• Pesquisa na Web

To BI or not to BI

Teoricamente, qualquer português munido do seu “Bilhete de Identidade” electrónico pode assinar um contrato, fazer um testamento ou passar uma procuração através da Internet – sem papelada ou idas ao notário. A lei portuguesa reconhece valor jurídico aos documentos electrónicos e à assinatura digital, mas, na prática, ainda vai demorar algum tempo até se generalizar o novo BI.

No passado dia 30 de Junho de 2000, Bill Clinton aprovou a lei federal que confere à assinatura electrónica o mesmo valor legal que a assinatura autografada com tinta. Num acto simbólico, o presidente dos Estados Unidos assinou a lei usando um smart card – só depois assinou o seu nome da forma tradicional. A nova lei em vigor naquele país atribui aos documentos assinados electronicamente o mesmo valor jurídico de que gozam os documentos em papel e permite o uso de assinaturas digitais e de dispositivos biométricos para assinar contratos, cheques e outros documentos.

Portugal foi um dos primeiros países europeus a definir o enquadramento legal da assinatura e dos certificados digitais – o decreto-lei relativo a esta matéria foi aprovado em Agosto do ano passado (ver caixa “Legislação”). Mas o que é, afinal, a assinatura digital? Qual a sua relação com o certificado digital? Quem emite os certificados e reconhece as assinaturas?

Por mão própria

Uma assinatura electrónica não é uma imagem digitalizada da assinatura que consta no nosso Bilhete de Identidade. É antes resultado do processamento electrónico de dados. A assinatura assume várias formas. Pode ser uma característica biométrica (a impressão digital, os padrões da retina ou da íris de um indivíduo, por exemplo), uma password encriptada num smart card ou, porque não, a assinatura da pessoa feita com uma caneta electrónica sobre um quadro, que analisa a pressão exercida em determinadas letras ou a velocidade de escrita, e depois compara estes dados com um registo original. A assinatura digital – criada e verificada através de criptografia – é a forma mais comum de assinatura electrónica e também a que se considera mais segura.

Tal como a assinatura manuscrita, a assinatura digital não pode ser falsificada, pelo que se usam técnicas de encriptação para garantir a segurança do sistema. Criada a partir de um processo de encriptação, a assinatura digital permite, ao mesmo tempo, a identificação positiva do autor de uma mensagem (ou do signatário de um documento) e a verificação da integridade da mesma. Refira-se, porém, que a assinatura digital pode ser aposta a qualquer mensagem, seja esta encriptada ou não, apenas para que o receptor tenha a certeza da identidade do emissor e de que a mensagem chegou intacta ao destino.

A assinatura digital baseia- -se na criptografia de chave pública (PKI – ver glossário), que usa um algoritmo de duas chaves – a secreta e a pública – diferentes mas matematicamente associadas: a primeira cria a assinatura digital e encripta os dados; a segunda verifica a assinatura e devolve-a ao formato original. O autor da mensagem mantém secreta a sua chave privada e divulga a chave pública correspondente. O texto encriptado com a chave privada pode ser descodificado pela chave pública, e vice- -versa. A identidade do dono da chave pública é atestada pelo certificado digital emitido por uma entidade de certificação – uma espécie de notário.

Independentemente da forma que assume, a assinatura electrónica, e a digital em particular, deve cumprir três funções: autenticação (tal como acontece com o habitual gatafunho a que chamamos assinatura, apenas o indivíduo deve ser capaz de a reproduzir); não repudiação (quando o indivíduo assina não pode voltar atrás); e integridade (é preciso assegurar que os documentos assinados não são alterados sem o consentimento dos signatários).

Identidade confirmada

As aplicações práticas das tecnologias de encriptação são muitas. As assinaturas e certificados utilizam-se para garantir a confidencialidade e autenticidade das mensagens de correio electrónico (embora a assinatura de uma mensagem de e-mail não implique necessariamente a sua cifragem), para tornar mais seguras as comunicações na Web (entre um browser e um servidor), para verificar a identidade de websites (aspecto crucial nas transacções electrónicas) ou para restringir o acesso a algumas páginas (o servidor pede ao utilizador que apresente o seu certificado pessoal). Os certificados e assinaturas servem também para garantir que o software descarregado da Web é disponibilizado por uma entidade digna de confiança e está livre de vírus (o browser liga à entidade certificadora que emitiu o certificado associado à assinatura do programa, para confirmar a identidade do editor). Usam-se ainda em acções de homebanking e no controlo e delimitação dos acessos dentro de um edifício (cada trabalhador possui um certificado, normalmente sob a forma de cartão inteligente).

Notário electrónico

Teoricamente, qualquer empresa pode fazer a emissão de certificados. O que conta são as garantias de segurança dadas, factor variável em função do grau de inviolabilidade permitido, da tecnologia de cifragem utilizada e do modo de gestão da informação associada aos certificados emitidos. Os certificados dividem-se, portanto, em três níveis de segurança. O nível 1 garante o nível mínimo de segurança – não se verifica a identidade do utilizador, mas apenas a existência da conta de e-mail. Os certificados de nível 2, de fiabilidade intermédia, só podem ser emitidos após a recepção de comprovativos de identidade e residência. A aquisição de um certificado de nível 3, de segurança máxima, implica o reconhecimento presencial do utilizador. Independentemente do nível de segurança a que pertençam, todos os certificados são cifrados segundo a norma X.509, que usa um algoritmo entre os 512 e os 1024 bits. Adicionalmente, um pacote de certificação de nível 3 inclui um canal de transmissão seguro, baseado numa cifra obtida a partir de um algoritmo de 128 ou 164 bits. Um canal deste género é identificado no endereço do site – assim, aparecerá https em vez de http.

Em Portugal, são duas as empresas que comercializam certificados digitais: a Certipor (Grupo ParaRede) e a GlobalSign Atlântico (Grupo Eastécnica). Os certificados emitidos pela Certipor são concebidos pela Certipor, ao passo que a GlobalSign Atlântico recorre aos certificados da GlobalSign.
Embora o valor legal da assinatura digital seja já reco-nhecido pela lei portuguesa, há ainda barreiras técnicas e legais a ultrapassar. A lei carece de regulamentação para ser aplicada na totalidade. É preciso, antes de mais, que a autoridade credenciadora recentemente designada – o Instituto das Tecnologias da Informação do Ministério da Justiça – comece a funcionar. Por outro lado, a lei nada diz a respeito da tecnologia utilizada, pelo que é provável que as várias empresas no mercado afirmem possuir a tecnologia mais segura. O mais certo é que se vá aprendendo com os erros. E que, entretanto, alguns pormenores acabem por ser decididos em tribunal.

Finalmente, há o problema da fraude. As assinaturas digitais são um novo campo de batalha para os hackers – há várias possibilidades de roubar assinaturas digitais (nenhuma delas tem a ver com o crack do código da assinatura). O principal problema é a segurança das chaves secretas: se estas estiverem armazenadas em discos rígidos, podem ser roubadas por vírus e outros programas maliciosos, o mesmo podendo acontecer se um leitor de smart cards estiver ligado a um computador infectado; software malicioso poderia induzir as pessoas a assinar aquilo que não desejam, por mostrar um documento no ecrã e assinar digitalmente um outro. Por isso, é possível que aconteçam alguns “desastres” nos próximos tempos, quando um miúdo de 12 anos vender o carro ou a casa dos pais. Quando isso acontecer, a caneta e o papel vão parecer uma tecnologia eficaz e inofensiva para assinar documentos.

GLOSSÁRIO

Assinatura digital – Processo de assinatura electrónica baseado no sistema criptográfico assimétrico composto por um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e complementares.

Certificado digital – Documento electrónico emitido por uma entidade certificadora que identifica e acredita o detentor de uma chave pública. Também designado certificado de assinatura ou BI digital.

Criptografia assimétrica ou de chave pública – Método de cifragem baseado num par de chaves, uma pública para ser distribuída a terceiros, e uma privada que deve ser apenas do conhecimento do seu titular.

Criptografia simétrica ou de chave secreta – O método de cifragem mais tradicional e de mais simples aplicação. A chave de encriptação/desencriptação é a mesma para ambas as operações.

Chave pública – Elemento do par de chaves assimétricas que é divulgado. Utiliza-se para verificar a assinatura digital aposta ao documento electrónico pelo titular das chaves e para cifrar um documento electrónico a transmitir ao titular do mesmo par de chaves.

Chave secreta – Elemento do par de chaves assimétricas conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico previamente cifrado com a correspondente chave pública.

Entidade certificadora – Entidade credenciada que cria ou fornece os meios para a criação das chaves, emite os certificados de assinatura e assegura a respectiva publicidade (da chave pública).

Norma X.509 – A norma que regula a emissão de certificados digitais e define o formato destes documentos.

Public Key Infrastructure (PKI) – As políticas e processos que estabelecem um método seguro para a troca de informação.

LEGISLAÇÃO

O Decreto-Lei N.º 290-D/99 de 2 de Agosto regulamenta a assinatura digital. O diploma reconhece o valor jurídico dos documentos electrónicos e das assinaturas digitais e confia o controlo da actividade de certificação a uma entidade a designar – o Instituto das Tecnologias da Informação do Ministério da Justiça, designado no passado dia 27 de Julho em reunião do Conselho de Ministros. Prevê também a criação de um órgão consultivo, o Conselho Técnico de Credenciação. Para saber mais sobre a legislação, sugerimos a consulta do livro As Leis do Comércio Electrónico (Edições Centro Atlântico), que contém o regime jurídico da assinatura digital e da factura electrónica anotado e comentado.