O Pretty Good Privacy (PGP) é um software de criptografia utilizado em e-mails e arquivos confidenciais. Desde que foi criado, em 1991, o PGP se tornou o padrão de fato em relação à segurança de e-mails.
Dois fatores contribuem para a popularidade do PGP. O primeiro é o fato de o software ter sido inicialmente disponibilizado de forma gratuita. Dessa forma, o PGP teve um sucesso rápido entre os usuários que buscavam mais segurança para seus e-mails. O segundo é a tecnologia de criptografia. Como o PGP usa tanto criptografia de chave simétrica quanto criptografia de chave pública, usuários que não se conhecem podem trocar mensagens sem a necessidade de revelar chaves de criptografia pessoais.
Se você deseja melhorar a segurança dos seus e-mails, o PGP é uma maneira fácil e econômica de fazer isso. Neste guia, ensinaremos como usar o PGP.
O PGP tem alguns recursos em comum com outros softwares de criptografia que você talvez conheça, como criptografia para protocolo Kerberos (usada para autenticar usuários em uma rede) e criptografia SSL (usada para proteger sites).
Em termos gerais, a criptografia PGP usa uma combinação de duas formas de criptografia: criptografia de chave simétrica e criptografia de chave pública.
O gráfico abaixo ajuda a entender como o PGP funciona:
A matemática por trás da criptografia pode ser bastante complicada, por isso focaremos nos conceitos básicos aqui (mas, se quiser, você pode dar uma olhada na matemática). De forma mais aprofundada, é assim que a criptografia PGP funciona:
Pode parecer um jeito estranho de fazer as coisas. Por que nós criptografaríamos a chave de criptografia?
A resposta é simples: A criptografia de chave pública é muito, muito mais lenta do que a criptografia simétrica (em que o remetente e o destinatário têm a mesma chave). O uso de criptografia simétrica requer que o remetente compartilhe a chave de criptografia com o destinatário em texto simples (sem criptografia), o que não seria seguro. Assim, ao criptografar a chave simétrica a partir do sistema (assimétrico) de chave pública, o PGP combina a eficiência da criptografia simétrica com a segurança da criptografia de chave pública.
Na prática, enviar uma mensagem criptografada com o PGP é mais simples do que a explicação acima faz parecer. Vejamos o ProtonMail — como exemplo.
O ProtonMail suporta o PGP de forma nativa. A única coisa que você precisa fazer para criptografar seu e-mail é selecionar Sign Mail (Assinar Mensagem). Você verá um ícone de cadeado na linha de assunto dos e-mails. O e-mail ficará assim (os endereços de e-mail foram borrados por questões de privacidade):
O ProtonMail — assim como a maioria dos clientes de e-mail que suportam o PGP — esconde toda a complexidade da criptografia e descriptografia da mensagem. Se você estiver se comunicando com usuários que não usam o ProtonMail, primeiro é preciso enviar sua chave pública a eles.
Dessa maneira, mesmo que a mensagem tenha sido enviada de maneira segura, o destinatário não precisa se preocupar com as complexidades de como isso foi feito.
O PGP tem, basicamente, 3 funções principais:
Dessas três, a primeira (enviar e-mails com segurança) é de longe a função predominante do PGP. Mas vamos examinar todas as três brevemente:
As in the example above, most people use PGP to send encrypted emails. In the early years of PGP, it was mainly used by activists, journalists, and other people who deal with sensitive information. The PGP system was originally designed, in fact, by a peace and political activist named Phil Zimmermann, who recently joined Startpage, one of the most popular private search engines.
A popularidade do PGP tem crescido consideravelmente nos dias atuais. À medida que mais usuários se dão conta da quantidade de informações coletadas por empresas e governos, muitos passam a usar o PGP para fazer com que seus dados permaneçam confidenciais.
Outra função do PGP é a verificação de e-mail. Numa situação em que um jornalista não sabe se a pessoa que enviou uma determinada mensagem é quem diz ser, por exemplo, é possível verificar essa informação utilizando uma assinatura digital com o auxílio do PGP.
As assinaturas digitais usam um algoritmo para combinar a chave do remetente com os dados que estão sendo enviados por ele. Isso gera uma “função hash”, outro algoritmo que pode transformar a mensagem em um bloco de dados de tamanho fixo. Em seguida, a função hash é criptografada usando a chave privada do remetente.
O destinatário da mensagem pode descriptografar os dados utilizando a chave pública do remetente. Se um mero caractere da mensagem tiver sido alterado durante o processo, o destinatário vai saber. Isso pode indicar que o remetente não é quem diz ser, que tentou falsificar uma assinatura digital ou que a mensagem foi adulterada.
Uma terceira função do PGP é a criptografia de arquivos. Como o algoritmo usado pelo PGP (geralmente o algoritmo RSA) é basicamente impossível de decifrar, o PGP proporciona uma maneira extremamente segura de criptografar arquivos em repouso, especialmente quando combinado a uma solução de detecção e resposta a ameaças. Na verdade, esse algoritmo é tão seguro que já foi usado em malwares famosos, como o CryptoLocker.
Em 2010, a Symantec comprou a PGP Corp., que tinha os direitos sobre o sistema PGP. De lá para cá, a Symantec se tornou a principal fornecedora de softwares de criptografia de arquivos com sistema PGP por meio de produtos como o Symantec Encryption Desktop e o Symantec Encryption Desktop Storage. O software, além de proporcionar criptografia PGP para todos os seus arquivos, também oculta as complexidades dos processos de criptografia e descriptografia.
A segurança que você deseja para as suas comunicações (ou arquivos) vai determinar se você precisa ou não usar a criptografia PGP. Assim como acontece com qualquer software de privacidade ou segurança, usar o PGP exige um pouco mais de trabalho ao enviar e receber mensagens, mas também pode melhorar drasticamente a resistência dos seus sistemas a ataques.
Vamos examinar de perto.
A principal vantagem da criptografia PGP é fato de ser basicamente indecifrável. É por isso que jornalistas e ativistas ainda utilizam a criptografia PGP e é por isso que, muitas vezes, essa é considerada a melhor maneira de melhorar a segurança na nuvem. Resumindo, é basicamente impossível decifrar a criptografia PGP, não importa se quem está tentando é um hacker ou a NSA.
Ainda que algumas notícias apontem falhas de segurança em certas implementações do PGP, como a vulnerabilidade Efail, é importante reconhecer que o próprio PGP ainda é muito seguro.
A principal desvantagem da criptografia PGP é fato de não ser muito intuitiva. Apesar de isso estar mudando (graças às soluções prontas para uso que veremos abaixo), usar o PGP pode significar muito mais tempo e esforço na sua rotina diária. Além disso, quem usa o PGP precisa saber como o sistema funciona, para prevenir falhas de segurança ao usá-lo incorretamente. Ou seja, as empresas que pensam em mudar para o PGP precisarão fornecer treinamento.
É por isso que muitas empresas podem querer pensar em outras alternativas. Existem aplicativos de mensagens criptografadas que oferecem uma criptografia mais simples de usar. O Signal é um exemplo. Quando se trata de armazenamento de dados, a anonimização pode ser uma boa alternativa à criptografia e pode ser uma forma mais eficiente de utilizar os recursos.
Por fim, você deve ficar ciente de que o PGP criptografa suas mensagens, mas não torna sua identidade anônima. Diferente de navegadores anônimos que usam servidores proxy ou usam uma VPN para ocultar sua verdadeira localização, é possível rastrear o remetente e o destinatário de e-mails enviados através do PGP. O assunto do e-mail também não é criptografado, por isso, você não deve incluir nenhuma informação confidencial lá.
Na maioria dos casos, configurar a criptografia PGP consiste em fazer o download de um complemento para o seu programa de e-mail e, em seguida, seguir as instruções de instalação. Há complementos como esse para o Thunderbird, para o Outlook e para o Apple Mail. Abaixo, falaremos sobre eles. Nos últimos anos, vimos surgirem vários sistemas de e-mail online que incluem PGP como padrão (sendo o ProtonMail o mais famoso).
