A discussão sobre portas dos fundos em serviços criptografados está novamente em pauta após relatos de que o governo do Reino Unido está buscando forçar a Apple a abrir o backup de dispositivos criptografado de ponta a ponta (E2EE) do iCloud. Funcionários estariam pressionando a Apple para criar uma “porta dos fundos” no serviço que permitiria que agentes estatais acessassem dados de forma clara.
O Reino Unido possui poderes abrangentes para limitar o uso de criptografia forte pelas empresas de tecnologia desde a atualização de 2016 das leis de vigilância do estado. De acordo com relatos do Washington Post, oficiais britânicos usaram a Lei de Poderes de Investigação (IPA) para fazer a demanda à Apple — buscando acesso “global” aos dados que seu serviço de Proteção Avançada de Dados (ADP) do iCloud foi projetado para proteger contra o acesso de terceiros, incluindo a própria Apple.
A arquitetura técnica do serviço ADP da Apple foi projetada de tal forma que nem mesmo a gigante da tecnologia possui chaves de criptografia — graças ao uso de criptografia de ponta a ponta (E2EE) — permitindo que a Apple prometa que tem “zero conhecimento” dos dados de seus usuários.
Uma porta dos fundos é um termo geralmente usado para descrever uma vulnerabilidade secreta inserida no código para contornar, ou de outra forma minar, medidas de segurança a fim de permitir que terceiros acessem os dados. No caso do iCloud, a ordem permite que agentes de inteligência ou policiais do Reino Unido tenham acesso aos dados criptografados dos usuários.
Enquanto o governo do Reino Unido se recusa rotineiramente a confirmar ou negar relatos de avisos emitidos sob a IPA, especialistas em segurança alertam que tal ordem secreta poderia ter ramificações globais se a fabricante do iPhone for forçada a enfraquecer as proteções de segurança que oferece a todos os usuários, incluindo aqueles localizados fora do Reino Unido.
Uma vez que uma vulnerabilidade no software existe, há o risco de que ela possa ser explorada por outros tipos de agentes, como hackers e outros indivíduos mal-intencionados que desejam obter acesso para fins nefastos — como roubo de identidade, ou para adquirir e vender dados sensíveis, ou até mesmo implantar ransomware.
Isso pode explicar por que a frase predominante usada em torno das tentativas do estado de obter acesso ao E2EE é essa abstração visual de uma porta dos fundos; pedir por uma vulnerabilidade para ser intencionalmente adicionada ao código torna as compensações mais claras.
Para usar um exemplo: quando se trata de portas físicas — em edifícios, paredes ou semelhantes — nunca é garantido que apenas o proprietário da propriedade ou o portador da chave terá uso exclusivo desse ponto de entrada.
Uma vez que uma abertura existe, cria-se um potencial para acesso — alguém poderia obter uma cópia da chave, por exemplo, ou até mesmo forçar a entrada quebrando a porta.
A conclusão: não existe uma porta perfeitamente seletiva que permita apenas que uma pessoa específica passe por ela. Se alguém pode entrar, logicamente, alguém mais poderá usar a porta também.
O mesmo princípio de risco de acesso se aplica a vulnerabilidades adicionadas ao software (ou, de fato, ao hardware).
O conceito de portas dos fundos NOBUS (“ninguém além de nós”) foi levantado por serviços de segurança no passado. Esse tipo específico de porta dos fundos geralmente se baseia em uma avaliação de suas capacidades técnicas de explorar uma vulnerabilidade particular sendo superior a todas as outras — essencialmente uma porta dos fundos ostensivamente mais segura que pode ser acessada exclusivamente por seus próprios agentes.
Mas, por sua própria natureza, a destreza e a capacidade tecnológica são um feito mutável. Avaliar as capacidades técnicas de terceiros desconhecidos também não é uma ciência exata. O conceito “NOBUS” baseia-se em suposições já questionáveis; qualquer acesso de terceiros cria o risco de abrir novas vetores de ataque, como técnicas de engenharia social direcionadas a atingir a pessoa com o acesso “autorizado”.
Não surpreendentemente, muitos especialistas em segurança descartam o NOBUS como uma ideia fundamentalmente falha. Simplificando, qualquer acesso cria risco; portanto, pressionar por portas dos fundos é antitético à segurança forte.
