O e-mail, recurso mais usado da Internet, e� pratico e rapido. Mas não e� seguro. Ao enviar uma
mensage, voce se conecta a um servidor SMTP, que a retransmite entre varios roteadores, ate� ficar
armazenada num provedor, esperando que o destinatario se cpnecte e leia. Em qualquer ponto
deste trajeto, o administrador de sistemas (ou um hacker, se o sistema não for suficientemente
seguro) pode bisbilhotar ou ate� mesmo alterar o conteudo da mensagem. Se alguem conseguir
descobrir sua senha de acesso, tambem pode ler o e-mail no seu provedor antes de voce. Por fim,
qualquer pessoa pode enviar uma mensagem com a identidade de outra, bastando configurar a
identidade no programa de e-mail.

    Mas existe um metodo para obter uma transmissao de dados realmente segura, onde apenas o
receptor da mensagem podera� le-la, e ainda tera� como saber se o transmissor e� realmente quem
diz ser e se a mensagem foi alterada no caminho. Este metodo chama-se criptografia ou encriptacao
de dados.

    O programa de criptografia mais famoso e� o PGP (Pretty Good Privacy - Otima Privacidade). E�
tambem um dos programas mais polemicos da Internet. O seu autor, Phil Zimmermann, sofreu uma
serie de investigacoes por parte do FBI e teve de recorrer a grupos de apoio que se formaram na
Internet para conseguir pagar seus advogados. O uso do programa chegou a ser proibido durante
dois anos nos EUA, por infringir a patente do algoritmo RSA. Hoje, porem, o PGP e� totalmente
legal e não há� nenhuma restricao ao seu uso.
 
 

CHAVE PRIVADA E CHAVE PUBLICA

    Antes de entrar no funcionamento do PGP, precisamos explicar alguns conceitos. Sao eles:

* Encriptacao por chave privada: e� o metodo de encriptacao que utiliza uma mesma chave para
encriptar e desencriptar a mensagem; esta chave pode ser uma palavra, uma frase ou uma sequencia
aleatoria de numeros. O tamanho da chave e� medido em bits e, via de regra, quanto maior a chave,
mais seguro sera� o documento encriptado.A encriptacao por chave privada funciona muito bem
quando o usuario que encripta e� o mesmo que desencripta o arquivo (por exemplo, para proteger
arquivos que ficam armazenados no proprio disco rigido). Mas quando se trata de uma mensagem
uqe vai ser transmitida, surge um problema. O receptor e o transmissor precisam antes combinar
uma senha, e usar algum meio seguro para transmitir esta informacao (isso so� ocorre quando se cria
apenas uma chave). Um meio realmente seguro de transmissao de dados e� muito caro e dificil de
obter e se ele existe, entao a propria mensagem poderia ser transmitida por ele.

*Encriptacao por chave publica: o metodo de encriptacao por chave publica resolve o problema
de transmitir uma mensagem totalmente segura atraves de um canal inseguro (sujeito a observação,
"grampo" etc.). O receptor da mensagem cria duas chaves que são relacionadas entre si, uma
publica e uma privada. A chave publica pode e deve ser distribuida livremente. Quem envia a
mensagem tem que utilizar a chave publica do receptor para encripta-la. Uma vez encriptada, esta
mensagem so� pode ser desencriptada pela chave do receptor. Este conceito ficara� mais claro
quando virmos o PGP em acao.

* Assinatura eletronica de documento: apesar de não estar relacionada diretamente com
encriptacao, a assinatura eletronica de documentos representa um aspecto importante para garantir
privacidade. Ao assinar um documento, o usuario garante que ele e� realmente o autor e que seu
conteudo não foi modificado.
 
 

ONDE ENCONTRAR O PGP

O primeiro passo e� fazer o download da versao internacional do PGP. Quem utiliza Windows 3.1,
deve baixar o arquivo ftp://ftp.ifi.uio.no/pub/pgp/pc/msdos/pgp263i.zip . Usuarios de Windows 95
ou NT podem fazer o download da versao 32 bits do PGP no endereço
ftp://ftp.ifi.uio.no/pub/pgp/pc/windows/pgp263i-win32.zip. O PGP pode ser usado em portugues,
mas, para isso e� necessario baixar o arquivo ftp://ftp.ifi.uio.no/pub/pgp/lang/pgp/236i-brazilian.zip.
Existe um mirror do PGP internacional no Brasil, no endereco
ftp://ftp.unicamp.br/pub/mail/security/pgpp.

Usando o Winzip ou o Pkzip, extraia o PGP263i.zip ou o PGP236I-win32.zip (conforme a versao)
para um diretorio ou pasta que voce previamente criou, por exemplo c:\pgp236i. Feito isto,
verifique que no diretorio surgiu o arquivo PGP236ii.zip. Extraia tambem este arquivo dentro do
mesmo diretorio. Apague o PGP236ii.zip. Para utilizar a versao em portugues, descomprima o
pgp236i-brazilian.zip no mesmo diretorio sobrescrevendo os arquivos que estiverem la�.

Atraves do Notepad (Bloco de Notas), edite o arquivo config.txt, modificando a linha
Language=en para Language=br. Agora o PGP passara� a operar em portugues.

O proximo passo e� modificar o Autoexec.bat. Com o Notepad ou o Sysedit, abra o autoexec.bat,
no diretorio-raiz de seu micro, e acrescente as seguintes linhas:

· set PGPPATH=c:\pgp236I

· set TZ=EST3

· Na linha que tiver o comando PATH (PATH=...) acrescente ao final: ";c:\pgp263i"

Não esqueca de salvar as alteracoes.

Por fim, reinicie o computador para que as mudancas feitas tenham efeito.
 
 

INSTALACAO DE UMA INTERFACE GRAFICA

Como deu para perceber, o PGP e� um software DOS, sem interface grafica (mesmo na versao 32
bits). Mas existem varios programas que servem como font-end do PGP. Um deles e� o PGPn123,
um aplicativo shareware (o registro custa US$ 15 para uso pessoal) que cria uma barra de
ferramentas que permite o acesso simplificado �a maioria dos recursos do PGP. Faca o download
do PGPn123 no endereco http://www.rof.net/yp/alphaone.

Extraia o PN123E18.ZIP no diretorio, previamente criado, c:\pgpn123e. Execute o programa
pgp_n123.exe. A primeira vez que for acionado, ele ira� criar um grupo de programa (ou um atalho
no menu iniciar) com o nome Enhanced PGPn123. Neste grupo, havera� dois programas, o
Enhanced PGPn123 e o PGPn123 Key Ops, alem do arquivo de ajuda on-line.
 
 

CRIANDO O PAR DE CHAVES

Vamos agora criar o seu par de chaves publica e privada. Execute o PGPn123 Key Ops. Escolha
a opcao create key pairs. Clique em procced. O programa ira� abrir uma janela DOS com as
opcoes do tamanho da chave de encriptacao. A primeira pergunta que voce precisa responder e� o
tamanho da chave que deseja utilizar. Quanto maior for a chave, maior e� a seguranca dos dados
encriptados, mas o tempo para encriptar suas mensagens tambem e� maior. Caso voce temnha um
386, utilize 512 bits. Para um 486, utiliza 768 bits e 1.024 bits para um Pentium.

O proximo passo e� escolher um identificador para o usuario. Utilize o seu nome e o e-mail entre
chaves (�<� e �>�). Por exemplo, Jose� da Silva .

Escolha uma frase-senha para proteger sua chave publica. O nome frase-senha vem do fato de que
voce não esta� limitado a uma única palavra com senha. Recomenda-se o uso de uma frase que seja
facil de lembrar, mas que não contenha nenhuma informacao pessoal (nome, telefone, endereco,
placa de carro, etc.). O PGP pedira� depois para voce confirmar a frase-senha.

Pra criar as chaves publica e privada, o PGP precisa de uma sequencia numerica realmente
aleatoria. Algoritmos de geracao de numeros aleatorios são previsiveis e comprometem a seguranca
das chaves. A solucao encontrada foi pedir ao usuario que digite um certo numero de teclas, e medir
o intervalo de tempo entre os toques. Este intervalo (medido em milessegundos) e� realmente
imprevisivel. Assim, o PGP pede que voce digite um texto qualquer ate� ouvir um bip.

