O Controle pelo Meio Eletrônico

O meio eletrônico se mostra, hoje, como a única maneira possível do Estado ter um mínimo de controle sobre suas ações e população. Tendo mais do nunca o entendimento de cidadão / cliente, os Estados buscam no meio eletrônico a flexibilização e eficácia desejada até então somente pelo setor privado. Hoje aqui no Brasil, percebemos na Secretaria da Receita Federal uma postura muitas vezes de “faça você mesmo”. Sendo assim, é na Receita Federal que vemos as maiores aplicações do controle por meio eletrônico e certificação digital. Com a utilização da certificação digital, pelo portal da Receita eu faço desde uma simples consulta a minha vida fiscal, marco uma hora para atendimento, como faço minha declaração e realizo transações de comércio exterior.

O portal da Receita recebe mais de 20 milhões de declarações em meio eletrônico, não aceitando mais nenhuma entrada em papel. Diante disso, podemos imaginar como seria a Secretaria da Receita Federal receber todos esses processos em meio físico. Não haveria prazo viável para entrega, análise e conclusão do processo. Imaginem a guarda dessa documentação por cinco anos, para respeitar prazos legais e contábeis. O espaço físico necessário para manuseio e arquivamento é inimaginável. Inimaginável também seria recuperar a informação em um processo desses.

A iniciativa da Secretaria da Receita Federal pode ser vista hoje, copiada em diversos municípios e estados, onde o controle começa a aparecer para controle e emissão de Notas Fiscais. O controle e a troca de informação entre o setor privado e público é tão intensa e vasta que a expectativa que temos hoje é que nos próximos cinco anos deixaremos de enviar a Receita Federal as nossas declarações que passarão a ser feitas pelo próprio sistema e encaminhada às nossas caixas postais eletrônicas unicamente para conferencia.

Temos um livro lançado há pouco tempo, muito interessante e é uma boa leitura, que se chama Big Brother Fiscal, onde o autor Roberto Dias Duarte mostra as iniciativas do fisco na era do conhecimento.

O controle pelo meio eletrônico é sem dúvida um caminho sem volta.

Tiago Muriel

A segurança e padrões técnicos da certificação digital

O projeto da Certificação Digital para ter a confiança dos legisladores teve que provar tecnicamente, além de todos os seus benefícios, um robustez muito grande no que diz respeito a segurança e garantias que comprovassem a não fragilidade do processo.

Essa robustez, se baseia, para mim, em 3 pilares:

• Criptografia;
• Código Hash;
  
• ePar de chaves (pública e privada).

Dados técnicos que garantem a segurança.

A criptografia utilizada poderá chegar a 2.048 bits que é algo monstruoso. Para se ter um parâmetro, um banco de varejo utiliza em seu sistema uma criptografia de 128 bits para as transações on line de seus clientes. Isso quer dizer que é vinte vezes fácil entrar em um sistema bancário e fazer transações indevidas do que corromper um Certificado Digital.

O código Hash é produzido por um algoritmo que usa como entrada a informação transmitida.

Todo documento eletrônico, se transformado em linguagem de máquina, será produzido por 0 e 1. Assim, o sistema traz um resumo do arquivo, associando esse número ao meu certificado digital (chave privada) aplicando ainda sobre o resultado algumas informações contidas na máquina em que o arquivo foi gerado, como, por exemplo, data e hora, número de série do HD, entre outras coisas. Essas variáveis tornam impossível a reprodução do documento ou alteração do mesmo sem que não autorizado e sem deixar rastros.

O resultado do processo é um documento pequeno, leve e seguro, uma “impressão digital” com tamanho fixo de 128 ou 160 bits. O código Hash é utilizado para saber se a informação não foi alterada. A alteração de um único bit da informação produz um Hash completamente diferente.

Veja no desenho abaixo como funciona o processo: O par de Chaves Pública e Privada. Na verdade o que temos em mãos com o nosso certificado digital é a nossa senha privada que foi gerada a partir de uma outra “senha” que chamamos de chave pública. Essas chaves (são números muito grandes – 2.048 bits) e a partir da chave pública se cria a privada. O detalhe importante é que a chave privada somente o próprio titular do certificado terá acesso, pois diferentemente da senha e login, as chaves não são espelhadas, mas sim assimétricas. Portanto, para alguém ter acesso a minha chave privada e fazer uso do meu certificado digital é necessário que eu conceda em transmitir a outrem a minha chave.

Esse formato fica muito claro se analisarmos a MP 2.200-2/01 que instituiu a certificação Digital no Brasil. Vejamos o que nos diz a MP:

Art. 6º Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento. (grifo nosso)

Percebam que aqui, começamos a falar também do não repúdio que se tornou fundamental para a adesão das pessoas no projeto. Falaremos do “não repúdio” mais adiante e em um segundo momento.

Importante lembrar que a senha do Certificado Digital é realmente pessoal. Tomando-se, ainda, os bancos como exemplo, quando alguém cadastra sua senha em um servidor, a mesma não está sob conhecimento exclusivo do titular, no caso citado o banco também saberá a sua senha. No caso do Certificado Digital, a senha é restrita ao dono. Ela escolhe, e a insere no seu Certificado em um momento “íntimo” com a mídia (smart card ou token) que armazenará o Certificado Digital. Não é necessário informar a ninguém a senha escolhida. No caso das senhas e login, a tecnologia utilizada é a de espelhamento, existirá sempre uma cópia daquela senha e login em algum lugar, em algum servidor.

Outra vantagem de segurança da certificação digital é que a senha não transita na rede para ser validada. Quando alguém realiza uma transação bancária na Internet, a sua senha e seu login navegam até o servidor do banco para autenticação e autorização. É nesse caminho que um hacker faz a captura da senha. Na certificação digital, a senha é local, transitando somente entre seu computador e a mídia que armazena o seu Certificado. A senha não trafega na rede.

Esses são os tópicos de maior relevância para a segurança dos documentos que utilizem essa “nova” tecnologia. Espero que a leitura tenha sido boa e agradável. Qualquer dúvida estou à disposição.

Um abraço a todos e até a próxima!

Tiago Muriel

Tipos de Certificados Digitais 2

Basicamente, podemos dizer que temos hoje dois tipos de certificados digitais: ICP-Brasil e não ICP-Brasil (certificados próprios – a que chamamos de A2).

Valor Jurídico

Os dois possuem igualmente. Estão amparados pela MP 2.200-2/01.

Autoridade Certificadora

• ICP-Brasil – certificados emitidos pelas autoridades certificadoras credenciadas. Validade garantida pela MP 2.200-2/01 para todo território nacional e para todos os Estados que aderiram a cadeia de certificação estabelecida pela ONU.

• Não ICP-Brasil – certificados emitidos por autoridades certificadoras não credenciadas pela ICP-Brasil. Normalmente são empresas que estabelecem padrões de tecnologia e criam seu próprio certificado. Está também amparado pela MP 2.200-2/01 em seu 10º art. § 2º. Seu uso e aceite está restrito as partes que contratam entre si o uso do mesmo. Normalmente sua validade é interna e restrita.

A todos um abraço!

Tiago Muriel

Os Tipos de Certificados Digitais

Atualmente temos diversos tipos de Certificados Digitais. Não quero e não vou aqui entrar em detalhes miúdos, até porque não quero me estender muito.
Diretamente, podemos dividir os Certificados Digitais em dois tipos:
· os emitidos pela ICP–Brasil; e
· os não emitidos pela ICP–Brasil.
Esses dois mundos, dependendo do ponto de vista, podem se aproximar como podem também se distanciar drasticamente. Chamo de mundos porque podem estar perto, mas mantendo-se muito distantes.
Os Certificados Digitais ICP-Brasil, são aqueles emitidos por Autoridades de Registro vinculadas ao Governo Federal. Estão coberto pelas diretrizes estabelecida pela ONU, mantendo-se dentro da grande “cadeia de acreditação” estabelecida entre países que aderiram ao projeto. Tem sua validade garantida por Lei no Brasil e por acordos via ONU em todo o Mundo. Assemelha-se a um passaporte, tendo sua validade no mundo eletrônico. Os mais comuns são os Certificados tipo A3.

