Gerenciando Chaves e Configurando Preferências | 6 |
Este capítulo explica como examinar e gerenciar as chaves armazenadas em seus chaveiros. Ele também descreve como configurar suas preferências para servir seu ambiente de computação particular.
As chaves que você cria, como as que obtém de outros, são armazenadas em chaveiros, que são essencialmente arquivos armazenados em seu disco rígido ou em um disquete. Normalmente suas chaves privadas são armazenadas em um arquivo chamado secring.skr e suas chaves públicas são armazenadas em outro arquivo chamado pubring.pkr. Estes arquivos estão geralmente localizados na pasta "PGP Keyrings".
NOTA: Como resultado de sua chave privada ser codificada automaticamente e sua frase-senha estar segura, não há perigo em deixar seus chaveiros em seu computador. Entretanto, se você não está confortável armazenando suas chaves nos locais padrão, você pode escolher um nome de arquivo ou local diferentes. Para detalhes, veja "Configurando suas preferências" mais à frente neste capítulo.
Ocasionalmente, você pode querer examinar ou alterar os atributos associados à suas chaves. Por exemplo, quando você obtém a chave pública de alguém, você pode querer identificar seu tipo (RSA ou Diffie-Hellman/DSS), checar sua impressão digital, ou determinar sua validade baseada em qualquer assinatura digital incluída com a chave. Você pode também querer assinar a chave pública de alguém para indicar que você acredita que ela seja válida, associar um nível de segurança ao proprietário da chave, ou alterar a frase-senha da sua chave privada. Você pode até querer procurar pela chave de alguém em um servidor de chaves. Você executada todas essas funções de gerenciamento de chaves através da janela de PGPkeys.
A janela de PGPkeys
Para abrir o programa PGPkeys, clique Iniciar --> Programas --> PGP --> PGPkeys, ou clique o ícone de PGPtray na sua bandeja de sistema ("system tray") e então clique "Launch PGPkeys". A janela de PGPkeys (figura 6-1) exibe as chaves que você criou para você mesmo, como também quaisquer chaves públicas que você adicionou ao seu chaveiro público.
Um ícone de uma chave e usuário () representa os pares de chave privada e pública que você criou para você mesmo, e chaves simples () representam as chaves públicas que você obteve de outros. Se você tem mais de um tipo de chave, você notará que chaves do tipo RSA são prateadas e chaves Diffie-Hellman/DSS são douradas.
Clicando no sinal "+" do lado esquerdo do ícone da chave, você pode expandir as entradas para exibir o ID do usuário ("user ID") e endereço de email do proprietário da chave, como representado pelos ícones de envelope (). Clicando o sinal + próximo do ícone do envelope, você pode ver as assinaturas de quaisquer usuários que certificaram o ID do usuário. Se você não quer expandir cada chave individualmente, simplesmente selecione as chaves de interesse e escolha "Expand Selection" (Expandir Seleção) através do menu "Edit".
Definição dos atributos de PGPkeys
Alguns dos atributos associados com chaves podem ser mostradas na janela principal de PGPkeys. Você pode escolher que atributos deseja tornar visíveis selecionando-os no menu "View". Para cada item selecionado no menu "View", PGPkeys exibe uma coluna na janela principal. Se você quiser alterar a ordem destas colunas, clique e arraste o cabeçalho da coluna que deseja mover.
Keys (Chaves) | Exibe uma representação icônica da chave juntamente com o nome do usuário e o endereço de email do proprietário, e os nomes dos assinantes da chave. |
Validity (Validade) |
Indica o nível de confiança que esta chave realmente pertence ao usuário alegado. A validade é baseada em quem assinou a chave e o quanto você confia no(s) assinante(s) para certificar a autenticidade de uma chave. As chaves públicas que você mesmo assina possuem o maior nível possível de validade, baseado na suposição que você somente assina a chave de alguém se você está totalmente convencido de que ela é válida. A validade de quaisquer outras chaves, que você mesmo não assinou, depende do nível de confiança que você deu a quaisquer outros usuários que assinaram a chave. Se não há assinaturas associadas à chave, ela não é considerada válida, e uma mensagem indicando este fato aparece sempre que você codificar para aquela chave. Validade é indicada tanto por um círculo quanto por uma barra, dependendo da configuração que você fez em "Advanced Preferences" (Preferências Avançadas), em "Display marginal validity level" (Exibir nível de validade marginal). Veja "Para configurar preferências avançadas" mais tarde neste capítulo. Se configurada, a validade aparece como: ,
uma barra vazia para chaves inválidas Se não configurada, então a validade aparece como: ,
um círculo cinza para chaves inválidas e chaves marginalmente
válidas se a Preferência Avançada "Treat marginally
valid keys as invalid" (Tratar chaves marginalmente válidas
como inválidas) estiver configurada Em um ambiente corporativo, seu gerente de segurança pode assinar as chaves dos usuários com a Chave de Assinatura Corporativa. Chaves assinadas com a Chave de Assinatura Corporativa são geralmente assumidas serem completamente válidas. Veja o Capítulo 3, "Criando e Trocando Chaves", para mais informações. |
Size (Tamanho) | Mostra o número de bits usados para construir a chave. Geralmente, quanto maior a chave, menos chances ela tem de ser comprometida. Entretanto, chaves maiores requerem um pouco mais de tempo para codificar e assinar dados que chaves menores. Quando você cria uma chave Diffie-Hellman/DSS, há um número para a porção Diffie-Hellman e outro número para a porção DSS. A porção DSS é usada para assinar, e a porção Diffie-Hellman para codificar. |
Description (Descrição) | Descreve o tipo de informação exibida na coluna "Keys" (Chaves): tipo de chave, tipo de ID, ou tipo de assinatura. |
Additional Decryption Key (Chave de Decifração Adicional) | Exibe se a chave possui uma Chave de Decifração Adicional ("Additional Decryption Key") associada. |
Key ID (ID da Chave) | Um número identificador único associado com cada chave. O número de identificação é útil para distinguir duas chaves que compartilham o mesmo nome de usuário e endereço de email. |
Trust (Confiança) |
Indica o nível de confiança que você deu ao proprietário da chave, para servir como apresentador para chaves públicas de outros. Esta confiança fica em jogo quando você está incapacitado de verificar a validade da chave pública de alguém por você mesmo, e ao invés acredita no julgamento de outros usuários que assinaram a chave. Quando você cria um par de chaves, elas são consideradas implicitamente confiáveis, como mostrado pelas faixas nas barras de validade e confiança, ou por um ícone de um ponto verde e usuário. Quando você recebe uma chave pública que foi assinada por outra das chaves do usuário em seu chaveiro público, o nível de autenticidade é baseado na confiança que você deu ao assinante daquela chave. Você associa um nível de confiança, podendo ser Trusted (Confiada), Marginal, ou Untrusted (Não Confiada), na caixa de diálogo "Key Properties" (Propriedades da Chave). |
Expiration (Expiração) | Mostra a data que a chave irá expirar. A maioria das chaves é configurada para "Never" (Nunca); entretanto, pode haver casos quando o proprietário de uma chave quer que ela seja usada por apenas um período fixo de tempo. |
Creation (Criação) | Mostra a data da criação original da chave. Você às vezes pode fazer uma suposição sobre a validade de uma chave baseado em quanto tempo ela tem estado em circulação. Se a chave tem sido usada por algum tempo, é menos provável que alguém irá tentar trocá-la, porque pode haver muitas outras cópias em circulação. Nunca confie em datas de criação como única indicação de validade. |
Examinando as propriedades de uma chave
Além dos atributos gerais mostrados na janela de PGPkeys, você pode também examinar e alterar outras propriedades de chaves e subchaves. Para acessar as Propriedades para uma chave em particular, selecione a chave desejada e então escolha "Properties" do menu "Keys".
Figura 6-2. Página de propriedades de PGPkeys (caixa de diálogo Propriedades Gerais, ou "General properties")
Janela de propriedades gerais da chave
Key ID (Identificador da Chave) | Um número identificador único associado com cada chave. Este número de identificação é útil para distinguir duas chaves que compartilham o mesmo nome de usuário e endereço de email. |
Key Type (Tipo da Chave) | O tipo de chave, RSA ou Diffie-Hellman/DSS. |
Key Size (Tamanho da Chave) | O tamanho da chave |
Created (Criada) | A data quando a chave foi criada |
Expires (Expira) | A data quando a chave expirar. Proprietários especificam esta data quando eles criam suas chaves, e o valor é geralmente configurado em "Never" (Nunca). Entretanto, algumas chaves são configuradas para expirar em uma data particular se o proprietário quer que elas sejam usadas por um período limitado de tempo. |
Cipher (Cifra) | CAST, Triple DES, ou IDEA. Este é o algoritmo "preferido" de codificação, pelo qual o proprietário da chave requer que você codifique para sua chave pública. Se este algoritmo estiver permitido em suas preferências Avançadas, ele será usado sempre que codificando para esta chave. |
Join Key (Chave de Junção) | Abre a caixa de diálogo "Key Share Collection". Apenas disponível para chaves divididas. Veja "Assinando e Decifrando arquivos com uma chave dividida" na página 73 para informações sobre reunir chaves divididas. |
