ICP-BRASIL E ASSINATURA ELETRÔNICA QUALIFICADA
Guilherme Boczkovski Delfino
Graduando em Sistemas de Informação na UFSC, Pesquisador do Grupo de Pesquisa de Direito Autoral e Industrial – GEDAI/UFPR.
Isabella Moreira de Britto
Graduanda em Direito na UFPR, Pesquisadora do Grupo de Pesquisa de Direito Autoral e Industrial – GEDAI/UFPR.
Revisado por: Alice de Perdigão Lana
Mestranda em Direito das Relações Sociais na Universidade Federal do Paraná/UFPR. Coordenadora Creative Commons Brasil/CC-BR.
Pesquisadora do Grupo de Estudos em Direitos Autoral e Industrial – GEDAI/UFPR e do Grupo Direito, Biotecnologia e Sociedade – BIOTEC/UFPR.
Introdução
O presente artigo trata da revolução digital no judiciário brasileiro, especificamente no quesito das assinaturas eletrônicas através de certificados digitais da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Este trabalho tem como objetivo disseminar informações a respeito da ICP-Brasil e das assinaturas digitais, bem como reforçar a segurança e a validade das assinaturas eletrônicas por meio do entendimento de seus fundamentos.
Inicialmente explica-se a criptografia utilizada na ICP-Brasil e o porquê de ela ser confiável. Em seguida, esclarece-se o que são e como funciona a ICP-Brasil, os certificados digitais e as assinaturas eletrônicas qualificadas. Por último, o uso da assinatura eletrônica qualificada é exemplificado.
Não se aborda, neste estudo, a Autoridade Certificadora do Tempo, limitando-se a explanar de forma mais geral a ICP-Brasil, por meio da compreensão das Autoridades Certificadoras, das Autoridades Registradoras e dos Certificados Digitais, com foco na parte jurídica. Também não versa sobre as demais assinaturas eletrônicas que não a qualificada.
Como funciona a criptografia de chaves públicas?
A criptografia de chave pública foi desenvolvida ao final dos anos 1970 por pesquisadores da Universidade de Stanford, nos Estados Unidos.
A Agência de Segurança Nacional dos Estados Unidos (NSA) tentou abafar o desenvolvimento de pesquisa acadêmica na área, devido a preocupação da perda do “monopólio tecnológico” que detinha sobre a criptografia, temendo que este novo modelo se espalhasse para o grande público — como Estados-inimigos e grupos terroristas e criminosos [1]. Com isso, vemos que a criptografia de chave pública pode ser um método muito eficaz de criptografia fim-a-fim – também conhecida como criptografia ponta-a-ponta – capaz de causar tal preocupação no maior órgão de inteligência da época.
Na criptografia, chaves são elementos usados para criptografar e/ou descriptografar dados. A criptografia de chave pública é um sistema assimétrico de criptografia, na qual cada indivíduo possui um par de chaves (pública e privada), sendo que aquela utilizada para criptografar os dados é diferente da que se utiliza para descriptografá-los [2]. A chave pública é conhecida por todos os envolvidos na comunicação; já a chave privada é mantida em segredo, sendo conhecida apenas pelo dono do par [3].
Nos dias atuais, a criptografia de chave pública tornou-se habitual na internet e nas comunicações. O certificado SSL/TLS, por exemplo, se utiliza deste sistema de criptografia [4]. Outro uso muito comum é em aplicativos de mensagens instantâneas, como o WhatsApp, que emprega o sistema de criptografia fim-a-fim Signal Protocol, cuja base é, exatamente, a criptografia de chave pública, como pode ser visto em documento fornecido pela própria empresa [5]. Igor Antunes, no artigo “Explorando o Sistema de Criptografia Signal no WhatsApp”, concluiu que a criptografia usada pelo aplicativo, de fato, garante a confidencialidade das mensagens [6]. Desta forma, podemos concluir que a criptografia de chave pública é um modelo confiável e amplamente utilizado para a criptografia de dados fim-a-fim.
Como funciona a ICP-Brasil?
Visto o funcionamento da criptografia de chave pública restam dúvidas: como terei acesso à chave pública de alguém a quem desejo enviar uma mensagem? E como saber se essa chave pública realmente pertence a essa pessoa?
Uma solução a estes questionamentos é a adição de um “terceiro confiável” à essa estrutura. Este seria o responsável por assegurar que determinada chave pública, de fato, pertence a determinado indivíduo. Isto posto, quem assume tal papel é a Autoridade Certificadora (AC). É função da AC emitir, expedir, distribuir, revogar e gerenciar os certificados das Autoridades Registradoras (AR’s) e Autoridades Certificadoras de nível imediatamente inferior ao seu e que estão sob sua responsabilidade. Por outro lado, é função das AR’s identificar e cadastrar usuários na presença física destes, encaminhar solicitações de certificados (seja de criação ou revogação) às AC e manter registros de suas operações [7].
A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) se vale de uma arquitetura hierárquica que adota o modelo de raíz única, sendo a posição de AC Raiz ocupada pelo Instituto Nacional de Tecnologia da Informação (ITI) [7]. A AC Raiz tem o poder de credenciar AC’s de nível inferior, bem como AR’s [8]. A estrutura atual da ICP-Brasil, com todas suas AC’s e AR’s, pode ser vista no site do Instituto Nacional de Tecnologia da Informação [9].
Assimilar o conceito de certificado digital é fundamental para um melhor entendimento da ICP-Brasil. O certificado digital funciona como um identificador único em meios eletrônicos, que permite a identificação segura e inequívoca de um indivíduo na infraestrutura. Bem como o CPF identifica uma única pessoa física no Brasil, o certificado digital identifica um único indivíduo na ICP-Brasil.
O certificado, assim, associa um indivíduo (pessoa física/jurídica, processo, servidor) a um par de chaves criptográficas. Este ainda deve conter os dados de seu titular e da AC responsável por ele, pois apesar de possuir a chave pública do titular, o certificado não contém a chave privada [10] – sendo esta de conhecimento apenas do titular do certificado. Dessa forma, conclui-se que nenhuma AC tem acesso à chave privada de nenhum indivíduo além de si mesmo [11].
A assinatura eletrônica qualificada (anteriormente conhecida como assinatura digital) opera os certificados digitais como meio de identificação dos indivíduos envolvidos [12]. A assinatura eletrônica qualificada feita dentro da ICP-Brasil e sob as normas da mesma possui autenticidade, integridade, confiabilidade e não-repúdio [10] – sendo, portanto, dotada de validade jurídica, tal qual uma assinatura a próprio punho reconhecida em cartório o é. Ademais, cabe relembrar que o ordenamento jurídico brasileiro adota o princípio da liberdade da forma para a celebração dos negócios jurídicos – ou seja, caso não haja impedimento legal prévio, as contratações são válidas independentemente do meio pelo qual sejam realizadas. Isso inclui o meio eletrônico, com exceção para os casos em que haja forma especial prevista em lei que seja incompatível com tal tecnologia.
É importante ressaltar que estamos falando exclusivamente da assinatura eletrônica qualificada, e não da assinatura eletrônica simples, avançada ou assinatura digitalizada. Os tipos de assinaturas eletrônicas estão descritas na lei 14.063, de 23 de setembro de 2020: enquanto a assinatura digitalizada é a reprodução digital da assinatura de próprio punho [10], a assinatura eletrônica qualificada se refere a assinaturas realizadas dentro da ICP-Brasil com o uso de certificados digitais e sob as normas vigentes. O tema também é regulado pela Medida Provisória n. 2.200-2, de 24 de agosto de 2001, que institui a ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia e dá outras providências.
Alguns dos requisitos de segurança para garantir a autenticidade da assinatura são [13]:
- A assinatura eletrônica qualificada DEVE estar protegida contra falsificação;
- Os conteúdos digitais assinados DEVEM ser protegidos contra alterações;
- Qualquer componente de software ou hardware utilizado não DEVE provocar alterações no conteúdo digital;
- Qualquer componente de software ou hardware utilizado NÃO DEVE impedir que o conteúdo digital seja apresentado e visualizado antes e depois de cada um dos processos relacionados ao ciclo de vida da assinatura eletrônica qualificada.
Essa assinatura, portanto, fixa no documento um código matemático único, que vincula de forma imodificável o autor ao seu conteúdo. Em caso de tentativa de adulteração, a assinatura é rompida.
Mais informações sobre os tipos de assinaturas e os requisitos de segurança necessários para sua validade podem ser encontrados na Instrução Normativa ITI Nº 01, de 12 de fevereiro de 2021 [13].
Apesar de ser uma tecnologia confiável e já amplamente utilizada, a arquitetura hierárquica da ICP-Brasil pode ser um problema em situações específicas. Devido a esta arquitetura, a verificação de um certificado do usuário final (uma pessoa física, por exemplo) exige a verificação dos certificados de todas as autoridades certificadoras participantes (AC raiz, intermediária e final). Tal verificação, por sua vez, pode ter alto custo computacional e nos meios de comunicação, o que pode ser visto como irrelevante em alguns casos, mas como uma limitação em outros – a exemplo da Internet das Coisas (IOT), na qual o poder computacional dos componentes envolvidos é limitado [14]. Vale salientar que o alto custo computacional frequentemente vem acompanhado de um alto custo ambiental.
Usos de Assinaturas Eletrônicas sob normas da ICP-Brasil
Até setembro de 2020, a ICP-Brasil era regulada e tinha sua validade jurídica assegurada apenas pela Medida Provisória nº. 2.200-2, de 24 de agosto de 2001 [11], quando foi alterada pela Lei nº. 14.063, de 23 de setembro de 2020 [12], que validou outros tipos de assinaturas eletrônicas fora da ICP-Brasil.
Todavia, é possível encontrar elementos jurídicos que já versavam sobre a assinatura eletrônica na Lei n. 12.682/2012, alterada pela Lei n. 13.874/2019, que dispõe sobre a elaboração e o arquivamento de documentos em meios eletromagnéticos, e também no Decreto n. 10.278/2020, que regulamenta trechos da Lei nº 13.874/2019 e da Lei nº 12.682/2012, para estabelecer a técnica e os requisitos para a digitalização de documentos públicos ou privados, a fim de que os documentos digitalizados produzam os mesmos efeitos legais dos documentos originais.
A Lei n. 14.062/2020 dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde, além de versar sobre as licenças de softwares desenvolvidos por entes públicos. Ela obriga o poder público a aceitar as assinaturas qualificadas contidas em atas de assembleias, convenções e reuniões de pessoas jurídicas de direito privado. Além disso, o diploma legal alterou o termo “assinatura digital” da ICP-Brasil para “assinatura eletrônica qualificada”. A assinatura eletrônica qualificada já é amplamente aplicada nos mais diversos setores da sociedade.
A exemplo do aceitação da assinatura eletrônica qualifica, no dia 26 de maio de 2020, a Corregedoria Nacional de Justiça editou o Provimento CNJ nº 100/2020, que dispõe, entre outros assuntos, sobre a validade da assinatura eletrônica qualificada sob os moldes da ICP-Brasil para tabeliães de notas operarem de forma remota [15].
Ademais, sua utilização pelos cartórios de registro de imóveis possibilita o compromisso de venda de um imóvel e seu respectivo registro de forma totalmente digital – sem precisar sair de casa [16].
Por último, há também a possibilidade de se emitir diplomas de ensino superior através da ICP-Brasil de forma totalmente digital, de acordo com a Portaria 330 de 5 de abril de 2018 [17]. Este modelo já foi aderido por universidades ao redor do país, sendo realidade em 5 instituições de ensino superior, quais sejam: Universidade Federal do Paraná (UFPR), a Universidade Federal da Paraíba (UFPB), a Universidade Federal do Rio Grande do Norte (UFRN), a Universidade Federal de Sergipe (UFSE) e o Instituto Federal do Rio Grande no Norte (IFRN) [18].
Conclusão
Dessa forma, resta evidente a segurança advinda da utilização destas assinaturas eletrônicas qualificadas, revestidas de criptografia de chave pública e protegidas pelas normas do ITI. Mostra-se necessário, no entanto, propagar informações a respeito da ICP-Brasil e da validade jurídica de tal forma de assinatura, que veio para revolucionar e tornar mais prático o mundo das relações jurídicas, contratos e negociações, caminhando em conjunto com a Revolução Digital.
Referências
[1] ABREU, Jacqueline de Souza. Passado, presente e futuro da criptografia forte: desenvolvimento tecnológico e regulação. Revista Brasileira de Políticas Públicas. v.7. n.3. 2017. Disponível em: https://www.publicacoes.uniceub.br/RBPP/article/view/4869/0.
