reverter seus efeitos. Nem mesmo a inexperiência ou limitações no
domínio técnico do legislador justificam esta coincidência, pois ela certamente
irá atrair a má fé alheia, até a exploração pelo crime organizado, se ignorada.
A única entidade fora do governo que tem defendido publicamente o
espírito e o texto da MP 2200 tem sido a Febraban, através do seu
diretor-geral. Certamente porque sua vigência pode implicar em menos riscos
para esta entidade. Acontece que a gama de riscos não diminui quando o
documento se desmaterializa do papel para migrar para o ciberspaço. As
capacidades da Justiça para investigar e julgar ficam prejudicadas com esta
migração, a começar pela complexificação do valor probante de documentos e da
tipificação de crimes. Se há mais riscos no geral, e menos para a Febraban em
sua avaliação, obviamente o saldo repousa com seus potenciais demandantes judiciais.
A saber, o cidadão, o correntista, e o braço do Estado que fiscaliza suas
atividades.
Mas será que o cidadão será mesmo obrigado a correr novos e graves
riscos? Na medida em que vier a ser obrigado a gerar chaves sob o regime da
ICP-B para transacionar com instituições que prestam serviços universais, sim,
em vista do exposto sobre o ônus da prova digital. Sinais do que virá já
podemos ver nas práticas discriminatórias da Caixa Econômica Federal e do INSS.
O equilíbrio jurídico na presença de normas que explicitem presunção de valor
jurídico de assinatura digital depende de uma delicada e minunciosa ponderação
das condições implicadas pelo ônus da prova digital, onde qualquer
obrigatoriedade é potencialmente desestabilizante. A iniciativa da Febraban em
questionar, no STF, a jurisdição do Código de Defesa do Consumidor sobre
serviços bancários, código que poderia se opor ao cerne do efeito pretendido
pela MP2200, é um péssimo sinal para o consumidor/usuário dos seus serviços. E
também para o poder fiscalizador exógeno do Estado, que passa a correr novos
riscos, na medida em que lhe seja vedada a normatização e a auditoria nos
processos de revogação de chaves conduzidos pelas certificadoras credenciadas
pela ICP-B.
Se o Cidadão for impedido, na sua necessidade de acesso a serviços
universais, de se proteger desses novos riscos por conta própria, através da
livre escolha do ambiente computacional através do qual irá operar na
jurisdição da ICP-B, isto é, da livre escolha dos "aplicativos de suporte e
habilitados" para os padrões e formatos supostamente públicos que a
constituem, a exemplo do que ocorre na Inglaterra e com alguns serviços da
Caixa Econômica Federal, e ao mesmo tempo impedido de usar a alternativa de
tinta e o papel, a exemplo de alguns serviços de recolhimento de tributos do
INSS, a segurança jurídica na esfera virtual será natimorta, como natimorto
viria o rei de Angolmois, de acordo com a décima centúria de Nostradamus, numa
estrofe ancorada à última eclipse solar do segundo milênio (72).
6- Discussão em torno de exemplos didáticos
Vamos ilustrar com exemplos a gravidade do que está aqui em jogo,
didáticos o suficiente para tentar convencer os incrédulos dessa gravidade, mas
não o suficiente para ofender possíveis atores com referências diretas à vida
real. Para isso, precisamos examinar mais alguns detalhes sobre o processo de
certificação, isto é, do processo de registro, emissão (assinatura) e revogação
de certificados digitais.
A chave de um par assimétrico que é submetida a certificação é a pública.
Entretanto, o certificado precisa também dizer para qual sistema criptográfico
(algoritmo) aquela chave se destina. Um tal algoritmo é algo semelhante a um
modelo de fechadura digital. Ao mencionar o algoritmo, e sendo este
assimétrico, o certificado estará fazendo referência à existência de uma outra
chave (a chave privada) que forma par com esta chave pública, que teria sido
gerada junto com ela, com a propriedade de que uma reverte a ação da outra no
sistema, sem entretanto permitir sua imitação. Portanto, o certificado digital
que transporta uma chave pública faz referência ao par pública-privada a que
pertence esta chave, mas transporta apenas a pública..
O certificado faz também outras referências a chaves. Como precisa ser
assinado para obedecer aos padrões vigentes (x509), ele precisa transportar
também o nome daquele que o assinou (do certificador), para que sua integridade
possa ser verificada por quem for usá-lo. Obviamente, usando a chave pública
deste certificador. Assim, um certificado assinado por uma certificadora cujo
titular seja um cidadão, faz, no total, referência a quatro chaves. O par
pública-privada do cidadão, cuja pública ele transporta, e o par
pública-privada da certificadora, cuja privada o teria assinado, e cuja pública
é necessária para verificar sua integridade. Como estão relacionadas na prática
essas chaves? Quem pretende verificar uma assinatura em um documento eletrônico
deve usar para isso a chave pública do signatário. Precisa para isso de um
exemplar do certificado que transporta esta chave, e, para confiar na
integridade do exemplar que lhe chega às mãos, precisa antes verificar a
assinatura neste certificado. Isto lhe asseguraria que o nome do titular no
exemplar do certificado em seu poder é o mesmo que nele constava no ato da sua
assinatura pela certificadora.
Como esta verificação de integridade do certificado requer a chave
pública do certificador, pressupõe-se que tal chave venha em um outro
certificado. A necessidade de verificar uma assinatura disparou assim uma
cadeia recursiva de necessidades de verificação de assinaturas em certificados.
Esta cadeia seria infinita se não chegasse a um certificado no qual a chave
transportada é a mesma que "verifica sua integridade". Um tal
certificado é dito auto-assinado, ou raiz. Os dois pares de chaves a que ele se
refere, o do titular e o do certificador, são o mesmo.
Tanto um certificado "normal" (no qual o titular e o
certificador nomeados são distintos), quanto um certificado auto-assinado (no
qual o titular e o certificador tem o mesmo nome, presumindo que os dois pares
de chaves referidos são os mesmos), destinam-se a tornar conhecida a chave
pública transportada. O certificador é simplesmente alguém que apresenta o
titular ao portador do certificado. Assim, o certificador e titular de um
certificado auto-assinado é alguem que se apresenta a si mesmo. O fato de que
qualquer um pode se apresentar no mundo virtual através de um certificado
auto-assinado, não é, em si, nem bom nem ruim para ninguém.
Aliás, como já vimos, sob os padrões vigentes é inevitável que alguém
assim o faça, e esses padrões estão hoje em uso porque foram os que melhor
funcionaram. A discussão jurídica sobre a ICP-B começa pelo direito natural de
fazê-lo. A MP2200-2 está dizendo quem a AC-Raiz, e só ela, tem o direito
natural de apresentar-se a si mesma com presunção de veracidade, para os que
transitam por um novo portão por ela aberto, separando o mundo virtual do mundo
jurídico. E que só ela tem o direito de apresentar aqueles que vão poder
apresentar, com presunção de veracidade, os que transitam por este portão. A
MP2200-2 vai além e cria, com sua estrutura de certificação em árvore
(estrutura erroneamente denomidada "cadeia" no artigo 2o.), um regime
de castas para esta nova "etiqueta social", com a AC-Raiz no papel de
soberano supremo e o comitê gestor como guardião do regime: Quem se apresentar
por meio desta hierarquia é presumido verdadeiro, cabendo a quem duvidar o ônus
da prova, ao reverso para os párias. É uma lei esperta pois o legislador pode,
através dela, instituir neste portão o pedágio que quiser, enquanto quem se
beneficiar desta presunção poderá conduzir ou forçar seus interlocutores
através do mesmo.
Quando, na verdade, o direito à auto-apresentação presumidamente verdadeira
é, subjetivamente, uma questão de foro íntimo, e objetivamente, uma questão
regida por norma constitucional, se considerarmos qualquer outro portão no
mundo da vida que tenha significado na esfera jurídica. Se você, ao cruzar um
portão de madeira no mundo da vida, se depara com alguém que se apresenta a si
mesmo e lhe propõe um contrato, na tradição jurídica clássica nada lhe impede
de aceitar ou recusar, desde que você aceite ou recuse os riscos envolvidos, na
medida em que os perceba. Não ter a quem cobrar por eventuais prejuízos
decorrentes de falsas representações nesta auto-apresentação é um desses
riscos, para cujo controle a presunção de veracidade é regulada pelo artigo 236
da Constituição Federal.
