Em 1991, Phil Zimmermann criou o Pretty Good Privacy (PGP), um programa criptográfico que, pela primeira vez, dava ao indivíduo médio uma criptografia quase militar. Ao longo dos anos, o código fonte do PGP foi lançado e um padrão aberto - OpenPGP - acabou por nascer. Isso abriu o caminho para uma miríade de produtos de código aberto que continuam a oferecer algumas das melhores criptografias disponíveis.
Quem deve usar o OpenPGP
Ao longo da história do PGP, e criptografia em geral, tem havido inúmeros críticos promovendo a teoria de que apenas aqueles com algo nefasto para se esconder têm qualquer razão para usar uma criptografia tão forte. De fato, pouco depois de seu desenvolvimento inicial, Zimmermann se viu alvo de uma investigação do governo dos EUA quando o PGP encontrou seu caminho fora dos EUA, violando leis que proibiam a exportação de criptografia tão poderosa.
Na verdade, existem muitas razões pelas quais uma pessoa deve usar criptografia, especialmente no contexto da comunicação digital. Embora muitas pessoas pensem que o email é algo relativamente privado e seguro, com poucas exceções, nada poderia estar mais longe da verdade.
E-mail é mais parecido com um cartão postal do que uma carta privada e selada. Assim como um cartão postal passa por vários depósitos, agências postais, caminhões de correspondência e mãos individuais - com sua mensagem simples de se ver -, um e-mail viaja através de uma miríade de servidores individuais em rota do remetente até o destinatário final.
Ao longo do caminho, um operador de servidor inescrupuloso poderia ver o conteúdo de tais e-mails, sem que o remetente ou destinatário soubesse que sua privacidade havia sido comprometida.
Embora isso não traga muita preocupação ao compartilhar um vídeo bonitinho de estimação ou sua nova receita favorita, as apostas se tornam muito maiores quando os membros da família discutem questões financeiras ou de saúde, um executivo discute uma política corporativa interna, um programador compartilha código-fonte com outro desenvolvedor, ou qualquer número de situações legítimas em que seja importante poder se comunicar e compartilhar informações, ou até mesmo arquivos, de maneira segura e privada.
É justamente esse tipo de situação que faz do OpenPGP uma ferramenta importante para qualquer pessoa preocupada com a privacidade e a segurança.
Como funciona
Em sua essência, o OpenPGP é um sistema de criptografia de chave pública. Esse tipo de criptografia usa um par de chaves pública / privada para criptografar e descriptografar dados. Com a criptografia de chave pública, quando os dados são criptografados com uma chave pública, somente a chave privada correspondente pode descriptografá-la.
Quando você instala pela primeira vez um cliente OpenPGP, é solicitado que você crie um conjunto de pares de chaves e carregue sua chave pública nos principais servidores, permitindo que as pessoas pesquisem por seu nome ou endereço de e-mail associado.
Além disso, o OpenPGP também ajuda as pessoas a verificar a autenticidade e integridade de uma mensagem ou arquivo criptografado graças à assinatura digital incluída. Muitas empresas de software incluirão uma assinatura digital PGP, juntamente com o instalador de seu software, que os clientes poderão verificar para verificar a integridade de um download e ajudar a garantir que ele não tenha sido adulterado ou comprometido para incluir código mal-intencionado.
Como usá-lo
Apesar do valor do OpenPGP, a única coisa que impediu sua adoção generalizada é a facilidade de uso. Como muitas aplicações poderosas, sua barreira de entrada pode às vezes ser maior do que muitos usuários querem lidar.
Embora haja uma infinidade de clientes OpenPGP - muito mais do que o escopo deste artigo pode cobrir - as etapas abaixo devem fornecer um guia geral para instalar e usar o OpenPGP.
Baixe um cliente
Ao fazer o download de um cliente OpenPGP, a primeira opção é decidir se você deseja baixar o PGP comercial da Symantec ou usar um dos clientes de código aberto gratuitos disponíveis.
Geralmente, o aplicativo comercial oferece a experiência mais simplificada e aprimorada, com opções para Mac, Windows e iOS, enquanto os clientes de código aberto adicionam suporte para Linux e Android, sem mencionar a gratuidade.
Crie as chaves
O próximo passo é criar suas chaves públicas / privadas. Ser-lhe-á pedido o seu nome e endereço de e-mail, bem como a senha que você irá inserir criptografando e descriptografando os dados.
Embora haja algumas opções de algoritmos a serem usados para criar as chaves, para a maioria das pessoas, escolher o algoritmo RSA padrão para assinar e criptografar é a melhor opção. Quanto maior a chave, mais forte é a criptografia. No momento da publicação, as chaves de 2048 bits foram fatoradas ou hackeadas, embora os recursos necessários estivessem muito além da aplicação prática, tornando a chave de 2048 bits ainda viável para necessidades de segurança moderadas.
Como uma chave de 4096 bits é quase exponencialmente mais forte do que 2048 bits, uma chave de 4096 bits é considerada inalcançável no futuro previsível.
Carregar a chave
Depois que suas chaves forem criadas, o próximo passo será enviar sua chave pública para que outras pessoas possam encontrá-la. Uma vez que sua chave é carregada, qualquer pessoa com um cliente OpenPGP poderá pesquisar sua chave com base em seu endereço de e-mail e usá-la para criptografar e-mails e arquivos que só você pode abrir.
Você também pode enviar sua chave pública diretamente para pessoas com quem você se comunica regularmente, para que possam usá-la para criptografar arquivos e e-mails destinados a você.
Integrar com seu aplicativo de e-mail
Como a criptografia de e-mail é um dos usos fundamentais da criptografia OpenPGP, a próxima etapa é a integração com o programa de e-mail escolhido. Muitos pacotes, como o GPG Suite da GPGTools, instalam automaticamente um plug-in para clientes de e-mail populares, incluindo o Apple Mail, o Microsoft Outlook ou o Mozilla Thunderbird.
Ao enviar e-mail para alguém cuja chave PGP você possui, seu software OpenPGP deve dar a opção de criptografar e / ou assinar o e-mail. Da mesma forma, ao receber um email que foi criptografado usando sua chave pública, o software solicitará que você descriptografe a mensagem.
Sem dúvida, a criptografia OpenPGP é uma ferramenta poderosa para consumidores e profissionais. Embora a curva de aprendizado possa ser um pouco mais acentuada do que muitas pessoas estão acostumadas, os benefícios valem a pena.
Seja um jornalista trabalhando em um ambiente perigoso, um empresário discutindo uma política interna delicada, desenvolvedores compartilhando código ou membros da família enviando informações pessoais uns aos outros, o OpenPGP oferece aos seus usuários a tranqüilidade que vem com a criptografia quase militar.
