*Por Moisés Matias
A criptografia de ponta a ponta é um método de proteção de dados que codifica as informações no dispositivo do remetente e só as decodifica no dispositivo do destinatário. Isso significa que, durante o percurso da mensagem pelos servidores e redes, ela permanece protegida e inacessível para qualquer outra pessoa, até chegar ao destinatário. É como enviar uma mensagem em um cofre virtual que só o destinatário tem a chave para abrir.
Como funciona a criptografia P2P
A criptografia ponto a ponto permite que as empresas criem links de comunicação seguros entre dispositivos ou componentes dentro desses dispositivos, para que impeçam que dispositivos intermediários tenham exposição a informações confidenciais que possam estar em trânsito na rede. O P2P é mais comumente implantado como uma solução para conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI PIN), mas também pode ser usado para outros dados confidenciais.
Por exemplo, considere uma rede de roupas que possui muitas lojas de varejo localizadas em todo o país, lidando com todas as transações financeiras de um data center localizado centralmente. Seria difícil para o varejista garantir a segurança lógica das redes locais de cada loja, devido à quantidade dessas redes e ao caráter público dos locais de varejo.
O principal benefício da criptografia ponto a ponto é sua capacidade de reduzir o escopo dos esforços de segurança.
Ao implantar a criptografia P2P, o varejista pode remover a exposição dos números de cartão de crédito no ambiente de merchandising. Por exemplo, ao implantar um sistema de ponto de venda (POS) que usa scanners de cartão criptografados e é suportado por um sistema de back-end no escritório doméstico que oferece suporte à criptografia ponto a ponto, toda a rede da loja é retirada do loop. Como o leitor de cartão de hardware, que criptografa os dados antes de chegarem ao terminal POS, não há nenhum dispositivo na rede da loja que tenha a capacidade de decifrar o número do cartão. Isso protege os números de cartão e PIN de uma variedade de ataques, incluindo espionagem de dispositivos não autorizados. Dispositivos como esses não têm acesso à chave de criptografia, portanto, permanecem incapazes de acessar o número do cartão.
Por que usar criptografia P2P?
O principal benefício da criptografia ponto a ponto é sua capacidade de reduzir o escopo dos esforços de segurança. No cenário de varejo que foi descrito anteriormente, se o comerciante for capaz de garantir a integridade dos leitores de cartão de hardware, só será necessário aplicar os controles de segurança mais rigorosos aos sistemas back-end centralizados que podem abrir os dados. Em ambientes altamente regulamentados, essa estratégia pode reduzir drasticamente o número de sistemas e redes que devem atender aos requisitos de conformidade e monitoramento que podem ser muitas vezes custosos; tanto em tempo, como em valores para o cliente.
Limitações da criptografia P2P
Embora a criptografia ponto a ponto seja uma opção de tecnologia de segurança promissora, ela ainda não é amplamente implantada, principalmente devido ao pequeno número de produtos maduros no mercado.
Várias organizações quiseram implantá-lo logo após o PCI Security Standards Council adotar um processo de validação simplificado para tais produtos, mas muitas não conseguiram encontrar produtos que atendessem às especificações e padrões estipulados pelo PCI.
Existem casos em que os fornecedores relatam que estavam começando a testar ofertas em campo, não havia uma solução comercialmente viável que pudesse atendê-los. Hoje no Brasil, à medida que o mercado ganha uma maior maturidade, mais as empresas procuram aplicar essa solução. Esse cenário pode ser observado mundo afora também.
Esse atraso de conformidade leva à segunda limitação principal da criptografia P2P; muitas vezes requer um investimento financeiro considerável para começar a funcionar, por conta de fornecedores não nativos do país ou em preços considerados impraticáveis. Isso inclui atualizações de hardware e software de POS e possíveis aumentos de taxas de fornecedores que estão ansiosos para capitalizar a demanda repentina de empresas que buscam limitar suas obrigações de conformidade.
Como proteger chaves criptográficas
Para que uma criptografia P2P funcione de forma mais segura possível, controles rígidos para proteção e acesso a chaves de descriptografia devem sempre estar em vigor. A orientação atual requer o uso de módulos de segurança de hardware (HSMs) com uma classificação de segurança apropriada para proteger o acesso e criação de chaves criptográficas. Hoje, os adquirentes e outros participantes da cadeia comercial que envolvam pagamentos, já comercializam serviços de valor agregado que exploram o P2PE para reduzir os custos de conformidade para seus clientes finais. Do ponto de vista do PCI PIN, qualquer sistema que tenha a capacidade de decifrar os dados da conta entra no escopo imediatamente, portanto, a capacidade de isolar os comerciantes protegendo as chaves nos HSMs traz benefícios significativos em toda a cadeia de suprimentos.
Finalmente, é importante lembrar que a criptografia P2P não é uma solução para tudo. Embora certamente possa reduzir a necessidade de proteger redes remotas, não elimina a necessidade de controles de segurança. O exemplo mais importante disso é a necessidade de empregar práticas fortes de gerenciamento de chaves de criptografia, através do uso de HSMs e sistemas integrados de segurança, que cubram desde a comunicação/criação de chaves e rede, até o seu armazenamento e uso . Se um adversário conseguir obter acesso à chave de decifração, essa solução será inutilizada. Isso significa que qualquer dispositivo considerado fora do escopo não deve ter acesso às chaves usadas para proteger informações confidenciais.
Em conclusão, a criptografia ponto a ponto é uma tecnologia que as organizações cada vez mais adotam em um esforço para aumentar a segurança dos dados e reduzir o escopo das iniciativas de conformidade, especialmente em ambientes de sistemas de pagamento. Atualmente, no entanto, existem várias limitações significativas para a abordagem que os profissionais de segurança que procuram utilizar essa tecnologia devem considerar; Mas a melhoria contínua em produtos P2P comerciais e a necessidade de compliance das empresas com a segurança e seu compromisso, tem tornado esta solução cada vez mais presente no dia a dia das empresas em um cenário global.
A importância da criptografia de ponta a ponta no dia a dia
Falando um pouco mais alto nível, a adoção da criptografia de ponta a ponta é uma medida crucial para proteger a privacidade das nossas conversas online em um cenário entre pessoas no seu dia a dia. Ao utilizar essa tecnologia, aplicativos garantem que mesmo eles próprios, como provedores de serviços, não tenham acesso ao conteúdo das mensagens. Isso significa que, em caso de invasões ou tentativas de acesso não autorizado, as informações permanecem seguras.
Exemplos de aplicativos que utilizam criptografia de ponta a ponta
Existem vários aplicativos populares que adotaram a criptografia de ponta a ponta como parte fundamental de suas políticas de segurança. Dentre eles, destacamos três:
WhatsApp: O WhatsApp é um dos aplicativos mais utilizados no mundo e foi pioneiro na adoção da criptografia de ponta a ponta. Todas as mensagens, fotos, vídeos e chamadas são protegidos por essa tecnologia.
Signal: O Signal é conhecido por sua forte ênfase na privacidade. Ele é uma escolha popular para aqueles que desejam uma comunicação segura, uma vez que também utiliza a criptografia de ponta a ponta para todas as suas conversas.
Telegram: O Telegram oferece a opção de “conversas secretas”, que são protegidas por criptografia de ponta a ponta. Essa função precisa ser habilitada manualmente, mas fornece uma camada adicional de segurança para as conversas.
Comparação entre os aplicativos mencionados
Embora todos os três aplicativos mencionados utilizem criptografia de ponta a ponta, há diferenças entre eles. O WhatsApp é conhecido por sua facilidade de uso e grande base de usuários, enquanto o Signal se destaca por sua segurança e privacidade robustas. O Telegram oferece mais opções de personalização, mas o recurso de criptografia de ponta a ponta precisa ser ativado manualmente.
Recomendações para garantir a segurança de suas conversas
Além de usar aplicativos com criptografia de ponta a ponta, existem algumas boas práticas que os usuários podem adotar para reforçar a segurança de suas conversas. Essas incluem a configuração de senhas fortes para os dispositivos, o cuidado ao clicar em links suspeitos e a não compartilhamento de senhas com terceiros.
O futuro da criptografia de ponta a ponta
À medida que a digitalização aumenta e a conscientização sobre a privacidade cresce, é provável que a criptografia de ponta a ponta se torne ainda mais essencial para proteger nossas informações pessoais e comunicações online. Novas tecnologias e aprimoramentos podem surgir, garantindo um ambiente digital ainda mais seguro.
A criptografia de ponta a ponta é uma ferramenta poderosa para proteger comunicações em rede e garantir que somente os destinatários pretendidos tenham acesso ao conteúdo. Com a crescente importância da privacidade digital, é essencial que haja uma compreensão e valorizemos a adoção dessa tecnologia em nossas comunicações diárias, e que o uso seja integrado a políticas de conformidade além de outras soluções que integrem a defesa em camadas profundas.
*Moisés Matias, Cybersecurity Architect Officer na Kryptus
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software
PT 
EN 