A partir dai, o programa cria o par de chaves e as armazena no molho de chaves publicas e
privadas (os arquivos pubring.pgp e secring.pgp, no diretorio c:\pgp263i). Note que a sua
frase-senha não e� a sua chave privada. Ela e� apenas a senha com a qual o PGP encripta a chave
privada, que foi gerada pelo intervalo da sequencia de teclas digitadas por voce.

Feito isto, a chave publica já� ira� aparecer na lista de chaves publicas disponiveis do PGPn123.
Para que alguem possa enviar mensagens encriptadas para voce, e� necessario que esta pessoa
tenha uma copia de sua chave publica. Para tirar a copia, utilize a opcao Extract Public Key. Ira�
aparecer uma janela com um texto que começa por -BEGIN PGP PUBLIC KEY BLOCK- e
termina por -END PGP PUBLIC KEY BLOCK- . Clicando na opcao Express, o texto e�
copiado para o clipboard e pode ser "colado" em qualquer aplicacao Windows (o Notepad ou um
programa de e-mail por exemplo). Transmita este texto para quem ira� mandar um e-mail encriptado
para voce.
 
 

COMO GUARDAR AS CHAVES PUBLICAS DE MEUS AMIGOS

Vamos agora adicionar a chave pública de alguém a quem você quer enviar uma mensagem.
Digamos que queria mandar um e-mail encriptado para o autor deste artigo. A minha chave pública
é a seguinte:

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.3i

mQCNAjJ7fH0AAAEEAMr6pEaR6cV/GeTERXJ4UeUgTVq0QM1kq8D4srLyBFAQ05MN
HwAIxey5MMas4HEirWpLnRnqA7O0vm5gkMOTAWTmveWfliEHb/9FqS+cdMgN9YMC
6I5ne1CdepR/0Ra4EFQN7TvdbJFJhYYwz/cemGyG+Gf+BDWnxUdvFH62FU49AAUR
tCdKb3NlIERhbmllbCBSYW1vcyBXZXkgPHdleUBpd2hvdXNlLmNvbT6JAJUDBRAz
OC/PjHLRwZTTd6EBAd24BACYNNdjoPE838Ao3f0K6BYykPXBzKLwsvoa90HX+Tde
6XJh8PNKq0Drej+SRXi89QAnAV5Docl9BBDs7VPpOWA4OeucfNx1oJ3sJFCI6X6R
KntNDdv7TZEvlCCaQ0BNWO/RD7TzANSJ5MYA5CYxZND97p32D+wWwJMt96va5gj0
jw==
=XhPH

-----END PGP PUBLIC KEY BLOCK-----

Esta chave também está disponível em http://www.iwhouse.com/wey/wey.txt.

Abra este arquivo em algum editor de texto (pode ser o Notepad), selecione todo o texto e copie
para o clipboard (opçãoeditar|copiar).

No PGPn123 Key Ops, escolha a opção add public key. O programa irá perguntar se você
deseja autenticar esta chave.Caso você tenha certeza absoluta de que esta chave pública pertence à
pessoa identificada, poderá autenticar a chave. Paraeste tutorial, não vamos autenticar a chave, uma
vez que provavelmente você não me conhece pessoalmente e pode não ter acerteza de que esta é
realmente a minha chave pública. Todas as vezes que você for encriptar uma mensagem usando
estachave pública, o PGP irá pedir uma confirmação, pois a chave não é autenticada.
 
 

ENVIANDO SUA PRIMEIRA MENSAGEM ENCRIPTADA

Agora você já está pronto para enviar uma mensagem encriptada. Escreva-a em seu programa de
e-mail preferido (as telascapturadas são do Netscape). Coloque como destinatário
[email protected]. Selecione a mensagem com o mouse erecorte-a (menu edit|cut ou ctrl-X).
Chame o programa Enhanced PGPn123. O Enhanced PGPn123 exibe uma janela comalguns
modos de operação disponíveis. Usaremos o modo Clipboard, pois é compatível com qualquer
programa de e-mail.Os usuários de Eudora, Pegasus ou Agent poderão utilizar os modos dedicados
a estes programas (maiores informaçõesestão disponíveis no Help).

Quando aparecer a barra de ferramentas do PGPn123, clique no terceiro botão. Esta é a opção
para encriptar o texto que jáestá no clipboard. O PGPn123 irá mostrar uma tela com as chaves
públicas que já estão no seu sistema. Escolha a chave deJosé Daniel Ramos Wey e clique em OK.
O programa avisa que a mensagem só poderá ser lida por José Daniel. Clique emOK. O PGPn123
irá chamar o PGP em uma janela DOS para fazer a encriptação.

O PGP pergunta então se você quer usar esta chave pública, uma vez que a mesma não foi
autenticada. Responda que sim. OPGPn123 mostrará então numa janela o texto encriptado. Clique
na opção Express, que irá copiar todo o conteúdo da janelapara o clipboard. Volte para o e-mail
que você estava escrevendo. Clique na opção paste do menu edit (ou digite ctrl-V). Amensagem
que você escreveu originalmente agora só poderá ser lida por mim (nem o meu provedor, nem um
invasor, nemmesmo você poderá lê-la novamente).
 
 

COMO DESENCRIPTAR MENSAGENS

Para desencriptar uma mensagem que foi encriptada com a sua chave pública, o processo é
bastante simples: selecione toda amensagem (o texto deve começar por ---BEGIN PGP PUBLIC
KEY BLOCK--- e terminar por ---END PGP PUBLIC KEY BLOCK---). Copie a mensagem
para o clipboard (digitando ctrl-C). No PGPn123, clique no primeiro botão (o ícone éum cadeado
aberto). O PGPn123 irá chamar o PGP numa janela DOS para desencriptar o texto. O PGP pedirá
a suafrase-senha. Se esta estiver correta, o PGPn123 irá mostrar o texto desencriptado numa
janela.
 
 

ASSINANDO SUA MENSAGEM

Caso você queira apenas assinar um texto, permitindo que o seu conteúdo seja lido por qualquer
pessoa, o processo é oseguinte: escreva o texto, selecione e copie para o clipboard. No PGPn123,
clique no segundo ícone (o carimbo). OPGPn123 irá chamar o PGP, que irá pedir a sua
frase-senha. Se esta estiver correta, o PGPn123 irá mostrar o texto assinadonuma janela. Note que
o texto original pode ser lido normalmente. O processo para conferir um texto assinado com PGP é
omesmo de desencriptar um texto, com a diferença que o PGP não irá pedir nenhuma senha.
Porém, é necessário ter a chavepública de quem assinou. Se houver qualquer alteração no texto,
nem que seja uma única letra, ou ainda se a chave privadaque assinou a mensagem não
corresponder à chave pública, o PGP indicará que a assinatura não confere.

Para assinar e encriptar um texto, siga as mesmas instruções para encriptar o texto, mas marque a
opção Sign message na telaem que você escolhe a chave pública do destinatário. Um texto
assinado e encriptado só pode ser lido pelo destinatário, e sópode ter sido escrito pela pessoa que
o assinou.
 
 

PROTEÇÃO DE SEUS ARQUIVOS CONFIDENCIAIS

Por fim, o PGP pode ser também utilizado para proteger seus arquivos pessoais ou confidenciais.
No PGPn123, escolha aopção File Services (terceiro ícone da direita para a esquerda). O
programa irá emitir alguns avisos pedindo para registrar aversão shareware. Após isso, serão
exibidos os diretórios e arquivos do seu micro. Escolha um arquivo para ser encriptado eclique em
Encript. Você pode escolher entre encriptação por chave pública ou chave privada. Como não
vamos transmitir oarquivo para ninguém, utilizaremos chave privada. Escolha a opção Conventional
para o método de encriptação. Clique OK.

O PGPn123 irá executar o PGP, que irá pedir uma nova frase-senha para proteger este arquivo.
Digite e confirme esta frase.O PGP irá criar um arquivo com o mesmo nome do original, mas com
extensão .pgp. Este arquivo só pode ser desencriptadopor quem souber a frase-senha que você
acabou de utilizar.

Preste atenção: se você deseja enviar um arquivo confidencial anexado em um e-mail, não basta
apenas encriptar amensagem. É necessário encriptar o arquivo também. Para isso, siga as instruções
de encriptação de arquivos confidenciais,mas escolha a opção de encriptação por chave pública
(Public Key na opção para o método de encriptação) e utilize a chavepública de quem for receber o
documento.

Por fim, você deve distribuir a sua chave pública num servidor de chaves públicas PGP para facilitar
a distribuição. O maiorservidor de chaves públicas de PGP está em
http://www-swiss.ai.mit.edu/~bal/keyserver.html.
 
 

SEGURANÇA E ASPECTOS LEGAIS DO PGP

Quão segura é uma mensagem encriptada por PGP? Podemos afirmar que é muito segura. O PGP
utiliza um algoritmochamado RSA de encriptação por chave pública. Um ataque de força bruta ao
RSA é impensável. Estima-se que uma redede um milhão de computadores Pentium 133MHz
levaria cerca de 25.000 anos para quebrar uma única chave de 1024 bits.Quem quiser saber mais
detalhes sobre a segurança do PGP e outras formas de ataque, leia a documentação ou acesse
oendereço http://axion.physics.ubc.ca/pgp-attack.html.

Por fim, vamos ver as questões legais no uso do PGP. Programas que utilizam encriptação com
chaves maiores de 40 bits nãopodem ser exportados para fora dos EUA. E o PGP foi desenvolvido
originalmente nos EUA. Além disso, a versão originaldo PGP infringia as patentes do algoritimo
RSA. Podemos então usar o PGP?

A resposta é sim. O PGP possui duas versões, a americana e a internacional. A versão internacional
foi desenvolvida fora dosEUA, onde as leis de exportação de programas com criptografia não se
aplicam. Nos EUA, a versão freeware do PGP foireescrita para utilizar uma biblioteca pública da
RSA (a RSAREF), e a versão comercial (o PGPMail) possui uma licença doalgoritmo RSA. A
versão internacional utiliza a implementação do RSA original escrita por Phill Zimmermann, porém a
patenteda RSA não é válida fora dos EUA. Quem quiser saber mais detalhes sobre a legalidade do
PGP, veja em http://www.ifi.uio.no/pgp/FAQ.shtml e http://www.mantis.co.uk/pgp/pgp-legal.html.

O Brasil ainda não possui nenhuma lei quanto ao uso de encriptação de dados. Portanto,
programas, empresas ou indivíduosque a utilizem estão agindo legalmente. E recomenda-se que a
encriptação seja utilizada mesmo. Já existe uma lei que, apesarde inconstitucional, permite o
monitoramento e interceptação de mensagens eletrônicas para prova em investigação criminal(veja
na Internet World de novembro de 1996, página 76).

Dentro de alguns anos, a lei de exportação de programas que utilizam encriptação nos EUA deve
ser abolida e os programas passarão a utilizar encriptação por default, sem que o usuário perceba.
Mas, enquanto isso não acontece, o PGP vaidesempenhando muito bem este papel, garantindo a
nossa privacidade.
 
 

PARA MAIS INFORMAÇÕES:

· "PGP - Pretty Good Protection", Simson Garfinkel, O�Reilly & Associates, Inc.
· Lista das leis que regulamentam encriptação de dados em vários países:
http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
· Gold Key Campain for Private Communications Online, da Eletronic Frontier Foundation:
http://www.eff.org/goldkey.html
· The National Cryptologic Museum - http://www.nsa.gov:8080/museum
· Home page da versão internacional do PGP (com FAQ e documentação on-line):
http://www.ifi.uio.no/pgp

José Daniel Ramos Wey ([email protected]) e' pesquisador do Laboratorio de Sistemas
Integráveis da USP, na áreade computação gráfica, e consultor de Internet.
 

Todas as informacoes acima foram cedidas pela revista Internet World
( www.mantel.com ) em sua 21ª edicao