O que é criptografia em palavras simples?
Em geral, a criptografia pode ser entendida como um procedimento técnico para dificultar a legibilidade das informações contidas nos dados – ou, idealmente, para impedi-la. A criptografia é, portanto, um elemento central da segurança cibernética, pois garante a confidencialidade das informações, permitindo que apenas pessoas autorizadas as acessem. Tecnicamente, é feita uma distinção entre diferentes tipos de criptografia, o que às vezes pode ser confuso.
Dois termos que ouvimos com frequência no contexto da criptografia são criptografia de transporte e criptografia de conteúdo. A criptografia de transporte lida com processos de comunicação envolvendo dados que são enviados de um portador de dados para outro por meio de conexões da Web. O problema é que a criptografia de transporte criptografa apenas o canal da mensagem, ou seja, a comunicação entre o remetente da mensagem e o respectivo provedor que encaminha a mensagem. A criptografia de transporte também é conhecida como “criptografia ponto a ponto” (P2PE) ou “criptografia de linha”. A criptografia de transporte, portanto, fornece proteção contra interceptação não autorizada da linha de dados, mas a mensagem é descriptografada novamente nas estações intermediárias – por exemplo, no servidor do provedor.
Assim, quanto mais estações intermediárias uma mensagem passa, mais destinatários intermediários têm acesso à mensagem. Esse risco só pode ser evitado usando a criptografia de conteúdo. Um subconjunto da criptografia de conteúdo é a “criptografia de ponta a ponta” (E2EE), que se tornou cada vez mais popular como padrão de comunicação nos últimos anos. Sua principal vantagem é que, ao contrário do P2PE, os dados são criptografados mesmo quando estão “em repouso” no terminal ou nas estações intermediárias de uma transmissão de mensagem. Os próprios dados são, assim, criptografados “em seu conteúdo”.
A comunicação criptografada é um direito civil
Mas e as questões legais da criptografia? O insight mais importante aqui é que o direito à criptografia é um direito civil! A União Europeia reconheceu desde cedo o direito à encriptação e consagrou-o na Carta Europeia dos Direitos Fundamentais – que se aplica a mais de 450 milhões de cidadãos. Embora a criptografia como procedimento técnico não esteja explicitamente incluída no texto da lei, o que está incluído é um direito ao respeito pela vida privada e familiar e um direito à proteção de nossos dados pessoais. O reconhecimento desses direitos não apenas proíbe a interferência não autorizada em nossa privacidade, mas também nos dá o direito de garantir que a confidencialidade e a integridade do processamento e transmissão de dados digitais sejam protegidas e que qualquer pessoa possa usar os meios técnicos apropriados para fazê-lo. Debates políticos que visem proibir o uso de tecnologia de criptografia, como é atualmente o caso dos EUA, por exemplo, são, portanto, inadmissíveis do ponto de vista europeu. Além disso, outros países fora da União Europeia também devem observar os rigorosos requisitos legais da legislação da UE se quiserem processar dados provenientes da UE.
Essa posição jurídica global sobre o direito à criptografia também faz sentido para além das questões legais. Assim como posso escrever uma carta analógica em um script secreto para que pessoas não autorizadas não possam ler o conteúdo, devo ser capaz de criptografar minhas comunicações digitais e armazenar dados digitais de forma criptografada em meu smartphone ou PC.
Segurança através de criptografia e segurança apesar da criptografia?
Enquanto tivemos direito à criptografia de nossa comunicação digital, os governos fizeram um esforço para restringir a possibilidade inicialmente tecnicamente ilimitada de comunicação segura e confidencial e armazenamento de dados. As razões políticas apresentadas para a restrição são variadas e, por vezes, parecem mais ou menos legítimas. E não são apenas regimes autoritários como a República Popular da China, onde o direito fundamental à proteção de dados é desconhecido, que estão envolvidos no debate global sobre o uso da criptografia.
Em países ocidentais em particular, como os EUA ou o Reino Unido, com sua pressão legal por uma “Lei de Segurança Online”, há preocupação de que opções técnicas cada vez mais sofisticadas e fáceis de usar para criptografia possam privar a segurança pública, a polícia e as agências de aplicação da lei de acesso a dados importantes para suas investigações. E essas preocupações são fundadas.
É por isso que estão sendo discutidas abordagens para restringir o uso de criptografia. Estes vão desde acesso especial do governo, canais de comunicação criptografados e um enfraquecimento técnico da criptografia até uma proibição legal completa da comunicação criptografada. Esses esforços políticos são a razão pela qual também falamos sobre “segurança por meio de criptografia e segurança apesar da criptografia”. Por um lado, os cidadãos devem poder comunicar confidencialmente em termos de cibersegurança e, por outro lado, o Estado não quer torpedear interesses contrários à segurança pública, por exemplo, para prevenir ataques terroristas ou para resolver crimes.
No futuro, caberá aos governos e legisladores em todo o mundo encontrar um equilíbrio adequado entre os interesses da segurança pública e o direito dos cidadãos à segurança e proteção de dados sem colocar em risco a privacidade das pessoas. A ponderação de interesses inclui o envolvimento com fornecedores de software de criptografia e segurança em vez de criar regulamentações legais unilaterais e impraticáveis.
Saídas para o “dilema da criptografia”
A saída para o “dilema da criptografia” não parece fácil. No entanto, uma coisa é certa: os países europeus não estão autorizados a incluir a vigilância em massa sem garantias dos seus cidadãos nas suas leis e, por conseguinte, não estão autorizados a proibir as comunicações encriptadas ou a contorná-las tecnicamente per se. As autoridades de segurança também não estão autorizadas a interferir em nossa privacidade digital íntima.
É claro que o direito à criptografia é um privilégio legal que não se aplica em todos os países do mundo, porque um direito constitucionalmente protegido à criptografia não existe em todos os lugares. E quer dizer que, mesmo com direito à criptografia, o Estado não está proibido de tentar acessar dados criptografados em determinados casos, por exemplo, se houver suspeita concreta de crime grave. No entanto, cabe ao Estado decidir como fazer isso – em outras palavras, as autoridades de segurança devem descobrir como tecnicamente “quebrar” a criptografia sem comprometer o direito dos cidadãos à privacidade. Quanto mais eficaz for o método de criptografia escolhido, mais difícil será para o estado obter acesso aos dados transmitidos ou armazenados.
Além disso, se criptografar meus dados e minhas comunicações, estou sinalizando que sua confidencialidade e segurança são particularmente importantes para mim e que, portanto, automaticamente gozam de maior proteção constitucional. Então, como você pode ver, sempre vale a pena criptografar seus dados.
