Para quem se dedica à área de segurança, conversar com outras pessoas sobre estes assuntos muitas vezes é parte do ofício. E embora estas conversas costumem terminar tendo uma dimensão que excede o interesse real de ambas partes, normalmente podem oferecer uma visão sensata sobre as práticas de segurança e os processos de pensamento dos usuários reais.
Uma coisa que aprendi é que, mais do que qualquer outro assunto de segurança, parece que a criptografia deixa muita gente confusa. Por isso, vamos explicar de forma breve o que é e para que serve.
A criptografia não é uma porção mágica de segurança
A maioria das pessoas pensam que é algo infinitamente complicado, que apenas uma raça superior de gênios matemáticos pode chegar a entender completamente
A maioria das pessoas com quem converso, mesmo as que conhecem o assunto e utilizam a criptografia com regularidade, pensam que é algo infinitamente complicado, que apenas uma raça superior de gênios matemáticos pode chegar a entender completamente. E embora, sem dúvidas, a criação de algoritmos realmente impenetráveis seja um verdadeiro feito, existe uma grande quantidade de tipos simples de criptografia que, com certeza, alguma vez você deve ter aplicado sem sequer saber.
Resumindo, a criptografia é o processo de codificação de algo para que não seja facilmente entendido por aqueles que não possuem autorização para acessá-lo.
Observe a palavra “facilmente” na oração anterior. Muitas pessoas parecem ver a criptografia como uma espécie de porção mágica de segurança que, de forma automática e inequívoca, faz com que ninguém (exceto o usuário autorizado) possa ver o conteúdo. Existe uma grande variedade de tipos de criptografia, mas nem todos são tão difíceis de descriptografar.
Quando a criptografia é um jogo de criança
A maioria das crianças em algum momento jogam com alguma forma muito simples de criptografia: se você já teve um desses anéis secretos de decodificação que vinham como prêmio nas caixas de cereais ou resolveu um criptograma, certamente estava brincando com essa técnica. Os anéis de decodificação usam um dos métodos mais simples de criptografia, também chamado de cifra de troca. O método consiste em trocar algumas letras do alfabeto para obter o código de descriptografia. Segundo Suetonio, o imperador romano Júlio César, às vezes, usava a técnica de forma que cada letra não criptografada era deslocada em três posições. O método ficou conhecido como cifra de César.
Texto simples | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
Texto ciptografado | DEFGHIJKLMNOPQRSTUVWXYZABC |
Esta é a criptografia César clássica, uma “salada” César de palavras. Outra criptografia de troca mais popular é conhecida como ROT13, que provém da “trocar de 13 lugares”.
Texto simples | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
Texto ciptografado | NOPQRSTUVWXYZABCDEFGHIJKLM |
Como você pode ver, este método troca metade do alfabeto, ou seja, a mesma ação que é usada para codificar a mensagem também pode ser novamente usada para descriptografar. Não é algo tão simples, nem mais seguro. É muito usado em certos círculos que algumas pessoas podem lê-lo quase tão bem quanto um texto simples.
Os criptogramas são jogos para decodificar uma frase por meio da substituição de uma letra fixa por outra. É bastante simples de descriptografar, pois do contrário o jogo deixa de ser divertido. Considerando que as letras podem ser utilizadas em qualquer ordem, não apenas na ordem alfabética, a sua descriptografia é um pouco mais complexa do que em um sistema de criptografia por troca.
Se você já teve um diário secreto quando era criança, é bem provável que tenha criado a sua própria criptografia. No meu diário de infância, fiz uma criptografia usando símbolos sem sentido como substitutos de letras, para que eu pudesse falar livremente sem me preocupar com os curiosos (apesar de ter escrito a chave na capa desse mesmo diário...)
Estes são métodos muito simples de criptografia que também podem ser facilmente desfeitos (especialmente se você deixar a chave à vista, como eu fiz!). No entanto, existem outros tipos de criptografia que são efetivamente impossíveis de desfazer com a capacidade de cálculo limitada dos equipamentos atuais. No entanto, a maioria são como aqueles que você usa diariamente: estão em algum lugar entre esses dois extremos em termos de complexidade, são bem mais difíceis de descriptografar por qualquer um, exceto para o adversário mais determinado, mas não são tão complicados para que o processo leve toda uma vida.
Quando devemos utilizar a criptografia?
De um modo geral, existem duas circunstâncias nas quais devemos usar a criptografia: quando os dados estão "em trânsito" ou quando estão "em repouso". "Em trânsito", neste contexto, é quando você envia informações através da Internet, por email ou quando precisa armazená-la em outro lugar que não seja o seu próprio dispositivo. Os dados são considerados "em repouso" quando estão armazenados em seu dispositivo, que pode ser parte integrada como um disco rígido, ou em um meio removível, como uma unidade USB.
Quando você criptografa dados em trânsito, essencialmente está usando a técnica para tentar dissuadir as pessoas que tentam escutar sua conversa. Uma das formas mais comuns é a criptografia do tráfego de rede. Muitas páginas web, particularmente sites financeiros, de redes sociais e de email, agora o usam por padrão.
Não é necessário fazer nada de especial para usá-lo. Sempre que você visualizar um pequeno ícone de cadeado na parte superior, à esquerda do nome da página, e se usa um endereço web que começa com HTTPS (em vez de HTTP), significa que seus dados estão sendo criptografados. O S no HTTPS significa "seguro", ou seja, que as suas informações estão criptografadas, o que aumenta a segurança na transmissão de dados entre o computador e o site.
Todos os principais sistemas operacionais, assim como muitos aplicativos de software populares, oferecem a opção de criptografar arquivos ou pastas no seu dispositivo. Quando você usa esta opção, deve escolher uma senha que permita (você ou qualquer outra pessoa com quem compartilhe a senha) desbloquear e descriptografar esses arquivos.
Datos em uso
A criptografia é excelente para garantir a segurança dos dados armazenados ou em trânsito, mas existe outra situação que pode ser um pouco polêmica: quando o documento criptografado está em uso. Ou seja, quando você abre um documento protegido para visualizar ou editar. Isso inclui qualquer momento no qual o arquivo esteja aberto, até mesmo quando está minimizado ou escondido por outra janela.
Desbloquear o arquivo significa dizer que o mesmo foi descriptografado na memória do dispositivo. Se, por exemplo, alguém usou um backdoor para abrir uma porta traseira no equipamento, pode acessar a esses dados, sempre e quando estejam bloqueados. Isso não quer dizer que a criptografia não é efetiva: de fato, o uso extensivo da criptografia limita em grande medida a quantidade de prejuízos que um cibercriminoso pode fazer e, além disso, reduz a janela de tempo na qual um atacante tem acesso aos dados descriptografados.
É por isso que normalmente recomendamos a utilização de defesas em camadas: dessa forma, uma tecnologia ajuda a reforçar a eficácia da outra, pois cada uma restringe as oportunidades de um cibercriminoso roubar dados.