A Project of the Electronic Frontier Foundation 
O Pretty Good Privacy (PGP
) é uma maneira de proteger suas comunicações por e-mail de serem lidas por qualquer pessoa, exceto pelos seus destinatários especificados. Isso pode lhe proteger contra empresas, governos ou criminosos, de espionarem sua conexão com a Internet, e em menor escala, pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.
Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa, e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você estiver sendo alvo de vigilância ou de desinformação.
Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão junto com o seu programa de e-mail. Você precisará também criar uma chave privada, que deve ser mantida privada. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados e assinar digitalmente os e-mails que envia de forma a comprovar que eles realmente vieram de você. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que outros precisam conhecer antes que possam lhe enviar e-mails criptografados e verificar os e-mails que você envia.
Este guia lhe mostrará como utilizar PGP com um sistema operacional baseado em Linux utilizando o Mozilla Thunderbird, um cliente de e-mail gráfico de código aberto popular.
Atualmente, você não pode utilizar PGP diretamente com um serviço de e-mail da web, como o Gmail, o Hotmail, o Yahoo! Mail, ou o Outlook Live. No entanto, você pode continuar a utilizar o seu endereço de webmail; você só terá que configurá-lo no programa Thunderbird no seu computador.
Observe que para que ele funcione, ambos os lados da conversação de e-mail precisam utilizar um software compatível com o PGP.
Normalmente, as pessoas utilizarão isso só em seus dispositivos pessoais, e não em dispositivos compartilhados. Felizmente, o PGP está disponível para a maioria dos computadores de mesa e dispositivos móveis, e você pode sugerir estes guias para ajudá-los a configurar suas próprias versões.
Instalando o Thunderbird, o GnuPG e o Enigmail em sua máquina
O PGP é um padrão aberto, o que significa que pode ser utilizado em mais de um software. O software a que recorreremos para utilizar o PGP é chamado de GnuPGP. Também adicionaremos um plug-in ao Thunderbird chamado de Enigmail, que lhe permitirá utilizar o GnuPGP através do Thunderbird. As seguintes instruções exigem que você se sinta confortável com a linha de comando.
Se estiver utilizando um sistema de distribuição baseado no Red Hat tais como o Red Hat ou o Fedora Core, abra um terminal e execute estes comandos:
sudo yum install gnupg thunderbird thunderbird-enigmail
Se estiver utilizando uma distribuição baseada no Ubuntu, tais como o Ubuntu, ou Linux Mint, abra um terminal e digite estes comandos para garantir que tenha o software correto instalado:
sudo apt-get install gnupg thunderbird enigmail
Se estiver utilizando uma distribuição Debian, verá que o Thunderbird é chamado de “Icedove”. Como tudo no Debian, isto se deve a razões totalmente racionais, porém um tanto obscuras. Exceto pelo nome, ele é exatamente o mesmo programa: não mencionaremos novamente o Icedove, mas você pode simplesmente substituir "Thunderbird" por Icedove no restante deste guia e tudo ainda deverá funcionar.
Utilize este comando no Terminal para instalá-lo:
sudo apt-get install gnupg icedove enigmail
Configurando o Thunderbird
Agora que instalou o Thunderbird, abra-o como faria com qualquer aplicativo em sua máquina (você pode selecioná-lo a partir de uma lista de aplicativos em um menu, ou digitar seu nome em uma pesquisa de aplicativos). Você verá aparecer o primeiro assistente de execução.
Clique em "Skip this and use my existing email” (“Ignorar isto e utilizar o meu e-mail existente”) para configurar o seu endereço de e-mail existente e, em seguida, digite seu nome, o endereço e a senha de sua conta de e-mail.
Se estiver utilizando um serviço popular de e-mail gratuito como o Gmail, o Thunderbird detectará automaticamente as configurações quando você clicar em “Continue” (“Continuar”).
Se você utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça, você provavelmente deveria!), você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Ao invés disso, para acessar sua conta do Gmail será preciso criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.
Pode ser necessário configurar manualmente as configurações do IMAP e SMTP, caso isso não aconteça. Caso não saiba como fazê-lo, fale com o seu provedor de e-mail, ou peça para algum técnico que esteja familiarizado com o seu provedor de e-mail (por exemplo, uma pessoa de TI do trabalho ou um técnico amigo que utilize o mesmo ISP que você; não é preciso que eles saibam como utilizar a PGP, mas você pode perguntar-lhes se "sabem as configurações IMAP e SMTP para o meu endereço de e-mail?").
Configurando o Enigmail
O Enigmail é um plug-in para o Thunderbird que criptografa e descriptografa e-mails codificados pelo PGP, e torna um pouco mais fácil o manuseio das chaves pública e privada. Se tiver a versão mais recente do Enigmail, você será apresentado ao Enigmail Setup Wizard (Assistente de Configuração do Enigmail).
Se não o vir, você pode utilizar esta opção do menu do Thunderbird para fazê-lo aparecer. Clique nas três linhas horizontais (no “menu hambúrguer”) à direita da janela do Thunderbird.
Aqui está a primeira opção que o Enigmail lhe oferece: três maneiras para criptografar seu e-mail.
A opção padrão é criptografar e-mails se você tem a "chave pública" da outra pessoa; o Enigmail criptografará o e-mail que você enviar, mas deixará os e-mails sem criptografia se você ainda não tiver a chave pública do destinatário. Você também tem a opção de criptografar e-mails o tempo todo, para qualquer um que tenha chaves PGP. Isso significa que terá que encontrar as chaves públicas de pessoas que você ainda não tenha, ou desativar a criptografia automática completamente e só usar PGP quando indicado.
Não sabemos qual é opção mais adequada para você, mas acreditamos que a opção “Criptografia automática conveniente” seja uma boa escolha. Se estiver em dúvida, selecione “Não criptografar minhas mensagens por padrão”. Clique no botão “Próximo”.
Agora, você tem a opção de assinar digitalmente todos os e-mails que saem. Assinar seus e-mails com PGP permite que o destinatário verifique que você enviou a mensagem, e que o conteúdo da mensagem não foi adulterado. Clique no botão “Assinar minhas mensagens por padrão” para ativar esta característica. Porém, a desvantagem é sinalizar para qualquer um a quem enviar um e-mail que você utiliza PGP. Em algumas partes do mundo (incluindo a China, Irã, Belarus e alguns países do Oriente Médio) é ilegal utilizar criptografia sem licença, mesmo que para uso pessoal. Assim, você pode ter muito boas razões para não deixar que os outros saibam que utiliza PGP.
Clique no botão “Próximo”.
Agora, você verá uma opção para que o Enigmail faça algumas alterações na configuração do Mozilla Thunderbird.
Se você clicar no botão “Detalhes” poderá revisar o que são essas alterações.
As seguintes opções podem ser desmarcadas (reabilitadas) para uma transição mais fluida se você utiliza PGP/Mime por padrão (definiremos isso mais tarde):
- Desabilitar texto fluido
- Visualizar o corpo de mensagens como texto sem formatação
- Não escrever mensagens em HTML
A opção final evita potenciais problemas na criptografia e decriptação dos seus e-mails. Saiba que selecionar esta caixa removerá a possibilidade de enviar textos em negrito, sublinhados ou coloridos. Após revisar as alterações, clique no botão “OK”.
Agora, você começará a criar as suas chaves privada e pública.
Criando uma chave pública e uma chave privada
A instalação e a configuração do complemento Enigmail estão concluídas. Agora, você terá a opção de criar o seu par de chaves pública e privada, considerando que você ainda não tenha criado uma chave privada anteriormente.
Clique no botão “Próximo”.
A não ser que tenha configurado mais do que uma conta de e-mail, o Enigmail escolherá a conta de e-mail que você já configurou. A primeira coisa que você precisa fazer é eleger uma frase-chave forte como sua chave privada.
O Enigmail mostrará algumas informações referentes à sua chave privada, bem como os ajustes de configurações. Recomendamos criar chaves de 4096 bits de comprimento. Clique no botão “Próximo”.
Após certo tempo, a sua chave irá expirar; embora você não possa receber qualquer aviso ou explicação do porque, quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento a isso mais ou menos um mês antes da data de expiração.