Enabled (Habilitada) | Indica se a chave está atualmente habilitada. Quando uma chave está desabilitada, ela fica "escurecida" na janela de PGPkeys e não está disponível para executar quaisquer funções PGP exceto Decifrar e Verificar. Entretanto, a chave permanece em seu chaveiro e você pode habilitá-la novamente a qualquer momento. Para habilitar ou desabilitar uma chave, marque ou desmarque a caixa "Enabled" (a caixa não é visível para chaves implicitamente confiáveis). Este recurso é útil para prevenir que chaves usadas raramente "encham" a caixa de diálogo "Key Selection" (Seleção de Chave) quando você está enviando email codificado. |
Change Passphrase (Alterar Frase-Senha) |
Altera a frase-senha de uma chave privada. Se você alguma vez pensar que sua frase-senha não é mais um segredo, clique este botão para inserir uma nova frase-senha. É uma boa idéia alterar sua frase-senha a cada 6 meses mais ou menos. Para instruções sobre alteração de frases-senha, veja "Alterando sua frase-senha", mais tarde neste capítulo. |
Fingerprint (Impressão Digital) | Um número de identificação único que é gerado quando a chave é criada. Esta é a forma primária pela qual você pode checar pela autenticidade de uma chave. A melhor forma de checar uma impressão digital é pedir ao proprietário que ele a leia para você pelo telefone de forma que você possa compará-la com a impressão digital exibida para sua cópia da chave pública da pessoa. |
Trust Model (Modelo de Confiança) | Indica a validade de uma chave baseado na certificação e no nível de segurança que você tem no proprietário para garantir a autenticidade da chave pública de alguém. Você configura o nível de confiança deslizando a barra para o nível apropriado: Trusted (Confiável), Marginal, ou Untrusted (Não Confiável). A barra estará desabilitada para chaves revogadas, expiradas, e implicitamente confiadas. |
Janela de propriedades de subchaves
Valid From (Válido a partir de) | A data quando a subchave torna-se ativa. |
Expires (Expira) | A data quando a subchave expira. Proprietários especificam esta data quando eles criam suas subchaves. Subchaves são geralmente ativas por um período limitado de tempo. |
Key Size (Tamanho da Chave) | O tamanho da subchave. |
New (Nova) | Cria uma nova subchave. Para informações sobre criação de uma nova subchave, veja "Criando novas subchaves" na página 41. |
Revoke (Revogar) | Revoga a subchave de criptografia atualmente selecionada. Após você revogar a subchave e redistribuir sua chave, outros não estarão mais capacitados de codificar dados para esta subchave. |
Remove (Remover) |
Permanentemente remove a subchave de codificação atualmente selecionada. Este procedimento não pode ser desfeito. Quaisquer dados que forem codificados para a subchave selecionada não poderão mais ser decifradas. DICA: Use a opção "Revoke" (descrita acima) se você quer desabilitar a subchave e atualize o servidor de chaves. Uma vez que uma subchave tenha sido enviada ao servidor, ela não pode ser removida. |
Especificando um par de chaves padrão
Quando codificando mensagens ou arquivos, PGP lhe dá a opção de adicionalmente codificar para um par de chaves que você especifica como seu par de chaves padrão. Quando você assina uma mensagem ou a chave pública de alguém, PGP irá usar este par de chaves por padrão. Seu par de chaves padrão é exibido em negrito para distingui-las de suas outras chaves. Se você possui apenas um par de chaves em seu chaveiro, ele é automaticamente designado como seu par de chaves padrão. Se você possui mais de um par de chaves, você pode querer designar especificamente um par como seu par padrão.
Para especificar seu par de chaves padrão
- Abra o programa PGPkeys.
- Selecione o par de chaves que você quer designar como seu par padrão.
- Escolha "Set Default" (Configurar como Padrão) do menu "Keys".
O par de chaves selecionado é exibido em negrito, indicando que ele agora foi designado como seu par de chaves padrão.
Adicionando um novo nome de usuário ou endereço para um par de chaves
Você pode ter mais de um nome de usuário ou endereço de email para o qual quer usar o mesmo par de chaves. Após criar um novo par de chaves, você pode adicionar nomes alternativos e endereços às chaves. Você pode adicionar um novo nome ou endereço de email apenas se você possuir tanto a chave privada quanto a pública.
Para adicionar um novo nome de usuário ou endereço a uma chave existente
- Abra o programa PGPkeys.
- Selecione o par de chaves para o qual você quer adicionar outro nome de usuário ou endereço.
- Escolha "Add/Name" (Adicionar/Nome) no menu "Keys".
A caixa de diálogo "New User Name" (Novo Nome de Usuário) aparece (figura 6-3).
- Entre o novo nome e endereço de email nos campos apropriados, e então clique OK.
A caixa de diálogo "Enter Passphrase" é aberta.
- Entre sua frase-senha, então clique OK.
O novo nome é adicionado ao fim da lista de nomes de usuários associados com a chave. Se você quer configurar o novo nome de usuário e endereço como identificadores primários para sua chave, selecione o nome e endereço e então escolha "Set as Primary Name" (Configurar como Nome Primário) no menu "Keys".
Verificando a chave pública de alguém
No passado era difícil saber com certeza se uma chave pertencia a uma pessoa em particular, a não ser que a pessoa fisicamente entregasse a chave para você em um disquete. Trocar chaves desta maneira não é usualmente prático, especialmente para usuários que estão localizados a muitos quilômetros de distância.
Há várias formas de se checar a impressão digital de uma chave, mas a mais segura é chamar a pessoa e pedir a ela que leia a impressão digital para você pelo telefone. A não ser que a pessoa seja alvo de um ataque, é muito difícil que alguém fosse capaz de interceptar esta chamada aleatória e imitar a pessoa que você espera ouvir do outro lado. Você também pode comparar a impressão digital ou fotografia em sua cópia da chave pública de alguém com a impressão digital ou fotografia na chave original em um servidor público.
Para checar uma chave pública com a impressão digital da chave
- Abra o programa PGPkeys.
- Selecione a chave pública que você deseja verificar.
- Escolha "Properties" (Propriedades) do menu "Keys" ou clique () para abrir a janela de Propriedades.
A janela de propriedades se abre, como mostrado na figura 6-4.
- Use os caracteres exibidos na caixa de texto "Fingerprint" para comparar com a impressão digital original.
Assinando a chave pública de alguém
Quando você cria um conjunto de chaves, as chaves são automaticamente assinadas usando sua chave pública. Da mesma forma, uma vez que você está certo de que uma chave pertence à pessoa correta, você pode assinar a chave pública desta pessoa, indicando que você está certo de que ela é uma chave válida. Quando você assina a chave pública de alguém, um ícone associado com seu nome de usuário é exibido para aquela chave.
Para assinar a chave pública de alguém
- Abra o programa PGPkeys.
- Selecione a chave pública que você quer assinar.
- Escolha "Sign" no menu "Keys" ou clique para abrir a janela "Sign Keys".
A janela "Sign Keys" aparece (figura 6-5) com a chave pública e a impressão digital exibida em uma caixa de texto.
- Clique a caixa "Allow signature to be Exported..." (Permitir que a assinatura seja exportada), para permitir que sua assinatura seja exportada com esta chave.
Uma assinatura exportável é aquela pode ser enviada aos servidores e viajar com a chave sempre que ela é exportada, como arrastando-a para uma mensagem de email. A caixa "Allow signature to be Exported..." é uma forma rápida de indicar que você quer exportar sua assinatura.
Ou
Clique o botão "More Choices" (Mais Opções) para configurar opções, como tipo de assinatura e expiração da assinatura (Figura 6-6).
Escolha um tipo de assinatura com a qual assinar a chave pública. Suas opções são:
- Não exportável. Use esta assinatura quando você acredita que a chave é válida mas não quer que outros baseiem-se em sua certificação. Este tipo de assinatura não pode ser enviado com a chave associada para um servidor de chaves, ou exportada de qualquer forma.
- Exportável. Use assinaturas exportáveis em situações onde sua assinatura é enviada com a chave para um servidor de chaves, de forma que outros possam basear-se em sua assinatura e confiar em suas chaves como resultado. Isto é equivalente a marcar a caixa "Allow signature to be exported..." no menu "Sign Keys".
- Meta-Apresentador. Certifica que esta chave e quaisquer chaves assinadas por esta chave com uma Assertiva de Validade de um Apresentador Confiável são apresentadores completamente confiáveis para você. Este tipo de assinatura não é exportável.
- Apresentador Confiável. Use esta assinatura em situações onde você certifica que esta chave é válida, e que o proprietário da chave deve ser completamente confiado para certificar outras chaves. Este tipo de assinatura é exportável. Você pode restringir as capacidades de validação do apresentador confiável para um domínio particular de email.
- Clique o botão "Sign" (Assinar).
A janela de "Passphrase" aparece.
- Insira sua frase-senha, então clique OK.
Um ícone associado com seu nome de usuário agora é incluído com a chave pública que você acaba de assinar.
Concedendo confiança a validação de chaves
Além de certificar que uma chave pertence a alguém, você pode associar um nível de confiança ao usuário das chaves indicando o quanto você confia neles para agir como um apresentador para outros cujas chaves você pode obter no futuro. Isto significa que se você alguma vez obter uma chave de alguém que foi assinada por uma pessoa para quem você designou como confiável, a chave é considerada válida mesmo que você mesmo não tenha feito a checagem.
Para conceder confiança a uma chave
- Abra o programa PGPkeys.
- Na janela PGPkeys, selecione a chave para qual você quer alterar o nível de segurança.
NOTA: Você deve assinar a chave antes de configurar o nível de confiança para ela. Se você não assinou a chave ainda, veja "Assinando a chave pública" na página 53 para instruções.
- Escolha "Properties" (Propriedades) do menu "Keys" ou clique () para abrir a janela de Propriedades, como mostrado na figura 6-4.
- Use a barra deslizante "Trust Level" (Nível de Confiança) para escolher o nível apropriado de segurança para o par de chaves.
Figura 6-7. Caixa de diálogo "Trust Level"
- Feche a caixa de diálogo para aceitar a nova configuração.
Desabilitando e habilitando chaves
Às vezes você pode querer temporariamente desabilitar uma chave. A habilidade de desabilitar chaves é útil quando você quer manter uma chave pública para uso futuro, mas não quer que elas "encham" sua lista de destinatários a cada vez que você envia email.
Para desabilitar uma chave
- Abra o programa PGPkeys.
- Na janela de PGPkeys, selecione a chave que você deseja desabilitar.
- Selecione "Disable" (Desabilitar) no menu "Keys".
A chave é escurecida e está temporariamente desabilitada para uso.Para habilitar uma chave
- Abra o programa PGPkeys.
- Selecione a chave que você deseja habilitar.
- Selecione "Enable" (Habilitar) no menu "Keys".
A chave torna-se visível e pode ser usada como antes.
Apagando uma chave, assinatura, ou ID de usuário
Em algum momento você pode querer remover uma chave, uma assinatura, ou um ID de usuário associado com uma chave em particular.
NOTA: Quando você apaga uma chave, uma assinatura, ou um ID de usuário de uma chave, ela é removida e não é recuperável. Assinaturas e IDs de usuário podem ser re-adicionadas a uma chave, e uma chave pública importada pode ser re-importada para seu chaveiro. Entretanto, uma chave privada que exista apenas em seu chaveiro não pode ser recriada, e todas as mensagens codificadas para as cópias de sua respectiva chave pública não poderão mais ser decifradas.
Para apagar uma chave, uma assinatura, ou um ID de usuário
- Abra o programa PGPkeys.
- Selecione a chave, assinatura, ou ID de usuário que você deseja apagar.
- Escolha "Delete" do menu "Edit" ou clique () na barra de ferramentas de PGPkeys.
A caixa de diálogo "Confirmation" (Confirmação) aparece.
- Clique o botão OK.
Alterando sua Frase-Senha
É uma boa prática alterar sua frase-senha em intervalos regulares, talvez a cada três meses. Mais importante, você deve alterar sua frase-senha no momento que crer que ela foi comprometida, por exemplo, por alguém olhando por sobre seus ombros enquanto você a digitou.
Para alterar sua frase-senha
- Abra o programa PGPkeys.
- Selecione sua chave listada na janela de PGPkeys.
- Escolha "Properties" do menu "Keys" ou clique () para abrir a caixa de diálogo "Properties" (Propriedades).
A caixa de diálogo "Properties" aparece (veja figura 6-4).
- Clique "Change Passphrase" (Alterar Frase-Senha).
A caixa de diálogo "Passphrase" aparece.
NOTA: Se você quer alterar a frase-senha para uma chave dividida, você deve primeiro reunir as partes da chave. Clique "Join" (Juntar) para obter as partes da chave. Veja "Assinando e decifrando arquivos com uma chave dividida" na página 73 para informações sobre obtenção de partes de chaves.
- Entre sua frase-senha atual no espaço provido, então clique OK.
A caixa de diálogo "Change Passphrase" aparece.
- Insira sua nova frase-senha na primeira caixa de texto. Pressione a tecla "Tab" para avançar à próxima caixa de texto e confirmar sua entrada inserindo sua nova frase-senha novamente.
- Clique OK.
ATENÇÃO: Se você está alterando sua frase-senha porque sente que sua frase-senha foi comprometida, você deve eliminar todos os chaveiros de backup e eliminar seu espaço livre.
Importando e Exportando Chaves
Apesar de você freqüentemente distribuir sua chave pública e obter as chaves públicas de outros cortando e colando o texto puro de um servidor de chaves público ou corporativo, você também pode trocar chaves importando-as e exportando-as como arquivos texto separados. Por exemplo, alguém poderia entregar-lhe um disco contendo sua chave pública, ou você poderia tornar sua chave pública disponível em um servidor FTP.
Para importar uma chave de um arquivo
- Abra o programa PGPkeys.
- Escolha "Import" (Importar) no menu "Keys".
A caixa de diálogo "Import" aparece.
- Selecione o arquivo que contém a chave que você quer importar, então clique "Open" (Abrir).
A caixa de diálogo "Import Selection" (Importar Seleção) é aberta.
- Selecione a(s) chave(s) que você deseja importar para seu chaveiro, então clique o botão "Import".
- A(s) chave(s) importada(s) aparece(m) na janela de PGPkeys, onde você pode usá-la(s) para codificar dados ou para verificar a assinatura digital de alguém.
Para adicionar uma chave de uma mensagem de email
Se um colega enviar-lhe uma mensagem de email com sua chave dentro (como um bloco de texto) você pode adicioná-la a seu chaveiro.
- Enquanto a janela da mensagem de email está aberta, abra a janela de PGPkeys.
- Coloque as duas janelas lado a lado de forma que você possa ver parte da janela de PGPkeys atrás da janela da mensagem.
- Selecione o texto da chave, incluindo o texto "BEGIN PGP PUBLIC KEY BLOCK" e "END PGP PUBLIC KEY BLOCK", e arraste o texto na janela de PGPkeys.
A caixa de diálogo "Import Selection" (Importar Seleção) é aberta.
- Selecione a(s) chave(s) que você deseja importar para seu chaveiro, então clique o botão "Import".
- A(s) chave(s) importada(s) aparece(m) na janela de PGPkeys, onde você pode usá-la(s) para codificar dados ou para verificar a assinatura digital de alguém.
Para exportar uma chave para um arquivo
- Abra o programa PGPkeys.
- Selecione a chave que você quer exportar para um arquivo.
- Escolha "Export" (Exportar) no menu "Keys".
A caixa de diálogo "Export" aparece.
- Insira o nome do arquivo ou navegue ao arquivo para onde você quer que a chave seja exportada, e clique "Save".
A chave exportada é salva no arquivo com o nome dado na pasta especificada.
Revogando uma chave
Se alguma vez acontecer de você não mais confiar em seu par pessoal de chaves, você pode emitir uma revogação para o mundo dizendo para pararem de usar sua chave pública. A melhor forma de circular uma chave revogada é colocá-la em um servidor de chaves públicas .
Para revogar uma chave
- Abra o programa PGPkeys.
- Selecione o par de chaves que você quer revogar.
- Escolha "Revoke" no menu "Keys".
A caixa de diálogo "Revocation Confirmation" (Confirmação de Revogação) aparece.
- Clique OK para confirmar seu intuito de revogar a chave selecionada.
A caixa de diálogo "Enter Passphrase" aparece.
- Insira sua frase-senha, então clique OK.
Quando você revoga uma chave, ela é cruzada com uma linha vermelha para indicar que ela não é mais válida.
- Envie a chave revogada ao servidor de forma que todos saberão que não devem mais usar sua chave antiga.
É possível que você se esqueça sua frase-senha algum dia ou perca sua chave privada. Em qualquer desses casos, você nunca mais poderá usar sua chave novamente, e você não terá como revogar sua chave antiga quando criar uma nova chave. Para se prevenir contra esta possibilidade, você pode apontar uma outra pessoa como revogador da chave em seu chaveiro público, para revogar sua chave. Esta pessoa que você designar poderá revogar sua chave DH/DSS, enviá-la ao servidor e será como se você a tivesse revogado você mesmo.Para apontar um revogador designado
- Abra o programa PGPkeys.
- Selecione o par de chaves para o qual você quer designar um revogador.
- Selecione "Add/Revoker" (Adicionar/Revogador) do menu "Keys".
Uma caixa de diálogo é aberta e mostra uma lista de chaves.
- Selecione a(s) chave(s) na lista de "User ID" que você quer apontar como um revogador designado.
- Clique OK.
Uma caixa de diálogo de confirmação aparece.
- Clique OK para continuar.
A caixa de diálogo "Passphrase" aparece.
- Insira sua frase-senha, então clique OK.
- A(s) chave(s) selecionada(s) agora está(ão) autorizada(s) a revogar sua chave. Para um gerenciamento efetivo de chaves, distribua uma cópia atual de sua chave para o(s) revogador(es) ou envie sua chave para o servidor. Veja "Distribuindo sua chave pública" na página 46 para instruções.
Configurando suas preferências
PGP é configurado para acomodar as necessidades da maioria dos usuários, mas você tem a opção de ajustar algumas das configurações para adequá-las a seu ambiente particular de computação. Você especifica estas configurações através da caixa de diálogo "Preferences" (Preferências) do menu "Edit" de PGPkeys.
Para configurar preferências gerais
- Abra o programa PGPkeys.
- No menu "Edit" de PGPkeys, escolha "Preferences".
O menu "Preferences" se abre com a aba "General" (Geral) aparecendo (figura 6-8).
- Selecione as configurações gerais de codificação na aba "General". Suas opções são:
- Always Encrypt to Default Key (Sempre Codificar para a Chave Padrão). Quando esta configuração está habilitada, todas as mensagens de email e arquivos anexados que você codificar com a chave pública de um destinatário também serão codificadas para você, usando sua chave pública padrão. É útil deixar esta configuração habilitada, para que você tenha a opção de decifrar os conteúdos de quaisquer emails ou arquivos que você codificou anteriormente.
- Faster Key Generation (Geração Mais Rápida de Chave). Quando esta configuração está habilitada, é necessário menos tempo para gerar um novo par de chaves Diffie-Hellman/DSS. Este processo é acelerado usando um conjunto previamente calculado de números primos, ao invés de passar pelo demorado processo de criá-los a partir do zero a cada vez que uma nova chave é gerada. Entretanto, lembre-se de que a geração mais rápida de chaves está implementada apenas para as opções de tamanhos fixos e pré-definidos de chaves acima de 1024 e abaixo de 4096 quando se cria uma chave, e não é útil se você entrar outro valor qualquer. Apesar de ser difícil para qualquer um quebrar sua chave baseado no conhecimento desses números primos pré-preparados, algumas pessoas podem querer gastar este tempo extra para criar um par de chaves com nível máximo de segurança..
A crença geral da comunidade criptográfica é que usar números primos pré-preparados não provê diminuição de segurança para algoritmos Diffie-Hellman/DSS. Se este recurso o deixa desconfortável, você pode desabilitá-lo. Para maiores informações, leia o FAQ localizado no website da Network Associates.
- Cache Decryption Passphrases for... (Guardar Frases-Senhas de Decifração por...) Quando esta configuração está habilitada, sua frase-senha de decifração é automaticamente armazenada na memória de seu computador. Especifique a freqüência (em horas: minutos: segundos) na qual você deseja salvar sua frase-senha. O valor padrão é 2 minutos.
- Cache Signing Passphrases for... (Guardar Frases-Senhas de Assinatura por...) Quando esta configuração está habilitada, sua frase-senha de assinatura é automaticamente armazenada na memória de seu computador. Especifique a freqüência (em horas: minutos: segundos) na qual você deseja salvar sua frase-senha de assinatura. O valor padrão é 2 minutos.
- Comment Block (Bloco de Comentário). Você pode adicionar um texto de comentário nesta área. O texto sempre será incluído em mensagens e arquivos que você codificar ou assinar.
- Warn Before Wiping Files (Avisar Antes de Eliminar Arquivos). Quando esta configuração está habilitada, uma caixa de diálogo aparece antes de você eliminar um arquivo, para lhe dar uma última chance de mudar de idéia antes que PGP sobrescreva seguramente o conteúdo do arquivo e apague-o de seu computador.
- Clique OK para salvar suas alterações e retornar ao menu PGPkeys, ou escolha outra aba para continuar a configurar suas preferências de PGP.
Para configurar preferências de arquivos
Use a aba "Files" (Arquivos) para especificar a localização dos chaveiros utilizados para armazenar suas chaves privadas e públicas.
- Abra o programa PGPkeys.
- Selecione "Preferences" no menu "Edit" de PGPkeys, então escolha a aba "Files".
O menu "Preferences" se abre com a aba "Files" (Arquivos) aparecendo (figura 6-9).
- Use os botões listados na aba "Arquivos" para configurar os locais apropriados para seus chaveiros públicos e privados, e/ou o arquivo de inicialização de números aleatórios:
- Public Keyring File (Arquivo do Chaveiro Público). Exibe o local atual e o nome do arquivo onde PGP espera encontrar o arquivo de seu chaveiro público. Se você pretende armazenar suas chaves públicas em um arquivo com um nome diferente, ou em algum outro local, você especifica esta informação aqui. O local que você especificar também será usado para armazenar todos os backups automáticos de seu chaveiro público.
- Private Keyring File (Arquivo do Chaveiro Privado). Exibe o local atual e o nome do arquivo onde PGP espera encontrar o arquivo de seu chaveiro privado. Se você pretende armazenar suas chaves privadas em um arquivo com um nome diferente, ou em algum outro local, você especifica esta informação aqui. Alguns usuários gostam de manter suas chaves privadas em um disquetes, que eles então inserem como uma chave "real" sempre que precisam assinar ou decifrar arquivos. O local que você especificar também será usado para armazenar todos os backups automáticos de seu chaveiro privado.
- Set Random Seed Location (Configurar Localização do Arquivo de Inicialização de Números Aleatórios). Exibe a localização do arquivos de inicialização de números aleatórios. Alguns usuários podem desejar manter seu arquivo de inicialização de números aleatórios em um local seguro para prevenir-se de alterações. Já que este método de ataque é bastante difícil, e já foi antecipado por PGP, mover o arquivo de inicialização de números aleatórios de seu local padrão é de pouca vantagem.
- Clique OK para salvar suas alterações e retornar ao menu PGPkeys, ou escolha outra aba para continuar a configurar suas preferências de PGP.
Para configurar preferências de email
Use a aba "Email" para especificar as preferências que afetam a forma que as funções de PGP são implementadas para seu aplicativo particular de email. Lembre-se de que nem todas as seleções podem se aplicar a seu programa particular de email.
- Abra o programa PGPkeys.
- Selecione "Preferences" no menu "Edit" de PGPkeys, e clique a aba "Email".
O menu "Preferences" abre-se, com a aba "Email" aparecendo (Figura 6-10).
