Instalação e Utilização do GPG4Win(GnuPG para Windows)

versão 1.0, Fevereiro 2007

por António Manuel Dias

ammdias@gmail.com

Copyright © 2007 António Manuel Dias

Este documento pode ser copiado e distribuído segundo a licença Creative Commons Atribuição –

Partilha nos Termos da Mesma Licença 2.5. Esta licença permite que o documento seja copiado,

distribuído e lido sob as seguintes condições:

● Atribuição. O utilizador deve dar crédito ao autor original, da forma especificada pelo autor

ou licenciante.

● Partilha nos termos da mesma Licença. Se alterar, transformar, ou criar outra obra com

base nesta, só poderá distribuir a obra resultante através de uma licença idêntica a esta.

Para cada reutilização ou distribuição, deverá deixar claro para outros os termos da licença desta obra.

Qualquer uma destas condições podem ser renunciadas, desde que obtenha permissão por parte do au-

tor. Qualquer direito de uso legítimo (ou "fair use") concedido por lei, ou qualquer outro direito prote-

gido pela legislação local, não são em hipótese alguma afectados pelo disposto acima. Para mais infor-

mações, pode consultar o texto jurídico, na íntegra, no endereço web:

http://creativecommons.org/licenses/by-sa/2.5/pt/legalcode

Conteúdo

1 Introdução .............................................................................................................. 2

2 Instalação ............................................................................................................... 2

3 Gestão de chaves .................................................................................................... 4

3.1 Criar um novo par de chaves ......................................................................... 5

3.2 Exportar a chave pública ................................................................................ 6

3.3 Importar uma chave pública .......................................................................... 7

3.4 Verificar autenticidade de uma chave pública .............................................. 8

3.5 Assinar uma chave pública ............................................................................. 9

4 Configuração do WinPT ....................................................................................... 10

1

5 Operações sobre texto simples ............................................................................ 11

5.1 Assinar e cifrar texto .................................................................................... 11

5.2 Decifrar e verificar texto .............................................................................. 12

6 Operações com ficheiros ...................................................................................... 12

6.1 Assinar um ficheiro ....................................................................................... 12

6.2 Cifrar e assinar um ficheiro ......................................................................... 14

6.3 Decifrar e/ou verificar um ficheiro .............................................................. 14

6.4 Cifra simétrica .............................................................................................. 16

1 Introdução

O GPG4Win é um conjunto de aplicações destinado a facilitar o uso do GnuPG1 pelo utilizador habitual de Windows, que usualmente olha com desagrado para as ferramentas sem interface gráfica. Assim, para além do GnuPG, são incluídos nes-

te pacote o WinPT e o GPGee, interfaces gráficas que contêm um gestor de cha-

ves OpenPGP2, um gestor de ficheiros e extensões para o Explorador do Windows, facilitando as operações de assinar/verificar e cifrar/decifrar de texto simples e fi-cheiros.

Também fazem parte deste conjunto o GPGol, extensões para o Outlook 2003 e o Sylpeed-Claws, um cliente de correio electrónico com suporte para GnuPG. No en-

tanto, penso que é preferível usar o Mozilla Thunderbird3 em conjunto com a ex-

tensão Enigmail4 para este fim. Finalmente, é ainda incluído o GPA, que é outro gestor de chaves.

2 Instalação

Em primeiro lugar, é necessário transferir o programa de instalação do GPG4Win para o teu computador, o que podes fazer a partir do seu endereço web5. Concluí-da a transferência, corre-o para iniciar a instalação das aplicações incluídas.

Nota: se já tinhas o GnuPG, GPGee ou WinPT instalados, faz uma cópia das tuas chaves (ficheiros pubring.gpg e secring.gpg, normalmente localizados em %APPDATA%\GnuPG\) e desinstala-os.

O primeiro diálogo da instalação é apenas uma mensagem de introdução e boas-vindas — clica sobre o botão Next para avançar.