No que tem de bom, a lei americana de assinatura digital (e-Sign)
universaliza a interpretação subjetiva da veracidade das apresentações no novo
portão dela. Segundo ela, ninguém tem ali qualquer privilégio em relação à
presunção de veracidade. Fosse assim também a MP2200, isto é, omitisse ela o parágrafo
único do artigo 10, a sedução do pedágio da certificação credenciada
desapareceria para os grandes agentes econômicos e sociais, como panacéia para
seus riscos se demandada aos cidadãos que queiram ou precisem contratar seus
serviços, e a estrutura de castas em árvore se faria desnecessária para a
certificação.
Em lugar desta árvore, uma malha de confiança para aceitação da
autocertificação, baseada nas relações sociais do mundo da vida diluiria a
vulnerabilidade da ICP-B ao calcanhar de Aquiles da autocertificação de sua
AC-Raiz, a exemplo da primeira caricatura de ICP surgida na internet com o PGP,
vulnerabilidade esta que comentamos em seguida. Entretanto, no que tem de ruim
a lei americana, este direito de igualdade subjetiva nela opera para escamotear
desequíbrios abissais em desfavor da cidadania, como comento em meu artigo
"Uncitral". Numa e noutra, entre optar pela cidadania ou pelo Grande
Irmão a lei escolhe, cada uma a seu modo, o segundo.
Espera-se, portanto, de quem engendrou e de quem defende a MP2200, uma
justificativa razoável para a adoção do regime de castas no espaço social em
volta do seu novo portão. Uma justificativa para a escolha dos critérios que
designam quem pode apresentar-se a si mesmo com tal presunção, e quem pode fazer
herdar esta presunção em apresentações subsequentes neste portão, critérios que
ignoram o artigo 236 da Contituição Federal. Esta justificativa, e não o fato
de que alguém precisa, e pode, apresentar-se a si mesmo, é que será boa ou
ruim. A comissão de informática jurídica da OAB sustenta por exemplo, em meu
entender, que a lógica desta justificativa não pode ser de natureza jurídica
sem abalar vários pilares da tradição jurídica do país, referentes à natureza
da fé pública. Tampouco pode ser de natureza técnica, pois as características
dos sistemas não podem embasar a presunção de veracidade na identficação do
signatário autocertificado, seja qual for sua titulação. Desvendar a verdadeira
lógica desta justificativa é matar a charada da referida equidistância do
hermetismo simplista da MP2200.
A justificativa que tem sido recitada pelos defensores da MP2200 é
baseada na competência técnica e na autoridade. A chave privada da AC-Raiz
estaria no cofre mais seguro, gerada pelo software mais caro, operada pelo serviço
de processamento de dados com maior escala e volume de serviço no país, com a
supervisão e o aval da Casa Civil da Presidência da República, a maior
autoridade do país, etc. Tudo isto oferece à sociedade apenas parte das
garantias que ela deveria esperar e cobrar de tamanho privilégio e poder.
Porem, as garantias recitadas arrazoam apenas sobre um dos aspectos da
segurança jurídica em questão. Só descrevem a resistência de um dos elos da
corrente que faz a segurança jurídica desta presunção. A saber, do elo cujo
risco de ruptura é o uso sorrateiro da chave privada da AC-Raiz, para assinar
certificados com titulação falsa.
Em relação a outros aspectos, a justificativa recitada nada arrazoa.
Outros elos dessa corrente são por ela ignorados. Senão vejamos. A AC raiz
precisa, para cumprir o que promete a MP2200, fazer sua chave pública conhecida
de todo software destinado a verificar assinaturas digitais que presumam veraz
a identificação do signatário, em qualquer computador em qualquer parte do
território nacional, chave esta que dará a palavra final sobre a integridade de
uma cadeia de assinaturas avalisadoras desta presunção. E é só isto que ela
pode fazer. E sendo só isto o que o certificado auto-assinado da AC-Raiz é
capaz de oferecer, escapam do seu controle os outros elos.
