Já não é mais novidade que e-mails são uma fonte infindável de spams, vírus, fraudes, enganações e diversas outras coisas, no entanto, o que pode parecer novidade é o fato de existirem maneiras com as quais você pode ter certeza da confiabilidade de determinado e-mail recebido: a assinatura digital e a criptografia na mensagem.
Para quem nunca ouviu falar, tais termos podem parecer bastante complexos, ou mesmo, sequer fazerem sentido. De fato, a tecnologia por trás deles é algo complexa, porém há diversos programas os quais fazem com que essa complexidade seja “simplificada” para muitos usuários.
A assinatura digital (autentificação) é usada para dar a garantia de que o e-mail recebido não foi alterado desde o seu envio, ou seja, garante que tal e-mail não foi interceptado, alterado e re-enviado.
Já a criptografia funciona de maneira diferente e muito mais segura, pois ela pega a mensagem e os arquivos anexos ao e-mail e faz com que somente a pessoa com a “chave pública” de quem enviou o e-mail consiga visualizar o seu conteúdo.
Porém, não escolheremos entre uma e outra, usaremos ambas, pois elas se complementam. Enquanto uma garante que a mensagem não foi alterada, a outra garante que a mensagem não possa sequer vir a ser alterada.
O presente artigo tem por finalidade explicar um pouco sobre como funcionam programas que assinam e criptografam e-mails e sugerir alguns para que você possa terminar de ler este artigo sabendo como deixar seus e-mails seguros!
“Pretty Good Privacy” (PGP)
É o nome dado a um programa de computador, criado por Philip Zimmermann em 1991, com as finalidades mencionadas acima: assinar (autenticar) e criptografar e-mails. Atualmente ele é um programa pago, contudo, existe uma versão gratuita e de código aberto bastante similar, também baseada no padrão OpenPGP (a atual especificação é a “RFC 4880”): o GPG (Gnu Privacy Guard).
Observação: OpenPGP é um padrão de desenvolvimento a ser seguido por todos aqueles que quiserem criar um aplicativo com as funções citadas adiante. Pois caso tal padrão não seja seguido há a probabilidade de surgirem falhas de segurança e outras coisas do gênero.
O PGP e seus similares foram feitos com uma função: serem capazes de criar pares de chaves de segurança, pares esses compostos por uma chave pública e outra privada. A chave pública deve ser distribuída para aqueles com que você trocará mensagens, pois dessa forma eles saberão que foi você quem escreveu o e-mail e também serão capazes de enviar e-mails criptografados os quais somente você poderá ler.
Já a chave privada deve ser conhecida única e exclusivamente por você, pois será com ela que você assinará e criptografará seus e-mails. Trocando em miúdos: enquanto a chave pública serve para identificar quem mandou a mensagem assinada e/ou criptografada, a privada serve para criá-las.
Compartilhando sua chave pública
Você pode fazer isso de duas formas: ou você publica o número de sua chave pública em um servidor de chaves (“key server”), ou então a manda anexada ao e-mail de quem for precisar dela.
Usando a primeira opção qualquer pessoa que souber seu nome e/ou e-mail poderá achar a sua chave pública no servidor de chaves no qual ela foi publicada, no entanto, o perigo desses servidores é que pode haver diversos nomes repetidos, ou seja, alguém pode fingir ser quem não é. Já a segunda opção está disponível em alguns programas de gerenciamento de e-mail (os quais tenham suporte para OpenPGP).
Criptografando/descodificando um email
Considerando que você já tenha a chave pública de quem você enviará o e-mail e vice-versa, basta usar a chave da pessoa para criptografar o texto. No caso contrário, a pessoa lhe enviará uma mensagem criptografada com a chave pública pertencente a você, e você usará sua chave privada para descodificar o texto e lê-lo.
Como testar os procedimentos acima sem ter que pegar alguém como cobaia?
Existe um “robô” (chamado “Adele”) criado para que você teste os procedimentos antes de enviar para alguém. Usá-lo é simples, basta mandar um e-mail para “adele@gnupp.de” e você receberá uma resposta indicando se as operações realizadas obtiveram êxito ou não. Por exemplo, para saber se o seu programa escolhido criptografou um e-mail ou não:
Mande um e-mail para “adele@gnupp.de” no qual sua chave pública esteja anexa. Se você usar o Enigmail certifique-se de que a opção de criptografar o texto foi marcada, já se você usar o WinPT (incluso no Gp4win), criptografe o texto desejado e cole no corpo do e-mail. Enviado o e-mail, bastará esperar alguns minutos para receber a resposta.
Caso tudo tenha sido feito corretamente, Adele lhe mandará uma resposta contendo o seu texto descodificado (para provar que o conseguiu descodificar), juntamente com a cópia criptografada e sua chave pública (sim, até mesmo um “robô” tem uma chave pública...).
Observações
1- Vale lembrar que as pessoas as quais receberão seus e-mails assinados e/ou criptografados, deverão obrigatoriamente ter algum programa capaz de codificar o e-mail, pois caso contrário você terá o trabalho de mandar um e-mail seguro desperdiçado.
2- Os textos dos programas “Enigmail” e “Gpg4win” são complementares a este artigo, ou seja, caso você não os leia pode vir a ficar com alguma dúvida. Na verdade, tais textos servem como exemplo daquilo que foi explicado acima, podendo, dessa forma, ajudar a clarear melhor algumas idéias que possam vir a ter surgido anteriormente.
INDICAÇÕES
GnuPG:Um programa pioneiro e que serve de base para tantos outros, como o Enigmail e o Gpg4win (que o inclui no pacote). Contudo, ele por si só pode ser impossível de ser usado por usuários sem conhecimentos específicos, por isso deve ser baixado somente quando requerido por um programa que precise dele para funcionar, assim como o Enigmail.
Enigmail: Complemento para o gerenciador de e-mails Mozilla Thunderbird. Ele habilita alguns atalhos bastante intuitivos dentro do programa que facilitam o envio de e-mails seguros e além de tudo é em português! Todavia, será necessário baixar o Gnu Privacy Guard para que seja possível usá-lo.
Gpg4win: Um pacote de programas contendo tudo aquilo que você precisa para criar pares de chaves, organizá-los e publicá-los. Com ele também é possível “traduzir” textos criptografados (desde que com a chave pública de quem o mandou) e criptografar textos normais. Além disso, conta com um plugin para o Outlook 2003 SP2, um gerenciador de e-mails e por fim, cria uma opção no menu de contexto (abre-se com um clicar com o botão direito do mouse) do Windows Explorer que facilita o acesso às opções de criptografia de arquivos.
Etext:Um programa extremamente leve, que não requer instalação e ainda por cima tem resultado imediato! Basta copiar um texto, colar na parte de cima (ao lado de “Plain”) e copiar a codificação na parte de baixo (“E-text”). Quem receber o texto criptografado pelo Etext deverá tê-lo em seu computador também, pois caso contrário não conseguirá ler nada.
BitCrypt: Talvez o mais curioso entre os programas listados, pois ele criptografa textos dentro de imagens! Basta carregar o texto desejado, a imagem, definir uma senha de acesso e pronto! Mas como era de se esperar há algumas restrições de uso: quanto maior o texto, maior a imagem, por exemplo, um texto de 150 caracteres precisa de uma imagem de 24x24 pixels.
iSafeguard
: Contém funções parecidas com o Gpg4win, no entanto, tem o diferencial de realizar diversas operações através de atalhos, fato que o torna bastante prático e rápido, fazendo com que você perca muito menos tempo criptografando e-mails. Além disso, tem uma interface intuitiva e permite que você crie suas chaves, e afins, de maneira muito mais rápida do que o Gpg4win.
