A vigilância massiva viola os nossos direitos fundamentais e põe em risco a liberdade de expressão. Para a combatermos e garantirmos nossa privacidade em uma comunicação digital é essencial que, no mínimo, duas condições sejam satisfeitas: as ferramentas utilizadas devem ter o código aberto e devemos usar criptografia de ponta a ponta.
O código fonte de um programa é a sua receita, é onde está descrito todo seu funcionamento. O fato de um programa ter seu código aberto significa que ele pode ser analisado por qualquer pessoa capaz de entendê-lo. Assim, é possível avaliar se é bem construído, se não é mal intencionado e se não possui vulnerabilidades propositais. Além disso, esse tipo de programa geralmente é desenvolvido de forma colaborativa, de modo que qualquer pessoa que encontre falhas possa reportá-las, discutir soluções e até programá-las.
Criptografia é um processo matemático para codificar informações, de forma que elas só possam ser decifradas por quem as emite e por quem as recebe. Há dois tipos de criptografia: simétrica, quando a mesma chave é usada para criptografar e descriptografar uma mensagem; assimétrica, quando as chaves utilizadas diferem.
É importante que as conexões a servidores sejam criptografadas, por meio de protocolos como SSL/TLS, assim não podem ser interceptadas no meio do caminho (ataque conhecido por man-in-the-middle). No entanto, só isso não garante a privacidade de uma comunicação porque, ao chegarem no servidor, as informações passam a circular descriptografadas. Para que o conteúdo das mensagens trocadas fique restrito a quem se comunica, é preciso estabelecer uma criptografia diretamente entre elas. Essa é a criptografia de ponta a ponta.
Todas as ferramentas recomendadas nesta seção possuem código aberto e utilizam criptografia de ponta a ponta.
Mensagens instantâneas
Jabber é um serviço de mensagem instantânea baseado no protocolo de comunicação XMPP. Esse é um protocolo federado, ou seja, funciona de maneira descentralizada, de modo similar ao e-mail: diferentes servidores se comunicam entre si e contas de diferentes servidores podem se comunicar.
Por padrão, o Jabber não usa criptografia de ponta a ponta. Então, para estabelecer uma comunicação segura, utiliza-se em conjunto a criptografia OTR (Off-the-Record). Alguns clientes (programas usados para acessar o Jabber) já possuem esse suporte nativo vêm com esse recurso, enquanto outros exigem que seja baixada uma extensão.
Além disso, com OTR também é possível verificar a autenticidade de um contato, pois a chave criptográfica gerada possui uma impressão digital (fingerprint). Essa verificação pode ser realizada pelo mecanismo de ‘pergunta e resposta’ fornecido, no qual cada pessoa define uma pergunta cuja resposta somente elas saibam, ou apenas conferindo as fingerprints do outro contato.
Crie uma conta de Jabber
-
Baixe um cliente com suporte a OTR:
• Linux: Pidgin (+ plugin pidgin-otr) ou Jitsi
• Windows: Pidgin (+ plugin pidgin-otr)
• Mac OS X: Adium ou Pidgin (+ plugin pidgin-otr)
• Android: ChatSecure ou Xabber
• iOS: ChatSecure -
Crie sua conta:
O cadastro de conta é feito diretamente no cliente, basta abri-lo e seguir os passos para adicionar uma nova conta. Há centenas de servidores disponíveis. Uma parte desta lista pode ser conferida em https://xmpp.net/directory.php. Alguns dos servidores que recomendamos: calyxinstitute.org, dukgo.com, jabber-br.org, jabber.de… -
Inicie uma conversa criptografada:
Abra uma conversa e clique no botão para iniciar o OTR – em muitos clientes é um cadeado, em outros é um botão escrito “OTR”. Feito isso, é recomendado que você verifique a autenticidade do outro usuário pelo mecanismo de verificação do próprio OTR, através de uma pergunta ou confirmação manual dos fingerprints.
E-mails e arquivos
O padrão de criptografia mais utilizado em mensagens de e-mail é o OpenPGP. Ele funciona através de chaves assimétricas, conta com um sistema de cadeias de confiança e é capaz de codificar a mesma mensagem para múltiplos contatos. Além de ser utilizado em e-mails, esse padrão serve também para criptografar qualquer tipo de arquivo.
Primeiramente, cada pessoa gera um par de chaves: uma pública e outra privada. A chave pública é distribuída livremente e é usada para criptografar dados que somente poderão ser descriptografados com a chave privada correspondente. Portanto, para que alguém criptografe uma mensagem a você, é preciso que ela tenha a sua chave pública. Já a chave privada deve ser mantida em sigilo.
Para que sua chave pública seja facilmente encontrada, é sugerido enviá-la a algum servidor de chaves. Assim, seus contatos poderão obter sua chave pública atualizada a qualquer momento diretamente pelo cliente de e-mail.
Além disso, o OpenPGP também possui um sistema de cadeia de confiança que funciona por meio de assinaturas. Ao ter certeza que uma chave é verdadeira, você pode assinar essa chave e, assim, atestar às outras pessoas que ela realmente pertence a quem diz pertencer. No entanto, essas assinaturas são públicas, então caso você não deseje que saibam que você se comunica com alguém, não é uma boa ideia assinar a chave dessa pessoa.
Veja como criar e utilizar sua chave em: www.fagulha.org/guias/gpg