Criptografia, e o bom e velho PGP

Já faz pouco mais de 20 anos da primeira vez que eu usei criptografia. Naquela época a internet estava apenas começando e pouca gente tinha acesso dialup para os provedores. Não tinhamos Snowden, NSA, Facebook e nem ninguém bisbilhotando os mails que a gente mandava. Mas, assim como é hoje, esquecemos que o email é enviado abertamente pela rede até seu destino. Se pensarmos direitinho, pra certas coisas faz todo sentido usar criptografia. E quando falamos de criptografia, nada como o bom e velho PGP (Pretty Good Privacy).

 

Acho que a primeira versão que eu usei era command-line mesmo. A gente colocava o arquivo .asc da mensagem de entrada, o de saída e pronto. O PGP era simples e eficiente, mas deu muito trabalho para o criador do produto, o Phil Zimmerman. O cara foi quase preso por criar uma tecnologia dita militar e exportá-la, o que é proibido nos Estados Unidos. Basicamente ele criou uma tecnologia que permitia que nem mesmo o governo americano conseguisse desencriptar uma informação ou que demorasse muito tempo para conseguir fazê-lo.

Como funciona o PGP?

Não quero dar uma aula chata de criptografia, chaves, e etc. Isso tudo tem no site do PGP. Vamos simplificar. Basicamente o PGP funciona através de chaves. As chaves tem duas partes: uma pública (que você divulga para os seus amigos) e uma privada (que fica só com você). Quando você manda a sua chave pública para os seus amigos você permite que eles criem uma mensagem que somente você conseguirá abrir, pois é criptografada para a sua chave. Quando você recebe a mensagem de um amigo que possui a sua chave pública o mesmo acontece.

Assim, a segurança está na chave privada e na senha que você usa para descriptografar a mensagem que recebeu. O formato de uma mensagem PGP é assim:

—–BEGIN PGP MESSAGE—–
Version: PGP Desktop 10.1.1 (Build 10) – not licensed for commercial use: www.pgp.com
Charset: utf-8
hQEMAyHluCrsEWr1AQgAuRX944V5QRG0oo/6zNtkkJ+ppFSXrhmYEH3vPvAItOWA
Sz9PcIm/1eWq6byQ2WsQ56B/6rWVK5FgsGngtpzvs2gOhyxIZ5wZgGNaR509ICp0
08CZJiGNgXYL4vJD5tsR81hBq/5qplONzvvXzlMtJRyI/YBeQyaQiOEmt405MFPD
ezxg7fzpABqm9VGfdYLV6Lxf5g==
=F9Sm
—–END PGP MESSAGE—–

A longa jornada do PGP

O PGP começou na internet, como uma coisa do Phil e logo depois virou uma empresa, a PGP Inc. Logo mais ela foi comprada pela NAI (uma associação de empresas que tinha como líder a McAfee – e que depois foi desmembrada novamente) e depois retornou a PGP Corp. Recentemente foi comprada pela Symantec e encaixada no seu portfólio. O problema destas idas e vindas no mundo corporativo é que o produto tornou-se complexo e as versões para reles mortais uma coisa complicada.

O produto atual é vendido apenas sob o licenciamento corporativo e tem criptografia de email, de disco, de arquivos, e etc. A versão para Windows parece que funciona legal, mas a para Mac nem tanto. A ultima versão que eu usei era a da própria PGP, que não funciona mais hoje sobre os novos sistemas operacionais e parece que foi descontinuada em 2003.

Então fiquei aqui pensando que versão de produto seria usável hoje no mundo das pessoas – um mundo de iPhones, aplicações na nuvem, Macs e Windows?

No mundo dos iPhones, encontrei um App bem bacana. Se chama iPGMail for iOS (custa $1,99) e resolve a maioria dos problemas (criar uma chave, exporta-la em locais seguros, encriptar e desencriptar textos. Tive um problema desconhecido com um email que recebi encriptados pela última versão da Symantec, mas fora isso, resolve. É prático poder ler aquele email que você está esperando ou aquela informação que você precisa sem precisar de um computador. Ele trabalha com os arquivos enviados via Dropbox, o que é bastante seguro.

No mundo Windows, além da alternativa da Symantec – que é mais pro mundão corporativo – eu achei uma solução bacaninha (pena não sofrer atualizações desde 2013) – Chama-se Encreep – e tem um simpático monstrinho como mascote. Funciona instalada em um diretório (ou em um pendrive). É gratuita e resolve o problema de criar chaves, exportar, codificar e decodificar. Ele pode ler os arquivos que você manda para o Dropbox.

Para falar de nuvem, além do Dropbox citado anteriormente, reza a lenda que está sendo desenvolvido um plugin para chrome OS, que resolveria o problema de criptografia no Gmail… Fora isso, na nuvem tem o HushMail, que suporta nativamente criptografia no email, mas você precisa assinar o serviço deles.

UPDATE: Acabou de sair (uma semana atrás) para Mac o GPGSuite, que é incrivelmente bom. Tem tudo o que o que se esperava de um usuário de PGP. Tanto que fiz dele a minha ferramenta principal. Tem um tutorial de uso bacana aqui. Boa sorte!

At last, but not least…

Existem alguns artigos de comunidades e de pessoas relevantes não recomendando o uso do PGP. Na verdade eles possuem razão em alguns pontos mas em geral se referem ao uso de negócios do PGP, que inclui servidores de conversão, aplicações clientes, de armazenamento de chaves, etc, etc, muito além do que estamos falando aqui. Para o uso ao que este artigo sugere, você estará tranquilo. Mas para quem quiser ler:

15 reasons not to start using PGP – http://secushare.org/PGP

PGP Alternatives – http://resources.infosecinstitute.com/pgp-alternatives-email-encryption/

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *