Playlist
  • Usuário de Mac?

    Dicas e ferramentas para ajudá-lo a proteger seus dados e comunicações

    Esta lista destina-se a orientar os usuários de Mac através de um conjunto de dicas e ferramentas que podem ser utilizadas para proteger suas comunicações on-line e ajudar a evitar que bisbilhoteiros espionem.

  • Uma introdução à modelagem de ameaças

    Não há uma maneira única para manter-se seguro on-line. A segurança digital não está nas ferramentas que você utiliza, mas na compreensão das ameaças que enfrenta e como pode combate-las. Para estar mais seguro, você deve determinar o que é preciso proteger, e de quem. As ameaças podem mudar dependendo de onde você está, do que está fazendo, e com quem está trabalhando. Portanto, para determinar quais serão as melhores soluções, você deve realizar uma avaliação de modelagem de ameaças.

    Ao realizar uma avaliação, há cinco questões principais que você deve se perguntar: Anchor link

    1. O que você quer proteger?
    2. De quem você quer protegê-los?
    3. Quão provável é que você precise protegê-lo?
    4. Quão ruins serão as consequências caso você falhe?
    5. Quanto esforço você está disposto a fazer para preveni-las?

      Quando falamos sobre a primeira questão, normalmente nos referimos aos bens, ou às coisas que você está tentando proteger. Os bens são as coisas de valor que você quer proteger. Quando estamos falando sobre segurança digital, normalmente os bens em questão são as informações. Por exemplo, seus e-mails, lista de contatos, mensagens instantâneas e arquivos, são todos bens. Os seus equipamentos também são bens.

      Anote uma lista de dados que você mantém, onde são mantidos, quem tem acesso a eles, e o que impede os outros de acessá-los.

      Para responder a segunda questão, “De quem você quer protegê-los”, é importante compreender quem poderia querer atacar você ou sua informação, ou quem é seu oponente. Um oponente é qualquer pessoa ou entidade que apresenta uma ameaça contra seus bens. Exemplos de potenciais oponentes são seu chefe, seu governo ou um hacker em uma rede pública.

      Faça uma lista de quem poderia querer obter seus dados ou comunicações. Pode ser um indivíduo, uma agência governamental ou uma corporação.

      Uma ameaça é algo ruim que pode ocorrer a um bem. Existem inúmeras maneiras de um oponente ameaçar os seus dados. Por exemplo, um oponente pode ler suas comunicações privadas e divulgá-las através da rede ou excluir ou corromper seus dados. Um oponente pode também desativar o seu acesso a seus próprios dados.

      As motivações dos oponentes podem variar consideravelmente, assim como seus ataques. Ao tentar impedir a divulgação de um vídeo que mostra a violência policial, um governo pode simplesmente se contentar em excluir ou restringir a disponibilidade desse vídeo, enquanto um adversário político pode desejar obter acesso ao conteúdo secreto e publicá-lo sem o seu conhecimento.

      Anote o que o seu oponente pode querer fazer com seus dados privados.

      É importante também considerar a capacidade do seu invasor. Por exemplo, o provedor do seu telefone móvel tem acesso a todos os registros do seu telefone e portanto tem a capacidade de utilizar estes dados contra você. Em uma rede Wi-Fi aberta, um hacker pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades bem maiores.

      Uma última coisa a considerar é o risco. O risco é a probabilidade de que ocorra uma determinada ameaça contra certo bem, e parelha com a capacidade. À medida que o provedor do seu telefone móvel tem a capacidade de acessar todos os seus dados, o risco deles divulgarem seus dados privados on-line para prejudicar a sua reputação é baixo.

      É importante diferenciar as ameaças dos riscos. Enquanto que a ameaça é algo ruim que pode ocorrer, o risco é a probabilidade que ocorra a ameaça. Por exemplo, existe a ameaça de que seu prédio possa ruir, mas o risco disso ocorrer é muito maior em São Francisco (onde os terremotos são comuns) do que em Estocolmo (onde eles não são).

      Fazer uma análise de risco é um processo tanto pessoal quanto subjetivo; nem todos têm as mesmas prioridades ou enxergam as ameaças da mesma maneira. Muitas pessoas acham certas ameaças inaceitáveis independente do seu risco porque a mera presença da ameaça a qualquer probabilidade não vale o custo. Em outros casos, as pessoas relegam os altos riscos porque eles não enxergam a ameaça como um problema.

      Em um contexto militar, por exemplo, pode ser preferível que um bem seja destruído a deixá-lo cair nas mãos do inimigo. Em muitos contextos civis, contrariamente, é mais importante que os bens, como o serviço de e-mail fique disponível em vez de ser confidencial.

      Agora, vamos praticar a modelagem de ameaça Anchor link

      Se você quer manter a sua casa e os seus bens seguros, aqui estão algumas questões para se perguntar:

      • Eu devo trancar a minha porta?
      • Qual tipo de fechadura ou fechaduras eu devo investir?
      • Eu preciso ter um sistema de segurança mais avançado?
      • Quais são os bens neste cenário?
        • A privacidade da minha casa
        • Os itens dentro da minha casa
      • Qual é a ameaça?
        • Alguém poderia arrombar.
      • Qual é o risco atual de alguém arrombar? Isso é provável?

      Depois de se fazer essas perguntas, você estará em posição para avaliar que medidas tomar. Se seus bens são valiosos, mas o risco de arrombamento é baixo, então, você provavelmente não irá querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você irá querer ter as melhores fechaduras do mercado, e talvez até mesmo adicionar um sistema de segurança.

      Last reviewed: 
      2015-01-12
      This page was translated from English. The English version may be more up-to-date.
    1. Comunicando-se com outros

      As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



      Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

      Como funciona a criptografia ponto a ponto? Anchor link

      Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



      A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

      Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

      Chamadas de voz Anchor link

      Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

      Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

      Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

      Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

      Mensagens de texto Anchor link

      As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

      Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

      Mensagens instantâneas Anchor link

      O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

      Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

      Email Anchor link

      A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

      Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

      Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

      • Gmail
      • Riseup
      • Yahoo

      Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



      O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

      O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



      Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



      Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

      A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

      O que a criptografia ponto a ponto não faz? Anchor link

      A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



      Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



      Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

      • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
      • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
      • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
      • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
      • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

      Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

      Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



      Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

      Last reviewed: 
      2017-01-12
      A versão em Inglês pode estar mais atualizada.
    2. Verificação de chaves

      Quando a criptografia é utilizada adequadamente, suas comunicações e informações devem ser lidas somente por você e pelo seu interlocutor. A criptografia ponto a ponto protege seus dados contra a vigilância de terceiros, mas sua utilidade é limitada, caso esteja inseguro em relação à identidade do seu interlocutor. É neste momento que entra em ação a verificação da chave. Através da conferência das chaves públicas que você e ele adicionam outra camada de proteção à conversa, confirmando as identidades um do outro, e proporcionando maior garantia de que esteja falando com a pessoa certa.

      A verificação de chaves é um elemento usual dos protocolos que utilizam a criptografia ponto a ponto, como a PGP e a OTR. No Sinal, eles são chamados de "safety numbers". Para averiguar as chaves sem riscos de interferências, é recomendável utilizar um método secundário de comunicação diferente do que utilizará para criptografar, o que é denominado de verificação fora da banda (do inglês out-of-band). Por exemplo, se está verificando suas digitais OTR, você pode enviá-las para outra pessoa via e-mail. Neste exemplo, o e-mail seria o canal secundário de comunicação.

      Verificando chaves fora da banda Anchor link

      Existem diversas maneiras de fazer isso. A verificação física das chaves é a ideal, caso seja conveniente e arranjada de modo seguro. Muitas vezes isto é feito em reuniões de assinatura de chaves (do inglês key-signing parties) ou entre colegas.

      Caso não possam se encontrar pessoalmente, você pode entrar em contato com seu interlocutor por um meio de comunicação diferente do que está utilizando e pelo qual quer verificar as chaves. Por exemplo, se estiver querendo conferir as chaves PGP com alguém, você poderia utilizar o telefone ou um chat OTR para verificá-las.

      Independentemente do programa que utilizar, você sempre poderá localizar tanto a sua como a chave do seu interlocutor.

      Apesar do método de localização da sua chave variar conforme o programa, o mecanismo de verificação de chaves permanece quase sempre o mesmo. Você pode ler em voz alta (presencialmente ou pelo telefone) a sua chave de autenticação digital ou ainda copiar e colá-la em um programa de comunicação. Porém, é imperativo que verifique cada letra e número, seja qual for o método que escolher.

      Dica: tente verificar as chaves com um de seus amigos. Consulte o guia de como utilizar determinado programa para aprender como verificar as chaves neste programa específico.

      Last reviewed: 
      2017-01-13
      A versão em Inglês pode estar mais atualizada.
    3. Como utilizar o OTR para Mac

      O Adium é um programa cliente de mensagens instantâneas gratuito e de código aberto para o OS X que permite chats entre você e outras pessoas através de múltiplos protocolos de chat, incluindo o Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ, e o XMPP.

      O OTR (Off-the-record) é um protocolo que permite às pessoas conversas confidenciais utilizando a ferramenta de mensagens que já lhes é familiar. Isto não deve ser confundido com o “Off the record” do Google, que simplesmente desativa o registro do chat, e não tem capacidades de verificação e criptografia. Para os usuários de Mac, o OTR vem integrado ao cliente Adium.

      O OTR emprega criptografia ponto a ponto. Isso significa que você pode utilizá-lo para conversar através de serviços como o Google Hangouts, sem que essas empresas tenham acesso aos conteúdos das conversas. No entanto, o fato de que você está tendo uma conversa é visível para o provedor.

      Porque devo utilizar o Adium com o OTR? Anchor link

      Quando você faz um chat utilizando o Google Hangouts pelos respectivo website, esse chat é criptografado utilizando o HTTPS, que significa que o conteúdo do seu chat está protegido de hackers e demais terceiros enquanto estiver em trânsito. Porém, ele não está protegido do Google, que têm as chaves das suas conversas e podem entregá-las às autoridades ou utilizá-los para fins de marketing.

      Após instalar o Adium, você pode fazer login nele utilizando várias contas ao mesmo tempo. Você pode utilizar, por exemplo, o Google Hangouts e o XMPP simultaneamente. O Adium permite também chats utilizando essas ferramentas sem o OTR. Uma vez que o OTR só funciona se ambas as pessoas o estiverem utilizando, ou seja, se a outra pessoa não o tem instalado, ainda lhe será possível conversar com ela utilizando o Adium.

      O Adium permite também a verificação fora de banda para garantir que esteja conversando com a pessoa que você pensa estar, e ficar isento de ataques de intrusos. Para cada conversa, há uma opção que lhe mostrará a chave de autenticação digital que ela tem para você e para a pessoa com quem está conversando. Uma “chave de autenticação digital” (do inglês “key fingerprint”) é um conjunto de caracteres como "342e 2309 bd20 0912 ff10 6c63 2192 1928”, que é utilizado para verificar uma chave pública mais longa. Troque suas senhas através de outro canal de comunicação, tais como o Twitter DM ou o e-mail, para garantir que ninguém esteja interferindo nas suas conversas. Se as chaves não forem iguais, você não pode ter certeza que você está falando com a pessoa certa. Na prática, as pessoas costumam usar várias chaves, ou perder e ter de recriar novas chaves, então não se surpreenda se você tem que voltar a verificar suas chaves com seus amigos de vez em quando.

      Limitações: Quando não devo utilizar o Adium com o OTR? Anchor link

      Os técnicos têm um termo para descrever quando um programa ou tecnologia pode ser vulnerável contra ataques externos: eles dizem que tem uma grande “superfície de ataque”. O Adium tem uma grande superfície de ataque. Ele é um programa complexo, que não foi escrito tendo a segurança como prioridade. Ele certamente contém bugs, alguns dos quais podem ser utilizados por governos ou mesmo por grandes empresas para invadir computadores que o estão utilizando. Utilizar o Adium para criptografar as suas conversas é uma ótima defesa contra ataques de vigilância não pessoais que são utilizados para espionar as conversas pela Internet de todo mundo. Porém, se você suspeita que pessoalmente será alvo de um invasor com bons recursos (como um governo), é preciso que considere precauções maiores, como utilizar criptografia PGP de e-mail.

      Instalando o Adium e o OTR em seu Mac Anchor link

      Etapa 1: Instale o programa

      Primeiro, vá para https://adium.im/ no seu navegador. Selecione “Download Adium 1.5.9”. Será feito download do arquivo com a extensão .dmg, ou imagem de disco, e provavelmente será salvo na sua pasta “Downloads”.



      Clique duas vezes no arquivo para abrir uma janela semelhante a esta:

      Mova o ícone do Adium para dentro da pasta “Aplicativos” para instalar o programa. Assim que o programa estiver instalado, procure-o na sua pasta Aplicativos e clique sobre ele duas vezes para abri-lo.

      Etapa 2: Configure sua(s) conta(s)

      Primeiro, você precisará decidir quais ferramentas de chat ou protocolos quer utilizar com o Adium. O processo de configuração é similar, mas não idêntico, para cada tipo de ferramenta. Você precisará saber seu nome de usuário para cada ferramenta ou protocolo, bem como sua senha para cada conta.



      Para configurar uma conta, vá para o menu do Adium na parte superior da tela, clique em “Adium” e a seguir em “Preferências”. Isso fará abrir uma janela com outro menu na parte superior. Selecione “Contas” e depois clique no sinal de “+” na parte inferior da janela. Você verá um menu semelhante a este:

      Selecione o programa para o qual deseja fazer login. Então  lhe será solicitado digitar seu nome de usuário e senha ou utilizar a ferramenta de autorização do Adium para fazer login em sua conta. Siga as instruções do Adium cuidadosamente.

      Como iniciar um chat OTR Anchor link

      Após fazer login em uma ou mais de suas contas, você pode começar a utilizar o OTR.

      Lembre-se: Para conversar utilizando o OTR, ambas as pessoas precisam estar utilizando um programa de chat suportado pelo OTR.

      Etapa 1: Inicie um Chat OTR

      Primeiramente, identifique alguém que esteja utilizando o OTR, e inicie uma conversa com ele no Adium, clicando duas vezes no nome dele. Assim que abrir a janela de chat, você verá um pequeno cadeado aberto no canto superior esquerdo da janela de chat. Clique no cadeado e selecione “Iniciar Chat OTR Criptografado”.

      Etapa 2: Verifique a sua conexão

      Assim que iniciar o chat e a outra pessoa aceitar o convite, você verá o ícone de um cadeado fechado, indicando que agora o seu chat está criptografado (parabéns!). Mas espere, ainda há mais um passo!

      Até então, você iniciou um chat criptografado não verificado. Isso quer dizer que, apesar de suas comunicações serem criptografadas, você ainda não determinou nem verificou a identidade da pessoa com que está conversando. A menos que estejam na mesma sala e possam ver as telas um do outro, é importante que vocês verifiquem suas identidades. Consulte o módulo Verificação de Chaves para obter mais informações.

      Para verificar a identidade de outro usuário utilizando o Adium, clique novamente no cadeado e selecione “Verificar”. Você verá uma janela que exibirá tanto a sua chave como a chave da outra pessoa. Algumas versões do Adium suportam apenas a verificação manual de digitais. Isso significa que, utilizando algum outro método de comunicação, você e a pessoa com quem está conversando precisarão verificá-las para garantir que as chaves que estão sendo mostradas pelo Adium conferem com exatidão.



      A maneira mais fácil de fazer isso é ambos as lerem em voz alta de modo presencial, mas isso nem sempre é possível. Há diferentes maneiras de conseguir fazer isso com diferentes graus de confiabilidade. Por exemplo, conferir as chaves pelo telefone se for possível reconhecer ambas as vozes, ou enviá-las um ao outro, utilizando algum método verificável de comunicação como PGP. Algumas pessoas publicam suas chaves em seus websites, contas do Twitter ou cartão de visita.

      O mais importante é confirmar se cada letra e dígito correspondem exatamente.

      Etapa 3: Desativar o registro

      Agora que você já iniciou um chat criptografado e verificou a identidade do seu colega de chat, há mais uma coisa a fazer. Infelizmente, por padrão, o Adium faz o registro de suas conversas criptografadas pelo OTR, salvando-as no disco rígido. Isto significa que, apesar do fato delas estarem criptografadas, seu registro está sendo salvo em seu disco rígido como texto sem criptografia.



      Para desativar o registro, clique em “Adium” no menu, na parte superior da tela, e depois em “Preferências”. Na nova janela, selecione “Geral”, e depois desative “Registrar mensagens” e “Registrar Chats OTR seguros”. Lembre-se, porém, que você não tem controle sobre a pessoa com quem você está conversando, ela poderia ser o login ou tirar screenshots de sua conversa, mesmo se você mesmo ter o log desativado.

      Suas configurações devem agora ficar como segue:

      Adicionalmente, o Centro de Notificação do OS X pode registrar o conteúdo das notificações de novas mensagens exibidas pelo Adium. Isto significa que, enquanto o Adium não deixará rastros das suas comunicações no seu computador ou no do seu colega, a versão do OS X de um dos dois computadores pode preservar os registros. Para evitar isso, você pode desativar as notificações.



      Para fazer isso, selecione “Eventos” na janela Preferências, e procure as entradas que dizem “Exibir uma notificação”. Expanda cada entrada clicando no triângulo cinza e, em seguida, na linha que diz “Exibir uma notificação”, clicando então no ícone com o sinal menos (“-“) no canto inferior esquerdo para remover essa linha. Caso esteja preocupado com os registros deixados no seu computador, você deve ativar também a criptografia completa de disco que ajudará proteger esses dados de terceiros que tentem obtê-los sem a sua senha.

      Last reviewed: 
      2017-01-19
      A versão em Inglês pode estar mais atualizada.
    4. Como utilizar PGP para Mac OS X

      Para utilizar o PGP e trocar emails seguros você precisará juntar três programas: GnuPG, Mozilla Thunderbird e Enigmail. O GnuPG é o programa que encripta e decripta o conteúdo do seu email, o Mozilla Thunderbird é o cliente de email que permite que você leia e escreva emails sem a necessidade de um navegador, e o Enigmail é uma extensão para o Mozilla Thunderbird que unifica tudo isso.

      Este guia ensina como utilizar o PGP com o Mozilla Thunderbird, um programa cliente de email que desempenha uma função semelhante à do Outlook. Você pode usar seu programa de software de email favorito (ou utilizar um email da web como Gmail ou Outlook.com). Este guia não lhe ensinará como utilizar o PGP com esses programas. Você pode escolher entre instalar o Thunderbird e testar o PGP com um novo cliente de email, ou você pode pesquisar outras soluções para utilizar o PGP com seu software habitual. Nós ainda não encontramos uma solução satisfatória para esses programas.

      Utilizar o PGP não encripta completamente seu email, de forma que as informações de remetente e destinatário estejam encriptadas. Encriptar informações de remetente e destinatário quebraria o email. O que a utilização do Mozilla Thunderbird com a extensão do Enigmail fornece é uma forma fácil de encriptar o conteúdo do seu email.

      Você primeiro baixará todo os programas necessários, fará a instalação, e em seguida concluirá com as configurações e como utilizar os resultados.

      O Pretty Good Privacy (PGP) é uma maneira de proteger suas comunicações por e-mail de serem lidas por qualquer pessoa, exceto pelos seus destinatários especificados. Isso pode proteger você contra empresas, governos ou criminosos que queiram espionar sua conexão de Internet e, em menor escala, pode salvar seus e-mails de serem lidos se o computador no qual eles são armazenados for roubado ou invadido.

      Ele também pode ser utilizado para comprovar que um e-mail veio realmente de uma determinada pessoa, e que não se trata de uma mensagem falsa enviada por outro remetente (visto que é muito fácil falsificar um e-mail). Ambos os casos são defesas muito importantes se você estiver sendo alvo de vigilância ou de desinformação.

      Para utilizar o PGP, você precisará instalar alguns softwares extras que funcionarão junto com o seu programa de e-mail. Precisará também criar uma chave privada, que deve ser mantida privada. A chave privada é o que você utilizará para decriptar os e-mails que lhe são enviados, e assinar digitalmente os e-mails que envia de forma a comprovar que eles realmente vieram de você. Por fim, você aprenderá como distribuir a sua chave pública, uma pequena quantidade de informação que outros precisam conhecer antes que possam lhe enviar e-mails criptografados ou verificar os e-mails que você envia.

      Obtendo e Instalando o GnuPG Anchor link

      Você pode obter o GnuPG (também conhecido como GPG) no Mac OS X baixando o instalador pela página de downloads do GnuPG.

      Clique em GnuPG for OS X próximo a “Simple installer for GnuPG modern”, o que baixará o instalador do GPG.

