P. 1
DocumentoEletrônico_AssinaturaDigital

DocumentoEletrônico_AssinaturaDigital

|Views: 156|Likes:
Publicado pornandoangola1

More info:

Published by: nandoangola1 on Sep 13, 2010
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

04/29/2014

pdf

text

original

Atividade Legislação de TI e Gestão de Contratos Documento eletrônico - Rodrigo Assinatura digital - Fernando Fernandes Certificado digital - Fernando Di Gianni

Infra-estrutura de Chaves Públicas (PKI) – Fernando Di Gianni

O documento eletrônico e a assinatura digital.
Uma visão geral
Texto extraído do Jus Navigandi http://jus2.uol.com.br/doutrina/texto.asp?id=2632

Ald e m a r i o A r a u j o C a s t r o
p r o c u r a d o r d a F a z e n d a N a c

i o n a l , m e s t r e e m D i r e i t o , p r o f e s s o r d a U n i v e r s i d a d e C a t ó l i c a d e

B r a s í l i a ( U C B ) , c o o r d e n a d o r d a E s p e c i a l i z a ç ã o ( à d i s t â n c i a ) e m D

i r e i t o d o E s t a d o d a U C B

I. DOCUMENTO ELETRÔNICO Por documento entende-se a "coisa representativa de um fato" (Moacyr Amaral Santos). Nesta idéia, o termo "coisa" pode ser reputado como fundamental ou essencial e indicativo, ou não, da presença de algo material. O afastamento da materialidade por ser obtido pela mitigação da forma, assumindo importância decisiva o aspecto funcional do registro do fato. Por outro lado, a palavra em questão pode ser tomada no sentido de "tudo o que existe" ou "realidade absoluta (por oposição a aparência, ou representação)". Assim, o documento eletrônico pode ser entendido como a representação de um fato concretizada por meio de um computador e armazenado em formato específico (organização singular de bits e bytes), capaz de ser traduzido ou apreendido pelos sentidos mediante o emprego de programa (software) apropriado. (1) A partir do conjunto normativo aplicável (2) (3) e mesmo das considerações acerca da materialidade do documento são encontradas duas correntes jurídicas quanto à existência e validade dos chamados documentos eletrônicos (4). Uma delas, sustenta a impossibilidade jurídica do documento eletrônico. A outra, admite a existência e a validade dos documentos eletrônicos. Esta última desdobra-se em duas vertentes: a que admite o documento eletrônico como realidade jurídica válida por si e a que somente aceita o documento eletrônico com o atendimento de certos requisitos, dada a sua volatilidade e a ausência de traço personalíssimo de seu autor. Entendemos, afastando o critério de interpretação literal (e restritivo), fundado sobretudo nos arts. 368 ("escrito e assinado"), 369 ("reconhecer a firma do signatário"), 371 ("assinar"), 374 ("assinado"), 376 ("escreveu"), 386 ("entrelinha, emenda, borrão ou cancelamento"), entre outros, do Código de Processo Civil, que a existência e validade do documento eletrônico em si não pode ser recusada. Afinal, adotado um raciocínio hermenêutico sistemático (5) e consentâneo com a evolução histórica das tecnologias manuseadas pelo homem, verificamos o império da liberdade de forma no direito pátrio. Não custa lembrar a aceitação inquestionável do contrato verbal. Assim, quem pode o mais pode o menos (argumento "a maiori ad minus"). A conhecida lei modelo da UNCITRAL (Comissão das Nações Unidas para leis de comércio internacional) sobre comércio eletrônico, que a busca a uniformização internacional da legislação sobre o

tema, consagra em seu art. 5o.: "Não se negarão efeitos jurídicos, validade ou eficácia à informação apenas porque esteja na forma de mensagem eletrônica". A utilização e aceitação jurídica do documento eletrônico é crescente, independentemente da aplicação, na sua confecção, de certas técnicas de segurança. Neste sentido, encontramos importantes decisões judiciais (6) e diplomas legais (7). Com certeza, a volatilidade e a ausência de traço personalíssimo do autor fragilizam o documento eletrônico. Surge, assim, o grande e crucial problema da eficácia ou validade probatória do mesmo, resolvido, como veremos adiante, por modernas técnicas de criptografia. As dificuldades, no campo probatório, do "documento eletrônico puro" (desprovido de técnicas, acréscimos ou requisitos de "segurança") deverão ser superadas, na linha do livre convencimento, pelo recurso a todos os elementos e circunstâncias envolvidos na sua produção e transmissão. Merece destaque a noção de cópia de documento eletrônico. Deve ser assim considerada "... o documento eletrônico resultante da digitalização de documento físico, bem como a materialização física de documento eletrônico original" (conforme o Anteprojeto de Lei apresentado pela OAB/SP). A edição da Medida Provisória n. 2.200, de 28 de junho de 2001, responsável pela fixação do quadro regulamentório da assinatura digital no Brasil, suscitou um problema novo em relação à validade jurídica do documento eletrônico. Com efeito, o art. 1o. do diploma legal referido afirma: "Fica instituída a InfraEstrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, (...)". Como posto, é possível a interpretação de que a Medida Provisória não trata apenas da validade probatória do documento eletrônico, e sim, da validade jurídica do próprio documento em forma eletrônica. Nossa opinião, na linha dos argumentos anteriormente apresentados, relacionados, sobretudo, com a liberdade de forma e admissão de contratos verbais no direito brasileiro, é de que a Medida Provisória n. 2.200, de 2001, trata, embora com redação deficiente, da validade ou eficácia probatória dos documentos eletrônicos. Lembramos, neste particular, que o projeto de lei submetido à consulta pública pela Casa Civil da Presidência da República no final do ano 2000, estabelecia que os documentos eletrônicos teriam o mesmo valor jurídico daqueles produzidos em papel desde que fosse assegurada a sua antenticidade e integridade (8). A supressão da expressão "desde que" e a fixação de que a Infra-Estrutura de Chaves Públicas visa garantir a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos, apontam para o aspecto funcional, para a agregação de um valor ou característica antes inexistente, para a validade probatória.

II. ASSINATURA DIGITAL Como já vimos, se por um lado o documento eletrônico existe e é válido juridicamente, por outro lado, subsiste, diante de sua fugacidade, o crucial problema da eficácia ou validade probatória do mesmo. A indagação se impõe: como garantir autenticidade e integridade ao documento eletrônico? (9) A resposta, para os padrões tecnológicos atuais, consiste na utilização da chamada assinatura digital baseada na criptografia assimétrica de chave pública (e chave privada). A rigor, num par de chaves matematicamente vinculadas entre si. Neste ponto cumpre observar a realização da "máxima" de que os novos problemas trazidos pela tecnologia deverão ter solução buscada no âmbito tecnológico.

A criptografia consiste numa técnica de codificação de textos de tal forma que a mensagem se torne ininteligível para quem não conheça o padrão utilizado. Sua origem remonta às necessidades militares dos romanos (Escrita cifrada de César). O padrão criptográfico manuseado para cifrar ou decifrar mensagens é conhecido como chave. Quando a mesma chave é utilizada para cifrar e decifrar as mensagens temos a denominada criptografia simétrica ou de chave privada, normalmente utilizada em redes fechadas ou computadores isolados. Quando são utilizadas duas chaves distintas, mas matematicamente vinculadas entre si, uma para cifrar a mensagem e outra para decifrá-la (10), temos a criptografia assimétrica ou de chave pública, vocacionada para utilização em redes abertas como a Internet. A criptografia moderna lança mão de conceitos técnicos avançados para a cifragem das mensagens: os algoritmos. Estes, numa visão singela, consistem em fórmulas matemáticas extremamente complexas, utilizadas para geração dos padrões ou chaves criptográficas. Como funciona a assinatura digital (baseada na criptografia assimétrica) de um texto ou mensagem eletrônica? Na sistemática atualmente adotada, aplica-se sobre o documento editado ou confeccionado um algoritmo de autenticação conhecido como hash (11) (12). A aplicação do algoritmo hash gera um resumo do conteúdo do documento conhecido como message digest, com tamanho em torno de 128 bits. Aplica-se, então, ao message digest, a chave privada do usuário, obtendo-se um message digest criptografado ou codificado. O passo seguinte consiste um anexar ao documento em questão a chave pública do autor, presente no arquivo chamado certificado digital. Podemos dizer que assinatura digital de um documento eletrônico consiste nestes três passos: a) geração do message digest pelo algoritmo hash; b) aplicação da chave privada ao message digest, obtendo-se um message digest criptografado e c) anexação do certificado digital do autor (contendo sua chave pública). Destacamos, neste passo, um aspecto crucial. As assinaturas digitais, de um mesmo usuário, utilizando a mesma chave privada, serão diferentes de documento para documento. Isto ocorre porque o código hash gerado varia em função do conteúdo de cada documento. E como o destinatário do texto ou mensagem assinada digitalmente terá ciência da integridade (não alteração/violação) e autenticidade (autoria) do mesmo? Ao chegar ao seu destino, o documento ou mensagem será acompanhado, como vimos, do message digest criptografado e do certificado digital do autor (com a chave pública nele inserida). Se o aplicativo utilizado pelo destinatário suportar documentos assinados digitalmente ele adotará as seguintes providências: a) aplicará o mesmo algoritmo hash no conteúdo recebido, obtendo um message digest do documento; b) aplicará a chave pública (presente no certificado digital) no message digest recebido, obtendo o message digest decodificado e c) fará a comparação entre o message digest gerado e aquele recebido e decodificado. A coincidência indica que a mensagem não foi alterada, portanto mantém-se íntegra. A discrepância indica a alteração/violação do documento depois de assinado digitalmente. É justamente este o mecanismo utilizado para viabilizar as chamadas conexões seguras na Internet (identificadas pela presença do famoso ícone do cadeado amarelo). Para o estabelecimento de uma conexão deste tipo, o servidor acessado transfere, para o computador do usuário, um certificado digital (com uma chave pública). A partir deste momento todas as informações enviadas pelo usuário serão criptografadas com a chave pública recebida e viajarão codificadas pela Internet. Assim, somente o servidor acessado, com a chave privada correspondente, poderá decodificar as informações enviadas pelo usuário. Subsiste, entretanto, o problema da autenticidade (autoria). Portanto, a sistemática da assinatura digital (baseada na criptografia assimétrica) necessita de um instrumento para vincular o autor do documento ou mensagem, que utilizou sua chave privada, a chave pública correspondente. Em conseqüência, também o problema da segurança ou confiabilidade da chave pública a ser utilizada precisa ser resolvido. Esta função (de vinculação do autor a sua respectiva chave pública) fica reservada para as chamadas entidades ou autoridades certificadoras. Assim, a função básica da entidade ou autoridade certificadora está centrada na chamada

autenticação digital, onde fica assegurada a identidade do proprietário das chaves. A autenticação é provada por meio daquele arquivo chamado de certificado digital. Nele são consignadas várias informações, tais como: nome do usuário, chave pública do usuário, validade, número de série, entre outros. Este arquivo, também um documento eletrônico, é assinado digitalmente pela entidade ou autoridade certificadora. O sistema de criptografia assimétrica permite o envio de mensagens com total privacidade. Para tanto, o remetente deve cifrar o texto utilizando a chave pública do destinatário. Depois, ele (o remetente) deverá criptografar o texto com a sua chave privada. O destinatário, ao receber a mensagem, irá decifrá-la utilizando a chave pública do remetente. O passo seguinte será aplicar a própria chave privada para ter acesso ao conteúdo original da mensagem. O processo de regulamentação da assinatura digital no Brasil pode ser dividido, até o presente momento, em 6 (seis) fases ou etapas. São elas: 1. Projetos Num primeiro momento, notamos a presença de uma série de projetos de lei tratando do assunto. Vejamos os principais: 1.1. Lei Modelo das Nações Unidas sobre Comércio Eletrônico. Em 1996, a Organização das Nações Unidas, por intermédio da Comissão das Nações Unidas para leis de comércio internacional (UNCITRAL), desenvolveu uma lei modelo buscando a maior uniformização possível da legislação sobre a matéria no plano internacional. Na parte concernente a assinatura digital, a lei modelo consagra o princípio da neutralidade tecnológica, não se fixando em técnicas atuais e possibilitando a inovação tecnológica sem alteração na legislação. Deixa as especificações técnicas para o campo da regulamentação, mais afeita a modificações decorrentes de novas tecnologias. 1.2. Projeto de Lei n. 672, de 1999, do Senado Federal. Incorpora, na essência, a lei modelo da UNCITRAL. 1.3. Projeto de Lei n. 1.483, de 1999, da Câmara dos Deputados. Em apenas dois artigos, pretende instituir a fatura eletrônica e a assinatura digital (certificada por órgão público). 1.4. Projeto de Lei n. 1.589, de 1999, da Câmara dos Deputados. Elaborado a partir de anteprojeto da Comissão de Informática Jurídica da OAB/SP, dispõe sobre o comércio eletrônico, a validade jurídica do documento eletrônico e a assinatura digital. Adota o sistema de criptografia assimétrico como base para a assinatura digital e reserva papel preponderante para os notários. Com fundamento no art. 236 da Constituição e na Lei n. 8.935, de 1994, estabelece que a certificação da chave pública por tabelião faz presumir a sua autenticidade, enquanto aquela feita por particular não gera o mesmo efeito. (13) Deve ser registrado que o Projeto 1.589 está apenso ao 1.483 e, ambos, encontram-se sob a apreciação de uma comissão parlamentar especial na Câmara dos Deputados. 2. Edição de Decreto pelo Governo Federal Com a edição do Decreto n. 3.587, de 5 de setembro de 2000, foi instituída a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal. Estava, então, criado um sistema de assinaturas digitais, baseado na criptografia assimétrica, a ser utilizado no seio da Administração Pública Federal. 3. Projeto de Lei submetido à consulta pública pelo Governo Federal No mês de dezembro de 2000, a Casa Civil da Presidência da República submeteu à consulta pública um projeto de lei dispondo sobre a autenticidade e valor jurídico e probatório de documentos eletrônicos produzidos, emitidos ou recebidos por órgãos públicos. A proposta definia que a autenticidade e a

integridade dos documentos eletrônicos decorreriam da utilização da Infra-Estrutura de Chaves Públicas criada por decreto meses antes. A proposição consagrava profundos equívocos, notadamente a não inclusão de documentos eletrônicos trocados entre particulares e a caracterização de que os documentos eletrônicos não tinham validade jurídica sem os procedimentos ali previstos. 4. Apresentação de substitutivo para apreciação de Comissão Especial da Câmara dos Deputados No final do mês de junho de 2001, o Deputado Júlio Semeghini, Relator do Projeto de Lei n. 1.483 (e do Projeto de Lei n. 1.589 - apensado), apresentou Substitutivo aos projetos referidos, consolidando as propostas e agregando aperfeiçoamentos. O trabalho apresentado pelo relator decorreu de uma rotina de atividades, com início registrado em maio de 2000, envolvendo discussões internas e audiências públicas da Comissão Especial. Em relação à assinatura digital, o Substitutivo adotou o sistema baseado na criptografia assimétrica, ressalvando a possibilidade de utilização de outras modalidades de assinatura eletrônica que satisfaçam os requisitos pertinentes. Estabeleceu, ainda, o Substitutivo, um modelo de certificação no qual podem atuar entidades certificadoras públicas e privadas, independentemente de autorização estatal. Fixou, entretanto, que somente a assinatura digital certificada por entidade credenciada pelo Poder Público presume-se autêntica perante terceiros. 5. Edição da Medida Provisória 2.200 No dia 29 de junho de 2001, o Diário Oficial da União veiculou a Medida Provisória n. 2.200. Este diploma legal instituiu a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil para garantir a autenticidade e a integridade de documentos eletrônicos através da sistemática da criptografia assimétrica. A organização da ICP-Brasil, a ser detalhada em regulamento, comporta uma autoridade gestora de políticas (Comitê Gestor da ICP-Brasil) e uma cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz (Instituto Nacional de Tecnologia da Informação - ITI), pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. À AC Raiz, primeira autoridade da cadeia de certificação, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC (de nível imediatamente subseqüente ao seu), sendo vedado emitir certificados para o usuário final. Às AC, órgãos ou entidades públicas e pessoas jurídicas de direito privado, compete emitir, expedir, distribuir, revogar e gerenciar os certificados de usuários finais. Às AR, entidades operacionalmente vinculadas a determina AC, compete identificar e cadastrar usuários, na presença destes, e encaminhar solicitações de certificados às AC. O modelo centralizado adotado, vedando a certificação não derivada da AC Raiz, gerou profundas críticas (14). Nas edições subseqüentes da MP n. 2.200, apesar de mantido o modelo centralizado (15), único gerador da presunção de veracidade em relação ao signatário do documento eletrônico, admitiu-se a utilização de outros meios de comprovação de autoria e integridade, inclusive os que utilizem certificados não emitidos pela ICP-Brasil. Outro aspecto digno de nota é a definição de que o par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento. 6. Aprovação de substitutivo (com alterações) pela Comissão Especial da Câmara dos Deputados No final de setembro de 2001, a Comissão Especial da Câmara dos Deputados aprovou, com várias alterações, o Substitutivo do Relator (Deputado Júlio Semeghini). A rigor, o novo texto ajustou-se a Medida Provisória da ICP-Brasil, aceitando a autoridade certificadora raiz. Foi criado um credenciamento provisório

até a completa operacionalização do modelo da ICP-Brasil. Como afirmamos, o problema da identificação e da integridade dos documentos eletrônicos encontrou solução por meio da assinatura digital, baseada na criptografia assimétrica (16). A assinatura digital, vale registrar, é apenas uma das espécies de assinatura eletrônica, abrangente de vários métodos ou técnicas, tais como: senhas, assinaturas tradicionais digitalizadas, chancela, biometria (íris, digital, timbre de voz), entre outras.

III. NOTAS (1) "documento eletrônico: a informação gerada, enviada, recebida, armazenada ou comunicada por meios eletrônicos, ópticos, opto-eletrônicos ou similares." (art. 2o., inciso I do Projeto de Lei sobre documento eletrônico, assinatura digital e comércio eletrônico aprovado por Comissão Especial da Câmara dos Deputados). (2) As principais normas com força de lei, no ordenamento jurídico brasileiro, aplicáveis aos documentos são as seguintes: Código Civil: "Art. 82. A validade do ato jurídico requer agente capaz, objeto lícito e forma prescrita ou não defesa em lei." "Art. 129. A validade das declarações de vontade não dependerá de forma especial, senão quando a lei expressamente a exigir." "Art. 136. Os atos jurídicos, a que se não impõe forma especial, poderão provar-se mediante: I - Confissão; II - Atos processados em juízo; III - Documentos públicos ou privados; IV - Testemunhas; V - Presunção; VI - Exames e vistorias; VII - Arbitramento." "Art. 1.079. A manifestação de vontade, nos contratos, pode ser tácita, quando a lei não exigir que seja expressa." "Art. 1.081. (...) Considera-se também presente a pessoa que contrata por meio de telefone." Código de Processo Civil: "Art. 131. O juiz apreciará livremente a prova, atendendo aos fatos e circunstâncias constantes dos autos, ainda que não alegados pelas partes; mas deverá indicar, na sentença, os motivos que lhe formaram o convencimento."

"Art. 154. Os atos e termos processuais não dependem de forma determinada senão quando a lei expressamente a exigir, reputando-se válidos os que, realizados de outro modo, lhe preencham a finalidade essencial." "Art. 244. Quando a lei prescrever determinada forma, sem cominação de nulidade, o juiz considerará válido o ato se, realizado de outro modo, lhe alcançar a finalidade." "Art. 332. Todos os meios legais, bem como os moralmente legítimos, ainda que não especificados neste Código, são hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa." "Art. 368. As declarações constantes do documento particular, escrito e assinado, ou somente assinado, presumem-se verdadeiras em relação ao signatário. Parágrafo único. Quando, todavia, contiver declaração de ciência, relativa a determinado fato, o documento particular prova a declaração, mas não o fato declarado, competindo ao interessado em sua veracidade o ônus de provar o fato." "Art. 369. Reputa-se autêntico o documento, quando o tabelião reconhecer a firma do signatário, declarando que foi aposta em sua presença." "Art. 371. Reputa-se autor do documento particular: I - aquele que o fez e o assinou; II - aquele, por conta de quem foi feito, estando assinado; III - aquele que, mandando compô-lo, não o firmou, porque, conforme a experiência comum, não se costuma assinar, como livros comerciais e assentos domésticos." "Art. 374. O telegrama, o radiograma ou qualquer outro meio de transmissão tem a mesma força probatória do documento particular, se o original constante da estação expedidora foi assinado pelo remetente. Parágrafo único. A firma do remetente poderá ser reconhecida pelo tabelião, declarando-se essa circunstância no original depositado na estação expedidora." "Art. 376. As cartas, bem como os registros domésticos, provam contra quem os escreveu quando: I - enunciam o recebimento de um crédito; II - contêm anotação, que visa a suprir a falta de título em favor de quem é apontado como credor; III - expressam conhecimento de fatos para os quais não se exija determinada prova." "Art. 383. Qualquer reprodução mecânica, como a fotográfica, cinematográfica, fonográfica ou de outra espécie, faz prova dos fatos ou das coisas representadas, se aquele contra quem foi produzida lhe admitir a conformidade. Parágrafo único. Impugnada a autenticidade da reprodução mecânica, o juiz ordenará a realização de exame pericial." "Art. 386. O juiz apreciará livremente a fé que deva merecer o documento, quando em ponto substancial e sem ressalva contiver entrelinha, emenda, borrão ou cancelamento."

"Art. 388. Cessa a fé do documento particular quando: I - lhe for contestada a assinatura e enquanto não se Ihe comprovar a veracidade; II - assinado em branco, for abusivamente preenchido. Parágrafo único. Dar-se-á abuso quando aquele, que recebeu documento assinado, com texto não escrito no todo ou em parte, o formar ou o completar, por si ou por meio de outrem, violando o pacto feito com o signatário." (3) O novo Código Civil, já aprovado no âmbito do Congresso Nacional, não altera as considerações aqui formuladas. Com efeito, o seu art. 104 repete a fórmula do atual art. 82; o futuro art. 107 mantém os termos do art. 129 e o vindouro art. 212 conserva o espírito do atual art. 136. O futuro art. 428 contempla a contratação por telefone ou meio de comunicação semelhante, na linha do atual art. 1.081. Ademais, o novo art. 225 estabelece literalmente: "As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão." (Texto obtido no seguinte endereço eletrônico: http://www.intelligentiajuridica.com.br). (4) "Vários são os trabalhos que vêm sendo desenvolvidos visando a negar ou afirmar a validade jurídica de documento quando gerado em meio digital, Cfr., entre tantos outros, os trabalhos de Ricardo Luis Lorenzetti, "Informática, Cyberlaw, E-Commerce", nesta obra coletiva; Frédérique Dupuis-Toubol, "Contracting on the Net: proof of transaction", ob. cit.; Silvânio Covas, "O COntrato no ambiente virtual. Contratação por Meio de Informática", ob. cit.; Davi Monteiro Diniz, Documentos Eletrônicos, Assinaturas Digitais, ob. cit.; José Henrique Barbosa Moreira Lima Neto, "Aspectos Jurídicos do Documento Eletrônico", ob. cit,; Giovanni Buonomo, Atti e Documenti in Forma Digitale, ob. cit.; Andrea Graziozi, "Premesse ad una teoria probatoria del documento informatico", ob. cit.; Paolo Piccoli e Giovanna Zanolini, "II Documento Elettronico e la Firma Digitale", ob. cit." Queiróz, Regis Magalhães Soares de. Assinatura Digital e o Tabelião Virtual. Nota 44. Pág. 385. Publicado em Direito e Internet. Aspectos Jurídicos Relevantes. EDIPRO. (...) entendemos que quando assegurados os quatro requisitos acima exposto, seria teoricamente possível, em casos em que nõ saão exigidas formalidades específicas, atribuir-se validade jurídica ao documento eletrônico." Queiróz, Regis Magalhães Soares de. Assinatura Digital e o Tabelião Virtual. Págs. 385/386. Publicado em Direito e Internet. Aspectos Jurídicos Relevantes. EDIPRO. "Quanto ao valor probatório, não há obstáculos para que o juiz no domínio de suas faculdades reconheça esses documento (eletrônicos), porém subsiste a incerteza com respeito à possibilidade de no caso se avaliar não tratar-se de um instrumento seguro. NO direito vigente existe então uma importante tendênciaencaminhada para a admissão dos documentos eletrônicos, tanto no que toca à sua validade quanto no que toca à sua eficácia probatória. Todavia, é necessário consagrar uma regra clara e especificar as condições técnicas nas quais esses documentos reúnam as qualidades de seguros e indeléveis." Lorenzetti, Ricardo Luis. Informática, Cyberlaw, E-commerce. Pág. 427. Publicado em Direito e Internet. Aspectos Jurídicos Relevantes. EDIPRO. (5) "Contra, José Henrique Barbosa Moreira Lima Neto, entendendo que há várias leis que equiparam documento ao ´escrito´, o que inviabilizaria a interpretação sistemática". Queiróz, Regis Magalhães Soares de. Assinatura Digital e o Tabelião Virtual. Nota 48. Pág. 386. Publicado em Direito e Internet. Aspectos Jurídicos Relevantes. EDIPRO. (6) "ARROLAMENTO - CERTIDÃO NEGATIVA DE TRIBUTOS FEDERAIS - Obtenção por consulta ao endereço eletrônico da Procuradoria-Geral da Fazenda Nacional. Validade. Existência de Portaria do Procurador-Geral da Fazenda Nacional (Portaria n. 414/98), conferindo a essa certidão os mesmo efeitos da certidão negativa expedida pelas unidades da Procuradoria. Recurso provido (TJSP - 8ª Câm. de

Direito Privado; Ag. de Instr. n° 105.464.4/7-São Paulo-SP; Rel. Des. Cesar Lacerda ; j. 17.03.1999; v.u.). ACÓRDÃO Vistos, relatados e discutidos estes autos de AGRAVO DE INSTRUMENTO n° 105.464-4/ 7, da Comarca de SÃO PAULO, em que é agravante R.R., inventariante do... , sendo agravado O JUÍZO: ACORDAM, em oitava Câmara de Direito Privado do Tribunal de Justiça do Estado de São Paulo, por votação unânime, dar provimento ao recurso, de conformidade com o relatório e voto do Relator, que ficam fazendo parte do acórdão. O julgamento teve a participação dos Desembargadores RICARDO BRANCATO (Presidente, sem voto), HAROLDO LUZ e EGAS GALBIATTI. São Paulo, 17 de março de 1999. CESAR LACERDA Relator VOTO Cuida-se de agravo de instrumento inter-posto pelo.. , através de seu inventariante, R.R., nos autos do arrolamento dos bens deixados pela falecida, contra a respeitável decisão reproduzida a fls. 51, que determinou a juntada de certidão negativa da Receita Federal, não aceitando documento acostado. Sustenta a agravante que, com a determinação do Juízo para que fossem apresentadas certidões negativas de débitos fiscais, a certidão negativa da dívida ativa da União foi obtida junto à Receita Federal pela Internet. Assevera que a certidão expedida por consulta eletrônica foi validada, para todos os fins, pela Portaria n° 414/98, não havendo razão para seu indeferimento. Recurso regularmente processado, com informações prestadas pelo MM. Juiz (fls. 63/ 64). É o relatório. O agravo comporta provimento. Os elementos dos autos demonstram que o inventariante atendeu à exigência de comprovação de inexistência de tributos federais, mediante apresentação de certidão negativa obtida por consulta ao endereço eletrônico da Procuradoria-Geral da Fazenda Nacional, via Internet. A expedição da referida certidão é fruto da evolução tecnológica e se amolda ao espírito desburocratizante que tem informado os tempos modernos, encontrando fundamento na Portaria n° 414, de 15.07.98, do Procurador-Geral da Fazenda Nacional, que estabelece: "Artigo 1 ° - Fica instituída a Certidão Negativa quanto à Dívida Ativa da União, emitida por meio da INTERNET. § 1 ° - Da certidão a que se refere este artigo, constará, obrigatoriamente, a hora e data da emissão. § 2° - A certidão a que se refere este artigo produzirá os mesmos efeitos da certidão negativa emitida por qualquer das unidades da Procuradoria-Geral da Fazenda Nacional e será válida por 30 dias. " O Código de Processo Civil prevê que os atos e termos do processo não dependem de forma

determinada, exceto quando a lei expressamente exigir (artigo 154). O Diploma Processual também estatui que "qualquer reprodução mecânica, como a fotográfica, cinematográfica, fonográfica ou de outra espécie, faz prova dos fatos ou das coisas representadas, se aquele contra quem foi produzida lhe admitir a conformidade" (artigo 383). A própria Receita Federal admite, mediante portaria, a validade da certidão negativa obtida por meio eletrônico, não havendo razão jurídica relevante para negar validade ao documento. Diante do exposto, dá-se provimento ao recurso, para o fim de que seja aceita a certidão negativa obtida por meios eletrônicos. São Paulo, 04 de março de 1999. CESAR LACERDA Relator" (7) "Instrução Normativa SRF nº 86, de 22 de Outubro de 2001 DOU de 23.10.2001 Dispõe sobre informações, formas e prazos para apresentação dos arquivos digitais e sistemas utilizados por pessoas jurídicas. O SECRETÁRIO DA RECEITA FEDERAL no uso da atribuição que lhe confere o inciso III do art. 209 do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF no 259, de 24 de agosto de 2001, e tendo em vista o disposto no art. 11 da Lei nº 8.218, de 29 de agosto de 1991, alterado pela Lei nº 8.383, de 30 de dezembro de 1991, com a redação dada pelo art. 72 da Medida Provisória nº 2.158-35, de 24 de agosto de 2001, resolve: Art. 1º As pessoas jurídicas que utilizarem sistemas de processamento eletrônico de dados para registrar negócios e atividades econômicas ou financeiras, escriturar livros ou elaborar documentos de natureza contábil ou fiscal, ficam obrigadas a manter, à disposição da Secretaria da Receita Federal (SRF), os respectivos arquivos digitais e sistemas, pelo prazo decadencial previsto na legislação tributária. Parágrafo único. As empresas optantes pelo Sistema Integrado de Pagamento de Impostos e Contribuições das Microempresas e Empresas de Pequeno Porte (Simples), de que trata a Lei nº 9.317, de 5 de dezembro de 1996, ficam dispensadas do cumprimento da obrigação de que trata este artigo. Art. 2º As pessoas jurídicas especificadas no art. 1º, quando intimadas pelos Auditores-Fiscais da Receita Federal, apresentarão, no prazo de vinte dias, os arquivos digitais e sistemas contendo informações relativas aos seus negócios e atividades econômicas ou financeiras. Art. 3º Incumbe ao Coordenador-Geral de Fiscalização, mediante Ato Declaratório Executivo (ADE), estabelecer a forma de apresentação, documentação de acompanhamento e especificações técnicas dos arquivos digitais e sistemas de que trata o art. 2º. § 1º Os arquivos digitais referentes a períodos anteriores a 1º de janeiro de 2002 poderão, por opção da pessoa jurídica, ser apresentados na forma estabelecida no caput. § 2º A critério da autoridade requisitante, os arquivos digitais poderão ser recebidos em forma diferente da estabelecida pelo Coordenador-Geral de Fiscalização, inclusive em decorrência de exigência de

outros órgãos públicos. § 3º Fica a critério da pessoa jurídica a opção pela forma de armazenamento das informações. Art. 4º Fica formalmente revogada, sem interrupção de sua força normativa, a partir de 1º de janeiro de 2002, a Instrução Normativa SRF nº 68, de 27 de dezembro de 1995. Art. 5º Esta Instrução Normativa entra em vigor na data da sua publicação, produzindo efeitos a partir de 1º de janeiro de 2002. EVERARDO MACIEL" (8) "Art. 1o. Os documentos produzidos, emitidos ou recebidos por órgãos públicos federais, estaduais ou municipais, bem como pelas empresas públicas, por meio eletrônico ou similar, têm o mesmo valor jurídico e probatório, para todos os fins de direito, que os produzidos em papel ou em outro meio físico reconhecido legalmente, desde que assegurada a sua autenticidade e integridade. Parágrafo único. A autenticidade e integridade serão garantidas pela execução de procedimentos lógicos, regras e práticas operacionais estabelecidas na Infra-Estrutura de Chaves Públicas Governamental ICP-Gov." (9) Encontramos, em diversos autores, a menção ou referência a outros requisitos, tais como: perenidade ou não repúdio. Entendemos que outros requisitos, além da integridade e autenticidade, não são essenciais para à segurança probatória do documento eletrônico ou são decorrências/conseqüências dos dois mencionados. (10) Podemos figurar a seguinte analogia, acerca do par de chaves criptográficas (privada e pública), com finalidade exclusivamente didática. Imagine uma língua complicadíssima somente conhecida por dois seres especiais. Um deles, chamado CHAVE PRIVADA, vive no seu computador e só você conhece a sua identidade. O outro ser, chamado CHAVE PÚBLICA, perambula pela Internet, vivendo em qualquer computador. Existe um código de conduta entre estes dois seres no sentido de que uma mensagem traduzida por um deles, para aquela língua estranha, não mais será analisada pelo autor da tradução e só, somente só, pelo outro. Assim, os textos e mensagens que você confeccionar e forem traduzidos por CHAVE PRIVADA, seu hóspede virtual, somente serão entendidos por CHAVE PÚBLICA e vice-versa. (11) "Uma função hash é uma equação matemática que utiliza texto (tal como uma mensagem de email) para criar um código chamado message digest (resumo de mensagem). Alguns exemplos conhecidos de funções hash: MD4 (MD significa message digest), MD5 e SHS. Uma função hash utilizada para autenticação digital deve ter certas propriedades que a tornem segura para uso criptográfico. Especificamente, deve ser impraticável encontrar: - Texto que dá um hash a um dado valor. Ou seja, mesmo que você conheça o message digest, não conseguirá decifrar a mensagem. - Duas mensagens distintas que dão um hash ao mesmo valor". (Disponível em http://www.certisign.com.br/help_email/concepts/hash.htm. Acesso em 23 out. 2001) (12) A rigor, a assinatura digital pode prescindir dos algoritmos de autenticação, a exemplo do hash. É possível a criação de uma assinatura digital com base no conteúdo da própria mensagem. Ao chegar no destinatário, a assinatura é decodificada e comparada com o conteúdo da mensagem. A coincidência entre a mensagem e a assinatura decodificada é indicativa da ausência de alteração. Os principais problemas desta sistemática estão relacionados com o tempo de envio e processamento (cifragem e decifragem de todo o conteúdo da mensagem; o todo transmitido tem o dobro do tamanho original) e as mensagens de conteúdo originalmente "estranho" (série de números aleatórios, coordenadas, etc). A introdução de funções hash ao processo de assinatura digital supera estas dificuldades. (13) Cumpre destacar a existência de uma tendência internacional no sentido da iniciativa privada

conduzir o comércio eletrônico em geral e as atividades de certificação em particular. No Brasil, principalmente em função do disposto no art. 236 da Constituição, subsiste a discussão acerca de eventual reserva desta atividade para determinada categoria de agentes (tabeliães ou notários). Pensamos que as atividades do tabelião são aquelas fixadas em lei, conforme prevê expressamente o §1o. do citado art. 236 da Constituição. Neste sentido, a lei pode deferir a outro ator social (e não ao tabelião) a condição de entidade ou autoridade certificadora. (14) Veja algumas das críticas: a) de Marcos da Costa e Augusto Tavares da Comissão de Informática Jurídica da OAB de São Paulo (em http://www.cbeji.com.br/artigos/artmarcosaugusto05072001.htm); b) da CertSign (em http://www.certisign.com.br/imprensa_mix.html#); c) da Sociedade Brasileira de Computação (em http://www.sbc.org.br) e d) da OAB (logo adiante). A primeira nota da OAB: "A Ordem dos Advogados do Brasil vem a público manifestar o seu repúdio à nova Medida Provisória nº 2.200, de 29/06/2001, que trata da segurança no comércio eletrônico no País. A MP, editada às vésperas do recesso dos Poderes Legislativo e Judiciário, desprezou os debates que vêm sendo realizados há mais de um ano no Congresso Nacional sobre três projetos a esse respeito, um dos quais oferecido pela OAB-SP. Ao estabelecer exigência de certificações para validade dos documentos eletrônicos públicos e privados, a MP não apenas burocratiza e onera o comércio eletrônico, como distancia o Brasil das legislações promulgadas em todo o mundo. Pior: ao outorgar poderes a um Comitê Gestor, nomeado internamente pelo Executivo e assessorado por órgão ligado ao serviço de segurança nacional, o governo subtrai a participação direta da sociedade civil na definição de normas jurídicas inerentes ao conteúdo, procedimentos e responsabilidades daquelas certificações. Tudo isso é motivo de extrema preocupação no que tange à preservação do sigilo de comunicação eletrônica e da privacidade dos cidadãos, num momento em que grampos telefônicos têm se proliferado país afora, afrontando, inclusive, o livre exercício da advocacia. Brasília, 03 de julho de 2001. Rubens Approbato Machado. Presidente nacional da OAB". A segunda nota da OAB: "A Ordem dos Advogados do Brasil reconhece a sensibilidade do Governo Federal em acolher as críticas e sugestões manifestadas na primeira edição da Medida Provisória nº 2.200, alterando-a substancialmente em pontos fundamentais, a saber: 1) determina que o par de chaves criptográficas seja gerado sempre pelo próprio titular e sua chave privada de assinatura seja de seu exclusivo controle uso e conhecimento (§ único do art. 8º); 2) eleva o número de representantes da sociedade civil no Comitê Gestor (art. 3º); 3) limita os poderes daquele Comitê à adoção de normas de caráter técnico (incisos II e IV do Art. 5º e caput do art. 6º), bem como lhe determina a observância de tratados e acordos internacionais no que se refere ao acolhimento de certificações externas (inciso VII do art. 5º); 4) estabelece que a identificação do titular da chave pública seja presencial (art. 9º); 5) limita os efeitos legais da certificação ao próprio signatário (§ 1º do art. 12º); e 6) utiliza outros meios de prova da autenticidade dos documentos eletrônicos, afastando, assim, a obrigação do uso nos documentos particulares de certificações da ICP-Brasil (§ 2 º do art. 12º). Entende a OAB que tais disposições são fundamentais para o restabelecimento de um ambiente que assegure a privacidade, segurança e liberdade nas manifestações de vontade dos cidadãos realizadas por meio eletrônico. Independente desses verdadeiros avanços, a OAB continua certa de a disciplina do documento eletrônico, da assinatura digital e das certificações eletrônicas deva nascer de um amplo debate social, estabelecido em sede própria, qual seja, o Congresso Nacional, razão pela qual manifesta sua confiança em que a nova redação da MP não representará prejuízo ao andamento regular dos projetos de lei que tramitam atualmente em nosso Parlamento." (15) "Discute-se, em nível mundial, segundo Henrique Conti, qual o melhor sistema de certificação a ser adotado. Pode-se criar uma hierarquia de certificadoras públicas ou privadas, baseado numa ceritficadora-raiz que possui as informações de todas as outras certificadoras. Nos Estados Unidos, segundo o convidado, esse modelo vem sendo duramente criticado, devido a preocupações com privacidade. Observa-se, portanto, uma tendência no sentido de implantar sistemas de certificação não hierárquicos, baseados no mútuo reconhecimento e troca de certificados entre várias certificadoras." Semeghini, Júlio. Voto no Substitutivo aos Projetos de Lei n. 1.483 e 1.589, ambos de 1999. Disponível em

http://www.modulo.com.br/pdf/semeghini.pdf. Acesso em 22 out. 2001. (16) "Ao tratar-se do tema assinatura digital em seu aspecto mais técnico, acaba-se fazendo relação direta aos algoritmos de autenticação. Entretanto, como a tecnologia caminha a passos largos, torna-se impossível garantir que a correlação entre uma assinatura digital e um algoritmo de autenticação venha a ser necessária dentro de algum tempo. Existe até mesmo a possibilidade de que a nomenclatura ´assinatura digital´ acabe sendo substituída quando do abandono do uso dos algoritmos de autenticação." Volpi, Marlon Marcelo. Assinatura Digital. Aspectos Técnicos, Práticos e Legais. Axcel Books. 2001. Pág. 17. IV. LISTA DE LINKS Artigo ASPECTOS JURÍDICOS DO DOCUMENTO ELETRÔNICO. Autor: José Henrique Barbosa Moreira Lima Neto. www.jus.com.br/doutrina/docuelet.html Artigo O DOCUMENTO ELETRÔNICO COMO MEIO DE PROVA. Autor: Augusto Tavares Rosa Marcacini. buscalegis.ccj.ufsc.br/arquivos/artigos/O_documento_eletronico_como_meio_de_prova.htm Artigo VALIDADE JURÍDICA DE DOCUMENTOS ELETRÔNICOS. CONSIDERAÇÕES SOBRE O PROJETO DE LEI APRESENTADO PELO GOVERNO FEDERAL. Autor: Aldemario Araujo Castro. www.aldemario.adv.br/projetocc.htm www.informaticajur.hpg.com.br/projetocc.htm Representação gráfica da assinatura digital Figura recuperada da pág. 25 da obra Assinatura Digital de Marlon Marcelo Volpi www.infojurucb.hpg.ig.com.br/assdig.jpg Representação gráfica da assinatura digital II www.infojurucb.hpg.ig.com.br/quadroassdig.htm Exemplo de MENSAGEM ASSINADA DIGITALMENTE www.infojurucb.hpg.ig.com.br/assinada.gif Exemplo de INDICAÇÃO DE ALTERAÇÃO da mensagem depois de assinada digitalmente www.infojurucb.hpg.ig.com.br/violada.gif Imagens de um certificado digital www.infojurucb.hpg.ig.com.br/certificado1.gif

www.infojurucb.hpg.ig.com.br/certificado2.gif Lei Modelo da UNCITRAL. www.direitonaweb.adv.br/legislacao/legislacao_internacional/Lei_Modelo_Uncitral.htm www.direitonaweb.adv.br Projeto de Lei n. 1.589, de 1999. www.informaticajur.hpg.ig.com.br/ploab.htm www.informaticajur.hpg.ig.com.br Infra-estrutura de chaves públicas do Poder Executivo Federal. Decreto 3.587, de 5 de setembro de 2000 www.planalto.gov.br/ccivil_03/decreto/D3587.htm www.planalto.gov.br Substitutivo apresentado pelo Relator à Comissão Especial www.modulo.com.br/pdf/semeghini.pdf www.modulo.com.br Medida Provisória n. 2.200, de 28 de junho de 2001 www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200.htm www.planalto.gov.br Medida Provisória n. 2.200-1, de 27 de julho de 2001 www.planalto.gov.br/ccivil_03/MPV/2200-1.htm www.planalto.gov.br Medida Provisória n. 2.200-2, de 24 de agosto de 2001 www.planalto.gov.br/ccivil_03/MPV/2200-2.htm www.planalto.gov.br Substitutivo (com alterações) aprovado pela Comissão Especial www.cbeji.com.br/legislacao/PL4906-aprovado.htm www.cbeji.com.br Artigo ASSINATURAS ELETRÔNICAS - O PRIMEIRO PASSO PARA O

DESENVOLVIMENTO DO COMÉRCIO ELETRÔNICO? Autor: Henrique de Faria Martins www.cbeji.com.br/artigos/artasselet.htm www.cbeji.com.br Artigo ASSINATURA DIGITAL NÃO É ASSINATURA FORMAL. Autora: Angela Bittencourt Brasil www.cbeji.com.br/artigos/artang02.htm www.cbeji.com.br Criptografia www.catar.com.br/hg/leohomepage/criptografia.htm www.gold.com.br/~colt45/danger/criptografia.html Regime jurídico dos documentos eletrônicos e assinatura digital em Portugal. Decreto-Lei 290-D/1999 www.giea.net/legislacao.net/internet/assinatura_digital.htm PGP (Pretty Good Privacy) - Programa gratuito (para fins não comerciais) para encriptação de arquivos utilizando o método das chaves públicas e privadas www.pgpi.org

Sobre o autor
Aldemario Araujo Castro
E-mail: [ não disponível ] Home-page: www.aldemario.adv.br

Sobre o texto:
Texto inserido no Jus Navigandi nº54 (02.2002) Elaborado em 10.2001.

Informações bibliográficas:

Conforme a NBR 6023:2000 da Associação Brasileira de Normas Técnicas (ABNT), este texto científico publicado em periódico eletrônico deve ser citado da seguinte forma:

CASTRO, Aldemario Araujo. O documento eletrônico e a assinatura digital. Uma visão geral. Jus Navigandi, Teresina, ano 6, n. 54, fev. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=2632>. Acesso em: 30 abr. 2009.

Assinatura digital
Texto extraído do Jus Navigandi http://jus2.uol.com.br/doutrina/texto.asp?id=1782

An g e l a B i t t e n c o u r t B r a s i l
m e m b r o d o M i n i s t é r i o P ú b l i c o

d o R i o d e J a n e i r o

INTRODUÇÃO Muito se tem falado em Informática Jurídica e tanto tem se especulado sobre o futuro das relações virtuais. Não temos dúvidas que as palavras de ordem do momento são repensar e mudar o comportamento. Ninguém discute que a popularização do uso da informática trouxe em seu bojo questionamentos vários e conjunções jurídicas que, requerem atenção imediata e urgente dos doutrinadores e legisladores do mundo inteiro, já que os contatos, os negócios e todos os seus derivados perderam a fronteira e derrubaram a fiscalização alfandegária na dimensão que até então conhecíamos. Dentre os questionamentos feitos por todos que acessam a Internet e que por esse meio fazem negócios ou estabelecem relações de qualquer nível, a segurança é a que mais preocupa, pois como qualquer outro compromisso ele pode ser desvirtuado e comprometer as partes envolvidas. Por isso da preocupação em resguardar os meios de segurança dos documentos e a necessidade do meio técnico absolutamente pessoal para o sucesso dessas relações. É bem verdade que mesmo no mundo real, assinaturas são falsificadas e documentos são forjados, porque o ser humano é falho e será sempre assim, tanto no campo real como no campo virtual. Temos sistemas de proteção para todo o tipo de fraudes nos documentos materiais e a legislação, tanto civilista quanto penalista, dispõe de normas inibidoras e repressoras para defender a sociedade, como deve ser. Mas e no mundo virtual? Esse é o novo desafio e esta é uma pequena abordagem sobre esse assunto que urge ser estudado e discutido para que as novas relações possam alcançar o fim esperado, ou seja, a globalização completa e segura.

O DOCUMENTO FÍSICO E O DOCUMENTO ELETRÔNICO Historicamente nossos doutrinadores tem definido o documento como algo material, uma res, uma representação exterior do fato que se quer provar e, sempre conhecemos a prova documental como a maior das provas, pois consistente da representação fática do acontecido. Na esteira desses pensamentos, ao ligarmos indelevelmente o fato jurídico à matéria como uma coisa tangível, teríamos dificuldades em conceituar o documento eletrônico, pois este é intangível e etéreo, e muito longe se encontra do conceito de "coisa" como matéria. Partindo-se do conceito conhecido de que o documento é uma coisa representativa de um fato, no

ensinamento de Moacyr Amaral Santos, não se pode dizer que o documento eletrônico é um Documento, porque ele não é uma coisa e portanto não pode ser representativa de um fato. Mas se olharmos pelo prisma do registro do fato, veremos que ele se adequa perfeitamente a este conceito, porque como uma sequência de bits ele pode ser traduzido por meio de programas de informática que vai revelar o pensamento ou a vontade daquele que o formulou, exigindo do intérprete uma concepção abstrata para compreendê-lo. Como um escrito que pode ser reproduzido, se o documento eletrônico for copiado na mesma sequência de bits, ele será sempre o mesmo, tal qual o documento físico que se reproduz por meio de vários sistemas, tais como, cópia xerox ou fotografia. Na verdade não há cordão umbilical entre o trabalho feito eletronicamente e o meio onde foi criado. Evidentemente que ele pode ser reproduzido por uma série de processos, sendo o mais usual o CD que armazena dados retirados dos computadores e são guardados fora do disco rígido. A única diferença existente nesse aspecto é que não podemos falar em Original e Cópia entre os dois se não houver uma identificação pessoal do seu autor, porque num programa de computador, os dados ali existentes são sempre os mesmos, não se podendo dizer nunca qual é a fonte original deles sem a necessária autenticação. Não se pode fazer, por exemplo, um exame grafotécnico para conferir à determinada pessoa a autoria de um texto. Por isso que se, por acaso, houver um descompasso entre o material apresentado e o que foi registrado no Computador, o documento eletrônico então terá que ser analisado e a assinatura do seu autor pode e deve ser reconhecida pela figura de um Cibernotário. Diante dessas colocações temos que o documento eletrônico é a representação de um fato concretizado por meio de um computador e armazenado em programa específico capaz de traduzir uma sequência da unidade internacional conhecida como bits.

