Vídeo: Como funciona a criptografia? (Outubro 2024)
Enquanto as crescentes ansiedades americanas sobre o terrorismo se deparam com sua desconfiança arraigada na autoridade, o resultado foi um debate surpreendentemente robusto sobre criptografia e direitos digitais.
Várias agências policiais criticaram o quão forte a criptografia torna a Web "obscurecida", ou seja, impede sua capacidade de ler a Matrix sem restrições em busca de bandidos e suas intenções nefastas. (Nesse caso, "escurecer" pode se sobrepor com - mas não deve ser considerado sinônimo de - "The Dark Web", que se refere ao ventre ocasionalmente decadente que vive na rede Tor).
Ao mesmo tempo em que as autoridades buscam aprimorar seus poderes de vigilância digital, os defensores da privacidade estão pressionando por mais criptografia padrão, a fim de proteger as liberdades civis dos usuários que geralmente desejam mais trocar privacidade por conveniência.
Para esse fim, legisladores de todos os níveis propuseram projetos de lei que limitarão (ou, em alguns casos, proibirão) o acesso do público a coisas como iPhones criptografados, enquanto outros propuseram legislação que o impulsionaria. (E devemos observar que a disputa política sobre a criptografia foi refrescantemente ilimitada pelas divisões partidárias entrincheiradas de hoje. Existem republicanos e democratas nos dois lados da questão - provavelmente não vai durar, mas esse debate não tribal sobre políticas é um bom mudança de ritmo.)
De muitas maneiras, o debate sobre criptografia é muito particular neste exato momento da história tecnológica. Se as coisas realmente "escurecessem" em uma vasta escala, levaria essencialmente as autoridades a um período anterior à Internet, quando era mais difícil bisbilhotar remotamente. Enquanto isso, a proteção oferecida pelos telefones criptografados está rapidamente se tornando tecnologicamente peculiar, à medida que as agências de inteligência mudam sua atenção, passando de smartphones para residências inteligentes. Sim, sua TV inteligente pode estar denunciando você (o que está longe de ser uma fantasia paranóica).
Conversamos com vários especialistas em privacidade digital para um experimento sobre como seria a Internet se a criptografia forte e onipresente fosse a regra e não a exceção (e se isso fosse possível).
Se todos os dispositivos e comunicações fossem criptografados por padrão, os usuários reconheceriam uma diferença na experiência final?
Amie Stepanovich, gerente de políticas dos EUA, acesse agora : existem diferentes tipos de criptografia. Há criptografia de trânsito e criptografia no armazenamento. Quando você fala sobre criptografia de trânsito, é isso que você obtém quando vê HTTPS: no início de um URL. Muitas empresas demoraram a fazer a transição para isso porque havia um argumento de que era mais lento ou que quebrou as coisas. Pelo menos a discussão sobre ser mais lento caiu no esquecimento.
Em 2011, houve uma grande invasão do Gmail pela China. Na época, o Gmail não estava usando criptografia de trânsito. Eles disseram que era porque tornaria as coisas mais lentas. E depois do hack da China, eles ficaram tipo 'Ah, talvez devêssemos colocar isso em prática'. E isso realmente não afetou a experiência do usuário. As pessoas não tinham ideia de que a mudança havia ocorrido, exceto que eram muito mais seguras do outro lado.
Quando se trata de formas mais robustas de criptografia, há mais alguns benefícios de custo a serem considerados. Por exemplo, a criptografia de ponta a ponta nem sempre é pesquisável e não está disponível em dispositivos nos quais você não tem uma chave instalada. Portanto, você não pode, por exemplo, verificar e-mail entre dispositivos. Depende da implementação e do nível de segurança que você está procurando. Na maioria das vezes você nem vai reconhecê-los.
A criptografia garante que todos os seus dados permaneçam privados?
AS: não é necessariamente o fim da história… se você armazenar algo na nuvem da Apple, a Apple terá acesso a ela. Mesmo que todos tenham um iPhone criptografado padrão, ele não protege seus dados depois que você sincroniza suas informações com a nuvem.
A regra geral é que, se você possui informações sobre um dispositivo e o deixa cair em uma poça, ele morre, mas ainda pode obter acesso aos seus dados, eles não são completamente seguros.
Muitas pessoas ativam a sincronização por conveniência, porque desejam obter acesso aos dados nos dispositivos. A idéia de que estamos caminhando para a criptografia onipresente e todo mundo vai ficar obscuro é bastante falso, porque as pessoas têm um motivo para não usar a segurança mais forte - os usuários podem querer que a Apple armazene suas informações na nuvem porque deseja fazer backup delas e ter acesso a ele de muitos lugares, mas eles devem saber que a Apple terá acesso a essas informações.
A criptografia nega os recursos de coleta de inteligência que Edward Snowden revelou, como o PRISM, que permite à NSA pesquisar no e-mail de qualquer pessoa apenas pesquisando seu nome?
Peter Eckersley, cientista-chefe da Electronic Frontier Foundation : Infelizmente, não estamos perto de ter nenhum tipo de criptografia que proteja o conteúdo do seu email contra um ataque do tipo PRISM. Precisamos criar essas coisas, mas a criptografia forte que está sendo debatida no momento não faz isso. Talvez estejamos chegando lá com mensagens de texto, mas ainda não temos como criptografar e-mails de ponta a ponta. Não é prático.
Serviços como o Silent Circle ou o Whisper oferecem criptografia de ponta a ponta, mas ainda não são um substituto prático para o email. Existe uma tecnologia chamada PGP que existe há algum tempo, mas ainda não é prática para o email para a maioria das pessoas.
