(In)segurança vs Privacidade
--------------------------------------------
by: Tufy

É inevitável não admitirmos que num futuro muito próximo a Internet não passará de um conjunto de lojas virtuais, onde toda a informação circula em segurança. Pois bem, o problema actual, por enquanto, é exactamente esse: a segurança. Apesar dos sistemas actuais permitirem a circulação de informação com segurança, grande parte dos utilizadores não confiam ainda totalmente nesse facto. Assustam-se com as histórias de terror que se contam sobre hackers e crackers, e grandes fraudes on-line. Porém, a ideia de "securaty information" já vai sendo admitida, e a pouco e pouco está a implantar-se.

Utilizando o exemplo do processo de transferência das unidades monetárias, do banco para o utilizador e deste para o credor, desenrola-se como recurso a técnicas de encriptação, através de servidores seguros e por meio de um programa desenvolvido pela DigiCash, para esse efeito. O sistema de servidores seguros baseia-se num sistema de encriptação que utiliza uma combinação de chaves públicas e privadas. Isto permite que a mensagem enviada através da rede não possa ser descodificada nem adulterada. É a chamada tecnologia PGP - Pretty Good Privacy.

Ora então para uma maior compreensão do que na realidade é esta tecnologia passo a fazer uma caracterização da mesma. Como funciona a tecnologia PGP?

Como foi descrito num parágrafo anterior este sistema de encriptação baseia-se numa combinação de chaves públicas e privadas. A chave pública é utilizada para encriptar as mensagens a serem transmitidas na rede. Trata-se de uma chave que pode ser distribuída e divulgada livremente pela rede, até mesmo em mensagens não criptografadas. A chave pública está directamente ligada ao identificador do utilizador que a criou e ao seu endereço de correio electrónico.
A chave privada é utilizada para decriptar uma mensagem que tenha sido criptografada pela chave pública. Entretanto, a chave privada é secreta, não deverá ser divulgada a ninguém a não ser ao utilizador da chave pública associada a ela. Mesmo o software de PGP não armazena essa chave, sendo solicitada ao utilizador sempre que necessário. Outra característica da chave privada é que a mesma não possui limite no seu tamanho, sendo recomendável utilizar uma frase completa para a mesma, tornando quase impossível a sua descoberta através de sistemas de tentativa e erro.

A tecnologia PGP funciona da seguinte forma:

1.Cada utilizador instala o software de PGP e gera através do mesmo a sua chave pública, associando-a à chave privada que previamente escolheu.
2.O utilizador em questão divulga essa chave pública para todos aqueles que queiram enviar mensagens cifradas ao mesmo.
3.Os correspondentes utilizam a chave pública divulgada para cifrar as mensagens e enviam-nas cifradas para o utilizador em questão.
4.O utilizador utiliza a sua chave privada para decriptar as mensagens recebidas.
Tem-se revelado de tal maneira polémico este programa que inclusive o seu autor terá sido acusado pelo Congresso norte americano de exportar para o resto do mundo software bélico ( ?! ). A forma de encriptação é de tal maneira eficiente que se torna virtualmente impossível quebrar uma chave sem se demorar uns milhares de anos.

E a lei?!

Nos EUA, a lei de encriptação parecemos com uma história de terror... tipo: "Terror Tribe of Trashcore". O Governo americano quer todas as pessoas a usar a encriptação com uma chave-comprimento de 56 bocados - especificamente, o padrão velho do DES. Querem-no fazer assim, porque desta forma podem ter a certeza de que descodificam os dados se necessitarem - dirão ao utilizador que é tudo muito lindo! Mas hey!!! há um preço para a tecnologia, e certamente o governo pode jogar recursos computacionais maciços no problema de crackar um código, assim um código que admitem que podem crackar sem demasiado problema devem ser seguros para qualquer coisa excepto a segurança nacional verdadeira, certo?
Não somente o governo quer julgar, como também quer restringir o que pode ser escrito para outras pessoas, como também impedir que seja possível esconder o que é dito e pensado - não importa se é confidencial ou não. De facto, o governo americano quer por a mão sobre as chaves electrónicas e em todos os dados, de modo que a possibilidade de que se fôssemos terroristas, assassinos , eles poderão espiar eficazmente o que acontece.**time-out**

Quanto ao software PGP, nos EUA é proibido a sua exportação, ou seja qualquer outro país tem que usar o PGP de linha internacional! Se for americano PIMBA!! Vais preso!

Em Portugal, a lei de encriptação e de protecção de dados é um assunto que até bem pouco tempo não passaria pela cabeça de ninguém ouvir falar nela, apesar de há muitos anos que os Estados da UE vêm desenvolvendo legislação para regular o uso da informática (?!?) e defender o que for possível (e politicamente necessário) da privacidade dos cidadãos face aos riscos crescentes com o aumento da capacidade e utilização dos computadores.
E foram estes perigos que levaram o Estado português a legislar, embora tarde (1991), sobre o assunto, criando a Comissão Nacional para a Protecção de Dados Pessoais Informatizados (CNPDPI), um órgão para proteger os cidadãos face aos abusos da informática. (ihihihih)
Agora - União Europeia (UE) "oblige" - é tempo de dar outro passo em frente e transpor, até Outubro, a directiva relativa ao tratamento de dados pessoais e à livre circulação desses dados, na sequência do Livro Verde para a Sociedade de Informação. Era o que fazia a proposta de lei da protecção de dados pessoais, em discussão pública até meados do mês passado (Fevereiro), antes de ter subido a Conselho de Secretários de Estado.
A proposta de lei traduz algumas mudanças de fundo em relação actual legislação: por um lado, rende-se à incontornável circulação de informação na net, e cedendo à necessidade de alguma interconexão dos dados pessoais.
E aqui vai um excerto da proposta de lei:

- "A proposta de Lei da Protecção de Dados Pessoais responde à necessidade de transposição até 24 de Outubro de 1998 da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados, transposição que se desenvolve no quadro aberto pela revisão do artigo 35º da Constituição.
- A proposta de lei dá também cumprimento à medida 8.1 - rever a legislação de protecção de dados pessoais - do Livro Verde para a Sociedade de Informação.
- A Directiva visa assegurar a livre circulação de dados pessoais no interior do espaço da União Europeia, o que exige uma harmonização muito estreita das legislações nacionais. Por essa razão, e excluídas as áreas em que o direito comunitário não é aplicável, a Directiva deixa estreita discricionariedade aos Estados-membros na forma da sua transposição."

Ora então agora resta-nos (a nós portugueses! europeus?!) é esperar...esperar...e ainda mais... esperar! :)