O correio eletrônico é uma forma de comunicação muito utilizada pe- los usuários da Internet. Com relação ao anonimato da comunicação, um usuário pode desejar emitir opiniões sobre assuntos polêmicos sem que se revele sua identidade (pri- meira propriedade da comunicação anônima). Isto pode ocorrer por exemplo em listas de discussão através de correio eletrônico. Como o protocolo SMTP, para envio de mensa- gens de correio eletrônico, realiza a identificação do remetente e também dos servidores intermediários por onde a mensagem trafegou, o anonimato fica comprometido.
Com o objetivo de proporcionar o anonimato do remetente de uma men- sagem eletrônica, foram criados sistemas denominados reenviadores anônimos (anony- mous remailer). Estes sistemas são classificados de acordo com as funcionalidades pro- vidas, e podem ser dos tipos “0”, “I”, “II” ou “III” (DANEZIS; DINGLEDINE; MATHEWSON,
2003, p. 2).
O primeiro sistema reenviador anônimo, que foi classificado como sendo do tipo 0, consistia em uma modificação de um servidor de correio eletrônico, que iden- tificava um cabeçalho extra na mensagem, o qual continha o endereço final de envio. Ao enviar uma mensagem para este servidor, o usuário colocava este cabeçalho extra, infor- mando o destino desejado para sua mensagem. Ao receber uma mensagem, o servidor retirava o endereço do remetente (e qualquer outra informação que pudesse identificá-lo) e a reenviava para o destino final. A mensagem então recebia um novo endereço de re- metente, identificando o servidor anônimo. Desta forma, mensagens de retorno poderiam ser enviadas sem que se soubesse a identidade do remetente original.
Apesar de proporcionar anonimato na comunicação, um sistema do tipo 0 não apresentava a segurança necessária, pois não fazia uso de criptografia, mantendo a codificação original das mensagens. E por ser um sistema centralizado, uma falha no servidor tornaria o serviço indisponível, além do que a relação de remetentes originais e respectivos endereços anônimos estava disponível para o administrador. Inclusive, con- forme relata Goldberg, Wagner e Brewer (1997, p. 4), um sistema real do tipo 0, mantido por Johan Helsingius, teve o anonimato de um de seus usuários desfeito através de uma ação judicial.
As desvantagens dos sistemas do tipo 0 levaram ao desenvolvimento de sistemas do tipo I. A arquitetura de um sistema deste tipo consiste de diversos servidores que fazem uso de criptografia assimétrica. Para enviar uma mensagem anônima, o usuário deve cifrar sua mensagem com a chave pública de cada servidor. Com o envio de uma mensagem, o primeiro servidor conhece apenas o remetente, o último servidor conhece apenas o destinatário, e os servidores intermediários não têm nenhuma informação útil sobre a mensagem. Este sistema também permite o envio de respostas para o remetente, sem revelar sua identidade.
Entretanto, conforme Mazières e Kaashoek (1998, p. 4), os sistemas reenviadores do tipo I são vulneráveis a ataques de análise de tráfego, pois eles procuram reenviar as mensagens assim que são recebidas. Outro ponto que auxilia na realização de um ataque é que o tamanho das mensagens enviadas depende do tamanho da mensagem
original. Desta forma um atacante poderia observar o tráfego ao longo dos pontos da rede e, de acordo com os tempos de comunicação e o tamanho das mensagens, descobrir a origem e o destino da comunicação (GOLDBERG, 2002, p. 2).
Com as vulnerabilidades dos sistemas do tipo I, surgiram os sistemas do tipo II. Neste tipo de sistema todas as mensagens enviadas possuem o mesmo tamanho. Quando uma mensagem chega a um servidor, ela é decifrada e colocada em um conjunto. Ao atingir um certo número de mensagens armazenadas, o servidor retira uma mensagem de forma aleatória e a reenvia.
Mixminion (DANEZIS; DINGLEDINE; MATHEWSON, 2003) é um sistema de reenvio do tipo III. Este sistema permite o uso de serviços de diretório para que os usuários possam conhecer a chave pública e as estatísticas de uso e performance dos servidores integrantes da rede. Os servidores de diretório são redundantes e são mantidos sincronizados para garantir que todos os usuários sempre tenham disponível a mesma relação de servidores. Para que esta relação de servidores e suas estatísticas estejam sempre corretas e completas, os servidores de diretório assinam as informações para que os usuários tenham a garantia de que possuem dados verdadeiros.
O sistema Mixminion também possui um mecanismo mais elaborado para o envio de mensagens de resposta sem que se conheça o remetente original. Neste mecanismo é utilizada a técnica dos endereços pseudônimos (veja próxima seção), e os servidores podem operar de duas formas. Na primeira, o remetente envia juntamente com a mensagem um bloco de resposta contendo um endereço pseudônimo, o qual deve ser usado pelo servidor para submeter respostas enviadas pelo destinatário. Na segunda forma de operação as respostas são mantidas no servidor, e o remetente deve verificar periodicamente a chegada de respostas.
Com relação às propriedades da comunicação anônima, os sistemas para envio de correio eletrônico anônimo buscam garantir principalmente a impossibi- lidade de associação do remetente ao destinatário, sendo também possível o anonimato do remetente, caso este não queira se identificar perante o destinatário de suas mensagens.
2.3.1
Endereços pseudônimos
O endereço fictício que substitui o endereço real do remetente, utilizado principalmente nos sistemas reenviadores do tipo 0, caracteriza um endereço pseudô- nimo de correio eletrônico (MAZIÈRES; KAASHOEK, 1998, p. 1). O uso de pseudônimos em sistemas de comunicação já havia sido sugerido por Chaum (1985, p. 10) como uma forma de garantir a segurança de um indivíduo sem a necessidade da sua identificação. Este conceito de endereço pseudônimo pode ser estendido, podendo ser usado em outras aplicações além de correio eletrônico, conforme propôs Goldberg (2000) ao desenvolver uma infra-estrutura de comunicação com pseudônimo para a Internet.
Mesmo sendo útil para o remetente de mensagens de correio eletrônico que deseja permanecer anônimo, o uso de pseudônimo pode não garantir o anonimato em determinadas situações, principalmente se o remetente possuir certos padrões de es- crita. Rao e Rohatgi (2000) demonstram que com a utilização de determinadas técnicas lingüísticas é possível analisar a sintaxe e a semântica do texto de mensagens de correio eletrônico, podendo-se identificar determinadas mensagens como sendo de um mesmo autor. Caso este autor tenha enviado intencionalmente alguma mensagem identificada, torna-se possível relacionar sua identidade às mensagens anteriores, enviadas através de um pseudônimo. Apesar de terem utilizado apenas análise sintática e semântica, os au- tores propõem o uso de outras características, tais como a freqüência de palavras orto- graficamente incorretas, a forma de utilização da pontuação, ou até mesmo a formatação aplicada ao texto, envolvendo espaçamentos, identação e etc.
Outra questão advinda do uso de pseudônimos é a necessidade de es- tabelecer relações de confiança entre portadores de pseudônimos. Apesar de desejarem permanecer anônimos, ainda assim os donos de pseudônimos necessitam estabelecer re- lações com os outros participantes da comunicação, seja por correio eletrônico ou outra forma. Friedman e Resnick (2001) analisam mecanismos que proporcionam confiança entre os portadores de pseudônimos, que fazem uso de dois princípios, o da repetição, e o da reputação. A repetição tem o objetivo de garantir, após várias comunicações com outro pseudônimo, que o portador do mesmo comporta-se de forma honesta. A reputação per-
mite que esta confiança estabelecida através da repetição possa ser propagada para outros portadores de pseudônimo com os quais também já se tenha confiança estabelecida.