Playlist
  • Especialista em segurança on-line?

    Guias avançados para melhorar suas habilidades de autodefesa de vigilância

    Parabéns! Você já tomou as medidas para aprimorar a segurança das suas comunicações on-line. Agora, você deseja conduzi-la para o próximo nível, o que é possível com esta lista. Você aprenderá como compreender as ameaças, verificar a identidade das pessoas com quem você está se comunicando e adicionar algumas ferramentas novas em seu repertório.

  • Uma introdução à modelagem de ameaças

    Não há uma maneira única para manter-se seguro on-line. A segurança digital não está nas ferramentas que você utiliza, mas na compreensão das ameaças que enfrenta e como pode combate-las. Para estar mais seguro, você deve determinar o que é preciso proteger, e de quem. As ameaças podem mudar dependendo de onde você está, do que está fazendo, e com quem está trabalhando. Portanto, para determinar quais serão as melhores soluções, você deve realizar uma avaliação de modelagem de ameaças.

    Ao realizar uma avaliação, há cinco questões principais que você deve se perguntar: Anchor link

    1. O que você quer proteger?
    2. De quem você quer protegê-los?
    3. Quão provável é que você precise protegê-lo?
    4. Quão ruins serão as consequências caso você falhe?
    5. Quanto esforço você está disposto a fazer para preveni-las?

      Quando falamos sobre a primeira questão, normalmente nos referimos aos bens, ou às coisas que você está tentando proteger. Os bens são as coisas de valor que você quer proteger. Quando estamos falando sobre segurança digital, normalmente os bens em questão são as informações. Por exemplo, seus e-mails, lista de contatos, mensagens instantâneas e arquivos, são todos bens. Os seus equipamentos também são bens.

      Anote uma lista de dados que você mantém, onde são mantidos, quem tem acesso a eles, e o que impede os outros de acessá-los.

      Para responder a segunda questão, “De quem você quer protegê-los”, é importante compreender quem poderia querer atacar você ou sua informação, ou quem é seu oponente. Um oponente é qualquer pessoa ou entidade que apresenta uma ameaça contra seus bens. Exemplos de potenciais oponentes são seu chefe, seu governo ou um hacker em uma rede pública.

      Faça uma lista de quem poderia querer obter seus dados ou comunicações. Pode ser um indivíduo, uma agência governamental ou uma corporação.

      Uma ameaça é algo ruim que pode ocorrer a um bem. Existem inúmeras maneiras de um oponente ameaçar os seus dados. Por exemplo, um oponente pode ler suas comunicações privadas e divulgá-las através da rede ou excluir ou corromper seus dados. Um oponente pode também desativar o seu acesso a seus próprios dados.

      As motivações dos oponentes podem variar consideravelmente, assim como seus ataques. Ao tentar impedir a divulgação de um vídeo que mostra a violência policial, um governo pode simplesmente se contentar em excluir ou restringir a disponibilidade desse vídeo, enquanto um adversário político pode desejar obter acesso ao conteúdo secreto e publicá-lo sem o seu conhecimento.

      Anote o que o seu oponente pode querer fazer com seus dados privados.

      É importante também considerar a capacidade do seu invasor. Por exemplo, o provedor do seu telefone móvel tem acesso a todos os registros do seu telefone e portanto tem a capacidade de utilizar estes dados contra você. Em uma rede Wi-Fi aberta, um hacker pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades bem maiores.

      Uma última coisa a considerar é o risco. O risco é a probabilidade de que ocorra uma determinada ameaça contra certo bem, e parelha com a capacidade. À medida que o provedor do seu telefone móvel tem a capacidade de acessar todos os seus dados, o risco deles divulgarem seus dados privados on-line para prejudicar a sua reputação é baixo.

      É importante diferenciar as ameaças dos riscos. Enquanto que a ameaça é algo ruim que pode ocorrer, o risco é a probabilidade que ocorra a ameaça. Por exemplo, existe a ameaça de que seu prédio possa ruir, mas o risco disso ocorrer é muito maior em São Francisco (onde os terremotos são comuns) do que em Estocolmo (onde eles não são).

      Fazer uma análise de risco é um processo tanto pessoal quanto subjetivo; nem todos têm as mesmas prioridades ou enxergam as ameaças da mesma maneira. Muitas pessoas acham certas ameaças inaceitáveis independente do seu risco porque a mera presença da ameaça a qualquer probabilidade não vale o custo. Em outros casos, as pessoas relegam os altos riscos porque eles não enxergam a ameaça como um problema.

      Em um contexto militar, por exemplo, pode ser preferível que um bem seja destruído a deixá-lo cair nas mãos do inimigo. Em muitos contextos civis, contrariamente, é mais importante que os bens, como o serviço de e-mail fique disponível em vez de ser confidencial.

      Agora, vamos praticar a modelagem de ameaça Anchor link

      Se você quer manter a sua casa e os seus bens seguros, aqui estão algumas questões para se perguntar:

      • Eu devo trancar a minha porta?
      • Qual tipo de fechadura ou fechaduras eu devo investir?
      • Eu preciso ter um sistema de segurança mais avançado?
      • Quais são os bens neste cenário?
        • A privacidade da minha casa
        • Os itens dentro da minha casa
      • Qual é a ameaça?
        • Alguém poderia arrombar.
      • Qual é o risco atual de alguém arrombar? Isso é provável?

      Depois de se fazer essas perguntas, você estará em posição para avaliar que medidas tomar. Se seus bens são valiosos, mas o risco de arrombamento é baixo, então, você provavelmente não irá querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você irá querer ter as melhores fechaduras do mercado, e talvez até mesmo adicionar um sistema de segurança.

      Last reviewed: 
      2015-01-12
      This page was translated from English. The English version may be more up-to-date.
    1. Escolhendo suas ferramentas

      Todas as ferramentas digitais, sejam elas de hardware ou de software, devem ser seguras. Ou seja, elas devem protegê-lo de vigilância, e evitar que o seu dispositivo seja controlado por terceiros. Lamentavelmente, atualmente esse não é o caso. Para muitas atividades digitais, você pode terminar necessitando de programas dedicados ou equipamentos destinados a prover funções de segurança específicas. Os exemplos que utilizamos neste guia incluem um software que lhe permite criptografar suas mensagens ou arquivos, como o PGP.

      Como escolher o mais adequado para você, dado o grande número de empresas e websites que oferecem programas ou hardware de segurança?

      A segurança é um processo, não uma compra Anchor link

      Antes de trocar o software que você utiliza ou comprar novas ferramentas, a primeira coisa a recordar é que nenhuma ferramenta lhe proporcionará proteção absoluta de vigilância em todas as circunstâncias. A utilização de software de criptografia geralmente torna mais difícil que outros leiam suas comunicações ou vasculhem os arquivos em seu computador. Mas os que ataques a sua segurança digital sempre procurarão o elemento mais fraco de suas práticas de segurança. Quando utilizar uma nova ferramenta de segurança, você deve pensar em como a sua utilização pode afetar outras maneiras que alguém poderia atingi-lo. Por exemplo, se você decidir utilizar um programa de mensagens de texto seguro para falar com um contato porque sabe que o seu telefone pode estar comprometido, talvez o simples fato de estar utilizando esse programa, dê a um oponente um indício de que você está falando informações confidenciais?

