Imagem: O GPG é um cadeado para o seu email

Cresce novamente a preocupação com a privacidade dos emails diante da prática da Google de inserir propagandas personalizadas pelo conteúdo das mensagens que trocamos pelo Gmail.

Mas emails são privados?

A resposta curta é: Não.

As mensagens de email não trafegam criptografadas então podem ser vistas pelo menos:

  • Por seu provedor de email (Gmail, Yahoo, do seu hospedeiro, hotmail etc.) e não há como garantir que cada um deles não faça algum uso das informações que estão com eles. Falo disso daqui a pouco
  • Por quem tiver conhecimento e oportunidade para rastrear seu email no caminho entre o seu provedor e o provedor de destino (também já falo nisso)
  • Pelo provedor de email do destinatário, claro.
  • Por pessoas que acessem o seu computador ou do destinatário.

Poucas pessoas realmente sabem que os emails são tão vulneráveis e acabam por compará-los a cartas que trafegam fechadas o que não chega a ser uma criptografia, mas é bem mais seguro que o email.

Seguindo essa comparação é como se trocássemos cartas sem envelopes então não teria como saber se o carteiro, pessoas nos correios, o carregador que joga os sacos de cartas nos aviões, o porteiro do seu prédio ou sua mãe leram ou não suas cartas. É pior ainda pois cartas teriam que ser lidas uma a uma para achar a sua e um email pode ser pesquisado pelas palavras chave.

As únicas coisas que protegem a privacidade dos seus emails portanto são:

  • Violar email é crime, então quem viola não conta que violou.
  • Sua esposa, pai, filho, amigo não tem acesso aos pontos da Internet onde poderiam “rastrear” seus emails (ou não sabem que podem fazer isso).

Acrescentando em 23/04/2016: Proton Mail

O Proton Mail é um sistema de email desenvolvido por cientistas sediados na Suíça com o objetivo de garantir a máxima privacidade possível, mas é necessário que remetente e destinatários usem contas @protonmail,com, claro.

Os emails trocados entre usuários do sistema, além de criptografados, podem ter um limite de vida, ou seja, são apagados depois de um tempo determinado pelo remetente.

É possível enviar mensagens criptografadas para quem não tem um email no Proton Mail. Nesse caso o destinatário recebe um link para ver a mensagem na web através de uma conexão segura.

Ainda assim o grau de segurança do serviço não é maior do que o de apps seguros para celular pois é mais comum computadores estarem contaminados com programas espiões do que celulares.

A hora é agora

Acredite em mim, você quer se preparar agora para proteger seus emails.

A questão não é ter paranóia com segurança, mas se um dia você precisar dela o ideal é que já tenha preparado tudo.

Porquê? Bem, vou explicar melhor mais para baixo, mas a resposta rápida é que a proteção de emails usa duas chaves e uma delas deve estar com seus contatos ou disponível em algum lugar seguro para que eles possam usá-la.

Então como protejo a privacidade do meu email?

Você precisa criptografar seu email. Não tem outro jeito.

Voxxe pd 7az3r 1550 ixcreveindo im codigux mixturandu 1337 cum miguxês.

Mas não é um método realmente seguro e, na boa, a maioria dos seus destinatários não vai entender nada ou achará que você enlouqueceu 😉

Felizmente há muito tempo existe um sistema de criptografia muito seguro e hoje ele é facílimo de configurar e usar.

Ele se chama PGP e tem um filho chamado GPG (de GnuPG) que é o que vou ensinar a usar (explicações chatas no final… ou não, acho que nem precisa).

Existem vários caminhos para configurar sua segurança GPG. Decidi explicar três por serem os mais simples.

Gmail com GPG no Chrome

Essa solução tem um problema: se você não confia na Google e não quer que ela tenha qualquer chance de ver seus emails ela não lhe serve pois os rascunhos das mensagens são salvos nos servidores do Gmail antes de serem criptografados.

A vantagem dela é que é, de longe, a mais simples de configurar, então se você não entrou na onda “Google é do mal” (não que ela seja do bem, mas a minha opinião é que estão exagerando) e não é sua concorrente essa solução deve servir.

