Criptografia, RFID e banda larga. Todas
serão tecnologias necessárias ao uso do cartão que servirá de suporte à
nova identidade dos brasileiros.
O novo Registro de Identidade Civil (RIC), documento lançado no fim do
governo Lula e que começa a vigorar este ano, gradativamente substituirá
as atuais cédulas do RG. Com investimentos de cerca de R$ 90 milhões
custeados pelo Ministério da Justiça, os primeiros cartões serão expedidos
em 2011 pela Casa da Moeda do Brasil. Mas como serão eles? Que tecnologias
usará além do chip contendo informações como gênero, nacionalidade, data
de nascimento, foto, filiação, naturalidade, assinatura, órgão emissor,
local de expedição, data de expedição e data de validade do cartão, e
informações referentes a outros documentos, como título de eleitor, CPF,
etc?
As normas do Registro de Identidade Civil (RIC) publicadas no Diário
Oficial em 2010 determinam que cartão deverá ser feito de policarbonato
(um plástico altamente resistente) e terá um certificado digital. Além
disso, terá dois chips. Um servirá para aplicações que exijam contato, ou
seja, a inserção do RIC em máquinas de leitura - catracas, ATMs, etc. E o
outro será equipado com padrão RFID, para leitura de dados por
radiofrequência, apenas por aproximação, como fazem algumas chaves de
carros mais modernos. Outra exigência do Ministério da Justiça,
coordenador do projeto, é a de que tanto o cartão como os chips durem ao
menos dez anos.
A biometria é gravada numa camada interna do cartão, queimada a laser. E
os chips trazem recursos de autodestruição das trilhas, no caso de
tentativa de clonagem ou invasão. Isso é importante, porque a chave
privada do certifi cado digital da pessoa estará dentro do chip. “Se
alguém tentar tirá-la de lá, o processador tem uma resistência que apaga
os dados”, diz Martini. "O cartão, essa chapinha minúscula, é um
computador. Tem memória, sistema de arquivo, processador, um
criptoprocessador e um sistema de gravar arquivo, para gerar o par de
chaves com números complexos."
Os certificados digitais brasileiros usam assinaturas digitais
assimétricas, baseadas nesse par de chaves. Uma chave (na verdade, uma
combinação numérica) é pública e circula entre as instituições com as
quais o cidadão se relaciona; a outra é privada, e só a pessoa tem. A
conferência da assinatura acontece porque a sua chave pública só combina
com o seu par privado. E o nível de segurança depende do tamanho da chave.
De acordo com Martini, atualmente, chaves de 1.024 bits exigem tanto poder
e tempo computacional para serem quebradas que são consideradas ideais em
termos de segurança. E aquelas de 2.048 bits são virtualmente
inquebráveis.
As chaves criptográficas de 512 bits, contudo, já não são recomendadas,
devido ao avanço do poder de processamento das máquinas. Mesmo assim,
seria preciso um cluster com dez computadores trabalhando
ininterruptamente por cinco meses, para quebrá-la. “Assim, para compensar
movimentar um custo computacional monumental como esse, é preciso ter
muita coisa em jogo - segredos industriais de milhões de dólares, por
exemplo. Ou seja, muito improvável”, analisa Martini.
O fato é que, com o tempo, a computação ganha poder e os algoritmos
precisam ganhar maior complexidade. O presidente do ITI lembra que os
cartões têm vida útil de dez anos, e também precisarão ser renovados
periodicamente. Uma das intenções, diz, é propor estender a validade das
certificações para cinco anos (atualmente, são três, como em Portugal),
entre outros motivos, por conta do tamanho do País e da sua população. Ou,
completa Paulo Airan, do Ministério da Justiça, alterar as normas que só
permitem renová-las uma vez, para que isso possa ser feito repetidas
vezes.
O fator humano
O ITI é responsável pela auditoria nas empresas que vendem certificações
digitais. Esse processo cobre “um conjunto exaustivo de temas”, segundo
Martini, mas “com muito mais foco no fator humano do que no tecnológico”.
“É nas pessoas”, diz ele, “que está o maior risco de fraude”. Tokens,
leitores e outros dispositivos têm hoje muita qualidade. O perigo está na
hora da autenticação ao vivo, na presença da pessoa, na coleta dos dados -
“se o agente de registro é confiável ou se pode ser corrompido”.
Atualmente, as auditorias são anuais nas nove certificadoras de primeiro
nível (chamadas AC), que atuam no Brasil. Isso significa que elas têm o
encargo de autoridade certificadora, com sala-cofre, pessoal
especializado, e podem credenciar e auditar as certificadoras de segundo
nível, que atuam no varejo. Como resultado das auditorias, é publicada
mensalmente ou semanalmente a LCR, Lista de Certificados Revogados.
Banda larga, sempre ela
Outra necessidade técnica do projeto RIC será a comunicação de dados. Cada
vez que for preciso consultar a base de imagens de impressões digitais,
localizada em Brasília, a imagem de um dedo vai trafegar pela rede. No
auge da operação, espera-se 80 mil consultas por dia.
O secretário-executivo do Comitê Gestor do RIC, Paulo Airan, do Ministério
da Justiça, diz que o tema ainda está sendo discutido. “A princípio deve
ser contemplado num processo de licitação ou ser objetivo de uma política
de convênio com o ministério”. Ele lembra que há, ainda, a Infovia, rede
baseada em Brasília, e, em tese, todos os estados devem ter link com o
Infoseg, sistema de informação da Secretaria Nacional de Segurança
Pública. Também não se sabe, dentro do Comitê Gestor, que papel poderá
desempenhar a Telebrás.
Para consultar as especificações completas do cartão RIC:
http://www.in.gov.br/imprensa/visualiza/index.jsp?jornal=1&pagina=31&data=27/09/2010 |