Surveillance
Self-Defense

Usuário de Mac?

  • Usuário de Mac?

    Dicas e ferramentas para ajudá-lo a proteger seus dados e comunicações

    Esta lista destina-se a orientar os usuários de Mac através de um conjunto de dicas e ferramentas que podem ser utilizadas para proteger suas comunicações on-line e ajudar a evitar que bisbilhoteiros espionem.

  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Last reviewed: 
    2017-09-07
  • Comunicando-se com outros

    As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



    Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

    Como funciona a criptografia ponto a ponto?

    Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



    A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

    Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

    Chamadas de voz

    Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

    Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

    Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

    Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

    Mensagens de texto

    As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

    Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

    Mensagens instantâneas

    O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

    Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

    Email

    A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

    Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

    Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

    • Gmail
    • Riseup
    • Yahoo

    Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



    O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

    O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



    Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



    Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

    A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

    O que a criptografia ponto a ponto não faz?

    A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



    Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



    Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
    • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
    • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
    • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
    • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

    Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

    Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



    Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

    Last reviewed: 
    2017-01-12
  • Verificação de chaves

    Quando a criptografia é utilizada adequadamente, suas comunicações e informações devem ser lidas somente por você e pelo seu interlocutor. A criptografia ponto a ponto protege seus dados contra a vigilância de terceiros, mas sua utilidade é limitada, caso esteja inseguro em relação à identidade do seu interlocutor. É neste momento que entra em ação a verificação da chave. Através da conferência das chaves públicas que você e ele adicionam outra camada de proteção à conversa, confirmando as identidades um do outro, e proporcionando maior garantia de que esteja falando com a pessoa certa.

    A verificação de chaves é um elemento usual dos protocolos que utilizam a criptografia ponto a ponto, como a PGP e a OTR. No Sinal, eles são chamados de "safety numbers". Para averiguar as chaves sem riscos de interferências, é recomendável utilizar um método secundário de comunicação diferente do que utilizará para criptografar, o que é denominado de verificação fora da banda (do inglês out-of-band). Por exemplo, se está verificando suas digitais OTR, você pode enviá-las para outra pessoa via e-mail. Neste exemplo, o e-mail seria o canal secundário de comunicação.

    Verificando chaves fora da banda

    Existem diversas maneiras de fazer isso. A verificação física das chaves é a ideal, caso seja conveniente e arranjada de modo seguro. Muitas vezes isto é feito em reuniões de assinatura de chaves (do inglês key-signing parties) ou entre colegas.

    Caso não possam se encontrar pessoalmente, você pode entrar em contato com seu interlocutor por um meio de comunicação diferente do que está utilizando e pelo qual quer verificar as chaves. Por exemplo, se estiver querendo conferir as chaves PGP com alguém, você poderia utilizar o telefone ou um chat OTR para verificá-las.

    Independentemente do programa que utilizar, você sempre poderá localizar tanto a sua como a chave do seu interlocutor.

    Apesar do método de localização da sua chave variar conforme o programa, o mecanismo de verificação de chaves permanece quase sempre o mesmo. Você pode ler em voz alta (presencialmente ou pelo telefone) a sua chave de autenticação digital ou ainda copiar e colá-la em um programa de comunicação. Porém, é imperativo que verifique cada letra e número, seja qual for o método que escolher.

    Dica: tente verificar as chaves com um de seus amigos. Consulte o guia de como utilizar determinado programa para aprender como verificar as chaves neste programa específico.

    Last reviewed: 
    2017-01-13
  • Como utilizar o OTR para Mac

    O Adium é um programa cliente de mensagens instantâneas gratuito e de código aberto para o OS X que permite chats entre você e outras pessoas através de múltiplos protocolos de chat, incluindo o Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, e o XMPP.

    O OTR (Off-the-record) é um protocolo que permite às pessoas conversas confidenciais utilizando a ferramenta de mensagens que já lhes é familiar. Isto não deve ser confundido com o “Off the record” do Google, que simplesmente desativa o registro do chat, e não tem capacidades de verificação e criptografia. Para os usuários de Mac, o OTR vem integrado ao cliente Adium.

    O OTR emprega criptografia ponto a ponto. Isso significa que você pode utilizá-lo para conversar através de serviços como o Google Hangouts, sem que essas empresas tenham acesso aos conteúdos das conversas. No entanto, o fato de que você está tendo uma conversa é visível para o provedor.

    Porque devo utilizar o Adium com o OTR?

    Quando você faz um chat utilizando o Google Hangouts pelos respectivo website, esse chat é criptografado utilizando o HTTPS, que significa que o conteúdo do seu chat está protegido de hackers e demais terceiros enquanto estiver em trânsito. Porém, ele não está protegido do Google, que têm as chaves das suas conversas e podem entregá-las às autoridades ou utilizá-los para fins de marketing.

    Após instalar o Adium, você pode fazer login nele utilizando várias contas ao mesmo tempo. Você pode utilizar, por exemplo, o Google Hangouts e o XMPP simultaneamente. O Adium permite também chats utilizando essas ferramentas sem o OTR. Uma vez que o OTR só funciona se ambas as pessoas o estiverem utilizando, ou seja, se a outra pessoa não o tem instalado, ainda lhe será possível conversar com ela utilizando o Adium.

