Skip to main content
Surveillance
Self-Defense

Como utilizar PGP para Linux

Última revisão: June 18, 2018

This page was translated from English. The English version may be more up-to-date.

Para utilizar o PGP e trocar emails seguros você precisará juntar três programas: GnuPG, Mozilla Thunderbird e Enigmail. O GnuPG é o programa que encripta e decripta o conteúdo do seu email, o Mozilla Thunderbird é o cliente de email que permite que você leia e escreva emails sem a necessidade de um navegador, e o Enigmail é uma extensão para o Mozilla Thunderbird que unifica tudo isso.

Este guia ensina como utilizar o PGP com o Mozilla Thunderbird, um programa cliente de email que desempenha uma função semelhante à do Outlook. Você pode usar seu programa de software de email favorito (ou utilizar um email da web como Gmail ou Outlook.com). Este guia não lhe ensinará como utilizar o PGP com esses programas. Você pode escolher entre instalar o Thunderbird e testar o PGP com um novo cliente de email, ou você pode pesquisar outras soluções para utilizar o PGP com seu software habitual. Nós ainda não encontramos uma solução satisfatória para esses programas.

Utilizar o PGP não encripta completamente seu email, de forma que as informações de remetente e destinatário estejam encriptadas. Encriptar informações de remetente e destinatário quebraria o email. O que a utilização do Mozilla Thunderbird com a extensão do Enigmail fornece é uma forma fácil de encriptar o conteúdo do seu email.

Você primeiro baixará todo os programas necessários, fará a instalação, e em seguida concluirá com as configurações e como utilizar os resultados.

Requisitos do sistema: uma conexão com a Internet, GNU/Linux ou outro sistema operacional Unix-like, uma conta de e-mail

Local para baixar:

Versões utilizadas neste guia: Linux: Ubuntu GNOME 16.04; Mozilla Thunderbird 45.2.0; Enigmail 1.9; GnuPG 2.1.11

Licença: Software gratuito; diversas licenças de softwares livres

Outras leituras (em inglês):

Nível: iniciante - intermediário

Tempo requerido: de 30 a 60 minutos

O Pretty Good Privacy (PGP) é uma maneira de proteger suas comunicações por e-mail de serem lidas por qualquer pessoa, exceto pelos seus destinatários especificados. E, em menor escala, isso pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.

Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa, e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você estiver sendo alvo de vigilância ou de desinformação.

Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão junto com o seu programa de e-mail. Precisará também criar uma chave privada, que deve ser mantida privada. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados, e assinar digitalmente os e-mails que envia de forma a comprovar que eles realmente vieram de você. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que outros precisam conhecer antes que possam lhe enviar e-mails criptografados ou verificar os e-mails que você envia.

Obtendo e instalando o GnuPG anchor link

O GnuPG 2.1.11 já vem instalado com o Ubuntu GNOME 16.04

Instalando o Mozilla Thunderbird anchor link

Na área de trabalho padrão do Ubuntu GNOME 16.04, clique no botão “Activities”.

A área de trabalho irá mudar mostrando uma barra à esquerda, e um campo de pesquisa no topo.

Digite “Software” no campo de pesquisa e clique no ícone “Software”.

A janela do centro de Software abrirá com uma pequena janela cobrindo-a. Clique no botão “Let’s Go Shopping”.

Você pode pesquisar diferentes programas disponíveis.

Digite “Thunderbird” no campo de pesquisa de Software. Agora clique no botão “Install” próximo ao Thunderbird Mail.

O Ubuntu pedirá para você digitar sua senha para instalar qualquer software. Insira sua senha e clique no botão “Authenticate”.

Quando a instalação estiver completa, você pode fechar o centro de Software. Clique no botão “X”.

Digite “Thunderbird” no campo de pesquisa e clique no ícone “Thunderbird Mail”. O Thunderbird Mail iniciará pela primeira vez.

Preparação para a instalação do Enigmail anchor link

Quando iniciar o Mozilla Thunderbird pela primeira vez, você verá uma pequena janela de confirmação perguntando sobre algumas configurações padrão. Recomendamos clicar no botão “Definir como Padrão”.

Quando o Mozilla Thunderbird abre pela primeira vez, você será questionado(a) se deseja um novo endereço de email. Clique no botão “Skip this and use my existing email”. Agora você irá configurar o Mozilla Thunderbird para receber e enviar email. Se você está acostumado(a) somente a ler e enviar e-mails através do gmail.com, outlook.com ou yahoo.com, o Mozilla Thunderbird será uma experiência nova, mas não será um grande mistério.

