DATA DA PUBLICAÇÃO 02/02/2009 | Informática
Saiba como funciona a criptografia de dados nos e-mails
Como você pode ter certeza que um e-mail foi enviado pelo suposto remetente? E como “embaralhar” o conteúdo das mensagens enviadas, de tal forma que elas não possam ser lidas no caso de existir um “grampo” na rede? Existe mais de uma maneira de se fazer isso, mas a mais barata, e assunto desta coluna, é o padrão de criptografia PGP, o mais usado do mundo. O foco, hoje, são noções sobre criptografia pública e privada, aplicadas no PGP e outros sistemas de codificação de dados.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
O PGP (“Pretty Good Privacy” - “Privacidade Muito Boa”, em tradução livre e literal) foi criado por Philip Zimmermann em 1991. Inicialmente distribuído gratuitamente, o programa passou a ser vendido pela PGP Inc, fundada pelo próprio Zimmermann em 1996. A empresa foi adquirida em dezembro de 1997 pela Network Associates (como então se chamava a McAfee) e, quando esta perdeu interesse no produto, uma nova empresa chamada PGP Corporation assumiu o legado.
Atualmente, qualquer programa pode implementar a criptografia do PGP. As informações para isso estão no documento RFC4880, que define o formato OpenPGP. O GNU Privacy Guard (GPG) é a implementação de software livre mais popular do PGP. Graças à padronização do OpenPGP, os dois aplicativos são compatíveis entre si.
Como funciona o PGP
Embora exista uma série de detalhes sobre algoritmos e tecnologias de criptografia, o mais importante para se entender a respeito do PGP é o sistema de chaves públicas e privadas. Cada usuário do PGP tem pelo menos uma chave privada e uma chave pública correspondente, este é o “par de chaves” ou “keypair”. Essas “chaves” são apenas arquivos de texto contendo o que parecem ser caracteres aleatórios. Aqui você pode ver um exemplo de chave PGP (abra com o bloco de notas).
A chave pública, como o nome sugere, pode ser distribuída livremente. De fato, existem serviços na internet conhecidos como “keyservers” (servidores de chave) que armazenam e indexam esses arquivos para que os usuários consigam encontrá-los com facilidade.
Por outro lado, a chave privada precisa ser mantida em absoluto sigilo. Apenas o proprietário, e ninguém mais, deve tê-la armazenada.
As duas chaves funcionam sempre em conjunto. Por exemplo, se você quer enviar um e-mail que as pessoas possam verificar que foi enviado por você, a chave privada (que só você tem acesso) será usada para gerar um código chamado de “assinatura”. Esse código é anexado ao e-mail e pode ser verificado usando-se a chave pública. Assim, todos aqueles que têm sua chave pública (e sabem que ela é sua) poderão ter certeza, graças à assinatura, que aquela mensagem realmente partiu de você. Esse processo também garante a integridade do que foi enviado, porque alterações tornarão o código de assinatura inválido.
Em outra situação, você pode querer enviar uma mensagem criptografada, ou seja, “embaralhada”, de modo que ninguém possa descobrir o conteúdo da transmissão facilmente, exceto o destinatário. Nesse caso, a chave pública do destinatário é usada para proteger a transmissão, e somente a chave privada dele (que somente ele tem) poderá revelar o que foi criptografado.
Garantindo a autenticidade das chaves
Usuários de PGP precisam estar atentos à autenticidade das chaves: qualquer um pode gerar uma chave no nome de outra pessoa. Pessoas proeminentes do campo de segurança da informação, por exemplo, costumam aparecer dezenas de vezes nos servidores de chaves (keyservers). Apenas um ou dois registros são verdadeiros; os outros são de pessoas tentando enganar quem está procurando pela chave legítima da pessoa.
Sempre que possível, é interessante obter uma chave pública por algum canal mais seguro que um servidor de chaves. Fisicamente, da mão do próprio proprietário, é certamente preferido. No entanto, mesmo uma conversa de MSN ou um e-mail trocado previamente são opções mais seguras.
Para facilitar a procura por chaves legítimas, o PGP suporta “assinaturas” em chaves. “Assinando” uma chave, você garante que ela é de quem ela diz ser. Se outra pessoa que conhece e confia em você, e obteve sua assinatura de maneira segura, pegar uma chave que você assinou, ela saberá que aquela chave também é legítima como a sua, porque você assim declarou ao assiná-la.
As chaves têm um identificador (ID) e uma “impressão digital” (fingerprint) que facilitam sua localização. Esses podem ser distribuídos até mesmo pela web e, então, utilizados em um servidor de chaves para encontrar o registro certo.
Chaves públicas e privadas em outros sistemas: SSL, ICP
A criptografia SSL (do “cadeado de segurança” das páginas de internet) também utiliza o sistema de chaves públicas e privadas, com um diferencial muito importante: existem entidades centralizadoras para a assinatura das chaves, as autoridades certificadoras (ACs). As chaves também são chamadas de “certificados” no SSL.
Esse sistema coloca na mão de algumas empresas a decisão de confiar ou não em uma determinada chave. Se essa entidade for confiável, o sistema funciona como deveria. No PGP, a responsabilidade está diluída entre os usuários, que devem assinar as chaves que sabem ser legítimas para criar uma cadeia de confiança.
Quando você acessa um site seguro (https), ele envia ao navegador a chave pública, que, como no PGP, o navegador usa para embaralhar a transmissão. Apenas o servidor, que tem a chave privada correspondente, será capaz de decodificar o conteúdo das mensagens trocadas entre o site e o navegador.
A mesma base é utilizada pela certificação digital de pessoas físicas e jurídicas pela ICP-Brasil.
