Telegram é realmente um aplicativo de mensagens criptografadas?

Matthew Green escreveu o artigo “Is Telegram really an encrypted messaging app?” após a prisão de Pavel Durov, fundador do Telegram

O artigo que republicamos a seguir foi escrito por Matthew Green¹ “Is Telegram really an encrypted messaging app?” (Telegram é realmente um aplicativo de mensagens criptografadas?) discute a percepção equivocada de que o Telegram é altamente anônimo e fortemente criptografado.

Matthew Green escreveu esse artigo e o publicou em dia após a prisão na França de Pavel Durov, fundador e presidente-executivo do Telegram em de 24 de agosto de 2024.

O bilionário Pavel Durov foi preso pela polícia francesa no Aeroporto Le Bourget, ao norte de Paris, na França. A detenção ocorreu logo após o pouso de seu jato particular. As autoridades emitiram um mandado relacionado a delitos envolvendo o aplicativo de mensagens.

A investigação está centrada na falta de moderadores no Telegram, com Durov sendo acusado de não tomar medidas para conter usos criminosos da plataforma.

É importante mencionar que Pavel Durov nasceu na Rússia e fundou o Telegram com seu irmão em 2013. Atualmente reside em Dubai, possuindo dupla cidadania dos Emirados Árabes Unidos e da França.

O Telegram, popular em várias partes do mundo, incluindo Rússia, Ucrânia e estados da ex-União Soviética, tem sido alvo de controvérsias legais em diferentes países, incluindo o Brasil, onde já foi suspenso temporariamente por não cumprir determinações judiciais.

Fique agora com o artigo escrito por Matthew Green…

“Is Telegram really an encrypted messaging app?

Este blog é reservado para coisas mais sérias, e normalmente eu não gastaria tempo com perguntas como as acima. Mas, por mais que eu gostaria de gastar meu tempo escrevendo sobre tópicos interessantes, às vezes o mundo requer um pouco do que Brad Delong chama de “Coleta de Lixo Intelectual”, ou seja: corrigir ideias erradas, ou quase erradas, que se espalham sem controle pela Internet.

Este post é inspirado pela notícia recente e preocupante de que o CEO do Telegram, Pavel Durov, foi preso pelas autoridades francesas por não moderar suficientemente o conteúdo prublicado.

Embora eu não saiba os detalhes, o uso de acusações criminais para coagir empresas de mídia social é uma escalada bastante preocupante, e espero que haja mais na história.

Mas não é sobre essa prisão que quero falar hoje.

O que eu quero falar é sobre um detalhe da reportagem. Especificamente: o fato de que quase todas as reportagens sobre a prisão se referem ao Telegram como um “aplicativo de mensagens criptografadas”. Aqui estão apenas alguns exemplos :

Essa frase me deixa louco porque, em um sentido técnico muito limitado, não está errado. No entanto, em todos os sentidos que importam, ela deturpa fundamentalmente o que o Telegram é e como ele funciona na prática. E essa deturpação é ruim para jornalistas e, particularmente, para os usuários do Telegram, muitos dos quais podem ser gravemente prejudicados como resultado.

Agora, aos detalhes.

O Telegram tem criptografia ou não?

Muitos sistemas usam criptografia de uma forma ou de outra. No entanto, quando falamos sobre criptografia no contexto de serviços modernos de mensagens privadas, a palavra normalmente tem um significado muito específico: ela se refere ao uso de criptografia ponta a ponta padrão para proteger o conteúdo das mensagens dos usuários. Quando usado de uma forma padrão da indústria, esse recurso garante que cada mensagem será criptografada usando chaves de criptografia que são conhecidas apenas pelas partes comunicantes, e não pelo provedor de serviços.

Da sua perspectiva como usuário, um “mensageiro criptografado” garante que cada vez que você iniciar uma conversa, suas mensagens só poderão ser lidas pelas pessoas com quem você pretende falar. Se o operador de um serviço de mensagens tentar visualizar o conteúdo de suas mensagens, tudo o que eles verão será lixo criptografado inútil. Essa mesma garantia vale para qualquer um que possa invadir os servidores do provedor e também, para o bem ou para o mal, para as agências de segurança pública que entregam aos provedores uma intimação .

O Telegram claramente falha em atender a essa definição mais forte por uma razão simples: ele não criptografa conversas de ponta a ponta por padrão. Se você quiser usar criptografia de ponta a ponta no Telegram, você deve ativar manualmente um recurso opcional de criptografia de ponta a ponta chamado “Secret Chats” para cada conversa privada que você deseja ter. O recurso não é explicitamente ativado para a grande maioria das conversas e está disponível apenas para conversas individuais e nunca para bate-papos em grupo com mais de duas pessoas.

