Da Hacklaviva

Privacidade na correspondência electrónica

Ricardo Pinho (http://www.pinho.org)

• Introdução
  • O correio postal é, por norma, privado
  • O correio electrónico é, por norma, público
  • Mecanismos como o SSL não são seguros
    • Uma vez que apenas funciona quando todos os elementos da rede cifram a ligação

• Terminologia portuguesa
  • Errado: encriptar/desencriptar
  • Certo: cifrar/decifrar
  • Certo: criptar/descriptar

• Como funcionam as chaves assimétricas?
  • Chave pública / chave privada

• GnuPG - GNU Privacy Guard (http://www.gnupg.org)
  • É importantíssimo instalar o GnuPG!
  • Front-end para o Thunderbird: Enigmail (http://enigmail.mozdev.org)
  • Front-end para o Firefox: FireGPG (http://pt.getfiregpg.org)
  • Outros front-ends: http://www.gnupg.org/related_software
  • Para utilizadores Windows: http://www.gpg4win.org
  • Até dá para usar em Mensagens Instantâneas ou no Facebook :-)

• Perigos do Gmail
  • Já não é possível cifrar os mails através da interface web do Gmail (http://blog.getfiregpg.org/2010/06/07/firegpg-discontinued/)
  • Solução: Usar o Thunderbird como cliente para o Gmail!
  • Solução ainda melhor: Não usar o Gmail! A Google é maléfica!

• Redes de confiança (web of trust)
  • Não existe instituição central para verificar as assinaturas OpenPGP
  • Têm de ser verificadas por pares -- a minha assinatura torna-se fiável porque foi "assinada" (autenticada) por pessoas de confiança, que assim confirmam que a assinatura corresponde à pessoa

• Sugestão: Key signing party no Hacklaviva!

• Guia de estilo e outras sugestões:
  • Como assinar: Luther Blissett <luther@hacklaviva.net>
  • Colocar endereços alternativos na mesma chave
  • Colocar uma data de expiração (sugestão: 4 anos)
  • Backup backup backup! (especialmente da chave privada! Fundamental!)
  • Preferir a configuração OpenPGP/MIME
  • Assinar todos os mails enviados

• Para saber mais:
  • Manual Surveillance Self Defense da Electronic Frontier Foundation
  • http://ssd.eff.org/tech

Perguntas e Respostas

• Onde guardar a chave privada?
• Num local estável onde possas aceder a ela seguramente (ex. o teu computador pessoal)

• E em mailing lists? É possível cifrar?
• Não. No entanto, é perfeitamente possível assinar os mails dentro de mailing lists.

• É possível ler mensagens cifradas depois de se perder a chave?
• Não! É uma propriedade do sistema, o que evidencia a necessidade de cuidar da chave e de onde a temos.

• Só devemos assinar os mails que queremos que sejam autenticados?
• Não, o melhor é assinar todos. Desta forma, fazemos publicidade ao GnuPG e à necessidade de criptografia.

• Isto da criptografia é só para malucos?
• Também! :-) mas convém lembrar que toda a correspondência electrónica é pública e pode ser vista por qualquer dos pontos por onde passa. Eles andem aí!

Toma-notas: User:Ricardo