Por que ninguém usa mensagens de e-mail criptografadas?
Com tanta preocupação com a vigilância do governo, a espionagem corporativa e o roubo cotidiano de identidade, pode parecer surpreendente que tão poucas pessoas usem mensagens de e-mail criptografadas. Tente usar e-mails criptografados e você achará difícil e complicado de usar.
E-mails criptografados são uma dor de cabeça para lidar. Você pode lidar com a complexidade, mas as pessoas com quem você quer se comunicar também precisam lidar com isso..
Criptografando seus próprios e-mails versus serviços de e-mail criptografados
Estamos fazendo uma distinção entre dois tipos de criptografia de e-mail aqui. Existem alguns serviços que afirmam oferecer fácil e-mail criptografado. Eles lidam com a criptografia para você, eliminando todo o aborrecimento de gerenciar as chaves de criptografia de suas mãos. Se você enviar e-mails criptografados entre duas contas usando o mesmo serviço, as mensagens de e-mail criptografadas permanecerão seguras no próprio serviço.
Isso parece tentador, mas está abrindo uma grande fraqueza. Você está confiando no serviço para lidar com sua criptografia e serviços como o Lavabit foram forçados pelos governos a permitir o acesso às mensagens de e-mail criptografadas de seus clientes. O governo dos EUA exigiu até mesmo chaves privadas da Lavabit, permitindo acesso a todos os e-mails criptografados de todos os clientes..
Se você realmente deseja se comunicar de maneira privada e segura, convém gerenciar a criptografia de e-mail por conta própria. Isso significa gerar suas próprias chaves de criptografia e salvaguardá-las, em vez de armazená-las com um serviço de e-mail criptografado.
Como funciona a criptografia de email
Geralmente, pensamos em criptografia PGP quando pensamos em email criptografado, mas existem outros padrões, como o recurso de criptografia S / MIME incorporado no Microsoft Outlook. Quando você usa o PGP, você tem uma chave pública e uma chave privada. Você dá a chave pública a pessoas que desejam enviar um e-mail para você. Eles usam a chave pública para criptografar seus e-mails e você pode apenas descriptografar seus e-mails com sua chave privada. Portanto, para usar o PGP, você precisará gerar um par de chaves pública / privada, manter sua chave privada segura e fornecer sua chave pública a qualquer pessoa que queira enviar um e-mail para você. A pessoa com a qual você está se comunicando também terá que entender como criptografar, enviar, receber e descriptografar mensagens de e-mail criptografadas e precisará de seu próprio par de chaves.
O conteúdo do email aparece como algo aleatório, assim como o conteúdo de um arquivo criptografado aparece como dados sem sentido e sem sentido até que o arquivo seja descriptografado.
Observe que muito de um email é inseguro, mesmo se você usar um email criptografado. Os campos Linha de assunto, Para e De geralmente são enviados sem criptografia, portanto, as agências de vigilância que monitoram o tráfego da Internet podem monitorar quem está se comunicando com quem e até mesmo ver o assunto de cada e-mail. A criptografia de e-mail é um patch em cima de um sistema não criptografado, criptografando apenas o corpo da mensagem.
Como você realmente usa o email criptografado
Não importa a teoria. Veja como você realmente iria usar o email criptografado.
A maioria das pessoas tende a usar serviços de e-mail baseados na web, como Gmail, Outlook.com e Yahoo! Enviar. Esses serviços não têm esse recurso integrado (embora haja rumores de que o Google esteja trabalhando na integração de criptografia PGP no Gmail). Você terá que usar uma extensão do navegador para fazer isso. O Mailvelope parece funcionar, oferecendo suporte ao PGP que funciona em sites de webmail como o Gmail. Você precisará instalá-lo no seu navegador para usar criptografia de e-mail.
Esse recurso também não está integrado aos aplicativos para dispositivos móveis associados. Claro, você pode acessar essa mensagem de e-mail criptografada no seu navegador com uma extensão, mas como você a lê no seu smartphone? Você precisará de um aplicativo dedicado para isso - não pode simplesmente usar o aplicativo do Gmail ou o aplicativo padrão do Mail incluído no seu telefone. O K-9 Mail oferece suporte a PGP no Android se você também tiver o APG instalado, por exemplo.
As coisas são complicadas mesmo quando se trata de clientes de e-mail de desktop que devem ser capazes de integrar isso melhor. Por exemplo, o Microsoft Outlook tem um recurso interno para assinar e criptografar digitalmente e-mails, mas usa S / MIME e não é compatível com PGP..
O utilitário mais popular para criptografar e-mails é a extensão Enigmail para o Mozilla Thunderbird. A Mozilla parou de desenvolver o Thunderbird e pode descontinuá-lo um dia, então essa não é uma solução ideal. A extensão Enigmail integra o OpenPGP ao cliente de e-mail de desktop Thunderbird, oferecendo as opções de geração, criptografia e descriptografia de chave de que você precisa. Você terá que instalar o software GNU Privacy Guard (GnuPG) separadamente.
Você só poderá usar e-mails criptografados em um cliente que ofereça suporte ao PGP. Mesmo quando estiver usando o Thunderbird, você precisará considerar o que fará se precisar acessar esses e-mails em um navegador da web, em seu smartphone, em seu tablet ou em qualquer sistema sem sua chave privada..
Os problemas com o email criptografado
Aqui está um breve resumo do que você experimentará ao usar o email criptografado:
- Você precisa entender como funciona a criptografia de chave pública-privada, gerar um par de chaves e fornecer sua chave pública à pessoa com a qual deseja se comunicar..
- Outras pessoas com quem você quer se comunicar também precisam entender e fazer todas essas coisas.
- Ambas as pessoas precisam manter suas chaves privadas seguras para que não fiquem comprometidas ou perdidas. Nesse caso, você perderá o acesso aos e-mails. Você também precisa manter seu certificado de revogação, pois ele pode invalidar sua chave pública se você perder sua chave privada.
- Suas chaves privadas devem ser criptografadas com uma senha segura que você precisa lembrar, que é separada da senha da sua conta de e-mail..
- Você precisa garantir que ambos usem o mesmo padrão de criptografia de e-mail, seja seu PGP ou S / MIME ou algum outro padrão.
- Você precisa usar uma solução de terceiros - uma extensão do navegador, um aplicativo para smartphone ou um plug-in do cliente de e-mail. Se você optar pela opção com melhor suporte, será necessário instalar um cliente de email, uma extensão e um pacote de software de criptografia separadamente.
- Você precisa de um mix de diferentes aplicativos de smartphone e soluções de desktop se quiser acessar seus e-mails em todos os seus dispositivos.
- Mesmo que você faça todas essas coisas, as pessoas ainda poderão ver com quem você está se comunicando e quais são os assuntos das suas mensagens..
Com toda essa complexidade - e tantas informações vazando mesmo se você usar o PGP corretamente - não é de admirar que o e-mail criptografado seja usado tão pouco. Também não é nenhuma surpresa que as pessoas optem por usar serviços como o Lavabit, que parecem ser uma forma conveniente de tornar a criptografia fácil de usar, mas na verdade são muito menos confiáveis do que criptografar seus próprios e-mails..