Ce este criptarea end-to-end, de ce contează în mesagerie și care sunt avantajele și dezavantajele ei

Se vorbește destul de mult în ultimul an despre criptarea end-to-end. Google se luptă cu Apple spunând că standardul RCS este mai sigur pentru că oferă criptarea tuturor mesajelor, Facebook Messanger m-a întrebat recent de un PIN cu care să securizeze mesajele criptate anterior șamd. Așa că iată o explicație în termeni cât mai simplu despre ce înseamnă criptarea end-to-end.

În primul rând, de ce criptăm ceva? Pentru ca, în cazul în care o altă persoană interceptează mesajul respectiv, să nu-l poată înțelege. Exemplul uzual este legat de mesagerie (WhatsApp, SMS etc), dar la fel de bine se criptează și emailuri sau fișiere pe care le trimitem altora, totul din motive de securitate.

Criptarea de la un punct la altul se bazează pe perechi de chei. O cheie criptează mesajul. Doar cealaltă cheie îl poate decripta cu succes. Ce este important de reținut: cheile de criptare se bazează pe niște probleme matematice foarte complexe, atât de complexe și consumatoare de timp încât ar putea fi sparte doar în ani de zile de calcule chiar și folosind cele mai performante super-computere.

Algoritmii de criptare, problemele respective în sine, au fost de la început astfel alese încât, în ciuda faptului că un procesor de acum este poate de 100 de ori mai rapid decât unul din 2004, tot nu este capabil să spargă într-un timp rezonabil un mesaj criptat.

Există însă două principii mari de criptare. Să folosim ca exemplu faptul că Radu îi trimite Matildei un mesaj printr-o aplicație de mesagerie.

Criptarea in-transit sau “la transport”. Mesajul este criptat în telefonului lui Radu și trimis către serverul serviciului de mesagerie folosit de noi. Acolo, mesajul este decriptat de server, apoi este criptat cu o nouă cheie și trimis către Matilda, unde este decriptat în telefonul ei.

Altfel spus, mesajul este criptat în drumul său prin Internet, dar la un moment dat se găsește  decriptat pe serverul furnizorului de serviciu. Sunt mai multe perechi de chei în lucru, una Radu-server și alta server-Matilda.

Este ca într-un serviciu de transport de marfă. Paletul de marfă vine de la fabrică într-un TIR și ajunge întâi la un hub logistic. Acolo paletul este descărcat și apoi încărcat într-un alt camion care merge în direcția dorită. În hub, însă, marfa a fost analizată, s-a văzut ce conține pachetul, s-a notat undeva ce greutate avea și ce conținea.

(M-am gândit acum la altă analogie bună privind securitatea: tu trimiți marfă cu avionul către un destinatar, dar la aeroport marfa este scanată cu raze X și deci conținutul ei devine cunoscut autorităților.)

Criptarea end-to-end. Mesajul este criptat în telefonul lui Radu și doar telefonul Matildei are cheia necesară pentru a-l decripta. Serverul serviciului de mesagerie știe doar de la cine vine mesajul și unde trebuie trimis mai departe, dar nu și conținutul său. Serverul îi poate face o copie pentru a-l stoca o perioadă, dar copia în sine rămâne criptată chiar și acolo.

O analogie bună ar fi sistemul clasic de poștă. Pe plic scrie la ce adresă trebuie să ajungă, dar niciunul dintre angajații Poștei nu știe ce este în interiorul plicului. Închipuiți-vă aici că vorbim de un plic din fier, astfel încât poștașul să nu-l poată desface nici dacă ar vrea asta.

Un pic de tech talk: criptarea end-to-end este numită în română criptare de la un capăt la altul. Prea mult de scris. Eu o să-i spun end-to-end și, de acum încolo, E2E, cum este abreviat uzual (sau chiar E2EE, end-to-end encryption).

Așadar, avantajul criptării E2E este că nimeni nu poate citi mesajul tău, în afara destinatarului căruia i se adresează. Este o metodă mult mai sigură de comunicație, una care menține confidențialitatea dialogului pe termen foarte lung.

De ce nu au fost de la început toate serviciile de mesagerie securizate E2E? Pentru că, organizațional vorbind, este mai complicat. Cheile de criptare trebuie schimbate direct între cele două persoane, ceea ce este mai greu decât pare pentru că trebuie făcută în mod securizat. În sistemul in-transit, serverul este mult mai capabil să gestioneze mesajele când de fapt toate i se “adresează” și le retrimite mai departe după o decriptare-criptare.

Culmea este că sistemul E2E nu are numai avantaje, deși din cum l-am prezentat eu pare net superior.

