Criptografia O e-mail, recurso mais usado na Internet, é prático e rápido. Mas não é seguro. Ao enviar uma mensagem, você se conecta a um servidor SMTP, que a retransmite entre vários roteadores, até ficar armazenada num provedor, esperando que o destinatário se conecte e leia. Em qualquer ponte deste trajeto, o administrador de sistemas ( ou um hacker, se o sistema não for suficientemente seguro ) pode bisbilhotar ou até mesmo alterar o conteúdo da mensagem. Se alguém conseguir descobrir sua senha de acesso, também pode ler o e-mail no seu provedor antes de você. Por fim, qualquer pessoa pode enviar uma mensagem de outra, bastando configurar a identidade no programa de e-mail. Mas existe um método para obter uma transmissão de dados realmente segura, onde apenas o receptor da mensagem poderá lê-la, e ainda terá como saber se o transmissor é realmente quem diz ser e se a mensagem foi alterada no caminho. Este método chama-se criptografia ou encriptação de dados. O programa de criptografia mais famoso é o PGP ( Pretty Good Privacy - Ótima Privacidade ). É também um dos programas mais polêmicos da Internet. O seu autor, Phil Zimmermann, sofreu uma série de investigações por parte do FBI e teve de recorrer a grupos de apoio que se formaram na Internet para conseguir pagar seus advogados. O uso do programa chegou a ser proibido durante dois anos nos EUA, por infringir a patente do algoritmo RSA. Hoje, porém, o PGP é totalmente legal e não há nenhuma restrição ao seu uso. Chave Privada e Chave Pública Antes de entrar no funcionamento do PGP, preciso explicar alguns conceitos. São eles:
Onde encontrar o PGP O primeiro passo é fazer o download da versão internacional do PGP. Quem utiliza o Windows 98 ou NT deve fazer o download da versão 32 bits do PGP no endereço ftp://ftp.ifi.uio.no/pub/pgp/pc/windows/pgp263i-win32.zip . O PGP pode ser usado em português, mas, para isso é necessário baixar o arquivo ftp://ftp.ifi.uio.no/pub/pgp/lang/pgp/236i-brazilian.zip . Existe um mirror do PGP internacional no Brasil, no endereço ftp://ftp.unicamp.br/pub/mail/security/pgpp . Usando o Winzip ou Pkzip, extraia o PGP236I-win32.zip para um diretório ou pasta que você previamente criou, por exemplo c:\pgp236i. Feito isso, verifique que no diretório surgiu o arquivo PGP236ii.zip. Para utilizar a versão em português, descomprima o pgp234i-brazilian.zip no mesmo diretório sobrescrevendo os arquivos que estiverem lá. Através do Notepad ( Bloco de Notas ), edite o arquivo config.txt, modificando a linha Language=en para Language=br. Agora o PGP passará a operar em português. O próximo passo é modificar o Autoexec.bat. Com o Notepad ou o Sysedit, abra o arquivo autoexec.bat, no diretório raiz de seu micro ( C:\ ), e acrescente as seguintes linhas: . set
PGPPATH=c:\pgp236i Não esqueça de salvar as alterações. Por fim, reinicie o computador para que as mudanças feitas tenham efeito. Instalação de uma interface gráfica Como deu para perceber, o PGP é um software DOS, sem interface gráfica ( mesmo na versão 32 bits ). Mas existem vários programas que servem como font-end do PGP. Um deles é o PGPn123, um aplicativo shareware ( o registro custa US$ 15 para uso pessoal ) que cria uma barra de ferramentas que permite o acesso simplificado à maioria dos recursos do PGP. Faça o download do PGPn123 no endereço http://www.rof.net/yp/alphaone . Extraia o PN123E18.zip no diretório, previamente criado, c:\pgpn123e. Execute o programa pgp_n123.exe. A primeira vez que for acionado, ele irá criar um grupo de programa ( ou um atalho no menu iniciar ) com o nome Enhanced PGPn123. Nesse grupo, haverá dois programas, o Enhanced PGPn123 e o PGPn123 Key Ops, além do arquivo de ajuda on-line. Criando um par de chaves Vamos agora criar o seu par de chaves pública e privada. Execute o PGPn123 Key Ops. Escolha a opção create key pairs. Clique em procced. O programa irá abrir uma janela DOS com as opções do tamanho da chave de encriptação. A primeira pergunta que você precisa responder é o tamanho da chave que deseja utilizar. Quanto maior for a chave, maior é a segurança dos dados encriptados, mas o tempo para encriptar suas mensagens também é maior. Caso você tenha um Pentium, utilize 1.024 bits. O próximo passo é escolher um identificador para o usuário. Utilize o seu nome e o e-mail entre chaves ( '' ). Por exemplo, José dos Santos. Escolha uma frase-senha para proteger sua chave pública. O nome frase-senha vem do fato de que você não está limitado a uma única palavra com senha. Recomenda-se o uso de uma frase que seja fácil de lembrar, mas que não contenha nenhuma informação pessoal ( nome, telefone, endereço, placa do carro, etc. ). O PGP pedirá depois para você confirmar a frase-senha. Para criar as chaves pública e privada, o PGP precisa de uma seqüencia numérica realmente aleatória. Algoritmos de geração de números aleatórios são previsíveis e comprometem a segurança das chaves. A solução encontrada foi pedir ao usuário que digite um certo número de teclas, e medir o intervalo de tempo entre os toques. Este intervalo ( medido em milisegundos ) é realmente imprevisível. Assim, o PGP pede que você digite um texto qualquer até ouvir um bip. A partir daí, o programa cria o par de chaves e as armazena no molho de chaves públicas e privadas ( os arquivos pubring.pgp e secring.pgp, no diretório c:\pgp236i. Note que a sua frase-senha não é a sua chave privada. Ela é apenas a senha com a qual o PGP encripta a chave privada, que foi gerada pelo intervalo da seqüencia de teclas digitadas por você. Feito isso, a chave pública já irá aparecer na lista de chaves públicas disponíveis do PGPn123. Para que alguém possa enviar mensagens encriptadas para você, é necessário que esta pessoa tenha uma cópia de sua chave pública. Para tirar a cópia, utilize a opção Extract Public Key. Irá aparecer uma janela com um texto que começa por -BEGIN PGP PUBLIC KEY BLOCK- e termina por -END PGP PUBLIC KEY BLOCK-. Clicando na opção Express, o texto é copiado para o clipboard e pode ser "colado" em qualquer aplicação Windows ( o Notepad ou um programa de e-mail por exemplo ). Transmita este texto para quem irá mandar um e-mail encriptado por você. Como guardar as chaves públicas de meus amigos Vamos agora adicionar a chave pública de alguém a quem você quer enviar uma mensagem. Abra o arquivo que contém a chave pública pelo Notepad, selecione todo o texto e copie para o clipboard ( opção editar/copiar ). No PGPn123 Key Ops, escolha a opção add public key. O programa irá perguntar se você deseja autenticar esta chave. Caso você tenha certeza absoluta de que esta chave pública pertence à pessoa identificada, poderá autenticar a chave. Todas as vezes que você for encriptar uma mensagem usando esta chave pública, o PGP irá pedir uma confirmação, pois a chave não é autenticada. Enviando sua primeira mensagem encriptada Agora você está pronto para enviar uma mensagem encriptada. Escreva-a em seu programa de e-mail preferido. Coloque como destinatário "foxbeto@hotmail.com" por exemplo. Selecione a mensagem com o mouse e recorte-a ( menu edit/cut ou ctrl-X ). Chame o programa Enhanced PGPn123. O Enhanced PGPn123 exibe uma janela com alguns modos de operação disponíveis. Usaremos o modo Clipboard, pois é compatível com qualquer programa de e-mail. Os usuários do Eudora, Pegasus ou Agent poderão utilizar os modos dedicados a estes programas. Quando aparecer a barra de ferramentas do PGPn123, clique no terceiro botão. Esta é a opção para encriptar o texto que já está no clipboard. O PGPn123 irá mostrar uma tela com as chaves públicas que já estão no seu sistema. Escolha a chave que desejar e clique em OK. O programa avisa que a mensagem só poderá ser lida pelo destinatário. Clique em OK. O PGPn123 irá chamar o PGP em uma janela DOS para fazer a encriptação. O PGP pergunta então se você quer usar esta chave pública, uma vez que a mesma não foi autenticada. O PGPn123 mostrará então numa janela o texto encriptado. Clique na opção Express, que irá copiar todo o conteúdo da janela para o clipboard. volte para o e-mail que você estava escrevendo. Clique na opção paste do menu edit ( ou digite ctrl-V ). A mensagem que você escreveu originalmente agora só poderá ser lida pelo destinatário ( nem o provedor, nem um invasor, nem mesmo você poderá lê-la novamente ). Como desencriptar mensagens Para desencriptar uma mensagem que foi encriptada com a sua chave pública, o processo é bastante simples: selecione toda a mensagem ( o texto deve começar por --BEGIN PGP PUBLIC KEY BLOCK-- e terminar por --END PGP PUBLIC KEY BLOCK-- ). Copie a mensagem para o clipboard ( digitando ctrl-C ). No PGPn123, clique no primeiro botão ( o ícone é um cadeado aberto ). O PGPn123 irá chamar o PGP numa janela DOS para desencriptar o texto. O PGP pedirá a sua frase-senha. Se esta estiver correta, o PGPn123 irá mostrar o texto desencriptado numa janela. Assinando sua mensagem Caso você queira apenas assinar o texto, permitindo que o seu conteúdo seja lido por qualquer pessoa, o processo é o seguinte: escreva o texto, selecione e copie para o clipboard. No PGPn123, clique no segundo ícone (o carimbo). O PGPn123 irá chamar o PGP, que irá pedir a sua frase-senha. Se esta estiver correta, o PGPn123 irá mostrar o texto assinado numa janela. Note que o texto original