Existem algumas grandes diferenças técnicas entre email e mensagens de texto que tornam o email muito mais difícil: as pessoas esperam ter todos os emails antigos; eles esperam poder pesquisar todos os seus e-mails antigos com muita rapidez a partir de um telefone, mesmo que possuam 10 GB de mensagens que não puderam armazenar localmente no dispositivo. As plataformas de email de hoje têm recursos sofisticados de filtragem e priorização de spam que foram incorporados a essas plataformas de email. Replicar toda essa funcionalidade em um sistema criptografado de ponta a ponta é um problema não resolvido.
Na era dos supercomputadores, existe mesmo a criptografia inquebrável?
AS: Existem ataques de força bruta que levariam anos - até centenas de milhões de anos - para acessar informações criptografadas. Essa é a maneira mais difícil de obter acesso. Em muitos casos, será impossível. É por isso que quando as pessoas querem obter acesso às informações - sejam hackers ou governos - elas as fazem de maneira diferente.
Eles podem incentivar o uso de uma vulnerabilidade que eles podem quebrar. Ou eles podem instalar um malware que lhes permite acessar o seu dispositivo - independentemente de você estar usando criptografia padrão ou não, porque eles estão no seu dispositivo e podem ver as informações não criptografadas.
Foi o que aconteceu no Cazaquistão. O governo exigia que os cidadãos instalassem uma vulnerabilidade exigida pelo governo em seus dispositivos. Portanto, não importa quanta criptografia você está usando ou como está usando - eles são os proprietários dos dispositivos. Todos os computadores e telefones possuem esse programa, que presumivelmente permite que as informações criptografadas sejam descriptografadas.
As vulnerabilidades e backdoors são sempre criadas com o conhecimento dos fabricantes?
AS: Eles podem ser inseridos com ou sem o conhecimento do fabricante… Em um exemplo, sabemos que a NSA e o GCHQ tiveram acesso às chaves do cartão SIM. Nesse caso, não temos motivos para acreditar que o fabricante sabia que as chaves do cartão SIM haviam sido comprometidas, mas estavam comprometidas da mesma forma. Então, existem muitas maneiras diferentes.
Criar um backdoor é realmente muito mais difícil com o software de código aberto, e é por isso que muitos tecnólogos o defendem.
Um governo poderia banir completamente a criptografia se realmente quisesse? Parece que alguém poderia simplesmente projetar em torno disso.
PE: Se o FBI quiser criar novas backdoors nos sistemas, isso não afetará os programadores que criam seu próprio software. As autoridades, no entanto, podem restringir os tipos de serviços que as grandes corporações podem fornecer ao público americano.
Você mesmo pode instalar um software criptográfico forte, mas o governo pode restringir a capacidade da Apple ou do Google de oferecer a você um produto conveniente que mantenha você ou sua empresa segura.
A criptografia padrão realmente frustraria a capacidade dos governos de controlar as coisas?
PE: criptografia forte por padrão seria uma grande vitória. Um exemplo de coisas que acontecem quando você tem, digamos, uma versão criptografada forte da Wikipedia é que os governos não podem censurar artigos específicos da Wikipedia. Já vimos muitos governos ao redor do mundo que desejam permitir a Wikipedia, mas desejam bloquear artigos específicos dos quais eles realmente não gostam. Ter uma criptografia forte significa que uma conexão com a Wikipedia não pode ser facilmente distinguida de qualquer outra conexão; portanto, o governo precisa permitir que as pessoas leiam livremente.
Estamos lutando para aumentar o uso da criptografia de trânsito há décadas. E fizemos um enorme progresso. Mas sabemos que, infelizmente, depois de instalar essa criptografia, ainda existem muitas coisas que podem dar errado se você estiver sendo atacado por um hacker ou uma agência de inteligência. Isso inclui malware que chega ao seu computador ou violações de dados no servidor. Portanto, você tem uma conexão criptografada segura com um site, mas o banco de dados que o site foi invadido separadamente, então todos os dados inseridos nele estão vulneráveis.
Existe uma técnica chamada "análise de tráfego", onde, em vez de ler o conteúdo das comunicações que seu computador está enviando, as pessoas pesquisam o padrão dentro dessas comunicações. E, infelizmente, há uma quantidade enorme que pode ser aprendida com esse tipo de análise e metadados de dados. Portanto, estamos apenas no início de uma longa luta para proteger os usuários da Internet e a Internet contra esses problemas. Você pode ter certeza de que, até que tenhamos sucesso, bandidos, sejam eles hackers ou governos, usarão essas técnicas contra nós.
Qual é exatamente o problema de os governos terem a capacidade de passar por um backdoor para examinar informações criptografadas em um dispositivo, desde que passem pelos desafios legais adequados?
AS: Quando as pessoas dizem backdoors e vulnerabilidades, é uma abreviação de várias abordagens diferentes que o governo pode adotar para manter seu acesso aos dados.
Um método é quando o governo permite que uma empresa implemente algum tipo de criptografia, mas insiste que ela tem algum tipo de vulnerabilidade ou defeito que ainda permite que eles entrem.
O problema é que você não pode ter um defeito que não pode ser explorado por todos. Quando existe um buraco lá, qualquer um pode bisbilhotar e procurar por esse buraco… essas coisas acabam sendo descobertas. Talvez não imediatamente, mas eles serão eventualmente. Eles vão ser arrombados, e eles vão ser arrombados pelos bandidos.
As entrevistas foram realizadas separadamente por telefone e Skype e as respostas foram editadas por questões de brevidade e clareza .
