A compreensão das interfaces HI1 HI2 HI3 é fundamental para implementar corretamente a interceção legal. No centro de cada sistema de interceção legal está um conjunto de interfaces normalizadas que regem a forma como as comunicações interceptadas são geridas, processadas e entregues às autoridades policiais. No quadro do ETSI - a norma dominante para a LI na Europa e em grande parte do mundo - estas interfaces são designadas HI1, HI2 e HI3. Em conjunto, formam a arquitetura completa da transferência que liga a rede de um operador à instalação de monitorização da aplicação da lei (LEMF). Apesar da sua importância fundamental, as distinções entre estas três interfaces são frequentemente mal compreendidas, mesmo pelos profissionais que trabalham nos sectores das telecomunicações e da aplicação da lei.
Este artigo fornece uma explicação clara e pormenorizada de cada interface - o que transporta, como funciona e porque é importante. Compreender a HI1, a HI2 e a HI3 não é apenas um exercício académico; é essencial para qualquer pessoa envolvida na conceção, aquisição, implementação ou operação de um sistema de interceção legal.
Compreender as interfaces HI1 HI2 HI3
Antes de examinar cada interface individualmente, é importante compreender a sua posição na arquitetura mais ampla da IL. O modelo ETSI divide o processo de interceção em vários componentes funcionais. Do lado do operador, os principais componentes são a função de interceção interna (IIF), que efectua a interceção propriamente dita no interior da rede, e a função de mediação (MF), que traduz os dados interceptados para os formatos normalizados exigidos pelas interfaces de transmissão. No que respeita à aplicação da lei, a LEMF recebe os dados interceptados e fornece ferramentas para análise e investigação.
As três interfaces HI abrangem a fronteira entre o domínio do operador e o domínio da aplicação da lei. A HI1 trata do intercâmbio administrativo, a HI2 transmite informações relacionadas com a interceção e a HI3 transmite o conteúdo das comunicações. Cada interface funciona de forma independente, embora as três devam trabalhar em conjunto para apoiar uma operação de interceção completa. A separação destas funções em interfaces distintas garante que os aspectos administrativos, de metadados e de conteúdo da interceção possam ser geridos, protegidos e processados de acordo com os seus diferentes requisitos.
HI1: A interface administrativa
O HI1 é a interface administrativa entre os serviços responsáveis pela aplicação da lei e o operador. O seu principal objetivo é transmitir a ordem de interceção do serviço de aplicação da lei ao operador e gerir o ciclo de vida da interceção - desde a ativação, passando pela modificação, até à desativação. O HI1 é o canal de comando e controlo do processo de interceção.
Através do HI1, a autoridade responsável pela aplicação da lei comunica os detalhes da ordem de interceção, incluindo a identidade do alvo (que pode ser especificada pelo número de telefone, IMSI, IMEI, endereço IP, endereço de correio eletrónico ou outro identificador), o âmbito da interceção (apenas conteúdo, apenas metadados ou ambos), a duração autorizada e quaisquer parâmetros ou restrições específicos. O operador acusa a receção da ordem, confirma a ativação e informa sobre o estado da interceção.
O HI1 também trata das alterações a uma interceção existente - por exemplo, prolongando a duração, alterando o identificador do alvo ou ajustando o âmbito - e da desativação da interceção quando a autorização expira ou é revogada. Em algumas aplicações, o HI1 também suporta a troca de metadados administrativos, como números de mandados, referências de processos e códigos de resposta do operador.
A implementação do HI1 varia significativamente consoante as jurisdições e os operadores. Nalguns países, o HI1 é uma interface máquina-a-máquina totalmente automatizada, que utiliza protocolos e formatos de mensagem definidos. Noutros, continua a ser um processo em grande parte manual, com ordens de interceção entregues por fax, correio eletrónico seguro ou documento físico e reconhecidas através de canais semelhantes. As normas ETSI definem as funções lógicas do HI1, mas permitem uma flexibilidade considerável na sua aplicação específica, reconhecendo que as disposições jurídicas e institucionais nacionais variam muito.
A segurança é uma preocupação fundamental para o HI1, uma vez que contém informações sensíveis sobre operações de interceção activas. O acesso não autorizado ao HI1 pode revelar ao alvo a existência de uma interceção ou permitir a ativação de intercepções não autorizadas. Por conseguinte, as aplicações devem incluir uma autenticação forte, cifragem, controlos de acesso e registo de auditoria.
HI2: A interface de informação relacionada com a interceção
O HI2 é a interface para o fornecimento de informações relacionadas com a interceção (IRI) à LEMF. As IRI são os metadados associados às comunicações interceptadas - quem, quando, onde e como da comunicação, sem o conteúdo propriamente dito. A HI2 é frequentemente descrita como a interface de metadados, e as informações que transporta são cruciais para as investigações policiais, fornecendo frequentemente tanto ou mais valor de investigação do que o próprio conteúdo.
O IRI entregue através do HI2 inclui normalmente as identidades das partes comunicantes (números chamador e chamado, IMSI, IMEI), a hora e a duração da comunicação, o tipo de serviço (voz, SMS, dados), os elementos de rede envolvidos, os identificadores de célula e as informações de localização, os endereços IP e os números de porta e as informações de sinalização, como os cabeçalhos SIP ou as mensagens Diameter. Os elementos de dados específicos incluídos no IRI variam consoante o tipo de comunicação e a tecnologia de rede e são definidos em pormenor na série ETSI TS 102 232.
Os dados HI2 são codificados utilizando ASN.1 (Abstract Syntax Notation One), que fornece um formato formal e estruturado para representar os elementos de dados IRI. A utilização do ASN.1 garante que os dados podem ser codificados e descodificados sem ambiguidade em diferentes implementações, apoiando a interoperabilidade entre operadores e agências de aplicação da lei. O transporte dos dados HI2 é normalmente protegido por TLS e o mecanismo de entrega pode utilizar protocolos baseados em TCP para garantir uma entrega fiável.
Uma das complexidades do HI2 é a necessidade de gerar eventos IRI em tempo real à medida que a comunicação interceptada progride. Para uma chamada de voz, isto significa gerar eventos de estabelecimento da chamada, toque, resposta, modificação da chamada (como espera ou conferência) e libertação da chamada. Para uma sessão de dados, tal significa gerar eventos para o estabelecimento da sessão, a atribuição de endereços, a ativação do portador e o fim da sessão. A função de mediação deve ser capaz de monitorizar os protocolos de sinalização relevantes e gerar os eventos IRI correspondentes com marcas temporais precisas.
O HI2 é particularmente importante para investigações que envolvam o rastreio de localização, a análise de redes e a avaliação de padrões de vida. Os metadados fornecidos pelo HI2 podem revelar padrões de comunicação, movimentos geográficos e utilização da rede que são fundamentais para muitos tipos de investigação criminal. Para os operadores, garantir a integridade e a exatidão dos dados HI2 é uma métrica de qualidade fundamental para os seus sistemas de LI.
HI3: O conteúdo da interface de comunicação
O HI3 é a interface que permite transmitir o conteúdo das comunicações (CC) à LEMF. O CC é a substância real da comunicação interceptada - o áudio de voz, o texto SMS, as páginas Web visualizadas, os e-mails enviados e recebidos, os ficheiros transferidos. O HI3 é a interface que transporta o material de que as forças da ordem necessitam para compreender o que o alvo está a comunicar, por oposição aos metadados sobre como e quando a comunicação ocorre.
O formato e o volume dos dados CC variam enormemente em função do tipo de comunicação interceptada. No caso das chamadas de voz, o CC é um fluxo de áudio em tempo real, normalmente codificado utilizando codecs padrão como AMR (Adaptive Multi-Rate) ou G.711. No caso das sessões de dados, o CC consiste nos pacotes IP trocados pelo alvo, que podem incluir tráfego Web, mensagens de correio eletrónico, transferências de ficheiros, streaming media e qualquer outro tipo de comunicação baseada em IP. O volume de dados gerado por uma única interceção de dados pode ser ordens de grandeza superior ao gerado por uma interceção de voz.
A entrega do HI3 deve ser em tempo real para a voz e quase em tempo real para os dados. O conteúdo intercetado deve ser entregue ao LEMF com uma latência mínima para apoiar as investigações críticas em termos de tempo. Os mecanismos de transporte definidos pelo ETSI para o HI3 utilizam ligações TCP ou UDP seguras, consoante o tipo de suporte. O conteúdo de voz é normalmente transportado utilizando RTP (Real-time Transport Protocol) encapsulado num invólucro de transporte seguro, enquanto o conteúdo de dados pode ser entregue como pacotes IP brutos ou utilizando encapsulamento específico de protocolo.
O tratamento de conteúdos cifrados no HI3 é um dos aspectos mais difíceis da moderna LI. Se as comunicações do alvo forem cifradas no nível da aplicação (por exemplo, utilizando a cifragem de ponta a ponta numa aplicação de mensagens), o operador só poderá entregar o conteúdo cifrado no HI3, o que tem um valor limitado para a aplicação da lei. As normas ETSI especificam que os operadores devem entregar qualquer conteúdo a que sejam tecnicamente capazes de aceder, mas a crescente prevalência da cifragem está a criar um fosso cada vez maior entre o que as autoridades policiais esperam e o que os operadores podem entregar.
Como as três interfaces funcionam em conjunto
Numa operação de interceção típica, as três interfaces funcionam em conjunto da seguinte forma. Primeiro, a autoridade policial transmite uma ordem de interceção ao operador via HI1, especificando o alvo, o âmbito e a duração. O sistema de gestão de LI do operador processa a ordem, valida o mandado e configura a função de interceção interna para começar a intercetar as comunicações do alvo.
Quando o alvo inicia ou recebe uma comunicação, a função de interceção interna capta os dados de sinalização e de conteúdo relevantes. A função de mediação processa estes dados, gerando eventos IRI e codificando-os no formato ASN.1 para entrega através do HI2, e encapsulando o CC para entrega através do HI3. Ambos os fluxos são transmitidos de forma segura para o LEMF, onde são correlacionados e apresentados aos investigadores.
Durante toda a interceção, o HI1 permanece ativo para fins administrativos - a agência de aplicação da lei pode utilizá-lo para solicitar actualizações de estado, modificar os parâmetros de interceção ou emitir uma ordem de desativação. Quando a interceção termina, o operador confirma a desativação através do HI1 e cessa a entrega de IRI e CC através dos HI2 e HI3.
Considerações práticas para os operadores
Os operadores que implementam as três interfaces HI devem ter em conta várias considerações de ordem prática. A primeira é o dimensionamento do sistema. As interfaces HI2 e HI3 devem ser dimensionadas para lidar com o volume esperado de interceptações simultâneas sem perda de dados ou latência excessiva. No caso de intercepções com grande volume de dados, os requisitos de largura de banda para a HI3 podem ser substanciais, pelo que os operadores devem garantir que a sua infraestrutura de entrega está adequadamente aprovisionada.
A segunda consideração é a segurança. As três interfaces transportam informações sensíveis e devem ser protegidas contra o acesso não autorizado, a escuta e a adulteração. Para tal, é necessária a cifragem de extremo a extremo, a autenticação mútua e um registo exaustivo de auditorias. As falhas de segurança em qualquer uma das três interfaces podem comprometer a integridade do processo de interceção e expor potencialmente operações sensíveis de aplicação da lei.
A terceira consideração é a interoperabilidade. Os operadores devem garantir que as suas implementações de HI são compatíveis com os sistemas utilizados pelos serviços de aplicação da lei na sua jurisdição. Normalmente, isto requer testes formais de interoperabilidade, o que pode ser um processo moroso. Os operadores devem colaborar com os seus contactos técnicos nacionais de aplicação da lei no início do processo de desenvolvimento para identificar e resolver problemas de compatibilidade.
Conclusão
As interfaces HI1, HI2 e HI3 constituem a espinha dorsal da arquitetura de transferência da interceção legal do ETSI. A HI1 fornece o canal de controlo administrativo, a HI2 fornece os metadados ricos que são essenciais para as investigações e a HI3 transporta o conteúdo real das comunicações interceptadas. Em conjunto, permitem uma capacidade de interceção completa, baseada em normas, que apoia as necessidades dos operadores e das autoridades policiais. Compreender os diferentes papéis, requisitos técnicos e desafios práticos de cada interface é essencial para qualquer pessoa envolvida na conceção, implementação ou operação de sistemas de interceção legal em redes de telecomunicações modernas.
A implementação correta das interfaces HI1 HI2 HI3 é essencial para o cumprimento da interceção legal. Os operadores devem testar exaustivamente as suas implementações HI1 HI2 HI3 antes de entrarem em funcionamento.
Artigos relacionados
Para mais informações sobre temas relacionados, consulte estes artigos:
- Explicação da ETSI TS 103 120: Interfaces de Handover para redes IP modernas
- IRI vs CC: o que significa na prática a informação relacionada com a interceção
- Interfaces X1/X2/X3 em 5G: a arquitetura 3GPP LI explicada
Recursos externos
Os seguintes recursos externos fornecem contexto adicional e documentação oficial:
