Em 1991, Phil Zimmermann criou o Pretty Good Privacy ( PGP ), um programa criptográfico que, pela primeira vez, deu ao indivíduo médio uma criptografia de nível militar. Ao longo dos anos, o código-fonte do PGP foi lançado e um padrão aberto – Open ^(PGP)PGP – acabou por nascer. Isso abriu caminho para uma infinidade de produtos de código aberto que continuam a oferecer algumas das melhores criptografias disponíveis.

Quem deve usar o OpenPGP

Ao longo da história do PGP e da criptografia em geral, houve inúmeros críticos promovendo a teoria de que apenas aqueles com algo nefasto a esconder têm alguma razão para usar uma criptografia tão forte. De fato, logo após seu desenvolvimento inicial, Zimmermann se viu alvo de uma investigação do governo dos EUA^{(US Government)} quando o PGP encontrou seu caminho para fora dos EUA, violando as leis que proíbem a exportação de uma criptografia tão poderosa.

De fato, existem muitas razões pelas quais uma pessoa deve usar criptografia, especialmente no contexto da comunicação digital. Enquanto muitas pessoas pensam no email como algo relativamente privado e seguro, com poucas exceções, nada poderia estar mais longe da verdade.

O e- mail^(Email) é mais parecido com um cartão postal do que uma carta privada e selada. Assim^(Just) como um cartão-postal passa por vários depósitos, correios, caminhões de correio e mãos individuais - com sua mensagem fácil de ver - um e-mail viaja por uma infinidade de servidores individuais em rota do remetente ao destinatário final.

Ao longo do caminho, um operador de servidor sem escrúpulos poderia visualizar o conteúdo de tais e-mails, sem que o remetente ou destinatário soubesse que sua privacidade havia sido comprometida.

Embora isso seja pouco preocupante ao compartilhar um vídeo de bichinho fofo ou sua nova receita favorita, os riscos se tornam muito maiores quando são membros da família discutindo questões financeiras ou problemas de saúde, um executivo discutindo uma política corporativa interna, um programador compartilhando código-fonte com outro desenvolvedor, ou qualquer número de situações legítimas em que é importante poder comunicar e compartilhar informações, ou mesmo arquivos, de maneira segura e privada.

É exatamente esse tipo de situação que torna o OpenPGP uma ferramenta importante para qualquer pessoa preocupada com privacidade e segurança.

Como funciona

Em sua essência, o OpenPGP é um sistema de criptografia de chave pública. Esse tipo de criptografia usa um par de chaves pública/privada para criptografar e descriptografar dados. Com a criptografia de chave pública, uma vez que os dados são criptografados com uma chave pública, somente a chave privada correspondente pode descriptografá-los.

Quando você instala um cliente OpenPGP pela primeira vez , é solicitado que você crie um conjunto de pares de chaves e carregue sua chave pública para servidores de chaves, permitindo que as pessoas pesquisem por seu nome ou endereço de e-mail associado.

Além disso, o OpenPGP também ajuda os indivíduos a verificar a autenticidade e integridade de uma mensagem ou arquivo criptografado graças à assinatura digital incluída. Muitas empresas de software incluirão uma assinatura digital PGP junto com o instalador de seu software que os clientes podem verificar para verificar a integridade de um download e ajudar a garantir que ele não tenha sido adulterado ou comprometido para incluir código malicioso.

Como usá-lo

Apesar do valor do OpenPGP, a única coisa que impediu sua ampla adoção é a facilidade de uso. Como muitos aplicativos poderosos, sua barreira de entrada às vezes pode ser maior do que muitos usuários desejam lidar.

Embora haja uma infinidade de clientes OpenPGP - muito mais do que o escopo deste artigo pode cobrir - as etapas abaixo devem fornecer um guia geral para instalar e usar o OpenPGP .

Baixe um cliente

Ao fazer download de um cliente OpenPGP , a primeira opção é decidir se deseja fazer download do PGP comercial da Symantec^{(PGP from Symantec)} ou usar um dos clientes de código aberto gratuitos^{(free, open source clients)} disponíveis.

Geralmente, o aplicativo comercial oferece a experiência mais simplificada e polida, com opções para Mac , Windows e iOS, enquanto os clientes de código aberto adicionam suporte para Linux e Android , além de serem gratuitos.

Crie as Chaves

O próximo passo é criar suas chaves públicas/privadas. Ser-lhe-á pedido o seu nome e endereço de e-mail, bem como a palavra-passe que irá introduzir para encriptar e desencriptar os dados.

Embora existam algumas opções de algoritmos a serem usados para criar as chaves, para a maioria das pessoas, escolher o algoritmo RSA padrão para assinatura e criptografia é a melhor opção. Quanto maior a chave, mais forte a criptografia. No momento da publicação, as chaves de 2.048 bits foram fatoradas ou hackeadas, embora os recursos necessários estivessem muito além da aplicação prática, tornando uma chave de 2.048 bits ainda viável para necessidades de segurança moderadas.

Como uma chave de 4.096 bits é quase exponencialmente mais forte que a de 2.048 bits, uma chave de 4.096 bits é considerada impossível de ser hackeada no futuro próximo.

Carregar a chave

Depois que suas chaves forem criadas, a próxima etapa é fazer o upload de sua chave pública para que outras pessoas possam encontrá-la. Depois que sua chave for carregada, qualquer pessoa com um cliente OpenPGP poderá procurar sua chave com base em seu endereço de e-mail e usá-la para criptografar e-mails e arquivos que só você pode abrir.

Você também pode enviar sua chave pública por e-mail diretamente para indivíduos com quem se comunica regularmente, para que eles possam usá-la para criptografar arquivos e e-mails destinados a você.

Integre^(Integrate) com seu aplicativo de e-mail^{(Your Email Application)}

Como a criptografia de e-mail é um dos usos fundamentais da criptografia OpenPGP , a integração com o programa de e-mail de sua escolha é o próximo passo. Muitos pacotes — como o GPG Suite da GPGTools —^{(GPG Suite by GPGTools)} instalam automaticamente um plug-in para clientes de e-mail populares, incluindo Apple Mail , Microsoft Outlook ou Mozilla Thunderbird .

Ao enviar um e-mail para alguém cuja chave PGP você possui, seu software OpenPGP deve dar a opção de criptografar e/ou assinar o e-mail. Da mesma forma^(Likewise) , ao receber um e-mail que foi criptografado usando sua chave pública, o software solicitará que você descriptografe a mensagem.

Sem dúvida, a criptografia OpenPGP é uma ferramenta poderosa para consumidores e profissionais. Embora a curva de aprendizado possa ser um pouco mais íngreme do que muitas pessoas estão acostumadas, os benefícios valem a pena.

Seja um jornalista trabalhando em um ambiente perigoso, um empresário discutindo políticas internas confidenciais, desenvolvedores compartilhando código ou membros da família enviando e-mails com informações privadas, o OpenPGP oferece a seus usuários a tranquilidade que vem com criptografia de nível militar.

How to Use OpenPGP to Secure Email

In 1991, Phil Zimmermann created Рretty Good Privacy (PGP), a cryptographic program that, fоr the first time, gave the average individual near military-grade encryption. Over the years, PGP’s source code was released and an open standard—OpenРGP—was eventually born. This opened the way for a myriad of opеn source productѕ that continue to offer some of the bеst сryptography available.

Who Should Use OpenPGP

Throughout the history of PGP, and encryption in general, there have been countless critics promoting the theory that only those with something nefarious to hide have any reason to use such strong encryption. In fact, shortly after its initial development, Zimmermann found himself the target of an investigation by the US Government when PGP found its way outside the US, violating laws forbidding the export of such powerful encryption.

In point of fact, there are many reasons why a person should use encryption, especially in the context of digital communication. While many people think of email as something relatively private and secure, with few exceptions, nothing could be further from the truth.

Email is more akin to a postcard than a private, sealed letter. Just as a postcard makes its way through multiple depots, post offices, mail trucks and individual hands—with its message plain to see—an email travels through a myriad of individual servers en route from the sender to the ultimate recipient.

