O Google introduz a encriptação do lado do cliente para o Gmail - mas não para si.

O projecto de encriptação de ponta a ponta do Gmail parecia morto em 2017. Agora está de volta, mas apenas para clientes com contas-chave.

How to encrypt emails in Gmail? Use an encrypted email provider instead!

O Gmail prometeu uma vez que se tornaria encriptado de ponta a ponta por defeito. Agora o Google anunciou que está a cumprir a sua promessa - mas apenas para contas chave de espaço de trabalho. Para os utilizadores privados do Gmail a encriptação de ponta a ponta ainda está fora de alcance. Será que este novo esforço de verdadeira segurança estará disponível para todos os utilizadores no futuro, ou apenas para "alguns escolhidos"?


TL;DR: O Google diz que a encriptação de ponta a ponta é importante para a segurança. Mas os utilizadores normais não verão tal recurso na sua conta Gmail. Para proteger os seus e-mails agora, recomendamos que se inscreva numa caixa de correio Tutanota totalmente encriptada. É melhor utilizar uma alternativa Gmail que encripta automaticamente toda a sua caixa de correio e contactos - e respeita a sua privacidade.

Encriptação no Gmail

Em 2014, parecia que o Gmail queria levar a encriptação de ponta a ponta a todos os utilizadores, no entanto, a empresa nunca cumpriu esta promessa, que foi feita pouco depois das fugas de informação da Snowden sobre a vigilância da NSA.

O projecto de encriptação de ponta-a-ponta do Gmail, então, parecia morto em 2017. Agora está de volta, mas desta vez apenas para clientes de contas-chave.

A Google acaba de anunciar a oferta de encriptação do lado do cliente para o seu serviço de correio electrónico Gmail para testes beta. Contudo, apenas para clientes de contas-chave após uma aplicação, e neste momento apenas como uma versão beta.

”Com a encriptação do Google Workspace Client-side (CSE), a encriptação de conteúdo é tratada no browser do cliente antes de quaisquer dados serem transmitidos ou armazenados no armazenamento baseado na nuvem do Drive”.

”Desta forma, os servidores Google não podem aceder às suas chaves de encriptação e decifrar os seus dados. Depois de configurar o CSE, pode escolher quais os utilizadores que podem criar conteúdo encriptado do lado do cliente e partilhá-lo interna ou externamente”, explica a Google.

Aqui a Google explica como pode solicitar que a encriptação seja activada na sua conta se for cliente do Google Workspace Enterprise Plus, Education Plus, e Education Standard.

A funcionalidade actualmente só funciona dentro do navegador, mas o suporte de aplicações está planeado, disse a empresa.

Notavelmente, a Google chama à funcionalidade não “encriptação de ponta a ponta”, mas “encriptação do lado do cliente”. Os e-mails não são encriptados num formato de conhecimento zero, mas as empresas podem recuperar e-mails enviados através do seu sistema, mesmo que tenham sido encriptados.

A encriptação está a ganhar ímpeto

Esta nova iniciativa da Google segue uma tendência de que a encriptação e a privacidade são importantes - uma tendência que foi originalmente desencadeada por serviços totalmente encriptados como o Signal e o Tutanota há mais de uma década.

Recentemente, também a Apple anunciou que começará a oferecer encriptação de ponta a ponta para backups iCloud.

Após dez anos de crescimento bem sucedido de aplicações como o Tutanota, Signal e outras, a Big Tech está a sentir a pressão. Os utilizadores já não querem dar os seus dados em troca de serviços ‘gratuitos’.

Em vez disso, compreendem que os seus dados são o novo ouro e que devem ser protegidos tal como qualquer outro bem valioso: com uma encriptação Ende-zu-Ende adequada.

Nós, na Tutanota, congratulamo-nos com a iniciativa da Google e da Apple, uma vez que tornará a web, tal como a conhecemos, mais segura. Contudo, características importantes como a encriptação não devem ser limitadas a uns poucos escolhidos!

Pelo contrário: Todos merecem a encriptação!

Independentemente da decisão destas empresas, estamos entusiasmados por ver um número crescente de pessoas a compreender a necessidade e a importância da privacidade. Já dissemos em 2017 que a era da privacidade já começou, e desde então temos dado provas de que temos razão.

As pessoas em todo o mundo já não estão de acordo em alimentar o capitalismo de vigilância da Big Tech.

Será que a Big Tech irá proteger toda a gente?

A questão que se coloca após a última mudança do Google para oferecer uma encriptação adequada aos clientes empresariais é:

Irá a Google oferecer encriptação de ponta a ponta a toda a gente?

Dado o modelo empresarial do Google de recolha de dados pessoais e venda de anúncios direccionados a empresas, é altamente improvável que o façam.

Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich. Quote: If it's free, you are the product. Ende-zu-Ende- Verschlüsselung ist in Gmail nicht für alle frei zugänglich.

As pessoas na Reddit também têm a certeza de que a Google não irá oferecer encriptação verdadeira a toda a gente.

Mas, felizmente, as pessoas são suficientemente inteligentes para escolher alternativas.

Novas ferramentas tornaram a protecção dos dados privados das pessoas muito fácil. Serviços de correio electrónico como o Tutanota e aplicações de chat como o Signal são apenas algumas que integram a encriptação sem problemas nos seus serviços, para que os utilizadores não tenham de pensar em como funciona a encriptação.

E o melhor de tudo é: Com estas aplicações, a encriptação está disponível para todos, e não apenas para alguns escolhidos.


História do projecto de encriptação de ponta-a-ponta do Gmail

Em 2017, a Google entregou silenciosamente o projecto E2EMail, que foi iniciado para permitir uma encriptação de ponta a ponta fácil no Gmail através de uma extensão do navegador para “a comunidade de código aberto”. Desde então, o projecto GitHub está literalmente morto.

Três anos antes, a Google tinha anunciado que estava a construir um plugin Chrome encriptado de ponta-a-ponta para encriptar automaticamente os e-mails entre os utilizadores do Gmail.

A promessa de adicionar ao Gmail uma ferramenta de encriptação de correio electrónico foi um movimento de marketing

Em 2017 tornou-se óbvio que a encriptação promissora de e-mail fácil no Gmail para milhões de utilizadores era apenas um movimento de marketing após as revelações de Snowden em 2013. Embora o projecto E2EMail tivesse sido uma grande ferramenta para milhões de pessoas adaptarem automaticamente a encriptação de ponta a ponta, foi enterrado pelo Google quando já não viam os seus benefícios de marketing.

”A verdadeira mensagem é que já não estão a desenvolver activamente este projecto como um projecto Google”, disse o perito em criptografia Matthew Green à Wired. “É definitivamente um pouco decepcionante, dada a quantidade de publicidade que o Google gerou em torno deste projecto a dada altura, ver que eles não estão a perseguir isto como uma característica central do Gmail”, disse Green.

Tornar a encriptação de correio electrónico fácil é difícil

O Google disse oficialmente que não tinham abandonado a sua tendência para a encriptação. No entanto, explicaram que o desenvolvimento da encriptação fácil de correio electrónico é muito mais difícil do que se poderia pensar.

É difícil tornar os e-mails codificados interoperáveis com diferentes clientes, bem como conceber a troca de chaves de uma forma fácil de usar. Questões que já são conhecidas de qualquer utilizador PGP, e que não desapareceram quando o Google quis adicionar um plugin baseado no PGP ao Chrome.

No entanto, o fim de um projecto que teria trazido e-mails encriptados de ponta a ponta aos utilizadores do Gmail em todo o mundo mostra onde estão os verdadeiros interesses do Google: Não na protecção dos dados privados dos seus utilizadores, mas na sua recolha em seu próprio benefício.

Sem encriptação automática de correio electrónico no Gmail

O Google deixa ao utilizador a questão de como encriptar um e-mail. No entanto, acrescentar uma opção de encriptação de correio electrónico ao Gmail continua a ser tão complicado como com qualquer outro serviço de correio electrónico: Os utilizadores precisam de permitir o suporte PGP nos seus clientes de e-mail, devem gerar e gerir as suas próprias chaves e certificar-se de que estas chaves são mantidas em segurança nos seus dispositivos. Mesmo assim, a encriptação móvel de correio electrónico é basicamente impossível.

O Google quer deixar a decisão final sobre se deve ou não fazer uso da encriptação ao utilizador, mas o perito em criptografia Matthew Green critica severamente esta situação através do Twitter, chamando-lhe “uma decisão auto-servida”:

Google em 2007: HTTPS? Essa deve ser a escolha do utilizador.

Google em 2017: Encriptação de ponta a ponta? Realmente deveria ser a escolha do utilizador.

Quanto mais pessoas utilizarem a encriptação de correio electrónico, melhor

Nós na Tutanota acreditamos no nosso direito à privacidade e lutamos por ela nós próprios com a encriptação automática do correio electrónico. Se o Gmail tivesse adoptado a encriptação automática de ponta a ponta para todos, isto teria feito uma enorme diferença para o actual nível de segurança em linha. Teria tornado a Internet muito mais segura para milhões de utilizadores e teria tornado impossível a vigilância ilegal em linha em massa.

Infelizmente, a iniciativa do Google de abandonar o E2EMail em 2017 mostrou que não devemos confiar a grandes organizações a nossa informação privada.

Como o Google já quebrou uma vez a sua promessa aos utilizadores, a probabilidade de que a nova iniciativa de levar a encriptação de ponta a ponta ao Gmail permaneça limitada aos clientes empresariais pagantes é bastante elevada.

Talvez fosse ilusório desde o início acreditar que uma empresa tão concentrada na mineração de dados de utilizadores e na publicação de anúncios direccionados começaria subitamente a proteger o direito dos seus utilizadores à privacidade com encriptação Ende-zu-Ende incorporada no Gmail.

Se quisermos realmente proteger a nossa privacidade, temos de tomar as questões nas nossas próprias mãos. E é exactamente isto que temos vindo a fazer na Tutanota nos últimos dois anos: Construir correio electrónico codificado de ponta-a-ponta fácil de utilizar, gratuito para qualquer pessoa. Em Tutanota, toda a sua caixa de correio está encriptada para que ninguém - nem mesmo os nossos criadores - possa ler os seus e-mails pessoais.


Se quiser recuperar completamente a sua privacidade, leia as nossas recomendações sobre como deixar o Google para trás e descubra o que faz de Tutanota uma verdadeira alternativa ao Gmail.