Por que criptografar não precisa ser um obstáculo

por Jorge Luis Sierra
Feb 3, 2016 em Diversos

Em meus vários anos treinando jornalistas, vejo que a maioria dos jornalistas concorda com a necessidade de criptografia para proteger suas informações, mas poucos realmente abraçam a tecnologia. No início, eu pensava que era um problema de conscientização, mas depois me dei conta que a complexidade da tecnologia também desempenha um papel.

Jornalistas muitas vezes não conseguem proteger suas informações, porque os sistemas de criptografia são complicados e não muito fáceis para usuários não-técnicos. A maioria dos jornalistas tem várias tarefas, pouco tempo e habilidades tecnológicas limitadas. Eles às vezes preferem aceitar riscos, em vez de passar pelo incômodo de aprender ferramentas difíceis.

Até mesmo jornalistas experientes, que lidam com fontes confidenciais, que trabalham com histórias de alto risco e visitam lugares perigosos, assumem o risco do uso de e-mail normal para enviar mensagens de texto simples em vez de se incomodarem com o que consideram ser ferramentas de criptografia complicadas e demoradas.

As consequências desse problema podem ser desastrosas. Eu sei casos de jornalistas que perderam anos de pesquisa; fontes cuja identidade online ficou comprometida; e jornalistas que foram agredidos fisicamente, porque um adversário interceptou suas comunicações e descobriu o assunto de suas investigações.

Hoje, com traficantes de drogas, terroristas cruéis e até mesmo funcionários corruptos tentando interceptar e ler e-mails de jornalistas investigativos, é mais importante do que nunca criptografar informações e enviá-las de forma segura através de e-mail.

Aqui estão algumas opções mais fáceis para proteger seu e-mail, juntamente com os prós e contras de usá-las. Além disso, eu gostaria de dar um pequeno conselho: Se você está em risco extremo e requer privacidade, não transmita informações via e-mail e ponto final. Se esse não é o seu caso, gaste o tempo e esforço para adotar uma das seguintes ferramentas:

OpenPGP

Prós: Este se baseia na clássica tecnologia Pretty Good Privacy (PGP) de criptografia assimétrica. Não há praticamente nenhuma maneira de um adversário abrir e ler uma mensagem cuidadosamente criptografada com OpenPGP. Uma vez instalado, é muito fácil de usar.

Contras:  Configurar OpenPGP corretamente não é muito fácil. É preciso seguir cuidadosamente as instruções para instalar o software. Você terá duas chaves, uma privada e uma pública. Todos podem ter sua chave pública, mas só você pode ter acesso à sua chave privada. Pode criptografar arquivos com tecnologia PGP.

Tutoriais:

RiseUp

Prós: Este é um serviço de e-mail seguro e gratuito apoiado por uma rede de ativistas de privacidade na internet. Permite o uso dos recursos de segurança mais importantes, como https, e opera somente no Secure Socket Layer (SSL). Você pode abrir uma conta sem fornecer suas informações pessoais.

Contras: Porque Riseup é identificado com direitos humanos e ativistas de privacidade, ter uma conta Riseup pode atrair a atenção de adversários. Você precisa obter códigos para dois usuários no Riseup para abrir uma conta.

Tutorial:

ProtonMail

Prós: Esta é uma ferramenta gratuita com servidores altamente protegidos na Suíça. Os e-mails são protegidos por criptografia do início ao fim. Você pode criar uma conta anonimamente, sem colocar suas informações pessoais para abrir uma conta. Não há necessidade de baixar o software. O ProtonMail não tem acesso a chaves de decodificação dos usuários. Usa código aberto padrão de criptografia PGP. É fácil de usar.

Contras: Precisa esperar algumas semanas para obter uma conta do ProtonMail.

Tutorial:

Mailvelope

Prós: Esta é uma extensão de navegador que permite ao usuário trocar e-mails criptografados seguindo o padrão de criptografia OpenPGP. É uma ferramenta livre e de código aberto. A criptografia é forte. Você vai precisar criar duas chaves, uma pública e uma privada. Pode compartilhar sua chave pública com seus contatos e manter a privada secreta, apenas para si mesmo. Recomenda-se usar uma senha forte para decifrar as mensagens.

Contras: Se o seu computador ou o seu navegador for invadido, seus adversários podem eventualmente obter acesso à sua chave privada e tentar quebrar a senha para descriptografar os e-mails. Sua senha é sua última linha de defesa, você precisa armazená-la de forma segura. As chaves Mailvelope não são utilizáveis para criptografar e descriptografar arquivos.

Tutorial:

Hushmail

Prós: Esta é uma ferramenta de código proprietário com uma opção livre. Usa criptografia assimétrica e simétrica e é fácil de usar.

Contras: Você precisa fornecer uma conta de email regular e não pode esconder seu IP original para abrir uma conta Hushmail. Sua senha será armazenada nos servidores Hushmail. Com uma ordem judicial, um governo pode solicitar o acesso aos dados do usuário. O assunto do e-mail, cabeçalhos e metadados não são criptografados. Se você quiser enviar uma mensagem criptografada para um usuário não-Hushmail, precisará compartilhar a chave através de outros meios. Hushmail exige que os usuários façam login pelo menos uma vez a cada três semanas para manter a conta ativa.

Tutorial:

Peerio

Prós: Peerio é um software fácil de usar de código aberto que oferece um sistema de criptografia de alto nível. Peerio cria um par de chaves, uma pública e uma privada e usa-as automaticamente quando o usuário enviar ou ler mensagens criptografadas. Os usuários podem também criptografar arquivos e enviá-los de forma segura através do Peerio. A plataforma pode ser usada como um repositório de arquivos encriptados. Arquivos não são apenas criptografados para viajar com segurança de ponta a ponta, mas também são criptografados especificamente para a chave pública do receptor. Desta forma, ninguém além do destinatário pretendido pode descriptografar e ler a mensagem.

Existem outras características que podem ser atraentes para os jornalistas. Peerio produz um avatar exclusivo para cada usuário, para reconhecer se a pessoa que você quer trocar mensagens é um impostor. Peerio produz códigos de acesso muito difíceis de decifrar. Para aumentar a privacidade do usuário, Peerio não armazena o código de acesso. É uma grande diferença em relação a serviços de e-mail populares, onde a empresa sabe e armazena tanto o nome de usuário e a senha. Peerio também permite a autenticação de dois fatores, combinando o dispositivo móvel do usuário com a conta para fornecer mais segurança.

Contras: Peerio ainda está em fase beta. Se você quer enviar documentos extremamente sensíveis ou mensagens agora, deve experimentar o OpenPGP.    

Tutorial:

Imagem principal sob licença CC no Flickr via Chris Glass