A Criptografia no Direito Brasileiro - Ed. 2020

A Criptografia e a Infraestrutura de Chaves Públicas Brasileira (Icp-Brasil) - Parte III - Criptografia, Cibersegurança e Direitos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

PARTE III - CRIPTOGRAFIA, CIBERSEGURANÇA E DIREITOS

FABIANO MENKE

Professor da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul. Advogado em Porto Alegre. fabiano.menke@ufrgs.br

1.Introdução

Entre as diversas utilizações possíveis para a criptografia, encontra-se aquela atinente à Infraestrutura de Chaves Públicas, aos certificados digitais e às denominadas assinaturas digitais. Uma breve conceituação desses três elementos é o objeto do presente trabalho, com o escopo de preparar o caminho para a abordagem de como é utilizada a criptografia no contexto específico da ICP-Brasil.

2.A Infraestrutura de Chaves Públicas Brasileira e os certificados digitais

A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), regida pela Medida Provisória 2.200-2, de 24 de agosto de 2001 1 ,é formada por um conjunto de pessoas jurídicas de direito público e de direito privado 2 que, no âmbito de suas atribuições, tem por escopo comum permitir que pessoas jurídicas e pessoas físicas se identifiquem virtualmente e assinem digitalmente documentos eletrônicos, tudo isso, com um incremento de segurança em comparação com uma comunicação sem maiores cuidados do usuário e com a agregação de um status jurídico-probatório diferenciado 3 .

Uma Infraestrutura de Chaves Públicas, como a ICP-Brasil, tem o mesmo princípio de qualquer outra instalação estrutural posta à disposição da sociedade, qual seja o de prover um serviço que pode ser obtido por qualquer interessado. 4 O termo Infraestrutura de Chaves Públicas é tradução da expressão do inglês, public-key infrastructure (PKI). Os norte-americanos bem souberam conceituar a expressão, partindo, primeiramente, da própria definição da palavra infraestrutura. Carlisle Adams e Steve Lloyd, na obra Understanding Public-Key Infrastructure 5 , enfatizaram que uma infraestrutura se caracteriza por ser uma pervasive substrate, ou seja, uma fundação que dissemine algo para um amplo ambiente ou para um grande universo de interessados. Salientam que duas infraestruturas comuns são a de comunicações eletrônicas (uma rede) e a de energia elétrica. Asseveram que o princípio de ambas é idêntico: a infraestrutura existe para que qualquer usuário possa simplesmente acoplar-se a ela e dela fazer uso quando necessário.

As razões para que haja uma infraestrutura que congregue número maior possível de pessoas e entidades são simples e facilmente perceptíveis. É justamente para que haja possibilidade de comunicação entre os envolvidos, ou, meramente, a possibilidade de pronto acoplamento. A infraestrutura uniforme evita que sejam aplicadas soluções díspares por cada indivíduo 6 .

Atente-se bem a esse ponto: uma infraestrutura de segurança disseminada, uniforme, evita soluções díspares, isoladas, não interoperáveis. Pode-se tomar o exemplo fornecido por Adams e Lloyd acerca do caos que resultaria do fato de cada indivíduo operar as suas próprias linhas de comunicação ou de geração de energia é emblemático.

Uma Infraestrutura de Chaves Públicas pode ser configurada basicamente em dois modelos: o hierárquico e o de confiança distribuída. 7 O primeiro é configurado numa hierarquia, na forma de uma árvore invertida, situando-se no topo uma entidade na qual todos os que vêm abaixo, inclusive os usuários, devem confiar. 8 A confiança se dissemina de cima para baixo: a entidade localizada no ápice da hierarquia, a denominada Autoridade Certificadora Raiz, emite um certificado para uma autoridade certificadora de segundo nível, e esta emite um certificado para o usuário final. 9

As pessoas jurídicas que integram a ICP-Brasil são, basicamente, a Autoridade Certificadora Raiz 10 , as Autoridades Certificadoras 11 , e as Autoridades de Registro 12 . Sua atuação tem por finalidade, de maneira sucintamente explicada, a identificação presencial dos usuários e a posterior emissão do certificado digital, que é um elemento fundamental para que se possa utilizar uma assinatura digital.

O certificado digital é uma estrutura de dados sob a forma eletrônica, em que constam dados relacionados ao seu titular, como nome, endereço de e-mail, número de CPF, e a denominada chave pública, que, como se verá adiante, é a informação mais importante para que se utilize a assinatura digital, que, por sua vez, é baseada na criptografia assimétrica.

