Por que o setor de tecnologia precisa se posicionar em defesa da criptografia de ponta a ponta

O governo do Reino Unido pretende obter acesso, mediante solicitação, às mensagens e dados protegidos por criptografia de ponta a ponta de todos os usuários no país. O objetivo declarado é combater crimes graves, como terrorismo e abuso sexual infantil. No entanto, essa não é uma iniciativa isolada: outros países também enfrentam o desafio de lidar com questões semelhantes em suas jurisdições.

Para viabilizar esse tipo de exigência, seria necessário que as empresas de tecnologia criassem uma backdoor, algo altamente improvável ou que, de acordo com a posição atual da maioria delas, simplesmente não acontecerá. A alternativa seria obrigar desenvolvedores de aplicativos específicos a cumprir a determinação, mas essa medida teria efeito limitado, funcionando apenas em apps locais vinculados às configurações de localização da loja de aplicativos de cada país.

A criptografia de ponta a ponta no Brasil é amplamente utilizada e legal, mas ainda carece de uma proteção clara na legislação. O Supremo Tribunal Federal (STF) deve ter um papel decisivo ao definir se ela será reconhecida como um direito fundamental ligado à privacidade e à segurança digital.

Exigindo o impossível

Restringir a criptografia de ponta a ponta em um único país é, na prática, impossível de aplicar. Basta imaginar: o que aconteceria se alguém de fora visitasse um país com esse tipo de restrição? Seria obrigado a descriptografar seus dados, instalar um novo aplicativo, apagar conversas protegidas ou adotar algum outro artifício para se adequar à lei?

A única forma de fiscalizar algo assim seria nas fronteiras, o que equivaleria a criar verdadeiras "filas da imigração de dispositivos".

Essa discussão ganhou força quando a Apple decidiu retirar do Reino Unido, em fevereiro, o recurso Proteção Avançada de Dados (ADP). Posteriormente, veio à tona que o governo britânico havia emitido uma notificação não pública à empresa, com base no Investigatory Powers Act, exigindo acesso aos dados. Para atender à solicitação, seria necessário criar um acesso por backdoor no sistema de criptografia da Apple. A resposta da companhia foi direta e categórica: "Jamais criamos um acesso clandestino ou chave mestra para nossos produtos ou serviços, e isso nunca será feito." O ADP utiliza criptografia de ponta a ponta, o que garante que apenas o titular da conta tenha a capacidade de descriptografar seus próprios arquivos.

Recentemente, o WhatsApp manifestou apoio à Apple na disputa que enfrenta com o governo britânico. A questão de enfraquecer a criptografia por meio de acessos por backdoor não deveria ser tratada em sigilo, como ocorreu com a notificação não pública enviada à Apple, já que se trata de um tema central para a privacidade e a segurança digital. É claro que existem situações em que o sigilo é necessário e, em determinados casos, o acesso a dados pode ser legalmente autorizado e mantido em confidencialidade. No entanto, a criação de brechas deliberadas na criptografia abre um precedente perigoso. Hoje, o setor de tecnologia permanece firme em seu compromisso de oferecer aos usuários produtos que garantam privacidade e segurança sem backdoors. Essa é uma postura que, na minha opinião, deve ser preservada.

A posição do governo do Reino Unido é que todas as pessoas, independentemente da nacionalidade, devem estar sujeitas à jurisdição de um tribunal britânico quando estiverem fisicamente no país. A decisão da Apple de desativar o Proteção Avançada de Dados (ADP) para usuários no Reino Unido não atende a esse requisito. Atualmente, se você utiliza um iPhone no Reino Unido, o ADP aparece como indisponível. Curiosamente, o método utilizado para determinar se o usuário está no país não se baseia na localização física, mas sim na configuração de "país e região" da conta Apple. Basta alterar essas configurações para um país fora do Reino Unido para que a opção de ativar o ADP seja reabilitada.

Existem algumas desvantagens nessa abordagem. Por exemplo, a App Store oferece apenas aplicativos disponíveis para o país e região selecionados, o que pode limitar o download de alguns apps necessários. É possível ativar o ADP, mudar novamente o país e manter o recurso ativo. No entanto, se o sistema jurídico e os tribunais do Reino Unido devem se aplicar a todos que estiverem no país, isso precisa incluir visitantes e não pode se basear apenas na configuração de "país e região". Além disso, a questão técnica é complexa: uma vez que a criptografia está ativada, desativá-la exige que os dados sejam previamente descriptografados; caso contrário, permanecem criptografados e inacessíveis.

Caos nas fronteiras

Não é realista obrigar todas as pessoas que entram em um país a fornecer acesso às suas mensagens criptografadas, especialmente quando trazem dispositivos configurados em um país ou região onde não existe legislação exigindo acesso governamental a dados criptografados.

Para aplicar essa medida na fronteira, cada pessoa teria que descriptografar seus dados protegidos por criptografia de ponta a ponta e desabilitar quaisquer aplicativos ou recursos que utilizem essa criptografia sem uma backdoor. Cada agente de fronteira precisaria ser um especialista em tecnologia e, considerando que muitos visitantes carregam dois ou três dispositivos, teria que verificar cada um detalhadamente para garantir o cumprimento da regra. Em outras palavras, cada agente poderia atender apenas um indivíduo a cada poucas horas. Já imaginou o caos e as filas no controle de fronteira?

E depois há pessoas como eu. Tenho dois celulares, ambos conectados a uma operadora do Reino Unido, sendo que um deles está configurado com país e região nos Estados Unidos, e o outro no Reino Unido. A ADP só pode ser ativado em um deles. Isso mostra que contornar a restrição atual é surpreendentemente simples e, para quem deseja usar o ADP, seja por legítimas preocupações com privacidade ou para atividades criminosas, não existe realmente nenhuma barreira. Basta adotar essa solução muito simples.

Presumo que nunca haverá uma exigência obrigando todos os visitantes a deixarem de usar serviços com criptografia de ponta a ponta ao entrarem no país, especialmente considerando que esses serviços são legais nos países onde residem. A aplicação dessa medida seria excessivamente complexa. Além disso, como é muito fácil simular que se está localizado fora do Reino Unido, aqueles com intenções criminosas que desejam usar criptografia de ponta a ponta continuarão a utilizar serviços projetados para outros países ou encontrarão alternativas que reforcem ainda mais sua segurança. Isso significa que apenas os residentes cumpridores da lei, nos países que adotam esse tipo de legislação, ficariam sujeitos ao acesso governamental aos seus dados, caso necessário.

A facilidade comprovada de contornar essa exigência, aliada ao impossível ônus logístico de sua aplicação, torna a medida, ao menos na minha opinião, fundamentalmente inadequada para seu propósito.

A ESET acredita que a criptografia forte é essencial para proteger a privacidade pessoal, garantir a segurança de dados sensíveis e prevenir crimes cibernéticos. Quando um governo exige o enfraquecimento da criptografia, outros podem seguir o mesmo caminho, inclusive aqueles com menos garantias para seus cidadãos.

É preciso encontrar o equilíbrio adequado, proteger a privacidade enquanto se assegura que as autoridades tenham as ferramentas legais necessárias para manter a segurança pública. Em vez de criar portas dos fundos que colocam em risco a segurança de todos, apoiamos um sistema no qual as autoridades possam acessar dados mediante mandados judiciais, respaldados por mecanismos robustos de supervisão, garantindo tanto a segurança quanto a proteção dos usuários.