UMA NOVA REALIDADE PARA A DOCUMENTAÇÃO NAS EMPRESAS
Aliando-se aos novos progressos na área de segurança na
internet – a certificação digital e a tecnologia GED
(gerenciamento eletrônico de documentos), surgem novos
procedimentos que vieram para facilitar a vida das empresas.
A Medida Provisória 2200, de junho de 2001, reeditada em 2002
com força de lei, garante autenticidade, integridade e
validade jurídica a documentos eletrônicos – públicos ou
particulares, que utilizem Certificados Digitais. Mas o que
são os certificados digitais?
A MP2200 criou a chamada Infraestrutura de Chaves Públicas
Brasileira – ICP Brasil (http://www.icpbrasil.org.br),
vinculado ao ITI (Instituto Nacional de Tecnologia da
Informação) .
A ICP Brasil é composta por um comitê gestor vinculado a Casa
Civil da Presidência da República e por uma cadeia de
autoridades de certificação compostas de: Autoridade
Certificadora Raiz (ACRaiz), Autoridades Certificadoras (AC) e
Autoridades de Registro (AR). Dentre as tarefas atribuídas ao
comitê gestor estão o licenciamento das AC e AR, homologação,
auditoria e fiscalização em toda a estrutura. Hoje já temos
como Autoridades Certificadoras: SERPRO, Certisign, Serasa e
Caixa Econômica dentre outras.
A tecnologia de segurança digital empregada pela ICP Brasil é
chamada de certificação digital e utiliza o princípio das
chaves criptográficas assimétricas e dos certificados
digitais.
Trata-se de atender aos requisitos mínimos de segurança em um
meio cada vez mais inseguro, que é a internet. Estes
requisitos de segurança são: sigilo, integridade,
autenticidade e não-repudio. Todos estes requisitos são
atendidos com o uso desta tecnologia.
Em poucas palavras: a criptografia é uma técnica de
“embaralhamento” da mensagem de modo a torna-la ilegível a uma
possível interceptação, ou quebra de sigilo. Uma chave fornece
o meio de acesso a esta mensagem.
As chaves assimétricas são constituídas por duas chaves
matematicamente relacionadas: uma privativa, de caráter
secreto e guardado em dispositivo de segurança - token ou
smart card, sob senha, e outra pública, que é distribuída
livremente.
O que a chave pública cifra (criptografa) somente a chave
privativa decifra, ou vice-versa.
A tecnologia empregada associa a chave pública a um arquivo de
identificação do possuidor e a este conjunto é dado o nome de
certificado digital, que se torna um tipo de passaporte
digital, contendo diversas informações de seu possuidor (nome,
validade, autoridade certificadora, etc). Logo, quem possuir
este certificado instalado em seu computador terá as
informações de seu possuidor, identificando-o na internet.
Através de programas simples, que são os assinadores digitais,
pode-se executar basicamente quatro funções: criptografar/decriptografar,
assinar digitalmente (autenticar)/reconhecer assinatura.
Função de criptografar/decriptografar: pode-se enviar
um documento de A para B criptografado, o que garante que só B
poderá ter acesso a este documento.
O documento é criptografado com a chave pública de B (enviado
previamente) e enviado a B. Ao chegar a B, o documento somente
conseguirá ser acessado mediante a chave privativa de B,
armazenada em um dispositivo token ou smart card.
Função autenticar/reconhecer assinatura: ao enviar um
documento de A para B, utiliza-se a função autenticação
(assinar digitalmente) para usar a chave privativa de A para
enviar o documento. Ao chegar a B, o mesmo poderá usar a
função reconhecer assinatura e visualizar o documento, uma vez
que já possui a chave pública de A.
É importante esclarecer que o documento, depois de assinado,
não permite mais ser alterado, garantindo sua inviolabilidade.
As funções de criptografia e autenticação utilizam o protocolo
RSA, considerado o mais seguro da atualidade, utilizando
chaves de 1024 e de 2048 bits. O par de chaves, privativa e
pública, juntamente com as informações de seu possuidor, é
gerado diretamente no dispositivo acoplado ao computador para
esta tarefa, que possui um processador criptográfico interno.
Também, por ocasião da geração do par de chaves, é inserido
pela Autoridade Certificadora, o arquivo padrão X509 v. 3, que
conterá as informações do possuidor.
Na realidade, para garantir-se a integridade do documento, é
utilizada uma técnica de hash ou impressão digital, que reduz
todo o conteúdo do documento, de tamanho variável, a um resumo
de tamanho fixo de 128 ou 160 bits (o algoritmo público de
hash já se encontra no sistema). Esta técnica permite
produzir, em um só sentido, uma seqüência de bits associada ao
documento. Qualquer alteração no documento, por menor que
seja, produzirá um hash completamente diferente do original.
Este hash é calculado na origem e verificado no destino, de
modo a garantir-se a integridade do documento entre A e B.
Temos então que:
a) Integridade - garantido pelo algoritmo de hash.
b) Sigilo - garantido pelo algoritmo de criptografia
RSA.
c) Autenticidade - garantida pelo certificado digital,
que identifica seu possuidor.
d) Irretratabilidade - ou não-repúdio, uma vez assinado
digitalmente o documento, identifica-se o seu possuidor, uma
vez que só ele possui acesso a sua senha e a sua chave
privativa.
Caso ocorra perda do smart card ou token, a ICP Brasil
disponibiliza um telefone ou e-mail para comunicação do fato e
a imediata revogação do Certificado. A LCR (Lista de
Certificados Revogados) encontra-se disponível para download
no site.
Desta maneira, com os requisitos de segurança atendidos, a
validade jurídica entre documentos na internet é garantida por
lei. O exemplo vem do próprio governo, que desde a publicação
da MP220 vem fazendo uso da certificação digital. O próprio
presidente Fernando Henrique Cardoso passou a assinar
digitalmente as leis e toda a documentação na esfera de
governo federal tem circulado utilizando-se a certificação
digital.
Foi obtida uma expressiva redução nos gastos, além dos ganhos
com agilidade e segurança, em dois cases interessantes:
Imprensa Nacional – após a adoção da tecnologia, houve
transferência de 253 servidores para outras áreas do governo e
gerou uma economia de R$800 mil em serviços. Imprensa Oficial
de S. Paulo: com adoção da certificação digital colocou todo o
conteúdo de Imprensa na internet, cobrando R$2,00 por
documento acessado. Obteve uma grande redução na utilização de
papel e em outros serviços correlatos.
O 8o. Oficio, em Minas Gerais, possui uma experiência pioneira
e já está utilizando há mais de um ano a certificação digital,
com diversos cases interessantes. Um dos mais interessantes é
o de uma locadora de veículos que comercializa em média 1. 200
carros/mês. Gastava com a documentação destes carros cerca de
R$ 108 mil/ano. A empresa passou a utilizar a certificação
digital e está gastando, em média, R$ 80/ano com toda a
documentação.
Na realidade, a certificação digital aliada às técnicas de
redução de papel nas empresas vieram para ficar.
O grande acúmulo de papel nas empresas é um fato - guarda-se
papel em demasia por diversos motivos: falta de visão geral,
tudo é guardado sem muito critério, o que é importante nem
sempre é guardado e nunca se encontra o que é preciso. Na área
de RH, por exemplo, a penalidade é alta, às vezes com
processos trabalhistas pesados.
Tudo isto poderia ser evitado com a adoção de um sistema de
GED – gerenciamento eletrônico de documentos. GED, que é um
termo novo, não é apenas a disponibilização dos documentos da
empresa digitalizados na rede. Na realidade compreende um
conjunto de tecnologias que vieram para simplificar a vida das
empresas, trazendo:
-
agilidade – disponibilização imediata dos documentos da
empresa na rede local de computadores.
-
recuperação da empresa, após desastre (World Trade Center,
set/2001).
-
Redução do custo com cópias.
-
Eliminação de fraudes.
-
Melhoria no processo de tomada de decisões.
-
Proteção contra processos.
-
Economia de espaço físico.
Com a certificação digital e as técnicas de GED consegue-se
aliar todas estas vantagens com a garantia de segurança,
integridade e autenticidade e não-repúdio, eliminando a
possibilidade de fraudes. O documento digital, uma vez
assinado, não mais poderá se editado, ou alterado. |
