O que é criptografia de ponta a ponta?

O que é E2EE?

A criptografia de ponta a ponta (E2EE) é um processo de comunicação seguro que criptografa dados antes de transferi-los para outro endpoint. Os dados permanecem criptografados durante o trânsito e são descriptografados no dispositivo do destinatário. Aplicativos de mensagens, SMS e outros serviços de comunicação contam com E2EE para proteger mensagens de acessos não autorizados.

A criptografia de ponta a ponta (E2EE) é considerada o método mais privado e seguro de comunicação em uma rede.

Semelhante a outros métodos de criptografia, o E2EE transforma texto simples legível em texto cifrado ilegível usando a criptografia. Esse processo ajuda a mascarar informações confidenciais de usuários não autorizados e garante que apenas os destinatários reais, com a chave de descriptografia correta, possam acessá-los.

No entanto, o E2EE é diferente de outros métodos de criptografia, já que fornece segurança de dados do início ao fim. Os dados são criptografados no dispositivo do remetente, permanecem criptografados durante a transmissão e são descriptografados somente quando chegam ao endpoint do destinatário. Esse processo garante que provedores de serviços, que facilitam as comunicações, como o WhatsApp, não possam acessar as mensagens. Somente o remetente e o destinatário podem ler as mensagens.

Por comparação, a criptografia em trânsito protege os dados somente enquanto eles se deslocam entre endpoints. Por exemplo, o protocolo de criptografia TLS (Transport Layer Security) criptografa os dados enquanto eles transitam entre um cliente e um servidor. No entanto, não oferece uma forte proteção contra o acesso de intermediários, como servidores de aplicações ou provedores de rede.

A criptografia em trânsito padrão geralmente é mais eficiente, mas muitas pessoas e organizações ficam receosas quanto ao risco de os provedores de serviços acessarem seus dados confidenciais. Qualquer exposição, mesmo no nível do endpoint, pode ameaçar gravemente a privacidade de dados e a cibersegurança em geral.

Muitos consideram a E2EE a melhor opção para proteger dados confidenciais em comunicações digitais, especialmente porque as organizações dedicam mais recursos ao gerenciamento de dados eficaz e os consumidores se preocupam mais com a segurança de dados. Um estudo recente descobriu que 81% dos americanos estão preocupados com a forma como as empresas usam os dados que são coletados sobre eles.¹

Saiba mais sobre criptografia

X-Force Threat Intelligence Index

O IBM X-Force Threat Intelligence Index fornece insights e recomendações essenciais para ajudar você a responder aos ataques com mais agilidade e eficácia.

Como funciona a criptografia de ponta a ponta?

A criptografia de ponta a ponta é um processo relativamente simples que transforma dados legíveis em um formato ilegível, transmitindo-os com segurança e convertendo-os de volta à sua forma original no destino.

Geralmente, a E2EE inclui estas quatro etapas:

Criptografia
Transmissão
Descriptografia
Autenticação

1. Criptografia

A E2EE começa usando um algoritmo de criptografia para criptografar os dados confidenciais. Esse algoritmo usa funções matemáticas complexas a fim de embaralhar os dados e deixá-los em um formato ilegível, conhecido como texto cifrado. Somente os usuários autorizados com a chave secreta, conhecida como chave de descriptografia, podem ler as mensagens.

A E2EE pode usar um esquema de criptografia assimétrica, que usa duas chaves diferentes para criptografar e descriptografar os dados, ou um esquema de criptografia simétrica, que usa uma única chave compartilhada para criptografar e descriptografar os dados. Muitas implementações E2EE usam uma combinação dos dois modelos (consulte “Criptografia simétrica versus assimétrica”).

2. Transmissão

Os dados criptografados (texto cifrado) trafegam por um canal de comunicação, como a internet ou outras redes. A mensagem permanece ilegível para servidores de aplicações, provedores de serviços de Internet (ISPs), hackers ou outras entidades enquanto se desloca até o seu destino. Aparecem como caracteres aleatórios e incompreensíveis para qualquer pessoa que possa interceptá-los.

3. Descriptografia

Ao chegar ao dispositivo do destinatário, o texto cifrado é descriptografado usando a chave privada do destinatário (na criptografia assimétrica) ou a chave compartilhada (na criptografia simétrica). Somente o destinatário possui a chave privada necessária para descriptografar os dados.

