Se já se questionou se todas as mensagens trocadas com seus interlocutores através do WhatsApp não poderiam, assim, bem por acaso mesmo (ou não), serem interceptadas por terceiros e disponibilizadas ao mundo através de algum vazamento, você pode sentir-se predominantemente em paz, só que com algumas ressalvas. Em 2021 - mas nem sempre foi assim -, todas as mensagens trocadas só podem ser do conhecimento dos interlocutores envolvidos, tornando a sua privacidade um problema de domínio próprio e nada mais. É importante observar que, eventualmente, este cenário pode mudar caso a detentora do aplicativo altere o mecanismo de funcionamento, ou caso até mesmo o venda. Mas por hora, é isso aí. Vamos entender como funciona - simbolicamente - a tecnologia que garante a proteção das informações que são transmitidas e depois apresentar as ressalvas.
O que está nos bastidores
Em determinadas ocasiões, como aquela ocorrida em 2015 e seguida por algumas outras, - quando a Justiça de SP determinou o bloqueio do comunicador em todo o Brasil para sanar questões investigativas - você talvez tenha sido noticiado de que o WhatsApp possui a denominada "criptografia de ponto-a-ponto", mas nenhum detalhe sobre o que isso significa tenha vindo à luz. Bem, o fito deste escrito é justamente mergulhar num campo da ciência que, apesar de tratar de "coisas literalmente intangíveis" estão mais presentes em nossas vidas do que as coisas materialmente palpáveis. Refiro-me aqui à ciência da segurança da informação.
A segurança da informação é um campo vasto, que vai muito, mas muito além daquilo que nos afeta enquanto trocamos mensagens. Digamos que a economia, a engenharia, a medicina e a Segurança Nacional, apenas para citar alguns exemplos, fazem dele uma condição sine qua non para a vida moderna. Se você teme uma eventual invasão de privacidade, deveria temer mais ainda uma invasão financeira. Pois bem: se você não quiser gravar mais nada a este respeito, grave isto: tal como transações bancárias que você realiza via Internet Banking são criptografadas, também são as mensagens que você envia e recebe pelo WhatsApp. Vamos entender isso agora.
Criptografia de chave dupla ou assimétrica
Imagine que você tem um baú, e deseja se comunicar com uma pessoa - supondo que você apenas se comunica com pessoas - que lhe fornecerá um cadeado para trancar a sua mensagem dentro deste baú. Veja, eu não estou dizendo que a pessoa lhe fornecerá a chave, mas apenas um cadeado, aberto, do qual ela possui a chave. Então você escreve a mensagem e a trancafia dentro deste baú, fechando-o com o cadeado que a sua interlocutora forneceu. Observemos o esboço a seguir:
Esboço do mecanismo de criptografia assimétrica
Você também espera que ela possa lhe enviar uma mensagem de volta, nos mesmos moldes, e para tanto também envia junto com o baú um cadeado aberto, do qual você possui a chave, e finalmente envia o baú. Quando a pessoa o receber, ela o abrirá com a chave que possui e lerá sua mensagem, para então repetir os passos que você deu e enviar-lhe de volta o baú. Ao recebê-lo, então, você usa a sua chave e o abre para resgatar a mensagem que lhe foi enviada abrindo o cadeado que você havia enviado, sim, aquele do qual apenas você possuía a chave.
Este pequeno exercício mental descreve a operação da criptografia de chave dupla. Se fizermos um paralelo, veremos que a única coisa que muda é o nome dos personagens. Mais adiante.
Chave pública e chave privada
Os dois cadeados elencados em nosso enredo serão tratados aqui como chave pública, já que ela desempenha, em essência, o caráter exato dos cadeados na história. Qualquer pessoa que possua sua chave pública (cadeado aberto) poderá te enviar uma mensagem de modo que você, e apenas você, possa ler. Note que a mesma relação íntima que existe entre o cadeado e sua chave abridora também existe entre as chaves pública e privada. A chave privada é aquela que você não entrega a ninguém. Ninguém mesmo, porque na esfera da segurança da informação, mesmo sob posse de uma pessoa confiável, esta chave está potencialmente em risco. Portanto, toda a comunicação que envolve a criptografia de ponto-a-ponto envolve duas chaves públicas (cadeados) e duas chaves privadas (respectivas chaves dos cadeados). Isto entendido, partiremos agora para o campo da informática.
Toda informação em computação, a despeito de como é transmitida, é binária. As letras que você está lendo são apenas traduções, por assim dizer. Existe uma tabela, a denominada tabela ASCII, que cataloga cada combinação de bits binários e a transforma em caracteres human-readable. A criptografia faz algo muito similar a isto, só que de forma dinamicamente sistêmica. Um algoritmo conhecido junta vários bits e os agrupa de maneira que nós não possamos entender, mas ao mesmo tempo, preserva toda a informação. Para visualizar esta mecânica, faremos mais um exercício: tomemos a palavra QBHJOBOEP. É uma palavra conhecida de você, internauta, contudo codificada. Foi aplicado nela um algoritmo para que a tornasse irreconhecível, a menos, é claro, aos conhecedores do algoritmo que a codificou. Para ser direto: tome cada letra desta palavra e retroceda uma casa no alfabeto. Isto prontamente lhe revelará que a palavra QBHJOBOEP é, na verdade, PAGINANDO.
Achou simples demais, não? Bem, é óbvio que os algoritmos usados em segurança da informação, como o AES, não fazem exatamente algo de simplicidade tão franciscana, mas o objetivo é exatamente o mesmo. Uma outra coisa que deve ser dita é que, de modo bem diferente do que ocorre com o nosso exercício acima, não é o conhecimento do algoritmo em si que protege o conteúdo criptografado, visto que os algoritmos principalmente usados são conhecidos - o que, ao contrário do que nossa intuição tende ingenuamente a aferir, provou ser a causa para que os tornassem absurdamente seguros - mas sim uma semente de entropia, um código gerado aleatoriamente por uma interação humana ou por máquina atribuída a uma persona que ao ser incorporada no algoritmo, imediatamente o torna único. Você deve se lembrar de quando fazia login em sua conta no Internet Banking, o site do banco lhe obrigava a instalar um teclado virtual que deveria obrigatoriamente ser usado para realizar o acesso. Este teclado virtual tinha um, outro ou ambos objetivos fundamentais: 1) escapar dos keyloggers; 2) gerar a semente de entropia, ao capturar seus movimentos com o mouse enquanto você virtualmente digitava sua senha de acesso pela primeira vez. Caro leitor, preste muita atenção agora: o WhatsApp também faz isso para gerar a sua chave, quer seja capturando sua maneira de deslizar o dedo na tela - algo que só você faz à sua maneira quer seja incorporando várias outras informações como seu número de telefone, modelo de aparelho celular, localização, data, hora e o que mais for pertinente, tudo sem que você perceba. Suas chaves pública e privada são armazenadas e, quando você envia uma mensagem, o WhatsApp a criptografa usando a chave pública da pessoa a quem está enviando a mensagem. O seu contato, ao recebê-la, recebe também a sua chave pública, que a usará para criptografar qualquer mensagem que porventura lhe deseje enviar de volta, e você só a poderá ler porque é dono da chave privada intimamente relacionada à chave pública que seu interlocutor usara ao te enviar a mensagem. E é justamente por esta razão que, nem sob ordem judicial, é possível recuperar mensagens trocadas entre terceiros.
Certo. Até agora foram só flores, huh? Bem, só faltou esclarecer uma coisinha. No nosso mundo nada é de graça. Já nascemos condicionados a isso, né não? Ocorre que, o sujeito que protege as suas mensagens não o faz por mero altruísmo: é de interesse do WhatsApp ter a confiança de seus usuários e, dadas as estatísticas de market-share do aplicativo, presumo que a tarefa é feita com competência. Mas saiba que, se por um lado as mensagens são criptografadas, as características do seu aparelho, os números dos seus contatos, o seu status, stories e frenquência de uso não são, e podem ser transmitidas para dentro do Facebook. Se isto não lhe incomodar, então está tudo bem.
Certo. Até agora foram só flores, huh? Bem, só faltou esclarecer uma coisinha. No nosso mundo nada é de graça. Já nascemos condicionados a isso, né não? Ocorre que, o sujeito que protege as suas mensagens não o faz por mero altruísmo: é de interesse do WhatsApp ter a confiança de seus usuários e, dadas as estatísticas de market-share do aplicativo, presumo que a tarefa é feita com competência. Mas saiba que, se por um lado as mensagens são criptografadas, as características do seu aparelho, os números dos seus contatos, o seu status, stories e frenquência de uso não são, e podem ser transmitidas para dentro do Facebook. Se isto não lhe incomodar, então está tudo bem.
Discorrerei, noutra oportunidade, sobre o que você precisa saber sobre segurança da informação e que as pessoas não te contam.