Como pode a certificadorra raiz e seu certificado garantirem, por
exemplo, que um certificado com titulação e nome do certificador idênticos ao
seu não irá se apresentar a um desses softwares para arrematar uma cadeia de
assinaturas falsas, visando a consumação de uma fraude eletrônica, sendo ambos
auto-assinados? Ou então, como pode a sua autocertificação garantir proteção à
chave privada de um signatário qualquer, contra quebra indevida de sigilo no
seu ambiente? Depois de entendermos como e porque não podem, sobrará o poder de
homologação do comitê gestor da ICP-B para oferecer as garantias que faltam ao
vínculo jurídico que gerencia. Mas a homologação só poderá oferecer tais
garantias se puder comprovar a segurança da operação dos "aplicações de
suporte e homologadas". E será que pode? Para intuirmos a resposta, basta
observar o crescimento de incidentes de segurança na internet, maior até que o
da própria grande rede.
Nada nos argumentos costurados na justificativa recitada têm, como visto,
qualquer relevância para superar, para equacionar ou para amenizar o verdadeiro
problema da robustez de tal corrente. A segurança jurídica de uma assinatura
digital de casta, isto é, presumidamente veraz quanto à sua capacidade de
identificar o signatário, será tão forte quanto a mais fraca dessas garantias.
Isto, os arquitetos do modelo americano perceberam logo e por isso as evitaram.
Já os arquitetos da lei brasileira põe a desfilar o rei, com sua maravilhosa
roupa nova. O que eu disse no artigo "O silencio que produz ruídos",
em relação ao calcanhar de Aquiles da distribuição de chaves auto-assinadas na
ICP-B, foi, em outras palavras, que o rei está nu!
Para enxergarmos através da roupa nova do rei, vamos descrever a mais
simples das fraudes que explora a presunção de veracidade ditada pelo parágrafo
único do artigo 10 da MP2200. Trata-se de uma fraude de documento eletrônico
que se assemelha, por exemplo, ao da falsificação da carteira de habilitação do
chefe do DENATRAN, onde a foto falsa corresponde à chave pública de origem
falsa. Porém, uma fraude com relação risco/recompensa desproporcionalmente
distinta daquela, devido ao valor probante das possíveis provas do crime.
No caso da falsificação da carteira de motorista do chefe do DENATRAN, o
promotor terá boas chances de sucesso caso responsabilize pelo crime um sujeito
cujo rosto corresponde à foto na carteira falsa. Enquanto no caso do
certificado, o promotor só terá chance se encontrar, no computador do acusado,
uma sequência de bits que faça par com a chave pública que está no certificado
auto-assinado de titulação falsa, na dança do sistema criptográfico para o qual
foi gerado aquele par, conforme especificado neste certificado. Esta fraude
seria mais fácil que o "roubo" da chave privada da vítima pois, para
consumá-la, bastará ao falsário "roubar" (usar indevidamente) os
nomes das instituições a serem envolvidas no golpe, que são públicos (pois
estão nos certificados verdadeiros das mesmas), e casá-los um a um com chaves
públicas de pares que ele tenha gerado exclusivamente para aplicar o golpe.
Digamos, por exemplo, que ele queira produzir uma falsa declaração
negativa de débito, ou liberação de verba para depósito em conta laranja,
assinada em nome de um órgão público. Na intimidade do seu computador
desconectado da rede ele redige e assina este documento com a chave privada de
um par por ele gerado só para este golpe. Para que esta assinatura seja tida
como autêntica, ele precisa antes colocar a chave pública deste par num certificado
falso que contenha, como nome do titular, o desse órgão público. Ele pode, por
exemplo, simplesmente copiar ipsi literis o nome do titular e o da sua
certificadora, do certificado verdadeiro deste orgão público. Acontece que este
certificado falso precisa estar assinado por esta certificadora. O falsário
estará, então, diante da necessidade da falsificação recursiva.
Ele precisa gerar também outros pares de chaves. Ele então gera mais um
par, para fazê-lo passar por par de chaves da certificadora que emitiu o
certificado do órgão público. Com a chave privada deste novo par ele assina o
certificado falso do órgão público, completando a falsificação iniciada no
passo anterior. A chave pública deste novo par ele põe num certificado falso,
cujo titular é a tal certificadora. Novamente, ele pode copiar ipsi literis
o do certificado verdadeiro o nome do titular e o da sua certificadora, que
seria, digamos, a AC-Raiz. Ele agora tem um certificado falso da certificadora
que ainda precisa ser assinado, pela chave da AC-Raiz da ICP-Brasil.
No passo seguinte ele termina esta etapa. Ele gera mais um par de chaves,
para fazê-lo passar por par de chaves da AC-Raiz. A chave pública deste último
par ele põe no certificado falso da AC-Raiz. E com a chave privada desse novo
par ele assina dois certificados: o certificado falso da certificadora do órgão
público, completando a falsificação iniciada no passo anterior, e também o
último certificado, este da AC-raiz, auto-assinado tal e qual o verdadeiro
certificado da AC-Raiz. A cadeia de assinaturas falsas que presumem a
veracidade da identificação do signatário do seu documento fraudulento está
completa.
Ele agora apaga as três chaves privadas que gerou para aplicar este
golpe, eliminando do seu computador as únicas possíveis provas documentais de
fraude, pois só quem possui estas chaves privadas poderia ter produzido os
certificados falsos, e estará pronto para se conectar na rede e aplicar o
golpe.
Na conexão através da qual ele vai aplicar o golpe, isto é, apresentar o
documento fraudulento como se fosse autêntico, ele precisa fazer o software da
vítima usar os certificados falsos como se fossem verdadeiros. Se os
certificados verdadeiros necessários para a cadeia de verificação das
asssinaturas envolvidas já tiverem exemplares armazenados sob controle do
software da vítima, o falsário pode, ou não (dependendo das configurações do
software da vítima, de detalhes nos certificados verdadeiros, e do protocolo que
abre a conexão), precisar antes forçar a troca dos mesmos. Neste caso um
software embusteiro (um cavalo-de-troia) poderia ser usado para inseminar os
certificados falsos no ambiente onde opera o software da vitima.
Se este software ainda não conhece exemplares dos certificados
verdadeiros desta cadeia, ou se a inseminação dos certificados falsos não se
fizer necessária, basta ao fraudador configurar a conexão para que os
certificados falsos sejam enviados junto com o documento fraudulento. Vamos
examinar em detalhe o caso em que o software da vítima seja um navegador, ou
outro programa que empregue o protocolo SSL para transacionar com documentos
digitalmente assinados. Quando esses certificados falsos forem recebidos, este
software perguntará à vítima se "quer mesmo aceitar aquele certificado
auto-assinado da AC-Raiz da ICP-Brasil". Isto não lhe será surpresa, pois,
para instalar o certificado verdadeiro da AC-Raiz, ele terá, ou teve, que
responder à mesma pergunta, já que o certificado verdadeiro também é
auto-assinado e tampouco vem com o navegador.
Como a ICP-B divulga no seu site a chave pública, e não o fingerprint do
seu certificado auto-assinado, caso ele queira visitá-lo para verificar se o
certificado sobre o qual seu navegador lhe perquire é mesmo o que a ICP-Brasil
teria gerado, não terá como saber, pois o navegador só lhe mostra o fingerprint
do certificado, e não a chave pública transportada. E mesmo que ele saiba qual
é o fingerprint do verdadeiro certificado da AC-Raiz, e estiver usando o navegador
Internet Explorer, ele não saberá se o fingerprint sendo mostrado na tela foi
também copiado pelo falsário do certificado verdadeiro, ou se está sendo
calculado pelo navegador naquele instante. E nem poderá saber, por si mesmo ou
por alguém de sua confiança, pois o módulo de segurança que funciona com o
Internet Explorer da Microsoft é inauditável.
Mesmo que a vítima já tenha passado por isto antes, ao instalar o
verdadeiro certificado da AC-Raiz em seu Windows, ele poderá ficar confuso,
achando que o navegador está lhe perguntando sobre o certificado da AC-Raiz já
instalado por ele, e não sobre um que lhe estaria sendo enviado naquele momento
pelo interlocutor daquela conexão. Ou achar que se trata de uma renovação do
certificado verdadeiro, já em posse do seu interlocutor mas não dele. Se
estiver com pressa ou preguiça mental ele pode até desconfiar mas acabar
racionalizando: afinal, a validade do documento e a veracidade de sua autoria
estão garantidas pelo parágrafo único do artigo 10 da MP2200-2, já que aquele
documento é da própria AC-Raiz da ICP-B, como ele próprio diz (o calcanhar de
Aquiles!). Este seria um cenário onde o golpe através de certificados falsos
seria mais fácil que o do "roubo" (vazamento) da chave privada da
vítima.
Caso o falsário precise inseminar certificados falsos no ambiente de
operação do software da vítima ele estará, em princípio, ainda diante de um
ataque mais fácil que o do "roubo" da chave privada, pois precisa
apenas alterar um ou mais arquivos neste ambiente, cuja codificação não envolve
nenhuma senha da vítima. Se ele quiser fazer um serviço limpo, que não deixa
rastro, o cavalo-de-tróia pode ser acionado também para reestabelecer o estado
anterior deste software, após sua aceitação do documento fraudulento, em relação
aos exemplares de certificados que mantém armazenados em disco, e depois
deletar-se. Se o falsário já negocia eletronicamente com a vítima fica mais
fácil contaminar seu ambiente com um cavalo-de-troia, pelo hábito de ambos
trocarem arquivos pela rede.
Se necessária, a inseminação anterior da máquina da vítima com
certificados falsos só será detectada se o software anti-virus ou outro
software de segurança da mesma vigiar adequadamente o software de verificação
de assinaturas, mas cavalos-de-tróia feitos ou adaptados sob medida podem
burlar qualquer anti-virus, se houver competência suficiente na sua confecção
ou adaptação. Se o falsário não souber fazer tudo isso sozinho, há uma pizzaria
em Brasília onde se reúnem semanalmente cibervândalos de aluguel, onde tal
serviço pode ser contratado. Serviços corriqueiros já tem preço tabelado. Se e
quando este tipo de golpe virar rotina, certamente suas variantes também terão
preço tabelado.
E se a ferramenta para inseminação remota de certificados falsos falhar,
resta sempre a alternativa do suborno ou ação furtiva para contaminar in
loco a máquina da vítima. Neste caso seria suficiente, na maioria das
situações, um disquete de boot e um curto circuito na bateria da BIOS
para zerar a senha de setup do computador da vítima. Para detectar esta
ação furtiva simples, o software de lavra e verificação de assinaturas teria
que estar fazendo validação mediante senha dos arquivos que armazenam
certificados. Neste caso a ação furtiva precisa de duas etapas: uma para grampear
ou quebrar esta senha, e outra para modificar, de forma indetectável, o arquivo
contendo os certificados no disco da vítima. Por exemplo, com a instalação via
este boot de um rootkit contendo grampo de teclado. Ou numa
intervenção mais limpa, que não suja os bits da vítima, via chip que se
coloca dentro do teclado para grampear senhas. Neste caso o golpe dos
certificados falsos seria de mesmo grau de dificuldade técnica, e mais
arriscado que o do "roubo" da chave privada pois tende a deixar mais
rastros.
7- Conclusão
Deste cenário de riscos decorre a importância de uma lei de assinatura
digital considerar a segurança computacional do ambiente criptográfico no
varejo, onde assinaturas são lavradas e verificadas pelo cidadão comum, ao
decretar sua segurança jurídica. Para haver equilíbrio, é necessário que tal
lei se atenha objtivamente a todas as condições de operação dos sistemas
criptográficos, cuja ação surtirá, direta ou indiretamente, os efeitos
jurídicos por ela criados. Isto busca fazer, por exemplo, a lei italiana, que,
depois de mais de cinco anos de debate, deixou claro seu objetivo de buscar a
segurança jurídica da sociedade, e não os interesses deste ou daquele grupo,
confessáveis ou não. Daí o perigo no poder do comitê gestor para "homologar
aplicativos", num contexto onde este comitê não exibe ainda o perfil
adequado para compreender ou se sensibilizar com o impacto e a dimensão dos
riscos à segurança jurídica da sociedade decorrentes das normas que dita.
Ademais, um contexto no qual o caminho de menor resistência para este
comitê será justamente o de "sacramentar" o uso no varejo de
ambientes computacionais dos mais promíscuos e vulneráveis possíveis, isto é,
os que hoje pululam o ciberespaço. A norma da ICP-B só se ocupa da segurança
computacional no ambiente das certificadoras crendenciadas, e a pressa com que
o Executivo quer instalá-las e pô-las em operação ainda não está bem explicada
nem compreendida, no plano jurídico. Por sua vez, esta operacionalização
precipitada, sob o atrativo dos desequilíbrios jurídicos da MP2200-2, pode ser
o passo necessário par se criar "fatos consumados" que justifiquem
passos seguintes no projeto virtualizante por trás deste ucasse, como por
exemplo, o da homologação de aplicativos por critérios obscuros ou mal
explicados.
Como disse no artigo "O silêncio que produz ruídos", e explico
em mais detalhes no início desta artigo, a revogação retroativa sem
possibilidade de auditoria externa nas certificadoras é um golpe muito mais
limpo e devastador para a socieade do que o "roubo" de chaves
privadas ou a falsificação de certificados em ambientes computacionais
promíscuos. Por outro lado, é um golpe de possível interesse para quem estiver,
no mercado do crime organizado, em posição oposta em relação ao da falsificação
de certificados e "roubo" de chaves, mas facilitado pela
justificativa de se combater estes. Portanto, há aqui uma possibilidade natural
de parceria. Para melhor entender este tipo de golpe, é essencial que sejam
compreendidos dois dos seus detalhes.
- Ninguém que precise saber da retroação para poder perpetrá-la irá
admitir que houve retroação na revogação, ou sequer a sua possibilidade. Vão
insistir, sempre, que a datação retroativa é tecnicamente impossível no
"sistema". Porém, uma data em um documento eletrônico assinado e
verificado íntegro são apenas bits que entraram no documento antes da
assinatura. E assim como o papel aceita tudo, uma sequência de bits aceita
qualquer subsequência, com a vantagem de que bits não desbotam, não envelhecem
sua tinta, não deixam marca de rasura ao serem rearranjados, pois são apenas
símbolos.
- Os que sabem de eventuais revogações retroativas, da sua possibilidade,
ou da relação risco/benefício nesta possibilidade, vão cuidar para que sinais
de tais fatos não venham à tona. O bloqueio à auditoria externa seria o
primeiro passo neste cuidado, se o revogador não estiver seguro da
superioridade de sua habilidade em apagar rastros eletrônicos, em relação ao de
um auditor externo em descobri-los. Teremos que confiar na palavra do
revogador, sobre a impossibilidade técnica da datação retroativa pelo
"sistema".
Para rogar tal confiança, ou para cuidar da ocultação de tais sinais, o
argumento da incompetência alheia advinda da ignorância "do sistema",
direcionado a desqualificar a questionamento de quem critica esta rogação ou
aponta tais sinais, cai como uma luva Kafkiana E esta luva já foi publicamente
oferecida em pelo menos três ocasiões, e nelas calçada pela mídia.
- Numa entrevista coletiva à imprensa em 4/7/01, seis dias após a
publicação da primeira versão da MP2200, pelo então subchefe de assuntos
jurídicos da Casa Civil, Jóse Bonifácio de Andrada, em matéria publicada pela
Folha de São Paulo.
- Num debate aberto sobre a MP2200, organizado pela OAB-SP em 27/07/01,
pelo então diretor-geral da Federação Brasileira dos Bancos (Febraban), Hugo
Dantas Pereira, único participanate a defender a MP2200 naquele evento,
publicado pelo Estadão na coluna eletrônica "tecnologia da
informação" de 5/08/01.
- No evento e-Gov de 28/11/01, após a cerimônia de geração do par de
chaves da AC-Raiz pelo SERPRO, seu custodiante, pelo Diretor do Serpro, Wolney
Martins, publicada pela revista eletrônica ComputerWorld, no mesmo dia. Comento
o relato do que teria dito o Sr Dantas no artigo "Sobre a
ICP-Brasil", e sobre o que teria dito o Sr. Wolney Martins no artigo
"O silêncio que produz ruídos".
Pela dimensão de tais golpes, eles serão filtrados pelo seu significado
político. A acusação "fraudulenta" viria a surgir com o "óbvio
propósito de denegrir a imagem e dilapidar o patrimônio político" do
acusado, certamente por motivos mesquinhos, tal qual na investigação do
escândalo da SUDAM. Mas com a crucial diferença de que, aqui, o campo jurídico
é antes preparado para que eventuais provas sejam tecnicamente insustentáveis.