A ASSINATURA DIGITAL Para que alcancemos uma total eficácia nos contatos pela Internet é preciso a presença de um fator, sem o qual essas relações estão fadadas ao fracasso, ou seja, a segurança, que hoje é a maior preocupação de todos aqueles que negociam pelos meios eletrônicos. A credibilidade desses documentos está ligada essencialmente à sua originalidade e à certeza de que ele não foi alterado de alguma maneira pelos caminhos que percorreram até chegar ao destinatário. Os fatores de risco podem advir por fatores internos ou externos, sendo que os internos podem acontecer por erro humano ou mesmo falha técnica. O fator externo, e aí está o risco maior, consiste na atuação fraudulenta de estranhos que pode alcançar meios para adentrar no programa enviado e desviar o objetivo do mesmo, em prejuízo das parte envolvidas no negócio. Portanto, para a segurança desses documentos é necessário que abordemos dois aspectos que devem ser equacionados antes de se ter o documento como totalmente confiável: Primeiramente, como todo documento e para que assim possa ser chamado, é preciso a identificação do seu autor por meio da correspondência entre a autoria aparente e a autoria real. Isso se faz por meio de um sinal pessoal que chamamos de assinatura ou firma. Em seguida, é preciso a preservação do documento, que deve ser mantido ou na memória do computador ou transmitido para um CD, longe de possíveis alterações que deturpem o seu conteúdo. Por ser uma máquina, o computador pode sofrer uma pane, pode ser apagado, pode ser manipulado por terceiros e por isso consideramos a guarda do documento em um CD, a forma mais segura para a sua conservação intacta.

A Criptologia é a ciência que estuda a maneira mais segura e secreta para a realização das comunicações virtuais. É composta de Criptografia e Criptoanálise que nada mais representam o que foi exposto acima, ou seja a criação de uma senha e a chave para decifrá-la. As técnicas de assinatura feitas por meio da Criptografia consistem numa mistura de dados ininteligíveis onde é necessário o uso de duas chaves, a pública e a privada, para que ele possa se tornar legível. É como se fosse um cofre forte que somente para quem tem o seu segredo é acessível. Assim, ele em nada se assemelha à assinatura com a qual estamos acostumados, pois na verdade a assinatura eletrônica é um emaranhado de números que somente poderá ser codificado para quem possua a chave privada e sua descodificação então deverá ser feita por meio de uma chave pública. O mundo da tele-economia que se avizinha cada vez mais rapidamente, antes restrito a um grupo pequeno de internautas, converteu-se rapidamente numa fonte inesgotável de possibilidades em todos os campos das comunicações humanas. A argumentação de alguns autores de que o documento eletrônico não pode ser considerado juridicamente por lhe faltar a firma, numa visão hoje ultrapassada, mais uma vez nos leva a crer que urge uma legislação específica tuteladora desses interesses, sob pena de uma paralisação na economia do país que não acompanhar de forma rápida a evolução tecnológica mundial e a realidade do mundo virtual. Não há como por meio da chave pública, desvendar os segredos da chave privada devido às operações matemáticas que são utilizadas para a confecção da chave privada. As operações são de tal forma intrincadas que a segurança delas pode ser considerada totais e impedem que a chave pública possa descobrir os segredos numéricos da chave privada. Esta é como uma complicada senha. Vamos dar aqui uma pequena explicação de como se processa a criação da chave privada que guarda o segredo da assinatura eletrônica. Essa assinatura é formada por uma série de letras, números e símbolos e é feita em duas etapas. Primeiramente o autor, através de um software que contém um algoritmo próprio, realiza uma operação e fez um tipo de resumo dos dados do documento que quer enviar, também chamado de função hash. Após essa operação ele usa a chave privada que vai encriptar este resumo e o resultado desse processo é a assinatura digital. É por isso que a assinatura eletrônica, diferentemente da assinatura real, se modifica a cada arquivo transformado em documento e o seu autor não poderá repeti-la como faz com as assinaturas apostas nos documentos reais. Em seguida, o autor envia o documento ao destinatário, com a assinatura digital e este, por meio da chave pública faz a descriptação para fazer a prova da autenticidade do documento. Para descriptar a mensagem o destinatário usa o mesmo algoritmo usado no software e cria um resumo da mensagem, ou função hash, que é comparado ao resumo enviado pelo autor. Se o resultado dos dois for igual, o documento é autêntico e confiável. Somente deste modo, usando o processo de Encriptação dos documentos é que as partes podem ter certeza da identidade uma da outra. Essa tecnologia como dissemos é o resultado de um conjunto alfanumérico que é conhecido como "sistema assimétrico de encriptação de dados". Essa técnica permite que a informação se torne inteligível para todos, menos para o destinatário, pois este vai usar da Criptoanálise para recuperar a informação recebida.. A mensagem que vai para o destinatário e que passa livremente pela rede chama-se Plaintext – o texto simples- e depois de encriptada recebe o nome de Ciphetxt – texto cifrado- e sua transormação é feita através do antes citado algoritmo e da chave.

Mesmo que o algoritmo possa ser de conhecimento público ele dependerá fundamentalmente das chaves para ser decifrado. Apesar de parecer complicado, o sistema é fácil de ser usado pelos usuários da Internet. Suponhamos que eu queira mandar este arquivo confidencialmente para o leitor X. Primeiramente vou procurar a chave pública do leitor X em um diretório, e utilizo essa chave para encriptar o artigo e o envio. Recebida a mensagem o meu leitor X usa a chave privada que tem e descodifica o texto para lê-lo. Estes sistemas que se denominam SISTEMAS CIFRADOS são fundamentados em operações matemáticas que criam os sistemas simétricos e assimétricos de encriptação de dados que viajam na grande auto estrada das informações. No criptosistema simétrico, usa-se apenas uma chave tanto para o emissor quanto para o receptor da mensagem, o que torna frágil a segurança do seu teor e por isso, gostamos mais do sistema assimétrico que se utiliza de duas chaves, ou seja, a pública e a privada. Mas como ter a certeza absoluta de que a assinatura procede da pessoa que está enviando o documento? Mais um processo de segurança é usado com a presença da Autoridade Certificante, que é a pessoa encarregada de fornecer os pares de chaves. Essa Autoridade é uma entidade independente e legalmente habilitada para exercer as funções de distribuidor das chaves e pode ser consultado à qualquer tempo certificando que determinada pessoa é a titular da assinatura digital , da chave pública e da correspectiva chave provada. Esse documento é equiparado a um documento Notarial e por ter força de certificar a verdade, é preciso que a lei normatize o seu conteúdo. A primeira iniciativa em legislar sobre a assinatura eletrônica ocorreu nos Estados Unidos, mais precisamente no Estado de Utah, com o objetivo de permitir a autenticação dos documentos eletrônicos e facilitar o comércio e outras relações contratuais via Internet, seguindo o sistema de Criptografia e cuja chave ainda se encontra naquele daquele país. O país norte americano promulgou a "Digital signature and eletronic authentication law" de 02/02/1998 que facilitou sobremaneira o seu uso pelas Instituições financeiras, permitindo a autenticação dos documentos por meio da Criptologia. Na mesma esteira, a Alemanha já tem a sua "Informations Und Kommunikationsdienste Gesetz Iukdg", lei federal que estabelece condições gerais para o uso das assinaturas digitais, tanto ao seu aspecto de segurança e se baseia no mesmo sistema da Criptografia. E assim, outros países, como a Itália e a Bélgica adotaram procedimentos semelhantes A ONU, por meio de uma comissão chamada UNCITRAL (Comissão das Nações Unidas sobre o Direito do Comércio Internacional)já volta os seus olhos para essa questão da segurança nas relações cibernéticas e reconhece os certificados emitidos por uma entidade certificadora de outro Estado membro da União Européia, se este possuir um grau de segurança equivalente ao dos países membros da ONU. O crescimento exponencial das redes e utilizadores da Internet constitui um fortíssimo elemento de pressão da procura no sentido do aumento dos investimentos em infraestruturas de redes de telecomunicações, bem como a necessidade de se normatizar as suas regras, porque se isso não for feito certamente haverá uma parada econômica. Não temos no Brasil uma definição legal do que sejam dados de computador e muito menos uma legislação que ampare as negociações cibernéticas o que faz com que a estagnação econômica virá se nada for feito à respeito.

CONCLUSÃO Tomando-se a Internet como uma realidade e compreendendo-se as facilidades que ela traz a todos que a utilizam como instrumento de trabalho e negocial, vimos que está reservado ao Direito uma importante parcela dos seus resultados, pois incumbe a ele a tarefa de estabelecer regras para essa relação, reprimir o abuso prejudicial dos contatos e, acima de tudo, encarar a rede como um meio eficaz e rápido para o crescimento econômico. E é entre os atos jurídicos que podem ser efetuados pela WEB e que já estão sendo feitos, é que surge a necessária segurança para o estabelecimento completo dessas relações. Se o Brasil ainda não tem as chaves necessárias para a concepção da Assinatura Digital, essa é a hora da fazê-la através dos seus técnicos. Se ainda não possui uma Autoridade Certificante para dar credibilidade aos documentos, que reuna os nossos matemáticos para que possam se transformar em Ciber Notários. E finalmente, que os nossos legisladores entendam a premência do estabelecimento das normas reguladoras dos espaço virtual e ponham as mãos à obra.

Sobre a autora
Angela Bittencourt Brasil
E-mail: Entre em contato Home-page: www.ciberlex.adv.br

Sobre o texto:

Texto inserido no Jus Navigandi nº40 (03.2000) Elaborado em 01.2000.
Conforme a NBR 6023:2000 da Associação Brasileira de Normas Técnicas (ABNT), este texto científico publicado em periódico eletrônico deve ser citado da seguinte forma:

Informações bibliográficas:
BRASIL, Angela Bittencourt. Assinatura digital . Jus Navigandi, Teresina, ano 4, n. 40, mar. 2000. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=1782>. Acesso em: 30 abr. 2009.

A firma digital e entidades de certificação
Texto extraído do Jus Navigandi http://jus2.uol.com.br/doutrina/texto.asp?id=2945

Má r i o A n t ô n i o L o b a t o d e P a i v a
a d v o g a d o e m B e l é m ( P A ) , t

i t u l a r d o e s c r i t ó r i o P a i v a A d v o c a c i a , p r o f e s s o r d a U n i v e r s i d a d e

F e d e r a l d o P a r á

J o s é C u e r v o
a d v o g a d o e s p e c i a l i z a d o e m t e m a s d e

D i r e i t o I n f o r m á t i c o , g r a d u a d o s o c i a l p e l a E s c o l a S o c i a l d e S a l a

m a n c a ( E s p a n h a ) , m e s t r e e m a d m i n i s t r a ç ã o d e e m p r e s a s c o m e s p e c i a

l i z a ç ã o e m D i r e i t o E m p r e s a r i a l p e l a U n i v e r s i d a d e P o l i t é c n i c a d e

M a d r i ( E s p a n h a )

Sumário: Introdução; 1- Firma analógica (manuscrita); 1.1- Características da firma; 1.2- Elementos da firma; 1.3- Aspectos legais; 2- Firma digital (eletrônica); 2.1- Características da firma eletrônica; 2.2 Aspectos legais; 2.2.1- Nos Estados Unidos; 2.2.2 – Na Europa; 2.2.3 – No México; 2.2.4 – No Brasil; 2.2.5A nivel internacional; 2.3- Legalidade dos documentos com firma digital; 3- Autoridade ou entidade de certificação de chaves; 3.1 Funções das autoridades de certificação; 3.2 Autoridades públicas de certificação; 3.3- Autoridades privadas de certificação; 4- Conclusões; 5; Bibliografia.

Introdução A incorporação das novas tecnologias da informação em nossa sociedade fazem com que em diversas situações, os conceitos jurídicos tradicionais sejam pouco idôneos para interpretar as novas realidades. O avanço de sua implantação em todas as atividades tem provocado transformações de ampla magnitude que nos permite afirmar que a sociedade atual está imersa na era da revolução informática. Este avanço nos permite o acesso a todo tipo de informação, obtendo com ela um benefício correspondente. A informação tem sido qualificada como um autêntico poder nas sociedades avançadas, demonstndo sua importância desde a antiguidade e que com o desenvolvimento da telemática seu valor tem expandido de tal forma que se dirige a um futuro pomissor para uns e incertos para outros. O comércio, como disse DEL PESO NAVARRO, pioneiro em inovações jurídicas introduzidas no passado por meio de costume, uma vez mais toma a dianteira e inumeráveis transações econômicas vem sendo realizadas através dos meios eletrônicos, sem mais suporte legal que ao pacto entre as partes. A contratação eletrônica em seu mais puro sentido, pouco a pouco vem sendo desenvolvida e cresce de forma espetacular. Uma vez mais temos caminhado diante deste direito, entendendo esse como direito positivo. Na maioria das situações que envolvem questões jurídicas relacionadas com a informática quando tratamos de reconduzir estes novos feitos as figuras jurídicas jurídicas existentes nos deparamos com certas dificuldades. As velhas intituições jurídicas que, através dos séculos tem sido incorporadas as novas realidades sociais, quando tem de fazê-lo com respeito a estas novas tecnologias entram em conflito ou as admitem com reservas. Assim ocorre quando tratamos de adaptar o conceito de firma, tal como antigamente se concebia, ao novo campo das transações eletrônicas. O objetivo pretendido com o presente ensaio é de adentrar-mos no tema "documento informático", da firma e sua autenicação e sua importância, bem como os efeitos probatórios do documento em si, fazendo um breve repasse em sua aceitação nacional e internacional e as futuras autoridades de certificação das

firmas digitais

1. Firma analógica Segundo CARRASCOSA LÓPEZ, podemos indicar que em Roma, os documentos não eram firmados. Existia uma cerimônia chamada manufirmatio, pelo qual, logo após a leitura do documento por seu autor e o notarius, era estendido sobre uma mesa e se passava a mão pelo pergaminho em sinal de sua aceitação. Somente depois de cumprir essa cerimônia era estampado o nome do autor. O sistema jurídico Visigótico existia a confirmação do documento pelas testemunhas que o tocavam (Chartam tangere), assinavam e subescreviam (firmatio, roboratio, stipulatio). Os documentos privados são, em ocasiões, confirmados por documentos reais. Desde a época euriciana as leis visigotas determinavam as formalidades documentais, regulando detalhadamente as assinaturas, signos e comprovação de escrituras. A "assinatura" respresentada pela indicação do nome do signante e a data, e o "signum", um rasgo (traço dado com pena) que a substitue se não se souber ou não se puder escrever. Com a "assinatura" é dado pleno valor probatório ao documento e ao "signum" devia ser complementado com o juramento de dizer a verdade por parte de uma das testemunhas Se faltar a firma ou o sinal do autor do documento, está será inoperante e deve completar-se com o juramento das testemunhas sobre a veracidade do conteúdo. Na idade média, a documentação régia vinha garantida em sua autenticidade pela implantação do selo real, selo que posteriormente passou as classes nobres e privilegiadas. A firma era definida pela doutrina como o signo pessoal distintivo que, permite informar acerca da identidade do autor de um documento, e manifestar seu acordo sobre o conteúdo do ato. A Real Academia da Língua Espanhola define a firma como: "nome e apelido ou título de uma pessoa que está por com rúbrica ao pé de um documento escrito a mão própria ou alheia, para dar-lhe autenticidade, para exepressar que se aprova seu conteúdo ou para obrigar-se ao que nele se disse". O Novo Dicionário da Língua Portuguese define firma como: "assinatura por extenso ou abreviada, manuscrita ou gravada" No vocabulário de COUTORE se define como: "traçado gráfico, contendo habitulamente o nome, os apelidos e a rúbrica de uma pessoa, com a qual se subscrevem os documentos para dar-lhes autoria e virtualidade e obrigar-se a que neles foi dito". 1.1. Características da firma Das anteriores definições se depreendem as seguintes características: a) Identificativa: serve para identificar quem é o autor do documento b) Declarativa: significa a assunção do conteúdo do documento pelo autor da firma. Sobretudo quando se trata da conclusão de um contrato, a forma é o sinal principal que representa a vontade de obrigarse. 3- Probatoria: permite identificar se o autor da firma é efetivamente o que celebrou a ato de firmar o documento. 1.2. Elementos da firma Temos que distinguir entre:

a) Elementos formais: são aqueles materiais da firma que estão relacionados com os procedimentos utilizados para firmar e ao grafismo mesmo da firma. - A firma como sinal pessoal A firma é representada como uma espécie de sinal distintivo e pessoal, já que deve ser posta pelo punho e letra do firmante. Essa característca da firma manuscrita pode ser eliminada e substituída por outros meioscomo por exemplo, na firma eletrônica. - O animus signandi b) Elemento intencional ou intelectual da firma: consiste na vontade de assumir o conteúdo de um documento, que não deve ser confundido com a vontade de contratar. c) Elementos funcionais Tomando a noção de firma como o sinal ou conjunto de sinais, podemos distinguir um dupla função. - Identificadora A firma assegura a relação jurídica entre o ato firmado e a pessoa que o firmou. A identidade da pessoa determina sua personalidade e os efeitos de atribuidos no campo dos direitos e obrigações. A firma manuscrita expressa a identidade, aceitação e a autoria do firmante. Não é um método de autenticação totalmente confiável. No caso de ser reconhecido a firma, o documento poderia ter sido modificado quanto ao seu conteúdo – falsificado- e no caso de que não existir a firma autografada parece fica prejudicado outro meio de autenticação. Em caso de dúvida ou negativa deverá ser realizada competente perícia caligráfica para seu esclarecimento. -Autenticação O autor do ato expressa seu consentimento e faz sua própria mensagem.Destacando: - Operação passiva que não requer o consentimento, nem mesmo do próprio sujeito identificado. - Processo ativo pelo qual algúem se identifica conscientemente bem como quanto ao conteúdo subscrito atribuido ao mesmo. 1.3. Aspectos legais A firma credita a autoria do documento subscrito normalmente ao final do mesmo e representa a formalização do consentimento e a aceitação do exposto, e portanto originina direitos e obrigações. A firma será válida sempre que não seja falsificada ou tenha sido obtido com engano, coação ou de qualquer outro procedimento ilícito.

2.Firma digital (eletrônica) As firmas digitais baseadas na criptografia assimétrica podem ser enquadradas em um conceito mais geral de firma eletrônica, que não pressuõe necessariamente a utilização de tecnologias de cifrado assimétrico, pois que geralmente, vários autores referem indistintamente da firma eletrônica ou de firma

digital. Tem os mesmos encargos da firma manuscrita, porém expressa a identidade e a autoria, a autenticação, a integridade, a data, a hora e a recepção, através de métodos criptográficos assimétricos de chave pública (RSA, GAMAL, PGP, DAS, LUC, etc...), técnicas de selamento eletrônico e funções Hash, o que faz com que a firma esteja em função do documento que se subscreve (não é constante), porém que seja feita de forma absolutamente inimitável caso não possua a chave privada com a que esta encripitada, verdadeira atribuição a identidade e autoria. Para Y. POULLET a firma eletrônica supõe uma série de características assinaladas ao final do documento. É elaborada segundo procedimentos criptográficos, e leva um resumo codificado de mensagem, é a identidade do emissor e receptor. Para DEL PESO NAVARRO assevera que firma eletrônica é um sinal digital representado por uma cadeia de bits que se caracteriza por ser secreta, fácil de reproduzir e de reconhecer, difícil de falsificar e transformar em função da mensagem e em função do tempo, cuja a utilização obriga a aparição do que se denomina fedatário eletrônico ou telemático que será capaz de verificar a autenticidade dos documentos que circulam através das linhas de comunicação, ao ter não somente uma informação informática, mas também jurídica. As firmas eletrônicas ou digitais consistem basicamente na aplicação de algoritmos de encriptação de dados, desta forma, só será reconhecido pelo destinatário, que poderá comprovar a identidade do rementente, a integridade do documento, autoria e autenticação, preservando o mesmo tempo a confidencialidade. A seguridade do algoritmo está diretamente relacionada com seu tipo, tamanho, tempo de cifrado e a violação do segredo. Os criptosistemas de chave pública, são mais idôneos como firma digital, além disso tecnicamente são muito resistentes, pois calcula-se que levaria muitos anos para que o computador mais potente pudesse romper a chave. Seu mecanismo de segurança se baseia sobretudo no absoluto segredo das chaves privadas, tanto na sua geração quando no armaenamento bem como na certificação da chave pública pela autoridade certificadora. Entre os objetivos da firma eletrônica está de a conseguir a mundialização de um modelo universal de firma eletrônica. 2.1. Características da firma eletrônica Das definiçõe anteriores podemos destacar as seguintes características: - Deve permitir a identificação do signatário. Adentramos no conceito de "autoria eletrônica" como forma de determinar que uma pessoa é quem diz ser. - Não pode ser gerada por pessoa diversa da do emissor do documento, infalsificável e inimitável. - As informações geradas a partir da assinatura eletrônica devem ser suficientes para poder validá-la, porém insuficientes para falsificá-la - A posivel intervenção o Notário eletrônico dará mario segurança ao sistema. - A aposição de uma assinatura deve ser significativa e esteja relacionada de forma indissociavel ao documento a que se refere. - Não deve existir dilação de tempo nem lugar entre a aceitação pelo signatário e a aposição da

assinatura. 2.2.1. Nos Estados Unidos No final da década de sessenta, o governo dos Estados Unidos publicou o Data Encryption Standard (DES) para comunicações de dados sensíveis porém não classificados. Em 16 de abril de 1993, o governo dos EE.UU anunciou uma nova iniciativa criptográfica com vistas a proporcionar a civis um alto nível e segurança nas comunicações: projeto Clipper. Esta iniciativa baseou-se em dois elementos fundamentais: a) Um chip cifrador a prova de qualquer tipo de análise ou manipulação (o Clipper chip o EES (Escrowed Encryption Standard) e; b) Um sistema para compartilhar as chaves secretas (KES -Key Escrow System) que, em determinadas circunstâncias, outorgaria o acesso a chave mestra de cada chip e permitindo conhecer as comunicações cifradas por ele. Nos EE.UU é onde encontramos a mais avançada legislação sobre firma eletrônica, através do projeto de standartização do NIST (The National Institute of Science and Technology. O NIST foi introduzido no projeto Cpasone, o DSS (Digital Signature Standard) como uma espécie de standart da firma, apesar do governo americano não ter assumido como stanadat sua utilização. O NIST promove a afirma abandeira de equiparação da firma manuscrita a digital. A lei de referência da firma digital, para os legisladores dos Estados Unidos da ABA (American Bar Association), Digital Signature Guidelines, de 1 de agosto de 1996. O valor probatório da firma tem sido admitido em Utah, primeiro estado a dotar-se de uma lei de firma digital. A firma digital de Utah (Digital Signature Act Utah de 27 de fevereiro de 1995, modificado em 1996) se baseia em um "Criptosistema Assimétrico" definido como um algoritmo que proporciona um par de chaves seguro. Seus objetivos são os de facilitar o comércio por meio de mensagens eletrônicas confiáveis, minimizar a incidências da falsificação de firmas digitais e a fraude no comércio eletrônico. A firma digital é uma transformação de uma mensagem utilizando um criptosistema assimétrico, de tal forma que uma pessoa que tenha a mensagem cifrada e a chave pública de quem a firmou, pode determinar com precisão a mensagem em claro e se foi cifrada usando a chave privada que corresponde a pública do firmante. O Estado de Utah tem redação de um projeto de lei (The Act on Electronic Notarization) em 1997. A California define a firma digital como a criação pelo computador de um identificador eletrônico que inclue todas as caracteríticas de uma firma válida, aceitável, como a única capaz de comprovar-se através de um só controle, entrelaçando-se com os dados de tal maneira que se houver modificação dos dados a firma autoatiamente é invalidada levando-se em consideração o modelo universal adotado pelas seguintes organizações:- The International Telecommunication Unión.- The American National Standards Institute.- The Internet Activities Board.- The National Institute of Science and Technology.- The International Standards Organization. Podemos fazer referência a: ABA, Resolution concerning the CyberNotary: an International computer-transaction specialist, de 2 de agosto de 1994. The Electronic Signature Act Florida, de maio de 1.996 que reconhece a equivalência probatória da firma digital com a firma manual. E nesta lei é usado o termo "international notary" em vez de "cybernotary" utilizado em outras leis nos EE.UU. The Electronic Commerce Act, de 30 de maio de 1997, que faz referência ao cybernotary. The Massachusetts Electronic Records and Signatures Act, de 1996, que reconhece todo o

