Author: Pedro Lucas Porcellis <porcellis@eletrotupi.com>
Add new article about protonmail
content/blog/protonmail-e-a-falsa-privacidade.md | 96 ++++++++++++++++++
diff --git a/content/blog/protonmail-e-a-falsa-privacidade.md b/content/blog/protonmail-e-a-falsa-privacidade.md new file mode 100644 index 0000000000000000000000000000000000000000..abb771fa22939172fd6692fe848c56f923a84559 --- /dev/null +++ b/content/blog/protonmail-e-a-falsa-privacidade.md @@ -0,0 +1,96 @@ +--- +title: "Protonmail e a Falsa Privacidade" +date: 2021-09-24 +draft: false +tags: ["opiniao", "privacidade"] +--- + +Eu gosto de e-mail enquanto forma de comunicação, em especial por três fatores: +(1) é construído em cima de protocolos abertos (2) é, de certa forma universal, +sendo a porta de comunicação digital mais acessível e simples (3) existe à pelo +menos 50 anos. Com esses fatores em mente, é natural que usuários tenham uma +necessidade real que não foi largamente pensada originalmente: privacidade, +afinal, email por si só é um protocolo que — pelo menos originalmente — envia +apenas texto. + +Existem algumas abordagens para se conseguir comunicação privada usando email, +mas nenhuma é muito simples e quando se apresenta como simples, eu sempre fico +desconfiado. Nessa semana por exemplo, saiu a notícia que um ativista foi preso, +quando o Protonmail ~~deixou vazar~~ entregou o endereço IP (que por sua vez +pode-se chegar na localização) desse tal ativista. A questão é, que o Protonmail +se vende como se fosse **a** "forma segura de enviar email", "retome sua +privacidade", "não deixe ninguém espiar o conteúdo dos seus emails". De certa +forma, posam como uma tecnologia incrível & inovadora da qual resolve com uma +interface simples e amigável o grande monstro que é enviar emails com +privacidade. + +Algumas pessoas diriam que isso é uma estratégia conhecida lá na gringa como +_Embrace, Extend, Extinguish_ e talvez seja. Essa tática trabalha na perspectiva +de adotar uma tecnologia já existente, "melhorar" ela e eventualmente quando uma +grande parte dos usuários estiverem utilizando essa tecnologia "melhorada", +extingue-se a antiga, trancafiando os usuários nessa versão nova, proprietária. + +Uma das armas mais utilizadas nessa estratégia, é o marketing. A proposta é +introjetar na cabeça dos usuários que para comunicar de forma privada, você +precisa ter um email do Proton — afinal todo o resto é arcaico e complexo — e +pouco faz menção ao fato que eles utilizam protocolos e tecnologias padronizadas +já existentes. Tecnologias inclusive que qualquer pessoa com um computador pode +utilizar: basta gerar uma chave de criptografia PGP [^1] e distribuir a sua +chave pública para que as pessoas possam enviar um email criptografado para ela, +por exemplo. + +Além do marketing, é claro, tem também a falta de comunicação transparente. Ao +contrário de outros provedores como o Gmail que práticamente torna impossível +enviar um email criptografado, Protonmail até permite, mas não o torna fácil. A +única documentação a respeito, está escondido em uma FAQ (Lista de perguntas +frequentes), no meio da documentação oficial e sequer está traduzida. Além +disso, o Proton faz você sentir que está cometendo um erro, mostrando mensagens +na tela de forma a induzir você a não fazer isso, quase como se estivesse +gritando: "não faça isso, ao invés disso, convide-o para se juntar à família +Proton". + +Além disso, fazer falsas promessas de que eles não guardam nenhuma informação, +contudo esse caso nos mostra que, sim eles guardam seu IP, sabe-se lá o que +mais. + +E o pior problema de todos, é que essas pessoas que utilizam esse serviço, já +estão com seus emails sequestrados, afinal para utilizar o Protonmail você +precisa criar uma conta que te disponibiliza um email `fulano@protonmail.com`. + +Ou seja, se você quiser e precisar migrar para outro domínio, ou outro serviço, +tens que garantir que todos os teus contatos e todos os lugares que +possívelmente queiram entrar em contato com você saibam do seu novo email, o que +não aconteceria se você utiliza um domínio próprio para email +(`fulano@meudominio.com.br`). + +Esse último ponto eu considero grave, porque te priva de conseguir migrar entre +provedores. Se você se sentir ameaçado ou achar que não quer mais usar o +Protonmail, você tem um trabalho longo pela frente para conseguir sair do +serviço, o que em geral faz as pessoas permanecerem, mesmo que não queiram mais +utilizar. + +A solução, infelizmente, não é simples. Privacidade e criptografia é um direito +fundamental, e ele com certeza não deve estar nas mãos de empresas e +corporações. A forma mais simples, mesmo que pareça um absurdo, é de +organizações hospedarem seu próprio serviço de email, dentro do seu domínio e +usuários criarem e distribuirem as suas chaves públicas. + +Sim, você pode hospedar seu próprio servidor de email, basta ter um servidor e +um domínio na internet. Sei que isso parece uma tarefa herculiana, mas não é. A +escolha aqui está mais ligada a decisão entre praticidade versus segurança. +Conforto versus privacidade. + +Se organizações querem lidar com a questão de email, a melhor forma é trabalhar +em conjunto para construir ferramentas abertas que permitam o ecosistema +florescer, trabalhar para criar processos, protocolos e utilitários que tornem +mais simples alguém hospedar seu próprio email. A lógica é construir pontes para +independência e não levantar muros "seguros". + +[^1]: Diversos clientes de email, como o mutt, Mozilla Thunderbird, oferecem de + forma transparente acesso à criptografia PGP, afinal PGP já existe há 30 anos, + e seu formato padronizado e aberto pode ser lido no RFC 4880 (em 88 páginas), + implementações existem à rodo e sua variante mais famosa é o GNU PGP, ou `gpg` + que provavelmente já está instalado em seu computador, seja ele Linux, BSD ou + macOS. O único que como sempre, fica de fora da festa é o Windows, que + necessita do programa `gpg4win` instalado, apesar que ele tem uma interface + gráfica simples e intuitiva ao contrário dos seus irmãos do Unix.