FUNDAO EDSON QUEIROZ UNIVERSIDADE DE FORTALEZA UNIFOR CENTRO DE CINCIAS JURDICAS CCJ Curso de Direito

ASPECTOS TCNICOS E LEGAIS DA CERTIFICAO DIGITAL

Mriton Miroslav de Queiroz Maia Matrcula 221512-8

Fortaleza Cear 2010

MRITON MIROSLAV DE QUEIROZ MAIA

ASPECTOS TCNICOS E LEGAIS DA CERTIFICAO DIGITAL

Monografia apresentada como exigncia parcial para a obteno do grau de bacharel em Direito, sob a orientao de contedo do Professor Joo Arajo Monteiro Neto e orientao metodolgica da Professora Tereza Mnnica X. B. Carvalho.

Fortaleza Cear 2010

MRITON MIROSLAV DE QUEIROZ MAIA

ASPECTOS TCNICOS E LEGAIS DA CERTIFICAO DIGITAL

Monografia apresentada banca examinadora e Coordenao do Curso de Direito do Centro de Cincias Jurdicas da Universidade de Fortaleza, adequada e aprovada para suprir exigncia parcial inerente obteno do grau de bacharel em Direito, em conformidade com os normativos do MEC, regulamentada pela Res. n R028/99 da Universidade de Fortaleza.

Fortaleza (CE), 20 de maio de 2010. Joo Arajo Monteiro Neto, Me. Prof. Orientador da Universidade de Fortaleza Sidney Guerra Reginaldo, Me. Prof. Examinador da Universidade de Fortaleza Marcelo Lopes Barroso, Me. Prof. Examinador da Universidade de Fortaleza Tereza Mnnica X. B. Carvalho, Ma. Profa. Orientadora de Metodologia Prof. Nbia Maria Garcia Bastos, Ma. Supervisora de Monografia Coordenao do Curso de Direito

AGRADECIMENTOS

Deus, que me d foras para enfrentar as adversidades. minha famlia, em especial aos meus pais e irmos, sempre presentes nos meus momentos de doena. Cristiana Antnia Bastos de Sousa, pela compreenso, pacincia e afeio. Margarida Maria Esteves Maia e Maria Esteves Maia, pela forma carinhosa que me recebem em seu Lar. Ao professor Joo Arajo Monteiro Neto, por aceitar a tarefa de orientao deste trabalho. professora Tereza Mnnica X. B. Carvalho, pela forma atenciosa como orientou o desenvolvimento metodolgico que deu forma a este trabalho. Aos professores Sidney Guerra Reginaldo e Marcelo Lopes Barroso, por aceitarem participar da banca examinadora. A todos aqueles que contriburam para a construo desta monografia.

RESUMO
A digitalizao de processos judiciais a grande arma contra a morosidade existente no Poder Judicirio. Contudo, ainda h resistncia de vrios operadores do Direito. Talvez, o maior motivo seja o medo de enfrentar o novo, porque todos esto sendo provocados no sentido de se atualizarem e adaptarem seus conhecimentos e atividades. Pelo fato de no saberem do que se trata, os operadores do Direito podem vir a conviver com um sentimento de incerteza, insegurana e at mesmo de desconfiana sobre os procedimentos realizados de forma eletrnica com a certificao digital. A certificao digital tem por finalidade atestar a titularidade de uma chave pblica e realizada por uma entidade conhecida como Autoridade Certificadora, responsvel pela emisso, renovao e revogao de certificados digitais. Para que os certificados emitidos em nosso pas adquiram validade jurdica e fora probante contra terceiros, necessrio que a autoridade certificadora esteja incorporada ICP-Brasil, que possui um conjunto de regras e normas, baseadas em padres pblicos internacionais. Nesse contexto, o presente trabalho busca analisar os aspectos tcnicos e legais que envolvem a certificao digital que, com a popularizao das transaes eletrnicas, vem conquistando um espao cada vez maior junto sociedade. Palavras-chave: Segurana da informao. Criptografia. Certificao digital. ICP-Brasil.

SUMRIO

INTRODUO....................................................................................................................... 06 1 OS AVANOS TECNOLGICOS ..................................................................................... 08 1.1 O desenvolvimento da informtica .......................................................................... 08 1.2 A evoluo da Internet ............................................................................................. 10 1.3 A segurana da informao...................................................................................... 14 2 ASPECTOS TCNICOS DA CERTIFICAO DIGITAL ............................................... 25 2.1 Histrico da criptografia .......................................................................................... 25 2.2 Formas de criptografia ............................................................................................. 33 2.2.1 Sistemas simtricos ...................................................................................... 33 2.2.2 Sistemas assimtricos ................................................................................... 35 2.3 Assinatura digital ..................................................................................................... 37 2.4 Certificado digital..................................................................................................... 40 3 ASPECTOS LEGAIS DA CERTIFICAO DIGITAL..................................................... 45 3.1 Princpios e normas gerais ....................................................................................... 45 3.2 Breve histrico da evoluo legislativa brasileira.................................................... 48 3.3 Autoridades certificadoras ....................................................................................... 49 3.4 ICP-Brasil................................................................................................................. 51 CONCLUSO......................................................................................................................... 60 REFERNCIAS ...................................................................................................................... 62 ANEXO ................................................................................................................................... 65

INTRODUO

Uma diversidade de servios tem sido desenvolvida com o auxlio da tecnologia e posta disposio da sociedade. As pessoas que utilizam esses recursos tecnolgicos muitas vezes o fazem sem a mnima noo do seu funcionamento, o que acarreta procedimentos errneos que pem em risco a segurana dos sistemas. A falta de conhecimento dos aspectos tcnicos envolvidos nos sistemas informticos natural para os profissionais que se formam em Direito, tendo em conta que a cincia do Direito de natureza social e no tecnolgica. Mesmo com a recente incluso do Direito de Informtica, ou Direito Eletrnico, como alguns preferem, nas instituies de ensino superior, essa situao permanece, devido ao fato de que a matria enfoca os aspectos legais da regulao daqueles campos da atividade informtica, deixando de lado o estudo tecnolgico, por mais superficial que seja. A tendncia a substituio gradativa do meio fsico pelo virtual ou eletrnico. O afastamento da presena fsica e a rapidez nas transaes eletrnicas exigem a adoo de dispositivos tecnolgicos e legais para a segurana e validao jurdica de tais atos. Nesse sentido, a certificao digital vem contribuindo para a concretizao da segurana e validao jurdica. Para a confiabilidade das transaes com certificados digitais, necessrio que uma autoridade certificadora o endosse. Essa autoridade deve ser instituda por lei. Procurou-se responder no decorrer do trabalho os seguintes questionamentos: Qual o impacto da tecnologia da informao no contexto scio-jurdico? Quais os mecanismos tcnicos utilizados para validar as transaes realizadas por meio eletrnico? Quais os mecanismos legais utilizados para validar as transaes realizadas por meio eletrnico? Dessa forma, teve-se como objetivo geral, esclarecer sobre a certificao e assinatura digital que, com a popularizao das transaes eletrnicas, vem conquistando um espao cada vez maior junto sociedade e, particularmente, perante os operadores do direito. Como objetivos especficos: contextualizar a evoluo da informtica e da criptografia como base

para o entendimento das mudanas provocadas na sociedade e no meio jurdico; analisar os recursos tcnicos utilizados na via eletrnica para tramitao de atos judiciais e documentos sob um enfoque da segurana da informao; analisar a legislao ptria referente aos procedimentos para certificao digital e da adequao dos meios eletrnicos atualmente postos disposio para a efetivao da justia. Para a realizao do trabalho, foi utilizada pesquisa bibliogrfica, em livros e na prpria Internet, sempre buscando informaes que fossem as mais atuais. A pesquisa tambm adentrou em leis, normas, resolues e projetos de leis que tratam do tema, como era primordial ao trabalho, tendo em vista o tema abordado. Dessa forma, o trabalho ficou dividido em trs captulos. O captulo 1 dedicado aos aspectos relativos aos avanos tecnolgicos, no qual realizada uma contextualizao histrica da evoluo da informtica e da Internet, bem como feita uma abordagem sobre a grande problemtica dos sistemas informticos, a qual vem a ser a segurana da informao. O captulo 2 tem por objetivo apresentar os aspectos tcnicos da certificao digital numa linguagem simples e no tcnica, para facilitar o entendimento dos leitores no familiarizados com a tecnologia. Segue-se uma abordagem cronolgica dos conceitos necessrios ao entendimento, iniciando-se com o histrico da criptografia e suas modalidades e finalizando-se com a exposio a respeito da assinatura digital e certificao digital. O captulo 3 apresenta aspectos legais diretamente relacionados certificao digital. No se buscou analisar todas as regras pertinentes ao seu uso no mundo jurdico, no comrcio eletrnico e na validade dos contratos e documentos, o que tornaria esse trabalho deveras extenso. Mas apenas focar o assunto at as regras que regulam a sua emisso e validao. O presente estudo pretende expor e, consequentemente, aumentar a confiana nesses instrumentos de afirmao do Estado. Apesar de o tema ser primordialmente focado para os operadores do Direito, serve tambm para outros profissionais que tm de lidar com as transaes eletrnicas, como o caso, por exemplo, de administradores e contadores.

OS AVANOS TECNOLGICOS

O computador marcou definitivamente a evoluo da humanidade. Tornou-se uma ferramenta de uso universal. Com ele todas as reas do conhecimento humano foram aperfeioadas e o sculo XX ficou marcado como a era da informao. Duas tecnologias causaram significativo impacto sobre o modus vivendi das pessoas: Computao e Telecomunicao. A Internet s foi possvel a partir da unio dessas duas tecnologias. A comunicao passou a ser um sinnimo de troca de informaes por computadores.

1.1 O desenvolvimento da informtica

Usando seu crebro, o homem resolve problemas. Mesmo sendo uma maravilha da natureza que lida com lgica, anlise e raciocnio, o crebro no perfeito. O computador uma ferramenta que o homem inventou para ajudar seu prprio crebro. Ele pode fazer clculos complicadssimos muito mais rapidamente do que o homem. O computador, assim como o crebro, tambm tem memria, que capaz de guardar informaes e depois, quando necessrio, fazer uso delas. O computador s faz o que um ser humano mandar que ele faa, de acordo com uma srie de instrues. Isto o que se chama de programa. Para se fazer algo diferente, basta trocar o programa que est na memria. Por isso ele considerado uma mquina universal. Uma mquina diferente de todas as outras, pois podemos program-la para realizar a tarefa que quisermos. No existe uma nica pessoa a quem possamos atribuir o ttulo de o inventor do computador. Muitos cientistas de vrios pases contriburam para a sua inveno e aperfeioamento. Da mesma forma, no podemos dizer seguramente quando o computador foi inventado. Desde que inventou os nmeros e a aritmtica, o homem tem procurado meios para fazer os clculos mais rapidamente. Mas foi s no sculo XIX que o homem conseguiu criar

calculadoras mecnicas realmente eficientes. Elas eram construdas com base em muitas engrenagens e eram acionadas por manivelas. Mesmo sendo mais rpidas e eficientes para fazer contas, estas mquinas de calcular tinham um grave defeito: todas as suas etapas eram operadas manualmente por pessoas. Como o ser humano no consegue ser rpido o suficiente, as mquinas mecnicas ainda eram bastante lentas para uma srie de aplicaes. No incio do sculo XX, o progresso atingido pela eletricidade j permitia a construo de calculadoras mecnicas programveis de maior rapidez. Nos Estados Unidos, em 1944, foi construdo, pela IBM, o computador MARK I, que usava rels (uma espcie de interruptor eltrico) e pesava vrias toneladas.1 Ingleses e americanos conseguiram inventar e fazer funcionar os primeiros computadores eletrnicos. Ao invs de rels, usavam vlvulas eletrnicas interligadas por fios. O problema que esquentavam demais, obrigando a utilizao de custosos sistemas de refrigerao, consumiam muita eletricidade e se queimavam com facilidade. Construir um computador era extremamente complicado e caro. Historicamente, o primeiro computador eletrnico, chamava-se ENIAC (Eletrical Numerical Integrator and Calculator) e foi utilizado pelo Exrcito norte-americano para a codificao e decodificao de mensagens e clculos de artilharia. Sua construo iniciou-se em 1943 e foi finalizada em 1946. Era composto por nada menos do que 17.468 vlvulas, ocupava um galpo imenso e pesava 27 toneladas. Com ele, um clculo balstico, que levava 12 horas para ser efetuado manualmente, passou a ser feito em apenas 30 segundos.2 Nos computadores de segunda gerao, as vlvulas eletrnicas foram substitudas por transistores, que eram interligados a outros componentes em uma placa de circuito impresso.3 Essa duas inovaes levaram a uma considervel reduo do tamanho dos computadores e notvel aumento de sua confiabilidade e velocidade de processamento. O que marcou o surgimento da terceira gerao dos computadores foi a inveno do circuito integrado, que continha dezenas de componentes eletrnicos miniaturizados e

IBM's ASCC introduction. IBM. Disponvel em: <http://www-03.ibm.com/ibm/history/exhibits/markI/ markI_intro.html>. Acesso em: 24 fev. 2010. 2 ENIAC: o primeiro computador. Mosaicum.com. Disponvel em: <http://mosaicum.org/2009/11/29/eniac-oprimeiro-computador/>. Acesso em: 24 fev. 2010. 3 CIRCUITO impresso. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/Circuito_impresso>. Acesso em: 24 fev. 2010.

10

interconectados num nico microchip do tamanho de uma unha.4 Um microchip nada mais do que um aglomerado de transistores interligados, alm de outros componentes eletrnicos. Isso levou a uma nova diminuio dos equipamentos e aumento de confiabilidade e velocidade. Os circuitos integrados foram a base para a concepo dos microprocessadores.5 Um microprocessador um circuito eletrnico complexo contendo milhares ou at milhes de transistores. Os transistores trabalham juntos para armazenar e manipular dados de tal forma que o microprocessador seja capaz de realizar uma srie de funes. As funes especficas que o microprocessador realiza so comandadas por programas (software). Os microprocessadores podem ser encontrados em diversos equipamentos, mas seu papel mais comum hoje funcionar como crebro dos computadores. Os anos de 1970 marcaram o incio do desenvolvimento de mquinas pequenas e baratas que podiam ser usadas por pessoas comuns. Esses equipamentos foram denominados de Personal Computers ou simplesmente PC. Um equipamento de mesa tinha mais poder de processamento que os primeiros computadores que ocupavam salas inteiras. Inicialmente estes microcomputadores trabalhavam de forma isolada. Mas a tecnologia de redes de computadores logo tornou possvel que essas mquinas fossem interligadas entre si e passassem a se comunicar em redes locais e com a Internet.

1.2 A evoluo da Internet

A Internet surgiu a partir de um projeto da agncia ARPA (Advanced Research and Projects Agency), com o objetivo de conectar os computadores dos seus departamentos de pesquisa. O projeto inicial foi colocado disposio de pesquisadores em 1969, o que resultou em uma intensa atividade de pesquisa durante a dcada de 70. O principal resultado foi a concepo do conjunto de protocolos que at hoje a base da Internet, o TCP/IP.6 Em 1985, a entidade americana NSF (National Science Foundation) interligou os computadores de seus centros de pesquisa, e o conjunto de todos os computadores e redes interligados passou a ser conhecido oficialmente como Internet. A partir de 1993, a NSF
CIRCUITO Integrado. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/Circuito_integrado>. Acesso em: 24 fev. 2010. 5 MICROPROCESSADOR. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/Microprocessador>. Acesso em: 24 fev. 2010. 6 TCP/IP. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/TCP/IP>. Acesso em: 25 fev. 2010.
4

11

decidiu que a rede no estaria mais restrita s instituies acadmicas. Um ms depois, a tecnologia j estava disponvel para quem quisesse utiliz-la. Deixou de ser uma aplicao de natureza apenas acadmica e passou a ser explorada comercialmente. Como em outros pases, tambm no Brasil, a Internet foi implantada e se desenvolveu junto ao meio acadmico e cientfico, sendo 1989 como ano inicial no pas, permanecendo assim at o final de 1995, quando a explorao comercial teve incio. Com 10 anos, ou seja, em 1999, a Internet j era conhecida por uma grande parte da populao. O crescimento era exponencial. Em 2004, aos 15 anos de existncia, a Internet passou a servir de base para as compras online. Nos ltimos 20 anos, a quantidade de equipamentos conectados rede aumentou vertiginosamente, e a Internet passou a ser parte integrante de nossas vidas. As pessoas comearam a confiar na rede, utilizando-a, inclusive, para servios bancrios. A forma de interao entre as pessoas tambm mudou. Elas passaram a interagir umas com as outras por meio da Internet, atravs das redes sociais (Orkut, Facebook, Myspace etc). E com o crescimento dos blogs, as pessoas comearam a ter o hbito de prover contedo ao invs de apenas consumi-lo.