É possível estender o prazo de validade de uma chave existente fornecendo-lhe uma nova data, ou é possível substituí-la por uma nova chave criada a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e assegure-se de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrá-la, faça um lembrete para si próprio ou considere a criação da chave de forma que ela nunca expire, embora, nesse caso, outras pessoas poderão tentar utilizá-la quando entrarem em contato com você no futuro, mesmo que você não tenha mais a chave privada ou não utilize mais a PGP.
O Enigmail gerará a chave e, quando terminar, abrirá uma pequena janela pedindo que você gere um certificado de revogação. É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privada inválidas. É importante observar que a mera exclusão da chave privada não invalida a chave pública, e consequentemente as pessoas poderão lhe enviar mensagens criptografadas que você não conseguirá decriptar.
Clique no botão “Gerar Certificado”.
Uma janela se abrirá para lhe proporcionar um lugar para salvar o certificado de revogação. Mesmo sendo possível salvar o arquivo em seu computador, recomendamos salvar o arquivo em um pendrive USB que não esteja sendo utilizado para mais nada, e guardá-lo em um local seguro. Recomendamos também remover do computador o certificado de revogação com as chaves, para evitar a revogação não intencional.
Melhor ainda, salve o arquivo em um disco criptografado em separado. Selecione o local onde salvará este arquivo e clique no botão “Salvar”.
Agora, o Enigmail lhe dará mais informações sobre como salvar o arquivo do certificado de revogação novamente. Clique no botão “OK”.
Pronto, você terminou de gerar as chaves pública e privada. Clique no botão “Finalizar”.
Passos de configuração opcional
Exibir os IDs das chaves longas
Os próximos passos são totalmente opcionais, mas podem ser úteis quando estiver utilizando o OpenPGP e o Enigmail. Resumidamente, o ID da chave é uma pequena parte da impressão digital da chave. É a melhor maneira de verificar se uma chave pública pertence a uma determinada pessoa. Alterar a exibição padrão torna mais fácil ler as digitais dos certificados que você conhece. Clique no botão de configuração, em seguida na opção Enigmail e depois em Gerenciamento de Chaves.
Uma janela se abrirá mostrando duas colunas: Nome e ID da Chave
Na extremidade da direita há um pequeno botão. Clique nesse botão para configurar as colunas. Clique para desmarcar a opção ID da chave e clique na opção Digital.
Agora, altere a largura da coluna Digitais movendo o mouse para as linhas entre cada título de coluna (ou seja, logo à esquerda do título "ID da Chave" na parte superior da lista de chaves), e arrastando a linha para a esquerda. Continue movendo para a esquerda até que possa ver toda a ID da Chave.
Agora as colunas serão exibidas desta forma:
Agora você está configurado para enviar e receber e-mails regulares e criptografados. O passo seguinte será o de realmente encontrar as pessoas com quem você trocará e-mails criptografados.
Utilizar PGP não criptografa totalmente o seu e-mail, pois apenas a informação enviada e recebida é criptografada. Criptografar as informações de remetente e destinatário faria com que o e-mail não fosse enviado. Usar o Thunderbird com o complemento Enigmail é uma maneira fácil de criptografar e decriptar o conteúdo do seu e-mail.
Fazer com que os outros saibam que você está utilizando a PGP
1. Divulgue para as pessoas através de um e-mail que você está utilizando PGP
Você pode facilmente enviar um e-mail da sua chave pública para outra pessoa enviando-lhe uma cópia como anexo.
Clique no botão “Escrever” no Mozilla Thunderbird.
Preencha um endereço e um assunto, por exemplo, algo como “minha chave pública”, clique no menu Enigmail e selecione a opção “Anexar Minha Chave Pública”.
Você pode, agora, enviar o e-mail e o destinatário poderá fazer download e utilizar a chave pública que você lhe enviou.
Se utilizar esse método, uma boa ideia é fazer com que o destinatário verifique a digital da sua chave pública através de alguma outra forma de comunicação para o caso dos e-mails já estarem sendo interceptados e adulterados.
2. Divulgue para as pessoas através do seu website que você está utilizando PGP
Além de divulgar às pessoas via e-mail, você pode postar a sua chave pública em seu website. A maneira mais fácil é fazer upload do arquivo e colocar um link para ele. Este guia não lhe orientará como fazê-lo, mas você deve saber como exportar o certificado como um arquivo para utilizar no futuro.
Clique no botão de configuração, em seguida na opção Enigmail e depois Gerenciamento de Chaves.