    O Adium permite também a verificação fora de banda para garantir que esteja conversando com a pessoa que você pensa estar, e ficar isento de ataques de intrusos. Para cada conversa, há uma opção que lhe mostrará a chave de autenticação digital que ela tem para você e para a pessoa com quem está conversando. Uma “chave de autenticação digital” (do inglês “key fingerprint”) é um conjunto de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928”, que é utilizado para verificar uma chave pública mais longa. Troque suas senhas através de outro canal de comunicação, tais como o Twitter DM ou o e-mail, para garantir que ninguém esteja interferindo nas suas conversas. Se as chaves não forem iguais, você não pode ter certeza que você está falando com a pessoa certa. Na prática, as pessoas costumam usar várias chaves, ou perder e ter de recriar novas chaves, então não se surpreenda se você tem que voltar a verificar suas chaves com seus amigos de vez em quando.

    Limitações: Quando não devo utilizar o Adium com o OTR?

    Os técnicos têm um termo para descrever quando um programa ou tecnologia pode ser vulnerável contra ataques externos: eles dizem que tem uma grande “superfície de ataque”. O Adium tem uma grande superfície de ataque. Ele é um programa complexo, que não foi escrito tendo a segurança como prioridade. Ele certamente contém bugs, alguns dos quais podem ser utilizados por governos ou mesmo por grandes empresas para invadir computadores que o estão utilizando. Utilizar o Adium para criptografar as suas conversas é uma ótima defesa contra ataques de vigilância não pessoais que são utilizados para espionar as conversas pela Internet de todo mundo. Porém, se você suspeita que pessoalmente será alvo de um invasor com bons recursos (como um governo), é preciso que considere precauções maiores, como utilizar criptografia PGP de e-mail.

    Instalando o Adium e o OTR em seu Mac

    Etapa 1: Instale o programa

    Primeiro, vá para https://adium.im/ no seu navegador. Selecione “Download Adium 1.5.9”. Será feito download do arquivo com a extensão .dmg, ou imagem de disco, e provavelmente será salvo na sua pasta “Downloads”.



    Clique duas vezes no arquivo para abrir uma janela semelhante a esta:

    Mova o ícone do Adium para dentro da pasta “Aplicativos” para instalar o programa. Assim que o programa estiver instalado, procure-o na sua pasta Aplicativos e clique sobre ele duas vezes para abri-lo.

    Etapa 2: Configure sua(s) conta(s)

    Primeiro, você precisará decidir quais ferramentas de chat ou protocolos quer utilizar com o Adium. O processo de configuração é similar, mas não idêntico, para cada tipo de ferramenta. Você precisará saber seu nome de usuário para cada ferramenta ou protocolo, bem como sua senha para cada conta.



    Para configurar uma conta, vá para o menu do Adium na parte superior da tela, clique em “Adium” e a seguir em “Preferências”. Isso fará abrir uma janela com outro menu na parte superior. Selecione “Contas” e depois clique no sinal de “+” na parte inferior da janela. Você verá um menu semelhante a este:

    Selecione o programa para o qual deseja fazer login. Então  lhe será solicitado digitar seu nome de usuário e senha ou utilizar a ferramenta de autorização do Adium para fazer login em sua conta. Siga as instruções do Adium cuidadosamente.

    Como iniciar um chat OTR

    Após fazer login em uma ou mais de suas contas, você pode começar a utilizar o OTR.

    Lembre-se: Para conversar utilizando o OTR, ambas as pessoas precisam estar utilizando um programa de chat suportado pelo OTR.

    Etapa 1: Inicie um Chat OTR

    Primeiramente, identifique alguém que esteja utilizando o OTR, e inicie uma conversa com ele no Adium, clicando duas vezes no nome dele. Assim que abrir a janela de chat, você verá um pequeno cadeado aberto no canto superior esquerdo da janela de chat. Clique no cadeado e selecione “Iniciar Chat OTR Criptografado”.

    Etapa 2: Verifique a sua conexão

    Assim que iniciar o chat e a outra pessoa aceitar o convite, você verá o ícone de um cadeado fechado, indicando que agora o seu chat está criptografado (parabéns!). Mas espere, ainda há mais um passo!

    Até então, você iniciou um chat criptografado não verificado. Isso quer dizer que, apesar de suas comunicações serem criptografadas, você ainda não determinou nem verificou a identidade da pessoa com que está conversando. A menos que estejam na mesma sala e possam ver as telas um do outro, é importante que vocês verifiquem suas identidades. Consulte o módulo Verificação de Chaves para obter mais informações.

    Para verificar a identidade de outro usuário utilizando o Adium, clique novamente no cadeado e selecione “Verificar”. Você verá uma janela que exibirá tanto a sua chave como a chave da outra pessoa. Algumas versões do Adium suportam apenas a verificação manual de digitais. Isso significa que, utilizando algum outro método de comunicação, você e a pessoa com quem está conversando precisarão verificá-las para garantir que as chaves que estão sendo mostradas pelo Adium conferem com exatidão.



    A maneira mais fácil de fazer isso é ambos as lerem em voz alta de modo presencial, mas isso nem sempre é possível. Há diferentes maneiras de conseguir fazer isso com diferentes graus de confiabilidade. Por exemplo, conferir as chaves pelo telefone se for possível reconhecer ambas as vozes, ou enviá-las um ao outro, utilizando algum método verificável de comunicação como PGP. Algumas pessoas publicam suas chaves em seus websites, contas do Twitter ou cartão de visita.

    O mais importante é confirmar se cada letra e dígito correspondem exatamente.

    Etapa 3: Desativar o registro

    Agora que você já iniciou um chat criptografado e verificou a identidade do seu colega de chat, há mais uma coisa a fazer. Infelizmente, por padrão, o Adium faz o registro de suas conversas criptografadas pelo OTR, salvando-as no disco rígido. Isto significa que, apesar do fato delas estarem criptografadas, seu registro está sendo salvo em seu disco rígido como texto sem criptografia.



