segunda-feira, 21 de maio de 2012

Identidade Electrónica


Bruxelas anunciou recentemente planos para a adopção a nível da união de identidades electrónicas e “serviços de certificação”. O objectivo é, segundo a comissão, criar regulação que aumente a confiança e conveniência dos utilizadores no mundo digital e aumentar a oferta de transacções electrónicas entre os estados membros.
O tipo de tecnologias utilizadas para este projecto não foram ainda especificadas mas muito provavelmente o espectro de uma “infraestrutura de chaves públicas” (Public Key Infrastructure, PKI) está de volta. Neste cenário utiliza-se um esquema de “chaves” criptográficas em que cada utilizador possui uma chave pública e uma privada. A privada, que naturalmente deve ser sempre secreta, produz uma assinatura (através de uma operação matemática) que pode depois ser verificada pela chave pública livremente acessível. Todo este esquema é suportado por CAs (Certificate Authorities) que têm a função de agir como terceiros de confiança e garantir a identidade de cada participante. Um esquema destes já está implementado de forma limitada quando por exemplo fazemos compras na Internet. Aqui, os comerciantes utilizam uma chave pública para cifrar as transmissões entre o cliente e o comerciante e para se identificar. Estas chaves costumam ser certificadas por uma série de CAs que através de outra operação matemática “assinam” as chaves em questão para verificar a identidade do vendedor. O cliente neste caso não se identifica deste forma perante o vendedor, o uso de cartão de crédito é a sua única forma de identificação. Para quem utiliza o Firefox basta clicar no ícone à esquerda do endereço para verificar a identidade do comerciante em questão (isto se o comerciante se ter ao trabalho de usar este tipo de técnicas o que é o caso quase todos os grandes, creio eu) e a CA emissora.
Até aqui tudo bem. O problema destes esquemas é que como sempre só são tão seguros como o elemento mais fraco na cadeia e que costuma ser a interacção humana. A componente matemática pode até ser virtualmente perfeita mas nada impede que um utilizador incompetente faça asneira e comprometa a sua identidade electrónica e pior ainda nada nos garante que as autoridades de certificações são minimamente seguras (uma pesquisa sobre os fiascos das CA produz resultados muito interessantes) ou de confiança, pois ninguém vigia os vigilantes (o governo de certo que não é capaz de o fazer). O resultado é que na prática as nossas comunicações não são verdadeiramente seguras, sendo que na verdade o que nos protege não é a magia do HTTPS mas o facto dos cartões de crédito terem amplas protecções legais contra a fraude que tendencialmente favorecem o consumidor em caso de operações fraudulentas (o que implica que olhemos para os nossos extractos com alguma atenção).
A comissão parece querer agora alargar estes esquemas ao cidadãos o que talvez passe por facultar uma identidade eletrónica a cada individuo com o dúbio propósito de melhorar a oferta de serviços dentro da união. Pergunto-me que melhor oferta será essa quando por um lado o comércio electrónico já floresce há vários anos sem dar grandes sinais de abrandar como se existe entrave a este tipo de serviços é a falta de um verdadeiro mercado único de serviços que impeça a segregação do mercado por parte de entidades a quem isso convém. Não se trata de uma suposta lacuna de segurança. Aliás, o que este esquema provavelmente implicará são custos gigantescos de implementação (convenientemente obscura) para além dos outros custos consequentes da falha do sistema, que acreditem falhará de certeza como todos os sistemas. De certeza que teremos de seguida um mercado negro para este tipo de identidades e para as bases de dados supostamente seguras que o governo mantinha. O estado ficará feliz agora que tem acesso a ainda mais informação sobre os seus cidadãos, os criminosos terão novas ferramentas ao seus dispor para falsificarem a sua identidade e as empresas que vendem estas tecnologias farão uma série de bons negócios. O cidadão comum como de costume terá um bocadinho menos de liberdade, mais inconvenientes e de certo menos segurança. Quanto mais reduzirmos a identidade de uma pessoa a números mais facilmente ela será duplicada e defraudada mas infelizmente o nossos governos parecem continuar interessados em reunir toda a informação que puderem sobre tudo e mais alguma coisa ao mesmo tempo que nos garantem que os nossos dados estão seguros. Não estão.




Um artigo algo antigo mas ainda pertinente: http://www.schneier.com/paper-pki.pdf

1 comentário:

  1. A Comissão parece estar a fazer tudo para tornar mais fácil o roubo da nossa identidade electrónica...

    ResponderEliminar