Sobre Criptografia

No último episódio foi falado a respeito de criptografia e gerou alguns debates. Para deixar um pouco mais claro recebemos um texto do amigo Fabio Rafael Rosa que reproduzimos abaixo:

A afirmação que o Leonardo fez de que qualquer coisa encriptada, poder ser decriptada facilmente (por um preço muito alto) é incorreta. Por mais que possa parecer cômodo, a afirmação dos executivos do facebook de que eles não podem entregar o conteúdo de uma mensagem aleatória do whatsapp é real. O whatsapp utiliza um protocolo de encriptação ponto a ponto chamado signal protocol, que é altamente seguro e que não possui vulnerabilidades conhecidas. Não é a toa que esses mesmo protocolo é usado também pelo google (no app allo) e em várias outras aplicações de comunicação para criptografia ponto a ponto. Como a encriptação é de ponto a ponto, ela ocorre dentro dos aparelhos celulares envolvidos na conversa, e os servidores centrais não tem nenhum conhecimento das chaves usadas para encriptar os dados. Dessa forma, apenas o par de celulares envolvidos na conversa têm as chaves necessária para decriptar os dados contidos nas mensagens.
Com relação à segurança da criptografia digital, eu vou tentar explicar rapidamente no que ela se baseia para vocês entenderem. Dentro da computação, há problemas considerados computaveis, e problemas não computáveis, ou seja, um problema que pode (ou não) se descrito em uma sequencia de passos finitos bem definidos que chegam sempre a um mesmo resultado para uma mesma entrada. Dentro dos problemas computaveis, ha um subgrupo que, apesar de computavel, não pode ser resolvido em um periodo de tempo realista para computadores (ou seja, levaria milhares de anos para chegar a uma resposta). A criptografia se baseia exatamente nesse subgrupo. A criptografia utiliza ferramentas matematicas que permitem embaralhar(encriptar) e desembaralhar (decriptar) em um tempo factivel, porém, a decriptação por força bruta (sem ter a chave usada para encriptar) não é possivel em um tempo factivel (levariam milhares de ano). Quando agencias de inteligencia, for exemplo, precisa atacar um alvo que usa criptografia, a tecnica é geralmente comprometer uma das pontas envolvidas na conversa, utilizando alguma vulnerabilidade do sistema operacional, ou do programa que vai fazer a criptografia, para conseguir acesso às informações antes das mesmas serem cifras, ou então, para tentar recuperar a chave que foi usada para cifrar.
Já ficou muito grante, espero que tenha conseguido explicar de forma clara sem muito blablabla computacional. Se tiverem mais duvidas, é só dar um toque.
Abraços senhores, continuem com o ótimo programa.

3 comentários sobre “Sobre Criptografia

  1. Trazendo pro site o comentário que eu tinha deixado no Twitter: Achei muito bom esse texto, porque o comentário feito pelo convidado no podcast também me incomodou. Existem dezenas de algorítmos de criptografia. Nem todos são considerados seguros. Ao longo do tempo sempre surgem métodos pra quebrar a segurança de algum algorítmo, mas a criptografia que a gente usa nas internets não é tão fácil assim de ser quebrada.
    Mas o ponto que acho mais importante levantar é que, apesar de ser verdade quando o Facebook afirma que não pode descriptografar mensagens do usuário sem ter a chave criptográfica, precisamos sempre lembrar que quem armazena essas chaves é o próprio aplicativo do Whatsapp. Logo, a empresa Facebook tem total acesso às nossas chaves e poderia, sim, descriptografar mensagens do usuário se quisesse.

    • Vale lembrar que implementação da criptografia usada no whatsapp faz uso do hardware de segurança disponível nos telefone. Esses hardwares servem exatamente para isolar o uso das chaves, para que a criptografia possa ser feita sem que a aplicação tenha acesso às chaves em si. Dessa forma, o facebook, mesmo sendo dono do aplicativo, não tem acesso às chaves de criptografia usadas nas pontas. Uma adulteração do aplicativo para que o mesmo tentasse fazer as chaves seria visivel para a comunidade de segurança que costuma auditar esse tipo de software (até porque encontrar vulnerabilidades é um negócio que rende muito dinheiro) e eventualmente seria publicado e conhecido pelo publico, colocando em cheque a empresa, e expondo a mesma a processos jurídicos.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s