2006/06/30

Ainda sobre os CTT e a certificação digital

No seguimento das notícias de hoje relativas à certificação digital, importa retratar a única situação que presentemente obriga à certificação digital em termos de relacionamento electrónico com o estado, a dos advogados e solicitadores, para melhor antecipar as previsíveis imposições e esforços monopolistas por intervenção estatal que se avizinham:

Os certificados utilizados por estes profissionais, no caso dos advogados no âmbito da relação com a sua ordem, que se encarrega de os solicitar em seu nome, não são fornecidos pelos CTT, mas sim pela MULTICERT, empresa que tem como estrutura acionista SIBS – 40%, CTT – 20%, INCM – 20% e PT Prime – 20%. Como certificados digitais, autonomamente, esses certificados funcionam em qualquer cliente de email que suporte certificados "vulgares". O que se passa é que para a entrega de peças processuais também é necessário uma marca de tempo criptográfica, chamada Marca do Dia Electrónica., que permite determinar a data de envio das peças processuais. Quem é o fornecedor em regime de exclusivo desse serviço? Obviamente os CTT e a MULTICERT.

De facto estabeleceu-se um novo monopólio por imposição estatal, já que só são aceites nos tribunais certificados tendo como CA (Autoridade Certificadora) a MULTICERT e com a MDDE referida. Não é permitido, por exemplo, que um advogado compre um certificado à Verisign (ou a outra das diversas CA universalmente reconhecidas) e o "inscreva" na Ordem dos Advogados ou no Ministério da Justiça, nem os CTT/MULTICERT aceitam "carimbar" peças que não sejam assinadas por certificados emitidos por eles.

Mais grave: de acordo com a FAQ da MDDE, e aparentemente corroborado pelo manual do utilizador (PDF) da aplicação que solicita e inscreve na mensagem a MDDE, a aplicação é Windows only, obrigando além disso os advogados e solicitadores, para submeter documentos públicos decorrentes de actos públicos da maneira a que são obrigados, a patrocinarem o tio Bill.

Além disso, é sinceramente de pasmar o que as pessoas ainda estão dispostas a aceitar (como os terms of service do serviço ViaCtt), assinando de "cruz" para experimentar a "medida governamental da moda", e sujeitando-se a cláusulas de exclusão brilhantes como as seguintes:

2.10. O TITULAR é responsável pela utilização do serviço, a qual, ainda que efectuada por terceiros, com ou sem autorização do TITULAR, se presume, para todos os efeitos contratuais e legais, efectuada por este.

2.14. Os CTT garantem que a plataforma informática (incluindo hardware e software) utilizada para a prestação do serviço cumpre os requisitos necessários e adequados à segurança da prestação do serviço e da própria rede, não podendo, no entanto, tecnicamente garantir a sua inviolabilidade por terceiros não autorizados.
Efectivamente há muito a fazer em termos de cultura cívica de modo a que as pessoas se apercebam das irresponsabilidades que cometem.

Fica-se contudo a aguardar quando o nosso governo vai tornar a utilização do serviço obrigatória. É o passo natural espectável. Nessa altura talvez seja interessante passar a mensagem a algumas comunidades de "crackers" para que estes expliquem ao governo os problemas de segurança associados ao "single point of failure". E pelo conteúdo da referida notícia de hoje, parece que não falta motivação em direcção a esse desfecho (negritos meus):
Os portugueses terão disponível a partir do final do ano uma assinatura electrónica qualificada que permitirá enviar e receber documentos oficiais via Internet.

[...]

Por agora, a criação de empresas online está acessível apenas aos advogados e solicitadores, os únicos operadores que possuem já a assinatura digital reconhecida por lei.

Os cidadãos e as empresas só poderão ter acesso a uma assinatura electrónica qualificada a partir do momento em que haja empresas que as disponibilizem, nomeadamente as que actuam no mercado dos certificados digitais. Note-se, porém, que apenas no dia 16 foi publicado no Diário da República o decreto-lei que designa a Autoridade Nacional de Segurança como entidade credenciadora das empresas que actuem no sector. Por enquanto, nenhuma está ainda certificada.
Adivinhei qual vai ser a primeira (e provavelmente a única) CA que vai ser certificada...

O governo não deve provavelmente ter ouvido falar das várias CA que existem (e de que foram dados exemplos acima) com pleno reconhecimento fático (têm os root certificates incluídos em todos os browsers e development kits relevantes).

Não. Aparentemente está mais interessado não na Internet, como apregoa, mas na gestão da WAN nacional dos confrades...

Sobre o assunto será também interessante acompanhar a discussão no Gildot.

Publicada por JLP à(s) 09:19

6 comentários:

Anónimo disse...

“Eu não percebo estas avaliações nacionais. Há os filhos e os enteados. Os primeiros são os do Instituto Espanhol que não fazem qualquer tipo de exames nacionais e vão cantando, rindo e passando. É por isso que lhe chamam o “Colégio dos Burros”, onde todos os papás portugueses colocam os filhos que não saiêm da cepa torta no Ensino Oficial. Espero que a ministra acabe com esta e muitas poucas vergonhas do Ensino Particular!” – Kitéria Barbuda in “A Farsa do privado”, Revista “Espírito”, nº 34, 2006.

www.riapa.pt.to

15:05
Anónimo disse...

