O e-mail é a ferramenta de colaboração mais utilizada dentro do ambiente corporativo. No entanto, a possibilidade de várias pessoas dentro da organização lerem indevidamente estas mensagens é muito grande
Se o uso do e-mail trouxe grande agilidade para os negócios, por isso traz também uma preocupação quanto à segurança das informações transmitidas.
Como primeiro passo para um projeto de criptografia de e-mails, devemos identificar quem são as pessoas que lidam com dados confidenciais na organização ? dados que sejam críticos para o negócio.
Provavelmente vamos descobrir que estas pessoas trocam informações criticas por e-mail internamente – e também com fornecedores e clientes.
Com esta situação identificada é importante exigir de todo o grupo o uso do certificado de e-mail, para que informações privilegiadas que precisam ser compartilhadas com o mundo externo da organização também estejam asseguradas.
Não estamos falando do fator humano (descuido ou indiscrição, por exemplo, então entre as mais graves brechas de segurança), mas de dificultar que terceiros no caminho entre as mensagens possam ter acesso ao conteúdo das mensagens.
Após estas duas etapas concluídas podemos começar então a trabalhar para implantar uma Autoridade Certificadora Raiz (AC-Raiz). Esta AC-Raiz sera responsável por gerar certificados de correio para as contas dos colaboradores da empresa e também validar a assinatura digital nas mensagens em que o recurso for utilizado.
Não é necessária uma grande infra-estrutura além do que já se espera encontrar numa média ou grande empresa.
Os recursos básicos necessários para um projeto deste seriam algo como dois servidores para a AC-raiz em cluster como contingência, a licença da AC-Raiz e as licenças dos certificados para os usuários.
O ponto mais importante num projeto de criptografia não é somente a escolha de um bom algoritmo, solução, treinamento da equipe de operação e usuários, mas principalmente a guarda das chaves privadas e senhas destes certificados.
A maioria dos algoritmos utilizados possui código público, de modo que qualquer um que tenha uma enorme paciência e goste de matemática pode tentar entender seu funcionamento. Já a boa guarda destas chaves e senhas garantirá segurança para os dados que foram criptografados usando essas chaves.
O funcionamento do ambiente de criptografia de e-mail é bastante simples.
Vamos imaginar que o usuário A quer enviar uma mensagem criptografada ao usuário B.
No momento em que a mensagem vai ser enviada ao usuário B, o cliente de correio do usuário A faz uma busca pela chave pública do usuário B, que pode estar disponível no catalogo global de endereços, na conta do usuário do Active Directory, ou em qualquer outra base definida pelo projeto. O importante é que esteja sempre disponível.
Após encontrar a chave pública do usuário B, o usuário A a utiliza para criptografar a mensagem e entregá-la ao usuário B.
Este, com sua chave privada, conseguirá decifrar a mensagem, uma vez que a chave pública utilizada na criptografia é gerada a partir da sua chave privada.
Agora já conseguimos entender porque é necessário que os fornecedores e clientes da organização, também façam uso do certificado de correio. [Webinsider]
.
Marcos Vinícius da Silva Junior
Marcos Vinicius M. da Silva Junior é consultor em segurança da informação.
2 respostas
Há um livro interessante que trata disso. A Reputação do Mário Rosa.
Forte Abraço!
Interessante a explicação sobre a aplicabilidade da criptografia de email, em nosso empresa já utilizamos a criptografia de dados, com grande sucesso.
Parabéns pela matéria.