Blog

O caso Crypto e o atual estado da vigilância estatal frente à criptografia

Escrito por

17 de fevereiro de 2020

Recentemente, uma reportagem conjunta realizada pelos veículos de mídia The Washington Post e ZDF revelou informações preocupantes acerca da distância até a qual governos ao redor do mundo estão dispostos a ir em nome da obtenção de informações confidenciais de Estados rivais. A matéria, mais especificamente, detalhou os mecanismos por meio dos quais as agências de inteligência estatal estadunidense e alemã operacionalizavam esse tipo de espionagem internacional, através de métodos fraudulentos.

No post de hoje, apresentaremos brevemente o caso Crypto, e realizaremos uma análise mais ampla acerca de como outros governos buscam contornar o uso de técnicas criptográficas para fins de vigilância e a alegada proteção da segurança nacional. Essa análise, mais precisamente, envolverá o novo projeto de lei geral de proteção de dados indiana e os recentes desenvolvimentos desse debate no Brasil.

Resumo do caso: a Crypto e o que aconteceu

Crypto AG foi originalmente uma empresa de origem suíça que construiu sua reputação fornecendo equipamento de cifragem de mensagens para as tropas estadunidenses durante a II Guerra Mundial. Na época, apesar de não oferecer um grau de segurança muito avançado, as máquinas disponibilizadas pela companhia foram amplamente utilizadas em missão pelos soldados dos EUA em decorrência de sua grande portabilidade.

Nesse cenário, a empresa cresceu, ganhou notoriedade internacional e passou a fornecer seus equipamentos para diversos países mesmo após a guerra. Os EUA, aproveitando-se das relações institucionais que haviam obtido com o criador da Crypto, Boris Hagelin, propuseram uma parceria por meio da qual a empresa suíça, em troca de financiamento estadunidense, forneceria máquinas propositalmente defeituosas – fáceis de interceptar – para governos oponentes dos EUA. Isso se dava por meio da inserção de vulnerabilidades secretas (backdoors) na cifragem das informações. Aí começou uma parceria investigativa que perdurou por décadas.

Esse vínculo entre os EUA e a Crypto ganhou força ao longo dos anos, tendo a CIA adquirido controle quase total da empresa com o passar do tempo. Eventualmente, a BND – agência de espionagem alemã – uniu-se à agência norte-americana e ambas exerceram controle conjunto das operações da Crypto durante um extenso período.

Nesse intervalo de tempo, as máquinas da Crypto tornaram-se uma das principais opções para garantir a segurança das comunicações estatais em uma parcela significativa dos países do mundo. Essa segurança, contudo, não passou de ilusão, visto que a CIA e a BND obtiveram acesso quase irrestrito a tudo o que passou pelas máquinas disponibilizadas. A reportagem aponta que as agências de inteligência obtiveram acesso a comunicações confidenciais relativas a inúmeros eventos de grande magnitude internacional – desde guerras como a das Malvinas até ataques terroristas que contaram com o apoio de entidades estatais.

A inteligência alemã desistiu de sua participação na parceria no início dos anos 1990, mas a CIA persistiu em suas operações até 2018, quando a Crypto foi vendida para um grupo de capital privado. As informações obtidas ao longo dessas décadas de interceptações possibilitaram às entidades de espionagem estatal uma posição privilegiada do ponto de vista geopolítico.

Movimentos de resistência contra o uso de criptografia

A criptografia hoje é amplamente utilizada em diversas aplicações, tanto por entidades governamentais como também por indivíduos que buscam maior segurança para suas informações. Aplicativos famosos como o Telegram e o WhatsApp oferecem para seus usuários criptografia forte de ponta a ponta, e as técnicas de cifragem de dados digitais são entendidas como uma forma recomendada – se não essencial – para a defesa da privacidade nos dias atuais.

As recentes revelações sobre o caso Crypto são alarmantes pois demonstram que a vigilância estatal chega a níveis mais graves do que inicialmente se imaginava, mas a inserção de backdoors em algoritmos de criptografia diversos não se trata de um anseio velado por parte de entidades governamentais. Pode-se citar, inclusive, diversos casos em que governos buscaram institucionalizar essas vulnerabilidades em aplicações de uso generalizado.

Esses movimentos, em geral, fundamentam-se pelo receio das entidades estatais em não conseguir acesso a informações que podem ser decisivas para a averiguação dos fatos em face de procedimentos investigativos. Os argumentos empregados para defender a necessidade de que haja meios de se acessar a informação cifrada giram em torno do extremismo de que, do contrário, o uso da criptografia para fins ilícitos seria desenfreado.

Os próprios EUA são um forte defensor dessa causa desde o início da disseminação de técnicas de criptografia por usuários comuns. As chamadas Crypto Wars – ou Guerras Criptográficas – marcaram uma duradoura luta institucional para impossibilitar o uso de qualquer criptografia que não pudesse ser interceptada pela Agência Nacional de Segurança estadunidense (NSA), tanto por indivíduos comuns quanto por governos que não fossem aliados do país.

Apesar da defesa do enfraquecimento da criptografia ter sido deixada de lado no início dos anos 2000, as revelações de Edward Snowden em 2013 denunciaram que, em verdade, o que ocorreu foi o prosseguimento dessa política anti-criptografia, embora de maneira secreta por parte do governo dos EUA. O que a NSA passou a fazer foi secretamente reduzir a segurança das aplicações disponibilizadas, obtendo acesso às informações supostamente protegidas sem que usuários e governos sequer tivessem ciência do ocorrido – de maneira muito similar ao que se revelou no caso Crypto.

Na Índia, recentemente, o texto do projeto de lei de proteção de dados do país também apresentou previsões preocupantes quanto ao regime legal previsto para as técnicas de cifragem de dados. A lei, mais especificamente, visa não apenas tornar a criptografia de ponta a ponta ilegal, como também determina que grandes provedores de aplicação baseados em criptografia cooperem ativamente com as entidades estatais em processos investigativos – não sendo necessário nem sequer um mandado judicial para que seja determinada a necessidade de auxílio. Ainda mais, há previsões para que os provedores de aplicação realizem a investigação em favor das autoridades indianas, entregando a elas as informações pretendidas ao invés de “apenas” possibilitar o acesso destas à vulnerabilidade pretendida.

Já no Brasil, a discussão sobre o tema tem sido bastante ativa no âmbito do Judiciário, em sede da Arguição de Descumprimento de Preceito Fundamental (ADPF) nº 403 e da Ação Direta de Inconstitucionalidade (ADI) nº 5527, ambas tramitando perante o Supremo Tribunal Federal e com previsão para julgamento ainda em 2020. O que se discute nesses processos é a possibilidade da Facebook disponibilizar às autoridades estatais comunicações realizadas por meio do aplicativo WhatsApp para fins de investigação penal. Em audiência pública em que se visou obter mais informações sobre a criptografia de ponta a ponta usada no aplicativo, bem como coletar opiniões sobre como lidar com a situação, uma sugestão reiterada vinda de representantes de entidades estatais foi no sentido de que seria necessária a implementação de um backdoor no WhatsApp a fim de possibilitar o andamento das investigações de suspeitos que utilizam o aplicativo. O IRIS já publicou um post sobre a audiência pública, que pode ser acessado por meio deste link.

Não existe “meio termo” quando se fala em criptografia

Como se pode ver, os esforços institucionais para restringir o acesso generalizado a criptografia segura não são nem novidade e nem sequer restritos às manobras governamentais dos EUA. Nesse cenário, de intensa ameaça ao direito à privacidade, é necessário reforçar o quão importante é a criptografia de fato para a segurança digital de todos.

Isto porque, em termos de criptografia, não há que se falar em “meios termos”. Não é possível a implementação de vulnerabilidades cujo acesso é exclusivo para autoridades estatais. Não é possível a existência de um algoritmo que seja ao mesmo tempo interceptável e seguro.

Se houver maneiras para que entidades estatais obtenham acesso a dados criptografados, essas informações passam a ser acessíveis por qualquer indivíduo. Afinal, a vulnerabilidade na criptografia estará inserida na versão do aplicativo que todos os usuários utilizarão e, se há uma vulnerabilidade, ela é passível de exploração por qualquer um que detenha o conhecimento técnico necessário para tal. Em outras palavras: criptografia com backdoor é criptografia insegura e, portanto, essencialmente inútil para os fins aos quais se propõe.

Conclusão

As revelações do caso Crypto serviram como lembrete de que as disputas pelo direito ao acesso a técnicas de segurança da informação realmente seguras ainda está longe de um fim. Movimentos governamentais contrários a esse ideal ainda ocorrem tanto de maneira explícita quanto às escuras, portanto é importante que sejamos vocais em defesa do uso de algoritmos de criptografia comprovadamente seguros e que proporcionem aos seus usuários níveis adequados de privacidade.

Tem interesse por conteúdo relacionado a temas relacionados a Guerras Criptográficas e regulação estatal de técnicas de criptografia? O IRIS já publicou um post a respeito da Lei Anti Criptografia australiana, que causou grande repercussão na época em que foi aprovada. Para ler mais a respeito, clique aqui!

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração por Freepik

Escrito por

Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *