Q-Day 2029 – Ameaça Às Senhas
As principais perguntas nos anos 1990, quando a Internet comercial realmente começou no Brasil, era quanto à segurança das senhas. Naquela época, pouco se falava em senhas ou sistemas protegidos e eram pouquíssimas as empresas ou instituições que exigiam esse recurso. Com o passar dos anos e com o avanço da tecnologia, tornou-se fundamental a segurança cibernética com o uso de senhas cada vez mais sofisticadas para proteger transações bancárias, cartões de crédito ou mesmo tarefas simples.
As perguntas, na década de 1990, eram muito simples: “Quanto tempo uma senha é considerada segura ?” A resposta era mais que óbvia, mas expressava bem a realidade: “Ela será segura até que consigam quebrá-la !”. Pode parecer estúpida, mas a resposta não poderia ser mais correta. Com o tempo, essas senhas, ou informações mais delicadas, eram armazenadas usando criptografia com o uso de algoritmos comerciais (como o 3DES e o RC4), o PGP (Pretty Good Privacy) e outros.
Os computadores mais utilizados eram os 286 ou 386 e essas máquinas tinham enorme capacidade de armazenamento (cerca de 50 MB, que era altíssimo para a época) e grande rapidez no processamento. Mesmo assim, elas precisariam de vários meses para poder interferir em alguma coisa.
Os equipamentos foram melhorando e, o que era um potente computador, hoje em dia é uma mera carroça. Com esse aumento de processamento, mais softwares específicos, roubar ou quebrar uma senha se tornou o grande negócio dos criminosos virtuais. Os hackers conseguem acesso a bancos de dados de bancos e empresas, roubando grande volume de informações e senhas, mesmo criptografadas.
Hoje em dia, as transações bancárias, redes privadas (VPNs) e serviços online fazem da criptografia uma ferramenta essencial. As informações são criptografadas utilizando matemática complexa que precisariam de décadas para um computador resolver.
Mas agora estamos falando de computadores quânticos que trabalham de forma muito diferente. O processamento é rapidíssimo e eles poderiam resolver esses problemas em questão de segundos, usando algoritmos específicos como o Algoritmo de Shor. É nesse momento que tememos pelo que já é chamado de Q-day.
Os cyber-criminosos não apenas continuam com o roubo de informações ou sequestro de equipamentos, mas também com um novo tipo de crime: “Harvest Now, Decrypt Later”, ou seja, “Colha agora, descriptografe depois”. Eles já estão armazenando os dados criptografados para que, quando os computadores quânticos estiverem disponíveis, eles os usarão para acessar todas aquelas informações armazenadas. Daí a enorme necessidade de trocar as senhas regularmente e jamais usar a mesma senha para mais de um propósito.
Já se fala em uma corrida para conseguir uma criptografia que possa ser usada com esse tipo de computador: a Criptografia Pós-Quântica (PQC).
Alguns institutos norte-americanos já estão trabalhando em novos padrões que deixam para trás os velhos algoritmos com base na matemática. É uma corrida contra o tempo: isso precisa estar disponível ANTES dos computadores quânticos serem funcionais.
Existem relatos da existência do Q-day desde a década de 2000 e o Google tem repetido que alguns sistemas criptografados poderão estar em risco por volta de 2029. E esse prazo é bem curto: ele significa que teremos muito pouco tempo para nos preparar e é uma virada drástica: Tudo está seguro até que não está mais. Veja esse cadeado na barra de endereços de seu navegador; ele significa que o site que você está visitando tem uma segurança SSL, protegida com criptografia.
Os computadores comuns usam o sistema chamado binário, que é composto por 0 ou 1. Já os computadores quânticos usam os bits quânticos, chamados “qubits“, que podem ser 0, 1 ou os dois ao mesmo tempo. Isso é chamado de superposição, o que permite às máquinas quânticas armazenar e processar informações mais complexas e muito mais rapidamente.
A tecnologia de um computador quântico ainda está limitada aos pesquisadores, pois eles só trabalham em ambientes extremamente frios e no vácuo. Os qubits são sensíveis até mesmo o menor dos tremores. Já se fala na criptografia de curva elíptica, ou ECC, que se baseia em linhas curvas, gerando chaves com base em pontos dessa linha. O Google, ainda informa que tecnologias como o blockchain, dependem dessa criptografia de curva elíptica.
Na criptografia quântica, as chaves permitem que duas pessoas ou lados utilizem uma chave segura e garantida pela física e não tanto pela matemática.
Essa não é a única preocupação com a segurança. Já vimos bugs acontecendo (bug do milênio, final da década de 1990) e outros que ainda virão (bug de 2038).
Já se fala que os custos para se preparar serão altíssimos. Consideremos que os “especialistas” previam altos custos, um futuro terrível com a mudança do milênio e absolutamente NADA aconteceu. Isso porque bastava uma simples atualização nos computadores para evitar que o mal ocorresse e era tão simples que muitos desse “patches” eram disponibilizados pelos BBS ou provedores Internet gratuitamente.
Para o bug de 2038 também já existe proteção e provavelmente o seu computador já está preparado para ele. Qualquer sistema que opere em 64 bits já está pronto.
Só nos resta esperar que a tecnologia nos brinde com uma solução até 2029. E ela virá, com certeza.
Texto de Renzo Grosso
NOTAS SOBRE SENHAS (mas não limitadas a estas notas):
– NUNCA use uma senha para mais de um site/local
– NUNCA use datas de aniversário, casamento, filhos, etc. Alguns sites até proíbem qualquer senha que possa se parecer com uma data.
– NUNCA use nomes conhecidos (o seu, namorados, filhos, esposa, marido, cachorro…)
– NUNCA use variações da mesma senha como: senha do banco “A” – 357-A-111 e senha do banco “B” – 357-B-111
– NUNCA repita uma senha.
– Use uma senha para cada instituição e que seja complicada até para você.
– Em geral, as senhas devem conter um caractere especial (@,#,%, etc), pelo menos um número, pelo menos uma letra maiúscula/minúscula e outras exigências. Alguns sites até oferecem a geração de uma senha aleatória.
– Existem vários softwares para celulares, desktops, etc… que armazenam suas senhas de forma segura. Eles usam criptografia militar AES-256 (Advanced Encryption Standard), com chaves de 256 bits.
