Utilizando e-mail assinado e criptografado com S/MIME


Para garantir a privacidade de seus e-mails, além de usar uma senha segura e um provedor de e-mail confiável, é extremamente importante a utilização de criptografia ponta-a-ponta; esse tipo de processo garante que só você e o remetente/destinatário tem acesso ao conteúdo da mensagem. Qualquer outra entidade (pessoa, empresa, governo, etc) que obtiver uma cópia da mensagem não poderá ler o conteúdo, pois ele estará “embaralhado”. Nem mesmo o provedor do e-mail terá acesso ao conteúdo. O conteúdo é criptografado em seu dispositivo (computador, smartphone, tablet, etc), e descriptografado no dispositivo do destinatário.

Adicionalmente, é conveniente assinar digitalmente os seus e-mails. Isso garante ao seu destinatário que o seu e-mail realmente partiu de você, e vice-versa.

Tecnologias existentes

Há duas formas bastante conhecidas de criptografar e assinar e-mails: o PGP e o S/MIME.

No PGP, você cria um par de chaves pública e privada, onde a privada é protegida por uma senha, que deve ser digitada cada vez que você a utiliza. Você distribui a sua chave pública para seus contatos, assim eles podem enviar e-mails criptografados para você, bem como saber que e-mails enviados por você são realmente seus (mediante assinatura do e-mail). A garantia que uma chave pertence realmente a uma pessoa não é regulada por nenhuma entidade, mas sim por um conceito de rede de confiança, onde as chaves públicas validadas por contatos nos quais você confia tornam-se também confiáveis por transitividade. Para utilizar o PGP, é necessário instalar um software para manipulação das chaves, bem como é necessário instalar uma extensão em seu cliente de e-mail que dê suporte ao PGP (às vezes, algumas extensões fazem os dois papéis: gerar as chaves e criptografar os e-mails). Outra coisa que é obrigatória é utilizar um cliente de e-mail instalado no seu dispositivo (Thunderbird, Outlook para Desktop, aplicativo de e-mail do seu smartphone, etc). Isso significa que não é possível utilizar o PGP se você utiliza um webmail (como o Roudcube, ou a interface web do Gmail, ou o Outlook.com).

Já no S/MIME, a configuração e utilização é bem mais fácil que o PGP. Você cria um par de chaves pública e privada que será endossada por uma autoridade certificadora acreditada mundialmente. A geração da chave segue um processo que garante que só o dono de uma conta de e-mail pode gerar a chave; ainda, por ser endossada por uma autoridade certificadora, é automaticamente aceita em qualquer cliente com suporte ao S/MIME. Também é obrigatório utilizar um cliente de e-mail instalado em seu dispositivo (como o Thunderbird, Outlook para Desktop, ou o aplicativo de e-mail do seu smartphone). Entretanto, os clientes de e-mail mais populares já tem suporte nativo ao S/MIME, o que garante uma adoção mais fácil do que o PGP. A geração das chaves é feita em qualquer browser moderno, logo, não é necessário instalar um software adicional para isso. Ainda, mesmo que seu destinatário não utilize S/MIME, você pode enviar um e-mail assinado (mas não criptografado), e o cliente de e-mail dele saberá reconhecer a assinatura, e exibir uma notificação de acordo. Não é possível utilizar o S/MIME com webmails, assim como o PGP.

Neste artigo, você aprenderá gerar um certificado S/MIME gratuito e endossado por uma autoridade certificadora acreditada mundialmente, e instalar ele em seu cliente de e-mail (utilizaremos o Thunderbird como exemplo).

Gerando o certificado S/MIME

Vamos gerar um certificado gratuito da COMODO. Entre no site deles clicando aqui.

Site da COMODO para geração de certificado S/MIME

Clique no botão “GET NOW“. Você será redirecionado a um formulário onde deverá preencher seu nome, sobrenome, endereço de e-mail para o qual deseja gerar o certificado, e país. Deverá, ainda, gerar uma senha de revogação, que será utilizada para invalidar sua chave, caso ela for comprometida (vazada a chave privada, por exemplo). Também é necessário concordar com os termos de utilização da COMODO, ao marcar “I ACCEPT the terms of this Subscriber Agreement.“. Clique em “Next >“.

A COMODO enviará um e-mail para a conta que você informou. Lá, haverá um link no qual você deve entrar para gerar o certificado. Esse processo garante que só alguém com acesso a conta de e-mail pode gerar o certificado.

Ao abrir o link, talvez seu navegador solicite sua permissão para gerar as chaves criptográficas, e você deverá autorizá-lo. Será necessária mais adiante uma senha, que será utilizada para criptografar o seu par de chaves (mas ela só é usada ao importar o certificado em um novo dispositivo). Por fim, uma mensagem informará que a chave foi gerada, e salva no navegador.

Exportando o certificado

O certificado está gerado e salvo dentro do seu navegador. É necessário exportá-lo para usar em seu cliente de e-mail, ou seja, você vai salvar uma cópia do certificado na forma de um arquivo, que pode ser utilizado para instalar o certificado em todos os seus dispositivos. Esse arquivo contém ambas as chaves, pública e privada, por isso jamais permita o acesso de outras pessoas a esse arquivo.

Em seu navegador, vá nas configurações, na tela de certificados. No Firefox, ela se localiza no menu, “Opções”, “Privacidade e Segurança”, “Certificados”, “Ver Certificados”.

Tela de Certificados no Firefox

Na parte que exibe os seus certificados, selecione o certificado recém gerado, e clique em exportar. Será salvo o arquivo criptografado pela senha que você definiu. Esse arquivo será utilizado em todos os seus dispositivos para instalar o certificado nos seus clientes de e-mail.

Configurando o cliente de e-mail

Eu vou assumir que você já tem o Thunderbird instalado e configurado para receber e enviar e-mails de sua conta.

No Thunderbird, na configuração de contas, há uma seção “Segurança“.

Tela de Segurança do Thunderbird

Clique em “Gerenciar certificados“, na aba “Seus certificados“, clique em “Importar” e escolha o certificado. Digite a senha escolhida na geração do certificado.

Após, ainda na seção de Segurança, na caixa “Assinatura digital“, escolha o seu certificado, e marque “Assinar mensagens digitalmente (por padrão)“.

Na caixa “Criptografia“, escolha o certificado, e em “Opção padrão de criptografia ao enviar mensagens” escolha “Nunca (não usar criptografia)“.

Neste ponto, qualquer e-mail que você enviar estará assinado digitalmente. O seu destinatário verá uma marcação indicando este fato.

Carta selada indicando um e-mail assinado no Thunderbird

Mensagem sobre assinatura do e-mail no Thunderbird

Para distribuir sua chave pública, basta enviar um e-mail assinado, pois isso adiciona sua chave pública ao e-mail automaticamente. Para receber uma chave pública de um contato seu, solicite que ele lhe envie um e-mail assinado digitalmente.

Para criptografar um e-mail, será necessário que você já tenha a chave pública do destino. Na tela de composição do e-mail, na opção de Segurança, marque “Criptografar“.

Cadeado indicando uma mensagem criptografada no Thunderbird

Mensagem sobre a criptografia no Thunderbird

Criptografando sempre que possível no Thunderbird

Para quem usa o Thunderbird, é possível criptografar por padrão sempre que houver a chave pública do destinatário. Basta instalar a extensão Encrypt if possible.

Clientes que suportam o S/MIME

Há diversos clientes que suportam o S/MIME por padrão. Vale a pena mencionar alguns:

  • Para desktop
  • Para Android
  • Para iOS
    • Apple Mail App (aplicativo padrão de e-mail do iPhone/iPad)

Concluindo

A assinatura e criptografia via S/MIME é de fácil configuração e tem ampla aceitação pelos clientes de e-mail. Ela garante a proveniência das mensagens, e quando ambas as pontas da comunicação (remetente e destinatário) usam, sua privacidade é garantida pela criptografia de ponta a ponta. Em tempos de vigilância digital em massa, é muito conveniente que todos protejam os seus dados pessoais, ainda mais com ferramentas de padrões abertos e reconhecidos.