Ricardo Theil: certificação digital é “mais ou menos como uma senha”.
A Casa da Moeda assina digitalmente o novo passaporte brasileiro.
Há alguns anos, o crime organizado assaltava agências de bancos. Podia-se dizer, até, que havia uma moda claramente seguida pelos criminosos. Caiu muito. O assalto a banco deu lugar a seqüestros. E agora parece ter chegado a hora do crime digital. É natural: se o dinheiro, a riqueza e a felicidade caminham para a rede e se transformam em dados, o crime corre atrás. É preciso contra-atacar, e a arma é a autenticação.
Autenticação é um meio de se apresentar em um ambiente e conseguir reconhecimento por alguém ou alguma entidade. Você conhece bem isso: é a senha que se digita para ser aceito por um provedor, para fazer valer sua conta de banco, para pagar uma compra com cartão ou para verificar seu e-mail. É fácil roubar uma senha? É. Estimativas de entidades certificadoras apontam para perdas mundiais de US$ 70 bilhões – bilhões de dólares – por ano devidas a identidades fraudadas. Eis a razão pela qual se estabeleceu a certificação digital.
A certificação é mais ou menos como uma senha, só que muito mais sofisticada. Na internet, na verdade, não há nenhum meio para garantir que você é você, como explica Ricardo Theil, CIO da Cetta Technologies no Brasil, especializada em certificação digitl e análise forense de dados. A partir desse princípio simples, chegou-se a um esquema considerado seguro. Esse esquema baseia-se em quatro necessidades: disponibilidade (informação sempre pronta), integridade (fiel ao teor original, sem alterações), autenticidade (autoria, origem e destino) e confidencialidade (proteção de ações indevidas de terceiros).
Duas chaves – Um certificado digital é seguro porque depende de duas chaves de códigos. O sistema, nas mãos de uma terceira parte confiável – uma autoridade certificadora – gera esse par de chaves, uma pública, outra privada, e armazena a chave privada. A seguir, gera um arquivo criptografado, isto é, ininteligível para quem não souber decifrá-lo. É esse arquivo que se envia à outra parte – que pode ser um banco, por exemplo. O destinatário, que tem uma chave privada igual à original, pode abrir o arquivo e ler normalmente as informações. Cada transação, isto é, troca de informações tem uma assinatura. Se qualquer parte da informação foi alterada no caminho, o sistema avisa, e a partir daí já se sabe que alguma coisa ou alguém (programa ou pessoa) interferiu na informação e ela já não é confiável. A transação se desfaz automaticamente.
Quando a assinatura é de fato certificada, pode-se ter certeza de que o documento – contratos, cheques, transferências – foi chancelado por aquela pessoa ou entidade. Não há necessidade de presença física nem trânsito de papéis, sem falar no armazenamento de documentos. É extremamente prático para processos judiciais, processos internos e externos, instituições financeiras, empresas públicas e privadas. Um advogado, por exemplo, pode fazer petições pela internet: o juiz saberá exatamente quem a fez. O novo passaporte brasileiro é assinado digitalmente pela Casa da Moeda.
O modelo brasileiro é calcado no que foi desenvolvido na Europa por volta de 1977 e que se difundiu por países das Américas do Norte, Central e do Sul, além da Ásia. Como em informatização tributária e eleitoral, o Brasil desenvolveu-se até mais do que os países de origem e, hoje, é referência em certificação digital. Tem excelência mas não tem volume. Os 700 mil certificados emitidos até agora no País significam muito pouco. Na Ásia, por exemplo, já existem 12 milhões de identidades digitais. Países como Taiwan e Tailândia estão entre os mais avançados da região. Na Europa, a Bélgica tem 11 milhões de cartões de identidade com chip, além de um smart card que o usuário utiliza até para apresentar declaração de imposto de renda.
Ricardo Theil acredita que esse número brasileiro (700 mil) dobre nos próximos 12 meses para algo em torno de 1,5 milhão. Já as empresas exportadoras poderão se valer da certificação da Siscomex em maior número. Projeta-se 18 milhões a 20 milhões de transações no curto prazo.
Cartões – Essas soluções ensejam produtos particulares. É o caso da Inteligensa, que tem um pacote – DisplayCard e AudioCard – para instituições financeiras. O sistema AudioCard é baseado em um cartão que emite uma senha dinâmica por meio de som quando acionado diretamente no cartão do usuário. Ou, no caso do DisplayCard, uma senha de 6 ou 8 dígitos diretamente no cartão.
“A segurança forte – explica Filipe Mello, da Inteligensa – está baseada no fato do usuário possuir pelo menos dois dos três fatores: algo que você tem (um cartão ou um token OTP), algo que você sabe (seu PIN) e/ou algo que você é (biometria digital, íris, palma de mão). Desta forma seria ainda melhor que o fator relativo ao que você tem pudesse gerar algo dinâmico como senhas, sempre diferentes e válidas apenas para uma transação. Este é o conceito de One Time Password (OTP).
Diferentemente do conceito de senhas estáticas tradicionais, as senhas dinâmicas (OTP), são geradas de forma automática, dinâmica e randômica, por algum dispositivo portátil e pessoal, e são imprescindíveis para a realização de transações seguras.
Já a Gemalto apresenta uma solução inovadora, que teve a participação da Serasa, para unir certificação digital à tecnologia GSM de aparelhos celulares. Participaram do projeto a M4U, desenvolvedora da aplicação, e a operadora Claro. Ao realizar uma operação eletrônica em internet banking, por exemplo uma Transferencia Eletrônica Disponível (TED), o correntista recebe uma mensagem de SMS (Short Message Service) em seu telefone GSM. Ao ser informado desta transação e dos dados, o correntista pode autorizar assinando digitalmente a transação com o certificado digital que está armazenado no chip de seu celular.