[2] PAUFERRO, Gabriel Brogno Alcantara; PAIVA, Seila Vasti Faria de; LESSA, Nayari Marie. IoT: conceitos de segurança de dados e criptografia. Cogitare. v.3. n.2. 2020. Disponível em: https://ojs.ifsp.edu.br/index.php/cogitare/article/view/1483.
[3] BRAGA, Alexandre; DAHAB, Ricardo Dahab. Criptografia Assimétrica para Programadores – Evitando Outros Maus Usos da Criptografia em Sistemas de Software. 2018. Disponível em: https://www.atmosphere-eubrazil.eu/sites/default/files/SBSeg2018-livro-somente-minicurso2.pdf.
[4] SSL. Chaves públicas e privadas. 2015. Disponível em: https://www.ssl.com/pt/artigo/chaves-privadas-e-p%C3%BAblicas/.
[5] WhatsApp Encryption Overview: technical white paper. Disponível em: https://scontent.whatsapp.net/v/t39.8562-34/122249142_469857720642275_2152527586907531259_n.pdf/WA_Security_WhitePaper.pdf?ccb=1-3&_nc_sid=2fbf2a&_nc_ohc=4B2OfBOy5csAX9hUZBx&_nc_ht=scontent.whatsapp.net&oh=0c4eb014ba7eda91fce7c5629a5e7189&oe=6085D619.
[6] ANTUNES, Igor; KOWADA, Luis Antonio. Explorando o Sistema de Criptografia Signal no WhatsApp. 2018. Disponível em: https://sol.sbc.org.br/index.php/sbseg/article/view/4252.
[7] BRASIL. ICP-Brasil. 2020. Disponível em: https://www.gov.br/iti/pt-br/acesso-a-informacao/perguntas-frequentes/icp-brasil.
[8] BRASIL. Resolução CG ICP-BRASIL nº 182, de 18 de fevereiro de 2021. Disponível em: https://www.gov.br/iti/pt-br/assuntos/legislacao/resolucoes/Resoluo_CGICPBrasil_182Dec10139Etapa3DOC15_assinada.pdf.
[9] Site do Instituto Nacional de Tecnologia da Informação: https://estrutura.iti.gov.br/.
[10] BRASIL. Certificação Digital. 2020. Disponível em: https://www.gov.br/iti/pt-br/acesso-a-informacao/perguntas-frequentes/certificacao-digital.
[11] BRASIL. Medida Provisória nº 2.200-2, de 24 de agosto de 2001. Disponível em: http://www.planalto.gov.br/ccivil_03/mpv/antigas_2001/2200-2.htm.
[12] BRASIL. Lei nº 14.063, de 23 de setembro de 2020. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Lei/L14063.htm.
[13] BRASIL. Instrução Normativa ITI nº 01, de 12 de fevereiro de 2021. Disponível em: https://www.gov.br/iti/pt-br/assuntos/legislacao/instrucoes-normativas/IN012021_DOC_15.01_assinada.pdf/view.
[14] NOGUEIRA, Hendri. Aprimoramento da privacidade em infraestruturas de chaves públicas centradas no usuário e baseadas em notários. 2014. Disponível em: https://repositorio.ufsc.br/xmlui/handle/123456789/123166.
[15] BENÍCIO, Hercules Alexandre da Costa. A responsabilidade civil do tabelião e a prática de atos eletrônicos. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-notariais-e-registrais/341027/a-responsabilidade-civil-do-tabeliao-e-a-pratica-de-atos-eletronicos.
[16] DURAZZO, Kelly. Documentos digitais pós pandemia: continuarão ser aceitos pelos cartórios de imóveis? 2020. Disponível em: https://www.migalhas.com.br/depeso/336305/documentos-digitais-pos-pandemia–continuarao-ser-aceitos-pelos-cartorios-de-imoveis.
[17] BRASIL. Portaria nº 330, de 5 de abril de 2018. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/9365055/do1-2018-04-06-portaria-n-330-de-5-de-abril-de-2018-9365051.
[18] ANDRADE, João Paulo Babini de. A digitalização simplificando a entrega de diplomas no ensino superior. 2021. Disponível em: https://www.migalhas.com.br/depeso/340030/a-digitalizacao-simplificando-a-entrega-de-diplomas-no-ensino-superior.
Trackbacks/Pingbacks