Discord lançou criptografia E2EE em chamadas de áudio e vídeo

Para aumentar a segurança nesse tipo de recurso, recentemente o Discord lançou criptografia E2EE em chamadas de áudio e vídeo.

O Discord introduziu o protocolo DAVE, um protocolo personalizado de criptografia de ponta a ponta (E2EE) projetado para proteger chamadas de áudio e vídeo na plataforma contra interceptações não autorizadas.

Discord lançou criptografia E2EE em chamadas de áudio e vídeo

Discord lançou criptografia E2EE em chamadas de áudio e vídeo
Discord lançou criptografia E2EE em chamadas de áudio e vídeo

O DAVE foi criado com a ajuda de especialistas em segurança cibernética da Trail of Bits, que também auditaram o código e a implementação do sistema E2EE.

O novo sistema cobrirá chamadas de áudio e vídeo individuais entre usuários em canais privados, chamadas de áudio e vídeo em bate-papos em pequenos grupos, canais de voz baseados em servidor usados ​​para conversas em grupos maiores e streaming em tempo real.

“Hoje, começaremos a migrar voz e vídeo em DMs, DMs de grupo, canais de voz e transmissões ao vivo para usar E2EE”, diz o anúncio do Discord.

“Você poderá confirmar quando as chamadas são criptografadas de ponta a ponta e executar a verificação de outros membros nessas chamadas.”

Originalmente criado para que os jogadores se comuniquem durante o jogo, o Discord cresceu e se tornou uma das plataformas de comunicação mais populares do mundo, atendendo a grupos com interesses comuns, criadores, empresas e várias comunidades.

A introdução do DAVE é um movimento significativo para aprimorar a segurança e a privacidade dos dados na plataforma, que é usada por mais de 200 milhões de pessoas.

Mais importante, o Discord decidiu tornar o protocolo e suas bibliotecas de suporte de código aberto, permitindo o escrutínio por pesquisadores de segurança. Um whitepaper com as informações técnicas completas também foi publicado, garantindo transparência para a comunidade.

O DAVE usa a API de transformação codificada WebRTC, que permite que quadros de mídia (áudio e vídeo) sejam criptografados depois de codificados e antes de serem empacotados para transmissão. A extremidade receptora descriptografa os quadros e, em seguida, os decodifica.

Apenas metadados especiais de codec, como cabeçalhos e sequências reservadas, são deixados sem criptografia.

Discord lançou criptografia E2EE em chamadas de áudio e vídeo
Discord lançou criptografia E2EE em chamadas de áudio e vídeo (Visão geral operacional do DAVE Fonte: Discord)

No que diz respeito ao gerenciamento de chaves, o protocolo Messaging Layer Security (MLS) é usado para trocas de chaves de grupo seguras e escaláveis, enquanto cada participante tem uma chave de criptografia de mídia simétrica por remetente.

O Elliptic Curve Digital Signature Algorithm (ECDSA) é usado para gerar pares de chaves de identidade.

Quando a composição de um grupo muda (um membro sai ou um novo membro entra), uma nova “época” começa, e o estado de criptografia do grupo muda para essa nova época gerando novas chaves. Esse processo deve ser concluído sem interrupção perceptível para os participantes.

O Discord diz que o MLS adiciona alguma latência para as trocas de chaves, mas o DAVE foi projetado para manter esse atraso abaixo do limite de algumas centenas de milissegundos, mesmo em chamadas de grupo grandes.

Finalmente, no que diz respeito à verificação do usuário, existem métodos fora de banda, como uma comparação de códigos de verificação chamados “códigos de privacidade de voz”, derivados do estado de época do MLS do grupo.

A resistência ao rastreamento persistente é alcançada por meio do uso de chaves de identidade efêmeras, pois os usuários recebem uma nova chave para cada chamada.

Discord lançou criptografia E2EE em chamadas de áudio e vídeo
Discord lançou criptografia E2EE em chamadas de áudio e vídeo – Tela de códigos de privacidade de voz Fonte: Discord

Implementação em etapas

O Discord iniciou o processo de migração de todos os canais qualificados para o DAVE, e os usuários poderão confirmar se suas chamadas são criptografadas de ponta a ponta verificando o indicador correspondente na interface.

Espera-se que demore algum tempo até que todos os usuários tenham acesso total ao novo sistema E2EE em todos os dispositivos e canais.

Os usuários não precisam fazer nada além de atualizar para o aplicativo cliente mais recente, pois os clientes desatualizados serão restritos à criptografia somente de transporte.

A implementação inicial cobrirá os aplicativos de desktop e móveis do Discord, com clientes da web a seguir no futuro.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.