De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Mantendo em lugar seguro suas provas e contraprovas digitais

Colaboração: Lino Sarlo da Silva

Data de Publicação: 13 de Agosto de 2003

Mantendo em lugar seguro suas provas e contraprovas digitais.

Tema: Crimes, provas e contraprovas

Resumo

O propósito desse artigo é alertar a comunidade sobre dois pontos muito importantes quando falamos sobre Infra-estrutura de chaves pública e sua legitimidade do ponto de vista jurídico: Não repúdio e Certificados Expirados.

Para que qualquer relação de negócio seja satisfatória, seja ela de natureza eletrônica ou via papel, nos moldes tradicionais, é necessário um consenso entre as partes sobre os itens do documento, é fundamental que se comprove, por meio de provas concretas, o que foi previamente acordado e por fim os envolvidos no negócio deverão cumprir o acordo que firmaram.

Através da Infra-estrutura de chaves públicas, passamos a dispor de alternativas para realizar eletronicamente transações que até agora não se podiam fazer e exigiam registros em papel escrito para adquirirem validade. Essa nova modalidade de documentos não exclui nem se sobrepõe aos utilizados atualmente, são equivalentes, isto é, o sistema de certificação eletrônica não introduz conceitos novos nas transações, apenas estabelece equivalência legal entre os documentos produzidos e os obtidos eletronicamente e aqueles firmados em papel, desde que certificados na ICP.

Não Repúdio

O não repúdio protege contra um dos participantes da comunicação negar que a mesma tenha ocorrido, não significa que os participantes tendem a não repudiar, mas sim que é fácil provar que o repúdio é falso.

O não repúdio acontece quando uma determinada mensagem eletrônica, seja ela de que teor for, adquire força de "aceitação" e efeitos jurídicos concretos sem possibilidade de uma das partes alegar que não participou do negócio. Isto quer dizer que o não repúdio é uma cláusula que inserida no contrato, desde que este esteja cercado da devida segurança, torna impossível se fazer do contrato um negócio nulo por questões de meios de comunicação, como é o caso da Internet.

Assim, podemos definir o não repúdio com uma qualidade de determinada relação através da qual as partes são protegidas de uma alegação de inexistência, o que representa que a figura está presente para produzir efeitos legais nos contratos feitos por meio do computador.

Sozinho, o não repúdio não torna o negócio definitivo do ponto de vista legal. Se no plano dos negócios reais existe a possibilidade da desistência do contrato e do pagamento de multas pela inadimplência, há toda evidência que também isso poderá ocorrer nas transações online.

O que o não repúdio traz de novo é quase um seguro contra a alegação de que o negócio não foi feito e a certeza que se houver uma disputa judicial a cláusula será uma garantia para as partes. Essa nova figura, afirmará definitivamente a eficácia dos contratos feitos por computador e certamente implementará uma política de apoio aos negócios online.

Entretanto, para que o não repúdio atenda às premissas jurídicas, servindo como instrumento legal, é necessário que se comprove as assinaturas digitais dos participantes no contrato firmado. Simplificando ao máximo as questões técnicas, podemos dizer que essa assinatura é realizada através da chave privada que têm sinergia com a chave pública contida em um certificado digital.

Se o certificado digital for revogado, não importando para essa análise o motivo, o conjunto de chaves, pública e privada, perdem seu valor do ponto de vista operacional, ou seja, essas chaves não mais serão usadas em novos contratos, porém, contratos estabelecidos antes da data de revogação do certificado continuarão valendo e para provar essas assinaturas é necessário que se mantenha um histórico desses certificados como garantia jurídica em contratos antigos.

Esse é o foco de maior impacto no que diz respeito a provas legais para contratos firmados, assim como assinaturas manuscritas são eternas e sua originalidade poderá ser verificada a qualquer momento, as assinaturas digitais precisam de seus respectivos certificados guardados em um local seguro por tempo indeterminado para que possam servir de provas concretas.

Revogação de Certificados

Um certificado digital é considerado não válido por várias razões, sendo estas agrupadas em três conjuntos:

Quando a chave privada que foi utilizada na construção do Certificado for comprometida, ou seja, há indícios de que ela já não é mais segura o suficiente para assinar nenhuma informação;

Quando informações dentro do certificado foram alteradas, por exemplo endereço do criador do certificado, endereço de e-mail etc.

Quando terminar o período de validade do certificado estipulado no momento da criação do mesmo, normalmente um ano.

A Autoridade Certificadora funciona como base material e técnica da confiança da ICP, já que esta gerencia os certificados de chave pública em todo o seu ciclo de vida.

Considerando que um certificado digital é capaz de relacionar a identidade de um usuário ou sistema a uma determinada chave pública aliada a uma assinatura digital, a Autoridade Certificadora será responsável pela emissão de certificado digital, pelo agendamento de sua data de expiração e pela publicação das revogações.

A Autoridade que emitiu o certificado revoga um certificado incluindo-o na Lista de Certificados Revogados e sua integridade é obtida por meio de uma assinatura digital.

É de responsabilidade da Autoridade Certificadora publicar essa lista com freqüência e, eventualmente, poderá fazer novas publicações quando for inserir novos certificados.

Fica claro que, certificados expirados por tempo ou revogados por mudança nos atributos do usuário precisam ser armazenados em um histórico e poderão ser apresentados a qualquer momento como prova legal.

Porém, certificados revogados por suspeita de quebra de confiança na chave são mais delicados, porque envolvem um fator tempo nessa equação, ou seja, do momento que se tem alguma prova, mesmo que subjetiva, que esse certificado ou chave privada foram violados eles precisam ser trocados imediatamente.

Na grande maioria dos casos é muito complicado determinar a partir de que momento tal certificado pode ser considerado inválido, é sempre subjetivo e varia para cada caso e situação.

A determinação desse tempo, seja um dia ou um mês, é que irá servir de base para que contratos firmados durante esse período de "fragilidade" sejam refeitos com novos certificados. Não cabe a Autoridade Certificadora ser intermediadora nesse processo, na verdade ela não sabe onde, quando nem com quem esse certificado foi utilizado, mas cabe aos usuários desses certificados refazerem seus acordos e suas assinaturas.

Conclusão

Esses dois assuntos, histórico de certificados para comprovar assinaturas digitais e revalidação de contratos firmados, com a substituição de assinaturas feitas por chaves comprometidas pelos novos certificados são assuntos abrangentes e requerem uma discussão ampla, pois são elos de validade legal do ponto de vista jurídico, servido de provas em circunstâncias conflitantes.

Autor: Lino Sarlo da Silva

Engenheiro Eletrônico, certificado pela Checkpoint (CCSA e CCSE), SonicWall (CSSA, CSGM). Participou do curso da Nokia (Nokia Security Administrator), seminários de segurança no Brasil e no exterior, estágio dentro de um NOC de segurança da ISS (Internet Security System) nos EUA, integrado com o X-Force. Membro do Institute Of Electrical And Electronics Engineers Inc (IEEE). Autor do livro: Virtual Private Network

• VPN. Aprenda a construir redes privadas virtuais em plataformas Linux e Windows (http://novateceditora.com.br/livros/vpn/). Trabalha na Embratel como Engenheiro de Segurança no serviço Business Security.
  Endereço Eletrônico: <linosarlo (a) ieee org>