Uma história de mistério e suspense no reino da criptografia (primeira parte)

Há pouco mais de dois meses aconteceu um dos mais estranhos episódios na história do mundo digital. Apesar de seu evidente interesse, ela não foi divulgada pela grande imprensa. Entretanto, como veremos, além de apresentar todos os elementos de uma história de mistério, ela possui implicações sérias e deveria, mesmo com atraso, ser amplamente divulgada.

TrueCrypt é um software de criptografia desenvolvido desde 2004 a partir de um outro programa chamado E4M. Gratuito e de código aberto, ele pode ser usado para criptografar discos inteiros ou para criar um arquivo criptografado que pode ser "montado" na máquina e usado como um disco regular.

E o programa é bom. É dos melhores. Para citar apenas um caso, ele era usado pelo banqueiro Daniel Dantas, detido em 2008 na operação Satyagraha. Durante cinco meses a polícia brasileira tentou em vão quebrar a senha dos cinco discos criptografados apreendidos com o banqueiro; por fim, ela pediu ajuda ao FBI, que passou um ano realizando os chamados "ataques de dicionário". Nada feito. Até hoje não se sabe o que havia naqueles discos.

 Daniel Dantas

Assim como facas não servem apenas para cometer assassinatos, programas de criptografia não servem apenas para burlar a lei. Em primeiro lugar, a criptografia serve para proteger a privacidade das pessoas. Documentos pessoais, trabalhos inéditos, senhas, contratos, segredos comerciais, fotos íntimas da pessoa amada... Tudo isso pode e deve ser protegido por uma senha; e quanto mais robusta for a proteção criptográfica, melhor.

Pois bem. No dia 28 de maio de 2014, o sítio truecrypt.org, que até então ostentava uma bela, sóbria e profissionalmente concebida apresentação em azul e branco, passou a redirecionar seu tráfego para uma página realizada de forma bastante amadora no sítio sourceforge.net. Nessa página, o visitante é informado do seguinte:

1. Que o uso do TrueCrypt não é seguro;
2. Que seu desenvolvimento foi encerrado em virtude do fim do suporte da Microsoft para o Windows XP;
3. Que os antigos usuários devem migrar para o programa Bitlocker, da Microsoft.

Nessa mesma página é oferecida a última versão do programa (7.2), que já não serve para criptografar discos ou arquivos. Ela somente oferece a possibilidade de abrir e ler os discos já existentes, de modo que o usuário possa migrar seus dados para outro disco. E essa é, a partir de agora, a única versão disponível. Juntamente com o sítio truecrypt.org, todas as versões anteriores do programa desapareceram.

Obviamente, essa versão 7.2 não serve para absolutamente nada e deve ser inteiramente ignorada pelos usuários. Felizmente, um programador (cujo trabalho eu acompanho há pelo menos 15 anos) chamado Steve Gibson resolveu hospedar em seu sítio todos os arquivos da versão (funcional) mais recente do programa (7.1a). Nessa página, Gibson, do alto dos seus 44 anos de experiência em programação (e que escreve seus programas em linguagem assembly), afirma que o TrueCrypt 7.1a continua sendo um programa seguro.

Apenas há algumas horas fiquei sabendo que o TrueCrypt foi "descontinuado". A história é tão estranha e tem tantos meandros que não será possível elaborar, ainda hoje, um quadro coerente. Fica para uma segunda parte, que será escrita no fim de semana. Como aperitivo, e para que o leitor compreenda as possíveis implicações desse caso, vou apresentar a notícia de uma forma diferente. O programa de criptografia que Edward Snowden recomendava foi declarado inseguro e retirado do ar sob circunstâncias pouco usuais.