    Para desativar o registro, clique em “Adium” no menu, na parte superior da tela, e depois em “Preferências”. Na nova janela, selecione “Geral”, e depois desative “Registrar mensagens” e “Registrar Chats OTR seguros”. Lembre-se, porém, que você não tem controle sobre a pessoa com quem você está conversando, ela poderia ser o login ou tirar screenshots de sua conversa, mesmo se você mesmo ter o log desativado.

    Suas configurações devem agora ficar como segue:

    Adicionalmente, o Centro de Notificação do OS X pode registrar o conteúdo das notificações de novas mensagens exibidas pelo Adium. Isto significa que, enquanto o Adium não deixará rastros das suas comunicações no seu computador ou no do seu colega, a versão do OS X de um dos dois computadores pode preservar os registros. Para evitar isso, você pode desativar as notificações.



    Para fazer isso, selecione “Eventos” na janela Preferências, e procure as entradas que dizem “Exibir uma notificação”. Expanda cada entrada clicando no triângulo cinza e, em seguida, na linha que diz “Exibir uma notificação”, clicando então no ícone com o sinal menos (“-“) no canto inferior esquerdo para remover essa linha. Caso esteja preocupado com os registros deixados no seu computador, você deve ativar também a criptografia completa de disco que ajudará proteger esses dados de terceiros que tentem obtê-los sem a sua senha.

    Last reviewed: 
    2017-01-19
  • Como utilizar PGP para Mac OS X

    O Pretty Good Privacy (PGP) é uma maneira de proteger suas comunicações por e-mail de serem lidas por qualquer pessoa, exceto pelos seus destinatários especificados. Isso pode proteger você contra empresas, governos ou criminosos que queiram espionar sua conexão de Internet e, em menor escala, pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.

    Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa, e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você estiver sendo alvo de vigilância ou de desinformação.

    Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão junto com o seu programa de e-mail. Precisará também criar uma chave privada, que deve ser mantida privada. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados, e assinar digitalmente os e-mails que envia de forma a comprovar que eles realmente vieram de você. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que outros precisam conhecer antes que possam lhe enviar e-mails criptografados ou verificar os e-mails que você envia.

    Obtendo e Instalando o GnuPG

    Você pode obter o GnuPG (também conhecido como GPG) no Mac OS X baixando o instalador pela página de downloads do GnuPG.

    Clique em GnuPG for OS X próximo a “Simple installer for GnuPG modern”, o que baixará o instalador do GPG.

    Você será redirecionado(a) para o site de downloads SourceForge.

    Obtendo o Mozilla Thunderbird

    Vá para o site do Mozilla Thunderbird.

    Clique no botão verde de nome “Free Download”. O site do Mozilla Thunderbird terá detectado seu idioma favorito. Se você deseja usar o Thunderbird em outro idioma, clique no link “Systems & Languages” e selecione seu idioma.

    Instalando o GnuPG

    Clique no ícone de Download na Barra, e em seguida clique no arquivo GnuPG-2.11-002.dmg.file

    Uma janela abrirá, indicando seu progresso.

    Uma janela abrirá, fornecendo uma visão geral do arquivo de Instalação e alguns outros arquivos. Clique no ícone “Install.pkg”.

    Em seguida, uma janela abrirá iniciando a instalação guiada. Clique no botão “Continue”.

    O GnuPG é instalado como um pacote de sistema e requer seu nome de usuário(a) e senha para instalação. Insira sua senha e clique em “Install Software”.

    Você verá uma janela que dirá “The instalation was successful”. Clique no botão “Close”.

    Instalando o Mozilla Thunderbird

    Clique no ícone de Download na barra, e em seguida clique no arquivo Thunderbird 45.2.0.dmg.file.

    Uma janela abrirá indicando seu progresso.

    Uma janela se abrirá com o ícone do Thunderbird e um link para sua pasta de Aplicativos. Arraste o Thunderbird para a pasta de Aplicativos.

    Uma nova janela com uma barra de progresso abrirá. Quando estiver concluída, ela fechará.

    Garanta que você ejetou os arquivos DMG montados.

    Preparação para a instalação do Enigmail

    Quando o Mozilla Thunderbird abre pela primeira vez, o Mac OS X perguntará se você tem certeza se deseja abrí-lo. O Mozilla Thunderbird foi baixado a partir do mozilla.org e deve ser seguro. Clique no botão “Open”.

    O Mozilla Thunderbird pode ser integrado à agenda de endereços do Mac OS X. Deixamos a escolha a você.

    Quando iniciar o Mozilla Thunderbird pela primeira vez, você verá uma pequena janela de confirmação perguntando sobre algumas configurações padrão. Recomendamos clicar no botão “Definir como Padrão”.

    Quando o Mozilla Thunderbird abre pela primeira vez, você será questionado(a) se deseja um novo endereço de email. Clique no botão “Skip this and use my existing email”. Agora você irá configurar o Mozilla Thunderbird para receber e enviar email. Se você está acostumado(a) somente a ler e enviar e-mails através do gmail.com, outlook.com ou yahoo.com, o Mozilla Thunderbird será uma experiência nova, mas não será um grande mistério.

    Adicionando uma conta de e-mail no Mozilla Thunderbird

    Uma nova janela abrirá:

    Digite o seu nome, endereço de e-mail e senha da sua conta de e-mail. A Mozilla não tem acesso à sua senha ou conta de e-mail. Clique no botão “Continue”.

    Em muitos casos o Mozilla Thunderbird detectará as configurações necessárias.

    Em alguns casos, o Mozilla Thunderbird não tem todas as informações e você mesmo(a) precisará digitá-las. Aqui está um exemplo das instruções que o Google fornece para o Gmail:

    • Servidor de Entrada de E-mail (IMAP) - Requer SSL
      • imap.gmail.com
      • Porta: 993
      • Requer SSL: Sim
    • Servidor de Saída de E-mails (SMTP) - Requer TLS
      • smtp.gmail.com
      • Porta: 465 ou 587
      • Requer SSL: Sim
      • Requer autenticação: Yes
      • Utilize as mesmas configurações do servidor de entrada de e-mail
    • Nome Completo ou Nome de Exibição: [seu nome ou pseudônimo]
    • Nome da Conta ou Nome de Usuário: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuários da Google Apps, digitar nomedeusuario@seu_dominio.com
    • Endereço de e-mail: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuário da Google Apps, digitar nomedeusuario@seu_dominio.com
    • Senha: sua senha do Gmail

    Se você utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça, provavelmente deveria utilizar!) você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Então, para acessar sua conta do Gmail, você precisará criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.

    Quando todas as informações forem inseridas corretamente, clique no botão “Done”.

    O Mozilla Thunderbird começará o download de cópias do seu email para o seu computador. Tente enviar uma email de teste para seus amigos.

    Instalando o Enigmail

    O Enigmail é instalado de maneira diferente do Mozilla Thunderbird e do GnuPG. Conforme mencionado anteriormente, o Enigmail é um Add-on para o Mozilla Thunderbird. Clique no botão “Menu”, também chamado de botão Hamburger e selecione “Add Ons”.

    Você será levado(a) para uma aba de gerenciamento de Add-ons. Digite “Enigmail” no campo de pesquisa de Add-on para localizar o Enigmail no site de Add-on do Mozilla.

    O Enigmail será a primeira opção. Clique no botão “Install”.

    Após a instalação do Add-on Enigmail, o Mozilla Thunderbird pedirá para reiniciar o browser para ativar o Enigmail. Clique no botão “Restart Now” e o Mozilla Thunderbird irá reiniciar.

    Quando o Mozilla Thunderbird reinicia, uma janela adicional abrirá para configurar o Add-on Enigmail. Mantenha o botão “Start setup now” selecionado e clique no botão “Continue”.

    Acreditamos que a configuração padrão (standard configuration) é uma boa escolha. Clique no botão “Continue”.

    Agora você iniciará a criação das suas chaves pública e privada.

    Criando uma chave pública e uma chave privada

    Ao menos que você já tenha configurado mais de uma conta de email, o Enigmail escolherá a conta de email que você tiver configurado. A primeira coisa que você precisará fazer é criar uma passphrase forte para sua chave privada.

    Clique no botão “Continue”.

    Após certo tempo, a sua chave irá expirar; embora você não receba qualquer aviso ou explicação quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento(a) a isso mais ou menos um mês antes da data de expiração.

    É possível estender o prazo de validade de uma chave existente fornecendo-lhe uma nova data, ou é possível substituí-la criando uma nova chave a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e se assegure de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrar tudo, faça um lembrete para si próprio(a) ou considere a criação da chave de forma que nunca expire, embora, nesse caso, outras pessoas poderão tentar utilizá-la quando entrarem em contato com você no futuro, mesmo que você não tenha mais a chave privada ou não utilize mais a PGP.

    O Enigmail gerará a chave e, quando terminar, abrirá uma pequena janela pedindo que você gere uma certificado de revogação. É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privada inválidas. É importante observar que a mera exclusão da chave privada não invalida a chave pública, e consequentemente as pessoas poderão lhe enviar mensagens criptografadas que você não conseguirá decriptar.

    Primeiramente, você será solicitado(a) a fornecer a passphrase que utilizou quando criou a chave do PGP. Clique no botão “OK”.

    Uma janela abrirá para fornecer a você um local para salvar o certificado de revogação. Enquanto você pode salvar o arquivo para o seu computador nós recomendamos que você salve o arquivo em um drive USB que você não esteja utilizando para nada além, e guarde o drive em um local seguro. Também recomendamos que remova o certificado de revogação do computador com as chaves, a fim de evitar uma revogação não intencional. Melhor ainda, salve esse arquivo em um disco encriptado. Escolha a localização onde você salvará o arquivo e clique no botão “Save”.

    Agora o Enigmail lhe dará novamente informações adicionais sobre como salvar o certificado de revogação. Clique no botão “OK”.

    Finalmente, suas chaves pública e privada estarão criadas. Clique no botão “Done”.

    Passos de configuração opcional

    Mostrar Digitais e Validade da Chave

    Os próximos passos são completamente opcionais mas podem ser úteis quando você utiliza OpenPGP e Enigmail. Resumidamente, a Chave ID é uma pequena parte da impressão digital. Quando a questão é verificar se uma chave pública pertence a uma pessoa em particular, a impressão digital é a melhor maneira. Mudar a exibição padrão torna mais fácil ler as impressões digitais dos certificados que você conhece. Clique no botão configuration, e então na opção Enigmail, e em seguida em Key Management.

    Uma janela será aberta mostrando duas colunas: Nome e ID da Chave

    Na extremidade da direita há um pequeno botão. Clique nesse botão para configurar as colunas. Clique para desmarcar a opção ID da chave e clique na opção Digital.

    Agora haverá três colunas: Name, Key Validity e Fingerprint.

    Encontrando outras pessoas que estão utilizando PGP

    Obtendo uma chave pública por e-mail

    Você pode obter uma chave pública enviada a você como um anexo de email. Clique no botão “Import Key”.

    Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

    Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

    Se você recarregar o email original você verá que a barra sobre o email mudou.

    Se você abrir a janela com a chave de gerenciamento do Enigmail novamente, você poderá checar o resultado. Sua chave PGP estará em negrito porque você possui tanto a chave privada quanto a pública. A chave pública que você acabou de importar não está em negrito porque você não contém a chave privada.

    Obtendo uma chave pública como um arquivo

    É possível que você obtenha uma chave pública fazendo download da chave em um site, ou alguém pode tê-la enviado através de um software de bate-papo. Neste caso, consideremos que você tenha feito download do arquivo para a pasta Downloads.

    Abra o Gerenciador de Chaves (Key Manager) do Enigmail.

    Clique no menu “File”. Selecione “Import Keys from File”.

    Selecione a chave pública. Ela deverá ter diferentes nomes finais de arquivo como .asc, .pgp ou .gpg. Clique no botão “Open”.

    Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

    A new window will open with the results of the import. Click the “OK” button.

    Obtendo uma Chave Pública a partir de uma URL

    É possível obter uma chave pública baixando-a diretamente de uma URL

    Abra o Gerenciador de Chaves do Enigmail e clique no menu “Editar”. Selecione “Import Keys from URL”.

    Insira a URL. A URL pode ter diversos formatos. Na maioria das vezes é provavelmente um nome de domínio terminando em um arquivo.

    Uma vez que você tiver a URL correta, clique no botão “OK”.

    Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

    Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

    Se você olhar em https://www.eff.org/about/staff você verá um link “PGP Key” abaixo das fotos dos funcionários. A chave PGP do Danny O’Brien, por exemplo, pode ser encontrada em: https://eff.org/files/pubkeydanny.txt.

    Obtendo uma chave pública a partir de um servidor de chaves

    Servidores de chave podem ser uma maneira útil de obter uma chave pública. Tente procurar uma chave pública.

    Na interface Key Management clique no menu “Keyserver” e selecione “Search for Keys”.

    Uma janela pequena abrirá com um campo de pesquisa. Você pode pesquisar por um endereço completo de email, um endereço parcial de email, ou um nome. Neste caso, você selecionará as chaves contendo samir@samirnassar.com. Clique no botão “OK”.

    Uma janela maior aparecerá com muitas opções. Se você descer você notará que algumas chaves são itálicas ou cinzentas. Essas são chaves que foram ou revogadas ou expiraram por conta própria.

    Nós temos diversas chaves PGP para Samir Nassar e ainda não sabemos qual delas escolher. Uma das chaves está em itálico cinza, o que significa que foi revogada. Uma vez que ainda não sabemos qual delas queremos, importaremos todas elas. Selecione as chaves clicando na caixa na esquerda e então aperte o botão “OK”.

    Uma janela pequena de notificação aparecerá informando se você teve sucesso. Clique no botão “OK”.

    O Gerenciador de Chaves do Enigmail mostrará agora as chaves adicionadas:

    Note que das três chaves importadas, uma expirou, outra foi revogada, e uma é atualmente uma chave válida:

    Permitindo que outras pessoas saibam que você usa o PGP

    Agora que você tem o PGP, você quererá que outras pessoas saibam que você está usando para que elas também possam enviar a você mensagens encriptadas usando o PGP.

    Utilizar o PGP não encripta completamente o seu email de forma que o remetente e a informação recebida estejam criptografadas. Encriptar as informações de rementente e destinatário quebrariam o email. Utilizar o Thunderbird com o add-on Enigmail fornece a você uma forma fácil de encriptar e decriptar o conteúdo do seu email.

    Vejamos três formas diferentes de informar às pessoas que você está utilizando o PGP.

    Informe às pessoas que você está usando o PGP com um email

    Você pode facilmente enviar por email sua chave pública para outra pessoa enviando a ela uma cópia como anexo.

    Clique no botão “Write” no Mozilla Thunderbird.

    Insira um endereço e um assunto, talvez algo como “minha chave pública”, e clique no botão “Attach My Public Key”. Se você já tiver importado uma chave PGP para a pessoa para a quail você está enviando a chave PGP, o ícone de cadeado na barra do Enigmail ficará em destaque. Como opção adicional, você também pode clicar no ícone de Lápis para assinar o email, dando ao destinatário uma forma de verificar a autenticidade do email depois.

    Uma janela aparecerá perguntando se você esqueceu de adicionar um anexo. Trata-se de um bug na interação entre o Enigmail e o Mozilla Thunderbird, mas não se preocupe. Sua chave pública será anexada. Clique no botão “No, Send Now”. Veja abaixo sua prova.

    Informe às pessoas que você está utilizando PGP pelo seu website

    Além de deixar as pessoas sabendo por email, você pode postar sua chave pública em seu website. A forma mais simples é subir o arquivo e incorporá-lo ao site. Este guia não ensinará a fazer isso, mas você deve saber como exportar uma chave como arquivo para uso futuro.

    Clique no botão de configuração, e depois na opção Enigmail, e em seguida em Key Management.

    Selecione a chave em negrito, e depois clique com o botão direito para abrir o menu e selecionar “Export keys to file”.

    Uma janela pequena aparecerá com três botões. Clique no botão “Export Public Keys Only”.

    Agora uma janela abrirá para que você possa salvar o arquivo. Para encontrá-lo com facilidade no futuro, salve o arquivo na pasta de Documentos. Você poderá usar o arquivo conforme desejar.

    Certifique-se de não clicar no botão “Export Secret Keys”, porque exportar a chave secreta pode permitir que outras pessoas se passem por você caso sejam capazes de adivinhar sua senha.

    Subindo para um servidor de chaves (keyserver)

    Servidores de chave facilitam a pesquisa e o download de chaves públicas de outras pessoas. Os servidores de chave mais modernos são sincronizáveis, o que significa que uma chave pública subida para um servidor eventualmente atingirá todos os servidores.

    Embora subir sua chave pública para um servidor de chaves possa ser uma forma conveniente de informar às pessoas que você possui certificado PGP, você deve saber que, devido à natureza de como os servidores de chave trabalham, não há forma de deletar chaves públicas uma vez que são subidas.

    Antes de subir sua chave pública para um servidor, é bom refletir se você deseja que todo o planeta saiba que você tem um certificado público, sem ter a habilidade de remover essa informação posteriormente.

    Se você escolher subir sua chave pública para servidores de chave, você retornará para a janela de Gerenciamento de Chaves (Key Management) do Enigmail.

    Clique com o botão direito na sua chave PGP e selecione a opção “Upload Public Keys to Keyserver”.

    Enviando e-mail com criptografia PGP

    Agora você enviará seu primeiro email encriptado a um destinatário.

    Na janela principal do Mozilla Thunderbird, clique no botão “Write”. Uma nova janela abrirá.

    Escreva sua mensagem e digite um destinatário. Para este teste, selecione um destinatário de quem você já tenha a chave pública. O Enigmail detectará e criptografará automaticamente o e-mail.

    A linha de assunto não será criptografada, então selecione algo inofensivo como “olá”.

    O corpo do email foi encriptado e transformado. Por exemplo, o texto acima será transformado em algo assim:

    Recebendo um e-mail com criptografia PGP

    Vejamos o que acontece quando você recebe um email encriptado.

    Note que o Mozilla Thunderbird deixa você saber que você tem um novo email. Clique na mensagem.

    Uma janela pequena abre pedindo a senha para a chave PGP. Lembre-se: Não insira sua senha de email. Clique no botão “OK”.

    Agora, a mensagem será exibida decriptada.

    Revogando a chave PGP

    Revogando a sua Chave PGP através da interface do Enigmail

    A chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se perder todos os seus arquivos, você pode esperar que as pessoas lhe peçam outra chave assim que a anterior expirar.

    Você pode ter boas razões para desativar a chave PGP antes que ela expire. Talvez queira gerar uma chave PGP nova e mais forte . A maneira mais fácil de revogar a sua própria chave PGP no Enigmail é pelo Gerenciador de Chaves do Enigmail.

    Clique com o botão direito na sua chave PGP, está em negrito, e selecione a opção “Revoke Key”.

    Uma janela abrirá informando o que acontece e pedindo sua confirmação. Clique no botão “Revoke Key”.

    A janela da senha abre. Insira sua senha para a chave PGP e clique no botão “OK”.

    Agora, uma nova janela indicando que a operação foi bem sucedida se abrirá. Clique no botão “OK”.

    Quando você retornar para a janela do Gerenciador de Chaves do Enigmail notará uma alteração na sua chave PGP. Ela estará acinzentada e em itálico.

    Revogando uma chave PGP com um certificado de revogação

    Conforme anteriormente mencionado, você deve ter uma boa razão para desabilitar a chave PGP antes que ela expire. Similarmente, outras pessoas têm boas razões para revogar uma chave existente. Na sessão anterior você deve ter notado que o Enigmail gera e importa um certificado de revogação internamente quanto você usa o Gerenciador de Chaves do Enigmail para revogar uma chave.

    Você pode receber um certificado de revogação de amigos como um aviso de que eles querem revogar suas chaves. Uma vez que você já tem um certificado de revogação, você pode utilizá-lo para revogar sua própria chave.

    Comece com o Gerenciador de Chaves do Enigmail, clique em “File” e selecione “Import Keys from File”.

    Uma janela abrirá para você selecionar o certificado de revogação. Clique no arquivo, e clique no botão “Open”.

    Você receberá uma notificação de que o certificado foi importado com sucesso, e que uma chave foi revogada. Clique no botão “OK”.

    Quando você retornar à janela de Gerenciamento de Chaves do Enigmail, você perceberá uma mudança na sua chave PGP. Ela estará acinzentada e em itálico.

    Agora que você possui todas as ferramentas adequadas, tente enviar seu próprio email encriptado PGP.

    Last reviewed: 
    2016-08-12
  • Como utilizar o KeePassXC

    Como funciona o KeePassXC

    O KeePassXC funciona com arquivos denominados bancos de dados de senhas, que são arquivos que armazenam todas as suas senhas. Esses bancos de dados são criptografados quando são armazenados no disco rígido do seu computador, de modo que se seu computador está desligado ou alguém o rouba ninguém conseguirá obter as suas senhas.

    Os bancos de dados de senhas podem ser criptografados utilizando-se uma senha mestre. Uma vez que sua senha mestre protege todas as outras senhas, você deve escolhê-la de forma a ser a mais forte possível.

    Utilizando uma senha mestre

    Uma senha mestre atua como uma chave e, portanto, você precisa da senha mestre correta para abrir o banco de dados. Sem ela, ninguém pode acessar o que está no banco de dados. Há algumas coisas que se deve ter em mente quando se utiliza uma senha mestre para proteger o seu banco de dados.

    • Essa senha irá descriptografar todas as suas senhas e, portanto, ela deve ser forte! Isso significa que ela não deve ser algo fácil de descobrir, e também deve ser bastante longa - quanto maior, melhor. Quanto mais longa ela for, menos você precisará se preocupar em ter caracteres especiais, capitalizações ou numerais. Por este motivo, sugerimos que sua senha seja uma frase-chave. Uma frase-chave é uma sequência de diversas palavras que é simples de lembrar mas difícil para que outros adivinhem.
    • Você pode criar uma frase-chave forte utilizando palavras comuns de forma aleatória. Estas palavras são mais simples de lembrar do que combinações não-naturais de símbolos e letras maiúsculas. Veja nosso guia para senhas para mais detalhes de como criar uma senha forte.

    Primeiros Passos Com O KeePassXC

    Instale o KeePassXC e o execute. Clique no menu Banco de Dados e selecione “Nova Base de Dados”. Será solicitado que você salve seu banco de dados de senhas. Observe que você pode mover o arquivo de banco de dados posteriormente para qualquer outra pasta do seu disco rígido, ou mesmo para outros computadores – você ainda será capaz de abrir o arquivo com o KeePassXC utilizando a senha, ou arquivo-chave, especificado anteriormente.

    O que é um arquivo-chave? Utilizando um arquivo-chave adicionalmente à sua senha mestre, você tornará mais difícil para alguém decriptar seu arquivo de senhas caso este alguém consiga roubar uma cópia dele. Você pode utilizar qualquer arquivo como um arquivo-chave – uma foto do seu gato, por exemplo, pode ser utilizada como um arquivo-chave. Você precisa apenas se certificar de que este arquivo jamais seja modificado, porque se seu conteúdo for alterado não será mais possível decriptar seu arquivo de senhas. Em alguns casos, simplesmente abrir o arquivo com outro programa pode ser o suficiente para alterá-lo, portanto abra o arquivo apenas com o KeePassXC. (No entanto, é seguro mover ou renomear o arquivo). Observe que normalmente uma senha-mestre forte é o suficiente, mas caso você decida utilizar um arquivo-chave adicionalmente à sua senha-mestre, certifique-se de guarda-lo separadamente do seu banco de dados de senhas.

    Depois disso, você será solicitado a digitar uma senha-mestre e/ou utilizar um arquivo-chave. Selecione as opções desejadas.

    Caso você deseje ver a senha enquanto digita (em vez de ocultá-la com pontos enquanto a digita), clique no botão com o desenho de um olho do lado direito do campo.

    Organizando Senhas

    O KeePassXC permite que você organize suas senhas em “Grupos”, que são como pastas. Você pode criar, excluir ou editar Grupos e Subgrupos indo até o menu “Grupos” na barra de menus, ou clicando com o botão da direita em um Grupo no painel localizado do lado esquerdo da tela do KeePassXC. Agrupar as senhas não afeta nenhuma funcionalidade do KeePassXC – trata-se apenas de uma forma de organização.

     

    Armazenando/Gerando/Editando Senhas

    Para criar uma nova senha ou armazenar uma senha que você já possua, clique no Grupo no qual você deseja armazenar a senha e clique no ícone “Adicionar Nova Entrada”. (Você também pode clicar no item “Entradas > Adicionar Nova Entrada” na barra de menus). Para preencher os campos na caixa que será mostrada:

    • Digite um título que descreva a que esta senha pertence, de forma que você possa reconhece-la no futuro, no campo “Título”. Por exemplo, você pode preencher este campo com o nome do site ou do serviço ao qual a senha pertence.
    • Digite o nome de usuário associado com a senha no campo “Nome de Usuário” (caso não seja necessário um nome de usuário, deixe este campo em branco)
    • Digite a senha no campo “Senha”. Caso você esteja criando uma nova senha, clique no ícone com o desenho de um dado do lado direito deste campo. Você poderá fazer isso quando estiver se cadastrando em um novo site, ou quando estiver substituindo senhas mais antigas e fracas com senhas novas, únicas e fortes. Após clicar no ícone do dado, um gerador de senhas será mostrado. Você poderá utilizá-lo para gerar uma nova senha aleatória. Lhe serão apresentadas diversas opções, incluindo que tipos de caracteres deseja incluir e o quão longa deseja que a senha seja.
      • Observe que caso você esteja gerando uma senha aleatória, você não precisará lembrar (ou mesmo saber!) que senha é essa. O KeePassXC a armazenará para você, e sempre que você precisar dela você poderá copiá-la e colá-la no campo apropriado. Este é o principal objetivo de um gerenciador de senhas – permitir que você utilize senhas aleatórias distintas e longas para cada site ou serviço, sem nem mesmo ter que saber que senhas são estas!
      • Por este motivo, você deve criar estas senhas do maior tamanho que o site permitir e utilizar todos os tipos de caracteres possíveis.
      • Uma vez que você esteja satisfeito com as opções, clique em “Gerar” na parte inferior direita da tela para gerar a senha e clique “OK”. A senha gerada será automaticamente inserida nos campos “Senha” e “Repetir”. (caso você não esteja gerando uma senha aleatória, você deverá digitar a senha que desejar duas vezes, uma no campo “Senha” e outra no campo “Repetir”).
    • Clique OK. Sua senha será armazenada em seu arquivo de senhas. Para garantir que as alterações sejam salvas, utilize a opção “Banco de Dados -> Salvar Base de Dados” do menu. (Alternativamente, caso você tenha cometido algum engano, poderá fechar e abrir novamente o arquivo de senhas, caso em que todas as alterações serão perdidas).

    Caso você precise alterar/editar as senhas salvas, você poderá selecionar o Grupo ao qual ela pertence e então clicar duas vezes no título da entrada correspondente no painel do lado direito, o que fará com que a caixa Editar Entrada seja mostrada novamente.

    Uso Diário

    Para utilizar uma senha guardada em seu arquivo de senhas, clique com o botão da direita na entrada desejada e selecione “Copiar nome de usuário” ou “Copiar senha”. Vá até a janela ou site no qual você deseja inserir seu nome de usuário / senha, e cole a informação no campo apropriado. (Em vez de clicar com o botão direito no item, você poderá também dar duplo-clique no nome de usuário ou na senha da entrada que você deseja, o que fará com que o campo seja copiado automaticamente para sua área de transferência).

