[TUTORIAL] Como criptografar seus e-Mails e arquivos

Amanda Santini · 19 de outubro de 2015

Neste tópico, estarei demonstrando como criar suas chaves GPG, como fazer o upload delas para um servidor de chaves, e como criptografar/assinar digitalmente seus e-Mails.

Para os propósitos deste tópico, estarei usando o ambiente gráfico KDE 5, e como programa de e-Mail usarei o KMail. Se você desesperadamente precisa usar o Thunderbird então me mande uma mensagem privada que eu incluirei ele aqui o quanto antes.

Primeiro, vamos começar com a seguinte pergunta: Por quê você deveria criptografar seus e-Mails?

Para responder a esta pergunta, você pode olhar em outros aspectos da sua vida. Quando você tem "coisas" importantes, você as coloca em lugares seguros (como cofres) para que ninguém tenha acesso fácil a essas coisas. Quando lidamos com mensagens eletrônicas podemos considerar algumas destas como importantes também, mas mesmo assim a maioria das pessoas não criptografa e-Mails, talvez porque acham que ninguém pode chegar até estes e-Mails, porque supostamente ninguém mais tem a senha da conta de e-Mail. Mas será que isso é verdade?

"Hell no".

Nos dias de hoje, os provedores de e-Mail (como Google) possuem uma conexão segura com você, via https. Isso assegura que ninguém exceto você e a Google possam ver tais comunicações (assumindo que seu sistema operacional não foi comprometido). Outros provedores de e-Mail não usam tal tipo de conexão segura.

Em ambos os casos seus e-Mails podem ser lidos. Vamos ver o porquê.

Conexões http não são criptografadas. Se um atacante, que está entre você e o servidor de e-Mail, tem más intenções, este pode bisbilhotar suas comunicações com aquele servidor e até mesmo se passar por você ou o servidor, ataque esse conhecido como "Ataque do homem do meio", "onde o atacante faz conexões independentes com as vítimas e troca mensagens entre estes para fazê-los acreditar que estão conversando diretamente entre si em uma conexão privada" [1] [2].

Nas conexões https, sua comunicação com o servidor é criptografada, por SSL ou TLS. Contudo, a Google ainda lê todos seus e-Mails para que ela possa obter dados sobre você. Na maior parte das vezes, esses dados são usados para "mirar" propagandas em você.

Então como você poderia se comunicar seguramente com um(a) amigo(a) de tal forma que somente você e ele falem entre si? Criptografando suas mensagens para que a Google (ou outras empresas como Yahoo, Microsoft [outlook], etc) não consigam ler seus e-Mails.

Então, vamos começar!

Primeiramente, abra seu Terminal. É através dele que vamos digitar todos os comandos necessários para criar nossas chaves GPG (GnuPrivacyGuard).

Se você é novato em Linux e só quer uma chave que funcione fora-da-caixa (sem configurá-la), use o seguinte comando:

gpg --gen-key

Apenas coloque seu nome (se quiser), seu endereço de e-Mail, e sua senha da chave - não é a senha do e-Mail!

Lembre-se: essa chave padrão NUNCA vai expirar. Você talvez queira editá-la posteriormente (com o comando "gpg --edit-key"), ou talvez queira criar suas chaves de um modo mais aprofundado como mostrado abaixo.

NOTA: "gpg --gen-key" é um comando que, em sistemas Linux mais antigos (com GPG versão 2.0.26 ou anterior), criará a chave de forma avançada. Novas versões do GPG criarão a chave fora-da-caixa mencionada acima e requerirão o comando "gpg --full-gen-key" para criar uma chave customizada.

Guiarei os usuários mais avançados pelo processo avançado, que é criar chaves GPG customizadas.

Vamos começar

O primeiro comando é, obviamente, para criar a nossa chave.
Com o propósito de tornar este tutorial o mais real possível, estarei usando um endereço de e-Mail real que será deletado ao final deste tutorial.

O comando:

$ gpg --full-gen-key

Meu resultado:

[amarildo@[member="amarildo"] ~]$ gpg --full-gen-keygpg (GnuPG) 2.1.7; Copyright (C) 2015 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law.Please select what kind of key you want:  (1) RSA and RSA (default)  (2) DSA and Elgamal  (3) DSA (sign only)  (4) RSA (sign only)Your selection?

Se você quiser criar uma chave para criptografar E assinar e-Mails/arquivos, escolha 1. Se você quiser criar chaves somente para assinar e-Mails, escolha 4. Usarei minha chave para criptografar/assinar ambos e-Mails e arquivos:

Your selection? 1

RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (2048)

Eu sempre escolho chaves de tamanho 4096 bits. Você pode escolher entre 1024, 2048, e 4096.
Minha escolha:

RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (2048) 4096Requested keysize is 4096 bits

Please specify how long the key should be valid.  0 = key does not expire  <n>  = key expires in n days  <n>w = key expires in n weeks  <n>m = key expires in n months  <n>y = key expires in n yearsKey is valid for? (0)

É aqui que você escolhe por quanto tempo as chaves ficarão válidas. Pessoalmente, creio que algo entre 2 e 5 anos é um bom período para uso pessoal.

Se você quiser que a chave dure para sempre, aperte ENTER. Assim o GPG usará o número 0 que está sendo mostrado acima.

Para especificar oturos valores:
"500" (ou qualquer número) especifica a validade em dias.
"2w" especifica a validade em semanas. Nesse caso, 2 w (weeks) significa uma validade de 2 semanas.
"3m" especifica a validade em meses. Neste caso, 3 m (months) significa uma validade de 3 mêses.
"5y" especifica a validade em anos. Neste caso, 5 y (years) significa uma validade de 5 anos.

Aqui está a minha escolha:

Please specify how long the key should be valid.  0 = key does not expire  <n>  = key expires in n days  <n>w = key expires in n weeks  <n>m = key expires in n months  <n>y = key expires in n yearsKey is valid for? (0) 5y

Key expires at Ter 01 Set 2020 22:44:35 UTCIs this correct? (y/N) y

Agora, isto aparecerá:

GnuPG needs to construct a user ID to identify your key.Real name: AmarildoEmail address: [email protected]:You selected this USER-ID:  "Amarildo <[email protected]>""Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Reveja seu nome, endereço de e-Mail, e comentários. Se tudo estiver OK, então pressione "O" e depois ENTER.

Agora vem a parte mais importante: a senha.

Eu tenho uma memória bem boa, então é fácil para eu decorar senhas boas. Se você quiser testar meu método de criação de senhas então siga este pequeno tutorial que criei.

Agora uma janela de diálogo aparecerá. Digite sua senha duas vezes e clique OK. O GPG irá gerar entropia para sua senha/chave; deixe ele trabalhando. Geralmente eu fico jogando até que a entropia esteja completa.
Em versões mais antigas do GPG a criação da entropia é MUITO rápida, coisa de segundos, mas nas versões mais modernas levará alguns minutos.

Quando a geração de entropia terminar, você deverá ver algo assim:

gpg: checking the trustdb   gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust modelgpg: depth: 0  valid:  1  signed:  0  trust: 0-, 0q, 0n, 0m, 0f, 1ugpg: next trustdb check due at 2020-09-28pub  4096R/19EE1346 2015-09-30 [expires: 2020-09-28]  Key fingerprint = D657 88E4 77EC 7639 F561  74EF 8F08 A13B 19EE 1346uid  [ultimate] Amarildo <[email protected]>sub  4096R/DC3F9091 2015-09-30 [expires: 2020-09-28]

A criação das chaves está pronta. Fácil, não? Temos então uma chave particular, usada para garantir a nossa identidade; e uma chave pública, para que nossos recipientes (pessoas que recebem nossas "coisas" criptografadas/assinadas) consigam decifrar nossa mensagem/arquivo.

Antes que possamos criptografar/assinar nossas "coisas" precisamos ter certeza que o recipiente (pessoa que receberá as "coisas" criptografadas) consiga des-criptografá-las. Para isto, iremos fazer o upload de nossa chave para um servidor de chaves. Para fazer o upload ao servidor do gnu.org, digite o seguinte comando:

gpg --send-keys 19EE1346

Aqui está meu resultado:

amarildo@[member="amarildo"]:~> gpg --send-keys 19EE1346gpg: sending key 19EE1346 to hkp server keys.gnupg.netamarildo@[member="amarildo"]:~>

NOTA: em versões recentes do GPG você talvez tenha mais verbosidade se o upload das chaves der certo.

Para que seu/sua amigo(a) receba sua chave, ele(a) precisa digitar este comando:

gpg --recv-keys NUMERO-DA-CHAVE

Isso permitirá que seu/sua amigo(a) use sua chave pública para descriptografar e-Mails/arquivos e garantir que foi você mesmo quem os enviou. No meu caso, se eu quisesse que um determinado amigo conseguisse decifrar um e-Mail meu, eu diria para ele usar o seguinte comando (que está relacionado a chave que eu criei anteriormente):

gpg --recv-keys 19EE1346

Agora vamos usar o KMail para criptografar/assinar nossos e-Mails. Esta parte do tutorial terá imagens para que todos possam seguir de forma mais fácil.

A primeira coisa que abrirá quando você entrar no KMail é o Assistente de Contas. Esta ferramenta permite que você configure sua conta de e-Mail. Essa é a primeira coisa que você verá:

Agora, você terá que escolher entre IMAP ou POP3. Eu escolherei IMAP pois não quero encher minha pasta /home com e-Mails, e porque tenho a opção de baixar os e-Mails posteriormente se assim desejar.

Na mesma página/janela, clique em "Create Account" (criar conta).

Agora o programa KWallet abrirá. Se você não quer que o KWallet gerencie sua senha/chave, clique em "Basic Setup" (configuração básica) e DESMARQUE a caixa que diz "Yes, I wish to use KDE wallet to store my personal information" ("Sim, eu quero que o KWallet gerencie minha informação pessoal").

Eu escolhi usar o KWallet para tal função, então eu ainda vou clicar em Basic Setup:

E então seleciono "Use GPG Encryption, for better protection" ("use criptografia GPG, para melhor proteção"):

Agora, a minha chave GPG deverá aparecer automaticamente. Se a sua não aparece, clique no menu que desce e selecione sua chave.

Uma caixa de diálogo aparecerá. Digite a senha da sua chave, a senha que você usou ao criar sua chave.

Tudo deverá estar configurado neste ponto. Se não estiver, me mande uma Mensagem Privada e eu verei se posso lhe ajudar. Se eu achar que posso, adicionarei a solução ao tópico.

Agora, clique no botão "New" (novo) para que possamos criar a nossa primeira mensagem criptografada.

Crie sua mensagem, e não esqueça de marcar "Sign" (assinar) e "Encrypt" (criptografar).

Agora, clique em Send ("Enviar"). Será preciso que você digite sua senha toda vez que mandar uma mensagem criptografada, por segurança.

PRONTO!

Feliz criptografia!