Assinaturas eletrônicas podem enganar usuários

3/12/2004 17:55José Luiz Brandão ()(Este texto é continuacão de comentário anterio...

(Este texto é continuacão de comentário anterior. Leiam primeiramente o comentário abaixo deste para entender o contexto) (Continuando...) A ICP-Brasil foi criada para regulamentar o uso da certificacão digital no Brasil. O foco dela são as Autoridades Certificadoras e o processo de emissão dos certificados digitais. Não faz parte das suas atribuicões regular assinatura digital muito menos documentos eletrônicos. O que precisamos é de um conjunto de padronizacões a respeito do documento eletrônico. Existem mecanismos tecnológicos que podem ser aplicados para gerar um documento eletrônico livre de ambiguidades, scripts, macros e desta forma minimizar os riscos da interpretacão. O documento eletrônico tem uma infinidade de vantagens em relacão ao documento de papel. Não podemos pensar que o melhor caminho é voltarmos aos documentos ASCII / TXT puro ou recorrermos a formatos ultrapassados como o rtf. Da mesma forma, não podemos nos deixar levar por empresas que desejam dominar o mundo. Temos que evoluir sim, porém com padrões abertos, transparentes, livres e construídos sob um processo democrático. Penso que o projeto de lei que está sendo aprovado no congresso é um grande passo para chegarmos a um modelo ideal de documento eletrônico seguro. Porém, não podemos deixar tudo com o governo. Temos (a sociedade, o mercado, as empresas de tecnologia, os acadêmicos, ... ) que discutir os problemas, propor solucões. Mais uma vez gostaria de parabenizar o Pablo Cerdeira pelo seu artigo. Concordo em grande parte com as suas colocacões. Apenas gostaria de reforcar que os problemas citados no seu artigo não estão relacionados à assinatura digital e sim à seguranca de documentos eletrônicos. Brasília, 02/12 José Luiz Brandão brandao@esec.com.br

3/12/2004 17:11José Luiz Brandão ()Caro Pablo, sou diretor comercial da empresa e-...

Caro Pablo, sou diretor comercial da empresa e-Sec (www.esec.com.br) e trabalho com certificacao digital ha 7 anos. Acompanhei todo o processo de criacao da ICP-Brasil. Sou membro da comissao tecnica da ICP-Brasil como representante da sociedade civil. Gostaria de parabeniza-lo pelo artigo fazer algumas consideracoes pessoais sobre o mesmo. Concordo com você quando diz que não podemos igualar o documento eletrônico ao documento de papel. Temos que encarar o mundo digital de uma forma diferente. Você fala em documento interpretado, mas na prática, em informática tudo é interpretado. Mesmos as coisas mais simples, como arquivos TXT na verdade são uma interpretacao dada pelo visualizador de uma sequência binária. Obviamente, quando tratamos de documentos como DOC, HTML, PDF o grau de complexidade da interpretacão é muito maior. Estes formatos, além das informacões de conteúdo e formatacão incluem campos variáveis, scrips, macros, ... o que muitas vezes torna a vida do usuário mais fácil mas, ao mesmo tempo, o expõe situacões de risco muito maiores. Entretanto, a tecnologia de certificacão e assinatura digital nada têm a ver com isto. Ela é muito mais simples e na sua simplicidade muito segura. A assinatura digital não trata o documento eletrônico e sim a cadeia de bytes. Ela não enxerga um DOC, um HTML ou um PDF. Ela exerga uma sequência binária a ser transformada através de um mecanismo criptográfico. Os certificados digitais seguem padrões de codificacão padronizados e livres de ambiguidades , variáveis, scripts, etc. A informática, muitas vezes motivada pela ignorância das pessoas, cria mitos que são vendidos como solucão para todos os problemas. A certificacão digital virou um desses mitos. A ela são atribuídos papéis que não são o propósito de sua existência. O tema que estamos tratando aqui não é a certificacão digital e nem a assinatura digital. Este tema é a "Seguranca de Documentos Eletrônicos", onde a certificacão digital é apenas um dos seus alicerces. O mesmo acontece com a ICP-Brasil. A ICP-Brasil foi criada para regulamentar o uso da certificacão digital no Brasil. O foco dela são as Autoridades Certificadoras e o processo de emissão dos certificados digitais. Não faz parte das suas atribuicões regular assinatura digital muito menos documentos eletrônicos. (Continua no próximo comentário...)

2/12/2004 21:13Paulo Sá Elias ()PCC, tenho saudades dos tempos do PGP (Pretty G...

PCC, tenho saudades dos tempos do PGP (Pretty Good Privacy) do Philip R. Zimmermann...interface simples, aberta, clean, ASCII puro. Estas armadilhas da geração GUI (Graphical User Interface) sempre tentando tornar tudo "mais amigável" acabam resultando nestas aberrações que você aponta com pioneirismo na área jurídica. Cada vez mais entendo menos de criptografia. Ela está ficando cada vez mais incorporada, "amigável", inserida em "layers". Eu sempre desconfiei disso. Ainda uso o PGP, clean, RSA Legacy. ASCII / TXT puro. Eu consigo entendê-lo e de certa forma, "acompanhar" seu trabalho. Já nessas interfaces "amigáveis" não consigo mais "ver" tudo o que acontece. É preocupante. Parabéns. Abraços. Paulo Sá Elias (www.direitodainformatica.com.br)

2/12/2004 07:49João Luís V Teixeira (Advogado Sócio de Escritório - Trabalhista)Parabéns ao Autor! Excelente texto.

Parabéns ao Autor! Excelente texto.

1/12/2004 16:26Daniel Henrique Ferreira e Silva (Outros)Gostaria de parabenizar o autor por seu ponto d...

Gostaria de parabenizar o autor por seu ponto de vista mais equilibrado à cerca do uso de documentos eletrônicos no mundo jurídico. Infelizmente, nossos legisladores e juízes ainda pensam que a tecnologia é uma verdadeira panacéia e ignoram algumas questões como as apontadas de maneira simples pelo autor em seu artigo, no momento da elaboração de legislação ou informatização dos órgãos judiciários. É uma pena que nossos juízes, principalmente do TSE, não lêem artigos como esse. Só assim, creio que poderíamos ter um sistema eleitoral realmente seguro.