Colocando o ‘Pretty Good’ no PGP

O Pretty Good Privacy (PGP) é o programa de criptografia confiável e testado número um. Pode ser usado para criptografar texto, arquivos, e-mails ou discos inteiros.


Foi criado em 1991 por Phil Zimmermann e foi lançado como um padrão aberto chamado OpenPGP em 1997. Há também uma implementação do PGP, lançada sob uma licença GPL chamada GNU Privacy Guard (GPG) desde 1999.

Zimmermann era um ativista antinuclear conhecido nos anos 80 e 90 que queria uma maneira de armazenar arquivos e informações fora do alcance do governo. Zimmerman criou o PGP e lançou o software gratuitamente para todos, e incluiu o código fonte em todos os lançamentos.

No início dos anos 90, o software de criptografia ainda era classificado como munição militar e sua exportação era estritamente proibida. Para contestar esses regulamentos, Zimmermann imprimiu o código-fonte em livros e depois os distribuiu pelo mundo. A lógica era que, enquanto as munições eram estritamente controladas, o texto era protegido pela Primeira Emenda. Os EUA investigaram Zimmermann por três anos, mas retiraram todas as acusações em 1996.

PGP é um sistema pseudônimo. Os principais usos são manter o conteúdo de seus dados em sigilo e garantir a autenticidade de todas as comunicações e arquivos. Quando usado em conjunto com software como o Tor, pode aumentar bastante o anonimato. No entanto, o recurso de assinatura PGP faz exatamente o oposto de mantê-lo anônimo, é usado para provar digitalmente que você escreveu uma declaração ou revisou um arquivo.

Devido a esses padrões abertos, tornou-se possível criar uma variedade de software para todos os dispositivos que podem interagir com outro.

No PGP, todo usuário precisa criar uma chave pública e uma chave privada. A chave privada permanece no computador do usuário e a chave pública pode ser carregada com segurança na Web ou fornecida a outros usuários. Ele não precisa estar conectado à sua identidade ou endereço de e-mail real, mas é necessário cuidado, para não misturar as chaves.!

Digamos que você receba a chave pública de Alice, você pode usá-la para criar arquivos ou texto que são legíveis apenas por Alice. Você também pode verificar as assinaturas de Alice, para confirmar se um arquivo realmente veio dela ou se ela realmente fez uma declaração pública atribuída a ela..

Por outro lado, se você tiver a chave privada de Alice, poderá usá-la para acessar arquivos destinados apenas a ela. Você também pode usá-lo para assinar arquivos e instruções como Alice. É por isso que você precisa manter sua chave privada privada e pode ser perigoso se o seu computador estiver comprometido. Se alguém obtiver acesso ao seu computador, também poderá obter acesso à sua chave privada.

Embora a matemática por trás do PGP seja considerada à prova de balas, existem muitas explorações possíveis. O maior problema é a melhor forma de autenticar as chaves públicas. Como qualquer pessoa pode fazer upload e distribuir uma chave com qualquer nome, é necessária alguma verificação para garantir que a chave que você está usando realmente pertença à pessoa que você acha que pertence..

O PGP tenta resolver isso com o que eles chamam de “Web of Trust”. A idéia é que, embora você talvez não tenha conhecido a pessoa com quem está interagindo, talvez um amigo seu tenha encontrado. Ou um amigo de confiança do seu amigo de confiança, e assim por diante. Para recriar essa cadeia de confiança, cada usuário assinaria a chave do amigo. No entanto, esse processo pode revelar informações privadas e comprometedoras, e é um processo bastante cansativo. Como um resultado, a rede de confiança não é usada o suficiente para torná-la útil.

Configuração

Para configurar o PGP no seu dispositivo, você precisará instalar um programa e criar sua chave PGP. Existem muitos programas para diferentes necessidades, mas focaremos apenas os mais utilizáveis.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

janelas

Windows: GPG4Win https://gpg4win.org/

Android

Android: Guardian Project https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Crie sua chave e faça backup

Para usar o PGP, você precisa criar uma chave PGP. O programa PGP escolhido solicitará um nome e endereço de email. Embora não importa qual identidade você escolha, será muito mais fácil integrar o PGP ao seu programa de e-mail se você usar um endereço de e-mail de sua propriedade..

A ExpressVPN recomenda definir uma data de validade na sua chave, por cerca de 2 a 3 anos no futuro. Você sempre pode alterar esta data, desde que não tenha perdido o acesso à sua chave PGP.

