Resumo: A vulnerabilidade nas Comunicações eletrônicas

...

de identidade virtual, pode-se

concluir que é possível um usuário ter mais de uma identidade virtual. Porém, o

processo tecnológico tem alterado significativamente o ambiente de utilização das

identidades virtuais, aumentando os níveis a serem considerados em termos de

segurança. Por exemplo, uma identidade virtual deverá garantir a identificação quanto

ao indivíduo, confiança mútua e sanção aos infratores, proteção da reputação e das

liberdades do indivíduo, privacidade e outras prerrogativas.

As tecnologias utilizadas para confirmar tais garantias não permitem mais de

uma identidade virtual por usuário, é o caso do cartão do cidadão, que garante a

identificação e a autenticação dos cidadãos nas transações eletrônicas através de um

chip de contato, que contém certificados digitais. O cartão do cidadão tem formato de

smart card e substitui os bilhetes de identidade, cartão de contribuinte, cartão de

beneficiário da segurança social, e cartão de utente do serviço nacional de saúde.

Portanto, demonstra-se que o cartão de cidadão, sendo único, impede que exista mais de

uma identidade virtual para cada utilizador.

O cartão do cidadão permite aos seus utilizadores o uso de duas funcionalidades

distintas, a autenticação e a assinatura digital. Isso se dá através de dois tipos diferentes

de certificados nele contido: o Certificado de Autenticação e o Certificado Qualificado

para Assinaturas Digitais, tendo este como objetivo a criação de assinaturas digitais

qualificadas.

O Regime Jurídico do Documento Eletrônico e da Assinatura Digital, Decreto-

Lei nº 62/2003, de 3 de Abril, em seu artigo 3º, atribui força probatória plena aos

documentos eletrônicos com assinaturas digitais qualificadas certificadas por entidade

certificadora credenciada. Portanto, conclui-se que, além da identificação virtual

individual do cidadão perante diversos serviços eletrônicos, o cartão do cidadão também

poderá oferecer uma identificação virtual corporativa, de funcionário perante uma

entidade contratante.

3 ASSINATURA DIGITAL

A assinatura digital é uma assinatura eletrônica baseada num sistema

criptográfico assimétrico, composto por um algoritmo ou uma série de algoritmos.

Através deste método é gerado um par de chaves assimétricas exclusivas e

interdependentes, sendo uma delas pública e outra privada. Este sistema permite ao

titular utilizar a chave privada para declarar a autoria do documento eletrônico a qual a

assinatura é aposta e sua concordância com o conteúdo. Enquanto ao destinatário da

assinatura eletrônica, permite utilizar a chave pública para verificar se a assinatura foi

criada mediante o uso da correspondente chave privada e se o documento foi alterado

depois de aposta a assinatura.

Uma assinatura digital tem como objetivo replicar as mesmas garantias

conferidas à assinatura manuscrita, porém, de modo eletrônico. Ou seja, a assinatura

digital deverá ter as seguintes propriedades: autenticidade, integridade, não ser

falsificável, não ser reutilizável e não ser repudiável.

A autenticidade convence o receptor de que o destinatário explicitamente

assinou o documento e que conhecia e concordava com seu conteúdo, por ser o seu

autor. A integridade garante que o documento permanece inalterado desde que aposta a

assinatura. Não ser falsificável prova que foi o autor, e não outra pessoa, que assinou o

documento. Não ser reutilizável quer dizer que a assinatura serve somente para aquele

documento em que foi anexa, que não se pode transpor para outro documento. O não

repudio garante que o signatário não poderá, à posteriori, negar que assinou o

documento.

Analisando as propriedades da assinatura digital, observa-se que não poderá ser

considerada válida uma assinatura digital impressa ou fotocopiada de um documento

eletrônico. Além de não satisfazer as propriedades supracitadas, não poderá ser

confirmada uma assinatura digital em papel por não ser possível a verificação do seu

certificado e da cadeia de certificados à ela relacionados.

Para entender como funciona uma cadeia de certificados, deve-se evidenciar

primeiramente o conceito de certificado, que é um documento eletrônico que liga os

dados de verificação da assinatura ao seu titular e confirma a identidade desse titular.

Quer dizer, delega-se a um agente de confiança (Entidade Certificadora) a

responsabilidade de associar as chaves públicas às identidades dos seus utilizadores.

Para garantir esta utilização, é utilizado um mecanismo de Public Key Infrastructure

(PKI), que tem por objetivo a gestão segura e eficiente de chaves e certificados.

Exemplificando: