Nonrepudiation
Ensuring Non-Repudiation
Repudiation is defined by West’s Encyclopedia of American Law as “the rejection or refusal of a duty, relationship, right or privilege”. O repúdio de uma transacção ou contrato significa que uma das partes se recusa a honrar a sua obrigação para com a outra, tal como especificado no contrato. A não repúdio poderia então ser definida como a capacidade de negar, com provas irrefutáveis, uma falsa rejeição ou recusa de uma obrigação.
No seu artigo “Não repúdio no Ambiente Digital”, Adrian McCullagh e William Caelli apresentaram uma excelente revisão do modelo tradicional de não repúdio e das tendências actuais de não repúdio criptotécnico. O artigo foi publicado online na Primeira Segunda-feira – pode encontrá-lo em www.firstmonday.dk/issues/issue5_8/mccullagh/index.html.
A base para um repúdio de um contrato tradicional está por vezes associada à crença de que a assinatura que vincula um contrato é uma falsificação, ou que a assinatura não é uma falsificação mas foi obtida através de conduta inconsciente por uma parte na transacção, por fraude instigada por um terceiro, ou por influência indevida exercida por um terceiro. Em casos típicos de fraude ou contratos repudiados, a regra geral da prova é que se uma pessoa negar uma determinada assinatura, o ónus de provar que a assinatura é válida recai sobre a parte receptora.
Os mecanismos de confiança de direito comum estabelecem que, para superar falsas alegações de não repúdio, um terceiro de confiança tem de agir como testemunha de que a assinatura está a ser afixada. Ter uma testemunha para a assinatura de um documento, que é independente das transacções em curso, reduz a probabilidade de um signatário poder alegar com sucesso que a assinatura é uma falsificação. Contudo, existe sempre a possibilidade de o signatário poder negar a assinatura com base nas situações enumeradas no parágrafo anterior.
p>Um exemplo perfeito de não repúdio de envios pode ser visto examinando o processo em torno do envio e recepção de correio registado. Quando se envia uma carta registada, é-lhe entregue um recibo contendo um número de identificação para a correspondência enviada. Se o destinatário afirmar que o correio não foi enviado, o recibo é a prova que fornece a não repudiação do envio. Se estiver disponível um recibo com a assinatura do destinatário, este fornece a prova da não repúdio do serviço de entrega. O serviço postal fornece a não repúdio do serviço de transporte, actuando como um terceiro de confiança (TTP).
Não-repúdio, em termos técnicos, passou a significar o seguinte:
■
Na autenticação, um serviço que fornece a prova da integridade e origem dos dados, tanto numa relação inesquecível, que pode ser verificada por qualquer terceiro a qualquer momento; ou
■
Na autenticação, uma autenticação que com alta garantia pode ser afirmada como genuína, e que não pode ser subsequentemente refutada.
O grupo de peritos em comércio electrónico do Governo Federal Australiano adoptou ainda este significado técnico no seu relatório de 1998 ao Procurador-Geral da Austrália como:
Non-repudiation é uma propriedade obtida através de métodos criptográficos que impede um indivíduo ou entidade de negar ter realizado uma determinada acção relacionada com dados (tais como mecanismos de não-rejeição ou autoridade (origem); para prova de obrigação, intenção, ou compromisso; ou para prova de propriedade.
No domínio digital, existe um movimento para transferir a responsabilidade de provar que uma assinatura digital é inválida para o proprietário da assinatura, e não para o receptor da assinatura, como é tipicamente utilizado nos métodos tradicionais de direito comum.
Em apenas alguns exemplos, o ónus da prova recai sobre o alegado signatário. Um desses exemplos é normalmente encontrado em casos de tributação em que o contribuinte tenha apresentado reclamações específicas e, como tal, esteja em melhor posição para refutar o caso do organismo de cobrança de receitas. Outro exemplo seria num caso de negligência. Numa acção por negligência, se um queixoso conseguir provar que um réu não cumpriu o seu compromisso, o ónus da prova é efectivamente transferido para o réu para estabelecer que este cumpriu as suas obrigações.
O problema encontrado nas novas definições de repúdio digital que foram criadas é que estas têm em consideração apenas a validade da própria assinatura. Não permitem a possibilidade de que o signatário tenha sido enganado ou forçado a assinar, ou que a sua chave privada possa estar comprometida, permitindo a falsificação de assinaturas digitais.
Com todos os casos recentes de vermes e vírus da Internet, não é difícil imaginar que se possa ser especificamente construído para roubar chaves privadas. Um vírus poderia ser algo tão simples como uma macro Visual Basic anexada a um documento Word, ou uma mensagem de correio electrónico que pesquisaria o disco rígido alvo à procura de porta-chaves privadas comummente designadas e localizadas que poderiam então ser enviadas por correio electrónico ou carregadas para algum local desonesto.
Com este e outros possíveis ataques às chaves privadas, torna-se difícil, sob a posição de direito comum, para alguém tentar provar a identidade de um alegado signatário. Esta posição de direito comum foi estabelecida e fundada num ambiente baseado no papel, onde o testemunho se tornou o mecanismo de confiança utilizado para evitar a não repúdio de uma assinatura. Para que uma assinatura digital seja comprovada válida, no entanto, terá de ser estabelecida através de um mecanismo de confiança total.
Assim, para que um contrato assinado digitalmente seja de confiança e não susceptível de repúdio, todo o processo de tratamento e assinatura de documentos deve ter lugar dentro de um ambiente informático seguro e de confiança. Como veremos em alguma da documentação a seguir, as políticas e definições de segurança criadas ao longo dos anos estabeleceram um conjunto de requisitos necessários para criar um sistema informático seguro e de confiança.
Se seguirmos as definições estabelecidas na Certificação de Avaliação da Segurança das Tecnologias de Informação (ITSEC) para criar um ambiente informático de confiança de pelo menos E3 para fazer cumprir as funções e a concepção do processo de assinatura e assim impedir o acesso não autorizado à chave privada, a posição de direito comum para documentos assinados digitalmente pode ser mantida. O E3 também assegura que a função de assinatura é a única função capaz de ser executada pelo mecanismo de assinatura, ao ter o código fonte avaliado para assegurar que este é o único processo disponível através do código. Se estas características de segurança forem implementadas, pode ser adequadamente avaliado que, ao abrigo deste mecanismo, a chave privada não foi roubada e como tal, qualquer assinatura digital criada sob este modelo tem a confiança estabelecida para assegurar a testemunha TTP e a validação de qualquer assinatura criada, impedindo qualquer possível repúdio do signatário.
Um exemplo de uma infra-estrutura segura concebida e implementada para tentar fornecer um TTP digitalmente seguro são os sistemas PKI disponíveis para utilizadores de redes públicas não seguras, tais como a Internet. PKI consiste num sistema informático seguro que actua como uma autoridade certificadora (AC) para emitir e verificar certificados digitais. Os certificados digitais contêm a chave pública e outras informações de identificação necessárias para verificar a validade do certificado. Enquanto a confiança na AC for mantida (e com ela, a confiança na segurança da chave privada), os certificados digitais emitidos pela AC e os documentos por ela assinados continuam a ser de confiança. Desde que a confiança seja assegurada, a AC actua como TTP e prevê a não repúdio de assinaturas criadas por entidades com certificados digitais emitidos através da AC.