O ExpressVPN também recomenda criar uma chave com o tamanho máximo (pelo menos 2048 bits) e definir uma senha longa e complicada (que você pode gerar com nosso gerador de senhas aleatórias).

Se você perder a senha, também perderá o acesso à sua chave PGP e não poderá descriptografar nenhum arquivo associado a ela. Faça bem o backup e, se você não confia em lembrar a senha, faça o backup separadamente. Você pode salvá-lo em seu gerenciador de senhas ou simplesmente anotá-lo e mantê-lo em algum lugar seguro.

Agora você tem sua chave PGP! Parabéns! Agora você pode enviá-lo para um servidor público para que as pessoas possam ver você usar PGP e encontrar sua chave.

Certificado de revogação

O próximo passo é criar um certificado de revogação. Não se preocupe em manter seu certificado de revogação seguro. Na verdade, você deseja mantê-lo o mais acessível possível! Envie para si mesmo como um anexo de email, coloque-o no diretório do Dropbox e mantenha-o na sua unidade padrão. Se você perder sua chave privada, esquecer sua senha ou, pior, se alguém tiver acesso a ela, você pode revogar a chave com o certificado de revogação. A revogação da chave privada garantirá que outras pessoas não enviem mais arquivos para você com essa chave. Isso também impede que duas chaves válidas circulem, outra fonte de confusão.

Cópia de segurança

Fazer backup de sua chave é mais complicado. Você deseja que seu backup seja o mais seguro possível. Espero que você não precise se preocupar muito com a acessibilidade.

Sempre faça backup da chave PGP e de sua senha separadamente. Por exemplo, você pode optar por manter sua senha no gerenciador de senhas e armazenar a chave em um pendrive no seu cofre ou depósito bancário.

Se você configurou backups automáticos para seus dados comuns, pode mantê-los juntos, mas verifique se eles estão criptografados corretamente!

Segurança e acessibilidade geralmente estão em conflito. Quanto mais sua chave estiver acessível para você, mais ela também estará acessível para outras pessoas. Pense nas suas preferências de risco ao tomar decisões sobre a complexidade da senha e a localização dos seus backups. Alguém fugindo de um governo autoritário deveria colocar mais esforço em sua segurança do que um cidadão comum que apenas quer defender seu direito à privacidade on-line.

Obter chaves

Você precisará receber as chaves PGP públicas de seus contatos antes de poder enviar mensagens criptografadas ou verificar seus arquivos, além de publicar as suas.

Você pode carregar sua chave PGP em um servidor de chaves, que é provavelmente o local mais conveniente para seus contatos recebê-la. Você também pode hospedá-lo em seu site, vinculá-lo em sua biografia no twitter ou usar um serviço dedicado como o keybase.io. Você pode até carregar sua chave PGP na sua página do Facebook.

Uma chave PGP pode ser identificada com um ID do usuário (um nome ou endereço de email), um ID da chave (como 0x0BACE776) e uma impressão digital (como 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Enquanto o ID da chave e a impressão digital são calculados a partir da própria chave PGP, o keyID é um pouco curto demais para identificar a chave com exclusividade, portanto, a impressão digital é preferida. Por que não imprimi-lo no seu cartão de visita para fortalecer sua identidade e status on-line como um indivíduo esclarecido e consciente da privacidade?

Criptografar arquivos

Para criptografar arquivos, você precisará da chave pública da pessoa para quem deseja enviar os arquivos criptografados. Você também pode escolher sua própria chave pública ou usar várias chaves PGP diferentes.

Você pode usar o PGP para armazenar convenientemente sua carteira Bitcoin em um pendrive. As vantagens são inúmeras e você não precisa se preocupar com quem tem acesso ao pendrive ou se ele pode ter sido copiado sem o seu conhecimento. Você também não precisará se lembrar de uma senha ou comunicá-la ao destinatário pretendido do arquivo, o que geralmente é impossível sem canais criptografados..

O software moderno facilita a criptografia e descriptografia de arquivos. Geralmente, é tão simples quanto clicar com o botão direito do mouse no arquivo em questão. Selecione uma chave e o processo criará um arquivo .gpg ou .pgp que pode ser enviado com segurança pela Internet, armazenado em uma unidade de armazenamento externa ou mantido na nuvem.

Assinar arquivos

Qualquer pessoa pode criptografar um arquivo e enviá-lo para você e, mesmo que o arquivo seja proveniente do endereço de e-mail do seu contato, não há garantia de que o arquivo foi realmente enviado por eles. O PGP oferece a opção de assinar arquivos, o que prova, sem dúvida, que o arquivo veio do seu contato.

Você pode optar por criptografar e assinar um arquivo, apenas para criptografá-lo ou apenas assiná-lo. Você pode usar esse recurso para assinar declarações públicas ou assinar versões de software. É muito comum entre projetos de software de código aberto assinar qualquer código e programa.

Se o software não fosse assinado, seria muito difícil verificar sua autenticidade, pois um invasor poderia ter introduzido backdoors no software sem o conhecimento dos desenvolvedores..

Esses arquivos de assinatura geralmente têm o mesmo nome que os arquivos que estão representando, além dos finais .asc ou .sig.

Em alguns softwares, você pode verificar uma assinatura simplesmente clicando duas vezes no arquivo de assinatura ou executando o comando gpg –verify file.sig

Você precisará da chave PGP do signatário para verificar a assinatura.

Embora seja impossível para um invasor alterar um arquivo criptografado sem que o proprietário descubra, ainda pode ser muito valioso para o invasor saber quem criptografou o arquivo em primeiro lugar. Pessoas que procuram anonimato precisam criar cuidadosamente novas chaves PGP para cada um de seus contatos, o que pode ser complicado e propenso a erros. Nesses casos, pode ser mais apropriado usar a tecnologia de mensagens criptografadas como o OTR, que oferece criptografia e autenticação confiáveis.

Assinar e criptografar texto

INICIAR A MENSAGEM ASSINADA PGP

Hash: SHA1

Com o PGP, você pode assinar e criptografar praticamente qualquer coisa. Em alguns softwares, basta escrever seu texto em um editor de texto e assinar ou criptografá-lo com o botão direito do mouse..

É assim que sua assinatura PGP será exibida. Ele pode ser postado em um comentário do Reddit, post de blog ou e-mail, para provar que é realmente você quem está fazendo um comentário:

INICIAR A ASSINATURA PGP

Versão: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

ENVIAR ASSINATURA PGP

Criptografar e-mails

Quando você escreve e-mails particulares, não é uma boa ideia escrevê-los na pasta de rascunho do seu provedor de e-mail. Tudo o que você faz nessa pasta é salvo para sempre e você não sabe quem tem acesso a ela. Uma alternativa é escrever seus emails no bloco de notas, criptografar o texto e colar o texto criptografado no email. Escrever e-mails no bloco de notas pode ser cansativo, copiar e colar as versões criptografadas ainda mais. Felizmente, existem plugins para software de correio como Thunderbird (Enigmail) e Apple Mail (GPGTools) que facilitam o processo de descriptografar e criptografar. É uma proteção de privacidade muito forte contra até os adversários mais sofisticados.

Uma grande coisa que você pode fazer instantaneamente é carregar sua chave PGP no Facebook e receber todas as atualizações e notificações em formato criptografado. Isso é especialmente útil para informações confidenciais de segurança, como redefinir uma senha. Usar um PGP no Facebook impediria que um hacker seqüestrasse sua conta do Facebook por meio da sua conta de email.

Metadados e segurança

O PGP foi projetado para ocultar o conteúdo de arquivos e mensagens, mas não protege seus metadados. Os metadados podem incluir nomes, tamanhos, cabeçalhos de e-mails, datas de criação e destinatários. Um hacker pode aprender muito com esse conhecimento, por isso é importante manter-se cauteloso com o que você compartilha, mesmo ao usar o PGP.

Também é fácil para quem possui um arquivo criptografado ver para quem ele é criptografado e quem o assinou. O PGP não oferece sigilo de encaminhamento; portanto, se sua chave for comprometida, um invasor poderá acessar todas as suas comunicações criptografadas de arquivos. Eles podem descriptografar tudo, comprometendo anos de e-mails e transferências de arquivos.

É por isso que você deve criptografar suas chaves com uma boa senha, usar várias chaves em várias situações e substituir regularmente suas chaves PGP.

Também é importante saber que o PGP não criptografa os nomes dos arquivos ou os cabeçalhos dos emails. Portanto, tenha cuidado com o que você escreve neles!

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map