Os protocolos de autenticação

– As leis sobre assinatura eletrônica nos EUA

As batalhas em torno da adoção de padrões para autenticação eletrônica, com força de lei, estão atingindo momento decisivo. Um bom retrato deste momento pode ser lido num relatório, elaborado para o Congresso dos EUA pelo serviço de pesquisa de sua famosa Biblioteca, que trata do desenvolvimento tecnológico e de questões legislativas afins.

Este relatório define vários conceitos, apropriando-se do termo "assinatura" para descrever o que, em criptografia, é conhecido como autenticação, isto é, qualquer método de verificação de identidade para fins de controle de acesso a sistemas e autorização de transações eletrônicas. Vários desses métodos, tais como os que se baseiam em senha memorizável (login), em senha portável (PIN) ou em senha intransferível e irrevogável (atributo biométrico) são ali citados como exemplos de "assinatura eletrônica".

O uso de chaves assimétricas é citado como sendo um dos tipos de assinatura eletrônica. Ali chamada de "assinatura digital", seu uso é explicado para prover não-repudiação e verificação de integridade ao documento eletrônico a que se vincula. Como já foi explicado antes, outros mecanismos não podem provê-las, por se basearem em compartilhamento de segredo. Mas esse detalhe é ali desconsiderado.

As qualidades de não-repudiação e verificação de integridade, providas em adição à identificação do assinante pela assinatura de punho, fazem dela o único mecanismo autenticatório aceitável para a espécie jurídica do contrato, na tradição do Direito. O princípio jurídico da analogia, aplicado à evolução tecnológica, deveria exigir essas mesmas qualidades de um mecanismo equivalente, para os contratos no comércio eletrônico.

A acepção ampliada de "assinatura" ignora as propriedades necessárias para prover não-repudiação e integridade à autenticação, que são justamente aquelas que, na esfera virtual, definem a criptografia assimétrica. Qual seria então o real motivo para a Biblioteca do Congresso dos EUA apropriar-se do conceito de assinatura, em sentido dissonante ao princípio da analogia aplicado à sua função contratual, quando a alegada justificativa é a necessidade de sua regulamentação, para promover o comercio eletrônico? Podemos encontrar explicações para esta transfiguração semântica do conceito nas entrelinhas. Não só nas desse relatório, mas também nas dos argumentos de certas empresas interessadas neste processo legislativo.

A criptografia assimétrica é complexa. Para simplificar e desburocratizar o mundo virtual, optaríamos por ignorar o fato de que o compartilhamento do segredo que nos identifica perante um "sistema de computador" com ele mesmo nos traz riscos. Esta simplificação equipara quaisquer mecanismos de "assinatura eletrônica" e torna a não-repudiação e a verificação de integridade, para fins de resolução de conflitos entre partes contratantes, mero e insignificante detalhe. Afinal, dizem as entrelinhas, computadores não erram nem têm intenções ocultas (programadores, quem sabe). E, se a industria de software conseguiu amealhar a maior riqueza que a humanidade já viu, certamente é porque só poderá trazer-lhe benefícios.

Nos EUA, a jurisprudência para regulamentação do comércio é estadual. No momento, 36 dos 50 estados aprovaram ou discutem a aprovação de 76 leis sobre assinatura eletrônica. Tais leis se enquadram em 3 modelos. Há o modelo "prescritivo", como o da lei de Utah, que regula o uso de assinaturas digitais e o funcionamento de PKIs. Há o modelo "de critérios", como o da Califórnia, que estabelece parâmetros de funcionalidade e confiabilidade para o reconhecimento legal de mecanismos eletrônicos autenticatórios. E há finalmente o modelo "de outorga", como o de Massachussets, que não aborda critérios ou mecanismos, mas delega às partes envolvidas o poder de decidir qual mecanismo pode substituir eletronicamente a assinatura de punho. Das 76 leis, apenas 36 em 20 estados mencionam chaves assimétricas e PKIs.

Duas leis federais foram recentemente aprovadas nos EUA. O Digital Millennium Commerce Act e o e-Sign, que se sobrepõem às leis estaduais até que os estados uniformizem suas leis sobre autenticação eletrônica. Ambas seguem o modelo de outorga, sob o argumento de que o modelo prescritivo e o de critérios "engessam a tecnologia", e de que as forças do mercado melhor poderão escolher a tecnologia "mais adequada" para autenticação eletrônica.

É como se as leis de trânsito estivessem engessando o desenvolvimento de navios, submarinos e aviões, por não permitir seu tráfego pelas ruas, ou as leis que regulam venda e porte de armas engessando o desenvolvimento de morteiros, granadas e bazucas, por não permitir sua livre comercialização, ou as leis para o comércio de medicamentos engessando o progresso da medicina, por não permitir a venda de qualquer substância nas farmácias e supermercados.

A gritaria contra o "engessamento" da tecnologia autenticatória por parte dos lobistas do modelo de outorga, que parecem nada entender de tecnologia, ocorre coincidentemente próximo à expiração da validade da patente do RSA nos EUA, que em 20/9/00 passará a ser de uso livre.

Um mercado que, através da competição, seleciona seus melhores produtos, é chamado pela teoria econômica de perfeito. Mas ninguém parece se lembrar, na discussão em torno das "assinaturas", das imperfeições de um mercado onde medem forças uma indústria monopolizante e usuários de seus produtos e serviços cuja necessidade, ela mesma, está tão empenhada e apta a criar.

É a "tecnologia globalitária", cuja liberdade pretende-se, com uma presumida aura de sacralidade, mais importante que a do homem. O homem é um animal produtor de símbolos, ou seria o contrário? Nossos legisladores precisam ater-se à importância dessas questões, no processo decisório que dirige o mergulho de nossa sociedade nesta globalização virtualizante. Como também dele prestar contas.