8 : assinando e criptografando dados #
Saiba como criar e gerenciar chaves PGP e SSH.
O programa GNOME Passwords and Keys é um componente importante da infraestrutura de criptografia do seu sistema. Com este programa, é possível criar e gerenciar chaves PGP e SSH, importar, exportar e compartilhar chaves, fazer backup das chaves e do chaveiro e armazenar sua frase secreta em cache.
Para iniciar o aplicativo, abra a visão geral de Meta e pesquise por pass
.
8.1 Assinatura e criptografia #
Assinar. Anexar assinaturas eletrônicas a itens de informação, como mensagens de e-mail ou software, para comprovar sua origem. Para evitar que outra pessoa escreva mensagens usando seu nome e para proteger tanto você quanto os destinatários das suas mensagens, assine seus e-mails. As assinaturas ajudam você a confirmar o remetente das mensagens que recebe e distinguir mensagens autênticas das maliciosas.
Os desenvolvedores de software assinam seus softwares para permitir a verificação da integridade de seus produtos. Mesmo que obtenha o software de um servidor não oficial, você poderá verificar o pacote com a assinatura.
Criptografia. Talvez você também tenha informações confidenciais que queira proteger contra o acesso de outras pessoas. A criptografia ajuda a transformar dados e torná-los ilegíveis para outras pessoas. Isso é importante para que as empresas possam proteger informações internas e a privacidade de seus funcionários.
8.2 Gerando um novo par de chaves #
Para trocar mensagens criptografadas com outros usuários, primeiro você deve gerar seu próprio par de chaves. Ele consiste em duas partes:
Chave Pública. Essa chave é usada para criptografia. Distribua-a aos seus parceiros de comunicação para que a utilizem na criptografia de arquivos ou mensagens para você.
Chave privada. Essa chave é usada para decodificação. Use-a para tornar arquivos ou mensagens criptografados de outras pessoas (ou de você mesmo) legíveis novamente.
Se outras pessoas obtiverem acesso à sua chave privada, elas poderão decodificar arquivos e mensagens destinados apenas a você. Nunca conceda acesso à sua chave privada para outras pessoas.
8.2.1 Criando chaves OpenPGP #
O OpenPGP é um protocolo não proprietário destinado a criptografar e-mails com o uso da criptografia de chave pública baseada em PGP. Ele define formatos padrão para mensagens criptografadas, assinaturas, chaves privadas e certificados para troca de chaves públicas.
Abra a visão geral de
e digitepass
.Abra
.Pressione o botão
no canto superior esquerdo da janela.Selecione
na lista.Digite seu nome no campo
.Opcionalmente, adicione seu endereço de e-mail e um comentário para descrever a chave.
Clique em
para criar o novo par de chaves.Na caixa de diálogo de senha, digite uma senha para a chave.
Confirme com
.Quando você especificar uma frase secreta, use as mesmas práticas adotadas para a criação de uma senha forte.
8.2.2 Criando chaves Secure Shell #
SSH (Secure Shell) é um método de login em um computador remoto para executar comandos nessa máquina. As chaves SSH são utilizadas no sistema de autenticação baseado em chave, como uma alternativa ao sistema de autenticação de senha padrão. Com a autenticação baseada em chave, não é necessário digitar manualmente uma senha para se autenticar.
Abra a visão geral de
e digitepass
.Abra
.Pressione o botão
no canto superior esquerdo da janela.Selecione
na lista.Digite uma descrição para a chave.
Se preferir, mude as configurações padrão de tipo de criptografia ou força da chave.
Tipo de criptografia. Especifica os algoritmos de criptografia utilizados para a geração de chaves. Selecione para usar o algoritmo RSA (Rivest-Shamir-Adleman) para criar a chave SSH. Essa é a opção preferencial e também a mais segura. Selecione para usar o algoritmo DSA (Digital Signature) para criar a chave SSH.
Força da chave. Especifica o tamanho da chave em bits. Quanto maior for a chave, mais segura ela será (desde que uma frase secreta forte seja usada). Tenha em mente que a execução de qualquer operação com uma chave maior requer mais tempo do que com uma chave menor. Valores aceitáveis: 1024 a 4096 bits. Mínimo recomendável: 2048 bits.
Confirme com
ou . A última opção orienta você durante a instalação da chave pública.
8.3 Modificando as propriedades da chave #
É possível modificar as propriedades das chaves OpenPGP ou SSH existentes.
8.3.1 Editando as propriedades das chaves OpenPGP #
As descrições nesta seção se aplicam a todas as chaves OpenPGP.
