Tem gente surtando com a quebra do protocolo PGP – coisa que você nem deveria usar

Nesta segunda-feira, o mundo foi lembrado mais uma vez de que o método de criptografia PGP ainda existe e continua meio merda.

Que fique claro que o problema não é o protocolo em si, visto que a criptografia dele é sólida. O problema mesmo é a forma como ele é implementado, bem como o ecossistema ao seu redor. A novidade reside no fato de que um grupo de pesquisadores descobriu uma artimanha para descriptografar estes emails que pode muito bem ser utilizada por hackers.

Foi lançado um paper sobre o tema e estes pesquisadores também publicaram um resumão das descobertas nesta segunda-feira. Resumo da ópera: caso um hacker intercepte um de seus emails criptografados enquanto este trafega ao longo da internet, ou caso o hacker consiga roubá-lo de seu computador ou de um servidor de backup, há a possibilidade de descriptografá-los.

Para tanto, os hackers precisariam modificar estes emails com um pouco de HTML e enviá-lo de volta a você, técnica que, de acordo com os pesquisadores, passa a perna em alguns clientes de email (caso de programas como Thunderbird, Outlook e Apple Mail) e seus plugins PGP (Enigmail, Gpg4win e GPG Tools, respectivamente) de forma que os hackers recebam o conteúdo aberto dos emails originais.

Como dito pelo professor de criptografia da Universidade Johns Hopkins, nos EUA, Matthew Green, este é “um ataque impressionante e meio que uma obra-prima quando falamos de se aproveitar de criptografia ruim, combinada com todo um desleixo por parte dos desenvolvedores de clientes de email”.

Os pesquisadores chegaram a gravar uma prova de conceito de como seria um destes ataques.

“Não é como é o se céu estivesse caindo sobre nossas cabeças, mas é um problema sério”, disse o consultor e pesquisador de segurança e privacidade Lukasz Oljenik, em email ao Motherboard, comentando ainda que estes ataques afetam “peças fundamentais do já frágil ecossistema de emails criptografados”.

É ruim, mas provavelmente não há motivos para entrarmos em pânico.

Primeiro: os hackers precisariam roubar ou interceptar seus emails criptografados, o que não é nada fácil e trata-se de um modelo de ameaças para o qual o modelo PGP foi criado para combater. Quem tem tomado cuidados até demais, como o pessoal da Electronic Frontier Foundation, tem aconselhado as pessoas a evitar o uso de PGP até que os clientes de email lancem patches para impedir este tipo de ação. Cabe mencionar que a GnuPG lançou uma nota na segunda-feira afirmando que quem quem tem a versão mais recente do Enigmail não corre perigo algum.

Para alguns especialistas, abrir mão do PGP é demais. Caso você tema este tipo de ataque, desabilitar o HTML em seu cliente de email é uma boa forma de reduzir riscos. Para mensagens de conteúdo mais sensível, evite usar PGP. Não por causa destes ataques em específico, mas porque o PGP conta com implementações complicadas que o deixa suscetível a bugs bizarros e é difícil aprender a usá-lo corretamente.

Phil Zimmermann, o criptógrafo criador do PGP, deixou de usá-lo há anos. Zimmermann me disse durante ligação nesta segunda-feira que até havia tentado usar o protocolo novamente há alguns meses, mas desistiu quando viu que seu cliente de email do MacOS não teria como importar suas chaves antigas por algum motivo qualquer.

“Email mesmo já é coisa da velha guarda”, disse Zimmermann.

O mesmo vale pro PGP. Claro que há casos em que o protocolo é uma boa maneira de compartilhar segredos ou autenticar a pessoa com quem se está trocando mensagens, mas ainda assim deve ser evitado e há alternativas mais seguras de comunicação como o Signal ou Wire.

“Infelizmente, creio que isso deixe claro que ao passo em que estes padrões envelhecem”, comentou Alan Woodward, professor da Universidade de Surrey. “E pra começo de conversa, o email não é uma plataforma segura para troca de mensagens”.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.