Grfico 1: Demonstrativo do aumento de equipamentos ligados Internet. Fonte: The ISC Domain Survey. Internet Systems Consortium (online).

O TCP/IP (Transmission Control Protocol / Internet Protocol) permite a comunicao entre computadores de redes distintas sem a necessidade do conhecimento da maneira como eles esto interligados. Outra caracterstica importante do TCP/IP a flexibilidade da

12

adaptao s tecnologias de redes existentes e futuras. Isso possvel porque o TCP/IP foi concebido de forma independente das tecnologias de hardware das redes. O endereamento de equipamentos na Internet baseado em um identificador que independe da tecnologia de rede envolvida, conhecido como endereo IP, cujo formato um nmero do tipo: 200.225.100.4. Esse formato representa um nmero, que, no modo normal de endereamento da Internet, est associado a um nico equipamento, identificando a rede e o equipamento nessa rede. O endereo IP permite apenas a localizao de um equipamento na Internet. Para a localizao de uma aplicao em execuo nesse equipamento, existe outro identificador conhecido como port, usado em conjunto com o protocolo de transporte. Essa trade composta por endereo IP, nmero de port e protocolo de transporte conhecida pelos programadores como socket. O roteamento IP a tarefa executada pelo protocolo IP responsvel pela entrega das informaes geradas pelas aplicaes aos seus destinos de forma correta e eficiente. A execuo dessa tarefa baseada em tabelas existentes em todos os equipamentos conectados Internet, em que constam os caminhos a serem seguidos pelas informaes em funo do seu destino. A manuteno dessas tabelas realizada via combinao das seguintes formas: a) Forma Esttica: o administrador de uma dada rede pode configurar manualmente rotas para todas as redes a ela conectadas, e uma rota padro (default gateway) apontando para o prximo roteador em direo ao ncleo da Internet; b) Forma Dinmica: o administrador pode fazer uso de algumas aplicaes que implementam protocolos de roteamento, que automaticamente determinam e divulgam essas rotas. A grande vantagem da forma dinmica sobre a forma esttica a possibilidade de adaptao dinmica das rotas a situaes de falhas ou congestionamentos detectados na rede mundial. Para facilitar a identificao, os equipamentos na Internet normalmente so referenciados atravs de um nome simblico, que est associado ao seu endereo IP numrico. Essa associao feita por equipamentos (servidores), de forma que o conjunto formado por esses servidores conhecido como DNS (Domain Name System). O DNS est estruturado em

13

dois pontos bsicos: a organizao da Internet em domnios hierrquicos e a distribuio dos servidores na Internet. A atribuio de domnios na Internet tem como objetivos evitar a utilizao de um mesmo nome por mais de um equipamento e descentralizar o cadastramento de redes e equipamentos, dividindo-se a Internet em domnios administrativos distintos e impondo-se cada domnio que no cadastre equipamentos ou subdomnios com um mesmo nome. Assim o nome simblico de um equipamento composto por um nome local adicionado hierarquia de domnios, conhecido como Nome de Domnio Completo. Os domnios na Internet podem ser dos tipos institucional ou geogrfico e no h necessidade de um equipamento ou instituio pertencer apenas a um mesmo tipo de domnio, isto , pode estar cadastrado tanto por instituio como por localizao. Nos Estados Unidos, os domnios institucionais so os mais comuns, onde adotada a seguinte subdiviso. DOMNIO mil edu com gov org net TIPO DE INSTITUIO Militares Educacionais Comerciais Governamentais No-governamentais Provedoras de Backbone

Na prtica adotou-se, fora dos Estados Unidos, a associao de um domnio geogrfico a cada pas, ficando s instituies administrativas de cada pas a criao dos seus domnios. No Brasil (domnio geogrfico br) adotou-se uma organizao semelhante americana, sendo que o sufixo do domnio edu foi omitido nas instituies educacionais. Por exemplo, um equipamento de nome cpu1 localizado no departamento de Cincias Jurdicas (CCJ) da Universidade de Fortaleza (Unifor) poderia ser referenciado como: cpu1.ccj.unifor.br (mquina.local.instituio.pas).

14

1.3 A segurana da informao

A informao de suma importncia para uma organizao e fundamental para os negcios e deve ser adequadamente protegida. Com o crescimento da interconectividade entre sistemas e ambientes de trabalho, a informao ficou exposta a uma grande variedade de ameaas. Da a necessidade da segurana da informao que a proteo da informao contra os vrios tipos de ameaas, minimizando os riscos. Para obter a segurana da informao, faz-se necessrio um conjunto de controles adequados com intuito de garantir que a segurana dos dados da organizao seja mantida. Esses controles vm mudando e se aperfeioando com o passar do tempo, permitindo s organizaes cuidarem e se prevenirem contra eventuais riscos. Esse tema tornou-se importante na sociedade contempornea, visto que as grandes empresas guardam nos computadores os segredos de seus negcios, trocam correspondncias eletrnicas de carter pessoal e todos tm o legtimo direito de esperar que os dados confiados s mquinas sejam mantidos intactos e confidenciais, acessveis apenas s pessoas autorizadas. Apesar de todas as ferramentas de hardware e software disponveis no mercado, h sempre uma possibilidade de falha na segurana, e alguns especialistas defendem a ideia de que impossvel ter um ambiente totalmente seguro. Kevin Mitnick, um dos mais famosos hackers, disse certa vez que o nico computador seguro aquele que est desconectado da tomada, trancado em uma caixa forte e a nica pessoa que conhecia a combinao morreu. A funo da segurana da informao reduzir os riscos dos negcios eletrnicos, a troca de informaes, compras, consultas etc. Atualmente, um padro utilizado para aplicar essa segurana da informao a norma NBR ISO/IEC 17799:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao.7 Dados armazenados nos computadores, as informaes transmitidas atravs de redes, conversas telefnicas, as informaes enviadas por fax e os dados armazenados em fitas, discos ou microfilmes so considerados informaes e so protegidos com a implementao da norma.

A ISO (International Standartization Organization) uma organizao internacional formada por um conselho e comits com membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente aceitos sobre a realizao de atividades comerciais, industriais, cientficas e tecnolgicas. A IEC (International Engineering Consortium) uma organizao voltada ao aprimoramento da indstria da informao.

15

Apesar de uma grande parcela da populao brasileira no ter condies financeiras de adquirir seu computador pessoal, ela j uma das mais conectadas no mundo. Estatsticas recentes nos apontam como um dos primeiros usurios da Internet, levando em considerao o nmero de computadores e tempo mdio mensal de conexo residencial por habitante. Em julho de 2009, o nmero de brasileiros que usaram a Internet em casa ou no trabalho chegou a 36 milhes. Ao considerar tambm os acessos pblicos (LAN houses, bibliotecas, escolas e telecentros), o Brasil contava com 64 milhes de usurios de Internet com mais de 16 anos, de acordo com dados do IBOPE Nielsen Online.8 Nas reas urbanas, 44% da populao estavam conectadas Internet.9 Em relao s empresas brasileiras, j em 2008, 91% estavam conectadas e 53% j possuam site prprio.10 Em 2008, o Brasil continuava liderando o tempo de navegao nos ambientes domstico e residencial. O pas ficou na frente dos Estados Unidos, Reino Unido, Frana, Japo, Espanha, Alemanha, Itlia e Austrlia. No primeiro semestre de 2008, as compras online renderam 45% mais do que igual perodo de 2007, chegando o ano a fechar com crescimento de 30% na comparao ao ano anterior. Em 2009, mesmo com os resqucios da crise financeira de 2008 e o medo das empresas em no apresentarem bons resultados no comrcio virtual, o faturamento no e-commerce chegou a R$ 10,5 bilhes.11 J aparecemos como o segundo pas no mundo em nmeros de incidentes de segurana e ataques provindos da Internet.12 Chegamos em 2009 a mais de 300 mil incidentes reportados ao CERT-Br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil).13

O IBOPE Nielsen Online uma joint-venture entre o IBOPE e a empresa americana Nielsen. CRESCE ndice de brasileiros com acesso ao computador. Portal Globo.com. Disponvel em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL147588-6174,00.html>. Acesso em: 07 jan. 2010. 10 TIC Empresas. Comit Gestor da Internet no Brasil. Disponvel em: <http://www.cetic.br/empresas/2008/>. Acesso em: 5 jan. 2010. 11 RETROSPECTIVA 2009: e-commerce vence o medo. Portal iPNews. Disponvel em: <http://www.ipnews.com.br/voip/voip/neg-cios/retrospectiva-2009-e-commerce-em-2009-supera-resquicios-dacrise-econ-mica.html>. Acesso em: 07 mar. 2010. 12 Um incidente de segurana qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. 13 ESTATSTICAS dos Incidentes Reportados ao CERT.br. Disponvel em: <http://www.cert.br/stats/ incidentes/>. Acesso em: 5 jan. 2010.
9

16

Grfico 2: Evoluo dos ataques externos reportados no Brasil. Fonte: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (online).

A mdia internacional surpreende-se com o fato de, mesmo tendo o pas apenas pequena parcela da populao com condies de possuir um computador pessoal, somos um dos mais ativos, em termos percentuais por habitante conectado, no uso de servios bancrios transacionais e efetivao de transaes de comrcio online. A maioria que utiliza a Internet nunca se perguntou como a informao trafega. Por quais caminhos ela passa da origem at o usurio final, ao longo dos quais podem ocorrer riscos diversos que podem causar prejuzos de vrios tipos. A Internet e o mundo digital apresentam facilidades e riscos. O meio eletrnico instvel e vulnervel, e tem se mostrado um ambiente favorvel para fraude e outros crimes. Com o processo de massificao da Internet, qualquer tipo de incidente ou tcnica de ataque torna-se imediatamente disponvel a muitos e rapidamente reutilizado em sua forma original ou atravs de variaes aperfeioadas. Pode-se rapidamente escolher uma vtima e disparar uma ttica de danos que raramente ser percebida, detectada a tempo ou mesmo rastreada e identificada. A fraude digital pode ser reproduzida numa escala e ritmo que a fraude manual jamais atingiria. O preo do conforto, da agilidade, da eficincia e assim da economia gerada com o uso da comunicao e da documentao digital o investimento constante e generoso na segurana. Um cenrio paradoxal que nunca se investiu tanto em segurana tecnolgica, apesar de que tambm nunca foi to grande e visvel a sensao de insegurana dos ativos

17

digitais. A preocupao em proteger a integridade e o sigilo de dados que trafegam por meio dos diversos canais de comunicao o centro das atenes dos que atuam no setor tecnolgico. Embora esses avanos devam trazer muitos benefcios, a segurana deve se tornar um problema. Para contornar esta situao, os fabricantes esto desenvolvendo maneiras mais seguras de criptografar dados. Alguns usurios tm a errnea impresso de que os intrusos atacam apenas mquinas caras de empresas conhecidas e no estariam interessados no seu computador domstico. A verdade que cada computador conectado na Internet mesmo os mais insignificantes uma vtima potencial de ataques e pode, inclusive, ser usado para originar ataques a uma terceira pessoa. Na maioria dos casos, esses ataques so perpetrados por pessoas que fazem tentativas, seguindo uma longa lista de falhas de segurana j publicamente conhecidas. De acordo com a DTAAC (Design and Technology Alliance Against Crime), do governo britnico, 80% das pessoas levam informaes em seus aparelhos celulares que poderiam ser utilizadas por criminosos.14 Uma dcada atrs, as memrias de nossos telefones podiam basicamente lidar apenas com mensagens de texto e uma lista de contatos. Atualmente, os ltimos smartphones (celulares inteligentes) transferem automaticamente emails e compromissos do computador do escritrio e vm com a capacidade de rastrear pessoas. Esses recursos poderiam ser explorados da mesma maneira que o e-mail e a Internet so usados por criminosos para obter informaes pessoais. A conscientizao sobre o roubo de identidade tem levado prtica de destruir ou formatar o disco rgido do PCs antes de descart-los, mas o mesmo no vem ocorrendo com os celulares. As ameaas que podemos citar so crackers, antigos funcionrios ou funcionrios insatisfeitos, parceiros extranet e usurios curiosos que querem ter posse de determinada informao para uso pessoal ou para benefcio prprio. Antes de qualquer atividade ilcita, o cracker gasta de 80% a 90% do seu tempo em busca de informaes sobre sistemas internos da empresa.15 Quanto mais informaes coletadas, maiores sero as chances de um ataque bem-sucedido. Entretanto, a maioria das tentativas de invaso feita por script kiddies, que

MOBILE phones pose a phishing risk. Peoples Daily. Disponvel em: <http://english.peopledaily.com.cn/ 90001/90781/90877/6798348.html>. Acesso em: 26 jan. 2010. 15 Os que usam suas habilidades para solucionar problemas de segurana em sistemas, contribuindo para o desenvolvimento de correes, so chamados de hackers. O seu oposto em termos de comportamento, mas com capacitao tcnica similar, que invadem sistemas com finalidades ilcitas, visando ao lucro, roubo de informaes, reconhecimento perante a comunidade etc., so chamados de crackers.

14

18

so crackers que no fazem nada original, apenas usam informaes, ferramentas e programas desenvolvidos por terceiros para realizar suas invases. importante notar que ataques no partem apenas de fora da rede corporativa. Grande parte das invases bem-sucedidas vem de dentro da prpria empresa. A disponibilidade de informaes sensveis na rede para diversos funcionrios pode comprometer bastante a poltica de segurana. Normalmente, no uma tarefa simples atacar e fraudar dados em uma instituio bancria ou comercial. Ento, atacantes tm concentrado seus esforos na explorao de fragilidades dos usurios, para realizar fraudes comerciais e bancrias atravs da Internet. Para obter vantagens, os fraudadores tm utilizado amplamente e-mails que, na maioria dos casos, envolvem engenharia social. O termo utilizado para descrever um mtodo de ataque, por meio do qual algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. Em muitos casos, o usurio induzido a instalar algum cdigo malicioso ou acessar uma pgina fraudulenta, para que dados pessoais e sensveis, como senhas bancrias e nmeros de cartes de crdito, possam ser furtados. O uso de computadores no ambiente corporativo tem facilitado a ao dos invasores. Muitos usurios utilizam esses ativos como se fossem de sua propriedade e entendem ser natural trafegar informaes pessoais. Muitos dos ataques envolvem usurios internos como coparticipantes involuntrios, ou seja, servem de porta de entrada para atacantes externos por meio de uma mquina corporativa capturada pela Internet pelos grupos externos. Cdigo malicioso ou malware um termo genrico que abrange todos os tipos de programas especificamente desenvolvidos para executar aes danosas em um computador. Alguns exemplos so: Vrus: um programa ou parte de um programa de computador que se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador; Worms: um programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no embute cpias de si mesmo em outros

19

programas ou arquivos e no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores; Bots: de modo similar ao worm, um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Adicionalmente, dispe de mecanismos de comunicao com o invasor, permitindo que seja controlado remotamente; Backdoors; esses programas permitem o retorno de um invasor a um computador comprometido; Cavalos de Tria: um programa recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo etc), que, alm de executar funes para as quais foi aparentemente projetado, tambm realiza outras funes maliciosas e sem o conhecimento do usurio; Keyloggers: um programa capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador; Adware e Spyware: Adware um tipo de software especificamente projetado para apresentar propagandas. Spyware o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Existem adwares que so considerados um tipo de spyware, pois so projetados para monitorar os hbitos do usurio durante a navegao na Internet; Rootkits: conjunto de programas que fornece mecanismos a um invasor para se esconder e assegurar a sua presena no computador comprometido. Apesar da visibilidade que os ataques de vrus ainda causam, os tipos de ataques mais danosos so os provenientes da instalao de programas tipo spyware, que permitem o roubo de identidades digitais legtimas. O spyware permanece adormecido no computador hospedeiro at ser ativado por um determinado evento e a partir de ento aciona qualquer

20

mecanismo para o qual foi programado, inclusive tomar posse dos dados das mquinas infectadas. Alm desses programas mencionados, existe outra tcnica utilizada atualmente em larga escala: o phishing. Consiste em enviar um grande nmero de e-mails a pessoas, possivelmente correntistas de bancos, sugerindo ou induzindo sugestivamente sua ativao por meio de links a um ou mais sites de aparncia legtima, mas que introduz um vrus denominado trojan na mquina da vtima. Por esse trojan torna-se possvel aos crackers obterem vrias informaes, como movimentaes bancrias e as respectivas senhas de acesso, j que esses programas instalam um software keylogger invisvel ao usurio, que captura todos os comandos que venham a ser teclados aps sua instalao e enviam tudo pela Internet para um ambiente externo. O usurio um inocente til e uma vtima que, sem saber, colabora com o ataque atravs de phishing, tornando-o possvel.
Ataques por phishing usam e-mails falsificados de fornecedores de contedo online conhecidos para atrair vtimas para sites que so uma imitao do original. Neles, solicita-se ao usurio seus dados de registro no site ou mesmo informaes sobre o carto de crdito. O alvo mais comum de ataques so grandes bancos ou sites de comrcio eletrnico. Um tpico e-mail de phishing contm uma solicitao ao usurio para conectar-se pgina na Internet indicada, avisando, inclusive, que isso imprescindvel. O endereo da pgina indicada aparentemente correto. Alm disso, o e-mail ainda utiliza a imagem corporativa da pgina web da instituio: logotipos, cores, apresentao, tudo bate com a representao original. Assim que a vtima segue o vnculo indicado no e-mail, ela conectada ao site do agressor, que tambm uma cpia muito semelhante do original. Se a vtima prossegue e fornece seus dados pessoais, o agressor pode, a partir de ento, us-los para fazer transferncias bancrias, compras em sites de comrcio etc. Ele literalmente rouba a identidade do usurio.16

Programas e sites mal-intencionados so um problema mundial. Mas, no Brasil, eles so especialmente preocupantes. Estamos no topo dos principais rankings de infeco divulgados pelas empresas de segurana. A Microsoft, por exemplo, indica que o Brasil tem entre 26 e 31 micros infectados a cada 1000.17 Alm do e-mail e dos sites de phishing, os programas nocivos chegam a bordo dos pendrives. s conectar o pendrive em algum micro pblico para ter grandes chances de sair infectado.