Avantaje ar fi:

• confidențialitatea conversației, ea nu poate fi decriptată dacă cineva sparge serverul pentru că nu are ce chei de criptare să fure de pe acesta, cum s-ar întâmpla la sistemul in-transit.
• angajați ai serviciului de mesagerie nu pot vedea mesajele utilizatorilor. Asta este oricum ilegal, dar să zicem că ar fi plătiți de cineva să facă acest spionaj. Nu ar putea face asta.
• un guvern dictatorial nu poate obliga o companie să-i pună la dispoziție conversația unor opozanți politici, de exemplu, sau nu poate monitoriza ce vorbesc locuitorii țării între ei.

Dezavantaje:

• unul l-am văzut eu recent. După criptarea E2E în Facebook Messenger, nu mai am funcție de căutare în mesaje. Explicația, bănuiesc eu, ține de faptul că search-ul în mesajele vechi era făcut de server, în arhiva de mesaje salvate acolo, dar acum acestea sunt criptate. Nu mă încântă asta, de fapt, pentru că uneori căutam prin mesajele cu cineva vreo informație pe care mi-a spus-o acum 2 ani și de care am nevoie din nou.
• pot circula mai ușor link-uri către site-uri periculoase. Să zicem că cineva îți trimite un link. În criptarea in-transit, mesajul este decriptat de server și analizat, iar dacă linkul respectiv duce la ceva de phishing, nu este trimis mai departe pentru a proteja destinatarul. În criptarea E2E, serverul habar nu are ce se află în interiorul mesajelor. Pot fi linkuri false, pot fi imagini interzise, piraterie digitală etc.
• Poliția sau serviciile de informații nu pot avea acces la mesajele infractorilor. De exemplu, au fost nenumărate atentate sau crime preîntâmpinate de poliție pentru că telefonul celor implicați era ascultat. Acum, însă, serviciul de mesagerie nu poate da Poliției acces la log-urile conversațiilor pentru că sunt puternic criptate.

Practic, avantajul zis de mine pentru opozanții dintr-un regim dictatorial se transformă în dezavantaj într-o țară democratică, unde Poliția are nevoie de acces la conversațiile unor rău-făcători pentru a preîntâmpina crime sau pentru a-i condamna pe baza a, să zicem, discuțiilor dintre ei privind cum să dea o spargere la bancă sau ce șpagă să dea primarului pentru a primi un contract.

Altfel spus, criptarea E2E face datele și mesajele tuturor mai sigure, ceea ce în general este un avantaj, dar este un dezavantaj fix acolo unde legea ar avea mare nevoie de istoricul acelor conversații. Asta e viața.

Tech talk

Un pic de tech talk acum, dar de nivel mediu, însă nu trebuie musai să citiți și cele de mai jos.

Cheile acestea de criptare se bazează pe niște probleme matematice complexe. Una dintre ele, prescurtată RSA, folosește produsul a două numere prime foarte mari. Metoda inversă, să găsești cele două numere prime cu care se divide un număr foarte mare, ia foarte mult timp.

O altă metodă este cea numită “curba eliptică”. Aceasta ia două numere X și Y și calculează logaritm în baza X din Y = Z. Când ai direct numărul Z la dispoziție, este foarte greu să le găsești pe X și Y, în special când toate sunt foarte mari. Nu funcționează fix așa, de fapt, dar este un exemplu simplificat la maxim.

Cum spuneam, decriptarea cu forța durează foarte mult timp. Presupunând însă că ai timp la dispoziție, sistemele de comunicații au mai introdus încă o șmecherie în mecanismul de criptare: perechile de chei se schimbă foarte des. Să zicem că se schimbă la fiecare oră. Astfel, chiar dacă un supercomputer sparge criptarea discuției mele cu Matilda după ce muncește o lună de zile la asta, va avea acces doar la mesajele schimbate în acea oră. După aceea, mesajele noastre au fost criptate cu o altă pereche de chei și trebuie muncit încă o lună de zile pentru a le sparge și pe acelea.

Este echivalentul la a-ți schimba yala de la casă în fiecare oră. Chiar dacă pierzi cheia la un moment dat, nu mai poate fi utilizată de un hoț.

Protocoalele de comunicații includ metode pentru a transmite periodic celorlalte persoane noi perechi de chei (sau pentru a le genera local). Nici măcar o astfel de metodă nu este însă 100% sigură. Există tipuri de atacuri care (zic eu) intră în categoria numită generic man in the middle. Un atacator ar putea imita perfect telefonul Matildei astfel încât acel atacator, și nu Matilda, să primească următoarea pereche de chei criptografice atunci când ele se schimbă. Sau, în funcție de ce opțiuni are serviciul respectiv, un atacator ar putea convinge telefonul meu să trimită necriptat mesajele sau folosind o criptare mult mai simplă.

