O que significa e para que serve criptografia de ponta a ponta? E qual o papel do Protocolo Signal no processo de segurança da informação?
Entenda melhor, neste post, sobre esses e outros assuntos, como as principais diferenças entre tipos de criptografia simétrica e assimétrica, definições de chaves de segurança e o uso no WhatsApp da criptografia de ponta a ponta.
Criptografia é a aplicação de um algoritmo na codificação de informações com a alteração de seu verdadeiro formato.
Isso é feito para que, quando lida, a informação não tenha mais sentido e os dados originais só sejam acessíveis com uma chave de criptografia específica — gerada pelo próprio algoritmo, já que a ação é a inversa.
Vamos descobrir mais?
O que é criptografia de ponta a ponta?
Agora que você já sabe o que é criptografar, vamos ao conceito de criptografia de ponta a ponta (end-to-end encryption ou E2EE) e Protocolo Signal.
A E2EE é um método de comunicação segura em que apenas as pessoas que se comunicam podem ler as mensagens. Essa nomenclatura “de ponta a ponta” significa que as mensagens são criptografadas de uma maneira que permite que apenas o destinatário exclusivo de uma mensagem a descriptografe, e não qualquer pessoa intermediária.
Dessa forma, apenas os computadores endpoint seguram as chaves criptográficas, e o servidor da empresa atua como mensageiro analfabeto, passando mensagens que ele próprio não consegue decifrar.
Softwares de criptografia de ponta a ponta
O primeiro software de mensagens criptografadas de ponta a ponta gratuito e utilizado foi o PGP, ou Pretty Good Privacy — um programa criado por Phil Zimmermann e lançado em 1991.
Programas como o plugin “Off The Record” para aplicativos de mensagens instantâneas, Jabber e TextSecure para mensagens de texto tornaram a criptografia de ponta a ponta muito mais fácil de usar.
Além disso, o Google também está experimentando um plugin de e-mail de criptografia de ponta a ponta para o Chrome, e em 2014, o WhatsApp integrou o TextSecure em seu software Android, ativando a criptografia de ponta a ponta para centenas de milhões de usuários.
A tecnologia usada pelo WhatsApp e Telegram é chamada de criptografia assimétrica e é ela que garante a segurança na hora da troca de mensagens. Entenda melhor a diferença entre criptografia simétrica e assimétrica a seguir:
O que é Criptografia simétrica?
Usada nas mensagens durante a Segunda Guerra Mundial, na criptografia simétrica (a mais comum), é preciso utilizar uma chave aplicada para criptografar a mensagem em uma ponta e recuperá-la.
A chave é um código que permite recriar a mensagem original. Além disso, também usados para proteger dados na Internet, temos o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), que utilizam a criptografia simétrica para proteger tanto os dados transmitidos quanto os armazenados.
O que é Criptografia assimétrica?
Quando se deseja ter mais segurança, a solução é a criptografia assimétrica. Nela, dois tipos de chaves são usados para cada ponta da comunicação: uma chave pública e uma chave privada. As chaves públicas estão disponíveis para as ambas as partes e para qualquer outra pessoa.
Cada pessoa possui um par de chaves, que são complementares. Assim, apenas o uso conjunto destas chaves fará com que seja possível descriptografar a mensagem.
Um exemplo: se Pedro deseja enviar mensagens para Joana em um aplicativo com criptografia de ponta a ponta, ele vai usar a chave pública de Joana para criptografar a mensagem.
O conteúdo só poderá ser descriptografado usando essa chave pública (de Joana) junto à chave privada dela — a que nem o Pedro tem acesso. Essa chave privada é o único elemento que torna impossível para qualquer outro agente descriptografar a mensagem, já que ela não precisa ser compartilhada.
Explicado o que é criptografia e seus tipos, vamos a outro conceito-chave para a segurança da informação: o protocolo signal.
Protocolo Signal: o que é e como é dividido?
O Signal Protocol foi desenvolvido com o objetivo de ser um dos mais simples sistemas de criptografia ponta a ponta para apps de mensagens instantânea. Ele é capaz de garantir a confidencialidade, integridade e autenticidade das mensagens enviadas de forma escalável e visando a privacidade das conversas — e, consequentemente, das pessoas que o utilizam.
Este sistema pode ser dividido em duas etapas:
- configuração da sessão, que consiste basicamente em estabelecer uma chave secreta compartilhada entre os dois indivíduos a partir de um conjunto de par de chaves pública-privada;
- e criptografia das mensagens, que consiste em gerar chaves seguras de criptografia simétrica para encriptação do texto a partir da chave secreta compartilhada e par de chaves pública-privada efêmeras.
Os algoritmos utilizados em cada etapa são, respectivamente, o Extended Triple Diffie-Hellman (X3DH) e o Double Ratchet, mas um tanto específicos e complexos para tratarmos neste post. Sugiro uma leitura detalhada caso queira entendê-los.
Criptografia e sua importância para a segurança da informação
Com a criptografia de ponta a ponta, o risco de vazamento de dados de milhões de pessoas diminuiu. Como exemplo, uso algo que está presente no dia a dia de todos: o WhatsApp.
Existe um documento disponível no FAQ do WhatsApp que explica a maneira como eles criam as chaves de segurança única de cada usuário e como isso auxilia em uma comunicação mais segura entre as pessoas.
Além disso, a própria declaração do aplicativo diz o seguinte:
“O WhatsApp não tem capacidade para ver o conteúdo das mensagens ou ouvir ligações no WhatsApp. Isso porque a codificação e a descodificação de mensagens enviadas no WhatsApp ocorre inteiramente no seu dispositivo. Antes de uma mensagem sair do seu telefone, ela é protegida com um cadeado de criptografia, onde somente o destinatário tem as chaves. Além disso, as chaves mudam com cada mensagem que é enviada. Embora tudo isso aconteça em segundo plano, você pode confirmar que suas conversas estão protegidas ao verificar o código de verificação de segurança em seu dispositivo.”
Diante disso, tenho algumas dicas pra você:
- Não use software desatualizados. As empresas sempre lançam atualizações dos softwares e sites visando melhorar inclusive a segurança do usuário;
- Prefira as ferramentas de comunicações criptografadas, já que garantem que apenas pessoas com um acesso especial poderão acessá-las.
- Ao inserir informações pessoais na internet, certifique-se de que o site usa criptografia. Se https constar na url, significa que é uma url segura;
- Use a autenticação de dois fatores quando possível. Com um código geralmente enviado para o seu celular, será mais difícil um hacker conseguir o acesso;
- Leve as senhas a sério. Elas são o seu primeiro ponto de proteção, então, preste bem atenção e crie senha seguras;
- Exclua contas sem uso. Manter contas em sites e aplicativos sem uso e ativas só vai fazer com que o usuário continue oferecendo seus dados. E atenção: alguns serviços e aplicativos vendem as informações pessoais quando o usuário faz log off.
Gostou de aprender mais sobre criptografia de ponta a ponta e segurança da informação? Então descubra quais são as as principais tendências para 2021 em tecnologia e inovação!