4. Autenticação

Os dados descriptografados são verificados para garantir sua integridade e autenticidade. Essa etapa pode envolver a verificação da assinatura digital do remetente ou outras credenciais para confirmar que ninguém adulterou os dados durante a transmissão.

Saiba mais sobre autenticação

Criptografia simétrica versus assimétrica

Existem dois métodos de criptografia—criptografia simétrica e criptografia assimétrica—as duas usam chaves secretas de forma diferente.

A criptografia simétrica usa uma chave compartilhada tanto para a criptografia quanto para a descriptografia, o que aumenta a velocidade e a eficiência, mas exige um gerenciamento seguro de chaves. Os dados estarão em risco se a chave estiver comprometida.

Já na criptografia assimétrica, são utilizadas duas chaves: uma chave pública para criptografia e uma chave privada para descriptografia. Esse método elimina a necessidade de troca segura de chaves, mas geralmente resulta em um processamento mais lento.

As organizações que implementam o E2EE geralmente usam uma combinação de criptografia simétrica e assimétrica.

Por exemplo, quando dois usuários iniciam uma conversa no WhatsApp, eles geram uma chave de sessão exclusiva para essa conversa específica. Essa chave permite a criptografia simétrica e a descriptografia de mensagens trocadas durante a conversa.

A chave de sessão é compartilhada por meio de um sistema de criptografia assimétrica. Ela é criptografada com a chave pública do destinatário e descriptografada com a chave privada, o que significa que os bisbilhoteiros não podem roubá-la durante o trânsito.

Esse método combinado permite que os usuários se beneficiem da segurança da criptografia assimétrica e da eficiência da criptografia simétrica.

Casos de uso para criptografia de ponta a ponta

A criptografia de ponta a ponta tem vários casos de uso com foco na proteção de dados pessoais e informações confidenciais.

Os casos de uso comuns para E2EE incluem:

Comunicações seguras
Gerenciamento de senhas
Armazenamento de dados
Compartilhamento de arquivos

Comunicações seguras

O uso mais comum da E2EE é para comunicações seguras em serviços de mensagens móveis e online. Esses aplicativos de mensagens usam E2EE para garantir que apenas o remetente e o destinatário possam ler as mensagens, e não os prestadores de serviços.

O iMessage da Apple usa E2EE para proteger mensagens enviadas entre iPhones e outros dispositivos Apple, tornando a leitura das mensagens impossível para qualquer pessoa, inclusive para a Apple.

No caso do Android existem mais variações. O próprio Android não impõe a E2EE para todos os aplicativos de mensagens, em vez disso, deixa a critério individual dos desenvolvedores de aplicativos. No entanto, muitos aplicativos de mensagens na Google Play Store oferecem E2EE.

Por exemplo, o WhatsApp, de propriedade da Meta, emprega E2EE para todas as mensagens e chamadas, garantindo que mesmo o provedor de serviços não possa acessar o conteúdo das comunicações. O Signal é conhecido por sua ênfase rigorosa em privacidade e segurança. Oferece E2EE por padrão para todas as comunicações, incluindo mensagens, chamadas e chats de vídeo.

Os sistemas de e-mail também podem usar criptografia de ponta a ponta, o que geralmente requer a configuração de criptografia PGP (Pretty Good Privacy). O PGP é um programa de criptografia e descriptografia de dados que protege o conteúdo das mensagens e autentica os remetentes, evitando adulterações.

Alguns serviços de e-mail, como o Proton Mail, têm suporte integrado para PGP, simplificando o processo para os usuários. Outros serviços, como o Tuta, oferecem seus próprios métodos de criptografia de ponta a ponta.

Gerenciamento de senhas

Vários gerenciadores de senha conhecidos, como 1Password, Bitwarden, Dashlane e LastPass, usam E2EE para proteger as senhas dos usuários.

Ao contrário dos serviços de mensagens, esses provedores não possuem um segunda parte. O usuário é a única pessoa com uma chave de criptografia e o E2EE protege os dados de senha ao fazer a sincronização entre os dispositivos.

Armazenamento de dados

Dispositivos de armazenamento geralmente fornecem E2EE em repouso para garantir que o armazenamento de dados no dispositivo permaneça criptografado e seguro. Os provedores de serviços também podem oferecer E2EE em trânsito em uma configuração de armazenamento em nuvem para proteger os dados confidenciais dos usuários, incluindo o provedor de serviço de nuvem.

Essa abordagem dupla garante que os dados estejam protegidos quando são armazenados e quando são transmitidos entre dispositivos ou para a nuvem.

Compartilhamento de arquivos

Arquivos jurídicos, comerciais e pessoais geralmente contêm dados críticos e confidenciais que podem apresentar sérios problemas em mãos erradas.

A E2EE ajuda a garantir que terceiros não autorizados acessem esses arquivos durante a transmissão. Usos típicos de E2EE no compartilhamento de arquivos incluem compartilhamento de arquivos ponto a ponto (P2P), armazenamento criptografado em nuvem e serviços especializados de transferência de arquivos.

Benefícios da criptografia de ponta a ponta

A criptografia de ponta a ponta oferece inúmeras vantagens em segurança de dados e privacidade, tornando-a fundamental para assegurar as comunicações digitais, proteger informações confidenciais e garantir a integridade da transmissão de dados.

Alguns dos principais benefícios da E2EE incluem:

Segurança de dados
Privacidade de dados
Proteção contra a vigilância de terceiros
Melhor gerenciamento de conformidade
Resistência à adulteração
Comunicação e colaboração aprimoradas

Segurança de dados

A E2EE costuma ser a solução ideal quando a segurança de dados é uma das principais preocupações. De acordo com o relatório do custo das violações de dados da IBM, o custo médio global de uma violação de dados é de US$ 4,88 milhões - o maior total já registrado.

Ao criptografar dados de ponta a ponta, a E2EE ajuda na proteção contra hackers e violações de dados. Existe a garantia de que somente as partes autorizadas tenham acesso ao conteúdo das comunicações e acrescenta uma camada robusta de segurança, tornando bastante difícil para os agentes de ameaças o comprometimento de informações confidenciais.

Privacidade de dados

A E2EE ajuda a garantir que apenas os usuários da comunicação possam ler as mensagens, o que é fundamental para a proteção da privacidade de dados, especialmente em comunicações confidenciais.

Considere alguns cenários que dependem de alto nível de privacidade de dados da E2EE: transações financeiras, mensagens pessoais, discussões comerciais confidenciais, processos judiciais, registros médicos e detalhes financeiros, como informações de cartão de crédito e conta bancária.

Se alguma dessas informações confidenciais cair em mãos erradas, usuários e organizações poderão sofrer consequências graves.

Proteção contra vigilância

A E2EE pode ajudar os usuários a preservarem a privacidade pessoal e a se defenderem contra monitoramentos não autorizados e vigilância do governo.

Sua natureza altamente segura pode ajudar na proteção da liberdade individual e das liberdades civis, garantindo que provedores de serviços, governos e outros terceiros não possam acessar as comunicações sem consentimento prévio. Esse nível profundo de proteção da segurança de dados pode ser fundamental em regiões com governos rígidos e para pessoas envolvidas em ativismo ou jornalismo, onde as comunicações confidenciais podem ser uma questão de vida ou morte.

Melhor gerenciamento de conformidade

Muitas leis de proteção de dados, como a GDPR, exigem alguma forma de criptografia nas suas requisições de privacidade de dados. O não cumprimento desses padrões pode resultar em multas severas ou problemas legais.

A E2EE pode ajudar a manter a conformidade contínua com essas leis e padrões regulatórios, aprimorando a segurança de dados e facilitando a privacidade desde o início.

Resistência à adulteração

Como o processo de criptografia embaralha o conteúdo, qualquer alteração na mensagem criptografada a torna ilegível ou inválida na descriptografia.

Esse processo facilita a detecção de adulterações e acrescenta segurança e integridade adicionais às comunicações. Isso garante que quaisquer alterações não autorizadas em dados confidenciais sejam imediatamente aparentes e infunde mais credibilidade na confiabilidade das comunicações digitais.

Comunicação e colaboração aprimoradas

A E2EE pode ajudar a promover a confiança entre os usuários, garantindo a privacidade e a integridade das comunicações.

Geralmente, como os usuários sabem que suas mensagens e dados estão protegidos contra acesso não autorizado, eles podem se sentir mais confiantes ao conduzir conversas privadas e compartilhar dados confidenciais, como documentos legais, informações de contas bancárias ou outras informações sensíveis.

Desafios da criptografia de ponta a ponta

Embora ofereça segurança robusta, a criptografia de ponta a ponta (E2EE) também pode apresentar alguns desafios devido a vulnerabilidades inerentes à privacidade, segurança e acessibilidade de dados para a aplicação da lei.

Alguns desses desafios específicos incluem:

Obstáculos para a aplicação da lei
Dependência da segurança de endpoint
Ataques intermediários (Man-in-the-Middle - MITM)
Backdoors
Vulnerabilidade de metadados

Obstáculos para a aplicação da lei

Alguns órgãos governamentais e policiais expressaram preocupação com o fato de a criptografia de ponta a ponta ser muito segura. Eles acreditam que a E2EE impede os órgãos de segurança pública de prevenir e detectar atividades criminosas, como terrorismo, crimes cibernéticos e exploração infantil. Eles argumentam que a E2EE impede as investigações criminais porque os provedores de serviços não podem fornecer aos agentes acesso ao conteúdo relevante.

Dependência da segurança de endpoint

Sem a segurança de endpoint adequada, a E2EE pode não ser eficaz. A E2EE garante que os dados permaneçam criptografados durante a transmissão e protegidos dos provedores de serviços, mas não protege os dados se os próprios endpoints estiverem comprometidos.

Por exemplo, hackers podem instalar um malware no dispositivo de um usuário para acessar dados após terem sido descriptografados. Essa vulnerabilidade destaca a importância das medidas de segurança de endpoint, como software antivírus, firewalls e atualizações regulares, que são fundamentais para manter a segurança geral da E2EE.

Ataques intermediários (Man-in-the-Middle - MITM)

Ataques intermediários (MITM) ocorrem quando hackers se inserem entre dois endpoints para espionar e interceptar mensagens. Os hackers podem se passar pelo destinatário pretendido, trocar chaves de descriptografia e encaminhar a mensagem para o destinatário real sem serem detectados.

Os ataques MITM podem comprometer a E2EE e levar a violação de dados, roubo de identidade e exfiltração de dados. Os protocolos de autenticação de endpoint podem ajudar a impedir ataques MITM, confirmando a identidade de todas as partes envolvidas e garantindo a troca segura das chaves de criptografia.

Backdoors

Backdoors são pontos de acesso ocultos em sistemas de software ou hardware que ignoram medidas normais de autenticação e segurança. As empresas podem criar backdoors intencionalmente em suas criptografias, mas os hackers também podem usá-los para pejudicar a negociação de chaves ou ignorar a criptografia.

Especificamente com a E2EE, os hackers podem usar backdoors para descriptografar comunicações que deveriam estar seguras no endpoint e acessíveis apenas ao remetente e ao destinatário.

Vulnerabilidade de metadados

Embora a E2EE proteja os dados durante a transmissão, ela nem sempre protege os metadados. Esses metadados podem incluir informações do remetente e do destinatário, registros de data e hora e outros dados contextuais que os invasores podem usar para análise e rastreamento. Embora o conteúdo da mensagem seja criptografado, os metadados ainda podem revelar informações como padrões, frequência de contato ou conexões entre pessoas, tornando-se uma possível brecha de segurança na E2EE.

Soluções relacionadas

Segurança de dados com o IBM Guardium Insights

Centralize e simplifique a segurança de dados em todo o seu ambiente de nuvem híbrida.

Explore o Guardium Insights

Soluções e softwares de segurança para IBM Z

Proteja seus dados mais importantes e cargas de trabalho dentro do cenário de ameaças em constante mudança.

Explore as soluções de segurança do IBM Z

Serviços de segurança de dados e IA

Proteção abrangente e crítica para dados corporativos, aplicativos e IA.

Explore os serviços de segurança de dados e IA

Recursos

Relatório de custo de violação de dados

Prepare-se para as violações entendendo como elas ocorrem e aprendendo sobre os fatores que aumentam ou reduzem seus custos.

Criptografia homomórfica

A criptografia totalmente homomórfica (FHE) é uma tecnologia inovadora que ajuda a alcançar o zero trust, liberando o valor dos dados em domínios não confiáveis sem a necessidade de descriptografá-los.

O diferenciador dos dados

Um guia do líder de dados para criar uma organização baseada em dados e gerar vantagens comerciais.

Dê o próximo passo

Saiba como a família de produtos IBM Guardium pode ajudar sua organização a enfrentar a evolução das ameaças com análises avançadas, alertas em tempo real, conformidade simplificada, classificação automatizada de descoberta de dados, além de gerenciamento de postura.

Explore o Guardium

Agende uma demonstração em tempo real

Notas de rodapé

¹How Americans View Data Privacy. Pew Research Center. 18 de outubro de 2023. (Link externo ao site ibm.com).