Como utilizar PGP para Mac OS X

Para utilizar o PGP e trocar emails seguros você precisará juntar três programas: GnuPG, Mozilla Thunderbird e Enigmail. O GnuPG é o programa que encripta e decripta o conteúdo do seu email, o Mozilla Thunderbird é o cliente de email que permite que você leia e escreva emails sem a necessidade de um navegador, e o Enigmail é uma extensão para o Mozilla Thunderbird que unifica tudo isso.

Este guia ensina como utilizar o PGP com o Mozilla Thunderbird, um programa cliente de email que desempenha uma função semelhante à do Outlook. Você pode usar seu programa de software de email favorito (ou utilizar um email da web como Gmail ou Outlook.com). Este guia não lhe ensinará como utilizar o PGP com esses programas. Você pode escolher entre instalar o Thunderbird e testar o PGP com um novo cliente de email, ou você pode pesquisar outras soluções para utilizar o PGP com seu software habitual. Nós ainda não encontramos uma solução satisfatória para esses programas.

Utilizar o PGP não encripta completamente seu email, de forma que as informações de remetente e destinatário estejam encriptadas. Encriptar informações de remetente e destinatário quebraria o email. O que a utilização do Mozilla Thunderbird com a extensão do Enigmail fornece é uma forma fácil de encriptar o conteúdo do seu email.

Você primeiro baixará todo os programas necessários, fará a instalação, e em seguida concluirá com as configurações e como utilizar os resultados.

O Pretty Good Privacy (PGP) é uma maneira de proteger suas comunicações por e-mail de serem lidas por qualquer pessoa, exceto pelos seus destinatários especificados. Isso pode proteger você contra empresas, governos ou criminosos que queiram espionar sua conexão de Internet e, em menor escala, pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.

Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa, e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você estiver sendo alvo de vigilância ou de desinformação.

Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão junto com o seu programa de e-mail. Precisará também criar uma chave privada, que deve ser mantida privada. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados, e assinar digitalmente os e-mails que envia de forma a comprovar que eles realmente vieram de você. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que outros precisam conhecer antes que possam lhe enviar e-mails criptografados ou verificar os e-mails que você envia.

Obtendo e Instalando o GnuPG Anchor link

Você pode obter o GnuPG (também conhecido como GPG) no Mac OS X baixando o instalador pela página de downloads do GnuPG.

Clique em GnuPG for OS X próximo a “Simple installer for GnuPG modern”, o que baixará o instalador do GPG.

Você será redirecionado(a) para o site de downloads SourceForge.

Obtendo o Mozilla Thunderbird Anchor link

Vá para o site do Mozilla Thunderbird.

Clique no botão verde de nome “Free Download”. O site do Mozilla Thunderbird terá detectado seu idioma favorito. Se você deseja usar o Thunderbird em outro idioma, clique no link “Systems & Languages” e selecione seu idioma.

Instalando o GnuPG Anchor link

Clique no ícone de Download na Barra, e em seguida clique no arquivo GnuPG-2.11-002.dmg.file

Uma janela abrirá, indicando seu progresso.

Uma janela abrirá, fornecendo uma visão geral do arquivo de Instalação e alguns outros arquivos. Clique no ícone “Install.pkg”.

Em seguida, uma janela abrirá iniciando a instalação guiada. Clique no botão “Continue”.

O GnuPG é instalado como um pacote de sistema e requer seu nome de usuário(a) e senha para instalação. Insira sua senha e clique em “Install Software”.

Você verá uma janela que dirá “The instalation was successful”. Clique no botão “Close”.

Instalando o Mozilla Thunderbird Anchor link

Clique no ícone de Download na barra, e em seguida clique no arquivo Thunderbird 45.2.0.dmg.file.

Uma janela abrirá indicando seu progresso.

Uma janela se abrirá com o ícone do Thunderbird e um link para sua pasta de Aplicativos. Arraste o Thunderbird para a pasta de Aplicativos.

Uma nova janela com uma barra de progresso abrirá. Quando estiver concluída, ela fechará.

Garanta que você ejetou os arquivos DMG montados.

Preparação para a instalação do Enigmail Anchor link

Quando o Mozilla Thunderbird abre pela primeira vez, o Mac OS X perguntará se você tem certeza se deseja abrí-lo. O Mozilla Thunderbird foi baixado a partir do mozilla.org e deve ser seguro. Clique no botão “Open”.

O Mozilla Thunderbird pode ser integrado à agenda de endereços do Mac OS X. Deixamos a escolha a você.

Quando iniciar o Mozilla Thunderbird pela primeira vez, você verá uma pequena janela de confirmação perguntando sobre algumas configurações padrão. Recomendamos clicar no botão “Definir como Padrão”.

Quando o Mozilla Thunderbird abre pela primeira vez, você será questionado(a) se deseja um novo endereço de email. Clique no botão “Skip this and use my existing email”. Agora você irá configurar o Mozilla Thunderbird para receber e enviar email. Se você está acostumado(a) somente a ler e enviar e-mails através do gmail.com, outlook.com ou yahoo.com, o Mozilla Thunderbird será uma experiência nova, mas não será um grande mistério.

Adicionando uma conta de e-mail no Mozilla Thunderbird Anchor link

Uma nova janela abrirá:

Digite o seu nome, endereço de e-mail e senha da sua conta de e-mail. A Mozilla não tem acesso à sua senha ou conta de e-mail. Clique no botão “Continue”.

Em muitos casos o Mozilla Thunderbird detectará as configurações necessárias.

Em alguns casos, o Mozilla Thunderbird não tem todas as informações e você mesmo(a) precisará digitá-las. Aqui está um exemplo das instruções que o Google fornece para o Gmail:

  • Servidor de Entrada de E-mail (IMAP) - Requer SSL
    • imap.gmail.com
    • Porta: 993
    • Requer SSL: Sim
  • Servidor de Saída de E-mails (SMTP) - Requer TLS
    • smtp.gmail.com
    • Porta: 465 ou 587
    • Requer SSL: Sim
    • Requer autenticação: Yes
    • Utilize as mesmas configurações do servidor de entrada de e-mail
  • Nome Completo ou Nome de Exibição: [seu nome ou pseudônimo]
  • Nome da Conta ou Nome de Usuário: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuários da Google Apps, digitar nomedeusuario@seu_dominio.com
  • Endereço de e-mail: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuário da Google Apps, digitar nomedeusuario@seu_dominio.com
  • Senha: sua senha do Gmail

Se você utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça, provavelmente deveria utilizar!) você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Então, para acessar sua conta do Gmail, você precisará criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.

Quando todas as informações forem inseridas corretamente, clique no botão “Done”.

O Mozilla Thunderbird começará o download de cópias do seu email para o seu computador. Tente enviar uma email de teste para seus amigos.

Instalando o Enigmail Anchor link

O Enigmail é instalado de maneira diferente do Mozilla Thunderbird e do GnuPG. Conforme mencionado anteriormente, o Enigmail é um Add-on para o Mozilla Thunderbird. Clique no botão “Menu”, também chamado de botão Hamburger e selecione “Add Ons”.

Você será levado(a) para uma aba de gerenciamento de Add-ons. Digite “Enigmail” no campo de pesquisa de Add-on para localizar o Enigmail no site de Add-on do Mozilla.

O Enigmail será a primeira opção. Clique no botão “Install”.

Após a instalação do Add-on Enigmail, o Mozilla Thunderbird pedirá para reiniciar o browser para ativar o Enigmail. Clique no botão “Restart Now” e o Mozilla Thunderbird irá reiniciar.

Quando o Mozilla Thunderbird reinicia, uma janela adicional abrirá para configurar o Add-on Enigmail. Mantenha o botão “Start setup now” selecionado e clique no botão “Continue”.

Acreditamos que a configuração padrão (standard configuration) é uma boa escolha. Clique no botão “Continue”.

Agora você iniciará a criação das suas chaves pública e privada.

Criando uma chave pública e uma chave privada Anchor link

Ao menos que você já tenha configurado mais de uma conta de email, o Enigmail escolherá a conta de email que você tiver configurado. A primeira coisa que você precisará fazer é criar uma passphrase forte para sua chave privada.

Clique no botão “Continue”.

Após certo tempo, a sua chave irá expirar; embora você não receba qualquer aviso ou explicação quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento(a) a isso mais ou menos um mês antes da data de expiração.

É possível estender o prazo de validade de uma chave existente fornecendo-lhe uma nova data, ou é possível substituí-la criando uma nova chave a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e se assegure de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrar tudo, faça um lembrete para si próprio(a) ou considere a criação da chave de forma que nunca expire, embora, nesse caso, outras pessoas poderão tentar utilizá-la quando entrarem em contato com você no futuro, mesmo que você não tenha mais a chave privada ou não utilize mais a PGP.

O Enigmail gerará a chave e, quando terminar, abrirá uma pequena janela pedindo que você gere uma certificado de revogação. É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privada inválidas. É importante observar que a mera exclusão da chave privada não invalida a chave pública, e consequentemente as pessoas poderão lhe enviar mensagens criptografadas que você não conseguirá decriptar.

Primeiramente, você será solicitado(a) a fornecer a passphrase que utilizou quando criou a chave do PGP. Clique no botão “OK”.

Uma janela abrirá para fornecer a você um local para salvar o certificado de revogação. Enquanto você pode salvar o arquivo para o seu computador nós recomendamos que você salve o arquivo em um drive USB que você não esteja utilizando para nada além, e guarde o drive em um local seguro. Também recomendamos que remova o certificado de revogação do computador com as chaves, a fim de evitar uma revogação não intencional. Melhor ainda, salve esse arquivo em um disco encriptado. Escolha a localização onde você salvará o arquivo e clique no botão “Save”.

Agora o Enigmail lhe dará novamente informações adicionais sobre como salvar o certificado de revogação. Clique no botão “OK”.

Finalmente, suas chaves pública e privada estarão criadas. Clique no botão “Done”.

Passos de configuração opcional Anchor link

Mostrar Digitais e Validade da Chave

Os próximos passos são completamente opcionais mas podem ser úteis quando você utiliza OpenPGP e Enigmail. Resumidamente, a Chave ID é uma pequena parte da impressão digital. Quando a questão é verificar se uma chave pública pertence a uma pessoa em particular, a impressão digital é a melhor maneira. Mudar a exibição padrão torna mais fácil ler as impressões digitais dos certificados que você conhece. Clique no botão configuration, e então na opção Enigmail, e em seguida em Key Management.

Uma janela será aberta mostrando duas colunas: Nome e ID da Chave

Na extremidade da direita há um pequeno botão. Clique nesse botão para configurar as colunas. Clique para desmarcar a opção ID da chave e clique na opção Digital.

Agora haverá três colunas: Name, Key Validity e Fingerprint.

Encontrando outras pessoas que estão utilizando PGP Anchor link

Obtendo uma chave pública por e-mail

Você pode obter uma chave pública enviada a você como um anexo de email. Clique no botão “Import Key”.

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

Se você recarregar o email original você verá que a barra sobre o email mudou.

Se você abrir a janela com a chave de gerenciamento do Enigmail novamente, você poderá checar o resultado. Sua chave PGP estará em negrito porque você possui tanto a chave privada quanto a pública. A chave pública que você acabou de importar não está em negrito porque você não contém a chave privada.

Obtendo uma chave pública como um arquivo

É possível que você obtenha uma chave pública fazendo download da chave em um site, ou alguém pode tê-la enviado através de um software de bate-papo. Neste caso, consideremos que você tenha feito download do arquivo para a pasta Downloads.

Abra o Gerenciador de Chaves (Key Manager) do Enigmail.

Clique no menu “File”. Selecione “Import Keys from File”.

Selecione a chave pública. Ela deverá ter diferentes nomes finais de arquivo como .asc, .pgp ou .gpg. Clique no botão “Open”.

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

A new window will open with the results of the import. Click the “OK” button.

Obtendo uma Chave Pública a partir de uma URL

É possível obter uma chave pública baixando-a diretamente de uma URL

Abra o Gerenciador de Chaves do Enigmail e clique no menu “Editar”. Selecione “Import Keys from URL”.

Insira a URL. A URL pode ter diversos formatos. Na maioria das vezes é provavelmente um nome de domínio terminando em um arquivo.

Uma vez que você tiver a URL correta, clique no botão “OK”.

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

Se você olhar em https://www.eff.org/about/staff você verá um link “PGP Key” abaixo das fotos dos funcionários. A chave PGP do Danny O’Brien, por exemplo, pode ser encontrada em: https://eff.org/files/pubkeydanny.txt.

Obtendo uma chave pública a partir de um servidor de chaves

Servidores de chave podem ser uma maneira útil de obter uma chave pública. Tente procurar uma chave pública.

Na interface Key Management clique no menu “Keyserver” e selecione “Search for Keys”.

Uma janela pequena abrirá com um campo de pesquisa. Você pode pesquisar por um endereço completo de email, um endereço parcial de email, ou um nome. Neste caso, você selecionará as chaves contendo samir@samirnassar.com. Clique no botão “OK”.

Uma janela maior aparecerá com muitas opções. Se você descer você notará que algumas chaves são itálicas ou cinzentas. Essas são chaves que foram ou revogadas ou expiraram por conta própria.

Nós temos diversas chaves PGP para Samir Nassar e ainda não sabemos qual delas escolher. Uma das chaves está em itálico cinza, o que significa que foi revogada. Uma vez que ainda não sabemos qual delas queremos, importaremos todas elas. Selecione as chaves clicando na caixa na esquerda e então aperte o botão “OK”.

Uma janela pequena de notificação aparecerá informando se você teve sucesso. Clique no botão “OK”.

O Gerenciador de Chaves do Enigmail mostrará agora as chaves adicionadas:

Note que das três chaves importadas, uma expirou, outra foi revogada, e uma é atualmente uma chave válida:

Permitindo que outras pessoas saibam que você usa o PGP Anchor link

Agora que você tem o PGP, você quererá que outras pessoas saibam que você está usando para que elas também possam enviar a você mensagens encriptadas usando o PGP.

Utilizar o PGP não encripta completamente o seu email de forma que o remetente e a informação recebida estejam criptografadas. Encriptar as informações de rementente e destinatário quebrariam o email. Utilizar o Thunderbird com o add-on Enigmail fornece a você uma forma fácil de encriptar e decriptar o conteúdo do seu email.

Vejamos três formas diferentes de informar às pessoas que você está utilizando o PGP.

Informe às pessoas que você está usando o PGP com um email

Você pode facilmente enviar por email sua chave pública para outra pessoa enviando a ela uma cópia como anexo.

Clique no botão “Write” no Mozilla Thunderbird.

Insira um endereço e um assunto, talvez algo como “minha chave pública”, e clique no botão “Attach My Public Key”. Se você já tiver importado uma chave PGP para a pessoa para a quail você está enviando a chave PGP, o ícone de cadeado na barra do Enigmail ficará em destaque. Como opção adicional, você também pode clicar no ícone de Lápis para assinar o email, dando ao destinatário uma forma de verificar a autenticidade do email depois.

Uma janela aparecerá perguntando se você esqueceu de adicionar um anexo. Trata-se de um bug na interação entre o Enigmail e o Mozilla Thunderbird, mas não se preocupe. Sua chave pública será anexada. Clique no botão “No, Send Now”. Veja abaixo sua prova.

Informe às pessoas que você está utilizando PGP pelo seu website

Além de deixar as pessoas sabendo por email, você pode postar sua chave pública em seu website. A forma mais simples é subir o arquivo e incorporá-lo ao site. Este guia não ensinará a fazer isso, mas você deve saber como exportar uma chave como arquivo para uso futuro.

Clique no botão de configuração, e depois na opção Enigmail, e em seguida em Key Management.

Selecione a chave em negrito, e depois clique com o botão direito para abrir o menu e selecionar “Export keys to file”.

Anchor link

Uma janela pequena aparecerá com três botões. Clique no botão “Export Public Keys Only”.

Agora uma janela abrirá para que você possa salvar o arquivo. Para encontrá-lo com facilidade no futuro, salve o arquivo na pasta de Documentos. Você poderá usar o arquivo conforme desejar.

Certifique-se de não clicar no botão “Export Secret Keys”, porque exportar a chave secreta pode permitir que outras pessoas se passem por você caso sejam capazes de adivinhar sua senha.

Subindo para um servidor de chaves (keyserver)

Servidores de chave facilitam a pesquisa e o download de chaves públicas de outras pessoas. Os servidores de chave mais modernos são sincronizáveis, o que significa que uma chave pública subida para um servidor eventualmente atingirá todos os servidores.