pode ser lido normalmente. O processo para conferir um texto assinado com PGP é o mesmo de desencriptar um texto, com a diferença que o PGP não irá pedir nenhuma senha. Porém, é necessário ter a chave pública de quem assinou. Se houver qualquer alteração no texto, nem que seja uma única letra, ou ainda se a chave privada que assinou a mensagem não corresponder à chave pública, o PGP indicará que a assinatura não confere. Para assinar e encriptar um texto, siga as mesmas instruções para encriptar o texto, mas marque a opção Sign message na tela em que você escolhe a chave pública do destinatário. Um texto assinado e encriptado só pode ser lido pelo destinatário, e só pode ter sido escrito pela pessoa que o assinou. Proteção de seus arquivos confidenciais Por fim, o PGP pode ser também utilizado para proteger seus arquivos pessoais ou confidenciais. No PGPn123, escolha a opção File Services ( terceiro ícone da direita para a esquerda ). O programa irá emitir alguns avisos pedindo para registrar a versão shareware. Após isso, serão exibidos os diretórios e arquivos do seu micro. Escolha um arquivo para ser encriptado e clique em Encript. Você pode escolher entre encriptação por chave pública ou chave privada. como não vamos transmitir o arquivo para ninguém, utilizaremos chave primária. Escolha a opção Conventional para o método de encriptação. Clique OK. O PGPn123 irá executar o PGP, que irá pedir uma nova frase-senha para proteger este arquivo. Digite e confirme esta frase. O PGP irá criar um arquivo com o mesmo nome do original, mas com extensão .pgp. Este arquivo só pode ser desencriptado por quem souber a frase-senha que você acabou de utilizar. Preste atenção: se você deseja enviar um arquivo confidencial anexado em um e-mail, não basta apenas encriptar a mensagem. É necessário encriptar o arquivo também. Para isso, siga as instruções de encriptação de arquivos confidenciais, mas escolha a opção de encriptação por chave pública ( Public Key na opção para o método de encriptação ) e utilize a chave pública de quem for receber o documento. Por fim, você deve distribuir a sua chave pública num servidor de chaves públicas PGP para facilitar a distribuição. O maior servidor de chaves públicas de PGP está em http://www-swiss.ai.mit.edu/~bal/keyserver.html . Segurança e aspectos legais do PGP Quão segura é uma mensagem encriptada por PGP ? Podemos afirmar que é muito segura. O PGP utiliza um algorítmo chamado RSA de encriptação por chave pública. Um ataque de força bruta ao RSA é impensável. Estima-se que uma rede de um milhão de computadores Pentium 133 Mhz levaria cerca de 25.000 anos para quebrar uma única chave de 1.024 bits. Quem quiser saber mais detalhes sobre a segurança do PGP e outras formas de ataque, leia a documentação ou acesse o endereço abaixo que fala a respeito do PGP que é: http://axion.physics.ubc.ca/pgp-attack.html . Por fim, vamos ver as questões legais no uso do PGP. Programas que utilizam encriptação com chaves maiores de 40 bits não podem ser exportados para fora dos EUA. E o PGP foi desenvolvido originalmente nos EUA. Além disso, a versão original do PGP infringia as patentes do algorítmo RSA. Podemos então usar o PGP ? A resposta é sim. O PGP possui duas versões, a americana e a internacional. A versão internacional foi desenvolvida fora dos EUA, onde as leis de exportação de programas com criptografia não se aplicam. Nos EUA, a versão freeware do PGP foi reescrita para utilizar uma biblioteca pública da RSA (a RSAREF), e a versão comercial (o PGPMail) possui uma licença do algorítmo RSA. A versão internacional utiliza a implementação do RSA original escrita por Phill Zimmermann, porém a patente da RSA não é válida fora dos EUA. Quem quiser saber mais detalhes sobre a legalidade do PGP, veja no site http://www.ifi.uio.no/pgp/FAQ.shtml e também no site abaixo: http://www.mantis.co.uk/pgp/pgp-legal.html. O Brasil ainda não possui nenhuma lei quanto ao uso de encriptação de dados. Portanto, programas, empresas ou indivíduos que a utilizem estão agindo legalmente. E recomenda-se que a encriptação seja utilizada mesmo. Já existe uma lei que, apesar de inconstitucional, permite o monitoramento e interceptação de mensagens eletrônicas para prova em investigação criminal (veja na Internet World de Novembro de 1996, página 76). A lei de exportação de programas que utilizam encriptação nos EUA já está sendo abolida e os programas estão passando a utilizar encriptação por default, sem que o usuário perceba. Mas, ainda, o PGP é uma opção de alto nível de segurança para seus dados, garantindo nossa privacidade contra hackers e crackers mal intencionados.
|
