Criptografar os conteúdos é indispensável

0
13

Na comunicação de dados e, particularmente, de informações confidenciais, os padrões de segurança precisam ser os mais elevados possíveis. Potencialmente, os e-mails podem ser considerados como cartões postais que todas as pessoas que a ela tenham acesso podem ler. Isto é alarmante, principalmente, nas mensagens contendo informações corporativas. Para excluir os confidentes indesejáveis desse páreo, o recurso mais eficiente é, e continuará sendo, a criptografia que, em conjunto com outras importantes ferramentas para proteção como os antivírus, é a garantia de comunicação por e-mail realmente sigilosa e segura.
Hoje em dia, criptografar os conteúdos que trafegam no mundo virtual é indispensável. Mais que isso, a criptografia precisa tornar-se parte integrante da estratégia corporativa de e-mail. Afinal, a troca de conteúdos – confidenciais ou não – enviados por e-mail, vem sendo ameaçada constantemente, ainda mais com a disseminação, quase que diária, de novos worms, que se espalham como chamas, via endereços capturados da própria caixa postal do usuário. Daí até o acesso não autorizado ao conteúdo das mensagens é apenas um passo.
Quem envia dados por via eletrônica precisa se certificar de que nenhuma pessoa não autorizada terá acesso a eles, em nenhum estágio do processo de comunicação. Para se ter uma idéia, até mesmo um super computador, com um milhão de processadores, cada um deles capaz de realizar um milhão de operações aritméticas por segundo, precisaria de cerca de 10 milhões de anos para desbloquear uma codificação simétrica em 128 bits, com algoritmo a prova de erro. Frente a isto, não há como contestar sua validade para efeitos de proteção do conteúdo. Entretanto, a grande maioria das pessoas e empresas envia dezenas de mensagens, diariamente, sem se preocupar por quais mãos – e olhos – estas imagens irão passar antes de chegar às mãos do destinatário correto.
A verdade é que a criptografia das mensagens eletrônicas, embora esteja longe de ser coisa do passado, tem sido deixada um pouco de lado. Infelizmente, alguns ainda têm preconceitos em relação ao uso desses aplicativos. Entre os argumentos contrários está a impossibilidade de se administrar os conteúdos baseados no servidor e a verificação de vírus em mensagens criptografadas no cliente, o que exclui a utilização de mecanismos de verificação de vírus ou de filtragem de conteúdo localizado no servidor, uma vez que as mensagens pré-codificadas não conseguem ser lidas por eles. Assim, a melhor saída é centralizar a criptografia no servidor.

A justificativa é simples: passar a verificação de vírus e filtragem de conteúdo para os clientes é muito cara, uma vez que o software que realiza a verificação de vírus e criptografia precisa ser instalado e configurado em cada máquina, ter manutenção e atualização contínuas. Além disso, os próprios usuários são responsáveis pelas etapas do processo de criptografia, o que implica em treinamento oneroso e em um processo suscetível a falhas. Outro complicador é que cada usuário de e-mail também precisa de uma chave ou par de chaves exclusivas e, dependendo do tipo do processo de criptografia, são necessárias centenas ou milhares de chaves que, normalmente, têm que ser aplicadas via autoridades de certificação autorizadas e pagas. E ainda, as chaves dos funcionários que se desligam da empresa perdem a validade, sendo impossível o acesso ao seu e-mail.
O mais sensato é transferir essa etapa também para o servidor e vinculá-la a outras áreas do gerenciamento seguro de e-mails – verificação de vírus e de conteúdo, assinatura automática, etc. Afinal, a criptografia não precisa, necessariamente, ser administrada na estação cliente. Note-se que para estabelecer uma política de segurança de e-mails, com uma estrutura de comunicação segura, é importante codificar as mensagens; incluir um mecanismo central de verificação de vírus e de filtro e controle de conteúdo e todos os processos devem ser realizados no servidor para que os e-mails, rotineiramente (ou seja, sem a intervenção do usuário) saiam e cheguem à empresa com o máximo de segurança.

Isto, além de ser perfeitamente possível, representa um diferencial bastante significativo à segurança. Já existem no mercado modernas ferramentas e aplicativos, que centralizam o gerenciamento no servidor, sem interferir na performance. Essas novas suítes de segurança permitem que a criptografia seja incorporada, de forma transparente, a outros processos de gestão de e-mails, inclusive a recursos para monitoramento e controle.

Tais soluções utilizam processos criptográficos PGP (Pretty Good Privacy), GnuPG (GNU Privacy Guard) e S/MIME (Secure Multipurpose Internet Mail Extension) padrão, que oferecem um nível bastante elevado e seguro de criptografia. Assim, instalada no servidor de correio, permite que cada parte gere uma chave corporativa, que é integrada no devido procedimento de criptografia (PGP, GnuPG, S/MIME), o que simplifica enormemente a administração de chaves. Estas novas tecnologias contam ainda com plataformas modulares de gestão de e-mails, o que facilita integrar cada módulo.

De qualquer forma, para se obter os mais elevados níveis de segurança, a criptografia deve ser empregada, sempre, até de forma banal, uma vez que utiliza processos seguros para codificar o conteúdo da mensagem, garantindo que somente o destinatário correto poderá abri-la. E, até agora, o caminho mais viável é baseá-la no servidor.
Fernando Neves é diretor da Gaia Informática, especializada em sistemas de segurança de rede.