Hash, pra que te quero?

O termo hash é cada vez mais presente em laudos periciais, decisões judiciais e documentos técnicos relacionados à prova digital. Para operadores do direito — advogados, promotores, juízes, defensores públicos e acadêmicos — compreender de forma clara o que significa e como se aplica esse conceito é essencial para interpretar e avaliar corretamente evidências digitais. Essa compreensão precisa estar alinhada a padrões técnicos como a ABNT NBR ISO/IEC 27037, à RFC 3227, aos artigos 158-A a 158-F do Código de Processo Penal e os POPs do SENASP de 2013 e 2024.

Em essência, um hash é o resultado da aplicação de uma função matemática unidirecional que transforma qualquer conjunto de dados, seja um texto, imagem, vídeo ou documento, em uma sequência fixa de caracteres. Essa sequência, normalmente expressa em hexadecimal, atua como uma “impressão digital” do conteúdo, permitindo verificar se ele sofreu alterações. Por exemplo, ao processar a palavra “Justiça” pelo algoritmo SHA-256, obtemos um valor único de 64 caracteres (b0c3edbd52f5d8b63a6a169b1dba75a02cdb4de47647921c168c2e2f4fd5f97a) que representa fielmente aquele conteúdo. Se qualquer detalhe do arquivo mudar, mesmo que seja apenas um espaço ou letra, o hash resultante será completamente diferente.

Existem diversos algoritmos para calcular hashes, cada um com tamanhos e características específicas. Alguns, como o MD5 e o SHA-1, foram amplamente utilizados no passado, mas hoje são considerados inseguros para aplicações críticas, pois já existem métodos para forçar colisões. Outros, como o SHA-256, SHA-512 e a família SHA-3, permanecem robustos e recomendados para trabalhos periciais e aplicações que exigem alto nível de confiabilidade.

A segurança de um algoritmo de hash está diretamente ligada à sua resistência contra três tipos de ataques: colisões, pré-imagem e segunda pré-imagem. A colisão acontece quando dois conteúdos diferentes geram o mesmo hash — um cenário raro, mas comprovado em algoritmos mais antigos. Já a resistência à pré-imagem impede que se descubra o conteúdo original a partir do hash, e a resistência à segunda pré-imagem dificulta encontrar outro arquivo com o mesmo hash de um conteúdo específico. É justamente por essas características que algoritmos ultrapassados não devem ser utilizados para preservar evidências digitais que possam ser contestadas judicialmente.

No contexto da perícia digital, o hash desempenha um papel central na garantia da integridade, autenticidade e integralidade da prova. A integridade assegura que o conteúdo não foi alterado desde sua coleta. A autenticidade relaciona o conteúdo à sua origem legítima, enquanto a integralidade garante que todos os elementos foram preservados de forma completa. A integralidade assegura que todos os arquivos foram apresentados por completo, e que não houve ocultação, omissão ou perca de nenhum arquivo, apresentando uma confiabilidade aos arquivos recebidos. Normas como a ISO 27037 e a RFC 3227 indicam que o cálculo do hash deve ser realizado antes e depois da aquisição da evidência, com o valor devidamente registrado em laudo e na cadeia de custódia. Esse procedimento garante que qualquer modificação posterior, intencional ou acidental, seja detectada.

Contudo, é preciso compreender que o hash, por si só, não é prova absoluta de autenticidade. É fundamental questionar quem calculou o hash, em que momento da cadeia de custódia ele foi obtido, qual algoritmo foi utilizado e se todo o processo seguiu normas técnicas reconhecidas. Um hash isolado, sem contexto e sem documentação adequada, não passa de um número sem significado probatório.

Para que profissionais sem formação técnica aprofundada possam trabalhar com hashes, existem diversas ferramentas gratuitas e acessíveis. Softwares como HashCalc, QuickHash GUI, HashMyFiles permitem calcular hashes de forma simples e segura. Plataformas online como OnlineHashTools, Hash file online e MD5 File facilitam o cálculo e a verificação, mas para uso judicial é sempre recomendável realizar o cálculo em ambiente offline, evitando que a evidência seja enviada a terceiros.

Um exemplo relevante é um caso julgado pela 5ª Turma do Superior Tribunal de Justiça. Nele, a polícia coletou computadores durante uma operação contra um grupo acusado de furtos eletrônicos a instituições financeiras. Antes mesmo da perícia oficial, os equipamentos foram analisados por técnicos de um banco vítima, sem qualquer documentação formal sobre como isso ocorreu. Quando a polícia finalmente fez sua própria perícia, não registrou a metodologia usada, nem apresentou evidências de que os arquivos extraídos eram idênticos aos originais.

O ministro Ribeiro Dantas, relator vencedor, destacou que a ausência de registro de procedimentos e a inexistência de cálculo e preservação de valores hash configuraram uma grave quebra da cadeia de custódia. Sem essa documentação, não havia como comprovar que os dados apresentados em juízo eram efetivamente os mesmos encontrados nos equipamentos apreendidos. A decisão resultou na anulação dessas provas digitais, reforçando o entendimento de que cabe ao Estado garantir e demonstrar a integridade das evidências que apresenta.

Esse caso evidencia um ponto essencial: não basta alegar que uma evidência digital é autêntica; é preciso comprovar sua integridade com base em métodos técnicos confiáveis. O cálculo de um hash no momento da coleta, repetido e comparado em cada etapa subsequente, é um desses métodos, e sua ausência fragiliza a credibilidade da prova.