Abra a visão geral de
e digitepass
.Abra
.Selecione
no painel lateral esquerdo.Clique o botão direito do mouse na chave PGP que deseja editar e selecione
.Uma caixa de diálogo é aberta com as seguintes propriedades de chave:
ID da Chave: O ID da Chave é semelhante à Impressão Digital, mas contém apenas os últimos oito caracteres da impressão digital. Em geral, é possível identificar uma chave somente com o ID da Chave, mas, às vezes, duas chaves podem ter o mesmo ID da Chave.
Impressão Digital: String de caracteres exclusiva que identifica uma chave com exatidão.
Expira: A data em que não será mais possível utilizar uma chave (uma chave não poderá mais ser usada para executar operações de chave após o fim da validade). Com a mudança da data de validade de uma chave para uma data futura, ela será habilitada novamente. Uma boa prática geral é ter uma chave master sem data de validade e várias subchaves igualmente sem validade e assinadas pela chave master.
Subchaves: Consulte a Seção 8.3.1.2, “Editando as propriedades das subchaves OpenPGP” para obter mais informações.
Substituir confiança do proprietário: Defina o nível de confiança do proprietário da chave. Confiança é um indicativo da sua certeza em relação à capacidade de uma pessoa estender corretamente o Web of Trust. Quando há alguma chave que você não tenha assinado, a validade dela é determinada com base em suas assinaturas e no nível de confiança que você deposita nas pessoas que fizeram as assinaturas.
Clique no botão de mais para adicionar uma foto à chave ou mudar a frase secreta associada à chave.
IDs de foto permitem ao proprietário de uma chave embutir uma ou mais imagens de si mesmo em uma chave. É possível assinar as identidades da mesma forma que os IDs de usuário normais. Os IDs de foto devem estar no formato JPEG. O tamanho recomendado é de 120 × 150 pixels.
Se a imagem escolhida não atender aos requisitos de tipo ou tamanho de arquivo, o recurso
poderá redimensioná-la e convertê-la simultaneamente de um formato de imagem suportado pela biblioteca GDK.Feche a caixa de diálogo para concluir.
8.3.1.1 Adicionando um ID de usuário #
Os IDs de usuário permitem a utilização de várias identidades e endereços de e-mail com a mesma chave. A adição de um ID de usuário é útil, por exemplo, quando você deseja ter uma identidade para o seu trabalho e outra para os seus amigos. As identidades têm a seguinte forma:
Name (COMMENT) <E-MAIL>
Abra a visão geral de
e digitepass
.Abra
.Selecione o chaveiro
no painel lateral esquerdo.Na lista, selecione a
.Clique o botão direito do mouse na chave e selecione
› .Na caixa de diálogo, preencha
, e para o novo ID de usuário e clique em .A maioria das pessoas encontra a chave em um servidor de chaves ou outro provedor de chaves pelo endereço de e-mail. Verifique se ele está correto antes de continuar.
Insira a frase secreta e clique em
para concluir.
8.3.1.2 Editando as propriedades das subchaves OpenPGP #
Todas as chaves OpenPGP têm uma única chave master usada apenas para assinaturas. As subchaves são usadas para criptografia e assinatura também. Dessa forma, se a subchave for comprometida, não será necessário revogar a chave master.
Abra a visão geral de
e digitepass
.Abra
.Selecione
na lista.Selecione
na lista.Clique o botão direito do mouse na chave selecionada e escolha
.Escolha as propriedades da sua chave.
Feche a caixa para confirmar as mudanças.
8.3.2 Editando as propriedades das chaves Secure Shell #
As descrições nesta seção se aplicam a todas as chaves SSH.
Abra a visão geral de
e digitepass
.Abra
.Selecione
na lista e clique o botão direito do mouse na chave que deseja editar.Uma caixa de diálogo é aberta na qual você pode ver e editar as seguintes propriedades:
Algoritmo: especifica o algoritmo de criptografia usado para gerar uma chave.
Localização: o local onde a chave privada foi armazenada.
Impressão Digital: String de caracteres exclusiva que identifica uma chave com exatidão.
Exportar: exporta a chave para um arquivo.
Feche a caixa de diálogo para confirmar as mudanças.
8.4 Importando chaves #
É possível exportar chaves para arquivos de texto. Esses arquivos contêm texto legível no início e no fim de uma chave. Esse formato é chamado de chave protegida por ASCII.
Para importar chaves, proceda da seguinte maneira:
Abra a visão geral de
e digitepass
.Abra
.Pressione o botão
no canto superior esquerdo.Selecione
na lista.Na caixa de diálogo, selecione a chave que será importada. As chaves SSH públicas terminam com
pub
.Clique em
para importar a chave.
Também é possível colar chaves em
:Selecione um bloco de texto público protegido por ASCII e copie-o na área de transferência.
Abra a visão geral de
e digitepass
.Abra
.Pressione o botão
no canto superior esquerdo.Cole a chave no local apropriado.
8.5 Exportando chaves #
Para exportar chaves, proceda da seguinte maneira:
Abra a visão geral de
e digitepass
.Abra
.Selecione o chaveiro
que deseja exportar no painel lateral esquerdo.Selecione a
que será exportada.Clique o botão direito do mouse na chave e selecione
.Para armazenar a chave no formato
ASCII
, selecione .Escolha um local e confirme com
.
8.6 Assinando uma chave #
Ao assinar a chave de outra pessoa, você mostra que confia nela. Antes de assinar uma chave, verifique cuidadosamente a impressão digital dela para assegurar sua procedência.
Confiança é um indicativo da sua certeza em relação à capacidade de uma pessoa estender corretamente o Web of Trust. Quando há alguma chave que você não tenha assinado, a validade dela é determinada com base em suas assinaturas e no nível de confiança que você deposita nas pessoas que fizeram as assinaturas.
Abra a visão geral de
e digitepass
.Abra
.Importe a chave que será assinada.
Na lista de
, selecione a chave importada.Clique o botão direito do mouse na chave e selecione
› .Clique no botão
.Escolha o nível de atenção usado para verificar a chave.
Escolha entre revogar sua assinatura em uma data posterior e torná-la pública.
Clique em
para confirmar.
8.7 Chaveiros de senhas #
Utilize as preferências de chaveiro de senhas para criar ou remover chaveiros, definir o chaveiro padrão para senhas de aplicativos ou mudar a senha de desbloqueio de um chaveiro. Para criar um novo chaveiro, siga estas etapas:
Abra a visão geral de
e digitepass
.Abra
.Clique no botão
no canto superior esquerdo.Selecione
na lista.Digite um nome para o chaveiro e clique em
.Defina e confirme uma nova
para o chaveiro e clique em para criar o chaveiro.
Para mudar a senha de desbloqueio de um chaveiro existente, clique o botão direito do mouse no chaveiro na guia
e clique em . É necessário informar a senha antiga para poder mudá-la.Para mudar o chaveiro padrão para senhas de aplicativos, clique o botão direito do mouse no chaveiro na guia
e clique em .8.8 Servidores de chaves #
É possível manter suas chaves atualizadas sincronizando-as periodicamente com os servidores de chaves remotos. A sincronização garante que você tenha as assinaturas mais recentes feitas em todas as suas chaves, de forma que o Web of Trust seja efetivo.
Abra a visão geral de
e digitepass
.Abra
.Selecione a chave PGP que deseja sincronizar.
Pressione o botão de menu na barra de cabeçalho.
Selecione
.Servidores de chaves HKP: Os servidores de chaves HKP são servidores de chaves comuns com base na Web, como o popular
hkp://pgp.mit.edu:11371
, também disponível em http://pgp.mit.edu.Servidores de chaves LDAP: Os servidores de chaves LDAP são menos comuns, mas utilizam o protocolo LDAP padrão para fornecer as chaves.
ldap://keyserver.pgp.com
é um servidor LDAP recomendado.Você pode
ou servidores de chaves utilizando os botões à esquerda. Para adicionar um novo servidor de chaves, defina seu tipo, host e porta, se necessário.Defina se você deseja publicar automaticamente as chaves públicas e qual servidor de chaves utilizar. Defina se você deseja recuperar as chaves automaticamente dos servidores de chaves e sincronizar as chaves modificadas com os servidores de chaves.
Clique no botão
para sincronizar sua chave.
8.9 Compartilhamento de chaves #
O Compartilhamento de Chaves é oferecido pelo DNS-SD, também conhecido como Bonjour ou Rendezvous. Quando o compartilhamento de chaves é habilitado, os chaveiros públicos dos usuários de
locais são adicionados à caixa de diálogo de pesquisa remota. Em geral, é mais rápido utilizar esses servidores de chaves locais do que acessar servidores remotos.Abra a visão geral de
e digitepass
.Abra
.Selecione
no painel lateral esquerdo.Na lista, selecione a
que será compartilhada.Pressione o botão de menu na barra de cabeçalho.
Selecione
.Pressione o botão
para ver a lista de servidores de chave.Para publicar sua chave, selecione um servidor no menu. Feche a janela e volte para a caixa de diálogo anterior.
Pressione
para concluir.