segurança computacional > textos > anexos > http://www.cic.unb.br/docentes/pedro/segdadtop.htm | totalitarismo
 

Revista Exame: capital digital - 25/7/2001


Subject: Matéria do Helio Gurovitz na Revista Exame
Date: Thu, 19 Jul 2001 18:51:54 -0300
From: http://www2.uol.com.br/exame/ed745/capital.shl
To: "Pedro Rezende" <rezende@cic.unb.br>


Invasão de privacidade

Por que o governo errou ao regulamentar a assinatura eletrônica

Por Helio Gurovitz

Decididamente, o governo federal não anda numa fase, por assim dizer, das mais brilhantes. Mas esqueça por um momento a comédia elétrica ou a tragédia cambial. Ambos os problemas parecem ter um impacto pequeno diante da Medida provisória 2200, editada na surdina em 28 de junho, antevéspera do recesso parlamentar. Sob pretexto de regulamentar a validade jurídica das transações eletrônicas - que, de fato, necessitam de regulamentação -, a MP decreta o que pode levar a uma das maiores violações à privacidade de que se tem notícia no país, capaz de dar inveja a todos os arapongas que andam grampeando telefones por aí, para não falar nas Stasis, Gestapos e KGBs da vida. E ainda por cima arrisca criar um incontornável empecilho burocrático ao avanço do comércio eletrônico.
Antes, um parêntese técnico. Como garantir, em meio aos computadores da Internet, que eu sou eu, você é você, e cada empresa é ela mesma? A resposta tecnológica leva o nada simpático nome de criptografia. Para quem não está familiarizado com o labiríntico mundo da segurança da informação, é essencial entender uma única coisa: todos os métodos aceitos e comprovados para transmissão segura de documentos digitais associam a cada cidadão ou instituição dois números, mais conhecidos como chaves. Uma chave, pública, fica disponível em certificados digitais que qualquer navegador ou site da Internet pode ver. A outra, privada, fica guardada só no meu micro. Se alguém desejar enviar uma mensagem de modo sigiloso para mim, basta modificá-la por intermédio da minha chave pública. A matemática garante que só a minha chave privada - quer dizer: só eu mesmo no meu micro - será capaz de abri-la. Reciprocamente: se eu quiser assinar um documento e garantir sua autenticidade, basta codificá-lo com minha chave privada. A mesma matemática assegura que, se minha chave pública for capaz de abri-lo, então é porque ele é meu. Naturalmente, é necessário um lugar na rede aceito por todos para armazenar e distribuir as chaves públicas. E também é necessário que ninguém tenha acesso à chave privada de ninguém, senão o risco de fraude é enorme. Fecha parêntese.

Pois bem. O governo federal estabeleceu um órgão central, eufemisticamente batizado de Infra-Estrutura de Chaves Públicas Brasileiras, ou ICP-Brasil, para garantir a integridade, a autenticidade e a validade dos documentos eletrônicos. Só que tal órgão tem, de acordo com a tal MP, poder para "emitir, expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves". O ICP teria acesso não apenas às chaves públicas, mas também às privadas. Tecnicamente, isso daria ao governo o poder de assinar qualquer documento em nome de qualquer cidadão ou de abrir qualquer mensagem sigilosa trocada entre cidadãos ou empresas. "Só em regimes como os da China, Coréia do Norte, Mianmar ou dos Talibãs, no Afeganistão, isso ocorre hoje", afirma o professor Pedro Rezende, especialista em criptografia, da Universidade de Brasília. Em qualquer país democrático, se o governo quiser quebrar meu sigilo telefônico ou bancário, precisará da autorização da Justiça. Nos Estados Unidos, a pretexto de combater o crime organizado, o FBI tem defendido há anos sem sucesso um sistema, controlado pela Justiça, de custódia das chaves privadas, conhecido como key escrow. "Mas todo mundo sabe que os criminosos já usam criptografia própria", diz o deputado Julio Semeghini, do PSDB-SP, relator do projeto de assinatura digital atropelado pela MP. As 306 páginas deixadas para consulta pública pelo governo não fazem referência ao que será feito com as chaves privadas pelo tal ICP. Só falta chamarem o Pedro Parente para explicar.