Nenhuma tecnologia propicia segurança inatacável; ninguém, com responsabilidade, omitiria os riscos envolvidos no uso de assinaturas digitais.
Verdadeiramente, as operações matemáticas utilizadas nas assinaturas digitais têm sido analisadas há mais de duas décadas pela comunidade científica, mostrando-se sólidas e confiáveis. Entretanto, embora seja o coração do sistema, o aspecto matemático da questão é apenas um dos elos de uma corrente. Se decifrar os códigos criptográficos utilizados tem se mostrado inviável, isso não quer dizer que inexistam outros meios de ataque ou fraude. O importante para o usuário, pois, é saber quais são os pontos mais sensíveis, para poder dispensar cuidados adequados.
Partindo da premissa que nenhuma barreira física ou técnica pode ser considerada intransponível, a ICP-OAB, para merecer a confiança de toda a sociedade, e em especial, da Advocacia e dos Tribunais, apóia-se, como elemento fundamental de segurança, na mais completa transparência de seus procedimentos, realizando conferências e deixando registros auditáveis que possam servir de contraprova, em caso de eventual falha.
Os sistemas criptográficos utilizados são padrões abertos, de domínio público, amplamente escrutinados pelos especialistas de todo o mundo.
A identificação do advogado exige comparecimento pessoal e identificação perante um funcionário da Seção ou Subseção de origem. Este é o único meio possível de garantir que outra pessoa não está solicitando um certificado em seu nome; e, dadas as informações do certificado - os números identificadores únicos - inclusas no requerimento escrito que o advogado deve apresentar, dinstingue-se exatamente qual certificado está sendo entregue ao requerente, deixando contraprova física. Tanto a OAB guarda prova da solicitação, quanto o advogado guarda prova em meio físico sobre os dados do certificado que efetivamente lhe pertence.
Como mais uma medida de segurança, os certificados da ICP-OAB serão expedidos por prazo nunca superior a três anos, prazo dentro do qual novo certificado deve ser requerido.
O uso seguro de certificados eletrônicos pelos advogados
É opinião comum, na comunidade de segurança da informação, que o ataque mais fácil a assinaturas digitais consiste em tentar-se apropriar da chave privada do usuário. Aliás, exatamente na ponta do usuário encontra-se a posição mais frágil do processo de emissão e conferência de assinaturas eletrônicas.
A OAB, assim, não tem preocupação apenas com a segurança de sua própria chave privada e com a expedição e controle dos certificados que emite. Tem, igualmente, preocupação em informar a seus inscritos dos riscos existentes e soluções necessárias para controlá-los, no trato desse novo e tão importante instrumento, a assinatura digital.
O ponto mais sensível na segurança do usuário é o da guarda de sua chave privada. Esta chave deve ficar em poder exclusivo do seu titular, portanto, somente a ele compete guardá-la com segurança. Se um terceiro conseguir acesso à sua chave privada, poderá gerar assinaturas digitais em seu nome, sem nenhuma possibilidade técnica de demonstrar-se a falsidade. Além disso, o invasor estará habilitado a decifrar toda a sua correspondência privada que tiver sido codificada com a correspondente chave pública.
Por isso, conforme explicitado nas instruções fornecidas, é imperioso que: a) o certificado seja gerado em computadores pessoais do advogado; b) o certificado não seja instalado em computadores de uso público; c) que a proteção com senha seja utilizada, adotando-se senha complexa. Diante destes cuidados, para praticar uma fraude, o invasor precisaria obter a chave privada que está gravada no disco rígido do seu computador e conhecer a senha utilizada na proteção, sem a qual a chave não poderá ser violada. Existem programas de computador especialistas em violar senhas, realizando diversos tipos de ataque, por isso é conveniente conhecer as instruções sobre a escolha de senha segura.
É também seriamente recomendável que o usuário não instale "softwares" de procedência desconhecida ou duvidosa no computador onde está armazenado o seu certificado, e tome a mais completa precaução contra ataques de vírus ou cavalos-de-tróia. A possibilidade técnica de um vírus, ou cavalo-de-tróia, adentrar seu computador, capturar a chave gravada no disco, "observar" sua digitação no teclado para aprender a senha, para, após, enviar tudo isso a um criminoso, sem que o usuário sequer perceba, é concreta e real.
É altamente recomendável aos usuários a instalação de softwares anti-vírus, que impeçam a infecção por esses programas malígnos, bem como a utilização de um sistema de proteção contra acesso indevido em seus computadores, conhecido no jargão técnico por "firewall". Há várias opções disponíveis desses sistemas, a baixos custos, ou mesmo gratuitas.
Outra observação relevante diz respeito ao tamanho das chaves. Atualmente, os "browsers" disponibilizados ao grande público geram chaves de 1024 bits, que podem ser consideradas seguras por mais alguns anos. No atual estágio de desenvolvimento da ciência e da tecnologia, considera-se não existir poder computacional instalado que seja suficiente para quebrar chaves de 1024 bits. Versões de "browsers" mais antigas, sujeitas a anteriores restrições de leis norte-americanas que controlavam exportação de produtos e tecnologia de criptografia forte, não permitiam a criação de chaves com mais de 512 bits. Embora exija certo poder computacional para fazê-lo, já foi demonstrado que é possível fraudar chaves desta magnitude. Neste caso, a atualização do "browser" é também seriamente recomendável.
Desnecessário dizer que o certificado contendo a chave privada (que, em princípio, está instalado no computador que fez a requisição, e armazenado na cópia de segurança que foi gerada) deve ser de uso pessoal e exclusivo do seu titular, não devendo ser cedido ou emprestado em hipótese alguma. A entrega da chave privada a um terceiro é ato de ainda maior risco do que a entrega de cartões bancários ou de crédito; a "restituição" da chave privada ao titular não assegura que uma cópia exata e idêntica não possa ter sido feita, vez que se trata apenas de um arquivo eletrônico, fácil e prontamente duplicável. Nunca, sob qualquer pretexto, permita ou conceda acesso de terceiros à sua chave privada.
Havendo suspeita de que a chave privada tenha caído em poder de terceiros, deve-se prontamente requerer a revogação do certificado eletrônico junto à OAB.
Certificados eletrônicos contendo tão somente a chave pública são livremente distribuídos, estando inclusive disponíveis para acesso online. Estes certificados são utilizados somente para conferir a assinatura ou para enviar mensagens eletrônicas criptografadas ao titular. Não se assuste em vê-los circulando.
Somados todos estes fatores, e considerando que esta será certamente a primeira experiência de cada um de nós advogados no uso operacional de chaves criptográficas assimétricas, firmamos a posição de limitar o uso dos certificados a fins profissionais, evitando que o advogado possa ser alvo de ataques criminosos tendentes a subtrair-lhe a chave privada para causar-lhe prejuízo patrimonial. Certamente, ficando restrito à prática de atos profissionais, o uso indevido de certificados subtraídos ou forjados fica mais fácil de ser detectado, corrigido e apurado, bem como pode afastar o interesse daqueles que possam querer obter nossas chaves para cometer outros tipos de fraude.