Autor original: Matthew Green

Compilação original: Bloco unicórnio

Sobre o autor, Matthew Green é criptógrafo e professor da Universidade Johns Hopkins. Projeto e analiso sistemas de criptografia usados ​​em redes sem fio, sistemas de pagamento e plataformas de proteção de conteúdo digital. Na minha pesquisa, examino várias maneiras pelas quais a tecnologia de criptografia pode ser usada para proteger a privacidade do usuário.

O artigo foi inspirado nas recentes notícias preocupantes de que o CEO do Telegram, Pavel Durov, foi preso pelas autoridades francesas por não policiar adequadamente o conteúdo. Embora eu não conheça os detalhes da situação, usar acusações criminais para coagir empresas de mídia social é uma escalada bastante preocupante, e as coisas não são tão simples quanto parecem.

Mas não quero falar sobre essa prisão hoje.

O que quero falar é um detalhe específico da reportagem, especificamente: quase todas as reportagens sobre esta prisão se referem ao Telegram como um “aplicativo de criptografia”.

Esta afirmação me deixa louco porque, de uma perspectiva técnica muito limitada, não está errada. No entanto, em todos os níveis importantes, basicamente engana as pessoas sobre o Telegram e como ele funciona na prática. Essa desinformação é prejudicial tanto para os jornalistas como para os utilizadores do Telegram, especialmente aqueles que podem ser gravemente prejudicados.

Agora vamos aos detalhes.

O Telegram é criptografado?

Muitos sistemas usarão criptografia de alguma forma, no entanto, quando falamos sobre criptografia no contexto dos serviços modernos de mensagens privadas, a palavra geralmente tem um significado muito específico: refere-se ao uso de criptografia padrão de ponta a ponta para proteger os usuários. conteúdo da mensagem. Quando usado de maneira padrão no setor, esse recurso garante que cada mensagem seja criptografada usando chaves de criptografia conhecidas apenas pelas partes comunicantes e indisponíveis para a operadora do serviço.

Do seu ponto de vista como usuário, um “aplicativo de mensagens criptografadas” significa que toda vez que você inicia uma conversa, suas mensagens só podem ser lidas pela pessoa com quem você está conversando. Se a operadora de um serviço de mensagens tentasse visualizar o conteúdo de suas mensagens, tudo o que veria seriam dados criptografados inúteis. As mesmas garantias se aplicam a qualquer pessoa que possa invadir os servidores do provedor, bem como às agências de aplicação da lei que enviam intimações ao provedor, para o bem ou para o mal.

O Telegram claramente não se enquadra nessa definição mais estrita por um motivo simples: ele não permite criptografia de ponta a ponta por padrão. Se quiser usar criptografia ponta a ponta no Telegram, você deve ativar manualmente um recurso opcional de criptografia ponta a ponta chamado “Bate-papos criptografados” para cada conversa privada. Este recurso não está explicitamente habilitado para a maioria das conversas e funciona apenas para conversas individuais, nunca em bate-papos em grupo com mais de duas pessoas.

Como um estranho “recurso complementar”, ativar a criptografia ponta a ponta do Telegram é, na verdade, muito complicado para usuários não especialistas.

Primeiro, o botão para ativar a criptografia do Telegram não está visível na janela de diálogo principal ou na tela inicial. Para encontrá-lo no aplicativo iOS, tive que clicar pelo menos quatro vezes – uma vez para acessar a página de perfil do usuário, uma vez para que um menu oculto aparecesse mostrando opções e, finalmente, para confirmar que queria usar criptografia. E mesmo assim, não consegui iniciar uma conversa criptografada porque o recurso “bate-papo criptografado” só funciona se a pessoa com quem você está falando estiver online.

Inicie um “bate-papo criptografado” com meu amigo Michael no aplicativo Telegram iOS mais recente. Esta opção não é diretamente visível na interface normal de bate-papo. Ativá-lo requer quatro cliques:

(1) Entre na página de perfil de Michael (foto à esquerda),

(2) Clique no botão "..." para exibir o conjunto de opções ocultas (imagem do meio),

(3) Selecione "Iniciar bate-papo secreto",

(4) Clique em Confirmar na caixa de diálogo de confirmação “Tem certeza de que deseja continuar?”. Depois disso, ainda não consegui enviar nenhuma mensagem para Michael porque o recurso de bate-papo secreto do Telegram só funciona se a outra pessoa também estiver online.

No geral, esta é uma experiência muito diferente de lançar um novo bate-papo criptografado em um aplicativo moderno de mensagens criptografadas padrão da indústria, onde você simplesmente abre uma nova janela de bate-papo.

Embora isso possa parecer uma crítica, a diferença entre a criptografia ponta a ponta padrão e essa experiência pode ser significativa. Na prática, isso significa que a grande maioria das conversas individuais do Telegram – e todos os bate-papos em grupo – podem ser potencialmente vistas e gravadas pelos servidores do Telegram, que podem visualizar e registrar todas as mensagens enviadas entre o conteúdo dos usuários. Isso pode ou não ser um problema para todos os usuários do Telegram, mas obviamente não deve ser promovido como sendo criptografado de forma particularmente segura.

