Google quer tornar criptografia mais fácil para o usuário final

 

O Google está se preparando para ajudar os seus usuários a reforçar a segurança do Gmail com a implementação de criptografia end-to-end. A gigante das buscas está trabalhando em uma forma de fazer com que a criptografia Pretty Good Privacy (PGP) seja mais fácil de ser usada pelos fãs do seu serviço de e-mail, de acordo com a Venture Beat.

O Google estar trabalhando em uma forma de criptografia para o seu e-mail é algo bastante surpreendente, visto que isso pode ameaçar a capacidade da gigante de verificar as mensagens de usuários em busca de palavras-chave para direcionar anúncios.

Mas talvez a empresa queira apenas fazer do PGP algo fácil de ser usado pelo pequeno número de usuários que realmente está interessado em ter mais privacidade. Mas isso seria uma ferramenta regular para todo mundo? Não exatamente.

O que é o PGP

O PGP se baseia em chaves de criptografia públicas e privadas que tornam quase impossível para alguém que não seja o destinatário ler uma mensagem criptografada.

Digamos que Sally quer enviar uma mensagem à Bob. Uma vez que ela escreveu o que queria, Sally utiliza a chave de criptografia pública do Bob para criptografar a mensagem, tornando-a um apanhado de palavras sem nexo. Então somente Bob poderá decodificar a mensagem utilizando a sua chave privada.

Um cracker teria que gastar um montante indefinido de tempo tentando acertar alguma combinação que decodifique a mensagem – tornando o processo, como gostamos de falar, praticamente impossível.

Sempre há maneiras de contornar esse processo, como roubar as chaves privadas ou invadir um PC uma vez que a mensagem foi decodificada. Mas, no geral, as chaves públicas e privadas oferecem uma quantidade razoável de privacidade.

Problemas com o PGP

O único problema na implementação do PGP – ou o seu equivalente open source, o GNU Privacy Guard – é que ele não é fácil de usar.

Existem algumas tentativas de tornar a criptografia mais fácil, como a extensão Enigmail para Thunderbird e o plugin Mailvelope para navegador. Mas, até agora, apenas um número relativamente pequeno de usuários estão dispostos a experimentar tais soluções.

Com milhões de usuários do Gmail, o Google poderia ampliar a base de usuários do PGP/GPG consideravelmente, se quisesse – mas criptografia end-to-end oferece alguns grandes problemas em um serviço amplamente utilizado como o Gmail.

A maior dificuldade para qualquer usuário, tanto novatos quando avançados, é manter a chave de segurança privada. Se o seu HD que contém as suas chaves travar, por exemplo, lá se vão elas junto com a sua esperança de algum dia voltar a ler as mensagens que tais chaves ajudaram a codificar.

Se você está tentando gerenciar e-mails criptografados no seu PC, no smartphone, e no tablet, isso significa que a sua chave privada terá que residir em todos os dispositivos.

Transferir chaves por aí pode não ser uma ideia tão boa. Você pode perder o controle sobre a chave a partir do momento em que decidir enviá-la para você mesmo por e-mail, o dispositivo for hackeado, ou você perder uma unidade flash não criptografada que contém os dados secretos.

A solução mais simples para o Google poderia ser armazenar as chaves de todos os seus usuários em um servidor terceiro. Dessa forma, o usuário não tem que lidar com as chaves privadas e a leitura de e-mails em dispositivos ficaria muito mais fácil. Mas, uma vez que o Google tiver a posse da sua chave privada, a empresa pode tecnicamente ler o seu e-mail, fazendo com que a essência da criptografia end-to-end fique um pouco sem sentido – especialmente se a NSA ou outra agência de três letras vier atrás de informações (vide os problemas da Lavabit).

O dinheiro fala mais alto?

Aí voltamos à questão da verificação de e-mail praticada pelo Google para direcionamento de publicidade.

Talvez a empresa possa implantar algum tipo de mágica em JavaScript nos navegadores para que ela possa continuar “xeretando” as mensagens dos usuários quando elas forem decodificadas. Ainda assim, o Google teria que enviar os dados pós-decodificação aos seus servidores para descobrir quais anúncios exibir.

Uma vez que isso acontecer, suas mensagens privadas estarão nos servidores do Google, onde a empresa poderiam – de novo – fornecê-las para agências de aplicação da lei ou de espionagem (se elas mostrarem o documento certo para isso).

A criptografia de e-mail é um sonho para o Gmail, mas as dificuldades de gerenciamento de chaves versus a entrega de anúncios significam que o PGP/GPG provavelmente não passará de um recurso arquivado do Gmail Labs, onde apenas os mais avançados e dedicados usuários o encontraria.

 

Via: IDGNow

Anúncios
Esse post foi publicado em Uncategorized e marcado , , , . Guardar link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s