Boa leitura!
IRPF 2006 impulsiona certificação digital
Terça-feira, 14 fevereiro de 2006 - 08:23
Daniela Braun - IDG Now!
A certificação digital no Brasil deve ganhar impulso, após o anúncio de
que as declarações do Imposto de Renda da Pessoa Física 2006 (IRPF 06)
entregues com a assinatura eletrônica terão prioridade na base da dados da
Receita Federal.
"Já houve, no ano passado, o recebimento de
declarações com certificado digital, mas a divulgação foi pequena",
observa o supervisor nacional do Imposto de Renda, Joaquim Adir.
Segundo ele, o objetivo da ação é eliminar
fraudes na entrega das declarações, diminuindo o risco de uma pessoa
enviar declaração em nome de outra.
Desde 1999, quando a Caixa Econômica Federal
começou a oferecer certificados de "Conectividade Social" para transações
financeiras, 3,2 milhões de pessoas portam certificados digitais no
Brasil, informa a Câmara Brasileira de Comércio Eletrônico (Camara-e.net).
Dos certificados atuais, apenas 500 mil
estão adequados à Infra-estrutura de Chaves Públicas - ICP-Brasil,
instituída em 2001 e que confere validade jurídica ao certificado.
Para adiquirir um certificado digital, o
cidadão deve acessar o site de uma das Autoridades Certificadoras e fazer
a compra do certificado online.
Com a comprovação de compra e os documentos
necessários - foto 3 x 4, CPF, documento de identidade, título de eleitor
e comprovante de residência - a pessoa se dirige pessoalmente a uma
Autoridade de Registro (AR) para retirar seu certificado e sua senha.
Pela Serasa, que é uma das ACs, o e-CPF
custa de 100 reais (certificado armazenado no desktop com backup em mídia
móvel) a 350 reais (certificado armazenado em smart card incluindo leitora
digital, que é acoplada ao desktop) por dois anos.
Com o impulso da Receita Federal, as
declarações com e-CPF ou e-CNPJ devem apresentar a mesma curva de
crescimento do IRPF enviado pela internet, prevê Manoel Mattos, presidente
da Camara-e.net.
No primeiro ano em que a internet tornou-se
uma opção para entrega das declarações, há sete anos, apenas 5% dos
contribuintes optaram pelo envio eletrônico. No ano passado, de 20,5
milhões de declarações recebidas no prazo, 20 milhões foram feitas pela
internet (98%).
Corretoras de seguros, bancos, agências dos
Correios e cartórios são as quatro principais ARs no Brasil. Embora tenham
uma capilaridade para oferecer 100 mil pontos de registro, hoje somam
cerca de 400 ARs em todo o País.
"Hoje há um grande gargalo na quantidade de
Autoridades de Registro, no Brasil", afirma Manoel Mattos, presidente da
Camara-e.net, uma das defensoras da adoção dos certificados digitais para
o comércio eletrônico.
"A idéia é aumentar as ARs para 1.200 até o
final do próximo ano, chegando a 10 mil em 2011", prevê Mattos. Com a
ajuda de órgãos como a Receita Federal, o executivo acredita que 2007
será "o ano da identidade digital."
O que é um certificado digital?
Terça-feira, 14 fevereiro de 2006 - 10:42
Camila Fusco, para o IDG Now!
Quando um cidadão tenta realizar algum tipo de transação ou serviço -
financeiro ou comercial - nada mais comum do que o estabelecimento em
questão pedir algum documento de identificação, para garantir a
legitimidade do processo.
Tal sistema de reconhecimento entre
indivíduos, porém, ao contrário do que se possa imaginar, não precisa
necessariamente ser realizado no mundo físico. Isso porque um mecanismo
chamado certificação digital, que começa a se popularizar no País, tem
exatamente essa missão: reconhecer o internauta que está por trás da tela.
Na prática, a certificação digital nada mais
é do que uma carteira de identidade para o mundo virtual. Um documento
concebido eletronicamente que tem a missão de assegurar a identidade e as
informações transmitidas por determinado usuário.
Entre seus principais benefícios está, por
exemplo, o acesso a serviços que anteriormente não eram possíveis via
internet justamente pelo fato de a rede não proporcionar a segurança
desejada, como a consulta à base de dados da Receita Federal sobre
informações de Imposto de Renda.
Os certificados digitais já são aceitos por
várias instituições brasileiras e podem facilitar - e muito - a vida dos
usuários, sejam pessoas físicas ou jurídicas.
Autoridade certificadora
Para que um certificado digital seja válido do ponto de vista jurídico,
duas entidades precisam estar envolvidas, uma Autoridade Certificadora e
uma Autoridade de Registro.
As Autoridades Certificadoras têm a função
de emitir os certificados digitais, vinculando pares de chaves
criptográficas ao titular.
As chaves - públicas e privadas - constituem
um conjunto de arquivos que podem ficar armazenados nos computadores a fim
de reconhecer e comprovar a identidade do usuário no momento de uma
transação eletrônica protegida.
As Autoridades de Registro devem verificar a
autenticidade das informações utilizadas para a criação do documento.
Para receber seu certificado, o interessado
- pessoa física ou jurídica - deve se deslocar até uma Autoridade de
Registro, que pode ser localizada, por exemplo, nos sites das Autoridades
Certificadoras, entre elas Serpro, Caixa Econômica Federal, Serasa,
Certisign e Receita Federal.
Entre os documentos necessários para a
emissão estão carteira de identidade, Cadastro da Pessoa Física, registro
no Programa de Integração Social (PIS) e comprovante de residência. Para a
pessoa jurídica, além do contrato social, são necessários também
documentos dos responsáveis pela companhia.
Em minutos o interessado vai receber o
certificado que pode estar em: disquetes, cartões inteligentes (smart
cards), CD Rom, no próprio disco rígido do computador ou por meio de uma
mídia portátil conhecida como token USB.
A partir de então, o computador vai
reconhecer o certificado e informar automaticamente a respeito do
documento aos sites e serviços que exigem certificação digital.
Tipos de certificado
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Suas
diferenças básicas dizem respeito ao tipo de mídia em que são apresentados
ao usuário.
Na modalidade A1, o certificado é
apresentado em um software que fica armazenado na estação de trabalho,
como em um disquete, por exemplo. Nesse formato, os dados vão em algum
momento para a memória do computador.
Nesse sistema, os dados são protegidos por
meio de uma senha de acesso e a validade do certificado é de um ano
contado a partir de sua data de emissão.
Já no sistema A3, o certificado é fornecido
por meio de um cartão inteligente (smart card) ou hardware criptográfico (token
USB). Nessa forma, os dispositivos não ficam armazenados no computador,
segundo Neto, e são, portanto, mais seguros. A validade é de até três
anos.
Artigos e Notícias
- Transcrições
ATUALIZADA em 04/04/06
Cresce o número de
projetos federais baseados em Certificação Digital
• Paulo Vianna
Dias atrás, comentei aqui que valeria a pena ficar de olho nas iniciativas do
Governo de fomentar a Certificação Digital.
Afinal, já faz algum tempo que a aplicação de maior sucesso do mercado de PKI
está na Receita Federal, com o e-CPF que opera milagres no site da Receita
Federal (www.receita.fazenda.gov.br). A Receita continua lá mas muitas coisas
estão acontecendo no cenário federal, como informa Pedro Paulo Lemos Machado,
atual secretário-executivo do Comitê Gestor da ICP/Brasil. Em sua apresentação
no painel de Certificação Digital, durante oSecurity Week, semana passada,
onde estavam presentes também Maurício Coelho, Diretor de Infra-Estrutura de
ChavesPúblicas do ITI, Igor Rocha, diretor do Serasa, Francimara Viotti,
representante da Febraban, Pedro Paulo mostrou o que Governo vem fazendo para
fomentar esta que é a principal tecnologia de segurança do século XXI.
Segundo ele, a ICP/Brasil tem hoje quatro prioridades dentro do Governo:
Infra-estrutura, Desenvolvimento Social, Economia Produtiva e Estratégica e
Defesa. Não são áreas estanques; pelo contrário, as atividades muitas vezes
podem e devem compartilhar recursos e material humanos entre si.
Dentro da infra-estrutura, o Comitê Gestor irá incentivar o uso da tecnologia
no Departamento Nacional de Produção Mineral, o DNPM, com o Termo de
Referência de Certificados Digitais. Na área de Desenvolvimento Social, o
Comitê vai incentivar o prontuário médico digital, projeto que informatiza e
dá caráter legal aos prontuários médicos emitidos pela rede pública; o Cartão
Nacional de Saúde e outros projetos de Telemedicina estão também na pauta,
sendo todos projetos publicados em resoluções do Conselho Federal de Medicina.
O Conselho Federal da Odontologia se alinha ao CFM e também dá respaldo legal
a documentos emitidos eletronicamente, mesma posição, aliás, da Anvisa (que
adota inclusive peticionamento eletrônico) e o Ministério da Educação, cujo
ProUni é solidamente alicerçado em certificados digitais.
Na área da chamada Economia Produtiva, há diversos projetos em andamento, a
começar pelo e-CAC (Centro de Atendimento ao Contribuinte), da Receita, que
veio substituir o antigo Receita 222. Além deles, o inovador projeto do INPI
(que permite acompanhar projetos de marcas e patentes), as aplicações do Banco
Central do Brasil (contrato de câmbio e SPB), as iniciativas da Susep, a
AC-Sincor (que estabeleceu inclusive uma Autoridade Certificadora) e o
Conselho Federal de Contabilidade, todos projetos importantes que geram
economia de recursos públicos direta ou indiretamente.
Em Estratégia e Defesa, temos ainda a Autoridade Certificadora da Presidência
e a do Ministério da Defesa, que dão a medida (ainda embrionária) do quão
prioritária tem sido a questão. Importante observar que ao Comitê Gestor da
ICP cabe antes de tudo “criar uma visão estratégica sistêmica de gerenciamento
de riscos e segurança da informação para que se transformem em uma cultura
empresarial para garantir o retorno do investimento e criar uma percepção de
valor e vantagem competitiva”, segundo seus próprios fundamentos.
Como o Comitê é formado por representantes de praticamente todos os
ministérios (Justiça, Fazenda, Desenvolvimento, Indústria e Comércio, Ciência
e Tecnologia, Planejamento Orçamento e Gestão, além da Casa Civil, e do
Gabinete de Segurança Institucional da Presidência da República), é de esperar
que pelo em cada um deles surjam mais projetos que consolidem a tecnologia de
certificação digital no Brasil. Quando isso acontecer, o país, penhoradamente
agradecerá.
Correios mais próximos de vender certificados digitais
Quarta-feira, 10 agosto de 2005 - 14:08
Camila Fusco
As agências dos Correios em todo o Brasil deverão, em breve, ser fornecedoras
de certificação digital para pessoas físicas (e-CPF) e jurídicas (e-CNPJ).
O pedido de cadastramento da Empresa Brasileira de Correios e Telégrafos (ECT)
foi recebido esta semana pelo Instituto Nacional de Tecnologia da Informação (ITI)
- que atua como Autoridade Certificadora Raiz - e o projeto piloto da venda de
certificados é esperado para setembro, segundo Fernando Fernandes Souza,
gerente de projetos para implantação de certificado digital dos Correios.
"O convênio com o Serpro foi firmado em abril desse ano. Agora só estamos
aguardando a autorização formal do ITI para que o serviço comece a funcionar",
declara.
De acordo com o executivo, um projeto piloto está programado para a agência da
Alameda Santos, região central da capital paulista. Quatro funcionários do
local foram treinados para atuar como agentes de registro.
"A partir do piloto vamos analisar os resultados e depois de cerca de 60 dias
devemos começar o projeto efetivamente para outras agências, incialmente com o
treinamento de outros agentes de registro", declara.
Ainda segundo Souza, as vendas dos certificados deverão começar agências
próprias e de grande porte dos Correios nas capitais brasileiras e em algumas
cidades do interior. "Estamos trabalhando inicialmente com cerca de 100
agências próprias, mas no futuro, não há nenhum empecilho para ampliar para os
franqueados", ressalta.
O convênio entre os dois órgãos não previu troca de verbas entre as
instituições, de acordo com o gerente de certificação digital dos Correios. "O
valor referente ao serviço [de oferta dos certificados] ficará com os Correios
e o preço de venda, será do Serpro", declara.
A venda de certificados digitais pelos Correios é interpretada como uma
maneira de o Serpro aumentar sua capilaridade para o serviço, conforme declara
Gilberto Neto, diretor de certificação digital do órgão.
"Atualmente o Serpro possui como autoridades de registro seus escritórios
regionais nas capitais e em algumas cidades grandes do litoral e interior do
Brasil, o que representa uma certa limitação de capilaridade. A idéia é
ampliar essa de atendimento para as agências dos Correios", informa.
Na avaliação de Neto, o aumento do alcance do serviço deverá contribuir para a
popularização dos certificados no País.
Certificação digital: você já tem a sua?
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Reportagem feita por sugestão de leitores. (Saiba mais)
Quando um cidadão tenta realizar algum tipo de transação ou serviço -
financeiro ou comercial - nada mais comum do que o estabelecimento em questão
pedir algum documento de identificação, para garantir a legitimidade do
processo.
Tal sistema de reconhecimento entre indivíduos, porém, ao contrário do que se
possa imaginar, não precisa necessariamente ser realizado no mundo físico.
Isso porque um mecanismo chamado certificação digital, que começa a se
popularizar no País, tem exatamente essa missão: reconhecer o internauta que
está por trás da tela.
Na prática, a certificação digital nada mais é do que uma carteira de
identidade para o mundo virtual. Um documento concebido eletronicamente que
tem a missão de assegurar a identidade e as informações transmitidas por
determinado usuário.
Entre seus principais benefícios está, por exemplo, o acesso a serviços que
anteriormente não eram possíveis via internet justamente pelo fato de a rede
não proporcionar a segurança desejada, como a consulta à base de dados da
Receita Federal sobre informações de Imposto de Renda.
Leia neste especial:
Instituições financeiras e públicas já aceitam certificados
Os certificados digitais já são aceitos por várias instituições brasileiras e
podem facilitar - e muito - a vida dos consumidores.
Certificados digitais: como funcionam e onde obter
Entenda o que é uma Autoridade Certificadora e uma Autoridade de Registro e
saiba como obter o seu certificado digital.
Com qual certificado eu vou?
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Saiba quais
as principais diferenças entre cada um deles.
MP regulamenta validade do certificado digital
A validade jurídica da certificação digital no Brasil foi regulamentada em 24
de agosto de 2001 pela Medida Provisória 2.200-2.
Instituições financeiras e públicas já aceitam certificados
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Os certificados digitais já são aceitos por várias instituições brasileiras e
podem facilitar - e muito - a vida dos usuários, sejam pessoas físicas ou
jurídicas.
(Veja como funciona a certificação digital. Clique aqui.)
A Receita Federal, por exemplo, por meio de seu serviço Receita 222, permite
que o contribuinte proprietário de uma certificação digital verifique e
consulte o resultado do processamento de suas declarações de Imposto de Renda.
Por meio do serviço, o contribuinte poderá visualizar as declarações entregues
nos cinco últimos anos, consultar a restituição e até mesmo emitir o extrato
do processamento.
Outro serviço da Receita possibilita que os usuários verifiquem sua situação
fiscal. Para pessoa física é necessário apresentar o certificado digital
criado com vínculo em seu CPF e para as pessoas jurídicas, com base no CNPJ.
Por meio do sistema é possível chegar eventuais irregularidades cadastrais,
declarações não realizadas, débitos e processos fiscais pendentes e
irregularidades de recolhimento de tributos.
Outras declarações e comprovantes que são passíveis de consulta são Imposto
sobre a Propriedade Territorial Rural (DITR), Imposto de Renda Retido na Fonte
(Dirf), Imposto de Renda Pessoa Jurídica (IRPJ), documentos de comércio
exterior, entre outros.
Alguns cartórios brasileiros já aderiram ao sistema de certificação digital e
permitem a solicitação remota de ofícios, certidões de escrituras de imóveis,
contratos registrados, certidões de nascimento, de casamento ou óbito,
garantida a autenticidade, integridade, segurança e eficácia jurídica de todos
eles.
De acordo com a Associação dos Notários e Registradores do Brasil (Anoreg), já
existem cartórios certificados em 15 Estados brasileiros.
Vários bancos já utilizam os certificados digitais para garantir mais
segurança aos seus usuários, entre eles BankBoston, Nossa Caixa, Unibanco e
Banco do Brasil.
O BankBoston, por exemplo, aceita que seus clientes assinem contratos de
câmbio com o uso do certificado digital. O mecanismo diminui o tempo de
assinatura do contrato de dois dias para algumas horas, com cópias
autenticadas do contrato nos e-mails dos dois lados envolvidos.
A Nossa Caixa tem um serviço especializado via certificação digital para
empresas. Pelo sistema, o administrador tem permissão total para validar as
transações e cadastrar operadores, sendo identificado por meio da certificação
digital.
De acordo com Francimara Viotti, coordenadora da divisão de certificação
digital da Federação Brasileira de Bancos (Febraban), 95% das instituições
bancárias brasileiras devem utilizar certificação digital em transações com o
cliente até o final de 2005.
Certificados digitais: como funcionam e onde obter
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Para que um certificado digital seja válido do ponto de vista jurídico, duas
entidades precisam estar envolvidas, uma Autoridade Certificadora e uma
Autoridade de Registro.
(Veja como funciona a certificação digital. Clique aqui.)
As Autoridades Certificadoras têm a função de emitir os certificados digitais,
vinculando pares de chaves criptográficas ao titular.
As chaves - públicas e privadas - constituem um conjunto de arquivos que podem
ficar armazenados nos computadores a fim de reconhecer e comprovar a
identidade do usuário no momento de uma transação eletrônica protegida.
As Autoridades de Registro devem verificar a autenticidade das informações
utilizadas para a criação do documento.
Para receber seu certificado, o interessado - pessoa física ou jurídica - deve
se deslocar até uma Autoridade de Registro, que pode ser localizada, por
exemplo, nos sites das Autoridades Certificadoras, entre elas Serpro, Caixa
Econômica Federal, Serasa, Certisign e Receita Federal.
"As Autoridades de Registro serão uma interface com o interessado, e ficarão
responsáveis por verificar sua documentação e emitir o certificado
propriamente dito", declara Igor Ramos Rocha, gerente de certificação digital
da Serasa.
Entre os documentos necessários para a emissão estão carteira de identidade,
Cadastro da Pessoa Física, registro no Programa de Integração Social (PIS) e
comprovante de residência. Para a pessoa jurídica, além do contrato social,
são necessários também documentos dos responsáveis pela companhia.
"É necessária a presença física do usuário para a autoridade do registro. Ele
precisa estar lá pessoalmente e o certificado não pode ser tirado por nenhum
tipo de procurador", informa o executivo.
Em minutos o interessado vai receber o certificado que pode estar em:
disquetes, cartões inteligentes (smart cards), CD Rom, no próprio disco rígido
do computador ou por meio de uma mídia portátil conhecida como token USB.
"De posse desse código pessoal, o usuário precisa colocar o certificado à
disposição de seu computador para ele reconheça as informações. É o computador
que vai interagir com a internet", diz Rocha.
A partir de então, o computador vai reconhecer o certificado e informar
automaticamente a respeito do documento aos sites e serviços que exigem
certificação digital.
Com qual certificado eu vou?
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
Os dois tipos de certificados digitais mais comuns são o A1 e A3. Suas
diferenças básicas dizem respeito ao tipo de mídia em que são apresentados ao
usuário.
(Veja como funciona a certificação digital. Clique aqui.)
"Na modalidade A1, o certificado é apresentado em um software que fica
armazenado na estação de trabalho, como em um disquete, por exemplo. Nesse
formato, os dados vão em algum momento para a memória do computador", declara
Gilberto Neto, diretor de certificação digital do Serpro.
Nesse sistema, os dados são protegidos por meio de uma senha de acesso e a
validade do certificado é de um ano contado a partir de sua data de emissão.
Já no sistema A3, o certificado é fornecido por meio de um cartão inteligente
(smart card) ou hardware criptográfico (token USB). Nessa forma, os
dispositivos não ficam armazenados no computador, segundo Neto, e são,
portanto, mais seguros. A validade é de até três anos.
"O processo de renovação [tanto para o A1 quanto para o A3] é permitido até
duas vezes de forma online. O usuário deve renová-lo junto à Autoridade de
Registro antes dele expirar, o que pode ser feito pela internet. Caso perca o
prazo, precisará ir pessoalmente novamente", diz o executivo.
O preço da renovação é o mesmo da aquisição de um certificado. (Veja preços em
reportagem da PC World. Saiba mais.)
Revogação de certificados
As Autoridades de Registro permitem também a revogação dos certificados em
caso violação, perda de chave ou em casos específicos.
"Por exemplo, um funcionário sai da empresa pela qual foi feito o certificado,
ou então, o usuário perde sua chave. Ele pode ir até uma AR para um processo
de revogação", informa Gilberto Neto.
Após informar o incidente, o usuário terá o certificado revogado. Suas
informações entrarão em uma "lista negra", em que constam os certificados
revogados.
Atualmente essa lista é atualizada a cada hora. Caso alguém tente utilizar seu
certificado após a revogação, as informações não serão reconhecidas, conforme
informa o executivo.
Leia neste especial:
Certificação digital: você já tem a sua?
A certificação digital é uma espécia de RG do mundo online, trazendo segurança
para as transações financeiros do mundo virtual.
Instituições financeiras e públicas já aceitam certificados
Os certificados digitais já são aceitos por várias instituições brasileiras e
podem facilitar - e muito - a vida dos consumidores.
Certificados digitais: como funcionam e onde obter
Entenda o que é uma Autoridade Certificadora e uma Autoridade de Registro e
saiba como obter o seu certificado digital.
MP regulamenta validade do certificado digital
A validade jurídica da certificação digital no Brasil foi regulamentada em 24
de agosto de 2001 pela Medida Provisória 2.200-2.
MP regulamenta validade do certificado digital
Quinta-feira, 4 agosto de 2005 - 16:00
Camila Fusco, do IDG Now!
A validade jurídica da certificação digital no Brasil foi regulamentada em 24
de agosto de 2001 pela Medida Provisória 2.200-2 de 24 de agosto de 2001.
(Veja como funciona a certificação digital. Clique aqui.)
Apesar do nome "provisório", as diretrizes propostas na medida têm efeito de
lei e desde então, não sofreram modificações significativas, conforme destacam
os especialistas.
"Hoje tramita no Congresso um projeto de lei que absorve as diretrizes e
promove algumas melhorias de forma a melhorar o posicionamento do assunto. No
entanto, caso exista uma iniciativa nesse sentido, não deverá invalidar o
status da legislação anterior", informa Igor Ramos Rocha, da Serasa.
Na comparação com outros países, principalmente na América Latina, o Brasil
está em posição privilegiada em termos de legislação, na opinião de Gilberto
Neto, diretor de certificação digital do Serpro.
"Ninguém tem uma estrutura de legislação como a nossa. A Argentina saiu na
frente com um projeto de lei com assinatura eletrônica, mas hoje ainda está no
processo de criação de uma autoridade raiz", diz.
A Autoridade Certificadora Raiz da cadeia da ICP-Brasil tem como função básica
a execução das políticas de certificados e normas técnicas e operacionais. No
Brasil é representada unicamente pelo Instituto Nacional de Tecnologia da
Informação (ITI) e tem a missão de gerenciar as Autoridades Certificadoras.
Neto ressalta ainda que o Brasil pode ser equiparado a países como Alemanha,
França e Coréia do Sul em termos de estrutura das Autoridades Certificadoras e
em segurança.
Outros países como os Estados Unidos apresentam mais de uma autoridade raiz e
cada Estado possui uma legislação específica para certificação digital,
conforme destaca Sérgio Kulikovsky, presidente da Certisign no Brasil.
"Países como os Estados Unidos, com mais de uma autoridade raiz enfrentam
problemas sérios causados, principalmente, pela variedade de legislações a
respeito de certificação digital", afirma.
Na avaliação do executivo, o modelo brasileiro foi bem implementado e tem um
futuro promissor para a disseminação do sistema. "O Brasil começou tarde em
certificação digital, mas está andando bem rápido".
A expectativa da Federação Brasileira de Bancos (Febraban) é que até o
primeiro semestre de 2006 sejam emitidos 500 mil certificados digitais.
Estadão
Assinaturas digitais: falta pouco agora
Michael Stanton
Os últimos dias têm sido ricos em notícias sobre iniciativas para
regulamentar o uso de assinaturas digitais em documentos eletrônicos,
assunto discutido aqui primeiro na coluna de 26 de junho de 2000. A
primeira novidade veio da Câmara, onde finalmente foi apresentado à
Comissão Especial do Comércio Eletrônico o parecer do dep. Julio Semeghini
sobre o projeto de lei 1.483/99, tratando do uso de documentos digitais. A
segunda veio do governo, que editou a medida provisório 2.200, instituindo
a chamada Infra-estrutura de Chaves Públicas Brasileira, a ICP-Brasil, e
definindo os mecanismos de criação e certificação das chaves
criptográficas a serem adotados para gerar assinaturas digitais e para
garantir o sigilo de documentos.
As discussões no Congresso de como legislar sobre o comércio eletrônica
vêm de 1999, quando foram encaminhados três projetos de lei, sendo dois na
Câmara e um no Senado (v. coluna de 10 de julho de 2000). O parecer do
dep. Semeghini reúne os dois projetos da Câmara, mas será ainda necessário
reconciliá-lo com o projeto de lei do senador Lúcio Alcântara, já aprovado
no Senado, para chegar a um consenso final sobre a legislação a ser
adotada. Entretanto, como o projeto do senador é bastante enxuto, dando
apenas forma legal a documentos eletrônicos, as demais considerações do
projeto da Câmara devem permanecer inalteradas. Estas tratam
principalmente da certificação das chaves criptográficas usadas nas
assinaturas, e do credenciamento das entidades certificadoras. As
propostas estão alinhadas com legislação em outros países, o que é natural
num mundo onde os negócios internacionais são de importância sempre maior.
O projeto substitutivo do dep. Semeghini é bastante liberal no que diz
respeito à tecnologia, exigindo apenas o uso de criptografia assimétrica e
cobrando idoneidade e competência das entidades certificadoras, sem
contudo imposição de padrões específicos.
Já a MP 2.200 trata de erguer uma estrutura complexa de entidades
certificadoras para atender as necessidades do governo federal, como já
havia sido previsto nos decretos 3.505 e 3.587 editados no ano passado. O
decreto 3.505, de junho de 2000, criou o Comitê Gestor de Segurança da
Informação, que deveria guiar a entrada do governo federal na era
eletrônica de modo seguro, enquanto o decreto 3.587, de setembro de 2000,
descreveu como deveria funcionar a infra-estrutura de chaves públicas do
Poder Executivo Federal, então chamada de ICP-Gov. Agora em junho de 2001,
a MP 2.200 cria, semi-pronta, a ICP-Brasil, extrapolando bastante os
objetivos antes declarados nos decretos citados, pois o que era previsto
inicialmente apenas para atender ao governo federal agora passa a ter
outras finalidades, inclusive, deve-se supor, o comércio eletrônico,
embora isto não seja explicitado no texto. Para reforçar esta suposição, a
MP cria o Comitê Gestor da ICP-Brasil, com 11 integrantes, sendo 4 da
sociedade civil, dos quais dois já foram nomeados na semana passada. Este
Comitê Gestor seria assessorado e receberia apoio técnico do Centro de
Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC,
unidade da Agência Brasileira de Informações - ABIN (www.abin.gov.br).
Segundo porta-voz do governo, não há conflito entre a MP e os projetos
sendo discutidos no Congresso, e "o mercado não está obrigado a buscar
esse certificado de conformidade das normas que estão sendo criadas pelo
órgão para operarem no país". Entretanto, ele admitiu que as
certificadoras que não tiverem um credenciamento da ICP-Brasil, ficarão
restritas aos seus atuais mercados, já que correm o risco de não serem
reconhecidas por àquelas que submeteram ao novo órgão regulador (www.computerworld.com.br/templ_textos/noticias.asp?id=12768).
O que significa submeter-se ao novo órgão regulador? Para entender melhor
do que se trata, convém examinar os primeiros documentos publicados pela
ICP-Brasil, que estão disponíveis para consulta pública e envio de
comentários até 23 de julho no sítio www.governoeletronico.gov.br. Estes
documentos incluem o Termo de Referência do Comitê Gestor da ICP-Brasil,
as Políticas de Certificado da ICP-Brasil, a Declaração de Regras
Operacionais da AC-Raiz, e a Política de Segurança da ICP-Brasil, num
total de mais de 300 páginas. Ao folhear este calhamaço de normas, alguns
detalhes chamam a atenção, e, como dizem os ingleses, "the devil is in the
details" (o diabo reside nos detalhes).
Talvez o que mais cause estranheza é o fato do usuário não controlar a
geração das chaves criptográficas que ele mesmo vai usar. Segundo a norma:
"Todo portador de certificado a ser emitido deverá gerar o par de chaves
usando equipamento da AR e um algoritmo aprovado pelo CG da ICP-Brasil".
(AR é uma Autoridade Registradora, que tem a função de identificar o
usuário da chave pública.) Porém, "a chave privada da Assinatura Digital
de cada usuário é para ser mantida somente pelo usuário devendo o mesmo
assegurar seu sigilo. Qualquer divulgação da chave privada de assinatura
pelo usuário será de sua inteira responsabilidade." Portanto, o uso deste
sistema de chaves criptográficos implica em um ato de fé que o equipamento
da AR revele a chave privada que ele gera apenas para este usuário, e não
para mais ninguém. Este equipamento da AR é mais uma caixa preta
administrada por outros, da mesma família que a urna eletrônica, em que
deveremos confiar porque alguém nos garante que funciona corretamente (tem
uma discussão da confiabilidade das urnas eletrônicas na coluna de 13 de
novembro de 2000). Há muitas pessoas que preferem não confiar em caixas
pretas que possam ser manuseados por outras pessoas à sua revelia. Por
outro lado, este problema é bastante intratável por outros meios, com foi
mostrado na coluna de 4 de dezembro de 2000, pois somente uma máquina
própria, fisicamente isolada, teria todas as condições de gerar o par de
chaves, mantendo o sigilo da chave privada. A solução pragmática, então,
poderia ser um projeto aberto, e jamais sigiloso, de máquina de gerar
chaves, que não tivesse meios de transmitir as chaves gravadas exceto para
o meio físico do interessado, e que pudesse apagar completamente todas as
informações sobre chaves da sua memória interna depois de cada uso.
Um dos temas que permeia a documentação da ICP-Brasil é o uso preferencial
de algoritmos criptográficos nacionais, desenvolvidos, devemos supor, pelo
CEPESC, e implementados em hardware de fabricação nacional. É bem positivo
esta ênfase em tecnologia nacional, porém, é essencial o observador ser
convencido que os algoritmos em questão oferecem alguma vantagem em
segurança ou eficiência, comparado com as alternativos usados no domínio
público. É evidente que o CEPESC possui bons quadros na área
criptográfica, mas seria preferível que seu trabalho não tivesse que
esconder-se atrás de uma cortina de sigilo desnecessária, como vem sendo
escondido no caso das rotinas criptográficas usadas nas urnas eletrônicas.
Pelo contrário, este trabalho deveria se tornar aberto para poder ser
validado publicamente pela comunidade de pesquisa em criptografia, o que
reforçaria a confiança pública nele. Deve-se lembrar que o governo dos EUA
recentemente realizou um concurso público para selecionar um algoritmo
para o Advanced Encryption Standard, e o vencedor foi um algoritmo criado
e tornado público por dois belgas (v. a coluna de 6 de novembro de 2000).
Nacionalismo e o uso de algoritmos sigilosos não são bons conselheiros na
escolha de tecnologia criptográfica. Quem sabe, no CEPESC já esteja
trabalhando o nosso James Ellis (funcionário do serviço de informações
inglês que teria descoberto a criptografia assimétrica alguns anos antes
de Diffie e Hellman - vide http://www.cesg.gov.uk/about/nsecret), e nós
somente saberemos dele daqui a uns 25 anos? Nao seria muito melhor
sabermos do seu talento e do seu trabalho agora? Na prática, se for
realmente a intenção da ICP-Brasil interoperar com outras ICPs, não vai
ser possível fugir do uso, também, de algoritmos criptográficos usados,
por exemplo, no mundo do comércio internacional, onde não haverá como
impor o uso generalizado de um padrão brasileiro.
O outro documento que chama a atenção é sobre a política de segurança,
que, de modo geral, está repleta de boas práticas para resguardar a
integridade dos sistemas a serem montados para as unidades que comporiam a
ICP-Brasil. Entretanto, causa surpresa ler que, para trabalhar em uma
destas unidades, o candidato teria que ter sua vida pública "pesquisada",
além de "serem observados os ambientes social, familiar e funcional". Isto
lembra muito os tempos recentes quando era exigido um atestado de bons
antecedentes ideológicos para assumir cargos públicos, e está implícito na
regra que existem padrões para a vida social e familiar, que não são
explicitados e que deveriam ser seguidos por um candidato a um cargo
destes. Seria bom saber de antemão quais seriam estes padrões, para ver se
são aceitos publicamente. Não havendo consenso sobre os tais padrões,
seria preferível eliminar qualquer menção deles das regras a serem
adotadas oficialmente.
De qualquer maneira, os sinais são auspiciosos para a resolução em breve
do problema de suporte para uso ampla de criptografia no país, o que
deveria tornar mais seguro e, portanto, mais bem aceito e difundido o uso
de Internet para transações comerciais, financeiras e administrativas.
Estadão
Assinaturas digitais para o comércio eletrônico
Michael Stanton
Em algumas ocasiões já tratamos aqui do uso de assinaturas digitais, sem
uma explicação adequada do que elas são, e de que modo vêm a ser usadas. O
termo "assinatura" é evidentemente derivada do procedimento tradicional de
uma pessoa escrever seu nome num documento para indicar sua concordância
com seus termos. Isto seria especialmente o caso em caso de contratos de
diversos tipos, incluindo-se contrair dívidas através de cartões de
crédito, ou ordenar pagamentos através de cartão de débito ou cheque. Para
entender como deveriam funcionar as regras para a assinatura eletrônica, é
sempre válido tentar criar e testar analogias com o mundo de documentos de
papel. Desta forma podemos nos apoiar em práticas que evoluíram ao longo
do tempo, para atender a demandas da sociedade. Neste texto será examinado
o uso de assinaturas digitais para realizar pagamentos eletrônicos, o que
deveria vir a ser o esteio do comércio eletrônico varejista,
complementando ou até substituindo o atual uso do cartão de crédito para
compras pela Internet. Com esta finalidade os principais companhias de
cartão de crédito criaram o padrão SET (Secure Electronic Transaction),
baseado no uso de assinaturas digitais de compradores e vendedores (www.setco.org/set.html).
A assinatura digital é uma aplicação da criptografia assimétrica,
descoberta nos anos 1970. Esta envolve o uso de um par de chaves, uma,
privada, chamada de "chave de assinatura digital", usada para assinar
documentos digitais, e outra, pública, chamada de "chave de verificação de
assinatura digital", usada por outros para verificar se um documento foi
assinada usando a chave de assinatura correspondente. Deve se notar que
gerar e verificar uma assinatura digital geralmente requer o uso de um
computador, pois envolve realizar uma série de cálculos, impossível de se
fazer de outra forma.
Há várias diferenças entre a assinatura escrita a mão e a digital. Se for
feita qualquer modificação do documento digital, não será verificada a
assinatura digital. A assinatura digital, portanto, é uma garantia da
integridade do documento assinado, servindo como um lacre. Um documento em
papel, depois de assinado, poderia ser modificado sem isto ser detectado.
Por outro lado, uma assinatura escrita, desde que seja autêntica, atesta a
presença física do seu dono, enquanto a assinatura digital indica apenas
que a chave de assinatura tenha sido usada, sem podermos concluir que o
usuário tenha sido seu dono. Evidentemente, se a chave de assinatura
permanecer sob o controle de uma única pessoa, poderemos concluir que
documentos assinados com a chave foram realmente assinadas por esta
pessoa.
Apesar destas semelhanças, em alguns casos da legislação de comércio
eletrônico em preparação no mundo trata-se diferentemente a repudiação dos
dois tipos de assinatura, a escrita e a digital. Normalmente, uma pessoa
pode repudiar uma assinatura escrita, alegando que ela tenha sido forjada,
ou, apesar de genuína, obtida por meios ilícitas (uso de ameaça ou
fraude). Em caso de repudiação, cabe o ônus de prova à pessoa interessada
em demonstrar a validade da assinatura. Uma maneira importante de garantir
a validade da assinatura é ter testemunhas ao ato da sua escrita.
Diferente do caso das assinaturas escritas, existem propostas de leis que
negam ao dono da chave de assinatura o direito de repudiar uma assinatura
digital criada com esta chave, transferindo este o ônus de demonstrar que
uma assinatura digital não é válida. (Um exemplo disto é o artigo 13 da
lei modelo de comércio eletrônica da UNCITRAL, mencionada na coluna de 10
de julho como um dos inspiradores da futura legislação nacional deste
setor.) Será que a repudiação de uma assinatura digital deve ser tratada
tão diferentemente do caso da assinatura a mão? Afinal, itens individuais
de uma conta de cartão de crédito podem ser repudiados pelo cliente hoje
em dia.
Se examinarmos a mecânica de criação de uma assinatura digital, podemos
ter reservas a respeito. No fundo, a segurança da assinatura digital
depende da manutenção em sigilo da chave de assinatura, e seu uso apenas
sob o comando do dono. Porém, como foi mencionado, precisamos de um
computador para gerar assinaturas digitais, e que a chave precisa estar
disponível na memória deste. O grande problema é que, para a maioria dos
usuários, o computador a seu dispor para gerar assinaturas digitais
simplesmente não oferece a segurança necessária para guardar com segurança
sua chave de assinatura. Há várias ameaças possíveis, incluindo acesso
físico a ele por terceiros (colegas de trabalho, pessoal de suporte e
manutenção), e "cavalos de Tróia" instalados em software usado
inocentemente, Estes podem ser presentes em software de registro
eletrônico ou de notificação de problemas de aplicações, ou introduzidos
através de invasão de vermes de correio eletrônico, muito vistos
ultimamente. Estes agentes do mal poderiam vasculhar o disco à procura da
chave, para transmiti-la para fora, ou até modificar o software de
assinatura digital, causando nosso computador a assinar um documento
diferente daquele que o dono pretende. Claro, seria possível construir um
computador seguro para aplicar assinaturas digitais, mas provavelmente ele
teria que ser dedicado a esta tarefa, e mantida desligado das redes.
Enquanto uma solução deste tipo não estiver ao alcance de todos, deve ser
rejeitada a adoção de legislação que responsabiliza absolutamente o dono
de uma chave por documentos com ela assinados digitalmente.
Ao invés desta responsabilização absoluta do dono da chave de assinatura
pelos riscos decorrentes de eventuais abusos, a solução para o uso de
assinaturas digitais no contexto atual deveria envolver o gerenciamento
destes riscos. Do mesmo modo que já fazem as empresas de cartão de
crédito, o dono de uma chave deve poder associar à sua chave de assinatura
algumas características adicionais, tais como com a imposição de limites
de valor contratados, a necessidade de confirmação para valores grandes, e
a identificação de um perfil de uso, ao qual será comparado o novo
comprometimento. Com estas salvaguardas adicionais, o dono de uma chave de
assinatura poderia ficar mais tranqüilo, sabendo que não estava se abrindo
completamente para um prejuízo arbitrariamente grande, por uso de
pagamentos eletrônicos.
Para o leitor interessado poder se aprofundar no assunto tratado aqui,
recomenda-se a leitura dos excelentes artigos de McCullagh e Caelli da
Queensland University of Technology, Austrália (firstmonday.org/issues/issue5_8/mccullagh/index.html),
e do advogado norte-americano Cem Kaner (www.badsoftware.com/digsig.htm).
IDG Now!
[14/02/05]
O que é um certificado digital?