      Em segundo lugar, lembre-se de seu modelo de ameaça. Você não precisa comprar algum sistema de telefonia criptografado caro, que se diz ser “à prova da NSA”, se a sua maior ameaça é a vigilância física de um investigador particular sem nenhum acesso às ferramentas de vigilância na Internet. Alternativamente, se você está enfrentando um governo que condena regularmente dissidentes porque eles utilizam ferramentas de criptografia, pode fazer sentido usar truques mais simples, como um conjunto de códigos pré-arranjados, em vez do risco de deixar evidências que você utiliza software de criptografia em seu laptop.

      Tendo tudo isso em conta, eis aqui algumas perguntas que você pode fazer sobre uma ferramenta antes de fazer download, comprá-la ou utilizá-la.

      O quão transparente é? Anchor link

      Apesar da segurança digital parecer ser principalmente sobre manter segredos, há uma forte crença entre os pesquisadores de segurança que a abertura e a transparência levam a ferramentas mais seguras.

      Grande parte do software utilizado e recomendado pela comunidade de segurança digital é livre e de código aberto, o que significa dizer que o código que define a forma como ele funciona é disponível publicamente para outros examinarem, modificarem e compartilharem. Por serem transparentes quanto à sua funcionalidade, os criadores destas ferramentas convidam outras pessoas a procurar falhas de segurança e ajudar a melhorar o programa.

      O software aberto oferece a oportunidade de uma segurança melhor, mas não a garante. A vantagem do código aberto depende em parte de uma comunidade de tecnólogos que efetivamente verificam o código, que para pequenos projetos (e mesmo para os complexos, populares) pode ser difícil de alcançar. Quando você estiver utilizando uma ferramenta, veja se seu código fonte está disponível e se tem uma auditoria de segurança independente para confirmar a qualidade da sua segurança. Pelo menos, o software e o hardware devem ter uma explicação técnica detalhada de como funcionam para que outros especialistas possam inspecioná-los.

      Quão claro são os seus criadores em relação à suas vantagens e desvantagens? Anchor link

      Nenhum software ou hardware é plenamente seguro. Os criadores e vendedores que são honestos sobre as limitações dos seus produtos lhe darão uma ideia muito mais sólida se seu aplicativo é adequado para você.

      Não acredite em declarações genéricas que dizem que o código é de "nível militar" ou "à prova da NSA"; estes nada significam e advertem claramente que os criadores estão superestimando ou indispostos a considerar possíveis falhas em seus produtos.

      Em virtude dos invasores estarem sempre tentando descobrir novas maneiras de quebrar a segurança das ferramentas, o software e o hardware precisam ser atualizados com frequência para corrigir novas vulnerabilidades. Se os criadores de uma ferramenta não estão dispostos a fazê-lo, seja pelo receio da má publicidade, ou por não terem elaborado a infraestrutura para corrigir problemas, pode ser um problema sério.

      Não se pode prever o futuro, mas um bom indicador de como os fabricantes de ferramentas se comportarão no futuro é o seu histórico de atividades. Se o website da ferramenta relaciona os problemas anteriores e links para as atualizações regulares e informações, especificamente há quanto tempo o software recebeu a última atualização - você pode confiar que eles continuarão a prestar este serviço no futuro.

      O que acontece se os criadores se veem comprometidos? Anchor link

      Quando os fabricantes de ferramentas de segurança criam software e hardware, eles (assim como você) devem ter um claro modelo de ameaça. Os melhores criadores descreverão explicitamente em sua documentação de quais tipos de invasores eles podem protegê-lo.

      Mas existe um invasor que muitos fabricantes não querem pensar: se eles mesmos se veem comprometidos ou decidem atacar seus próprios usuários. Por exemplo, um tribunal ou governo obriga uma empresa a ceder os dados pessoais ou criar uma “porta dos fundos” que removerá todas as proteções que sua ferramenta oferece. Você pode querer considerar a(s) jurisdição(ções) base(s) dos criadores. Se a sua ameaça provém do governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, mesmo que ela deva cumprir as ordens dos EUA.

      Mesmo que um criador seja capaz de resistir à pressão governamental, um intruso pode tentar obter o mesmo resultado invadindo os próprios sistemas dos fabricantes de ferramentas para atacar os seus clientes.

      As ferramentas mais resistentes são aquelas que consideram isso como um possível ataque, e são projetadas para se defender contra isso. Procure inscrições que assegurem que um criador não pode acessar dados confidenciais, em lugar de promessas que o mesmo não o fará. Procure instituições com fama de lutar contra as ordens judiciais para proteger os dados pessoais.

      Verifique a existência de registros e críticas on-line Anchor link

      É claro que empresas vendendo produtos e entusiastas anunciando seu mais recente software podem estar enganados, induzir a erro, ou até mesmo mentir propositalmente. Um produto que foi originalmente seguro pode se revelar no futuro como tendo terríveis falhas de segurança. Assegure-se de estar bem informado das últimas notícias sobre as ferramentas que utiliza.

      Você conhece outras pessoas que utilizam a mesma ferramenta? Anchor link

      Manter-se a par das últimas notícias sobre uma ferramenta é um trabalho enorme para uma só pessoa. Se você tem colegas que utilizam um determinado produto ou serviço, trabalhe com eles para ficar informado do que está acontecendo.

      Produtos mencionados neste guia Anchor link

      Procuramos garantir que o software e o hardware que mencionamos neste guia atendem aos critérios que relacionamos abaixo: temos feito um esforço de boa fé para listar apenas produtos que têm uma base sólida, com base no que atualmente sabemos sobre segurança digital, que são geralmente transparentes sobre o seu funcionamento (e suas falhas), que têm defesas contra a possibilidade de que os próprios criadores se veem comprometidos, e que atualmente são mantidos com uma grande base de usuários e tecnicamente bem informados. Acreditamos que eles tenham, no momento da escrita, a atenção de uma grande audiência que os está examinando em busca de falhas, e levantaria rapidamente quaisquer preocupações para o público. Entenda que não temos os recursos para examinar ou dar garantias independentes sobre a sua segurança, que não estamos endossando esses produtos e não podemos garantir sua total segurança.

      Qual telefone eu devo comprar? Qual computador? Anchor link

      Algumas das questões mais frequentes recebidas pelos instrutores de segurança são "Devo comprar um Android ou um iPhone?” ou “Devo utilizar um PC ou um Mac?” ou “Qual sistema operacional devo utilizar?” Não há respostas simples para essas questões. A segurança relativa do software e dos dispositivos está constantemente mudando à medida que novas falhas são descobertas e bugs antigos são corrigidos. As empresas podem competir entre si para lhe oferecer uma melhor segurança, ou todas elas podem estar sob pressão de governos para enfraquecer essa segurança.

