Como usar OpenPGP para proteger os seus dados e email

O PGP (Pretty Good Privacy) é um algoritmo de encriptação de dados usado para assegurar a privacidade de emails e ficheiros. Inventado em 1991 por Phil Zimmermann, foi considerado por um especialista de segurança "provavelmente o mais próximo que há da encriptação de nível militar". Na verdade, quando foi lançado, o algoritmo era tão seguro, que o próprio autor foi alvo de uma investigação formal pelo governo dos Estados Unidos da América por "exportação de munições sem licença" (na época, qualquer sistema de encriptação que usasse chaves acima de 40 bits era legalmente considerado "munição" nos EUA e o PGP nunca usou chaves abaixo de 128 bits).

Usando uma série de algoritmos de compressão, criptografia e outros, o PGP é a referência principal em segurança de dados. Recentemente, foi criada a especificação OpenPGP (a que todos os produtos actuais de PGP obedecem) que permitiu um desenvolvimento e adopção mais livres da tecnologia.

Há variadas versões comerciais disponíveis no mercado. Do lado do software livre, o Gnu Privacy Guard (GnuPG ou GPG) é o projecto mais activo e utilizado, e é o GPG que irei usar neste pequeno tutorial.

Cada certificado PGP é composto por duas chaves, uma pública e outra privada e corresponde a um utilizador ou email específico. Quaisquer dados que sejam encriptados usando uma determinada chave pública, podem ser desencriptados unicamente com a chave privada correspondente e a password escolhida durante a criação do certificado. Ou seja, apenas com a chave pública do destinatário é possível encriptar mensagens ou ficheiros que lhe sejam dirigidos.

O Gpg4win é uma colecção de aplicações open source para Windows que permitem utilizar a tecnologia PGP. De gestores de certificados a componentes para o Outlook e Windows explorer, inclui todas as ferramentas de que possa precisar.

Comece por descarregar o Gpg4win (http://www.gpg4win.org/) e iniciar a instalação.

Avance até à selecção dos componentes a instalar. Para usar as ferramentas de PGP incluídas, precisa de um cliente de email compatível. Se não usa o Microsoft Outlook (2003 ou 2007), o Gpg4win inclui o Claws Mail, um cliente de email com suporte para PGP.

Depois de instalar as aplicações, precisa de criar um certificado OpenPGP se não tiver já um. Abra o programa Kleopatra (Iniciar->Programas->Gpg4win->Kleopatra) e prima o botão para criar um novo certificado. Na janela de selecção do formato do certificado, escolha a opção de criar um par de chaves OpenPGP. Se já tem um certificado, pode importá-lo em vez de criar um novo.

A seguir a introduzir os seus dados, o programa irá iniciar a geração do certificado. Nesse processo, são gerados grandes quantidades de números aleatórios. Como os computadores são máquinas que se comportam sempre da mesma forma, é possível prever o número que segue uma determinada série de números gerados aleatoriamente no mesmo processo. Para melhorar a qualidade desse algoritmo, o programa permite que o utilizador interaja com a aplicação introduzindo qualquer texto na caixa disponibilizada para o efeito ou movendo a janela com o rato.

Não se esqueça: a chave privada é o que lhe permite descodificar as mensagens que recebe e ficheiros que tenha encriptado. Nunca a transmita a ninguém e mantenha-a sempre segura.

Evite usar o formato HTML quando encriptar mensagens. Embora seja suportado, muitos clientes de email não conseguem apresentar correctamente a mensagem depois de desencriptada. Nas opções do Outlook, escolha o formato de texto para as mensagens no separador do formato do email.

Nas opções do GpgOL, certifique-se que o suporte para S/MIME está activo.

Finalmente, pode começar a enviar (e receber) emails encriptados com PGP.

Actualmente, o PGP oferece um nível de privacidade na comunicação que o telefone, por exemplo, não tem. As únicas vulnerabilidades alguma vez encontradas no PGP são meramente teóricas e nunca foram exploradas com sucesso na prática. Por outras palavras, não se conhece forma de quebrar a encriptação PGP por meios matemáticos ou computacionais.