Encriptação vs. criptografia: Qual é a diferença (e por que é importante?)

Encriptação mantém os dados seguros de olhares indiscretos. Mas e a criptografia? É apenas outro nome para o mesmo conceito?

Nem por isso. Embora esses termos sejam frequentemente usados de forma intercambiável, não são idênticos. Aqui está uma análise do que cada termo significa na prática, como são usados na cibersegurança e porque é que a diferença importa.

O que é encriptação?

A encriptação converte informação legível em informação ilegível usando uma chave. Informação legível também é conhecida como texto simples, enquanto informação ilegível é chamada de texto cifrado. Uma vez que os dados estão encriptados, estão efetivamente "trancados" — apenas alguém com a chave certa pode abrir a fechadura e desencriptar os dados. 

Aqui está um exemplo.

Bob quer enviar a Susan uma atualização por email sobre o projeto sensível em que estão a trabalhar. A sua mensagem é simples: "A Fase 1 está completa." Se ele enviar esta mensagem sem encriptação, é possível que atacantes escutem digitalmente a conversa e leiam a sua mensagem.

A encriptação transforma a mensagem de Bob em algo que parece um disparate. Usando uma chave de encriptação, a mensagem agora diz: "2gnew Ln aog noaglss." Vale a pena notar que o texto cifrado não precisa ter o mesmo comprimento que o original. Susan recebe a mensagem e, usando a sua chave de desencriptação, converte-a de volta em texto simples.

Existem duas abordagens comuns para encriptação: simétrica e assimétrica.

Na cifragem simétrica, a chave para codificar e decodificar mensagens é a mesma. Isto significa que deve ser sempre mantida privada. A cifragem simétrica é simples e rápida, mas acarreta riscos se as chaves forem acidentalmente divulgadas ou roubadas.

Na encriptação assimétrica, são usadas duas chaves diferentes. Uma chave pública é usada para encriptar dados. Esta chave pode ser livremente partilhada, uma vez que o seu único objetivo é converter texto simples em texto cifrado. As chaves privadas são usadas para desencriptar dados e devem ser mantidas em segredo.

Um dos frameworks simétricos mais comuns é o Advanced Encryption Standard (AES), que utiliza três comprimentos de chave diferentes: 128, 192 e 256 bits. Quanto mais bits, mais difícil é quebrar a chave. Em teoria, uma chave de 256 bits levaria milhões de anos para um computador quebrar.

O que é criptografia?

A criptografia é o campo de estudo que lida com a comunicação segura. Abrange três áreas amplas: confidencialidade, integridade e autenticação.

Confidencialidade: Este aspeto da criptografia centra-se na ofuscação do conteúdo de uma mensagem. A encriptação enquadra-se nesta categoria. 

Integridade: A integridade dos dados garante que as mensagens originais permaneçam inalteradas. Isto é conseguido protegendo a própria mensagem contra adulteração ou modificação. Na prática, pode assumir a forma de redes empresariais protegidas ou redes privadas virtuais (VPNs) que impedem a escuta digital.

Autenticação: A autenticação é sobre identidade. Será que o remetente da mensagem é quem diz ser? Será que a pessoa que tenta aceder à mensagem é o destinatário pretendido? No lado do remetente, ferramentas avançadas de proteção de email utilizam algoritmos de IA para detetar e eliminar potenciais ameaças. No lado do recetor, soluções como a autenticação multifatorial (MFA) podem ajudar a verificar as identidades dos utilizadores.

Como impactam a cibersegurança?

Sem encriptação eficaz, as empresas podem perder dados financeiros, intelectuais e pessoais.

Considere a recente fuga de mais de 184 milhões de credenciais de login de utilizadores. Armazenadas numa base de dados publicamente disponível, as credenciais abrangem tudo, desde logins do Google e Apple até aqueles para serviços governamentais e plataformas de videojogos.

O denominador comum? Sem encriptação. Uma vez dentro da base de dados — que em si não estava protegida por palavra-passe — não havia nada para impedir os cibercriminosos de levarem o que queriam e usarem-no para comprometer contas. Felizmente, a fuga de dados foi descoberta por investigadores de segurança antes que atores maliciosos pudessem aceder a ela, e a base de dados está agora offline.

Mesmo que a base de dados esteja encriptada, isso não garante segurança. À medida que as tecnologias evoluem, os atacantes tornam-se mais hábeis em encontrar e explorar falhas nos processos de encriptação. Por exemplo, métodos mais antigos, como o Data Encryption Standard, utilizam comprimentos de chave menores que os tornam vulneráveis a atacantes.

A investigação em criptografia ajuda a descobrir e testar novos métodos de encriptação. Por exemplo, o NIST recentemente lançou o seu primeiro conjunto de algoritmos de encriptação resistentes a quântica. Isto surge em resposta à rápida evolução dos computadores quânticos, que podem ser capazes de reduzir o tempo necessário para quebrar normas atuais, como o AES 256.

Porque é que a diferença importa?

Dada a sobreposição entre encriptação e criptografia, não é surpreendente que os termos sejam frequentemente confundidos. Em geral, isso tem um impacto mínimo no resultado da cibersegurança. Desde que os dados estejam protegidos, a terminologia é menos importante.

Onde a diferença importa é no desenvolvimento de novas soluções e técnicas de segurança. Embora a encriptação seja um componente chave de uma defesa eficaz, é apenas uma parte de um todo maior. Sozinha, impede que os atacantes acedam a dados sensíveis, mas não resolve questões de integridade ou autenticidade.

Para as empresas, a encriptação atua como a primeira linha de defesa: Mesmo que os dados sejam roubados, permanecem inutilizáveis. A integridade e a autenticação, por sua vez, ajudam a criar uma abordagem holística à cibersegurança que reduz o risco total.