Segurança em emails

O email hoje está sujeito a uma série de vulnerabilidades que podem ser resumidas da seguinte forma:

§ Vulnerabilidade quanto ao sigilo da mensagem: Uma mensagem pode ser facilmente interceptada no meio do caminho (entre quem enviou e o destinatário final). Esta mensagem passa, tipicamente, por no mínimo dois servidores e por uma grande quantidade de roteadores da própria rede. Desta forma, mensagens podem ser facilmente lidas por pessoas não autorizadas e como conseqüência, gerar eventuais prejuízos às partes envolvidas.

§ Vulnerabilidade quanto à adulteração da mensagem: Como foi dito acima, as mensagens passam por diversos pontos sob os quais não se tem controle. Nesses pontos, a mensagem pode não só ser lida, mas também alterada: alteração de valores em uma proposta comercial, substituição de um arquivo normal por um outro arquivo com vírus, etc.

§ Vulnerabilidade quanto à identidade do autor: É extremamente fácil gerar emails em nome de uma outra pessoa e as conseqüências disso podem ser muito prejudiciais para uma das partes. Basta verificar que muitos vírus que circulam na rede se multiplicam através da emissão de mensagens em nome de alguém.

Pensando em atacar estes problemas e conseqüentemente tornar o processo mais seguro e com maior número de aplicações, os principais leitores de email já trazem recursos baseados num padrão conhecido com S-MIME (existe um outro padrão, o PGP, que aplica conceitos semelhantes).

Este padrão está baseado nos processos de criptografia assimétrica e certificação digital (ver artigos de dezembro e janeiro). Através dele, as mensagens são codificadas de forma a ter-se criptografia e assinatura digital.

A criptografia é uma codificação e faz com que, se interceptados, os dados do email não possam ser lidos. A assinatura digital, por sua vez, tem dois propósitos: garantir a identidade do emissor da mensagem e garantir que a mesma não seja adulterada (vale relembrar que quando uma mensagem é assinada, qualquer alteração no seu conteúdo faz com que a assinatura não seja consistente).

A utilização deste recurso é bastante simples e, como já foi dito, está disponível nos principais leitores de email. O pré-requisito básico é que as partes envolvidas possuam certificados digitais. Tais certificados podem ser obtidos junto às autoridades certificadoras (www.certsign.com.br , por exemplo) e seu custo é da ordem de R$30,00 por ano. Como visto no esquema acima, de posse de seu certificado digital o usuário consegue assinar suas mensagens. Conhecendo o certificado digital do destinatário o usuário consegue criptografar as mensagens.