A criptografia tem um papel fundamental no planejamento estratégico da Segurança da Informação. Mas é um recurso que vem sendo utilizado pelos dois lados da moeda, tanto para defender registros privados nas organizações quanto para comprometer arquivos e informações em ataques de ransomware.
Esse cenário faz com que a indústria mundial de criptografia seja uma das mais rotativas. Isso porque a expansão rápida das capacidades de processamento dos computadores exige que padrões sejam eliminados e substituídos com frequência.
“É como definiu Gordon Moore, co-fundador da Intel: a cada 18 meses, o poder computacional de processamento dobra. Com isso, quando se cria um padrão criptográfico sem possibilidade de ser quebrado agora, em um ano e meio ele pode se tornar vulnerável, sendo possível processar todas as combinações daquela criptografia em menos tempo”, explica o Chefe de Equipe de Análise para América Latina na Kaspersky, Fábio Assolini, em entrevista para a Security Report.
Assim, é comum entre fabricantes de software e desenvolvedores de sistemas operacionais o abandono de padrões criptográficos antigos em pouco tempo por já não trazerem a devida proteção de antes. Mas a chegada de formas cada vez mais inovadoras de processar dados podem ser úteis para a própria criação dos códigos de criptografia.
É o caso da computação quântica. Com ela, diz Assolini, será possível desenvolver outros padrões criptográficos, com melhores recursos e mais difíceis de serem rompidos. Contudo, o momento de transição atual ainda impede que essa tecnologia seja distribuída para todos, já que seria uma vantagem a ser usada para quebrar a criptografia atual. Isso poderia complicar infinitamente a Segurança da Informação.
“Tecnologias como a computação quântica vão mudar esse tipo de realidade. Isso se dará pois o poder de processamento aumentará de tal forma que toda e qualquer criptografia existente hoje poderá ser quebrada a partir desse método. Esse é um dos motivos do porquê a computação quântica ainda se mantém tão limitada, já que as instituições governamentais buscam restringir o acesso a essa inovação”, explica o profissional.
Mal uso da Criptografia
Entretanto, Assolini alerta que a criptografia não pode ser vista como uma inimiga. O alerta é feito pois já houve, no passado, iniciativas governamentais para tentar obrigar empresas de tecnologia a adicionar backdoors em seus códigos criptográficos, o que poderia comprometer tanto as mensagens dos cibercriminosos quanto as do chefe de estado de um país.
“Em países democráticos isso chegou a ser debatido com certa força, mas os governos compreenderam que não era o caminho mais adequado e hoje já faz um tempo que não vejo nada nesse sentido. Isso foi barrado especialmente graças à mobilização da sociedade civil, através de especialistas que explicam os riscos de se adicionar artificialmente backdoors em criptografias”, explica.
Mas isso ainda pode ocorrer em países não democráticos, como por exemplo para promover espionagem de tráfego de internet. “Alguns desses países apenas permitem que se acesse a rede com um certificado específico instalado no dispositivo, o problema é que esses certificados abrem as portas para o poder público ler em texto o tráfego de rede”.
Além disso, em casos como o uso de ransomware, a história muda drasticamente. Estes métodos envolvem o uso de padrões criptográficos de forma maliciosa, mas, como afirma Assolini, isso faz da criptografia apenas uma ferramenta sendo mal utilizada para cifrar arquivos usando altos padrões criptográficos.
Assim, a criptografia não é algo que pode ser controlada por usuários, corporações ou governos diretamente. O Chefe de Análises LATAM comenta que geralmente são as empresas de tecnologia que fazem essas escolhas, definindo padrões de uso criptográfico com a indústria através de grupos externos.
“Nós, como usuários, não temos muita escolha quanto à criptografia usada. Nossas decisões estão mais ligadas às soluções que usem isso como ferramenta, mas sem alterar o conteúdo criptográfico por si. Nisso, os objetivos das empresas serão sempre manter um alto nível dessa tecnologia para evitar que dados sejam alcançados por conta de um padrão fraco ou mal aplicado”, completa.
