O Google está se preparando para ajudar os seus usuários a reforçar a
segurança do Gmail com a implementação de criptografia end-to-end. A
gigante das buscas está trabalhando em uma forma de fazer com que a
criptografia Pretty Good Privacy (PGP) seja mais fácil de ser usada
pelos fãs do seu serviço de e-mail, de acordo com a Venture Beat.
O Google estar trabalhando em uma forma de criptografia para o seu
e-mail é algo bastante surpreendente, visto que isso pode ameaçar a capacidade da gigante de verificar as mensagens de usuários em busca de palavras-chave para direcionar anúncios.
Mas talvez a empresa queira apenas fazer do PGP algo fácil de ser
usado pelo pequeno número de usuários que realmente está interessado em
ter mais privacidade. Mas isso seria uma ferramenta regular para todo
mundo? Não exatamente.
O que é o PGP
O PGP se baseia em chaves de criptografia públicas e privadas que
tornam quase impossível para alguém que não seja o destinatário ler uma
mensagem criptografada.
Digamos que Sally quer enviar uma mensagem à Bob. Uma vez que ela
escreveu o que queria, Sally utiliza a chave de criptografia pública do
Bob para criptografar a mensagem, tornando-a um apanhado de palavras sem
nexo. Então somente Bob poderá decodificar a mensagem utilizando a sua
chave privada.
Um cracker teria que gastar um montante indefinido de tempo tentando
acertar alguma combinação que decodifique a mensagem - tornando o
processo, como gostamos de falar, praticamente impossível.
Sempre há maneiras de contornar esse processo, como roubar as chaves
privadas ou invadir um PC uma vez que a mensagem foi decodificada. Mas,
no geral, as chaves públicas e privadas oferecem uma quantidade razoável
de privacidade.
Problemas com o PGP
O único problema na implementação do PGP - ou o seu equivalente open
source, o GNU Privacy Guard - é que ele não é fácil de usar.
Existem algumas tentativas de tornar a criptografia mais fácil, como a
extensão Enigmail para Thunderbird e o plugin Mailvelope para
navegador. Mas, até agora, apenas um número relativamente pequeno de
usuários estão dispostos a experimentar tais soluções.
Com milhões de usuários do Gmail, o Google poderia ampliar a base de
usuários do PGP/GPG consideravelmente, se quisesse - mas criptografia
end-to-end oferece alguns grandes problemas em um serviço amplamente
utilizado como o Gmail.
A maior dificuldade para qualquer usuário, tanto novatos quando
avançados, é manter a chave de segurança privada. Se o seu HD que contém
as suas chaves travar, por exemplo, lá se vão elas junto com a sua
esperança de algum dia voltar a ler as mensagens que tais chaves
ajudaram a codificar.
Se você está tentando gerenciar e-mails criptografados no seu PC, no
smartphone, e no tablet, isso significa que a sua chave privada terá que
residir em todos os dispositivos.
Transferir chaves por aí pode não ser uma ideia tão boa. Você pode
perder o controle sobre a chave a partir do momento em que decidir
enviá-la para você mesmo por e-mail, o dispositivo for hackeado, ou você
perder uma unidade flash não criptografada que contém os dados
secretos.
A solução mais simples para o Google poderia ser armazenar as chaves
de todos os seus usuários em um servidor terceiro. Dessa forma, o
usuário não tem que lidar com as chaves privadas e a leitura de e-mails
em dispositivos ficaria muito mais fácil. Mas, uma vez que o Google
tiver a posse da sua chave privada, a empresa pode tecnicamente ler o
seu e-mail, fazendo com que a essência da criptografia end-to-end fique
um pouco sem sentido - especialmente se a NSA ou outra agência de três
letras vier atrás de informações (vide os problemas da Lavabit).
O dinheiro fala mais alto?
Aí voltamos à questão da verificação de e-mail praticada pelo Google para direcionamento de publicidade.
Talvez a empresa possa implantar algum tipo de mágica em JavaScript
nos navegadores para que ela possa continuar "xeretando" as mensagens
dos usuários quando elas forem decodificadas. Ainda assim, o Google
teria que enviar os dados pós-decodificação aos seus servidores para
descobrir quais anúncios exibir.
Uma vez que isso acontecer, suas mensagens privadas estarão nos
servidores do Google, onde a empresa poderiam - de novo - fornecê-las
para agências de aplicação da lei ou de espionagem (se elas mostrarem o
documento certo para isso).
A criptografia de e-mail é um sonho para o Gmail, mas as dificuldades de gerenciamento de chaves versus
a entrega de anúncios significam que o PGP/GPG provavelmente não
passará de um recurso arquivado do Gmail Labs, onde apenas os mais
avançados e dedicados usuários o encontraria.
Via: IDGNow
Nenhum comentário:
Postar um comentário