Adicionando uma conta de e-mail no Mozilla Thunderbird anchor link

Digite o seu nome, endereço de e-mail e senha da sua conta de e-mail. A Mozilla não tem acesso à sua senha ou conta de e-mail. Clique no botão “Continue”.

Em muitos casos o Mozilla Thunderbird detectará as configurações necessárias.

Em alguns casos, o Mozilla Thunderbird não tem todas as informações e você mesmo(a) precisará digitá-las. Aqui está um exemplo das instruções que o Google fornece para o Gmail:

  • Servidor de Entrada de E-mail (IMAP) - Requer SSL
    • imap.gmail.com
    • Porta: 993
    • Requer SSL: Sim
  • Servidor de Saída de E-mails (SMTP) - Requer TLS
    • smtp.gmail.com
    • Porta: 465 ou 587
    • Requer SSL: Sim
    • Requer autenticação: Yes
    • Utilize as mesmas configurações do servidor de entrada de e-mail
  • Nome Completo ou Nome de Exibição: [seu nome ou pseudônimo ]
  • Nome da Conta ou Nome de Usuário: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuários da Google Apps, digitar nomedeusuario@seu_dominio.com
  • Endereço de e-mail: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuário da Google Apps, digitar nomedeusuario@seu_dominio.com
  • Senha: sua senha do Gmail

Se você utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça , provavelmente deveria utilizar!) você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Então, para acessar sua conta do Gmail, você precisará criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.

Quando todas as informações estiverem corretamente digitadas, clique no botão “Concluído”.

O Mozilla Thunderbird começará a baixar cópias dos seus e-mails para o seu computador. Tente enviar um email teste para seus amigos.

Instalando o Enigmail anchor link

O Enigmail é instalado de forma diferente do Mozilla Thunderbird e do GnuPG. Como mencionado anteriormente, o Enigmail é um add-on para o Mozilla Thunderbird. Clique no botão “Menu”, também chamado “botão hambúrguer” e selecione “Add Ons”.

Você será levado(a) à aba de Gerenciamento de Add-ons.

Digite “Enigmail” no campo de pesquisa de Add-on para procurar pelo Enigmail no site de Add-on do Mozilla.

Enigmail será a primeira opção. Clique no botão “Install”.

Após a instalação do add-on do Enigmail, o Mozilla Thunderbird pedirá para reiniciar o navegador para ativar o Enigmail. Clique em “Restart Now” e o Mozilla Thunderbird irá reiniciar.

Quando o Mozilla Thunderbird reiniciar, uma janela adicional abrirá, iniciando o processo de configuração do add-on do Enigmail. Mantenha o botão “Start setup now” selecionado e clique no botão “Next”.

Acreditamos que as configurações padrão (standard configuration) são uma boa escolha. Clique no botão “Next”.

Required Configuration Steps anchor link

In May 2018 researchers revealed several vulnerabilities in PGP (including GPG) for email, and theorized many more which others could build upon.

Thunderbird and Enigmail’s developers have been working on ways to protect against the EFAIL vulnerabilities. As of version 2.0.6 (released May 27, 2018), Enigmail has released patches that defend against all known exploits described in the EFAIL paper, along with some new ones in the same class that other researchers were able to devise, which beat earlier Enigmail fixes. Each new fix made it a little harder for an attacker to get through Enigmail’s defenses. We feel confident that, if you update to this version of Enigmail (and keep updating!), Thunderbird users can turn their PGP back on.

But, while Enigmail now defends against most known attacks even with HTML on, the EFAIL vulnerability demonstrated just how dangerous HTML in email is for security. Thus, we recommend that Enigmail users also turn off HTML by going to View > Message Body As > Plain Text.

1. First click on the Thunderbird hamburger menu (the three horizontal lines).

2. Select “View” from the right side of the menu that appears.

3. Select “Message Body As” from the menu that appears, then select the “Plain Text” radio option.

Viewing all email in plaintext can be hard, and not just because many services send only HTML emails. Turning off HTML mail can pose some usability problems, such as some attachments failing to show up. Thunderbird users shouldn't have to make this trade-off between usability and security, so we hope that Thunderbird will take a closer look at supporting their plaintext community from now on. As the software is now, however, users will need to decide for themselves whether to take the risk of using HTML mail; the most vulnerable users should probably not take that risk, but the right choice for your community is a judgment call based on your situation.

Now you will start creating your private key and public key. Learn more about keys, and what they are, in our Introduction to Public Key Cryptography and PGP guide.

Criando uma chave pública e uma chave privada anchor link

Ao menos que você já tenha configurado mais de uma conta de email, o Enigmail escolherá a conta de email que você tiver configurado. A primeira coisa que você precisará fazer é criar uma passphrase forte para sua chave privada.

Clique no botão “Próximo”.

Após certo tempo, a sua chave irá expirar; embora você não receba qualquer aviso ou explicação quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento(a) a isso mais ou menos um mês antes da data de expiração.

É possível estender o prazo de validade de uma chave existente fornecendo-lhe uma nova data, ou é possível substituí-la criando uma nova chave a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e se assegure de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrar tudo, faça um lembrete para si próprio(a) ou considere a criação da chave de forma que nunca expire, embora, nesse caso, outras pessoas poderão tentar utilizá-la quando entrarem em contato com você no futuro, mesmo que você não tenha mais a chave privada ou não utilize mais a PGP.

Para verificar a data de expiração da sua chave no Thunderbird, clique no menu Enigmail e selecione "Key Management". Procure sua chave na janela Enigmail Key Management e clique duas vezes nela. Uma nova janela será aberta e a data de vencimento da chave será exibida no campo chamado "Expiry". Para definir uma nova data de expiração, clique no botão "Alterar" ao lado da data de expiração atual da sua chave. Lembre-se de enviar sua chave pública atualizada para seus contatos ou publicá-la em um servidor de chaves, se você atualizar a data de expiração da chave.

O Enigmail gerará a chave e, quando terminar, abrirá uma pequena janela pedindo que você gere uma certificado de revogação . É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privada inválidas. Por esse motivo, armazene seu certificado de revogação separadamente da sua chave privada; gravá-lo em um CD ou colocá-lo em uma unidade USB e mantê-lo em algum lugar seguro. A publicação do certificado de revogação em um servidor de chaves permitirá que outros usuários do PGP saibam não usar ou confiar nessa chave pública. É importante observar que a mera exclusão da chave privada não invalida a chave pública, e consequentemente as pessoas poderão lhe enviar mensagens criptografadas que você não conseguirá decriptar. Clique no botão “Gerar Certificado”.

Primeiramente, você será solicitado(a) a fornecer a passphrase que utilizou quando criou a chave do PGP. Clique no botão “OK”.

Uma janela abrirá para fornecer a você um local para salvar o certificado de revogação. Enquanto você pode salvar o arquivo para o seu computador nós recomendamos que você salve o arquivo em um drive USB que você não esteja utilizando para nada além, e guarde o drive em um local seguro. Também recomendamos que remova o certificado de revogação do computador com as chaves, a fim de evitar uma revogação não intencional. Melhor ainda, salve esse arquivo em um disco encriptado. Escolha a localização onde você salvará o arquivo e clique no botão “Save”.

Agora o Enigmail lhe dará novamente informações adicionais sobre como salvar o certificado de revogação. Clique no botão “OK”.

Pronto, você terminou de gerar as chaves pública e privada. Clique no botão “Finalizar”.

Passos de configuração opcional anchor link

Mostrar Digitais e Validade da Chave anchor link

Os próximos passos são completamente opcionais mas podem ser úteis quando você utiliza OpenPGP e Enigmail. Resumidamente, a Chave ID é uma pequena parte da impressão digital . Quando a questão é verificar se uma chave pública pertence a uma pessoa em particular, a impressão digital é a melhor maneira. Mudar a exibição padrão torna mais fácil ler as impressões digitais dos certificados que você conhece. Clique no botão configuration, e então na opção Enigmail, e em seguida em Key Management.

Uma janela será aberta mostrando duas colunas: Nome e ID da Chave

Na extremidade da direita há um pequeno botão. Clique nesse botão para configurar as colunas. Clique para desmarcar a opção ID da chave e clique na opção Digital.

Agora haverá três colunas: Name, Key Validity e Fingerprint.

Encontrando outras pessoas que estão utilizando PGP anchor link

Obtendo uma chave pública por e-mail anchor link

Você pode obter uma chave pública enviada a você como um anexo de email. Clique no botão “Import Key”.

anchor link

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

Se você recarregar o email original você verá que a barra sobre o email mudou.

Se você abrir a janela com a chave de gerenciamento do Enigmail novamente, você poderá checar o resultado. Sua chave PGP estará em negrito porque você possui tanto a chave privada quanto a pública. A chave pública que você acabou de importar não está em negrito porque você não contém a chave privada.

Obtendo uma chave pública como um arquivo anchor link

É possível que você obtenha uma chave pública fazendo download da chave em um site, ou alguém pode tê-la enviado através de um software de bate-papo. Neste caso, consideremos que você tenha feito download do arquivo para a pasta Downloads.

Abra o Gerenciador de Chaves do Enigmail e clique no menu “Arquivo”. Selecione “Importar Chaves a partir do Arquivo”.

A chave pública pode ter muitas extensões de arquivo diferentes , tais como .asc, .pgp, ou .gpg. Selecione o arquivo e clique no botão “Abrir”.

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

Uma pequena janela se abrirá e apresentará o resultado da importação. Clique no botão “OK”.

Obtendo uma Chave Pública a partir de uma URL anchor link

É possível obter uma chave pública baixando-a diretamente de uma URL

Abra o Gerenciador de Chaves do Enigmail e clique no menu “Editar”. Selecione “Import Keys from URL”.

Insira a URL. A URL pode ter diversos formatos. Na maioria das vezes é provavelmente um nome de domínio terminando em um arquivo.

Uma vez que você tiver a URL correta, clique no botão “OK”.

Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

Se você olhar em https://www.eff.org/about/staff você verá um link “PGP Key” abaixo das fotos dos funcionários. A chave PGP do Danny O’Brien, por exemplo, pode ser encontrada em: https://eff.org/files/pubkeydanny.txt.

Obtendo uma chave pública a partir de um servidor de chaves anchor link

Servidores de chave podem ser uma maneira útil de obter uma chave pública. Tente procurar uma chave pública.

Na interface Key Management clique no menu “Keyserver” e selecione “Search for Keys”.

Uma janela pequena abrirá com um campo de pesquisa. Você pode pesquisar por um endereço completo de email, um endereço parcial de email, ou um nome. Neste caso, você selecionará as chaves contendo samir@samirnassar.com. Clique no botão “OK”.

Uma janela maior aparecerá com muitas opções. Se você descer você notará que algumas chaves são itálicas ou cinzentas. Essas são chaves que foram ou revogadas ou expiraram por conta própria.

Nós temos diversas chaves PGP para Samir Nassar e ainda não sabemos qual delas escolher. Uma das chaves está em itálico cinza, o que significa que foi revogada. Uma vez que ainda não sabemos qual delas queremos, importaremos todas elas. Selecione as chaves clicando na caixa na esquerda e então aperte o botão “OK”.

Uma janela pequena de notificação aparecerá informando se você teve sucesso. Clique no botão “OK”.

O Gerenciador de Chaves do Enigmail mostrará agora as chaves adicionadas:

Note que das três chaves importadas, uma expirou, outra foi revogada, e uma é atualmente uma chave válida:

Permitindo que outras pessoas saibam que você usa o PGP anchor link

Agora que você tem o PGP, você quererá que outras pessoas saibam que você está usando para que elas também possam enviar a você mensagens encriptadas usando o PGP.

Utilizar o PGP não encripta completamente o seu email de forma que o remetente e a informação recebida estejam criptografadas. Encriptar as informações de rementente e destinatário quebrariam o email. Utilizar o Thunderbird com o add-on Enigmail fornece a você uma forma fácil de encriptar e decriptar o conteúdo do seu email.

Vejamos três formas diferentes de informar às pessoas que você está utilizando o PGP.

Informe às pessoas que você está usando o PGP com um email anchor link

Você pode facilmente enviar por email sua chave pública para outra pessoa enviando a ela uma cópia como anexo.

Clique no botão “Write” no Mozilla Thunderbird.

Insira um endereço e um assunto, talvez algo como “minha chave pública”, e clique no botão “Attach My Public Key”. Se você já tiver importado uma chave PGP para a pessoa para a quail você está enviando a chave PGP, o ícone de cadeado na barra do Enigmail ficará em destaque. Como opção adicional, você também pode clicar no ícone de Lápis para assinar o email, dando ao destinatário uma forma de verificar a autenticidade do email depois.

Uma janela aparecerá perguntando se você esqueceu de adicionar um anexo. Trata-se de um bug na interação entre o Enigmail e o Mozilla Thunderbird, mas não se preocupe. Sua chave pública será anexada. Clique no botão “No, Send Now”. Veja abaixo sua prova.

Informe às pessoas que você está utilizando PGP pelo seu website anchor link

Além de deixar as pessoas sabendo por email, você pode postar sua chave pública em seu website. A forma mais simples é subir o arquivo e incorporá-lo ao site. Este guia não ensinará a fazer isso, mas você deve saber como exportar uma chave como arquivo para uso futuro.

Clique no botão de configuração, e depois na opção Enigmail, e em seguida em Key Management.

anchor link

Selecione a chave em negrito, e depois clique com o botão direito para abrir o menu e selecionar “Export keys to file”.

anchor link

Agora uma janela abrirá para que você possa salvar o arquivo. Para encontrá-lo com facilidade no futuro, salve o arquivo na pasta de Documentos. Você poderá usar o arquivo conforme desejar.

Certifique-se de não clicar no botão “Export Secret Keys”, porque exportar a chave secreta pode permitir que outras pessoas se passem por você caso sejam capazes de adivinhar sua senha.

Subindo para um servidor de chaves (keyserver) anchor link

Servidores de chave facilitam a pesquisa e o download de chaves públicas de outras pessoas. Os servidores de chave mais modernos são sincronizáveis, o que significa que uma chave pública subida para um servidor eventualmente atingirá todos os servidores.

Embora subir sua chave pública para um servidor de chaves possa ser uma forma conveniente de informar às pessoas que você possui certificado PGP, você deve saber que, devido à natureza de como os servidores de chave trabalham, não há forma de deletar chaves públicas uma vez que são subidas.

Antes de subir sua chave pública para um servidor, é bom refletir se você deseja que todo o planeta saiba que você tem um certificado público, sem ter a habilidade de remover essa informação posteriormente.

Se você escolher subir sua chave pública para servidores de chave, você retornará para a janela de Gerenciamento de Chaves (Key Management) do Enigmail.

Clique com o botão direito na sua chave PGP e selecione a opção “Upload Public Keys to Keyserver”.

Enviando e-mail com criptografia PGP anchor link

Agora você enviará seu primeiro email encriptado a um destinatário.

Na janela principal do Mozilla Thunderbird, clique no botão “Write”. Uma nova janela abrirá.

Escreva sua mensagem e digite um destinatário. Para este teste, selecione um destinatário de quem você já tenha a chave pública. O Enigmail detectará e criptografará automaticamente o e-mail.

A linha de assunto não será criptografada, então selecione algo inofensivo como “olá”.

O corpo do email foi encriptado e transformado. Por exemplo, o texto acima será transformado em algo assim:

Recebendo um e-mail com criptografia PGP anchor link

Vejamos o que acontece quando você recebe um email encriptado.

Note que o Mozilla Thunderbird deixa você saber que você tem um novo email. Clique na mensagem.

Uma janela pequena abre pedindo a senha para a chave PGP. Lembre-se: Não insira sua senha de email. Clique no botão “OK”.

Agora, a mensagem será exibida decriptada.

Revogando a chave PGP anchor link

Revogando a sua Chave PGP através da interface do Enigmail anchor link

A chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se perder todos os seus arquivos, você pode esperar que as pessoas lhe peçam outra chave assim que a anterior expirar.

Você pode ter boas razões para desativar a chave PGP antes que ela expire. Talvez queira gerar uma chave PGP nova e mais forte . A maneira mais fácil de revogar a sua própria chave PGP no Enigmail é pelo Gerenciador de Chaves do Enigmail.

Clique com o botão direito na sua chave PGP, está em negrito, e selecione a opção “Revoke Key”.

Uma janela abrirá informando o que acontece e pedindo sua confirmação. Clique no botão “Revoke Key”.

A janela da senha abre. Insira sua senha para a chave PGP e clique no botão “OK”.

Agora, uma nova janela indicando que a operação foi bem sucedida se abrirá. Clique no botão “OK”.

Quando você retornar para a janela do Gerenciador de Chaves do Enigmail notará uma alteração na sua chave PGP. Ela estará acinzentada e em itálico.

Revogando uma chave PGP com um certificado de revogação anchor link

Conforme anteriormente mencionado, você deve ter uma boa razão para desabilitar a chave PGP antes que ela expire. Similarmente, outras pessoas têm boas razões para revogar uma chave existente. Na sessão anterior você deve ter notado que o Enigmail gera e importa um certificado de revogação internamente quanto você usa o Gerenciador de Chaves do Enigmail para revogar uma chave.

Você pode receber um certificado de revogação de amigos como um aviso de que eles querem revogar suas chaves. Uma vez que você já tem um certificado de revogação, você pode utilizá-lo para revogar sua própria chave.

Comece com o Gerenciador de Chaves do Enigmail, clique em “File” e selecione “Import Keys from File”.

Uma janela abrirá para você selecionar o certificado de revogação. Clique no arquivo, e clique no botão “Open”.

Você receberá uma notificação de que o certificado foi importado com sucesso, e que uma chave foi revogada. Clique no botão “OK”.

Quando você retornar à janela de Gerenciamento de Chaves do Enigmail, você perceberá uma mudança na sua chave PGP. Ela estará acinzentada e em itálico.

Agora que você possui todas as ferramentas adequadas, tente enviar seu próprio email encriptado PGP.