Breaking News

Descubra o segredo comunicador que ‘escapa’ da vigilância dos EUA

7/18/2013 01:08:00 AM
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Peter Sunde, um dos fundadores do conhecido site “The Pirate Bay” – que fornece links para arquivos protegidos por direitos autorais – está com um novo projeto: o Hemlis. O software, cujo nome significa “secreto” em sueco, promete ser um comunicador semelhante ao WhatsApp e afins, para dispositivos iOS e Android, com uma segurança adicional que seria capaz de escapar do monitoramento mundial da Agência de Segurança Nacional (NSA, na sigla em inglês) dos Estados Unidos.

O projeto já levantou mais de US$ 100 mil em recursos para seu desenvolvimento, doados por pessoas interessadas em usá-lo. Mas a tecnologia que permite ao software prometer essa segurança não é nada inovadora.

A rede de troca de mensagens do Hemlis utiliza o XMPP, o Protocolo Extensível de Mensagem e Presença. Se você já usou o Google Talk ou o bate-papo do Facebook, também já fez uso do XMPP, que é mais conhecido como “Jabber”.

Já a segurança do Hemlis é baseada na tecnologia PGP (Pretty Good Privacy – Privacidade Muito Boa). Criada em 1991, a tecnologia é utilizada principalmente em e-mails para a troca de mensagens confidenciais, mas pode também ser usada para proteger arquivos ou unidades inteiras de armazenamento.

O PGP usa o sistema de chaves públicas e privadas. A chave privada é um arquivo especial que nunca deve ser compartilhado. A chave pública forma um “par” com a chave privada, porém pode e deve ser compartilhada. Quando alguém quer enviar uma mensagem a você, ele obtém a chave pública* e efetua uma operação matemática na mensagem com base nessa chave. O conteúdo que resultar dessa operação só poderá ser lido com a chave privada e secreta.

O Hemlis não pretende ter acesso às chaves privadas dos usuários. Ou seja, nem mesmo os próprios responsáveis pelo serviço poderão decodificar as mensagens transmitidas pela rede. Isso é diferente, por exemplo, do WhatsApp, que usa criptografia entre o usuário e o servidor, mas o servidor ainda tem acesso ao conteúdo integral do que é transmitido.

Se a tecnologia já existe desde 1991, por que não é adotada em larga escala? Essa é uma pergunta complicada. Qualquer serviço de e-mail poderia facilmente integrar o PGP aos seus sistemas, mas há diversas complicações técnicas e comerciais.

Se uma mensagem codificada só pode ser aberta pelo destinatário, isso significa que não é possível realizar uma “pesquisa” nas mensagens, por exemplo, a não ser que todo o conteúdo esteja salvo decodificado localmente. Também não é possível buscar por “palavras-chave” no texto para determinar quais peças publicitárias acompanharão o e-mail. Além disso, caso o internauta perca sua chave privada, o conteúdo daquela mensagem está perdido para sempre – são necessários centenas ou até milhares de anos de processamento para determinar a chave que abrirá o conteúdo.

Problemas semelhantes foram enfrentados pelo Mega, o novo serviço de compartilhamento e armazenamento de arquivos de Kim Dotcom, fundador do Megaupload. No início do serviço, não era possível mudar uma senha nem recuperá-la no caso de perda, porque a senha também seria de proteção para a chave. Agora é possível trocar a senha, mas recuperar uma senha ainda só é possível para quem não armazenou pastas ou arquivos. Caso contrário, os arquivos seriam perdidos.

Ou seja, a ideia de criptografia dispositivo do usuário não é compatível com um mundo que cada vez mais aposta no processamento centralizado de informações na “nuvem” da internet.

O Hemlis deve enfrentar dificuldades semelhantes. Mensagens já transmitidas não poderão ser baixadas de outro celular, a não ser que a chave privada das comunicações seja transferida, o que deverá gerar certo incômodo, já que a chave em nenhum momento pode ser enviada para a internet ou transmitida de qualquer modo que não seja direto de um dispositivo para outro.

Um detalhe importante é que o Hemlis não poderá ocultar do monitoramento – se ele é tão abrangente como parece ser – quais são os utilizadores do serviço. E, dependendo das capacidades do sistema, pode ser possível, ainda, identificar quem troca mensagens com quem.

De qualquer maneira, a tecnologia está pronta há anos e é ainda a melhor disponível ao público para resguardar a privacidade. Por que o uso dessas tecnologias até hoje é pequeno ninguém sabe dizer ao certo. Mas quem sabe o Hemlis finalmente possa mudar isso.



* Este artigo informou anteriormente que a chave a ser usada era a privada. A informação não procede. Se A quer enviar uma mensagem a B, A obtém a chave pública de B, criptografa a mensagem, e então apenas B pode usar sua chave privada para descriptografar o conteúdo. A chave privada jamais deve ser transmitida.

Nenhum comentário

Postar um comentário

Assinar: Postar comentários ( Atom )
imagem de uma pessoa em frente a tela no notebook com a logo do serviço balcão virtual. Ao lado a frase indicando que o serviço