Mas, afinal, o que é criptografia?
Conheça a técnica de algoritmos matemáticos conhecida como criptografia, que nasceu em contexto militar e que todos nós utilizamos diariamente.
Comunicações sempre foram essenciais em qualquer força armada – seja ela ofensiva ou defensiva. Obter acesso às mensagens trocadas pelo inimigo no menor prazo possível é um fator estratégico decisivo para qualquer lado de uma batalha. É exatamente o que mostra o filme O Jogo da Imitação (The Imitation Game, de 2014, dirigido por Morten Tyldum) que relata a história do recrutamento de um matemático brilhante (Alan Turing) pelo serviço secreto britânico (MI6) para quebrar a criptografia das comunicações entre os nazistas durante a Segunda Guerra Mundial.
Ou seja, assim como diversas invenções incrustadas na vida dos digitalmente incluídos, a criptografia também nasceu das criações de tempos de guerra. Surgiu como uma tática de proteção de comunicações, por meio de cifragem de seu conteúdo. A origem da palavra vem do grego kryptós, que significa “escondido” e gráphein, que significa “escrita”.
Desde os primórdios da era antes de Cristo, quando a criptografia se resumia a uma simples substituição de caracteres ou hieróglifos, até hoje em dia com algoritmos complexos, essa técnica se apresenta empregada sempre no âmbito defensivo, com o intuito de impossibilitar o entendimento da mensagem trocada, caso caia nas mãos do adversário.
Desde os tempos da Segunda Guerra Mundial, os Estados Unidos, que acreditavam ter sistemas de cifragem de dados mais avançados do que os seus eventuais inimigos, buscavam evitar que essas tecnologias de defesa caíssem em mãos inimigas. O objetivo americano era ter sempre uma vantagem ofensiva, uma vez que, eles poderiam acessar as comunicações de seus inimigos e a recíproca não seria verdadeira.
À medida que a inclusão digital foi aumentando e a grande maioria das comunicações passaram a ser digitais, a necessidade de segurança destas comunicações trouxe a criptografia para o cotidiano das empresas, principalmente depois do lançamento de um padrão de criptografia pelo governo americano, no final dos anos 70, chamada de DES – Data Encryption Standard – e do posterior advento das chaves assimétricas que possibilitaram a criação de infraestruturas de chaves públicas. No Brasil, por exemplo, este novo padrão de criptografia deu origem ao ICP Brasil- uma estrutura de certificadores criptográficos que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.
Hoje, podemos dizer que existe uma verdadeira onda de utilização da criptografia por diversos setores da sociedade como academia, iniciativa privada, governos, entre outros. Trata-se de uma realidade assustadora para as agências de defesa de todas as nações.
No final dos anos 90, a NSA alertou o povo americano que o uso em massa da criptografia dificultaria suas ações de prevenção de incidentes e consequentemente atentava contra a segurança nacional. Por quê? Porque uma das técnicas de prevenção aplicadas por muitas agências de segurança nacional (tal qual a NSA) é um sistema nacional de SIGINT (Signals Intelligence) que consiste no monitoramento, em massa, de comunicações primariamente escritas. Neste mundo de informações, quando um termo – ou um conjunto de “palavras-chave” – é encontrado, o sistema gera um alerta. É como se existisse um enorme espião que pode acessar todas as mensagens que você troca com todas as pessoas que você conhece e que está pronto para identificar se você representa (ou não) uma ameaça.
Vamos imaginar um cenário simples. Imagine um e-mail enviado de uma pessoa com os termos “ATAQUE AO PALÁCIO DO PLANALTO”. Neste cenário hipotético, a agência de segurança nacional brasileira (ABIN – Agência Brasileira de Inteligência) recebe um alerta automático por intermédio de um de seus analistas de inteligência que passaria a trabalhar nesta investigação – desde que haja a capacidade de monitoramento destas comunicações em massa.
Este sistema captura essas informações e busca os termos de interesse. Caso este analista julgar que aquele e-mail realmente trata de uma ameaça contra a segurança nacional, ele levaria esta informação ao órgão defensivo adequado para o tratamento e a tomada de providências.
Neste simples e hipotético exemplo acima, caso o e-mail capturado estivesse aplicando qualquer técnica de criptografia moderna o conjunto de palavras-chave “ATAQUE AO PALÁCIO DO PLANALTO” não seria encontrado, porque o texto criptografado estaria ininteligível. Numa rápida demonstração, com um mero algoritmo de substituição, onde vogais e consoantes são substituídas por números, podemos imaginar que o texto hipotético do exemplo acima, em sua forma criptografada, seria “474QU3 40 P4LÁC10 D0 PL4N4L70”. Assim, as palavras-chave do sistema de monitoramento e o conteúdo do e-mail não seriam iguais e o alerta não seria gerado. É como se a criptografia pudesse enganar o sistema de monitoramento.
Portanto, independentemente de teorias conspiratórias e da real motivação da prática de espionagem de comunicações por parte dos estados contra seus próprios cidadãos, existe, em tese e na prática, uma aplicabilidade no âmbito da segurança que é a prevenção a incidentes de segurança nacional. Em 1997, Louis Freeh, diretor do FBI, já visualizava de maneira visionária a magnitude e a importância da questão, quando disse:
Claramente, essa “solução balanceada” até hoje ainda não foi encontrada. O uso da criptografia em massa, que desde 1997 já era considerado um problema pelo governo americano, só escalou. A tecnologia de defesa, no âmbito cibernético, foi sendo cada vez mais aprimorada e aplicada em diversos setores da economia e da sociedade. Esse fenômeno foi cada vez mais chamando a atenção e aumentando a preocupação de muitas nações. O fatídico 11 de Setembro de 2001 conscientizou, de maneira definitiva, o governo americano da necessidade da elevação da postura. Em outras palavras, foi um aumento na vigilância das comunicações em massa.
Muitas discussões a respeito da importância de investimento no combate à criptografia das comunicações se iniciaram, principalmente dentro da aliança de inteligência internacional conhecida como Five Eyes, composta pelos EUA, Reino Unido, Canada, Nova Zelândia e Austrália, que desde a Segunda Guerra mundial congregam suas agências de inteligência num programa multinacional de SIGINT – o tal programa de monitoramento de comunicações em massa.
Nos EUA, o investimento em vigilância de comunicações e por conseguinte na quebra de criptografia foi (e ainda é) colossal, principalmente aos olhos de quem vive a realidade de um país de terceiro mundo. Um dos muitos exemplos é a construção do Utah Data Center ou Intelligence Community Comprehensive National Cybersecurity Initiative Data Center (de codinome Bumblehive), onde com um investimento de aproximadamente 1,5 bilhões de dólares imagina-se que a NSA consiga armazenar comunicações num volume de exabytes ou superior. Na própria página oficial dessa instalação militar, existe a afirmação que o ultimate target (o alvo definitivo) é a quebra do algoritmo AES (Advanced Encryption Standard) de 256 bits. Ainda, não é difícil encontrar na Internet anúncios de empresas privadas contratando especialistas em quebra de criptografia (cryptoanalisys engineers), onde o local de trabalho é uma instalação militar americana que conhecidamente faz vigilância de comunicações, como esse tão avassalador Data Center.
Está claro que as agências de segurança nacional, em âmbito mundial, cada uma delas dentro da realidade econômica de seu país, têm tentado enfrentar o “problema” da criptografia em massa. Isso faz parte da missão proativa destes órgãos e, novamente, de acordo com a prioridade que o governo dá para aquele assunto, recebem voluptuosos montantes de recursos e atenção.
Um exemplo de uma briga bem-sucedida contra o uso de criptografia em comunicações, por parte de uma agência de segurança nacional de estado, é o da Índia contra a Blackberry. A Índia demandou que a fabricante de smartphones canadense fornecesse acesso ao conteúdo das comunicações de seus clientes. Tecnicamente a Blackberry poderia “descriptografar”, juntamente com as operadoras de telefonia móvel parceiras, o conteúdo dessas comunicações, ou seja, os e-mails (trocados pelo serviço BIS – Blackberry Internet Service) e as mensagens instantâneas (trocadas pelo serviço BBM – BlackBerry Messenger). O governo da Índia fez a primeira demanda para a Blackberry quando o nome da empresa ainda era RIM – Research In Motion, em 2008, e muitas ameaças teriam sido feitas contra a fabricante de smartphones desde então, dentre elas a de não poder mais vender seus produtos na Índia e, assim, serem banidos daquele país. Como era tecnicamente possível que a Blackberry fornecesse esse conteúdo ao governo, isso foi finalmente garantido em 2013, permitindo que as agências governamentais tivessem acesso às comunicações dos clientes da empresa em todo o território indiano.
Por Domingo Montanaro, Perito em TI e fundador da Ventura Academy.