Especialistas reiteram segurança das assinaturas digitais qualificadas em evento da AARB
27 de março de 2023Em encontro virtual com a presença do diretor do ITI, Maurício Coelho, Dr. Jean Martina e o advogado Bernardo Campinho os profissionais debateram sobre segurança da informação e formas de acesso a dados sensíveis do cidadão pelo portal Gov.br
Na última terça-feira (21/03) foi realizado o primeiro evento de 2023 organizado pela Associação das Autoridades de Registro do Brasil (AARB). Com público que atingiu 327 pessoas e novo formato, o EncontrAR Alive, ampliou o espaço de debates sobre a segurança da identificação digital e das novas formas de assinaturas eletrônicas disponíveis no Brasil.
Durante abertura do encontro, que foi mediado pelo presidente-executivo da AARB, Edmar Araújo, o diretor-presidente substituto do Instituto Nacional de Tecnologia da Informação – ITI, Maurício Augusto Coelho, apresentou um balanço das emissões de certificados digitais na Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil em 2022, quem vem batendo recordes consecutivos todos os meses: foram mais de 8,4 milhões no ano passado, um crescimento de 12,6% em relação a 2021.
Segundo ele, a projeção de emissões de certificados digitais para 2023 é de 9,7 milhões. “A imposição de se trabalhar de forma remota por vias eletrônicas acelerou o processo de transformação do analógico para os processos eletrônicos e aproveitamos para difundir ainda mais a ICP-Brasil”, disse.
Mauricio Coelho também citou a AR Eletrônica, as bombas de combustível com certificação digital para objetos metrológicos e as assinaturas eletrônicas nos documentos transacionados pelo Sistema Único de Saúde (SUS) como alguns dos projetos para 2023. Além disso, respondeu os questionamentos dos participantes sobre a relação de ativos utilizados pelas Autoridades de Registro, exigência de nota fiscal dos equipamentos entre outras questões.
Sobre as diversas formas de assinaturas disponibilizadas pelo Gov.br, o diretor lembrou que o portal veio preencher uma lacuna. “Na pandemia, surgiram e cresceram outras formas de assinaturas eletrônicas, como a simples, avançadas e uma infinidade de outros serviços. Tudo tem valor jurídico, mas evidentemente o sistema ICP-Brasil traz vantagens não só tecnológicas, mas de processo. Isto é uma característica das assinaturas qualificadas. A Lei 14.063/2020 diz que a assinatura qualificada está em nível superior de todas as outras”, explicou. “As assinaturas avançadas não têm os mesmos requisitos processuais do sistema ICP-Brasil, então não existe credenciamento, auditorias de fiscalizações, não existe obrigatoriedade de ambientes seguros e nem existe a obrigatoriedade de os HSMs serem certificados”.
Coelho aproveitou, ainda, para convidar os participantes do encontro para a edição 2023 do CertForum, que ocorrerá de forma presencial em Brasília nos dias 19, 20 e 21 de setembro.
Rodada de debates
Na sequência do evento, o professor Jean Everson Martina, pesquisador do Laboratório de Segurança em Computação (LabSEC) da Universidade Federal de Santa Catarina e o advogado Bernardo Brasil Campinho, doutor em Direito pela Universidade do Estado do Rio de Janeiro (UERJ) e professor associado I do Departamento de Ciências Jurídicas do Instituto Multidisciplinar da Universidade Federal Rural do Rio de Janeiro (UFRRJ), participaram de um debate sobre as questões técnicas e jurídicas das assinaturas digitais, a plataforma Gov.br, a instabilidade das normas, ciclo de vida dos certificados digitais entre outros temas.
O diretor de Comunicação da AARB, Bruno Linhares, demonstrou preocupação com as diferentes formas de assinatura digital, com níveis de segurança diversos e o uso de assinaturas avançadas em questões de alta criticidade como, por exemplo, a transferência de propriedades.
