Os problemas do Mensageria Digital, serviço de e-mail dos Correios para evitar espionagem

No que se trata de tecnologia, nosso governo não vem respondendo da melhor forma ao escândalo de espionagem dos EUA. Primeiro, para evitar que eles monitorem nossos dados pessoais, o governo quer obrigar empresas estrangeiras a manter data centers no Brasil – algo custoso e que pode não resolver o problema. E este mês, surgiu […]

No que se trata de tecnologia, nosso governo não vem respondendo da melhor forma ao escândalo de espionagem dos EUA. Primeiro, para evitar que eles monitorem nossos dados pessoais, o governo quer obrigar empresas estrangeiras a manter data centers no Brasil – algo custoso e que pode não resolver o problema.

whatsapp invite banner

E este mês, surgiu uma proposta bizarra: os Correios vão criar um serviço gratuito de e-mail criptografado, e ele já tem até nome. De acordo com a Época Negócios, o Mensageria Digital deve estrear em meados de 2014. Mais uma vez, isso não é a solução.

É importante notar que a ideia do projeto surgiu antes de o Brasil descobrir que era alvo prioritário da espionagem americana. Mas Genildo Lins, secretário executivo do Ministério das Comunicações, diz à Agência Brasil que as denúncias recentes “podem acelerar o projeto”. E segundo a Época Negócios, o próprio ministro das Comunicações, Paulo Bernardo, pediu aos Correios que criassem um serviço de e-mail nacional.

Inicialmente, os Correios pretendiam oferecem e-mail seguro apenas para clientes corporativos. Será um serviço pago, que exige certificação digital. No entanto, para o público em geral, o serviço deve ser gratuito com propagandas – na mesma veia do Gmail e Outlook.com – ou ser mantido através de parcerias com outras empresas. (A certificação também pode não ser obrigatória.)

Os detalhes ainda são escassos, e o serviço deve estrear só daqui a um ano: “a previsão é disponibilizar até o final do primeiro semestre de 2014”, dizem os Correios.

Os problemas

senhazfortez

Mas as críticas ao projeto já estão aqui. Aleksandar Mandić, pioneiro dos serviços de e-mail no Brasil, diz à Época Negócios que o Mensageria Digital tem um problema: por depender de uma certificação digital, ele não pode trocar mensagens protegidas com outros provedores de e-mail.

Para isto funcionar, você vai ter que trocar e-mail só dentro deste provedor. Todo mundo vai ter que assinar este provedor, seja você americano, francês ou argentino. Não é bem assim.

Pedro Rezende, especialista em computação, reforça o ponto na Folha: se o destinatário não usar o e-mail dos Correios, a criptografia não funcionará. Você está disposto a mandar e-mails só a endereços @mensageriadigital.com.br para evitar a espionagem dos gringos?

Mas talvez isso não seja necessário. Os Correios explicam que a certificação digital – que garante a segurança do e-mail – pode não ser obrigatória. Ué, então o que evitará a espionagem? O fato de os dados serem armazenados no Brasil; afinal, este é um “sistema nacional de e-mail”.

Mas essa expectativa é ingênua: Altieres Rohr, especialista em segurança digital, lembra que um serviço de e-mail “deixa de ser nacional assim que abandonar as fronteiras do país”. Sua mensagem pode ir para outro país e ser bisbilhotada, mesmo que você use o Mensageria Digital – isso depende do destinatário.

Ele também desconfia da capacidade dos Correios em criar um serviço de e-mail:

A escolha dos Correios também é duvidosa. O foco dos Correios está no desenvolvimento de processos de logística para realização de entregas, não no desenvolvimento de fórmulas matemáticas complexas e de programação segura.

Ele lembra que a Abin (Agência Brasileira de Inteligência) tem um centro de pesquisas que poderia criar um serviço seguro, ou desenvolver uma camada de segurança para o e-mail.

E-mail nunca é 100% seguro

Então chegamos ao ponto crucial do problema: o e-mail nunca pode ser totalmente seguro, devido à forma como ele funciona – ele é um sistema assíncrono.

Isto significa que sua mensagem precisa atravessar redes diferentes, e ser armazenada em servidores diferentes. Por isso, interceptá-la não seria terrivelmente difícil.

encrypt_message_external

Mas ei, existem serviços de criptografia para seu e-mail, e eles são gratuitos. O PGP (Pretty Good Privacy), por exemplo, transforma suas mensagens em um conjunto incompreensível de caracteres. Isto é enviado ao destinatário, e só ele pode decifrar o código. Para usar o PGP, é preciso gerar uma chave pública – uma sequência de letras e números – que seu destinatário precisará usar, além de uma chave privada. O serviço é seguro, mas envolve muitos passos que um usuário casual de e-mail talvez não queira seguir.

Outros serviços – geralmente pagos – oferecem um procedimento mais simples, porém colocando diversas camadas de segurança no e-mail. O Extremetech reuniu dois deles: o Countermail tem segurança reforçada no login, criptogafa sua mensagem e a envia usando SSL até seu destino, onde ela é descriptografada. O Neomailbox, por sua vez, também envia e-mails via SSL e oferece formas de se comunicar anonimamente, removendo informações do seu IP e oferecendo endereços temporários de e-mail.

No entanto, isso ainda não é o bastante. Tome o Lavabit, por exemplo: este serviço de e-mail seguro era usado por Edward Snowden, mas resolveu fechar as portas por estar preocupado com pressões externas. Se ele é tão seguro, por que temer as autoridades? O Silent Circle, que oferecia segurança ponta-a-ponta no e-mail, também decidiu interromper o serviço, e confessa:

O e-mail que usa protocolos padrões de internet não pode ter as mesmas garantias de segurança que as comunicações em tempo real. Há, intrinsecamente, muitas fugas de informação e metadados nos próprios protocolos de e-mail. Enviar e-mail como o conhecemos, com SMTP, POP3 e IMAP não pode ser seguro.

Qual a solução?

limpeza computador (1)

Se tornar o e-mail mais seguro não adianta, o que fazer? Usar uma forma síncrona de comunicação. Ou seja, um serviço no qual suas mensagens não ficam guardadas em um servidor: elas vão direto para o destinatário. E como isso requer o uso de um protocolo específico, ele pode ser realmente criptografado ponta a ponta.

Ou seja, em vez de e-mail, use chat. Altieres Rohr aponta para o SILC (Secure Internet Live Conferencing), protocolo de chat cujo objetivo é garantir a privacidade nas conversas – e ele tem software de código aberto.

Se o Mensageria Digital quer oferecer comunicação segura, talvez seja hora de abandonar os planos de oferecer e-mail: no mínimo, transformem o serviço em um chat criptografado. E, idealmente, deixem que entidades mais competentes – como empresas ou órgãos de segurança – criem o serviço. Que o foco dos Correios esteja em cuidar melhor das minhas encomendas. [Tecneira, Folha, ExtremeTech]

Atualizado em 12/09 para corrigir informações sobre PGP; valeu, Leonardo!

Foto por JCMello/Flickr

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas