Leia na Fonte: G1
[29/05/14]  E-mail 'seguro' do governo terá 'porta dos fundos', admite Serpro - por Altieres Rohr

Executivo do órgão respondeu pergunta em evento.
Medida seria tomada para cumprir disposição do Marco Civil.

Um executivo do Serviço de Processamento de Dados do governo federal (Serpro) admitiu que o sistema de e-mail seguro do governo, chamado de Expresso, terá uma "porta dos fundos" ou "backdoor" - uma "chave mestra" que permitirá ler qualquer mensagem protegida pelo sistema.

"Por lei, pelo Marco Civil da Internet, eu tenho que garantir a auditabilidade desses meios de comunicação. Se eu uso criptografia ponto a ponto, como as boas práticas nos indicam, eu faço com que aquela criptografia seja invisível para qualquer outra pessoa. Se eu não tiver um modelo HSM de chave mestra, ela passa a ser não auditável. Ou seja, eu estou descumprindo questões legais", afirmou Marcos Melo, coordenador de ações governamentais do Serpro.

A declaração foi feita pelo executivo durante o 12º Fórum de Certificação Digital (CertForum) nesta quarta-feira (28), em resposta a um questionamento feito por Paulo Roque, da Associação Brasileira das Empresas de Software (Abes). Há um vídeo do canal do YouTube do site "Convergência Digital" disponível na web (assista) com a pergunta de Roque e a resposta de Melo.

O Marco Civil da Internet não determina especificações para requerimentos de auditoria de conteúdo das comunicações, apenas de registros de acesso, que normalmente não sofrem interferência de criptografia em conteúdo. A lei possui, no entanto, algumas regras específicas para administração pública. Melo não informou qual artigo especificamente do Marco Civil, ou de outra legislação, exige que o sistema do governo tenha a "chave mestra".

Segundo ele, a chave mestra usará um módulo de segurança em hardware (HSM, na sigla em inglês) que dependerá de autorização de múltiplas pessoas para ser ativado. Só então é possível abrir o e-mail protegido. Isso garantiria a segurança do processo.

Após essa resposta, Roque perguntou a Melo se essa "porta dos fundos" do sistema não poderia ser explorada por organizações com muitos recursos, como a Agência de Segurança Nacional dos Estados Unidos (NSA). Melo disse que não pode garantir que nenhum sistema é 100% seguro, mas que o projeto do Expresso é aberto e tem sido realizado com a cooperação de diversos especialistas para que o sistema fosse o mais seguro possível. "Tudo que está feito, tudo que está sendo estudado, é para que o sistema seja seguro, inclusive da NSA", afirmou.

A criptografia mais comum para uso em e-mails, baseada no protocolo PGP, usa o modelo ponto a ponto mencionado por Melo. Nele, somente o destinatário da mensagem é capaz de decifrar o conteúdo da mesma. Gratuita e aberta, a tecnologia foi usada, por exemplo, pelo jornalista Glenn Greenwald para se comunicar com Edward Snowden, que vazou documentos da NSA.

Snowden também usava o provedor de e-mails Lavabit que fazia uso de criptografia ponto a ponto. Para obter acesso às mensagens dos clientes, o governo norte-americano solicitou que fosse criado um mecanismo de porta dos fundos no serviço. O dono da empresa resolveu fechá-la em vez de ceder às solicitações do governo.