Documentos Eletrônicos
Um dos grandes desafios de nossos tempos é a possibilidade de substituir
documentos em papel por documentos eletrônicos. O documento
eletrônico nada mais é do que uma seqüência de
números binários (isto é, zero ou um) que, reconhecidos
e traduzidos pelo computador, representam uma informação. Um arquivo
de computador contendo textos, sons, imagens ou instruções é
um documento eletrônico. O documento eletrônico
tem sua forma original em
bits, ou seja, não é impresso
ou assinado em papel: sua circulação e verificação
de autenticidade se dão em sua forma original, eletrônica.São
evidentes as vantagens quanto ao armazenamento, transmissão e recuperação
de documentos eletrônicos, se comparados com o papel.
A dificuldade em portar os documentos para o meio eletrônico reside em
atribuir-lhes segurança comparável à que se obtém
dos documentos físicos. Diversamente do que ocorre com o documento em
papel, não há como lançar uma assinatura manuscrita em
um documento eletrônico como forma de demonstrar a sua autoria; além
disso, documentos eletrônicos podem ser facilmente alterados, sem deixar
vestígios físicos apuráveis. É necessário,
pois, utilizar um mecanismo técnico que possa permitir conferir a autenticidade
e a integridade de um documento eletrônico.
Por autenticidade, quer-se designar a certeza quanto
à pessoa que criou o documento que, em termos jurídicos, presta
a declaração nele constante. Por integridade,
entende-se a não adulteração de um documento, posteriormente
à sua criação.
A única maneira reconhecidamente segura de atribuir autenticidade
e a integridade a documentos eletrônicos
é o uso de assinaturas digitais produzidas
por criptografia assimétrica.
Assinaturas Digitais com Chaves Criptográficas Assimétricas
As assinaturas digitais são, na verdade,
o resultado de uma complexa operação matemática que trabalha
com um conceito conhecido por criptografia assimétrica.
A operação matemática utiliza como variáveis o documento
a ser assinado e um segredo particular, que só o signatário eletrônico
possui: a chamada chave privada. Como somente o
titular deve ter acesso à sua chave privada, somente ele poderia ter
calculado aquele resultado, que, por isso, se supõe ser único
e exclusivo, como uma assinatura.
Para conferir a assinatura digital, não é necessário ter
conhecimento da chave privada do signatário,
preservando, assim, o segredo necessário para assinar. Basta que se tenha
acesso à chave pública que corresponde
àquela chave privada. A conferência
da assinatura também é feita por operações matemáticas
que, a partir do documento, da chave
pública e da assinatura, podem atestar
que tal assinatura foi produzida com a chave privada correspondente, sem a necessidade
de se ter acesso a essa chave privada. E, se o documento houver sido adulterado,
posteriormente ao lançamento da assinatura digital, o resultado da operação
matemática irá acusar esta desconformidade, invalidando a assinatura.
Desta forma, se a conferência anunciar uma assinatura válida, isto
significa que: a) a assinatura foi produzida com o uso da chave privada correspondente
à chave pública; b) o documento não foi modificado depois
de produzida a assinatura.
O Par de Chaves Criptográficas
Para que uma pessoa, então, possa gerar uma assinatura digital, deve
primeiramente possuir um par de chaves assimétricas,
exclusivamente seu, formado pela chave privada
e pela chave pública. Ao contrário
do que o senso comum levaria a crer, essas chaves não mantêm qualquer
vínculo com o corpo ou com dados biométricos de seu titular. São
números de grande expressão (algo em torno de 300 algarismos)
geradas aleatoriamente pelo computador, e sua segurança consiste justamente
em terem sido geradas da forma mais aleatória possível, garantindo
estatisticamente que não se possa nunca repetir o processo para gerar
outro par de chaves idêntico, evitando a fraude. O par de chaves é
calculado simultaneamente, de modo que, para uma dada chave
privada, só exista uma chave pública
que lhe sirva como par.
Fruto de operações matemáticas complexas e de critérios
de aleatoriedade, o par de chaves é calculado pelos computadores, mediante
o uso de
"softwares" específicos, que trabalhem com criptografia
assimétrica. Os programas navegadores, também conhecidos
como
"browsers", são exemplos de
"softwares" bastante conhecidos
que realizam estas funções.
Certificados Eletrônicos
Como o par de chaves não mantém qualquer vínculo com o
corpo de seu titular, é necessário algum mecanismo que permita
atestar que a chave pública utilizada na conferência da assinatura
realmente pertença a uma dada pessoa, já que é fácil
gerar chaves e atribuir-lhes o nome de outrem. As operações matemáticas
só podem atestar que a assinatura digital foi produzida com a chave privada
que faz par com a chave pública utilizada na conferência. Algum
elemento outro deve servir para convencer o destinatário da mensagem
que a chave pública em questão realmente pertence ao sujeito nela
indicado. Uma das formas de se fazer isso é por meio dos certificados
eletrônicos.
Os certificados eletrônicos consistem assim em uma declaração,
de um ente certificante,
acerca da titularidade das chaves de uma outra pessoa, que está sendo
certificada. Esse ente é também conhecido como "terceiro de confiança"
porque sua declaração deve ser tendente a gerar, para o destinatário
da informação que nele confie, a certeza quanto à sua autoria.
Um certificado eletrônico contém a
chave pública da pessoa certificada, os
dados pessoais que a identificam, que devem ter
sido conferidos pelo ente certificante ao expedir o certificado, e a assinatura
digital do ente certificante.
A conferência do certificado, por sua vez, deve ser feita com o uso da
chave pública do ente
certificante. Isso normalmente produz outra dúvida: e
como saber se a chave pública que assinou o certificado é realmente
do ente certificante? Uma infra-estrutura de chaves públicas pressupõe
que os usuários do sistema acreditem na autenticidade de uma chave inicial,
a chamada chave raiz, que é auto-assinada,
isto é, o seu certificado é assinado com a própria chave
privada do par. Algum fato deve induzir no usuário a crença de
que esta chave é verdadeira. No caso da ICP-OAB,
por exemplo, a chave raiz será declarada
por ato formal do Conselho Federal, publicado no Diário
Oficial. A confiança na chave
raiz produz confiança nas chaves de entes certificantes que tenham
sido certificados pela raiz e, abaixo destes, dos usuários que tenham
sido certificados pelos entes certificantes. A confiança
na chave raiz produz
confiança das chaves de entes certificantes por ela certificadas, e,
abaixo desse entes, dos usuários que estes vieram a certificar. A essa
seqüência de certificações se dá o nome de "caminho
de certificação", que pode ser verificado no próprio certificado.