"2.10. O TITULAR é responsável pela utilização do serviço, a qual, ainda que efectuada por terceiros, com ou sem autorização do TITULAR, se presume, para todos os efeitos contratuais e legais, efectuada por este.
"
"2.14. Os CTT garantem que a plataforma informática (incluindo hardware e software) utilizada para a prestação do serviço cumpre os requisitos necessários e adequados à segurança da prestação do serviço e da própria rede, não podendo, no entanto, tecnicamente garantir a sua inviolabilidade por terceiros não autorizados."

HILARIANTE! Do melhor que já vi!

lribeiro

14:03
Vítor Jesus disse...

muito fundamentalismo, ó João... (já sei que é um comentário atropela-e-foge. Merecias resposta ponto-a-ponto - mas é para o que o tempo dá).

11:50
JLP disse...

Vitor,

Façe a tão grave acusação, fico aguardando ansiosamente a referida réplica ponto-por ponto!

:-)

Abraço

12:55
Anónimo disse...

Por um dia, útil, perderam boa oportunidade para estar "calados".
Suponho que conheçam a legislação, e a delegação de competências em vigor. Entidades, certificadora bem como credenciadora, existem desde do ano 2001...

A PKI do estado nada tem a ver com multicerts ou verisigns.

Já agora, a tecnologia é Europeia...

19:14
JLP disse...

"Por um dia, útil, perderam boa oportunidade para estar "calados"."

Cada vez mais é tempo de não estar calado. Principalmente fazer força por não embarcar em discursos de "é porque foi estabelecido assim", mas num espírito mais crítico e menos carneirista de "como devia ser".

"Suponho que conheçam a legislação, e a delegação de competências em vigor. Entidades, certificadora bem como credenciadora, existem desde do ano 2001..."

Curiosamente o mesmo ano em que a MULTICERT entrou em funções...

Efectivamente o estado optou por assumir somente as suas funções de "topo" no estabelecimento de uma PKI, não assumindo como em outros países a tarefa física de implementação da CA. Optou em delegar num privado a tarefa de implementação do serviço de registo e efectivamente de uma CA pública, mas mantendo a disposição de que várias CA públicas possam existir. Há que manter as aparências...

Além disso impôs um processo de registo de todas as CA que queiram ser consideradas válidas junto da autoridade credenciadora (nº 9 alínea 2 do DL n.º 290-D/99, de 2 de Agosto, alterado pelo DL 116-A/2006, de 16 de Junho), bem como a obrigação de cobrança de taxas por todas as CAs, que constituem receita da aut. credenciadora (nº 9 alínea 3 do DL n.º 290-D/99, de 2 de Agosto, alterado pelo DL 116-A/2006, de 16 de Junho).

Ou seja, estabeleceram-se os mecanismos à medida de favorecer a entidade que já tem estabelecido o monopólio do mercado, e estabeleceram-se os entraves úteis à entrada de novos concorrentes no mercado.

"A PKI do estado nada tem a ver com multicerts ou verisigns."

Quando é esse estado que controla o processo de admissão e de certificação das CA que podem participar no mercado, o que é que pode deixar de ter a ver? Ainda mais quando demonstra o amiguismo que vem demonstrando?

Naturalmente que muitoas das coisas inerentes a este problema foram fruto da maneira atabalhoada como se tentou implementar a desmaterialização da comunicação entre os advogados e os tribunais, com sucessivos avanços, recuos e indefinições que culminaram no estado presente das coisas. Mas quando temos um estado que obriga à aposição de uma marca de tempo digital em processos a serem submetidos a tribunal, só validando a prestação desse serviço (lembre-se, pago) a uma entidade, quando esta tem como requisito de que o seu utilizador possua um certificado emitido pela Ordem dos Advogados, que curiosamente é atribuido pela mesma entidade (relembremos privada), e também curiosamente é à mesma entidade que se pretende agora extender (também curiosamente como única CA certificada até agora) a tarefa de CA da PKI do estado, bem como a parceria em serviços (por enquanto opcionais) de caixas de correio oficial dos cidadãos perante esse estado, pergunto-me com que lata é que se pode dizer que a PKI do estado não tem nada a ver com a MULTICERT.

Porque é que foi estabelecida essa necessidade de utilização da MDDE quando bastaria, no exercicio da idoneidade das instituições públicas (afinal, não é sempre de estado que estamos aqui a falar?), que estas respondessem ao envio das peças e documentos processuais com um "aviso de recepção electrónico" criptograficamente preservando a hora da recepção e a verificabilidade do email recebido?

Quanto a mim, um cenário claro de gestão de uma PKI do estado passa ou pelo estabelecimento e fornecimento de serviço de todos os itens da cadeia de certificação, ou então por um verdadeiro mercado livre de certificação, em que o estado passa tão somente a ser um registo de relações entre certificados e pessoas individuais (e eventualmente colectivas), independentemente de quem fornece esse certificado e eestabelecendo somente limites mínimos de ordem técnica.

"Já agora, a tecnologia é Europeia..."

Eu quero lá saber que a tecnologia seja europeia, americana, chinesa, ou de onde é que seja. Eu quero é que garanta condições de abertura, igualdade de acesso e cumprimento dos standards que devem regular todos os requisitos impostos pelo estado no que toca à interacção dos cidadãos com ele. Mas, já agora, fiquei curioso: refere-se à tecnologia Windows obrigatória para o uso da MDDE, à tecnologia dos certificados digitais propriamente ditos, ou ao primor de aplicação que foi desenvolvida pela MULTICERT?

00:59

Enviar um comentário

Subscrever: Enviar feedback (Atom)