A criptografia de ponta a ponta do Google não é o que parece

Chamá-lo de FUD pode ser um pouco forte, mas certamente há muita confusão sobre a extensão do Google Chrome anunciada em 3 de junho de 2014, chamada de ponta a ponta. Quando lançada, a extensão permitirá a criptografia de ponta a ponta das mensagens de email. Parece bastante simples, certo? Mas é aí que a confusão começa, porque a maioria das pessoas teve a impressão de que as mensagens do Gmail já estavam criptografadas. E eles são. Bem, tipo isso …

O Gmail já não está criptografado?

A maneira mais simples de explicar a criptografia atual do Gmail é pensar na mensagem de email que sai do computador do remetente para o destinatário do email. Durante o trânsito, as mensagens digitais são criptografadas por meio do Transport Layer Security (TLS), um protocolo que fornece segurança entre os aplicativos cliente / servidor que se comunicam pela Internet.

O equívoco entra em jogo quando a mensagem está parada no remetente, nos servidores intermediários ou no destinatário. Nesses pontos, a mensagem não é criptografada. Outra hora em que a mensagem não é criptografada é se o programa de email do destinatário não aceitar mensagens HTTPS (usando TLS). É por isso que os especialistas dizem que a criptografia atual do Gmail não é "de ponta a ponta".

O Google rastreia o número de mensagens enviadas do Gmail que são criptografadas durante o transporte e o número de mensagens recebidas pelos usuários do Gmail que também são criptografadas em trânsito. Como mostra o relatório abaixo, até 50% das mensagens do Gmail não são criptografadas.

Criptografia de ponta a ponta não é nova

Curiosamente, existem verdadeiros aplicativos de criptografia de email de ponta a ponta, mas eles não são de forma alguma populares. Dois exemplos são PGP e GnuPG. O PGP é especialmente interessante porque seu criador, Phil Zimmermann, teve sérios problemas com o governo dos EUA quando criou o PGP. O motivo? O PGP foi muito eficaz.

A questão é: se é possível criptografar e-mails de ponta a ponta, por que as pessoas não estão usando? A resposta: quando a conveniência e a segurança se chocam, a conveniência geralmente vence. E atualmente, a criptografia de e-mail é complicada de configurar e difícil de usar. Além disso, até recentemente, as pessoas não estavam preocupadas em criptografar seus emails. (Saiba mais sobre privacidade e segurança em O que você deve saber sobre sua privacidade online.)

Outra complicação da criptografia de email de ponta a ponta é que ambas as partes precisam de um software de criptografia compatível. Se os programas não forem compatíveis, a mensagem de email não será descriptografada. Portanto, em vez de arriscar não ter um email lido, a maioria dos remetentes não se preocupa com a criptografia.

O que é o Google de ponta a ponta?

Os desenvolvedores do Google estão cientes dos problemas acima e criaram um processo de criptografia fácil de usar, "uma extensão do Chrome que ajuda a criptografar, descriptografar, assinar digital e verificar as mensagens assinadas no navegador usando o OpenPGP". Isso colocaria a nova versão do Google de criptografia de email na categoria "ponta a ponta".

A extensão de criptografia do Google imediatamente ganhou interesse da comunidade de privacidade. Se de ponta a ponta fizer o que o Google diz, a extensão impedirá que o Google verifique o corpo da mensagem, algo que o Google faz agora e considere um fluxo de receita. Em um post de 11 de junho, Jim Ivers, estrategista-chefe de segurança da Covata, oferece e explica.

"Presumo que o Google esteja disposto a negociar o que eles perderiam em dados criptografados para reter clientes no ecossistema do Google, parecendo estar preocupado com a privacidade de seus e-mails", escreve Ivers.

O que o Google End-to-End não é

Os especialistas em criptografia já estão chutando os pneus da extensão e vários problemas em potencial surgiram. Por ser uma extensão do Chrome, o processo de criptografia exigirá que o remetente e o destinatário usem os navegadores da Web Chrome. Na última vez que verifiquei, o Chrome estava sendo usado por menos de 50% dos que estavam na Internet.

Outros problemas são que o Google ponto a ponto não é suportado em dispositivos móveis; parece que os anexos também permanecerão criptografados por enquanto. Em suma, existem pontos negativos suficientes para dar aos especialistas motivos para duvidar de uma adoção em larga escala.

Algumas dicas úteis sobre criptografia

A idéia por trás da criptografia é manter a privacidade entre o remetente e o destinatário. Uma coisa que o remetente deve levar em consideração é: e se a pessoa que receber o email criptografado o encaminhar sem criptografia? Se a mensagem for importante o suficiente, o remetente pode querer instigar certos controles que permitem apenas ao destinatário exibir, mas não imprimir, copiar ou salvar a mensagem.

"As lições são claras: cuidado com os grandes fornecedores de ecossistemas que oferecem presentes, leia os detalhes com atenção para as inúmeras advertências e exceções e tenha uma visão holística da criptografia", escreve Ivers. É um bom conselho, especialmente quando você considera o quanto está faltando na nova extensão de criptografia do Google. Obviamente, a maior coisa que falta quando se trata de adotar qualquer tipo de criptografia de ponta a ponta é a conveniência.

Conveniência é a chave

O Google espera que seu novo serviço Chrome torne a criptografia de ponta a ponta uma opção fácil para seus usuários. Mesmo assim, o Google é realista. Stephan Somogyi, gerente de produto, segurança e privacidade, disse: "Reconhecemos que esse tipo de criptografia provavelmente será usado apenas para mensagens muito sensíveis ou por quem precisa de proteção adicional".

O Google diz que o End-to-End ainda era uma versão alfa e estava disponível apenas para a comunidade de desenvolvedores. A empresa disse que, quando sentirem que a extensão está pronta e sem erros, eles a disponibilizarão na Chrome Web Store. É uma solução imperfeita à segurança, mas ainda mais segura. A questão é: alguém se incomodará em instalá-lo?