Durante anos, os especialistas em cibersegurança alertaram para os riscos colocados por sistemas de comunicação inseguros e desactualizados, e as consequências devastadoras do Salt Typhoon sublinham a gravidade da situação. A pirataria informática do Salt Typhoon, também designada como a pior pirataria informática da história dos EUA, levou a uma mudança de política notável e há muito esperada nos EUA.

A Agência de Cibersegurança e Segurança das Infra-estruturas (CISA) recomendou agora a utilização de serviços encriptados de ponta a ponta para comunicações seguras e, o melhor de tudo, especialmente aqueles que não recolhem nem armazenam metadados. Esta medida é significativa não só porque valida o que os defensores da privacidade têm vindo a dizer há anos, mas também porque , pela primeira vez, os funcionários do governo dos EUA pedem a todos que utilizem a encriptação. No seu “Mobile Communications Best Practice Guidance”, a CISA afirma que:

“1. utilizar apenas comunicações encriptadas de ponta a ponta”

A CISA nomeia especificamente a aplicação de conversação Signal como uma alternativa segura, não só devido à sua encriptação de ponta a ponta resistente ao quantum, mas também porque os utilizadores devem “avaliar em que medida a aplicação e os serviços associados recolhem e armazenam metadados” - o que, no caso da Signal, é muito pouco.

Batalha contra a encriptação de ponta a ponta

Historicamente, o governo dos EUA tem tido uma relação muito diferente com a encriptação de ponta a ponta.

Tanto os políticos como as agências governamentais têm frequentemente apresentado a encriptação como uma barreira à aplicação da lei e não como uma salvaguarda da privacidade individual. Uma e outra vez, os políticos tentaram forçar as empresas de tecnologia que oferecem encriptação segura a aceder por portas traseiras - afirmando que o “acesso para os bons” deveria ser possível para evitar ataques terroristas ou a exploração sexual de crianças.

Os esforços para minar a encriptação forte têm sido persistentes desde que a encriptação de ponta a ponta existe.

As “guerras criptográficas” dos anos 90

Nos primórdios da Internet e pouco depois da invenção da encriptação PGP - que, pela primeira vez, permitiu que as pessoas enviassem mensagens de correio eletrónico encriptadas através da Internet -, o Governo dos EUA opôs-se à exportação dessa tecnologia. O governo dos EUA argumentou que uma tecnologia como o PGP permitiria a qualquer pessoa - incluindo adversários estrangeiros - proteger as suas comunicações de olhares indiscretos, em especial dos serviços secretos dos EUA.

Consequentemente, os regulamentos de exportação do governo dos EUA proibiram a exportação de sistemas criptográficos com chaves de 128 bits, como a encriptação AES/RSA do PGP. A atitude em relação à encriptação nos EUA estava dividida: Por um lado, os peritos em criptografia militar concentravam-se inteiramente em impedir que os adversários acedessem a informações sensíveis, certificando-se de que utilizavam uma encriptação forte para essas informações. Por outro lado, os funcionários queriam ter acesso a comunicações estrangeiras.

No entanto, nunca foi introduzida uma porta traseira para a encriptação no PGP, e a encriptação forte de ponta a ponta é utilizada até hoje, agora até com algoritmos resistentes ao quantum.

Apple vs. FBI (2016)

O governo dos EUA pretende obter da Apple um acesso por portas traseiras aos iPhones. Os piratas informáticos, os regimes repressivos, etc., estão em fila de espera para também obterem acesso.

A exigência do FBI de que a Apple criasse uma porta de acesso para desbloquear o iPhone do atirador de San Bernardino provocou um debate nacional nos EUA. A recusa da Apple pôs em evidência a tensão fundamental entre a privacidade individual e a vigilância governamental.

Até hoje, a Apple pode oferecer uma forte encriptação de ponta a ponta aos seus utilizadores.

Lei “EARN IT” (2020)

Sob o pretexto de combater a exploração infantil, o governo dos Estados Unidos quis obrigar as empresas que oferecem serviços encriptados a comprometerem essa encriptação, permitindo mecanismos de controlo com a ajuda da lei EARN IT Act. Os críticos alertaram para o facto de que esta lei iria efetivamente proibir a encriptação forte, pelo que a EARN IT Act nunca foi aprovada.

A “Lei sobre o acesso legal a dados encriptados” (2020)

Apresentada como uma medida para garantir que as autoridades policiais pudessem aceder a dados encriptados durante as investigações, a Lei do Acesso Legal a Dados Encriptados pretendia obrigar as empresas a criar backdoors nos seus sistemas de encriptação. Os proponentes argumentaram que era necessário para a segurança pública, mas os críticos salientaram que tais backdoors enfraqueceriam a encriptação para todos, expondo os utilizadores a ciberataques e vigilância. A proposta enfrentou uma oposição significativa dos defensores da privacidade e da indústria tecnológica e acabou por não ganhar força no Congresso.

Nas últimas décadas, todas as tentativas de quebrar a encriptação deram origem a um debate muito controverso sobre a encriptação nos Estados Unidos.

Mas sempre que alguém exige um acesso por portas travessas à encriptação, há uma coisa que fica bem clara:

Qualquer enfraquecimento deliberado da encriptação não só compromete a privacidade, como também expõe os utilizadores aos mesmos tipos de ataques demonstrados pelo Salt Typhoon.

Salt Typhoon: Uma chamada de atenção

O sucesso do Salt Typhoon baseou-se na exploração de pontos fracos das redes de telecomunicações (antigas e desactualizadas). Embora grande parte da atenção tenha sido colocada na escala do hack, as suas implicações são ainda mais alarmantes. Este ataque revelou que os atacantes podiam aceder a comunicações sensíveis, recolher metadados extensos e potencialmente perturbar infra-estruturas críticas.

A violação é um lembrete claro de que a comunicação segura não é um dado adquirido. Temos de tomar decisões inteligentes para garantir que a nossa comunicação em linha é segura, optando por serviços encriptados como o Signal e o Tuta Mail - tal como foi agora recomendado pela CISA.

Vitória para a privacidade

Na Tuta, saudamos vivamente a nova recomendação da CISA - não só a saudamos, como a consideramos uma vitória há muito esperada para a privacidade.

Esta recomendação da CISA marca uma mudança significativa e esperada na política dos EUA no sentido de dar prioridade à privacidade e à segurança nas comunicações digitais. Durante anos, os especialistas sublinharam a importância da encriptação de ponta a ponta e da retenção mínima de metadados. É o único método seguro de que dispomos para garantir que as nossas comunicações não podem ser monitorizadas. É encorajador ver que isto está finalmente a ser compreendido a um nível governamental tão elevado. A recente declaração da CISA é o maior apoio à encriptação que alguma vez ouvimos de uma agência do governo dos EUA.

Na Tuta, o nosso objetivo é dar aos utilizadores o controlo total sobre os seus dados. Ao implementar algoritmos de encriptação fortes e seguros para quantum, ao utilizar uma arquitetura de conhecimento zero e ao armazenar o mínimo possível de metadados sobre os nossos utilizadores, garantimos que os dados dos nossos utilizadores permanecem seguros, online e offline.

Porque é que a privacidade é importante

Mas esta narrativa ignora o papel fundamental que a privacidade desempenha numa sociedade democrática. A privacidade é importante porque, sem ela, a liberdade de expressão e até a liberdade de pensamento estão em risco. Jornalistas, activistas e denunciantes dependem de comunicações seguras para expor a corrupção e a injustiça.

Mas isso é apenas uma parte. Se formos capazes de manter os nossos dados privados e confidenciais, podemos protegê-los de qualquer tipo de olhares indiscretos - não só de adversários políticos, mas também de adversários económicos. As empresas dependem da privacidade através da encriptação de ponta a ponta para proteger os dados sensíveis da concorrência, da espionagem comercial e dos maus agentes.

O Salt Typhoon demonstrou o que pode acontecer quando estas salvaguardas não existem. Esta violação afectou principalmente os políticos - espiados por atacantes chineses - mas qualquer pessoa pode ser vítima dela: indivíduos, empresas, ONG, qualquer pessoa. A pirataria do Salt Typhoon afecta a segurança nacional e a confiança global nas infra-estruturas críticas de comunicações - e o único método que nos pode manter seguros é a encriptação de ponta a ponta.

Apelar aos políticos para que acabem com a guerra das criptomoedas

A recomendação da CISA de utilizar a encriptação de ponta a ponta é um passo na direção certa, mas tem de ser seguida de ação. Os políticos têm de resistir a futuras tentativas de enfraquecer a encriptação ou de a minar com backdoors para os “bons da fita”.

As guerras das criptomoedas devem finalmente chegar ao fim!

Em vez disso, os políticos devem apoiar ativamente a encriptação de ponta a ponta e o desenvolvimento de tecnologias seguras - no seu próprio interesse.

Vamos construir um futuro digital mais seguro. Vamos lutar juntos pela privacidade!