twitterAutor: Martyn Williams

O Twitter implementou novas medidas de segurança em seus servidores que vão complicar a vida de quem tentar interceptar a comunicação entre seus servidores e seus usuários e está convocando outras empresas de internet a fazer o mesmo.

A companhia implementou um recurso de criptografia chamado de “perfect forward secrecy” nas suas plataformas de web e mobile, conforme anunciou nesta ultima semana, em seu blog. Essa tecnologia, segundo o Twitter, deve impossibilitar que uma organização externa possa captar tráfego de dados criptografado hoje para decifra-lo em algum ponto futuro.

No post em seu blog oficial, o Twitter diz que tal medida “deveria ser o novo normal para quem oferece serviços de web”. “Se você é um webmaster, sugerimos que implemente o HTTPS no seu site como padrão. E se você já oferece o HTTPS, aumente a segurança usando HTTP Strict Transport Security, cookies de segurança, certificação e Forward Secrecy. Ganhos de segurança nunca foram tão importantes de implementar como agora.”

Para entender a diferença, atualmente a criptografia de dados que circulam entre um usuário e o servidor de uma companhia é baseada numa chave de segredo que é mantida no servidor. A troca de dados não pode ser lida, mas pode ser gravada em sua forma criptografada e, por conta de como a criptografia funciona, é  possível decifrar esses dados gravados uma vez que se obtenha a chave de segredo do servidor.

No modelo perfect forward secrecy, a criptografia de dados é baseada em duas chaves de segredo voláteis que expiram em tempo muito curto, portanto os dados criptografados não podem mais ser recuperados no futuro mesmo que usando a chave do servidor, e ficam seguros.

Esse princípio é muito importante porque mesmo que dados criptografados hoje não possam ser lidos de imediato, as inovações na tecnologia de computadores e sistemas de segurança pode gerar uma nova forma de decifrar os dados no futuro. A perfect forward secrecy deve garantir que os dados permaneçam embaralhados mesmo com novos recursos de computação.

O Twitter não deu uma razão exata para a decisão do rigor da segurança, mas destacou um link para um post no blog da Electronic Frontier Foundation que sugere que o novo método seja um jeito de impedir que a National Security Agency (NSA) ou qualquer outra entidade possa bisbilhotar nas comunicações via internet.

É claro que muito do que circula no Twitter está aberto ao público de qualquer forma, mas o serviço também oferece possibilidade de conversa privada entre dois indivíduos e isso estaria protegido contra terceiros.

Importante dizer que mesmo que a tecnologia proteja contra tentativas de invasão para leitura de dados, ela não vai impedir que as agências governamentais utilizem os meios legais para exigir eventualmente do Twitter ou de outra empresa de internet, dados sobre informações que circulam na rede.

Fonte: IDG Now!