      Você será redirecionado(a) para o site de downloads SourceForge.

      Obtendo o Mozilla Thunderbird Anchor link

      Vá para o site do Mozilla Thunderbird.

      Clique no botão verde de nome “Free Download”. O site do Mozilla Thunderbird terá detectado seu idioma favorito. Se você deseja usar o Thunderbird em outro idioma, clique no link “Systems & Languages” e selecione seu idioma.

      Instalando o GnuPG Anchor link

      Clique no ícone de Download na Barra, e em seguida clique no arquivo GnuPG-2.11-002.dmg.file

      Uma janela abrirá, indicando seu progresso.

      Uma janela abrirá, fornecendo uma visão geral do arquivo de Instalação e alguns outros arquivos. Clique no ícone “Install.pkg”.

      Em seguida, uma janela abrirá iniciando a instalação guiada. Clique no botão “Continue”.

      O GnuPG é instalado como um pacote de sistema e requer seu nome de usuário(a) e senha para instalação. Insira sua senha e clique em “Install Software”.

      Você verá uma janela que dirá “The instalation was successful”. Clique no botão “Close”.

      Instalando o Mozilla Thunderbird Anchor link

      Clique no ícone de Download na barra, e em seguida clique no arquivo Thunderbird 45.2.0.dmg.file.

      Uma janela abrirá indicando seu progresso.

      Uma janela se abrirá com o ícone do Thunderbird e um link para sua pasta de Aplicativos. Arraste o Thunderbird para a pasta de Aplicativos.

      Uma nova janela com uma barra de progresso abrirá. Quando estiver concluída, ela fechará.

      Garanta que você ejetou os arquivos DMG montados.

      Preparação para a instalação do Enigmail Anchor link

      Quando o Mozilla Thunderbird abre pela primeira vez, o Mac OS X perguntará se você tem certeza se deseja abrí-lo. O Mozilla Thunderbird foi baixado a partir do mozilla.org e deve ser seguro. Clique no botão “Open”.

      O Mozilla Thunderbird pode ser integrado à agenda de endereços do Mac OS X. Deixamos a escolha a você.

      Quando iniciar o Mozilla Thunderbird pela primeira vez, você verá uma pequena janela de confirmação perguntando sobre algumas configurações padrão. Recomendamos clicar no botão “Definir como Padrão”.

      Quando o Mozilla Thunderbird abre pela primeira vez, você será questionado(a) se deseja um novo endereço de email. Clique no botão “Skip this and use my existing email”. Agora você irá configurar o Mozilla Thunderbird para receber e enviar email. Se você está acostumado(a) somente a ler e enviar e-mails através do gmail.com, outlook.com ou yahoo.com, o Mozilla Thunderbird será uma experiência nova, mas não será um grande mistério.

      Adicionando uma conta de e-mail no Mozilla Thunderbird Anchor link

      Uma nova janela abrirá:

      Digite o seu nome, endereço de e-mail e senha da sua conta de e-mail. A Mozilla não tem acesso à sua senha ou conta de e-mail. Clique no botão “Continue”.

      Em muitos casos o Mozilla Thunderbird detectará as configurações necessárias.

      Em alguns casos, o Mozilla Thunderbird não tem todas as informações e você mesmo(a) precisará digitá-las. Aqui está um exemplo das instruções que o Google fornece para o Gmail:

      • Servidor de Entrada de E-mail (IMAP) - Requer SSL
        • imap.gmail.com
        • Porta: 993
        • Requer SSL: Sim
      • Servidor de Saída de E-mails (SMTP) - Requer TLS
        • smtp.gmail.com
        • Porta: 465 ou 587
        • Requer SSL: Sim
        • Requer autenticação: Yes
        • Utilize as mesmas configurações do servidor de entrada de e-mail
      • Nome Completo ou Nome de Exibição: [seu nome ou pseudônimo]
      • Nome da Conta ou Nome de Usuário: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuários da Google Apps, digitar nomedeusuario@seu_dominio.com
      • Endereço de e-mail: seu endereço Gmail completo (nomedeusuario@gmail.com). Usuário da Google Apps, digitar nomedeusuario@seu_dominio.com
      • Senha: sua senha do Gmail

      Se você utiliza autenticação de dois fatores na sua conta do Google (e dependendo do seu modelo de ameaça, provavelmente deveria utilizar!) você não poderá utilizar a sua senha padrão do Gmail com o Thunderbird. Então, para acessar sua conta do Gmail, você precisará criar uma nova senha, específica para o aplicativo do Thunderbird. Para fazer isso, consulte o próprio guia do Google.

      Quando todas as informações forem inseridas corretamente, clique no botão “Done”.

      O Mozilla Thunderbird começará o download de cópias do seu email para o seu computador. Tente enviar uma email de teste para seus amigos.

      Instalando o Enigmail Anchor link

      O Enigmail é instalado de maneira diferente do Mozilla Thunderbird e do GnuPG. Conforme mencionado anteriormente, o Enigmail é um Add-on para o Mozilla Thunderbird. Clique no botão “Menu”, também chamado de botão Hamburger e selecione “Add Ons”.

      Você será levado(a) para uma aba de gerenciamento de Add-ons. Digite “Enigmail” no campo de pesquisa de Add-on para localizar o Enigmail no site de Add-on do Mozilla.

      O Enigmail será a primeira opção. Clique no botão “Install”.

      Após a instalação do Add-on Enigmail, o Mozilla Thunderbird pedirá para reiniciar o browser para ativar o Enigmail. Clique no botão “Restart Now” e o Mozilla Thunderbird irá reiniciar.

      Quando o Mozilla Thunderbird reinicia, uma janela adicional abrirá para configurar o Add-on Enigmail. Mantenha o botão “Start setup now” selecionado e clique no botão “Continue”.

      Acreditamos que a configuração padrão (standard configuration) é uma boa escolha. Clique no botão “Continue”.

      Agora você iniciará a criação das suas chaves pública e privada.

      Criando uma chave pública e uma chave privada Anchor link

      Ao menos que você já tenha configurado mais de uma conta de email, o Enigmail escolherá a conta de email que você tiver configurado. A primeira coisa que você precisará fazer é criar uma passphrase forte para sua chave privada.

      Clique no botão “Continue”.

      Após certo tempo, a sua chave irá expirar; embora você não receba qualquer aviso ou explicação quando isso ocorrer, as pessoas deixarão de utilizá-la para lhe enviar e-mails. Portanto, talvez você queira marcar em seu calendário e ficar atento(a) a isso mais ou menos um mês antes da data de expiração.

      É possível estender o prazo de validade de uma chave existente fornecendo-lhe uma nova data, ou é possível substituí-la criando uma nova chave a partir do zero. Ambos os procedimentos requerem que você contate as pessoas que lhe enviam e-mails e se assegure de que atualizem a chave; o software atual não é muito bom na automatização disso. Se você acha que não conseguirá administrar tudo, faça um lembrete para si próprio(a) ou considere a criação da chave de forma que nunca expire, embora, nesse caso, outras pessoas poderão tentar utilizá-la quando entrarem em contato com você no futuro, mesmo que você não tenha mais a chave privada ou não utilize mais a PGP.

      O Enigmail gerará a chave e, quando terminar, abrirá uma pequena janela pedindo que você gere uma certificado de revogação. É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privada inválidas. É importante observar que a mera exclusão da chave privada não invalida a chave pública, e consequentemente as pessoas poderão lhe enviar mensagens criptografadas que você não conseguirá decriptar.

      Primeiramente, você será solicitado(a) a fornecer a passphrase que utilizou quando criou a chave do PGP. Clique no botão “OK”.

      Uma janela abrirá para fornecer a você um local para salvar o certificado de revogação. Enquanto você pode salvar o arquivo para o seu computador nós recomendamos que você salve o arquivo em um drive USB que você não esteja utilizando para nada além, e guarde o drive em um local seguro. Também recomendamos que remova o certificado de revogação do computador com as chaves, a fim de evitar uma revogação não intencional. Melhor ainda, salve esse arquivo em um disco encriptado. Escolha a localização onde você salvará o arquivo e clique no botão “Save”.

      Agora o Enigmail lhe dará novamente informações adicionais sobre como salvar o certificado de revogação. Clique no botão “OK”.

      Finalmente, suas chaves pública e privada estarão criadas. Clique no botão “Done”.

      Passos de configuração opcional Anchor link

      Mostrar Digitais e Validade da Chave

      Os próximos passos são completamente opcionais mas podem ser úteis quando você utiliza OpenPGP e Enigmail. Resumidamente, a Chave ID é uma pequena parte da impressão digital. Quando a questão é verificar se uma chave pública pertence a uma pessoa em particular, a impressão digital é a melhor maneira. Mudar a exibição padrão torna mais fácil ler as impressões digitais dos certificados que você conhece. Clique no botão configuration, e então na opção Enigmail, e em seguida em Key Management.

      Uma janela será aberta mostrando duas colunas: Nome e ID da Chave

      Na extremidade da direita há um pequeno botão. Clique nesse botão para configurar as colunas. Clique para desmarcar a opção ID da chave e clique na opção Digital.

      Agora haverá três colunas: Name, Key Validity e Fingerprint.

      Encontrando outras pessoas que estão utilizando PGP Anchor link

      Obtendo uma chave pública por e-mail

      Você pode obter uma chave pública enviada a você como um anexo de email. Clique no botão “Import Key”.

      Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

      Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

      Se você recarregar o email original você verá que a barra sobre o email mudou.

      Se você abrir a janela com a chave de gerenciamento do Enigmail novamente, você poderá checar o resultado. Sua chave PGP estará em negrito porque você possui tanto a chave privada quanto a pública. A chave pública que você acabou de importar não está em negrito porque você não contém a chave privada.

      Obtendo uma chave pública como um arquivo

      É possível que você obtenha uma chave pública fazendo download da chave em um site, ou alguém pode tê-la enviado através de um software de bate-papo. Neste caso, consideremos que você tenha feito download do arquivo para a pasta Downloads.

      Abra o Gerenciador de Chaves (Key Manager) do Enigmail.

      Clique no menu “File”. Selecione “Import Keys from File”.

      Selecione a chave pública. Ela deverá ter diferentes nomes finais de arquivo como .asc, .pgp ou .gpg. Clique no botão “Open”.

      Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

      A new window will open with the results of the import. Click the “OK” button.

      Obtendo uma Chave Pública a partir de uma URL

      É possível obter uma chave pública baixando-a diretamente de uma URL

      Abra o Gerenciador de Chaves do Enigmail e clique no menu “Editar”. Selecione “Import Keys from URL”.

      Insira a URL. A URL pode ter diversos formatos. Na maioria das vezes é provavelmente um nome de domínio terminando em um arquivo.

      Uma vez que você tiver a URL correta, clique no botão “OK”.

      Uma janela pequena abrirá pedindo para você confirmar a importação da chave PGP. Clique no botão “Yes”.

      Uma nova janela abrirá com os resultados da importação. Clique no botão “OK”.

      Se você olhar em https://www.eff.org/about/staff você verá um link “PGP Key” abaixo das fotos dos funcionários. A chave PGP do Danny O’Brien, por exemplo, pode ser encontrada em: https://eff.org/files/pubkeydanny.txt.

      Obtendo uma chave pública a partir de um servidor de chaves

      Servidores de chave podem ser uma maneira útil de obter uma chave pública. Tente procurar uma chave pública.

      Na interface Key Management clique no menu “Keyserver” e selecione “Search for Keys”.

      Uma janela pequena abrirá com um campo de pesquisa. Você pode pesquisar por um endereço completo de email, um endereço parcial de email, ou um nome. Neste caso, você selecionará as chaves contendo samir@samirnassar.com. Clique no botão “OK”.

      Uma janela maior aparecerá com muitas opções. Se você descer você notará que algumas chaves são itálicas ou cinzentas. Essas são chaves que foram ou revogadas ou expiraram por conta própria.

      Nós temos diversas chaves PGP para Samir Nassar e ainda não sabemos qual delas escolher. Uma das chaves está em itálico cinza, o que significa que foi revogada. Uma vez que ainda não sabemos qual delas queremos, importaremos todas elas. Selecione as chaves clicando na caixa na esquerda e então aperte o botão “OK”.

      Uma janela pequena de notificação aparecerá informando se você teve sucesso. Clique no botão “OK”.

      O Gerenciador de Chaves do Enigmail mostrará agora as chaves adicionadas:

      Note que das três chaves importadas, uma expirou, outra foi revogada, e uma é atualmente uma chave válida:

      Permitindo que outras pessoas saibam que você usa o PGP Anchor link

      Agora que você tem o PGP, você quererá que outras pessoas saibam que você está usando para que elas também possam enviar a você mensagens encriptadas usando o PGP.

      Utilizar o PGP não encripta completamente o seu email de forma que o remetente e a informação recebida estejam criptografadas. Encriptar as informações de rementente e destinatário quebrariam o email. Utilizar o Thunderbird com o add-on Enigmail fornece a você uma forma fácil de encriptar e decriptar o conteúdo do seu email.

      Vejamos três formas diferentes de informar às pessoas que você está utilizando o PGP.

      Informe às pessoas que você está usando o PGP com um email

      Você pode facilmente enviar por email sua chave pública para outra pessoa enviando a ela uma cópia como anexo.

      Clique no botão “Write” no Mozilla Thunderbird.

      Insira um endereço e um assunto, talvez algo como “minha chave pública”, e clique no botão “Attach My Public Key”. Se você já tiver importado uma chave PGP para a pessoa para a quail você está enviando a chave PGP, o ícone de cadeado na barra do Enigmail ficará em destaque. Como opção adicional, você também pode clicar no ícone de Lápis para assinar o email, dando ao destinatário uma forma de verificar a autenticidade do email depois.