Para quem deseja usar o PGP para criptografar arquivos, existem diversas soluções de software em grande escala disponíveis. A Symantec, por exemplo, oferece produtos baseados no sistema PGP, como o Symantec File Share Encryption (para criptografar arquivos compartilhados em uma rede) e o Symantec Endpoint Encryption (para criptografia total de disco em desktops, dispositivos móveis e mídia removível).
Se você deseja começar a usar a criptografia PGP, esse processo geralmente se inicia com o download de um software que automatiza o processo de criptografia e descriptografia. Há inúmeros produtos diferentes disponíveis para esse propósito, mas é preciso saber o que procurar.
É possível configurar o PGP de várias maneiras diferentes, dependendo do porquê e com que frequência você precisará usar o sistema. Aqui, nosso foco será voltado para o que a maioria dos usuários precisa do PGP — e-mail protegido — e não para o armazenamento de arquivos criptografados, que é uma questão mais complexa. Confira cinco soluções para implementar o PGP em suas redes domésticas ou comerciais.
O Gpg4o é uma das soluções de sistema PGP mais populares para usuários do Windows e tem como objetivo integrar-se perfeitamente com o Outlook 2010 – 2016.
A implementação padrão da criptografia PGP para usuários de Mac é o GPGTools, um pacote de software que oferece criptografia para todas as áreas do seu sistema operacional Mac.
Tal qual as ferramentas acima, o Enigmail foi projetado para se integrar a um cliente de e-mail específico, neste caso, o Thunderbird.
O ProtonMail foi um dos primeiros provedores de e-mail seguros e continua sendo um dos mais populares. Ao contrário das soluções acima, o ProtonMail funciona através de um portal da web, ou seja, pode ser separado com facilidade da sua caixa de entrada comum.
Por último, temos o FairEmail, que leva a criptografia PGP a celulares Android. Este é um aplicativo de e-mail independente e gratuito.
Mesmo depois da explicação acima, você ainda pode ter algumas dúvidas. Veja agora as respostas para as perguntas mais frequentes sobre o PGP.
R: Sim. Apesar de o PGP já ter mais de 20 anos, não foram encontradas vulnerabilidades na implementação básica do sistema. Mesmo assim, criptografar seus e-mails não é suficiente para a segurança total. Sempre use o PGP em conjunto com um pacote completo de cibersegurança que inclua um software de detecção de ameaças.
R: O PGP usa uma combinação de criptografia de chave simétrica e criptografia de chave pública para possibilitar que os usuários possam trocar mensagens de forma segura.
R: O “melhor” software de sistema PGP depende das suas necessidades. A maioria das pessoas não precisa criptografar todos os seus e-mails, logo, um provedor de e-mail PGP online será a melhor solução. Dito isso, se você costuma enviar e-mails que precisam ser criptografados, pense na possibilidade de fazer download de um complemento PGP para o seu cliente de e-mail.
R: Depende. Se você estiver armazenando informações dos seus clientes, a resposta é sim. Criptografar arquivos pessoais não é uma necessidade, mas pode melhorar drasticamente suas defesas contra um ataque cibernético. Softwares de criptografia baseados no sistema PGP geralmente são uns dos mais fáceis de trabalhar. São um bom ponto de partida quando se trata de criptografar seus arquivos.
A criptografia PGP pode ser uma ferramenta eficaz para proteger seus dados, sua privacidade e sua segurança. Ela não só fornece um método relativamente fácil e totalmente seguro de enviar e-mails, mas também permite a verificação da identidade de quem você está se comunicando. Como os complementos de sistema PGP também estão disponíveis para a maioria dos principais clientes de e-mail, essa forma de criptografia geralmente é fácil de implementar.
No entanto, o e-mail seguro é apenas um aspecto da cibersegurança. É preciso se certificar que, além do PGP, você também use uma eficiente plataforma de segurança de dados e um software de Prevenção de Perda de Dados. Usar a maior variedade possível de ferramentas é a melhor maneira de garantir sua privacidade e a sua segurança.