Sistema de proteção de e-mails foi denunciado pelos seus operadores

O pequeno, mas altamente procurado, servidor de e-mails Lavabit desativou abruptamente a conta de seus 400 mil usuários no dia 08 de agosto. Edward Snowden, colaborador terceirizado fugitivo do serviço de inteligência americano, era um dos usuários.  O proprietário da Lavabit, Ladar Levison, declarou que preferia fechar o serviço que “se tornar cúmplice em crimes contra o povo americano” após receber instruções do governo sobre as quais ele diz não poder dizer nada. Antes de publicar a mensagem, ele aparentemente tornou os e-mails armazenados de seus clientes inalcançáveis, destruindo permanentemente as chaves de encriptação necessárias para extrair mensagens arquivadas. Mas como funcionam esses sistemas de e-mails “protegidos”?

Os protocolos de e-mail padrão da internet foram desenvolvidos décadas atrás, com pouca preocupação com a segurança. Para enviar um e-mail, o usuário usa um software que se comunica com um servidor central operado pelo provedor de internet do usuário (como o Virtua ou o NET), ou um terceirizado, o que inclui gigantes como Apple, Google e Microsoft, bem como empresas relativamente pequenas, como a Lavabit. Com configurações adicionais, o texto de uma mensagem viaja pela internet aberta a partir do software do usuário até o servidor.  Dali ela viaja até uma caixa de correspondência no mesmo servidor ou via internet para outro servidor de e-mail no qual o fica o endereço de entrega do destinatário. Em qualquer ponto no caminho um espião ou um hacker com a habilidade de acessar a rede de um servidor pode ler todas essas mensagens não criptografadas. Se o intruso invadir um servidor de e-mail, toda a correspondência armazenada e transmitida também seria alvo de inspeção.

E-mails protegidos tornam o trabalho do espião mais difícil. Nos últimos anos, os hospedeiros de e-mail tornaram simples a tarefa de ativar o transporte seguro entre um remetente ou um destinatário e um servidor de e-mail. Assim como os websites protegidos, um servidor de e-mail fornece ao e-mail do usuário um software com seus detalhes de encriptação, que são validados por terceirizadas.  Essas terceirizadas são, por sua vez, validadas por componentes que vêm incorporados a um sistema operacional ou software. Após ter a validação garantida, uma chave de sessão de uso único é criada e trocada entre o programa de e-mail e o servidor e as comunicações subsequentes são misturadas utilizando essa chave. A interceptação desse fluxo de dados não surte nenhum efeito. Entretanto, esse sistema de proteção de e-mails foi denunciado pelos seus operadores como oferecendo pouca proteção quando o governo é quem bate à porta.