A Criptografia no Direito Brasileiro - Ed. 2020

A Criptografia Entre Flexibilização e Bloqueio de Aplicações: Lições Internacionais e a Experiência Brasileira - Parte I - A Criptografia e os Direitos e Garantias Fundamentais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

CARLOS AFFONSO SOUZA

Professor da UERJ e da Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio). Doutor e Mestre em Direito Civil pela Universidade do Estado do Rio de Janeiro (UERJ). Diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS). Professor Visitante da Faculdade de Direito da Universidade de Ottawa. Pesquisador Afiliado ao Information Society Project da Faculdade de Direito da Universidade de Yale. Membro da Comissão de Direito Autoral da OAB/RJ.

ANA LARA MANGETH

Pesquisadora do DROIT e Pesquisadora júnior em Direito e Tecnologia no Instituto de Tecnologia e Sociedade (ITS). Graduanda em Direito pela Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio).

Introdução

A criptografia, enquanto mecanismo capaz de garantir a segurança de dados e comunicações, é amplamente utilizada tanto por empresas e governos, quanto por usuários da rede. Com as discussões atuais em torno da privacidade e da proteção de dados, especialmente diante do cenário de hiperconectividade, a criptografia assume papel fundamental na preservação da segurança das informações. Entretanto, existem visões divergentes sobre como estabelecer o equilíbrio devido entre o papel da criptografia para a concretização de direitos dos cidadãos, como liberdade de expressão, privacidade e segurança, e as demandas de autoridades investigativas por acesso às comunicações que ocorrem na rede mundial de dispositivos conectados.

Os estudos jurídicos sobre as implicações sociais trazidas por novas tecnologias da informação são constantemente dados ao exercício da futorologia. Nada mais natural quando a forma de utilização de uma tecnologia parece transformar condutas de forma radical, impulsionando a necessária reflexão jurídica. 1 Sendo assim, vale se perguntar sobre como as decisões que serão tomadas sobre o futuro da criptografia (e muitas delas são decisões de natureza jurídica) podem propiciar uma sociedade com mais ou menos privacidade e segurança nas comunicações.

Um argumento comumente utilizado a favor de uma certa flexibilização da criptografia reside nas restrições que ela imporia às autoridades de terem acesso a conteúdos potencialmente danosos, especialmente em sede de investigações criminais. Defende-se, assim, a criação de chaves-mestras, capazes de acessar o conteúdo criptografado, ou a criação de backdoors – espécies de “porta dos fundos” – disponíveis para acessar a informação quando necessário fosse. Esse posicionamento está longe de ser um consenso entre as autoridades, tendo em vista as vulnerabilidades artificialmente geradas e suas consequências para o futuro das comunicações seguras.

Nos Estados Unidos, a MIT Press publicou, em 2015, o relatório Keys Under Doormats 2 , pelo qual um grupo de cientistas da computação, com experiência em segurança e sistemas, explica como as exigências de acesso excepcional pelo governo geram insegurança do ponto de vista técnico e social. Já na Europa, o Grupo de Trabalho do Artigo 29, que reunia as autoridades de proteção de dados da região, editou uma Declaração no sentido de considerar indispensável a criptografia para a confidencialidade e integridade de seus dados, entendendo como prejudicial qualquer obrigação que vise reduzir a sua efetividade.

Já no Brasil, o debate se encaminhou para Supremo Tribunal Federal, por meio da Ação de Descumprimento de Preceito Fundamental n. 403 e da Ação Direta de Inconstitucionalidade n. 5.527 que discutem, respectivamente, a liberdade de expressão e comunicação e a constitucionalidade dos artigos 11 e 12 do Marco Civil na Internet. Assim, este artigo pretende apresentar de forma breve as discussões levadas a cabo em diferentes países, ajudando no mapeamento dos diferentes discursos sobre o porquê e como a defesa da criptografia pode ser realizada em tempos em que demandas por mais acesso a dados e o combate a ilícitos na rede parecem ameaçar a sua própria existência como forma de proteção das comunicações.

1. Contextualizando o debate sobre criptografia

A criptografia pode ser conceituada como a técnica de criação códigos secretos que permitem enviar e receber mensagens para um destinatário, sem que terceiros possam acessar e compreender o seu conteúdo. De forma semelhante, o processo de encriptação é aquele pelo qual se recebe uma mensagem e a torna ilegível, exceto para quem sabe como revertê-la para um formato legível. Tais processos são usados para diferentes finalidades, como resguardar informações de Estado, garantir o sigilo das comunicações privadas e promover a segurança dos indivíduos, elevando a confidencialidade e a segurança dos dados contra terceiros.

O uso da criptografia tornou-se popularmente conhecido nos últimos anos pela utilização em aplicativos de comunicação, como o WhatsApp. Nesses casos, emprega-se a chamada criptografia ponta a ponta, na qual os dados são criptografados no próprio dispositivo e somente o detentor do dispositivo possui as chaves criptográficas, sem as quais um terceiro não consegue ter acesso ou descriptografar seus dados. Entretanto, muitos produtos e serviços não utilizam a criptografia ponta a ponta, ficando esses fornecedores responsáveis por criptografar os dados e guardar as chaves para o usuário. Nessa situação, é possível que os fornecedores sejam obrigados a entregar suas chaves de criptografia para as autoridades, por exemplo, quando demandados em investigações.

Entre os principais motivos para criptografar comunicações e dispositivos é possível elencar três: informação, comunicação e identidade. Com a criptografia é possível proteger os dados e informações pessoais e mantê-las em posse unicamente de seu legítimo detentor 3 . A comunicação com terceiros também fica protegida da incursão de terceiros, corroborando para manter a privacidade do usuário. E, por fim, a identidade é preservada, seja por meio do anonimato ou da própria proteção ao meio de comunicação/navegação utilizado.

Com o avanço das tecnologias da informação e das comunicações, o acesso às ferramentas de criptografia também aumentou, mesmo para os usuários da rede sem qualquer formação técnica, de modo que já se acredita que a maior parte do que se faz na Internet seja criptografado – computadores, locais de armazenamento de arquivos e informações, comunicações, entre outros, da mesma forma como se faz com a fechadura da porta de casa.

Os debates sobre a necessidade e, simultaneamente, desafios trazidos pela adoção da criptografia chegaram com impacto na Europa e nos Estados Unidos ainda na década de 1990 e, mais recentemente, também ao Brasil. Por isso, faz-se importante uma pequena revisão sobre como o tema vem sendo explorado.

2. Os riscos da flexibilização da criptografia

Apesar de, em um primeiro momento, a criptografia apresentar diversos aspectos positivos para a sociedade, como visto, existe uma verdadeira tensão entre os aspectos de proteção de direitos e as demandas de autoridades investigativas e governos de modo geral, receosos da existência de um meio de comunicação que virtualmente impossibilita o acesso ao conteúdo de comunicações. Dessa forma, em especial a partir dos anos 90 do século XX, governos questionaram a licitude da criptografia. Esse movimento pôde ser percebido nos Estados Unidos e foi explorado no relatório Keys Under Doormats, de autoria de diversos especialistas. O relatório assim descreve esse cenário 4 :

Os líderes ligados à política e à execução e cumprimento da lei nos Estados Unidos e no Reino Unido fizeram um apelo para que os sistemas de Internet fossem reprojetados a fim de garantir o acesso do governo às informações – inclusive àquelas encriptadas. Eles argumentam que o crescente uso de encriptação irá neutralizar sua capacidade investigativa, propondo, assim, que os sistemas de comunicação e de armazenamento de dados sejam projetados para permitir o acesso excepcional por órgãos de aplicação da lei. Essas propostas são inviáveis na prática e suscitam sérias questões legais e éticas, bem como provocariam um retrocesso na segurança, em uma época na qual as vulnerabilidades da Internet causam gravíssimos danos econômicos. (...) Com base em nossa considerável experiência em aplicações do mundo real, sabemos que tais riscos se escondem nos detalhes técnicos. No presente relatório, examinamos se é viável, do ponto de vista técnico e operacional, atender aos apelos dos órgãos de aplicação da lei por acesso excepcional, sem causar vulnerabilidades de segurança em larga escala. Não contestamos as pretensões desses órgãos no sentido de executar ordens legais de vigilância desde que cumpram os requisitos de direitos humanos e do Estado de direito 5 .

O relatório aponta três problemas gerais existentes na demanda pela flexibilização da criptografia. O primeiro é que fornecer acesso excepcional às comunicações acarretaria em um movimento de transformação diametral nas chamadas best practices (“melhores práticas”) que visam tornar a Internet um ambiente seguro. Segundo, incorporar um acesso excepcional requer a implantação de novos recursos e testes com desenvolvedores do mundo todo, algo que aumentaria sobremaneira a complexidade do sistema. Em terceiro lugar – e talvez mais relevante –, o acesso excepcional cria vulnerabilidades que podem atrair atores mal-intencionados, ou seja, a existência por si só de chaves com acesso total, a serem usadas pelas autoridades, inaugura a possibilidade de invasores terem acesso às chaves para obterem as mesmas informações. Dessa forma, não há como garantir que apenas agentes autorizados e bem intencionados vão utilizar o acesso excepcional, muito menos para fins legítimos.

O estudo indica, ainda, outro problema relacionado à projeção e certificação de acesso excepcional em sistemas que fornecem acesso direto à plaintext 6 (“texto simples”). A exigência desse acesso pelas autoridades impactaria diretamente as redes sociais na medida em que se exigiria acesso rápido e automatizado aos dados das plataformas. Dessa forma, um backdoor – métodos integrados de contornar a segurança de um sistema – usado para aplicação da lei também constituirá uma vulnerabilidade, expondo a ataques os bancos de dados de plataformas e redes sociais. Os autores afirmam que “se todas as aplicações de informação tivessem que ser projetadas e certificadas para acesso excepcional, é improvável que empresas como Facebook e Twitter existissem” 7 . Assim, é necessário pensar como a quebra da criptografia impactaria em diferentes modelos de negócio tão relevantes na atualidade.

Nesse sentido, um exemplo de vulnerabilidade que causou importantes impactos negativos para a sociedade foi o ransomware Wannacry 8 , vírus que se espalhou graças a uma falha de segurança no sistema...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
29 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198086204/a-criptografia-entre-flexibilizacao-e-bloqueio-de-aplicacoes-licoes-internacionais-e-a-experiencia-brasileira-parte-i-a-criptografia-e-os-direitos-e-garantias-fundamentais