      Uma janela aparecerá perguntando se você esqueceu de adicionar um anexo. Trata-se de um bug na interação entre o Enigmail e o Mozilla Thunderbird, mas não se preocupe. Sua chave pública será anexada. Clique no botão “No, Send Now”. Veja abaixo sua prova.

      Informe às pessoas que você está utilizando PGP pelo seu website

      Além de deixar as pessoas sabendo por email, você pode postar sua chave pública em seu website. A forma mais simples é subir o arquivo e incorporá-lo ao site. Este guia não ensinará a fazer isso, mas você deve saber como exportar uma chave como arquivo para uso futuro.

      Clique no botão de configuração, e depois na opção Enigmail, e em seguida em Key Management.

      Selecione a chave em negrito, e depois clique com o botão direito para abrir o menu e selecionar “Export keys to file”.

      Anchor link

      Uma janela pequena aparecerá com três botões. Clique no botão “Export Public Keys Only”.

      Agora uma janela abrirá para que você possa salvar o arquivo. Para encontrá-lo com facilidade no futuro, salve o arquivo na pasta de Documentos. Você poderá usar o arquivo conforme desejar.

      Certifique-se de não clicar no botão “Export Secret Keys”, porque exportar a chave secreta pode permitir que outras pessoas se passem por você caso sejam capazes de adivinhar sua senha.

      Subindo para um servidor de chaves (keyserver)

      Servidores de chave facilitam a pesquisa e o download de chaves públicas de outras pessoas. Os servidores de chave mais modernos são sincronizáveis, o que significa que uma chave pública subida para um servidor eventualmente atingirá todos os servidores.

      Embora subir sua chave pública para um servidor de chaves possa ser uma forma conveniente de informar às pessoas que você possui certificado PGP, você deve saber que, devido à natureza de como os servidores de chave trabalham, não há forma de deletar chaves públicas uma vez que são subidas.

      Antes de subir sua chave pública para um servidor, é bom refletir se você deseja que todo o planeta saiba que você tem um certificado público, sem ter a habilidade de remover essa informação posteriormente.

      Se você escolher subir sua chave pública para servidores de chave, você retornará para a janela de Gerenciamento de Chaves (Key Management) do Enigmail.

      Clique com o botão direito na sua chave PGP e selecione a opção “Upload Public Keys to Keyserver”.

      Enviando e-mail com criptografia PGP Anchor link

      Agora você enviará seu primeiro email encriptado a um destinatário.

      Na janela principal do Mozilla Thunderbird, clique no botão “Write”. Uma nova janela abrirá.

      Escreva sua mensagem e digite um destinatário. Para este teste, selecione um destinatário de quem você já tenha a chave pública. O Enigmail detectará e criptografará automaticamente o e-mail.

      A linha de assunto não será criptografada, então selecione algo inofensivo como “olá”.

      O corpo do email foi encriptado e transformado. Por exemplo, o texto acima será transformado em algo assim:

      Recebendo um e-mail com criptografia PGP Anchor link

      Vejamos o que acontece quando você recebe um email encriptado.

      Note que o Mozilla Thunderbird deixa você saber que você tem um novo email. Clique na mensagem.

      Uma janela pequena abre pedindo a senha para a chave PGP. Lembre-se: Não insira sua senha de email. Clique no botão “OK”.

      Agora, a mensagem será exibida decriptada.

      Revogando a chave PGP Anchor link

      Revogando a sua Chave PGP através da interface do Enigmail

      A chave PGP gerada pelo Enigmail expira automaticamente após cinco anos. Então, se perder todos os seus arquivos, você pode esperar que as pessoas lhe peçam outra chave assim que a anterior expirar.

      Você pode ter boas razões para desativar a chave PGP antes que ela expire. Talvez queira gerar uma chave PGP nova e mais forte . A maneira mais fácil de revogar a sua própria chave PGP no Enigmail é pelo Gerenciador de Chaves do Enigmail.

      Clique com o botão direito na sua chave PGP, está em negrito, e selecione a opção “Revoke Key”.

      Uma janela abrirá informando o que acontece e pedindo sua confirmação. Clique no botão “Revoke Key”.

      A janela da senha abre. Insira sua senha para a chave PGP e clique no botão “OK”.

      Agora, uma nova janela indicando que a operação foi bem sucedida se abrirá. Clique no botão “OK”.

      Quando você retornar para a janela do Gerenciador de Chaves do Enigmail notará uma alteração na sua chave PGP. Ela estará acinzentada e em itálico.

      Revogando uma chave PGP com um certificado de revogação

      Conforme anteriormente mencionado, você deve ter uma boa razão para desabilitar a chave PGP antes que ela expire. Similarmente, outras pessoas têm boas razões para revogar uma chave existente. Na sessão anterior você deve ter notado que o Enigmail gera e importa um certificado de revogação internamente quanto você usa o Gerenciador de Chaves do Enigmail para revogar uma chave.

      Você pode receber um certificado de revogação de amigos como um aviso de que eles querem revogar suas chaves. Uma vez que você já tem um certificado de revogação, você pode utilizá-lo para revogar sua própria chave.

      Comece com o Gerenciador de Chaves do Enigmail, clique em “File” e selecione “Import Keys from File”.

      Uma janela abrirá para você selecionar o certificado de revogação. Clique no arquivo, e clique no botão “Open”.

      Você receberá uma notificação de que o certificado foi importado com sucesso, e que uma chave foi revogada. Clique no botão “OK”.

      Quando você retornar à janela de Gerenciamento de Chaves do Enigmail, você perceberá uma mudança na sua chave PGP. Ela estará acinzentada e em itálico.

      Agora que você possui todas as ferramentas adequadas, tente enviar seu próprio email encriptado PGP.

      Last reviewed: 
      2016-08-12
      A versão em Inglês pode estar mais atualizada.
    5. Como utilizar o KeePassX

      O KeePassX é um cofre de senhas, isto é, um programa que você pode utilizar para armazenar todas as suas senhas de diversos websites e serviços. Um cofre de senhas é uma ótima ferramenta, pois ele permite utilizar senhas distintas, difíceis de descobrir, em todos os seus serviços, sem que seja preciso memorizá-las. Em vez disso, é preciso memorizar apenas uma senha mestra, que lhe permite decriptar um banco de dados que contém todas as suas senhas. Os cofres de senhas são convenientes e permitem que você organize todas as suas senhas em um só local.

      Observe que ao utilizar um cofre de senhas cria-se um único ponto de vulnerabilidade que representa um alvo óbvio para os oponentes e pessoas mal intencionadas. As pesquisas têm sugerido que muitos cofres de senhas de uso comum têm vulnerabilidades, portanto, tenha cuidado ao determinar se essa ferramenta é ou não adequada para você.

      Como funciona o KeePassX Anchor link

      O KeePassX funciona com arquivos denominados bancos de dados de senhas, que são exatamente o que seu nome diz: arquivos que armazenam um banco de dados de todas as suas senhas. Esses bancos de dados são criptografados quando são armazenados no disco rígido do seu computador, de modo que se seu computador está desligado e alguém o rouba, este alguém não conseguirá obter as suas senhas.

