Escondendo as chaves sob o capacho: os governos poderiam garantir a insegurança universal

Tocou a campainha. Quem está ligando a esta hora?, Brittney Mills se perguntou, lutando para se levantar do sofá. Seus oito meses de gravidez estavam começando a atrapalhar seus movimentos. «Você não se mexa», disse ela ao passar por sua filha de 10 anos sentada em frente à TV. Quando Brittney abriu a porta, duas balas a deixaram seca no chão. Sua filha correu para se esconder no banheiro quando ouviu os tiros. Seu bebê morreu poucas horas depois, o assassino nunca foi encontrado. As autoridades recorreram ao seu iPhone em busca de evidências incriminatórias, mas não conseguiram desbloqueá-lo. Eles foram até a Apple, mas a empresa alegou que não poderia entrar em seu smartphone porque seu conteúdo estava criptografado e sem o código de desbloqueio era impossível recuperar as chaves.

Este caso real, ocorrido em abril de 2015 em Baton Rouge, Louisiana, junto com muitos outros, como o do atirador Syed Farook, que assassinou 14 pessoas e feriu 22 em San Bernardino, confrontou as autoridades contra a Apple e reabriu Um velho debate: a tecnologia de criptografia deve estar disponível para todos, com o risco de atrapalhar as investigações criminais?

Você pode não estar ciente disso, mas você usa a criptografia mais robusta que já existiu em todos os momentos

Quando você usa aplicativos de mensagens, como Whatsapp, iMessage ou Telegram; ou aplicativos de videoconferência, como Facetime ou Zoom; ou alguns serviços de e-mail, como ProtonMail ou OpenPGP; você está usando criptografia de ponta a ponta: a comunicação entre seu dispositivo e o da outra pessoa é totalmente criptografada e ninguém, nem mesmo o provedor de serviços, pode descobrir o conteúdo.

Além do mais, suas informações dentro do smartphone são criptografadas usando uma chave mestra gerada dentro do dispositivo a partir do seu código de desbloqueio e que nunca sai dele. Você também pode criptografar seu laptop com uma chave mestra derivada de sua senha.

No final, descobriu-se que os produtos de consumo diário incorporam uma criptografia tão poderosa que ninguém mais consegue quebrá-la. E, claro, não só você usa um smartphone ou laptop, mas também criminosos, terroristas e assassinos. As autoridades assistem impotentes enquanto os tribunais amontoam montanhas de smartphones, tablets e computadores com evidências inestimáveis ​​dentro… que ninguém pode acessar!

A criptografia deve ser banida? Devem as medidas de segurança dos dispositivos tecnológicos atuais ser relaxadas? Alguns governos estão propondo um meio-termo: manter uma cópia das chaves (key escrow).

A ideia por trás da custódia das chaves

Superficialmente, o conceito é bastante simples: uma autoridade confiável mantém uma cópia das chaves de criptografia usadas por todos os dispositivos existentes no país . Ou seja, pretende-se que os maus não tenham acesso à informação dos cidadãos, mas que os bons o tenham, claro que apenas em casos excepcionais.

Existem precedentes desde os anos 90. Naquela época, o governo dos Estados Unidos ainda considerava a criptografia como munição e, portanto, sua exportação era proibida, a menos que fosse enfraquecida para chaves de 80 bits. Pelo poder de computação da época, não era tão ruim, porque ninguém, exceto a NSA, deveria ser capaz de quebrá-los. O que poderia dar errado?

Você não precisa procurar muito. Vamos considerar o protocolo SSL/TLS. Navegadores e sites foram forçados a incluir suítes de criptografia com 80 bits de chave. Você já conhece o famoso adagio do computador: «se funcionar, não toque.» Portanto, 20 anos depois, o TLS ainda oferecia suporte a suítes enfraquecidas, embora a restrição à exportação tivesse sido suspensa em 2000. E em 2015 vieram os ataques FREAK e LogJam, que nos permitiram reduzir a segurança de um site para suítes de criptografia . exportação, tornando sua criptografia tão fraca que quebrou em segundos. Ironicamente, os sites do FBI e da NSA também foram afetados.

Na década de 1990, a NSA também tentou restringir as capacidades criptográficas dos dispositivos de comunicação por meio de outra via: o chip Clipper. A ideia por trás do Clipper era que qualquer dispositivo de telefone ou dispositivo de comunicação que usasse criptografia incorporaria o chip Clipper com uma chave criptográfica pré-atribuída que seria então entregue ao governo sob custódia. Se qualquer agência governamental considerasse necessário intervir em uma comunicação, ela desbloquearia a chave e descriptografaria a comunicação. Felizmente, ele nunca viu a luz do dia, pois não era capaz de atender aos requisitos exigidos e acabou sendo hackeado. Se você está curioso sobre a história desse chip, recomendo o capítulo dedicado à sua ascensão e morte no livro Crypto  por Stephen Levy.

Outra questão que se coloca é: quem fica com a chave? O servidor de chaves é um ponto único de falha. Se um invasor conseguir invadir, ele obterá as chaves de toda a população e poderá descriptografar as comunicações de todos os cidadãos. Obviamente, não parece uma boa ideia armazená-los todos em um só lugar . Cada provedor de serviço poderia ser forçado a armazenar o de seus clientes, mas quantos o fariam com segurança?

Ou as chaves podem ser distribuídas entre várias agências governamentais, de modo que cada uma tenha que contribuir com sua parte da chave, se necessário. Obviamente, implementar esse sistema de compartilhamento de chaves não é nada fácil, e a chave mestra permanece vulnerável depois de reconstruída.

Outra opção seria recorrer à criptografia de limiar, mas ela ainda é muito verde, longe de atingir algoritmos robustos universalmente aceitos.

Além disso, mesmo que tais algoritmos existissem, a solução escolhida forçaria mudanças importantes nos protocolos e aplicações criptográficas de todos os produtos e serviços. Eles teriam que ser reescritos, com o consequente aparecimento de vulnerabilidades e erros.

Além disso, muitas perguntas permanecem no ar: essas mudanças terão que ser implementadas no nível do sistema operacional em iOS, Android, Linux, Windows, MacOS, etc.?, Algum criador de aplicativos que usam criptografia seria obrigado a entregar chaves sob custódia? Todos os usuários seriam obrigados a usar essas portas dos fundos? Quanto tempo demoraria para migrar? O que aconteceria com os aplicativos legados? …

Até agora, estamos falando sobre proteger a chave como se houvesse apenas uma chave por usuário ou por dispositivo. A realidade é bem diferente, tanto para criptografia em repouso quanto para criptografia em trânsito, uma infinidade de chaves são usadas em rotação constante, derivadas de chaves mestras, que também podem girar. Duas mensagens do WhatsApp não são criptografadas com a mesma chave. Cada vez que você altera a senha ou o código de acesso no dispositivo, uma cadeia de chaves é atualizada. Resumindo, nem mesmo está claro qual chave ou chaves devem ser protegidas ou como as chaves protegidas podem ser atualizadas para servir como algo, se necessário.

Em resumo, citando o trabalho abrangente de um grupo de criptógrafos da década de 1990 , a custódia da chave impactaria pelo menos três dimensões:

• Risco: a falha dos mecanismos de recuperação de chave pode comprometer a segurança dos sistemas de criptografia atuais.
• Complexidade: embora seja possível tornar a recuperação de chave razoavelmente transparente para os usuários finais, uma infraestrutura de recuperação de chave totalmente funcional é um sistema extraordinariamente complexo, com muitas novas entidades, chaves, requisitos operacionais e interações.
• Custo econômico: ninguém ainda descreveu, muito menos demonstrou, um modelo econômico viável para contabilizar os verdadeiros custos de recuperação de chave.

Até agora, presumimos que o governo só usaria as chaves sob custódia para investigações criminais. Que garantia você tem de que eles não os usarão contra seus próprios cidadãos? As coisas ficam ainda mais complicadas.

E quanto aos criminosos? Para eles, seria tão simples quanto criar seus próprios aplicativos de mensagens ou criptografia de dados com criptografia segura, sem revelar suas senhas e a Santa Páscoa para ninguém. Se você aplicar a custódia da chave, apenas os criminosos usarão as chaves desprotegidas.

Finalmente, os sistemas de garantia de chave são inerentemente menos seguros, mais caros e difíceis de usar do que sistemas semelhantes sem uma função de recuperação. A implantação massiva de infraestruturas baseadas em custódia de chaves para atender às especificações de aplicação da lei exigiria sacrifícios significativos em segurança e conveniência e custos substancialmente maiores para todos os usuários. Além disso, a criação de uma infra-estrutura segura da enorme escala e complexidade que seria necessária para tal sistema vai além da experiência e competência atuais no campo e, portanto, pode, em última análise, introduzir riscos e custos inaceitáveis.

Falhas de segurança suficientes já têm produtos e serviços atuais que buscam ser seguros, para introduzir vulnerabilidade criptográfica por design em nossos produtos e serviços futuros . Até agora, todas as tentativas falharam miseravelmente. E tudo indica que eles continuariam a falhar no futuro.