mecanismo capaz de proporcionar as funções da firma manuscrita sem cingir-se a um tipo concreto de tecnología. 2.2.2.Na Europa A Comissão Europeia tem pretendido harmonizar os regulamentos de criptografia de todos os Estado membros. Até o momento, só aluns países dispõem de leis sobre firma digital e ou cifrado. Na Espanha A legislação atual e a jurisprudência, são suficientemente amplas no esclarecimento do conceito e firma manuscrita a firma digital ou a qualquer outro tipo de firma. O certo é que por razões de segurança e para oferecer maior confiança aos usuários e juízes que julguem casos evolvendo a firma digital, há necessidade de uma reforma da lei cujo o objetivo é o de equiparar a firma manuscrita a qualquer outro meio de firma que cumpra as mesmas finalidades. O artigo 3 da RD 2404/1985, de 18 de dezembro, ao regular os requisitos mínimos das faturas, não exige que sejam firmadas. Bem é verdade que o Código de Comércio não exige, pela regra geral, para uma eficácia do contrato ou da fatura, a firma nem nenhum outro signo de validade, apesar de muitos ordenamentos jurídicos requererem que os documentos estejam firmados de forma manuscrita – de punho e letra – como para da solenidade da transação de forma privada. Cremos que não existe inconveniente algum em admitir a possibilidade de uma firma eletrônica. A circular do Banco da Espanha 8/88 de 14 de junho criando o regulamento do Sistema Nacional de Conpensação eletrônica, se converteu-se em um marco na proteção e segurança necessária na identificação para o acesso a informática, ao indicar que a informação será cifrada, para que as entidades introduzam um dado de autenticação com a informação de cada comunicação, o que é reconhecido a este método o mesmo valor que o que um escrito firmado por pessoas com poder bastante para tal fim. O artigo 45 da Lei 30/1992 do regime das Administrações públicas e do Procedimento Administrativo Comum incorporou o emprego e aplicação dos meios eletrônicos na atuação administrativa aos cidadãos Para sua regulamentação, o Real Decreto 263/199 de 16 de fevereiro, indica que deverão adaptar-se as medidas técnicas que garantam a identificação e a autenticidade da vontade declarada, porém não há nenhuma regulamentação legal para a "firma eletrônica". Na Alemanha A lei de firma digital regula os certificados de chaves e a autoridade certificadora. Permite o pseudônimo, porém preve sua identificação real por ordem judicial. A firma eletrônica tem sido definiada como selo digital, com uma chave privada associada a chave pública certificada por um certificador. A lei de 19 de setembro de 1996 é o primeiro projeto de lei de firma digital na Europa e entrou em vigor em 01 de novembro de 1996. Na França A França é um dos países que mais tem avançado em termos de legislação em matérias envolvendo a informática.A reforma do Código Civil da República da França mediante a Lei n 2000-230 de 13 de março de 2000, sobre adaptação do direito de prova as novas tecnologias da informação e relativa a firma eletrônica introduziu imprantes modificações no Capítulo VI, Da prova das obrigações e do pagamento, em seu artigos 1315 inciso 1 e artigo 1316 incisos 1 a 4. O inciso mais importante a nosso ver foi o artigo 1316-1 que dispõe: L´écrit sous forme électronique est admis en preuve au même titre que l´écrit sur support papier, sous réserve que puisse être dûment

identifiée la personne dont il émane et qu´il soit établi et conservé dans des conditions de nature à en garantir l´intégrité. (O escrito em forma eletrônica será admitido como prova com igual força que o escrito em suporte de papel, salvo reserva de que pode ser devidamente identificada a pessoa de que emana e que seja gerado e conservado m condições que permitam garantir sua integridade.) Como podemos observar da leitura do artigo, é atribuído força probatória ao documento eletrônico nas mesmas circunstâncias que o escrito em suporte de papel, desde que observe três condições fundamentais; a) identificação do autor do documento; b) o processo de geração do documento deve garantir sua integridade; c) o processo de conservação do documento deve garantir sua integridade. Na Itália A lei nº 59 de 15 de março de 1997, é a primeira norma do ordenamento jurídico italiano que reconhece o princípio da plena validez dos documentos informáticos baseando-se em solucões etrangeiras e supranacionais. O regulamento aprovado pelo Conselho de Ministros de 31 de outubro de 1997 define a firma digital como o resultado do processo informático (validação) baseado em um sistema de chaves assimétricas ou duplas, uma pública e uma privada, que permite ao subescritor transmitir a chave privada e ao destinatário transmitir a chave pública, respectivamente, para verificar a procedência e a integralidade de um documento informático ou de um conjunto de documentos informáticos (artigo 1º alínea b). No regulamento da firma digital está baseado exclusivamente no emprego de sistemas de cifrado chamados assimétricos. Regulam a lei e o regulamento entre outras coisas: A validez do documentos informático; o documento informático sem firma digital; o documento informático com firma digital; os certificadores; os certificados, autenticação da firma digital; o "cybernotary"; os atos públicos notariais; a validação temporal; a caducidade, revogação e suspensão da chaves; a firma digital falsa; a duplicidade, cópia e extratos do documento e a transmissão do documento. O Reino Unido Há um vivo debate sobre a possibilidade de regulamentação dos terceiros de confiança – TC. Existe um projeto de lei sobre firma dgital e terceiros de Cofiança. Nos Países Baixos Se tem criado um organismo ministerial encarregado do estudo da firma digital. Na Dinamaca, Suiça e Bélgica está sendo elaborado um projeto de lei sobre firma digital. Na Suécia organizou-se uma audiência púlica sobre a firma digital em 1997. Na Comunidade Europeia O artigo 6 do Acordo EDI (Electronic Data Interchange) da Comissão das comunidades Europeias, que determina a necessidade de garantia de origem do documento eletrônico, não atenta para a regulamentação da firma eletrônica. Não obstante PERALES VISCASILLAS acreditar que não exista inconveniente algum em admitir a possibilidade de uma firma eletrônica ser apoiada nas seguintes circunstâncias: a) A Confiabilidade da firma eletrônica é superior a da firma manuscrita; b). A equiparação no ambito comecial internacional da firma eletrônica e da firma manuscrita c) No contexto das transações EDI é habitual a utilização da conhecida como "firma digital" que é baseada em algoritmos simétricos nos quais ambas as partes conhecem a mesma chave e os em "algoritmos

assimétricos" nos quais, pelo contrário, cada contratante tem uma chave diferente. No mesmo sentido Isabel HERNANDO referindo-se aos contratos-tipo da EDI indica que se as mensagens EDI são transmitidas mediante procedimentos de autenticação como a firma digital, estas mensagens terão entre as partes contratantes o mesmo valor probatório que o acordado em documento escrito firmado. A Comissão Europeia tem financiado numerosos projetos (INFOSEC, SPRI, etc.) cujo objetivo é a investigação dos aspectos técnicos, legais e econômicos da firma digital. A Comissão Europeia publicou em outubro de 1997 uma Comunicação ao Conselho, ao Parlamento Europeu, ao Comitê Econômico e Social e ao Comitê das Regiões intitulado "Iniciativa Europeia de Comércio Eletrônico", com um subtítulo de "Criar um Marco Europeu para a Firma Digital e o Cifrado" O que pretende a Comissão Europeia é encontrar um reconhecimento legal comum na Europa sobre firma digital, com o objetivo de harmonizar as diferentes legislações, para que esta carta tenha natureza e eficácia legal perante os tribunais em matéria penal, civil e mercantil, para efeitos de prova, apercebimento e autenticidade. Para conseguir essa coerência europeia deverá, sem dúvida, passar pelo estabelecimento de uma política europeia de controle suscitando o mínimo de conflitos com outras potências econômicas como o EE.UU, Canadá e Japão. 2.2.3. No México A utilização de certificados emitidos na rede de certificação digital em convênio com a Associação nacional de Notariado Mexicano A. C. e Acertia. Com e que veiculam a uma pessoa determinada a um par de chaves e necessária para dar segurança e fidelidade ao uso de firmas eletrônicas em comunidades amplas e de grande escala. Assim se soluciona o problema da integridade, autenticidade e a recusa de sua origem. O uso do par de chaves em princípio é único e tem base no sistema informático e apoio na geração do certificado se considera imanipulável e para os casos de algum defeito na geração de chaves, os credores das chaves serão responsáveis de algum defeito ocorrido. O funcionamento do registro público de comércio nulifica a possibilidade de fraudes ou recusa das transações em curso. Surge como fonte geradora de obrigações a relação do notário e o particular no processo de outorgamento de certificados digitais. O papel do terceiro como testemunha eletrônico será capaz de desenvolver a forma de fazer negócios na internet. Outorgando a certeza e segurança jurídica necessária para que as partes possam celebrar contratos eletrônicos da mesma forma com que celebram os de forma escrita. O contrato eletrônico cumpre com todos os elementos do contrato pelo que sua validade jurídica é plena. O notário público no México é o mais indicado para agir como testemunha eletrônica já que é uma pessoa em que o Estado tem delegado sua faculdade de dar fé aos atos jurídicos. No México com o conjunto de reformas legais aplicáveis ao comércio eletrônico, será possível a firma eletrônica e assim desta maneira proporcionar o suporte legal necessário para seu funcionamento, sem embargo de uma maior regulação em matéria de contratação eletrônica aonde se incluam temas como as obrigações das partes, a participação de terceiro como testemunha, o objeto do contrato, os meios de manifestação da vontade, a formação do contrato, a segurança e prova do contrato (firma eletrônica e certificados digitais), a forma de execução do contrato, a legalidade da fatura eletrônica, formas de dinheiro

eletrônico, a forma de pagamento, e forma de resolução de conflitos. 2.2.4. No Brasil No Brasil temos apenas e em tramitação o Projeto de Lei nº 3.173, de 1997 (PLS nº 22/97), aprovado no Senado, em 13.5.97, na forma de um Substitutivo, encaminhado recentemente para a Câmara do Deputados para revisão, nos termos do art. 65 da Constituição Federal que dispõe sobre os documentos públicos e privados produzidos e arquivados em meio eletrônico, sua conservação, garantia de autenticidade, oportunidade em que poderão ser eliminados e sua força probatória em juízo. Na Justificação, o Senador Sebastião Rocha apregoa as vantagens da utilização do meio eletrônico, que se constitui em um avanço tecnológico sem precedentes na história da humanidade, sendo, o atual sistema de arquivamento de documentos, ultrapassado, na medida em que se constitui num mero empilhamento de papéis repletos de microorganismos. Pela nova sistemática, a autenticidade dos documentos poderá ser certificada pelo órgão de origem, com a identificação dos servidores responsáveis pelo procedimento. Porém muito ainda há para ser feito nessa seara daí a necessidade do estudo da legislação e doutrina estrangeira no sentido de aprimorar nossos conhecimentos e implantar em nosso país as benfeitorias desses estudos para a melhor convivência da sociedade digital. 2.2.5. A nivel internacional. Nas Nações Unidas A Comissão das Nações Unidas para o Direito Mercantil Internacional (CNUDMI-UNCITRAL) em seu 24 período de sessões celebrado de 1991 encarregou ao Grupo de Trabalho denominado "Pagos internacionais" o estudo dos problemas jurídicos relacionados ao intercâmbio eletrônico de dados (EDI: Electronic Data Interchange).
º

O Grupo de Trabalho dedicou seu 14º período de sessões, celebrado em Viena de 27 de janeiro à 7 de fevreiro de 1992, a este tema e elaborou um informe que foi levado a Comissão. Mencionado encontro determinou a definição de firma e outros meios de autenticação que deveriam ser inseridos em convenções internacionais. Foi adotada por uma grande parte de países a definição ampla de "firma" contida na Convenção das Nações Unidas sobre Letra de Cambio Internacionais e Pagamentos Internacionais, que dispõe: "o termo firma designa a firma manuscrita, seu fac-símile ou uma autenticação equivalente efetuada por outros meios". Pelo contrário, a Lei modelo sobre transferências internacionais de Crédito utiliza o conceito de "autenticação" ou de "autenticação comercialmente razoável", prescindindo da noção de firma, afim de evitar dificuldades que esta pode ocasionar, tanto a concepção tradicional deste termo como sua concepção ampliada. Em seu 25º período de sessões celebrado em 1992, a Comissão examinou o informe do 1º Grupo de Trabalho e rencomendou a preparação de uma regulamentação jurídica do EDI ao Grupo de Trabalho, agora denominado Intercâmbio Eletrônico de Dados. O Grupo de Trabalho sobre Intercâmbio Eletrônico de Dados, celebrou seu 25º período de sessões em Nova York de 04 a 15 de janeiro de 1993 em que foi tratada a autenticação da mensagens EDI, com vistas a estabelecer um equivalente funcional com a ‘firma’. O Plenário da Comissão das Nações Unidas para o Direito Mercantil Internacional (CNUDMIUNCITRAL), em junho de 1996 em seu 29º período de sessões celebrado em Nova York, examinou e aprovou o projeto de Lei Modelo sobre aspectos jurídicos da EDI com base na Lei Modelo sobre comércio eletrônico (Resolução Geral da Assembléia 51/162 de 16 de dezembro de 1996). O arigo 7 da Lei modelo reconhece o conceito de firma. A Comissão recomendou ao Grupo de Trabalho, agora denominado "sobre comercio eletrônico" que se ocupe em examinar as questões jurídicas relativas as firmas digitais e as autoridades de certificação. A Comissão pediu a Secretaria que preparasse um estudo de antecedentes sobre

questões relativas as firmas digitais. O estudo da Secretaria ficou reconhecido no documento A/CN.9/WG.IV/WP.71 de 31 de dezembro de 1996. O Grupo de Trabalho sobre Comércio Eletrônico celebrou seu 31 periodo de sessões em Nova York de 18 a 28 de fevereiro de 1997 e tratou de fixar as diretrizes sobre as firmas digitais publicadas pela American Bar Association. O Plenário da Comissão da Nações Unidas para o Direito Mercantil Internacional, que celebrou seu 30 período de sessões em Viena de 12 a 30 de maio de 1997, examinou o informe do grupo de Trabalho, suas conclusões e recomendou a preparação de um regime uniforme sobre as questões jurídicas da firma numérica e as entidades certificadoras. O artigo 7 da Lei Modelo sobre Comércio Eletronico (LMCE) regula o equivalente funcional de firma, estabelecendo os requisitos de admissibilidade de uma firma produzida por meio eletrônico, que nos dando um conceito amplo de firma eletrônica e dipondo que "quando a lei requerer a firma de uma pessoa, esse requisito ficará satisfeito em relação a uma mensagem de dados quando: a) for utilizado um método para identificar e para indicar que essa pessoa aprova a informação que figura na mensagem de dados; e, b) se referido método é confiável e apropriado para os fins que se criou ou comunicou a mensagem de dados, a luz de todas as circunstâncias do caso, incluindo qualquer ato pertinente". O artigo 3 do projeto letra A do WP.71 indica que "uma firma digital aderida a uma mensagem de dados deve ser considerar autorizada se for possível a sua verfificação de acordo com os procedimentos estabelecidos por uma autoridade certificadora" Na O.C.D.E. A Recomendação da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) sobre a utilização da criptografia (Guidelines for Cryptography Policy) foi apovada em 27 de março de 1997. Esta Recomendação não tem força vinculante e assinala uma série de regras que os governos deveriam levar em consideração na formulação da legislação sobre firma digital e terceiros de confiança, com o fim de impedir a adoção de diferentes regras nacionais que poderiam dificultar o comércio eletrônico e a sociedade da informação em geral. Na Organização internacional de Normas ISSO Na norma ISSO/IEC 7498-2 (Arquitetura de Seguridade de OSI) sobre a que descansam todos os desenvolvimentos normativos posteriores, regula os serviços de segurança sobre confidencialidade, integridade, autenticidade, controle de acessos e não repúdio. Através de sua subcomissão 27, SC 27, trabalha em uma norma referente a firma digital. 2.3. Legalidade de documentos com firma digital O principal problema diz respeito as legislações de muitos países que ainda impõem requisitos de escrita e firma manuscrita como condição de validade e como condição de provas dos contratos e atos jurídicos. Em conseqüência, partindo-se desse ponto de vista legal, e para que estes contratos tenham validade a jursiprudência deverá interpretar o termo firma em sentido latu sensu equiparando a firma digital a firma manuscrita. Todavia não se tem provado a validez legal da firma digital e ninguém visa ante os Tribunais de Justiça, não existindo por isso garantias jurídicas plenas para seu uso. Não obstante, a firma digital, através do meios criptográficos seja considerada mais segura do que a firma manuscrita, já que não só comporta autenticidade do documento firmado, sua integridade e a certeza de que não foi alterado em nenhuma de suas partes. Atualmente não existe problema legal para o uso da firma figital por um grupo de usuários, sempre que estes firmem "manualmente" um acordo prévio acerca do uso em suas transações comerciais, assim

como o método de firma e os tamanhos (e valores) das chaves públicas a empregar.

3. Autoridade ou entidade de certificação das chaves A crescente interconexão dos sistemas de informação, possibilitada pela geral aceitação dos sistemas abertos, e cada vez maiores prestações das atuais redes de telecomunicação, obtidas principalmente pela digitalização, estão potenciando formas de intercambio de informática impensáveis até poucos anos. Por sua vez, ele esta conduzindo a uma avalanche de novos serviços e aplicações telemáticas, com um enorme poder de penetração nas emergentes sociedades de informação. Assim o teletrabalho, a teleadministração, o comércio eletrônico, etc.. estão modificando revolucionariamente as relações econômicas, administrativas, laborais de tal forma que em poucos anos serão radicalmente distintas de como são agora. Todas esses novas aplicações inseridas pela informática na sociedade não poderão ser desevolvidas em sua plenitude se não forem dotadas de serviços e mecanismos de segurança confiáveis. Dentro desse sistema de segurança que indicamos, para que qualquer usuário possa confiar em outro haveria a necessidade de serem estabelecidos certos protocolos, especificamente, as regras de comportamento a seguir. Existem diferentes tipos de protocolos onde há a intervenção de terceiros confiáveis (Trusted Third Party, TTP, na terminologia inglesa). São eles: a) Os protocolos arbitrados- neles uma TPC ou Autoridade de Certificação participa das transações para assegurar que ambos os lados atuem segundo as pautas marcadas pelo protocolo. b) Os protocolos notariais- neste caso a TPC, além de garantir a correta operação, também permite julgar se ambas as partes atuaram por direito segundo a evidencia apresentada através dos documentos firmados pelos participantes e incluídos dentro do protocolo notarial. E nestes casos, com a chancela do notário na transação, poderá este atestar sua validade, posteriormente, em caso de disputa. c) Os protocolos autoverificáveis- nestes protocolos cada parte pode verificar se a outra esta agindo de má-fé, durante o transcurso da operação. A firma digital em si, é um elemento básico dos protocolos autoverificáveis, nesse caso não será preciso a intervenção de uma Autoridade de Certificação para determinar a validade de uma firma. A Autoridade ou Enidade de Certificação deve reunir os requisitos que determinem a lei, além dos conhecimentos técnicos e experiência necessária, de forma que se ofereça confiança, confiabilidade e segurança. Deverá ser previsto o caso de desaparecimento do organismo certificador e criar algum registro geral de certificação tanto nacional como internacional, que por sua vez fize-se regularmente auditorias nas entidades encarregadas para justamente garantir seu funcionamento, emvirtude da carência de normas que regulem a autoridade ou entidade de certificação. Para uma certificação de natureza pública, o Notário, no momento de subescrever os acordos de intercâmbio e validação de prova, pode gerar e entregar com absoluta confidencialidade a chave privada. O documento WP.71 de 31 de dezembro de 1996 da Secretaria das Nações Unidas indica em seu parágrafo 44 que as entidades certificadoras devem seguir alguns critérios como: a) Independência de recursos e capacidade financeira para assumir a responsabilidade pelo risco de perdimento; b) Experiência em tecnologias de chave pública e familiaridade com procedimentos de segurança apropriadas que garantam a longevidade desses mecanismos; c) Aprovação da equipamento e os programas;

d) Manutenção de um registro de auditoria e realização de auditorias por uma entidade independente; e) Existência de um plano para caso de emergência, bem como programas de recuperação em casos de desastres ou depósito de chaves; f) Seleção e adminsitração de pessoal; g) Disposições para proteger sua própria chave privada; h) Segurança interna; i) Disposições para suspender as operações, incluindo a notificação dos usuários; j) Garantias e representações (outorgadas ou excluídas); l) Limitação da responsabilidade; m) Seguros; n) Capacidade para a troca de dados com outras autoridades certificadoras; o) Procedimentos de renovação (no caso de a chave criptográfica tenha sido perdida ou haja ficado exposta). Podem ainda, as autoridades de Cetificação emitir diferentes tipos de certificados, como: a) Os certificados de identidade que são os mais utilizados atualmente dentro dos criptosistemas de chave pública e ligam uma identidade pessoal (usuário) ou digital (equipe, softare, etc..) a uma chave pública; b) Os certifiados de autorização são aqueles que certificam outro tipo de atributos do usário distintos a identidade. c) Os certificados transnacionais são aqueles que atestam que algum feito ou formalidade aconteceu ou foi presenciada por um terceiro; d) Os certificados de tempo são aqueles que atestam que um documento existia em um instante determinado de tempo. O Setor de autoridades de certificação, até hoje, ncontra-se dominado por entidades privadas americanas, já que já existiam iniciativas póprias na União Europeia que ultrapassam as fornteiras de seus países de origem, ou seja, sem sair de outros Esatdos membros. O termo TTP (Tercera Parte Confiable) a que antes nos referiamos nos indicam associações que ministram uma amplo margem de serviços, frequentemente associados com o acesso legal a chaves criptográficas. Ao que não se descarta que as TTP atue como autoridades de Certificação (AC), as funções de ambas tem sido considerado progressivamente diferentes destacando-se a expressão AC para as organizações que garantem a associação de uma chave pública a certa entidade, o que por motivos obvios deveria excluir do conhecimento por parte de dita autoridade da chave privada, que é justamente o que supõe deveria conhecer uma TTP. A Comissão Europeia distingue entre: Autoridades de certificação (AC): o serviço essencial é "autenticar a propriedade e as características

de uma chave pública, de maneira que resulte digna de confiança, e expedir certificados". Terceiros de confiança (TC). Oferecem diversos serviços, podendo gozar de acesso legítimo a chaves de cifrado. Uma TC poderia atuar como uma AC. O que a Comissão pretende é que as legislações sobre firma digital e AC/TC dos distintos países membros é que: Sejam baseadas em critérios comunitários delimitando suas tarefas – certificação ou administração de chaves – e serviços podendo estabelecer-se prescrições técnicas comuns para as transações por realizadas por intermédio da firma digital através de normas claras em matéria de responsabilidades (usuários frente a AC) erros, etc... 3.1. Funções das autoridades de certificação As funções de uma autoridade de certificação devem ser, entre outras, as seguintes: a) Geração e registro de chaves; b) Identificação de petições de certificados; c) Emissão de certificado; d) Armazenamento na AC de sua chave privada; e) Manter as chaves vigentes e revogá-las; f) Serviço de diretório. 3.2. Autoridades de certificação A estrutura e o quadro de funcionamento das autoridades de certificação (public key infrastructure) prevêem uma estrutura hierarquizada em dois níveis: O nível superior só será ocupado por autoridades públicas, que é a que certifica a autoridade subordinada, normalmente privada. Na Espanha O Projeto CERES, em que participam o MAP, o Conselho Superior de Informática, o Ministério da Economia e Fazenda e Correios e Telégrafos e contempla o papel da Fabrica Nacional da Moeda e Timbre como entidade encarregada de prestar serviços que garantam a segurança e validez da emissão e recepção de comunicações e documentos por meios eletrônicos, informativos e telemáticos. Se pretende garantir a segurança e a validez na emissão e recepção de comunicações e documentos por meios eletrônicos, informáticos e telemáticos a as relações entre órgãos da Administração Geral do Estado e outras Administrações, e entre estes e os cidadãos, seguindo diretrizes de legislação prévia (Lei de Regime Jurídico das Administrações Públicas e do Procedimento Administrativo comum, de 1992, e Real Dereto 263/1996. O objetivo desta autoridade de certificação, assim como as outras entidades comerciais de certificação será o reconhecimento de todos os efeitos legais do certificado digital, o que ainda não se contempla na legislação espanhola.