WEGENER, Christoph; SPENNEBERG, Ralf. Proteja a integridade de seus dados pessoais. Linux Magazine, So Paulo, n.17, p.38, fev. 2006. 17 COMPUTADORES do Brasil entre mais infectados. INFO Online. Disponvel em: <http://info.abril.com.br/ noticias/seguranca/computadores-do-brasil-entre-mais-infectados-02112009-11.shl>. Acesso em: 2 mar. 2010.

16

21

Apesar de a problemtica do roubo de dados pessoais na Internet, especialmente atravs de tcnicas como phishing, no ser nova, tem-se registrado nos ltimos tempos um aumento considervel de ocorrncias. O APWG (Anti Phishing Working Group) registra uma quantidade constante de ataques por phishing, alm de um aumento considervel na criminalidade ciberntica a instituies financeiras.18 Prejuzos reais esto ocorrendo, atravs da realizao de transaes bancrias online por conta de e-mails com ataques por phishing. Especialmente no que tange ao acesso conta bancria atravs da Internet, a busca de mecanismos de proteo urgente, sob o risco de que o consumidor acabe por perder de vez a confiana na tecnologia. De modo geral, um software novo distribudo sem nenhum defeito ou vulnerabilidade conhecida. Esta verso dita confivel. Com o passar do tempo, possvel descobrir defeitos (bugs). Se o fato for amplamente divulgado, o software pode ser classificado como defeituoso, com bug conhecido. Caso o defeito no software gere uma vulnerabilidade que permita ataque, ento teremos um software perigoso com vulnerabilidade conhecida. Junto com a descoberta do defeito, pode ser divulgado um patch para corrigi-lo, ou esperar que a empresa responsvel pelo software libere uma correo ou uma nova verso. Com o passar do tempo, o software esquecido e pode-se, ento, classific-lo como obsoleto. Um software obsoleto to perigoso quanto um com vulnerabilidade recm-publicada. Aps a instalao, teremos uma mquina pronta para ser invadida. Este o caso da maioria das invases. 19 Um sistema computacional dito seguro se este atende a trs requisitos bsicos: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destruda, corrompida ou modificada; a disponibilidade diz que os recursos do sistema estaro disponveis sempre que forem necessrios. Para que os requisitos bsicos de segurana sejam atendidos, devem ser garantidos os seguintes servios de segurana: Autenticao: prov garantia da identidade de um usurio. responsvel por verificar que um usurio quem ele diz ser, por meio de suas credenciais. O

PHISHING Activity Trends Report. Anti Phishing Working Group. Disponvel em: <http://www.antiphishing.org/reports/apwg_report_Q3_2009.pdf>. Acesso em: 2 mar. 2010. 19 Vulnerabilidade definida como uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador.

18

22

usurio pode ser uma pessoa ou at mesmo um programa de computador. Os mecanismos de autenticao se baseiam, principalmente, em trs paradigmas: algo-que-voc-sabe (por exemplo, senhas), algo-que-voc-tem (posse fsica de algo, por exemplo, um carto magntico) e algo-que-voc- (por exemplo, a impresso digital). Geralmente, os sistemas de autenticao requerem que se apresente mais de um tipo de prova de identidade (por exemplo, carto e senha); Autorizao: para cada usurio identificado, estabelece o que permitido fazer. Protege contra um acesso no autorizado a uma determinada informao; Privacidade: assegura que dados confidenciais no so revelados a pessoas que no possuem o privilgio de acesso. No est limitada somente proteo de dados em si, mas tambm informao contida nos dados. A criptografia um mecanismo comum empregado no servio de privacidade; Integridade: visa prover proteo contra modificaes, duplicacao, insero, remoo ou reordenamento de mensagens. Em alguns casos, considerada de maior importncia que a privacidade; No-repdio: impede que uma das partes envolvida na comunicao venha a negar falsamente a sua participao. Uma das partes pode tentar repudiar seu envolvimento para enganar a outra. Deve garantir evidncias que podero ser usadas em momentos de desacordo entre as partes envolvidas. Evidncia legitima toda aquela obtida de forma legal com os procedimentos feitos de forma correta e que podem ser apresentados e tecnicamente aceitos em juzo; Disponibilidade: garante que um sistema de computador estar disponvel para usurios autorizados sem qualquer impedimento. Existem diversos recursos que so utilizados nos sistemas computacionais para diminuir a probabilidade de ataques invasores. Quanto maior o nmero de protees maior a segurana do sistema. Dentre as principais, podemos citar:

23

Firewall: pode ser definido como uma barreira de proteo, que controla o trfego de dados entre o computador do usurio e a Internet. Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e filtragem de dados. capaz de bloquear os acessos de programas no autorizados;

Proxy: um servidor especial que esconde os computadores da rede interna. Basicamente, ele recebe requisies de mquinas que esto na rede interna, envia aos servidores que esto do lado externo da rede, l as respostas externas e envia de volta o resultado aos clientes da rede interna;

VPN (Virtual Private Network): permite que duas ou mais redes se comuniquem com segurana dos dados. Elas podero trocar dados entre si, mantendo a segurana, pois a VPN monta um tnel de criptografia para proteger as informaes que trafegam entre as redes;

IDS (Intrusion Detection System): as ferramentas IDS trabalham analisando os dados que trafegam na rede comparando-os com assinaturas de ataques conhecidos permitindo identificar de forma fcil e precisa qualquer tipo de anomalia que possa vir a ocorrer na rede/computador;

DMZ (DeMilitarized Zone): trata-se de um barramento de rede independente que no tem acesso ao barramento da rede local onde esto outros servidores e estaes que no podem ser acessados pela Internet;

Honeynet: consistem de uma rede projetada especificamente para ser comprometida. Uma vez comprometida, utilizada para observar o comportamento dos invasores, possibilitando a realizao de anlises detalhadas das ferramentas utilizadas, suas tticas e motivaes, e das vulnerabilidades exploradas;

Softwares de Segurana: Anti-vrus, anti-spyware, anti-popup, anti-spam, filtragem de contedos, monitorizao do acesso etc. devem ser instalados e configurados corretamente em servidores e estaes para proteo dos usurios.

24

No mundo real, existem exigncias legais que regulam o funcionamento de um estabelecimento comercial, marcas registradas, elementos fsicos, o que transmite uma certa segurana. Mas, na Internet, aquele que se apresenta como um banco um banco? A pgina que diz ser de uma companhia de turismo pertence realmente a ela? Os processos de identificao do mundo virtual so diferentes dos que estamos acostumados a utilizar. A rede dilui a potencialidade dos processos de identificao e de autoria. A vulnerabilidade do indivduo incrementada. Nesse sentido, o Certificado Digital veio suprir a necessidade de um mecanismo de identificao para o mundo virtual.

25

ASPECTOS TCNICOS DA CERTIFICAO DIGITAL

Os primeiros computadores foram desenvolvidos e aperfeioados com a finalidade de codificar e decifrar mensagens. O conhecimento do contedo de mensagens secretas era to importante que chegou at a decidir guerras. As histrias da linguagem, da computao, da comunicao e da criptografia esto intimamente ligadas. A evoluo da criptografia criou mecanismos que facilitam a substituio do meio fsico pelo virtual ou eletrnico. O afastamento da presena fsica e a rapidez nas transaes eletrnicas exigem a adoo de dispositivos tecnolgicos seguros. Nesse sentido, a certificao digital vem contribuindo para a segurana e validao jurdica dos documentos eletrnicos.

2.1 Histrico da criptografia

Criptografia uma palavra que vem do grego kryptos e significa oculto, envolto, escondido. Tambm do grego, graphos significa escrever. Portanto, criptografia a escrita de mensagem de forma codificada, que s deveria ser compreendida pelo remetente e destinatrio. Aps o desenvolvimento de uma linguagem de comunicao, ocorreu a necessidade de se registrarem as mensagens de uma forma duradoura. Surgiu, ento, a escrita pictogrfica, que usava figuras. Inicialmente cada figura representava um objeto, mas evoluiu at que passaram tambm a representar slabas. As figuras foram aos poucos tomando uma forma de caracteres padronizados, que simbolizavam apenas os sons bsicos das consoantes e vogais. Esse padro de caracteres foi sendo adotado por diversas civilizaes e ficou conhecido como alfabeto, sendo o conjunto das letras de uma lngua, e teve essa denominao em virtude do som das primeiras letras gregas: alfa e beta.

26

No princpio, os alfabetos eram complexos. Algumas escritas utilizavam centenas de elementos grficos que misturavam imagens e caracteres. Mesmo quando a escrita passou a se utilizar apenas de caracteres, abolindo as imagens, ainda era complexa, chegando em algumas formas de escrita, como na Escrita Cuneiforme, a ter cerca de 600 smbolos. As guerras na antiguidade e a constante dominao dos povos fizeram com que muitas formas de escrita fossem extintas e outras fossem influenciadas por culturas estrangeiras. Existiam, portanto, diversos sistemas de escrita que foram se tornando parecidos, porque se baseavam em elementos grficos semelhantes. Esse processo de desenvolvimento da escrita aconteceu lentamente, chegando a coexistir toda uma diversidade de formas. Nessa poca, uma mensagem escrita j podia ser considerada em si como algo codificado, pois pouqussimas pessoas detinham o conhecimento da sua leitura. O desenvolvimento da escrita ocasionou uma simplificao dos alfabetos. De um sistema de centenas de elementos grficos representativos de coisas para uma representao fontica, com a consequente diminuio dos smbolos utilizados, at chegar ao modelo de alfabeto que conhecemos, composto de poucas dezenas de letras. Os documentos escritos passaram a guardar muitas informaes, muitas delas confidenciais, pois reproduziam frmulas e receitas mgicas, segredos de estado, estratgias militares, localizaes de tesouros etc, que no deveriam ser do conhecimento pblico e muito menos do inimigo. Surgiu da a necessidade de se esconder a mensagem original para que pudesse ser reconhecida apenas pelo seu autor ou destinatrio. Para tanto, comearam a ser desenvolvidas tcnicas de escrita de mensagens enigmticas ou cifradas. A criptologia foi usada por governantes e pelo povo, em pocas de guerra e em pocas de paz.20 Os segredos ou cdigos utilizados para criar uma mensagem cifrada evoluram de forma lenta e constante. No princpio, apresentavam implementaes e solues pouco engenhosas, mas para uma poca em que pouqussimas pessoas sabiam ler era suficiente. As primeiras evidncias do uso da criptografia remontam poca dos faras no Egito. Aps a morte, eles eram enterrados juntamente com seus tesouros. A localizao exata de

Criptologia o campo cientfico que engloba a criptografia (escrita codificada ou cifrada) e a criptoanlise (busca da soluo de um texto codificado ou cifrado).

20

27

suas tumbas era registrada muitas vezes em forma de cdigos, para que no viessem a ser do conhecimento pblico. As tcnicas foram desenvolvidas, passadas de gerao em gerao, adotadas e aperfeioadas por outras civilizaes. Na Mesopotmia, a criptografia veio a ser mais desenvolvida que a egpcia, e, posteriormente, os escribas hebreus, ao escreverem o Livro de Jeremias, j utilizavam uma cifra de substituio conhecida como ATBASH.21 Textos gregos antigos tambm vieram a se utilizar do desenvolvimento dessas tcnicas. A tortura era a maneira de se fazer com que o mensageiro confessasse o teor das mensagens que levava. Para que isso no obtivesse resultado, o mensageiro no deveria conhecer o teor da mesma. Dessa forma, as mensagens eram enviadas de forma escrita e codificadas. Para dificultar mais ainda o descobrimento da mensagem ou a tentativa de impedir que a mesma chegasse ao seu destino, elas eram enviadas escondidas nos mensageiros. Essa modalidade de se ocultar a mensagem chamada de Esteganografia.22
Ao contrrio do que pode parecer, esteganografia e criptografia so duas reas com objetivos diferentes. Enquanto o segundo tem o propsito de impedir que as pessoas saibam o contedo de uma mensagem, o primeiro se baseia em evitar que as pessoas saibam que a mensagem existe. Ou seja, na criptografia, os receptores sabem da existncia das mensagens, porm no conseguem, a princpio, l-las; a esteganografia tenta fazer com que os receptores no percebam que h uma mensagem naquele meio. Quando se trata de segurana da informao, a criptografia mais comumente usada. Porm, quando uma mensagem est criptografada, ela fica destacada por potencialmente possuir uma informao secreta e interessante. A vantagem da esteganografia est relacionada ao no-conhecimento da mensagem, o que evita que muitos ataques sejam realizados. Para que a comunicao seja a mais privada possvel, muitos combinam a esteganografia com a criptografia. Dessa forma, caso seja descoberto que a mensagem est camuflada, ainda existir um novo obstculo a ser superado para que ela possa ser lida.23

Uma das tcnicas mais antigas conhecidas de se esconder a mensagem foi a do Basto de Licurgo. Nesta, a mensagem era escrita numa tira de couro enrolada num basto e que aps escrita a mensagem a tira era desenrolada e usada como um cinto pelos mensageiros. Cada vez mais a cifragem das mensagens adquiria importncia, pois o sigilo das comunicaes entre naes amigas, governos e militares dependiam da segurana do cdigo
ATBASH uma criptografia de simples substituio do alfabeto hebraico. Ela consiste na substituio do aleph (a primeira letra) pela tav (a ltima), beth (a segunda) pela shin (a penltima), e assim por diante, invertendo o alfabeto usual. 22 O termo esteganografia deriva do grego, em que estegano significa esconder ou mascarar, e grafia, escrita. Assim, esse termo pode ser definido como a arte de esconder informaes, tornando-as ocultas. 23 ESTEGANOGRAFIA: introduo. Grupo de Teleinformtica e Informao UFRJ. Disponvel em: <http://www.gta.ufrj.br/grad/09_1/versao-final/stegano/introducao.html >. Acesso em: 23 mar. 2010.
21

28

de cifragem que era utilizado. O desenvolvimento de tcnicas foi se acentuando e diversos personagens da histria antiga contriburam de todas as formas. Indianos com uma variedade de mtodos criptogrficos. Gregos, como Euclides de Alexandria, com a sua contribuio para a teoria dos nmeros e Erasttenes de Cirene com o Crivo de Erasttenes, que um mtodo para identificao de nmeros primos de grande importncia para a criptografia atual.24 Uma das tcnicas mais conhecidas na antiguidade, e ainda utilizada at nos dias atuais, foi desenvolvida pelo imperador Jlio Csar em suas mensagens governamentais. Era uma tcnica simples de substituio com o deslocamento do alfabeto (cifragem monoalfabtica). Para escrever suas mensagens, Jlio Csar, alterava as letras desviando-as em trs posies adiante. Em sua homenagem, denomina-se Cdigo de Csar qualquer cifra baseada na substituio cclica do alfabeto. Na Idade Mdia, a criptografia como cincia (criptologia) teve, como todas as demais cincias, uma desacelerao em virtude do fato de que tudo que no era do entendimento das pessoas poderia ser considerado como demonaco e de magia negra. Durante sculos, esse conhecimento esteve estagnado em praticamente toda a Europa e, se no tivesse sido a contribuio rabe-islmica, esse perodo teria passado sem avanos. Apenas nos sculos finais dessa poca, com o movimento renascentista, que vieram a ocorrer os grandes avanos do perodo. O nascimento da Criptoanlise ocorreu em virtude do desenvolvimento incipiente do mtodo de anlise de frequncias, que explorava uma fraqueza do mtodo de cifragem monoalfabtico. Essa fraqueza consistia na anlise da frequncia com que apareciam os diferentes smbolos. Fazendo uma correspondncia entre as frequncias das ocorrncias em um texto relativamente longo, das letras de uma determinada lngua escrita, era possvel encontrar o smbolo correspondente. No final da Idade Mdia, comeou ento, para valer, a eterna luta entre os criadores e decifradores de cdigos. J por conta disso, para tentar driblar o mtodo de anlise das frequncias, comearam a surgir cifras em que cada vogal do texto original possua vrios

24 O crivo de Eratstenes uma maneira prtica de encontrar nmeros primos at certo valor. De maneira muito simples, determina-se o nmero mximo at o qual se deve verificar quais so os primos (digamos, n). Em seguida, calculamos qual o menor nmero inteiro menor ou igual a n , digamos, m. Assim, percorremos de 2 a m e marcamos os mltiplos destes nmeros at n. O 1 no primo. Aps fazer isso at o m, tm-se os nmeros primos at o nmero n, que sero aqueles que no foram marcados.

29

smbolos equivalentes, substituies e transposies mltiplas. A chave, o segredo do cdigo, deixava de ter uma caracterstica de formao simples para uma de maior complexidade. Com a Renascena, iniciou-se um verdadeiro movimento acelerado de estudos das cincias. A criptologia recebeu diversas contribuies e teve um grande avano. A Itlia foi o bero de muitas dessas inovaes. A Itlia era constituda de cidades-estados independentes, e a comunicao entre elas necessitava de proteo, pois as correspondncias normalmente tratavam de assuntos de Estado. Para organizar e monitorar com maior eficincia as comunicaes internas, o governo italiano criou uma secretaria que tinha a nica funo de lidar com as escritas secretas, a denominada cmara negra. Toda correspondncia que chegava ou saa passava antes pela cmara. J no incio dessa poca, surgiu uma maneira para otimizar a criptografia, com a inveno do disco de cifragem, pelo italiano Leon Battista Alberti, tambm conhecido como Disco de Alberti, que implementava uma cifra polialfabtica. A tcnica de utilizao do disco de cifragem foi aperfeioada posteriormente, principalmente pelo francs Blaise de Vigenre, que utilizava vrios discos de Alberti simultaneamente, arranjados de acordo com uma palavra chave para criar a cifra. Durante sculos, esse mtodo de cifragem, aparentemente imune anlise de frequncia, permaneceu inquebrvel. Na Frana, tambm houve importantes contribuies no s para a criptografia, como tambm para a esteganografia. Era de l um dos mais ilustres criptologistas da poca, o matemtico Vite, que teve, dentre seus feitos notveis, a decifragem das mensagens criptografadas, com cifras homofnicas, pela corte do rei Felipe II da Espanha. A cifra homofnica construda fazendo corresponder cada letra do alfabeto a um conjunto de smbolos diferentes em quantidade correspondente ao nvel de frequncia estatstica com que a letra aparece em textos longos. Outro renomado decifrador foi Antoine Rossignol, autor da Grande Cifra, uma cifra homfona que associava um grupo de nmeros a slabas da lngua francesa. Teve pouca utilizao, mas era considerada uma cifra robusta, tanto que s foi quebrada quase dois sculos depois.

30

A histria recente se caracteriza, no princpio, pelo surgimento de mquinas mecnicas e inventos que utilizavam os princpios da eletricidade e do magnetismo. Os meios de comunicao reduziram as distncias ao mesmo tempo em que acarretaram uma maior preocupao com relao ao sigilo da mensagem transmitida, tornando a criptografia de importncia fundamental nas comunicaes. As tcnicas de cifragem eram basicamente as mesmas do perodo anterior. Mas algumas mquinas que implementavam tais tcnicas deram maior agilidade e preciso, diminuindo o trabalho laborioso e sujeito a erros dos mtodos de utilizao de tabelas. A inveno do Cdigo Morse e da Telegrafia deu um grande impulso s comunicaes, mas tambm propiciou uma enorme brecha na segurana, pois a mensagem poderia ser facilmente interceptada. O que dizer, ento, do rdio, que veio logo em seguida? Sendo um meio de comunicao aberta, fez com que a preocupao com o sigilo das comunicaes se tornasse indispensvel. Charles Babbage, matemtico ingls, foi uma grande personalidade inventiva e teve como grandes feitos a quebra da cifra de Vigenre e o projeto da primeira mquina mecnica de clculo, a Mquina das Diferenas, utilizada para clculos e que foi a precursora do computador.25 Com a chegada do sculo XX, o mundo iria conviver com as atrocidades de duas grandes guerras mundiais. Importantes contribuies da cincia tm sido desenvolvidas para aplicaes militares e, nos perodos de guerras, todo o esforo da cincia parece ser direcionado para as necessidades inerentes aos conflitos. Com a criptografia no foi diferente. Na Primeira Guerra Mundial, as mensagens utilizadas pelo exrcito alemo eram criptografadas por meio de uma cifragem obtida com uma combinao de tcnicas de substituio e transposio. Foi de fundamental importncia para o destino da guerra e da Frana a descoberta desse cdigo. Graas a um trabalho de interceptao de mensagem e de criptoanlise, o cdigo foi descoberto a tempo, evitando que o exrcito alemo invadisse a Frana em local desconhecido e desguarnecido de reforos. Criptoanalistas ingleses tambm deram uma enorme contribuio para o desenrolar da guerra em virtude da descoberta do teor
Uma mquina das diferenas um dispositivo mecnico de uso especial, projetado para tabular funes polinomiais. Uma vez que funes logartmicas e trigonomtricas podem ser aproximadas por polinmios, a funo destas mquinas mais ampla do que pode parecer. O mtodo das diferenas usa apenas adies ou subtraes iterativas atravs de um algoritmo muito simples e perfeito para ser usado por mquinas.
25

31

do telegrama Zimmermann, uma mensagem do exrcito alemo que propunha ao Mxico uma aliana contra os Estados Unidos. Na Segunda Guerra Mundial, foi marcante o uso de sistemas que automatizavam a cifragem e a decifragem. Nisso, teve importante papel o uso da mquina alem denominada Enigma. Ela trabalhava com um processo de cifragem complexo com chave simtrica no qual, em cada mensagem, a chave era trocada. Tanto o remetente como o destinatrio deveriam ter em mos o mesmo modelo de mquina. Novamente, a criptoanlise, juntamente com um eficiente servio de espionagem, foi de fundamental importncia para o desenrolar do conflito, pois permitiu a quebra dessa cifra, vindo a ocasionar um grande dano no sigilo das comunicaes do exrcito alemo nazista. A partir da Segunda Guerra, os novos dispositivos eletrnicos revolucionaram a forma de se construrem computadores. A vlvula e, em seguida, os transistores provocaram avanos sem precedentes na velocidade dos clculos, que passou a ser efetuada em fraes de segundos. Esses equipamentos possuam a caracterstica de serem programados, isto , poderiam realizar tarefas diversas, bastando para isso que se mudassem as instrues. Assim, os criptoanalistas ganharam uma ferramenta poderosssima para a quebra dos cdigos. Da mesma forma, o computador veio tambm a incentivar o desenvolvimento de algoritmos criptogrficos complexos, que s poderiam sem implementados em dispositivos que pudessem realizar milhes de operaes por segundo. Na medida em que os computadores foram sendo utilizados pelas empresas comerciais e financeiras, a segurana nas transaes foi se tornando mais preocupante. Tanto que o fabricante de computadores IBM veio a desenvolver e apresentar, em 1974, o mtodo DES de cifragem para utilizao em computadores, adotado, posteriormente, pelo governo dos Estados Unidos, como sendo o padro de cifragem de dados. Pelo fato de serem utilizados pelo Ministrio da Defesa dos Estados Unidos, os algoritmos criptogrficos so considerados pelo governo americano como sendo arma de guerra e por isso sofrem srias restries de divulgao e exportao. O cdigo DES (Data Encryption Standard) funciona com chave simtrica (privada) de 56 bits e na poca era muito difcil de ser quebrado pelo mtodo da fora bruta, mtodo em que todas as combinaes possveis de chave so testadas e que, no caso, so 72 quatrilhes de combinaes (256). Apesar de ainda ser um dos algoritmos mais utilizados no mundo, o

32

DES apresenta uma limitao por utilizar chave privada simtrica, que necessita de um canal de comunicao paralelo para a combinao prvia da chave entre o remetente e destinatrio.26 A grande soluo para esse problema emblemtico veio com o desenvolvimento do mtodo assimtrico de chave pblica, que utiliza duas chaves, sendo que uma delas de conhecimento de todos, no necessitando de troca preliminar, mas que, de forma contraditria, garante uma comunicao sigilosa, porque a chave que cifra a mensagem diferente da chave que decifra. O conceito de chave pblica foi apresentado, inicialmente, em 1976, por Whitfield Diffie e Martin Hellman.27 Mas s teve uma soluo prtica em 1977, em virtude dos trabalhos desenvolvidos por pesquisadores do MIT (Massachussetts Institute of Technology). As iniciais de seus nomes batizaram o novo algoritmo, RSA (Ronald Rivest, Adi Shamir e Leonard Adleman). O algoritmo RSA tem sua base matemtica na teoria dos nmeros primos. Utiliza duas chaves, uma pblica (para cifrar) e outra privada (para decifrar).28 A vantagem do mtodo RSA, assim como o de qualquer mtodo de chave assimtrica, que ele elimina a necessidade de troca preliminar de chaves e fornece um mtodo para se certificar da autenticidade (assinatura digital). Como desvantagem, podemos levar em conta o fato de que, por ser um algoritmo mais complexo que o DES, ele envolve um poder computacional bem maior, tornando-o de execuo mais lenta. Os sistemas de criptografia eram utilizados, principalmente, pelos governos e empresas. A popularizao veio com o PGP (Pretty Good Privacy), um programa desenvolvido por meio de tcnicas hbridas, isto , combinando os algoritmos de chave simtrica e assimtrica. O autor desse programa (Philip Zimmermann) o liberou para domnio pblico em 1991, o que veio a lhe causar problemas com o governo norte-americano pelo fato de o programa utilizar as rotinas dos mtodos DES e RSA que, como dito, eram proibidos para exportao. Por volta do ano 2000, o cdigo DES j no era to difcil de ser quebrado. Utilizandose sistemas computacionais que agregavam diversos computadores trabalhando em paralelo j

Os sistemas de criptografia simtricos e assimtricos sero detalhados adiante. DIFFIE-HELLMAN. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/Diffie-Hellman>. Acesso em: 24 abr. 2010. 28 RSA. Wikipedia.org. Disponvel em: <http://pt.wikipedia.org/wiki/RSA>. Acesso em: 24 abr. 2010.
27

26

33

se podia fazer isso em menos de 24 horas! Isso veio a provocar o seu desuso como sistema de criptografia padro, sendo substitudo por mtodos mais difceis de serem quebrados. Atualmente os sistemas de segurana de bancos e governos utilizam o sistema RSA. As chaves de criptografia originalmente pensadas para uso pelo RSA hoje podem ser quebradas em apenas 3 semanas em um PC comum. Contudo, a utilizao de chaves maiores conseguiu elevar seu nvel de segurana, o que permitir seu uso ainda por muito tempo. Contudo, como se espera que os computadores qunticos sejam infinitamente mais rpidos do que os computadores eletrnicos atuais, novos sistemas de criptografia devero ser desenvolvidos, j que um computador quntico poderia quebrar os atuais sistemas num piscar de olhos.29

2.2 Formas de criptografia

Computadores entendem nmeros. Assim, todo processo de criptografia com o uso de sistemas computacionais, envolve uma pr-codificao em que o texto a ser criptografado transformado em nmeros escritos em base 2 (notao binria), o que resulta em uma sequncia de bits, no qual so realizados os clculos envolvidos nos sistemas criptogrficos. H dois tipos bsicos de sistemas de criptografia: os sistemas simtricos de chave nica ou tradicional e os sistemas assimtricos ou de chave pblica. Nenhum melhor que o outro. Cada um possui suas vantagens e desvantagens. Os sistemas de criptografia simtricos so muito mais rpidos, computacionalmente falando, que os sistemas assimtricos. No entanto, a criptografia assimtrica pode fazer coisas que a criptografia simtrica no faz e traz enormes benefcios na questo da distribuio das chaves e das assinaturas digitais.

2.2.1 Sistemas simtricos

As tcnicas de criptografia simtricas so aquelas onde o processo de cifrar uma mensagem essencialmente o oposto do processo de decifrar. fundamentada em operaes que dependem da mesma chave (chave secreta nica). Utiliza-se a chave para cifrar o texto inicial e a mesma chave para decifrar, recuperando o texto inicial. A segurana dessas tcnicas depende inteiramente do segredo dessa chave. Somente o emissor e o receptor da mensagem devem conhecer a chave utilizada.
COMO funcionaro os computadores qunticos. HowStuffWorks Brasil. Disponvel em: <http://informatica. hsw.uol.com.br/computadores-quanticos.htm>. Acesso em: 29 mar. 2010.
29

34

Podemos ilustrar o processo simtrico como uma fechadura. A mesma chave abre e fecha a fechadura. Para cifrar uma mensagem usamos a chave (fechamos) e para decifrar usamos a mesma chave (abrimos).

Figura 1: Esquema do sistema de criptografia simtrico. Fonte: Adaptado da cartilha O que Certificao Digital? (online).

O grande problema dos sistemas simtricos a distribuio de chaves, que devem ser combinadas previamente entre as partes, o emissor e o receptor. Esta distribuio se torna um entrave em situaes em que as partes no podem encontrar-se facilmente. Isso vem a ser o

calcanhar-de-aquiles dos mtodos de chave simtrica, porque uma fraqueza no canal paralelo de troca de informao da chave vir a comprometer toda a segurana da informao.
Existem algoritmos que dispensam o uso de chaves. Mas a utilizao dos que a usam oferece duas importantes vantagens. A primeira permitir a utilizao do mesmo algoritmo criptogrfico para a comunicao com diferentes receptores, apenas trocando a chave. A segunda permitir trocar facilmente a chave no caso de uma violao, mantendo o mesmo algoritmo.

O nmero de chaves possveis depende do tamanho (nmero de bits) da chave. Por exemplo, uma chave com tamanho de 8 bits permite uma combinao de, no mximo, 256 (28) chaves diferentes. Quanto maior o tamanho da chave, mais difcil se torna quebr-la, pois aumenta o nmero de combinaes possveis a serem testadas por um mtodo de fora bruta. Atualmente, mesmo para as comunicaes civis, os sistemas vm utilizando chaves grandes. Por exemplo, o programa Microsoft Internet Explorer utiliza em suas comunicaes seguras

35

(criptografadas) um nvel de codificao com chave de 128 bits. O cert.br publicou, em sua cartilha de segurana, o seguinte:30
Atualmente, para se obter um bom nvel de segurana na utilizao do mtodo de criptografia de chave nica, aconselhvel utilizar chaves de no mnimo 128 bits. E para o mtodo de criptografia de chaves pblica e privada aconselhvel utilizar chaves de 2048 bits, sendo o mnimo aceitvel de 1024 bits. Dependendo dos fins para os quais os mtodos criptogrficos sero utilizados, deve-se considerar a utilizao de chaves maiores: 256 ou 512 bits para chave nica e 4096 ou 8192 bits para chaves pblica e privada.

Uma das limitaes de se utilizar chaves maiores pela prpria limitao que alguns softwares de mercado impem. Nem todos suportam sistemas criptogrficos que utilizem chaves grandes. Assim, para algumas aplicaes mais crticas, muitas vezes necessria a adequao de um software de criptografia.

2.2.2 Sistemas assimtricos

Os sistemas criptogrficos eram essencialmente tcnicas de substituio e permutao. Evidentemente a complexidade destes sistemas foi aumentando com o passar do tempo. O uso de computadores levou ao desenvolvimento de sistemas ainda mais complexos. Apesar da complexidade, todos os sistemas criptogrficos sofriam com o problema de como combinar uma chave entre as duas partes que queriam se comunicar de maneira segura. Essa foi a grande motivao para a criao do sistema de chave pblica. A grande revoluo da histria da criptografia foi a inveno da criptografia de chave pblica. Ela se diferencia da criptografia tradicional em dois pontos principais: baseada em funes matemticas para criptografar uma mensagem, ao invs de tcnicas de substituio e permutao; assimtrica e envolve um par de chaves: a pblica e a privada. Uma delas, a pblica, pode ser do conhecimento de todos, enquanto a outra, a privada, deve ser mantida em sigilo. A chave pblica, que pode ser divulgada, obtida a partir da chave privada. O motivo que impossibilita se saber a chave privada a partir da pblica (caminho inverso) de limitao computacional. A chave privada formada a partir de dois nmeros primos muito grandes. A
CARTILHA de segurana para Internet. Cert.br. Disponvel em: <http://cartilha.cert.br/conceitos/sec8.html# subsec8.5>. Acesso em: 25 mar. 2010.
30

36

chave pblica obtida da multiplicao desses dois nmeros primos. Dessa forma, segundo estabelece a teoria da fatorao de nmeros inteiros, para se encontrarem os fatores primos de um nmero muito grande (de ordem maior que 10160), utilizando-se os recursos e tecnologias atuais, seria necessrio um tempo computacional que extrapola a prpria idade do Universo.31

Figura 2: Esquema do sistema de criptografia assimtrico. Fonte: Adaptado da cartilha O que Certificao Digital? (online).

Os sistemas criptogrficos de chave pblica so muito mais lentos de serem executados nos computadores que os sistemas simtricos. Por isso, comum o uso de sistemas hbridos, que usam criptografia simtrica e assimtrica, combinando as vantagens de cada uma delas. Numa comunicao entre dois sistemas, um algoritmo de chave pblica utilizado inicialmente para a distribuio das chaves e assinatura digital, enquanto que uma criptografia simtrica usada para criptografar a mensagem em si. Exemplos que combinam a utilizao dos mtodos de criptografia simtrica e assimtrica so as conexes seguras, estabelecidas entre o browser de um usurio e um site, em transaes comerciais ou bancrias via Web. Estas conexes seguras via Web utilizam o mtodo de criptografia de chave nica, implementado via conexo https. O browser do usurio precisa informar ao site qual ser a chave nica utilizada na conexo segura, antes de iniciar a transmisso de dados sigilosos. Para isto, o browser obtm a chave pblica do certificado da instituio que mantm o site. Ento, ele utiliza esta chave pblica para codificar e enviar uma mensagem para o site,
Todo inteiro fatora-se como produto de primos. Isto faz que os primos sejam uma espcie de bloco com os quais so construdos os inteiros. Fatorar um inteiro N escrev-lo como produto de primos. Assim, o inteiro 30 pode ser escrito como 30 = 2 3 5.
31

37

contendo a chave nica (aleatria) a ser utilizada na conexo segura. O site utiliza sua chave privada para decodificar a mensagem e identificar a chave nica que ser utilizada. A partir deste ponto, o browser do usurio e o site podem transmitir informaes de forma sigilosa e segura, atravs da utilizao do mtodo de criptografia de chave nica. A chave nica pode ser trocada em intervalos de tempo determinados, atravs da repetio dos procedimentos descritos anteriormente, aumentando assim o nvel de segurana de todo o processo.

2.3 Assinatura digital

Se a criptografia possibilita o sigilo da informao, a assinatura digital permite atestar a autenticidade desses dados e da pessoa que os enviou. As chaves utilizadas no sistema de criptografia assimtrica so complementares, isto : Um documento criptografado com a chave privada pode ser decifrado com a chave pblica correspondente; Um documento criptografado com a chave pblica pode ser decifrado com a chave privada correspondente. E nessa caracterstica complementar entre as chaves que reside o inestimvel recurso garantidor da autenticidade das mensagens eletrnicas. A autenticidade pode ser garantida pela chave codificadora, como nos ensina Gates:32
A chave codificadora permite mais do que privacidade. Ela pode tambm garantir a autenticidade de um documento, porque a chave privada pode ser usada para codificar uma mensagem que s a chave pblica pode decodificar. Funciona assim: se eu tenho uma informao que quero assinar antes de mandar de volta para voc, meu computador usa minha chave privada para codific-la. Agora a mensagem s pode ser lida se minha chave pblica - que voc e todo mundo conhece - for usada para decifr-la. Essa mensagem com certeza minha, pois ningum mais tem a chave privada capaz de codific-la.

A assinatura digital utiliza essa caracterstica. um mecanismo que possibilita ao criador de uma mensagem anexar a ela um cdigo que age como uma assinatura. A assinatura garante tanto a autenticidade como a integridade da mensagem. Para assinaturas digitais, so utilizados o hash da mensagem. Uma funo Hash ou Hashing uma funo matemtica, que gera uma espcie de resumo da mensagem.

32

GATES, Bill. A estrada do futuro. So Paulo: Companhia das Letras, 1995, p. 142.

38

Na prtica, invivel utilizar puramente algoritmos de chave pblica para assinaturas digitais, principalmente quando se deseja assinar mensagens extensas. Ao invs disso, empregada uma funo Hashing, que gera um valor pequeno, de tamanho fixo e nico, derivado da mensagem que se pretende assinar. A funo tem tambm uma caracterstica de ser unidirecional, isto , a partir do resultado da funo no se pode recuperar o texto original. Esse valor gerado est para o contedo da mensagem assim como o dgito verificador de uma conta-corrente est para o nmero da conta. Serve, portanto, para garantir a integridade da mensagem que representa. Assim, aps o valor hash de uma mensagem ter sido calculado, atravs do emprego de uma funo hashing, qualquer modificao em seu contedo ser detectada, pois um novo clculo do valor hash sobre o contedo modificado resultar em um valor hash distinto. H diversas funes de Hash utilizadas em criptografia. Uma das mais usadas a MD5. uma funo unidirecional inventada por Ron Rivest. A sigla MD significa Message Digest. Este algoritmo produz um valor hash de 128 bits (16 bytes), para uma mensagem de entrada de tamanho arbitrrio. O algoritmo foi projetado para ser rpido, simples e seguro. Seus detalhes so pblicos. Por exemplo, os seguintes textos geram os respectivos valores MD5:33 Texto: Valor: Texto: Valor: Pague por este a quantia de R$ 1.000. 65B918428350069E32E8FBC82FAFDE13 Pague por este a quantia de R$ 10.000. C26C2A2112EDC8FBAAB2EE5B5F1A4091

Portanto, como se pode observar, qualquer alterao no texto, por mais sutil que seja, gera um valor hash completamente diferente. Qualquer tipo de arquivo, um arquivo de texto ou um programa de computador, um fluxo de dados que produz um resultado hash nico. O processo de assinatura digital inicia-se com a gerao do hash (resumo) do documento que ser enviado. Em seguida, esse valor hash gerado criptografado usando a chave privada do signatrio. montado, ento, um pacote no formato PKCS#7, que ser

33

Valores calculados utilizando o programa ChaosMD5 verso 2.5.002. Disponvel em: <http://www.elgorithms. com/downloads/chaosmd5.php>. Acesso em: 25 mar. 2010.

39

enviado juntamente com o documento.34 Esse pacote possui o certificado digital do signatrio, contendo a sua respectiva chave pblica, mais o prprio hash criptografado. Para a verificao da assinatura, a aplicao destino gera seu prprio hash do documento recebido (H1). A seguir, abre o pacote PKCS#7 e de dentro do certificado digital obtm a chave pblica. Ainda desse pacote, retira o hash criptografado e decriptografa o hash utilizando a chave pblica. Essa decriptografia gera um segundo hash (H2). Se o H1 = H2, o arquivo original (que deu origem ao primeiro hash) est ntegro, ou seja, no sofreu qualquer alterao desde o momento em que foi assinado e garante tambm a autoria do documento, pois a chave pblica utilizada para descriptografar o hash teve correspondncia com a chave privada que foi usada para criptografar.

Figura 3: Esquema da Assinatura Digital do documento no signatrio remetente. Fonte: Adaptado de NORES, Izequiel Pereira de. Segurana na Internet (online).

Figura 4: Esquema da verificao da Assinatura Digital no destinatrio. Fonte: Adaptado de NORES, Izequiel Pereira de. Segurana na Internet (online).

Com a finalidade de promover o desenvolvimento de aplicaes seguras e padres baseados na criptografia de chave-pblica, o laboratrio RSA definiu o padro PKCS (Public-Key Cryptography Standards). Os PKCS vo da numerao 1 at a 15 e definem o formato para dados cifrados e para dados assinados.

34

40

importante salientar que a assinatura digital no a transposio de uma cpia da assinatura manuscrita em papel para o meio eletrnico por meio de um aparelho de leitura tica (scanner). Isso nada mais do que assinatura digitalizada, que no fornece segurana quanto a sua validade e autenticidade. A assinatura digital aqui tratada concebida a partir de mtodos matemticos e processos tecnolgicos seguros. A utilizao das assinaturas digitais no livra as relaes humanas dos ilcitos de falsificao documental, pois h a possibilidade de alteraes maliciosas em documentos eletrnicos. Entretanto, essas alteraes sero mais facilmente detectadas. A assinatura digital condio essencial para a fora probante do documento eletrnico. Representa o meio hbil que assegura a autoria e a integridade dos documentos eletrnicos, permitindo que tenham fora jurdica perante a sociedade.

2.4 Certificado digital

Com o advento do sistema de criptografia assimtrico, pode parecer que o problema da distribuio de chaves, que deu tanta dor de cabea a criptgrafos por sculos, estaria resolvido definitivamente. Mas a divulgao da chave pblica d margem a problemas. Por exemplo, se algum recebe uma mensagem com a chave pblica de um terceiro, como ter certeza que de fato foi esse terceiro quem enviou a mensagem? Um inimigo poderia enviar ou publicar em algum lugar uma chave pblica fazendo-se passar por aquele terceiro. De maneira mais comprometedora, quando um interlocutor enviasse uma mensagem a outro solicitando a chave pblica, um intruso poderia intercept-la e devolver uma chave pblica forjada. Tambm poderia fazer o mesmo com o outro, fazendo que cada lado pensasse que estavam se comunicando um com o outro, quando, na verdade, estariam sendo interceptados pelo intruso. Assim, o gerenciamento de chaves exige que previamente se localize a chave pblica da pessoa com quem se deseja comunicar e em seguida se obtenha uma garantia de que a chave pblica encontrada seja proveniente daquela pessoa. Essa garantia pode ser obtida pelo certificado digital de chave pblica. Quando so realizadas transaes de forma presencial, muitas vezes solicitado um documento que comprove a identidade das partes. Na Internet, como as transaes so feitas

41

de forma eletrnica, o certificado digital surge como garantia da identidade das partes envolvidas. Um certificado digital um arquivo eletrnico que identifica quem seu titular, pessoa fsica ou jurdica, ou seja, um documento de identidade eletrnico. Como qualquer documento de identificao, o certificado digital contm informaes importantes sobre seu portador, por exemplo, nome, data de nascimento etc. Entretanto, o certificado digital contm um item peculiar para a identificao da pessoa: a chave pblica do titular. um documento emitido e assinado por uma terceira parte confivel, que associa o nome de uma pessoa ou instituio a uma chave criptogrfica pblica. A gerao, distribuio e gerenciamento dos certificados digitais feita por meio de entidades conhecidas como Autoridades Certificadoras (AC). So essas autoridades certificadoras que garantem que uma chave pblica ou certificado digital pertence realmente a uma determinada pessoa. So elas que formam a cadeia de confiana que d segurana ao sistema. So organizadas segundo critrios legais e obedecem a toda uma poltica de procedimentos, padres e formatos tcnicos estabelecidos em regimes normativos. O conjunto ou modelo formado de autoridades certificadoras, polticas de certificao e protocolos tcnicos compe o que se convencionou chamar de Infraestrutura de Chaves Pblicas, ou simplesmente ICP, responsveis pela gerao e gerenciamento de chaves e certificados pblicos, utilizados para garantir a autenticidade, a integridade e a validade jurdica de documentos e transaes eletrnicas.35 Dessa forma, o certificado digital se torna o equivalente eletrnico das provas fsicas de identificao, como a cdula de identidade. Auxilia a autenticao de usurios em redes de comunicaes e elemento essencial em uma ICP. Conforme Kazienko: 36
Procedimentos que envolvem a autenticao esto frequentemente presentes em nossas vidas sejam na verificao da assinatura manuscrita constante em um contrato de locao de imvel, ou, ainda, no caixa eletrnico de um banco, onde o sistema bancrio verifica a identidade do cliente para que o mesmo possa efetuar operaes com sua conta, entre outras tantas situaes do nosso cotidiano. No mbito computacional, a atividade de autenticao tem o mesmo sentido. Em ambientes de rede, em virtude dos crescentes ataques s diversas vulnerabilidades dos sistemas, tem-se procurado por mtodos de autenticao cada vez mais eficientes.

Os esforos governamentais para a normatizao das transaes eletrnicas culminaram com a implantao do sistema nacional de certificao digital da ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira). A ICPBrasil ser descrita em detalhes no captulo seguinte. 36 KAZIENKO, Juliano Fontoura. Assinatura Digital de Documentos Eletrnicos Atravs da Impresso Digital. Dissertao de Mestrado apresentada Universidade Federal de Santa Catarina. Florianpolis, fevereiro de 2003. Disponvel em: <http://www.ic.uff.br/~kazienko/dissert_kazienko.pdf>. Acesso em: 03 out. 2009.

35

42

Embora nosso sistema jurdico preveja, no artigo 107 do CC, a liberdade das formas, no existindo qualquer obstculo legal para a validade das transaes realizadas no meio eletrnico, a eficcia probatria das declaraes virtuais de vontade depende de um processo de autenticao. Assim, a certificao digital uma tecnologia de segurana para as relaes eletrnicas, que prov um sistema de identificao de pessoas e entidades no meio eletrnico. Cada chave pblica associada a uma pessoa ou entidade jurdica. A chave privada correspondente chave pblica tambm fica associada ao titular, de forma que o seu uso, dentro do prazo de validade de um certificado, passa a ser considerada uma prova da manifestao da vontade do titular do certificado. A certificao digital possibilita agregar os seguintes requisitos de segurana: Autenticidade garantia da autoria de um documento; Privacidade garantia de que nenhuma pessoa no-autorizada ter acesso ao contedo; Integridade garantia de que a informao no ser violada; No-repdio garantia da impossibilidade de negar a autoria. Estruturalmente, um certificado digital um arquivo de dados, subdividido em sees contendo informaes obrigatrias e informaes adicionais armazenadas em campos denominados de extenses. As principais informaes que constam de um certificado digital so: chave pblica do titular; nome e endereo de e-mail; perodo de validade do certificado; nome da AC que emitiu o certificado; nmero de srie do certificado digital; assinatura digital da AC. Embora existam vrios tipos de certificados em uso, a maior aceitao do descrito pela recomendao X.509 do ITU-T.37 O prazo de validade dos certificados varia de acordo com seu tipo e uso. Um certificado necessita ter um prazo de validade devido evoluo dos dispositivos de processamento. A validade dos certificados digitais para usurios finais varia de 1 a 3 anos. possvel determinar o fim da validade de um certificado digital antes da sua data de expirao, atravs da sua revogao. A lista de certificados revogados chamada de LCR (Lista de Certificados Revogados). Obrigatoriamente, a LCR emitida e mantida pela AC. A LCR deve ser verificada sempre que um certificado recebido para verificar a sua validade. Certificados nesta lista podem ter sido roubados, perdidos ou, simplesmente, estar sem utilidade.

