Perguntas frequentes sobre a encriptação de email

A encriptação em trânsito ajuda a proteger os seus emails contra a monitorização enquanto circulam entre a sua conta e a dos destinatários pretendidos. Infelizmente, milhares de milhões de emails não encriptados são enviados e recebidos "sem proteção" todos os dias, sendo um alvo fácil de intercetações em massa à medida que atravessam uma imensidão de passagens de fibra ótica e routers.

A segurança é um desafio contínuo em que nenhuma solução é perfeita e o progresso é incremental. A encriptação em trânsito torna mais difíceis as intrusões em emails e a encriptação universal de emails em trânsito seria um enorme passo em direção à segurança e à privacidade online. Contudo, a encriptação não impossibilita as intrusões. Para além disso, o email não é apenas vulnerável em trânsito, pois também pode sofrer intrusões depois de ter sido entregue. Por exemplo, entidades não autorizadas podem ainda assim aceder ao seu email se instalarem programas maliciosos no computador que utiliza para o ler.

Quando um email é encriptado em trânsito, significa que fica protegido contra a leitura por alguém com acesso às redes através das quais o email circula, no caminho percorrido do remetente até ao destino. Imagine que se trata de um envelope de segurança temporário com o seu email para mantê-lo privado enquanto é transmitido ao destinatário pretendido. A TLS (Transport Layer Security) é a forma padrão de realizar a encriptação de emails em trânsito.

No entanto, a TLS não encripta dados parados. Isto é, não encripta emails armazenados num servidor. Existem formas de o fazer, nomeadamente através da utilização da PGP (ver abaixo).

Nenhuma solução de segurança da Internet usada individualmente é perfeita, mas os emails não encriptados representam uma vulnerabilidade grave. A encriptação de emails enquanto circulam entre fornecedores de email é uma grande melhoria que pode ser implementada com relativa facilidade, sem qualquer inconveniente para os utilizadores.  Estão disponíveis mais informações acerca do estado da TLS para o email e as respetivas falhas nesta publicação no blogue detalhada do Facebook.

Sim.  Isto inclui o Gmail e o Google Workspace.  É por isso que este relatório aborda os envios de email nos casos em que a Google é apenas um dos dois fornecedores envolvidos.

Desde 2010, o HTTPS é a predefinição quando tem sessão iniciada no Gmail. Isto significa que, enquanto circula entre os centros de dados da Google e o computador que utiliza para ler o email, o seu email está encriptado e seguro. Este relatório aborda algo diferente: se o email está ou não protegido pela TLS quando circula fora dos centros de dados da Google para o servidor de correio externo do destinatário do mesmo.

Ativámos o HTTPS para o Gmail por iniciativa própria, mas se o email for enviado entre fornecedores de correio diferentes, ambos os fornecedores têm de suportar a TLS para que o email seja encriptado em trânsito.

A PGP encripta o conteúdo do email de tal forma que, se seguir os procedimentos na perfeição, ninguém além de si e do destinatário desejado o consegue ver. Quando um utilizador do Gmail recebe um email encriptado por PGP, por exemplo, o Gmail não consegue indexar o conteúdo do email para pesquisas posteriores, pois não consegue ver o conteúdo. Este equilíbrio entre comodidade e segurança adicional é especialmente adequado para pessoas que estejam em risco e acrescenta uma camada adicional de segurança não oferecida pela encriptação em trânsito.

No entanto, a encriptação em trânsito acrescenta à PGP uma vantagem significativa em termos de privacidade. A PGP encripta o conteúdo do email, mas os cabeçalhos não (por exemplo, o remetente e o destinatário do email). Um intercetor que tenha conhecimento da entrega de um email encriptado por PGP consegue ver para que endereço foi enviada a mensagem, mas não o respetivo conteúdo. No entanto, quando uma mensagem encriptada por PGP também é encriptada por TLS em trânsito, um intercetor não tem acesso ao remetente nem ao destinatário da mesma.

Ao longo de décadas, a predefinição tem sido o email circular pela Internet sem estar encriptado, como se estivesse escrito num postal. O Gmail tem a capacidade de encriptar os emails enviados e recebidos, mas apenas quando o outro fornecedor de email suporta a encriptação TLS.

Por outras palavras, a encriptação a 100% de todos os emails da Internet requer a cooperação de todos os fornecedores de correio online.

Contabilizamos destinatários de mensagens, não ligações SMTP (Simple Mail Transfer Protocol).  Não contabilizamos emails sinalizados pelos nossos sistemas como spam.  Do mesmo modo, não contabilizamos mensagens recebidas de anfitriões cujo DNS (Sistema de Nomes de Domínio) de encaminhamento ou de resposta está em falta ou é inconsistente.  Isto garante que as mensagens recebidas podem ter atributos significativos, uma vez que o remetente da mensagem pode reivindicar qualquer endereço "De" que quiser.

"De: gmail.com via google.com" significa todas as mensagens com um remetente de envelope a terminar em @gmail.com ou um subdomínio, de um anfitrião no domínio google.com ou num subdomínio. Quando o domínio "via" é o mesmo, este é elidido.

As reticências, como em "google.{...}", significa que vários domínios, como google.com e google.co.uk, foram contabilizados juntos. Tentamos fazer isto apenas quando acreditamos que os anfitriões com o mesmo nome processam o correio da mesma forma, o que não acontece sempre.