      No entanto, algumas recomendações gerais são quase sempre verdadeiras. Quando comprar um dispositivo ou um sistema operacional, mantenha-os em dia com as atualizações de softwares. As atualizações quase sempre corrigirão problemas de segurança em códigos antigos que os ataques podem explorar. Os telefones e os sistemas operacionais mais antigos não têm mais suporte, mesmo para as atualizações de segurança. Particularmente, a Microsoft deixou claro que o Windows XP e as versões anteriores do Windows não receberão correções, até mesmo para os graves problemas de segurança. Se você utiliza o XP, não pode esperar que ele esteja seguro de invasores (o mesmo se aplica para o OS X antes de 10.7.5 ou o “Lion”).

      Last reviewed: 
      2015-07-28
      A versão em Inglês pode estar mais atualizada.
    2. Verificação de chaves

      Quando a criptografia é utilizada adequadamente, suas comunicações e informações devem ser lidas somente por você e pelo seu interlocutor. A criptografia ponto a ponto protege seus dados contra a vigilância de terceiros, mas sua utilidade é limitada, caso esteja inseguro em relação à identidade do seu interlocutor. É neste momento que entra em ação a verificação da chave. Através da conferência das chaves públicas que você e ele adicionam outra camada de proteção à conversa, confirmando as identidades um do outro, e proporcionando maior garantia de que esteja falando com a pessoa certa.

      A verificação de chaves é um elemento usual dos protocolos que utilizam a criptografia ponto a ponto, como a PGP e a OTR. No Sinal, eles são chamados de "safety numbers". Para averiguar as chaves sem riscos de interferências, é recomendável utilizar um método secundário de comunicação diferente do que utilizará para criptografar, o que é denominado de verificação fora da banda (do inglês out-of-band). Por exemplo, se está verificando suas digitais OTR, você pode enviá-las para outra pessoa via e-mail. Neste exemplo, o e-mail seria o canal secundário de comunicação.

      Verificando chaves fora da banda Anchor link

      Existem diversas maneiras de fazer isso. A verificação física das chaves é a ideal, caso seja conveniente e arranjada de modo seguro. Muitas vezes isto é feito em reuniões de assinatura de chaves (do inglês key-signing parties) ou entre colegas.

      Caso não possam se encontrar pessoalmente, você pode entrar em contato com seu interlocutor por um meio de comunicação diferente do que está utilizando e pelo qual quer verificar as chaves. Por exemplo, se estiver querendo conferir as chaves PGP com alguém, você poderia utilizar o telefone ou um chat OTR para verificá-las.

      Independentemente do programa que utilizar, você sempre poderá localizar tanto a sua como a chave do seu interlocutor.

      Apesar do método de localização da sua chave variar conforme o programa, o mecanismo de verificação de chaves permanece quase sempre o mesmo. Você pode ler em voz alta (presencialmente ou pelo telefone) a sua chave de autenticação digital ou ainda copiar e colá-la em um programa de comunicação. Porém, é imperativo que verifique cada letra e número, seja qual for o método que escolher.

      Dica: tente verificar as chaves com um de seus amigos. Consulte o guia de como utilizar determinado programa para aprender como verificar as chaves neste programa específico.

      Last reviewed: 
      2017-01-13
      A versão em Inglês pode estar mais atualizada.
    3. Uma introdução à criptografia de chave pública e PGP

      PGP significa Pretty Good Privacy. Isto se traduz em “uma privacidade muito boa”. Se utilizada corretamente, ela pode proteger o conteúdo de suas mensagens, textos ou mesmo arquivos de ser compreendidos até pelos bem financiados programas de vigilância do governo. Quando o Edward Snowden diz que a ""criptografia funciona"", ele refere-se à PGP e aos seus softwares relacionados. Deve-se observar que não é raro para os governos roubarem as chaves privadas de computadores pessoais (confiscando-os ou introduzindo-lhes malwares pelo seu acesso físico ou por meio de ataques de phishing), desfazendo a proteção e permitindo até mesmo ler e-mails antigos. Isto é comparável a dizer que você pode ter um cadeado irremovível em sua porta, mas talvez alguém na rua roube a chave do seu bolso, a copie e devolva-a sorrateiramente onde ela estava, para posteriormente entrar em sua casa, sem mesmo precisar remover o cadeado.

      Infelizmente, a PGP é também muito ruim de entendê-la ou utilizá-la. A forte criptografia que a PGP utiliza, a de chave pública, é engenhosa, mas pouco intuitiva. O próprio software da PGP está presente desde 1991, o que o torna tão antigo quanto às primeiras versões do Microsoft Windows, sendo que a aparência dela não mudou muito desde então.

      A boa notícia é que agora existem muitos programas disponíveis, os quais podem ocultar o antigo projeto da PGP e torná-la um pouco mais fácil de utilizar, especialmente quando se trata de criptografia e autenticação de e-mail, sua principal aplicação. Nós incluímos guias para instalar e usar este software em outros lugares.

      No entanto, antes de você utilizar a PGP ou os demais programas que a empregam, vale a pena passar alguns minutos conhecendo os princípios da criptografia de chave pública: o que ela pode ou não fazer por você, e quando deve usá-la.

      Uma história de duas chaves Anchor link

      Eis aqui o que tentamos fazer ao utilizarmos a criptografia para combater a vigilância:

      Tomemos uma mensagem claramente legível, como ""Olá, mãe"". A criptografamos em uma mensagem codificada é incompreensível a qualquer um que olhe para ela e diga “OhsieW5ge+osh1aehah6”. Assim, a enviamos pela Internet, onde ela pode ser lida por um monte de pessoas que esperamos não poder compreendê-la. Então, quando ela chega ao seu destinatário, apenas ele pode descriptografá-la para a sua forma original.

      De que maneira o destinatário sabe descriptografar a mensagem quando ninguém mais consegue fazê-lo? É porque ele sabe algo a mais do que as outras pessoas. Vamos chamar isso de chave para descriptografar, pois ela destrava a mensagem interna ao código.

      Como o destinatário conhece esta chave? Principalmente porque o remetente a informou previamente, como, por exemplo, ""leia a mensagem contra um espelho"" ou ""substitua cada letra pela próxima letra do alfabeto"". Entretanto, há um problema com esta estratégia. Caso esteja preocupado em ser espionado quando enviar sua mensagem criptografada, como você fará para enviar a chave ao destinatário sem que alguém também espie a conversa? Não faz sentido enviar uma mensagem engenhosamente criptografada se um invasor tem conhecimento da chave para descriptografá-la. Se você tem uma maneira secreta para encaminhar as chaves para descriptografar, por que não utilizá-la para todas as mensagens sigilosas?

      A chave pública de criptografia tem a solução certa para isso. Cada pessoa em uma conversa tem uma maneira de criar duas chaves. Uma delas é a sua chave privada, a qual ela mantém consigo e não permite que ninguém a conheça. A outra é uma chave pública, fornecida a quem quiser se comunicar com ele. É indiferente quem pode ver a chave pública. Você pode colocá-la on-line, onde todos possam vê-la.

      As "chaves" em si são, essencialmente, números realmente bastante extensos, com certas propriedades matemáticas. As chaves pública e privada estão conectadas. Se você codificar algo utilizando a chave pública, então alguém pode descodificá-lo com a sua chave privada correspondente.