ITU (Unio Internacional de Telecomunicaes) uma agncia intergovernamental, baseada em Genebra, na Suia, que congrega mais de 700 organizaes pblicas e privadas de 191 pases. O ITU-T o setor responsvel por coordenar padronizaes relacionadas com a telecomunicao. Cria recomendaes que, aps aprovadas pelos membros, so empregadas como referncia para o desenvolvimento de solues tecnolgicas envolvendo redes e telecomunicaes.

37

43

Para a aquisio do certificado digital, um dos itens essenciais para que se tenha a segurana necessria a validao pessoal. O interessado deve comparecer perante uma Autoridade de Registro (AR), vinculado a uma Autoridade Certificadora (AC), munido de documento de identificao, comprovante de endereo e fotografias. A regra de identificao do titular de um certificado um elemento essencial de uma ICP. A identificao exigida dos indivduos e das empresas rgida, mais ou menos forte. Tem-se por identificao forte a identificao presencial de pessoas naturais conjugada com a apresentao de documentos. Diversas so as Autoridades Certificadoras existentes hoje no Brasil: Serpro, Caixa Econmica, Serasa, Certisign, Secretaria da Receita Federal, Imprensa Oficial do Estado de So Paulo, Autoridade Certificadora da Presidncia da Repblica, Casa da Moeda do Brasil, AC-Jus. A AC-Jus foi a primeira autoridade certificadora do Poder Judicirio no mundo. Foi criada em 2005, inicialmente como Autoridade Certificadora da Justia Federal. Posteriormente, passou a abranger todo o judicirio. A empresa Certisign habilitada pela Secretaria da Receita Federal (AC-SRF) para expedir em seu nome os certificados digitais eCPF e e-CNPJ. Estes so exemplos de certificados digitais. Porm importante ressaltar que existem outros modelos de certificados digitais que seguem as mesmas regras e normas estabelecidas pelo governo. Aps os procedimentos de solicitao e validao presencial, o certificado digital emitido dever ser guardado (armazenado). A maneira mais segura de se armazenar o certificado utilizar um smartcard ou token. O smartcard um dispositivo no formato de um carto de crdito com um microchip, que tem funes de armazenamento e processamento interno. Esse microchip tem a capacidade de gerar as chaves em seu circuito e proteg-las com criptografia. A chave privativa gerada nele e nunca sai dele, sendo que todas as operaes de assinatura e autenticao so realizadas pelo prprio carto. Sua estrutura de segurana o torna um dispositivo muito difcil de ser clonado. Para poder usar a chave privada para assinar as transaes, necessrio usar o carto. Para que somente a posse do carto no baste para consumar o processo, o acesso chave privada protegido adicionalmente com um PIN (Personal Identification Number), uma espcie de senha. Apenas aps o fornecimento do PIN que se pode usar o carto para se autenticar.

44

Dessa maneira, o esquema de autenticao est dentro do conjunto que se chama de autenticao forte, porque requer algo que sabemos, no caso uma senha, e algo fsico que temos, no caso o carto. O seus status de item de necessidade deve-se exatamente a essas caractersticas: praticidade, segurana e privacidade de suas informaes. Embora eficiente, esse esquema peca em relao ao custo. O carto um dispositivo nico para cada usurio. Para que o carto possa ser lido, requer um dispositivo de leitura parte. Nesse aspecto, o token leva vantagem com relao ao custo, porque apresenta as mesmas caractersticas do smartcard com relao segurana, mas no requer uma leitora em separado, por ser um dispositivo em formato de pendrive que se conecta diretamente porta USB do computador.

Figura 5: Smartcard e Token e-CPF. Fonte: Certisign Certificadora Digital S.A. (online).

A implantao do processo judicial eletrnico depende de uma comunicao segura, que garanta a eficcia probatria das transaes realizadas e registradas eletronicamente. Esse mecanismo veio a garantir autenticidade aos documentos eletrnicos, como forma de comprovar que a assinatura digital e os dados constantes de determinado documento oficial so realmente autnticos e fidedignos. Embora a garantia de integridade, autenticidade e segurana dos documentos eletrnicos estejam solucionadas tecnicamente, se faz necessrio que existam normas que estendam a garantia para o mundo jurdico, aos atos juridicamente relevantes, que sejam realizados por meio de documentos eletrnicos.

45

3 ASPECTOS LEGAIS DA CERTIFICAO DIGITAL

Visando a impedir qualquer restrio ou preconceito para com as relaes jurdicas eletrnicas, vrias normas esto sendo estabelecidas. As normas disciplinadoras contemplam no somente as tecnologias existentes no momento em que so promulgadas, mas tambm as futuras. Para dar suporte s transaes eletrnicas, necessita-se de estruturas pblicas que reconheam como vlidas as assinaturas digitais. Essas transaes se valem de mecanismos tecnolgicos e normativos para a sua validade. Tem-se a a garantia da validade, autenticidade e integridade dos documentos eletrnicos, alm da irretratabilidade e irrevogabilidade dessas transaes.

3.1 Princpios e normas gerais

A preocupao com a segurana das transaes eletrnicas foi grandemente estimulada em virtude do comrcio eletrnico. A globalizao da economia acarretou o aumento de intercmbio de informaes entre as empresas. Os negcios passaram a ser feitos inteiramente por meio eletrnico. Isso exigiu o desenvolvimento de novos procedimentos para a garantia da segurana da transao e o estabelecimento de novas regras para a validade jurdica dos negcios. Nas palavras de Tadano:38
Transaes comerciais eletrnicas so, fundamentalmente, muito semelhantes s transaes tradicionais (transaes feitas no Marketing Place). A diferena entre o comrcio feito no Marketing Place e no Marketing Space (comrcio eletrnico) est justamente no contrato firmado entre as partes. Faz-se necessria uma certa confiana entre as partes envolvidas, j que a transao feita entre ambas as partes realizada entre diferentes localizaes geogrficas e efetuadas em um mundo virtual.

A preocupao da ONU (Organizao das Naes Unidas) para a regulamentao do comrcio eletrnico teve incio quando a UNCITRAL (Comisso das Naes Unidas para o
38

TADANO, Katiucia Yumi. GED: Assinatura Digital e Validade Jurdica de Documentos Eletrnicos. Monografia apresentada Universidade Federal de Mato Grosso. Cuiab, junho de 2002. Disponvel em: <http://www.arquivar.com.br/espaco_profissional/sala_leitura/teses-dissertacoes-e-monografias/GED_ Assinatura_ Digital.pdf>. Acesso em: 03 out. 2009.

46

Direito Comercial Internacional) convidou os governos a revisar a obrigatoriedade de os documentos serem assinados mo ou por outro meio baseado apenas no papel, a fim de que houvesse tambm permisso do uso de meios eletrnicos de autenticao. A obrigatoriedade de que os documentos fossem baseados apenas em papel, combinada com a ausncia de harmonizao de regras aplicveis ao comrcio eletrnico, constitua uma barreira para o comrcio internacional. A UNCITRAL procedeu preparao de regras legais sobre o assunto e sua aprovao final resultou na Lei Modelo sobre o Comrcio Eletrnico.39 A Lei Modelo tem sido usada como um parmetro para muitos pases, por ser considerada apropriada s questes relativas ao comrcio eletrnico, sendo que, em alguns, tem sido acolhida integralmente. Tem como objetivo principal oferecer aos legisladores uma srie de regras internacionalmente aceitveis, permitindo a remoo de obstculos legais, proporcionando um ambiente legal seguro para o comrcio eletrnico. Alguns pases criaram grupos de trabalho, em parceria com o setor privado, no sentido de preparar a legislao necessria para o comrcio eletrnico e assinatura eletrnica de documentos. Dentre os principais temas disciplinados na Lei Modelo, est o reconhecimento jurdico das mensagens eletrnicas com equiparao plena do escrito eletrnico ao convencional, atravs da assinatura eletrnica. Alguns princpios da Lei Modelo so: Da no-discriminao: no se negaro efeitos jurdicos, validade ou eficcia informao apenas porque esteja na forma de mensagem eletrnica; Da equivalncia funcional dos atos jurdicos eletrnicos: obsta a invalidade do contrato efetuado por meio eletrnico e impede a inviabilidade de se preverem condies diferentes daquelas impostas aos contratos em papel; Da neutralidade tecnolgica: a lei deve ultrapassar os conceitos tecnolgicos atuais em razo da dinmica tecnolgica. As normas disciplinadoras abarcaro no somente as tecnologias existentes no momento em que forem promulgadas, mas tambm as futuras sem necessidade de significativas mudanas.

UNCITRAL. Model Law on Electronic Commerce with Guide to Enactment. Disponvel em: <http://www.uncitral.org/uncitral/en/uncitral_texts/electronic_commerce/1996Model.html>. Acesso em: 25 mar. 2010.

39

47

A Lei Modelo buscou a uniformizao da legislao no mbito internacional e, apesar de fazer referncia direta ao uso da assinatura digital, nos seus arts. 7 e 8, no fixou tcnicas especficas para sua utilizao. Isto ocorreu, principalmente, em virtude do fato de que foi concebida muito antes da expanso vertiginosa da Internet como instrumento das relaes jurdicas eletrnicas e tambm porque, na poca, algumas tcnicas populares hoje em dia no pertenciam ao domnio pblico, como o caso da criptografia. Segundo as palavras de Marcacini, a lei modelo, em 1996, para contar com a aprovao dos EUA, jamais poderia falar em criptografia, cuja exportao era proibida, e ainda se tentava impor restries para seu uso interno.40 A UNCITRAL continuou com seu trabalho de preparao de padres legais, prosseguindo na rea de assinaturas digitais e autoridades certificadoras. A fim de proporcionar maior segurana a respeito desse tema, apresentou a Lei Modelo sobre Assinaturas Eletrnicas, estabelecendo que as assinaturas digitais deveriam ser consideradas como equivalentes s manuscritas, bem como regras bsicas de conduta a serem observadas pelas partes envolvidas no processo da assinatura eletrnica.41 Dentre outros organismos da ONU envolvidos com as novas questes tecnolgicas, destaca-se o papel da UNCTAD (Conferncia das Naes Unidas sobre Comrcio e Desenvolvimento), que foi criada para acelerar o comrcio e o desenvolvimento econmico. Entre as funes da UNCTAD, est a promoo global do comrcio eletrnico, facilitando o acesso s tecnologias da informao. A UNCTAD revisou muita das questes das regras legais baseadas no papel e evidenciou o valor das mensagens eletrnicas. Para dar suporte s transaes eletrnicas, necessita-se de estruturas pblicas que reconheam como vlidas as aplicaes eletrnicas. A melhor soluo para este problema um sistema de controle estabelecido por uma Autoridade Certificadora, baseado no uso do certificado e assinatura digitais. Para que haja validade jurdica, devem ser reconhecidos pela legislao. O ordenamento jurdico ptrio parece disposto a atribuir s assinaturas digitais as mesmas funes que atribui s assinaturas tradicionais, uma vez que esto aptas a desempenhar as mesmas funes, quais sejam admitir a presuno da autoria do documento e admitir a presuno do conhecimento de seu contedo pelo signatrio.
MARCACINI, Augusto Tavares Rosa. Direito e informtica: uma abordagem jurdica sobre criptografia. Rio de Janeiro: Forense, 2002. 41 UNCITRAL. Model Law on Electronic Signatures with Guide to Enactment. Disponvel em: <http://www.uncitral. org/uncitral/en/uncitral_texts/electronic_commerce/2001Model_signatures.html>. Acesso em: 25 mar. 2010.
40

48

3.2 Breve histrico da evoluo legislativa brasileira

Pautado na Lei Modelo sobre o Comrcio Eletrnico, o Senado Federal apresentou seu primeiro Projeto de Lei, sob o nmero 672/1999, que confirmou, nos seus arts. 7 e 8, a possibilidade de substituio da assinatura manual por mtodos seguros de identificao. Por ter se omitido sobre o uso da criptografia assimtrica, recebeu as mesmas crticas que foram dirigidas Lei Modelo. Em busca do aperfeioamento legislativo, foi apresentado o Projeto de Lei n 1.483/1999, da Cmara dos Deputados, sobre aspectos da assinatura digital e recomendando a certificao por rgo pblico. Ao rgo pblico foi conferida, alm do reconhecimento da assinatura digital, a competncia para a fiscalizao, avaliao e cadastro das assinaturas digitais. Apesar da simplicidade, estes projetos guardam grande valia por serem precursores no Brasil a tratar sobre assinaturas digitais. Ainda em 1999, foi elaborado o Projeto de Lei n 1.589, da Cmara dos Deputados, sobre o comrcio eletrnico, validade jurdica dos documentos eletrnicos e assinatura digital. Esse projeto trouxe a previso da atividade cartorial eletrnica, pautada num sistema de autenticao documental por tabelies certificados. O projeto fazia referncia ao uso da criptografia assimtrica como meio de produzir assinaturas digitais e estabelecia a equiparao do documento eletrnico ao tradicional, desde que houvesse uma assinatura realizada por criptografia de chave pblica. O Decreto n 3.587/2000, do Governo Federal, teve por objetivo a normatizao da assinatura digital e instituiu a Infraestrutura de Chaves Pblicas do Poder Executivo Federal (ICP-Gov), para que o Estado usasse a assinatura digital em seus documentos legais. Este Decreto acabou valorizando as empresas privadas de certificao digital, uma vez que reconhecia as Autoridades Certificadoras e adotava como legais os documentos e transaes por elas certificados. O Projeto de Lei n 4.906/2001, da Cmara dos Deputados, tratou do valor probante dos documentos eletrnicos e da assinatura digital. Visando necessidade de uniformidade, estabeleceu conceitos padronizados para assinatura digital, documento eletrnico, criptografia assimtrica etc. Somou muitos aspectos positivos dos outros Projetos de Lei anteriormente citados.

49

Os Projetos de Lei mencionados foram foco de muitos debates na sociedade. Porm, considerando-se a importncia do tema e a necessidade de urgente regulamentao, o legislador acabou deixando de lado os Projetos, substituindo-os pela Medida Provisria n 2.200/2001, que foi redigida e editada desconsiderando tais propostas, bem como as manifestaes pblicas da sociedade brasileira. Nas palavras de Rezende:42
A ICP-Brasil surgiu de uma canetada do presidente FHC, em 28 de junho de 2001, na Medida Provisria 2200. Esta medida estendeu uma iniciativa que at ento vinha sendo internamente debatida, para se regulamentar uma infra-estrutura de chaves pblicas para o governo federal. Esse debate foi suspenso e a regulamentao abruptamente extrapolada a toda a sociedade, atropelando anos de debate e vrios projetos de lei que tramitavam no legislativo federal.

Por ltimo, podemos citar o Decreto n 3.996/2001, que disps sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal, o qual estabelece que a utilizao de certificados digitais por entidades pertencentes Administrao Pblica Federal s poderia ser efetuada mediante prvia autorizao do Comit Executivo do Governo Eletrnico e com certificados digitais providos no mbito da Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil).

3.3 Autoridades certificadoras

Um certificado digital a verso digital de um documento de identidade. Devido ao fato de que qualquer pessoa pode produzir seu prprio certificado digital, foi desenvolvido o conceito de Autoridade Certificadora (AC), que uma entidade que fica com a responsabilidade de garantir que um determinado certificado vlido. A validao de um certificado por uma AC faz com que duas partes possam ter um ponto de confiana em comum. Essa autoridade seria como um cartrio que reconhece firmas em documentos em papel. Conforme definio de Silva, uma autoridade certificadora uma organizao confivel, que aceita aplicaes certificadas de certa entidade, autentica aplicaes, emite certificados e mantm atualizadas informaes sobre os estados dos certificados.43

REZENDE, Pedro Antnio Dourado de. Privacidade e Riscos num mundo de chaves pblicas. Disponvel em: <http://www.cic.unb.br/~pedro/trabs/forumiti.htm>. Acesso em: 27 abr. 2010. 43 SILVA, Luiz Gustavo Cordeiro da et al. Certificao Digital: Conceitos e Aplicaes. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008.

42

50

Uma AC normalmente faz parte de uma estrutura maior, denominada de Infraestrutura de Chaves Pblicas (ICP). Uma ICP organizada numa estrutura hierrquica, tendo no seu topo uma Autoridade Certificadora Raiz (AC-Raiz).

Figura 6: Hierarquia da Infraestrutura de Chaves Pblica. Fonte: Autor.

A AC-Raiz a primeira autoridade da cadeia de certificao. Executa as polticas de certificao e as normas tcnicas e operacionais aprovadas por um comit gestor. Ela emite, distribui, revoga e gerencia os certificados das autoridades certificadoras que esto em nvel abaixo do seu e tambm responsvel pelo gerenciamento da Lista de Certificados Revogados (LCR). Abaixo da AC-Raiz esto as Autoridades Certificadoras credenciadas e que, por sua vez, possuem unidades operacionais denominadas de Autoridades de Registro (AR). Uma AR uma entidade operacionalmente vinculada determinada AC. Compete-lhes identificar e cadastrar os Titulares de Certificados na presena destes, encaminhar as solicitaes de certificados s ACs e manter os registros de suas operaes.44 A estrutura e o quadro de funcionamento das ACs preveem uma estrutura hierarquizada em dois nveis: O nvel superior s ser ocupado por autoridades pblicas, que a que certifica a autoridade subordinada, normalmente privada. As funes de uma autoridade de certificao devem ser, entre outras, as seguintes: a) Gerao e registro de chaves;
Titulares de Certificados so as entidades, pessoa fsica ou jurdica, para as quais foram emitidos um certificado digital. O assinante o titular da chave privada correspondente chave pblica contida no certificado e possui a capacidade de utilizar tanto uma quanto a outra.
44

51

b) Identificao de peties de certificados; c) Emisso de certificado; d) Armazenamento na AC de sua chave privada; e) Manter as chaves vigentes e revog-las. Para a garantia da confiabilidade desse sistema, auditorias so realizadas tanto pela ACRaiz, como por firmas independentes. As empresas de auditoria independentes so contratadas pelas autoridades certificadoras para realizar auditorias operacionais em entidades a elas subordinadas, a fim de que se possa verificar se as prticas esto em conformidade com as diretrizes e normas tcnicas estabelecidas. importante destacar que, no processo de emisso de certificados, a segurana da AC e da AR dever estar entrelaada, pois o processo depende fortemente do trabalho conjunto das duas entidades. A segurana comea pela boa gerncia sobre os certificados emitidos pela AC, seja ela pblica ou corporativa. Certificados mais baratos no significam necessariamente que a AC emitente pior que as outras ACs. O que determina a qualidade da AC a conformidade com as polticas e prticas que ela se compromete a cumprir. Existem empresas que optam pela utilizao de ACs prprias para emitir certificados para uso interno e para manter relaes seguras com clientes e fornecedores. Mas, para dar suporte s transaes eletrnicas necessita-se de estruturas pblicas que reconheam como vlidas as aplicaes eletrnicas. O Brasil possui uma infra-estrutura de chaves pblicas denominada Infra-estrutura de Chaves Pblicas Brasileira (ICP-Brasil), que atende aos cidados do pas por meio de Autoridades Certificadoras e Autoridades de Registro credenciadas.

3.4 ICP-Brasil
A adoo da tecnologia de chaves pblicas requer uma Infraestrutura de Chaves Pblicas (ICP), que define o conjunto de padres utilizados, autoridades certificadoras, estrutura entre autoridades certificadoras, mtodos para validar certificados, protocolos de

52

operao, protocolos de gerenciamento, ferramentas de interoperabilidade e suporte legislativo. Nas palavras de Silva: 45
ICP uma combinao de tecnologia (hardware e software), processo (polticas, prticas e procedimentos) e de componentes legais (acordos) que vincula a identidade do titular de chaves privadas s respectivas chaves pblicas, utilizando a tecnologia assimtrica de criptografia. ICP pode ser utilizada para proporcionar comunicaes codificadas e armazenamento de dados (confidencialidade), autenticao da identidade digital de uma pessoa ou uma organizao, integridade em mensagens e dados, e agregar a condio de no-repdio (confirmao de envio e confirmao de recepo) para transaes ou mensagens.

Os esforos governamentais para a normatizao das transaes eletrnicas culminaram com a edio da Medida Provisria 2.200-2, de 24/08/2001, que deu incio implantao do sistema nacional de certificao digital da ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira), constituda por um Comit Gestor, a Autoridade Certificadora Raiz (Instituto Nacional de Tecnologia da Informao-ITI), Autoridades Certificadoras (AC) e Autoridades de Registro (AR). Em 30/11/2001, foi gerado o par de chaves criptogrficas e o respectivo certificado digital da AC-Raiz da Infraestrutura de Chaves Pblicas Brasileira, na presena de representantes da Casa Civil, do Gabinete de Segurana Institucional da Presidncia da Repblica e da sociedade civil. Este evento ocorreu nas instalaes do Servio Federal de Processamento de Dados (SERPRO), no Rio de Janeiro, em ambiente de segurana especialmente criado para essa finalidade. A partir de ento foi possvel emitir certificados para as Autoridades Certificadoras. Assim, o Brasil passou a ter uma infraestrutura pblica, mantida e auditada por um rgo pblico, o Instituto Nacional de Tecnologia da Informao (ITI).46 O ITI segue regras de funcionamento estabelecidas pelo Comit Gestor da ICP-Brasil. O ITI tem como sua principal linha de ao a popularizao da certificao digital e a incluso digital, atuando sobre questes como sistemas criptogrficos, software livre, hardwares compatveis com padres abertos e universais, convergncia digital de mdias, entre outras. Compete ainda ao ITI estimular e articular projetos de pesquisa cientfica e de desenvolvimento tecnolgico voltados para a ampliao da cidadania digital.
SILVA, Luiz Gustavo Cordeiro da et al. Certificao Digital Conceitos e Aplicaes. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008, pag. 70. 46 O Instituto Nacional de Tecnologia da Informao, de acordo com o Decreto n 4.036, de 28/11/2001, uma autarquia federal vinculada Casa Civil da Presidncia da Repblica, cujo objetivo manter a Infra-Estrutura de Chaves Pblicas Brasileira, sendo a primeira autoridade da cadeia de certificao (AC-Raiz).
45

53

A Infraestrutura de Chaves Pblicas Brasileira um conjunto de tcnicas, prticas e procedimentos que foram traados com o objetivo de estabelecer os fundamentos tcnicos e metodolgicos de um sistema de certificao digital baseado em chave pblica. O Comit Gestor, cujos membros so nomeados pelo Presidente da Repblica, vinculase Casa Civil da Presidncia da Repblica e composto por cinco representantes da sociedade civil, o que confere ao sistema carter democrtico e transparente, e um representante de cada um dos seguintes rgos: Ministrio da Justia; Ministrio da Fazenda; Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; Ministrio do Planejamento, Oramento e Gesto; Ministrio da Cincia e Tecnologia; Casa Civil da Presidncia da Repblica e Gabinete de Segurana Institucional da Presidncia da Repblica. Sua principal competncia determinar as polticas a serem executadas pela Autoridade Certificadora-Raiz. A MP 2.200-2 assegura que as declaraes constantes dos documentos em forma eletrnica, produzidos com a utilizao de processo de certificao, presumem-se verdadeiras em relao aos signatrios, da mesma forma que o Cdigo Civil (art. 10 1 da MP 2.200-2 e art. 219 do CC). O documento eletrnico equiparado ao documento fsico, para todos os efeitos legais, desde que certificados por entidade credenciada ICP-Brasil, trazendo, desta forma, muito mais segurana ao mundo jurdico eletrnico. Conforme salienta Behrens:47
Observa-se que a MP no se refere apenas aos documentos da administrao federal, mas, sim, a todos os documentos emitidos sob a formao e formatao eletrnica, fato facilmente comprovado pela leitura do art. 12 que consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. O mesmo artigo 12 ainda revela grande importncia quando define que os documentos eletrnicos devero ser compatveis com a ICPBrasil, devendo, assim, terem sido assinados por chaves certificadas por agente certificador credenciado.

O Comit Gestor aprovou, em 18/04/2006, as Resolues de n 38 a 45. Essas Resolues conceberam um conjunto de 8 documentos, que, juntamente com aqueles aprovados pela Resoluo n 15 e pela Resoluo n 36, formaram o corpo bsico da Estrutura Normativa da ICP-Brasil. A Resoluo n 38 foi revogada pela Resoluo n 49; a Resoluo n 40 foi revogada pela Resoluo n 47; e a Resoluo n 43 foi revogada pela Resoluo n 55. 48

BEHRENS, Fabiele. Assinatura eletrnica & negcios jurdicos. Curitiba: Juru, 2007. Pag. 96. ITI. Resolues em vigor. Disponvel em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/Resolucoes>. Acesso em: 27 abr. 2010.
48

47

54

Fundamentalmente, a ICP-Brasil tem como componentes da sua estrutura: AUTORIDADE CERTIFICADORA RAIZ AC-RAIZ. Que o Instituto Nacional de Tecnologia da Informao ITI. Tem como funo bsica a execuo das polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor, atuando: na emisso, expedio, distribuio, revogao e gerenciamento de certificados de autoridades certificadoras de nvel imediatamente inferior ao seu, chamadas Autoridades Certificadoras Principais; no gerenciamento da lista de certificados revogados (LCR), emitidos e vencidos; e na execuo, fiscalizao e auditoria das autoridades certificadoras, de registro e prestadoras de servio de suporte habilitadas; AUTORIDADES CERTIFICADORAS AC. So entidades pblicas ou pessoas jurdicas de direito privado credenciadas AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular. Nos termos do art. 60 da MP 2.200-2, compete-lhes emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes; AUTORIDADES DE REGISTRO AR. Que tambm podem ser entidades pblicas ou pessoas jurdicas de direito privado credenciadas pela AC-Raiz e sempre sero vinculadas operacionalmente a determinada AC. So as responsveis pelo processo final na cadeia de certificao. Atendem os interessados em adquirir certificados e coletam os documentos para encaminh-los s ACs. Nos termos do art. 70 da MP 2.200-2, compete-lhes identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s ACs e manter registros de suas operaes. De acordo com as normas da ICP-Brasil, a Autoridade Certificadora Raiz e as Autoridades Certificadoras no tm acesso s chaves privadas dos titulares de certificados digitais. A MP 2.200-2 determina que o par de chaves criptogrficas seja gerado sempre pelo prprio titular e que a sua chave privada de assinatura seja de seu exclusivo controle, uso e conhecimento.

55

As Autoridades Certificadoras credenciadas so auditadas pela AC-Raiz antes de iniciarem seus servios. A auditoria verifica se as exigncias das normas da ICP-Brasil so integralmente cumpridas e s depois so credenciadas. Aps o credenciamento, persiste o dever de as AC cumprirem todas as obrigaes assumidas. H, tambm, auditoria anual, em que a equipe de auditoria do ITI verifica se todas as normas e exigncias impostas pela legislao da ICP-Brasil esto sendo cumpridas. O conjunto de normas que regem o funcionamento da ICP-Brasil composto de:49 a) Medida Provisria Medida Provisria n 2.200-2, de 24 de Agosto de 2001. Institui a Infraestrutura de Chaves Pblicas Brasileira - ICP-Brasil, e d outras providncias. b) Decretos Decreto n 3.505, de 13 de Junho de 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal; Decreto n 3.872, de 18 de Julho de 2001. Dispe sobre o Comit Gestor da Infraestrutura de Chaves Pblicas Brasileira CGICP-Brasil, sua SecretariaExecutiva, sua Comisso Tcnica Executiva e d outras providncias; Decreto n 3.996, de 31 de Outubro de 2001. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal; Decreto n 4.689, de 7 de Maio de 2003. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comisso do Instituto Nacional de Tecnologia da Informao - ITI e d outras providncias; Decreto n 6.605, de 14 de Outubro de 2008. Dispe sobre o Comit Gestor da Infraestrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua SecretariaExecutiva e sua Comisso Tcnica Executiva COTEC.

49

ITI. Legislao. Disponvel em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/Legislacao>. Acesso em: 27 abr. 2010.

56

c) Resolues So elaboradas pelo Comit Gestor. A relao extensa, com algumas j revogadas. A relao completa est disponibilizada no site do ITI. Dentre os assuntos regulados, esto: Designao de Comisso para auditar a Autoridade Certificadora Raiz; Delegar AC-Raiz atribuio para suplementar as normas do Comit Gestor; Homologao de Sistemas e Equipamentos de Certificao Digital; Polticas de Segurana; Requisitos para as Prticas de Certificao; Critrios e procedimentos para realizao de credenciamento, fiscalizao e auditorias etc.; d) Instrues Normativas So elaboradas pela AC-Raiz (ITI) e tm carter suplementar s normas estabelecidas pelo Comit Gestor. composta de diversos documentos que versam sobre: verificao de assinaturas digitais; polticas de assinatura digital; uso geral das assinaturas digitais; caractersticas mnimas de segurana para as AR; padres e algoritmos criptogrficos; procedimentos administrativos a serem observados nos processos de homologao de sistemas e equipamentos de certificao digital, tais como os mdulos de segurana, cartes inteligentes, leitoras de cartes inteligentes, tokens criptogrficos, softwares de assinatura digital, sigilo e autenticao etc.; e) Portaria Portaria n 7, de 16 de Fevereiro de 2009. Institui o Comit Estratgico de Tecnologia da Informao, no mbito do Instituto Nacional de Tecnologia da Informao. A Estrutura Normativa est descrita num documento que visa a oferecer uma explicao sobre como so organizados e criados os documentos legislativos da ICP-Brasil. Por meio dele, possvel compreender a organizao e a hierarquia dentro do sistema

57

normativo interno. Atualmente, o documento se encontra na verso 3.2, de 16 de junho de 2009.50 A Estrutura Normativa composta pelos seguintes documentos: DOC-ICP-nn So os documentos principais, que trazem as diretrizes gerais sobre os diversos assuntos normatizados. Sua criao e alterao dependem sempre de aprovao do Comit Gestor por meio de Resolues. Os documentos que descrevem as prticas e polticas de qualquer AC so: Declarao de Prticas de Certificao DOC-ICP-01 (V4.0, de 01/12/2008); Polticas de Certificado DOC-ICP-04 (V3.1, de 05/04/2010); Polticas de Segurana DOC-ICP-02 (V3.0, de 01/12/2008). DOC-ICP-nn.mm So os documentos acessrios, destinados a suplementar, quando necessrio, os DOC-ICP-nn. So aprovados por meio de Instrues Normativas do ITI, que recebeu essa competncia do Comit Gestor, conforme Resoluo n 33. ADE-ICP Adendos. So documentos vinculados a um determinado DOCICP que podem necessitar de alterao de contedo a qualquer momento, como formulrios, modelos e outros elementos. Geralmente as alteraes nos adendos no caracterizam uma mudana no contedo vital de seu DOC-ICP. Portanto, houve a necessidade de se criar uma categoria apenas para eles. MCT Manuais de Condutas Tcnicas. So documentos descrevendo quais so as especificaes tcnicas e exigncias para um determinado equipamento ou software ser adotado e operar em prol da certificao digital no mbito da ICP-Brasil. Os MCT baseiam-se em regras nacionais e internacionais de padronizao e de tecnologia da informao. Os DOC-ICP so uma verso das resolues da ICP-Brasil em vigor, organizadas de forma a facilitar a leitura e compreenso. Cada DOC-ICP corresponde a uma resoluo vigente. Apresenta apenas o contedo referente determinada regra imposta pela resoluo ao

50

ITI. Estrutura Normativa da ICP-Brasil. Disponvel em: <http://www.iti.gov.br/twiki/pub/Certificacao/ EstruturaNormativa/EstruturaNormativa.pdf>. Acesso em: 27 abr. 2010.

