O Discord introduziu o protocolo DAVE, um protocolo personalizado de criptografia de ponta-a-ponta (E2EE) desenvolvido para proteger chamadas de áudio e vídeo na plataforma contra interceptações não autorizadas.
DAVE foi criado com o auxílio de especialistas em cibersegurança da Trail of Bits, que também auditaram o código e a implementação do sistema E2EE.
O novo sistema abrangerá chamadas de áudio e vídeo entre dois usuários em canais privados, chamadas de áudio e vídeo em pequenos grupos de conversa, canais de voz baseados em servidores usados para conversas em grupo maiores e streaming em tempo real.
"Hoje, começaremos a migrar voz e vídeo em DMs, DMs em grupo, canais de voz e transmissões ao vivo para usar E2EE", lê-se no anúncio do Discord.
Você poderá confirmar quando as chamadas forem criptografadas de ponta-a-ponta e realizar a verificação de outros membros nessas chamadas.
Originalmente construído para que gamers se comunicassem durante o jogo, o Discord cresceu e se tornou uma das plataformas de comunicação mais populares do mundo, atendendo a grupos com interesses comuns, criadores, empresas e diversas comunidades.
A introdução do DAVE é um movimento significativo para melhorar a segurança dos dados e a privacidade na plataforma, que é usada por mais de 200 milhões de pessoas.
Mais importante, o Discord decidiu tornar o protocolo e suas bibliotecas de suporte open-source, permitindo o escrutínio por pesquisadores de segurança.
Um whitepaper com as informações técnicas completas também foi publicado, garantindo transparência para a comunidade.
DAVE utiliza a WebRTC encoded transform API, que permite que quadros de mídia (áudio e vídeo) sejam criptografados após serem codificados e antes de serem pacoteados para transmissão.
A ponta receptora descriptografa os quadros e depois os decodifica.
Apenas metadados especiais de codificação, como cabeçalhos e sequências reservadas, são deixados sem criptografia.
No que diz respeito à gestão de chaves, o protocolo Messaging Layer Security (MLS) é usado para trocas de chaves de grupo seguras e escaláveis, enquanto cada participante possui uma chave de criptografia de mídia simétrica por remetente.
O Elliptic Curve Digital Signature Algorithm (ECDSA) é usado para gerar pares de chaves de identidade.
Quando a composição de um grupo muda (um membro sai ou um novo membro se junta), começa uma nova 'época', e o estado de criptografia do grupo avança para essa nova época, gerando novas chaves.
Este processo deve ser completado sem interrupções notáveis para os participantes.
O Discord afirma que o MLS adiciona alguma latência às trocas de chaves, mas o DAVE é projetado para manter esse atraso abaixo de um limite de poucas centenas de milissegundos, mesmo em chamadas de grupo grandes.
Finalmente, no que diz respeito à verificação do usuário, existem métodos fora de banda, como uma comparação de códigos de verificação chamados 'códigos de privacidade de voz', derivados do estado da época MLS do grupo.
A resistência ao rastreamento persistente é alcançada através do uso de chaves de identidade efêmeras, já que os usuários recebem uma nova chave para cada chamada.
O Discord iniciou o processo de migração de todos os canais elegíveis para o DAVE, e os usuários poderão confirmar se suas chamadas são criptografadas de ponta-a-ponta verificando o indicador correspondente na interface.
Espera-se que leve algum tempo até que todos os usuários tenham acesso total ao novo sistema E2EE em todos os dispositivos e canais.
Os usuários não precisam fazer nada além de atualizar para a aplicação cliente mais recente, pois clientes desatualizados serão limitados à criptografia apenas de transporte.
A implantação inicial cobrirá os aplicativos de desktop e móveis do Discord, com clientes web sendo incluídos no futuro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...