VMPC Data Security: Na versão grátis suas variadas funções são limitadas, assim como sua segurança, apesar disso, ele é relativamente fácil de usar e apresenta um design bastante agradável e intuitivo.
Para quem nunca ouviu falar, tais termos podem parecer bastante complexos, ou mesmo, sequer fazerem sentido. De fato, a tecnologia por trás deles é algo complexa, porém há diversos programas os quais fazem com que essa complexidade seja “simplificada” para muitos usuários.
A assinatura digital (autentificação) é usada para dar a garantia de que o e-mail recebido não foi alterado desde o seu envio, ou seja, garante que tal e-mail não foi interceptado, alterado e re-enviado.
Já a criptografia funciona de maneira diferente e muito mais segura, pois ela pega a mensagem e os arquivos anexos ao e-mail e faz com que somente a pessoa com a “chave pública” de quem enviou o e-mail consiga visualizar o seu conteúdo.
Porém, não escolheremos entre uma e outra, usaremos ambas, pois elas se complementam. Enquanto uma garante que a mensagem não foi alterada, a outra garante que a mensagem não possa sequer vir a ser alterada.
O presente artigo tem por finalidade explicar um pouco sobre como funcionam programas que assinam e criptografam e-mails e sugerir alguns para que você possa terminar de ler este artigo sabendo como deixar seus e-mails seguros!
“Pretty Good Privacy” (PGP)
É o nome dado a um programa de computador, criado por Philip Zimmermann em 1991, com as finalidades mencionadas acima: assinar (autenticar) e criptografar e-mails. Atualmente ele é um programa pago, contudo, existe uma versão gratuita e de código aberto bastante similar, também baseada no padrão OpenPGP (a atual especificação é a “RFC 4880”): o GPG (Gnu Privacy Guard).
Observação: OpenPGP é um padrão de desenvolvimento a ser seguido por todos aqueles que quiserem criar um aplicativo com as funções citadas adiante. Pois caso tal padrão não seja seguido há a probabilidade de surgirem falhas de segurança e outras coisas do gênero.
O PGP e seus similares foram feitos com uma função: serem capazes de criar pares de chaves de segurança, pares esses compostos por uma chave pública e outra privada. A chave pública deve ser distribuída para aqueles com que você trocará mensagens, pois dessa forma eles saberão que foi você quem escreveu o e-mail e também serão capazes de enviar e-mails criptografados os quais somente você poderá ler.
Já a chave privada deve ser conhecida única e exclusivamente por você, pois será com ela que você assinará e criptografará seus e-mails. Trocando em miúdos: enquanto a chave pública serve para identificar quem mandou a mensagem assinada e/ou criptografada, a privada serve para criá-las.
Compartilhando sua chave pública
Você pode fazer isso de duas formas: ou você publica o número de sua chave pública em um servidor de chaves (“key server”), ou então a manda anexada ao e-mail de quem for precisar dela.
Usando a primeira opção qualquer pessoa que souber seu nome e/ou e-mail poderá achar a sua chave pública no servidor de chaves no qual ela foi publicada, no entanto, o perigo desses servidores é que pode haver diversos nomes repetidos, ou seja, alguém pode fingir ser quem não é. Já a segunda opção está disponível em alguns programas de gerenciamento de e-mail (os quais tenham suporte para OpenPGP).
Criptografando/descodificando um email
Considerando que você já tenha a chave pública de quem você enviará o e-mail e vice-versa, basta usar a chave da pessoa para criptografar o texto. No caso contrário, a pessoa lhe enviará uma mensagem criptografada com a chave pública pertencente a você, e você usará sua chave privada para descodificar o texto e lê-lo.
Como testar os procedimentos acima sem ter que pegar alguém como cobaia?
Existe um “robô” (chamado “Adele”) criado para que você teste os procedimentos antes de enviar para alguém. Usá-lo é simples, basta mandar um e-mail para “adele@gnupp.de” e você receberá uma resposta indicando se as operações realizadas obtiveram êxito ou não. Por exemplo, para saber se o seu programa escolhido criptografou um e-mail ou não:
Mande um e-mail para “adele@gnupp.de” no qual sua chave pública esteja anexa. Se você usar o Enigmail certifique-se de que a opção de criptografar o texto foi marcada, já se você usar o WinPT (incluso no Gp4win), criptografe o texto desejado e cole no corpo do e-mail. Enviado o e-mail, bastará esperar alguns minutos para receber a resposta.
Caso tudo tenha sido feito corretamente, Adele lhe mandará uma resposta contendo o seu texto descodificado (para provar que o conseguiu descodificar), juntamente com a cópia criptografada e sua chave pública (sim, até mesmo um “robô” tem uma chave pública...).
Observações
1- Vale lembrar que as pessoas as quais receberão seus e-mails assinados e/ou criptografados, deverão obrigatoriamente ter algum programa capaz de codificar o e-mail, pois caso contrário você terá o trabalho de mandar um e-mail seguro desperdiçado.
2- Os textos dos programas “Enigmail” e “Gpg4win” são complementares a este artigo, ou seja, caso você não os leia pode vir a ficar com alguma dúvida. Na verdade, tais textos servem como exemplo daquilo que foi explicado acima, podendo, dessa forma, ajudar a clarear melhor algumas idéias que possam vir a ter surgido anteriormente.
INDICAÇÕES
GnuPG:Um programa pioneiro e que serve de base para tantos outros, como o Enigmail e o Gpg4win (que o inclui no pacote). Contudo, ele por si só pode ser impossível de ser usado por usuários sem conhecimentos específicos, por isso deve ser baixado somente quando requerido por um programa que precise dele para funcionar, assim como o Enigmail.
Enigmail: Complemento para o gerenciador de e-mails Mozilla Thunderbird. Ele habilita alguns atalhos bastante intuitivos dentro do programa que facilitam o envio de e-mails seguros e além de tudo é em português! Todavia, será necessário baixar o Gnu Privacy Guard para que seja possível usá-lo.
Gpg4win: Um pacote de programas contendo tudo aquilo que você precisa para criar pares de chaves, organizá-los e publicá-los. Com ele também é possível “traduzir” textos criptografados (desde que com a chave pública de quem o mandou) e criptografar textos normais. Além disso, conta com um plugin para o Outlook 2003 SP2, um gerenciador de e-mails e por fim, cria uma opção no menu de contexto (abre-se com um clicar com o botão direito do mouse) do Windows Explorer que facilita o acesso às opções de criptografia de arquivos.
Etext:Um programa extremamente leve, que não requer instalação e ainda por cima tem resultado imediato! Basta copiar um texto, colar na parte de cima (ao lado de “Plain”) e copiar a codificação na parte de baixo (“E-text”). Quem receber o texto criptografado pelo Etext deverá tê-lo em seu computador também, pois caso contrário não conseguirá ler nada.
BitCrypt: Talvez o mais curioso entre os programas listados, pois ele criptografa textos dentro de imagens! Basta carregar o texto desejado, a imagem, definir uma senha de acesso e pronto! Mas como era de se esperar há algumas restrições de uso: quanto maior o texto, maior a imagem, por exemplo, um texto de 150 caracteres precisa de uma imagem de 24x24 pixels.
iSafeguard
: Contém funções parecidas com o Gpg4win, no entanto, tem o diferencial de realizar diversas operações através de atalhos, fato que o torna bastante prático e rápido, fazendo com que você perca muito menos tempo criptografando e-mails. Além disso, tem uma interface intuitiva e permite que você crie suas chaves, e afins, de maneira muito mais rápida do que o Gpg4win.
VMPC Data Security: Na versão grátis suas variadas funções são limitadas, assim como sua segurança, apesar disso, ele é relativamente fácil de usar e apresenta um design bastante agradável e intuitivo.