      Vejamos como isso poderia funcionar. Você quer enviar uma mensagem secreta para o Aarav. Ele tem uma chave privada, mas, como um bom usuário de criptografia de chave pública, colocou sua chave pública conectada à sua página da Web. Você faz o download desta, criptografa a mensagem com ela e a envia para ele. Esta pessoa pode descriptografá-la, pois tem a correspondente chave privada, mas ninguém mais pode fazer isso.

      A assinatura nos tempos atuais Anchor link

      A criptografia de chave pública elimina o problema de ter de contrabandear a chave para descriptografar para a pessoa que você deseja enviar uma mensagem, pois esta pessoa já tem a chave. Você só precisa obter a correspondente distribuída a todos pelo destinatário, até mesmo para os espiões. Ela é inútil para qualquer pessoa que tente descriptografar a mensagem, uma vez que ela só serve para criptografá-la.

      E tem mais! Se você criptografar uma mensagem com uma chave pública específica, aquela só poderá ser descriptografada com a correspondente privada. O oposto também é verdadeiro. Se você criptografar uma mensagem com uma chave privada específica, aquela somente será descriptografada com a equivalente pública.

      Para que isso seria útil? À primeira vista, parece não haver qualquer vantagem criptografar uma mensagem com sua chave privada, para que todos (ou pelo menos aqueles que têm a sua chave pública) possam descriptografá-la. Mas suponha que eu tenha escrito a seguinte mensagem: “Eu prometo pagar ao Aazul $ 100”, e depois a criptografei com a minha chave privada. Qualquer um pode descriptografá-la - mas apenas uma pessoa pode tê-la escrito: a que tinha a minha chave privada. Se eu fiz um bom trabalho, mantive a minha chave segura, ou seja, somente comigo. Por exemplo, ao criptografar a mensagem com a minha chave privada, tenho certeza de que ela só pode ter sido escrita por mim. Em outras palavras, eu fiz com esta mensagem digital o mesmo que faço quando assino uma mensagem no mundo real.

      O fato de assinar as mensagens também as torna à prova de adulteração. Se alguém tentar alterar a mensagem de “Eu prometo pagar ao Aazul $ 100” para “Eu prometo pagar ao Bob $ 100”, este alguém não conseguirá assiná-la novamente utilizando a minha chave privada. Assim, é garantido que uma mensagem assinada seja originada de determinada fonte e não possa ser modificada em trânsito.

      Desse modo, a criptografia de chave pública permite que você criptografe e envie mensagens de modo seguro a qualquer um, cuja chave pública seja do seu conhecimento. Se outras pessoas a conhecem, eles podem enviar mensagens criptografadas, as quais só você consegue descriptografar. Se elas sabem qual é a sua chave pública, você pode assinar as mensagens para que saibam que apenas a sua pessoa pode tê-las enviado. Se você sabe qual é a chave pública de alguém, pode descriptografar uma mensagem assinada por esse indivíduo e saber que ela só pode ser proveniente dele.

      Agora deve estar claro que a criptografia de chave pública torna-se mais útil, conforme mais pessoas têm conhecimento dela. Deve também ficar evidente que você precisa manter sua chave privada muito segura. Caso alguém obtenha uma cópia dela, esta pessoa pode se passar por você e assinar mensagens alegando que foram escritas pelo possuidor da chave pública. A PGP tem um recurso para ""revogar"" uma chave privada e advertir as pessoas que ela não é mais confiável, mas esta não é uma ótima solução. A coisa mais importante da utilização de um sistema de criptografia de chave pública é proteger a sua chave privada com extremo cuidado.

      Como funciona a PGP? Anchor link

      A Pretty Good Privacy (privacidade muito boa) visa principalmente as minúcias da criação e da utilização das chaves pública e privada. Você pode criar a partir dela um par de chaves pública/privada, proteger esta com uma senha e depois utilizar a sua chave pública para assinar e criptografar de textos. Ela também possibilitará fazer download de chaves públicas de outras pessoas e fazer o upload de suas chaves públicas para os ""servidores de chaves públicas"", os quais são repositórios onde outras pessoas podem encontrar a sua chave. Consulte os nossos guias para instalar, no seu software de e-mail, um software compatível com a PGP.

      Se há algo que você precisa levar consigo desta visão geral é: você deve manter sua chave privada armazenada em algum lugar seguro e protegido com uma senha longa. Você pode fornecer a sua chave pública para alguém que queira se comunicar com você ou que gostaria de saber se uma mensagem realmente foi enviada por você.

      PGP avançada: a rede de confiança Anchor link

      Você pode ter visto uma falha em potencial no funcionamento da criptografia de chave pública. Suponha que comecei a distribuí-la e que eu diga que ela pertencer ao Barack Obama. Se as pessoas acreditaram em mim, podem começar a enviar mensagens secretas para o Barack, criptografando-as com essa chave. Ou eles podem acreditar que qualquer coisa assinada com essa chave é uma declaração juramentada do Barack. Isso é muito raro e ainda que isso tenha realmente acontecido com algumas pessoas na vida real, incluindo com alguns autores deste documento - algumas pessoas que escreveram para ele foram enganadas! (não temos certeza, neste caso, se algumas das que fizeram as chaves falsas puderam ou não interceptar e ler as mensagens em trânsito, ou se tudo não passou de uma brincadeira para torná-las mais inconveniente para as pessoas terem uma conversa segura.)

      Outro ataque furtivo é o de um invasor sentar-se entre duas pessoas que conversam on-line, espionar toda a conversa delas e ocasionalmente inserir mensagens enganosas no diálogo. Este ataque é totalmente possível graças ao formato da Internet, que é um sistema que transporta as mensagens entre vários computadores distintos e entidades privadas. Sob estas condições (conhecidas como "man-in-the-middle attack" ou literalmente, em português, “ataque do homem no meio” ou até de “ataque do interceptador”), a troca de chaves sem um prévio acordo pode ser muito arriscada. Uma pessoa que parece ser o Barack Obama anuncia “Aqui está a minha chave” e ela envia um arquivo de chave pública. Mas e se alguém ficou esperando por esse momento do anúncio, interceptou a transmissão da chave do Obama e inseriu sua própria chave?

      Como podemos comprovar que uma determinada chave pertence a uma pessoa específica? Uma maneira é obter a chave diretamente, mas não é muito melhor do que nosso desafio original, que é conseguir a chave secreta sem que alguém nos detecte. Ainda assim, as pessoas trocam suas chaves públicas quando se encontram em particular e em “cryptoparties” públicas (ou “criptofestas” - encontros públicos de criptografia).

      A PGP tem uma solução ligeiramente melhor, chamada de “rede de confiança"". Nela, se eu acredito que uma chave pertence a uma determinada pessoa, posso assiná-la e, em seguida, fazer upload da dela (e da assinatura) para os servidores de chaves públicas. Então, eles fornecem as chaves assinadas para quem as solicite.

