A Project of the Electronic Frontier Foundation 
O Pretty Good Privacy (PGP
) é uma maneira de proteger seus e-mails de serem lidos por qualquer pessoa, exceto pelos seus destinatários especificados. Isso pode protegê-lo contra empresas, governos ou criminosos de espionarem sua conexão com a internet e, em menor escala, pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.
Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você for alvo de vigilância ou de desinformação.
Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão com o seu programa de e-mail. Você precisará também criar uma chave privada, a qual deve ser mantida confidencial. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados e assinar digitalmente os e-mails remetidos de forma acomprovar que eles realmente vieram de sua pessoa. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que os outros precisam saber antes que possam lhe enviar e-mails criptografados e verificar os e-mails que você envia.
Este guia mostrará como utilizar a PGP com um Mac da Apple (mas não com o iPad ou o iPhone), seja com o programa de e-mail padrão do Mac ou com o Mozilla Thunderbird, um programa popular alternativo de e-mail.
Atualmente você não pode utilizar PGP diretamente com um serviço de e-mail da web, como Gmail, Hotmail, Yahoo! Mail ou Outlook Live. No entanto, você pode continuar a utilizar o seu endereço de webmail; para isso só terá de configurá-lo no programa Mail ou Thunderbird no seu computador.
Observe que para que ele funcione, os dois lados da conversação de e-mail precisam estar utilizar um software compatível com o PGP.
Normalmente, as pessoas utilizarão isso só em seus dispositivos pessoais e não em dispositivos compartilhados. Felizmente, o PGP está disponível para a maioria dos computadores de mesa e dispositivos móveis, e você pode sugerir estes guias para ajudá-los a configurar suas próprias versões. Este guia é dedicado aos usuários de Mac.
Instalando as GPGTools no seu Mac
O PGP é um padrão aberto, o que significa que pode ser utilizado em mais de um software. O software a que recorreremos para utilizar o PGP é chamado de GPG Suite, por meio das GPG Tools, porque ele funciona em Macs, é gratuito para qualquer pessoa e é de código aberto: o seu código fonte está disponível para qualquer um verificar se há bugs e vulnerabilidades.
Depois de instalar a GPG Suite, você pode configurar as suas chaves pela primeira vez e, então, habilitar a PGP no Apple Mail e, opcionalmente, no Thunderbird.
Etapa 1: instale o programa
Vá primeiro para https://www.gpgtools.org/ no seu navegador e selecione “Download GPG Suite”
Você obterá uma imagem do disco, na qual pode clicar para instalar o software. Se não está acostumado a instalar softwares de terceiros em seu computador, peça a ajuda de um especialista em Mac que esteja por perto - isso é algo com que a maioria dos técnicos pode lhe ajudar, mesmo que não saibam nada sobre PGP ou criptografia.
Ao clicar em instalar, será mostrada uma lista de ferramentas que serão adicionadas ao seu computador.
O que exatamente estou instalando aqui?
A maioria destas ferramentas funciona em segundo plano, para que mais de um programa em seu Mac possa utilizar o PGP. Pense nelas como sendo programas que outros softwares podem utilizar, em vez de aplicativos que você utilizará diretamente. A ferramenta GPGMail faz com que o Apple Mail envie e receba e-mails PGP, a GPG Keychain Access permite que você mantenha suas chaves pública e privada, da mesma maneira que você pode salvar outras senhas no seu Mac. A ferramenta GPGServices acrescenta opcionalmente uma característica ao OS X para permitir que você utilize diretamente o PGP em outros programas, além do programa de e-mail (como, por exemplo, em um processador de textos). A GPGPreferences é para alterar as configurações do PGP nas preferências da Apple. Por fim, a MacGPG2 é a ferramenta básica que qualquer programa precisa para criptografar ou autenticar.
Em outubro de 2014, a equipe da GPG Tools anunciou que em breve cobraria pelo GPGMail, parte integrante do seu pacote que permite utilizar a GPG com o aplicativo Apple Mail. Este tutorial é sobre a utilização da GPG com o Thunderbird, de modo a não utilizar aquele componente. Você pode utilizar somente a parte gratuita da GPG Suite. Além disso, todas estas ferramentas são "software livres", no sentido de FLOSS (software de código aberto e livre, do inglês free / open source software), significando que você pode também examinar livremente, editar e redistribuir o código fonte inerente ao GPG Mail. Para mais informações, veja a FAQ do próprio GPG Tools sobre a decisão por eles tomada.
Clique em “Continue” (“Continuar”) para instalar a GPG Suite.
Ao concluir a instalação, abra a GPG Keychain (localizada na sua pasta de aplicativos) caso ela não abra automaticamente e solicite que você gere as suas chaves PGP. Clique em “New” (“Nova”) para gerar as suas chaves PGP.