Na próxima segunda-feira (9), a coluna terá um passo-a-passo para uso do PGP em algumas das tarefas mais comuns: geração do par de chaves, envio de e-mail assinado, verificação e criptografia de arquivos, entre outros. Mas antes a coluna trará o pacotão de respostas a dúvidas de segurança, na quarta-feira (4), e o resumo de notícias da semana, na sexta-feira (6). Até lá!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
O PGP (“Pretty Good Privacy” - “Privacidade Muito Boa”, em tradução livre e literal) foi criado por Philip Zimmermann em 1991. Inicialmente distribuído gratuitamente, o programa passou a ser vendido pela PGP Inc, fundada pelo próprio Zimmermann em 1996. A empresa foi adquirida em dezembro de 1997 pela Network Associates (como então se chamava a McAfee) e, quando esta perdeu interesse no produto, uma nova empresa chamada PGP Corporation assumiu o legado.
Atualmente, qualquer programa pode implementar a criptografia do PGP. As informações para isso estão no documento RFC4880, que define o formato OpenPGP. O GNU Privacy Guard (GPG) é a implementação de software livre mais popular do PGP. Graças à padronização do OpenPGP, os dois aplicativos são compatíveis entre si.
Como funciona o PGP
Embora exista uma série de detalhes sobre algoritmos e tecnologias de criptografia, o mais importante para se entender a respeito do PGP é o sistema de chaves públicas e privadas. Cada usuário do PGP tem pelo menos uma chave privada e uma chave pública correspondente, este é o “par de chaves” ou “keypair”. Essas “chaves” são apenas arquivos de texto contendo o que parecem ser caracteres aleatórios. Aqui você pode ver um exemplo de chave PGP (abra com o bloco de notas).
A chave pública, como o nome sugere, pode ser distribuída livremente. De fato, existem serviços na internet conhecidos como “keyservers” (servidores de chave) que armazenam e indexam esses arquivos para que os usuários consigam encontrá-los com facilidade.
Por outro lado, a chave privada precisa ser mantida em absoluto sigilo. Apenas o proprietário, e ninguém mais, deve tê-la armazenada.
As duas chaves funcionam sempre em conjunto. Por exemplo, se você quer enviar um e-mail que as pessoas possam verificar que foi enviado por você, a chave privada (que só você tem acesso) será usada para gerar um código chamado de “assinatura”. Esse código é anexado ao e-mail e pode ser verificado usando-se a chave pública. Assim, todos aqueles que têm sua chave pública (e sabem que ela é sua) poderão ter certeza, graças à assinatura, que aquela mensagem realmente partiu de você. Esse processo também garante a integridade do que foi enviado, porque alterações tornarão o código de assinatura inválido.
Em outra situação, você pode querer enviar uma mensagem criptografada, ou seja, “embaralhada”, de modo que ninguém possa descobrir o conteúdo da transmissão facilmente, exceto o destinatário. Nesse caso, a chave pública do destinatário é usada para proteger a transmissão, e somente a chave privada dele (que somente ele tem) poderá revelar o que foi criptografado.
Garantindo a autenticidade das chaves
Usuários de PGP precisam estar atentos à autenticidade das chaves: qualquer um pode gerar uma chave no nome de outra pessoa. Pessoas proeminentes do campo de segurança da informação, por exemplo, costumam aparecer dezenas de vezes nos servidores de chaves (keyservers). Apenas um ou dois registros são verdadeiros; os outros são de pessoas tentando enganar quem está procurando pela chave legítima da pessoa.
Sempre que possível, é interessante obter uma chave pública por algum canal mais seguro que um servidor de chaves. Fisicamente, da mão do próprio proprietário, é certamente preferido. No entanto, mesmo uma conversa de MSN ou um e-mail trocado previamente são opções mais seguras.
Para facilitar a procura por chaves legítimas, o PGP suporta “assinaturas” em chaves. “Assinando” uma chave, você garante que ela é de quem ela diz ser. Se outra pessoa que conhece e confia em você, e obteve sua assinatura de maneira segura, pegar uma chave que você assinou, ela saberá que aquela chave também é legítima como a sua, porque você assim declarou ao assiná-la.
As chaves têm um identificador (ID) e uma “impressão digital” (fingerprint) que facilitam sua localização. Esses podem ser distribuídos até mesmo pela web e, então, utilizados em um servidor de chaves para encontrar o registro certo.
Chaves públicas e privadas em outros sistemas: SSL, ICP
A criptografia SSL (do “cadeado de segurança” das páginas de internet) também utiliza o sistema de chaves públicas e privadas, com um diferencial muito importante: existem entidades centralizadoras para a assinatura das chaves, as autoridades certificadoras (ACs). As chaves também são chamadas de “certificados” no SSL.
Esse sistema coloca na mão de algumas empresas a decisão de confiar ou não em uma determinada chave. Se essa entidade for confiável, o sistema funciona como deveria. No PGP, a responsabilidade está diluída entre os usuários, que devem assinar as chaves que sabem ser legítimas para criar uma cadeia de confiança.
Quando você acessa um site seguro (https), ele envia ao navegador a chave pública, que, como no PGP, o navegador usa para embaralhar a transmissão. Apenas o servidor, que tem a chave privada correspondente, será capaz de decodificar o conteúdo das mensagens trocadas entre o site e o navegador.
A mesma base é utilizada pela certificação digital de pessoas físicas e jurídicas pela ICP-Brasil.
Na próxima segunda-feira (9), a coluna terá um passo-a-passo para uso do PGP em algumas das tarefas mais comuns: geração do par de chaves, envio de e-mail assinado, verificação e criptografia de arquivos, entre outros. Mas antes a coluna trará o pacotão de respostas a dúvidas de segurança, na quarta-feira (4), e o resumo de notícias da semana, na sexta-feira (6). Até lá!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda