Discord implementa criptografia de ponta
19 de Setembro de 2024

O Discord introduziu o protocolo DAVE, um protocolo personalizado de criptografia de ponta-a-ponta (E2EE) desenvolvido para proteger chamadas de áudio e vídeo na plataforma contra interceptações não autorizadas.

DAVE foi criado com o auxílio de especialistas em cibersegurança da Trail of Bits, que também auditaram o código e a implementação do sistema E2EE.

O novo sistema abrangerá chamadas de áudio e vídeo entre dois usuários em canais privados, chamadas de áudio e vídeo em pequenos grupos de conversa, canais de voz baseados em servidores usados para conversas em grupo maiores e streaming em tempo real.

"Hoje, começaremos a migrar voz e vídeo em DMs, DMs em grupo, canais de voz e transmissões ao vivo para usar E2EE", lê-se no anúncio do Discord.

Você poderá confirmar quando as chamadas forem criptografadas de ponta-a-ponta e realizar a verificação de outros membros nessas chamadas.

Originalmente construído para que gamers se comunicassem durante o jogo, o Discord cresceu e se tornou uma das plataformas de comunicação mais populares do mundo, atendendo a grupos com interesses comuns, criadores, empresas e diversas comunidades.

A introdução do DAVE é um movimento significativo para melhorar a segurança dos dados e a privacidade na plataforma, que é usada por mais de 200 milhões de pessoas.

Mais importante, o Discord decidiu tornar o protocolo e suas bibliotecas de suporte open-source, permitindo o escrutínio por pesquisadores de segurança.

Um whitepaper com as informações técnicas completas também foi publicado, garantindo transparência para a comunidade.

DAVE utiliza a WebRTC encoded transform API, que permite que quadros de mídia (áudio e vídeo) sejam criptografados após serem codificados e antes de serem pacoteados para transmissão.

A ponta receptora descriptografa os quadros e depois os decodifica.

Apenas metadados especiais de codificação, como cabeçalhos e sequências reservadas, são deixados sem criptografia.

No que diz respeito à gestão de chaves, o protocolo Messaging Layer Security (MLS) é usado para trocas de chaves de grupo seguras e escaláveis, enquanto cada participante possui uma chave de criptografia de mídia simétrica por remetente.

O Elliptic Curve Digital Signature Algorithm (ECDSA) é usado para gerar pares de chaves de identidade.

Quando a composição de um grupo muda (um membro sai ou um novo membro se junta), começa uma nova 'época', e o estado de criptografia do grupo avança para essa nova época, gerando novas chaves.

Este processo deve ser completado sem interrupções notáveis para os participantes.

O Discord afirma que o MLS adiciona alguma latência às trocas de chaves, mas o DAVE é projetado para manter esse atraso abaixo de um limite de poucas centenas de milissegundos, mesmo em chamadas de grupo grandes.

Finalmente, no que diz respeito à verificação do usuário, existem métodos fora de banda, como uma comparação de códigos de verificação chamados 'códigos de privacidade de voz', derivados do estado da época MLS do grupo.

A resistência ao rastreamento persistente é alcançada através do uso de chaves de identidade efêmeras, já que os usuários recebem uma nova chave para cada chamada.

O Discord iniciou o processo de migração de todos os canais elegíveis para o DAVE, e os usuários poderão confirmar se suas chamadas são criptografadas de ponta-a-ponta verificando o indicador correspondente na interface.

Espera-se que leve algum tempo até que todos os usuários tenham acesso total ao novo sistema E2EE em todos os dispositivos e canais.

Os usuários não precisam fazer nada além de atualizar para a aplicação cliente mais recente, pois clientes desatualizados serão limitados à criptografia apenas de transporte.

A implantação inicial cobrirá os aplicativos de desktop e móveis do Discord, com clientes web sendo incluídos no futuro.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...