Comments on: Projeto de lei sobre validade documental de e-mails http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/ Linux levado a sério desde 1996 Sun, 27 May 2012 21:55:37 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Patrick Tracanelli http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/comment-page-1/#comment-50927 Patrick Tracanelli Fri, 22 May 2009 14:20:32 +0000 http://br-linux.org/?p=10872#comment-50927 Bom que exista a iniciativa de formalizar, mas talvez seja dispensável. Qualquer mensagem de correio eletrônico já tem valor jurídico legal, com base no disposto no Artigo 10, parágrafo segundo da medida provisória 2.200/2001 (a do ICP-Brasil), bastando haver admissão entre as partes como válido. Dessa forma ao meu entender se alguém assina um e-mail destinado a mim, com PGP, e a chave pública deste está disponível em um servidor de chaves (como do MIT) ou disponível pelo próprio emissor em outro lugar (site pessoal, blog), se eu aceito, há o acordo entre as partes. Em especial caso todo documento com a chave PGP pública impressa e assinada pessoalmente (PGP Key Signing Party) temos ainda validade jurídica complementar pelo reconhecimento em pessoa e com testemunhas da fé pública dada acerca daquela chave. A fé pública pode ser notória no caso supracitado (sem signing party). O mesmo se aplica a um e-mail (ou outro documento) enviado com chave pública padrão PKI mesmo que esta não seja do ICP-Brasil, sendo mais uma vez requisito prévio apenas o aceite entre as partes. De tal forma pode ser um certificado emitido pela ICP-OAB, ICP-EDU, ICP-BRLINUX, o que for. Com tanto que aceito entre as partes. Podemos ir mais longe e considerar a plena validade jurídica legal de um e-mail transmitido por um servidor que assine-o com Domain Keys e um outro que valide a assinatura e integridade com DK ou DKIM também. Mas nesse sentido a validade acontece entre os responsáveis pelos servidores e não pelo emissor original do e-mail. O que abre mão a potencial inversão de ônus de prova, sendo necessário os responsáveis pelo servidor original ter que provar que a mensagem foi mesmo submetida pelo usuário cliente dele, e não por outro. Mas a validade jurídica existe entre as partes (não sendo o emissor original uma dessas partes no cenário com Domain Keys) - sim por isso pode ser um tiro no pé assinar e-mail com DK no Brasil hoje, deve-se ter cuidado. Uma lei distinta da MP 2.200 torna a assinatura digital em e-mail válida, sem a necessidade que a MP em questão seja válida, lembrando que a MP 2.200 pode (apesar de improvável) ser revogada. Havendo uma lei separada para regulamentar o e-mail assinado, este ficaria respaldado ainda diante da (mais uma vez, improvável) revogação da MP que instaurou o ICP-Brasil. Mas o texto deve ser acompanhado de perto pelos interessados, tendo em mente o texto já existente da MP em questão. Bom que exista a iniciativa de formalizar, mas talvez seja dispensável. Qualquer mensagem de correio eletrônico já tem valor jurídico legal, com base no disposto no Artigo 10, parágrafo segundo da medida provisória 2.200/2001 (a do ICP-Brasil), bastando haver admissão entre as partes como válido. Dessa forma ao meu entender se alguém assina um e-mail destinado a mim, com PGP, e a chave pública deste está disponível em um servidor de chaves (como do MIT) ou disponível pelo próprio emissor em outro lugar (site pessoal, blog), se eu aceito, há o acordo entre as partes.

Em especial caso todo documento com a chave PGP pública impressa e assinada pessoalmente (PGP Key Signing Party) temos ainda validade jurídica complementar pelo reconhecimento em pessoa e com testemunhas da fé pública dada acerca daquela chave. A fé pública pode ser notória no caso supracitado (sem signing party).

O mesmo se aplica a um e-mail (ou outro documento) enviado com chave pública padrão PKI mesmo que esta não seja do ICP-Brasil, sendo mais uma vez requisito prévio apenas o aceite entre as partes. De tal forma pode ser um certificado emitido pela ICP-OAB, ICP-EDU, ICP-BRLINUX, o que for. Com tanto que aceito entre as partes.

Podemos ir mais longe e considerar a plena validade jurídica legal de um e-mail transmitido por um servidor que assine-o com Domain Keys e um outro que valide a assinatura e integridade com DK ou DKIM também. Mas nesse sentido a validade acontece entre os responsáveis pelos servidores e não pelo emissor original do e-mail. O que abre mão a potencial inversão de ônus de prova, sendo necessário os responsáveis pelo servidor original ter que provar que a mensagem foi mesmo submetida pelo usuário cliente dele, e não por outro. Mas a validade jurídica existe entre as partes (não sendo o emissor original uma dessas partes no cenário com Domain Keys) – sim por isso pode ser um tiro no pé assinar e-mail com DK no Brasil hoje, deve-se ter cuidado.

Uma lei distinta da MP 2.200 torna a assinatura digital em e-mail válida, sem a necessidade que a MP em questão seja válida, lembrando que a MP 2.200 pode (apesar de improvável) ser revogada. Havendo uma lei separada para regulamentar o e-mail assinado, este ficaria respaldado ainda diante da (mais uma vez, improvável) revogação da MP que instaurou o ICP-Brasil. Mas o texto deve ser acompanhado de perto pelos interessados, tendo em mente o texto já existente da MP em questão.

]]> By: Cadu http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/comment-page-1/#comment-49870 Cadu Tue, 19 May 2009 07:38:11 +0000 http://br-linux.org/?p=10872#comment-49870 "Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/ destino de todos os e-mails que partirem da minha conta. Nunca me atenderam!" Agora quem viajou na batatinha foi tu. (Quase) Todo mundo sabe que a especificação SMTP não garante segurança nenhuma. Uma das maneiras de garantir que o email não foi alterado ou de criptografar o email é através do uso de um par de chaves publica e privada, como é feito com GPG. É claro que se a chave privada não estiver segura e vazar e a senha dessa chave for insegura, não tem mais como garantir se o email foi realmente assinado pela pessoa detentora da chave. Ou seja, como sempre, a brecha da segurança volta para o usuário. E infelizmente não existe nenhum algoritmo, criptografia ou medida de segurança que conserte um usuário tanso. “Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que
disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/
destino de todos os e-mails que partirem da minha conta. Nunca me atenderam!”

Agora quem viajou na batatinha foi tu.

(Quase) Todo mundo sabe que a especificação SMTP não garante segurança nenhuma. Uma das maneiras de garantir que o email não foi alterado ou de criptografar o email é através do uso de um par de chaves publica e privada, como é feito com GPG.

É claro que se a chave privada não estiver segura e vazar e a senha dessa chave for insegura, não tem mais como garantir se o email foi realmente assinado pela pessoa detentora da chave. Ou seja, como sempre, a brecha da segurança volta para o usuário. E infelizmente não existe nenhum algoritmo, criptografia ou medida de segurança que conserte um usuário tanso.