No entanto, independentemente dessas preocupações de segurança claras e presentes, os governos continuam pressionando por portas dos fundos. É por isso que continuamos a ter que falar sobre elas.
O termo “porta dos fundos” também implica que tais solicitações podem ser clandestinas, em vez de públicas — assim como as portas dos fundos não são pontos de entrada voltados para o público. No caso do iCloud da Apple, um pedido para comprometer a criptografia feito sob a IPA do Reino Unido — por meio de um “aviso de capacidade técnica” ou TCN — não pode ser legalmente divulgado pelo destinatário. A intenção da lei é que quaisquer portas dos fundos sejam secretas por design. (Vazar detalhes de um TCN para a imprensa é um mecanismo para contornar um bloqueio de informações, mas é importante notar que a Apple ainda não fez nenhum comentário público sobre esses relatos.)
De acordo com o grupo de direitos Electronic Frontier Foundation, o termo “porta dos fundos” remonta à década de 1980, quando portas dos fundos (e “trapdoor”) eram usadas para se referir a contas e/ou senhas secretas criadas para permitir que alguém desconhecido acessasse um sistema. Mas, ao longo dos anos, a palavra foi usada para rotular uma ampla gama de tentativas de degradar, contornar ou de outra forma comprometer a segurança dos dados habilitada pela criptografia.
Embora as portas dos fundos estejam novamente nas notícias, graças ao Reino Unido atacando os backups criptografados do iCloud da Apple, é importante estar ciente de que as demandas de acesso a dados remontam a décadas.
Na década de 1990, por exemplo, a Agência de Segurança Nacional dos EUA (NSA) desenvolveu hardware criptografado para processar mensagens de voz e dados que tinha uma porta dos fundos embutida — com o objetivo de permitir que os serviços de segurança interceptassem comunicações criptografadas. O “Clipper Chip”, como era conhecido, usava um sistema de custódia de chaves — significando que uma chave de criptografia era criada e armazenada por agências governamentais para facilitar o acesso aos dados criptografados caso as autoridades estatais quisessem entrar.
A tentativa da NSA de comercializar chips com portas dos fundos embutidas falhou devido à falta de adoção após uma reação negativa em relação à segurança e privacidade. Embora o Clipper Chip seja creditado por ajudar a impulsionar os esforços dos criptologistas para desenvolver e espalhar software de criptografia forte na tentativa de proteger dados contra a intromissão do governo.
O Clipper Chip também é um bom exemplo de onde uma tentativa de exigir acesso ao sistema foi feita publicamente. Vale notar que as portas dos fundos não precisam ser sempre secretas. (No caso do iCloud do Reino Unido, os agentes estatais claramente queriam obter acesso sem que os usuários da Apple soubessem.)
Adicione a isso que os governos frequentemente utilizam propaganda emotiva em torno das demandas de acesso a dados na tentativa de gerar apoio público e/ou pressionar os provedores de serviços a cumprir — como argumentando que o acesso ao E2EE é necessário para combater o abuso infantil, ou terrorismo, ou prevenir algum outro crime hediondo.
As portas dos fundos podem acabar voltando para assombrar seus criadores, no entanto. Por exemplo, hackers apoiados pela China estavam por trás da violação de sistemas de escuta obrigatórios do governo no outono passado — aparentemente ganhando acesso aos dados de usuários de operadoras de telecomunicações e ISPs dos EUA graças a uma lei federal de 30 anos que havia exigido o acesso por portas dos fundos (embora, nesse caso, de dados não E2EE), sublinhando os riscos de intencionalmente embutir pontos de acesso em sistemas.
Os governos também precisam se preocupar com portas dos fundos estrangeiras criando riscos para seus próprios cidadãos e segurança nacional.
Houve múltiplas instâncias de hardware e software chineses sendo suspeitos de abrigar portas dos fundos ao longo dos anos. Preocupações sobre possíveis riscos de portas dos fundos levaram alguns países, incluindo o Reino Unido, a tomar medidas para remover ou limitar o uso de produtos tecnológicos chineses, como componentes usados em infraestrutura crítica de telecomunicações, nos últimos anos. Medos de portas dos fundos, também, podem ser um poderoso motivador.