1 http://www.gnupg.org/ 2 http://www.openpgp.org/ 3 http://www.mozilla-europe.org/pt/products/thunderbird/ 4 http://enigmail.mozdev.org 5 http://www.gpg4win.org

2

O segundo diálogo mostra a licença das aplicações incluídas, a Licença Pública Ge-ral GNU6, e deves voltar a premir Next para avançar, caso concordes com os seus termos (se não concordas será impossível continuar a instalação e não vale a pena continuar a ler este documento).

O terceiro diálogo pede para que escolhas os programas que desejas instalar, de entre todos os disponíveis neste pacote. Para os efeitos deste documento, basta

que instales o GnuPG (obrigatório), o WinPT e o GPGee.

Em seguida, o programa de instalação pede-te para escolher a pasta em que se deve instalar o GnuPG. Se possuis privilégios de administração na máquina, podes aceitar a sugestão (usualmente C:\Programas\Gnu\GnuPG); em caso contrário, esco-lhe uma pasta em que tenhas permissão para escrever.

Após a escolha da pasta de instalação podes escolher os locais onde desejas que sejam instalados os ícones das aplicações. É indiferente os locais que escolhes mas, na minha opinião, basta instalar uma pasta no menu Iniciar.

6 http://www.gnu.org/copyleft/gpl.html

3

Se escolheste instalar um ícone no menu Iniciar, terás agora de escolher o nome da pasta que irá conter os ícones neste menu. Podes aceitar a sugestão fornecida.

Imediatamente antes de ser iniciada a instalação propriamente dita, recebes um aviso para fechar todas as aplicações, em particular o Outlook e todas as janelas do Explorador do Windows. Prime Next e aguarda até que todos os programas es-tejam instalados, após o que deves premir novamente Next, para terminar a insta-lação.

No último diálogo basta premir Finish, após o que o sistema operativo irá reiniciar.

3 Gestão de chaves

Ao iniciar o WinPT7 pela primeira vez, ele queixar-se-á no caso de não encontrar os teus porta-chaves8, pedindo-te para indicar se desejas criar um novo par de cha-ves ou importar os porta-chaves de outro local.

7 Para iniciar o WinPT, utiliza o seu ícone no menu GPG4Win do menu Iniciar8 Os ficheiros onde são guardadas as chaves públicas dos teus contactos e os teus pares de chaves

próprios.

4

No caso de já teres as tuas chaves de anteriores utilizações do GnuPG, deves selec-cionar a segunda opção Copy GnuPG keyrings from another location, e indicar de-pois a localização do ficheiro com as chaves públicas e privadas. Se é a primeira vez que vais usar o GnuPG, selecciona a primeira opção Generate a GnuPG key pair para gerar o teu primeiro par de chaves9.

3.1 Criar um novo par de chaves

No primeiro diálogo deves inserir o teu nome no campo Real name e endereço de correio electrónico no campo Email address. O endereço de correio electrónico servirá para identificar a chave, de modo a que seja fácil a alguém que te queira enviar uma mensagem cifrada encontrar a chave pública correspondente ao ende-reço nos servidores de chaves, pelo que deve ser o endereço real. O nome também deve ser o nome verdadeiro.

No diálogo seguinte deves introduzir a senha para proteger essa chave — só quem conhecer essa senha poderá usar a chave privada que irá ser criada para assinar mensagens e ficheiros ou decifrar as mensagens e ficheiros cifrados que te envia-rem. Assim, deves escolher uma boa senha, de preferência uma frase alterada, contendo letras, números e sinais de pontuação, que não seja simples de deduzir.

9 Se não estás familiarizado com o conceito de cifra com chave pública, podes ler a breve introdução que escrevi, Segurança e autenticação no correio electrónico, disponível em http://maracuja.homeip.net/doc/ti .

5

Depois de escolheres a senha a usar, será iniciado o processo de criar a chave, o que pode levar algum tempo. Usar o computador para outros fins durante este pe-ríodo pode acelerar o processo.

Finalmente, quando a chave tiver sido criada, ser-te-á dada a oportunidade de cri-ar uma salvaguarda das chaves, que deves aproveitar respondendo “Sim” à per-gunta respectiva. Deves guardar a cópia das tuas chaves em lugar seguro, como um CD-ROM em local distante do teu PC (um paranóico da segurança irá provavel-mente desejar guardar várias cópias das chaves em locais diferentes).

3.2 Exportar a chave pública

Uma das principais funções do WinPT é a gestão de chaves, através do seu Key Manager. Para iniciar o Key Manager, utiliza o menu de contexto do ícone do WinPT na bandeja do sistema (systray).

Para que outras pessoas possam verificar as tuas assinaturas e enviar−te mensa-gens cifradas, é necessário que estejam de posse da tua chave pública. Para a po-deres distribuir, tens então de a exportar para um ficheiro.

• No Key Manager, selecciona a tua chave.

• Escolhe Key > Export no menu.

• Escolhe a pasta onde guardar o ficheiro com a chave.

6

Agora, distribui essa chave por correio electrónico para os teus amigos ou publica-a no teu servidor Web. Se tiveres acesso à Internet, podes ainda publicá-la num Servidor de Chaves OpenPGP público, para que todos a possam encontrar apenas pelo teu nome e/ou endereço de correio electrónico. Para o fazeres basta clicar com o botão direito do rato sobre a tua chave no Key Manager e escolher Send to Keyserver > Default Keyserver.

3.3 Importar uma chave pública

Quando receberes chaves públicas de outras pessoas, necessitas de as importar para o teu porta-chaves:

• No menu do Key Manager, escolhe Key > Import.

• No diálogo seguinte, escolhe o ficheiro com a chave que queres importar e pressiona Abrir.

• A descrição das chaves contidas no ficheiro seleccionado aparece no pró-ximo diálogo.

• Pressiona Import.

• Pressiona Ok a seguir.

• Caso a chave não apareça logo na lista de chaves, escolhe Key > Reload Key Cache no menu do Key Manager.

7

Podes também importar uma chave pública directamente de um servidor de cha-ves, caso tenhas acesso à Internet e a chave que procuras esteja publicada. Esco-lhe Keyserver no menu do Key Manager e introduz o endereço de correio electróni-co da pessoa de quem necessitas da chave no campo Please enter the Key ID or email address that belongs to the key. Pressiona Receive para tentar importar essa chave do servidor.

3.4 Verificar autenticidade de uma chave pública

Para confirmar que uma chave pública pertence realmente à pessoa que pensas, necessitas de dois elementos: o identificador da chave (Key ID) e a sua impressão digital (Key fingerprint), que podes verificar no diálogo de propriedades da chave. Para visualizar este diálogo, escolhe Key > Properties no menu do Key Manager, após seleccionares a chave em questão.

De posse desses dois elementos, basta confirmares com a outra pessoa (pessoal-

8

mente ou por telefone, caso consigas distinguir a voz). Se confirmares estes ele-mentos por meios que possam ser manipulados, como mensagens de correio elec-trónico ou FAX, tens de ter a noção que a chave pode não pertencer à pessoa que pensas. A melhor forma é ser mesmo pessoalmente — só assim confirmarás verda-deiramente a autenticidade da chave.

Tendo confirmado a autenticidade da chave pública que possuis, deves alterar a sua confiança no teu porta-chaves, abrindo novamente o diálogo de propriedades da chave, pressionando o botão Change e escolhendo a melhor opção da lista. Se realmente tens a certeza que essa chave é de confiança, escolhe I trust ultima-tely.

3.5 Assinar uma chave pública

Após confirmares a autenticidade de uma chave pública, podes assiná−la com a tua chave, para ajudar a construir a teia de confiança essencial ao bom funciona-mento deste sistema (ver o documento Segurança e Autenticação no Correio Elec-trónico, de que já falei anteriormente, para mais pormenores):

• Faz clique com o botão do lado direito sobre a chave que desejas assinar e escolhe Sign.

• Podes assinar a chave apenas localmente, para não receberes aviso de chave sem confiança ao receber mensagens. Contudo, para construir a tal teia de confiança, deves desmarcar a opção Sign locally.

• Introduz a senha da tua chave e pressiona Ok.

• No próximo diálogo, assinala quão rigorosamente verificaste a autentici-dade da chave (0: não verificaste; 3: verificaste completamente).

• Agora, exporta a chave pública que acabaste de assinar (Key > Export) e

9

devolve-a ao seu proprietário, para que ele a possa distribuir.

4 Configuração do WinPT

Para facilitar a utilização do GnuPG no Windows podemos atribuir vários atalhos de teclado às operações de assinar/verificar e cifrar/decifrar através do WinPT. Para tal, deves iniciar o WinPT através do seu atalho no menu Iniciar, fazer clique com o lado direito do rato sob o ícone no System Tray do Windows10 e escolher Preferences > WinPT.

Configurar o diálogo conforme a imagem em baixo:

Em especial, verifica que a opção Use clipboard viewer to display plaintext está

seleccionada e que a opção Disable hotkeys não está seleccionada. Repara ainda

nas teclas de atalho que usei: C para cifrar, D para decifrar/verificar, A para assi-

nar e S para assinar e cifrar. Estes atalhos serão usados em conjunto com CTRL+ALT para operações sobre a área de transferência (clipboard) e ALT+SHIFT para operações sobre campos de texto da janela actual. Veremos como usar estes ata-lhos mais à frente.

10 O System Tray é aquela caixa na barra do menu Iniciar onde está o relógio e outros ícones de aplicações e estado do sistema.

10

5 Operações sobre texto simples

5.1 Assinar e cifrar texto

Podes assinar e cifrar texto de duas formas: através da área de transferência ou directamente na janela de edição. A forma a escolher depende apenas de um fac-tor — se o texto assinado é para substituir o texto em claro na própria janela, caso em que deves cifrar o texto directamente, ou para colar noutra janela, caso em que deves usar o método da área de transferência.

Para assinar e cifrar o texto directamente, basta colocar o cursor na janela conten-do o texto a assinar/cifrar e usar o atalho de teclado que configuraste para a ope-ração pretendida. Por exemplo, para assinar e cifrar texto eu usaria a combinação de teclas SHIFT+ALT+S.

Para todas as operações de assinar, terás de introduzir a senha da tua chave priva-

da no diálogo Signing que irá surgir depois de digitares o atalho. No caso de pos-suíres mais do que uma chave privada, ser-te-á antes pedido que escolhas a chave a usar para assinar. Para todas as operações de cifrar terás de escolher as chaves públicas a usar para cifrar, que devem ser as chaves dos destinatários (seleccionar as chaves de todos os destinatários, incluindo a tua, no caso de desejares ler a mensagem mais tarde).

Após a operação, o texto na janela será substituído pelo texto cifrado.

11

O processo para assinar/cifrar texto para usar noutra janela é semelhante. Em pri-meiro lugar deves copiar todo o texto para a área de transferência (seleccionas todo o texto e fazes Editar > Copiar ou usas o atalho CTRL+C). Em seguida, usas o atalho correspondente à função que desejas sobre a área de transferência (por ex-emplo, eu usaria CTRL+ALT+S para assinar e cifrar), escolhendo as chaves e introdu-zindo a senha tal como no processo anterior. Finalmente, colocas o cursor na jane-la de destino e fazes Editar > Colar ou usas o atalho CTRL+V para colares o texto assinado/cifrado.

Se em vez de assinar e cifrar quisesses apenas cifrar ou assinar, usarias as combi-nações de teclas escolhidas para esses casos, mantendo o mesmo processo.

5.2 Decifrar e verificar texto

Também para estas operações podes usar os dois métodos descritos na secção an-terior, directo e passando pela área de transferência, pelos mesmos motivos.

Para decifrar e verificar um texto directamente, basta colocar o cursor na janela que contém o texto assinado e/ou cifrado e usar o atalho que escolheste na confi-guração do WinPT. Por exemplo, eu usaria SHIFT+ALT+D.

Para a mesma operação mas usando a área de transferência, copia o texto assina-do e/ou cifrado, usando o método descrito na secção anterior, depois usa a combi-nação de teclas que escolheste (eu usaria CTRL+ALT+D) e, finalmente, cola o texto na janela de destino.

