Uma reportagem recente da revista Rolling Stone lançou luz sobre o patético plano do governo Britânico de seguir em sua cruzada contra a encriptação ponto a ponto – e iniciou uma grande polêmica.

“Contratamos a M&C Saatchi para reunir as muitas organizações que compartilham nossas preocupações sobre o impacto que a criptografia de ponta a ponta teria em nossa capacidade de manter as crianças seguras”. Esse é o teor do comunicado do Porta-voz do Ministério do Interior britânico. Quem acompanha os reiterados esforços do governo britânico no sentido do banimento da encriptação não ficou surpreso.

Defensores da privacidade online criticaram os planos do governo do Reino Unido como “alarmismo” que, ao minar a privacidade online, poderia potencializar os riscos e colocar em perigo crianças e adultos vulneráveis.

A campanha alarmista do Home Office é tão falsa quanto perigosa”, disse Robin Wilton, diretor de Internet Trust da Internet Society. “Sem criptografia forte, as crianças estão mais vulneráveis online do que nunca. A criptografia protege a segurança pessoal e a segurança nacional… o que o governo está propondo coloca todos em risco.

A Volta dos Velhos Argumentos

Começa assim uma nova e cansativa rodada de discussões inúteis, sobre questões há muito estabelecidas, refletindo a ‘vibe’ anticiência que anda a correr o mundo. É interessante notar, do meu ponto de visada, que quem defende o banimento da encriptação geralmente parece pertencer ao mesmo estrato demográfico que os negacionistas da Covid [não, não posso afirmar isso com certeza; é apenas um ‘feeling’].

É claro que já desbancamos anteriormente a retórica ingênua dos governos tecnicamente analfabetos a respeito da instalação, por padrão, de backdoors [porta dos fundos] nos dispositivos eletrônicos, para contornar a criptografia de ponta a ponta em determinadas situações.

Também já apontamos a total futilidade de proibir qualquer aplicativo de usar criptografia de ponta a ponta quando há muitas outras opções, legais e ilegais, para escolher – bem como métodos de criptografia que podem se esconder à vista de todos, como a esteganografia – em que mensagens criptografadas são incorporados a imagens de aparência comum.

Por fim, já destacamos que a criptografia de ponta a ponta não é diferente de instalar portas em nossos banheiros e cortinas em nossas janelas.

Portanto, infelizmente para o governo do Reino Unido e outros governos autoritários, não há muito que se possa fazer tecnicamente para fazer a criptografia desaparecer.

É possível concluir, então, que o plano agora é fazer disso uma “questão social”. Fomenta-se o pânico moral utilizando-se como pretexto a proteção das crianças, introduzindo-se no discurso público um viés cognitivo permanente – como os cultos mais perigosos fazem. Sem surpresa, e exatamente pela mesma razão dos cultos, certas elites da burocracia aspiram um poder desmedido sobre aqueles que eles veem como inferiores e inconsequentes, ou seja, os cidadãos votantes e seus descendentes. Em duas palavras: você e eu.

O problema é que nenhuma tecnologia conhecida pode deter a encriptação ponto a ponto [doravante EPaP], supondo-se que as comunicações com qualquer grau de liberdade continuem permitidas. Portanto, embora possam aprovar legislação, isso não impedirá aqueles que estão determinados a manter sua privacidade a qualquer custo.

O Mito do Combate ao Crime

É opinião unânime entre os pesquisadores de segurança, que nas circunstâncias em que, como hoje, é possível obter informações através dos metadados, a polícia não se incomoda tanto com a “criptografia”. A realidade é que a criptografia não é algo que pertença ao mundo dos policiais em suas operações cotidianas; eles quase nunca lidam com cripto, mesmo quando se trata de crimes mais graves e organizados.

Onde a criptografia cruza o caminho das forças da lei é no crime muito especializado, que dispõe de pessoal igualmente muito especializado, contra instituições policiais nacionais especializadas. E apesar de os números relacionados a esse tipo de crime parecerem grandes – e os crimes muito assustadores, a realidade é que, no fim, tudo é menos dramático do que parece. Geralmente a exploração das dissidências e das lutas internas nos grupos criminosos, em investigações convencionais, é suficiente para evitar a necessidade de envolvimento com a criptografia.

Os verdadeiros vigaristas encriptados, são, de longe, os tipos de colarinho branco do setor financeiro e outros grandes atores – aparentemente circunspectos – de várias indústrias [Group 4, Serco, Capita, etc.], grande parte da indústria da construção [civil, aeronáutica e naval] e o complexo industrial-militar. Os nomes podem ser encontrados nos registros de financiamento político e nas listas de honra anuais – onde os crimes são “corporativos” e pagos com multas dedutíveis.

A realidade para a polícia e unidades especializadas é que o conteúdo da mensagem é menos importante do que quem está falando com quem, quando e onde. Isso é o que se chama de “metadados” e o processo de extração de informações deles “análise de tráfego”. Nenhuma criptografia é envolvida.

Quando você ouve falar que Facebook, Google e outras grandes empresas de tecnologia estão a incentivar o uso da EPaP [mas também as correspondentes “salvaguardas”], eles estão se referindo a duas tecnologias muito relacionadas,

• Gerenciamento de Relações com o Consumidor (conheça seu cliente).

• Análise de Tráfego.

Essas coisas são tão poderosas que eles nem precisam ver o conteúdo das mensagens. Na verdade, a EPaP é até desejável para eles porque assim se livram das ordens judiciais, fardo muito significativo que nunca diminui. Para as empresas de tecnologia, a EPaP acaba com todos os negócios confusos e deixa apenas “registros de negócios de terceiros”, que não são contenciosos per se.

O que pretende o Ministério do Interior Reino Unido não tem nada a ver com lidar com crimes reais. É tudo sobre lançar a pedra fundamental de um estado policial por meio de um processo orwelliano de “controle de pensamento”, projetado para manter certos grupos, em certas posições, atacando todos os outros. No ritmo em que estão mudando as coisas, a sociedade do Reino Unido será como a da antiga Alemanha Oriental e estados semelhantes.

O que nos leva à pergunta composta: é possível construir um sistema inquebrável de criptografia?

Sim, é perfeitamente possível e tem sido feito há milênios: o one-time pad, ou sistema de cifra única, que não pode ser quebrada se utilizada corretamente.

A pergunta que precisa ser respondida é: seria possível construir um sistema que fosse prático, além de seguro, para a maioria das pessoas conectadas à internet [especialmente em ditaduras como a China]?

Para responder, é preciso dividir o problema em vários cenários e perceber que:

A privacidade de “um para um” é uma possibilidade realista que sabemos fazer há séculos, usando derivações do já citado one-time pad.

A privacidade “um para muitos” é um pouco mais complicada e precisa de um sistema de “difusão/transmissão” das chaves criptográficas, o que traz complexidades.

Quanto a privacidade de “muitos para muitos”, ela é ou a) um problema N²; ou b) um problema de topologia de rede. É preciso resolver ambos os problemas para que haja comunicações interativas.

As circunstâncias da experiência humana, nossas crenças e falsas certezas, nos tornam o elo fraco da cadeia de segurança e tornam impossível desenhar um sistema que seja, além de seguro, antes de tudo prático para uso em um ambiente como a Web.

Enfim

Os governos sabem que os cidadãos não gostam de ser incomodados com apelos à adoção de posturas de privacidade e segurança, e manipulam esse sentimento. A experiência profissional nos mostra que o público considera a segurança algo “inconveniente” e irritante. Portanto, é seguro dizer que a criptografia continuará sendo o reino dos “cripto-geeks” – e dos criminosos que sabem usar a cabeça.

Depois dessa legislação, o que vai acontecer com os sistemas de encriptação baseados apenas em “software” [em oposição aos dispositivos como tokens USB] será uma extensão do que vemos atualmente com os “Secure Messaging Apps”. Como a chave do usuário está no dispositivo de comunicação [noto aqui que todos os smartphones violam a regra de ouro da segurança, segundo a qual a chave criptográfica não pode ficar no mesmo dispositivo que faz a comunicação], será fácil para os governos contornarem a segurança do aplicativo. Eles precisam apenas fazer um pequeno “end run attack” para chegar à interface do usuário.

Apesar da pintura sombria, sou da opinião de que os governos laboram em erro, e que já não é mais possível banir a criptografia. Teria sido possível até 2005, talvez, durante o período da Web 1.0. Vejo que as autoridades executivas e legisladores têm uma enorme incapacidade de entender o caos que se instalaria, começando pelo sistema econômico/financeiro. Seria uma boa oportunidade para aprendizado através da dor. Vamos acompanhar os desenvolvimentos, na esperança de que a razão finalmente se imponha.

Post Scriptum

Embora seja tecnicamente muito fácil afastar o nariz do governo de nossos negócios, não é algo “conveniente” para a maioria dos usuários: senhas longas, práticas seguras de navegação, higiene digital, seleção cuidadosa dos contatos, atenção para links suspeitos, gerenciamento dos dispositivos… Ó vida, que horror!

Como já foi observado em muitas ocasiões, as pessoas podem ser seu próprio pior inimigo.