Fonte: ABES – Associação Brasileira das Empresas de Software
Por: Paulo Milliet Roque, vice-presidente da ABES
Está previsto para este mês o início da disponibilização do DNI (Documento Nacional de Identidade), uma identidade digital válida em todo o território brasileiro cuja proposta é unificar documentos como RG, CPF e título de eleitor. A identificação poderá ser obtida em um processo que inclui registro no aplicativo gratuito “DNI” nas plataformas Android e iOS e identificação biométrica em postos de atendimento do TRE (Tribunal Regional Eleitoral). Com todas as validações concluídas, será possível carregá-lo na memória de um celular ou tablet, dispensando a apresentação de registros de papel.
A iniciativa demonstra o quanto o Brasil tem avançado no campo de certificações digitais e indica um possível caminho de menor burocracia e eficiência aliada à tecnologia. Por outro lado, o novo documento não escapou de críticas, sendo as principais aquelas que levantam dúvidas sobre a privacidade das informações e os custos embutidos no sistema. As duas impressões possuem sua coerência, mas devem ser analisadas com atenção.
O DNI terá vários aspectos de segurança para evitar fraude. O documento é protegido por senha, não sendo possível gravá-la no aplicativo. Também não há vinculação com o chip do celular, e as informações não ficam na memória do aparelho (é necessária conexão com a Internet). Também haverá uma marca d’água ao lado e embaixo da fotografia, mutável a cada acesso ao aplicativo, o que permitirá conferir data e hora em que o documento foi aberto. Essa medida procura evitar que “prints” de tela de terceiros sejam usados como fraude à identificação. No caso de extravio do celular, o cidadão pode pedir a desvinculação do documento e solicitar a habilitação em outro celular no ponto de atendimento.
O DNI identifica o cidadão para outros humanos, mas não assina documentos. Para assinar documentos com valor legal, o cidadão precisa de um certificado digital (tipo e-CPF) que também pode ser instalado no celular. São propostas complementares.
Este certificado digital possui uma chave privada que identifica o cidadão para fins de acesso a serviços do governo e assinatura de documentos. O processo de acesso e a portais assinatura digital de documentos é criptografado. Esses documentos na sua forma nativa não são legíveis para os humanos, pois tudo está criptografado. Para isso é preciso utilizar um software leitor/assinador do documento que mostre as assinaturas, como o Adobe Reader, ou um portal de assinaturas.
Desde a implantação do sistema de certificados digitais brasileiros (ICP-Brasil) no ano de 2001, em nosso país não há registro de roubo de chaves privadas de certificados, a exemplo do que já aconteceu em países europeus e nos Estados Unidos. Isso se deve à alta rigidez tecnológica imposta pelo governo. Com a preocupação de sempre estar um passo a frente e preparado para a evolução dos hackers, já alteramos em 2012 nosso padrão de criptografia de 1024 para 2048 bits e hoje utilizamos técnicas avançadas como a marcação georreferenciada (que utiliza um GPS para emitir certificados, no intuito de combater fraudes) no processo de identificação do titular do Certificado Digital.
Os equipamentos dos certificados digitais (cartões, tokens, leitoras, etc…) brasileiros são certificados pelo Inmetro, com regras rígidas. Os sistemas envolvidos na emissão e uso são homologados pelo ITI Instituto Nacional da Tecnologia da Informação (ligado à Casa Civil). Tamanha preocupação com segurança muitas vezes se reflete em custos (sobretudo porque também são necessárias as caras validações presenciais, antes da emissão de um documento digital), que são fundamentais para tornar esses registros confiáveis.
A medida que a desmaterialização cresce, as certificações digitais e identidades digitais passam a ter uma importância fundamental.