4.Criptologia
A palavra "criptologia" é de origem grega. Kryptós significa escondido, oculto e logos, estudo. Desse modo, pode-se definir criptologia como a ciência que estuda as técnicas para tornar incompreensível uma mensagem escrita com clareza, de forma a permitir que apenas o destinatário, depois de decifrá-la, tenha acesso à informação protegida. A técnica utilizada para transformar um texto em claro em um criptograma (texto codificado) ganhou a denominação de criptografia.
A criptografia é técnica muito antiga, sendo que a história registra sua presença nos hieróglifos egípcios, há quase quatro mil anos. Os exércitos romanos também utilizaram amplamente esta forma de codificação de mensagens, trocando determinadas letras por outras, impedindo assim, que os inimigos, que eventualmente a elas tivessem acesso, conseguissem lê-las, pois somente o remetente e o destinatário possuíam o código capaz de decifrar o conteúdo das mensagens. Na Segunda Guerra Mundial (1939 a 1945), a quebra dos códigos utilizados pelos alemães e japoneses na transmissão de suas mensagens foi fundamental para a vitória do bloco aliado.
Portanto, percebe-se que, desde a antiguidade, os exércitos sempre tiveram a preocupação de proteger suas comunicações do inimigo, através da utilização dos mais variados sistemas criptográficos, cuja eficácia foi aumentando em razão direta ao avanço da tecnologia disponível a ser empregada na criptografia.
Com o passar do tempo, as informações sigilosas de certas atividades civis, como relatórios confidenciais de entidades financeiras, também passaram a lançar mão da criptografia, quando então, a cifragem de mensagens deixou de ser privilégio das atividades militares.
Hodiernamente, dada à vulnerabilidade, quanto ao acesso indevido por terceiros ao conteúdo das mensagens transmitidas pela Internet, surgiu a necessidade da utilização de sistemas de criptografia também no ambiente virtual, pelo que torna-se importante, ao presente trabalho, examinar um pouco mais detalhadamente os tipos de criptografia utilizados na rede mundial de computadores.
4.1.Criptografia simétrica e assimétrica
Há dois tipos básicos de criptografia: a simétrica e a assimétrica. A primeira funciona através da codificação de uma mensagem pelo uso de uma chave secreta que será a mesma a ser utilizada para decifrar o criptrograma. Apresenta a vantagem da rapidez na criptografia/decriptografia e como principais desvantagens: a) o fato de que a chave secreta terá de ser comunicada, de alguma forma, ao destinatário, aumentando o grau de vulnerabilidade do sistema criptográfico utilizado; e b) não servir para assegurar o destinatário acerca da identidade do remetente.
A segunda forma utiliza duas chaves, uma privada e outra pública, sendo que a primeira tem o objetivo de cifrar e a outra de decifrar a mensagem codificada. Como importantes vantagens da criptografia assimétrica, podem ser citados: a) o fato de que não há necessidade de se comunicar a chave utilizada na criptografia do texto em claro ao receptor da mensagem, o que aumenta consideravelmente o grau de confiabilidade deste sistema criptográfico, tornando-o mais seguro que a criptografia simétrica; e b) o fato de que este tipo de criptografia traz certeza ao destinatário sobre a identidade do remetente (autenticidade). Como desvantagem, tem-se que o tempo de criptografia/decriptografia, por utilizar um par de chaves, é maior do que o da criptografia simétrica, implicando maior lentidão na codificação/decodificação das mensagens.
A doutrina refere que o uso da criptografia tem quatro objetivos: a) confidencialidade, ou seja, assegurar que somente os destinatários autorizados tenham acesso à informação transmitida; b) integridade, entendida como a certeza de que a mensagem não foi alterada durante o seu transporte; c) autenticidade, consubstanciada no fato de que o remetente e o receptor podem confirmar as identidades uns dos outros, assim como a origem e o destino da informação; e d) não-recusa, que significa que o remetente pode assinar o documento, limitando legalmente sua responsabilidade.
Como já se afirmou anteriormente, é através do uso de criptografia que se conferirá a necessária segurança aos negócios firmados através de documentos eletrônicos. E o estado da arte, em termos de criptografia, apresenta o sistema de chaves assimétricas, também denominado de criptografia de chave pública, como sendo o que, na atualidade, oferece mais segurança na transmissão de dados através do uso da tecnologia da informação.
4.2.A criptografia como garantia de direitos civis
A criptografia acabou ganhando papel de acentuada relevância nos dias atuais, em face do uso em massa de mensagem eletrônica através da Internet. O conhecido e-mail, como menciona DAN BROWN em sua obra ficcional Fortaleza Digital, combina "a segurança do correio convencional com a velocidade do telefone" [41]. Por essa razão, segundo a trama desenvolvida pelo romancista, "criminosos, terroristas e espiões, fartos de ter que lidar com linhas telefônicas grampeadas, voltaram-se imediatamente para essa nova forma de comunicação global" [42], razão pela qual, na trama do mencionado romance, a Agência Nacional de Segurança dos Estados Unidos teria construído um computador denominado TRANSLTR, munido de três milhões de microprocessadores e dotado dos avanços obtidos em computação quântica, ao custo de 1,9 bilhão de dólares, para monitorar todo o fluxo de e-mails da rede mundial de computadores, decifrando toda e qualquer mensagem de interesse para o governo norte-americano.
A despeito do caráter ficcional do aludido romance, fácil é perceber que a disseminação em massa do uso do e-mail causou importante e decisiva mudança de paradigma em termos de envio de correspondências. Agora, a custo baixíssimo e com impressionante rapidez, pode-se encaminhar documento para qualquer destinatário, independentemente de sua localização no globo terrestre, bastando que o receptor tenha uma conta de endereço eletrônico para receber correspondências eletrônicas.
Outra característica importante, que, inclusive, serviu de pano de fundo para a obra Fortaleza Digital, é o fato de que as informações que trafegam na rede mundial de computadores tornaram-se alvos interessantes para atividades de espionagem das agências de inteligência governamentais, face à facilidade de interceptação de tais comunicações, em razão de grande parte dos dados trafegarem em claro, portanto, sem receberem qualquer tratamento criptográfico. Todavia, o crescente uso da rede mundial de computadores fez com que a preocupação com a manutenção do sigilo dos dados nela transmitidos aumentasse, resultando na aplicação da criptografia no ambiente virtual através do uso de certificados eletrônicos que possibilitam o emprego de assinatura digital nos arquivos enviados pela Internet.
Dessa forma, atualmente, com o advento da criptografia assimétrica, pode-se dizer que existe um certo grau de segurança no envio de e-mails, desde que sejam assinados digitalmente. Contudo, não se pode afirmar que esta segurança seja absoluta devido à constante evolução tecnológica em termos de hardwares e de softwares com finalidades decriptrogáficas.
Em outras palavras, aquilo que ontem que era considerado o hardware e/ou software mais avançado em termos de segurança criptográfica, hoje poderá não sê-lo mais. A impressionante velocidade da evolução tecnológica na seara da criptologia confere à realidade em que se vive incrível semelhança com o cenário fictício desenvolvido por DAN BROWN em Fortaleza Digital, motivo pelo qual resolveu-se mencionar a aludida obra no presente trabalho, pois a relevância do tema exige imediata reflexão e aprofundamento dos debates acerca da segurança das mensagens que trafegam pela Internet nos dias de hoje, pois o monitoramento de seus conteúdos por terceiros, que não os reais destinatários, configura-se em violação de direitos civis, que no Brasil, estão definidos, em nível constitucional inclusive, como direito ao sigilo de correspondência (Art. 5º, inc. XII, da Constituição Federal [43]).
Portanto, é crucial à efetiva garantia dos direitos civis dos usuários de correios eletrônicos que a segurança das comunicações eletrônicas receba a devida importância pelos legisladores pátrios, pois indiscutível a sua direta pertinência com os direitos e garantias constitucionais consagrados em nossa Carta Magna de 1988. E se este acesso indevido às mensagens eletrônicas for realizado pelas autoridades governamentais, o problema cresce ainda mais de importância, haja vista que tal ocorrência significará cometimento de indiscutível arbitrariedade por parte do Estado, como v. g. seriam as interceptações de e-mails, sem autorização judicial, por agências e setores governamentais ligados às atividades de inteligência em nosso país, o que deve ser alvo de veemente repúdio por parte dos operadores jurídicos em um Estado Democrático de Direito.
Outra atividade estatal que também feriria garantia constitucional de direito à privacidade (art. 5º, inc. X, da Constituição Federal [44]) seria a utilização, sem autorização judicial, pelo Fisco de e-mails de contribuintes para comprovar a ocorrência de determinado fato gerador com vistas a aumentar a arrecadação tributária.
Nesse tocante, LEANDRO COELHO DE CARVALHO refere caso real [45] de utilização de correio eletrônico pelo Ministério Público, objetivando oferecimento de denúncia por improbidade administrativa e falsidade ideológica. É o que aconteceu em 2001, quando o então Governador do Distrito Federal JOAQUIM RORIZ foi denunciado pelo Ministério Público, a partir de informações obtidas pela Receita Federal – sem autorização judicial, mas fornecidas pelos diretores da empresa beneficiada – em mensagens eletrônicas enviadas pelo denunciado. A edição n.º 1.708 da revista Veja assim dispunha: "Recolhendo cópia de mensagens trocadas por e-mail, os procuradores descobriram que o governador assinou um perdão de dívida fiscal feito sob medida para o cliente. (...) As mensagens eletrônicas mostraram que tudo foi feito do jeitinho que a empresa queria" [46].
Ainda que no presente caso, o monitoramento de e-mails por parte do Fisco tenha ocorrido para subsidiar denúncia de agente político por improbidade administrativa e falsidade ideológica, o que deve ser festejado tendo-se em vista a prevalência do interesse público sobre o particular, importa ressaltar que o uso de tal subterfúgio, sem qualquer preocupação da Administração Pública em assegurar a inviolabilidade dos direitos civis das pessoas envolvidas, constitui, em verdade, arma de grosso calibre em favor do arbítrio estatal.
É que os recursos tecnológicos não podem ser utilizados pelo Estado, sem que antes seja realizada a devida ponderação de valores constitucional e legalmente estabelecidos no ordenamento pátrio, sob pena de cometimento de inadmissíveis arbitrariedades, que tornarão as eventuais ações estatais praticadas ao arrepio da lei inválidas sob o ponto de vista jurídico.
LEANDRO COELHO DE CARVALHO sustenta que "a Internet é um meio de comunicação público, mas as comunicações e os negócios jurídicos efetuados por seu intermédio têm caráter privado. O Fisco, cuja atividade é plenamente vinculada, não pode se valer de todas as informações disponíveis na rede. Se for violada a privacidade dos contribuintes, o Judiciário poderá julgar ilícitas as provas e nula a autuação fiscal, com fulcro no art. 5º, LVI, da Constituição da República" [47].
Assim, é fundamental que a utilização dos recursos da tecnologia da informação pelo Estado ocorra em consonância aos princípios e valores consagrados pelo Estado Democrático de Direito, dispostos explícita e implicitamente em nossa ordem jurídica. Ainda que virtual, o ambiente da Internet, no Brasil, também está sujeito à aplicação dos valores, princípios e normas do ordenamento jurídico pátrio.
5.ICP - Brasil
Em 2001, o governo federal instituiu a Infra-estrutura de Chaves Públicas Brasil – ICP-Brasil –, a fim de propiciar validade probatória dos documentos produzidos no ambiente virtual.
O sítio eletrônico do Governo Federal sobre a ICP-Brasil conceitua o projeto como "um conjunto de técnicas, práticas e procedimentos, a ser implementado pelas organizações governamentais e privadas brasileiras com o objetivo de estabelecer os fundamentos técnicos e metodológicos de um sistema de certificação digital baseado em chave pública" [48].
O objetivo da implantação da ICP-Brasil é possibilitar a utilização dos documentos digitais como meio de prova, considerando o uso da certificação digital que conferirá uma assinatura digital ao usuário, através do sistema de criptografia assimétrica, como uma das formas mais práticas para quebrar a resistência à sua aceitação no meio jurídico.
Na doutrina, há algumas críticas relevantes ao projeto, principalmente no que toca ao risco, quanto à segurança, de adoção de uma única infra-estrutura de chaves públicas, como assevera AUGUSTO TAVARES R. MARCACINI, que entende que "a existência de múltiplas estruturas distribuiria o risco, bem como incentivaria os agentes econômicos a produzir outras formas de certificação eletrônica, ao invés de aguardar quais rumos tomará a ICP-Brasil" [49].
MAURÍCIO DE SOUZA MATTE [50] explica que o conceito PKI (Public Key Infrastructure) proporciona serviços que variam de registro de chaves com a emissão de certificado para uma chave pública; revogação ou cancelamento de certificados; obtenção de chaves públicas de uma autoridade certificadora [51]; e validação de confiança, determinando se o certificado é válido e para quais operações ele está autorizado.
Continua o autor, asseverando que "de forma simplificada, certificados são emitidos, juntamente com um par de chaves (pública e privada), por uma Autoridade Certificadora para usuário ou equipamento envolvido no processo" [52], de forma a garantir a segurança do sistema e confirmar a identidade de seus usuários.
Entretanto, apesar de a ICP-Brasil constituir-se em importante iniciativa, que certamente trará grandes benefícios ao país, a discussão do assunto ainda é incipiente em termos de conclusões, limitando-se a regulação da infra-estrutura de chaves públicas brasileiras, até hoje, a uma medida provisória (MP 2.200/2001) não convertida em lei.
5.1.Autoridade Certificadora
Figura de destaque no conceito PKI, a autoridade certificadora é explicada por MARCOS SÊMOLA da seguinte forma:
"Entidade representada por pessoas, processos e ferramentas, usada na emissão de certificados digitais que, de uma forma segura, associa o nome da entidade (usuário, máquina, etc) ao seu par de chaves. Ela funciona como um agente de segurança. Desta forma, se os usuários confiam em uma CA e em sua política de emissão e gerenciamento de certificados, confiam nos certificados emitidos pela CA. Isso é o que chamamos de ‘third-party trust’ ou confiança em uma terceira parte ou entidade" [53].
A idéia nuclear do conceito PKI é fazer com que as assinaturas digitais, proporcionadas pelo sistema de criptografia de chaves públicas, confiram validade probante aos documentos digitais, atuando as autoridades certificadoras como espécies de cartórios, responsáveis por assegurar a autenticidade e eficácia de tais assinaturas.