Aplicativos de mensagem seguros

Zé da Unicamp e amigos

Encripta tudo unicamp:

Encripta Tudo

Somos um coletivo de alunos da Unicamp e realizamos atividades sobre software livre, criptografia, segurança e liberdade na rede

Grupo no telegram: http://t.me/encriptatudo

Página no FB: fb.com/encriptacamp

Email

Glossario:

Antes de falarmos sobre os aplicativos, precisamos esclarecer os seguintes conceitos:

  • Software Livre.
  • Criptografia de Chave Pública.
  • Criptografia fim a fim.
  • Sigilo enchaminhado (forward secrecy)

Software Livre:

Software livre é o software que respeita a liberdade do usuario, contendo as 4 liberdades:

(0): Rodar o código para qualquer proposito.

(1): Estudar o código.

(2): Modificar o código.

(3): Compartilhar suas modificações.

Criptografia de Chave Pública:

Tradicionalmente quando vamos criptografar uma mensagem , é necessario que os envolvidos combinem em uma chave:

mensagem ----(chave)--->texto cifrado ----(chave)---> mensagem original

(criptografia simetrica)

Porém para combinarem em uma chave, os envolvidos precisam de um canal seguro de comunicação, mas nem sempre isso é possivel, e quando é possivel deles terem um canal seguro de comunicação, porque eles precisam então usar criptografia?

Uma solução para isso é a criptografia de chave pública: onde a chave é criada em pares, uma parte publica e uma chave privada, na qual somente a chave privada consegue descriptografar.

mensagem ----(chave publica)--->texto cifrado ----(chave privada)---> mensagem original

(criptografia de chave publica)

Criptografia fim a fim:

É um sistema de comunicação no qual as mensagens são criptografadas de maneira que apenas os envolvidos consigam descriptografar as mensagems. Assim o serviço que entrega as mensagens não consegue ler as mensagems de seus clientes.

Forward Secrecy:

É uma propriedade de protocolos de comunição , no qual mesmo se as chaves privadas do participantes são obtidas não é possivel descriptografar as mensagems que foram trocadas.

Prerequisitos para aplicativos seguros:

Para um aplicativo de mensagem ser considerado seguro , ele tem que satisfazer os seguintes criterios:

  • software livre.
  • forward-secrecy.
  • Criptografia fim a fim.
  • Autenticação.

Exemplos de aplicativos não seguros:

PGP:

PGP ou Pretty Good Privacy foi criado em 1991 pelo Phil Zimmermann é um programa para criptografar ou assinar digitalmente arquivos.

-----BEGIN PGP MESSAGE-----

jA0ECQMK6Xln2DOR54z/0joBo17vba2CTX7voNnEzC270ZZj0byWbN5rspYe1i05
wsMtI0lPPu7NLUhly8FZFq56AQ5/JXdQGGIp
=vMel
-----END PGP MESSAGE-----

Como Criptografar e-mails com PGP

Clientes:

  • pc: linha de comando, thunderbird + enigmail
  • android: openkeychain + k9mail

Enigmail: tutorial

title

Android: openkeychain + k9mail : tutorial

title

OTR:

OTR (Off-The-Record Messaging) é uma "camada" de segurança usada no protocolo de chat XMPP, que provem autenticação e forward secrecy

clientes:

  • pc: pigdin, adium
  • android: conversations.
  • iphone: chatsecure.

pc: pidgin+otr

title

title

title

android: Conversations

title

Signal:

Aplicativo da Open Whisper Systems , facil de usar, funciona no computador (sem precisar deixar o celular conectado na internet) , recomendasse verificar os "numeros de segurança", tem um fork chamado Noise que é completamente software livre (não utiliza serviços do Google)

signal

Chamadas:

  • ring.cx : Tem aplicativo pro android na fdroid e pra pc.
  • Jitsi Meet : funciona no navegador, sem precisar instalar nada.

Briar:

Applicativo completamente software livre , ainda em desenvolvimento , peer2peer (por enquanto usando bluetooth (não precisa de internet) e wifi com tor).

  • para add um contato vcs devem se encontrar pessoalmente e escanear seus qr codes (depois disso, vc pode introduzir um contato para outro)

  • forum e grupos privatos (threads :D)

    • forum : Qualquer um pode adicionar pessoas no forum

    • grupo privado: so o dono do grupo pode adicionar pessoas no grupo

  • blog: pode ser lido por qualquer contato e ainda pode ser recompartilhado

title

Obrigado

Referencias:

(1): FISL2016: Torsten Grote: Briar and the Crypto Messenge Evolution (https://youtu.be/Dr42vZIoGqM)

(2): Webstock ‘15: Moxie Marlinspike - Making private communication simple (https://vimeo.com/124887048)

(3): EFF Surveillance Self-Defense | Tips, Tools and How-tos for Safer Online Communications (https://ssd.eff.org)

(4): Privacy Tools - Encryption Against Global Mass Surveillance (https://www.privacytools.io/)

(5): Numberphile - Encryption and HUGE numbers (https://youtu.be/M7kEpw1tn50)

(6): Computerphile: Public Key Cryptography (https://youtu.be/GSIDS_lvRv4)

(7): CopperheadOS usage guide https://copperhead.co/android/docs/usage_guide

(8): torsten fdroid repo: https://grobox.de/fdroid/

(9): About backdoors in Signal and other apps http://blogs.fsfe.org/larma/2017/signal-backdoors/

(10): Briar – Next Step of The Crypto Messenger Evolution https://blog.grobox.de/2016/briar-next-step-of-the-crypto-messenger-evolution/

(11): Criptografia de emails com PGP https://danielammorais.com/2016/05/29/criptografia-de-e-mails-com-pgp/