O que é a encriptação? Por que é que as aplicações de mensagens devem usar este sistema para proteger as nossas conversas, fotografias e vídeos pessoais? Aqui explicamos todos os termos técnicos e jargões.

O que é a encriptação?

A encriptação é uma ferramenta poderosa para ajudar a que intrusos não acedam às nossas mensagens, aos nossos emails, às nossas chamadas telefónicas e às nossas conversas por vídeo. Quando a encriptação está ativa nas nossas comunicações na internet, quem as intercete não conseguirá ver mais do que sequências de caracteres aleatórios e sem sentido.

O que é a encriptação end-to-end?

Nas comunicações encriptadas é usada uma chave-secreta (um código) para descodificar os dados nelas contidos. Frequentemente, nos sistemas de encriptação mais usados, esse código é mantido e conhecido pela empresa que presta o serviço – como o de email ou de alojamento de websites –, o que faz com que, na prática, a empresa possa aceder aos conteúdos das nossas comunicações. Mas, com a encriptação end-to-end, que codifica a comunicação para que só o remetente e o destinatário tenham acesso ao seu conteúdo, é o emissor que detém a chave-secreta, não a empresa prestadora do serviço, e esta permanece no equipamento do emissor, pelo que todas as comunicações permanecem privadas entre nós e a pessoa com quem estamos a comunicar. A encriptação end-to-end fornece, assim, uma muito mais forte proteção da privacidade das comunicações.

Que outros sistemas de encriptação podem ser usados?

As aplicações de mensagens (messaging apps) que não disponibilizam a encriptação end-to-end normalmente usam a chamada “encriptação de transporte”: este sistema protege os dados contidos nas comunicações durante a sua deslocação dentro de uma rede mas os dados são descodificados quando chegam aos servidores da empresa que presta o serviço, pois é a empresa que detém a código de encriptação e de descodificação. E isto significa que os governos podem obrigar a empresa prestadora do serviço a entregar-lhes informação pessoal dos seus utilizadores.

Porque é que a encriptação end-to-end é importante?

A encriptação end-to-end protege os dados pessoais mesmo durante o processo em que esses dados estão a passar pelos servidores da empresa prestadora do serviço. Dessa forma, a empresa não tem como descodificar e aceder aos conteúdos das comunicações. Recentemente, foi tornado público que a Yahoo tinha permitido a agências de serviços secretos dos Estados Unidos acederem e visualizarem centenas de milhões de contas YahooMail. E isto pode acontecer muito facilmente também com as aplicações de mensagens, se não estiver ativo o sistema de encriptação end-to-end.

Quem pode ver as minhas mensagens se não estiverem encriptadas?

Conforme cada vez mais das nossas comunicações circulam online, governos e outras autoridades pelo mundo inteiro recorrem crescentemente à interceção de comunicações na internet para vigiar as atividades dos cidadãos. As nossas comunicações estão também em risco de intrusão por parte de piratas informáticos e outros criminosos no espaço digital, os quais podem roubar os nossos dados pessoais com o objetivo de roubo de identidade, de fraude bancária e de lavagem de dinheiro.

Que empresas são melhores e piores nas práticas de encriptação?

A Amnistia Internacional avaliou e classificou as 11 empresas detentoras das mais populares aplicações de mensagens no mundo inteiro. Cada uma dessas empresas foi analisada em função das políticas e práticas de encriptação nos serviços que prestam aos seus utilizadores. A organização de direitos humanos não aferiu outros aspetos de privacidade nas apps de mensagens nem as políticas e práticas gerais de segurança dessas empresas. Desta avaliação, ficou claro que apenas três das 11 empresas usam a encriptação end-to-end como definição padrão (não requer ativação por parte do utilizador) em todos os seus serviços de aplicações de mensagens.

A Facebook, empresa proprietária do Facebook Messenger e do WhatsApp, é a que mais está a fazer no recurso à encriptação para dar resposta às ameaças aos direitos humanos nos seus serviços de mensagens, e é também a mais transparente sobre as medidas e sistemas que adotou. Mas até mesmo a Facebook tem ainda muito a melhorar. No extremo oposto, a empresa chinesa Tencent foi classificada pela Amnistia Internacional como a que menos faz em matéria de privacidade nas apps de mensagens, seguida pela Blackberry e Snapchat. Muitos peritos em cibersegurança consideram que a aplicação de mensagens Signal, produto sem fins lucrativos, é a referência máxima em termos de segurança nas comunicações.

O que dizem os governos sobre a encriptação?

Os sistemas de encriptação protegem a nossa informação online mas alguns governos não querem que os usemos. Em 2015, o então primeiro-ministro do Reino Unido David Cameron questionou: “Queremos permitir a existência de meios de comunicação entre pessoas que não possamos ler?” Alguns países, incluindo o Paquistão, a Índia, a Turquia e a China já aprovaram legislação que restringe o acesso e o uso de encriptação nas comunicações na internet. Mas peritos de segurança têm apontado que se os governos forem bem-sucedidos na pressão que exercem sobre as empresas para que estas integrem backdoors (softwares de acesso remoto) nas suas aplicações de mensagens, essas portas podem ser usadas também por outros governos, por piratas informáticos e outros cibercriminosos.

E o que dizem as empresas sobre a encriptação?

Muitas das empresas avaliadas pela Amnistia Internacional têm vindo a tomar uma posição pública forte a favor da privacidade e segurança das comunicações e dos utilizadores dos seus serviços; muitas defenderam mesmo o seu recurso a ferramentas de encriptação perante a pressão exercida por governos. Mas mesmo as empresas mais bem classificadas têm melhoras a fazer, e devem ser mais transparentes com os seus utilizadores e com o público em geral sobre as suas políticas e práticas de encriptação. Em alguns países, as empresas estão legalmente obrigadas a aquiescer aos pedidos dos governos para que estes acedam aos dados dos utilizadores.

A encriptação não favorece a atividade de criminosos e terroristas?

É extremamente importante desmistificar a noção perpetuada pelos governos de que uma redução da segurança na nossa informação online nos tornará mais seguros. O oposto é que é verdade. Se fragilizarmos a nossa segurança online, expomo-nos todos ao roubo de informação e de dados.

A principal razão pela qual os governos tentam impedir a encriptação é que esta constitui um obstáculo a que vigiem indiscriminadamente os nossos dados pessoais. Muitos peritos em segurança alertam justamente que tornar o “palheiro” maior não ajudará a encontrar a “agulha” do terrorismo. Mesmo que os governos proíbam alguns sistemas de encriptação nas aplicações usadas pelos consumidores, tal não impedirá os criminosos de usarem tecnologias de encriptação, que estão amplamente disponíveis e são gratuitas; apenas enfraquecerá a segurança de todas as pessoas que cumprem a lei.

E mais do que isso: a encriptação não coíbe nem impede as autoridades de fazerem vigilância orientada para alvos específicos. Os governos têm uma enorme diversidade de ferramentas ao seu dispor para esse propósito, incluindo a análise de metadata (dados estruturais e descritivos sobre os dados comunicados como, por exemplo, informação sobre quem são as pessoas às quais se escrevem emails ou mensagens na internet, e quando isso é feito) e informação de localização das comunicações.