6 Operações com ficheiros

Para assinar, cifrar, decifrar e verificar a autenticidade de ficheiros vamos usar o

GPGee, que introduz umas novas opções no menu de contexto do Explorador do Windows.

6.1 Assinar um ficheiro

Para assinar um ficheiro, abre uma janela do Explorador do Windows, navega até à pasta onde ele se encontra e clica sobre ele com o botão direito. No menu de con-texto, escolhe GPGee > Sign.

Em seguida escolhe a chave privada com que queres assinar o ficheiro (se só tive-res uma, não tens grande hipótese de escolha) e no diálogo seguinte introduz a se-nha para a desbloquear.

A assinatura digital é o ficheiro com o mesmo nome do ficheiro que assinaste mas com a extensão .sig. Deves distribuir os dois ficheiros em conjunto, para que os destinatários possam verificar a sua autenticidade.

12

13

6.2 Cifrar e assinar um ficheiro

O processo para assinar e cifrar um ficheiro é bastante semelhante ao processo an-terior.

Na janela do Explorador do Windows, clica com o lado direito sobre o ficheiro, fa-zendo aparecer o menu de contexto, e escolhe GPGee > Sign & Encrypt. Escolhe

em seguida a chave privada com que queres assinar o ficheiro e todas as chaves públicas das pessoas a quem o irás enviar; se desejas guardar o ficheiro apenas na sua forma cifrada, removendo o ficheiro original, deves marcar também a tua cha-ve pública, para que o possas decifrar quando for necessário — não o conseguirás se ele não for cifrado também com a tua chave pública. Por fim, introduz a senha para desbloquear a tua chave privada para assinar o ficheiro.

Será gerado um ficheiro com o mesmo nome e a extensão .gpg, que é o ficheiro já assinado e cifrado e que poderás enviar aos destinatários.

6.3 Decifrar e/ou verificar um ficheiro

Para verificar um ficheiro, basta clicar sobre a sua assinatura (o ficheiro com o mesmo nome e extensão .sig) ou sobre o ficheiro cifrado (extensão .gpg) e esco-lher GPGee > Verify/Decrypt no menu de contexto.

14

Se for um ficheiro cifrado, pedirá em seguida a senha da chave privada para o de-cifrar.

Após decifrar o ficheiro, será apresentada uma mensagem de confirmação infor-mando que a operação de decifrar correu bem e onde foi escrito o ficheiro decifra-do. Caso o ficheiro tenha também sido assinado (ou se estiver apenas a verificar uma assinatura), essa mensagem conterá ainda a informação de que conseguiu ve-rificar a assinatura e a identificação da chave com que o ficheiro assinado, para além da data e hora em que essa operação foi efectuada.

15

6.4 Cifra simétrica

Outra forma de cifrar um ficheiro é usando um algoritmo de cifra simétrica. Ao ci-frar com cifra simétrica usa-se uma senha em vez de uma chave pública. Isto será útil nos casos em que apenas se queira proteger um ficheiro que seja guardado num local acessível por várias pessoas ou nos casos em que não se possua a chave pública do destinatário (terá de se combinar previamente com este a senha a utili-zar).

Começa-se da mesma forma que para as operações descritas anteriormente, cli-cando com o lado direito sobre o ficheiro a cifrar e escolhendo a operação deseja-da, neste caso GPGee > Encrypt(Symmetric). Em seguida, introduz-se a senha esco-lhida e prime-se OK.

Após esta operação será gerado o ficheiro cifrado, com o mesmo nome do ficheiro original mas com a extensão .gpg. Pode então apagar-se o ficheiro original ou en-viar-se o ficheiro cifrado para os destinatários.

Para decifrar um ficheiro cifrado com ficha simétrica basta clicar com o lado direi-to sobre ele no Explorador do Windows e escolher GPGee > Verify / Decrypt, intro-duzindo em seguida a senha com que ele foi cifrado. Se a senha for a correcta, o ficheiro será decifrado e será mostrado um diálogo para o confirmar.

16