Um executivo do Serviço de Processamento de Dados do governo federal (Serpro) admitiu que o sistema de e-mail seguro do governo, chamado de Expresso, terá uma "porta dos fundos" ou "backdoor" - uma "chave mestra" que permitirá ler qualquer mensagem protegida pelo sistema.

(Após a publicação desta reportagem, o Serpro negou a existência de "porta dos fundos" no e-mail "seguro" do governo federal. Leia a íntegra da nota do Serpro ao G1)

"Por lei, pelo Marco Civil da Internet, eu tenho que garantir a auditabilidade desses meios de comunicação. Se eu uso criptografia ponto a ponto, como as boas práticas nos indicam, eu faço com que aquela criptografia seja invisível para qualquer outra pessoa. Se eu não tiver um modelo HSM de chave mestra, ela passa a ser não auditável. Ou seja, eu estou descumprindo questões legais", afirmou Marcos Melo, coordenador de ações governamentais do Serpro.

A declaração foi feita pelo executivo durante o 12º Fórum de Certificação Digital (CertForum) nesta quarta-feira (28), em resposta a um questionamento feito por Paulo Roque, da Associação Brasileira das Empresas de Software (Abes). Há um vídeo do canal do YouTube do site "Convergência Digital" disponível na web (assista) com a pergunta de Roque e a resposta de Melo.

O Marco Civil da Internet não determina especificações para requerimentos de auditoria de conteúdo das comunicações, apenas de registros de acesso, que normalmente não sofrem interferência de criptografia em conteúdo. A lei possui, no entanto, algumas regras específicas para administração pública. Melo não informou qual artigo especificamente do Marco Civil, ou de outra legislação, exige que o sistema do governo tenha a "chave mestra".

Segundo ele, a chave mestra usará um módulo de segurança em hardware (HSM, na sigla em inglês) que dependerá de autorização de múltiplas pessoas para ser ativado. Só então é possível abrir o e-mail protegido. Isso garantiria a segurança do processo.

Após essa resposta, Roque perguntou a Melo se essa "porta dos fundos" do sistema não poderia ser explorada por organizações com muitos recursos, como a Agência de Segurança Nacional dos Estados Unidos (NSA). Melo disse que não pode garantir que nenhum sistema é 100% seguro, mas que o projeto do Expresso é aberto e tem sido realizado com a cooperação de diversos especialistas para que o sistema fosse o mais seguro possível. "Tudo que está feito, tudo que está sendo estudado, é para que o sistema seja seguro, inclusive da NSA", afirmou.

A criptografia mais comum para uso em e-mails, baseada no protocolo PGP, usa o modelo ponto a ponto mencionado por Melo. Nele, somente o destinatário da mensagem é capaz de decifrar o conteúdo da mesma. Gratuita e aberta, a tecnologia foi usada, por exemplo, pelo jornalista Glenn Greenwald para se comunicar com Edward Snowden, que vazou documentos da NSA.

Snowden também usava o provedor de e-mails Lavabit que fazia uso de criptografia ponto a ponto. Para obter acesso às mensagens dos clientes, o governo norte-americano solicitou que fosse criado um mecanismo de porta dos fundos no serviço. O dono da empresa resolveu fechá-la em vez de ceder às solicitações do governo.