Só agora eu *não* entendo porque deveria haver e-CPF, e-CNPJ, etc.
Certificados digitais não deveriam servir para "certificar" pessoas. Não é possível colocar um carimbo na sua testa, para certificar que você é você mesmo.
Certificados digitais servem unicamente para assegurar que a comunicação entre duas pontas está encriptada, portanto com um pouco mais de segurança.
O que foi feito no Brasil, portanto, é uma aberração jurídica, pois se alguém fizer algo com seu e-CPF ou seu e-CNPJ, é você quem vai pagar o pato.
As transações comerciais não-virtuais (ou seja, presenciais) sempre foram autenticadas também, porém com seu documento de identidade: RG, CNH, etc.
Você já teve alguma preocupação com seu RG desta forma?
O que a lei no Brasil faz assegurar, é como se você perdesse seu RG, e alguém o utilizasse para fazer uma compra, você teria que necessariamente pagar por ela, mesmo você não tendo efetuado a compra.
Dá prá perceber claramente que a responsabilidade pela autenticação é de quem está vendendo, não deveria ser de quem está comprando. É ele que tem que analisar o documento que você esta apresentando, e acreditar que ele é válido, e efetuar a venda.
Em termos digitais, ele teria que confiar em uma autoridade certificadora, e estando assinada por ela, conferir credibilidade também a quem compra.
Para quebrar a encriptação realizada por um certificado digital atual, de 128 bits, seriam necessários alguns supercomputadores, durante algumas centenas de anos.
Mas mesmo assim, ainda que utilizando certificados A3 (em cartão smart-card), se alguém conseguir sua senha, você está ferrado. Claro que seria improvável alguém obter seu cartão e sua senha ao mesmo tempo, mas "improvável" está muito longe ser significar "impossível". O que a lei no Brasil está assegurando é que isto é "impossível", o que claramente não é verdade, e imputando a responsabilidade a que o possui.
Em razão disto, o e-CPF e o e-CNPJ, mesmo sendo uma evolução, poderiam estar permitindo a violação de seu sigilo fiscal.
Aqui entramos em outra seara, pois não se pode imaginar como inviolável a pretensa "certificação digital" para certificar informações de caráver inviolável, como por exemplo o direito constitucional ao sigilo fiscal. A encriptação permitida pela "certificação digital" seria, na prática, inviolável apenas nos dias de hoje. Se amanhã, inventarem o computador quântico, e ele puder processar uma quantidade de informações muitas vezes superior aos dias de hoje, então estará violado o sigilo.
Certificação digital simplesmente não serve para informações invioláveis, ou segredos comerciais, como por exemplo o sigilo fiscal, ou a fórmula da Coca-Cola, ela serve apenas para transações que se processam nos dias de hoje, e que não possuirão mais importância alguma daqui a algum determinado espaço de tempo, pois o que não é violável hoje, pode ser amanhã. O direito constitucional do sigilo fiscal por exemplo, tem de ser garantido sempre, independentemente do tempo em que se protege a informação.
Por isso a considero e "Certificação digital" no Brasil uma excrescência, pois confere responsabilidade legal a uma apenas pretensa impossibilidade científica. A credibilidade do certificado somente pode ser conferida hoje, mas pode não ser amanhã.
O certificado tem prazo de validade? Sim, claro que tem, mas quem puder rastrear suas informações, e armazená-las, poderá desencriptá-las daqui a algum tempo. Pode ser revogado? Sim, mas se você utilizá-lo normalmente, despreocupadamente, e não revogá-lo, seus dados podem ser violados em futuro não distante, ainda em seu próprio horizonte de vida.
A má (ou boa?) notícia é que, de acordo com a lei de "Moore", que é comprovada na prática há mais de 30 anos, que diz que a capacidade computacional dos computadores dobra a cada 18 meses, teremos computadores quânticos daqui a apenas 13 anos. E isto vem com respaldo nas pesquisas científicas atuais.
Veja isto, e julgue por si mesmo:
"Primeiros Chips quânticos"
"Estréia de um computador quântico"
"Criptografia qüântica ainda não perfeitamente segura"
[]'s
Netino