Open ppKrauss opened 7 years ago
Já que você pediu palpite...
O último link que você colocou não está abrindo aqui.
Não vejo bem como nós poderíamos gerar uma prova de que o DO foi alterado. Se calculássemos as HASHs dos DOs poderíamos detectar mudanças futuras, mas nós não teríamos credibilidade para que as nossas HASHs servissem de prova.
Uma possibilidade que me veio em mente foi usar: https://archive.org/web/ Mas só funcionaria se cada DO tiver um URL único. Não sei se suportam PDF também... E também há a questão de se o Archive.org serve de prova ou não.
Obrigado @andresmrm, acho que captou a ideia... Respondendo um pouco de tudo :-)
o ultimo link tá arrumado, desculpe, mudei de local a pergunta, a galera do crypto.stackexchange é a mais expert no assunto.
... estamos prevendo um TranzDia funcionalmente enxuto, mas nem por isso livre de muitas resposabilidades... o inicio do rascunho da tentativa de descrever seus requisitos está aqui na Wiki.
sobre "como nós poderíamos gerar uma prova de que o DO foi alterado", é justamente isso, calculando o hash... Na verdade mais que isso: estabelecendo um protocolo e qual seria esse hash (veja o tal do link para a decisão do hash que ainda deixaria em aberto)... A responsabilidade do TrazDia seria apenas essa, e creio que já é grande:
Garantir (e ganhar credibilidade nisso) o que leva-e-traz: dado um ID ou URN LEX de uma matéria de diário oficial, ele retorna o HTML UTF8 fiel da tal da matéria. Tanto o terceiro setor como o governo podem testar e endossar.
Garantir que a hash ou conjunto de hashes padronizadas que opcionalmente o TrazDia ceder junto, seja segura e sem risco de colisões.
O resto é uma questão de limitar responsabilidades: a OKBR sozinha não pode, mas um "consórcio de ONGs" ou uma instituição tal como LOCKSS (representada no Brasil pela Rede Cariniana) ou mesmo o archive.org sugerido, assumiria responsabilidade por cópias por longo período, e uma parceria séria com a instituição mantenedora do TrazDia.
PS: no que se refere aos HTMLs originais das matérias selecionadas pelas curadorias do QueriDO, aí sim, a responsabilidade é do coletivo do QueriDO e seu git (por hora no Github)... Mas é uma amostra ínfima quando imaginamos todos as matérias de todos os diários oficiais do Brasil.
No que se refere a veracidade/validade informativa do conteudo, tambem tem que ser levado em conta as erratas que podem ser publicadas posteriormente e idealmente deverian modificar o texto anteriormente arquivado/exposto e anotarlo com uma observacao.
Olá @mingodad , bem vindo ao queriDO!
Sim, bem lembradas as erratas. Imagino que, num primeiro momento as erratas possam ser tratadas como documentos independentes. A relação entre diferentes documentos (por exemplo uma Lei que revoga outra lei) pode ser bem complexa... Pensando na nossa versão simplificada de 3 etapas do nosso exemplo, o momento ideal para se relacionar documentos seria depois de ter obtido o "texto marcado".
Por serem públicos, os Diários Oficiais digitais podem ter seu inteiro teor copiado e monitoriado pelo cidadão... Alguém aqui do terceiro setor faz isso?
Bom, suponhamos que faça... E que algo aconteça para demandarmos o uso dessa cópia como prova... Imaginemos que alguém da ex-prefeitura do Rio de Janeiro, onde casos de corrupção envolvendo valores de milhões, possa se esquivar de sua condenação com a adulteração de uma simples linha de texto numa antiga matéria do Diário Oficial do Rio... É bem plausível.
O tema é importante pois, apesar de existirem meios técnicos e jurídicos para garantir um "mar de rosas", nada está de fato implementado, nem da nossa parte, como terceiro setor, nem da parte do governo; inclusive nos mares agitados do Rio de Janeiro e dos últimos 10 anos de publicação do seu Diário Oficial.
Estamos buscando meios para comprovar digitalmente a autenticidade das matérias publicadas e não-publicadas (contratos ficam separados em outro lugar e raramente chegam ao público!) dos diários oficiais no Brasil.
Abri essa issue para discutirmos diferentes estratégias de implementação de checksums criptográficas no TrazDia.
O tema ganhou maior apelo essa semana, com a descoberta de algoritmos para a construção de dois documentos PDF bem distintos porém com mesma SHA1... Disponível para se comprovar no seu terminal Linux: ver How to improve long-term duration of standard checksum for authenticity purposes?