Basta achar a extensão MyMail-Crypt na loja do Chrome e instalar.

Tem um vídeo que explica como instalar e usar, mas os passos são simplesmente:

  1. No menu do seu Chrome vá em Tools/Extensions e depois clique em “Options” da extensão.
  2. Abre a home de configuração da extensão e, acima do enorme título “mymail-crypt for gmail” tem um menu: “Home – Options – My keys – Friend’s keys – Options”
  3. A primeira coisa a fazer é gerar sua chave de criptografia clicando em “My keys”
  4. Clique no enorme “Generate a new key” que aparece azul.
    1. Coloque seu nome, email (tem que ser o email que onde vc quer receber mensagens criptografadas), digite uma senha e clique em “Submit”
  5. Na mesma tela, acima de “Insert private key” (azul e grande tb) vai aparecer sua chave privada. Ela é secreta e só você deve ter acesso a ela. Clique em “Show key” para copiá-la e colar em um arquivo txt puro (tipo notepad do Windows ou Editor do Mac). Guarde bem esse arquivo.
  6. Clique em “Friend’s keys” no menu “Home – Options – My Keys …”
    1. Só terá sua chave pública. Clique em “Show Key” para poder copiar para enviar aos seus amigos. Pode ser como um arquivo chave_publica_meunome.asc anexado a uma mensagem. Mais para baixo falarei sobre como compartilhar chaves.
    2. Peça aos amigos para mandarem suas chaves públicas então vc poderá clicar em “Insert Public Key” nessa mesma página e poderá enviar mensagens criptografadas para os amigos.
  7. Acabou. Ao enviar um email você verá na parte de baixo dele um campo para você colocar a senha ao lado de três botões: Encypt & Sign, Encrypt, Sign. Basta digitar a senha, clicar o botão desejado, ver a mensagem ser assinada e/ou criptografada e clicar em enviar normalmente.

O vídeo do desenvolvedor

Criando sua criptografia no Android

Essa solução também é muito simples.

Primeiro instale o APG em seu dispositivo Android.

Instale o programa de email K-9 que trabalha muito com com o APG.

Talvez você precise de um gerenciador de arquivos como o Astro para copiar sua chave secreta e chaves públicas para um backup.

Vamos aos passos:

  1. Abra o APG e clique nos … em pé que abrem o menu com as opções “Manage Public Keys”, “Manage Secret Keys”, “Add Gmail account” (não vamos usar essa) e outras.
  2. Clique em “Manage Secret Keys” e depois de novo no menu de … em pé.
  3. Clique em “create key”
    1. Clique no botão “Set Pass Phrase” e digite a senha duas vezes e clique em Ok.
    2. Clique no + verde ao lado de “User IDs”
      1. Digite seu nome
      2. Digite seu endereço de email que vai enviar e receber mensagens criptografadas e assinadas
      3. Coloque um comentário. Usei “Apg”, mas pode ser “Trabalho”, “Pessoal” etc. caso vc queira ter várias chaves de criptograria diferentes.
    3. Clique no + verde ao lado de Keys e mude o valor para 2048 
      1. Importante! Clique em “Usage” que aparecerá logo que vc der Ok na opção acima e marque “Sign and Encrypt”
      2. Clique em Save e… Sua chave secreta e sua chave pública já estão criadas
      3. Você estará vendo a lista de chaves secretas que você tem. Aproveite que está aí e clique de novo nos … em pé e em “Export Keys”.
    4. Volte para a home do Apg clicando no botão voltar. Vc verá os botões “Encrypt file”, “Decrypt File”, “Encrypt Message” e “Decrypt Message”.
    5. Clique nos … em pé para abrir o menu e depois em “Manage Public Keys”
    6. Aparecerá uma lista de chaves públicas (deve ter só a sua agora)
    7. Clique de novo nos tais … em pé e em export keys (vc tem que mandar esse arquivo para seus amigos)

Com isso criamos suas chaves de criptografia e guardamos para enviar aos amigos.

Vamos configurar o K-9 para você poder enviar e receber emails criptografados e/ou assiandos. É bem mais simples!!! 😉

  1. Abra o K-9
  2. Não lembro se, na primeira vez que é aberto já pede para adicionar uma conta de email. Se não pedir clique nos … em pé e em “Add account”.
  3. Se você usa Gmail basta colocar seu email @gmail.com e sua senha e clicar em “Next” seguindo os passos.
  4. Uma das opções apresentadas em “General Settings” durante a configuração da sua primeira conta será “OpenPGP” provider. Ajuste para APG. Essa opção fica abaixo de “Outgoing Server” e “Quote Prefix”.
  5. Pronto! Ao enviar emails com o K-9 você poderá assiná-los e/ou criptografá-los. Se vc receber uma mensagem assinada por um amigo que te enviou a chave pública dele o K-9 dirá que a mensagem está assinada e não foi adulterada.

Ufa! Tá dando trabalho explicar a mesma coisa três vezes!! Vamos ao desktop!

Criando suas chaves PGP/GnuPG no desktop/notebook

Essa com certeza é a solução mais completa que lhe permitirá, atestar a validade das chaves, enviá-las para um provedor de chaves PGP etc.

Você precisará de (isso tá parecendo receita de comida)

Infelizmente não pude testar em Windows, mas os passos devem ser semelhantes e sei que é possível adicionar suporte a OpenPGP/GPG ao Outlook por exemplo.

Seu primeiro passo será instalar o GPG Tools ou o GPG para Windows.

As interfaces são bem intuitivas e tudo que você precisa fazer é criar uma chave secreta e automaticamente será criada uma chave pública que você deve exportar para enviar aos seus amigos que quiserem criptografar mensagens para você.

Ao criar sua chave secreta você deve informar seu email que será usado para enviar e receber mensagens assinadas e/ou criptografadas. Com essas ferramentas você poderá adicionar mais endereços de email à sua chave ou, se preferir, criar uma chave para cada email o que eu não recomendo. Em geral criamos uma chave para cada uso, por exemplo, pessoal, profissional ou planos de dominação global. EU criei apenas uma.

O Mail do OSX reconhecerá automaticamente a presença do GPG no sistema e o Thunderbird com o plugin Enigmail também.

Você só terá que enviar sua chave pública (nuca a privada, essa vc guarda bem guardada onde só você pode chegar) para seus amigos e, se eles configurarem as coisas por lá também, poderão ter certeza que as mensagens que você enviar vieram mesmo de você (graças à assinatura) ou enviar mensagens criptografadas.

Como funciona o GPG?

Vou simplificar bastante por dois motivos: tô cansado de escrever (hehehe) e complicar não vai te ajudar.

A criptografia PGP/OpenPGP/GPG (vou explicar isso mais abaixo) usa dois arquivos que são chaves de criptograria.

A chave secreta é somente sua e contém as instruções para decriptografar o que você recebe criptografado. Uma pessoa que roube a sua chave secreta ainda tem que roubar sua senha, mas você se surpreenderia como é fácil descobrir sua senha… Pergunte ao um mentalista como o Leonardo Martins

A chave pública contém apenas instruções necessárias para criptografar mensagens para você e  para verificar sua assinatura.

Os preciosistas da segurança entregam a chave pública aos contatos em mãos para evitar o risco da chave ser trocada no caminho, mas para a maioria de nós esse é um cuidado desnecessário.

Há também servidores de chaves PGP que podem armazenar tanto chaves privadas quanto públicas e é praxe deixar as públicas neles, tanto que as ferramentas para desktop já tem a função tanto de envio das chaves quando de pesquisa.

As ferrramentas GPG para desktop também permitem que a gente ateste a validade de uma chave pública clicando nela com o botão direito e depois em “Assinar chave” que nos perguntará se temos mesmo certeza que aquela chave é genuína.

Quem pode invadir seu email?

Lá no começo eu disse que provedores de email e “lugares” por onde seu email passa podem fuxicar suas mensagens como se fossem cartas sem envelope.

Bem, vamos falar de cada um deles.

Provedores de email

Esses são meio óbvios, não é?

Quando enviamos um email ele fica em nosso provedor de email que pode ser um Gmail ou Yahoo da vida ou o servidor de email do nosso hospedeiro ou provedor de acesso a Internet.

Os provedores de email dos nossos destinatários também ficam com nossas mensagens guardadas lá no mínimo enquanto ele não as recebe.

Todos garantem que não invadem nada, afinal é crime invadir a correspondência dos outros, mas o que nos garante isso? Eles podem ter sistemas internos de segurança para impedir que um funcionário de mal humor (ou subornado por um cônjuge rico e ciumento) vasculhe as mensagens da gente, mas é difícil garantir que todos eles tenham esse cuidado e que não haja falhas.

No entanto há um vazamento muito maior de privacidade…

Emails caminham abertos por “nós” da Internet

Isso é algo que muita gente não sabe: quando você envia algo pela Internet esse algo não vai do seu computador direto para o computador de destino. O conteúdo vai ricocheteando por vários grandes servidores como Cisco, AT&T, Sprint, Tata, L3, Vivo, NET e outros.

Lembre-se que a Internet foi criada para continuar funcionando em uma guerra nuclear então tudo que enviamos a ela é dividido em vários pacotes e enviado por vários caminhos diferentes para, no caso de algum caminho falhar, o conteúdo ainda chegar do outro lado.

Sendo assim qualquer um com más intenções que tenha acesso a computadores em qualquer um desses grande servidores poderá fazer um programa do tipo “se endereço = roney@gmail.com então copie” e eu jamais saberei que ele fez isso.

Aliás tive pelo menos um amigo cracker que confessou que fez isso com os emails da namorada utilizando um acesso que tinha a um computador numa Universidade… Lá se vão quase 20 anos.

Vamos ao último ponto que é somente uma curiosidade.

O que o GPG não protege?

Sempre poderão saber quem está falando com quem pois todo email tem um tipo de cabeçalho que tem o email do remetente, o email do destinatário e até algumas informações que podem ser usadas para descobrir onde o remetente estava fisicamente.

Você deve se preocupar com isso se trocar mensagens com mafiosos ou terroristas, bem, na verdade, se você vai falar com esse tipo de gente jamais o faça por email, né?

No entanto contatos honestos também podem ter que se preocupar com isso como, por exemplo, duas grandes empresas combinando uma fusão. Basta que descubram que seus presidentes estão trocando emails (e o assunto também segue aberto) para desconfiar do que está prestes a acontecer.

Como ter segurança total?

(veja o item sobre o Proton Mail mais acima)

Bem… Total, assim TOOOOTALLLL não tem né? Podem colocar câmeras escondidas atrás de você filmando seu monitor por exemplo 🙂

Por outro lado conforme a Internet se mostra cada vez mais importante como forma de resistência a exageros de governos que deviam ser democráticos ou até ditaduras surgem soluções de comunicação cada vez mais seguras como o Diáspora que é uma rede social como o FB, mas que é mantida pela comunidade global ou até por você em seu próprio provedor ou então o Hemlis que é um aplicativo de chat que está sendo desenvolvido para garantir a privacidade das conversas.

Claro que há soluções corporativas de segurança usando VPN (redes virtuais privadas) hospedadas no próprio servidor em domínios registrados anonimamente e coisas mais obscuras como a tal dark web que citei em outro artigo.

Por que tem PGP, GPG, OpenPGP?

Explicação de quem está escrevendo faz umas duas horas 😉

PGP é o sistema de criptografia original, os outros, ou seja GnuPG (que é o mesmo que GPG) e OpenPGP são versões de código aberto que podem ser usadas mais livremente e são consideradas mais seguras.

Se essa explicação for curta demais reclamem nos comentários que eu melhoro outra hora 😉

Considerações finais

Acabei tendo que escrever esse artigo meio às pressas e espero que os visitantes se sintam livres para me corrigir, pedir mais explicações ou sugerir qualquer alteração.

Se você escrever um artigo igual ou complementar ficarei feliz em colocar aqui o link para ele.

Quem quiser sugerir considerações finais também pode 😉

Pin It on Pinterest

Share This

Compartilhe!

Mande para suas redes sociais