http://www.cic.unb.br/~rezende/sd.htm > riscos: contrato ICP

Parecer Técnico

Contrato de Prestação de Serviço de Certificação Digital

CONTRATANTE: Associação dos Notários e Registradores do Brasil
(ANOREG-BR)

CONTRATADO: Serviço Federal de Processamento de Dados
(SERPRO)


Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação,
Universidade de Brasília
12 de Janeiro de 2002



ÍNDICE

1-
Apresentação
2- Sobre a natureza do serviço contratado
3- Sobre as obrigações da contratante
4- Sobre as obrigações da contratada
5- Sobre cláusulas impeditivas
6- Conclusão
A- APÊNCICE: Assinaturas digitais
B- APENDICE: ICPs, Certificadoras e Certificados
R- Referências Bibliográficas
S- Resumo Curricular do Subscritor
 

1- Apresentação

1.1. Objeto deste Parecer.

Em atendimento à solicitação do Instituto de Registro Imobiliário do Brasil (IRIB), formalizada através de seu Presidente, Dr. Sérgio Jacomino, passo a relatar, neste documento que subscrevo, Parecer técnico de minha lavra acerca de termos e condições circunstanciados em um contrato de prestação de serviços, celebrado entre as partes acima nomeadas. Cópia do referido contrato me foi apresentada em reunião da Associação dos Notários e Registradores do Brasil, da qual participei como convidado do referido solicitante, realizada na tarde do dia 17 de Dezembro de 2001 na cidade do Rio de Janeiro, com o propósito de se discutir os desdobramentos de sua celebração, para a contratante e seus associados.

O referido contrato teria sido assinado em 12 de Novembro de 2001, pelo Diretor-Presidente em exercício da empresa contratada, Gilson Oliveira Lariú, o Superintendente gestor do serviço contratado, Roberto Medici Kacinskis, e a Presidente em exercício da contratante, Léa Emília Braune Portugal.

1.2. Objetivos deste Parecer. Antes de listar os pontos encontrados no contrato em exame, a merecer reflexões aqui desenvolvidas, cumpre esclarecer o escopo e a orientação geral que guiaram sua lavra, a partir das limitações a que está sujeito o subscritor, relativas à sua competência, acesso à informação e compreensão sobre a natureza da demanda do associado da contratante (IRIB) em relação a este Parecer que solicita. Tal escopo e orientação circunscrevem-se à analise de risco e de possíveis implicações de responsabilização civil, administrativa e criminal, decorrentes do engajamento, pelos associados da contratante, em práticas comunicativas e documentais que façam uso de tecnologias da informação a serem habilitadas pela prestação dos serviços sob a égide do contrato em exame.
 

2- Sobre a natureza do serviço contratado

2.1- Alcance e implicações. A análise aqui oferecida pretende-se útil na avaliação criteriosa do interesse e engajamento, pelos associados da contratante, na complementação (cláusula 3a.(a)- Política de Certificação), na execução e na manutenção do contrato em exame. Porém, para que esta utilidade possa luzir, faz-se mister a ultrapassagem de um obstáculo. Qual seja, a compreensão do alcance e implicações do contrato no que tange aos possíveis significados dos riscos e responsabilidades dele emergentes, mesmo sem a desejável bagagem de conhecimento técnico e científico referentes aos objetos e procedimentos de que trata. Esta bagagem permitiria ao leitor alcançar esta compreensão de forma mais direta e consistente. Para suprir sua eventual escassez, apresentamos alguns esclarecimentos e detalhes em APÊNDICES. Para apoiar uma leitura inicial do contrato, o primeiro APENDICE [A] contém um preâmbulo histórico e introdutório ao embasamento científico presumido na linguagem técnica que permeia o contrato em exame.

2.2- Conceitos envolvidos. Sobre o objeto do contrato, sua cláusula 1a. diz: "...a prestação, pelo contratado à contratante, de serviços de constituição e operacionalização de infra-estrutura de Chaves Públicas, concernente ao aparato físico e lógico necessários à gestão de uma Autoridade Certificadora, Autoridade de Registros (AR) e a emissão de certificados em duas categorias:  uma para certificados de uso interno dos serviços notariais e de registro, denominada Fase 1, e outra para certificados de uso geral, denominada Fase 2, a ser definida e detalhada posteriormente, segundo interesse das partes, por intermédio de termo aditivo, tudo de acordo com as especificações estabelecidas pela ICP-Brasil - Medida Provisória 2200 de 28.06.2001 e Decreto 3.996 de 31.10.2001". O acompanhamento da análise aqui exarada requer familiaridade mínima com os conceitos técnicos nomeados nesta cláusula. Para apoiá-la, listamos abaixo os nomes e referências a breves descrições pertinentes a estes conceitos, constantes nos APÊNDICES.
 

Conceito Referência
Chave Pública (e chave privada) A.10-13
Infra-estrutura de Chaves Públicas B.1-3
Autoridade Certificadora B.4-6
Autoridade de Registros B.7
Certificado (digital de chave pública) B.8-9

2.3- Ambigüidades nos objetivos do contrato. As Autoridades Certificadora e de Registro a que se refere a citada cláusula 1a., seriam pessoas jurídicas habilitadas ao exercício de práticas destinadas a chancelar o uso de chaves públicas, sob o regime da legislação vigente, a guiar a constituição e operacionalização das mesmas (MP 2200, DL 3996/01). No caso, por via do serviço contratado.

As chaves públicas são, grosso modo, marcas digitais destinadas a verificar a autoria de documentos eletrônicos [A.10-13]. Entretanto, o contrato nunca esclarece qual das pessoas jurídicas, entre contratante e contratado, estaria constituindo estas entidades, através do necessário credenciamento junto à Autoridade Raiz da ICP-Brasil, arcando assim com os riscos e responsabilidades civis, administrativas e criminais decorrentes das normas que dispõem sobre tal credenciamento (Resoluções 7, 8 e 9 do Comitê Gestor da ICP Brasil, de 12/12/2001).

Pesquisada a Internet durante a lavra deste parecer, nem uma nem outra teriam ainda se credenciado como tal. Tal pesquisa revelou apenas declarações de intenção, proferidas pela direção da contratada, sobre seu suposto e futuro credenciamento como Autoridade Certificadora [R.4]. Pela linguagem das declarações encontradas, depreende-se que tal credenciamento não existia quando da assinatura do contrato em exame. Por outro lado, a correção e conveniência de termos, a dilucidação, esclarecimento e balanceamento de riscos e responsabilidades decorrentes das cláusulas do contrato em exame, através dos instrumentos complementares nele previstos (Política e Declaração de Práticas de Certificação), só poderão ser apreciados, de forma não hipotética, quando do esclarecimento deste pressuposto essencial à validade jurídica que se pretende dos efeitos de tal contrato.

2.4- Ambigüidades e inconsistências no objeto do contrato. As especificações do objeto do contrato, constantes nos termos de sua cláusula 2a., pronunciam imprecisões, inconsistências e ambigüidades na lista de itens que o contratado "garantirá" à contratante. Tais falhas contratuais decorrem, em parte, mas não somente, da ambigüidade na definição de seu objetivo [2.3]. As conseqüências desta primeira falha contratual não foram aquilatadas com a devida atenção na supracitada reunião dos associados da contratante, realizada em 17/12/01, nem sua solução ali debatida, o que prejudicou sobremaneira a compreensão e discussão das demais ambigüidades, imprecisões e inconsistências presentes na especificação do objeto do contrato, conforme abaixo analisadas.

2.4.1- Autoridade Certificadora. A cláusula 2a.(a) diz que a contratante terá, pela duração do contrato, a garantia da "alocação física da Autoridade Certificadora subordinada à ICP-Brasil, no ambiente físico da Autoridade Certificadora SERPRO, no Rio de Janeiro, Horto, em Sala Cofre, com toda a infra-estrutura de segurança necessária".

Autoridades Certificadoras (AC) são pessoas jurídicas na dicção da norma em exame (art. 8o. da MP 2200-2). Portanto têm sede, não alocação física em Sala Cofre. O patrimônio de uma AC que poderia demandar alocação física em sala cofre são suas plataformas computacionais (hardware e software) dedicadas à geração de pares de chaves e/ou armazenamento da chave privada, sua e de seus eventuais custodiantes, onde são gerados pares de chaves (o seu e o de seus eventuais custodiantes) e assinados certificados cuja lavra demandem maior nível de controle de acesso e de risco. Outrossim, ACs. e ARs. precisam executar outros procedimentos além desses [B.4-7], em ambientes menos restritivos, alguns deles necessariamente públicos. Neste ponto seria oportuno listarmos as opções para superação de aspectos anfibológicos que cercam os objetivos do contrato sub examine, tudo isso para melhor desenvolvimento desta análise.

2.4.1.1- Credenciamento em nome da contratante. Se a AC que a contratante promete constituir e operacionalizar para a contratada vier a ser credenciada na ICP-Brasil em nome da contratante, a distribuição de responsabilidades conseqüentes à custódia ao SERPRO de seu aparato e função, especificada no contrato em exame, não estará devidamente contemplada no mesmo. Este seria o cenário de mais grave risco para os associados da contratante, caso venham a se valer dos serviços contratados, pois esta função substituirá, eventualmente, a assinatura do notário ou registrador, em documentos cujo habitat natural não será ordinariamente os seus livros, mas qualquer ponto do ciberespaço.
 

2.4.1.2- Credenciamento em nome da contratada. Se a AC vier a ser credenciada em nome da contratada, a contratante estaria se comprometendo com um fornecedor de serviços antes mesmo que possa comparar as condições de operação, custo e risco em relação a soluções de terceirização por outras concorrentes credenciadas (veja em [4.3]).

Além disso, muitas das provisões, procedimentos e custos contemplados no contrato em exame se fariam neste caso redundantes, irrelevantes, ou mesmo contraproducentes para a segurança jurídica dos associados da contratante, melhor cabendo nas obrigações assumidas pela contratada perante a entidade credenciadora. Entidade esta que por sinal pode vir a ser, na prática, ela mesma, como podemos ver em [2.4.2] e por força do parágrafo único do art. 4o. da MP 2200-2.
 

2.4.1.3- Não Credenciamento. Se a AC não vier a ser credenciada, existem outras opções para a prestação do serviço contratado que oferecem perfis de custo bem menor. E o mais importante, de controle bem mais direto sobre os riscos subjacentes à virtualização das práticas comunicativas e documentais, elos vitais no modelo de negócio e na missão constitucional dos associados da contratante.

2.4.2-Subordinação à ICP-Brasil. Por outro lado, é de conhecimento público que desde 30/11/01 as instalações físicas citadas na cláusula 2a.(a) abrigam, e seus operadores custodiam, a chave privada da AC-Raiz da ICP-Brasil, cujo titular nominal é o Instituto de Tecnologia da Informação (ITI). Como o parágrafo único do art. 5o. da MP 2200-2 diz. "É vedado à AC Raiz emitir certificados para o usuário final", a linguagem do contrato em exame sugere a seguinte questão: em que sentido a CA SERPRO irá garantir a emissão de certificados "para uso interno pelos serviços notariais" pressupondo-os, pela linguagem acima, "subordinados à ICP-Brasil"?

Ora, ou a AC SERPRO se institui como AC subordinada à AC-Raiz, ou a AC SERPRO se impõe como procuradora da AC-Raiz, sendo custodiante do seu aparato e função. Outra alternativa não se vislumbra, já que esta subordinação não poderia emanar da AC cuja custódia, na prática, o contrato em exame negocia, por não estar tal AC devidamente credenciada, sequer constituída e seu credenciamento nem mesmo adequadamente previsto [2.4.1]. No primeiro caso, os certificados objeto deste contrato não estariam subordinados à ICP-Brasil, pois a certificadora que os emite não estaria credenciada e a colocação seria falsa, quando do ato da sua representação contratual. No segundo caso, os certificados contratados tampouco estariam subordinados, pois estariam infringindo o supracitado artigo 5o. da MP 2200-2, já que não faz sentido interpretar os agentes do "uso interno pelos serviços notariais" como outra coisa senão "usuário final", na cadeia de certificação modelada pela ICP-Brasil.

Esta questão tem relação direta com a motivação do contratante para buscar fixar precisamente o objetivo do contrato em exame [2.4.1], antes de iniciar sua execução. Outrossim, o fato do artigo 16o. da MP 2200 salvaguardar o segundo caso, é indício de inconsistências e imaturidade em lei de caráter temporário, a reger precariamente matéria de tamanho relevo social.

2.4.3- Gerenciamento de chaves. A cláusula 2a fala, nos parágrafos (b) e (c),  respectivamente, de gerenciamento de chaves e "realização do cerimonial de geração da Autoridade Certificadora". A cerimônia que se insinua aqui – quiçá para emular os atos notariais, dotados de fé pública, testemunho dos titulares das chaves envolvidas – são os de geração do par de chaves da AC cuja custódia o contrato em exame negocia (ali denominada "AC subordinada") e a de assinatura de certificado que titula a chave pública desta AC, juntamente com sua lista de certificados revogados, inicialmente vazia.

A chave se gera ou se assina, e a AC se instala. Quem poderia "gerar uma AC" é quem por ela responde legalmente, não quem cede equipamentos e infra-estrutura para se gerar as chaves ou assinar o certificado contendo a chave pública.

Não se pode deduzir, pela redação do contrato, quem responderia pela AC ali prevista [2.4.1], nem tampouco a distribuição de responsabilidades no supracitado "gerenciamento de chaves". O detalhamento desta distribuição é essencial para a avaliação de riscos no engajamento dos associados, caso tenha a contratante que responder judicialmente pela mesma [2.4.1.1], pois o caráter de delegação da custódia da chave privada da AC, objeto do contrato em exame, contratada ao SERPRO, está implícito em pelo menos três especificações contratuais examinadas em seguida:

2.4.3.1- na atribuição do processo de sua geração à contratada, na cláusula 2a. (g).

2.4.3.2- no seu uso em custódia, pela contratada, para assinatura de certificados por procuração, na cláusula 2a. (k).

2.4.3.3- na sua guarda e/ou uso pela contratante, na cláusula 2a. (i). Esta cláusula determina que a contratada terá cópia de sua chave privada em equipamento criptográfico "seguro", cedido pela contratada (que não fabrica equipamento criptográfico), mas não especifica se este equipamento serve apenas para proteção ao acesso a esta chave (invertendo-se a "custódia"), para lavra de assinaturas ou para ambos, sendo que ambos são processos criptográficos.

Por outro lado, caso seja a contratada a credenciar-se junto à ICP-Brasil [2.4.1.2], o caráter de mandato desta custódia estaria infringindo a letra e o espírito do p. único do artigo 6o. da MP 2200-2 [B.3]. E novamente, a salvaguarda do artigo 16o. da MP 2200 a esta cláusula, é sinal de inconsistências e imaturidade em lei de caráter temporário, a reger precariamente matéria de grande importância social.

2.4.4- Balanceamento parcial de riscos. A contratante poderá tentar buscar parte do balanceamento de riscos e responsabilidades referentes ao gerenciamento de chaves no detalhamento técnico do contrato, nele prevista (Política de Certificação e Declaração de Práticas), desde que não surjam óbices na dilucidação dos termos contratuais que especificam este detalhamento (veja em  [3.1]). Mas não completamente, pois tal detalhamento não aborda insuficiências de natureza jurídica [B.1-3] imputáveis ao contrato. A cláusula 12a. (a), a única que trata da distribuição de responsabilidades, é excessivamente vaga ao mencionar as da contratada por obrigações de natureza civil e administrativa, decorrente das ações do pessoal que dispuser para prestar o serviço contratado. Abordaremos novamente o tema em [4.3] e [5.2]

3- Sobre as obrigações da contratante

3.1- Política de Certificação. A cláusula 3a.(a) trata de co-responsabilidades para detalhamento do serviço contratado. Trata da Política de Certificação. Nela, numa linguagem deveras inusitada, apresenta-se entre parêntesis, para análise.

Trata-se, é bom lembrar, de uma obrigação da contratante com respeito à definição de seus próprios interesses no contrato em exame: "Informar a Política de Certificação que irá suportar os certificados gerados pela Autoridade Certificadora (a definição da Política de Certificação deve ser feita pelo SERPRO com informações passadas pela ANOREG e este trabalho deve estar incluído na consultoria prestada) [...]". A Política de Certificação serve, neste caso, para a contratante estabelecer publicamente os parâmetros de controle de qualidade do serviço que contrata, especificando o que precisa ser cumprido pela contratada para a emissão de cada certificado digital em nome de um associado. Estes certificados cumprirão a função de atribuir a existência de marca equivalente às assinaturas de notários, registradores e prepostos em documentos eletrônicos.

Esta Política é o ponto de partida para se formar um juízo sobre responsabilidades em eventuais litígios envolvendo fraudes, nos quais tais marcas pretendam fazer prova. Esta cláusula poderia, por exemplo, mencionar, como ponto de partida, a resolução do Comitê Gestor da ICP-Brasil que estabelece critérios mínimos para que uma tal Política necessária ao credenciamento e subordinação à ICP-Brasil. Pela natureza dos riscos envolvidos, deveria certamente ser elaborada pela contratante, com "informações passadas" pelo contratado. Exatamente o contrário do que se lê, com o agravante do que dispõe o contrato sobre motivos para rescisão, na cláusula 9a.(e), a ser analisada adiante (veja em [5.2]).

3.2- Modelo de Certificado. A cláusula 3a.(b) trata do detalhamento do principal produto contratado – os Certificados. Sua linguagem apresenta evidências de inversão de prioridades em relação aos objetivos concretos que justifiquem a busca do serviço sendo contratado. Trata-se da definição dos padrões para o uso de certificados a serem emitidos, em linguagem acessível a quem irá usá-los diretamente: os softwares aplicativos. Esta cláusula diz caber à contratante "Informar, no momento apropriado, os dados para a criação de layouts de cada tipo de certificado...". O layout de um certificado serve para criar mais uma camada de "acordo técnico" entre programas que se dispuserem a segui-lo, no processo de verificação de assinaturas. Esta nova camada de padronização serve para informar os programas sobre os critérios que o titular do certificado teria estabelecido, quando da emissão do certificado, para as condições sob as quais pretende àquela chave transportada no certificado. No caso de um tabelião, por exemplo, ele poderia certificar uma chave para uso apenas em lavratura de escrituras públicas e atas notarias, restringindo o escopo de sua crença semântica privada [B.1.2.1] para aquela chave (O padrão X-509v3, adotado pela ICP-Brasil, prevê esta opção).

Qual seria, então, o momento apropriado para a contratante informar, ou não, estes padrões? Esta pergunta nos remete, primeiro, às opções de resposta, e depois, à análise das prioridades que possam, ou não, justificar o interesse da contratante em buscar o contrato em exame. Comecemos por uma observação trivial, mas essencial: quem demanda e usa certificado digital são os softwares.

3.2.1- Uso de certificados para demanda disponível. Em geral, os softwares já em uso entre os associados que "sabem" lidar com assinatura digital são os programas de e-mail e de navegação na web (Internet Explorer, Netscape navegator, etc), baseados no Windows e sem hardware dedicado para operação segura da chave privada pelo seu titular.

A "demanda" atual que este uso representa não precisa se valer da ICP-Brasil ou do SERPRO para ser suprida, pois o modelo de certificação proposto neste contrato está para isto fora de escala, tem custo muito alto e apresenta riscos excessivos. Isso devido ao modelo de concentrá-los na ponta do titular, em relação aos riscos inerentes a este uso incluir a lavra e distribuição de documentos públicos de autoria dos notários e registradores em forma eletrônica, na ausência de jurisprudência firmada sobre as novas leis em vigor sobre o tema.

Para uso privado, onde a exposição ao risco inerente possa ser considerada aceitável, até soluções gratuitas, como os programas PGP, SSH, Web Mail etc. poderiam atender. Neste último caso, a definição dos layouts em questão é desnecessária. Portanto, pelo menos durante a vigência do contrato em exame (até 11/11/02), entre as prioridades em tela a mais questionável é a estratégica, pois a execução deste contrato absorverá recursos humanos significativos da contratante, sem retorno imediato que justifique a sua pressa e com a possibilidade do aumento significativo de riscos nas atividades fim dos associados, como resumido por metáfora no final deste Parecer (veja em [6]).

3.2.2- Uso de certificados para gerar demandas externas. A contratação estaria justificando, a seu reboque, a "necessidade" de se integrar aplicações "já prontas" à informática registral e notarial. Tal priorização implicaria custo alto e perda de autonomia com a migração dos sistemas dedicados e estanques, em uso no momento pelos associados, mas cujo desenvolvimento tem estado, grosso modo, sob seus controles. Em favor de soluções enlatadas, cuja alternativa à migração forçada será a duplicação e redundância desnecessária, e cujo modelo de negócio (ex: plataforma XP, .net) implica perdas no controle orçamentário (licenças de software, com prazo limitado e desconhecido quando do licenciamento) e na segurança jurídica [R.7,9-12].

Nesta opção, que inverte as prioridades em relação à sabedoria corrente da engenharia de software, a definição de layout de certificados só estaria nos planos ao final dos processos de migração, muito provavelmente após à vigência do contrato em exame. Vale aqui acrescentar que o risco político dos associados da contratante parecerem tecnicamente atrasados, diante do atropelo de segmentos da sociedade em direção à virtualização dos seus processos, que poderia motivar estrategicamente esta opção, pode ser menos grave que o risco de perda de autonomia no controle dos riscos operacionais das suas atividades fim.

3.2.3- Uso de certificados para gerar demandas internas. A contratação em tela estará tecnicamente bem justificada apenas quando a informática dos associados tiver alcançado estágio  para poder fazer uso seguro de mecanismos de assinatura digital em suas atividades fim. Esta adaptação precisaria consumir várias etapas, envolvendo a evolução dos seus sistemas e aplicativos estanques, principalmente em direção à integração com serviços web, investimento e treinamento adequado em administração e gerência de redes para atender às novas demandas de segurança nas comunicações etc. Só depois de cumpridas essas etapas surgiria o momento apropriado, no qual os associados da contratante estariam em condições de saber como arquitetar layouts para a comunicação entre seus sistemas e certificados "customizados", quando então poderia, ou não, surgir demanda por terceirização de serviços de certificação de chaves públicas.

Esta terceirização envolve análise de risco essencial para o notariado e os registros públicos, pois a mesma se contrapõe à autonomia tecnológica numa área que lhes é particularmente sensível. E mesmo priorizando-se a demanda pela certificação externa ou terceirizada, ainda não fica claro a necessidade de submissão às normas ou ao viés político da ICP-Brasil, devido ao potencial conflito de competência entre a dos associados e aquela, para gerarem presunção de validade em documentos [B.6]. Esta seria a ordem correta de prioridades, segundo a sabedoria corrente da engenharia de software. Ordem que, realisticamente, priorizaria a busca deste contrato certamente para depois da sua atual data de expiração (11/11/2002). Ordem que alguns dos associados, vale lembrar, já haviam optado por seguir.

3.3- Abdicação implícita de autonomia. A cláusula 3a.(g) trata de possíveis alterações técnicas. Qualquer alteração. Subentende-se alterações em algo técnico e regido pelo contrato. Alterações no quê, objetivamente, sua linguagem não especifica. Falta-lhe substantivo. Apenas subjetivamente, a cláusula se refere a alterações implementáveis, julgadas necessárias e imprescindíveis. Julgadas por quem, também não especifica. Tudo isto para obrigar a contratante a autorizar previamente as realizações de tais alterações pela contratada. A linguagem desta cláusula apresenta lacunas não só para a contratante avaliar seus riscos, mas também para a gramática, omitindo também a cópula entre o título, "Obrigações do contratante", e o seu parágrafo (g), que diz. "Qualquer alteração técnica, cuja necessidade de implantação seja imprescindível e derivada de legislação que venha a ser editada, fica desde logo autorizada a ser realizada pelo contratado, independente de regulamentação por termo aditivo". E quem edita legislação? O Comitê Gestor e a AC-Raiz, a critério do primeiro: o p. único do art. 4o. da MP 2200-2 diz: "O Comitê Gestor poderá delegar atribuições à AC Raiz". E o que está a editar o titular da AC Raiz, o ITI, tendo "contratado" o SERPRO para custodiar o aparato e a função da AC Raiz? Em sua página web estava editado, em 12/01/02 o seguinte [R.13]: "Tendo em vista que não dispomos ainda de maiores informações sobre o processo de implementação da ICP-Brasil solicitamos que quaisquer contatos externos visando esclarecimentos sobre o envolvimento do ITI nessa iniciativa sejam encaminhados à Diretoria para o adequado tratamento". Diretoria da ICP ou do ITI?... Fica a impressão de que esta análise está fadada, nas circunstâncias em exame, a caminhar em círculos.

4- Sobre as obrigações da contratada

4.1- Declaração de Práticas de Certificação. A cláusula 4a. trata da responsabilidades da contratada em subordinar-se a uma Declaração de Políticas de Certificação e de Práticas de Certificado (DPC), nos seus parágrafos (a), (b), (f) e (g). Se a Política de Certificação determina quais exigências precisam ser cumpridas para a emissão de certificados, a DPC declara publicamente como estas exigências serão cumpridas pela AC. Neste caso, pela contratada em nome ou a pedido da contratante (se em nome ou a pedido, ainda não está claro [2.4.1]), sendo esta uma das falhas principais do contrato sub examine.

A cláusula 4a.(a) diz ser obrigação da contratada: "subordinar-se às obrigações impostas pela Declaração de Práticas de Certificação e Política de Segurança da ICP-Brasil, à qual dá suporte". A ICP publicou, entre suas 9 resoluções já editadas, critérios mínimos para Políticas de Certificado e Práticas de Certificação para ACs e ARs credenciadas. Porém, se a contratante estiver interessada em salvaguardas adicionais contra riscos imanentes da contratação do serviço em exame, não estaria em posição de demandá-la para a sua própria AC, pois tanto esta cláusula quanto a cláusula 4a.(f), que tratam de DPCs, excluem a contratante de sua definição ou negociação. Exatamente o que teria que fazer caso solicite e acate aconselhamento do subscritor a respeito, em vista deste julgar insuficientes as garantias oferecidas pela norma supracitada aos titulares de certificados e contratantes em forma eletrônica.

4.2- Lista de Revogação de Certificados. A cláusula 4a.(f) trata da responsabilidade da contratada em subordinar-se à sua Declaração de Práticas de Certificação (DPC). Se estiver restrita ao mínimo exigido pelas resoluções do Comitê Gestor da ICP-Brasil, a DCP da AC SERPRO será também omissa em relação à segurança na datação das revogações. O que seria plausível, pois ambos têm sido até agora facilmente confundíves. Como explicado em [B.2-3], tal omissão causa desequilíbrio de riscos. Neste caso não só para os envolvidos, mas também para toda a sociedade, devido à natureza da atividade fim dos associados da contratante. Esta omissão impede, por exemplo, a produção de prova de fraude em casos de datação retroativa na revogação de certificados, uma fraude de gravíssimo risco, pois fecha um curto-circuito para desequilíbrios jurídicos. A revogação retroativa de uma chave anularia a validade de documentos eletrônicos que já teriam produzido efeitos legais irreversíveis, tal qual falsos lucros da empresa Enron. Ofereceria assim uma garantia de impunidade para quem queira usar sua chave de assinaturas em falcatruas, estimulando o conluio entre corruptores e eventuais responsáveis por revogações dispostos a fraudar. A impossiblidade técnica de se provar que uma chave foi revogada depois que sua ação surtiu efeito legal funciona na prática como resseguro ou blindagem da garantia de impunidade, fato que pode servir de estímulo para esta omissão, que por sua vez reforçará o estímulo para este tipo de conluio. [R.15]

4.3- Auditagem. A cláusula 4a.(k) trata da obrigação da contratante possibilitar a realização de auditagem pela contratante ou seus prepostos. Restrições a quesitos ou objetos de auditoria não são substantivamente nomeados. Apenas uma lista com nomes de alguns processos é apresentada, como "pontos relevantes para a auditoria". Nela falta o ponto talvez mais relevante: softwares de geração (de pares de chaves) e gerência de chaves, em procuração ou sob custódia.

A importância deste quesito de auditoria está explicada em [A.17-18].

Neste ponto se concentram graves riscos para os associados da contratante. A cláusula 9.a (d), que trata do motivo rescisório pertinente a insuficiências no contrato, ou no desempenho da contratada no cumprimento de requisitos técnicos ou norma vigente, dá à contratada poder de veto sobre tal possibilidade (veja em [5.2]).

Por outro lado, qualquer que seja a forma de clarificação dos objetivos do contrato, referente à subordinação da AC constituída e posta em operação pelo serviço contratado, [2.4.1], a contratada estará, na prática, livre de qualquer sanção ou impedimento por descumprimento de exigência técnica. Uma das resoluções do Comitê Gestor da ICP-Brasil estabelece que a auditoria das ACs subordinadas à ICP-Brasil será conduzida pela AC-Raiz (custodiada à contratada), e que o acesso ao resultado da auditoria estará restrito à AC-Raiz e à AC auditada. Pela subordinação à ICP, ela mesma se audita. Pelo contrato, ela pode vetar veredictos da auditoria da contratante. Uma circularidade que torna, na prática, a contratada inalcançável para efeitos de qualquer sanção.

Esta circularidade, sob o ponto de vista da análise de risco das associadas da contratante, pertinente ao controle sobre o que afeta suas responsabilidades constitucionais, situa a contratada como a opção menos desejável dentre as opções de terceirização em exame.

5- Sobre cláusulas impeditivas

5.1- Confidencialidade. A cláusula 5a.(a) trata da responsabilidades da contratada em manter, em caráter confidencial, mesmo após o término do contrato, "todas as informações relativas ao mesmo".

A linguagem desta cláusula conflita com a possível necessidade da contratante fazer valer seus direitos, em alguma forma reconhecido na cláusula 4a.(k), para contratar e conduzir auditagem externa no serviço contratado.

Entenderia a contratada que os pontos relevantes são também os admissíveis? A linguagem poderia ter sido mais clara. Esta cláusula pode também ser empregada para invalidar elementos de prova que a contratante possa buscar, em caso de litígio com a contratada.

Esta cláusula certamente suprime a segurança jurídica da contratante, chocando-se frontalmente com o princípio da mínima presunção de sigilo [A.5,10], norteador do controle de risco nas práticas autenticatórias destinadas a representar a vontade humana em redes digitais abertas, objeto do contrato.

5.2- Motivos para rescisão. A cláusula 9a.trata dos motivos admissíveis para rescisão contratual. Seu parágrafo (e) dá à contratada poder de vetar a admissão de resultado de auditoria pela contratante, como motivo rescisório: "O não aceite pela contratante do produto piloto proposto como estratégia de implantação, desde que documentado e fundamentado em problemas técnicos que tenham ocorrido e que comprometam o produto, após avaliação conjunta e anuência do contratado".

Tal poder de veto representa risco de supressão da segurança jurídica da contratante.

Além disso, há também a omissão de interpretação de falha jurídica como motivo. O presidente do Comitê Gestor da ICP-Brasil declarou, em 4/12/01 [R.4], não haver impedimento legal para o SERPRO se credenciar como AC subordinada à AC-Raiz, questão levantada em [2.4.1]. Na sua opinião o p. único do art. 4o. da MP 2200-2 não se aplicaria, pois o titular da AC-Raiz é o ITI, e o SERPRO estaria apenas prestando-lhe serviços. Mas em que condições o SERPRO está prestando serviços? Estaria ele respondendo judicialmente pelos serviço que presta, em nome da ou para a AC-Raiz? Como estão distribuídas entre ambos as responsabilidades pela custódia exercida pelo SERPRO, para que se possa avaliar se o SERPRO age ou não como preposto do titular da AC-Raiz?. Se há contrato entre os dois, até onde o conhecimento do subscritor alcança, nunca veio a público. Certamente não no espaço onde surtirá seus efeitos, o virtual. Estaria tal contrato numa gaveta, sob o regime da interpretação literal de uma cláusula como a 5a.(a) do contrato em exame? [5.1].

Uma busca na Internet por contratos do SERPRO revela, porém, outros sinais preocupantes. Como a auditoria do TCU sobre o contrato milionário celebrado entre ele e uma empresa de software, lançando nuvens de incerteza sobre a lisura de suas práticas contratuais e aprovando a citação dos responsáveis [R.14].

Novamente, a impressão de que esta análise estar presa em circularidades [3.3], em violação ao princípio do presunção mínima de sigilo [A.5,10].

5.3- Responsabilidades. A cláusula 12a.(k) trata das responsabilidades da contratada, sem abordar a responsabilidade do pessoal envolvido na prestação de serviço. Esta omissão pode transformar em tentação o risco que a insegurança jurídica na datação de revogações representa para a sociedade, obrigada por lei a confiar nos serviços profissionais dos associados da contratante. Responsáveis pelo serviço contratado podem se expor assim à tentação para o conluio com eventuais titulares de certificados nele interessados, para fraudar retroativamente a datação de revogações, como explicado em [4.2], eximindo-se das responsabilidades das decisões que materializam o conluio e imputando-as aos subordinados. Tudo isto agravado por norma em vigor (ICP-Brasil) que legitima práticas e procedimentos onde a capacidade técnica de produção de prova de tal retroatividade pode ser eliminada.
 

6- Conclusão

6.1 Parecer. Parece ter faltado à contratante aconselhamento técnico adequado quando da negociação do contrato. A adesão por parte dos seus associados certamente implicará, para eles, perdas no controle dos riscos inerentes às suas atividades profissionais e missão constitucional.

6.2 Analogia. Uma analogia apropriada para descrever esta análise é a seguinte. O advento do comércio e governo eletrônicos passa a demandar, dos associados da contratante, a operacionalização de uma frota de "aeronaves", junto com a infra-estrutura necessária de aeroportos, para transportar a validade jurídica de documentos eletrônicos. Estas "aeronaves" correspondem aos sistemas informatizados dos notariados e registros públicos. Mas estes ainda trabalham com "caminhões" e "carroças", sistemas que ainda não incorporam o uso "interoperável" de lavra e verificação de assinaturas digitais.

O contrato em exame tem por objetivo o fornecimento do "combustível" adequado à operação das aeronaves, os certificados, antes mesmo da frota de aviões estar pronta para operar. Com o agravante da falta de meios adequados para sua estocagem, representando risco de "incêndio", correspondente a fraudes perpetráveis com o uso inadequado ou fraudulento das chaves privadas dos associados, cuja geração e compromisso de guarda adequada é condição primeira para a emissão de seus certificados.

A execução deste contrato, nos termos aqui examinados, seria, no mínimo, precipitada.

6.3 Comentário final sobre a natureza deste parecer. Face à interdependência entre os riscos de origem técnica e os de natureza jurídica examinados ao longo desta análise, reiteramos os objetivos deste parecer [1.2], à luz do que possa ser obstado à sua utilidade, por força do disposto nos arts. 1º, 3º e 4º, da Lei 8.906/94, sobre a incapacidade do subscritor para emitir pareceres e considerações de natureza jurídica (ver [S]).

O parecer em tela foi buscado e exarado para permitir avaliações dos graus e das lógicas de plausibilidade de certas situações hipotéticas, imprevistas para quem não alcançaria enxergá-las de outra forma, com base em critérios técnicos que entrelaçam, por razões semiológicas insensíves à nossa vontade e ação, segurança computacional e segurança jurídica. As avaliações que este parecer permite são destinadas a subsidiar decisões políticas, pelo que não se furta em também visitar a qualidade das leis tangenciadas. Ignora quem quer, por seu próprio risco, sendo insensato sofismar sobre esse inevitável entrelaçamento.

Outrossim, é tentador sofismar sobre a existência, ou não, de vínculo entre o fato de alguns advogados também se outorgarem a capacidade, o poder e o dom profético de desenhar, através de seus pareceres, petições, contratos e normas, o perfil de riscos no mundo dos símbolos -- plano que separa a realidade jurídica da realidade social -- e o fato do alcance, do volume e da dimensão das fraudes, falcatruas e outros crimes praticados através de bits continuarem crescendo, apesar do crescerem também os investimentos da sociedade informatizada em segurança nos planos jurídico, técnico e operacional da informática, ambos em ritmo maior que a própria Internet. Pelo sim, pelo não, um bom motivo para que tal outorga não lhes seja exclusiva, como aquela da supracitada Lei 8.906/94, é o fato de serem eles os que mais têm a lucrar com tal estado de coisas.
 

APÊNDICE A

Origem da Assinatura Digital


A.1. Níveis de Linguagem.  A teoria e a prática científicas que sedimentaram os conceitos nomeados pela linguagem técnica do contrato em exame ocupou-se, no seu albor, de um problema central na filosofia do direito cuja aplicabilidade na esfera virtual se fazia desejável, ou mesmo, futuramente necessária. A saber, do problema da representação pública da vontade humana. Dizendo-o de outra forma, do problema técnico de como fazer viger, na esfera virtual, o artigo 129 do Código Civil brasileiro, que diz serem livres as formas de declaração de vontade. O que poderia vir a ser considerado, de forma satisfatória à tradição jurídica, uma declaração virtual de vontade humana?

Para compreendermos as condições em que tal problema se apresentou, devemos nos lembrar que a esfera virtual é aqui entendida apenas como um espaço de símbolos. Esta proposição não pressupõe a posse ou o controle, quer por operadores do direito, quer por litigantes ou por algum poder constituído, da necessária infra-estrutura física através do qual este espaço de símbolos possa se realizar. Pressupõe apenas uma rede de comunicação digital aberta, como é a Internet de hoje, um espaço simbólico global, realizável por meio de uma espécie de "acordo técnico" coletivo, visando a livre circulação de informação, desde que representável através de seqüências de zeros e uns (bits).

No caso da Internet, este acordo se consubstancia nos protocolos digitais nela em uso (TCP/IP).

A.2. É essencial ressaltar, aqui, que o sucesso do "acordo técnico" que constitui a Internet repousa na ausência  de qualquer presunção sobre a esfera virtual por ele realizável, em relação aos significados finais dos seus símbolos [R.1].

Ou seja, o TCP/IP presume inteligibilidade do que trafega na Internet apenas para emissor e receptor de uma comunicação. A esfera virtual por ele propiciada desconhece, portanto, o conceito de prova testemunhal.

Declarações de vontade são testemunhos, que por sua vez, são formas de interlocução. Interlocuções pressupõem falante e ouvinte. Para que haja interlocução, falante e ouvinte precisam antes identificarem-se mutuamente. Em um plano anterior ao proposto pelo problema em tela, os protocolos TCP/IP conseguem resolver os problemas de representação da vontade dos programas de computador, já que tal "acordo técnico" pressupõe a confiança mútua na intenção cooperativa entre os programas que o aderirem.

Por isso a Internet funciona.

Mas o TCP/IP não pode resolver os problemas de representação da vontade humana, pois tal pressuposição de confiança mútua não pode ser estendida à intenção dos humanos que aderirem ao uso desses programas. Por isso a Internet permite o logro. O ato de dois computadores identificarem-se numa conexão TCP/IP é distinto, porém necessário, ao ato de duas pessoas se identificarem numa interlocução através desta conexão. Por isso é possível mentir num bate-papo virtual e invadir sites.

Programas de computador e usuários destes se comunicam em planos lingüísticos diferentes, com semânticas distintas.

A.3. Testemunho virtual. Diante do exposto, observa-se que uma sequência de bits pode codificar, numa rede digital aberta, de forma direta e simples, a declaração de uma vontade de um software.

Mas não a de uma pessoa.

A intenção do software está lavrada em seu código, que precisa aderir ao "acordo técnico" para funcionar a contento em uma rede aberta realizável por seu exercício. Enquanto a intenção do homem está oculta em sua alma, e desta intenção nada se presume para que sua comunicação funcione através de uma rede digital aberta. Para os humanos, a pressuposição de intenções num espaço aberto de símbolos deve mesmo ser vazia, já que a esperança de recompensa nos crimes e nas guerras se baseia no logro. E não será a presença de uma tal rede que irá reformar sua natureza. Muito pelo contrário, pois a esfera virtual lhe propicia maiores possibilidades para evitar o testemunho público dos seus atos.

A.4. Um X riscado em público embaixo do nome, ou um pronunciamento de viva voz, que no mundo da vida são aceitos como formas livres de declaração de vontade, pela jurisprudência do artigo 129 do CC, não tem lugar na esfera virtual devido à impossibilidade, ali, do ato testemunhal. Bits vão e vêm, mas o que representam não pode, em princípio, ser presumido ao longo do caminho, ou ao longo do tempo quando armazenados.

Em resumo, as formas de representação da vontade humana pressupõem, por mais simples que sejam, os conceitos de contigüidade física e temporal, implícitos no conceito de prova testemunhal, conceitos que se evaporam ou, no mínimo, oferecem complexos problemas técnicos para sua representação publicamente verificável e resistente à fraude.

A.5. Segurança Jurídica na esfera virtual.  Para representarem suas vontades numa rede digital global e aberta de forma juridicamente segura, interlocutores terão que se valer de algo semelhante à assinatura cursiva de próprio punho, pois esta é a única forma conhecida de representação da vontade humana que pode ser verificada contra uma referência confiável, sem pressupor o testemunho público (na forma de verificação por semelhança, onde o testemunho é pessoal).

Em outras palavras, declarações virtuais de vontade só poderão inspirar garantias jurídicas através de algum processo autenticatório na medida em que este circunscreva, ao mínimo possível, a presunção de confiança nos intermediadores da comunicação digital.

Pelo que vimos, este mínimo precisa, para preservar o equilíbrio já alcançado por diversas tradições jurídicas, prescindir da noção implícita do testemunho público. Mas não pode ser nulo, pois faz-se mister substituir, a contento, o testemunho interno dos nossos cinco sentidos, essenciais ao testemunho pessoal, como ocorre na verificação por semelhança de uma assinatura de punho.

A.6. Como podem então ser os processos que pretendem imitar, na esfera virtual, a função da assinatura de punho com verificação por semelhança? Se delegarmos ao software a imitação literal da assinatura de punho, para que apense uma representação digital da imagem da assinatura ao documento eletrônico, fracassaremos. No papel, a assinatura de punho impinge marca única e pessoal no suporte físico do documento, permitindo, ao mesmo tempo, a verificação por semelhança desta marca e seu vínculo com a mensagem impressa neste papel, a quem puder examinar este papel e comparar esta assinatura contra um registro de referência. Entretanto, quando se trata de seqüências de bits, uma tal verificação por semelhança daria ao verificador, perante acesso ao documento eletrônico, a capacidade de forjar qualquer "assinatura" nele assim aposta, com a ajuda de recursos comuns de edição de arquivos digitais. A contrafação seria indetectável em tais documentos eletrônicos, enquanto no papel é uma arte difícil, cultivada e estudada por falsários e peritos.

Isto se torna perfeitamente compreensível ao notarmos que o mundo físico ostenta uma estabilidade ontológica desconhecida do mundo dos símbolos.
 

Conceitos para Assinatura Digital


A.7. Definição operacional. O fracasso da transposição superficial e literal, para a esfera virtual, do processo de assinatura de punho ocorre porque simulacros no ciberespaço são indistinguíveis dos seus moldes. Duas seqüências contendo os mesmos zeros e uns não podem ser ali distinguidas. Bits são apenas símbolos, e o mundo virtual é um mundo apenas e tão-somente simbólico.Se o suporte físico de um documento eletrônico fosse o meio magnético ou óptico que o veicula, como querem alguns, cópias de documentos eletrônicos seriam distinguíveis de originais. Assinar à caneta um disquete que contem um documento eletrônico é como assinar o envelope que contém um documento de papel. Assinar um CD não regravável torna sua autenticação inócua para transmissão eletrônica do documento ali contido.

No ciberespaço, a assinatura não terá suporte físico, como tem no papel. Se quisermos preservar sua função autenticatória no plano virtual só haverá, para recebê-la como suporte, a própria seqüência de bits que representa o documento, no código digital imposto pelo software que o criou. Bits não podem testemunhar nem fazer prova por si mesmos, mas as relações entre eles ainda não estão descartadas de tais aspirações, desde que saibamos como tais relações possam nos remeter a fatos do mundo da vida.

A.8. Sabemos, portanto, que uma marca única e pessoal representada por uma seqüência de bits não pode ser simplesmente aposta ao documento eletrônico para autenticá-lo. Tal imitação permite forjas perfeitas a quem quer que tenha acesso a um tal documento eletrônico. Resta-nos, para chegarmos a uma técnica de autenticação digital que busque a segurança jurídica equivalente à assinatura cursiva, a alternativa de se misturar a marca única e pessoal do autor à seqüência de bits que representa o documento, para se obter efeito semelhante ao da sua lavra em papel, que mistura a tinta da caneta às fibras do seu suporte.

Esta mistura, e não mais a marca única e pessoal, pode então ser aposta ao documento, ao estilo da assinatura em papel. A dificuldade para se extrair a marca pessoal e única da mistura, em um grau que bloqueie a qualquer leitor a possibilidade prática desta extração (como ocorre no papel) pode ser controlada com o uso de criptografia forte (as que oferecem controle satisfatório sobre o custo desta possibilidade). A marca digital pessoal e única funcionaria assim como uma "chave de assinatura", ao passo que o algoritmo criptográfico funcionaria como fechadura, enquanto o autenticador resultante da mistura funcionaria, apensado ao documento, como porta que dá passagem à confiança coletiva em sua autoria, a sua "assinatura eletrônica".

A.9. Entretanto, o mero uso de criptografia forte não resolve ainda o problema proposto neste cenário pela verificação por semelhança. A verificação se daria por reversão da mistura de bits, se os algoritmos criptográficos então conhecidos fossem empregados. Mas uma reversão, pura e simples, iria requerer do verificador a posse da marca digital pessoal e única do assinante, como registro confiável de referência para comparação com o resultado da reversão.

Portanto, a criptografia até então conhecida só podia proteger o assinante contra falsificação indetectável por parte de quem não precisasse verificar as "assinaturas". Contra os que precisam verificá-las ela nada protege, pois a posse da "chave de assinatura" como registro de referência dá ao verificador o poder de assinar em nome do assinante. Ela só permite a autenticação com verificação fechada ao círculo de confiança do "assinante".

Algo ainda faltava, para um mundo onde teríamos que interagir e negociar com a natureza humana através de bits. Havia criptografia forte, mas não robusta, para o novo uso que dela agora se demandava. A criptografia até então conhecida tinha um calcanhar de Aquiles, que impedia a solução a contento do problema da representação da vontade humana numa rede digital aberta.

A.10. Criptografia Assimétrica. Faltava uma forma autenticatória apropriada, que os pioneiros da ciência passaram a buscar. Precisavam para isso descobrir um algoritmo criptográfico forte e robusto (sadio) para representar a contento a vontade humana numa rede digital aberta. Sua característica definidora era a seguinte: o que precisa ser extraído da mistura de bits que autentica um documento, durante o processo de verificação de sua autoria, deve ser, por um lado, suficiente para identificar qual "chave de assinatura" foi misturada ao documento, e por outro, insuficiente para reconstruir, na prática, tanto a chave de assinatura quanto qualquer de seus outros possíveis autenticadores.

Não seria a fórmula da mistura a requerer sigilo, pois esta precisa ser conhecida dos programas que irão verificar seu efeito autenticador. Apenas um dos ingredientes da mistura, a marca pessoal identificadora do autor, deveria requerê-lo.

Iniciou-se então a busca por algoritmos criptográficos nos quais o segredo usado para produzir autenticadores não precisasse ser compartilhado, nem facilitado, para a verificação dos autenticadores, e nos quais este segredo pudesse ser separado da fórmula de mistura. Uma forma assimétrica de criptografia, que circunscrevesse a presunção de sigilo a apenas quem precisa, ou quer, ser identificado por meio dele. Uma forma que oferecesse ao assinante controle sobre a dificuldade da falsificação de sua assinatura eletrônica, permitindo sua verificação aberta. Uma fórmula que realizasse o princípio da presunção mínima de sigilo [A.5], necessária para a segurança jurídica do testemunho virtual.

A.11. Neste novo gênero de criptografia, a seqüência de bits a ser mantida em sigilo para a lavra de autenticadores em documentos eletrônicos -- a chave de assinatura -- ganhou o nome de "chave privada". A referência pública a este segredo, que funciona como uma chave de verificação dos autenticadores por ela lavrados, ganhou o nome de "chave pública". A chave de verificação pode se tornar pública, como também os programas que desempenham tal tarefa, já que sua posse não comprometeria o sigilo da chave privada. Essas duas chaves formam um par, onde uma permite a verificação da ação da outra, sem no entanto poder imitá-la. A semelhança entre os dois processos de assinatura pode ser resumida na seguinte comparação: o registro de referência de uma assinatura de punho pode ser público (aos olhos que verificam), já que o olho não consegue comandar com perfeição o arremedo (da mão que assina). Assim também a chave pública (que faz o papel do olho verificador) pode ser copiada e distribuída, já que sua posse não permitirá arremedar a chave privada (que faz o papel da mão subscritora).

A.12. O autenticador produzido pela mistura de uma chave privada e um documento, bem como o processo de lavrá-lo em (apensá-lo a) um documento, ganharam o nome de "assinatura digital", conforme sugestão dos descobridores do algoritmo criptográfico pioneiro no gênero, o RSA, o primeiro a cumprir as exigências prescritas pelos conceitos aqui delineados, conforme proposto em 1976 por Diffie & Hellman [R.2]. Um tal algoritmo é uma fórmula matemática para esta mistura, junto com a fórmula para a produção de pares de chaves com tais características. O RSA foi descoberto e divulgado em 1978 por Rivest Shamir e Adleman [R.3]. As tecnologias atualmente disponíveis para assinatura digital são as que implementam algum dos três algoritmos do gênero até hoje descobertos, o RSA, o DSA e o ECC,  todos amplamente analisados e validados por criptógrafos em todo o mundo, e todos em domínio público.

Desses algoritmos, o RSA segue sendo o mais simples e disseminado. Como todos eles estão em domínio público, não há porque se impedir a auditoria de suas implementações em software.
 

Premissas técnicas para a segurança jurídica de representações virtuais da vontade humana

A.13. Escolha de tecnologia apropriada. É preciso ressaltar que a criptografia assimétrica não é tecnologia, nem a única base "segura" para a representação virtual da vontade humana. Ela é um conceito semiótico que recorta as possíveis tecnologias autenticatórias, classificando aquelas que podem oferecer critérios mínimos de segurança jurídica em contextos onde a presunção de confiança entre interlocutores não seja uma premissa realista, como nas redes digitais abertas.

A restrição do uso do termo "assinatura digital" a apenas tais tecnologias, a saber, as que têm por base a aplicação sadia de algum algoritmo de criptografia assimétrica, facilitaria a compreensão do que está em jogo.

Para a semiologia, identificação, autenticação e assinatura são coisas distintas. Identificação é convencer-se de que se reconheceu algo. Autenticação é convencer outrem de que se reconheceu algo. Assinatura é convencer outrem de que se reconheceu algo, algo que representa a vontade de alguém, se nos atermos ao sentido que a assinatura de punho desempenha na jurisprudência atual do Direito Civil.

A.14. No cenário das redes de comunicação fechadas, proprietárias, como as de comunicações militares, de órgãos sensíveis de um poder de Estado, ou de empresas verticalmente estruturadas, há sempre alguma hierarquia do mundo da vida que organiza e controla a infra-estrutura, a semântica e o tráfego de informações que nela flui. Por isso, pode-se nelas desenvolver outros conceitos de autenticação digital que permitam a representação interna da vontade humana, já que a hierarquia subjacente pode responder pela equivalência semiológica entre identificação, autenticação e assinatura.

Como, por exemplo, pelo uso de senhas ou de identificação biométrica, no qual o titular da senha ou dado biométrico, e o sistema onde está cadastrado, se autenticam mutuamente. Nessas redes fechadas, a criptografia pode se fazer necessária exatamente para mantê-las fechadas, através de seu uso clássico, o de prover sigilo através de um canal de comunicação inseguro.

Tal uso clássico pressupõe que os interlocutores, ao buscarem o sigilo, já tenham se identificado mutuamente na hierarquia subjacente a este canal. Esta hierarquia pressupõe, para tal, relações de confiança entre interlocutores. Neste caso qualquer algoritmo criptográfico, em princípio, serve e a ocultação dos detalhes de sua arquitetura, ou de sua implementação em software, pode, também em princípio, contribuir para a robustez da sua função básica de prover sigilo. O correntista de um banco, por exemplo, presume que o banco irá proteger a cópia de sua senha, bem como os meios que ele usa para manipulá-la, cópia e meios que o banco precisa manter para identificá-lo e autenticar as eventuais transações entre ambos.

A.15. Características das redes abertas. Já numa rede aberta, pública, tudo muda e algumas demandas se invertem. Os efeitos das funções de identificação, autenticação e expressão de vontade se sobrepõem a dispositivos do Código Civil, pois não há hierarquia subjacente que permita semiose, isto é, a extração de significado da informação, do testemunho. Nela, tais funções semiológicas se distinguem devido à possibilidade do logro, onde o significado do que se comunica fica encoberto até que algum software o revele.

Em redes abertas, a criptografia é antes requerida justamente para resolver a questão da identificação dos interlocutores, na ausência de hierarquia e presunções de confiança subjacentes. Nela, a identificação precisa ocorrer em circunstâncias adversas, que permitam a autenticação com verificação aberta.

A verificação aberta, por sua vez, demanda transparência para a segurança jurídica de seus mecanismos, exigindo que o sigilo se restrinja ao mínimo necessário para a eficácia desses mecanismos. Por isso, nessas redes, a biométrica não pode oferecer a mesma segurança jurídica que a criptografia assimétrica, mas pode ser muito útil para controlar o acesso à chave privada

Note-se que, ao referirmos a redes digitais, os adjetivos "aberto" e "público" se referem ao aspecto semiológico, o da organização de um espaço de símbolos, e não ao aspecto jurídico, o de organização dos agentes sociais. A rede digital interna de um órgão sensível de um poder público estatal constitui uma rede fechada, proprietária. Enquanto a rede na que se pratica o comércio eletrônico privado (a Internet) é uma rede aberta, pública.

A.16. Para que haja autenticação digital onde prévias relações de confiança não podem ser presumidas, como nas redes abertas, cada interlocutor humano precisa controlar, por si mesmo, o risco da falsificação de sua própria identificação para fins de autenticação segura de documentos, especialmente aqueles que possam ser interpretados como expressão da sua vontade.

Para isto, nem todo algoritmo criptográfico serve. Apenas os assimétricos operando em condições adequadas.

Quais são as condições adequadas de operação desses algoritmos, neste contexto? São as de transparência, traduzidas em capacidades (técnica e jurídica) de auditoria externa. A ocultação da forma como um algoritmo criptográfico estaria se "materializando" em um software pode ocultar fragilidades no mecanismo de autenticação que este implementa, e portanto, a possibilidade de falsificações indeléveis, intencionais ou não. Isto pode ocorrer mesmo sem a presença de sinais externos de fragilidade ou "grampos", quando a criptografia subjacente for malsã. Neste caso, o controle sobre a dificuldade da falsificação de sua assinatura, que o assinante é levado a crer estar exercendo, pode estar comprometido, propositadamente ou não.

A.17. Conseqüências da intermediação do software. Para ilustrar alguns dos riscos imanentes ao contrato em exame, vale ressaltar que o controle da dificuldade da falsificação da assinatura digital se baseia no tamanho das chaves, mas não só nisso. Este tamanho é determinado no início do processo de geração do par de chaves, processo que abriga a possibilidade mais simples de materialização de logro. A forma mais simples de logro reside no software que gera as chaves por dois motivos. O primeiro é que o controle da dificuldade de falsificação da assinatura depende do mecanismo de geração de pares de chaves ser sadio, num sentido técnico bem específico: o de que seu componente aleatório funcione de maneira a selecionar pares equiprováveis dentre os pares de chaves possíveis Daí a importância da particiação do titular neste processo, a quem cabe induzir a semente de aleatoriedade neste mecanismo. Numa implementação malsã do software esta indução pode ser facilmente ignorada, descartada. O segundo é que a componente aleatória do mecanismo de geração, por ser a gênesis de todo o mecanismo autenticatório, está livre do jugo de qualquer protocolo ou "acordo técnico" de natureza externa. Isto o torna uma perfeito receptáculo para ocultação da má-fé do programador, materializável no descarte da indução que caberia ao titular. Em outras palavras, é muito fácil para um programador "viciar" o processo de geração de chaves, e a ocultação deste vício é tão fácil quanto o bloqueio da auditoria externa ao software que o implementa.

Assim, quem implementar ou conhecer o "vício" deste componente poderá obter, com custo computacional a seu alcance, a chave privada de qualquer usuário deste software a partir de sua correspondente chave pública, sem precisar invadir salas-cofre, computadores ou dispositivos bem fortificados, onde os titulares das chaves armazenam suas chaves privadas.

Como em cassinos desonestos, um titular pode ser logrado a acreditar, com argumentos estatísticos, que todas aquelas fortificações, mais o tamanho da sua chave pública, lhe "garantem" a proteção representada pelo custo médio de 500.000 anos no maior computador do mundo para se obter sua chave privada a partir da sua correspondente chave pública, enquanto um programador ou organização que conhece o vício na geração de pares saberá como obtê-la em poucas horas, no conforto da sua toca.

Precedentes não faltam, inclusive envolvendo a maior empresa do mundo [R.7], hoje em débito com a Justiça por abuso de poder [R.9]

A.18. Uma rede digital global e aberta não é apenas um mundo somente e totalmente simbólico, mas também um mundo onde os possíveis significados dos seus símbolos só se manifestam pela intermediação de inteligências (quase sempre) alheias, expressas pela intenção ou pelos equívocos dos autores de softwares. Esta manifestação poderá, ou não, coincidir com a intenção publicamente declarada do autor do software. Daí a importância da auditoria externa, por qualquer um que a julgue necessária, dos softwares de assinatura digital, desimpedidos que são das restrições do direito de propriedade intelectual, para se alcançar a segurança jurídica que deles se almeja, no âmbito da vigência de leis que lhes dêem validade equivalente à da assinatura de punho, na jurisprudência contemporânea sobre contratos.
 

APÊNDICE B

Infra-estrutura de Chaves Públicas - ICP

B.1. Premissas para eficácia. Para sabermos o que realmente está à venda na prateleira das "soluções para ICP", devemos ter em mente que o uso da criptografia assimétrica para autenticação de documentos eletrônicos, com aspirações de segurança jurídica para representação da vontade humana em uma rede digital aberta, exige e impõe, além de demandas técnicas, demandas específicas e não técnicas à implementação e operação de seus mecanismos, no plano da linguagem e valores humanos. Estas demandas se resumem em duas presunções de confiança, ou premissas, que se desdobram em contrapartes no mundo da vida e no mundo dos símbolos:

B.1.1- Premissa pública: O titular de um par de chaves assimétricas é conhecido pela sua chave pública. Esta premissa pública consubstancia-se a partir de duas crenças:

B.1.1.1 Crença sintática: A associação entre os bits que representam a chave pública, e os que representam o nome do seu titular, é autêntica.

B.1.1.2 Crença semântica: O nome que dá título à chave pública é o de alguém com quem se tem relação de significado;

B.1.2- Premissa privada: O titular de um par de chaves assimétricas é quem conhece sua chave privada. Esta premissa privada consubstancia-se a partir de duas crenças:

B.1.2.1 Crença sintática: A posse e o acesso à chave privada restringe-se a quem é nomeado seu titular.

B.1.2.2 Crença semântica: O uso autenticatório da chave privada significa declaração, por parte do titular, de sua vontade ou autoria.

B.2. Duas faces de uma moeda. A validade dessas premissas se apóia em crenças que precisam ser individualmente constituídas, pois todas envolvem juízos pessoais. Delas, a crença sintática pública [B.1.1.1] tem origem em práticas sociais, enquanto a crença semântica privada [B.1.2.2] dá origem a praticas sociais, através de obrigações contratuais, normas culturais ou jurídicas. Uma boa solução para ICP é aquela que restringe, com a melhor eficácia possível, a margem de manobra para o logro nas suas pressupostas práticas sociais, dosando e combinando com parcimônia seus poderes tecnológico e normativo. Sua eficácia máxima privilegiará não só o equilíbrio de riscos e responsabilidades, mas também a intenção cooperativa nos agentes envolvidos na consolidação dessas práticas. Por outro lado, uma solução cujas técnicas restrinjam de forma desequilibrada a margem de manobra para o logro, tenderá a desestabilizar a segurança jurídica dessas práticas, mesmo que busque compensar este desequilíbrio através do seu esforço normativo, estratégia que poderá ter efeito oposto.

B.3. Estratégias e Modelos. De que adianta, por exemplo, o p. único do artigo 6o. da MP 2200-2 rezar que "O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento", se a solução para a ICP não garantir ao titular o direito de auditorar o software que intermediará para ele a geração, uso e controle de sua chave privada? E mais: em cujo processo estará agindo a inteligência de um programador ou empresa que possa ter interesses e intenções conflitantes com as suas, ou com as desta norma, detendo o poder de subverter ambos, conforme explicado em [A.17-18].

Para autores de softwares de ICP, buscar a proteção do direito autoral para garantir o bloqueio à auditoria do seu produto equivale, neste caso, a buscar a impunidade para o abuso deste poder.

A "garantia" que o p. único do artigo 6o. da MP 2200-2 oferece é como a que ofereceria uma lei que revogasse a lei da gravidade, para garantir aos prefeitos a construção de qualquer ponte com qualquer verba...

Além disso, o descaso da norma com a segurança jurídica na datação das revogações de chaves oferecerá, certamente, tentações para outras formas de logro [R.6].

O modelo da ICP-Brasil é um arremedo da solução para o comércio global em larga escala hora em uso no mundo, um modelo que busca seus próprios equilíbrios, não necessariamente os mesmos que a sociedade civil brasileira deveria buscar.

Autoridades Certificadoras

B.4- Terminologia. Os primeiros empreendedores que se lançaram, a partir de 1995, no negócio de prestar serviços com esta finalidade, denominaram a si mesmos "autoridades certificadoras".

A autoridade que pretendem para si baseia-se não em uma concessão estatal, mas nos cuidados que dizem tomar para estabelecer o modus operandi do negócio, expressos nos contratos de adesão que deram início a sua práticas, incluindo suporte post mortem ao eventual colapso da premissa privada de seus clientes [R.5].

Tal suporte é a divulgação e chancela da anulação da crença semântica, chamada de "revogação" da chave.

A revogação de um certificado digital ocorre, tipicamente, com a descoberta ou suspeita de embustes no ambiente computacional onde assinaturas digitais são lavradas, ou de falhas no controle de acesso ao processo de lavra. Não existe propriamente a figura do "roubo" da chave privada, mas algo mais insidioso: o acesso sub-reptício à sua chave, devido, por exemplo, à sua guarda e operação não estarem protegidas por equipamento arquitetato e dedicado a este fim. Em casos de quebra da crença semântica nestas circunstâncias, a chave continua na posse por quem de direito, mas já tendo produzido efeito semelhante ao seu "roubo".

Tecnicamente, o ato que propicia esta quebra recebe o nome "vazamento" da chave.

B.5- Metonímia. Faz parte do instinto comercial a disposição de se vender qualquer coisa para qualquer finalidade, se o cliente estiver disposto ou puder ser induzido a comprar e efetivamente puder comprar. E na indústria de software, quem toca os tambores são os departamentos de marketing, artesãos da conotação.

Portanto, para avaliarmos a eficácia da tecnologia da informação na produção de efeitos jurídicos, devemos estar atentos à evolução do uso de termos técnicos, em sua passagem do jargão técnico para a esfera jurídica.

À medida que esses termos ganham uso geral na sociedade, forçando sua passagem até a esfera jurídica através de atos normativos destinados a legitimar a intermediação do software nos processos sociais, os significados que ali carregam tendem a se tornar híbridos, por metonímia, com os significados que carregam no uso comum. É claro, por exemplo, que a auto-nomeação de "autoridade" pelas primeiras entidades certificadoras teve motivação mercadológica, para tirar proveito desta dinâmica dos significados. Porém, ao custo de desfocar a compreensão leiga sobre o que o termo realmente descreve. Assim é a natureza desse jogo de significados, para o qual o operador do direito precisa estar atento.

Um certificado não garante, por exemplo, que o titular é quem diz ser. Como pode o certificado de chave pública da Encol, Ikal, ou Enron oferecer tais garantias?

Não se pode confundir as duas faces da premissa pública que o uso de certificados presume [B.1.1]. Como diz o criptógrafo Bruce Schneier, quem acha que a tecnologia irá resolver seus problemas, não conhece nem a tecnologia nem seus problemas [R.8].

B.6- Produtos. Um ponto onde este jogo de significados pode encontrar turbulência na hermenêutica jurídica está no artigo 236 da Constituição Federal, frente ao disposto no art. 10o. da MP 2200-2. Sem competência para aprofundar-me, levanto estas observações devido aos seus desdobramentos na interpretação das normas que descrevem os produtos das Autoridades Certificadoras. Motiva-me o objetivo deste Parecer, de oferecer elementos para a compreensão da natureza jurídica das mesmas, à luz dos percalços comentados em [B.2-3].

Estes produtos são a emissão de certificados digitais de chaves públicas, e do registro da história de sua validade (listas de revogação de certificados). Um tal certificado é destinado a permitir a identificação de autoria de documentos digitalmente assinados, através da sua titulação [B.1.1.1], no regime de uma ICP e das suas premissas de eficácia [B.1]. Normas que regem os serviços das ACs. buscam tratar das garantias sobre titulação, validade e acessibilidade do que emitem: certificados e listas de revogação. Em relação à acessibilidade, por exemplo, certificados e listas de revogação são emitidos em embalagem própria, que são formatos digitais padronizados, incorporados ao "acordo técnico" que realiza o espaço de símbolos de uma rede aberta. Formatos que seguem padrões públicos, para que os certificados e listas de revogação possam ser corretamente interpretados através da intermediação de softwares que aderem ao "acordo técnico". Abertos, tais padrões suprimem, ou retardam, a possível dependência coletiva a fornecedores de software que busquem ocultar seus próprios formatos, para alavancar seus negócios e seu poder. A natureza pública dos formatos e padrões adere ao princípio da mínima presunção de sigilo [A.5,10], enquanto a dinâmica natural da indústria monopolista tende a repeli-lo..

Autoridades de Registro

B.7- Definição. Digitalmente assinados, os certificados passam a exprimir a intenção do assinante em chancelar seu conteúdo. Esta é uma das funções a que se atribuem as entidades certificadoras, já que a verificação da assinatura digital também funciona para detectar "rasuras" (adulterações) no documento assinado. A norma da ICP-Brasil reserva esta função às entidades que nomeia "Autoridades Certificadoras", mediante credenciamento e fiscalização.

Entretanto, a etapa juridicamente mais vulnerável para chancela à crença sintática pública na titulação de um certificado [B1.1.1] está na entrada dos dados. Se alguém entrar em contato com uma AC apresentando uma chave pública e solicitando para ela um certificado, dizendo ter sido aquela chave gerada por Napoleão Bonaparte ou Fernando Henrique Cardoso, há que se verificar se este nome consiste em uma marca socialmente aceita para identificar (civilmente, juridicamente etc.) o titular do certificado. Isto é, para identificar quem se supõe em posse e controle do par da chave pública apresentada, ou quem por ela se comprometa a responder, na qualidade de assinante.

Normalmente, o titular é o próprio solicitante. No nosso modelo de ICP esta etapa do processo de chancela fica a cargo das "Autoridades de Registro" (AR), para as quais há também normas específicas de credenciamento e interoperação com as ACs credenciadas.

Certificados Digitais de Chave Pública

B.8- Analogia e Diferenças. Um certificado digital é como uma cédula virtual de identidade, ou quase. Em cédulas de identidade com suporte físico uma "autoridade pública" nele chancela, com uma marca identificadora da sua origem, um meio de identificação do seu titular. Através do vínculo entre a representação de uma marca pessoal única do titular (foto, assinatura de punho) e outra marca que lhe permita ser socialmente reconhecido (nome, função social). O valor da chancela depende das garantias de integridade das marcas que o suporte da célula oferece. No caso digital, as marcas na cédula incluem o timbre da autoridade pública, o nome do titular, e a chave de verificação da assinatura. Como suas marcas e seu suporte são também digitais, dificuldades emergem. Haverá sempre uma inteligência externa entre o olho que testemunha essas marcas e a cédula, intermediando seu testemunho: o software.

Pelo princípio da mínima de presunção de sigilo [A.5,10], a adoção de padrão aberto para o formato destas células e marcas digitais (no caso da ICP-Brasil, o padrão da International Telecommunications Union X-509v.3) busca resolver alguns dos problemas daí decorrentes. A saber, aqueles que não envolvam dolo do autor do software. Contra intenções ocultas na intermediação uma solução óbvia, mas não final, é requerer que a cédula seja chancelada por assinatura digital. O que leva algumas ICPs a padronizarem esta exigência aos certificados digitais (inclusa no X-509). E em algumas ICPs, sob critérios controlados (no caso da ICP-Brasil, por ACs credenciadas).

B.9- O processo recursivo de certificação. A exigência de que os certificados de chave pública sejam distribuídos assinados, cria uma necessidade recursiva. Pois para verificar a integridade de um certificado, precisamos verificar a assinatura nele lavrada. O que irá requerer a correspondente chave de verificação, que por sua vez é distribuída em um certificado assinado, que por sua vez etc... A certificação, nos moldes hoje empregados, é um processo recursivo. Para interromper a cadeia infinita de exigências de verificação de outras assinaturas digitais para se verificar uma, há que se encerrar esse processo recursivo em um certificado que contenha sua própria chave de verificação. Um certificado que diga: "minha garantia sou eu mesmo". Em outras palavras, um certificado cuja crença semântica pública [B.1.1.2] seja cega. Sendo cega, esta crença precisa apoiar-se em alguma âncora física, sua bengala para o mundo da vida e calcanhar de Aquiles para as ICPs. Estes certificados são chamados de certificados auto-assinados ou certificados-raiz. A preferência entre os dois termos depende de onde se está no jogo de significados descrito em [B.5]. A indústria de software calçou este calcanhar de Aquiles na distribuição dos certificados auto-assinados junto com os softwares que iriam usar certificados por eles verificáveis, em parceria com as que empresas que iriam emiti-los. Nasce assim a parceria entre as empresas RSADSI, Netscape e a Verisign, para por em uso prático, em 1995, a primeira ICP na Internet, através dos padrões PKCS da primeira, dos navegadores, servidores web e protocolo SSL da segunda, e dos serviços para certificados X.509 da terceira. No caso da ICP-Brasil, a âncora física do seu certificado-raiz é uma caneta no Palácio do Planalto e o artigo 62 da Constituição Federal.
 

Referências Bibliográficas

R.1- L. Lessig: "The Future of Ideas", 2001, New York, Random House.

R.2- W. Diffie & M. Hellman: "New Directions in Cryptography" IEEE Transactions on Information Theory,  IT-22, Vol 6,

R.3- R. Rivest, A. Shamir & L. Adleman: "A Method for Obtaining Digital Signatures and Public Key Cryptosystems" Communications. of The Association of Computer Machinery  Vol 21, No. 2, Feb 1978. pp 120-8

R.4 - Lobo, A. P: " Serpro é candidato a ser uma autoridade certificadora"
Computerworld, 04/12/01,  http://www.computerworld.com.br/noticias/leiec/leiec_txt.asp?id=16448

R.5- W. Ford & M. Baum: "Secure Eletronic Commerce", Prentice Hall, 1997.

R.6- Rezende, P. A. D: "O Silêncio que Produz Ruídos",
Observatório da Imprensa, 12/12/2001, http://www.observatoriodaimprensa.com.br/artigos/eno121220011.htm

R.7- Schneier, B. "The case of the 'NSAKEY' in Windows NT Crypto API" http://www.counterpane.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryptoAPI

R.8- Schneier, B.: "Segredos e Mentiras Sobre Proteção na Vida Digital".
Tradução Ed. Campus, Rio de Janeiro, RJ, 2001.

R.9- Rezende, P. A. D: "O Caso Microsoft e a Revista Veja",
Observatório da Imprensa, 21/11/2001,  http://www.cic.unb.br/~rezende/trabs/casoms.htm

R.10- Rezende, P. A. D: "Mais negócios, menos segurança",
Entrevista ao Jornal do Commércio, 3/10/2001,   http://www.cic.unb.br/~rezende/trabs/entrevistaJC.htm

R.11- Rezende, P. A. D: "The folly of controlling knowledge on software flaws",
Politics and Technology, 14/11/2001, http://politechbot.com/p-02795.html

R.12- Rezende, P. A. D: "Um pacote XurPresa!",
Jornal do Brasil, 7/6/2001,  http://www.cic.unb.br/~rezende/trabs/XurPresa.htm

R.13- acraiz@iti.gov.br: "Criada a ICP-Brasil"
Instituto de Tecnologia da Informação, 12/01/2002  http://www.iti.gov.br/medidaprov.htm

R.14- Bugarin, B. J.. "Relatório de Auditoria"
 Tribunal de Contas da União, Ata PL 48, 6/12/2000, pp. 90-111
http://www.tcu.gov.br/SA/Rol%2520de%2520Atas/Download/Atas%25202000/Plenario/ATA_PL_48

R.15- Rezende, P. A. D: "Transparência, Opacidade e Equilíbrio",
Jornal do Commercio, 14/2/2002,  http://www.cic.unb.br/~rezende/trabs/jcsbc1.htm

Resumo Curricular do Subscritor

Bacharel, Mestre e Doutorando em Matemática pela Universidade de Brasília (UnB), Advanced to Candidacy, PhD em Matemática Aplicada pela University of California at Berkeley. Trabalhou em controle de qualidade do sistema operacional Macintosh na Apple Computer Inc. (Cupertino, CA), com sistemas de consulta por voz digitalizada na DataDial Inc. (Oakland, CA), e nas primeiras aplicações de hipertexto, em 1988, desenvolvendo HyperCard stacks de domínio público para Macintoshes, nos EUA.

 Professor do Departamento de Ciência da Computação da UnB desde 1990 nas áreas de Teoria da computação, Teoria dos grafos, Linguagens formais e automata, Linguagens de programação, Compiladores, Análise de algoritmos, Teoria da Codificação, Criptografia e Segurança de dados. Na UnB atuou nos cargos de professor do departamento de Matemática, coordenador do Laboratório de informática, coordenador do ensino básico de programação, coordenador do curso de bacharelado em Ciência da Computação, dentre outros.

Coordena e ministra o Programa de Extensão em Criptografia e Segurança Computacional da UnB, participa do Centro de Capacitação e Desenvolvimento de Software do núcleo Tecsoft-Brasilia como pesquisador associado para segurança na Internet, e do fórum internacional Meta Certificate Group para desenvolvimento de tecnologia de segurança na Internet. Tem prestado consultoria científica na área de Criptografia e Segurança Computacional a empresas, instituições públicas, órgão de fomento à pesquisa cientifica, legisladores, advogados e operadores do Direito, como também ao Ministério da Educação na avaliação de cursos superiores de Informática e Computação no Brasil. Tem produzido e publicado artigos, palestras e ensaios sobre criptografia, segurança na informática, evolução dos vírus digitais, paradigmas computacionais e epistemologia da ciência. Tem sido convidado e participado de debates em congressos, seminários e audiências públicas sobre a segurança e o direito na informática, tema sobre o qual também assina uma coluna no Jornal do Commercio do Rio de Janeiro.

Seus interesses pessoais incluem o estudo da Mitologia, da Lingüística, da Semiótica, da História e Filosofia da Ciência. Seus interesses profissionais atuais se concentram no estudo de métodos formais para análise e projeto de protocolos criptográficos, e suas atividades acadêmicas incluem a orientação de trabalhos de graduação que implementam soluções de segurança computacional. Nesta atividade orientou trabalhos pioneiros no Brasil, como o primeiro firewall TCP/IP em 1995, a primeira biblioteca para Infra estrutura de Chaves Públicas em código aberto em 1998, e um software para editoração personalizada com identificação de expemplar por marca d'água digital.

Ex-alunos premiados incluem os da empresa encubada do projeto de graduação em editoração personalizada, com o prêmio de melhor plano de negócio para comércio eletrônico no Brasil, recebido no primeiro concurso nacional do gênero, o e-COBRA, em 2000, e da empresa Foton Informática, com o prêmio SOUJAVA de desenvolvedores Motorola/Nextel, pelo software para central de pagamentos via telefonia móvel, em 2001.

Sua dissertação de doutorado em Berkeley propõe um modelo algébrico para especificação de linguagens distributivas de máquina, e sua pesquisa atual está voltada para a pesquisa do custo social do modelo de negócio do software proprietário.
 
 

Brasília, 13 de Janeiro de 2001

_______________________________
Prof. Pedro Antonio Dourado de Rezende