PGP Pretty Good Privacy PGP n O PGP

PGP Pretty Good Privacy

PGP n O PGP, do inglês Pretty Good Privacy (privacidade bastante boa), é um programa de computador que utiliza criptografia para proteger a privacidade do e-mail e dos arquivos guardados no computador do usuário.

PGP n PGP pode, ainda, ser utilizado como um sistema à prova de falsificações de assinaturas digitais, permitindo desta forma a comprovação de que arquivos ou e-mails não foram modificados.

História n Devido a importância mundial que o PGP obteve, muitos programadores passaram a querer escrever seus próprios softwares de criptografia de modo que fossem compatíveis.

História n Um grupo de membros da PGP Inc. convenceu Phill Zimmermann (criador do PGP) e os demais executivos da empresa de que um padrão aberto de PGP era imprescindível para o progresso do próprio PGP e da comunidade usuária da criptografia.

História n Em 1997 já haviam programas compatíveis, o mais notável era o Highware (agora chamado Veridis), pertencente a uma empresa belga que tinha obtido a licença do código do PGP 2 diretamente de Zimmermann.

História n Em julho de 1997, a PGP Inc. propôs a IETF que fosse criado um padrão aberto chamado Open. PGP. Eles concederam permissão para usar esse nome para descrever o padrão e qualquer programa que funcionasse com ele.

História n O IETF aceitou a proposta e iniciou o grupo de trabalho do Open. PGP. n A normativa técnica do Open. PGP foi descrita pela IETF através da RFC 2440 de julho de 1998.

Open. PGP n O Open. PGP é um padrão aberto de criptografia baseado no PGP. n Funciona através de chaves assimétricas, cada usuário gera em seu computador um par de chaves correspondentes: uma pública e uma secreta.

Passo 1: Alice envia sua chave pública para Bob

Chaves Assimétricas Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e descifra o texto utilizando sua chave privada

Open. PGP n A pública é distribuida livremente e permite qualquer usuário criptografe dados de modo que só quem possui a chave secreta correspondente possa descriptografar.

Open. PGP n A chave secreta, além dessa capacidade de descriptografar, é capaz de assinar dados. n Quando algo é assinado com uma chave secreta, a chave pública correspondente pode verificar se o remetente é verdadeiro e se o conteúdo não foi adulterado depois de assinado.

Open. PGP - sistema de cadeias de confiança n Além disso, o padrão Open. PGP conta com um sistema de cadeias de confiança. n Cada vez que um usuário obtém a chave pública de outro usuário, ao se encontrar com ele, pode verificar a impressão digital da chave obtida, garantindo certeza de que a chave é a verdadeira (não foi alterada).

Open. PGP - sistema de cadeias de confiança n Ao ter certeza de que a chave é verdadeira, o usuário pode assinar a chave pública do outro usuário com a sua chave privada, atestando a outros usuários que a chave realmente pertence a quem diz pertencer.

GNU PGP – implementando Open. PGP n Software criptográfico compatível com o Open. PGP n A FSF desenvolveu a sua própria versão e a chamou de GNU Privacy Guard, também conhecido como Gnu. PG ou simplesmente GPG.

GNU PG n O Gnu. PG está disponível em seu site gratuitamente junto ao seu código fonte, licenciado sob a GNU General Public License (GPL).

GNU PG n A vantagem do uso do Gnu. PG no lugar do PGP se deve justamente a essa licença pois permite livre cópia e publicação, garantindo que permanecerá livre e sem necessidade de pagamento de royalties.

GNU PG n O PGP comercializado pela PGP Inc. é um software pago e não há garantias de que continuará sendo comercializado ou ainda que seus valores não aumentarão. Por essa razão muitos usuários tem optado pelo Gnu. PG.

GNU Privacy Guard n O GNU Privacy Guard (Gnu. PG ou GPG) é uma alternativa de software livre para a suíte de criptografia PGP, liberado sob licença GNU General Public License.

GNU Privacy Guard n Ele é parte do projeto GNU da Free Software Foundation e recebe a maior parte do seu financiamento do governo alemão.

GNU Privacy Guard n O Gnu. PG é completamente compatível com o padrão IETF para o Open. PGP. n As versões atuais do PGP (e Filecrypt da Veridis) são inter-operáveis com o Gnu. PG e outros sistemas compatíveis com o Open. PGP.

GNU Privacy Guard n Apesar de algumas versões antigas do PGP serem inter-operáveis, nem todas as funcionalidades do novo software são suportadas pelo antigo.

Links para Gnu. PG n n ((pt)) Cripto. info - Instruções em português para uso do Gnu. PG, Enigmail, Win. PT, GPGee, etc. ((en)) Site do GNU Privacy Guard

Links Externos n Site do GNU Privacy Guard (em inglês) n Gpg 4 win – pacote de instalação do Gnu. PG e outros utilitários de criptografia para Windows n Como preparar-se para uma festa de assinatura de chaves GPG

GNU Privacy Guard n O Gnu. PG é um programa de linha de comando, mas existem vários front-ends que atuam como interfaces gráficas para o GPG. n Alguns exemplos são:

Interfaces Gráficas para o GPG n n n Enigmail, para o Mozilla Thunderbird Seahorse, baseado no GNOME Kgpg, baseado no KDE Win. PT, utilitário que funciona na bandeja do sistema do Windows O GPG trabalha com criptografia assimétrica.

Mozilla n Mozilla é uma suíte de aplicativos para Internet, livre, multi-plataforma, cujos componentes incluem um navegador, um cliente de correio eletrônico, um editor HTML e um cliente de chat IRC.

n O projeto foi iniciado pela Netscape Communications Corporation, passou a ser desenvolvido pela Fundação Mozilla (Mozilla Foundation), sendo descontinuado, apresentando apenas atualizações de segurança.

n No dia 12 de Abril de 2006 foi anunciada oficialmente a finalização da produção de versões para correções de falhas de segurança da Suíte Mozilla. n A última versão foi a 1. 7. 13 e o seu sucessor é o Sea. Monkey.

Sea. Monkey n É um conjunto de aplicativos para a Internet, contando com: navegador de internet, leitor de emails e grupos de notícias, cliente de IRC, editor de HTML, catálogo de endereços e calendário (nem sempre disponibilizado por padrão).

Sea. Monkey n n n n Desenvolvedor Sea. Monkey Council Lançamento 30 de Janeiro, 2006 Última versão 1. 1. 2 (2007 -mai-30) Sistema Op. Multiplataforma Gênero Suíte de Internet Licença. MPL, trilicença MPL/GPL/LGPL Website www. seamonkey-project. org

Sea. Monkey n Ele é a continuação da Suíte Mozilla por parte de uma comunidade de usuários e desenvolvedores.

S/MIME and Open. PGP

n Security services can be added to each communication link along a path, or n it can be wrapped around the data being sent, so that it is independent of the communication mechanism.

n This latter approach is often called "end-toend" security and it has become a very important topic for users.

n The two basic features of this type of security are privacy (only the intended recipient can read the message) and authentication (the recipient can be assured of the identity of the sender).

n The technical capabilities for these functions has been known for many years, but they have only been applied to Internet mail recently.

n There are currently two actively proposed methods for providing these security services: S/MIME and PGP

n The major Internet mail vendors have begun to ship products using: q q q PGP/MIME, S/MIME, Open. PGP.

SMTP n O formato básico de e-mail é definido pela RFC 2822. n O protocolo básico de transmissão de e-mail pela Internet, SMTP, suporta apenas 7 -bit de caracteres ASCII. n Isto limita as mensagens de emails, incluindo somente os caracteres usados na língua inglesa.

