A Comissão Europeia é um órgão legislativo da UE com autoridade reguladora sobre a tecnologia digital. O artigo 45.º do Regulamento eIDAS proposto pela CE enfraqueceria deliberadamente certos aspectos da segurança da Internet que a indústria desenvolveu e reforçou cuidadosamente durante mais de 25 anos. Este artigo concederia, com efeito, aos 27 governos da UE poderes de vigilância muito amplos sobre a utilização da Internet.

A regra exigiria que todos os navegadores da Internet confiassem num certificado raiz adicional de uma agência (ou entidade regulamentada) de cada um dos governos nacionais de cada um dos estados membros da UE. Para os leitores não especialistas, explicarei o que é um certificado raiz, como evoluiu a confiança na internet e o que o artigo 45 traz nesse sentido. A seguir, destacarei alguns comentários da comunidade de tecnologia sobre esse assunto.

A próxima seção deste artigo explica como funciona a infraestrutura de confiança da Internet. Esse contexto é necessário para compreender o quão radical é o artigo proposto. A explicação pretende ser acessível a um leitor não técnico.

O regulamento em questão diz respeito à segurança da Internet. Por “internet” aqui queremos dizer, em grande medida, navegadores que visitam websites. A segurança da Internet tem muitos aspectos distintos. O artigo 45.º visa alterar a infraestrutura de chave pública (PKI), que faz parte da segurança da Internet desde meados da década de 90. A PKI foi primeiro adotada e depois melhorada ao longo de um período de 25 anos, a fim de dar aos utilizadores e editores as seguintes garantias:

Privacidade de conversação entre navegador e site: navegadores e sites conversam pela Internet, uma rede de redes operada por provedores de serviços de Internet e operadoras de Nível 1, ou operadoras de celular, se o dispositivo for móvel. A rede em si não é inerentemente segura ou confiável. Seu provedor de serviços de Internet doméstico, um viajante na sala de espera do aeroporto onde você espera seu voo ou um provedor de dados que deseja vender leads a anunciantes podem querer espioná-lo. Sem qualquer proteção, um agente mal-intencionado pode visualizar dados confidenciais, como senha, saldo de cartão de crédito ou informações de saúde.
Certifique-se de visualizar a página exatamente como o site a enviou para você: Ao visualizar uma página da web, ela poderia ter mudado entre o editor e o navegador? Um censor pode querer remover conteúdo que não deseja que você veja. O conteúdo rotulado como “desinformação” foi amplamente removido durante a histeria cobiçosa. Um hacker que roubou seu cartão de crédito pode querer remover evidências de gastos fraudulentos.
Certifique-se de que o site que você vê é o que está na barra de endereço do navegador: quando você faz login em um banco, como saber se está vendo o site desse banco, e não uma versão falsa com a mesma aparência? Você verifica a barra de endereço do seu navegador. Seu navegador poderia ser enganado e mostrar um site falso que parece idêntico ao real? Como o seu navegador sabe – com certeza – que está conectado ao site certo?

Nos primórdios da Internet, nenhuma dessas garantias existia. Em 2010, um plug-in de navegador disponível na loja de complementos permitiu ao usuário ingressar no bate-papo em grupo do Facebook de outra pessoa em um café hotspot. Hoje, com o ICP, você pode ter certeza dessas coisas.

Esses recursos de segurança são protegidos por um sistema baseado em certificados digitais. Os certificados digitais são uma forma de identificação – a versão online de uma carta de condução. Quando um navegador se conecta a um site, o site apresenta um certificado. O certificado contém uma chave criptográfica. O navegador e o site trabalham juntos usando uma série de cálculos criptográficos para estabelecer uma comunicação segura.

Juntos, o navegador e o site fornecem três garantias de segurança:

- confidencialidade: criptografando a conversa.
- assinaturas digitais criptográficas: para garantir que o conteúdo não seja modificado durante o voo.
- verificação do editor: através da cadeia de confiança fornecida pelo ICP, que explicarei mais detalhadamente a seguir.

Uma boa identidade deve ser difícil de falsificar. Nos tempos antigos, a fundição em cera de um selo servia para esse propósito. As identidades humanas dependem da biometria. Seu rosto é uma das formas mais antigas. No mundo não digital, quando você precisar entrar em um local com restrição de idade, por exemplo, para pedir uma bebida alcoólica, será solicitado um documento de identidade com foto.

acesse o artigo