quarta-feira, 11 de fevereiro de 2009

GPG E SUAS APLICAÇÕES PRÁTICAS

Capítulo 01 - Histórico do GPG

Para falar do GnuPG ou como é conhecido, GPG, temos que nos reportar ao uso da criptografia assimétrica e assinatura digital desenvolvida por Philip Zimmermann em 1991 para auxílio de ativistas políticos. Esse software ficou conhecido como PGP - Pretty Good Privacy – traduzido para Privacidade Muito Boa, que foi fácil de usar, muito seguro e teve seu código fonte disponibilizado. Devido ao fato de que nos Estados Unidos proibia exportar software de criptografia forte, Philip foi alvo de investigação criminal, que foi encerrada em 1996. Na primavera de 1997 foi feita a liberação pública do software e mesmo com sérias restrições outros países puderam ter acesso ao seu uso pela disseminação pela internet. Então seu criador fundou PGP Corporation, empresa que melhorou e agregou novas funcionalidades ao software e o tornou pago. Nesse mesmo ano a PGP Inc. propôs a IETF que fosse criado um padrão aberto de criptografia, chamado OpenPGP, a partir daí um grupo iniciou o trabalho que hoje está descrito na RFC 2440.

Com esse grupo criado, em julho 1998 foi publicado o esboço do OpenPGP, um software de criptografia baseado e compatível com o PGP, mas com a diferença que está sob licença Gnu (Licença de Pública Geral – ver link http://pt.wikipedia.org/wiki/GNU_General_Public_License para maiores informações) que o torna software livre. Em setembro de 1999 foi lançada a versão 1.0.0 do GnuPG. Ainda em 1999 o governo alemão decidiu que a cifragem forte não estaria regulada e que seria recomendada seu uso a todos, dando então, subsídios para que um grupo europeu pudesse trabalhar fortemente no GPG, que culminou na ferramenta que utilizaremos, o GPG for Windows, e que também, devemos lembrar as versões desenvolvidas para plataforma Linux em todas suas distribuições.


Capítulo 02 - O GPG para Windows (como instalar, criar as chaves e enviar a chave pública para a Internet)

Instalação do GPG for Windows

1 – O GPG for Windows é um software livre sob licença GnuPG, é possível baixá-lo no site www.gpg4win.org, com ele você poderá criar suas chaves pública e privada e ainda pode enviar a chave pública para o keyserver para que outras pessoas possam utilizá-la para decriptar suas mensagens/arquivos.

2 – A instalação desse software é muito simples e em poucos passos, por isso que não entraremos em detalhes, mas recomendamos que deixe marcado para a instalação as opções WinPT e GPGee, com isso deixe desmarcado as demais opções, pois não necessitaremos delas, no demais é clicar em avançar, e depois em finalizar.

3 – Devemos criar, inicialmente, um par de chaves: pública e privada. Para isso acesse o programa em Iniciar, Programas, GnuPG For Windows e em seguida WinPT.



4 – Aparecerá na bandeja do sistema (aquela barra inferior na tela do Windows onde ficam informações de data e hora) o ícone de uma chave, clique com o botão da direita e selecione Key Manager, se aparecer a mensagem solicitando criar sua chave esse é o momento, se não, clique no menu em Key, New, Normal, em seguida entre com suas informações de nome e correio eletrônico. Nesse momento será solicitada uma senha referente a essa chave que será criada. Logo após isso o sistema irá gerar a chave e uma caixa de diálogo é exibida, quando terminar o sistema informará que se deve fazer uma cópia de segurança da chave, ao que deve ser executado para evitar extravios (de preferência salvar em mais de um local seguro e em mídias confiáveis).

5 – Para que você disponibilize sua chave ao público, envie-a para um servidor que publica e gerencia essas chaves, para isso clique com o botão da direita em cima da chave e selecione Send to Key Server, daí selecione o servidor para qual será enviada, de preferência envie para todos os possíveis. Verifique se o seu firewall não irá bloquear a transmissão do envio da chave.

6 – Você também pode requisitar chaves públicas de outras pessoas, para isso clique no menu em Key Server, na janela que aparece no campo “Key ID or email address you want to search for”, digite o nome da pessoa ou email e clique no botão “Receive”, note que poderá aparecer mais de uma chave por usuário publicado no servidor. Com essa chave será possível criptografar dados que só o dono da chave privada conseguirá descriptografar ou ainda, descriptografar o que lhe for enviado criptografado pela chave privada daquele proprietário para a geração das informações criptografadas.



