Um dos principais motivos que me fez focar os meus estudos em criptografia (além da infinita curiosidade) foi a ascensão da computação em nuvem. Se por um lado, a incrível oferta de serviços de armazenamento e transmissão de dados me deixavam encantado pelas oportunidades e possibilidades, por outro as minhas preocupações em relação a privacidade e a integridade destas informações, me impediam de me aventurar na utilização destes recursos (especialmente se eles forem fornecidos por grandes empresas que adoram “fuxicar” os seus dados)…
“Google has added client-side encryption for some email customers, allowing enterprise and education Gmail users to send and receive encrypted messages. The service encrypts email messages in the client’s browser before they are transmitted or stored in Google Cloud. It allows Gmail customers – not the cloud provider – to retain control over encryption keys, thus ensuring Google servers can’t access the keys or decrypt customer data in the body of the email or delivered as an attachment.”
— by The Register.
O correio eletrônico (e-mail) foi um, senão o principal deles! Apesar de ter apreciado muito das experiências de uso oferecidas pelo GMail, com base em AJAX & JavaScript, optei por manter um domínio pessoal e um maior controle para este serviço, por não confiar nas políticas de privacidade do Google (partindo do princípio de que elas não são realmente respeitadas). Ainda assim, o seu serviço segue no mercado como um dos mais confiáveis do mercado, em virtude dos mecanismos adotados pela empresa para garantir a privacidade e a confidencialidade.
A partir de agora, alguns usuários do GMail (em versão beta) terão acesso ao uso de recursos de criptografia mais robustos “do lado cliente” do serviço (feito pelo próprio navegador), possibilitando-os a enviarem e armazenarem as mensagens de forma criptografada, além de dar total controle das chaves criptográficas e assim, nem mesmo o próprio Google poderá descriptografar estas mensagens, sejam elas situadas no corpo (em formato de texto) ou anexadas (em formato de arquivos). Mas infelizmente, o novo recurso está desativado por padrão e até o presente momento, não sabemos quando o teremos liberado para o uso geral.
Vale lembrar a criptografia “do lado do cliente” (E2EE) se difere da criptografia “ponta-a-ponta” (CSE), pois o novo método proposto pelo Google possibilita ao usuário gerenciar as suas próprias chaves criptográfias, ao invés destas serem geradas de forma automática pelos dispositivos envolvidos na troca de mensagem (sem o controle do usuário). Estas chaves podem ser armazenadas em serviços de gerenciamento de chaves baseados em nuvem, possibilitando executar operações como validar e/ou revogar o acesso para as chaves, além de monitorar os dados criptografados.
Muitos clientes de e-mail independentes possibilitam aos usuários, fazerem o uso de chaves assimétricas através do padrão OpenPGP. Mas infelizmente, estas operações requerem um certo conhecimento técnico e, apesar de não ser algo complexo para aqueles que possuem uma maior afinidade com estes serviços, os destinatários geralmente não possuem muita experiência ou afinidades até mesmo com os serviços básicos (como o e-mail). Por isto, eles acabam comprometendo a sua adoção em vista das dificuldades técnicas para realizar as operações de criptografia de dados.
Sem contar que muitos sequer estão preocupados com a segurança… &;-D