O que é OpenPGP?

openpgp

Sumário

Compartilhe este artigo:

O protocolo OpenPGP é um padrão para criptografia/assinatura de dados, amplamente utilizado na criptografia de emails. Ele também é uma das formas como o Mailfence oferece mais segurança aos seus usuários ao redor do mundo. Continue lendo para saber mais sobre o que é OpenPGOP e como ele funciona.

Preocupações com privacidade

Se você perguntar às pessoas hoje em dia se elas se preocupam com o uso dos seus dados de usuário pelo governo ou grandes empresas de tecnologia, a maioria delas dirá que sim.  De acordo com um estudo realizado pela European Union Agency For Fundamental Rights (2020), mais da metade dos usuários da internet temem que as informações que compartilham online possam ser usadas por criminosos.

Preocupações com privacidade na Europa
Preocupações com privacidade na Europa
Fonte: FRA

Os americanos também estão preocupados com isso. No entanto, eles acreditam que é impossível viver atualmente sem que seus dados sejam coletados pelo governo (63%) ou por grandes empresas (62%), de acordo com uma pesquisa realizada pela Pew Research (2019).

E obviamente, você está certo em se incomodar com a coleta indevida dos seus dados. No entanto, existem alguns recursos inteligentes que podem ajudar na recuperação da sua privacidade online.

O que é OpenPGP e como ele funciona?

Criptografia, assinaturas digitais, chaves públicas e privadas… Estes são conceitos e ferramentas sobre os quais a maioria das pessoas com acesso a internet já ouviu falar, mas ainda não entende totalmente. O problema é que as pessoas costumam se sentir intimidadas por coisas que não entendem.

Por este motivo, acreditamos que seja extremamente importante falar sobre estas ferramentas. A seguir explicamos o que é OpenPGP, como ele funciona e porque você deve utilizá-lo para proteger a sua privacidade de email.

Mas afinal, o que é PGP?

O PGP (do inglês Pretty Good Privacy) é um sistema de criptografia utilizado no envio de emails e arquivos. Ele foi criado e lançado em 1991 para proteger arquivos compartilhados em bulletin board systems (servidores que permitiam que usuários se conectassem antes da internet).

Originalmente, o PGP era totalmente gratuito. No entanto, após ser comprado pela Symantec, o sistema foi patenteado.

Foi por isso que Phill Zimmerman, autor do padrão PGP original, apresentou uma proposta open-source à Internet Engineering Task Force (IETF) em 1997. Assim surgiu o protocolo OpenPGP.

O protocolo OpenPGP é um padrão de criptografia que utiliza algoritmos simétricos e assimétricos. Ou seja, ele aproveita o que há de melhor nesses dois tipos de criptografia, dando mais segurança e privacidade ao usuário.

Como funciona a criptografia PGP?

A criptografia PGP é menos complicada do que parece. Aqui está um exemplo de como ela funciona:

  1. A pessoa A (remetente) quer enviar um email privado para o seu amigo, pessoa B (destinatário)
  2. A pessoa B precisa gerar um par de chaves criptográficas: uma pública e outra privada.
  3. Em seguida, a pessoa B compartilha a sua chave pública com a pessoa A.
  4. Com a chave pública enviada pela pessoa B, a pessoa A pode criptografar o conteúdo do email.
  5. Depois disso ela pode enviar o email criptografado para a pessoa B.
  6. Finalmente, ao receber o email, a pessoa B só precisa inserir a sua chave privada para descriptografar a mensagem. Nenhuma outra pessoa será capaz de acessar ou alterar os dados durante a sua transmissão.

Qual a diferença entre PGP, OpenPGP e GnuPG?

Como já mencionamos, a criptografia OpenPGP foi apresentado à IETF em 1997 pelo criador do PGP, Phil Zimmerman, como forma de evitar problemas relacionados ao patenteamento do sistema pela Symantec.

No entanto, existe ainda uma terceira parte nessa história: o GnuPG ou Gnu Privacy Guard (GPG).

Desenvolvido dois anos após o OpenPGP em 1999, o Gnu Privacy Guard foi concebido com base no padrão apresentado por Zimmerman à  IETF. Trata-se de uma alternativa gratuita ao PGP, que pode ser baixada, modificada e distribuída livremente para a criptografia de arquivos PGP e OpenPGP.

Em resumo: O original PGP foi lançado em 1991 e mais tarde comprado pela Symantec. O OpenPGP foi então apresentado e aprovado pela IETF em 1997 como uma alternativa gratuita. O GPG, por sua vez, foi lançado em 1999 com base no padrão OpenPGP.

Para que serve o PGP/OpenPGP?

Mas afinal, para que serve a criptografia OpenPGP?

  1. Criptografia/Descriptografia de emails e arquivos
  2. Assinatura/verificação de emails e arquivos 
  3. Assinatura/verificação de ações

O exemplo apresentado acima explica como protocolo OpenPGP é utilizado na criptografia de emails entre duas partes que desejam manter a sua correspondência privada.

Mas o OpenPGP também pode ser usado para verificar a identidade do remetente por meio de uma assinatura digital. Ela é essencialmente um hash do e-mail criptografado com uma chave privada OpenPGP. Essa assinatura pode então ser enviada por email.

Após receber a mensagem, o destinatário pode descriptografar a assinatura digital utilizando a chave pública do remetente. Além de confirmar a identidade do remetente, este método de criptografia PGP garante que a mensagem não possa ser alterada em trânsito.

Finalmente, outra possibilidade de uso para a criptografia PGP é a assinatura de ações, como estabelecer uma rede de confinaça, assinar confirmações no Github/Gitlab ou publicar um pacote upstream do Debian.

Prós e Contras

O protocolo OpenPGP definitivamente tem suas vantagens, porém ele não é perfeito. Aqui estão os principais prós e contras da criptografia OpenPGP:

Prós

  • É gratis para usar, baixar e modificar

Diferente do PGP, que pertence a Symantec, o OpenPGP é completamente gratuito e livre para uso.

  • É praticamente impossível de violar

O OpenPGP utiliza chaves de  4096 (cifra assimétrica) e 256 (cifra simétrica) bits. Estes são os tamanhos de chave considerados mais seguros por diversas entidades de padronização, incluindo a NIST.

  • Ele aumenta a sua segurança

O OpenPGP pode ser extremamente útil na criptografia de arquivos em repouso (em servidores), criando uma camada de proteção extra caso senhas e nomes de usuário sejam violados.

Contras

  • Não é anônimo

O OpenPGP é uma ferramenta de segurança e privacidade, mas não de anonimato. Ou seja, ele protege a privacidade das suas ações, mas não a sua identidade. Isso significa que tanto o remetente quanto o destinatário podem ter a sua identidade rastreada. Pelo menos, se não estiverem usando outros recursos de privacidade, como um VPN ou um servidor proxy.

  • Pode parecer complicado

Embora você se acostume com o tempo, para usuários iniciantes a criptografia PGP pode parecer bastante complicada e difícil de usar. Especialmente quando o assunto é a criação ou geração das chaves criptográficas. É por isso que a maioria das pessoas prefere contar com a sorte do que usar recursos de criptografia.

Felizmente, o Mailfence conseguiu deixar todo este processo mais simples e fácil. Nossos serviços permitem que você:

  • Gere e importe chaves públicas e privadas.
  • Comparilhe chaves públicas por email. Confira este artigo para saber como funciona.
  • Envie e receba email criptografados.

Vale lembrar que OpenPGP só funciona quando ambas as partes têm acesso a ele. Ou seja, tanto o remetente quanto o destinatário devem possuir um programa compatível para poder utilizá-lo com sucesso.

Mais uma vez, o Mailfence encontrou uma solução para esse problema: usar apenas criptografia simétrica quando um dos lados não suporta OpenPGP.

Você precisa do OpenPGP?

Agora que você sabe o que é OpenPGP, é hora de descobrir se você realmente precisa utiliza-lo. A resposta para esta pergunta não depende de quão complicada, ou cara é criptografia PGP.

Ao invés disso, você deve considerar o quão importante é a privacidade dos dados que você compartilha por email. Apesar de ser visto como morta por boa parte da mídia, a criptografia OpenPGP é cada vez mais utilizado por usuários que já perceberam os perigos do compartilhamento de dados via internet.

O Mailfence utiliza o protocolo OpenPGP para proteger emails de forma simples e descomplicada. Todas as nossas contas possuem um OpenPGP keystore integrado por padrão, o que permite que os usuários tenham controle total sobre as suas chaves criptográficas.

Além disso, o Mailfence oferece um pacote de email seguro e privado, que inclui calendário, agenda, um serviço de gerenciamento de grupos e contatos, uma ferramenta de bate-papo e uma plataforma de armazenamento de até 500MB para arquivos e documentos. Tudo isso protegido com criptografia de ponta a ponta, assinaturas digitais e autenticação de dois fatores.

Recupere sua privacidade de e-mail.

Crie seu e-mail gratuito e seguro hoje.

Picture of M Salman Nadeem

M Salman Nadeem

Salman trabalha como analista de segurança da informação na Mailfence. Suas áreas de interesse incluem criptografia, arquitetura e design de segurança, controle de acesso e segurança de operações. Você pode segui-lo no LinkedIn @mohammadsalmannadeem.

Recomendado para você