Ainda sobre o Signal (mais detalhes na postagens
dos dias 19 e 22), trata-se de uma excelente alternativa ao WhatsApp e
ao Telegram. Primeiro, porque seu sistema de proteção é superior ao dos
concorrentes; segundo, porque sua interface é simples e intuitiva; terceiro,
porque ele conta com diferenciais como código aberto, função de vídeo
chamadas criptografadas e outras ferramentas comuns entre os apps
mensageiros.
A base do sistema de segurança do Signal usa criptografia de ponta a ponta para evitar que
as mensagens sejam interceptadas — somente o emissor e o receptor conseguem ver
o conteúdo do diálogo. Adicionalmente, o programa se vale de um protocolo desenvolvido
pela Signal Foundation, entidade responsável pelo app, para o
funcionamento da criptografia de ponta a ponta.
O termo “criptografia” designa um processo que “embaralha” os dados, tornando-os incompreensíveis para quem não dispõe da respectiva “chave” — que é composta por uma sequência complexa de números. A expressão criptografia de ponta a ponta entrou para o léxico dos usuários do WhatsApp depois que os desenvolvedores divulgaram a adoção do protocolo como medida de segurança, mas a maioria não faz ideia do que isso significa na prática.
Para
entender isso melhor, tenha em mente que na E2EE (de End-to-End Encryption)
o emissor e o receptor das mensagens contam com uma chave pública e uma chave
privada. A primeira codifica o conteúdo antes de transmitir as mensagens,
enquanto a segunda decifra o conteúdo das mensagens recebidas.
Esse processo é automático e ocorre de maneira transparente (no
sentido de “imperceptível”) tanto para usuários do Signal quanto do WhatsApp
e do Telegram, embora existam algumas diferenças: no WhatsApp,
por exemplo, essa camada de segurança foi implementada no primeiro semestre de
2016 e não pode ser desabilitada, ao passo que no Telegram ela só se
aplica ao “chat secreto” — a exemplo do que ocorre na “conversa
secreta” do Facebook Messenger.
Por meio de um algoritmo, o mecanismo “embaralha” a informação, de
forma que somente as partes diretamente envolvidas na conversa conseguem entender corretamente o seu conteúdo. Esse processo, também chamado de encriptação
ou ciframento, pode ocorrer de forma simétrica ou assimétrica. O TLS
(sigla de Transport Layer Security) e o SSL (de Secure Sockets
Layer) são largamente utilizados na internet e combinam a criptografia
simétrica com a assimétrica. Na primeira, a mesma chave é utilizada para
codificar e decodificar — em conjunto com o algoritmo, essa chave transforma a
informação em um pacote sigiloso regido por uma série de critérios —, mas, por
utilizar uma chave única, essa modalidade é menos segura do que a assimétrica.
O ciframento simétrico que segue o método DES
(Data Encryption Standard) é capaz de criar até 72 quatrilhões de chaves
diferentes. O número é impressionante, mas o padrão, lançado em 1976 e
utilizado em larga escala, é considerado ultrapassado, já que sua chave de 56-bit
é violável em diversas aplicações do método. Assim, para aprimorar a
segurança, passou-se a utilizar algoritmos que se valem da criptografia
assimétrica, na qual cada usuário possui um par de chaves complementares,
sendo uma pública e a outra, privada (a primeira é usada para
codificar os dados e a segunda, para os decodificar). Assim, para enviar algo a
alguém, é preciso apenas ter a chave pública do destinatário, que, valendo-se da
chave privada, decodifica a mensagem.
Para checar a criptografia de ponta a ponta com um contato no WhatsApp, abra a caixa da conversa, toque no nome contato na barra superior e toque em “Criptografia” para visualizar um código com 60 números e um QR Code (de Quick Response). Se você e seu contato estiverem próximos um do outro, basta comparar visualmente os códigos ou então tocar em “escanear código” para escanear o QR Code com a câmera do celular. Ao realizar o scan, o software irá confirmar a correspondência entre os códigos e um ícone verde aparecerá na tela, indicando que ninguém está interceptando o conteúdo das mensagens que você está trocando com o usuário em questão.
Observação: Se vocês não estiverem próximos, envie seu código de segurança por WhatsApp, SMS, email para seu contato, para que seja possível compará-lo visualmente com a sequência exibida em “Criptografia”, na seção de dados do contato.
No Signal, o app cria um QR Code
ou uma sequência de números de identificação que é enviado ao usuário por outro
meio de contato (como o email, p.ex.) Após a verificação, o número de telefone
é validado e o usuário está seguro para trocar as mensagens. Aliás, ele é tido
como mais seguro que os concorrentes por ser inteiramente criptografado — o que
impede até mesmo os desenvolvedores de ter acesso ao conteúdo das mensagens
trocadas na plataforma.
Outra vantagem do Signal em relação à concorrência é o foco na segurança. É possível, por exemplo, configurar o app para proteger
com senha as conversas confidenciais (no WhatsApp, isso só pode ser
feito com a instalação de complementos de terceiros), inibir capturas de tela e
enviar mensagens que se “autodestroem” (ou seja, que desapareçam após um
período de tempo pré-definido pelo usuário).
Continua...