Destaque seu certificado em negrito, clique em seguida com o botão direito do mouse para abrir o menu e selecione “Exportar chaves para arquivo”.
Uma pequena janela pop-up com três botões se abrirá. Clique no botão “Só Exportar as Chaves Públicas”.
Cuidado para não clicar no botão “Exportar as Chaves Secretas”, pois exportar as chaves secretas permitirá que outros se passem por você caso consigam descobrir sua senha.
Uma nova janela se abrirá agora para que você possa salvar o arquivo. Salve o arquivo na pasta Documentos para que seja fácil encontrá-lo futuramente.
Agora, você pode utilizar esse arquivo como desejar.
3. Fazer upload para um Servidor de chaves
Os servidores de chaves tornam mais fácil achar e fazer download das chaves públicas. A maioria dos servidores de chaves modernos estão sincronizados, o que significa que ao fazer upload de uma chave pública em um servidor você eventualmente alcançará a todos.
Apesar da conveniência de fazer upload de sua chave pública em um servidor de chaves para que as pessoas saibam que você tem um certificado PGP público é preciso que você saiba que, pela natureza de como os eles funcionam, não há como excluir chaves públicas após ter feito seu upload. Você só poderá marcá-las como revogadas.
Antes de fazer upload da sua chave pública em um servidor de chaves, é bom considerar se quer que todos saibam que você tem uma chave pública, sem a possibilidade de remover essas informações posteriormente.
Caso opte por fazer upload da sua chave pública em servidores de chaves, você retornará para a janela Gerenciamento de Chaves do Enigmail.
Clique no item do menu Servidor de Chaves e selecione a opção Fazer Upload de Chaves Públicas.
Encontrando outras pessoas que estão utilizando PGP
1. Obtendo uma chave pública por e-mail
Você pode receber uma chave pública como anexo de um e-mail que lhe foi enviado.
Note o anexo na parte inferior da janela. Clique com o botão direito do mouse sobre o anexo e selecione “Importar Chave OpenPGP”. Uma pequena janela que apresentará o resultado da importação será aberta. Clique no botão OK.
Você poderá verificar o resultado se abrir novamente a janela de gerenciamento de chaves do Enigmail. A sua chave PGP está em negrito, pois você têm as chaves pública e privada. A chave pública que você acabou de importar não está em negrito, pois ela não contém a chave privada.
2. Obtendo uma chave pública como um arquivo
É possível que você obtenha uma chave pública fazendo download da chave em um site ou enviada por alguém através de um software de bate-papo. Neste caso, consideraremos que fez download do arquivo para a pasta Downloads.
Abra o Gerenciador de Chaves do Enigmail e clique no menu “Arquivo”. Selecione “Importar Chaves a partir do Arquivo”.
A chave pública pode ter muitas extensões de arquivo diferentes , tais como .asc, .pgp, ou .gpg. Selecione o arquivo e clique no botão “Abrir”. Uma pequena janela que apresentará o resultado da importação será aberta. Clique no botão “OK”.
3. Obtendo uma chave pública a partir de um servidor de chaves
Os Servidores de Chaves podem ser uma maneira muito útil de obter chaves públicas. Tente procurar uma chave pública. Abra o gerenciador de chaves, clique no menu “Servidor de Chaves” e selecione “Pesquisar Chaves”.
Uma pequena janela pop-up com um campo de pesquisa será aberta. Você pode pesquisar por um endereço completo ou parcial de e-mail, ou por um nome. Neste caso, você pesquisará pelo certificado que contenha “eff.org”.
Uma janela pop-up maior com muitas opções será aberta. Se você rolar para baixo notará que alguns certificados estão em itálico e acinzentados. São certificados que foram revogados ou expiraram.
Vamos tomar como exemplo as chaves públicas de Danny O'Brien. Ele tem um certificado expirado ou revogado e um certificado válido. Selecione o certificado válido clicando na caixa da esquerda e pressione o botão OK.
Em alguns casos uma pessoa pode ter mais de um certificado, todos aparecendo como válidos. Observe que é possível que qualquer um faça upload de um certificado público para alguém, e que uma dessas chaves pode não pertencer à pessoa que possui o endereço de e-mail associado a ela. Neste caso, verificar a digital é extremamente importante.
Uma pequena janela pop-up de notificação aparecerá informando o seu êxito na operação, e o Gerenciador de Chaves do Enigmail mostrará os certificados adicionados:
Enviando e-mail com criptografia PGP
Agora, você enviará o seu primeiro e-mail criptografado para um destinatário. Na janela principal do Mozilla Thunderbird, clique no botão “Escrever”. Uma nova janela será aberta.
Escreva sua mensagem e digite um destinatário. Para este teste, selecione um destinatário de quem você já tenha a chave pública. O Enigmail detectará isso e automaticamente criptografará o e-mail (você saberá que ele será criptografado pela chave dourada no canto inferior direito do e-mail).
Observe que a linha do assunto não será criptografada, portanto, escolha algo simples, como “Olá”.
Quando clicar no botão “Enviar”, uma janela pedindo que digite a senha para a sua chave PGP será aberta. Lembre-se de que ela é diferente da sua senha de e-mail!
Digite sua senha e em seguida clique no botão “OK”. Seu e-mail será então criptografado e enviado.
O corpo do e-mail foi criptografado e transformado. Por exemplo, nosso texto acima foi convertido para isto:
Recebendo um e-mail com criptografia PGP
Vamos ver o que ocorre quando você recebe um e-mail criptografado. Primeiro, clique na mensagem.
Uma pequena janela pedindo-lhe a senha para a chave PGP será aberta. Lembre-se: não digite a sua senha de e-mail. Clique no botão “OK”.
Agora, a mensagem será exibida decriptada.
Revogando a chave PGP
Revogando a sua Chave PGP através da interface do Enigmail
A chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se você perder todos os seus arquivos, você pode esperar que as pessoas lhe solicitem outra chave assim que a anterior expirar.
Você pode ter boas razões para desativar a chave PGP antes que ela expire. Talvez queira gerar uma chave PGP nova e mais forte . A maneira mais fácil de revogar a sua própria chave PGP no Enigmail é pelo Gerenciador de Chaves do Enigmail. Clique com o botão direito do mouse na sua chave PGP (que está em negrito) e selecione a opção “Revogar Chave”.
Uma janela pop-up informando o que acontecerá e pedindo sua confirmação será aberta. Clique no botão “Revogar Chave”.
Uma janela de senha será aberta. Digite a sua senha da chave PGP e clique no botão “OK”.
Agora, uma nova janela indicando que a operação foi bem-sucedida será aberta. Clique no botão “OK”.
Quando você retornar para a janela do Gerenciador de Chaves do Enigmail, notará uma alteração na sua chave PGP. Ela estará acinzentada e em itálico.
Revogando uma chave PGP com um certificado de revogação
Como anteriormente mencionado, a chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se perder todos os seus arquivos, pode ter certeza de que as pessoas lhe pedirão outra chave assim que a anterior expirar.
Também como mencionado, você pode ter boas razões para desativar a chave PGP antes que ela expire.
Igualmente, outras pessoas podem ter boas razões para revogar uma chave existente.
Você pode receber certificados de revogação de amigos como um aviso de que eles querem revogar sua chave.
Você deve ter notado no item anterior que, quando utiliza o Gerenciador de Chaves do Enigmail para revogar uma chave, o Enigmail gera e importa um certificado de revogação internamente. Considerando que você já tem um certificado de revogação, você o utilizará para revogar sua própria chave.
Inicie o Gerenciador de Chaves do Enigmail, clique no menu "Arquivo" e selecione "Importar Chaves do Arquivo".
Uma janela para que você possa selecionar o certificado de revogação será aberta. Clique no arquivo, e clique no botão “Abrir”. Você receberá uma notificação de que o certificado foi importado com sucesso e de que a chave foi revogada. Clique no botão “OK”.
Assim que clicar no botão "OK", você retornará para o Gerenciador de Chaves do Enigmail e verá o certificado que revogou acinzentado e em itálico.
Se a chave que revogou é a sua própria, e se anteriormente fez upload da sua chave pública para os servidores de chaves, você terá que fazer upload novamente da chave ora revogada para os servidores de chaves, de modo que os outros não mais a utilizem.
Agora que você tem todas as ferramentas adequadas, tente enviar o seu próprio e-mail criptografado pelo PGP.