Parafraseando o PP, que dia sua estupidez vai embora?

Não encontro justificativas racionais para ver ativistas no whatsapp, organizações e coletivos no Facebook ou Instagram. Só posso deduzir que são objetos do mesmo fetiche que imaginam estar destruindo, ou pouco realistas quanto às condições de vigilância.

Ótimo texto 0101001!

Riot, assim como Signal e WhatsApp, tem uma infraestrutura de telecomunicações que funciona no modelo “guarde e encaminhe”. Resumindo: a mensagem sai do celular/computador remetente, vai para um servidor central, este servidor guarda a mensagem enquanto localiza o celular/computador destinatário, depois encaminha a mensagem para o celular/computador destinatário. Neste modelo, os pontos de vulnerabilidade são os aparelhos e o servidor.

Nos aparelhos, basta manter um padrão no Signal de apagar a mensagem em uma semana (ou menos, a depender da conversa), ativar a autenticação de dois fatores e colocar uma senha forte, e as vulnerabilidades se reduzem muito. Reduzir não quer dizer eliminar, mas já é um adianto.

Não tem como usuários garantirem a segurança dos servidores. Só dois itens são as únicas soluções para o momento: uma criptografia forte nas mensagens trocadas (para que elas passem criptografadas pelos servidores), e a confiança em quem presta o serviço.

No item “criptografia forte”, tanto o Signal quanto o Riot têm passado em todos os testes e auditorias feitos até o momento. Isto é bom. Deste modo, o FBI pode até aparecer com uma gag order para ter acesso ao servidor, pode inclusive copiar todo o fluxo de mensagens, mas só encontraria dados criptografados.

Me permita um parêntese antes de continuar. Se o “fator FBI”, ou o “fator repressão/legislação” fosse determinante, por exemplo, Riseup também está nos EUA, e ninguém pensa em deixar de usar os serviços do Riseup por causa disto. Comparativamente, Disroot está na Holanda, cujas leis de privacidade não são lá nenhuma maravilha, Autistici está na Itália, com problemas parecidos e sob um governo filofascista… Resumindo: se o “fator repressão/legislação” fosse determinante, ativistas e militantes teriam de abandonar toda e qualquer comunicação eletrônica. É exatamente o que a repressão quer, desarticular todo mundo.

Voltando ao assunto, tem o item “confiança em quem presta o serviço”. Neste ponto, Signal ganha do Riot. Para quem não sabe, o Riot teve seus servidores invadidos em abril de 2019. Vou traduzir um pedaço do comunicado oficial da Matrix sobre a invasão: “Um atacante obteve acesso aos servidores que hospedam o domínio Matrix.org. O intruso teve acesso aos bancos de dados de produção, dando-lhe, potencialmente, acesso a dados não criptografados de mensagens, hashes de senhas e tokens de acesso. Como precaução, se você é um usuário de matrix.org, você deve trocar sua senha agora”. Nem tudo o que reluz é ouro, o Riot já resolveu o problema, mas a falha foi tão primária que deixou a comunidade de segurança com uma pulga atrás da orelha.

Ainda no caso do Riot, como qualquer um pode montar um servidor para este serviço, a Matrix avisou que a brecha de segurança não afetou estes servidores domésticos. Apesar de ideais para quem realmente precisa de privacidade e segurança num nível “paranoia”, os conhecimentos técnicos e o equipamento necessário para tudo funcionar bem tornam esta alternativa restrita somente aos geeks, aos nerds da informática, a um grupo muito restrito, difícil de encontrar mesmo entre ativistas/militantes.

Signal, portanto, ainda é a alternativa mais confiável. O único problema é a necessidade de fornecer número de telefone, e nisto o Riot realmente garante maior privacidade mesmo; mas como o artigo aponta, já estão em curso soluções técnicas para reduzir este risco de segurança.

Sobre computação quântica e criptografia, realmente, agora que a Google conseguiu alcançar o nível da computação quântica com o processador Sycamore, os atuais modelos de criptografia precisam ser atualizados — atualizados, não abandonados. Para quem não entende do assunto, pode-se comparar o Sycamore com o Summit, supercomputador da IBM que era, até o Sycamore, o mais rápido do mundo: o Sycamore realizou em 200 segundos uma tarefa que o Summit levaria 10.000 anos para completar.

(A IBM contesta, mas reconhece que “uma simulação ideal da mesma tarefa pode ser realizada num sistema clássico em dois dias e meio com muito maior fidelidade” — bem mais rápido que os 10 mil anos…)

Apesar de representar um salto adiante na tecnologia, o Sycamore ainda é muito primário dentro de seu próprio campo. Numa escala ontogenética, é como se fosse ainda o embrião recém-fecundado. Numa perspectiva histórica, é como se fosse o lançamento do Sputnik. A computação quântica ainda deve passar por alguns anos de desenvolvimento antes de alguma aplicação prática, talvez décadas, mas como é um campo novo ainda é cedo para estimativas.

Mas vamos supor que o Sycamore já pudesse ser usado hoje para quebrar criptografias. Assim como tem quem preveja usar o algoritmo de Shor para esta tarefa, empresas que têm na segurança seu principal produto, como a Cloudfare e Tutanota, já estão se lançando nas contramedidas. O assunto interessa igualmente a quem trabalha com criptomoedas, porque a computação quântica pode colocar em risco os padrões de criptografia do ecossistema de blockchain; empresas do setor já estão trabalhando para garantir seus modelos de negócio, já havendo inclusive criptomoedas como a Praxxis, que se dizem resistentes à computação quântica. É cedo para jogar a toalha e dizer que a criptografia — e a comunicação segura — “irá pro saco”.

Apesar do pessimismo em outros tópicos, Kuarup acertou em cheio numa coisa: se tem algo importante a dizer, diga pessoalmente. É sempre a melhor solução, inclusive para evitar os ruídos da comunicação digital, que é muito limitada.

2. Em tempos de computação quantica todo o nosso papo sobre o tem do texto irá pro saco;

3. Se você é um esquerdista que necessita de muita segurança+privacidade, a opção seria um aplicativo Federado, como Riot (matrix.org)

4.Fazer uso de ferramentas desplugadas ainda ajuda (face a face), além do email criptografado.

Boa semana

Kuarup