Capítulo 03 - GPG e o Gmail (como integrar o GPG no gmail através dos plugins do firefox)

Iremos aprender aqui como instalar o plugin FireGPG para usar os recursos de assinar e criptografar mensagens do Gmail através do navegador Mozilla Firefox.

Essa interface permite encriptar, decriptar, assinar ou verificar assinaturas digitais em páginas da web usando as funcionalidades do GPG, mas especificamente aqui destacaremos a interface do Gmail que permite que possamos usar os recursos do plugin diretamente no webmail.


Vamos, então, instalar o software seguindo o passo a passo descrito abaixo:

Instalação do plugin do Firefox

1 – Acesse o site http://pb.getfiregpg.org/ vá até a área de download e clique em download FireGPG.



2 – Clique no link Install, localizado na barra à direita.

3 – Clique no link Download FireGPG e aguarde a tela de exibição de complementos que irá aparecer.

4 – Após aparecer um alerta de segurança para garantir instalação solicitada, clique no botão Instalar agora.



5 – Depois do plugin instalado será necessário reinicializar o navegador, para isso clique no botão Reiniciar o Firefox.



6 – Logo que o navegador é carregado, aparece uma janela contendo os complementos instalados, nele você vai encontrar o plugin do FireGPG, com as informações de versão e as opções de alteração de configurações e desativação e desinstalação.



7 – Vá até o menu, em ferramentas, complementos (na versão em português), na guia Gmail e lá terá possibilidade de alterar diversas opções referentes a esse plugin.




Capítulo 04 - Usando o GPG através do Gmail

- Enviando uma mensagem assinada:

Com a extensão gpg instalada no Firefox que vimos anteriormente, podemos usar a opção “assinar mensagem”, será solicitada sua senha da assinatura digital, em seguida será solicitada a senha do Server smtp (g-mail), nesse caso digite sua senha de acesso a sua caixa postal.

A mensagem seguirá com um anexo com o nome signature.asc (que é sua assinatura digital).

O receptor Outlook da mensagem deverá ter o gpg4win para verificar a autenticidade da assinatura, para recebimento via Gmail ou Yahoo como teste no nosso caso, na mensagem aparecerá um ícone de um envelope com uma chave, quando colocamos o ponteiro do mouse sobre esse ícone, aparece a mensagem “Este remetente é verificado pelo DomainKeys”, que significa que a mensagem tem assinatura autêntica.


- Enviando uma mensagem assinada e criptografada:

Com a extensão gpg instalada no Firefox ao marcar “assinar e criptografar a mensagem”, será solicitada sua senha da assinatura digital, em seguida será solicitada a senha do Server smtp (g-mail), nesse caso digite sua senha de acesso a sua caixa postal.



A mensagem seguirá com dois anexos com o nome encrypted.asc e signature.asc


- Recebendo uma mensagem assinada e criptografada:

Ao receber uma mensagem criptografada, salve o arquivo encrypted.asc, abra-o pelo bloco de notas e use a chave pública para descriptografar, como fazer? Simples, após salva-lo no bloco de notas, abra e você verá um texto mais ou menos assim (para proteção dos dados não iremos aqui exibir o texto criptografado corretamente):

-----B EGIN PGP MESSAGE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Use GnuPG with Firefox : http://getfiregpg.org (Version: 0.7.4)
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=2bSZ
-----END PGP MESSAGE-----




Selecione todo o texto e inclusive o que está contido em:

-----B EGIN PGP MESSAGE-----

e

-----END PGP MESSAGE-----


Copie o texto selecionado para a área de transferência, clique com o botão da direita no ícone localizado na bandeja do Windows e selecione a opção Clipboard, em seguida em Decrypt/Verify e o texto claro será exibido.

No caso da mensagem também ser enviada para outro cliente do Gmail, ao abrir a mensagem recebida , será solicitada qual chave será utilizada para descriptografar, em seguida será aberto a mensagem como a figura abaixo que consta os cadeados, isso demonstra que a mensagem foi descriptografada com sucesso.




Conclusão


Nossa recomendação para maior segurança é utilizar ferramentas de criptografia, em especial o GPG4Win por ser um software de fácil utilização e de criptografia de alta segurança, tanto para envio de mensagens quanto para criptografia de arquivos. Para abordagem de criptografia de arquivos, será tema futuro em nosso blog .

Até lá e grande abraço.
Ricardo Borba.

Nenhum comentário:

Postar um comentário