Como um bônus estranho, ativar a criptografia de ponta a ponta no Telegram é estranhamente difícil para usuários não especialistas.

Por um lado, o botão que ativa o recurso de criptografia do Telegram não é visível no painel de conversa principal ou na tela inicial. Para encontrá-lo no aplicativo iOS, tive que clicar pelo menos quatro vezes — uma para acessar o perfil do usuário, uma para fazer um menu oculto aparecer mostrando as opções e uma última vez para “confirmar” que eu queria usar criptografia. E mesmo depois disso, não consegui realmente ter uma conversa criptografada, já que o Secret Chats só funciona se o seu parceiro de conversa estiver online quando você fizer isso.

No geral, isso é bem diferente da experiência de iniciar um novo bate-papo criptografado em um aplicativo de mensagens moderno padrão do setor, que simplesmente exige que você abra uma nova janela de bate-papo.

Embora possa parecer que estou sendo exigente, a diferença na adoção entre a criptografia ponta a ponta padrão e essa experiência é provavelmente muito significativa. O impacto prático é que a grande maioria das conversas individuais do Telegram — e literalmente todos os chats em grupo — provavelmente são visíveis nos servidores do Telegram, que podem ver e registrar o conteúdo de todas as mensagens enviadas entre os usuários. Isso pode ou não ser um problema para todos os usuários do Telegram, mas certamente não é algo que anunciaríamos como particularmente bem criptografado.

(Se você estiver interessado nos detalhes, bem como em mais algumas críticas aos protocolos de criptografia do Telegram, falarei mais sobre o que sabemos sobre isso abaixo.)

Mas espere, a criptografia padrão realmente importa?

Talvez sim, talvez não! Há duas maneiras diferentes de pensar sobre isso.

Uma delas é que a falta de criptografia padrão do Telegram é boa para muitas pessoas . A realidade é que muitos usuários não escolhem o Telegram para mensagens privadas criptografadas. Para muitas pessoas, o Telegram é usado mais como uma rede de mídia social do que como um mensageiro privado.

Para ser mais específico, o Telegram tem dois recursos populares que o tornam ideal para esse caso de uso. Um deles é a capacidade de criar e assinar “ canais ”, cada um dos quais funciona como uma rede de transmissão onde uma pessoa (ou um pequeno número de pessoas) pode enviar conteúdo para milhões de leitores. Quando você está transmitindo mensagens para milhares de estranhos em público, manter o sigilo do conteúdo do seu bate-papo não é tão importante.

O Telegram também suporta grandes chats de grupo público que podem incluir milhares de usuários. Esses grupos podem ser abertos para o público em geral participar, ou podem ser configurados como somente para convidados. Embora eu nunca tenha desejado pessoalmente compartilhar um chat de grupo com milhares de pessoas, me disseram que muitas pessoas gostam desse recurso. Na instanciação grande e pública , também não importa realmente que os chats de grupo do Telegram não sejam criptografados — afinal, quem se importa com confidencialidade se você está falando em público?

Mas o Telegram não se limita apenas a esses recursos, e muitos usuários que se inscrevem por eles também fazem outras coisas.

Imagine que você está em uma “praça pública” tendo uma grande conversa em grupo. Nesse cenário, pode não haver expectativa de privacidade forte, então a criptografia de ponta a ponta não importa muito para você. Mas digamos que você e cinco amigos saiam da praça para ter uma conversa paralela. Essa conversa merece privacidade forte? Não importa muito o que você quer, porque o Telegram não fornecerá isso , pelo menos não com criptografia que o proteja de compartilhar seu conteúdo com servidores do Telegram.

Da mesma forma, imagine que você usa o Telegram por seus recursos semelhantes aos de mídia social, o que significa que você consome principalmente conteúdo em vez de produzi-lo. Mas um dia sua amiga, que também usa o Telegram por motivos semelhantes, percebe que você está na plataforma e decide que quer lhe enviar uma mensagem privada. Você está preocupado com a privacidade agora? E cada um de vocês vai ativar manualmente o recurso “Secret Chat” — mesmo que ele exija quatro cliques explícitos por meio de menus ocultos, e mesmo que ele impeça vocês de se comunicarem imediatamente se um de vocês estiver offline?

