Ferramentas

O e-mail comum é muito menos privado do que a maioria das pessoas supõe. Viaja em geral com a cifragem do transporte, que protege as mensagens durante o seu trajeto entre servidores, mas o fornecedor guarda na mesma o seu correio numa forma que consegue ler — e, historicamente, muitos fornecedores analisaram esse conteúdo para construir perfis publicitários. A segurança do transporte é necessária, mas por si só nada faz para impedir a empresa que detém a sua caixa de entrada de a ler.

Dois tipos de cifragem a separar

«E-mail cifrado» designa normalmente algo mais forte, e o termo abrange duas ideias distintas que vale a pena separar. A cifragem de acesso zero significa que o fornecedor não consegue ler o seu correio armazenado, porque não detém a chave da sua caixa de correio. A cifragem ponta a ponta significa que apenas o remetente e o destinatário podem ler uma dada mensagem, sem cópia legível em qualquer servidor intermédio. Um serviço pode oferecer uma, ambas ou nenhuma, por isso vale a pena saber qual obtém de facto.

A distinção conta porque fixa os limites daquilo que um fornecedor pode proteger. A cifragem de acesso zero protege tudo o que se encontra na sua própria caixa de correio contra o fornecedor e contra um comprometimento de servidor. A cifragem ponta a ponta protege uma conversa individual contra toda a gente exceto os dois extremos. Os serviços de e-mail cifrado robustos procuram oferecer-lhe armazenamento de acesso zero por predefinição e cifragem ponta a ponta sempre que a configuração do destinatário o permita.

Os principais fornecedores verificáveis

O Proton Mail é a opção mais estabelecida neste campo. Oferece armazenamento de acesso zero, de modo que não consegue ler o seu correio guardado, cifragem ponta a ponta entre os seus próprios utilizadores, aplicações cliente de código aberto que permitem rever a criptografia, e uma base jurídica suíça. Esta mistura de uma implementação verificável e de uma jurisdição orientada para a privacidade é o que fez dele a recomendação predefinida para quem quer um e-mail privado sem se tornar especialista em criptografia.

• A cifragem do transporte protege o correio em trânsito mas não face ao fornecedor
• Cifragem de acesso zero: o fornecedor não consegue ler o seu correio armazenado
• Cifragem ponta a ponta: apenas o remetente e o destinatário podem ler uma mensagem
• O Proton Mail e a Tuta são as principais opções de código aberto e verificáveis
• Nenhum serviço consegue cifrar ponta a ponta uma mensagem para uma conta Gmail padrão

A Tuta, antiga Tutanota, é outro fornecedor de código aberto cifrado ponta a ponta que adota a sua própria abordagem distinta. Em particular, cifra não só o corpo das mensagens mas também as linhas de assunto e a totalidade da caixa de correio, e está sediada na Alemanha. Como o seu modelo de cifragem é construído de forma diferente do da Proton, interopera também de forma diferente com o mundo exterior — um lembrete de que o «e-mail cifrado» se implementa de mais do que uma maneira.

O limite que nenhum fornecedor pode ultrapassar

Um limite aplica-se igualmente a cada serviço, e nenhum fornecedor o consegue contornar pela engenharia. Nenhum serviço consegue cifrar ponta a ponta, como por magia, uma mensagem para alguém que usa uma conta Gmail ou Outlook normal, porque o destinatário não tem chave nenhuma com que a decifrar. É uma propriedade da maneira como funciona o e-mail interoperável, não uma lacuna de um produto em particular, e qualquer fornecedor que afirme o contrário merece desconfiança em vez de confiança.

O objetivo realista é, pois, duplo. Primeiro, manter o seu próprio correio armazenado privado face ao fornecedor graças à cifragem de acesso zero, de modo que um comprometimento ou uma empresa curiosa não consiga ler a sua caixa de entrada. Segundo, obter uma verdadeira cifragem ponta a ponta com os contactos que estão no mesmo sistema, ou através de mensagens protegidas por palavra-passe para os que não estão. Apresentado assim, o e-mail cifrado procura reduzir significativamente a exposição em vez de perseguir um absoluto impossível.

O que verificar antes de se decidir

Quando avalia um serviço, olhe para além do marketing para alguns sinais concretos. As aplicações cliente são de código aberto e foram revistas de forma independente? O que está exatamente cifrado — só o corpo das mensagens, ou também os assuntos e os metadados? Onde está sediada a empresa, e qual é o seu historial em matéria de transparência? Estas questões distinguem os serviços dotados de uma cifragem verdadeira e verificável dos que se limitam a tomar emprestada a palavra para a sua imagem.

Há compromissos a aceitar em troca da privacidade. As caixas de correio cifradas podem comportar-se de forma diferente das caixas de grande público em domínios como a pesquisa do lado do servidor, a filtragem automática e as integrações, precisamente porque o fornecedor não consegue ler o seu conteúdo. Para a maioria das pessoas, estas diferenças são menores face à vantagem de uma caixa de correio que o fornecedor não consegue explorar, mas entrar nisto com consciência evita a deceção mais tarde.

Escolher o que lhe convém

Para a maioria das pessoas que querem uma caixa de correio privada que o fornecedor não consiga ler, o Proton Mail é o ponto de partida credível mais fácil, com a Tuta como sólida alternativa de código aberto para quem é atraído pela sua cifragem da caixa de correio inteira. Escolha o modelo que corresponde à sua maneira de comunicar, coloque expectativas realistas quanto às mensagens para fornecedores externos, e terá uma privacidade de e-mail nitidamente melhor do que a proposta por predefinição pelos serviços financiados pela publicidade.