Criptografia: só é válida se for obrigatória?

"Envie um email para oficializar..."

Quantas vezes você já ouviu essa frase? Estamos em pleno século XXI, a era da informação, a idade do silício, mas bem longe de qualquer coisa que se assemelhe a uma época de segurança, visto que qualquer email que tenha o seu nome no remetente ou no corpo (!) é aceito sem questionamentos como autêntico. Qualquer pessoa com um mínimo entendimento do protocolo SMTP (ou mesmo de um cliente de email) sabe como forjar uma mensagem no nome de outra pessoa, mas ainda assim o email sem autenticação é utilizado em massa, mesmo dentro das empresas, para certificar ou oficializar alguma coisa. Usamos conexões seguras sim, é verdade, para fazer compras em lojas virtuais ou logar no Orkut, mas apenas porque o processo é transparente, mandatório e automático. Quando um mínimo de intervenção é necessária, a coisa muda de figura.

Não que não existam alternativas ou outra forma de fazê-lo, o que é a pior parte: existem várias alternativas, gratuitas até para uso comercial.

Antes de entrarmos nessa questão cabe uma rápida descrição dessa ação de "autenticar" uma mensagem.

A autenticação é o processo pelo qual você "assina" um documento, atestando que 1) você tem conhecimento do seu conteúdo, 2) você concorda com o conteúdo ou 3) você redigiu o conteúdo. Basicamente tem a mesma finalidade de uma assinatura convencional, feita com papel e caneta.

A autenticação tem uma irmã, um pouco mais conhecida ("de ouvido"), a criptografia. A criptografia é uma técnica de embaralhamento de dados de forma a garantir que somente os devidos destinatários terão acesso à mensagem.

As descrições são curtas, mas acredito que já sejam suficientes para perceber a grande aplicabilidade do dueto criptografia/autenticação no ambiente corporativo. Atualmente informações sensíveis trafegam de um lado para outro em aberto (e já cansou a analogia do email como um cartão postal, visível para qualquer um) e confirmações importantes são enviadas e aceitas apenas pelo nome do remetente na mensagem.

Qual o ambiente ideal?

A nova versão do sistema possui um bug estranho que só acontece em condições específicas mas que causa a perda de todos os dados? Um email encriptado (ou "cifrado") garantirá que somente o desenvolvedor receberá a informação. Mesmo que a mensagem seja lida por 20 sysadmins diferentes, para eles serão apenas lixo. Uma mensagem como esta:

hQENA4LPmy1f3wxKEAQAoE8d42f5x5ia4MkzwhacqOzukCTzwJCa1mTBfZcs/n5D LongahDsGPfwrwY6ldzzfAk5L4QKhkPJbJswJiIwS7mCa6I48gKv/Kg1m7MIh5gv 4WFzqYJ2iLcGOs/ERBONUrw9VnuQjQcaFd6CGtuYREJN5TS9gdf4t71AN7L/+78D 91rXVENB33Ao2bXtHs7ua0Igj0UW05R9ni+eVfl+UL+/fkQO4f0Eoe8Rte7UfInK 2ALxHB/Pcbaxh2I8SgddY6ZlQP2o7kQdALb0uAHNYapXIQ5kaczLN2oBL2DwEIoL biXiXiqEeh3xUBRIxLAR9S1LtSQyg3N8bDZNo8l/QzGFAgwDPitwo7LrLdcBD/9r

Será vista pelo destinatário (e somente por ele) como sendo:

Olá Mundo!

Já com a autenticação ninguém poderá enviar um email em seu nome, se você for conhecido por utilizá-la. Em compensação, não poderá negar um email autenticado enviado posteriormente. Isso pode reduzir para um nível saudável a paranóia com o colega de trabalho que está sempre querendo o seu lugar na empresa.

Como utilizar essas ferramentas não é do escopo desse artigo, mas algumas soluções de Infraestrutura de Chave Pública (PKI) podem ser recomendadas. A forma mais recomendada de criptografia/autenticação para empresas é o X.509. Porém em geral a emissão desses certificados requer uma Autoridade Certificadora (AC), que não raro irá cobrar pelo serviço. Outras alternativas utilizando o X.509 são AC's gratuitas, como o projeto FreeICP (apesar de ainda ser um alpha). A grande vantagem do X.509 é que virtualmente todos os clientes de email suportam o padrão nativamente, eliminando a necessidade de aquisição de ferramentas extras. Se você tem interesse, a Receita Federal é uma AC em nível nacional (e a chave pode ser utilizada para coisas como transferir ou recuperar sua última declaração de imposto de renda direto do site da Secretaria da Fazenda).

Outro padrão de PKI, bastante conhecido e igualmente subutilizado é o OpenPGP. O OpenPGP possui uma abordagem mais "livre", sem o uso de AC's centralizadas, mas com uma filosofia de "teia de confiança" onde cada usuário pode assinar a chave de outro, certificando cada vez mais a chave como pertencente ao usuário. A aplicabilidade do OpenPGP no ambiente corporativo pode ser questionada, mas se for levado em consideração que a própria empresa pode ter uma chave e certificar as chaves de seus funcionários, agindo como uma AC em nível gerencial, o modus operandi pode ser idêntico ao X.509 sem necessidade de envolver custos adicionais. Apesar do OpenPGP não ser comumente suportado pelos clientes de email em geral, existem muitas ferramentas disponíveis e boa parte gratuita e/ou livre. O software mais "profissional" é o PGP, o programa que deu nome ao padrão. Existem várias versões (mais antigas mas ainda funcionais podem ser obtidas aqui), mas a maioria de vocês deve se interessar pelo PGP Desktop, que é gratuito. Para alternativas em outros sistemas operacionais ou simplesmente simpatia pelo Free Software, o GnuPG é a resposta (ele é CLI - linha de comando - mas existem vários frontends gráficos).

É claro que implementar isso em uma empresa pode ser difícil (especialmente se conhecendo o nível médio de intelecto da população - "indistinguível de uma salsinha"), mas não é impossível. Se implantações inteiras de um novo sistema de gerenciamento acontecem quando há vontade política, tornar cotidiano o uso de PKI acaba sendo relativamente simples. Em minha experiência na área de tecnologia posso afirmar com conhecimento de causa que espionagem industrial existe e só não causa mais danos porque a dificuldade de se conseguir o dado desejado é maior que a maioria das salsinhas, digo, pessoas está disposta a enfrentar. Mas se houver vontade, a Grande Rede é um prato cheio.

Talvez muito, ou mesmo tudo, do que foi dito aqui já seja de conhecimento de muitos, mas a total ausência ou visibilidade dessa camada de segurança como um todo tornam esse um artigo não só interessante, mas necessário. Uma tentativa de criar a consciência de que o uso da criptografia no dia-a-dia é simples, recomendado e, claro, seguro.

E para aqueles que já a utilizam o OpenPGP (ou tentam), fica a minha dica pessoal: 0xFF006747.