Etapa 2: criar sua chave PGP
Às vezes, quando você instala um novo software, seu computador o importunará com questões que não têm respostas óbvias, sem, na verdade, assessorá-lo quanto às respostas. Este é um desses momentos.
É importante pensar algum tempo nas respostas que dará agora, pois depois pode ser difícil alterar os detalhes da sua chave PGP e, se tiver escolhido publicar sua chave em algum lugar, você não poderá cancelar sua publicação. (Ainda existem milhares de chaves públicas desde os anos 1990 vagando por aí, com os nomes e endereços de e-mail antigos de pessoas que as fizeram naquela época.)
As chaves PGP contêm um nome e um endereço de e-mail que vinculam a chave a você. O endereço de e-mail será uma das maneiras que outras pessoas podem utilizar para descobrir qual chave utilizar ao criptografarem uma mensagem para você.
Quando eu não devo colocar o meu nome ou endereço de e-mail verdadeiro na minha chave PGP? Quando eu não devo fazer upload da minha chave?
Para a maioria das pessoas faz sentido adicionar um endereço de e-mail verdadeiro à sua chave e fazer upload desta nos servidores de chaves públicas, é assim que outras pessoas irão conferir se sua chave está correta. Elas podem lhe enviar um e-mail diretamente sabendo que ele será criptografado com a chave correta e, ao receberem um e-mail assinado por você, a assinatura digital estará marcada com seu nome.
No entanto, não fará sentido para algumas pessoas adicionar seu nome verdadeiro à sua chave, por exemplo, se o seu modelo de ameaça significa que não é uma boa ideia ter a sua identidade e o endereço de e-mail vinculado ligados publicamente à sua chave. Edward Snowden se comunicou com jornalistas utilizando PGP e um endereço de e-mail anônimo antes de revelar sua identidade; sua chave PGP certamente não foi marcada com o nome dele.
Fazer upload da sua chave é uma prática normal, mas pode revelar que você está utilizando criptografia, mesmo se não utilizar o seu próprio nome. Também, como veremos, outras pessoas podem fazer upload da sua chave e associá-la à própria chave deles, implicando que você e eles têm uma conexão. Se você está se comunicando e não quer que as pessoas saibam, isso pode ser prejudicial. Isso também pode ser problemático se você não está se comunicando, mas o seu adversário quer que as pessoas pensem que você está associado a ele.
Em linhas gerais: se você está pensando em utilizar um pseudônimo, utilize-o, bem como um e-mail alternativo, quando rotular sua chave. Caso esteja em um ambiente mais perigoso, quando não quiser absolutamente que as pessoas saibam que está utilizando PGP ou com quem está se comunicando, não faça upload da sua chave para os servidores de chaves públicas. Certifique-se também que o pequeno grupo de pessoas com quem está se comunicando também saiba que não deve fazer upload de sua chave. Há outras maneiras de verificar chaves, as quais não dependem de estarem disponíveis nos servidores de chaves públicas - consulte a Verificação de Chaves.
Clique na caixa “Upload public key after generation” (“Fazer o upload da chave pública após ser gerada”) caso queira permitir que outras pessoas encontrem sua chave rapidamente e, assim, possam enviar mensagens criptografadas. Isso é como adicionar o seu número de telefone em uma lista telefônica pública: você não precisa fazer isso, mas é conveniente para outras pessoas.
Antes de gerar a chave, expanda as “Advanced options” (“Opções avançadas”). Você pode deixar o comentário em branco e pôr o tipo de chave "RSA e RSA (padrão)". Mas assegure-se de alterar o Comprimento do campo para 4096.
Após certo tempo, a sua chave irá expirar; embora você talvez não receba qualquer aviso ou explicação do porquê, quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento a isso, com mais ou menos um mês de antecedência da data de expiração.
É possível estender o prazo de validade de uma chave existente, fornecendo-lhe uma nova data, ou é possível substituí-la por uma nova chave, criando uma nova a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e assegure-se de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrar o processo, faça um lembrete para si próprio ou considere a criação da chave de modo que ela nunca expire, embora, nesse caso, as outras pessoas poderão tentar utilizá-la quando futuramente entrarem em contato, mesmo que você não tenha mais a chave privada ou não utilize mais PGP.
Quando estiver pronto, clique no botão “Generate key” (“Gerar chave”).
Seu computador iniciará a geração de ambas as chaves, pública e privada. Isso levará pouco mais que alguns minutos para terminar (demora um pouco pois, para criar suas chaves, seu computador precisa gerar números aleatórios. Pense como se o seu computador estivesse jogando um par de dados muitas e muitas vezes).
Quando terminar de gerar sua chave, você a verá listada na GPG Keychain Access. Você pode clicar duas vezes na sua chave para ver suas informações, incluindo suas “digitais”, que sãu uma forma de identificar sua chave PGP de forma específica (consulte a Verificação de Chaves).
