"Se você soubesse o que eu sei sobre e-mail, você pode não usá-lo também", disse o proprietário do serviço de e-mail seguro Lavabit, que o fechou recentemente. "Não há como fazer e-mails criptografados onde o conteúdo é protegido", disse Phil Zimmermann, que de repente interrompeu o serviço de e-mail seguro da Silent Circle. A realidade é que o email é fundamentalmente inseguro e nunca pode ser protegido da vigilância do governo da mesma forma que outras comunicações podem.
Claro, você pode estar usando um serviço de e-mail criptografado e “seguro” diferente que ainda não foi encerrado. Mas eles estão vulneráveis à mesma pressão do governo dos EUA que a Lavabit enfrentou - é por isso que a Silent Circle foi fechada antes de ser contatada pelo governo. Alguns serviços menos íntegros optarão por cooperar com os governos em vez de fechar. Nós não sabemos exatamente o que a Lavabit exige, já que eles estão proibidos de divulgar qualquer coisa que tenham experimentado como resultado de ordens secretas do tribunal de vigilância secreto dos EUA que permite que o PRISM e outros programas de vigilância da NSA O que é PRISM? Tudo que você precisa saber O que é PRISM? Tudo que você precisa saber A National Security Agency nos EUA tem acesso a todos os dados que você armazena com provedores de serviços dos EUA, como Google Microsoft, Yahoo e Facebook. Eles também estão provavelmente monitorando a maior parte do tráfego que flui através do ... Leia Mais.
Agora, vamos ver por que o e-mail é uma má escolha para comunicações seguras e como é um alvo fácil para a espionagem do governo.
Metadados não podem ser criptografados e XKEYSCORE pode interceptá-lo
Um email não é realmente um único dado. São vários dados: há o corpo da mensagem, a linha de assunto, o campo De, os campos Para / CC / BCC e outros metadados que incluem o local do qual você está enviando o e-mail.
Mesmo se você usar a melhor tecnologia de criptografia de e-mail possível, só poderá criptografar o corpo da mensagem do e-mail. Qualquer pessoa que monitore a conexão que você está usando pode ver o assunto do e-mail, com quem você está se comunicando e de onde você está enviando o e-mail. Sob o programa XKEYSCORE, que basicamente permite que o governo dos EUA capture a maior parte do tráfego que flui pela Internet, interceptando-o em grandes roteadores e gateways de backbone, o governo pode criar uma boa imagem de quem você está se comunicando, comunicar-se com eles, de onde cada um está se comunicando e quais são as linhas de assunto de seus e-mails, o que lhes dá uma ideia do que você está falando. Eles podem descobrir que você está criptografando o conteúdo de seus e-mails suspeitos e direcioná-lo para uma vigilância mais profunda de tudo o que você faz.
O governo dos EUA coletou registros de e-mail nos EUA até 2011. Segundo a NSA, esse programa foi descontinuado porque não foi eficaz - mas eles ainda estão reunindo metadados sob XKEYSCORE, então provavelmente interceptam todos os metadados de e-mail que podem coloque as mãos. Eles receberão muitas informações de você mesmo se você criptografar seus e-mails.
Para obter mais informações, leia sobre as coisas que você pode aprender com o “cabeçalho” de um e-mail ou metadados. O que você pode aprender com um cabeçalho de e-mail (metadados)? O que você pode aprender com um cabeçalho de e-mail (metadados)? Você já recebeu um e-mail e realmente se perguntou de onde veio? Quem mandou? Como eles poderiam saber quem você é? Surpreendentemente, muitas dessas informações podem ser do ... Read More.
![xkeyscore-metadata-slide](img/internet/342/why-email-can-t-be-protected-from-government-surveillance.png" "xkeyscore-metadata-slide")
Muitos provedores de e-mail "seguros" têm as chaves de criptografia para conveniência
Criptografar e descriptografar e-mails é complicado. Em teoria, você usaria algo como PGP ou GPG em seu computador local para descriptografar e-mails Como enviar e-mail assinado e criptografado com Evolution [Linux] Como enviar e-mail assinado e criptografado com Evolution [Linux] No mundo tecnológico de hoje, o envio de criptografado mensagens entre pessoas tornou-se um padrão crescente. Para proteger suas comunicações por e-mail, você precisa assinar e / ou criptografar seus e-mails. No Linux, isso é fácil ... Leia Mais. Na prática, a configuração pode ser complicada e confusa, mesmo para usuários mais experientes em tecnologia. Isso também torna impossível acessar os e-mails criptografados por meio de um navegador ou cliente móvel leve.
Na prática, muitos provedores de e-mail seguros lidaram com isso mantendo as chaves de criptografia no final, descriptografando e-mails quando você os acessa. Foi assim que o serviço de e-mail seguro da Silent Circle funcionou - eles tinham as chaves de criptografia para que pudessem facilmente descriptografar e-mails e oferecer uma boa experiência ao usuário. Na prática, isso significa que o governo poderia exigir todas as chaves de criptografia - ou apenas as que precisavam - e descriptografar todos os e-mails que desejassem. Se o provedor tiver as chaves, elas poderiam entregá-las. A única maneira de criptografar e descriptografar com segurança corpos de e-mail é com software de desktop complicado. Mesmo todo esse esforço deixa os metadados expostos.
O governo pode exigir backdoors: veja o Hushmail
O Hushmail, baseado no Canadá, é um dos serviços de e-mail criptografados mais populares e amplamente conhecidos. Em 2007, os tribunais canadenses obrigaram o Hushmail a entregar os e-mails de um de seus usuários. Os e-mails foram então passados para os tribunais dos EUA sob um tratado de assistência jurídica mútua entre o Canadá e os EUA.
Hushmail teoricamente não poderia fazer isso. Eles não mantinham as chaves de criptografia dos usuários em seus servidores. Eles recomendam que os usuários usem PGP ou software similar para descriptografar os e-mails em seus computadores para máxima privacidade. No entanto, muitas pessoas achavam que isso era muito inconveniente, então o Hushmail também ofereceu um applet Java para download localizado em uma página da web que permitia que você acessasse seu email. Quando você acessou a página da Web, a versão mais recente do applet Java faria o download para o seu computador, você digitaria sua chave de criptografia e o applet baixaria e descriptografaria localmente o seu email sem que o Hushmail obtivesse acesso à sua chave de criptografia.
Hushmail foi obrigado a servir uma versão do Java Is Java inseguro e você deve desativá-lo? Java não é seguro e você deve desativá-lo? O plug-in Java da Oracle tornou-se cada vez menos comum na Web, mas tornou-se cada vez mais comum nas notícias. Se o Java está permitindo que mais de 600.000 Macs sejam infectados ou o Oracle esteja ... Leia Mais applet com um backdoor embutido para o usuário em questão. O applet Java modificado enviou a chave de criptografia do usuário para o Hushmail depois que ele foi inserido e o Hushmail obteve acesso aos e-mails do usuário, que eles entregaram aos tribunais.
Se você usa um email seguro, o provedor pode ser forçado a adquirir sua chave de qualquer maneira possível. Mesmo que não conseguissem ter acesso à sua chave, o provedor poderia entregar seus e-mails criptografados, o que mostraria o governo com quem você está se comunicando, quando e sobre o que (através da linha de assunto do e-mail).
![hushmail-legal-warning](img/internet/342/why-email-can-t-be-protected-from-government-surveillance-2.png" "aviso legal de hushmail")
Mensagens de email são armazenadas em um servidor, mensagens instantâneas não são
Mesmo que o governo não consiga obter ou interceptar a chave de criptografia, eles poderão descriptografar seus e-mails de qualquer maneira. Suas mensagens de e-mail criptografadas são armazenadas em um servidor - é exatamente assim que o e-mail funciona. Se o governo exigisse esses dados, o provedor de hospedagem teria que entregá-lo de forma criptografada. O governo poderia então tentar quebrar a criptografia - o novo hardware torna os mecanismos atuais de criptografia muito mais fracos, e o governo dos EUA pode estar armazenando essas comunicações criptografadas na esperança de quebrá-las no futuro.
Em contraste, as comunicações no estilo de mensagens instantâneas são mais difíceis de arquivar. Uma mensagem criptografada pode ser enviada diretamente ao destinatário e não armazenada em um servidor onde possa ser acessada no futuro. O governo teria que instalar um dispositivo de monitoramento e capturar todas as comunicações em tempo real. Se não conseguirem fazer isso e não tiverem todos os dados criptografados, eles não conseguirão obtê-lo anos mais tarde, mas podem fazer isso com e-mail.
Outros tipos de comunicação podem ser protegidos
E-mail não foi projetado com criptografia em mente. Tem sido aparafusado depois do fato, e isso mostra. Mesmo o mais cuidadoso dos usuários do serviço de e-mail seguro não pode ocultar com quem está se comunicando e quando. Se você realmente quiser evitar a vigilância do governo, é melhor usar diferentes serviços de mensagens seguras em vez de confiar em e-mails.
É por isso que a Silent Circle ainda oferece um serviço seguro de mensagens 3 Maneiras de tornar as suas comunicações de smartphone mais seguras 3 maneiras de tornar as suas comunicações de smartphone mais seguras Privacidade total! Ou então pensamos, enquanto nossas palavras e informações voavam pelo ar. Não é assim: primeiro é palavra de escutas telefónicas sem mandado, então é palavra de jornais, advogados, seguradoras e mais hacking seu ... Leia mais que eles estão confiantes na segurança de. Não é a única opção - Cryptocat é outra. O Cryptocat teve uma vulnerabilidade recentemente divulgada e outros serviços podem ter seus próprios problemas que ouviremos no futuro, mas esses serviços estão no caminho certo - eles não são fundamentalmente inseguros por design do jeito que o e-mail é.
Claro, o email criptografado não é necessariamente inútil. Por exemplo, se você deseja proteger comunicações comerciais importantes contra a espionagem, isso pode ser útil. Mas o e-mail criptografado não vai desacelerar muito o governo - não é a ferramenta de comunicação ideal quando você está tentando falar sem a audiência da NSA.
![criptografar seus dados](img/internet/342/why-email-can-t-be-protected-from-government-surveillance-3.png")
Você concorda com os princípios por trás da paralisação da Lavabit e do Silent Circle? Você usa um serviço de mensagens seguro para se comunicar sem que suas conversas sejam armazenadas em um enorme banco de dados do governo? Deixe um comentário e deixe-nos saber qual alternativa de e-mail você prefere.
Créditos da Imagem: Detector de Metais Via Shutterstock