Por que a criptografia de dados continua sendo um problema realmente complexo

Em 2013, um jovem chamado Ross Ulbricht foi preso em uma biblioteca pública em São Francisco nos Estados Unidos, distraído por dois agentes do FBI posando como um casal no meio de um argumento alto e apaixonado. Essa distração se mostrou crucial quando outro agente entrou no laptop de Ulbricht antes que ele pudesse fechá-lo. Se Ulbricht a tivesse fechado, o disco rígido do computador teria se criptografado e tornado muito mais difícil provar o argumento do governo dos EUA contra o homem.

Qual foi o crime de Ulbricht? O jogador de 29 anos tinha um mercado criminal on-line chamado Silk Road, e seu laptop mostrou que ele ainda estava logado como administrador do site e forneceu aos federais um diário detalhado de cada movimento e ação criminosa. Em fevereiro de 2015, ele foi condenado por lavagem de dinheiro , hacking e conspiração para cometer tráfico de drogas. Os arquivos copiados de seu disco rígido antes que pudessem ser criptografados foram cruciais para a acusação .

Um defensor de Ross Ulbricht, o criador e operador do mercado subterrâneo da Rota da Seda, fica em frente a um tribunal federal de Manhattan no primeiro dia de seleção do júri para o julgamento de Ulbricht.

Criptografia em todo lugar

Desde a prisão de Ulbricht, a criptografia tornou-se mais difundida, com tudo, desde iPhones até o aplicativo Messenger do Facebook. Muitos dispositivos anunciam a criptografia como um ponto de venda. As autoridades estaduais e federais de segurança e cumprimento da lei estão menos enamoradas disso, não surpreendentemente. Escrevendo em 2015 , o Promotor do Condado de Nova York Cyrus R. Vance Jr. observou “réus criminais acusados ​​de todos os tipos de crimes, incluindo estupro, sequestro, roubo, promoção de pornografia infantil, furto e presumivelmente por interessados ​​em cometer atos de terrorismo”. “Apreciamos a segurança que o sistema operacional iOS 8 ofereceu a eles.

“Os réus criminosos em todo o país são os principais beneficiários do iOS 8, e a segurança de todas as comunidades americanas está ameaçada por ele”, escreveu Vance.

A questão de longa data ficou sob escrutínio particular em 2016, depois que o FBI e a Apple discutiram o acesso ao iPhone do atirador de San Bernardino, Syed Farook ( o FBI acabou ganhando acesso ). Em 2017, o FBI disse que estava em quase 7.800 dispositivos criptografados que a agência alegou conter evidências críticas para colocar mais criminosos atrás das grades. A agência posteriormente revisou essa estimativa para baixo, para menos de 2.000, escreve ZDnet .

O impasse de criptografia

O que fazer com esses dispositivos criptografados? Bem, o Departamento de Justiça dos EUA fez lobby por uma lei determinando que as empresas de tecnologia desenvolvam ferramentas que permitam que as forças de segurança contornem a criptografia e acessem os dados nos dispositivos de seus clientes. Nenhuma lei foi elaborada, mas a agência ainda está investigando o assunto .

Esse esforço não é sem precedentes. Em 1993, o Congresso considerou uma lei determinando o uso do chamado “chip Clipper”, que armazenaria uma cópia de uma chave de criptografia para a aplicação da lei e permitiria a descriptografia de arquivos seguros com um mandado. O chip, no entanto, teve sérias vulnerabilidades técnicas e foi recebido com uma reação massiva que matou o projeto apenas três anos depois.

Então, o que o DOJ está pedindo? “Estamos convocando empresas de tecnologia a desenvolver uma solução técnica que lhes permita responder a ordens judiciais legítimas sem comprometer fatalmente a segurança” e apoiar padrões de criptografia robustos, enviando um e-mail a um porta-voz do DOJ que pediu para não ser identificado.

Uma maneira de fazer isso sem comprometer a criptografia simplesmente não existe, escreveu o especialista em segurança cibernética Matt Blaze em um editorial de 2015 do Washington Post . (Blaze publicou o guia para as vulnerabilidades do chip Clipper em 1994). Além disso, tal solução criaria efetivamente um backdoor explorável. Isso é extremamente consequencial. Quando os programadores aplicam um algoritmo de criptografia, eles usam uma biblioteca de abordagens comprovadas. Esses algoritmos são desenvolvidos por especialistas que têm graus avançados em matemática e são totalmente testados na natureza. Os mesmos algoritmos que criptografam suas mensagens de texto em um iPhone e no disco rígido do seu laptop são praticamente os mesmos tipos de algoritmos que criptografam suas compras on-line e sessões bancárias.

Consequências de longo alcance

E é por isso que enfraquecer a criptografia é uma cura muito pior que a doença. Contamos com algoritmos de criptografia para proteger nossos dados privados e o mercado de comércio eletrônico global de quase US $ 2,8 trilhões . Um backdoor que permite a terceiros ler detalhes de transações significa que haverá uma maneira interna de espionar inúmeras compras com cartão de crédito. Ele também pode ser usado para capturar sessões bancárias on-line e outros dados pessoais úteis para fraudes de chantagem, identidade e cartão de crédito. Hoje, esse tipo de invasão exige que o usuário forneça aos hackers acesso a seus computadores e conexões à Internet. Um backdoor tornaria tal bisbilhotice muito mais fácil porque nada seria exigido das vítimas além do uso da web.

Compras on-line não seriam mais seguras, já que atualmente transações altamente criptografadas seriam triviais para descriptografar. O banco on-line seria como dar aos estranhos aleatórios uma cópia de seus extratos bancários junto com números de conta e roteamento. E enquanto o e-commerce global se expande, os terminais de processamento de cartões de crédito em lojas físicas também ficam profundamente comprometidos porque também executam os mesmos algoritmos para proteger seus dados. O dinheiro se tornaria a única maneira segura de comprar coisas, restaurando a economia global décadas atrás. Mesmo assim, usar o caixa eletrônico significa correr o risco de ter seus números de PIN e cartão de débito inseridos em uma rede agora facilmente penetrável.

Mas apenas o governo teria esses atalhos ou chaves de esqueleto, certo? Errado. Se a criptografia é enfraquecida para os governos, ela também é enfraquecida por hackers porque você está efetivamente resolvendo uma equação para a qual há apenas uma resposta. É impossível resolver o mesmo problema de matemática e chegar a duas respostas completamente diferentes, dependendo da pessoa resolvê-lo. E se há uma chave-mestra para quebrar a criptografia para a aplicação da lei, as pessoas que têm acesso a ela podem ser milionárias muitas vezes vendendo-a a hackers, e algumas delas inevitavelmente o farão.

Por sua parte, um porta-voz do DOJ observa via e-mail que o termo backdoors de criptografia “é inútil e não é o que o Departamento de Justiça está buscando”, acrescentando que “o acesso reduzido ao conteúdo de dados obtidos legalmente não é apenas um problema apenas para os governos”. mas uma responsabilidade mútua para todas as partes interessadas “. O porta-voz também escreve que “os governos dos Cinco Olhos encorajam os provedores de serviços de tecnologia da informação e comunicação a estabelecer voluntariamente soluções de acesso legal a seus produtos e serviços que criam ou operam em nossos países”.

Embora isso pareça anódino o suficiente do ponto de vista político, a falta de especificidade indica que o DOJ quer descriptografar dados sob comando com um mandado, apesar de especialistas em segurança dizerem que tal maneira simplesmente não existe devido às regras da matemática. Aconteça o que acontecer, uma coisa é certa: a criptografia continuará sendo uma questão ferozmente disputada nos próximos anos.