Segundo Martina, o movimento de ter vários modelos de assinaturas é algo comum, mas ponderou: “Existem algumas simplificações que, na ânsia de popularizar, acabam atropelando alguns conceitos fundamentais. Depois da Lei 14.063, nós temos três níveis diferentes de assinaturas que tem suas determinadas aplicabilidades, pré-condições e seus riscos. Temos uma assinatura de grau inferior do ponto de vista técnico, que são as avançadas, que se caracterizam por uma força menor na qualificação, que usam uma base de dados do governo, e temos as assinaturas simples, que tem um grau ainda menor de identificação da pessoa”, explicou.
Para o professor, as questões principais das assinaturas qualificadas, avançadas e simples estão na qualidade de identificação do usuário. “Eu acredito que cada uma tem a sua aplicação. Mas não existem garantias tão fortes de relacionamento entre a pessoa e a chave privada quanto a ICP-Brasil. A assinatura qualificada cumpre requisitos internacionalmente reconhecidos da qualificação da identidade e garante uma associação inequívoca entre o consumidor e sua chave. São assinaturas digitais com capacidade criptográfica que significam que o documento não pode ser modificado, que é autônomo”, completou.
Segundo o advogado Bernardo Campinho, é preciso atentar para três importantes bases: confidencialidade, confiabilidade e autenticidade. “Quando você lida com dados sensíveis, uma maior supervisão e fiscalização sobre o uso destas chaves é essencial. O problema não é multiplicidade delas, mas sim quando se perde a capacidade de ter um nível mínimo de credenciamento de centralização que permita você ter autenticidade e integridade e aí você perde o essencial, que é a confiança. Isso pode ser um risco muito grande”, alertou.
“Precisamos entender que trocas econômicas tem um maior grau de liberdade entre as pessoas que demandam soluções mais flexíveis, mas outros dados sensíveis como saúde e outras questões de foro íntimo, por exemplo, com esta multiplicidade de chaves sem uma regulação adequada, pode gerar violação de direito como vazamento de dados e apropriação indevida de informações pessoais”, completou.
Portal Gov.br
O vice-presidente da AARB e presidente da Associação Brasileira das Empresas de Software (ABES), Paulo Milliet Roque, relatou, durante o debate, uma disfuncionalidade no Gov.br que tem ocorrido há alguns meses. Segundo ele, ao atingir o nível ouro da conta com certificado digital, para entrar no portal basta o acesso por login e senha. “Neste nível de conta ouro temos acesso a dados sensíveis e é muito preocupante esta mudança”, indicou.
Martina concordou que o Gov.br precisa de melhorias e que a base de dados consultada pelo governo na migração de uma conta bronze para prata, por exemplo, deve levar em conta mudanças de cadastros feitas pelos usuários nas bases de origem. “Quando você vai projetar um sistema que envolve comprar, vender, pagar e receber você deve pensar sempre em um modelo de autenticação e de registro forte. Não basta olhar para seu selo. Tem que olhar o selo e a forma como você autenticou”.
Para Campinho, o Gov.br cria uma burocratização, no caso de mudanças de dados, que está além do conhecimento da população sobre meios digitais, em especial para os idosos. “Você começa a criar cidadãos de segunda classe que não tem familiaridade. Estas questões de segurança tem que andar de mãos dadas com a acessibilidade”.
Bruno Linhares levantou, ainda, a questão do ciclo de vida dos certificados digitais no Gov.br, pois o selo ouro não tem uma data de validade, ao contrário dos certificados digitais ICP-Brasil. “Garantir um ciclo de vida para o certificado e que tenhamos uma verificação regular de sua pertinência e propriedade sempre foi uma questão fundamental da ICP-Brasil”, disse.
“Hoje o único documento público que utiliza uma estratégia de longo prazo é o diploma digital”, lembrou Martina. “Quando eu preciso fazer um documento de durabilidade maior que prazo do certificado, a estratégia é colocar um carimbo do tempo. E quando a gente tem que fazer guardas de documentos de longo prazo, é indicado utilizar estratégias de arquivamento, de guardar todas as LCRs e todos os caminhos de certificação”, indicou o professor.
AR Eletrônica
Os profissionais ainda comentaram sobre o polêmico projeto da Autoridade de Registro Eletrônica, que terá como atribuição identificar e cadastrar usuários ICP-Brasil de forma não presencial, por canal de atendimento 100% eletrônico e totalmente automatizado. Linhares vê riscos de verticalização e de destruição de empregos na iniciativa.
“A AARB levantou uma série de preocupações no Comitê Gestor da ICP-Brasil assim que foi aventada a possibilidade de criação da AR Eletrônica. Na minha opinião é um risco de segurança, pois é uma automatização da emissão de certificado digital a partir de consultas de algumas bases de dados que se aproxima do que seria a assinatura avançada. Além disso, existe a possibilidade da extinção de uma parte das 2.500 empresas instaladas que geram cerca de 50 mil empregos. Como é possível harmonizar a questão das ARs Eletrônicas e a sustentação das ARs físicas?”, indagou.
Segundo o advogado Bernardo Campinho, é normal que o desenvolvimento econômico passe por transformações tecnológicas estruturais, mas é importante ter um processo de inclusão digital sem impedir que a economia avance. “Temos que fazer uma transição pactuada para requalificar essa mão de obra e permitir que ela tenha outros papéis no processo, e isso pode ser desenhado junto com a transformação tecnológica”.
Para o professor Jean Martina, a AR Eletrônica tem que ser vista como uma ferramenta auxiliar ao agente de registro. “A qualificação de uma assinatura sempre vai passar pelo convencimento de um processo de idoneidade, que não é algo que o sistema constrói sozinho. A confiança é construída por pessoas que atestam e conferem os documentos. Ela não deveria ser uma resposta de exclusão dos agentes de registro e sim uma resposta de qualificação do processo, de agilidade, usar a ferramenta tecnológica como auxiliar do processo. Um modelo que permita uma transição para o aumento de produtividade e de qualidade desse serviço”, completou.
Ao final, Edmar Araújo agradeceu a presença dos convidados e enfatizou a importância das empresas e entidades que prestigiaram mais um evento da AARB. “A sua realização só foi possível graças aos patrocínios e apoios angariados. Em nome da diretoria, nosso muito obrigado por mais esta parceria de sucesso”.
O EncontrAR Alive teve o patrocínio da Valid, Certificaminas, Link Certificação Digital, Safeweb, Certisign, Soluti, Online Soluções Digitais, CertFácil Certificação Digital, AC Consulti Brasil, Fenacon CD e Syngular
Também contou com os apoios institucionais do ITI – Instituto Nacional de Tecnologia da Informação, ATID- Associação Brasileira de Tecnologia e Identidade Digital, ANCD – Associação Nacional de Certificação Digital, CryptoID, Insania e Abrid – Associação Brasileira das Empresas de Tecnologia em Identificação Digital
Encontro vai discutir segurança da informação e da identificação digital
Portal único do governo traz riscos de segurança ao cidadão, alerta AARB
AARB participa de reunião com Ministério da Economia, ITI e Serpro sobre AR Eletrônica
Sobre AARB
Fundada em 2014, a Associação das Autoridades de Registro do Brasil AARB é fruto dos anseios dos representantes das Autoridades de Registro da ICP-Brasil e tem por objetivo defender os interesses do segmento perante os poderes da república, sociedade civil organizada, bem como a massificação da certificação digital no País.
Entidade de direito privado e sem fins lucrativos, a AARB é mantida exclusivamente por seus associados. Além dos interesses mencionados, compete a AARB disseminar a cultura da tecnologia ICP-Brasil e agregar benefícios e vantagens aos seus associados.
Procure saber sobre o Selo de Ação Ética Na Certificação Digital. Esse Selo identifica as empresas que assumem o compromisso ético na sociedade entre seus pares, clientes e colaboradores.
Leia a coluna da AARB aqui no Crypto ID!