      Os bancos de dados de senhas podem ser criptografados por meio de três métodos: utilizando-se uma senha mestre, um arquivo de chaves, ou ambos. Vejamos os prós e os contras de cada um deles.

      Utilizando uma senha mestre Anchor link

      Uma senha mestra atua como uma chave e, portanto, você precisa da senha mestra correta para abrir o banco de dados de senhas. Sem ela, ninguém pode acessar o que está no banco de dados. Há algumas coisas que se deve ter em mente quando utilizar uma senha mestre para proteger o seu banco de dados.

      • Essa senha irá descriptografar todas as suas senhas e, portanto, ela deve ser forte! Isso significa que ela não deve ser algo fácil de descobrir, e também deve ser bastante longa - quanto maior, melhor! Quanto mais longa ela for, menos você precisará se preocupar em ter caracteres especiais, capitalizações ou numerais. Uma senha que seja composta apenas de seis palavras aleatórias (com todas as letras em minúsculo e com espaços entre elas) pode ser mais difícil de quebrar do que uma senha de 12 caracteres composta de letras maiúsculas e minúsculas, números e símbolos.
      • Você deve conseguir memorizar essa senha! Uma vez que essa senha permite o acesso a todas as suas outras senhas, você precisa garantir que conseguirá lembrar-se dela sem precisar anotá-la em algum lugar. Essa é outra razão para utilizar algo como o “Diceware”. Você pode utilizar palavras comuns que são fáceis de lembrar, em vez de tentar lembrar combinações complexas de símbolos e letras maiúsculas.

      Utilizando um arquivo de chaves Anchor link

      Como alternativa, você pode utilizar um arquivo de chaves para criptografar o seu banco de dados de senhas. Um arquivo de chaves atua da mesma maneira que uma senha. Cada vez que precisar decriptar o seu banco de dados de senhas você deverá fornecer esse arquivo para o KeePassX. Um arquivo de chaves precisa ser armazenado em um pendrive USB ou em alguma outra mídia portátil, e ser inserida no seu computador apenas quando você quiser abrir o seu banco de dados de senhas. O benefício disso é que, mesmo se alguém tiver acesso ao disco rígido do seu computador (e portanto ao seu banco de dados de senhas), ele não poderá decriptá-lo sem o arquivo de chaves armazenado na mídia externa. (Além disso, pode ser muito mais difícil para um oponente adivinhar um arquivo de chaves do que uma simples senha). A desvantagem é que a qualquer momento que queira acessar o seu banco de dados de senhas, você precisa estar com essa mídia externa (e se perdê-la ou danificá-la, não poderá abrir o seu banco de dados de senha).

      Utilizar um arquivo de chaves ao invés de uma senha, é o que mais se aproxima de ter uma verdadeira chave física para abrir o seu banco de dados de senhas. Tudo que precisa fazer é inserir o seu pendrive USB, selecionar o arquivo de chaves, e pronto! Porém, se optar pela utilização de um arquivo de chaves em vez de uma senha mestre, certifique-se de que seu pendrive USB esteja guardado em algum lugar bem seguro, pois se alguém encontrá-lo poderá abrir o seu banco de dados de senhas.

      Utilizando ambos Anchor link

      O método mais seguro para criptografar o banco de dados de senhas é utilizar uma senha mestre e um arquivo de chaves. Assim, a única possibilidade para decriptar o seu banco de dados de senhas depende do que você sabe (sua senha mestre) e o que você tem (seu arquivo de chaves). Qualquer entidade maliciosa que queira obter o acesso às suas senhas precisará ter ambos. (Nesse contexto, tenha em mente o seu modelo de ameaça. Para a maioria dos usuários domésticos que queiram apenas armazenar suas senhas, uma senha mestra forte deve ser  o bastante. Mas se você está preocupado com a proteção contra agentes no âmbito estatal com acesso a grande poder de processamento, então, quanto mais segurança melhor).

      Agora que você entendeu como o KeePassX funciona, vamos começar realmente a utilizá-lo!

      Os primeiros passos com o KeePassX Anchor link

      Após instalar o KeePassX, inicie-o. Assim que iniciar, selecione no menu Arquivo a opção “Novo Banco de Dados”. Aparecerá um diálogo pop-up pedindo que você digite uma senha mestra e/ou utilize um arquivo de chaves. Selecione a(s) caixa(s) de verificação correspondente(s) conforme a sua escolha. Observe que se você quiser visualizar a senha que está digitando (ao invés de ocultá-la com pontos) você pode clicar no botão que contém a figura de um “olho” à direita. Observe também que você pode utilizar qualquer arquivo existente como um arquivo de chaves - você pode, por exemplo, utilizar uma imagem de seu gato como um arquivo de chaves. Você só precisa ter certeza de nunca alterar o arquivo que escolher, pois se seu conteúdo for alterado, ele não vai mais funcionar para descriptografar o seu banco de dados de senhas. Também esteja ciente de que, às vezes, abrir um arquivo em outro programa pode ser o suficiente para modificá-lo; a prática recomendada é não abrir o arquivo, exceto para desbloquear o KeePassX. (No entanto, é seguro mover ou renomear o arquivo de chaves).

      Assim que tiver iniciado com sucesso o banco de dados de senhas, você deve salvá-lo, selecionando "Salvar banco de dados" no menu Arquivo. (Observe que depois, caso queira, você pode mover o arquivo do banco de dados de senhas para qualquer lugar no seu disco rígido, ou transferi-lo para outros computadores, e ainda assim conseguirá abri-lo utilizando o KeePassX e a senha/arquivo de chaves anteriormente especificados).

      Organizando senhas Anchor link

      O KeePassX permite que você organize senhas em “Grupos”, que são basicamente pastas. Você pode criar, excluir ou editar Grupos e Subgrupos a partir do menu “Grupos” na barra de menus, ou clicar com o botão da direita do mouse em um Grupo no painel do lado esquerdo da janela do KeePassX. Agrupar senhas não afeta qualquer funcionalidade do KeePassX. Trata-se apenas de uma ferramenta útil para se organizar.

      Armazenando/gerando/editando senhas Anchor link

      Para criar uma nova senha ou armazenar uma senha que você já tem, clique com botão direito do mouse no Grupo no qual quer armazená-la e escolha a opção "Adicionar Nova Entrada" (você também pode selecionar "Entradas> Adicionar Nova Entrada" na barra de menus). Para uma senha básica, faça o seguinte:

      • Digite um título descritivo no campo "Título" que você possa utilizar para reconhecer esta senha.
      • Digite o nome de usuário no campo “Nome de usuário” associado a essa senha digitada. (Se não houver nome de usuário esse campo pode ficar em branco).
      • Digite sua senha no campo “Senha”. Se você estiver criando uma nova senha (ou seja, se estiver se inscrevendo para um novo site e quiser criar uma nova senha aleatória única), clique no botão "Ger" à direita. Aparecerá um diálogo pop-up de geração de senhas que você pode utilizar para gerar uma senha aleatória. Há várias opções nesta caixa de diálogo, incluindo que tipos de caracteres utilizar e de que compirmento deve ser a senha.
        • Note que se você gerar uma senha aleatória, não é necessário memorizar (nem mesmo saber!) que senha é essa! O KeePassX a armazena para você, e a qualquer momento que precise dela você poderá copiar/colar no programa apropriado. Este é o ponto central de um cofre de senhas. Você pode usar diferentes senhas aleatórias e longas para cada site/serviço, mesmo sem saber que senhas são estas!