      De uma maneira geral, quanto mais as pessoas da minha confiança assinam uma chave, mais provável é que eu acredite que a ela realmente pertence a quem a reivindica. A PGP possibilita assinar as chaves de outras pessoas e também permite que confie em outros signatários, de modo que, se eles a assinarem, seu software interpretará automaticamente que ela é válida.

      A rede de confiança tem seus próprios desafios, e as organizações, como a EFF, está atualmente analisando as melhores soluções. Mas, por ora, caso queira uma alternativa para fornecer pessoalmente as chaves para alguém, suas melhores opções são utilizar a rede de confiança e a do servidor de chaves públicas.

      Metadados: o que a PGP não pode fazer Anchor link

      A PGP faz de tudo para garantir que os conteúdos de uma mensagem sejam secretos, genuínos e autênticos. Mas essa não é a única preocupação que você pode ter em relação à privacidade. Como observamos, as informações compreendidas nas suas mensagens podem ser tão reveladoras quanto o seu conteúdo (consulte sobre os ""metadados""). Caso esteja trocando mensagens PGP com um conhecido dissidente em seu país, talvez você encontre-se em perigo, apenas por se comunicar com essa pessoa, mesmo que as mensagens não estejam sendo descriptografadas. De fato, em alguns países, você pode ser preso simplesmente por se recusar a descriptografar as mensagens criptografadas.

      A PGP não faz nada para encobrir com quem você está falando ou mesmo que está utilizando a PGP para fazê-lo. Na verdade, se fizer upload da sua chave pública para os servidores de chaves ou assinar as de outras pessoas, estará efetivamente mostrando ao mundo qual é a sua chave e quem você conhece.

      Você não tem de fazer isso. Você pode deixar quieta sua chave pública da PGP e fornecê-la apenas às pessoas com quem se sente seguro, dizendo-lhes para que não façam upload dela para os servidores de chaves públicas. Você não precisa vincular seu nome a uma chave.

      É mais difícil encobrir que está se comunicando com uma determinada pessoa. Uma maneira de fazer isso é ambos utilizarem contas de e-mail anônimas, acessando-as pelo Tor. Se fizer isso, a PGP ainda será útil, seja para manter suas mensagens de e-mails privadas, seja para provar um ao o outro que elas não foram adulteradas.

      Last reviewed: 
      2014-11-07
      A versão em Inglês pode estar mais atualizada.
    4. Como utilizar o OTR para Mac

      O Adium é um programa cliente de mensagens instantâneas gratuito e de código aberto para o OS X que permite chats entre você e outras pessoas através de múltiplos protocolos de chat, incluindo o Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, e o XMPP.

      O OTR (Off-the-record) é um protocolo que permite às pessoas conversas confidenciais utilizando a ferramenta de mensagens que já lhes é familiar. Isto não deve ser confundido com o “Off the record” do Google, que simplesmente desativa o registro do chat, e não tem capacidades de verificação e criptografia. Para os usuários de Mac, o OTR vem integrado ao cliente Adium.

      O OTR emprega criptografia ponto a ponto. Isso significa que você pode utilizá-lo para conversar através de serviços como o Google Hangouts, sem que essas empresas tenham acesso aos conteúdos das conversas. No entanto, o fato de que você está tendo uma conversa é visível para o provedor.

      Porque devo utilizar o Adium com o OTR? Anchor link

      Quando você faz um chat utilizando o Google Hangouts pelos respectivo website, esse chat é criptografado utilizando o HTTPS, que significa que o conteúdo do seu chat está protegido de hackers e demais terceiros enquanto estiver em trânsito. Porém, ele não está protegido do Google, que têm as chaves das suas conversas e podem entregá-las às autoridades ou utilizá-los para fins de marketing.

      Após instalar o Adium, você pode fazer login nele utilizando várias contas ao mesmo tempo. Você pode utilizar, por exemplo, o Google Hangouts e o XMPP simultaneamente. O Adium permite também chats utilizando essas ferramentas sem o OTR. Uma vez que o OTR só funciona se ambas as pessoas o estiverem utilizando, ou seja, se a outra pessoa não o tem instalado, ainda lhe será possível conversar com ela utilizando o Adium.

      O Adium permite também a verificação fora de banda para garantir que esteja conversando com a pessoa que você pensa estar, e ficar isento de ataques de intrusos. Para cada conversa, há uma opção que lhe mostrará a chave de autenticação digital que ela tem para você e para a pessoa com quem está conversando. Uma “chave de autenticação digital” (do inglês “key fingerprint”) é um conjunto de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928”, que é utilizado para verificar uma chave pública mais longa. Troque suas senhas através de outro canal de comunicação, tais como o Twitter DM ou o e-mail, para garantir que ninguém esteja interferindo nas suas conversas. Se as chaves não forem iguais, você não pode ter certeza que você está falando com a pessoa certa. Na prática, as pessoas costumam usar várias chaves, ou perder e ter de recriar novas chaves, então não se surpreenda se você tem que voltar a verificar suas chaves com seus amigos de vez em quando.

      Limitações: Quando não devo utilizar o Adium com o OTR? Anchor link

      Os técnicos têm um termo para descrever quando um programa ou tecnologia pode ser vulnerável contra ataques externos: eles dizem que tem uma grande “superfície de ataque”. O Adium tem uma grande superfície de ataque. Ele é um programa complexo, que não foi escrito tendo a segurança como prioridade. Ele certamente contém bugs, alguns dos quais podem ser utilizados por governos ou mesmo por grandes empresas para invadir computadores que o estão utilizando. Utilizar o Adium para criptografar as suas conversas é uma ótima defesa contra ataques de vigilância não pessoais que são utilizados para espionar as conversas pela Internet de todo mundo. Porém, se você suspeita que pessoalmente será alvo de um invasor com bons recursos (como um governo), é preciso que considere precauções maiores, como utilizar criptografia PGP de e-mail.

      Instalando o Adium e o OTR em seu Mac Anchor link

      Etapa 1: Instale o programa

      Primeiro, vá para https://adium.im/ no seu navegador. Selecione “Download Adium 1.5.9”. Será feito download do arquivo com a extensão .dmg, ou imagem de disco, e provavelmente será salvo na sua pasta “Downloads”.



      Clique duas vezes no arquivo para abrir uma janela semelhante a esta:

      Mova o ícone do Adium para dentro da pasta “Aplicativos” para instalar o programa. Assim que o programa estiver instalado, procure-o na sua pasta Aplicativos e clique sobre ele duas vezes para abri-lo.

      Etapa 2: Configure sua(s) conta(s)

      Primeiro, você precisará decidir quais ferramentas de chat ou protocolos quer utilizar com o Adium. O processo de configuração é similar, mas não idêntico, para cada tipo de ferramenta. Você precisará saber seu nome de usuário para cada ferramenta ou protocolo, bem como sua senha para cada conta.



      Para configurar uma conta, vá para o menu do Adium na parte superior da tela, clique em “Adium” e a seguir em “Preferências”. Isso fará abrir uma janela com outro menu na parte superior. Selecione “Contas” e depois clique no sinal de “+” na parte inferior da janela. Você verá um menu semelhante a este:

      Selecione o programa para o qual deseja fazer login. Então  lhe será solicitado digitar seu nome de usuário e senha ou utilizar a ferramenta de autorização do Adium para fazer login em sua conta. Siga as instruções do Adium cuidadosamente.

      Como iniciar um chat OTR Anchor link

      Após fazer login em uma ou mais de suas contas, você pode começar a utilizar o OTR.

      Lembre-se: Para conversar utilizando o OTR, ambas as pessoas precisam estar utilizando um programa de chat suportado pelo OTR.

      Etapa 1: Inicie um Chat OTR

      Primeiramente, identifique alguém que esteja utilizando o OTR, e inicie uma conversa com ele no Adium, clicando duas vezes no nome dele. Assim que abrir a janela de chat, você verá um pequeno cadeado aberto no canto superior esquerdo da janela de chat. Clique no cadeado e selecione “Iniciar Chat OTR Criptografado”.

      Etapa 2: Verifique a sua conexão

      Assim que iniciar o chat e a outra pessoa aceitar o convite, você verá o ícone de um cadeado fechado, indicando que agora o seu chat está criptografado (parabéns!). Mas espere, ainda há mais um passo!

      Até então, você iniciou um chat criptografado não verificado. Isso quer dizer que, apesar de suas comunicações serem criptografadas, você ainda não determinou nem verificou a identidade da pessoa com que está conversando. A menos que estejam na mesma sala e possam ver as telas um do outro, é importante que vocês verifiquem suas identidades. Consulte o módulo Verificação de Chaves para obter mais informações.

      Para verificar a identidade de outro usuário utilizando o Adium, clique novamente no cadeado e selecione “Verificar”. Você verá uma janela que exibirá tanto a sua chave como a chave da outra pessoa. Algumas versões do Adium suportam apenas a verificação manual de digitais. Isso significa que, utilizando algum outro método de comunicação, você e a pessoa com quem está conversando precisarão verificá-las para garantir que as chaves que estão sendo mostradas pelo Adium conferem com exatidão.



      A maneira mais fácil de fazer isso é ambos as lerem em voz alta de modo presencial, mas isso nem sempre é possível. Há diferentes maneiras de conseguir fazer isso com diferentes graus de confiabilidade. Por exemplo, conferir as chaves pelo telefone se for possível reconhecer ambas as vozes, ou enviá-las um ao outro, utilizando algum método verificável de comunicação como PGP. Algumas pessoas publicam suas chaves em seus websites, contas do Twitter ou cartão de visita.

      O mais importante é confirmar se cada letra e dígito correspondem exatamente.

      Etapa 3: Desativar o registro

      Agora que você já iniciou um chat criptografado e verificou a identidade do seu colega de chat, há mais uma coisa a fazer. Infelizmente, por padrão, o Adium faz o registro de suas conversas criptografadas pelo OTR, salvando-as no disco rígido. Isto significa que, apesar do fato delas estarem criptografadas, seu registro está sendo salvo em seu disco rígido como texto sem criptografia.



      Para desativar o registro, clique em “Adium” no menu, na parte superior da tela, e depois em “Preferências”. Na nova janela, selecione “Geral”, e depois desative “Registrar mensagens” e “Registrar Chats OTR seguros”. Lembre-se, porém, que você não tem controle sobre a pessoa com quem você está conversando, ela poderia ser o login ou tirar screenshots de sua conversa, mesmo se você mesmo ter o log desativado.

      Suas configurações devem agora ficar como segue:

      Adicionalmente, o Centro de Notificação do OS X pode registrar o conteúdo das notificações de novas mensagens exibidas pelo Adium. Isto significa que, enquanto o Adium não deixará rastros das suas comunicações no seu computador ou no do seu colega, a versão do OS X de um dos dois computadores pode preservar os registros. Para evitar isso, você pode desativar as notificações.



      Para fazer isso, selecione “Eventos” na janela Preferências, e procure as entradas que dizem “Exibir uma notificação”. Expanda cada entrada clicando no triângulo cinza e, em seguida, na linha que diz “Exibir uma notificação”, clicando então no ícone com o sinal menos (“-“) no canto inferior esquerdo para remover essa linha. Caso esteja preocupado com os registros deixados no seu computador, você deve ativar também a criptografia completa de disco que ajudará proteger esses dados de terceiros que tentem obtê-los sem a sua senha.

      Last reviewed: 
      2017-01-19
      A versão em Inglês pode estar mais atualizada.
    5. Como utilizar OTR para Windows

      O OTR (Off-the-record) é um protocolo que permite que usuários de programas de mensagens instantâneas ou de ferramentas de chat tenham conversas confidenciais. Neste guia, você aprenderá como utilizar o OTR utilizando o Pidgin, um programa de mensagens instantâneas para PC com Windows.

      O que é o OTR? Anchor link

      O OTR (Off-the-record) é um protocolo que permite que pessoas tenham conversas confidenciais utilizando a ferramenta de mensagens que já lhes é familiar. O OTR fornece esta segurança por meio de:

      • criptografar os seus chats
      • dar a você uma forma de garantir que a pessoa com quem você está conversando é realmente a pessoa que você acredita ser
      • impossibilitar o servidor de registrar ou mesmo acessar suas conversas

      Isso não deve ser confundido com o “Off the record” do Google, que simplesmente desativa o registro do chat e não tem capacidades de verificação e criptografia. Apesar de existirem várias maneiras de utilizar o OTR no Microsoft Windows, acreditamos que a ferramenta mais consistente e fácil de usar é o chat Pidgin com o plug-in pidgin-otr.

      O cliente de mensagens instantâneas Pidgin para PC com Windows registra automaticamente as conversas por padrão, porém você tem a possibilidade de desativar essa característica. No entanto, você não tem controle sobre a pessoa com quem está conversando. Ela pode registrar ou fazer capturas de tela da sua conversa, mesmo que esteja com o registro desativado.

      Porque devo utilizar o Pidgin com o OTR? Anchor link

      Quando você faz um chat utilizando o Google Hangouts ou o chat do Facebook pelos respectivos websites, esse chat é criptografado utilizando o HTTPS, que significa que o conteúdo do seu chat está protegido de hackers e demais terceiros enquanto estiver em trânsito. Porém, ele não está protegido do Google nem do Facebook, que têm as chaves das suas conversas e podem entregá-las às autoridades u utilizá-los para fins de marketing.



      Após instalar o Pidgin, você pode fazer login nele utilizando várias contas ao mesmo tempo. Você pode utilizar, por exemplo, o Google Hangouts, o Facebook e o XMPP simultaneamente. O Pidgin permite também chats utilizando essas ferramentas sem o OTR. O OTR só funciona se ambas as pessoas o estiverem utilizando, mas se a outra pessoa não o tem instalado, ainda lhe será possível conversar com ela utilizando o Pidgin.



      O Pidgin permite também a verificação fora de banda para garantir que você esteja conversando com a pessoa que você pensa estar e não sendo vítima do ataque de intrusos (do inglês MITM - man-in-the-middle attack). Para cada conversa, há uma opção que lhe mostrará a chave de autenticação digital correspondente para você e para a pessoa com quem está conversando. Uma “chave de autenticação digital” (do inglês “key fingerprint”) é um conjunto de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928”, que é utilizado para verificar uma chave pública mais longa. Troque suas senhas através de outro canal de comunicação, tais como o Twitter DM ou o e-mail, para garantir que ninguém está interferindo em suas conversas.

      Limitações: Quando não devo utilizar o Pidgin com o OTR? Anchor link

      Os técnicos têm um termo para descrever quando um programa ou tecnologia pode ser vulnerável contra ataques externos: eles dizem que tem uma grande “superfície de ataque”. O Pidgin tem uma grande superfície de ataque. Ele é um programa complexo, que não foi escrito tendo a segurança como uma prioridade. Ele certamente contém bugs, alguns dos quais podem ser utilizados por governos ou mesmo por grandes empresas para invadir computadores. Utilizar o Pidgin para criptografar as suas conversas é uma ótima defesa contra ataques de vigilância não pessoais que são utilizados para espionar as conversas pela Internet de todo mundo. Porém, se você suspeita que pessoalmente seja alvo de um invasor com bons recursos (como um governo), é preciso que considere precauções maiores, como utilizar criptografia PGP de e-mail.

      Obtendo o Pidgin Anchor link

      Você pode obter o Pidgin para o Windows fazendo o download do instalador a partir da página de download do Pidgin

      Clique na guia violeta DOWNLOAD. Não clique no botão “Download Now”, pois você vai preferir selecionar um instalador diferente. Você será levado para a página de download.

      Não clique no botão “Download Now”, pois queremos selecionar um arquivo instalador diferente. O instalador padrão do Pidgin é pequeno, pois não contém todas as informações e arquivos de download para você. Algumas vezes ele falha, portanto você terá uma experiência melhor com o "offline installer” (instalador off-line), que contém todo o material de instalação necessário. Clique no link “offline installer". Você será levado a uma nova página chamada “Sourceforge” e, depois de alguns segundos, um pequeno pop-up lhe perguntará se quer salvar um arquivo.

      Observe que, enquanto a página de download do Pidgin utiliza "HTTPS" e é, portanto, relativamente segura contra adulteração, o Sourceforge, que é o site utilizado para fazer download da versão para Windows do Pidgin, utiliza o "HTTP" sem criptografia e, portanto, não oferece nenhuma proteção. Isso significa que o software do qual fizer download poderia estar adulterado antes de você fazer seu download.

      Este risco viria principalmente de qualquer pessoa com acesso à infraestrutura local da Internet tentando vigiá-lo (por exemplo, um provedor de hot-spot malicioso), ou de um governo planejando distribuir um software comprometido para muitos usuários. A extensão HTTPS Everywhere pode reescrever as URLs de download do Sourceforge para HTTPS, e portanto, é recomendado que você instale previamente o HTTPS Everywhere antes de fazer download de qualquer outro software. Adicionalmente, na nossa experiência, frequentemente o Sourceforge tem nas suas páginas de download anúncios de página inteira que podem confundir as pessoas para instalar algo que não querem. Você pode instalar um bloqueador de anúncios antes de qualquer outro software para evitar esses anúncios que confundem. Lembre-se de pensar no seu modelo de ameaça antes de fazer download de arquivos a partir de sites sem proteção.

      Muitos navegadores solicitarão que você confirme se deseja fazer download deste arquivo. O Internet Explorer 11 mostra uma barra na parte inferior da janela do navegador com uma borda laranja.

      Seja qual for o navegador, é melhor salvar o arquivo primeiro antes de prosseguir, portanto, clique no botão "Salvar". Por padrão, a maioria dos navegadores salva esses arquivos na pasta “Downloads”.

      Obtendo o OTR Anchor link

      Você pode obter o otr-pidgin, um plug-in do Pidgin, fazendo download do instalador na página de download do OTR.

      Clique na guia “Downloads” para ir para a seção “Downloads” da página. Clique no link “Win32 installer for pidgin” (instalador Win32 para o pidgin).

      Muitos navegadores solicitarão que você confirme se deseja fazer download deste arquivo. O Internet Explorer 11 mostra uma barra na parte inferior da janela do navegador com uma borda laranja.

      Seja qual for o navegador, é melhor salvar o arquivo primeiro antes de prosseguir, portanto, clique no botão "Salvar". Por padrão, a maioria dos navegadores salva esses arquivos na pasta “Downloads”.

      Depois de fazer download do Pidgin e do pidgin-otr, você deverá ter dois novos arquivos na sua pasta “Downloads”:

      Instalando o Pidgin Anchor link

      Mantenha a janela do Windows Explorer aberta e clique duas vezes em pidgin-2.10.9-offline.exe. O nome do arquivo usado neste módulo podem não necessariamente coincidir com o que você vê em seu próprio computador. Você será questionado se deseja permitir a instalação deste programa. Clique no botão “Sim”.

      Uma pequena janela pedindo que você selecione um idioma se abrirá. Clique no botão “OK”.

      Uma janela com uma visão geral do processo de instalação se abrirá. Clique no botão “Próximo”.

      Você terá agora uma visão geral da licença. Clique no botão “Próximo”.

      Então, você verá os diferentes componentes que serão instalados. Não altere as configurações. Clique no botão “Próximo”.

      Você verá agora onde o Pidgin será instalado. Não altere essas informações. Clique no botão “Próximo”.

      Você verá agora uma janela com um texto rolando até que apareça “Installation Complete”. Clique no botão “Próximo”.

      Por fim, você verá a última janela do instalador do Pidgin. Clique no botão “Finalizar”.

      Instalando o pidgin-otr Anchor link

      Volte para a janela do Windows Explorer e abra-o clicando duas vezes sobre o arquivo pidgin-otr-4.0.0-1.exe. Você será questionado se quer permitir a instalação deste programa. Clique no botão “Sim”.

      Uma janela com uma visão geral do processo de instalação se abrirá. Clique no botão “Próximo”.

      Você terá agora uma visão geral da licença. Clique no botão “I Agree” (“Concordo”).

      Você verá onde o pidgin-otr será instalado. Não altere estas informações. Clique no botão “Instalar”.

      Por fim, você verá a última janela do instalador do pidgin-otr. Clique no botão “Finalizar”.

      Configurando o Pidgin Anchor link

      Vá para o menu Start, clique no ícone Windows, e selecione Pidgin a partir do menu.

      Adicionando uma conta Anchor link

      Quando iniciar o Pidgin pela primeira vez, você verá esta janela de boas-vindas com a opção de adicionar uma conta. Como você ainda não tem uma conta configurada, clique no botão “Add” (“Adicionar”)

      Você verá, então, a janela de “Add Account” (“Adicionar Conta”). O Pidgin pode funcionar com muitos sistemas de chats, mas nos concentraremos no XMPP, anteriormente conhecido como Jabber.



      No campo Protocol (Protocolo), selecione a opção “XMPP”.



      No campo Username (Nome de Usuário) digite o seu nome de usuário do XMPP



      No campo Domain (Domínio), digite o domínio da sua conta do XMPP.