    Outros Recursos

    O KeePassXC permite que você:

    • Pesquise seu banco de dados utilizando a caixa de busca (a caixa de texto localizada à direita da barra de ferramentas da janela principal do KeePassXC)
    • Ordene as entradas clicando nos cabeçalhos das colunas na janela principal
    • “Trave” o KeePassXC selecionando a opção de menu “Ferramentas -> Trancar base de dados”. Isso permite que você deixe o KeePassXC aberto, mas faz com que ele peça sua senha-mestre (e/ou arquivo-chave) antes que você possa acessar seu arquivo de senhas novamente. Você pode também configurar o KeePassXC para se travar automaticamente após um determinado período de inatividade, prevenindo que alguém tenha acesso às suas senhas caso você se afaste de seu computador ou o perca. Para ativar este recurso no macOS, selecione “Preferências >  Configurações” à partir do menu e clique nas opções de segurança. Então, marque a caixa que diz “Travar bancos de dados após inatividade de [número] segundos.”. No Linux ou no Windows, selecione “Ferramentas -> Configurações” e vá às opções de segurança, marcando então a caixa que diz “Travar bancos de dados após inatividade de [número] segundos.”

    O KeePassXC também pode armazenar mais do que simplesmente nomes de usuários e senhas. Por exemplo, você pode criar entradas para guardar coisas importantes como números de contas, chaves de instalação de softwares, informações sobre programas de milhagem ou números de série. Não existe nenhuma obrigatoriedade de inserir realmente a senha no campo “Senha”. Você pode inserir a informação que desejar no campo “Senha” em vez de uma senha real (e deixar o campo “Nome de usuário” em branco se não houver um nome de usuário) e o KeePassXC irá lembrar destas informações para você de forma segura.

    Como Instalar a Extensâo Para o Navegador

    Estas instruções são do site https://keepassxc.org/docs/keepassxc-browser-migration/ (em inglês), acessado em 30 de abril de 2018.

    Uma extensão é um componente de software que adiciona recursos ao seu navegador. A extensão para navegador do KeePassXC oferece uma forma conveniente para que seu navegador e seu KeePassXC se comuniquem. Isso permite que você salve ou preencha automaticamente senhas na Web.

    A partir da versão 2.3, o KeePassXC oferece um novo plugin para navegador chamado KeePassXC-Browser. Ele é compatível com os browsers Google Chrome, Chromium, Firefox e Vivaldi e está disponível na Chrome Web Store e no repositório de Add-ons da Mozilla.

    O novo add-on substitui os antigos add-ons KeePassHTTP (KeePassHttp-Connector, chromeIPass, PassIFox etc.), e o suporte a estes antigos add-ons será removido em versões futuras do KeePassXC.

    Como Conectar o KeePassXC-Browser Com o KeePassXC

    Após instalar o KeePassXC-Browser e o KeePassXC, você deve primeiramente iniciar o KeePassXC e alterar algumas configurações que não estão habilitadas por padrão.

    1. Habilite a integração com o navegador

    Vá até as configurações do KeePassXC e habilite o suporte a esta integração na seção “Integração com o Navegador”, marcando a opção “Habilitar integração do KeePassXC com navegadores”. Sem que esta opção seja marcada, a extensão do navegador não poderá se comunicar com o KeePassXC.

    Se estiver habilitada, a interface com o antigo KeePassHTTP pode ser desabilitada desmarcando-se a opção Integração Legada de Navegador / Habilitar Servidor KeePassHTTP. Qualquer add-on antigo para o navegador (KeePassHttp-Connector, etc) pode ser desinstalado.

    2. Habilite o suporte ao navegador

    Para permitir que seu navegador acesse o KeePassXC, você precisa informar a ele onde encontrar o arquivo do KeePassXC. Felizmente o KeePassXC faz isso automaticamente para você. Tudo o que você precisa fazer é marcar a caixa “Habilitar integração para estes navegadores” para todos os navegadores que você desejar utilizar com o KeePassXC.

    3. Conecte o banco de dados

    Abra o KeePassXC e destrave seu banco de dados (este passo é importante, os próximos passos não funcionarão se seu banco de dados estiver travado ou se o KeePassXC não estiver sendo executado).

    Vá até seu navegador e clique no ícone do KeePassXC próximo à sua barra de endereços. Um pop-up aparecerá dizendo a você que o KeePassXC-Browser não foi configurado (caso seja exibida uma mensagem de erro diferente, clique em Atualizar e aguarde alguns segundos).

    Clique no botão Conectar. Uma janela será mostrada para fornecer acesso ao banco de dados, e solicitará um nome.

    Entre o nome que preferir (preferencialmente um que identifique seu navegador), pressione Salvar e permita o acesso. Seu navegador agora está conectado ao KeePassXC.

    Utilizar o Autopreenchimento pode ser prejudicial à sua privacidade. Para desabilitar esta opção, desmarque as opções “Preencher automaticamente entradas de credenciais simples” e “Ativar autocompletar para nomes de usuário”.

    Pronto! Agora você pode salvar quaisquer credenciais que digite na Web. Você poderá também preencher automaticamente seus nomes de usuário e senhas.

    O KeePassXC é um software robusto e simples de usar, e nós recomendamos explorar todo o programa de maneira a conhecer tudo o que ele pode fazer de útil.

    Last reviewed: 
    2018-04-30
Next:
JavaScript license information