          Por causa disso, você deve criar a senha no maior comprimento que o serviço permitir e utilizar-se de todos os diferentes tipos de caracteres possíveis.
        • Quando estiver satisfeito com as opções, clique em "Gerar" no canto inferior direito para gerar a senha, e depois clique em "OK". A senha aleatória gerada será automaticamente inserida para você nos campos "Password" e "Repetir". (Se você não estiver gerando uma senha aleatória, precisará digitar a sua senha escolhida novamente no campo "Repetir").
        • Por fim, clique em OK. Agora, a sua senha está armazenada no seu banco de dados de senhas. Para se assegurar de que as alterações foram salvas, certifique-se de salvar o banco de dados de senhas editado indo em "Arquivo> Salvar banco de dados". (Caso tenha cometido algum erro, como alternativa, você pode fechar e, em seguida, reabrir o arquivo de banco de dados e todas as alterações serão perdidas.)

      Caso precise alterar/editar a senha armazenada, você pode simplesmente escolher o grupo em que ela se encontra e, em seguida, clicar duas vezes no seu título no painel do lado direito e a caixa de diálogo pop-up de uma "Nova entrada" se abrirá novamente.

      Utilização normal Anchor link

      Para utilizar uma entrada do seu banco de dados de senhas, clique com o botão direito do mouse nesta entrada e selecione "Copiar o Nome do Usuário para a Área de Transferência" ou "Copiar a Senha para a Área de Transferência" e, em seguida, vá para a janela ou website onde quer digitar o seu nome de usuário/senha, e cole-os no campo apropriado. (Ao invés de clicar com o botão direito do mouse sobre a entrada, você pode clicar duas vezes sobre o nome de usuário ou senha desta entrada que você quer, e o nome de usuário ou senha será automaticamente copiado para a área de transferência).

      Utilização avançada Anchor link

      Um dos elementos mais úteis do KeePassX é que ele pode digitar automaticamente os nomes de usuários e as senhas em outros programas quando você pressiona uma combinação especial de teclas. Observe que, embora esse elemento só esteja disponível no Linux, outros cofres de senhas como o KeePass (no qual se baseou o KeePassX) suportam esta funcionalidade em outros sistemas operacionais e funcionam de forma similar.

      Para habilitar este recurso, faça o seguinte:

      1. Escolha o seu atalho global. Selecione "Configurações" no menu "Extras" e, em seguida, selecione "Avançado" no painel do lado esquerdo. Clique dentro do campo "Atalho Global de Preenchimento Automático" e pressione a combinação de teclas de atalho que você deseja utilizar. (Por exemplo, pressione e segure as teclas Ctrl, Alt e Shift, e depois clique em "p". Você pode usar qualquer combinação de teclas de sua preferência, mas assegure-se de que esta combinação não entre em conflito com os atalhos de outros aplicativos. Desta forma,evite coisas como Ctrl + X ou Alt + F4.) Quando estiver satisfeito, clique em “OK”.

      2. Configure o preenchimento automático para uma determinada senha. Verifique se você está com a janela aberta onde gostaria de digitar a senha. Então, vá para o KeePassX, encontre a entrada onde quer habilitar o preenchimento automático, e clique duas vezes no título da entrada para abrir o diálogo pop-up de “Nova Entrada”.

      3. Clique no botão “Ferramentas” na parte inferior à esquerda e selecione “Preenchimento Automático: selecionar a janela de destino”. No diálogo pop-up que aparecerá, expanda a caixa de seleção e selecione o título da janela onde você quer que o nome de usuário e a senha sejam inseridos. Clique em OK e, em seguida, clique novamente em OK.

      Faça um teste! Agora, para fazer o preenchimento automático do seu nome de usuário e senha, vá para a janela/website onde quer que o KeePassX execute a função para você. Verifique se o cursor se encontra na caixa de texto do nome de usuário e, em seguida, acione a combinação de teclas que escolheu anteriormente como atalho global. Enquanto o KeePassX estiver aberto (mesmo que esteja minimizado ou em janela inativa) seu nome de usuário e senha devem ser preenchidos automaticamente.

      Observe que dependendo de como a janela/website esteja configurada, este elemento pode não funcionar de maneira 100% correta logo de cara. (É possível que seja preenchido somente o nome de usuário e a senha não, por exemplo). Você pode resolver problemas e personalizar esse elemento, mas para obter mais informações recomendamos que procure na documentação do KeePass aqui. (Apesar de existirem algumas diferenças entre o KeePass e o KeePassX, essa página deve ser suficiente para orientá-lo corretamente).

      É recomendável que você utilize uma combinação de teclas que seja difícil de ser acionada acidentalmente. Você não gostaria de colar acidentalmente a senha da sua conta bancária em uma postagem do Facebook!

      Outros recursos Anchor link

      Você pode pesquisar em seu banco de dados digitando algo na caixa de pesquisa (caixa de texto na barra de ferramentas da janela principal do KeePassX) e pressionando a tecla Enter.

      Você pode também ordenar as entradas clicando no cabeçalho da coluna na janela principal.

      Você pode também "bloquear" o KeePassX selecionando "Arquivo> Bloquear a Área de Trabalho", de modo que possa deixar o KeePassX aberto. Porém, ele solicitará a senha mestre (e/ou o arquivo de chaves) para você poder acessar novamente o seu banco de dados de senhas. Você também pode fazer com que o KeePassX seja bloqueado automaticamente após um determinado período de inatividade. Isso pode impedir alguém de acessar suas senhas caso você se afaste do seu computador. Para habilitar essa característica, selecione “Extras>Configurações” no menu e clique em opções de segurança. Marque então a caixa que diz “Bloquear o banco de dados após {número} segundos de inatividade”.

      O KeePassX pode também armazenar mais que apenas nomes de usuários e senhas. Você pode, por exemplo, criar entradas para armazenar coisas importantes como números de conta, chaves de produto, números de série ou qualquer outra coisa. Não é requisito que o dado que você coloca no campo “Senha” seja realmente uma senha. Pode ser qualquer coisa que você queira. Apenas digite a entrada que você quer armazenar no campo "Senha" no lugar da uma senha real (e deixe o campo "Nome de Usuário" em branco se não houver nenhum nome de usuário), e o KeePassX lembrará isso a você de maneira segura.

      O KeePassX é um software robusto, fácil de usar e nós recomendamos explorar o programa para descobrirtodas as coisas úteis que ele pode fazer.

      Last reviewed: 
      2015-11-23
      A versão em Inglês pode estar mais atualizada.
    JavaScript license information