Minha forte suspeita é que muitas pessoas que se juntam ao Telegram por seus recursos de mídia social também acabam usando-o para se comunicarem privadamente. E eu acho que o Telegram sabe disso, e tende a se anunciar como um “mensageiro seguro” e falar sobre os recursos de criptografia da plataforma precisamente porque eles sabem que isso faz as pessoas se sentirem mais confortáveis. Mas, na prática, eu também suspeito que muito poucos desses usuários estão realmente usando a criptografia do Telegram . Muitos desses usuários podem nem perceber que precisam ativar a criptografia manualmente, e acham que já a estão usando.

O que me leva ao meu próximo ponto.

O Telegram sabe que sua criptografia é difícil de ativar e continua promovendo seu produto como um mensageiro seguro

A criptografia do Telegram tem sido alvo de críticas pesadas desde pelo menos 2016 (e possivelmente antes) por muitas das razões que descrevi neste post. Na verdade, muitas dessas críticas foram feitas por especialistas, incluindo eu, em conversas de anos atrás com Pavel Durov no Twitter. ²

Embora a interação com Durov às vezes pudesse ser dura, eu ainda presumia boa-fé do Telegram naquela época. Eu acreditava que o Telegram estava ocupado expandindo sua rede e que, com o tempo, eles melhorariam a qualidade e a usabilidade da criptografia de ponta a ponta da plataforma: por exemplo, ativando-a como padrão, fornecendo suporte para chats em grupo e tornando possível iniciar chats criptografados com usuários offline. Eu presumi que, embora o Telegram pudesse ser um seguidor em vez de um líder, ele eventualmente alcançaria a paridade de recursos com os protocolos de criptografia oferecidos pelo Signal e WhatsApp. Claro, uma segunda possibilidade era que o Telegram abandonasse a criptografia completamente — e se concentrasse apenas em ser uma plataforma de mídia social.

O que realmente aconteceu é muito mais confuso para mim.

Em vez de melhorar a usabilidade da criptografia de ponta a ponta do Telegram, os proprietários do Telegram mantiveram mais ou menos sua UX de criptografia inalterada desde 2016. Embora tenha havido algumas atualizações nos algoritmos de criptografia subjacentes usados ​​pela plataforma, a experiência do usuário com os Secret Chats em 2024 é quase idêntica à que você teria visto há oito anos . Isso, apesar do fato de que o número de usuários do Telegram cresceu de 7 a 9 vezes durante o mesmo período.

Ao mesmo tempo, o CEO do Telegram, Pavel Durov, continuou a promover agressivamente o Telegram como um “mensageiro seguro”. Mais recentemente, ele emitiu uma crítica contundente ao Signal e ao WhatsApp em seu canal pessoal do Telegram, sugerindo que esses sistemas foram pirateados pelo governo dos EUA e que apenas os protocolos de criptografia independentes do Telegram eram realmente confiáveis.

Embora isso possa ser um argumento nerd razoável se estivesse acontecendo entre duas plataformas que suportassem criptografia ponta a ponta padrão, o Telegram realmente não tem pernas para se sustentar nessa discussão em particular. De fato, não parece mais divertido ver a organização do Telegram incentivar as pessoas a se afastarem dos mensageiros criptografados por padrão, enquanto se recusa a implementar recursos essenciais que criptografariam amplamente as mensagens de seus próprios usuários . Na verdade, está começando a parecer um pouco malicioso.

E quanto aos detalhes chatos da criptografia?

Este é um blog de criptografia e, portanto, eu seria negligente se não gastasse pelo menos um pouco de tempo nos protocolos de criptografia chatos. Eu também estaria perdendo uma boa oportunidade de deixar minha boca aberta de espanto , que é basicamente o que acontece toda vez que olho para os detalhes internos da criptografia do Telegram.

Vou abordar isso em um parágrafo para reduzir a dor, e você pode pular essa parte se não estiver interessado.