Along the way, an unscrupulous server operator could view the contents of such emails, with no way for the sender or recipient to know their privacy had been compromised.

While this is of little concern when sharing a cute pet video, or your favorite new recipe, the stakes become much higher when it’s family members discussing financial issues or health concerns, an executive discussing an internal corporate policy, a programmer sharing source code with another developer, or any number of legitimate situations where it’s important to be able to communicate and share information, or even files, in a secure and private manner.

It is just these kind of situations that makes OpenPGP an important tool for anyone concerned with privacy and security.

How It Works

At its core, OpenPGP is a public-key cryptography system. This kind of cryptography uses a public/private key-pair to encrypt and decrypt data. With public-key cryptography, once data is encrypted with a public key, only the corresponding private key can decrypt it.

When you first install an OpenPGP client, you’re prompted to create a key-pair set and upload your public key to key servers, allowing people to search for it by your name or associated email address.

In addition, OpenPGP also helps individuals to verify the authenticity and integrity of a message or encrypted file thanks to the included digital signature. Many software companies will include a PGP digital signature along with their software’s installer that customers can check to verify the integrity of a download, and help ensure it hasn’t been tampered with or compromised to include malicious code.

How to Use It

In spite of OpenPGP’s value, the one thing that has stymied its widespread adoption is ease-of-use. Like many powerful applications, its barrier-to-entry can sometimes be higher than many users want to deal with.

While there are a myriad of OpenPGP clients—far more than the scope of this article can cover—the steps below should provide a general guide to installing and using OpenPGP.

Download a Client

When downloading an OpenPGP client, the first choice is deciding whether to download the commercial PGP from Symantec, or use one of the free, open source clients available.

Generally, the commercial application offers the most streamlined and polished experience, with options for Mac, Windows and iOS, while the open source clients add support for Linux and Android, not to mention being free-of-charge.

Create the Keys

The next step is to create your public/private keys . You will be asked for your name and email address, as well as the password you will enter encrypting and decrypting data.

While there are a couple of choices of algorithms to use for creating the keys, for most individuals, choosing the default RSA algorithm for both signing and encrypting is the best option. The larger the key, the stronger the encryption. As of the time of publication, 2048-bit keys had been factored, or hacked, although the resources required were well beyond practical application, making a 2048-bit key still viable for moderate security needs.

Since a 4096-bit key is almost exponentially stronger than 2048-bit, a 4096-bit key is considered unhackable for the foreseeable future.

Upload the Key

Once your keys have been created, the next step is to upload your public key so other individuals can find it. Once your key is uploaded, anyone with a OpenPGP client will be able to search for your key based on your email address and use it to encrypt emails and files that only you can open.

You can also directly email your public key to individuals you regularly communicate with so they can use it to encrypt files and emails destined for you.

Integrate With Your Email Application

Since encrypting email is one of the fundamental uses for OpenPGP encryption, integration with your email program of choice is the next step. Many packages—such as GPG Suite by GPGTools—will automatically install a plugin for popular email clients, including Apple Mail, Microsoft Outlook or Mozilla Thunderbird.

When emailing someone whose PGP key you possess, your OpenPGP software should give the option to encrypt and/or sign the email. Likewise, when receiving an email that has been encrypted using your public key, the software will prompt you to decrypt the message.

Without a doubt, OpenPGP encryption is a powerful tool for consumers and professionals alike. Although the learning curve may be a little steeper than many people are accustomed to, the benefits are well worth it.

Whether a journalist working in a dangerous environment, a businessman discussing sensitive internal policy, developers sharing code or family members emailing each other private information, OpenPGP provides its users the peace-of-mind that comes with near military-grade encryption.

Simon Duarte

About the author

Sou desenvolvedor web com experiência em Firefox e Google Docs. Sou formado em administração de empresas pela Universidade da Flórida. Minhas habilidades incluem: desenvolvimento de sites, sistema de gerenciamento de conteúdo (CMS), análise de dados e design de interface de usuário. Sou um consultor experiente que pode ajudar sua equipe a criar sites e aplicativos eficazes.

Como usar o OpenPGP para proteger e-mail

Quem deve usar o OpenPGP

Como funciona