(Se você estiver interessado nos detalhes e em mais algumas críticas ao protocolo de criptografia real do Telegram, elaborarei mais detalhadamente abaixo.)

A criptografia padrão realmente importa?

Talvez seja importante, talvez não! Esta questão pode ser vista sob duas perspectivas diferentes.

Um ângulo é que a falta de criptografia padrão do Telegram é perfeitamente adequada para muitas pessoas. A realidade é que muitos usuários simplesmente não usam o Telegram como uma ferramenta criptografada de mensagens privadas. Para muitas pessoas, o Telegram é mais uma rede de mídia social do que um aplicativo de mensagens privadas.

Especificamente, o Telegram possui dois recursos populares que o tornam perfeito para este caso de uso. Uma delas é a capacidade de criar e assinar “canais”. Cada canal é como uma rede de transmissão, e uma pessoa (ou algumas pessoas) pode enviar conteúdo para milhões de leitores. Quando você transmite uma mensagem para milhares de estranhos, não é tão importante manter o conteúdo do seu bate-papo privado.

O Telegram também oferece suporte a grandes bate-papos em grupos públicos com milhares de usuários. Esses grupos podem ser abertos ao público ou configurados apenas para convidados. Embora eu pessoalmente nunca consideraria compartilhar um bate-papo em grupo com milhares de pessoas, ouvi dizer que muitas pessoas gostam desse recurso. Em um grande grupo público como este, a natureza não criptografada do bate-papo em grupo do Telegram não importa muito – afinal, quem se importa com a criptografia quando você está falando em praça pública?

Mas o Telegram não se limita a esses recursos, e muitos usuários que aderem a esses recursos também fazem outras coisas.

Imagine que você está conversando em um grande grupo em uma “praça pública”. Neste ambiente, pode não haver expectativa de privacidade forte, portanto a criptografia ponta a ponta não é importante para você. Mas suponha que você e cinco amigos saiam da praça para ter uma conversa particular. Esta conversa merece forte proteção de privacidade? Não importa porque o Telegram não oferece esse tipo de proteção, pelo menos não na criptografia padrão, que não protege você do compartilhamento de conteúdo dos servidores do Telegram.

Da mesma forma, digamos que você use os recursos de mídia social do Telegram principalmente para consumir conteúdo, em vez de gerá-lo. Mas um dia seu amigo, que também usa o Telegram por motivo semelhante, percebe que você está na plataforma e decide lhe enviar uma mensagem privada. Você está preocupado com a privacidade agora? Você ativará manualmente o recurso "bate-papo criptografado" - mesmo que isso exija quatro cliques explícitos por meio de um menu oculto e impeça a comunicação imediata se um de vocês ficar offline?

Suspeito fortemente que muitas pessoas podem ter aderido ao Telegram por seus recursos de mídia social, mas também acabarão usando-o para bate-papos privados. Acho que o Telegram sabe disso e tende a se promover como um “aplicativo de mensagens seguro” e a falar sobre os recursos de criptografia da plataforma justamente porque sabe que isso deixará as pessoas mais confortáveis. Mas, na realidade, também suspeito que poucos desses usuários estejam realmente usando os recursos de criptografia do Telegram. Muitos usuários podem nem saber que precisam ativar a criptografia manualmente e podem pensar que já estão usando a criptografia.

Isso me leva ao próximo ponto.

O Telegram sabe que sua criptografia é difícil de ativar, mas continua a comercializar seu produto como um aplicativo de mensagens seguro.

Os recursos de criptografia do Telegram têm sido fortemente criticados desde 2016 (provavelmente antes) por muitos dos motivos que mencionei neste artigo. Na verdade, muitas dessas críticas foram feitas por especialistas, inclusive eu, em conversas com Pavel Durov no Twitter, há muitos anos.

Apesar das interações às vezes amargas com Durov, na época eu ainda acreditava que o Telegram tinha boas intenções. Acho que o Telegram está ocupado expandindo sua rede e, com o tempo, melhorará a qualidade e a usabilidade da criptografia ponta a ponta da plataforma: por exemplo, tornando-a padrão, oferecendo suporte a bate-papos em grupo e possibilitando iniciar bate-papos criptografados com usuários offline tornam-se possíveis. Minha hipótese é que, embora o Telegram possa ser um seguidor em vez de um líder, ele eventualmente alcançará um nível de funcionalidade comparável ao Signal e ao WhatsApp em protocolos de criptografia. Claro, outra possibilidade é que o Telegram abandone totalmente a criptografia e se concentre em se tornar uma plataforma de mídia social.

O que realmente aconteceu me confundiu ainda mais.