De acordo com o que eu acho que é a especificação de criptografia mais recente , o recurso Secret Chats do Telegram é baseado em um protocolo personalizado chamado MTProto 2.0. Este sistema usa um acordo de chave Diffie-Hellman de campo finito de 2048 bits* , com parâmetros de grupo (eu acho) escolhidos pelo servidor.* (Como o protocolo Diffie-Hellman é executado apenas interativamente, é por isso que os Secret Chats não podem ser configurados quando um usuário está offline.*) A proteção MITM é tratada pelos usuários finais, que devem comparar as impressões digitais das chaves. Existem alguns nonces aleatórios estranhos fornecidos pelo servidor, dos quais não entendo completamente o propósito* — e que no passado eram usados ​​para tornar ativamente a troca de chaves totalmente insegura contra um servidor malicioso (mas isso já foi corrigido há muito tempo.*) As chaves resultantes são então usadas para alimentar o modo de criptografia autenticado mais incrível e não padrão já inventado, algo chamado “ Infinite Garble Extension ” (IGE) baseado em AES e com autenticação de manuseio SHA2.*

Cada lugar que eu coloco um “*” no parágrafo acima é um ponto onde criptógrafos especialistas, no contexto de algo como uma auditoria de segurança profissional, levantariam suas mãos e fariam um monte de perguntas. Não vou além disso. Basta dizer que a criptografia do Telegram é incomum.

Se você me pedir para adivinhar se o protocolo e a implementação do Telegram Secret Chats são seguros, eu diria que é bem possível. Para ser honesto, não importa o quão seguro algo é se as pessoas não estão realmente usando.

Há mais alguma coisa que eu deva saber?

Sim, infelizmente. Embora a criptografia de ponta a ponta seja uma das melhores ferramentas que desenvolvemos para evitar comprometimento de dados, dificilmente é o fim da história. Um dos maiores problemas de privacidade em mensagens é a disponibilidade de cargas de metadados — essencialmente dados sobre quem usa o serviço, com quem falam e quando fazem isso falando.

Esses dados normalmente não são protegidos por criptografia de ponta a ponta. Mesmo em aplicativos que são somente de transmissão, como os canais do Telegram, há muitos metadados úteis disponíveis sobre quem está ouvindo uma transmissão. Essas informações por si só são valiosas para as pessoas, como evidenciado pelas enormes quantias de dinheiro que as emissoras tradicionais gastam para coletá-las . No momento, todas essas informações provavelmente existem nos servidores do Telegram, onde estão disponíveis para qualquer um que queira coletá-las.

Não estou especificamente chamando o Telegram por isso, já que o mesmo problema existe com praticamente todas as outras redes de mídia social e mensageiros privados. Mas deve ser mencionado, apenas para evitar que você conclua que a criptografia é tudo o que precisamos.

Fonte: Blog Cryptography Engineer

Nota:

1. Dr. Matthew Green, um respeitado criptógrafo e tecnólogo de segurança, tem mais de quinze anos de experiência na indústria de segurança de computadores. Dr. Green é professor assistente de Ciência da Computação no Johns Hopkins Information Security Institute. Ele é especialista em criptografia aplicada, sistemas de armazenamento com privacidade aprimorada e criptomoedas anônimas. Dr. Green liderou a equipe que desenvolveu as primeiras criptomoedas anônimas, Zerocoin e Zerocash. ↩︎
2. Nunca mais encontrarei todas essas conversas, graças à busca do Twitter estar tão quebrada. Se alguém puder encontrá-las, eu agradeceria. ↩︎

---

A criptografia desempenha um papel fundamental no mundo atual, tanto para indivíduos quanto para empresas.
Proteção de Dados Sensíveis: A criptografia tem como principal objetivo proteger informações sensíveis contra acessos não autorizados. Ela garante a confidencialidade dos dados, tornando-os ininteligíveis para qualquer pessoa que não possua a chave de descriptografia. Isso é essencial para manter a privacidade e a segurança de informações pessoais, como senhas, dados bancários e comunicações online.
Segurança Empresarial: Nas empresas, a criptografia desempenha um papel vital. Ela garante que informações críticas permaneçam inacessíveis para indivíduos não autorizados, prevenindo violações de dados e vazamentos de informações confidenciais. Mesmo em casos de invasões, os dados criptografados permanecem protegidos, pois são incompreensíveis sem a chave correta. Isso é especialmente relevante em setores como saúde, finanças e tecnologia, onde a segurança dos dados é crucial para a confiança dos clientes e a reputação da empresa.
Direitos Humanos e Liberdades: Além disso, a criptografia está intrinsecamente ligada aos direitos humanos e à liberdade. Ela permite que as pessoas se comuniquem de forma privada, sem medo de vigilância ou censura. Ferramentas como o Tor Browser e aplicativos de mensagens criptografadas oferecem anonimato e proteção contra rastreamento e monitoramento. Assim, a criptografia contribui para a preservação da liberdade de expressão e da privacidade individual.

Redação do Crypto ID – @redacaocryptoid