Índice:
Em maio de 2013, Edward Snowden iniciou o lançamento de um documento que abalaria nossa percepção de comunicações digitais criptografadas. Agora, especialistas em segurança, pessoas que confiam na criptografia e até os próprios criadores de aplicativos de criptografia estão preocupados com a possibilidade de ser impossível confiar novamente na criptografia.
O que há para não confiar?
É uma questão complicada, especialmente porque parece que a matemática por trás da criptografia ainda é sólida. O que foi questionado no ano passado é como a criptografia foi implementada. Organizações, como o Instituto Nacional de Padrões e Testes (NIST) e a Microsoft, estão no lugar quente por supostamente comprometer os padrões de criptografia e conspirar com agências governamentais.
Em novembro de 2013, os documentos divulgados pela Snowden acusavam o NIST de enfraquecer seu algoritmo de criptografia, permitindo que outras agências governamentais realizassem vigilância. Ao ser acusado, o NIST tomou medidas para se defender. De acordo com Donna Dodson, principal consultora de segurança cibernética do NIST neste blog, "as notícias sobre documentos sigilosos vazaram causaram preocupação da comunidade criptográfica sobre a segurança dos padrões e diretrizes de criptografia do NIST. O NIST também está profundamente preocupado com esses relatórios, alguns dos quais questionou a integridade do processo de desenvolvimento de padrões do NIST ".
O NIST está legitimamente preocupado - não ter a confiança dos especialistas em criptografia do mundo abalaria a fundação da Internet. O NIST atualizou seu blog em 22 de abril de 2014, adicionando Comentários Públicos Recebidos no NISTIR 7977: Processo de Desenvolvimento de Diretrizes e Normas Criptográficas NIST, comentários de especialistas que estudaram o padrão. Felizmente, o NIST e a comunidade criptográfica podem chegar a uma solução agradável.
O que aconteceu com o gigante fornecedor de software Microsoft foi um pouco mais nebuloso. De acordo com a Redmond Magazine, o FBI e a NSA pediram à Microsoft para criar um backdoor para o BitLocker, o programa de criptografia de unidade da empresa. Chris Paoli, autor do artigo, entrevistou Peter Biddle, chefe da equipe do BitLocker, que mencionou que a Microsoft foi colocada em uma posição embaraçosa pelas agências. No entanto, eles encontraram uma solução.
"Enquanto Biddle nega construir em um backdoor, sua equipe trabalhou com o FBI para ensiná-los a recuperar dados, incluindo o direcionamento das chaves de criptografia de backup dos usuários", explicou Paoli.
E o TrueCrypt?
A poeira quase caiu em torno do BitLocker da Microsoft. Então, em maio de 2014, a equipe de desenvolvimento secreta do TrueCrypt chocou o mundo da criptografia, anunciando que o TrueCrypt, o principal software de criptografia de código aberto, não estava mais disponível. Qualquer tentativa de acessar o site TrueCrypt foi redirecionada para esta página do SourceForge.net que exibia o seguinte aviso:
Mesmo antes do lançamento do documento Snowden, esse tipo de anúncio teria chocado aqueles que confiam no TrueCrypt para proteger seus dados. Adicione práticas de criptografia questionáveis, e o choque se tornará uma angústia séria. Além disso, os advogados de código aberto que apoiaram o TrueCrypt agora enfrentam o fato de que os desenvolvedores do TrueCrypt recomendam que todos usem o BitLocker, proprietário da Microsoft.
Escusado será dizer que os teóricos da conspiração tiveram um dia de campo com isso. Existem muitas opiniões diferentes quanto às razões por trás da decisão. No início, especialistas como Dan Goodin e Brian Krebs pensaram que o site havia sido invadido, mas depois de algumas verificações, ambos descartaram essa noção.
Duas teorias populares que se alinham a essa discussão:
- A Microsoft comprou o TrueCrypt para eliminar a concorrência (as instruções de migração do BitLocker alimentaram essa teoria).
- A pressão do governo forçou os desenvolvedores do TrueCrypt a fechar o site (semelhante ao que aconteceu com a Lavabit).
Essa falta de fé no código continua hoje. O fato de os criptografadores estarem realizando uma intensa revisão do TrueCrypt (IsTrueCryptAuditedYet) é um excelente exemplo da incerteza que continua a existir.
Em que podemos confiar?
Edward Snowden e Bruce Schneier disseram que a criptografia ainda é a melhor solução para manter os olhos curiosos longe das informações pessoais e da empresa.
Snowden, durante sua entrevista no SXSW com o principal tecnólogo da ACLU, Christopher Soghoian e Ben Wizner, também da ACLU, disse: "O ponto principal é que a criptografia funciona. Não precisamos pensar na criptografia como uma arte misteriosa e obscura, mas como proteção básica. para o mundo digital ".
Snowden então ofereceu um exemplo pessoal. A NSA tem trabalhado duro para descobrir quais documentos ele vazou, mas eles não fazem ideia, simplesmente porque não conseguem descriptografar seus arquivos. Bruce Schneier também é especialista em criptografia. Ainda assim, Schneier moderou seu apoio com um aviso.
"O software de código fechado é mais fácil para a NSA backdoor do que o software de código aberto. Os sistemas que dependem de segredos principais são vulneráveis à NSA, por meios legais ou mais clandestinos", disse ele.
Um pouco de ironia, o comentário de Schneier também foi feito antes do fechamento do TrueCrypt e antes que os desenvolvedores do TrueCrypt começassem a sugerir que as pessoas usassem o BitLocker. A ironia: TrueCrypt é de código aberto, enquanto o BitLocker é de código fechado.