      No campo Password (Senha) digite a sua senha do XMPP

      Marcar a caixa de verificação “Remember password” (Lembrar senha) lhe permitirá acessar facilmente a sua conta. Esteja ciente de que, clicando em “Remember password” ("Lembrar senha"), sua senha será salva no computador, tornando-a acessível a qualquer um que possa eventualmente acessar o seu computador. Deixe esta caixa desmarcada, se isso for para você uma preocupação. Você precisará, então, digitar a senha da sua conta do XMPP toda vez que iniciar o Pidgin.

      Adicionando um amigo Anchor link

      Agora, você vai querer adicionar alguém para conversar. Clique o menu “Buddies” (“Amigos”) e selecione “Add Buddy” (“Adicionar Amigo”). Uma janela para “Add Buddy” (“Adicionar Amigo”) se abrirá.

      Digite nesta janela o nome de usuário da pessoa com quem você quer conversar. Este outro usuário não precisa estar no mesmo servidor, mas precisa utilizar o mesmo protocolo, tal como o XMPP.



      Digite o nome de usuário do seu amigo com o nome de domínio no campo do “Buddy's username” (“Nome de usuário do amigo”). Este nome de usuário se parecerá com um endereço de e-mail.



      Você pode digitar um nome de sua escolha, como um apelido para o seu amigo, no campo “(Optional) Alias” (“Apelido (opcional)”). Isso é totalmente opcional, mas pode ajudá-lo, caso a conta XMPP de uma pessoa com quem você está conversando seja difícil de lembrar.



      Clique no botão “Add” (“Adicionar”).

      Assim que clicar no botão “Add”, seu amigo Boris receberá uma mensagem perguntando se autoriza que a adicioná-lo. Assim que o Boris autorizar, ele o adiciona à sua conta e você receberá a mesma solicitação. Clique no botão “Authorize” (“Autorizo”).

      Configurando o Plug-in OTR Anchor link

      Você configurará agora o plug-in do OTR para poder conversar com segurança. Clique no menu “Tools” (“Ferramentas”) e selecione a opção “Plugins” (“Plug-ins”).

      Role para a opção “Off-the-Record Messaging” (“Mensagens sem registro”), e marque a caixa. Clique no campo “Off-the-Record Messaging” (“Mensagens sem registro”) e clique no botão “Configure Plugin” (“Configurar Plug-in”).

      Você verá agora a janela de configuração de “Off-the-Record Messaging” (“Mensagens sem registro”). Note que ela diz “No key present” (“Chave ausente”). Clique no botão “Generate” (“Gerar”).

      Agora, uma pequena janela se abrirá e gerará uma chave. Quando ela for gerada, clique no botão “OK”.

      Você verá uma nova informação: um conjunto de 40 caracteres ou texto, seccionado em cinco grupos de oito caracteres. Este é a sua autenticação digital do OTR. Clique no botão “Close” (“Fechar”).

      Clique agora no botão “Close” (“Fechar”) na janela Plug-ins.

      Conversando com segurança Anchor link

      Você pode, agora, conversar com o Boris. Ambos podem enviar e receber mensagens. Porém, ainda não estão conversando com segurança. Mesmo que esteja conectado ao servidor XMPP, é possível que a conexão entre você e o Boris não esteja segura contra interceptação. Se olhar para a janela do chat, notará a inscrição “Not private” (“Sem privacidade”) em vermelho na parte inferior direita. Clique no botão “Not private” (“Sem privacidade”).

      Ao abrir um menu, selecione “Authenticate buddy” (“Autenticar amigo”).

      Uma janela se abrirá. Você será questionado: “How would you like to authenticate your buddy?” (“Como você gostaria de autenticar o seu amigo?”)



      A lista suspensa lhe dará três opções:

      Segredo compartilhado Anchor link

      Um segredo compartilhado é uma linha de texto que você e a pessoa com quem quer conversar combinaram utilizar anteriormente. Você deve ter compartilhado esse segredo pessoalmente e nunca tê-lo mencionado através de canais inseguros, seja via e-mail ou pelo Skype.



      Você e seu amigo precisam digitar esse texto juntos. Clique no botão “Authenticate” (“Autenticar”).

      A verificação do segredo compartilhado é útil se você e seu amigo já combinaram conversar no futuro, mas ainda não criaram autenticações digitais OTR no computador que estão utilizando. Isso só funciona se ambos estão usando o Pidgin.

      Verificação manual da autenticação digital Anchor link

      A verificação da autenticação digital manual é útil se você já recebeu a autenticação digital do seu amigo e, agora, estão se conectando com o Pidgin. Isso não será útil se o seu amigo trocar de computador ou tiver que criar novas digitais.



      Se a digital que recebeu combina com a digital da tela, selecione “I have” (“Eu tenho”) e clique no botão “Authenticate” (“Autenticar”).

      Perguntas e Respostas Anchor link

      A verificação de pergunta e resposta é útil se você conhece seu amigo, mas não estabeleceu um segredo compartilhado nem teve a chance de compartilhar digitais. Este método é útil para fazer a verificação com base em algo que ambos sabem, como um evento compartilhado ou uma recordação. Isso só funciona se ambos estão usando o Pidgin.



      Digite a pergunta que quer fazer. Não pergunte algo simples que alguém possa adivinhar facilmente, mas também que não pergunte algo impossível de responder. Um bom exemplo seria “Onde fomos jantar em Minneapolis?” E o exemplo de uma pergunta ruim seria “Você pode comprar maçãs em Tóquio?”

      As respostas devem corresponder com exatidão, portanto, tenha isso em mente ao escolher uma resposta para sua pergunta. Maiúsculas e minúsculas fazem diferença, portanto você deve considerar colocar uma observação entre parênteses (como por exemplo: utilize maiúsculas e minúsculas).



      Digite a pergunta e a resposta e clique no botão “Authenticate” (“Autenticar”).

      O seu amigo terá uma janela aberta com a pergunta exibida solicitando uma resposta. Ele terá que responder e clicar no botão “Authenticate” (“Autenticar”).Ele receberá então uma mensagem informando se a autenticação foi bem-sucedida.

      Assim que o seu amigo concluir o procedimento de autenticação, você receberá uma janela informando que a autenticação foi bem-sucedida.

      Seu amigo deve também verificar a sua conta e, assim, ambos terão a certeza de que a comunicação é segura. Aqui está como ficaria para a Akiko e o Boris. Note os ícones “Private” (“Privado”) em verde na parte inferior direita da janela do chat.

      Trabalhando com outros softwares Anchor link

      Os mecanismos para verificar a autenticidade devem funcionar entre diferentes softwares de chat como o Jitsi, o Pidgin, o Adium e o Kopete. Não é necessário que você utilize o mesmo software de chat sobre o XMPP ou o OTR, mas, por vezes, há erros nos softwares. O Adium, um software para o OS X, apresenta um erro ao receber uma verificação de Pergunta e Resposta. Se ocorrerem falhas durante a verificação de Pergunta e Resposta, verifique se eles estão utilizando o Adium e se você pode empregar outro método de verificação.

      Last reviewed: 
      2015-02-10
      A versão em Inglês pode estar mais atualizada.
    JavaScript license information