Agora é um bom momento para gerar um certificado de revogação.
Futuramente, se você vier a se proecupar que sua chave privada tenha sido copiada por alguém, se a excluir acidentalmente, se a perder ou esquecer sua senha, você pode dizer a todos que ela foi revogada ou cancelada, utilizando um certificado de revogação.
É melhor criá-lo agora, pois para criar um certificado de revogação, você precisa da chave privada e da frase-chave. Se deixar para depois, você pode perder uma ou outra e, então, será tarde demais. Crie, portanto, um certificado, clicando em sua chave, escolhendo o item do menu "Key" (“Chave”) e depois em “Create Revocation Certificate” (“Criar Certificado de Revogação"). Será solicitado que escolha um local para salvar o arquivo. Você pode querer guardá-lo com uma cópia de backup da chave (veja a próxima etapa).
Etapa 3: Fazer backup da sua chave PGP
Se você perder o acesso à sua chave privada, não poderá decriptar qualquer e-mail PGP que receba ou seus antigos e-mails. Por outro lado, você quer manter sua chave privada o mais segura possível.
Você pode querer salvar uma cópia de backup em um pendrive USB, o qual ficará guardado em segurança e escondido. Você só precisará dele caso perca a sua chave original, mas, por segurança, seria bom mantê-lo longe do acesso de potenciais adversários.
Tudo estará perdido se meus adversários se apossarem da minha chave privada PGP?
O que acontece se o seu Mac ou se a sua chave de backup forem roubados? Isso significa que suas mensagens PGP são vulneráveis? Não: se escolheu uma boa frase-chave que ninguém possa saber qual é, você ainda deverá estará protegido. Para ficar seguro, você deve revogar a sua chave antiga e criar uma nova chave PGP. Isso não impedirá que sua chave antiga possa decriptar seus e-mails antigos, mas desencorajará outras pessoas a utilizarem sua antiga chave para enviar-lhe novos e-mails.
Abra a GPG Keychain Access para fazer backup da sua chave. Selecione-a e clique em “Export” (“Exportar”) na barra de ferramentas. Coloque o pendrive USB no seu computador e selecione-o na seção onde está escrito “Where” (“Onde”), do diálogo “Save As...” (“Salvar Como...”). Marque a caixa de verificação “Allow secret key export” (“Permitir exportar chave secreta”).
Configurando o Apple Mail
Quando abrir pela primeira vez o Apple Mail, verá aparecer o primeiro assistente de execução, o qual lhe ajudará a configurar seu endereço de e-mail. Digite seu nome, endereço de e-mail e a senha e, então, clique em “Create” (“Criar”).
Assistente de configuração de conta de e-mail
Se estiver utilizando serviços gratuitos e populares de e-mail, como o Gmail, o Mail detectará automaticamente as configurações quando você clicar em Continue (Continuar). Caso contrário, pode ser necessário configurar manualmente as configurações do IMAP e SMTP. Fale com o provedor da sua conta de e-mail ou peça ajuda para algum técnico que esteja familiarizado com seu provedor de e-mail (pode ser uma pessoa do TI no trabalho ou um técnico amigo, que utilize o mesmo ISP que você. Eles não precisam saber nada sobre PGP, mas você pode fazer-lhes uma pergunta como "Você pode configurar o Apple Mail para mim?")
Configuração da detecção automática da conta de e-mail
Quando estiver escrevendo uma nova mensagem, verá dois ícones logo abaixo do campo Assunto. Há um cadeado (criptografar e-mail) e uma estrela (assinar o e-mail digitalmente). Se o cadeado estiver fechado, significa que este e-mail será criptografado e se a estrela estiver com marca de verificação indica que este e-mail será assinado digitalmente.
Enviando e-mails assinados digitalmente ou criptografados pelo PGP
Você sempre pode assinar digitalmente seus e-mails, mesmo que o destinatário não utilize PGP. Ao assinar pela primeira vez um e-mail, o Mail abrirá uma janela pop-up solicitando sua frase-chave, pois os e-mails assinados digitalmente requerem sua chave secreta.
Você só pode criptografar e-mail se o destinatário utilizar PGP e você tiver a sua chave pública. Se o ícone do cadeado de criptografia estiver aberto e acinzentado, você não poderá clicar nele, o que significa que primeiro precisa importar a chave pública do destinatário. Você pode pedir-lhe que a envie a você ou utilizar a GPG Keychain Access para encontrar a chave em um servidor de chaves públicas.
Para estar plenamente seguro, você precisa verificar as chaves que receber do servidor de chaves ou do seu colega. Consulte a nossa seção de Verificação de Chaves.
Utilizando PGP com o Mozilla Thunderbird
Este guia passo a passo mostra como utilizar GPG com o Thunderbird, um cliente de e-mail livre e de código aberto do Mozilla, com o plug-in Enigmail para criptografar e-mails.
Primeiramente, faça download do Thunderbird no https://www.mozilla.org/thunderbird, monte a imagem do disco como fez com as ferramentas GPG Tools, e arraste o Thunderbird para Aplicativos. Quando ele abrir pela primeira vez, você será questionado se quer configurá-lo como o seu programa de e-mail padrão. Continue e clique em “Set as Default” (“Configurar como Padrão”).
Então aparecerá o assistente de primeira execução. Clique em "Skip this and use my existing email” (“Ignorar isto e utilizar o meu e-mail existente”) para configurar o seu endereço de e-mail existente. Em seguida, digite o seu nome, endereço de e-mail e senha.
Se estiver utilizando serviços gratuitos e populares de e-mail, como o Gmail, o Thunderbird detectará automaticamente as configurações quando você clicar em Continue (Continuar). Caso contrário, pode ser necessário configurar manualmente as configurações do IMAP e SMTP - peça ajuda para o seu ISP ou a um técnico conhecido que saiba configurar e-mail. Às vezes, o Thunderbird pode adivinhar as configurações corretas.
Se utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça, provavelmente você deveria usá-la!) você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Então, para acessar sua conta do Gmail, precisará criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.
Depois que terminar de configurar o Thunderbird para verificar seu e-mail, clique em “Done” (“Concluído”). Clique, a seguir, em “Inbox” (“Caixa de Entrada”), na parte superior esquerda, para carregar seus e-mails.
Agora que já instalou e configurou o Thunderbird para funcionar com o seu e-mail, é preciso que coloque um complemento GPG para o Thunderbird chamado Enigmail. No Thunderbird, clique no ícone do menu, na parte superior direita, e selecione “Add-ons” (“Complementos”).
Pesquise por “enigmail” na caixa de pesquisa, na parte superior direita.
Clique no botão Install (Instalar), próximo à extensão Enigmail para fazer download e instalar o Enigmail. Quando terminar, clique em “Restart Now” (“Reiniciar Agora”) para reiniciar o Thunderbird.
A primeira vez que executar o Thunderbird com o Enigmail ativado, ele abrirá o assistente de configuração OpenPGP. Clique em “Cancel” (“Cancelar”). Ao invés de utilizar o assistente, vamos configurar manualmente o Enigmail.
Clique no botão de menu, passe o mouse sobre Preferences (Preferências) e selecione Account Settings (Configurações de Conta).
Vá para a guia OpenPGP Security (Segurança da OpenPGP). Assegure-se de que "Enable OpenPGP support (Enigmail) for this identity" (“Ativar o suporte da OpenPGP para esta identidade”) esteja marcado. "Use specific OpenPGP key ID" (“Utilizar ID de chave específica da OpenPGP”) deve estar selecionada, e se sua chave já não estiver selecionada clique em “Select Key” (Selecionar Chave”) para fazê-lo.
Você deve marcar também "Sign non-encrypted message by default" (“Assinar mensagens não criptografadas por padrão”), "Sign encrypted messages by default" (“Assinar mensagens criptografadas por padrão”) e "Use PGP/MIME by default" (“Utilizar PGP/MIME por padrão”), mas não (para a maioria das pessoas) "Encrypt messages by default." (“Criptografar mensagens por padrão”).
Se a maioria das pessoas para as quais você envia e-mail utiliza PGP (ou se você gostaria de incentivá-las a utilizar), você desejará criptografar por padrão. Seria ideal criptografar todos os e-mails que envia, mas nem sempre é possível fazê-lo. Lembre-se de que você somente pode enviar e-mails criptografados para outras pessoas que utilizam PGP e que você precisará ter as chaves públicas delas em seu keychain (gerenciador de chaves). Para a maioria das pessoas, escolher manualmente criptografar cada e-mail que você envia funcionará melhor.
Então, clique em “OK” para salvar todas as configurações.
Parabéns, você já configurou o Thunderbird e o Enigmail! Aqui estão algumas dicas rápidas:
- Você pode clicar no botão de menu, passe o mouse sobre a OpenPGP e abrir o Key Management (Gerenciador de Chaves) para ver o gerenciador de chaves da PGP integrado ao Enigmail. Ele é muito parecido com a GPG Keychain Access, e a escolha de qual delas utilizar é sua.
- Quando você estiver escrevendo uma nova mensagem, verá dois ícones no canto inferior direito da janela: um lápis (e-mail assinado digitalmente) e uma chave (e-mail criptografado). Se os ícones estiverem dourados significa que estão selecionados e, se estiverem prateados, que não estão. Clique neles para alternar a condição do e-mail que está escrevendo, ou seja, para ligar ou desligar as opções de assinar e criptografar.