SMTP e o MIME n Multipurpose Internet Mail Extensions n É uma norma da Internet para o formato das mensagens de correio eletrônico. n A grande maioria das mensagens de correio eletrônico são trocadas usando o protocolo SMTP e usam o formato MIME.

MIME n O MIME provê mecanismos para o envio de outros tipos de informação por e-mail, incluindo caracteres não utilizados no idioma inglês usando codificações diferentes do ASCII, assim como formatos binários contendo imagems, sons, filmes, e programa de computadores.

SMTP/MIME n Mensagens de email, dentro e fora do formato MIME, é tipicamente utilizado pelos clientes de email ou pelos servidores de email quando enviam ou recebem emails via SMTP/MIME.

MIME e o HTTP n MIME é também um componente fundamental de comunicação protocolos como o HTTP, que requer que os dados sejam transmitidos em contextos semelhantes a mensagens de email, mesmo que o dado a ser transmitido não seja realmente um e-mail.

S/MIME n S/MIME was originally developed by RSA Data Security, Inc. n It is based on the PKCS #7 data format for the cryptographic messages, and the X. 509 v 3 format for certificates. n PKCS #7, in turn, is based on the ASN. 1.

PGP/MIME n PGP/MIME is based on PGP, which was developed by many individuals, some of whom have now joined together as PGP, Inc. n The cryptographic messages and certificate formats were created from scratch (criados a partir do zero), and use simple binary encoding. n The current work on PGP/MIME is in the IETF's Open. PGP Working Group.

Open. PGP n Historicamente, Open. PGP is also based on PGP.

A Tale of Three Protocols n There's a small problem with using PGP Freeware. It supports PGP/MIME (MIME as in Multipurpose Internet Mail Extensions) security protocols, and PGP/MIME is outmoded. n Not because it's bad or it's weak. It isn't. n PGP/MIME is as good a cryptosystem as there is. What it isn't is standardized.

A Tale of Three Protocols n PGP/MIME inspired the development of two standardized data protection schemes, Open. PGP and S/MIME (Secure MIME), which offer similar data protection features, but are not compatible with each other, not even their keys.

A Tale of Three Protocols n In the long run, either Open. PGP or S/MIME will win out and you will most likely have to do some conversion. n I think that the security that PGP Freeware offers in the meantime (enquanto isso) is worth that effort.

The S/MIME v 3 standard n n n Consists of five parts: Cryptographic Message Syntax (RFC 3852) Cryptographic Message Syntax (CMS) Algorithms (RFC 3370) S/MIME Version 3. 1 Message Specification (RFC 3851) S/MIME Version 3. 1 Certificate Handling (RFC 3850) Diffie-Hellman Key Agreement Method (RFC 2631)

S/MIME v 3 toolkit n A freeware S/MIME v 3 toolkit is now available in pre-release form. n See the toolkit home page for more information.

Differences and Commonalities Between S/MIME v 3 and Open. PGP are both protocols for adding authentication and privacy to messages. n However, they differ in many ways, and are not designed to be interoperable.

Differences and Commonalities Between S/MIME v 3 and Open. PGP n Some cryptography algorithms are the same between the two protocols, but others differ. n The following chart is a comparison of many relevant features of the two protocols, showing where they differ and where they are the same.

Mandatory features S/MIME v 3 Open. PGP Message format Binary, based on CMS Binary, based on previous PGP Certificate format Binary, based on X. 509 v 3 Binary, based on previous PGP Symmetric encryption algorithm Triple. DES (DES EDE 3 CBC) Triple. DES (DES EDE 3 Eccentric CFB) Signature algorithm Diffie-Hellman (X 9. 42) with DSS or RSA El. Gamal with DSS Hash algorithm SHA-1 MIME encapsulation of signed data Choice of multipart/signed or CMS format multipart/signed with ASCII armor MIME encapsulation of encrypted data application/pkcs 7 -mime multipart/encrypted