58

invs da verso completa. A relao completa dos documentos se encontra na rea de legislao, no site do ITI.51 Para a solicitao de credenciamento para o incio das atividades como entidade integrante da ICP-Brasil, o interessado dever postular o seu credenciamento de acordo com o DOC-ICP-03 (verso 4.3), aprovado pela Resoluo n 74, de 24/11/2009, e se submeter auditoria pr-operacional pelo ITI. Os candidatos ao credenciamento na ICP-Brasil devem atender alguns critrios, a saber: ser rgo ou entidade de direito pblico ou pessoa jurdica de direito privado; estar quite com todas as obrigaes tributrias e os encargos sociais institudos por lei; atender aos requisitos relativos qualificao econmico-financeira, conforme a atividade a ser desenvolvida; e atender s diretrizes e normas tcnicas da ICP-Brasil relativas qualificao tcnica aplicvel aos servios a serem prestados. Para ser uma Autoridade Certificadora, o candidato deve ainda apresentar, no mnimo, uma entidade operacionalmente vinculada, candidata ao credenciamento para desenvolver as atividades de Autoridade de Registro (AR), ou solicitar o seu prprio credenciamento como AR; apresentar a relao de eventuais candidatos ao credenciamento para desenvolver as atividades de Prestador de Servio de Suporte (PSS); ter sede administrativa localizada no territrio nacional e ter instalaes operacionais e recursos de segurana fsica e lgica, inclusive sala-cofre, compatveis com a atividade de certificao, localizadas no territrio nacional, ou contratar Prestador de Servio de Suporte que a possua. Para se tornar uma Autoridade de Registro, necessrio estar operacionalmente vinculado a uma AC ou candidato a AC, ter sede administrativa, instalaes operacionais e recursos de segurana fsica e lgica compatveis com a atividade de registro. Alm de apresentar a relao de eventuais candidatos a Prestador de Servio de Suporte. A Infraestrutura de Chaves Pblicas Brasileira hoje uma realidade consolidada. Devese asseverar que a MP 2.200-2, embora de capital importncia, consagrou texto normativo de escopo restrito. Limitou-se, em linhas gerais, a estabelecer uma estrutura administrativa adequada prestao satisfatria desses servios. Algumas questes ainda esto a reclamar

51

ITI. DOC-ICP. Disponvel em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/DocIcp>. Acesso em: 27 abr. 2010.

59

tratamento legislativo adequado, a exemplo do valor jurdico dos certificados emitidos no exterior. O Projeto de Lei 7.316, de outubro de 2002, encontra-se em tramitao no Congresso Nacional, na Comisso de Defesa do Consumidor (CDC) da Cmara dos Deputados. Trata-se da verso de fevereiro de 2008. To logo seja aprovado pelo Poder Legislativo este PL revogar a MP 2.200-2, convalidando seus atos e preservando o status quo tcnico e jurdico da ICP-Brasil. Tem por objetivo sanar as lacunas da MP 2.200-2, inserindo a legislao brasileira dentre as mais modernas do mundo. Sob esta perspectiva o projeto encontra inspirao nas principais leis sobre assinatura eletrnica do mundo. O Brasil, frequentemente, figura entre os pases lideres na utilizao de tecnologias da informao e tem se destacado tanto em inovao como em implementao dessas tecnologias. Aps o lanamento da MP 2.200-2, as iniciativas por parte de instituies governamentais, como a do Banco Central, que usou a certificao digital na implantao do Sistema de Pagamentos Brasileiro (SPB), estimularam o mercado a procurar novas situaes nas quais o uso de certificado digital poderia ser agregado e levaram o Brasil a um nvel de sofisticao singular no mercado mundial.

60

CONCLUSO

O Direito evolui de uma fase tradicional para uma em que a tecnologia permite uma prestao jurisdicional mais eficaz e clere. A tecnologia da informao vem modificando as relaes jurdicas, pressionando os profissionais da rea do Direito a um imediato conhecimento dos procedimentos realizados nas transaes digitais. Num futuro prximo, o cidado no mais ir se deparar com processos empilhados nos diversos rgos do Judicirio, mas somente com arquivos armazenados em sistemas informticos. No necessrio ressaltar a importncia da tecnologia no mbito social. Vrias so as relaes jurdicas nascidas das relaes humanas que tm como suporte a tecnologia. Constata-se, contudo, que o Direito no acompanha na mesma velocidade o movimento gerado por tais relaes. um grande desafio o regramento das relaes sociais oriundas das atividades humanas que possuem como suporte a tecnologia. Com o processo de informatizao do Judicirio, tem-se como perspectiva o ajuizamento de ao por meio eletrnico, a qual ser assinada eletronicamente por meio da assinatura digital do advogado. A consulta tramitao por meio da Internet, a comunicao com seu cliente e a intimao do mesmo, bem como a sentena final e os prazos para recorrer, tudo isto ser feito por meio dos recursos informticos. Com o crescimento da utilizao de transaes por meios eletrnicos, tornou-se necessria uma identificao eletrnica das partes envolvidas, bem como uma forma de se garantir a integridade, autenticidade e confidencialidade dos documentos eletrnicos. A certificao digital veio dotar o Judicirio de uma ferramenta tecnolgica que permite uma maior agilidade no andamento processual, auxiliando-o face grande quantidade de processos nos diversos tribunais brasileiros. Alm do desafogamento do Judicirio, vem tambm a certificao digital inaugurar uma nova fase para os profissionais do Direito, que tero de se adequarem aos novos procedimentos, e exigir que estejam a par dos temas referentes certificao digital, sob o risco de se manterem alijados da evoluo da prpria sociedade jurdica brasileira.

61

Diversos pases j adotaram leis especiais tratando das transaes eletrnicas, especialmente no que se refere aos documentos eletrnicos assinados digitalmente. O objetivo maior de se ter uma legislao versando sobre assinatura eletrnica a promoo da confiana e integridade requerida pelas partes. No Brasil, a legislao permanecia atrasada em relao realidade, que cobrava uma soluo para a legalizao dos procedimentos que estavam amplamente sendo concretizados, utilizando-se dos meios eletrnicos. A Medida Provisria n 2.200-2/2001, embora apresente problemas, veio suprir o vcuo existente. As relaes se baseavam na confiana mtua, porque o documento eletrnico tinha valor legal limitado, e eram realizadas por convenincia e em bases de confiana recproca. Hoje a MP representa o texto vigente sobre a matria. A sua situao estvel e a configurao institucional alcanada tornaram quase que definitiva a sua vigncia, garantindo a qualidade e transparncia dos procedimentos postos em prtica O surgimento de uma infraestrutura de chaves pblica nacional fez que os processos eletrnicos alcanassem um nvel de confiana e garantia para as partes envolvidas.

62

REFERNCIAS
BASTOS, Nbia Maria Garcia. Introduo Metodologia do Trabalho Cientfico. 5. ed. Fortaleza: Nacional, 2008. 104p. BEHRENS, Fabiele. Assinatura eletrnica & negcios jurdicos. Curitiba: Juru, 2007. 166p. BRASIL. Lei n 10.406, de 10/01/2002. Institui o Cdigo Civil. Disponvel em <http://www.planalto.gov.br>. Acesso em: 2 fev. 2010. ____________. Medida Provisria N 2.200-2, de 24/08/2001. Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. Disponvel em <http://www.planalto.gov.br>. Acesso em: 27 set. 2009. ____________. Projeto de Lei do Senado n 672, de 13/12/1999. Dispe sobre o comrcio eletrnico. Disponvel em <http://www.senado.gov.br>. Acesso em: 2 fev. 2010. ____________. Projeto de Lei n 1.483, de 12/08/1999. Institui a fatura eletrnica e a assinatura digital nas transaes de "comrcio" eletrnico. Disponvel em <http://www.camara.gov.br>. Acesso em: 2 fev. 2010. ____________. Projeto de Lei n 1.589, de 12/08/1999. Dispe sobre o comrcio eletrnico, a validade jurdica do documento eletrnico e a assinatura digital, e d outras providncias. Disponvel em <http://www.camara.gov.br>. Acesso em: 2 fev. 2010. ____________. Projeto de Lei n 4.906, de 21/06/2001. Dispe sobre o comrcio eletrnico. Disponvel em <http://www.camara.gov.br>. Acesso em: 2 fev. 2010. ____________. Projeto de Lei n 7.316, de 07/11/2002. Disciplina o uso de assinaturas eletrnicas e a prestao de servios de certificao. Disponvel em <http://www.camara.gov.br>. Acesso em: 2 abr. 2010. ____________. Decreto 3.587/2000, de 05/09/2000. Estabelece normas para a Infra-Estrutura de Chaves Pblicas do Poder Executivo Federal - ICP-Gov, e d outras providncias. Disponvel em <http://www.planalto.gov.br>. Acesso em: 2 fev. 2010. ____________. Decreto 3.996/2001, de 31/10/2001. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal. Disponvel em <http://www.planalto.gov.br>. Acesso em: 2 fev. 2010.

63

____________. Conselho da Justia Federal. Diagnstico da Estrutura e Funcionamento dos Juizados Especiais Federais. Braslia, 2004. Disponvel em: <http://www.cjf.jus.br/ revista/pesquisa12.pdf. Acesso em: 27 set. 2009>. CARTILHA O que Certificao Digital?. Disponvel em: <http://www.iti.gov.br/twiki/ pub/Certificacao/CartilhasCd/brochura01.pdf>. Acesso em: 29 mar. 2010. CERTSIGN Certificadora Digital S.A. O que Certificao Digital. Disponvel em: <http://www.certisign.com.br/certificacao-digital/por-dentro-da-certificacao-digital>. Acesso em: 8 abr. 2010. COMIT GESTOR DA INTERNET NO BRASIL. TIC Empresas. Disponvel em: <http://www.cetic.br/empresas/2007/>. Acesso em: 7 jan. 2009. COSTA, Celso Jos da; FIGUEIREDO, Luiz Manoel Silva de. Introduo Criptografia. Rio de Janeiro: UFF/CEP, 2005. ESTATSTICAS dos Incidentes Reportados ao CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Disponvel em: <http://www.cert.br/stats/ incidentes/>. Acesso em: 5 ago. 2010. GATES, Bill. A estrada do futuro. So Paulo: Companhia das Letras, 1995. ITI. Resoluo n 47, de 03/12/2007. Aprova a verso 3.0 dos Critrios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil. Disponvel em: <http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/Resolucao_47.pdf>. Acesso em: 27 abr. 2010. KAZIENKO, Juliano Fontoura. Assinatura Digital de Documentos Eletrnicos Atravs da Impresso Digital. Dissertao de Mestrado apresentada Universidade Federal de Santa Catarina. Florianpolis, fevereiro de 2003. Disponvel em: <http://www.ic.uff.br/~kazienko/ dissert_kazienko.pdf>. Acesso em: 3 out. 2009. MARCACINI, Augusto Tavares Rosa. Direito e informtica: uma abordagem jurdica sobre criptografia. Rio de Janeiro: Forense, 2002. MARTINI, Renato da Silveira. Tecnologia e cidadania digital: ensaios sobre tecnologia, sociedade e segurana. Rio de Janeiro: Brasport, 2008. NORES, Izequiel Pereira de. Segurana na Internet. 24 slides. Disponvel em: <http://www.ipn.eti.br/Prof/izequiel/arq/Disciplinas/Seguranca/arquivos/Segurancaaula7.pdf>. Acesso em: 8 mar. 2010. PETRI, M. Esteganografia. Monografia apresentada ao Instituto Superior Tupy. Joinville, 2004. Disponvel em: <http://www.mlaureano.org/aulas_material/orientacoes2/ist_2004_petri _esteganografia.pdf>. Acesso em: 23 mar. 2010. PORTAL GLOBO.COM. Cresce ndice de brasileiros com acesso ao computador. Disponvel em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL147588-6174,00.html>. Acesso em: 7 jan. 2009.

64

PROCON-SP. Equipe de Pesquisas. Comrcio Eletrnico. Disponvel em: <http://www.procon.sp.gov.br/pdf/comercio_eletronico.pdf>. Acesso em: 7 jan. 2009. REZENDE, Pedro Antnio Dourado de. Privacidade e Riscos num mundo de chaves pblicas. Disponvel em: <http://www.cic.unb.br/~pedro/trabs/forumiti.htm>. Acesso em: 27 abr. 2010. SCUDERE, Leonardo. Risco Digital. Rio de Janeiro: Elsevier, 2007. SILVA, Luiz Gustavo Cordeiro da et al; Certificao Digital: Conceitos e Aplicaes. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008. TADANO, Katiucia Yumi. GED: Assinatura Digital e Validade Jurdica de Documentos Eletrnicos. Monografia apresentada Universidade Federal de Mato Grosso. Cuiab, junho de 2002. Disponvel em: <http://www.arquivar.com.br/espaco_profissional/sala_leitura/tesesdissertacoes-e-monografias/GED_Assinatura_Digital.pdf>. Acesso em: 3 out. 2009. THE ISC Domain Survey. Internet Systems Consortium. Disponvel em: <https://www.isc.org/solutions/survey>. Acesso em: 25 fev. 2010. WEGENER, Christoph; SPENNEBERG, Ralf. Linux Magazine. Proteja a integridade de seus dados pessoais, So Paulo, n.17, p.38, fev. 2006.

65

ANEXO

66

ANEXO A
MEDIDA PROVISRIA No 2.200-2, DE 24 DE AGOSTO DE 2001.
Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias.

O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 62 da Constituio, adota a seguinte Medida Provisria, com fora de lei: Art. 1o Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Art. 2o A ICP-Brasil, cuja organizao ser definida em regulamento, ser composta por uma autoridade gestora de polticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. Art. 3o A funo de autoridade gestora de polticas ser exercida pelo Comit Gestor da ICP-Brasil, vinculado Casa Civil da Presidncia da Repblica e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da Repblica, e um representante de cada um dos seguintes rgos, indicados por seus titulares: I - Ministrio da Justia; II - Ministrio da Fazenda; III - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; IV - Ministrio do Planejamento, Oramento e Gesto; V - Ministrio da Cincia e Tecnologia; VI - Casa Civil da Presidncia da Repblica; e VII - Gabinete de Segurana Institucional da Presidncia da Repblica.

67

1o A coordenao do Comit Gestor da ICP-Brasil ser exercida pelo representante da Casa Civil da Presidncia da Repblica. 2o Os representantes da sociedade civil sero designados para perodos de dois anos, permitida a reconduo. 3o A participao no Comit Gestor da ICP-Brasil de relevante interesse pblico e no ser remunerada. 4o O Comit Gestor da ICP-Brasil ter uma Secretaria-Executiva, na forma do regulamento. Art. 4o Compete ao Comit Gestor da ICP-Brasil: I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICPBrasil; II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC, das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao; III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio; V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e definir nveis da cadeia de certificao; VI - aprovar polticas de certificados, prticas de certificao e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz. Art. 5o AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas

68

tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final. Art. 6o s AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. Art. 7o s AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes. Art. 8o Observados os critrios a serem estabelecidos pelo Comit Gestor da ICPBrasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. Art. 9o vedado a qualquer AC certificar nvel diverso do imediatamente subseqente ao seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados pelo Comit Gestor da ICP-Brasil. Art. 10. Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. 1o As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Cdigo Civil. 2o O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Art. 11. A utilizao de documento eletrnico para fins tributrios atender, ainda, ao disposto no art. 100 da Lei no 5.172, de 25 de outubro de 1966 - Cdigo Tributrio Nacional. Art. 12. Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no Distrito Federal. Art. 13. O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. Art. 14. No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao, podendo ainda aplicar sanes e penalidades, na forma da lei.

69

Art. 15. Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma Procuradoria-Geral. Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na cidade de Campinas, no Estado de So Paulo. Art. 16. Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar servios de terceiros. 1o O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na Diretoria de Infra-Estrutura de Chaves Pblicas, por perodo no superior a um ano, servidores, civis ou militares, e empregados de rgos e entidades integrantes da Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem exercidas. 2o Aos requisitados nos termos deste artigo sero assegurados todos os direitos e vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto, graduao ou emprego que ocupe no rgo ou na entidade de origem. Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI: I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de Tecnologia da Informao do Ministrio da Cincia e Tecnologia; II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa por categoria de programao em seu menor nvel, observado o disposto no 2o do art. 3o da Lei no 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e identificadores de uso. Art. 18. Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado em juzo pela Advocacia Geral da Unio. Art. 19. Ficam convalidados os atos praticados com base na Medida Provisria no 2.200-1, de 27 de julho de 2001. Art. 20. Esta Medida Provisria entra em vigor na data de sua publicao. Braslia, 24 de agosto de 2001; 180o da Independncia e 113o da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente