Tem gente surtando com a quebra do protocolo PGP – coisa que você nem deveria usar

Para começo de conversa, por que você usaria email pra trocar mensagens de forma segura?
15.5.18
Crédito: Shutterstock

Nesta segunda-feira, o mundo foi lembrado mais uma vez de que o método de criptografia PGP ainda existe e continua meio merda.

Que fique claro que o problema não é o protocolo em si, visto que a criptografia dele é sólida. O problema mesmo é a forma como ele é implementado, bem como o ecossistema ao seu redor. A novidade reside no fato de que um grupo de pesquisadores descobriu uma artimanha para descriptografar estes emails que pode muito bem ser utilizada por hackers.

Publicidade

Foi lançado um paper sobre o tema e estes pesquisadores também publicaram um resumão das descobertas nesta segunda-feira. Resumo da ópera: caso um hacker intercepte um de seus emails criptografados enquanto este trafega ao longo da internet, ou caso o hacker consiga roubá-lo de seu computador ou de um servidor de backup, há a possibilidade de descriptografá-los.

Para tanto, os hackers precisariam modificar estes emails com um pouco de HTML e enviá-lo de volta a você, técnica que, de acordo com os pesquisadores, passa a perna em alguns clientes de email (caso de programas como Thunderbird, Outlook e Apple Mail) e seus plugins PGP (Enigmail, Gpg4win e GPG Tools, respectivamente) de forma que os hackers recebam o conteúdo aberto dos emails originais.

Como dito pelo professor de criptografia da Universidade Johns Hopkins, nos EUA, Matthew Green, este é “um ataque impressionante e meio que uma obra-prima quando falamos de se aproveitar de criptografia ruim, combinada com todo um desleixo por parte dos desenvolvedores de clientes de email”.

Os pesquisadores chegaram a gravar uma prova de conceito de como seria um destes ataques.

“Não é como é o se céu estivesse caindo sobre nossas cabeças, mas é um problema sério”, disse o consultor e pesquisador de segurança e privacidade Lukasz Oljenik, em email ao Motherboard, comentando ainda que estes ataques afetam “peças fundamentais do já frágil ecossistema de emails criptografados”.

É ruim, mas provavelmente não há motivos para entrarmos em pânico.

Publicidade

Primeiro: os hackers precisariam roubar ou interceptar seus emails criptografados, o que não é nada fácil e trata-se de um modelo de ameaças para o qual o modelo PGP foi criado para combater. Quem tem tomado cuidados até demais, como o pessoal da Electronic Frontier Foundation, tem aconselhado as pessoas a evitar o uso de PGP até que os clientes de email lancem patches para impedir este tipo de ação. Cabe mencionar que a GnuPG lançou uma nota na segunda-feira afirmando que quem quem tem a versão mais recente do Enigmail não corre perigo algum.

Para alguns especialistas, abrir mão do PGP é demais. Caso você tema este tipo de ataque, desabilitar o HTML em seu cliente de email é uma boa forma de reduzir riscos. Para mensagens de conteúdo mais sensível, evite usar PGP. Não por causa destes ataques em específico, mas porque o PGP conta com implementações complicadas que o deixa suscetível a bugs bizarros e é difícil aprender a usá-lo corretamente.

Phil Zimmermann, o criptógrafo criador do PGP, deixou de usá-lo há anos. Zimmermann me disse durante ligação nesta segunda-feira que até havia tentado usar o protocolo novamente há alguns meses, mas desistiu quando viu que seu cliente de email do MacOS não teria como importar suas chaves antigas por algum motivo qualquer.

“Email mesmo já é coisa da velha guarda”, disse Zimmermann.

O mesmo vale pro PGP. Claro que há casos em que o protocolo é uma boa maneira de compartilhar segredos ou autenticar a pessoa com quem se está trocando mensagens, mas ainda assim deve ser evitado e há alternativas mais seguras de comunicação como o Signal ou Wire.

“Infelizmente, creio que isso deixe claro que ao passo em que estes padrões envelhecem”, comentou Alan Woodward, professor da Universidade de Surrey. “E pra começo de conversa, o email não é uma plataforma segura para troca de mensagens”.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.