O titular do certificado digital poderá ser, de acordo com a legislação brasileira, uma pessoa física ou uma pessoa jurídica 13 . Adquire um certificado digital aquele que tem a intenção ou a necessidade de se identificar (função de autenticação 14 ) ou assinar documentos (função de comprovação de autoria) no meio eletrônico de uma forma que agregue mais segurança técnica e jurídica. Exemplo de utilização do certificado digital na função de autenticação, entre outros tantos, é o da identificação perante as aplicações de homebanking de instituições financeiras, em que a pessoa comprova que é a titular da conta bancária que pretende acessar. Exemplo de utilização do certificado digital na função de assinatura é o das partes que se valem dessa ferramenta para assinar contratos eletrônicos.

A necessidade de incrementar a segurança técnica e jurídica advém da realidade de que existem vulnerabilidades 15 que são intensificadas no meio eletrônico, especialmente no que diz respeito: à identificação 16 , em sentido amplo; à autoria de declarações de vontade, bem como à integridade dos documentos eletrônicos, ou seja, quanto ao fato de que não foram alterados em seu percurso virtual.

Veja-se que o Guia para a incorporação ao direito interno da lei modelo de assinaturas eletrônicas da Uncitral alerta que no ambiente eletrônico o original de uma mensagem é indistinguível da cópia, não comporta uma assinatura manuscrita e não é veiculado em papel. Além disso, o potencial para a ocorrência de fraudes é considerável, devido às facilidades de interceptação e de alteração, sem detecção, da informação sob a forma eletrônica e à velocidade de processamento de múltiplas transações. 17

Para que se compreenda de onde vem o incremento da segurança, é preciso abordar, primeiramente, o conceito de assinatura eletrônica, e, posteriormente, o conceito de assinatura digital.

3.O conceito de assinatura eletrônica

Um dos conceitos técnicos para resolver o problema das vulnerabilidades no meio virtual é a denominada assinatura eletrônica. Tendo em vista a precisão da definição apresentada no Guia para a incorporação ao direito interno da Lei Modelo da Uncitral, calha a sua citação:

o escopo de várias técnicas atualmente disponíveis no mercado, ou ainda em desenvolvimento, é o de oferecer os meios técnicos pelos quais algumas ou todas as funções identificadas como características das assinaturas manuscritas podem ser desempenhadas em um ambiente eletrônico. Tais técnicas podem ser, em sentido largo, denominadas de ’assinaturas eletrônicas’ [...] por exemplo, certas técnicas seriam respaldadas na autenticação por meio de dispositivos biométricos baseados em assinaturas manuscritas. Em tais dispositivos, o signatário assinaria manualmente, utilizando uma caneta especial, ou em uma tela de computador ou em uma planilha digital. A assinatura manuscrita seria então analisada pelo computador e armazenada como um conjunto de valores numéricos, que poderia ser anexado a uma mensagem de dados e recuperada pelo relying party 18 para fins de conferência da autoria. Um tal sistema de comprovação de autoria seria baseado no pressuposto de que amostras da assinatura manuscrita tenham sido previamente analisadas e armazenadas utilizando o dispositivo biométrico. Outras técnicas compreenderiam a utilização de números de identificação pessoal (os PINs), versões digitalizadas de assinaturas manuscritas, e outros métodos, como o clicar numa opção de uma janela de diálogo. 19

Portanto, sob a denominação de assinatura eletrônica inclui-se uma gama de métodos de comprovação de autoria empregados no meio virtual. Exemplo de consagração legal desse conceito de assinatura eletrônica como gênero de mecanismos de comprovar a autoria se encontra na Lei 11.419/2006 (Lei do Processo Eletrônico), que assim dispôs sobre a questão:

Art. 1º O uso de meio eletrônico na tramitação de processos judiciais, comunicação de atos e transmissão de peças processuais será admitido nos termos desta Lei.

[...]

§ 2º Para o disposto nesta Lei, considera-se:

[...]

III – assinatura eletrônica as seguintes formas de identificação inequívoca do signatário:

a) assinatura digital baseada em certificado digital emitido por Autoridade Certificadora credenciada, na forma de lei específica;

b) mediante cadastro de usuário no Poder Judiciário, conforme...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
3 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198086207/a-criptografia-e-a-infraestrutura-de-chaves-publicas-brasileira-icp-brasil-parte-iii-criptografia-ciberseguranca-e-direitos-a-criptografia-no-direito-brasileiro-ed-2020