No que se trata de tecnologia, nosso governo não vem respondendo da melhor forma ao escândalo de espionagem dos EUA. Primeiro, para evitar que eles monitorem nossos dados pessoais, o governo quer obrigar empresas estrangeiras a manter data centers no Brasil – algo custoso e que pode não resolver o problema.
E este mês, surgiu uma proposta bizarra: os Correios vão criar um serviço gratuito de e-mail criptografado, e ele já tem até nome. De acordo com a Época Negócios, o Mensageria Digital deve estrear em meados de 2014. Mais uma vez, isso não é a solução.
É importante notar que a ideia do projeto surgiu antes de o Brasil descobrir que era alvo prioritário da espionagem americana. Mas Genildo Lins, secretário executivo do Ministério das Comunicações, diz à Agência Brasil que as denúncias recentes “podem acelerar o projeto”. E segundo a Época Negócios, o próprio ministro das Comunicações, Paulo Bernardo, pediu aos Correios que criassem um serviço de e-mail nacional.
Inicialmente, os Correios pretendiam oferecem e-mail seguro apenas para clientes corporativos. Será um serviço pago, que exige certificação digital. No entanto, para o público em geral, o serviço deve ser gratuito com propagandas – na mesma veia do Gmail e Outlook.com – ou ser mantido através de parcerias com outras empresas. (A certificação também pode não ser obrigatória.)
Os detalhes ainda são escassos, e o serviço deve estrear só daqui a um ano: “a previsão é disponibilizar até o final do primeiro semestre de 2014”, dizem os Correios.
Os problemas
Mas as críticas ao projeto já estão aqui. Aleksandar Mandić, pioneiro dos serviços de e-mail no Brasil, diz à Época Negócios que o Mensageria Digital tem um problema: por depender de uma certificação digital, ele não pode trocar mensagens protegidas com outros provedores de e-mail.
Para isto funcionar, você vai ter que trocar e-mail só dentro deste provedor. Todo mundo vai ter que assinar este provedor, seja você americano, francês ou argentino. Não é bem assim.
Pedro Rezende, especialista em computação, reforça o ponto na Folha: se o destinatário não usar o e-mail dos Correios, a criptografia não funcionará. Você está disposto a mandar e-mails só a endereços @mensageriadigital.com.br para evitar a espionagem dos gringos?
Mas talvez isso não seja necessário. Os Correios explicam que a certificação digital – que garante a segurança do e-mail – pode não ser obrigatória. Ué, então o que evitará a espionagem? O fato de os dados serem armazenados no Brasil; afinal, este é um “sistema nacional de e-mail”.
Mas essa expectativa é ingênua: Altieres Rohr, especialista em segurança digital, lembra que um serviço de e-mail “deixa de ser nacional assim que abandonar as fronteiras do país”. Sua mensagem pode ir para outro país e ser bisbilhotada, mesmo que você use o Mensageria Digital – isso depende do destinatário.
Ele também desconfia da capacidade dos Correios em criar um serviço de e-mail:
A escolha dos Correios também é duvidosa. O foco dos Correios está no desenvolvimento de processos de logística para realização de entregas, não no desenvolvimento de fórmulas matemáticas complexas e de programação segura.
Ele lembra que a Abin (Agência Brasileira de Inteligência) tem um centro de pesquisas que poderia criar um serviço seguro, ou desenvolver uma camada de segurança para o e-mail.
E-mail nunca é 100% seguro
Então chegamos ao ponto crucial do problema: o e-mail nunca pode ser totalmente seguro, devido à forma como ele funciona – ele é um sistema assíncrono.
Isto significa que sua mensagem precisa atravessar redes diferentes, e ser armazenada em servidores diferentes. Por isso, interceptá-la não seria terrivelmente difícil.
Mas ei, existem serviços de criptografia para seu e-mail, e eles são gratuitos. O PGP (Pretty Good Privacy), por exemplo, transforma suas mensagens em um conjunto incompreensível de caracteres. Isto é enviado ao destinatário, e só ele pode decifrar o código. Para usar o PGP, é preciso gerar uma chave pública – uma sequência de letras e números – que seu destinatário precisará usar, além de uma chave privada. O serviço é seguro, mas envolve muitos passos que um usuário casual de e-mail talvez não queira seguir.
Outros serviços – geralmente pagos – oferecem um procedimento mais simples, porém colocando diversas camadas de segurança no e-mail. O Extremetech reuniu dois deles: o Countermail tem segurança reforçada no login, criptogafa sua mensagem e a envia usando SSL até seu destino, onde ela é descriptografada. O Neomailbox, por sua vez, também envia e-mails via SSL e oferece formas de se comunicar anonimamente, removendo informações do seu IP e oferecendo endereços temporários de e-mail.
No entanto, isso ainda não é o bastante. Tome o Lavabit, por exemplo: este serviço de e-mail seguro era usado por Edward Snowden, mas resolveu fechar as portas por estar preocupado com pressões externas. Se ele é tão seguro, por que temer as autoridades? O Silent Circle, que oferecia segurança ponta-a-ponta no e-mail, também decidiu interromper o serviço, e confessa:
O e-mail que usa protocolos padrões de internet não pode ter as mesmas garantias de segurança que as comunicações em tempo real. Há, intrinsecamente, muitas fugas de informação e metadados nos próprios protocolos de e-mail. Enviar e-mail como o conhecemos, com SMTP, POP3 e IMAP não pode ser seguro.
Qual a solução?
Se tornar o e-mail mais seguro não adianta, o que fazer? Usar uma forma síncrona de comunicação. Ou seja, um serviço no qual suas mensagens não ficam guardadas em um servidor: elas vão direto para o destinatário. E como isso requer o uso de um protocolo específico, ele pode ser realmente criptografado ponta a ponta.
Ou seja, em vez de e-mail, use chat. Altieres Rohr aponta para o SILC (Secure Internet Live Conferencing), protocolo de chat cujo objetivo é garantir a privacidade nas conversas – e ele tem software de código aberto.
Se o Mensageria Digital quer oferecer comunicação segura, talvez seja hora de abandonar os planos de oferecer e-mail: no mínimo, transformem o serviço em um chat criptografado. E, idealmente, deixem que entidades mais competentes – como empresas ou órgãos de segurança – criem o serviço. Que o foco dos Correios esteja em cuidar melhor das minhas encomendas. [Tecneira, Folha, ExtremeTech]
Atualizado em 12/09 para corrigir informações sobre PGP; valeu, Leonardo!
Foto por JCMello/Flickr