Certificado Digital 1

19.06.2007 |  COMPUTERWORLD | Editoria: Colunas | Assunto: Renato MartiniRenato Martini é diretor-presidente do Instituto Nacional de Tecnologia da Informação.Notas para um estudo da ICP-BrasilO que é necessário para o estudo e a avaliação do cenário brasileiro em certificação digital? O que será fundamental para nossos ajustes finos e de percurso? Por Renato Martini.Li com satisfação o artigo dos sociólogos Christiana Soares de Freitas e Alexandre Veronese intitulado “Segredo e Democracia: certificação digital e software livre”, recentemente publicado pela excelente revista acadêmica iP – Informática Pública da nossa querida empresa de informática pública de Belo Horizonte, a Prodabel. O mesmo volume traz a resenha da dissertação de mestrado de Marcelo Barra, defendida e aprovada em agosto do ano passado no Instituto de Ciências Sociais da Universidade de Brasília.Considero de enorme importância a contribuição das Ciências Sociais para destrinchar o fenômeno da desmaterialização dos procedimentos de governo, onde se inscreve, por sua vez, o nosso sistema de certificação digital, a ICP-Brasil. Tenho comentado com o professor Marcelo Zuffo, da Escola Politécnica da USP, sobre a ausência de teses acadêmicas, agora próximas às Ciências da Técnica, que tratam do caminho específico que nosso país trilhou na certificação digital. Até se encontram dissertações sobre PKI em geral, e tantas vezes debates sobre algoritmos criptográficos. O que é bom e deve prosperar. Mas, por outro lado, é necessário o estudo e a avaliação do cenário brasileiro; o que será fundamental para nossos ajustes finos e de percurso.O mesmo, todavia, parece não se passar com os cientistas sociais...Gostaria de no espaço deste artigo propor algumas notas sobre o tema. Tenho estado com ele envolvido desde 2003, como dirigente do Instituto Nacional de Tecnologia da Informação, – inicialmente como Diretor e, no momento presente, como seu Diretor-Presidente. Encontro limitações para propor tais notas históricas sobre processo que participo tão intensamente. Lembro-me do historiador francês Fernand Braudel, ao estudar o seu país, nos advertir: o historiador deve se condenar a uma forma de silêncio pessoal. Assim, sou um “observador” privilegiado, e, paradoxalmente, como sempre são as coisas, desprivilegiado.(1)Tenho tratado a Infra-estrutura de Chaves Públicas Brasileira como um sistema. Geralmente faço tal consideração em palestras e debates, e escrevi rapidamente sobre isso no Prefácio ao recente trabalho do Dr. Petrônio Calmon sobre as reformas do Código de Processo Civil. Tratar-se-ia, assim, de um sistema composto de subsistemas fundamentais e constitutivos. Há um subsistema de acreditação, que visa a auditoria de conformidade aos padrões de interoperabilidade e de segurança das ACs e ARs integrantes e seu credenciamento.É ladeado por um subsistema de segurança física e lógica, bastante exigente e rigoroso para ambientes computacionais. Um subsistema para a homologação de sistemas e equipamentos, que é o nosso Laboratório de Ensaios e Auditoria, já tratado aqui nesta coluna. E, por fim, um subsistema de datação eletrônica, todavia ainda em vivo debate no Comitê Gestor da ICP-Brasil. Poder-se-ia, sem dúvida transversalmente, observar a presença de um “sistema auxiliar” jurídico e de normalização – pois todas as regras do sistema ICP-Brasil são públicas e bem definidas.O que nossa infra-estrutura busca realizar são critérios objetivos de confiança. Expurgando, portanto, critérios subjetivos e psicológicos de confiança, ou mesmo irracionais. A idéia de confiança deixará de ser o “patinho feio da ciência” (Ed Gerck) quando não mais for concebido como algo meramente subjetivo ou intersubjetivo, como geralmente ocorre no mundo da vida.O sistema ICP-Brasil é um sistema de confiança. Também os sistemas sociais são sistemas de confiança, mas estes se valem sobretudo da confiança intersubjetiva. Portanto, só se podem desenvolver modelos de confiança reais e objetivos (os “real-world models of trust” como quer Gerck) para sistemas de comunicação, no mundo da infra-estrutura da informação, quando dermos estruturas objetivas a todos estes modelos.Por isso a ICP-Brasil assume certos critérios que se querem objetivos; tem como base modelos de auditoria, baseia-se em padrões abertos e estabelece regras públicas mantidas por Comitês. Trata-se, como foi assinalado, de um sistema de confiança, com seus componentes sistêmicos essenciais, ou características “soma” e constituição, na expressão de Bertalanffy. E aqui, vale a regra de Ruyer: “o que é substituível, com vantagem, num sistema, não pode ser a parte essencial desse sistema”.(2)Na conclusão do artigo, nossos autores asseveram com razão: a ciência criptográfica atrela-se à noção de segredo. Mas isto, dizem eles, não se mostra incompatível com a sociedade democrática. Os autores estão corretos. Ressalto um aspecto em especial. A ICP-Brasil é um “criptossistema civil”. É desenvolvido e mantido para atender a redes abertas, em que as pontas não se conhecem, tal como é marcadamente a Internet. Ele necessita de algoritmos abertos e não-proprietários, que podem ser implementados em diferentes plataformas e softwares.Em contrapartida, encontramos “criptossistemas militares”, ou para uso da segurança de Estado. Estes são desenvolvidos e mantidos para redes fechadas e privadas, em que as pontas se conhecem. Aqui o algoritmo deve ser privativo do Estado, - ele deve desenvolvê-lo e conhecer os seus segredos. Num criptossistema civil o segredo deve ser no limite a chave privada. Pois políticas de certificações, padrões de segurança, arquiteturas de hardware, são especificados de forma pública. Já a chave privada deve ser gerada e mantida em hardware especifico, resistente à violação, e estar de posse de seu proprietário – o cidadão. Naquele há mecanismos de “recuperação de chaves”, de tutela de chaves (key escrowing), entretanto já num criptossistema civil não.(3)Tenho a mesma convicção que a certificação serve ao exercício da cidadania digital. Anos atrás, usei a expressão “criptografia e cidadania digital” em um trabalho publicado em 2001. E ano passado, em Colóquio sobre Administração Eletrônica, organizado pela Universidade Paris I, defendi que numa sociedade moderna, o digital é representado essencialmente pelo alcance das novas tecnologias, por exemplo, a cidadania digital face a face a assinatura digital.A própria definição do digital está na base das tendências modernizadoras do governo e da sociedade. Essa transformação jurídica, técnica e dos valores ao mesmo tempo será o resultado da interação desses dois aspectos essenciais, e também da interação dos destinatários das normas habermasianos. No entanto, o alcance e o sentido das novas tecnologias podem gerar cidadania (desmaterialização, transparência, eficiência), mas pode às vezes no seu uso sem controle roubarem direitos. Sistemas de certificação digital sempre terminarão numa plataforma computacional, por vezes insegura, e tudo pode se resumir a isso.Mas por outro lado, a sociedade não esperará pelo idílio de uma plataforma totalmente segura. O sistema ICP-Brasil tem um protagonista essencial, a saber, smart card, o cartão com chip ISO-7816. Nele a chave privada é gerada, e nele ela é armazenada, sem nunca usar a memória volátil do sistema, o que, por fim, lhe garante a segurança. Há, depois, o middleware entre o cartão e o Sistema Operacional. Dependemos, assim, de um certo nível de confiança em sistemas e equipamentos. Para isso desenvolvemos ensaios e testes, colocamos equipamentos e sistemas na bancada, e segundo critério objetivos os homologamos. Mas, diga-se por fim, minha mauvaise foi para as parafernálias técnicas não tem sido Heidegger ou Marcuse, mas sim o Professor Pedro Antonio de Dourado Resende. Tenho-o sempre em mente quando confio demais na técnica.NOTAS:iP- Informática Pública (Prodabel), www.ip.pbh.brEd Gerck. Toward Real-World Models of Trust: Reliance on Received Information, http://safevote.com/papers/trustdef.htm.L. von Bertalanffy. General System Theory. Foundations, Development, Applications. New York, G. Braziller, 1968.Raymond Ruyer. La Cybernétique et l´Origine de l´Information. Paris, Flammarion, 1954.Petrônio Calmon. Comentários à Lei de Informatização do Processo Judicial. São Paulo, ed. Forense, 2007.Renato Martini. Criptografia e Cidadania Digital . Rio de Janeiro, editora Ciência Moderna, 2001.Renato Martini. Le Fait dans le Droit de l´Administration Electronique Brésilien, 1er Colloque International sur le Thème du Droit de l’Administration Electronique: http://dae2006.univ-paris1.fr.