]]> By: sem@email.org http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/comment-page-1/#comment-49868 sem@email.org Tue, 19 May 2009 04:43:08 +0000 http://br-linux.org/?p=10872#comment-49868 Tem gente viajando na batatinha!!!! Como eh que e-mail pode vir a ter estatus legal num pais em que ate documentos cartoriais algumas vezes nao tem!!!! Nao estou dizendo que eh impossivel! Mas o congresso brasileiro nao tem competencia tecnologica para sequer dar palpite no assunto - supondo que o interesse do congresso esta montado em boa fe; o que na maioria das vezes nao eh!!! Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/ destino de todos os e-mails que partirem da minha conta. Nunca me atenderam! Como eh que eu vou saber se alguem nao interceptou minha senha (keyboard scan) e usou minha conta sem que eu saiba para enviar e-mails a revelia da minha vontade? O acesso ao log indelevel da minha conta seria o MINIMO de segurançca! Se o congresso quer dar status de documento ao e-mail, vai ter investir pesado nesta tarefa! Estamos falando de gastos com investimento em pesquisa na casa dos milhoes!!!! Mas se eh como eu penso mais uma maneira de justificar a quebra da privacidade de opositores (pior dos parentes de seus opositores) para capitalizar material de anti-propaganda (ou ate chantagem) entao vamos ter que comecççar a brigar! Usar e-mail em CPI no estado atual de insegurançca dos e-mails eh no minimo irresponsabilidade Nao existe justiçca gratuita no Brasil! Quem tem grana vai poder pagar o advogado da moda, o pobre, incriminado por causa de e-mail forjado, vai pra cadeia sem amparo! Cade a comunidade academica seria - aquela que nao esta apenas de olho no dinheiro do contribuinte que vai custear esta aventura - neste momento? Tem gente viajando na batatinha!!!!

Como eh que e-mail pode vir a ter estatus legal num pais em que ate documentos
cartoriais algumas vezes nao tem!!!!

Nao estou dizendo que eh impossivel! Mas o congresso brasileiro nao tem competencia
tecnologica para sequer dar palpite no assunto – supondo que o interesse do
congresso esta montado em boa fe; o que na maioria das vezes nao eh!!!

Desde a primeira vez que usei um e-mail eu tenho solicitado aos provedores que
disponibilizem um log indelevel (que nao possa ser editado) contendo acesso/data/hora/
destino de todos os e-mails que partirem da minha conta. Nunca me atenderam!

Como eh que eu vou saber se alguem nao interceptou minha senha (keyboard scan) e usou
minha conta sem que eu saiba para enviar e-mails a revelia da minha vontade?

O acesso ao log indelevel da minha conta seria o MINIMO de segurançca!

Se o congresso quer dar status de documento ao e-mail, vai ter investir pesado nesta
tarefa! Estamos falando de gastos com investimento em pesquisa na casa dos milhoes!!!!

Mas se eh como eu penso mais uma maneira de justificar a quebra da privacidade de opositores
(pior dos parentes de seus opositores) para capitalizar material de anti-propaganda (ou ate
chantagem) entao vamos ter que comecççar a brigar! Usar e-mail em CPI no estado atual de
insegurançca dos e-mails eh no minimo irresponsabilidade

Nao existe justiçca gratuita no Brasil! Quem tem grana vai poder pagar o advogado da moda, o
pobre, incriminado por causa de e-mail forjado, vai pra cadeia sem amparo!

Cade a comunidade academica seria – aquela que nao esta apenas de olho no dinheiro do
contribuinte que vai custear esta aventura – neste momento?

]]> By: yamane http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/comment-page-1/#comment-49818 yamane Mon, 18 May 2009 18:25:39 +0000 http://br-linux.org/?p=10872#comment-49818 Assinatura digital é válido como documento desde 2001, desde que emitidas pelo ICP-Brasil. https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm Att, Renato Assinatura digital é válido como documento desde 2001, desde que emitidas pelo ICP-Brasil.

https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm

Att,
Renato

]]> By: stmnn http://br-linux.org/2009/projeto-de-lei-sobre-validade-documental-de-e-mails/comment-page-1/#comment-49816 stmnn Mon, 18 May 2009 16:32:21 +0000 http://br-linux.org/?p=10872#comment-49816 Finalmente um projeto de lei útil... Depois dos ridículos projetos de "regulamentação da Internet" e de "regulamentação das profissões da área de informática", finalmente o legislativo brasileiro resolveu fazer algo que preste. Finalmente um projeto de lei útil… Depois dos ridículos projetos de “regulamentação da Internet” e de “regulamentação das profissões da área de informática”, finalmente o legislativo brasileiro resolveu fazer algo que preste.

]]>