Criptografia e e-mail

Duas recentes discussões na CISSPBR levantaram a questão de e-mail encriptado. Fiz um resumo do que acontece por aí lá, que vou reproduzir aqui:

- Uso sem criptografia nas mensagens internas - Quase 100% das organizações.

- Alguns usam PGP e certificados S/MIME para mensagens para fora, normalmente para pessoas e áreas chave (comunicação com clientes, principalmente). Raríssimos casos com implementação para todos, principalmente pelo pesadelo operacional que isso pode representar. Isso sem considerar que se os destinatários não utilizarem a mesma tecnologia não será possível o envio encriptado, apenas o uso de assinatura digital e recepção encriptada. Quem tem isso implementado em larga escala normalmente tem um sistema de PKI (estilo Entrust) como base, ou uma bela integração de CAs Microsoft com o Active Directory. É bastante raro encontrar!

- Uma alternativa mais comum são sistemas como o Tumbleweed, que cria um repositório HTTP sobre SSL para que os destinatários externos venham buscar de forma protegida as mensagens que deveriam ser enviadas encriptadas. É simples de usar e implementar, embora não seja uma solução tão completa quanto o S/MIME.

E-mail encriptado é um assunto que de certa forma está bem resolvido em termos de tecnologia, mas raramente é utilizado, mais por questões operacionais e de treinamento de usuários e também por falta de uma padronização da tecnologia nos clients (este problema vem sendo reduzido, mas ainda há a questão do aumento do uso do webmail, que atrapallha bastante). É uma daquelas lendas, todo mundo fala "como não usam criptografia no e-mail, e tão simples!!!!" e poucos efetivamente implementam em larga escala.