Segurança, Criptografia, Privacidade e Anonimato

MAC 339

Informação, Comunicação e a Sociedade do Conhecimento

Elias Yoshiaki Yoshida
e-mail: elias@linux.ime.usp.br

Segurança, Criptografia,

Privacidade e Anonimato

Fase 2

1) Objetivo

Com o avanço da tecnologia da informação, a questão da privacidade, anonimato e segurança de transmissões de dados aumentou a importância da criptografia. O seu impacto na esfera social, econômica e cultural, tem dado situações sem precendentes e que serão discutidas nesse projeto.
As idéias apresentadas foram discutidas por vários autores (Michael Stanton, Phil Zimmermann, Norton Godoy) que escreveram artigos na teia, e que estão nos links do item 4.

2) Segurança

2.1) O que é Criptografia e o seu uso

No âmbito da tecnologia de informação a criptografia é importante para que se possa garantir a segurança em todo o ambiente computacional que necessite de sigilo em relação as informações.
Desde o tempo ds egípcios a criptografia já estava sendo usada no sistema de escrita hieroglíca.
Historicamente, a confidencialidade na comunicação entre pessoas podia ser garantida pela realização de encontros reservados.
Para a comunicação à distância, seria necessário enviar mensagens através de intermediários, e para manter a confidencialidade foram desenvolvidos códigos e cifras para esconder o conteúdo das mensagens dos bisbilhoteiros que as interceptassem, como dos próprios intermediários.
A criptografia é a ciência de desenvolver e quebrar tais cifras, principalmente nas áreas diplomáticas e militares dos governos.
As telecomunicações aumentaram a rapidez e confiabilidade da comunicação remota. No século 20, o uso da criptografia foi automatizado, para tornar mais rápida e eficaz sua aplicação.
Atualmente a criptografia é usada como uma técnica de transformação de dados, segundo um código, ou algoritmo, para que eles se tornem ininteligíveis, a não ser para quem possui a chave do código.

Tipos de Criptografia

Existem dois tipos principais de criptografia: a simétrica e a assimétrica. Na criptografia simétrica, o algoritmo e a chave são iguais. Isso significa que o remetente e o destinatário usam a mesma chave.
A criptografia assimétrica utiliza uma chave (pública) para encriptar e outra (privada), para desincriptar. Podemos dizer que, ao invés de compartilhar uma chave secreta, utiliza-se duas chaves matematicamente relacionadas.
Uma das chaves é aberta para que todos possam ver (chave pública) e a outra é mantida em sigilo (chave privada).
Dessa forma, uma mensagem criptografada com uma chave pública somente poderá ser desincriptografada com a chave privada correspondente do destinatário.
A criptografia assimétrica é usado com maior frequencia na Internet, pois é mais viável tecnicamente, pois não sabemos previamente onde serão enviados os dados. Se fosse usado a criptografia simétrica poderíamos ter grandes problemas, pois para distribuir a chave para todos os usuários autorizados teríamos um problema de atraso de tempo e possibitaria também que a chave chegue a pessoas não autorizadas.

Algoritmos mais usados

Existem muitos e muitos algoritmos e logicamente não é o objetivo aqui realizar uma análise de todos eles. Será listado apenas os mais usados, maiores detalhes do funcionamento e descrição do algoritmo podem ser encontrados no livro do Routo Terada (vide item 4 dessa monografia).
O algoritmo de chave única, isso é, para criptografia simétrica, mais difundido é o DES (Data Encryption Standard). Esse algoritmo foi desenvolvido pela IBM e adotado como um padrão nos Estados Unidos desde 1977. O algoritmo DES trabalha codificando blocos de 64 bits, usando uma chave de 56 bits mais 8 bits de paridade. Para quebrar o DES pela força bruta, isso é, tentar todas as combinações possíveis de chave, como é uma chave de 56 bits temos um total de 2 elevado a 56 chaves possíveis.

Outros algoritmos de chave única muito difundidos são:

Triple-DES: DES aplicado 3 vezes
NewDES: blocos de 64 bits e chave de 120 bits
FEAL-N: baseado no DES, pode-se especificar o número de passoas da cifragem.
Khufu e Khafre: trabalham com tabelas de substituições de 256 posições de 32 bits.
IDEA: muito difundido como o DEA. Usa blocos de 64 bits e chave de 128 bits.

O algoritmo de chave pública, isso é, para criptografia assimétrica mais difundido é o RSA (significa o nome dos autores: Rivest, Shamir e Adleman). A segurança do algoritmo se baseia na intratabilidade da fatoração de produtos de dois números primos.
Um usuário U para determinar o seu par (PU, SU), faria da seguinte forma: escolheria ao acaso dois números primos grandes p e q e computa o seu produto (n = p * q), e o número f(n) = (p - 1) * (q - 1); o usuário U escolhe ao acaso um número c relativamente primo com f(n) e determina d tal que c * d (mod f(n)). Finalmente o usuário U publica sua chave pública PU(c,n) e mantém em segredo os valores de p, q, f(n) e d. Assim ficará em segredo a chave SU (d, n).
Para maiores detalhes desse algoritmo vide o livro do Routo Terada que faz uma análise profunda desse algoritmo.
Também um algoritmo de criptografia muito conhecido é o PGP.
Utiliza chaves de até 4096 bits. Para um computador tentar "quebrar" a criptografia da mensagem, levaria séculos. Só para base de comparação, uma chave de 1024 bits em um algoritmo assimétrico é equivalente a uma chave de 80 bits em um algoritmo simétrico.
Existe então um projeto de internacionalização do PGP, chamado PGPi.
A versão PGPi é a versão internacional, e é a que uma pessoa deverá usar, a não ser que resida nos Estados Unidos. Isso se deve às leis dos EUA a respeito de criptografia, proibindo-a de ser exportada.

Uso de criptografia

A criptografia nos computadores não é usado somente para misturar e desembaralhar informações.
O seu uso é para garantir segurança nos meios de transmissão e armazenamento, e também é muito usado para codificar dados e mensagens antes de serem enviados a teia, para que mesmo que sejam interceptados, dificilmente poderão ser decodificados.
Uma ferramenta chave para garantir a privacidade é a autentificação.
Usamos diariamente autentificação, por exemplo, quando assinamos um cheque. Quando usamos o meio eletrônico de comunicação também fazemos uso de autentificação.
A assinatura digital garante a procedência do documento. Assim podemos usá-lo para controlar acessos a discos rígidos compartilhados ou controlar canais de TV pagas por tempo de uso.
Com certas ferramentas básicas e com o uso de assinaturas digitais e criptografia, podemos elaborar esquemas e protocolos que permitem o uso de dinheiro eletrônico, comprovar que temos acesso a certas informações sem a necessidade de exibí-las e dividir um contexto sigiloso de modo que não menos que 3 de um grupo de 5 pessoas possam reconstruí-lo.

Algumas terminologias

Criptografia kriptós = escondido, oculto e grapho = grafia:
É a arte ou ciência de escrever em cifra, de forma a permitir normalmente que apenas um destinatário a decifre e compreenda. Quase sempre a decriptografia requer uma chave, uma informação secreta disponível ao destinatário.
Criptoanálise kriptos= oculto e analysis= decomposição:
É a arte ou ciência de determinar a chave ou decifrar mensagens sem conhecer a chave. Uma tentativa de criptoanálise também é conhecida como ataque.
Criptologia kriptos= oculto e logo= estudo:
É a ciência que estuda a criptografia e a criptoanálise.

2.2) A questão da segurança no Mundo

Estados Unidos

Nos Estados Unidos, a política em relação a exportação de tecnologia de criptografia é de extrema severidade. A Agência de Segurança nacional (NSA) dos Estados Unidos, para garantir o acesso as informações transmitidas, exige que as empresas que desenvolvem tecnologias de encriptação mostrem seus algoritmos ao governo antes de exportá-los. Também limitaram o tamanho da chave utilizada no código a ser exportado. Até janeiro, esse limite era de 48 bits, mas foi aumentado para 64 bits.
Em virtude dessas restrições, os Estados Unidos dificultam o desenvolvimento de padrões internacionais de encriptação e geram problemas de incompatibilidades, para as empresas de tecnologia local.
"Essa situação fez com que outros países, como a Suiça, Alemanha, Israel, Irlanda, França e Austrália, ocupassem o mercado de produtos de encriptação." diz o diretor da Base, Steinberg.

Nos outros países

Na Alemanha, temos o exemplo de Werner Koch, nascido em 1961. Ele é o autor e mantenedor do projeto de criptografia GnuPG (The GNU Privacy Guard), um aplicativo de segurança baseado em algoritmos livres, financiado pelo Ministério da Economia e Tecnologia da República Federal da Alemanha (BMWi) e gerenciado pelo German Unix User Group.
O projeto tem como objetivo estimular o uso da criptografia, e, de acordo com Koch, trata-se de um programa bastante estável, que roda em muitas plataformas (quase todos os Unix, Windows, e porte para VMS e MacOS X estão em progresso).
Em Israel há um mercado em crescimento em tecnologia da informação e isso ajudou a consolidar as empresas israelitas no campo de segurança e criptografia e assim estabelecer varíos padrões usados no mercado.
O fato de ser um Estado perseguido, com vários conflitos internos de ordem política e social fez com que o assunto segurança seja algo principal em todos os aspectos. Esse fato faz de Israel um país com grandes ferramentas de confiança para uso em segurança nos meios de comunicação.
O governo francês decidiu liberar inteiramente as comunicações na área da Internet, isto é, a codificação de mensagens eletrônicas, o que corresponde a uma guinada de 180 graus na sua política anterior.
Isso ocorreu durante a reunião do comitê interministerial, presidida pelo primeiro-ministro Lionel Jospin, convocada para tratar da sociedade de informação, que deveria estabelecer um balanço completo da política governamental em matéria de criptografia.
De acordo com o primeiro-ministro Lionel Jospin, na expectativa de modificações legislativas, o governo optou por elevar o teto de criptografia, cuja utilização é livre, passando de 40 para 128 bits, nível que, segundo o chefe do governo, já permite grande segurança.
A médio prazo, afirmou Jospin, "a liberdade será total".

Reflexão

Hoje, vemos que a criptografia se faz presente nos meios de comunicação, e muitos países estão interessados nesse assunto e fazem o seu desenvolvimento. Ainda é um assunto gerador de grandes polêmicas. Também vemos que há ainda uma grande estrada a ser percorrida para que tenhamos um padrão internacional que realmente funcione.
Por enquanto estamos num período de transição, onde vários países adotam leis e regulamentações variadas a respeito da segurança com o uso de criptografia.
Países como a Alemanha, França e Israel tem formas de tratamento diferenciados da grande superpotência Estados Unidos, com relação ao uso da criptografia e suas formas de segurança. Isso pode gerar conflitos de ordem política e muitas leis e regulamentações internacionais deverão ser vistos.

2.3) A questão da segurança no Brasil

Conforme trecho extraído da Agência ESTADO escrito por Michael Stanton, o governo brasileiro baixou o decreto 3.505 que assumiu publicamente a importância da segurança da informação na esfera pública, especialmente a segurança do sistemas de computação.
Este decreto determina que as ações relativas à segurança de informação no País sejam tomadas pela Secretaria-Executiva do Conselho da Defesa Nacional. Deste conselho fazem parte o presidente e vice-presidente da República, os presidentes da Câmara e do Senado, e os ministros militares, da Justiça, da Fazenda e das Relações Exteriores.
Vale lembrar que o decreto 3.505 assegura a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Brasileira.
Essa defesa da privacidade das pessoas no Brasil é levado muito em consideração, diferentemente de alguns países, como EUA e o Reino Unido. Nesses países é considerada de pouca importância a privacidade. O que ocorre é a priorizacao da segurança da nação e assim a privacidade individual é deixada em segundo plano.
Uma das ações previstas no decreto 3.505 é a criação dos cartórios eletrônicos necessários para o uso da criptografia assimétrica na comunicação da informação governamental.
Observa-se que no decreto 3.505 há omissão de vários itens, como por exemplo, quem irá prestar assessoria na implementação das ações previstas no decreto. Mas tudo isso pode vir a ser corrigido pois o último item do decreto permite que as omissões possam ser corrigidas pelo próprio Comitê Gestor.

Existe outro fator preocupante no contexto Brasil.
Seria a desnacionalização dos meios de comunicação, decorrente da abertura da economia e da privatização de empresas de telecomunicações. Para esse exemplo temos a Telefonica que está atuando em São Paulo.
A compra por empresas estrangeiras de grandes porções da infra-estrutura nacional de telecomunicações e de Internet deve ao menos levar à criação de mecanismos capazes de impedir ou desincentivar que esta infra-estrutura seja grampeada pelos serviços de informações de outros países.
Com relação ao uso de criptografia para segurança de informação digital no Brasil temos que os produtos vendidos no Brasil são americanos.
Isso significa estar sob a Lei de Exportação de Criptografia. E como vimos no item 2.2 para os Estados Unidos, criptografia é tão séria quanto a exportação de armas e é regulamentada sob a bandeira da Segurança Nacional.
Temos o exemplo da Companhia de Processamento de Dados do Estado de São Paulo (Prodesp) que ainda utiliza um sistema de criptografia de 48 bits, do programa americano Lotus Notes, para as comunicações entre os funcionários do Estado. Existe um projeto de utilizar-se um sistema mais forte, com chave de 128 bits, mas ficamos dependendo dos Estados Unidos na sua liberação.

Uma notícia boa é que empresas brasileiras estão desenvolvendo soluções de segurança tão boas ou melhores do que as americanas.
Algoritmos criptográficos, firewall, sistemas de segurança e gerenciamento de redes e até banco de dados. Temos produtos nacionais extremamente bons e com segurança, inclusive sendo exportados para diversos países do mundo.
O mercado brasileiro de segurança em informações cresce consideravelmente aproveitando uma brecha mundial deixada pelos americanos devido as leis de exportação de criptografia que foram expostas no item anterior.

Reflexão

Ainda estamos muito atrelados com a política norte-americana e assim dependentes da tecnologia criada lá. Porém vemos claramente que estamos engatinhando no desenvolvimento e também na criação de leis e regulamentações no uso da criptografia, da segurança digital e dos meios de transmissão de dados.
Alguns decretos estão sendo criados, porém ainda apresentam muitas lacunas e assuntos a serem tratados mais profundamente. Tudo encontra-se apenas na teoria e também superficialmente.
Daqui a alguns anos, acredito que haverá grandes mudanças, não somente aqui no Brasil, mas também de ordem mundial. Com relação a segurança com certeza haverá um grande avanço em virtude de muitos fatos, como por exemplo o ataque ao World Trade Center terem mostrado a fragilidade com que encontramos nessa era digital.
A nossa privacidade está cada vez mais diminuindo, e as autoridades alegam que é em decorrência de maior segurança. Esse assunto será tratado no próximo tópico.

3) Questão da privacidade X anonimato

Autores

De acordo com Norton Godoy a restrição cada vez maior do nosso direito a privacidade é um movimento social de ordem mundial e irreversível. Isso tudo em função do aperfeiçoamento das chamadas tecnologias de informação.
Destacado também na revista britânica The Economist as novas tecnologias de informação oferem imensos benefícios como alta produtividade, mais prevenção ao crime, melhora no atendimento médico, diversão interativa. Mas vêm com um preço alto que é a nossa privacidade invadida.
Phil Zimmermann também discursa sobre a importância que devemos dar a privacidade. Compara que é tão importante como a Constituição. Relata como o governo norte-americano tenta considerar a criptografia um crime e assim tirar cada vez mais a nossa privacidade.

Sobre Privacidade e anonimato

Apesar de todas as leis, tratados e direitos constitucionais, a privacidade tem sido erodida há décadas. Tal tendência, hoje, parece estar se acelerando bastante.
De acordo com a Privacy International, uma organização não-governamental com representantes em 40 países, "a existência do histórico de vida de pessoas em centenas de bancos de dados, necessariamente não relacionados, é uma condição importante de proteção da privacidade. Mas, quando se reúnem esses dados em uma rede interligada, você torna essa proteção absolutamente vulnerável".
Também conforme um relatório produzido há dois anos pelo governo britânico:
"Para que um esquema de identidade única funcione, será necessário criar um banco de dados nacional. Isso significa dizer que os vários departamentos do governo poderão colher, transferir e guardar informações sobre o cidadão de uma forma muito mais fácil do que hoje. O que aumenta muito o risco de que a informação seja usada fora do contexto em que foi colhida. Decisões serão tomadas sobre você com base em dados imprecisos, irrelevantes ou incompletos. E, uma vez que o erro é cometido, ele pode se repetir várias vezes".
De acordo com o professor americano David Banisar, diretor de um conceituado centro de pesquisa em Washington, o impulso autoritário não é o único motivo para a expansão tecnológica da informação.
"A simples necessidade de aumentar a eficiência burocrática, que sofre com os cortes nos orçamentos, é a força por trás dessa vontade de aumentar a identidade e monitorar os indivíduos."
A coleta de impressões digitais, o uso de carteiras de identidade, o cruzamento de dados e outros esquemas de controle são inicialmente tentados em populações com pouco poder político, como aposentados, imigrantes, criminosos e militares, segundo Banisar.
"Depois, passam para esferas sociais mais altas. Implementados, são difíceis de remover e inevitavelmente se expandem. Enfim, corporações privadas se adaptam rapidamente a essas tecnologias com o objetivo de atingir consumidores, manipular mercados, além de selecionar, monitorar e controlar empregados."

No artigo de Zimmermann:
"Se a privacidade for considerada ilegal, somente os criminosos terão privacidade.
As agências de inteligência têm acesso a boa tecnologia criptográfica, assim como os grandes contrabandistas de armas e drogas, as empresas de defesa, companhias petroleiras e outras grandes corporações.
Mas as pessoas comuns e as organizações políticas populares muitas vezes não tem acesso à tecnologia criptográfica disponível de chave publica de nível militar até hoje."

Em um artigo sobre o assunto, Big brother goes high-tech (O Grande Irmão chega à alta tecnologia), Brandeis em 1928 quando já presidia a Suprema Corte dos EUA disse:
"Meios de invasão de privacidade mais sutis e de maior alcance estão ficando disponíveis ao governo. Descobertas e invenções tornaram possível, por meios mais efetivos do que a tortura, obter revelações nos tribunais que antes eram apenas sussurradas entre quatro paredes."

Atualmente

Nos dias de hoje, vemos que a afirmação do juiz Brandeis se tornou realidade em muitos aspectos da vida.
A situação de vigilância que encontramos hoje em qualquer lugar que vamos, desde ao sair do apartamento sendo monitorados nos corredores e elevadores, na rua com os semáforos e cruzamentos monitorados e até ao realizar uma compra em um Shopping Center é realmente uma invasão da privacidade que se torna facilmente acessível ao governo.
Com relação a privacidade digital vemos que mensagens de correio eletrônico são facilmente interceptadas e examinadas buscando-se por palavras-chave de interesse. Isto pode ser feito sem dificuldades, freqüentemente, automaticamente e indetectavelmente, em grande escala. Cabogramas internacionais já são examinados deste modo pela NSA (Agência de segurança dos Estados Unidos).

Futuro

Estamos nos movendo em direção a um futuro onde a nação será entrecruzada por redes de dados de fibras ópticas de alta capacidade, interligando todos os nossos computadores pessoais.

Reflexão

Conforme os relatos acima, podemos afirmar que o assunto Privacidade X Anonimato ainda está longe de ter um fim.
Muitas opiniões serão discutidas e principalmente muitas leis e regulamentações deverão ser criadas e alteradas para comportar esses novos conceitos criados pelo advento da Internet e os meios de comunicação se tornando cada vez mais importante e interligando o globo.
Mas é visível que a nossa privacidade está sendo invadida cada vez mais. E esse processo parece ser realmente irreversível.
O anonimato que era algo total quando surgiu a Internet, hoje não é mais. A grande rede mundial de computadores já se encontra completamente controlada e vigiada.
Toda essa invasão de privacidade está sendo possível, pois as autoridades alegam que é para a nossa própria segurança. Até onde a sociedade irá deixar que isso avance é algo a ser pensado, refletido com muita atenção.

4) Livros, artigos, links e textos relacionados

4.1) Criptografia

Livro: Segurança de dados, Criptografia em redes de computador
Autor: Routo Terada
Editora: Edgard Blucher
O autor é Professor Titular no Departamento de Ciências da Computação da USP. Obteve o título de PhD pela Universidade de Wisconsin-Madison. O livro apresenta aplicações e técnicas de proteção de informação sigilosa, autentificação da origem e destino para informação que esteja no ciber-espaço, verificação de assinatura eletrônica e formas de proteção de banco de dados.

http://www.dca.fee.unicamp.br/pgp/ - Site do PGP Internacional
http://www.oreilly.com/catalog/pngdefg/ - Site do livro "PNG: The Definitive Guide" de Greg Roelofs

4.2) Segurança

Livro: Segurança Máxima
Autor: anônimo
Editora: Campus
O autor do livro foi condenado criminalmente por burlar o sistema de segurança de caixas eletrônicos. O autor revela quais são as principais técnicas utilizadas pelos invasores para burlar a criptografia, usando instrumentos de desencriptação. Dá dicas de como estabelece uma política de segurança eficiente.

Livro: Hackers Expostos 2a. Edição
Autores: Joel Scambray, Stuart McClure e George Kurtz
Editora: Makron Books
Os autores-hackers acrescentaram 220 páginas nessa segunda edição. Existe um capítulo com a descrição de formas de ataque e defesa para usuários do Windows 2000, abrangendo o banco de dados de senha offline e as falhas no sistema de criptografia de arquivos.

http://www.infowar.com/ - Infowar, InfoSec Portal, Information Warfare, Security, Cybercrime
http://www.securenet.com.br/index.php - Portal de segurança da informação do Brasil
http://www.epic.org/privacy/tools.html - Ferramentas para navegação segura e anônima, e-mails criptografados, proteção contra cookies, dados de HD criptografado, PC Firewall
http://www.gip.org/ - Site do Global Internet Project

4.3) Privacidade e Anonimato

Livro: CODE and other Laws of Cyberspace
Autor: Lawrence Lessig
Editora: Basic Books
O autor é professor de Lei da Universidade de Stanford, especializado em leis constitucionais, contratos e leis do ciberespaço. No livro trata a respeito das leis de regulamentação, a iteração com a Internet e as suas aplicações, propriedade intelectual, privacidade e liberdade de expressão.

http://dlis.gseis.ucla.edu/people/pagre/architecture.html - Site de Philip E. Agre sobre privacidade em instituições de mercado
http://www.nytimes.com/library/tech/reference/index-privacy.html - The New York Times: Privacy on the Internet
http://www.privacyfoundation.org/index.cfm - Site do Privacy Foundation
http://www.cg.org.br/ - Cômite Gestor da Internet no Brasil
http://www.ifea.net/ - Site da Internet Free Expression Alliance (IFEA)
http://www.isoc.org/ - Site da Internet Society (ISOC)
http://www.wired.com/news/print/0,1294,36711,00.html - debate sobre Liberdade de Expressão X Privacidade