Artigos

Criptografia e os Dilemas da Segurança da Informação

Ultimamente, a adoção da criptografia tornou-se um grande atrativo para o usuário comum, cada vez mais preocupado com sua privacidade e a segurança de suas informações e atividades online. Tanto para proteger seus dados em trânsito, geralmente relativos a comunicações privadas, como seus dados estáticos, armazenados em dispositivos eletrônicos.

Esta preocupação justifica-se de um lado pelo constante desenvolvimento e aprimoramento de formas de ataques a serviços de uso cotidiano, e de outro lado pelo receio do próprio poder de vigilância de governos sobre seus cidadãos, evidenciado após as informações e documentos divulgados por Edward Snowden em 2013, ex-funcionário da National Security Agency estadunidense, que exibiram para o mundo a capacidade tecnológica de vigilância do Governo Americano.

Com este cenário em mente, diversos provedores de aplicação passaram a adotar em seus serviços a criptografia by default. Neste sentido, torna-se padrão a adoção da criptografia no oferecimento do serviço. Exemplos desta mudança no âmbito da segurança da informação são os serviços de email, como o Gmail, aplicativos de comunicação instantânea, como o Whatsapp e sistemas operacionais, como o iOS, que adotaram a criptografia by default para proteger dados e comunicações de seus usuários.

Uma vez que a criptografia é adotada como padrão, inviabiliza-se o acesso do conteúdo dos dados pelo provedor de aplicação. Isto fornece maior segurança e garantia da privacidade ao usuário, mas ao mesmo tempo é um problema para investigações policiais. Se, em uma lógica não criptografada, as autoridades facilmente teriam acesso a determinados conteúdos de conversas entre criminosos (mediante uma simples ordem judicial), agora há uma verdadeira impossibilidade técnica para tal.

Isto suscitou um debate em escala global sobre a necessidade de se regular a criptografia, impondo certas restrições ao seu uso e obrigando provedores de serviço a fornecerem meios alternativos – como backdoors – para que autoridades possam ter acesso aos dados criptografados. Um desafio que se mostra relevante para comunidade técnica, pois a inserção de backdoors na estrutura de uma aplicação pode gerar fragilidades de segurança da informação. Quando uma autoridade tem uma porta de entrada em uma aplicação, a mesma porta poderá ser usada por um invasor não autorizado.

Nesse sentido, mencionar o recente debate nos Estados Unidos protagonizado pelas   manifestações do diretor do FBI James Comey em favor de uma regulação mais restritiva da criptografia. Explica-se esta posição após o fracasso do FBI em acessar dados criptografados de dois iPhones dos terroristas responsáveis pelo atentado em San Bernardino, Califórnia, em 2015.

Por outro lado, técnicos, acadêmicos e representantes da sociedade civil manifestaram-se contra este tipo de imposição, apontando que as restrições à criptografia poderiam comprometer a segurança e privacidade de usuários, a inovação tecnológica e até mesmo a segurança nacional, tornando todos os serviços que oferecem a criptografia vulneráveis.

No Brasil, o debate ainda é bastante incipiente, mas algumas movimentações colocam-no sob os holofotes da regulação da tecnologia. Aqui, o debate surge após os sucessivos bloqueios do Whatsapp em território nacional devido ao descumprimento de ordem judicial pela empresa para fornecimento de dados.

No último dos quatro bloqueios, o Whatsapp alegou impossibilidade técnica do fornecimento das informações, e a Juíza Daniela Souza requereu “a desabilitação da chave de criptografia, com a interceptação do fluxo de dados, com o desvio em tempo real em uma das formas sugeridas pelo MP“, indo além da mera sugestão feita pelo FBI no contexto americano.

A ordem judicial é curiosa, ainda mais se levarmos em conta o sistema normativo brasileiro, aparentemente amigável à utilização de criptografia para proteção de dados e informações pessoais: o Decreto 8.771/16 prevê em seu artigo 13 que:

Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:(…) IV – o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes

No mais, a decisão foi posteriormente revertida pelo Ministro Ricardo Lewandowski, mas uma audiência pública foi marcada pelo Supremo Tribunal Federal especificamente para tratar da a viabilidade técnica e jurídica deste tipo de regulação da criptografia e compreender melhor seus possíveis efeitos posteriores. Enquanto isto, é bom seguir acompanhando de perto este debate, uma vez que o efeito pode vir a ser negativo para todos os envolvidos.

 

*Alexandre é Professor e coordenador do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP
**Artigo escrito em colaboração com Carlos Augusto Liguori Filho – Pesquisador Pleno do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP

Comentar

Clique aqui para comentar

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou quaisquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.