Anonimato e Responsabilidade

  • Article

Este argumento vem de um artigo relativamente antigo do Bruce Schneier. O verdadeiro problema na Internet não é o anonimato e sim falta de responsabilização (talvez a melhor tradução para o original accountability). Se é possível responsabilizar alguém por uma ação, não importa se nome dela é "João" ou "Helena".  Da mesma forma, pouco me adianta saber o nome da pessoa se não é possível atribuir responsabilidade por algum ato.

Nós no entanto estamos condicionados a sempre associar uma coisa a outra. Um exemplo está na nossa própria Constituição, que no seu artigo mais importante declara ser "livre a manifestação do pensamento, sendo vedado o anonimato". Para mim está claro que a intenção dos nossos constituintes foi garantir a liberdade de expressão, mas ao mesmo tempo deixando claro que cada um é responsável pelo que expressa. Como não conheciam nenhuma forma de responsabilizar alguém por um discurso anônimo, foi então suprimido o anonimato. Mas não é ele o problema.

Outro bom exemplo está na nossa infraestrutura de certificados digitais, a ICP-Brasil. A ICP-Brasil foi criada em grande parte para permitir que documentos e transações possam ser feitos eletronicamente de uma forma que permita a responsabilização das partes. Ela fornece o que no jargão técnico se chama não-repúdio - a impossibilidade de uma ou mais partes refutarem uma transação ou documento em que teriam participado. Isto torna viável a migração de diversos processos e serviços para um formato eletrônico, e para mim a ICP-Brasil fornece um valor inestimável para o país.

Só que a ICP-Brasil, assim com a nossa Constituição, estabelece esta responsabilidade sacrificando o anonimato. Um certificado digital ICP-Brasil contém entre outras coisas o nome completo, data de nascimento, o número de CPF, o título de eleitor e o número de seguridade social do cidadão. Estas informações são sempre apresentadas todas para a outra parte quando você utiliza o seu certificado para assinar um documento ou se autenticar em um site Web. Enviou um e-mail assinado digitalmente com um certificado ICP-Brasil? Todos estes dados vão junto com a mensagem. Entrou em um site Web e uso o seu certificado ICP-Brasil para se logar? Todos estes dados são enviados para o dono do site.

Ou seja, a ICP-Brasil atende perfeitamente os cenários onde seja necessário identificar precisamente cada uma das partes, ou quando isto seja pelo menos desejável. Ninguém teria o menor problema em assinar uma escritura de um imóvel ou entregar a sua declaração do imposto de renda, que além de tudo já contém no seu próprio corpo todas as informações que constam no certificado digital. Mas existe uma outra enorme variedade de cenários onde um determinado nível de privacidade é desejável que não são podem ser atendidas hoje pela ICP-Brasil.

Em alguns casos somente um conjunto parcial de atributos devem ser conhecidos pela outra parte.  Por exemplo, ao postar um comentário no MeioBit eu preciso fornecer apenas o meu nome - o MeioBit não está interessado no meu número de CPF e de eleitor (e nem eu interessado em fornecer a eles!).  Para entrar em um site pornô um usuário pode querer somente fornecer a data de nascimento, ou mesmo somente o ano, sem enviar por motivos óbvios o seu nome nem nenhum outro dado pessoal.

Existem ainda situações onde o usuário pode não querer enviar nenhuma informação para a outra parte, e ainda assim poder demonstrar que é o autor da transação. Um exemplo são as redações e provas práticas apresentadas em um concurso público. O documento deve ser anônimo para garantir a imparcialidade dos avaliadores, mas ao mesmo tempo precisa ter a sua origem e integridade determinada sem qualquer margem para dúvidas.

No limite estão os cenários onde a identidade do usuário que realizou a transação não deve ser conhecida nem mesmo por quem emitiu a credencial. Um exemplo é o do voto eletrônico, onde ninguém deve ter a capacidade de descobrir a identidade do autor do voto, mas ao mesmo tempo o sistema tem que garantir que o voto está íntegro (i.e. não foi alterado), teve como origem uma pessoa válida, e ainda que cada pessoa somente submeteu um único voto.

Nos próximos anos a Internet irá necessitar de identidades confiáveis para atender a todos estes cenários. A pergunta que vai estar diante da ICP-Brasil é se ela vai querer ser o fornecedor destas identidades, e começar a discutir desde já temas relacionados a privacidade (como o uso de pseudônimos, identidades parciais e o controle na divulgação de atributos), ou se a ICP-Brasil vai se contentar ficar apenas em um nicho das aplicações, deixando todo o resto para outros sistemas de identidade.