Bruce Schneier é certamente uma das maiores autoridades mundiais em criptografia e segurança digital, autor de vários livros, incluindo Applied Cryptography (1994 e 1996) — “bíblia” de referência técnica sobre criptografia — e Segurança.com – Segredos e Mentiras sobre a Proteção na Vida Digital (Campus, 2001, tradução); é também criador dos algoritmos de criptografia Blowfish e Twofish, este último tendo sido um dos cinco finalistas na seleção mundial do novo padrão de criptografia definido pelo governo americano, AES (Advanced Encryption Standard).

No Prefácio do livro Segurança.com, Bruce escreveu o seguinte, que considero um dos textos mais sensatos, profundos e inspiradores que já li sobre segurança digital, motivo pelo qual tomo a liberdade de citar e realmente sugiro que todos leiam:

Escrevi este livro em parte para corrigir um erro.

Há sete anos, escrevi outro livro: Applied Cryptography. Nele, descrevi uma utopia matemática: algoritmos que manteriam os segredos mais profundos protegidos por milênios, protocolos que poderiam realizar as interações mais fantásticas — jogos e apostas sem regulamentação, autenticação indetectável, dinheiro anônimo — de forma segura e protegida. Na minha visão, a criptografia era o grande equalizador tecnológico; qualquer um com um computador barato (e tornando-se mais barato a cada dia) poderia ter a mesma segurança do governo. Na segunda edição do mesmo livro, escrita dois anos depois, cheguei ao ponto de escrever “Não é suficiente nos protegermos com leis; temos que nos proteger com matemática.”

Mas isso não é verdade. A criptografia não pode fazer nada disso.

Não que a criptografia tenha se tornado mais fraca desde 1994, ou que as coisas que escrevi naquele livro não sejam mais verdadeiras; é que a criptografia não existe em um vácuo.

A criptografia é um punhado de matemática. E, como todo a matemática, ela envolve números, equações e lógica. Segurança, a segurança palpável, que você e eu poderíamos considerar úteis em nossas vidas, envolve pessoas: coisas que as pessoas conhecem, relacionamentos entre pessoas, como as pessoas se relacionam com as máquinas. A segurança digital envolve computadores: computadores complexos, instáveis e com bugs.

A matemática é perfeita; a realidade é subjetiva. A matemática é definida; os computadores são teimosos. A matemática é lógica, as pessoas são irregulares, caprichosas e pouco compreensíveis.

O erro em Applied Cryptography foi que eu não falei sobre o contexto de forma alguma. Falei sobre criptografia como se ela fosse “A Resposta™”. Eu era muito ingênuo.

O resultado não foi muito bonito. Os leitores acreditaram que a criptografia era um tipo de pó mágico de segurança, que poderia ser espalhado sobre o software para que se tornasse seguro. Que eles poderiam invocar palavras mágicas como “chave de 128 bits” e “infra-estrutura com chave pública”. Um colega me disse certa vez que o mundo estava cheio de sistemas de segurança ruins, projetados por pessoas que leram Applied Cryptography.

Desde que escrevi o livro, tenho me mantido como consultor de criptografia: projetando e analisando sistemas de segurança. Para a minha surpresa inicial, descobri que os pontos fracos não tinham nada a ver com a matemática. Eles estavam no hardware, no software, nas redes e nas pessoas. Trechos lindos de matemática se tornaram irrelevantes devido a uma programação ruim, um sistema operacional falho ou uma senha mal escolhida.

Aprendi a ver além da criptografia, para o sistema inteiro, para descobrir os pontos fracos. Comecei a repetir alguns dos sentimentos que você irá adquirir no decorrer deste livro: “Segurança é uma corrente: ela é tão forte quanto o seu elo mais fraco.” “Segurança é um processo, e não um produto.

Como o prefácio já é bom assim, recomendo fortemente o livro todo. “Segurança.com: Segredos e Mentiras sobre a Proteção na Vida Digital”, por Bruce Schneier, Editora Campus, 19/02/2001, 408 p., ISBN-13 978-85-352-0755-2. Tradução de Secrets and Lies: Digital Security in a Networked World (em inglês), EUA, Editora Wiley, jan/2004, 448 p., ISBN-13 978-0-471-45380-2.

Para saber mais: