Reduzir a criptografia não é uma opção viável. O remédio seria pior que a doença
A recente visita da Presidente Dilma aos EUA parece virar uma página quanto a questão da cyber espionagem na Casa Civil há algum tempo atrás. Entretanto os movimentos políticos de acesso irrestrito à informação continuam na pauta dos governos de forma bem latente.
Por Abian Laginestra*
Hoje a discussão mais acalorada que ocorre no campo da privacidade está ocorrendo sem que muitas pessoas o saibam, uma solução abordada na seara política tanto nos USA, quanto UK é que os fabricantes de tecnologia devem entregar aos governos uma chave para que comunicações criptografadas sejam desbloqueadas e auditadas.
Por sorte um grupo formado por alguns dos criptógrafos mais eminentes do mundo, cientistas da computação e especialistas em segurança (Harold Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matthew Blaze, Whitfield Diffie, John Gilmore, Matthew Green, Peter G. Neumann, Susan Landau, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Michael Specter, and Daniel J. Weitzner) lançaram um documento, onde conclui-se que não há solução técnica viável que permitiria que os governos americano e britânico ganhem “acesso excepcional” para material criptografado em comunicações, sem colocar os dados confidenciais e as infraestruturas críticas em perigo.
Na síntese, os autores do relatório informam que os temores governamentais não justificam colocarem todas comunicações digitais do mundo em risco, devido as vulnerabilidades inerentes à Internet. Portanto reduzir a criptografia não é uma opção viável. O remédio seria pior que a doença.
Os especialistas disseram que mesmo as autoridades oficiais não seriam confiáveis para manter tais chaves a salvo de hackers e criminosos. Outro fator: o simples conhecimento de tal sistema seria um estimulo para que a China e outros governos em mercados estrangeiros emergentes de tecnologia fizessem o mesmo, enfraquecendo o design de segurança de hardware e software.
Disse o relatório:
“Esse acesso irá abrir portas pelas quais os criminosos e os estados-nação mal-intencionados podem atacar. A aplicação da lei seria prejudicial aos indivíduos e interesses comuns que a mesma procura defender”, ainda, “Os custos seriam substanciais, o dano seria grave para a inovação e as conseqüências para o crescimento econômico de difícil previsibilidade.”
“Third, exceptional access would create concentrated targets that could attract bad actors. Security credentials that unlock the data would have to be retained by the platform provider, law enforcement agencies, or some other trusted third party.
If law enforcement’s keys guaranteed access to everything, an attacker who gained access to these keys would enjoy the same privilege.
Moreover, law enforcement’s stated need for rapid access to data would make it impractical to store keys offline or split keys among multiple keyholders, as security engineers would normally do with extremely high-value credentials.
Recent attacks on the United States Government Office of Personnel Management (OPM) show how much harm can arise when many organizations rely on a single institution that itself has security vulnerabilities. In the case of OPM, numerous federal agencies lost sensitive data because OPM had insecure infrastructure.
If service providers implement exceptional access requirements incorrectly, the security of all of their users will be at risk.”
Enquanto os apelos dos governos para o acesso excepcional as comunicações criptografadas já têm atraído muitas críticas dos defensores da privacidade e das empresas de tecnologia, o relatório é o primeiro em uma análise técnica aprofundada e substancial das propostas meramente políticas do governo. Nada mais e nada menos que os principais criptógrafos e pensadores de segurança do mundo são contra essa proposta.
O grupo – que inclui Whitfield Diffie (Lembram-se da troca de chaves Diffie-Hellman?) e Ronald L. Rivest (R da chave da RSA), travaram um embate semelhante para o acesso de encriptação em 1997.
Naquela época, o grupo analisou os riscos técnicos e deficiências práticas de uma proposta na administração do então Presidente americano Clinton, o projeto foi chamado de Chip Clipper.
Clipper seria um backdoor em sistemas criptográficos, basicamente exigia que os fabricantes de tecnologia introduzissem um chip de hardware em seus produtos garantido ao governo capacidade de desbloquear as comunicações.
O grupo de cientistas ganhou o jogo e o governo Clinton abandonou o esforço após a análise do grupo que demonstrou que seria tecnicamente inviável.
Desde então o assunto não fora alvo dos cientistas de tecnologia, sendo alvo dos políticos sem conhecimento profundo do tema.
Finalizando, enfatizo que vale a lida nos dois links citados no artigo para conhecimento específico e até mesmo ordinário em Segurança da Informação.
Já na abertura do documento: Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications, nos oferta uma visão bem crítica do desejo governamental pelo mundo.
Os fãs e aficionados das teorias conspiratórias tem aí material substancial para debates, assim como cidadãos comuns não afeitos ao tema, mas ciosos do Direito Universal da privacidade.
Fonte: tiespecialistas
* Abian Laginestra – Systems Analyst – IT Project – BioManguinhos / Fiocruz