Depois de transformar o e-mail em comunicação criptografada de ponta a ponta, o Proton Mail Key Transparency fechará outra possível falha de segurança, diz a empresa: garantindo que você está enviando um e-mail para a pessoa certa…
Fundo
Por padrão, o e-mail é uma forma de comunicação em texto simples – e seus e-mails passam por vários servidores antes de chegarem ao destinatário. Isso significa que qualquer pessoa com acesso total a esses servidores poderá ler seus e-mails.
PGP – ou Pretty Good Privacy – é um protocolo de criptografia de e-mail projetado para garantir a privacidade. Os e-mails enviados a você são criptografados usando sua chave pública, que qualquer pessoa pode acessar, e só podem ser descriptografados com sua chave privada, que só você conhece.
O PGP transforma o e-mail em uma comunicação criptografada de ponta a ponta, mas não é especialmente fácil de implementar, que é o problema que o Proton Mail se propôs a resolver. Desde que você e seus contatos de e-mail estejam usando o Proton Mail, o PGP é aplicado automaticamente sem que nenhuma das partes precise fazer nada além de enviar e receber e-mails.
O que começou como um produto de nicho cresceu para 100 milhões de usuários, e a empresa diversificou-se em gerenciadores de senhas, VPN, armazenamento e muito mais.
Transparência da chave do Proton Mail
Embora o Proton Mail garanta que o contente Se o seu e-mail estiver protegido contra espionagem, ainda há outra falha de segurança em potencial, diz a empresa. Um malfeitor pode falsificar um e-mail de um de seus contatos, fazendo com que você responda à pessoa errada. Falsificar cabeçalhos de e-mail é muito fácil de fazer.
Para resolver isso, Fortuna relata que a empresa está se preparando para lançar o Proton Mail Key Transparency. Esta é uma forma de verificar se um endereço de e-mail realmente pertence à pessoa por trás dele.
A abordagem utiliza a tecnologia blockchain – embora o CEO da empresa, Andy Yen, tenha sido rápido em apontar que, embora esta tecnologia seja mais conhecida pela criptomoeda, a empresa não está de forma alguma envolvida nesse campo minado específico.
A questão, disse Yen, é garantir que a chave pública realmente pertença ao destinatário pretendido.
“Talvez tenha sido a NSA que criou uma chave pública falsa vinculada a você, e eu de alguma forma fui levado a criptografar dados com essa chave pública”, disse ele. Fortuna. No espaço de segurança, a tática é conhecida como “ataque man-in-the-middle”, como um funcionário dos correios abertura seu extrato bancário para obter seu número de seguro social e, em seguida, lacrar novamente o envelope.
Blockchains são um livro-razão imutável, o que significa que quaisquer dados inicialmente inseridos neles não podem ser alterados. Yen percebeu que colocar as chaves públicas dos usuários em um blockchain criaria um registro garantindo que essas chaves realmente pertenciam a eles – e seria referenciado sempre que outros usuários enviassem e-mails.
Efetivamente, todos colocam suas chaves públicas à vista de todos no blockchain, e qualquer um pode verificar as chaves públicas que possui em relação a esse registro público. Como o banco de dados é descentralizado, não pode ser comprometido por um hacker.
Tal como acontece com o PGP, os usuários do Proton Mail não precisarão fazer nada para tirar vantagem dele. Cada vez que você envia um e-mail para alguém, o aplicativo Proton Mail verifica a chave pública no banco de dados blockchain para garantir que está correta.
A empresa está atualmente executando o Proton Mail Key Transparency em seus próprios servidores como uma prova de conceito, enquanto seria necessário movê-lo para um blockchain público para fornecer a confiança necessária.
Visualização de blockchain: Shubham Dhage/Remover respingo