A Infra-estrutura de Chaves Públicas Brasileira proporciona os mecanismos para que questões legais e comerciais do dia-a-dia sejam resolvidas pela Internet. Mas ao mesmo tempo, traz novas responsabilidades para quem possui um par de chaves criptográficas reconhecidas oficialmente. Afinal, estes arquivos digitais representam sua identidade, tão válida juridicamente como um documento impresso e autenticado.

Sua chave criptográfica pública, como o próprio nome diz, pode ficar disponível para qualquer pessoa que queira se comunicar com você de modo seguro ou digitalmente autenticado. Mas a sua chave privada deve ser muito bem guardada.

Se alguém tiver acesso à sua chave privada, poderá não só ler suas mensagens criptografadas, mas também assinar digitalmente documentos ou realizar transações bancárias como se fosse você. E o pior é que você dificilmente poderá se eximir da responsabilidade pelo que for feito com sua chave privada, mesmo que contra sua vontade.

Para evitar problemas, deve-se tomar alguns cuidados essenciais:

1 - De modo algum compartilhe sua chave com quem quer que seja.

2 - Ao gerar sua chave, normalmente é pedida uma senha. Use a senha mais longa e imprevisível que puder. Você também pode usar frases inteiras, desde que não seja algo fácil de se adivinhar. Frases ilógicas ou inusitadas são recomendadas. O tamanho, neste caso, é importante, pois quebrar uma chave de 128 bits é muito difícil, mas acessá-la a partir de uma senha curta e óbvia pode ser um trabalho banal para alguns programas de computador.

3 - Se você armazena sua chave privada no disco rígido de seu computador, é primordial manter a máquina livre de vírus e outros programas maliciosos, como cavalos de Tróia. Alguns destes programas são capazes de copiar qualquer arquivo do computador ou registrar tudo que você digita e enviar as informações a um usuário mal-intencionado. Outros permitem que uma pessoa manipule completamente seu computador a distância, podendo usar sua chave privada para fins maléficos. Nestes casos, vale a velha regra de manter programas de proteção (antivírus, firewall, anti-spyware) atualizados, não abrir mensagens de e-mail ou arquivos suspeitos e aplicar todas as correções de segurança recomendadas pelo fabricante de seu sistema operacional, navegador e programa de e-mail.

4 - Se seu computador não pode oferecer segurança suficiente, é melhor armazenar sua chave privada em um disquete, ou em outro meio físico, como um smartcard ou token. Obviamente, estes objetos também devem ser guardados e manipulados com o máximo cuidado.

5 - Outra situação em que não é indicado guardar a chave no disco rígido é quando o computador é compartilhado por várias pessoas. Isso pode ocorrer tanto em casa quanto no trabalho. Nestes casos, se não tiver como armazenar a chave em outro lugar, tente proteger com uma senha a pasta onde ela se encontra. Alguns sistemas operacionais, como Linux, Windows 2000 ou Windows XP, permitem a criação de áreas (contas) separadas para cada usuário da máquina, protegidas por senhas individuais. Se seu sistema tem essa possibilidade, use-a sempre.

6 - Em qualquer situação, é adequado criar uma cópia de segurança (backup) de sua chave e guardá-la em lugar seguro. Mas não se deve criar várias cópias da chave, pois isso aumenta o risco de que alguma delas caia em mãos inadequadas.

7 - Programas de computador armazenam arquivos em locais padronizados e conhecidos por muita gente. Ao criar sua chave privada e armazená-la no disco rígido por meio de um software específico, mude o local padrão em que a chave é guardada. Isto dificultará a ação de alguém mal-intencionado que ganhe acesso ao seu computador e tente encontrar sua chave numa pasta pré-determinada.

8 - Se você desconfia ou sabe que sua chave privada foi comprometida, entre imediatamente em contato com a Autoridade Certificadora que a emitiu e revogue (cancele) a chave. A partir do momento da revogação, qualquer documento assinado digitalmente com esta chave será inválido legalmente.