Início
Um Tutorial da Criptografia PGP supostamente usada na Clos Network (deep web)
Introdução
A necessidade de troca de informações entre os seres humanos, sem perigo de interceptação, existe desde os tempos de Roma antiga. Foi lá que surgiu o código de César, que consistia numa forma de embaralhar as letras de uma mensagem. Com o aparecimento dos computadores, novas formas de codificar a informação foram criadas, de modo que os usuários pudessem se comunicar, com proteção. Entretanto, essa tecnologia estava restrita a governos e organizações militares.
Em 1991, esse cenário mudou. O pesquisador do Massachusetts Institute of Technology (MIT) Phillip Zimmermann criou um software que trouxe o mundo da criptografia para usuários comuns. Após vencer a barreira da exportação de criptografia dos Estados Unidos, o PGP ganhou o mundo e se tornou um padrão para criptografia pessoal.
Criptografia
Atualmente a criptografia consiste em uma série de fórmulas matemáticas, em que se utiliza um segredo (chamado de chave) para cifrar e decifrar a informação. Este segredo pode ser o mesmo para as duas operações (criptografia simétrica), ou pode haver segredos diferentes, um para cifrá-la e outro para decifrá-la, ou vice-versa (criptografia assimétrica).
Por meio de um software especial e um par de chaves, um usuário pode então utilizar essa tecnologia, para proteger suas informações pessoais.
O par de chaves possui as seguintes características:
Chave pública - disponível para qualquer usuário que queira se comunicar de forma segura;
Chave privada - chave secreta, que somente o dono do par de chaves conhece.
Através de software e um par de chaves, um usuário pode:
Assinar digitalmente um documento (garantir que o documento não foi alterado após a assinatura e que o mesmo foi assinado pelo dono do par de chaves que foi usado);
Cifrar um documento, de modo que só o dono do par de chaves destino seja capaz de ler a informação cifrada;
Assinar e cifrar um documento.
Infelizmente, o uso do software apenas garante que o dono do par de chaves realizou as operações, e não que o par de chaves em questão pertence realmente a uma pessoa. Não existe nenhum mecanismo que impeça a um usuário gerar um par de chaves com o nome de outro usuário. Para resolver esse problema, utilizam-se técnicas como certificação digital (versão eletrônica para os já conhecidos cartórios) e web-of-trust, que consiste em criar uma cadeia de confiança entre diferentes chaves. Este conceito será visto, adiante, com mais detalhes.
PGP e GnuPG
O PGP surgiu inicialmente como um produto gratuito, disponível para diversas plataformas. Entretanto, a partir de 2004 o PGP deixou de ser gratuito, o que fez com que muitos usuários de tecnologia migrassem para outros produtos, como o GnuPG (gpg), que é uma versão software livre do PGP, disponível para diversas plataformas. O gpg e o pgp são compatíveis, de modo que, a partir de um dos programas, é possível cifrar, decifrar, assinar e verificar assinaturas entre eles.
Teia de confiança (Web of Trust)
Conforme foi dito, anteriormente, existe um problema em se certificar que uma determinada chave realmente pertence a um usuário, site ou empresa. Essa dificuldade não é relativa apenas ao PGP, mas a qualquer sistema que use criptografia. Uma das soluções mais comuns consiste na compra de um certificado de uma entidade certificadora, que funciona como um cartório digital, atestando que uma determinada chave realmente pertence a um usuário específico.
Como no PGP, a idéia é disponibilizar criptografia para o público em geral, sem custos. Para isso, foi criado um método alternativo para se verificar se uma chave pertence a uma determinada pessoa, chamado web-of-trust. Neste método, a confiança vai sendo estabelecida através de uma rede de transitividade, onde se A confia em B e B confia em C, então A confia em C. Essa rede é construída por meio de uma relação pessoal entre dois indivíduos, constatação da identidade da chave, e assinatura da chave pública de um usuário pelo outro. Essas etapas acabam por gerar um laço de confiança. Essas relações de confiança convertem-se, então, em uma rede de confiança, como pode ser visto abaixo.
Teia de confiança Cais
Após a verificação da identidade do par de chaves, o próximo passo é a publicação desta chave num servidor de chaves, de modo que qualquer um que queira se comunicar possa obter facilmente a chave pública deste usuário. Quando uma chave é publicada, as assinaturas das pessoas que confiaram nesta chave também são publicadas, de modo que basta ao usuário confiar em uma das assinaturas da chave para que passe a confiar na chave.
Servidor de Chaves
Um servidor de chaves consiste em um software especial que possui uma interface via web, ou via e-mail, capaz de cadastrar, buscar e invalidar chaves públicas de usuários em qualquer parte do mundo. Estes servidores normalmente formam uma rede, de forma que, se um usuário publicar uma chave em um servidor na Espanha, por exemplo, esta atualização seja propagada para todos os servidores participantes da rede.
Você provavelmente chegou neste texto, por causa do servidor de chaves do CAIS/RNP, que pode ser encontrado no endereço: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O servidor do CAIS pertence à rede mundial, e, através dele, é possível consultar, adicionar e cancelar chaves na rede mundial de servidores. Para mais informações sobre o funcionamento específico do servidor de chaves, deve-se consultar a documentação incluída no endereço acima. Para outras informações a respeito de PGP e GPG, as referências podem ser consultadas na margem direita da página [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Introdução
A necessidade de troca de informações entre os seres humanos, sem perigo de interceptação, existe desde os tempos de Roma antiga. Foi lá que surgiu o código de César, que consistia numa forma de embaralhar as letras de uma mensagem. Com o aparecimento dos computadores, novas formas de codificar a informação foram criadas, de modo que os usuários pudessem se comunicar, com proteção. Entretanto, essa tecnologia estava restrita a governos e organizações militares.
Em 1991, esse cenário mudou. O pesquisador do Massachusetts Institute of Technology (MIT) Phillip Zimmermann criou um software que trouxe o mundo da criptografia para usuários comuns. Após vencer a barreira da exportação de criptografia dos Estados Unidos, o PGP ganhou o mundo e se tornou um padrão para criptografia pessoal.
Criptografia
Atualmente a criptografia consiste em uma série de fórmulas matemáticas, em que se utiliza um segredo (chamado de chave) para cifrar e decifrar a informação. Este segredo pode ser o mesmo para as duas operações (criptografia simétrica), ou pode haver segredos diferentes, um para cifrá-la e outro para decifrá-la, ou vice-versa (criptografia assimétrica).
Por meio de um software especial e um par de chaves, um usuário pode então utilizar essa tecnologia, para proteger suas informações pessoais.
O par de chaves possui as seguintes características:
Chave pública - disponível para qualquer usuário que queira se comunicar de forma segura;
Chave privada - chave secreta, que somente o dono do par de chaves conhece.
Através de software e um par de chaves, um usuário pode:
Assinar digitalmente um documento (garantir que o documento não foi alterado após a assinatura e que o mesmo foi assinado pelo dono do par de chaves que foi usado);
Cifrar um documento, de modo que só o dono do par de chaves destino seja capaz de ler a informação cifrada;
Assinar e cifrar um documento.
Infelizmente, o uso do software apenas garante que o dono do par de chaves realizou as operações, e não que o par de chaves em questão pertence realmente a uma pessoa. Não existe nenhum mecanismo que impeça a um usuário gerar um par de chaves com o nome de outro usuário. Para resolver esse problema, utilizam-se técnicas como certificação digital (versão eletrônica para os já conhecidos cartórios) e web-of-trust, que consiste em criar uma cadeia de confiança entre diferentes chaves. Este conceito será visto, adiante, com mais detalhes.
PGP e GnuPG
O PGP surgiu inicialmente como um produto gratuito, disponível para diversas plataformas. Entretanto, a partir de 2004 o PGP deixou de ser gratuito, o que fez com que muitos usuários de tecnologia migrassem para outros produtos, como o GnuPG (gpg), que é uma versão software livre do PGP, disponível para diversas plataformas. O gpg e o pgp são compatíveis, de modo que, a partir de um dos programas, é possível cifrar, decifrar, assinar e verificar assinaturas entre eles.
Teia de confiança (Web of Trust)
Conforme foi dito, anteriormente, existe um problema em se certificar que uma determinada chave realmente pertence a um usuário, site ou empresa. Essa dificuldade não é relativa apenas ao PGP, mas a qualquer sistema que use criptografia. Uma das soluções mais comuns consiste na compra de um certificado de uma entidade certificadora, que funciona como um cartório digital, atestando que uma determinada chave realmente pertence a um usuário específico.
Como no PGP, a idéia é disponibilizar criptografia para o público em geral, sem custos. Para isso, foi criado um método alternativo para se verificar se uma chave pertence a uma determinada pessoa, chamado web-of-trust. Neste método, a confiança vai sendo estabelecida através de uma rede de transitividade, onde se A confia em B e B confia em C, então A confia em C. Essa rede é construída por meio de uma relação pessoal entre dois indivíduos, constatação da identidade da chave, e assinatura da chave pública de um usuário pelo outro. Essas etapas acabam por gerar um laço de confiança. Essas relações de confiança convertem-se, então, em uma rede de confiança, como pode ser visto abaixo.
Teia de confiança Cais
Após a verificação da identidade do par de chaves, o próximo passo é a publicação desta chave num servidor de chaves, de modo que qualquer um que queira se comunicar possa obter facilmente a chave pública deste usuário. Quando uma chave é publicada, as assinaturas das pessoas que confiaram nesta chave também são publicadas, de modo que basta ao usuário confiar em uma das assinaturas da chave para que passe a confiar na chave.
Servidor de Chaves
Um servidor de chaves consiste em um software especial que possui uma interface via web, ou via e-mail, capaz de cadastrar, buscar e invalidar chaves públicas de usuários em qualquer parte do mundo. Estes servidores normalmente formam uma rede, de forma que, se um usuário publicar uma chave em um servidor na Espanha, por exemplo, esta atualização seja propagada para todos os servidores participantes da rede.
Você provavelmente chegou neste texto, por causa do servidor de chaves do CAIS/RNP, que pode ser encontrado no endereço: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O servidor do CAIS pertence à rede mundial, e, através dele, é possível consultar, adicionar e cancelar chaves na rede mundial de servidores. Para mais informações sobre o funcionamento específico do servidor de chaves, deve-se consultar a documentação incluída no endereço acima. Para outras informações a respeito de PGP e GPG, as referências podem ser consultadas na margem direita da página [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
