A tecnopolítica da estandardização, criptografia e vigilância na rede.

#67

Diego Vicentin

A resolução adotada pela ONU ainda em 2013 “Direito à Privacidade na era Digital” pode ser considerada como um passo importante na direção de proteger o direito à privacidade no ciberespaço. É de amplo conhecimento que o Brasil liderou, juntamente com a Alemanha, a iniciativa que levou à aprovação do documento, inclusive como resposta pública aos casos de espionagem da NSA (Agencia de Segurança Nacional dos EUA). A iniciativa recebeu amplo apoio internacional, mas, não se póde dizer que na prática ela tenha poder para conter os dispositivos de espionagem, controle e vigilância que operam na Internet. Na abertura do encontro NETmundial, em São Paulo, a própria presidente brasileira admitiu que a resolução é apenas o primeiro passo na direção de proteger a privacidade na Internet. Essa apresentação sugere que, entre os passos subsequentes, esteja incluído uma política positiva em relação ao desenvolvimento e a adoção de padrões de criptografia. Como pano de fundo pretende explorar a tecnopolítica envolvida no processo de desenvolvimento e escolha de padrões técnicos de comunicação e segurança na internet. Para isso, irá relacionar a expertise acumulada em trabalho de campo correlato ao tema, bem como dois casos que se tornaram públicos a partir das revelações feitas por Edward Snowden.
É sabido hoje, que a NSA quebrou padrões de criptografia com objetivo de monitorar comunicações privadas de usuários da internet. Para colocar nas palavras exatas que do memorando da NSA que foi tornado público por Edward Snowden e parcialmente publicado pela mídia: “na década passada a NSA conduziu um esforço agressivo e multifacetado para quebrar tecnologias de encriptação amplamente utilizadas [...] grandes quantidades de dados criptografados que até agora estavam sendo descartados, passam a ser utilizados.” A atividade da NSA tornou vulneráveis dados sensíveis como registros médicos, transações bancárias e comunicações privadas. Mas, como é que a NSA vem fazendo isso?
De acordo com as revelações feitas por Snowden o programa de decriptação da NSA, nomeado BULLRUN, adota uma série de estratégias simultâneas tal qual a de coagir e pagar empresas desenvolvedoras de software de segurança para incluir mecanismos de backdoor (que permitem a quebra da criptografia) em seus próprios produtos. Estou me referindo ao caso do software BSafe da empresa RSA, que incluiu um algoritmo falho em sua configuração básica. Logo depois, o algoritmo forjado (chamado Dual_EC_DGBR) foi aprovado pelo instituto nacional de padronização dos EUA (o NIST) bem como pela ISO e pela IEC, que são instituições internacionais de padronização. Isso significa que a NSA obteve sucesso na tarefa de inserir uma técnica falha de criptografia em padrões de segurança amplamente reconhecidos e utilizados. Podemos então levantar uma nova questão: como puderam influenciar no processo de padronização desse modo?
Ainda em 2007, muito antes das revelações de Snowden sobre o BULLRUN, dois peritos em criptografia levantaram uma hipótese em relação à possível fragilidade do algoritmo. Mesmo assim, podemos adotar uma perspectiva ingênua e presumir que ele era tecnicamente defensável e por isso foi aprovado pelos institutos de padronização internacional. Mesmo assim, devemos admitir que a excelência técnica não é a única e tampouco a mais importante dimensão envolvida no processo de padronização tecnológica. Para influenciar no desenvolvimento de um padrão, uma organização específica (como a NSA ou qualquer outra) deve acumular expertise técnica tanto quanto habilidade para lidar com a estrutura burocrática de uma determinada organização desenvolvedora de padrões (SDO, em inglês). É preciso estar familiarizado com as políticas e os procedimentos de modo a usá-los como ferramenta para conseguir os objetivos desejados. Dominar a linguagem, o vocabulário próprio que cada organização parece ter é também coisa essencial na disputa. Em pesquisa de campo, ouvi de um engenheiro bastante familiar ao desenvolvimento de padrões que “cada palavra é importante” no processo de redação. Fazer alianças com outras outros envolvidos e ter capacidade de negociação com aqueles que possuem interesses conflitantes, também são prerrogativas determinantes. A tarefa se torna mais fácil, claro, se os profissionais de sua organização ocupam posições de liderança dentro da estrutura formal da SDO, como a de presidente do grupo de trabalho (GT) responsável pela redação do padrão.
Esses são apenas os requerimentos básicos e necessários para, de fato, tomar parte no jogo da construção de padrões tecnológicos de informação e comunicação. Existem muitas SDOs que se propõe a desenvolver tais padrões, todas elas variam em relação à sua estrutura e modo de operação. Apenas para dar alguns exemplos, SDOs se diferenciam em relação ao seu escopo técnico, em relação à área geográfica de influência, abertura, filiação e regras de participação. Se uma determinada empresa ou organização pretende exercer algum nível de influência no ecossistema de padronização como um todo, ela precisa estar representada em todas entidades relevantes de padronização. Em outras palavras, a habilidade de influenciar o processo de tomada de forma dos padrões técnicos está ligada à capacidade de participar de diferentes órgãos de padronização. Isso nos dá uma ideia do quanto é preciso despender para participar do desenvolvimento de padrões, e potencialmente explica porque a NSA gastou cerca de 250 milhões de dólares por ano em seu programa de decriptação.
Para deixar claro o argumento dessa apresentação, vale citar o exemplo de mais um padrão de segurança que provavelmente sofreu influência da NSA, o IPSEC. Trata-se de um padrão que deveria garantir a autenticação dos dados, bem como sua integridade e confidencialidade enquanto são transmitidos entre os pontos de comunicação numa rede IP. Em resumo, IPSEC é uma ferramenta criptográfica fundamental que deveria proteger pacotes de dados individuais enquanto eles estão sendo transferidos. O padrão foi desenvolvido pelo IETF (Internet Engineering Task Force) uma “comunidade técnica amplamente respeitada” que é responsável pelo desenvolvimento de protocolos de Internet. O trabalho é feito por meio de ambientes virtuais (como listas de e-mail e fóruns de discussão) bem como por reuniões presenciais entre os participantes de grupos de trabalhos que se dedicam à áreas técnicas especificas. A participação é aberta à todos os interessados e as contribuições podem ser feitas por meio dos recursos online ou das reuniões presenciais; a troca de mensagens feita nas listas de e-mail são abertas ao escrutínio público. Por isso, tendo a acreditar em Laura DeNardis: no que diz respeito aos procedimentos e à governança “o IETF é uma organização aberta, com processos que aderem aos princípios democráticos de transparência e participação” (2014, p.70). Mas, o caso do IPSEC nos mostra que nenhuma dessas últimas foi suficiente.
Em meio as revelações sobre o programa de espionagem BULLRUN, um respeitado ativista do software livre, John Gilmore, publicou alguns comentários a respeito de sua experiência como participante no GT que desenvolveu o IPSEC. Ele indicou que a NSA sabotou os padrões IPSEC tornando-os “inacreditavelmente complicados”. Ele destacou a presença de empregados da NSA que participam dos GTs e exercem papel de liderança, como o de redator do padrão. Gilmore observa que “de vez em quando, alguém, não um empregado da NSA, mas alguém com longas relações com a agência, fazia uma sugestão que diminuía os níveis de proteção à privacidade ou à segurança, mas fazia parecer de tal modo que fosse o oposto quando visto por alguém que não conhece muito dobre criptografia”. As observações de Gilmore parecem explicar porque os objetivos principais do IPSEC não foram atingidos, e ele não concretizou a potência de se transformar em um marco na defesa da privacidade online.
Pode-se dizer, então, que a NSA teve sucesso em sabotar um padrão com potencial de aumentar em muito os níveis de proteção à privacidade no ciberespaço. Em contraste com o caso do programa BSafe, a estratégia adotada pela NSA foi a de criar problemas no processo de desenvolvimento do padrão com objetivo de torná-lo fraco e demasiadamente complexo. Assim, a NSA está interferindo no processo de tomada de forma dos padrões de criptografia para garantir a continuidade de sua política de vigilância em massa. Trata-se de uma política de efeitos perversos que se concretiza por meio da definição dos padrões básicos de funcionamento da rede. Mas trata-se de um caso emblemático contra o equívoco de se considerar o modo de operação técnica da Internet uma dimensão separada de sua ação política.

Palavras-chave: criptografia, espionagem, governança, padronização, tecnopolítica.