O Tuta Mail encripta automaticamente todos os dados que armazena na sua caixa de correio, de ponta a ponta, com algoritmos de encriptação resistentes a quantum. Ao enviar e-mails criptografados ou convites de calendário criptografados, a criptografia de ponta a ponta é feita com criptografia assimétrica - com a ajuda de uma chave pública e uma privada.

No Tuta, quando envia uma mensagem de correio eletrónico segura para outro utilizador do Tuta, encripta-a com a sua chave pública para que só ele a possa ler. Não se apercebe do processo de encriptação de ponta a ponta, uma vez que o Tuta trata automaticamente da troca de chaves por si.

Estabelecendo confiança

No entanto, como é que sabe que a chave pública que utiliza quando lhe envia um e-mail encriptado lhe pertence verdadeiramente? Em teoria, um “monstro no meio” (MITM) poderia fornecer-lhe a sua própria chave pública e fingir que é a chave do seu destinatário. O atacante poderia então desencriptar a sua mensagem e lê-la antes de a reencaminhar para o destinatário.

A verificação de chaves resolve este problema. Garante que todas as mensagens que envia podem ser verificadas pelo destinatário como sendo verdadeiramente suas e que não foram adulteradas.

Verificação de chaves em Tuta

A verificação de chaves no Tuta tem de ser efectuada manualmente. A verificação manual das chaves funciona melhor quando está fisicamente junto do seu contacto ou quando se podem autenticar mutuamente através de um canal de confiança. Depois de verificarem as impressões digitais da chave pública um do outro, podem ter a certeza de que todas as mensagens que enviam estão a salvo de interceção.

Pode verificar a chave pública de uma pessoa de duas formas:

• digitalizando um código QR com a aplicação
• introduzindo o endereço de correio eletrónico do destinatário e comparando a impressão digital com a que é apresentada nas definições de verificação de chave do destinatário.

Uma vez verificada, o cliente Tuta irá certificar-se de que a chave corresponde à que guardou como verificada antes de lhes enviar mensagens.

O que acontece se não verificar uma chave?

A verificação de chaves é opcional - mas recomendamos vivamente que verifique as chaves dos seus contactos. Se optar por não verificar a chave de um contacto, o Tuta utilizará o conceito de TOFU (Trust On First Use).

O que significa TOFU?

Quando comunica pela primeira vez com alguém no Tuta, o seu cliente guarda automaticamente a sua chave pública e assume simplesmente que é válida. A partir daí, o Tuta verificará cada nova mensagem que você enviar para garantir que a chave não tenha mudado.

• Se a chave permanecer a mesma, a comunicação continua sem problemas.

• Se a chave mudar inesperadamente, o Tuta alertá-lo-á - porque isso poderá indicar um potencial risco de segurança, tal como um ataque “monster-in-the-middle”.

A TOFU torna a comunicação segura sem problemas e sem necessidade de verificação manual. No entanto, não é tão forte como verificar uma chave por si próprio, porque na primeira troca de correio eletrónico, não pode ter 100% de certeza que ninguém adulterou a chave.

É por isso que a verificação da chave é a melhor opção para uma segurança máxima, enquanto que a TOFU fornece uma predefinição conveniente para os utilizadores que não pretendem efetuar a verificação manual de imediato.

Segurança de topo

Depois de ter verificado os seus contactos, pode ter a certeza de que as mensagens encriptadas de ponta a ponta que envia estão mais seguras do que nunca!

Estamos entusiasmados por lhe oferecer esta funcionalidade como parte da nossa missão de criar o serviço de correio eletrónico e calendário mais seguro e amigo da privacidade. O Tuta Mail e o Tuta Calendar permitem-lhe comunicar confidencialmente online. Com a nossa recente introdução de encriptação resistente a quantum combinada com esta atualização para verificação de chaves, garantimos que os seus dados permanecem seguros, agora e no futuro.