Os Certificados Digitais não emitidos pela ICP-Brasil, aos quais eu chamo de próprios ou A2, tem um uso mais restrito, pois apesar de previsto em nossa legislação, existe uma exigência de aceitabilidade. Em termos tecnológicos podemos dizer que os dois se equivalem. A aceitabilidade dos Certificados tipo A2, se restringe a aceitação a quem ele for apresentado. Isso foi estabelecido pelo art. 10 da MP 2.200-2 (MP que instituiu a infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil):
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil.
§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. (grifo nosso)

Veja que apesar de admitir o Certificado Digital não emitido pela ICP-Brasil, existe restrições a sua aceitabilidade. Mas se admitido pelas partes, ele terá a mesma validade do Certificado Digital ICP-Brasil.
A diferença entre os dois tipos de Certificados Digitais se restringe apenas a esse detalhe, mas que se não for observado poderá trazer problemas aos usuários dessa nova tecnologia.

A todos um abraço.


Tiago Muriel

Arquivo Eletrônico Sim. Arquivo Mutável Não.

Muitas Instituições de Ensino tem apresentado uma forte tendência a adesão das secretarias acadêmicas eletrônicas (virtuais). Com avanços dos softwares de controle e registro acadêmico é cada vez mais comum encontrarmos instituições que dizem ter uma secretaria acadêmica eletrônica com arquivo totalmente eletrônico. Aqui, na maioria das vezes, nos deparamos com um grande problema, ou, com um grande perigo (caso não tenha se transformado em problema). O alerta é para aquelas instituições que possuem as suas informações não em um arquivo, mas em um sistema acadêmico mutável.

É crescente o número de instituições onde os processos são desenvolvidos para que as informações fiquem nos sistemas de controle acadêmico, não alimentando um arquivo físico ou eletrônico, mas gerando um banco de dados. Entendo que os sistemas não são os melhores guardiões para as informações geradas. Essas informações guardadas em banco de dados dão uma falsa impressão de segurança e de arquivo. Lembro sempre que o arquivo não deve ser mutável. O trabalho da secretaria acadêmica é cartorial, devendo respeitar sempre a temporalidade, não podendo a cada minuto gerar um novo arquivo, um novo documento. Nesse modelo que descrevo, o elo de confiança foi quebrado.

Acompanhei, há algum tempo, um caso de falsificação de diplomas. Tudo começou com um anuncio vendendo diplomas de uma grande universidade brasileira. A secretaria acadêmica dessa universidade se norteia pelos dados disponibilizados no sistema de controle e registro acadêmico, não sendo necessário recorrer em momento algum ao seu arquivo. Essa secretaria acadêmica acreditava ter um arquivo eletrônico, mas na verdade o que ela tinha era um banco de dados mutável, dando chance às falhas e favorecendo as fraudes.

A fraude da venda dos diplomas se desenhava da seguinte maneira dentro da universidade: uma pessoa fazia contato com o vendedor de diplomas. O vendedor era na verdade uma pessoa que trabalhava na CPD da universidade, tendo acesso ao banco de dados. Depois de realizado o pagamento, fazia-se uma inserção de dados no sistema da universidade. Feito isso, o comprador dos serviços dirigia-se ao balcão da secretaria acadêmica e solicitava o seu diploma. Ao acessar o sistema, comprovava-se que o requerente teria direito ao documento solicitado que era expedido. Assim, essa pessoa que comprou o diploma passou a existir dentro da instituição, tendo sua vida acadêmica garantida pelo sistema, com datas, notas, freqüência, pagamentos entre outras coisas. Nesse caso à secretaria acadêmica não restou outra saída que não fosse emitir o diploma.

Essa fraude aconteceu por vários motivos, sendo principal deles é a falta de responsabilidade atribuída às pessoas que tem acesso aos processos dos alunos dentro da instituição de ensino superior. A utilização de tecnologia errada, já ultrapassada tem também sua parcela de culpa. Assim como 99,9% das instituições brasileiras, essa universidade controlava a inserção de informações no sistema e banco de dados através do famoso, mas vulnerável mecanismo de senha e login.

Não sou contra a utilização dos meios eletrônicos para armazenar nossos dados e ter um arquivo eletrônico. Mas faço um alerta de que os cuidados devem ser redobrados no meio eletrônico, para que consigamos ter realmente a tranqüilidade e segurança para dizer que temos uma secretaria acadêmica virtual e um arquivo eletrônico realmente confiável.

O processo precisa ter terminalidade, seja ela física ou eletrônica. No caso do documento físico é emitido, por exemplo, um diário de classe sendo este assinado pelo professor. No caso do documento eletrônico, o processo deverá ser o mesmo, com arquivos gerados e assinados eletronicamente pelos envolvidos com a garantia de que o documento gerado não poderá ser mais alterado. Aqui, garantimos a terminalidade do processo e através da Certificação Digital cumprimos as normas instituídas pela MP 2.200-1/01 que instituiu a Infra Estrutura de Chaves Públicas Brasileiras (ICP-Brasil), o que garante a validade jurídica de todo o processo e do arquivo eletrônico.

Tiago Muriel

Certificação Digital - Breve Histórico

A certificação digital teve seu início na década de 90, tendo como principal objetivo validar as transações eletrônicas feitas principalmente pelo setor público.

Esse processo teve início na década de 80, quando os Estados europeus iniciam um processo de desmaterialização de alguns procedimentos que envolviam os governos, a iniciativa privada e os cidadãos. Nesse período podemos observar a utilização do meio eletrônico para desmaterialização de alguns procedimentos utilizados para a contratação pública.

Nesse período a internet ainda engatinhava, mas o alivio que se deu aos governos no controle de seus arquivos e processos em meio eletrônico valeria o investimento e os obstáculos a serem transpostos.

Os primeiros obstáculos foram os da incerteza e da insegurança. Como tudo ainda era muito novo, os governos enfrentaram o problema da incerteza do não repúdio às informações prestadas e da insegurança de que os arquivos eletrônicos não seriam alterados posteriormente.

Com o avanço da tecnologia, e a aproximação dos juristas, já que o meio eletrônico se mostrava um caminho sem volta à sociedade, começaram a surgir ferramentas para que a incerteza e insegurança fossem minimizadas.
No início da década de 90, começaram mecanismos de certificação, feita muitas vezes pela união de tecnologia e normas jurídicas. Verifica-se então o nascimento da Certificação Digital. Veremos detalhes mais a frente.

Tivemos novamente na Europa um novo problema, onde os Certificados Digitais criados eram padronizados pelos Estados, mas não tinha uma padronização para o Mercado Comum Europeu, o que trouxe, novamente, desconfiança para o meio eletrônico. Sendo assim, uma pessoa ou empresa que tinha um Certificado Digital da França não teria como contratar ou ser contratada por uma pessoa, empresa ou governo da Alemanha, por exemplo.

Esse imbróglio teve fim em 1996 quando a ONU tomou conhecimento do projeto e através da UNCINTRAL criou uma grande cadeia de acreditação. A ONU regulamentou a Certificação Digital, criando padronização mínima onde cada Estado poderia ter sua RAIZ dentro de um projeto global, tendo assim, Certificados Digitais válidos e aceitos não só por ele, mas por outros Estados que aderissem ao projeto. Hoje, temos mais de 180 Países compondo essa grande rede de acreditação.

Mas foi com mudança de século que a Certificação Digital começou a sair da teoria para ser utilizada em larga escala. A década de 2000 ficou conhecida pela massificação da tecnologia e realmente o uso da padronização estabelecida pela ONU atingindo praticamente todo o globo.

Tiago Muriel