Os serviços oferecidos são: Primários- Emissão de certificados, arquivo de certificados, geração de chaves, arquivo de chaves, registro de feitos auditáveis. Interativos- Registro de usuários e entidades, renovação de certificados, publicação de políticas e modelos, publicação de certificados, publicação de listas de revogação e diretorio seguro de certificados. De certificação de mensagens e transações – Certificação temporal, certificação de conteúdo, mecanismos de não-repúdio (confirmação de envio e confirmação de recepção) Da confidencialidade – suporte de mecanismos de confidencialidade, agente de recuperação de chaves e recuperação de dados protegidos Os notários através de seus colégios respectivos tem a função de adaptar seus modelos aos novo tempo virtuais tornando acessível esse serviço público notarial a quem dele necessite. Na Itália A autoridade nacional de certificação é a AIPA (Autorità per l´Informatica nella Pubblica Amministrazione). 3.3. Autoridades privadas de certificação Na Espanha Existem focos privados de atividade, vinculados com a confiabilidade. A mais importante é a denominada ACE (Agencia de Certificación Electrónica) que é formada pela CECA, SERMEPA, Sistemas 4B e Telefónica, que é uma Autoridade de Certificação corporativa do sistema financeiro espanhol, também existindo como terceiro de confiança. En Bélgica Existe o Terceiro certificador chamado Systèeme Isabel, que oferece serviços certificadores a sócios financeiros e comerciais. A Câmara de Comercio unida a empresa Belsign tem formado um Trusted Third Party na qual a Câmara de Comércio exerce as funções de Registro e Belsign fica com as funções notariais.. Nos Estados Unidos Utah Digital Signature Trust, One So. Main, Salt Lake City, Utah ARCANVS, S.A. Sanders Lane, Kaysville, Utah Na Internet Existem servidores na internet conhecidos como "servidores de chaves" que recopiam as chaves de milhares de usuários. Todos os servidores de chaves existentes no mundo compartem desta informação, pelo que basta publicar a chave em um de propriedade desse servidor para que em poucas horas esteja disponível para todos os usuários. Conclusões Este ensaio teve como um de seus objetivos o de demonstrar as importantes mudanças que tem experimentado a firma desde suas origens até nosso dias e como devemos tratar de adaptar estas

transformações a realidade social e deixar a porta aberta para outros futuros avanços, bem como o surgimento de novas tecnologias que sem dúvida virão. As novas tecnologias da informação e das comunicações, unidas a outras técnicas dão confiabilidade ao documento eletrônico e trazem consigo uma maior segurança mediante o desenvolvimento e extensão de remédios técnicos e procedimentos de controle baseados na criptografia. Esta maior segurança poderá ser alcançada com uma adequação normativa que nos conduza a uma autenticação eletrônica. O maior entrave existente no que concerne as novas tecnologias da informação diz respeito a não formação e adequação das pessoas e meios a realidade social. A criação dos notários públicos eletrônicos nos levará a uma avanço e maior segurança com relação a autenticação de documentos que circulem através das meios eletrônicos de comunicação assim como a criação de um fichário público de controle com maiores garantias dos que as atuais. Uma única Entidade de Certificação de âmbito universal é inviável, portanto deverão existir uma ou várias redes de autoridades nacionais ou setoriais, interrelacionadas entre sí e que por sua vez devem servir os usuários de suas circunscrições. A firma digital, com as garantias exigidas para a necessária segurança jurídica, abrirá um promissor caminho elastecendo e valorizando ainda mais a fé pública. Entre os objetivos da firma digital está o de conseguir a universalizacão de um modelo de firma eletrônica que possa ser utilizado por uma expressiva quantidade de países sendo elaborada por uma Diretiva Comunitária. Por fim alertamos para que sejam tomadas como diretrizes para o desenvolvimento da firma digital as seguintes conclusões expostas na IX Jornada Notarial Iberoamericana realizada em Lima, Peru que são as seguintes:
a) Que o notário não pode permanecer alheios aos avanços tecnológicos que possam e devem ser aplicados em sua atividade, na medida que melhore a prestação da função e incremente seguridade jurídica. b) Que o suporte informático em substituição ao suporte em papel possa ser utilizado na prestação da função notarial, sempre que os avanços na segurança de sua conservação, e da firma eletrônica, eliminam os atuais riscos, e que o conteúdo do documento, com a intervenção do notário, seja assumida pelas partes, mediante sua firma eletrônica e autorizado pelo notário com a sua. c) As chaves públicas e privadas do notário não podem estar sujeitas a limites temporais de caducidade das chaves dos outorgantes Não devem impedir a obtenção de reproduções de documento. d) Deve regular-se o documento público eletrônico, sua conservação (protocolo eletrônico) e o sistema de translado de seu conteúdo às partes ou pessoas com direito a conhecê-lo, sem que se possa acessá-lo através da rede sem a intervenção notarial. e) Os sistemas de comunicação telemática devem servir para estreitar a colaboração entre os notários dos países tradição romano-germânica, a fim de incrementar a segurança jurídica no trafico internacional de documentos. f) Os avanços informáticos devem servir para facilitar as relações entre os serviços notariais e registrais. g) O documento público eletrônico, autorizado por notário, deve poder gozar dos mesmos efeitos legitimadores, executórios e probatórios dos documentos em papel".

Bibliografia ALCOVER GARAU, Guillermo, "La firma electrónica como medio de prueba (Valoración jurídica de los criptosistemas de claves asimétricas)", Cuadernos de Derecho y Comercio nº 13, abril 1994, Consejo General de los Colegios Oficiales de Corredores de Comercio, Madrid. págs. 11 a 41. ALVAREZ-CIENFUEGOS SUÁREZ, José María, "Las obligaciones concertadas por medios informáticos y la documentación electrónica de los actos jurídicos", Informática y Derecho nº 5, UNED, Centro Regional de Extremadura, Aranzadi, Mérida, 1994, págs. 1273 a 1298. ALVAREZ-CIENFUEGOS SUÁREZ, José María, "Documento electrónico", Marco legal y deontológico de la Informática, Mérida 19 de septiembre de 1997. ASÍS ROIG, Agustín de, "Documento electrónico en las Administración Pública", en "Ámbito jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo General del Poder Judicial, Madrid, 1996, págs. 137 a 189. BARRIUSO RUIZ, Carlos, "Interacción del Derecho y la Informática", Dykinson, Madrid, 1996. BARRIUSO RUIZ, Carlos, " Contratación Electrónica", Marco legal y deontológico de la Informática, Mérida, 17 de septiembre de 1997. BARRIUSO RUIZ, Carlos, "La contratación electrónica", Dykinson, Madrid, 1998. CAMPS LLUFRIÚ, Mateo; JOYANES AGUILAR, Luis; SANTAELLA LÓPEZ, Manuel "Aspectos sociojurídicos de la contratación electrónica", XII Encuentro sobre Informática y Derecho, Instituto de Informática Jurídica Facultad de Derecho de la Universidad Pontificia Comillas (ICADE), Madrid, 12 de mayo de 1998. CARRASCOSA LÓPEZ, Valentín; BAUZA REILLY, Marcelo; GONZÁLEZ AGUILAR, Audilio, "El derecho de la prueba y la informática. Problemática y perspectivas", Informática y Derecho nº 2, UNED, Centro Regional de Extremadura, Mérida, 1991. CARRASCOSA LÓPEZ, Valentín; POZO ARRANZ, Asunción; RODRÍGUEZ DE CASTRO, Eduardo Pedro, "Valor probatorio del documento electrónico", Informática y Derecho nº 8, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 133 a 173. CARRASCOSA LÓPEZ, Valentín; POZO ARRANZ, Asunción; RODRÍGUEZ DE CASTRO, Eduardo Pedro, "El consentimiento y sus vicios en los contratos perfeccionados a través de medios electrónicos", Informática y Derecho nº 12, 13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida, 1996, págs. 1021 a 1037. CARRASCOSA LÓPEZ, Valentín, "El documento electrónico o informático", Revista de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 43 a 46. CARRASCOSA LÓPEZ, Valentín, "El documento electrónico como medio de prueba", en Dogmática penal, política criminal y criminología en evolución de Carlos María Romeo Casabona (ed.), Editorial Comares S.L., Centro de Estudios Criminológicos, Universidad de la Laguna, 1997, págs. 187 a 201. CARRASCOSA LÓPEZ, Valentín; POZO ARRANZ, Asunción; RODRÍGUEZ DE CASTRO, Eduardo Pedro, "La contratación informática: el nuevo horizonte contractual. Los contratos electrónicos e informáticos", Editorial Comares S.L, Granada, 1997.

CASTAÑO SUAREZ, Raquel, "El Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado", X años de encuentros sobre informática y Derecho 1996-1997, Facultad de Derecho e Instituto de Informática jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1997, págs. 413 a 419. CAVANILLAS MÚGICA, Santiago, "Introducción al tratamiento jurídico de la contratación por medios electrónicos (EDI)", Actualidad Informática Aranzadi nº 10, enero de 1994. CAVANILLAS MÚGICA, Santiago, "Régimen jurídico del intercambio electrónico de datos", Encuentros sobre Informática y Derecho 1995-1996, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1996, págs. 103 a 106. DAVARA RODRÍGUEZ, Miguel Ángel, "Las telecomunicaciones y las Tecnologías de la Información en la Empresa: Implicaciones Socio-Jurídicas", Informática y Derecho nº 1, UNED, Centro Regional de Extremadura, Mérida, 1992, págs. 27 a 39. DAVARA RODRÍGUEZ, Miguel Ángel, "El Intercambio Telemático de datos en las transacciones comerciales. Su validez jurídica", Revista de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 58 a 60. Actualidad Informática Aranzadi nº 14, enero de 1995. DAVARA RODRÍGUEZ, Miguel Ángel, "De las Autopistas de la Información a la Sociedad Virtual", Aranzadi, 1996. DAVARA RODRÍGUEZ, Miguel Ángel, "Manual de Derecho Informático", Aranzadi, Pamplona, 1997. DAVARA RODRÍGUEZ, Miguel Ángel, "El documento electrónico, informática y telemático y la firma electrónica", Actualidad Informática Aranzadi nº 24, Julio de 1997. DAVARA RODRÍGUEZ, Miguel Ángel, "La sociedad de la información y el tratamiento de datos de carácter personal", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1998, págs. 19 a 32. DÁVILA MURO, José; MORANT RAMÓN, José Luis ;SANCHO RODRÍGUEZ, Justo, "Control gubernamental en la protección de datos: proyecto Clipper", X años de encuentros sobre Informática y Derecho 1996-1997, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1997, págs. 25 a 50. DÁVILA MURO, José; MORANT RAMÓN, José Luis; SANCHO RODRÍGUEZ, Justo, "Autoridades de certificación y confianza digital", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1998, págs. 159 a 184. DOMÍNGUEZ, Agustín, "Transferencia electrónica de fondos y de datos. Protección jurídica de los datos personales emitidos en una operación de pago electrónico", Encuentros sobre Informática y Derecho 1992-1993, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1993, págs. 117 a 132. GALLARDO ORTIZ, Miguel Ángel, "Criptología; Seguridad Informática y Derecho. Leyes del Ciberespacio", Informática y Derecho nº 4, UNED, Centro Regional de Extremadura, Aranzadi, Mérida, 1994, págs. 473 a 480. GALLARDO ORTIZ, Miguel Ángel, "Firmas electrónicas mediante criptología asimétrica", Revista

de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 19 a 23. GALLARDO ORTIZ, Miguel Ángel, "Informatoscopia y tecnología forense", en "Ámbito jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo General del Poder Judicial, Madrid, 1996, págs. 21 a 61. GÓMEZ, José Manuel, "PGP 5", y World, Año II, número 2, febrero 1998. GONZÁLEZ AGUILAR, Audilio, "EDI (Echange Data Informatics): Desafío de una nueva práctica", Informática y Derecho nº 4, UNED, Centro Regional de Extremadura, Aranzadi, Mérida, 1994, págs. 555 a 568. HERNANDO, Isabel, "La transmisión electrónica de datos (EDI) en Europa (Perspectiva jurídica)", Actualidad Informática Aranzadi nº 10, enero de 1994. HEREDERO HIGUERAS, Manuel, " Valor probatorio del documento electrónico", Encuentros sobre Informática y Derecho 1990-1991, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia Comillas (ICADE), Aranzadi, 1991. JULIÁ BARCELÓ, Rosa, "Firma digital y Trusted Third Parties: Iniciativas reguladoras a nivel internacional", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, 1998, págs. 217 a 226. LARRIEU, J. "Les nouveaux moyens de preuve: pour ou contre l´identification des documents informatiques à des escrits sous seing privé", Cahiers Lamy du Droit de l´Informatique, noviembre 1988, Pantin. LÓPEZ ALONSO, Miguel Ángel, "El Servicio EDI y su contratación", Informática y Derecho nº 12, 13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida, 1996, págs. 1039 a 1053. MADRID PARRA, Agustín, "EDI (Electronic Data Interchange): Estado de la cuestión en UNCITRAL", Revista de Derecho Mercantil nº 207 enero-marzo 1993. Madrid, págs. 115 a 149. MADRID PARRA, Agustín, "Firmas digitales y entidades de certificación a examen en la CNUDMI/UNCITRAL", Actualidad Informática Aranzadi nº 24, julio de 1997. MELTZER CAMINO, David, "Comunicado sobre la experiencia obtenida por el Departamento de Ingeniería y Arquitecturas telemáticas de la UPM en el desarrollo de un EDI seguro dentro del proyecto EDISE", Encuentros sobre Informática y Derecho 1995-1996, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi, Pamplona, 1996, págs. 147 a 152. MORANT RAMÓN, José Luis y SANCHO RODRÍGUEZ, Justo, "Garantías de la firma electrónica de contratos y autenticación de las partes", Encuentros sobre Informática y Derecho 1992-1993, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad de Comillas (ICADE), Aranzadi, Pamplona, 1993, págs. 107 a 115. MORANT RAMÓN, José Luis; DÁVILA MURO, Jorge; SANCHO RODRÍGUEZ, Justo, "Registros públicos digitales: el tiempo y su veracidad", XII Encuentro sobre Informática y Derecho, Instituto de Informática Jurídica Facultad de Derecho de la Universidad Pontificia de Comillas (ICADE), Madrid, 11 de mayo de 1998. NO-LOUIS Y CABALLERO, Eduardo de, "Internet, germen de la sociedad de la información", Encuentros sobre Informática y Derecho 1997-1998, Facultad de Derecho e Instituto de Informática Jurídica

de la Universidad de Comillas (ICADE), Aranzadi, 1998, págs. 227 a 242. PAIVA, Mário Antônio Lobato de Paiva. A Mundialização do Direito Laboral. LEX- Jurisprudência do Supremo Tribunal Federal. Ano 23, julho de 2001, n 271. Editora Lex.S/A, São Paulo-SP, páginas 05. ________. O e-mail como instrumento de divulgação sindical. Jornal Trabalhista Consulex, Ano XVIII, n 863, Brasília 14 de maio de 2001, página 06. ________. A informatização da justa causa. Jornal Trabalhista Consulex, Ano XVIII, n 849, Brasília 05 de feveeiro de 2001, página 08. ________. Aspectos Legais na Internet. "O Liberal", página 02, caderno atualidades, 28 de setembro de 2000. ________. Os crimes da informática. Jornal "O Liberal", página 02, caderno atualidades, 12 de fevereiro de 2000. ________. O impacto da informática nas relações laborais. Repertório da jurisprudência da IOB. N 6, 2O. quinzena de março de 2001. ________. O Impacto da alta tecnologia e a informática nas relações de trabalho na América do Sul. Justiça do Trabalho: Revista de Jurisprudência Trabalhista, nº 209, mio de 2001, HS Editora, página 7. ________. O Documento, a Firma e o Notário Eletrônico. Separata da Revista Trimestral de Jurisprudência dos Estados. Vol. 181-182 Abr/Jun 2001 pag 39 ________. O impacto da informática no direito do trabalho. Direito Eletrônico: A Internet e os Tribunais, editora edipro, 1º edição 2001, página 661. PEÑA MUÑOZ, José de la, "Hacia un marco Europeo para la firma digital y el cifrado", Revista SIC (Seguridad en Informática y Comunicaciones) nº 28, febrero 1998, págs. 28 a 32. PERALES VISCASILLAS, Mª del Pilar, "La factura electrónica", Actualidad Informática Aranzadi nº 24, Julio de 1997. PÉREZ LUÑO, Antonio-Enrique, "Manual de informática y derecho", Ariel Derecho, Barcelona, 1996. PÉREZ LUÑO, Antonio-Enrique, "Ensayos de Informática Jurídica", Biblioteca de Ética, Filosofía del Derecho y Política nº 46, México, 1996. PESO NAVARRO, Emilio del, "Resolución de conflictos en el intercambio electrónico de documentos", en Ámbito jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo General del Poder Judicial, Madrid, 1996, págs. 191 a 245. POZO ARRANZ, Mª Asunción y RODRÍGUEZ DE CASTRO, Eduardo Pedro, "Nueva Perspectiva de la contratación ante las modernas tecnologías", Revista de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995, págs. 11 y 12. RIBAGORDA GARNACHO, Arturo, "Las Autoridades de Certificación en los nuevos servicios y aplicaciones telemáticas". Ponencia en las Jornadas sobre Seguridad en Entornos Informáticos. Instituto Universitario "General Gutiérrez Mellado", Madrid 9-12 de marzo de 1998. ROUANET MOSCARDÓ, Jaime, "Valor Probatorio Procesal del Documento Electrónico",

Informática y Derecho nº 1, UNED, Centro Regional de Extremadura, Mérida, 1992, págs. 163 a 175. ZAGAMI, Raimondo, "La firma digitale tra soggetti privati nel regolamento concernente. Atti, documenti e contratti in forma elettronica", Il Diritto dell´informazione e dell´informatica. Anno XIII nº 6 novembre-dicembre 1997, Editore A. Giuffré, Milano, págs. 903 a 926. http://dev.abanet.org/scitech/ec/isc/dsgfree.html. The American Bar Association Section of Science and Technology. http://www.Banesto.es. Ofrece los servicios de Tercero de Confianza a sus usuarios. http://www.cohasset.com/elec_filing/pag10.html. http://www.ilpf.org./digsig/intl.htm. Digital Signature Legislation. http://www.ispo.cec.be/Ecommerce. "A European Initiative in Electronic Commerce" http://www.itd.umich.edu/ITDigest/0797/news05.html. Digital Signature Laws. http://www.kriptopolis.com. Criptografía, PGP y seguridad en Internet. http://www.map.es/csi. Comité Técnico del Consejo Superior de Informática. http://www.state.ut.us/web/commerce/digsig/dsmain.htm. Utah Digital Signature Program.

Sobre os autores
Mário Antônio Lobato de Paiva é membro da Union Internationale des Avocats (Paris, França), da Federação Iberoamericana de Associações de Direito e Informática, da Associação de Direito e Informática do Chile, do Instituto Brasileiro de Política e Direito da Informática e do Instituto Brasileiro de Direito Eletrônico. É também assessor da Organização Mundial de Direito e Informática (OMDI), integrante de la Red Mexicana de Investigadores del Mercado Laboral, colaborador da Revista do Instituto Goiano de Direito do Trabalho, Revista Forense, do Instituto de Ciências Jurídicas do Sudeste Goiano e Revista de Jurisprudência Trabalhista "Justiça do Trabalho", da Revista Síntese Trabalhista, do Boletim Latino-americano da Concorrência. Escreveu diversos artigos e os livros "A Lei dos Juizados Especiais Criminais" (Forense, 1999) e "A Supremacia do advogado em face do jus postulandi" (LED, 2000).
E-mail: Entre em contato Home-page: www.netcie.com.br/advocacia

José Cuervo
E-mail: [ não disponível ]

Sobre o texto:

Texto inserido no Jus Navigandi nº57 (07.2002) Elaborado em 04.2002.
Conforme a NBR 6023:2000 da Associação Brasileira de Normas Técnicas (ABNT), este texto científico publicado em periódico eletrônico deve ser citado da seguinte forma:

Informações bibliográficas:
PAIVA, Mário Antônio Lobato de; CUERVO, José. A firma digital e entidades de certificação . Jus Navigandi, Teresina, ano 6, n. 57, jul. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=2945>. Acesso em: 30 abr. 2009.

Sobre a criação da ICP-Brasil
Texto extraído do Jus Navigandi http://jus2.uol.com.br/doutrina/texto.asp?id=2705

Pe d r o A n t ô n i o D o u r a d o d e R e z e n d e
p r o f e s s o r d e C i ê n c i a

d a C o m p u t a ç ã o d a U n i v e r s i d a d e d e B r a s í l i a ( U n B ) , c o o r d e n a d o r d o

p r o g r a m a d e E x t e n s ã o U n i v e r s i t á r i a e m C r i p t o g r a f i a e S e g u r a n ç a C

o m p u t a c i o n a l d a U n B , A T C P h D e m M a t e m á t i c a A p l i c a d a p e l a U n i v e r s

i d a d e d e B e r k e l e y ( E U A ) , e x r e p r e s e n t a n t e d a s o c i e d a d e c i v i l n o

C o m i t ê G e s t o r d a I n f r a e s t r u t u r a d e C h a v e s P ú b l i c a s B r a s i l e i r a ( I

C P B r a s i l )

Índice: 1- Paralelos entre ICP-Brasil, Certificadora Raiz e o Banco Central; 2- Tecnologia adotada pela ICPBrasil; 3- A obrigatoriedade da Certificação; 4- Credenciamento de Certificadoras versus Confiabilidade das Assinaturas; 5- A Certificação e a Validade Jurídica de Documentos.

Preâmbulo Nos debates sobre a criação da Infra Estrutura de Chaves Públicas (ICP) do Brasil, alguns questionamentos e dúvidas têm sido levantados com frequência. A maneira superficial com que têm sido respondidos, pelo menos no espaço que ganham na imprensa imediata, nos motiva a oferecer esta reflexão. Escolhemos cinco dentre os mais frequentes, para uma análise mais detalhada. A primeira questão que nos chama a atenção, é sobre uma analogia que temos visto empregada por quem defende a criação desta ICP através da Medida Provisória 2200. 1- Paralelos entre ICP-Brasil, Certificadora Raiz e o Banco Central Esta analogia compara uma Autoridade Certificadora Raiz única a um Banco Central. Que pontos, positivos e negativos, poderíamos considerar a respeito desta analogia, e desta centralização nas mãos de um Poder Público? É tentador, mas uma falácia perigosa, pensar na AC Raiz como equivalente a um Banco Central. A função de uma AC Raiz numa ICP é mais parecida com uma gráfica que imprime cédulas de dinheiro, como a Casa da Moeda, do que com o Banco Central. 1.1 Confiança no controle da procedência e da circulação A confiança no valor do dinheiro não vem só da identificação da origem de sua impressão, mas também da chancela social que lhe confere valor legal de troca. A Casa da Moeda pode também imprimir selos e moedas de outros países, o que não nos obriga a aceitá-los como forma de pagamento. Quem faz o papel do Banco Central numa ICP são os protocolos implementados em softwares, destinados a realizarem algum mecanismo de autenticação digital cuja verificação seja aberta. Um tal mecanismo é uma abstração do que faz, do ponto de vista jurídico, a assinatura de punho em documentos de papel. Até hoje, só sabemos como dar eficácia ao valor do dinheiro controlando a sua entrada e sua saída de circulação, e permitindo a verificação pública de sua procedência. A circulação de moeda nova tem que estar lastreada em produção equivalente de bens, para que a moeda mantenha seu valor mercatório, o de meio de troca. Da mesma forma, até hoje só sabemos como implementar mecanismos juridicamente seguros de autenticação digital com verificação aberta, através de infra-estruturas para o uso de pares de chaves criptográficas assimétricas, pública e privada. A circulação de uma nova chave públca tem que estar lastreada em acesso restrito ao seu par privado, por parte do titular da chave, para que as chaves assimétricas mantenham seu valor autenticatório de natureza jurídica, o de representar intenções dos titulares. Para obter a eficácia desejada, estes protocolos estabelecem regras rígidas para os softwares que vão gerar pares de chaves, distribuir e verificar a titularidade de chaves públicas, validar assinaturas através do uso de chaves públicas tituladas, e restringir ao titular o acesso à chave privada para a lavra de assinaturas

em documentos eletrônicos. Esses protocolos é que fundam uma ICP. O controle de circulação de chaves, junto com a identificação de sua procedência, é que irão conferir valor a assinaturas, nomeando o autor em um documento eletrônico. A certificação de uma chave pública é apenas um mecanismo (um dos protocolos) destinado a possibilitar confiança na identificação da procedência da chave. Assim também, um processo gráfico da Casa da Moeda é apenas um mecanismo destinado a possibilitar confiança na identificação da procedência de cédulas de dinheiro. O controle de circulação das cédulas, junto com a identificação de sua procedência, é que irão conferir-lhes valor, nomeando a quantidade monetária que representam em uma troca. Um acordo coletivo, para que as cédulas em circulação só tenham valor monetário caso a procedência da cédula possa ser associada à chancela do Banco Central, é o que dá eficácia legal ao dinheiro, como meio de troca, no mundo da vida. Da mesma forma, um acordo coletivo, para que certificados de chave pública só validem assinaturas caso a procedência da chave possa ser associada à chancela dos protocolos de uma ICP, é que pode dar eficácia legal à assinatura digital, como meio de expressão de intenções dos titulares das chaves, no mundo virtual. A casa da moeda é acionada por um motivo de ordem prática: se as qualidades gráficas do serviço que oferece são diferenciadas, este serviço poderá prover a necessária identificação pública de procedência, para as cédulas que representarão valor monetário. No acordo coletivo que dá valor à moeda, é essencial que as únicas tais células a serem postas em circulação sejam as chanceladas (encomendadas e postas a circular) pelo Banco Central. Há vantagens em que o Banco Central seja um só, para que os agentes econômicos operem e contratem sob as mesmas regras. Mas não parece haver vantagem em que a gráfica das cédulas seja única. Os EUA imprimem cédulas em várias cidades. O Brasil já imprimiu cédulas através da gráfica inglesa Thomas de La Rue, e agora imprime pela nossa Casa da Moeda, e pela Casa da Moeda australiana as notas de plástico de 10 reais. A competição entre gráficas que irão atender ao Banco Central é salutar, pois a sociedade terá assim melhores chances de que a impressão de seu dinheiro se mantenha tecnologicamente à frente dos falsificadores. Para a eficácia de tal acordo são cruciais, além da correta escolha do procedimento de impressão, que diminui as chances de dinheiro falsificado circular com facilidade, também a fiscalização dos procedimentos de impressão e circulação, para que as quadrilhas e os ineptos não se infiltrem nas próprias gráficas que servem ao Banco Central, ou no próprio Banco Central, empobrecendo o país. Correspondentemente, seria vantajoso que tivéssemos apenas uma ICP, para que todos os softwares de geração de chaves, de lavra e validação de assinaturas com pretensão legal, operassem e contratassem entre si sob as mesmas regras. E não parece haver vantagem na certificadora raiz ser uma só, como tem nos mostrado a evolução histórica da prática dos conceitos aqui em tela. 1.2 Valor jurídico de assinaturas digitais e valor monetário Numa ICP que pretende dar validade jurídica às assinaturas digitais, toda a dinâmica monetária encontra paralelos. Com relação à fiscalização dos procedimentos da certificadora, por exemplo: A revogação de um certificado que dá valor legal às assinaturas por ele validadas, se aceita pelo chancelante com data retroativa, poderia livrar qualquer Lalau ou Barbalho de qualquer encrenca com a Justiça. Nas ICPs, o problema da identificação de procedência das chaves pode ser posto no certificado, um documento eletrônico que associa uma chave pública ao nome do seu titular. O titular estaria dando valor autenticatório à chave no certificado. Porém, se o nome junto à chave fosse o bastante, uma cópia xerox de uma cédula circularia facilmente como dinheiro. O problema da garantia da procedência do dinheiro é resolvido imprimindo-o com alguma técnica especial, que o torna publicamente distinguível de simulacros impressos fora da chancela social, com outras técnicas. Mas o certificado não é um impresso, e sim uma sequência de zeros e uns, representada numa nuvem de elétrons. Se um certificado estiver assinado digitalmente, quem o assinou estaria assim oferecendo garantias sobre a procedência da sua titulação. Mas esta autenticação no certificado apenas transfere o

desafio ao portador do certificado, para identificar a procedência desta garantia. O acordo coletivo que dá valor ao dinheiro, materializado em leis, concebe a moeda como um meio de troca com liquidez imediata e universal, em sua jurisprudência, na suposição de que todos possam reconhecer estampas legítimas, por meio de seus próprios olhos, acessorados ou não por aparelhos. Por isso, podemos dizer que a validade do dinheiro (sua procedência e controle de circulação) é verificada pelo olho humano, equipado com a bagagem cultural do seu portador. Dinheiro que, assim verificado, dará valor mercatório ao portador. Este valor corresponde à quantidade monetária identificada na cédula. Uma ICP que pretende dar segurança jurídica a assinaturas digitais, encontra o mesmo desafio para resolver, mas num plano mais abstrato e delicado do que o do Banco Central. Certificados precisam ter sua validade (sua procedência e controle de circulação) verificáveis, para assim dar ao portador algum valor autenticatório legal. Este valor corresponde à identificação de autoria de documentos cuja assinatura sejam por ele validados, documentos cujo conteúdo possa espressar publicamente intenções deste autor. Para isso, tem-se que se resolver o problema de como verificar a procedência de certificados. Fisicamente falando, um certificado digital é uma nuvem de elétrons. E a procedência de elétrons não é verificável nem pelo olho humano, nem por nenhum aparelho sofisticado, como ensina a física quântica. No mundo virtual, simulacros são indistingúiveis de seus modelos, e o portador de um certificado precisa se valer então de outros meios em sua bagagem cultural, que não sejam puramente eletrônicos ou imediatamente visuais, para verificar a procedência de chaves públicas tituladas. Uma estratégia é a de se postergar, enquanto possível, a ancoragem física necessária à verificação de procedência de um certificado. Se alguém já tiver verificado a procedência de um primeiro certificado, poderá usá-lo para autenticar a procedência de outros certificados, que tenham sido assinados pelo titular deste primeiro. O portador dos novos certificados transfere assim, ao titular daquele primeiro certificado, a responsabilidade em ancorar físicamente a identificação de procedência desses novos certificados. Esses certificados assinados são como letras de cambio, ou cheques pré-datados. Na letra de câmbio, alguém assina dizendo que garante pagar ao portador um tal valor monetário em uma tal data. E quem a recebe como pagamento aceita tal garantia. Portando-se a letra de câmbio, pode-se com ela pagar a quem aceitar a mesma garantia. No certificado assinado, alguém assina dizendo que garante ter verificado um tal fulano mostrar que uma tal chave pública é dele. Portando-se o certificado, pode-se com ele validar assinaturas de tal fulano, perante quem aceitar a mesma garantia. Quem aceita uma assinatura em uma letra de câmbio, certamente confia que o assinante possui colaterais para garanti-la. Tais assinantes são chamados de agentes financeiros. Quem aceita uma assinatura em um certificado de chave pública confia de forma semelhante, e seus assinantes são as entidades certificadoras. Mas quais seriam os colaterais de uma entidade certificadora? A resposta óbvia é: fidelidade aos procedimentos que tangem à certificação, na ICP. Entre outros, o saber verificar corretamente se um tal fulando tem mesmo um par de chaves criptográficas assimétricas, titulando corretamente a chave pública dele. Mas como saber, numa nuvem de elétrons, se uma entidade certificadora possui ou não seus colaterais? Se apelarmos para o próprio mecanismo de certificação, empurramos a validação de assinaturas para um processo recursivo. Para validar uma assinatura, a chave para isso deve estar autenticada por assinatura, assinatura esta cuja chave de validação deve estar autenticada por assinatura, e assim por diante. Este processo, que pode ser automatizado pelo protocolo de validação de assinaturas de uma ICP, terá forçosamente que terminar numa chave que não é assinada, ou que é assinada por seu próprio par. Esta chave de última instância é comumente chamada de chave raiz. Nas ICPs cujos protocolos exigem que as chaves só circulem em certificados assinados, como aquelas que adotam o protocolo SSL, popularizado pelos browsers, esta chave raiz precisa ser distribuída num certificado auto-assinado. Tal como um certificado auto-assinado, o papel moeda é uma espécie de "letra de câmbio de última instância", um contrato solene auto-colateralizado, como se tornou a moeda depois que os Bancos Centrais modernos abandonaram o padrão ouro. Mas não é o único desta espécie.

O escambo e o contrato verbal são também formas de contratação de última instância, também autocolateralizados e legalmente válidos, embora não solenes, mas previstos no artigo 129 do código civil. Assim também pode ser com os certificados. Alguém pode, usando um software apropriado, gerar seu par de chaves e assinar, ele mesmo, um certificado da sua chave pública, entregando pessoalmente cópias a quem o aceitar e quiser, por meio deste, contratar eletronicamente com o titular, pela rede. Estariam fazendo uma espécie de escambo, em relação ao valor autenticatório de assinatura digital do titular do certificado. Uma lei de comércio eletrônico que restrinja a validade jurídica das assinaturas digitais, àquelas cuja cadeia autenticatória de chaves de validação termine numa única certificadora raiz, como podia ser interpretada a primeira versão da MP2200, equivale a uma lei que invalida, no mundo virtual, qualquer contratação de natureza comercial que não seja baseada em pagamento em moeda nacional única. Não está claro as vantagens disto, principalmente em termos de custo. Não só de custo, mas também de segurança. A MP e as normas inicialmente propostas não dizem como sua única certficadora raiz irá distribuir, de forma confiável, o seu certificado auto-assinado por toda a base computacional instalada no território nacional que venha a participar da ICP-Brasil. 1.3 Lições da História Quem acompanha a história da prática desses conceitos sabe como fracassou, por razões pragmáticas, a iniciativa de se promover, por meio de um acordo coletivo através do IETF (Internet Engineering Task Force), a incorporação de uma ICP com certificadora raiz única ao conjunto de protocolos TCP/IP. Esta inciativa, patrocinada por grandes empresas com a proposta dos protocolos PEM, era baseada no modelo de árvore de confiança para a identificação da procedência de chaves. Mas a disponibilização de uma ICP rudimentar alternativa, baseada no modelo de malha de confiança, por iniciativa do programador Phill Zimermann através do software PGP, disseminou, a partir de 1991, o uso pioneiro da criptografia assimétrica na internet, antes que o PEM pudesse ter chance de amdurecer -- através de testes em diversas escalas -- e decolar. E posteriormente, os modelos de negócio em torno da certificação e do SSL vieram a incorporar a certificação cruzada, pelos mesmos motivos de eficiência que popularizaram o PGP. Portanto, as iniciativas globais bem sucedidas para ICPs adotam, todas, o modelo de malha com a livre certificação cruzada, estando o sucesso do modelo de certificação em árvore restrito a empresas e organizações que já possuem hierarquia rígida própria. E é fácil ver porque, quando se faz a analogia mais apropriada, do Banco Central com o conjunto de protocolos que constui a ICP. A chancela do Banco Central à moeda circulante, corresponde à fiscalização rigorosa dos procedimentos de impressão ou cunhagem e de distribuição de dinheiro novo, e de destruição de cédulas velhas e dinheiro falso apreendido. Da mesma forma, o estrito cumprimento dos procedimentos de certificação, chancelarão o valor autenticatório dos certificados que uma entidade certificadora vier a assinar. Estes procedimentos são os de identificação do titular, de assinatura de certificados, de distribuição da chave pública da certificadora, e o de divulgação da revogação de chaves comprometidas. Para facilitar a distribuição de suas chaves públicas auto-assinadas, as certificadoras comerciais pioneiras se associaram às produtoras de sistemas operacionais. Os browsers distribuidos com esses sistemas já carregam a chave pública destas certificadoras. As produtoras dos sistemas operacionais monitoram a qualidade dos serviços oferecidos por estas certificadoras, com exigências sobre seus procedimentos de identificação, armazenamento e operação. E como contrapartida distribuem os browsers, integrando neles todos os protocolos de que um usuário comum necessita para participar desta ICP: O gerador e armazenador de chaves e certificados, já incluindo no seu repositório os certificados auto-assinados de suas parceiras, o solicitador de certificação e de certificados, o verificador de assinaturas e o controlador da lavra de assinaturas em documentos. Certificados auto-assinados, inevitáveis numa ICP, são um dos seus dois calcanhares de aquiles. Qualquer um pode nomear-se Napoleão Bonaparte num certificado auto-assinado. Do ponto de vista prático, o problema da confiabilidade na distrubuição de certificados auto-assinados em escala global foi até agora melhor equacionado no modelo de negócio das certificadoras comerciais pioneiras, que se associaram aos produtores de software básico para distribuir neles seus certificados auto-assinados, junto com toda a

funcionalidade necessária para que seus usuários possam participar de uma ICP. O que a MP2200 parece estar fazendo é botar o carro à frente dos bois. Nomeia uma única "casa da moeda virtual": a única certificadora que distribuirá certificados auto-assinados para chancela legal de cadeias autenticatórias de chaves de validação de assinaturas, aquelas cadeias nele terminadas. Nomeia um comitê gestor, controlado pelo dono desta "casa da moeda", com poderes de aprovar as normas e procedimentos de operação e fiscalização desta certificadora raiz única, e das outras certificadoras. O comitê gestor que irá normatizar os procedimentos que constituem a ICP-Brasil, será feito do mesmo estofo de quem precisa imprimir o nosso "dinheiro assinatura digital", o certificado auto-assinado da certificadora raiz. É como se a Casa da Moeda ditasse as normas do Banco Central, e também fosse a única responsável pela fiscalização de ambas. Mas o mais grave no texto da MP é que este poder, de ditar normas e fiscalizar, inclui o de homologar software. Num cenário que vincule esta homologação à validade jurídica de documentos eletrônicos, isto equivale ao poder de aprovar o estatuto e as normas deste Banco Central virtual às escondidas. Isto porque os softwares que produzirão lavra e validação de assinaturas com valor legal, materializarão em sua lógica interna os protocolos que constituem o mecanismo autenticatório deste novo tipo de assinatura. Justamente o que mais precisa ser, de forma aberta e transparente, analisado, debatido, calibrado, revisado, justificado e integrado a outros mecanismos semelhantes hoje em operação no mundo virtual, ficará escondido, esacamoteado dentro da lógica de programas, hoje na sua grande maioria comercializados de forma totalmente opaca, com acesso público vedado à sua versão em "linguagem humana", em código fonte. Com o Banco Central de verdade, as regras monetárias precisam ser claras, para que os agentes financeiros possam operar com segurança jurídica. Inclusive as regras sobre quais procedimentos do Banco Central devem ser sigilosos. E de como os mecanismos de proteção a este sigilo precisam ser publicamente monitorados. Exemplos são os mecanismos de decisão sobre intervenções em mercados financeiros. Da mesma forma deve ser com uma ICP que pretenda dar segurança jurídica a seus participantes. Regras sobre o sigilo envolvendo a geração do par de chaves e a guarda da chave privada, sobre transparência em relação aos processos de certificação e revogação, são essenciais para esta segurança. Com o poder de homologar software, e não os protocolos e algoritmos da ICP, há um perigo enorme de se transferir excessivo poder ao segmento monopolizante da industria de software, sobre a qual governos em todo o mundo tem se mostrado impotentes para exercer qualquer controle social. E pior, alguns deles tem preferido se submeter a alianças estratégicas obscuras com este segmento, com sinergias ainda mais obscuras. 1.4 Bússolas que norteiam leis sobre o virtual Poderíamos encontrar uma justificativa para esta postura arriscada, no fato de estarmos tratando de algo muito novo, e ninguém saber ainda como as coisas irão funcionar. Toda esta incerteza, mãe de riscos e perigos, é motivo para que a lei fosse guiada não pela bússola que norteia a cobiça, que aponta em direção às necessidades de mercados tecnológicos emergentes, cujos agentes não conhecem limites de ambição e de crédito financeiro, mas pela bússola da segurança social, que aponta em direção oposta a qualquer obrigatoriedade ou opacidade contornáveis, para que as leis de mercado possam funcionar em favor do equilíbrio social. Se o legislador não sabe quais regras de fiscalização à atividade de certificação deveriam ser impostas, se guiado pela bússola da segurança social não estaria seguindo o modelo da certificação em árvore, que dá direito a apenas uma certificadora distribuir certificados auto-assinados legalizadores das representações virtuais da vontade humana. Um dos graves problemas com o modelo da certificação em árvore é que ele cria uma necessidade recursiva de auditoria e fiscalização. Quem irá auditar a certificadora raiz? Quem ira fiscalizar estes auditores? Seria a própria certificadora raiz? Seria o Congresso, que sequer consegue aprovar em dois anos uma lei de comércio eletrônico? Com o modelo de malha de confiança, cada um pode tentar distribuir seus certificados auto-assinados a quem queira neles confiar, podendo amplificar o alcance de sua circulação com a certificação cruzada. A certificação cruzada, que dá eficiência ao processo

de distribuição da chave pública de uma certificadora, serve também para pulverizar os riscos decorrentes do problema recursivo da auditoria e fiscalização. As certificadoras se ocupariam de fiscalizar umas às outras, em troca da certificação cruzada de suas chaves públicas, e o próprio mercado regularia assim a qualidade da certificação, evitando o surgimento de pontos de atração para focos de corrupção, onipresentes em qualquer hierarquia de outorga, como é o modelo da certificação em árvore. Nenhum dos dois modelos que tivesse sido adotado pela ICP-Brasil -árvore ou malha -- poderia evitar a distribuição de certificados auto-assinados, comumente chamados de certificados-raiz, a menos que submetam suas chaves públicas à certificação por certificadoras comerciais pioneiras hoje operantes, associadas aos produtores de software. E se vamos ter que instalar novos certificados auto-assinados em nossos computadores, por que então achar que algum vindo numa nuvem de elétrons, pretensamente de um órgão burocrático de Brasília, teria sua procedência mais confiável do que, por exemplo, algum que foi gerado no cartório da esquina? Nenhum dos dois modelos privilegia o impasse do magistrado que precise construir, quando preciso, seu livre convencimento sobre o valor probante de documentos digitalmente assinados. Um browser como o Netscape ou o Outlook pode hoje aceitar um certificado auto-assinado no seu chaveiro, mas vai perguntar ao usuário se ele está seguro da identificação do seu titular. Esta segurança pode vir de qualquer ancoragem física que identifique sua procedência, a menos do próprio certificado. Pode vir de uma relação pessoal de confiança entre o usuário do browser e quem lhe entrega o certificado, ou de uma publicação do seu "fingerprint" num diário oficial (para aqueles cujo software chaveiro puder calcular e exibir o hash dos certificados que recebe), ou de uma distribuição de disquete por uma fonte de sua confiança, etc. Mas não do próprio certificado auto-assinado, ou da importância política do nome que nele consta para identificar sua suposta procedência. O certificado auto-assinado é um dos dois calcanhares-deaquiles das ICPs, e a MP2200 parece não mostrar preocupação do seu autor em relação aos problemas de segurança na distribuição global do certificado auto-assinado da única certificadora raiz que criou. É também inócuo dizer, ou insinuar, que a confiança na titularidade de um certificado auto-assinado só pode ser obtida através da sua distribuição junto com o software que irá usá-lo. Esta é apenas a forma mais conveniente, e talvez mais eficaz em escala global. Mas não necessariamente em escala local, pois temos tido mostras escabrosas de problemas de confiabilidade nos softwares distribuídos hoje em escala global. Certamente não será a de menor custo, além do que, deve-se considerar ainda o outro calcanhar de aquiles das ICPs, diretamente relacionado ao software que lhe faz par, quase sempre a ele integrado. Este segundo calcanhar de aquiles são os problemas de segurança e confiabilidade afetos ao manuseio da chave privada, pelo software que lavra assinaturas. Estes são tão graves quanto a inevitabilidade de certificadosraiz, e hoje, potencialmente mais graves. A distribuição de um certificado falso com o nome de uma certificadora raiz é mais facilmente detectado do que o vazamento de uma chave privada. No final, é o juiz que precisa firmar livremente seu convencimento sobre o valor probante de docuentos eletrônicos, com ou sem certificadora raiz única, da forma como faz hoje com os de papel. 1.5 O cenário de hoje O ambiente mais em uso hoje para o manuseio de chaves, para lavra da assinatura própria e validação de assinaturas alheias, é um browser rodando sobre o sistema operacional Windows. Este é um ambiente computacionalmente promíscuo e inseguro, no sentido de que são inúmeras as possibilidades de embuste para o vazamento desta chave, algo que passa agora a ter grande valor: o poder de lavrar assinaturas, pelas quais responderão na justiça o seu titular. A própria arquitetura do sistema operacional é indefensável, e não será um novo produto antivirus e uma nova campanha publicitária que mudarão este cenário. Mesmo se armazenada só em disquete, a chave privada estará vulnerável enquanto transita do meio magético para memória, levada por um programa que compartilha com outros um ambiente computacional promíscuo, para a operação de lavra de assinaturas em nome do seu titular. A única forma de se proteger a chave privada contra os riscos desta promiscuidade é confinado-a, junto com o software que irá operá-la, a uma plataforma dedicada. Como por exemplo, a um cartão

inteligente. E os sistemas que confinam chaves privadas estão ainda em sua infância, pelo descompasso entre demanda e oferta de capacidade computacional neles embutida. Mas já existem sistemas pioneios, como o da federação de bancos da França. Agravando o cenário o usuário ainda pode, com o poder de homologação do software outorgado a um comitê político, ver-se obrigado a usar um software que ele não conhece, e não sabe avaliar o grau de proteção que lhe oferece. Novamente, a bussola escolhida pela MP não irá lhe favorecer. Para favorecê-lo, a MP poderia tratar da homologação de protocolos e algoritmos, ao invés da homologação de software. Se assim o fizesse, certamente dificultaria aos fornecedores de software a dissimulação ou ocultação de vulnerabilidades e "portas de fundo", intencionais ou não, nos seus produtos. Um software para ICP é como um advogado, quem irá intermediar a vontade dos titulares, representados através de chaves criptográficas. O usuário precisa ter liberdade de escolha, pois as consequências desta escolha poderão ser de sua responsabilidade jurídica. A homologação de software no contexto da MP, caso tenha caráter mandatório, será um grave risco para a cidadania. O contrário se daria caso sua autoridade fosse a de homologar os protocolos da ICP, dificultando a presença de mecnismos embusteiros em suas caixas pretas. A única utilidade prática para uma autoridade central, um comitê gestor, em relação à defesa dos direitos civis de quem se ver obrigado a participar da ICP criada pela MP2200, que se ponham em rota de colisão com a segurança do negócio de quem queira explorar os mercados dela oriundos, seria para a tarefa de inspecionar a integridade e a robustez dos mecanismos de assinatura digital oferecidos ao mercado, sua adesão aos padrões e procedimentos estabelecidos, e para fiscalizar as atividades das ceritificadoras comerciais públicas e privadas no cumprimento destas normas de operação. Principalmente com relação à lista de revogação de certificados, que só pode dar segurança jurídica à ICP se puder ser ancorada em um procedimento físico externamente auditável, para dificultar revogações retroativas. Tais processos físicos podem ser muitos simples, como a exigência da publicaçào do "fingerprint" do certificado num diário oficial, para dar validade jurídica à sua revogação. Ocuparia uma linha de coluna quíntupla do jornal, por cada certificado. Mas nada disto está na norma proposta. Por esses motivos, parece que este comitê desempenharia melhor suas funções se fosse um comitê técnico, trabalhando com critérios gerais, objetivos e de natureza científica, claramente delineados na lei, e cujos efeitos fossem o de equilibrar riscos e responsabilidades entre participantes da ICP-Brasil. E não um comite de viés político, que poderia, com a homologação a seu bel prazer, introduzir o monopólio de caixas-pretas indevassáveis em software de código inauditável, onde botões escondidos para embustes poderiam funcionar como moeda de troca pelo direito desse monopólio. Na primeira proposta de normatização, oferecida a debate pelo comitê gestor, não havia nenhuma referência, em suas 306 páginas, à auditoria externa dos procedimentos e protocolos que constituem a ICPBrasil, o que anula completamente a eficácia desta norma. O Banco Central é dirigido por quem entende de economia, e externamente fiscalizado por quem entende de política. Por que com a ICP-Brasil o critério seria diferente? Por que a ICP-Brasil precisa ser gerida por critérios políticos, através de quem detem conhecimentos limitados da semiótica possibilitada pela critpografia assimétrica, como um carro à frente dos bois, à maneira da atabalhoada criação da ICP-Brasil via medida provisória?. A resposta que nos parece mais plausível para esta pergunta, remete à escolha da bússola que guiou a criação da lei. 2- Tecnologia adotada pela ICP-Brasil Outra questão que suscita dúvidas frequentes, é sobre a tecnologia a ser adotada pela ICP-Brasil. Se ela está estabelecida pela MP, ou se será definida pelo Comitê Gestor da ICP. E se o objetivo do texto da lei é estabelecer reserva de mercado para tecnologia criptográfica nacional, como teriam argumentado os que defendem a nomeação do CEPESC como órgão de assessoria técnica do comitê gestor. 2.1 O que é tecnologia de assinatura? Na primeira versão da MP está escrito que o comitê gestor irá homologar softwares para a ICP. Mas sem nenhum critério pré-estabelecido. Softwares cuja lógica esteja opaca ao usuário podem fazer qualquer sistema criptográfico passar-se por assimétrico, escondendo assim vulnerabilidades ou embustes. Como a