Embora subir sua chave pública para um servidor de chaves possa ser uma forma conveniente de informar às pessoas que você possui certificado PGP, você deve saber que, devido à natureza de como os servidores de chave trabalham, não há forma de deletar chaves públicas uma vez que são subidas.

Antes de subir sua chave pública para um servidor, é bom refletir se você deseja que todo o planeta saiba que você tem um certificado público, sem ter a habilidade de remover essa informação posteriormente.

Se você escolher subir sua chave pública para servidores de chave, você retornará para a janela de Gerenciamento de Chaves (Key Management) do Enigmail.

Clique com o botão direito na sua chave PGP e selecione a opção “Upload Public Keys to Keyserver”.

Enviando e-mail com criptografia PGP Anchor link

Agora você enviará seu primeiro email encriptado a um destinatário.

Na janela principal do Mozilla Thunderbird, clique no botão “Write”. Uma nova janela abrirá.

Escreva sua mensagem e digite um destinatário. Para este teste, selecione um destinatário de quem você já tenha a chave pública. O Enigmail detectará e criptografará automaticamente o e-mail.

A linha de assunto não será criptografada, então selecione algo inofensivo como “olá”.

O corpo do email foi encriptado e transformado. Por exemplo, o texto acima será transformado em algo assim:

Recebendo um e-mail com criptografia PGP Anchor link

Vejamos o que acontece quando você recebe um email encriptado.

Note que o Mozilla Thunderbird deixa você saber que você tem um novo email. Clique na mensagem.

Uma janela pequena abre pedindo a senha para a chave PGP. Lembre-se: Não insira sua senha de email. Clique no botão “OK”.

Agora, a mensagem será exibida decriptada.

Revogando a chave PGP Anchor link

Revogando a sua Chave PGP através da interface do Enigmail

A chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se perder todos os seus arquivos, você pode esperar que as pessoas lhe peçam outra chave assim que a anterior expirar.

Você pode ter boas razões para desativar a chave PGP antes que ela expire. Talvez queira gerar uma chave PGP nova e mais forte . A maneira mais fácil de revogar a sua própria chave PGP no Enigmail é pelo Gerenciador de Chaves do Enigmail.

Clique com o botão direito na sua chave PGP, está em negrito, e selecione a opção “Revoke Key”.

Uma janela abrirá informando o que acontece e pedindo sua confirmação. Clique no botão “Revoke Key”.

A janela da senha abre. Insira sua senha para a chave PGP e clique no botão “OK”.

Agora, uma nova janela indicando que a operação foi bem sucedida se abrirá. Clique no botão “OK”.

Quando você retornar para a janela do Gerenciador de Chaves do Enigmail notará uma alteração na sua chave PGP. Ela estará acinzentada e em itálico.

Revogando uma chave PGP com um certificado de revogação

Conforme anteriormente mencionado, você deve ter uma boa razão para desabilitar a chave PGP antes que ela expire. Similarmente, outras pessoas têm boas razões para revogar uma chave existente. Na sessão anterior você deve ter notado que o Enigmail gera e importa um certificado de revogação internamente quanto você usa o Gerenciador de Chaves do Enigmail para revogar uma chave.

Você pode receber um certificado de revogação de amigos como um aviso de que eles querem revogar suas chaves. Uma vez que você já tem um certificado de revogação, você pode utilizá-lo para revogar sua própria chave.

Comece com o Gerenciador de Chaves do Enigmail, clique em “File” e selecione “Import Keys from File”.

Uma janela abrirá para você selecionar o certificado de revogação. Clique no arquivo, e clique no botão “Open”.

Você receberá uma notificação de que o certificado foi importado com sucesso, e que uma chave foi revogada. Clique no botão “OK”.

Quando você retornar à janela de Gerenciamento de Chaves do Enigmail, você perceberá uma mudança na sua chave PGP. Ela estará acinzentada e em itálico.

Agora que você possui todas as ferramentas adequadas, tente enviar seu próprio email encriptado PGP.

Last reviewed: 
2016-08-12
A versão em Inglês pode estar mais atualizada.
JavaScript license information