Conheça as especificações técnicas do RIC e como funcionará

Criptografia, RFID e banda larga. Todas serão tecnologias necessárias ao uso do cartão que servirá de suporte à nova identidade dos brasileiros.

O novo Registro de Identidade Civil (RIC), documento lançado no fim do governo Lula e que começa a vigorar este ano, gradativamente substituirá as atuais cédulas do RG. Com investimentos de cerca de R$ 90 milhões custeados pelo Ministério da Justiça, os primeiros cartões serão expedidos em 2011 pela Casa da Moeda do Brasil. Mas como serão eles? Que tecnologias usará além do chip contendo informações como gênero, nacionalidade, data de nascimento, foto, filiação, naturalidade, assinatura, órgão emissor, local de expedição, data de expedição e data de validade do cartão, e informações referentes a outros documentos, como título de eleitor, CPF, etc?

As normas do Registro de Identidade Civil (RIC) publicadas no Diário Oficial em 2010 determinam que cartão deverá ser feito de policarbonato (um plástico altamente resistente) e terá um certificado digital. Além disso, terá dois chips. Um servirá para aplicações que exijam contato, ou seja, a inserção do RIC em máquinas de leitura - catracas, ATMs, etc. E o outro será equipado com padrão RFID, para leitura de dados por radiofrequência, apenas por aproximação, como fazem algumas chaves de carros mais modernos. Outra exigência do Ministério da Justiça, coordenador do projeto, é a de que tanto o cartão como os chips durem ao menos dez anos.

A biometria é gravada numa camada interna do cartão, queimada a laser. E os chips trazem recursos de autodestruição das trilhas, no caso de tentativa de clonagem ou invasão. Isso é importante, porque a chave privada do certifi cado digital da pessoa estará dentro do chip. “Se alguém tentar tirá-la de lá, o processador tem uma resistência que apaga os dados”, diz Martini. "O cartão, essa chapinha minúscula, é um computador. Tem memória, sistema de arquivo, processador, um criptoprocessador e um sistema de gravar arquivo, para gerar o par de chaves com números complexos."

Os certificados digitais brasileiros usam assinaturas digitais assimétricas, baseadas nesse par de chaves. Uma chave (na verdade, uma combinação numérica) é pública e circula entre as instituições com as quais o cidadão se relaciona; a outra é privada, e só a pessoa tem. A conferência da assinatura acontece porque a sua chave pública só combina com o seu par privado. E o nível de segurança depende do tamanho da chave. De acordo com Martini, atualmente, chaves de 1.024 bits exigem tanto poder e tempo computacional para serem quebradas que são consideradas ideais em termos de segurança. E aquelas de 2.048 bits são virtualmente inquebráveis.

As chaves criptográficas de 512 bits, contudo, já não são recomendadas, devido ao avanço do poder de processamento das máquinas. Mesmo assim, seria preciso um cluster com dez computadores trabalhando ininterruptamente por cinco meses, para quebrá-la. “Assim, para compensar movimentar um custo computacional monumental como esse, é preciso ter muita coisa em jogo - segredos industriais de milhões de dólares, por exemplo. Ou seja, muito improvável”, analisa Martini.

O fato é que, com o tempo, a computação ganha poder e os algoritmos precisam ganhar maior complexidade. O presidente do ITI lembra que os cartões têm vida útil de dez anos, e também precisarão ser renovados periodicamente. Uma das intenções, diz, é propor estender a validade das certificações para cinco anos (atualmente, são três, como em Portugal), entre outros motivos, por conta do tamanho do País e da sua população. Ou, completa Paulo Airan, do Ministério da Justiça, alterar as normas que só permitem renová-las uma vez, para que isso possa ser feito repetidas vezes.

O fator humano

O ITI é responsável pela auditoria nas empresas que vendem certificações digitais. Esse processo cobre “um conjunto exaustivo de temas”, segundo Martini, mas “com muito mais foco no fator humano do que no tecnológico”. “É nas pessoas”, diz ele, “que está o maior risco de fraude”. Tokens, leitores e outros dispositivos têm hoje muita qualidade. O perigo está na hora da autenticação ao vivo, na presença da pessoa, na coleta dos dados - “se o agente de registro é confiável ou se pode ser corrompido”.

Atualmente, as auditorias são anuais nas nove certificadoras de primeiro nível (chamadas AC), que atuam no Brasil. Isso significa que elas têm o encargo de autoridade certificadora, com sala-cofre, pessoal especializado, e podem credenciar e auditar as certificadoras de segundo nível, que atuam no varejo. Como resultado das auditorias, é publicada mensalmente ou semanalmente a LCR, Lista de Certificados Revogados.

Banda larga, sempre ela

Outra necessidade técnica do projeto RIC será a comunicação de dados. Cada vez que for preciso consultar a base de imagens de impressões digitais, localizada em Brasília, a imagem de um dedo vai trafegar pela rede. No auge da operação, espera-se 80 mil consultas por dia.

O secretário-executivo do Comitê Gestor do RIC, Paulo Airan, do Ministério da Justiça, diz que o tema ainda está sendo discutido. “A princípio deve ser contemplado num processo de licitação ou ser objetivo de uma política de convênio com o ministério”. Ele lembra que há, ainda, a Infovia, rede baseada em Brasília, e, em tese, todos os estados devem ter link com o Infoseg, sistema de informação da Secretaria Nacional de Segurança Pública. Também não se sabe, dentro do Comitê Gestor, que papel poderá desempenhar a Telebrás.

Para consultar as especificações completas do cartão RIC: http://www.in.gov.br/imprensa/visualiza/index.jsp?jornal=1&pagina=31&data=27/09/2010

Nota de responsabilidade

As informações aqui veiculadas têm intuito meramente informativo e reportam-se às fontes indicadas. A SERJUS não assume qualquer responsabilidade pelo teor do que aqui é veiculado. Qualquer dúvida, o consulente deverá consultar as fontes indicadas.