criptografia é uma ciência de poder, sua regulamentação serve justamente para controlar poderes. O que poderia estar por trás de limitações do uso legal da criptografia, a formas e modalidades restritas, é o objetivo de se proteger intenções de alguns agentes envolvidos, contra intenções de outros. Nas restrições de modalidade, este poder pode equilibrar riscos. Nas restrições de forma, tende a ocultá-los. As preferências de quem com elas justifica a escolha do órgão de assessoramento técnico na MP são restrições de forma. A tecnologia de uma ICP com pretenção de oferecer segurança jurídica precisa oferecer, a quem for ser identificado através dela, a capacidade de controlar a dificuldade da falsificação desta identificação, por intermédio do mecanismo verificador desta identidade. Os direitos de propriedade industrial desta tecnologia não devem obstaculizar a verificação desta capacidade, quer pelo comitê gestor, quer por usuário nela interessados. Tal critério seria uma restrição de modalidade, útil aos objetivos de segurança jurídica para o comércio eletrônico. Se entendermos como tecnologia os protocolos que constituem a ICP, esta restrição seria um critério sadio somente se for externamente auditável, pois a técnica autenticatória precisa ser transparente para aspirar tal pretenção. E mesmo que critérios técnicos sadios apareçam na norma proposta, um comitê gestor de viés político poderá amanhã modificar esta norma para critérios com restrição de forma, que permita conluios, embustes nos softwares e outra dinâmica de riscos e poderes. Se a lei falasse explicitamente em homologação de "tecnologia", ao invés de "software", como expresso em frequentes questionamentos, não estaria ainda dizendo nada. Como hoje usada, a palavra "tecnologia" não diz muita coisa. Principalmente quando o assunto é criptografia. Hoje, a função semiótica mais comum da palavra "tecnologia" é o estabelecimento tácito de um pacto, para escamotear a ignorância mútua em relação ao objeto do diálogo. Criptografia é conceito semiótico, não é tecnologia. A criptografia é a ciência dos algoritmos e protocolos criptográficos, que por sua vez são códigos e formas de discurso destinados ao exercício do controle semântico. Suas tecnologias são as soluções para implementação desses algoritmos e protocolos. São as plataformas computacionais e os sistemas operacionais que as irão materializar e onde irão operar, e os ambientes e técnicas de programação e de engenharia com os quais serão produzidos. Se levarmos ao pé da letra o que seriam as tecnologias da assinatura digital, estaríamos falando das plataformas para implementação e para interoperabilidade de algoritmos e protocolos criptográficos. É tolice pensar-se em assinatura digital sem criptografia, pois assinatura não é apenas identificação. Identificação é convencer-se de que se reconheceu algo. Autenticação é convencer outrem de que se reconheceu algo. Assinatura é convencer outrem de que se reconheceu algo, algo que representa uma promessa de alguém. No cenário das redes de comunicação fechadas, como a das comunicações militares ou de órgãos sensíveis do poder executivo, onde alguma hierarquia do mundo da vida organiza e controla a infraestrutura, a semântica e o tráfego de informações que nela flui, poder-se-ia pensar em reserva de mercado das tecnologias, qualquer que venha a ser a tecnologia e o motivo. Esta hierarquia nos permite ali pensar em identificação, autenticação e assinatura como semioticamente equivalentes, onde a criptografia dela se vale para oferecer segurança ao sigilo da comunicação, justamente o sigilo global que mantém a rede fechada, e onde a batalha por esta segurança é ferozmente técnica e onerosa. Mas numa ICP, a criptografia é necessária para outro propósito, para outra função semiótica. Não só para identificar seus agentes mas, principalmente, para um tipo especial de autenticação, capaz de representar com segurança as intenções de seus agentes, onde a batalha pela segurança é jurídica, através da busca do equlíbrio de riscos e responsabilidades. Justamente o equilíbrio que manteria a rede aberta, já que seu contexto semiótico é oposto ao anterior. É o de uma rede global e aberta, a internet. Este equilíbrio buscado é no sentido dos aspectos legais das atividades comerciais e das relações sociais, sentido que deveria ser a bússola desta ICP. A proteção ao sigilo na comunicação, possibilitada por uma tal ICP, é apenas um bonus ou acessório, pois, para a sua segurança jurídica, o sigilo que interessa é pessoal, e não global. É para a geração e o armazenamento das chaves privadas, dentro da esfera de acesso de seu titular. No cenário de uma ICP que busca dar segurança jurídica às práticas sociais conduzidas através de uma rede global e aberta, a reserva de mercado não faz sentido, como veremos. A internet é formada pela adesão a padrões abertos, formatos e protocolos digitais sem dono e sem fronteiras. Inventar outros padrões

para comunicar-se através da internet é colocar-se fora dela, numa rede virtual privada que a utiliza como suporte. A menos que se tenha cacife para impor sobre ela seus próprios padrões "na marra", passando-se por cima de todos os RFCs e recomendações do IETF (Internet Engineering Task Force). E esta pretenção de "saltar etapas" não é fácil de ser realizada. Nem mesmo a Microsoft pôde ainda impor na marra seus padrões à internet. Isto porque, embora domine 90% dos sistemas operacionais e browsers no lado cliente na internet, ela ainda não domina o mercado dos servidores Web, onde detém hoje apenas 20%, com seu produto IIS. O que não a impede de tentar, como mostra sua experiência piloto na Inglaterra (veja em http://www.jb.com.br/jb/papel/cadernos/internet/2001/06/06/jorinf20010606001.html), e como irão mostrar suas aventuras com o ASP e o XP. A única faceta da tecnologia que faria sentido o Brasil tentar, por força de lei, reservar para si no comércio eletrônico, no sentido preciso do termo "tecnologia", seriam as plataformas de hardware. Mas esta estratégia já foi tentada nos anos 80 com a lei da informática, e abandonada, por ter se mostrado ineficiente, para não se dizer um tiro pela culatra. Quem chama algoritmo ou protocolo criptográfico de tecnologia, está sendo impreciso. Mas, para bem esclarecer, podemos supor que se está falando não só das plataformas, mas também de algoritmos, protocolos criptográficos e suas implementações como se fossem tecnologias, quando se defende a MP2200. No sentido em que códigos e formas de discurso com características semióticas mensuráveis especiais sejam tecnologias. É possível que quem escreveu a MP estivesse tentando reservar mercado para algoritmos e protocolos criptográficos, desenvolvidos no Brasil por pesquisadores do CEPESC. Se a intenção tiver sido esta, vamos examiná-la. 2.2 Protocolos-como-tecnologia Examinemos primeiro uma possível reserva de mercado para "tecnologia", referente apenas a protocolos criptográficos. Protocolos criptográficos modernos são formas de diálogo entre agentes interessados em obter certos efeitos protetores nas comunicações que ensejem estabelecer entre si, por meio digital. Dependendo da natureza e formato da comunicação desejada, os efeitos protetores desejados podem combinar, nas mais variadas receitas, necessidades de sigilo, garantias de integridade, provas documentais e expressões de intenção ou vontade dos interlocutores. Exemplos de protocolos criptográficos abertos, hoje em uso para o comércio eletrônico de varejo na internet, são o SSL (proposto pela Netscape e adotado pelo IETF como parte do IPSec), e o SET (proposto pela Visa, MasterCard e IBM). Tais protocolos são como roteiros pré estabelecidos para a interpretação de mensagens, visando a escolha, a inicialização e a operação conjunta e concomitante de rotinas criptográficas, cujo efeito na comunicação posterior seja a obtenção das proteções requeridas pelo objetivo e forma da comunicativa pretendida. São procedimentos preliminares que dão importância a certas formas de diálogo digital. E novamente, para serem destinados ao uso na internet, se forem impostos fora do "acordo comum" que constitui a própria internet, caracaterizarão um uso privado desta. Não terão caráter público como têm hoje, por exemplo, o uso da lingua portuguesa no texto das leis brasileiras, o uso de serviços oferecidos pelo Estado, tais como a Justiça e a Segurança Pública, e a própria internet. Não faz sentido impor-se por lei um protocolo criptográfico privado, com o objetivo de fazê-lo ter caráter público, em detrimento de outros que já ganharam aceitação pública pelo que oferecem em termos de garantias, disponibilidade, funcionalidade e custo, simplesmente porque alguém com a mão na caneta do presidente da república, e conhecimentos limitados de semiótica, acha que algum protocolo privado ofereceria melhor segurança jurídica ou vantagem para o cidadão, para o Estado brasileiro ou para ambos. Custo e segurança jurídica seriam problemáticos, pois certamente um tal protocolo não terá passado pelo mesmo crivo evolutivo de seleção natural que constitui o processo das RFCs, com longos e abertos debates técnicos, testes práticos e refinamentos em várias escalas, que todo padrão sobrevivente deste processo tem que passar, para compor o que é a internet de hoje. Investimento maciço e apoio técnico formidável não são garantias de sobrevivência neste crivo,

como exemplifica o PEM, a primeira tentativa de se estabelecer uma ICP com certificadora raiz única na internet. Todos que militam na espinhosa área da segurança na internet sabem que protocolos criptográficos para uma rede aberta são muito difíceis de terem sua robustez avaliada, e que a melhor forma até hoje conhecida de fazê-lo tem sido através do seu uso intensivo em regime de produção, no "campo de batalha". Qual a sabedoria de uma lei que despreza esta valiosa bagagem da cultura humana, conquistada a duras penas? 2.3 Algoritmos-como-tecnologia A próxima possível interpretação, é a de que a intenção do autor da MP tenha sido o de estabelecer reserva de mercado para algoritmos criptográficos. Se os protocolos são como peças teatrais, os algoritmos criptográficos são como personagens. Diferentemente dos protocolos numa rede aberta, a robustez dos algoritmos criptográficos pode, principalmente se seu uso for destinado a proteger sigilo, ter algo a ganhar com o bloqueio do conhecimento público de seus detalhes. Mas somente se esses detalhes puderem ser ocultados de quem pretenda atacá-lo. Porém, o cenário da internet não contempla a hipótese deste controle. Quem vier a distribuir um algoritmo criptográfico em software executável, para uso em protocolos destinados ao comércio eletrônico de varejo, ou para outro uso público através da internet, não poderá selecionar de antemão quem irá botar a mão neste software, com base no que suponha serem suas intenções em relação ao software. Este impasse nos leva à questão crucial, sobre a eficácia da ocultação da lógica interna do software por meio do bloqueio de acesso à sua forma "humana", em código-fonte. O que este bloqueio realmente protege? Este é o assunto favorito de meus artigos, mas aqui não haverá espaço e tempo para tratá-lo. Temos que nos ater aqui aos algoritmos-como-tecnologia. Mesmo que o autor da MP tenha a pretenção de promover a segurança jurídica da ICP controlando o acesso à lógica interna dos seus algoritmos criptográficos, está em jogo algo ainda mais crucial do que esta possiblidade. Para que as garantias oferecidas por um protocolo criptográfico tenham tal efeito, proteções como a autenticação e a prova documental para expressão de intenções precisam ter sua eficácia verificável por terceiros. A identificação do autor, a de sua lavra e a de sua intenção em documentos eletrônicos, precisam portanto ser públicas. Esta necessidade dos protocolos da ICP descarta, de saída, a imensa maioria dos algoritmos criptográficos conhecidos. Os algoritmos ditos simétricos não poderão oferecer estas proteções, por não oferecerem, ao identificado, controle sobre a dificuldade que um verificador qualquer teria para forjar esta identificação, a partir do mecanismo público de verificação. Os algoritmos que podem oferecer este controle ganham o nome de assimétricos. São raríssimos, pois precisam exibir uma qualidade universal, a de não possibilitarem, a nenhum outro algoritmo eficaz, a dedução do segredo identificador (a chave privada) a partir de sua referência de validação (a chave pública). São conhecidos hoje, basicamente, apenas dois, ambos em domínio público. E como um deles (RSA), o primeiro a ser descoberto e o mais simples conhecido, permite também ao titular das chaves controlar o custo da quebra de seu sigilo, quando usado para este fim, seu uso indiscriminado tem sido alvo de resistência ideológica por todos os serviços secretos em operação no mundo de hoje, pois implica na perda de controle, por parte desses serviços, sobre o custo da interceptação de comunicações privadas, a sua atividade meio. Para legitimação do comércio eletrônico, o valor jurídico dos documentos eletrônicos é o que interessa. E portanto, uma lei com este objetivo só deveria se ocupar de conceitos criptográficos envolvendo a criptografia assimétrica, em modo autenticatório. Ao tratar de criptografia, deve fazer restrições de modalidade que busquem equilibrar riscos e responsabilidades, em defesa de quem precisa confiar em estranhos para intermediar sua própria inteligência e vontade na esfera virtual. Restrições que, por sinal, nada tem a ver com engessamento de tecnologia. A menos que se queira escolher, justamente, tecnologias embusteiras. A semiótica dos algoritmos simétricos pressupõe que a identificação mútua e segura entre interlocutores já tenha ocorrido, justamente o problema que a assinatura digital precisa resolver. O uso semiótico da biométrica como tecnologia de assinatura digital seria um exemplo de embuste, pois tal uso implementa um tipo de criptografia simétrica, que propicia proteções especiais à geração de chave única do

titular, mas não o controle pelo assinante da dificuldade da forja de sua assinatura. Usada como método de autenticação com verificação pública, a biométrica só protegeria contra fraudes o verificador, desequilibrando riscos. A biométrica seria, outrossim, extremamtente útil com semiótica adequada. Como assessória em ICPs sadias, no controle de acesso à chave privada, por exemplo, pois o titular e seu chaveiro já se identificaram previamente e se confiam. Em outras palavras, a biométrica pode ser útil e eficaz, por exemplo, para autenticar a autoria de documentos em uma rede fechada, onde a confiança do identificado na intenção sadia do dono da rede, implícita no seu uso autenticatório, submete-se naturalmente à esfera do Direito Civil. Mas não o será para expressar publicamente a intenção do identificado numa rede global e aberta, onde a validade jurídica deste uso autenticatório pressupõe que tal confiança se dê numa esfera de última instância, porquanto um "assinante biométrico" não pode controlar a dificuldade da forja de sua identificação, através da manipulação do processo de validação de sua "assinatura biométrica". O discurso que associa criptografia assimétrica a engessamento tecnológico pode ser rastreado à postura ideológica dos serviços de espionagem, que teriam ganho novos aliados. E quem o repete como papagaio nem sempre sabe a quem está servindo, ao contribuir para furar este disco. Este disco é posto a girar explorando-se o medo, na incereteza inerente ao caráter absoluto da universalidade das assimetrias dos algoritmos RSA e DSA. Mas existem 2350 anos de história da Matemática a lhes outorgar universalidade relativa, cuja eventual insuficiência seria muito menos provável do que falsificações, embustes e ataques de outras naturezas, dirigidas aos protocolos e não ao algoritmo, possíveis em qualquer sistema de autenticação eletrônica. Depois de expirada sua patente nos EUA o RSA está, há menos de um ano, em domínio público em todo o mundo, e é o personagem central em todos os protocolos critpográficos para uso em rede global e aberta, como o SSL, o PGP, o SET, etc. O RSA é agora, sob qualquer jurisprudência, um legado científico da humanidade, e não uma "tecnologia proprietária" a merecer adjetivações com tinturas ideológicas, nem mesmo a de "estrangeira". É uma lista de cinco fórmulas que cabem num guardanapo de papel, estranhas apenas a quem quiser desdenhar o aprendizado matemático que leva à sua compreensão. Os novos aliados naturais dos serviços secretos, na batalha ideológica para demonizá-lo e vilipendiá-lo, seriam empresas que não podem mais lucrar com direitos de monopólio sobre ele, ou controlar seu uso. Assim, não faz sentido a MP querer substituir os dois algoritmos assimétricos de domínio público conhecidos, por algoritmos desconhecidos. A menos que, como diz com fina ironia o professor Michael Stanton, em sua coluna no Estadão de 9/7/01, o CEPESC tenha descoberto algum novo algoritmo assimétrico, e esteja mantendo-o em sigilo, para torná-lo assim ainda mais robusto. Até onde se tem notícia, a pesquisa desenvolvida pelo CEPESC tem obtido resultados práticos apenas com geradores randômicos e algoritmos simétricos, nenhum deles de domínio público. Mas a arquitetura de geradores randômicos é difícil de se esconder na internet, e os algoritmos simétricos são inúteis para mecanismos sadios de assinatura digital. Os algoritmos simétricos são apenas acessórios úteis a uma ICP, para mecanismos de proteção à guarda da chave privada ou ao sigilo das comunicações, que "pegam carona" nos protocolos da ICP com os chamados "envelopes digitais". Estes acessórios podem enriquecer a funcionalidade de softwares para uma ICP, mas nada afetam o seu núcleo -- sua função autenticatória -- em relação à segurança jurídica que dela se almeja. O que torna inócua a intenção de se estabelecer reserva de mercado para algoritmos do CEPESC para as ICPs, se o objetivo da MP for mesmo a segurança jurídica do comércio eletrônico no Brasil. Por outro lado, é mais fácil ao produtor esconder, e mais difícil para a vítima encontrar, embustes em um software cuja lógica interna na˜o tem caráter público. Embustes que comprometem a robustez de algoritmos e protocolos afetados, e das proteções que tais protocolos buscam oferecer, permitindo a quem o plantou, ou conhece as "portas de fundo" para sua execução, falsificar assinaturas de forma perfeita e indetectável, ou violar o sigilo do titular. Daí porque uma lei que busca equilibrar riscos e responsabilidades não deve forçar ninguém a usar nenhum mecanismo opaco para substituir sua assinatura de punho. Daí porque uma tal lei deva permitir ao participante de uma ICP verificar se tais mecanismos lhe oferecem

algum controle sobre a dificuldade de forja desse novo tipo de assinatura, ou se este mecanismo esconde a possibilidade de embustes, para exercer em seu melhor juízo a sua escolha de mecanismo. Só podemos confiar em técnicos para fornecermos a melhor proteção possível, se esta proteção for contra acidentes tecnológicos, onde a intenção humana esteja fora de cena. Mas contra fraudes e embustes, contra o lado sombrio da natureza humana, a melhor proteção possível é a própria vigilância, com ou sem a tecnologia em cena. Num software cuja lógica interna o usuário ou um perito de sua escolha não possa ter acesso, podese muito bem esconder um "botão macetoso" para obtenção de chaves "privadas" alheias, sem que isto esteja previso na lei, no manual do software, ou nas palavras oficiais dos produtores, intermediadores e agentes que lucram com a disseminação e a dependência coletiva a essas caixas pretas. Se a lei diz que um órgão de espionagem do poder executivo é o único agente apto a verificar, em nome do cidadão ou da empresa usuária de software da ICP, se a caixa preta intermediadora da sua vontade poderá ou não trair o rótulo de confiança nela colada por decreto, o cidadão ou a empresa deveria ter pelo menos o direito de recusar este mecanismo, em favor do seu próprio punho e de sua própria caneta para expressar sua própria vontade, caso assim o deseje, livre de discriminções por esta escolha. 2.4 Software-como-tecnologia Resta examinarmos a última interpretação possível da criptografia-como-tecnologia. A única para a qual poderia ser eficaz uma reserva de mercado numa ICP. Se a intenção do autor da MP foi a de criar reserva de mercado para implementações de protocolos e algorimos abertos, em uso na internet, e consequentemente de domínio público, para privilegiar um segmento da industria de software brasileira que opera o modelo de negócio proprietário, as consequências da eficácia desta reserva podem ser desastrosas para o usuário, pois esta reserva só atingirá seu objetivo com eficácia se vier conjugada ao bloqueio de acesso ao código fonte dos seus programas. E esta conjugação daria oportunidades, estímulos e tentações para o surgimento do comércio dos privilégios das "portas de fundo" das caixas pretas. Um cenário deveras perigoso, pois a possível intenção de se criar este novo mercado clandestino de poder oculto seria indistinguível, nas medidas e ações políticas necessárias ao seu sucesso, daquele de se privilegiar um segmento de mercado para a indústria do software proprietário, brasileira ou não. Principalmente se a assessoria técnica para a homologação do software para a ICP é delegada a orgão de inteligência do poder executivo cuja missão conflita, em interesses, com os direitos de cidadania, como mostram manuais de espionagem recentemente apreendidos pelo ministério público no Pará, conforme divulgado pelo Jornal do Brasil na semana de 5/7/01. Esta indistinguibilidade é o risco maior que corre a sociedade, ao aceitar os argumentos oficialmente apresentados por quem defende o texto atual da MP2200. Resta então indagarmos se teríamos algo a ganhar com restrições de forma sobre o uso da criptografia, numa lei de comércio eletrônico. Creio que sim. Se o comitê gestor desambiguasse as duas possíveis intenções no privilégio que busca criar, no exercício de seu poder homologador para a ICP-Brasil, dando preferência não necessariamente a protocolos inventados, algoritmos descobertos, ou softwares implementados no Brasil, mas sim àqueles cuja licença de uso não obstaculizasse a inspeção, por quem se interessasse, do código fonte e da lógica de seus programas. Se o software for sofisticado e útil, pode-se têlo livre e mesmo assim ganhar muito bem com serviço e expertise em torno dele, sem overhead por cobrança e policiamento da licença de uso, independentemente de sua origem. Das 180 empresas de capital aberto no mundo que operam o modelo do software livre, a terceira maior tem sede no Brasil e vai muito bem nos negócios. Esta desambiguação de intenções serviria não só para buscar preservar o equilíbrio de riscos e responsabilidades da jurisprudência tradicional sobre contratação, em defesa do cidadão e da empresa, usuários de software da ICP, mas também e principalmente, para estimular a indústria brasileira de software a se desprender do modelo de negócio do software proprietário, que já mostra sinais de fadiga e cuja sobrevida está sendo alavancada por uma política artificiosa de liberalidade no direito industrial, em direção

a perigosos critérios globais cada vez mas vagos para a patenteabilidade de idéias. Patente é direito de monopólio industrial, e não pode ser confundido com proteção à obra intelectual, um direito autoral. Em http://www.wired.com/news/politics/0,1283,46126,00.html, temos um exemplo vivo de como esta liberaildade pode ser transformada em arma político-ideológica, cerceadora da liberdade humana e da evolução científica e tecnológica em nossa civilização. O escritório de patentes dos EUA acaba de conceder, em 24/07/01, a patente de numero 6,266,704 ao serviço de inteligência da marinha americana, de um protocolo de roteamento em camadas, destinado à anonimização de interlocutores ao longo dos pontos intermediários do tráfego na internet. Precisamos ler nas entrelinhas, pois este episódio abre um precedente muito estranho. As leis de patente concedem o direito de monopólio para exploração de invenções úteis, inéditas e não óbivas, ao seu inventor. 2.5 Software-como-ideologia E o que é uma invenção? Na jurisprudência americana, o conceito exclui leis da natureza. Na brasileira, exclui fórmulas matemáticas. Os problemas com a patente 6,266,704 começam com a patenteabilidade. Em que sentido um formato de diálogo pode ser considerado uma invenção? A materialização deste protocolo anonimizador sem dúvida só poderá ocorrer, em forma operacional, dentro do escopo de um formalismo matemático assaz abstrato. O segundo problema ocorre na avaliação de sua originalidade. A concessão desta patente provocou reações iradas entre os participantes da Conferência sobre Segurança Computacional da Usenix, onde foi anunciada, de pesquisadores que estariam publicando, deste 1981, artigos científicos sobre as técnicas cobertas pela patente. O matemático David Chaum, por exemplo, havia naquele ano publicado o artigo "Untraceable Electronic Mail, Return Addresses and Digital Pseudonyms" na prestigiosa revista científica Communications of the ACM. Lance Cottrell, que agora dirige um serviço de anonimização na internet, a partir de www.anonymizer.com, escreveu parte do sistema Mixmaster no início dos anos 90, e discussões sobre técnicas similares são discutidas em listas de segurança desde então. O terceiro problema é a potencial diferença de critérios em relação à originalidade. Uma leitura descuidada para reconhecer, em descrições de invenções escritas em legalês, conhecimento que já está em domínio público, e uma leitura rigorosa para enquadrar pretensos infratores de direitos de propriedade intelectual, adquiridos em processos obscuros, que tramitam em segredo. O direito de monopólio do governo americano, expresso na patente 6,266,704, poderá ser usado, numa leitura jurídica agora mais liberal do que venha a ser "equivalêcia de idéias", para controlar o uso de anonimizadores na internet. Agentes com poder político podem estar exercendo pressão sobre a burocracia técnica, para se apoderarem de invenções alheias com o intuito ou efeito de controlar seu uso, de forma a perpetuar ou ampliar seu poder. Como uma pirataria oficial, às avessas. Se o ministério da saúde brasileiro tem tomado a iniciativa, inclusive em foros internacionais e com sucesso, de contestar a universalidade de certas diretrizes jurisprudenciais emanadas das forças da globalização, em relação a questões de fronteira do direito de propriedade intelectual, por que o Ministério da Ciência e Tecnologia não pode seguir-lhe o exemplo? Razões não faltam, pois as consequências da inação nesta esfera podem ser ainda mais nefastas, a longo prazo, do que na área da saúde. Esta política industrial globalizadora, ancorada numa extema liberalidade sobre o direito de monopólio, que busca perpetuar um modelo de negócio baseado na maximização da avareza, modelo sob o qual paira a ameaça de obsolescência com as novas liberdades gestadas na revolução digital, fere todas as jurisprudências do direito de propriedade intelectual consolidadas até o início da década de 80 no mundo, e é um jogo de sinergia desequilibrante, no qual o Brasil só tem a perder. O escritório de patentes americano, com a universlização de sua jurisdição e viés político lastreado no fundamentalismo de mercado, imostos ao mundo pelo rolo compressor da globalização, poderá agir como no passado agiam os tribunais da inquisição, durante a contra-reforma. É como se a globalização abrigasse as mesmas forças que se organizaram na contra-reforma, para

resisitir a explosão de liberdade humana desencadeada pela revolução de Gutemberg, reeditada hoje uma oitava acima na escala semióica pela revolução digital. E não devemos ser ingênuos a ponto de ignorarmos ser este um dos motivos, e futuro foco de intrasigência, do governo americano em seu lobby pela ALCA e outros acordos internacionais de livre comércio. A aridez e a complexa tecnicalidade desta batalha ideológica, talvez seja motivo de não a ouvirmos ainda vocalizada como exemplo do desequilíbrio de forças no jogo da globalização, que ameaça estilhaçar a cidadania e contra o qual se protesta em Seatle, Washington, Davos e Genova. Neste confronto, o segmento monoplista da industria do software não poderá permanecer eternamente no papel de vaca sagrada. A indústria de software, em um mundo equilibrado e sadio, pode muito bem ganhar dinheiro vendendo serviços e suporte, competindo sem privilégios na promoção de inovações, sem precisar para isto sufocar o direito de cidadãos, com capacidade técnica e intenção de cooperar, para distribuir suas inteligências sinergizadas em software livre. Mas o segmento monopolista desta indústria resiste às forças evolutivas que agem no seu modelo de negócio, forças que ameaçam desagregar seu poder político, acumulado pela pressão exercida sobre o processo legislativo em todo o mundo, para estender a proteção de segredo industrial a conceitos e idéias implementáveis em software, em modelos de negócio, e em outras Orwellices que beiram à auto-titulação de posse da Verdade e da Moral. Esta resistência explica a insistência desse lobby para que se mantenha, nesse tipo de lei, uma porta aberta para novas tecnologias, mas através de um discurso que enfia no mesmo saco conceitos semióticos e teconologias. Se novos sistemas opacos não tiverem aceitação como alternativa às ICPs de protocolos abertos, baseadas em conceitos e mecanismos que sabemos como funcionam, a lógica do jogo indica que veremos o comitê gestor sofrer pressões para homologar apenas novos sistemas opacos. E pelo perfil atual do comitê, a lógica do jogo indica, também, como ele tenderia a reagir a este tipo de pressão: de forma prejudicial à cidadania, no equilíbrio de riscos e responsabilidades que o Direito deveria almejar, também na esfera virtual. 3- A obrigatoriedade da Certificação Outra dúvida frequente é sobre a obrigatoriedade da certificação, e sobre o objeto da certificação. A pergunta geralmente é feita em termos da obrigatoriedade da certificação para um documento eletrônico que necessite de validade jurídica perante terceiros. É necessário reiterar, quantas vezes for necessário, que a certificação não é para documentos em geral, e sim para o documento que faz circular a chave pública destinada a validar a assinatura de um alguém ou algo, em outros documentos. A assinatura digital é produzida misturando-se, em um algoritmo criptográfico assimétrico, o par privado desta chave e o documento. O documento se torna assinado quando esta mistura é aposta a ele. A validação reverte o processo, a partir da chave pública e da mistura que está aposta ao documento. Ao falar da certificação obrigatória para documentos, o que se tem é algo ambíguo. Pode-se querer dizer que a assinatura no documento só terá validade legal se a chave que a validar for certificada por certificadora credenciada na ICP. Pode-se também querer dizer que um certificado de chave pública (que é, em si, um documento) só terá validade legal se for assinado por uma certificadora credenciada. Esta segunda hipótese nada diz da validade, do ponto de vista jurídico, dos documentos cuja assinatura o certificado vier a validar, do ponto de vista dos protocolos da ICP. Parece que algum tipo de obrigatoriedade era um dos pontos obscuros da primeira versão da MP, e que teria sido abolida na sua primeira reedição. Mas nunca se sabe como vão sair as próximas reedições. E enquanto o Congresso não decidir sobre o assunto, talvez não valha a pena tentar interpretar passagens obscuras desta provisória lei. Sobre a integridade, a autenticidade, e a segurança de documentos e transações eletrônicas, a primeira versão da MP nada dizia. Só fazia ilações que as rogam. Não estabelecia critérios objetivos para sua presunção, mas apenas critérios subjetivos. Se esta rogação for interpretada como presunção, a obrigatoriedade vai depender de como se interpreta o resto da lei.

4- Credenciamento de Certificadoras versus Confiabilidade das Assinaturas Outra dúvida frequente é acerca da relação entre certificação credenciada e confiabildade da assinatura, do ponto de vista do usuário final. E do custo embutido no credenciamento, ou na necessidade do credenciamento da certificadora, para a validade jurídica das assinaturas que o certificado validar. 4.1 Para que serve a certificação A certificação, caso seus procedimentos de identificação sejam rigorosos e bem fiscalizados, serve apenas para controlar o risco de identificação incorreta do titular de uma chave. E caso não sejam, só servirá para gerar lucros à certificadora. A identificação incorreta do titular de um certificado leva à identificação incorreta do autor de documentos que o certificado valida, mas a identificação incorreta do autor pode também ocorrer pelo outro calcanhar de aquiles das ICPs. Se alguém conseguir copiar a chave privada do titular, poderá assinar qualquer documento de forma perfeita, em nome do titular. A certificação nada pode prevenir, ou fazer a respeito do vazamento da chave privada, chave que deve estar sob a possibilidade acesso únicamente por seu titular, para que o mecanismo autenticatório funcione como concebido. A certificadora, outrossim, pode contribuir para controlar as consequências do comprometimento da chave privada, divulgando a revogação de certificados que tenha um dia assinado. Mas se a revogação não for fisicamente ancorada e bem fiscalizada, também criará falsa presunção de confiabilidade, seja ou não a certificadora credenciada. E se o credenciamento da certificadora implicar em efeitos legias para a revogação, agrava-se o contexto, pois falhas de fiscalização nos procedimentos de revogação implicam em insegurança jurídica, pelo risco de fraudes que anulariam provas documentais legítimas, por meio de revogações retroativas. A segurança é uma corrente tão forte quanto seu elo mais fraco. O credenciamento cria aparência de confiabilidade pela presunção de fidelidade aos procedimentos corretos, o que poderia ou não estar ocorrendo como parte do processo de credenciamento. E a falsa presunção, sem auditoria externa, seria pior do que a percepção real de uma confiabilidade precária. Portanto, a certificação credenciada não aumentaria a confiabilidade, mas apenas criaria, na maioria dos casos, uma aparência de confiabilidade. O artigo 1 da MP corre o risco de funcionar como propaganda enganosa, induzindo o cidadão a acreditar que a certificação credenciada de sua chave pública dará segurança jurídica, não só à sua assinatura digital, mas também aquelas nas quais ele decide confiar. Esta propaganda será nociva para o cidadão que não souber avaliar o grau de vulnerabilidade das chaves privadas nos computadores dos titulares. O usuário estará acreditando-se seguro na ICP, enquanto alguém pode estar enviando scripts embusteiros pela rede para copiar chaves privadas e falsificar documentos em nomes alheios, sem que os titulares percebam. E pior, se a certficiação credenciada tiver o efeito de dar fé pública à assinatura validada pelo certificado, e não apenas à certificação, o ônus da prova de que não foi o titular quem assinou um documento falso, e sim alguém que teria copiado ou usado indevidamente sua chave privada, recairá sobre ele, o titular vítima da fraude. A primeira versão da MP era ambígua em relação à presunção de validade legal de assinaturas, cuja chave de validação tenha sido certificada na ICP. Como será reeditada a cada trinta dias enquanto não for aprovada, não se pode firmar idéia de como estará esta ambiguidade ao final do processo. 4.2 O CEPESC na ICP-Brasil aumentaria sua confiabilidade? Outra aparência de confiabilidade muito perigosa nesta MP, é sobre a assessoria técnica que irá receber o comitê gestor da ICP-Brasil. O diretor do CEPESC teria divulgado uma nota de esclarecimento, circulada pela rede, justificando a nomeação deste órgão para esta assessoria técnica, alegando tratar-se de uma competente instituição governamental de pesquisa em segurança das comunicações, e insinuando vantagens e seguranças decorrentes das possiveis "preferências tecnológicas" aqui aludidas, possibilitadas por esta assessoria. O diretor-geral da Federação Brasileira dos Bancos - Febraban, Sr. Hugo Dantas Pereira, antigo diretor executivo de varejo, serviços bancários, tecnologia e infra-estrutura do Banco do Brasil, e que em julho foi nomeado um dos representantes da sociedade civil no Comitê Gestor da ICP-Brasil, teria

defendido, em evento patrocinado pela OAB em 26 de julho para debater a MP2200, a adoção de uma Certificadora raiz única e a dependência da assessoria técnica do CEPESC, alegando serem o CEPESC e as agências militares os únicos centros de expertise em criptografia no país. Esta ilação, vindo de uma figura pública tão importante, conspurca a estatura profissional de brasileiros ilustres que centralizam ampla bagagem de conhecimento criptográfico, como o Dr. Paulo Barreto, e de outros não tão ilustres. O Dr Barreto, que trabalha na empresa brasileira Scopus, é o criptoanalista da equipe belga vencedora do concurso promovido pelo NIST para escolha do próximo padrão americano aberto de cifra simétrica, o AES, num concurso onde participaram mais de duzentas empresas de todo o mundo, e que durou mais de dois anos. O NIST é o equivalente americano do Inmetro, assessorado em assuntos criptográficos pela NSA, o maior centro de criptoanálise do mundo. Um grupo de alunos meus expos, no stand do Ministério da Educação e Cultura na Fenasoft de 1998, a primeira implementação de uma ICP em software livre feita no Brasil, e a empresa deles hoje desenvolve software criptográfico para uso na internet, inclusive para uma das nossas forças armadas. Outro grupo de alunos meus venceu, com um software criptográfico, o primeiro concurso nacional para escolha do melhor plano de negócios para comércio eletrônico no Brasil, o E-cobra 2000, concorrendo com mais de setecentas empresas.O Programa de Extensão Universitária em Criptografia e Segurança Computacional da UnB, que só é divulgado na internet e cujos cursos ministro, tem demanda expontânea e já recebeu como alunos, em metade de suas turmas, analistas e programadores deste grande banco onde trabalhou o Sr. Pereira, que incluiu suas matrículas em seus planos de capacitação técnica. Não só analistas deste banco, mas também de empresas de segurança computacional que prestam serviços a 80% dos bancos brasileiros, peritos da Polícia Federal, do Itamarati, de outros órgãos do poder executivo e de outras entidades onde alguém busca levar a sério a criptografia. O diretor-geral da Febraban só poderia estar correto em sua ilação, se o sentido de expertise a que se refere restringir-se à criptologia aplicada, empregada na construção de mecanismos restritos à proteção do sigilo e à interceptação das comunicações de interesse próprio. Leia-se, espionagem e contra-espionagem. Mas este é o sentido de expertise em criptografia que nada tem a contribuir para equilíbrar riscos e responsabilidades numa ICP legitimadora do comércio pela internet. Justamente o contrário. Alguém já ouviu falar de alguma ferramenta de segurança, de algum protocolo ou algoritmo distribuído na internet para proteger os internautas, que tenha sido desenvolvido pelo FBI, NSA, KGB, Scotland Yard ou CEPESC? A pesquisa científica desenvolvida nas universidades e nos centros de pesquisa das empresas de informática, é que tem tentado contribuir para a segurança na internet, estudando a vulnerabildide de protocolos e de softwares hoje em uso disseminado na rede, e propondo caminhos, soluções e evoluções. A pesquisa que os serviços estatais de espionagem fazem não é para proteger ninguém na internet, mas apenas os interesses a que servem. O estado da arte da espionagem moderna tem entrado na internet para promover o cerco eficiente à privacidade individual e a espionagem industrial, com o Echelon, e está na moda seus porta-vozes dizerem que o motivo de estarem invadindo o domínio da espionagem comercial privada, é expor a corrupção de empresas que subornam e oferecem propina em licitações públicas, interceptando suas comunicações. Moda que não inclui a discussão dos critérios para esta exposição. O que este tipo de expertise tiver a oferecer, será sempre em detrimento da privacidade e de outras direitos de cidadania. E a sociedade precisa ponderar que tipo de preço e que tipo de risco quer pagar pela virtualização dos seus processos sociais, com um pouco mais de sensatez e profundidade do que tem feito o diretor-geral da Febraban. É a sociedade que precisa decidir quais macacos quer em quais dos seus galhos. 5- A Certificação e a Validade Jurídica de Documentos Outra pergunta recorrente, é se os serviços prestados por empresas como a VeriSign, já não estariam hoje garantindo a validade de documentos eletrônicos. 5.1 O que a certificação garante? A validade da assinatura num documento eletrônico, para o conjunto de protocolos de uma ICP, é

uma coisa. A validade de um documento eletrônico assinado, para o corpo de leis de um país, é outra, segunda coisa. E o que a Verisign vende é uma outra, terceira coisa. O que a Verisign vende é uma especie de apólice de seguro. Esta apólice diz o seguinte. Quando houver um tipo de documento eletrônico chamado certificado digital, contendo dados de uma chave pública e de seu titular, assinado pela Verisign, este estará expressando um contrato de apólice de seguro ao portador. A apólice cobrirá danos causados pela interpretação incorreta destes dados, rastreáveis à negligência da empresa, até o limite de valor monetário estipulado em um outro documento, chamado Verisign Policy Statement. O certificado assinado quer dizer o seguinte: alguém ou algo apresentou à Verisign uma chave pública para um determinado algoritmo criptográfico assimétrico, dizendo ser seu titular (possuidor, em sua intimidade, do par privado desta chave), junto com credenciais que indicam ser este alguém ou algo identificável pelo nome que consta no certificado como sendo o de seu titular. De posse da chave pública da Verisign e de uma cópia de um tal certificado, qualquer usuário poderá confirmar, mediante validação da assinatura digital da Verisign neste certificado, se o nome do titular e sua chave publica, nele constantes, são os mesmos apresentados por ocasião da assinatura do certificado (na ocasião em que a Verisign o teria assinado). Vale lembrar que cópias de um certificado de chave pública são distribuídas pelo interessado em ter a sua assinatura em um outro documento validada por meio dele (supostamente o titular), e não por quem assina o certificado (a certificadora). Quem certifica uma chave pública apenas verifica a titularidade do solicitante, a prova protocolar da posse do par desta chave pelo mesmo, assina e entrega ao solicitante o certificado assinado. Se for comprovada a negligência da Verisign em verificar corretamente a identificação deste titular, segundo as regras que ela estabelece para si para aquele tipo de certificado conforme divulgado em sua Policy Statement, a Verisign promete ressarcir o usuário lesado, por prejuízos causados pela falsa identificação do titular ou pela falsidade da chave, até a quantia estipulada neste Policy Statement. 5.2 Um caso ilustrativo Vamos examinar um caso hipotético, em que o documento seja um programa de computador, o "softX". A Verisign recentemente assinou um certificado de chave pública para alguém que se dizia funcionário da Microsoft, e que forneceu evidências consideradas suficientes para a Verisign assinar, dizendo ser a Microsoft o titular daquela chave pública. Meses depois a Microsoft percebeu que ninguém da empresa poderia estar com o par daquela chave, e pediu para que aquele certificado fosse revogado. A Verisign atendeu ao pedido. Os procedimentos de identificação da Verisign não teriam sido cem por cento à prova de falsidade ideológica, pois a Verisign reconheceu que, neste caso, teria havido falha na identificação do titular, quem teria apresentado documentos de identificação falsos. Mas passou-se algum tempo entre a certificação e a revogação. O resultado é que existe o par daquela chave em algum lugar, sob o controle de um desconhecido, que pode estar assinando digitalmente programas validáveis pelo Windows como tendo sido originados na Microsoft. Vamos agora voltar às questões sobre validade do documento. Se alguém instalar um programa no seu PC windows, acreditando ser um programa Microsoft, mas um programa que tenha sido assinado por aquela chave, o windows vai dizer que o programa é mesmo Microsoft original. Digamos que este programa seja o "softX". A autoria do documento "softX" pela Microsoft terá validade protocolar na ICP de que participa aquele PC windows e a Verisign, até a data de expiração de seus certificados. Num primeiro cenário, se a pessoa entrar na lista de revogação da Verisign para saber se aquela assinatura da Microsoft no "softX" teria chances de pretender validade jurídica, poderá então perceber que não, pois o certificado usado para validar a assinatura da Microsoft no "softX", naquela ICP, teria sido revogado por falsidade ideológica na sua titulação., E que o programa "softX" pode ser um software embusteiro. Num segundo cenário, se tudo isto estiver ocorrendo antes da Microsoft ter dado o grito e pedido a revogação daquele certificado, cuja cópia apareceu no computador do usuário para validar a assinatura no

"softX", este usuário terá sido ludibriado, apesar de sua cautela em consultar a lista de revogações da Verisign. E se houver uma lei que dá validade jurídica a assinaturas validadas pelos protocolos da ICP, por certificados daquele tipo, a Microsoft será legalmente responsável pelo "softX", enquanto este certificado não for revogado. A Microsoft poderá acionar judicialmente a Verisign, por prejuízos a ela imputáveis por terceiros, perpetrados pelo "softX" entre a data de assinatura daquele certificado e data de sua revogação, desde que consiga provar em juízo a negligência da Verisign. No primeiro caso, se a consulta à lista de revogação da Verisign for posterior à instalação do "softX", e o "softX" tiver causado estragos no seu sistema, o usuário não terá direito a reparação alguma, arcando com os prejuízos decorrentes de ter confundido validade protocolar na ICP com validade jurídica. Por outro lado, mesmo que a ICP queira automatizar a consulta à lista de revogação durante a validação das assinaturas, para equiparar a validade protocolar e a jurídica, exigindo que certificados contenham um link para a lista onde estaria registrada sua possível revogação, e que adequada lógica nos programas e protocolos de validação a consultem durante uma validação, como ficariam as responsabilidades quando a validação precisar ser feita fora da internet, ou quando o acesso via TCP/IP à lista de revogação estiver bloqueado por algum motivo acidental e a validação requeira prazo, ou quando o software no servidor que responde a consultas à lista de revogação apresentar falhas intermitentes, suspeitada por quem consulta a lista e negada por quem a mantem? No segundo caso, o usuário terá que provar três coisas. 1) que "softX" é um programa embusteiro, 2) que quando da instalação do "softX" no seu PC o certificado em questão não havia sido revogado, e 3) que o "softX" foi quem lhe causou os danos apontados, cuja compensação deseja pleitear, limitada ao teto constante no Verisign Statement Policy para aquele tipo de certificado. Se a data em que acionar a justiça for anterior à revogação do certificado, o réu terá que ser a Microsoft. Se posterior, a Verisign. E a terceira das provas será muito difícil de ser aceita, por qualquer uma dessas duas empresas, já que há, em média, 3000 bibliotecas de funções com ligação dinâmica (DLLs) em um tal sistema, que podem ser acionadas por qualquer programa, DLLs que podem fazer, em princípio, quase qualquer coisa com os bits do sistema. Mesmo que as três provas tivessem sido produzidas pela vítima e aceitas numa ação judicial, haveria ainda um possível terceiro cenário, caso a Verisign não admitisse falsidade na identificação do titular do certificado que assinou. Se ela acreditasse que quem obteve aquele certificado foi mesmo um funcionário da Microsoft, e que este funcionário teria deixado a chave privada correspondente vazar para fora da empresa em que trabalha, e depois destruído sua cópia da chave privada e registros de sua requisição de certificação, a questão sobre quem deve ser o réu nesse caso poderia se tornar um objeto de disputa judicial entre Microsoft e Verisign, enquanto o usuário do "softX" aguarda para saber se terá ou não seus prejuízos ressarcidos, em que montante e por quem. Em que sentido a Verisign estaria garantindo a validade de documentos? Devolvo a pergunta, pois a resposta é subjetiva. 5.3 ICP, Certificação e Jurisprudencia brasileira E no Brasil? O problema com a lei brasileira é que, se a certificadora for uma entidade pública, a sua responsabilidade civil e penal por negligência tem que ser total. E não sabemos ainda como calcular o custo atuarial da certificação, neste caso, pois não temos ainda tabelas de custas processuais e frequências de incidentes. E se a atividade da certificação comercial, credenciada ou não, não for regulamentada com critério, podemos nos ver numa guerra de "perueiros da certificação", onde cada um que abrir a sua ganha o

mais que puder, antes de pedir falência na primeira ação civil, por emissão falsa ou por interdição fiscalizadora. Não sabemos sequer quais serão os procedimentos de identificação para a certificação comercial, que controlariam os riscos da falsidade ideológica. A certificadora exigirá a presença do titular, com carteira de identidade e CPF? E as RGs e CPFs falsos, vendidos no centro de qualquer cidade grande, onde farão cair as responsabilidades? Ou será que bastará um e-mail para se obter um certificado de certificadora credenciada? Ou será que o regulamento dirá que o titular precisa comparecer à certificadora e apresentar documentos legítimos, mas na certificadora Eduardo Jorge bastará passar um e-mail dizendo-se amigo de fulano? Não sabemos quais tipos de certificado esta MP estará abrangendo. O titular pode ser uma pessoa, um software, ou uma empresa? No caso de uma empresa, a distribuição de responsabilidades jurídicas entre empregado e empresa no manuseio da chave privada, deverá ser definida na titulação? Ou será matéria jurídica circunscrita à empresa? Neste último caso, as práticas contratuais da empresa poderão ter precedência à premissa da posse única da chave privada, necessária à segurança jurídica da ICP? As ICPs são frutos de uma experiência de organização social ainda muito nova e complexa, com interfaces delicadas nos campos da filosofia do Direito e de várias outras ciências, como a Matemática, a Engenharia e a Semiótica. E que tangem à forma de poder mais importante do futuro, o controle sobre a qualidade da informação. Não podemos por isso saber de antemão como irá evoluir nossa ICP. Ninguém sabe ainda como vai evoluir nenhuma ICP no mundo. Apesar disto, a MP2200 parece estar mais preocupada em apontar quais agentes políticos vão dar rumo a esta evolução, do que com uma estratégia de princípios gerais para o Direito brasileiro e outras ciências abordarem os desafios e obstáculos técnicos que irão guiar esta evolução. O primeiro ensaio desta abordagem é perigosamente simplista, delegando seu rumo à asseossoria do seriço de espionagem do poder executivo, com justificativas pífias e risíveis publicamente oferecidas, se não orwellianas, sem maiores debates na sociedade a respeito. E novamente, é necessário esclarecer que está havendo uma ênfase exagerada na MP com o resultado formal da certificação, antes de se conhecer os procedimentos da ICP, que darão realidade prática a este resultado formal. E se o que se quer desta realidade prática for mesmo a segurança jurídica do comércio eletrônico no Brasil, as prioridades estão sendo invertidas pelo espírito desta lei provisória. Os riscos maiores a esta segurança não estão na identificação de quem apresenta uma chave pública para certificação, onde pode haver falsidade ideológica, assunto da certificação. Um usuário de certificados que seja cauteloso poderá, se quiser, verificar a procedência destes por meios externos aos protocolos da ICP. O problema maior está na guarda da chave privada. A certificadora mantém listas de revogação de certificados, mas quem copia ou usa indevidamente uma chave privada para falsificar documentos, não produzirá com isso um sumiço ou uma mancha na chave, sinalizando a necessidade da sua revogação. Chaves criptográficas são sequências de símbolos. E o titular quase certamente só irá perceber que alguém tem a cópia de sua chave privada, ou que esta foi usada indevidamente, quando for comunicado que tem problemas com a Justiça, momento em que a revogação não lhe servirá para nada, pois a revogação não pode ser retroativa. Se pudesse, ninguém nunca iria pegar os novos Estevãos, Lalaus e Barbalhos da vida, operando eletronicamente. O controle do registro de data em um documento eletrônico é algo cuja credibilidade, assim como a procedência de chaves criptográficas, requer alguma âncora no mundo da vida. Uma ICP pode apenas preservar esta credibilidade, mas nunca gerá-la. A impressão que fica é que esta lei quer antes repartir o lucro ou o poder na movimentação de um novo tipo de confiança, antes que se saiba como esta nova confiança pode ser produzida e mantida.

Sobre o autor
Pedro Antônio Dourado de Rezende

E-mail:

Home-page:

Entre em contato www.cic.unb.br/docentes/pedro/sd.htm

Sobre o texto:

Texto inserido no Jus Navigandi nº54 (02.2002) Elaborado em 08.2001.
Conforme a NBR 6023:2000 da Associação Brasileira de Normas Técnicas (ABNT), este texto científico publicado em periódico eletrônico deve ser citado da seguinte forma:

Informações bibliográficas:
REZENDE, Pedro Antônio Dourado de. Sobre a criação da ICP-Brasil . Jus Navigandi, Teresina, ano 6, n. 54, fev. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=2705>. Acesso em: 30 abr. 2009.

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->