E na dúvida, pró réu, o que significa garantia de impunidade. Se já é difícil
ao ministério público e à Justiça investigarem crimes de grande calibre cuja
execução precisa deixar rastro documental em papel e tinta, imagine-se o que
virá quando o círculo que delimita o buraco negro dos sistemas de informática
for ampliado para alcançar qualquer tipo de documento.
Imagine-se este mesmo cenário para o Sistema de Pagamento Brasil,
comparando-o ao cenário atual em que se apresenta seu mentor e dono, o Banco
Central do Brasil. Com rastros em papel o trabalho de auditores internos como
Patruni Junior hibernou em gavetas, onde só pôde chegar por ocultação ardilosa
de sua octanagem.
Com rastros em papel o processo contra a fraude do Banco Nacional sumiu,
junto com o interesse da mídia, até quase a data de sua precrição. Fraude esta
cuja investigação, aliás, não chegou a atingir o auditor externo do réu, a
empresa KPMG, algo impensável em cenários equivalentes em outras culturas no primeiro
mundo, como por exemplo, o do caso Enron nos EUA. Auditor externo este que, por
sinal, é hoje o mesmo auditor externo do próprio Banco Central.
Com rastros em papel o Ministério Público não consegue afastar por mais
de quinze dias, da fábrica e da lata de lixo de documentos do Banco Central, a
sua chefa de fiscalização interna, para rastrear os indícios públicos de seu
envolvimento em suposto tráfego de influência no caso dos bancos Marka e
Font-Cidam.
O que acontecerá quando os documentos assinados em papel forem
substituídos por cadeias de bits, para as quais o conhecimento das entranhas do
processo que lhes irá presumir "verdadeiros em relação aos
signatários" estará bloqueado à sociedade, ao Judiciário e a qualquer
outro poder público, e restrito ao "foro privilegiado" da auditoria
interna decretada pela MP2200?
A solução para os problemas aqui levantados certamente não estará, como
já se cogitou, no Executivo negociar, a peso de ouro, a distribuição do
certificado auto-assinado da AC-raiz da ICP-Brasil no navegador usado por nove
entre dez estrelas, e nos obrigar a usá-lo como "garantia de validade
jurídica das transações eletrônicas", algo semelhante ao que tentaram
fazer os gestores do FUST em relação ao programa Internet na Escola, com sua
"garantia de sucesso no mercado de trabalho do futuro" para os alunos
da rede pública do ensino médio e fundamental. A medida cogitada só iria
dificultar um pouco mais o mais simples dos golpes possíveis na segurança
jurídica da ICP-B.
Não sabemos exatamente do que veio tratar o presidente da Microsoft com o
Presidente da República, que o recebeu no Planalto em 20/8/01. Mas sabemos que
sua empresa está negociando sua apenação por práticas monopolistas predatórias
exercidas no negócio em torno deste navegador. E também sabemos que ela deseja
legitimar a ocultação, aos seus usuários, da verdadeira dimensão dos riscos a
que estão se expondo através do uso de seus softwares, valendo-se de argumentos
Kafkianos, através da recente fundação da OIS e de muito dinheiro para gastar
com lobby e com mídia.
A solução para os problemas aqui levantados está na sociedade se
aperceber das consequências do desequilíbrio jurídico na norma que o Executivo
está querendo lhe impor, e demandar dos outros Poderes a correção de rota na
evolução desta norma, em direção ao equilíbrio jurídico que lhe seja aceitável,
antes que seja tarde. Caso contrário estaremos contribuindo, com nosssa
omissão, para a construção de um Estado predador, como o define Manuel Castells
em sua monumental trilogia "A Era da Informação: Economia, Sociedade e
Cultura", obra essencial para aprendermos a navegar no turbulento espaço
de fluxos que tece a realidade contemporânea.
*Professor de Ciência da Computação da Universidade de
Brasília (UnB), coordenador do programa de Extensão Universitária em
Criptografia e Segurança na Inoformática da UnB, ATC PhD em Matemática Aplicada
pela Universidade de Berkeley (EUA), representante da sociedade civil no Comitê
Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)
Disponível em:
<http://jus2.uol.com.br/doutrina/texto.asp?id=2845>. Acesso em: 19 out.
2005.