Criptarea poate feri datele personale de o mulțime de tipuri de atacuri și probleme, dar întreg sistemul trebuie să fie sigur, altfel pot fi exploatate anumite vulnerabilități ale lui de către cei care le descoperă.

În alte situații, chiar compania deținătoare a serviciului are un backdoor care îi dă acces la mesaje. Criptarea poate fi dezactivată de server sau programul de mesagerie poate trimite mesajele tale și necriptat, în paralel. Să zicem că astfel de opțiuni ar putea fi activate de către server fără știința ta în caz că Poliția aduce un mandat de intercepție sau, cum se pare că se întâmpla cu Skype și programul de spionaj Prism al NSA, agenția de spionaj avea acces direct la activarea unei astfel de opțiuni, fără a mai fi nevoie de un mandat.

Cei de la Apple au fost implicați într-un scandal acum câțiva ani. FBI-ul le-a cerut să introducă un backdoor în sistemul de mesagerie iMessage (sau în iPhone-uri în general, nu mai știu), prin care FBI-ul să poată avea acces la date în caz de nevoie. Apple a refuzat, din câte s-a anunțat oficial. În spatele scenei, nu știm ce au făcut de fapt.

O teamă este că, în viitor, computerele cuantice vor putea sparge rapid fișierele criptate de astăzi. Criptarea este foarte rezistentă la computere clasice, cele care funcționează în binar. Nu îmi este foarte clar cum funcționează unul cuantic și oricum cele existente sunt modele experimentale, dar din ce am înțeles eu acestea folosesc și alte stări decât 0 și 1 din binar. Acest mod de lucru poate fi utilizat pentru a decripta mult mai rapid ceva protejat de un algoritm clasic. Înțeleg chiar că s-a demonstrat că există algoritmi cuantici care pot sparge foarte rapid criptarea clasică.

Computerele cuantice au un viitor al lor și din acest motiv există un tip de atac numit Harvest Now, Decrypt Later. Zvonurile spun că în special guvernele marilor puteri interceptează și stochează orice informație criptată pe care pot pune mâna pentru un viitor în care computerele cuantice vor putea decripta acele date într-un timp mai rezonabil.

De ce ai vrea să decriptezi în 2035 fișiere criptate în 2024? Pentru că sunt anumite domenii (spioni sub acoperire, tehnică militară, conversații ale oponenților politici etc) în care informații vechi care vor fi utile și atunci.

Protecția pentru un astfel de scenariu se face acum prin așa numită criptografie post-cuantică (PQC), adică una gândită încă de acum să fie rezistentă și la metode cuantice de decriptare.

Criptarea PQC folosește o pereche de chei astfel create încât nu pot fi ușor sparte nici de computere cuantice. Signal au fost primii care au introdus criptare post-cuantică în sistemul lor. Signal folosește acest algoritm în etapa numită initial key establishment — adică atunci când deschizi un dialog cu cineva se creează și o pereche de chei rezistente la decriptare cuantică, chei ce vor fi folosite pentru a securiza conversația viitoare.

Apple duce mai departe această idee. Americanii au anunțat recent un protocol de securitate post-cuantic numit PQ3, în care cheile sunt special create astfel nu doar la început, ci și reactualizate periodic după aceea (re-keying). Chiar și dacă o cheie este compromisă (nu musai prin decriptare sau ghicirea ei, ci prin alte vulnerabilități), doar o mică parte din date va putea fi accesată.

Apple va introduce PQ3 odată cu iOS 17.4 și, cum update-ul va fi disponibil pentru iPhone-urile din ultimii ani, o mulțime de utilizatori vor trece deci automat la această metodă de criptare în iMessage. Protocolul folosește câte două chei, una “clasică” P-256 bazată pe un algoritm de curbă eliptică și una “post-cuantică” generată cu un algoritm numit Kyber-1024.

Au un blog post în care explică metoda complicată (cel puțin pentru mine așa sună) prin care fac regenerarea de chei pentru a securiza totul. Întrucât algoritmul este unul complet, generarea de chei noi nu se mai face la fiecare mesaj sau ceva de genul acesta de des, ci după o formulă ce ia în calcul cât de des trimiți mesaje, cât a trecut de la ultima schimbare de chei șamd. Estimarea lor este că schimbarea se va face în medie la fiecare 50 de mesaje, dar niciodată mai rar de 7 zile.

Bănuiala mea este că vom vedea astfel de algoritmi post-cuantici implementați în următorii ani de toate platformele de comunicație. Nu-i nevoie de ei în prezenți, ci poate peste 5-20 de ani, dar dă bine să te lauzi cu PQC și, odată ce o are concurența, nu poți rămâne în urmă.