O proprietário do Telegram não melhorou a usabilidade de sua criptografia de ponta a ponta e sua experiência de usuário criptografada permaneceu praticamente inalterada desde 2016. Apesar de algumas atualizações nos algoritmos de criptografia subjacentes usados ​​pela plataforma, a experiência do usuário de bate-papo secreto em 2024 é praticamente a mesma de oito anos atrás. Apesar disso, a base de usuários do Telegram cresceu entre 7 e 9 vezes no mesmo período.

Enquanto isso, o CEO do Telegram, Pavel Durov, continua a promover ativamente o Telegram como um “aplicativo de mensagens seguro”. Recentemente, ele fez duras críticas ao Signal e ao WhatsApp em seu canal pessoal do Telegram, sugerindo que esses sistemas são backdoors do governo dos EUA e que apenas o protocolo de criptografia independente do Telegram é verdadeiramente confiável.

Isso poderia ser compreensível se fosse um argumento técnico legítimo entre duas plataformas que suportam criptografia de ponta a ponta por padrão. No entanto, o Telegram realmente não tem lugar nesta discussão. Não é mais divertido ver a organização Telegram incentivando os usuários a ficarem longe de aplicativos de mensagens que criptografam por padrão, ao mesmo tempo que se recusa a implementar recursos básicos que criptografariam amplamente as mensagens dos usuários. Na verdade, está começando a parecer um pouco malicioso.

Que outros detalhes de criptografia existem?

Este é um blog sobre criptografia, então eu seria negligente se não gastasse algum tempo explicando protocolos criptográficos enfadonhos. Eu também perderia uma grande oportunidade de me maravilhar com os detalhes internos da criptografia do Telegram, que quase sempre me deixam perplexo toda vez que olho para eles.

Para tornar isso menos doloroso, abordarei os detalhes em um parágrafo, então fique à vontade para pular se não estiver interessado.

O recurso de bate-papo secreto do Telegram é baseado em um protocolo personalizado chamado MTProto 2.0, de acordo com o que considero as especificações de criptografia mais recentes. Este sistema usa troca de chaves Diffie-Hellman de campo finito de 2.048 bits, com o parâmetro de grupo (eu acho) escolhido pelo servidor. (Como a troca de chaves Diffie-Hellman exige que ambos os usuários interajam online, o bate-papo criptografado não pode ser configurado se um usuário estiver offline.) A proteção MITM é gerenciada pelo usuário final, que deve comparar as impressões digitais das chaves. O servidor fornece alguns nonces aleatórios estranhos (valores aleatórios) cujo propósito eu não entendo completamente * - no passado, esses nonces costumavam tornar as trocas de chaves completamente inseguras contra servidores maliciosos (mas esse problema já foi resolvido há muito tempo *). As chaves geradas são então usadas no mais incrível modo de criptografia autenticada fora do padrão - um modo chamado Infinite Obfuscation Extensions (IGE), que é baseado em AES e usa SHA 2 para lidar com a autenticação. **

Nota: No parágrafo acima, tudo o que marquei com um “*” é um ponto em que um criptógrafo especialista levantaria a mão e faria uma pergunta num contexto semelhante a uma auditoria de segurança profissional. Não vou entrar nisso, mas basta dizer que a criptografia do Telegram é muito incomum.

Se você me pedisse para adivinhar se o protocolo e a implementação dos chats secretos do Telegram são seguros, eu diria que provavelmente é. Honestamente, isso não importa, porque não importa quão seguro seja se as pessoas não o usarem de fato.

Nota do bloco unicórnio: Simplificando, o sistema de criptografia do Telegram usa algumas tecnologias complexas para proteger as informações, mas em termos de experiência do usuário, sua configuração e uso são relativamente complicados. Alguns detalhes técnicos podem parecer opacos, principalmente o uso de números aleatórios e a forma como as chaves são protegidas.

afinal

Embora a criptografia ponta a ponta seja uma das melhores ferramentas que já desenvolvemos para evitar violações de dados, ela não é tudo. Um dos maiores problemas de privacidade nas mensagens é a grande quantidade de metadados – basicamente dados sobre quem está usando o serviço, com quem está conversando e quando está conversando.

Esses dados normalmente não são protegidos por criptografia de ponta a ponta. Mesmo em aplicativos somente de transmissão, como os canais do Telegram, há muitos metadados úteis sobre quem está ouvindo a transmissão. A informação em si é valiosa para as pessoas, como evidenciado pelas enormes quantias de dinheiro que as emissoras tradicionais gastam na recolha destes dados. Atualmente, todas essas informações podem existir nos servidores do Telegram, disponíveis para quem quiser coletá-las.

Não estou criticando especificamente o Telegram, pois o mesmo problema existe com quase todas as outras redes sociais e aplicativos de mensagens privadas. Mas deve ser mencionado, mas menciono essas questões para não fazer você pensar que apenas ter criptografia é suficiente.