Bruxelas anunciou
recentemente planos para a adopção a nível da união de
identidades electrónicas e “serviços de certificação”. O
objectivo é, segundo a comissão, criar regulação que aumente a
confiança e conveniência dos utilizadores no mundo digital e
aumentar a oferta de transacções electrónicas entre os estados
membros.
O tipo de tecnologias
utilizadas para este projecto não foram ainda especificadas mas
muito provavelmente o espectro de uma “infraestrutura de chaves
públicas” (Public Key Infrastructure, PKI) está de volta. Neste
cenário utiliza-se um esquema de “chaves” criptográficas em que
cada utilizador possui uma chave pública e uma privada. A privada,
que naturalmente deve ser sempre secreta, produz uma assinatura
(através de uma operação matemática) que pode depois ser
verificada pela chave pública livremente acessível. Todo este
esquema é suportado por CAs (Certificate Authorities) que têm a
função de agir como terceiros de confiança e garantir a identidade
de cada participante. Um esquema destes já está implementado de
forma limitada quando por exemplo fazemos compras na Internet. Aqui,
os comerciantes utilizam uma chave pública para cifrar as
transmissões entre o cliente e o comerciante e para se identificar.
Estas chaves costumam ser certificadas por uma série de CAs que
através de outra operação matemática “assinam” as chaves em
questão para verificar a identidade do vendedor. O cliente neste
caso não se identifica deste forma perante o vendedor, o uso de
cartão de crédito é a sua única forma de identificação. Para
quem utiliza o Firefox basta clicar no ícone à esquerda do endereço
para verificar a identidade do comerciante em questão (isto se o
comerciante se ter ao trabalho de usar este tipo de técnicas o que é
o caso quase todos os grandes, creio eu) e a CA emissora.
Até aqui tudo bem. O
problema destes esquemas é que como sempre só são tão seguros
como o elemento mais fraco na cadeia e que costuma ser a interacção
humana. A componente matemática pode até ser virtualmente perfeita
mas nada impede que um utilizador incompetente faça asneira e
comprometa a sua identidade electrónica e pior ainda nada nos
garante que as autoridades de certificações são minimamente
seguras (uma pesquisa sobre os fiascos das CA produz resultados muito
interessantes) ou de confiança, pois ninguém vigia os vigilantes (o
governo de certo que não é capaz de o fazer). O resultado é que na
prática as nossas comunicações não são verdadeiramente seguras,
sendo que na verdade o que nos protege não é a magia do HTTPS mas o
facto dos cartões de crédito terem amplas protecções legais
contra a fraude que tendencialmente favorecem o consumidor em caso de
operações fraudulentas (o que implica que olhemos para os nossos
extractos com alguma atenção).
A comissão parece querer
agora alargar estes esquemas ao cidadãos o que talvez passe por
facultar uma identidade eletrónica a cada individuo com o dúbio
propósito de melhorar a oferta de serviços dentro da união.
Pergunto-me que melhor oferta será essa quando por um lado o
comércio electrónico já floresce há vários anos sem dar grandes
sinais de abrandar como se existe entrave a este tipo de serviços é
a falta de um verdadeiro mercado único de serviços que impeça a
segregação do mercado por parte de entidades a quem isso convém.
Não se trata de uma suposta lacuna de segurança. Aliás, o que este
esquema provavelmente implicará são custos gigantescos de
implementação (convenientemente obscura) para além dos outros
custos consequentes da falha do sistema, que acreditem falhará de
certeza como todos os sistemas. De certeza que teremos de seguida um
mercado negro para este tipo de identidades e para as bases de dados
supostamente seguras que o governo mantinha. O estado ficará feliz
agora que tem acesso a ainda mais informação sobre os seus
cidadãos, os criminosos terão novas ferramentas ao seus dispor para
falsificarem a sua identidade e as empresas que vendem estas
tecnologias farão uma série de bons negócios. O cidadão comum
como de costume terá um bocadinho menos de liberdade, mais
inconvenientes e de certo menos segurança. Quanto mais reduzirmos a
identidade de uma pessoa a números mais facilmente ela será
duplicada e defraudada mas infelizmente o nossos governos parecem
continuar interessados em reunir toda a informação que puderem
sobre tudo e mais alguma coisa ao mesmo tempo que nos garantem que os
nossos dados estão seguros. Não estão.
Um artigo algo antigo mas
ainda pertinente: http://www.schneier.com/paper-pki.pdf
A Comissão parece estar a fazer tudo para tornar mais fácil o roubo da nossa identidade electrónica...
ResponderEliminar