- Selecione suas preferências de codificação de email na aba "Email". Suas opções são:
- Use PGP/MIME when sending mail (Usar PGP/MIME quando enviando correspondência). Se você estiver usando Eudora e habilitar esta configuração, todas as suas mensagens de email e arquivos anexados serão automaticamente codificados para os destinatários especificados. Esta configuração não tem efeito em outras codificações que você fizer através da Área de Transferência ou com o Windows Explorer e não deve ser usada se você planeja enviar email para destinatários cujo aplicativo de email não suporte o padrão PGP/MIME. Usando Eudora, anexos sempre serão codificados seja qual for esta configuração, mas se o destinatário não possuir PGP/MIME, o processo de decifração será mais manual.
- Encrypt new messages by default (Codificar novas mensagens por padrão). Se você habilitar esta configuração, todas as suas mensagens de email e anexos de arquivos são automaticamente codificadas. Alguns aplicativos de email não suportam este recurso.
- Sign new messages by default (Assinar novas mensagens por padrão). Se você habilitar esta configuração, todas as suas mensagens de email e anexos de arquivos são automaticamente assinadas. Alguns aplicativos de email não suportam este recurso. Este recurso não tem efeito em outras assinaturas que você adicionar através da Área de Transferência ou com o Windows Explorer.
- Automatically decrypt/verify when opening messages (Automaticamente decifrar/verificar quando abrindo mensagens). Se você habilitar esta configuração, todas as suas mensagens de email e anexos de arquivos que estão codificados e/ou assinados são automaticamente decifrados e verificados. Alguns aplicativos de email não suportam este recurso.
- Word wrap clear-signed messages at column [ ] (Quebrar linha em mensagens de texto na coluna []). Esta configuração especifica o número da coluna onde um sinal "carriage return" é usado para quebrar o texto em sua assinatura digital para a próxima linha. Este recurso é necessário porque nem todos os aplicativos manipulam a quebra de linha da mesma forma, o que poderia fazer com que as linhas em sua mensagem assinada digitalmente fossem quebradas de uma forma que não poderiam ser facilmente lidas. A configuração padrão é 70, o que previne problemas com a maioria dos aplicativos.
ATENÇÃO: Se você alterar a configuração de quebra de linha em PGP, certifique-se de que ela é menor que a configuração de quebra de linha em seu aplicativo de email. Se você a configurar para um tamanho igual ou maior, sinais de "carriage return" podem ser adicionados e invalidar sua assinatura PGP.
- Clique OK para salvar suas alterações e retornar ao menu PGPkeys, ou escolha outra aba para continuar a configurar suas preferências de PGP.
Para configurar preferências de servidores
Use a aba "Server" (Servidor) para especificar configurações para os servidores de chaves públicas que você está usando para enviar e obter chaves públicas, com os quais você automaticamente sincroniza chaves.
- Abra o programa PGPkeys.
- Selecione "Preferences" no menu "Edit" de PGPkeys, então escolha a aba "Server".
- O menu "Preferences" se abre com a aba "Server" (Servidor) aparecendo (figura 6-11).
A coluna "Domain" (Domínio) lista o domínio Internet (algo como "companhia.com") do(s) servidor(es) disponível(is). Quando enviando chaves a um servidor, PGP tenta encontrar o domínio da chave nesta lista, e assim encontrar a entrada apropriada no servidor. Se o domínio não for encontrado, um servidor para o primeiro servidor de domínio mundial que serve todas as chaves será usado, e outros servidores de domínio mundial a seguir na lista poderão ser procurados se a primeira procura não for bem sucedida.
- Para configurar suas preferências de servidores, use estes botões:
- New (Novo). Adiciona um novo servidor à sua lista.
- Remove (Remover). Remove o servidor atualmente selecionado de sua lista.
- Edit (Editar). Permite que você edite informações do servidor para o servidor atualmente selecionado.
- Set root server (Especificar servidor raiz). Identifica o servidor raiz que é usado para operações específicas de corporações, como atualizar listas de grupos, enviar listas de grupos, atualizar apresentadores etc. Em configurações corporativas, seu gerente de segurança já terá configurado isto.
- Na área "Synchronize with server upon:" (Sincronizar com o servidor quando:), selecione as opções para usar quando sincronizando seu chaveiro privado com seu(s) servidor(es) de chaves. Suas opções são:
- Encrypting to unknown keys (Codificando para chaves desconhecidas). Selecione esta opção para fazer com que PGP automaticamente procure destinatários desconhecidos no servidor, para localizar usuários que não estão em seu chaveiro quando codificado email.
- Adding names/photos/revokers (Adicionando nomes/fotos/revogadores). Selecione esta opção para fazer com que chaves para as quais você adicionou nomes, fotografias, ou revogadores sejam primeiro atualizadas a partir do servidor e então suas alterações enviadas ao servidor após completar a atualização. Atualizar a chave antes certifica que, por exemplo, a chave não foi revogada desde a última vez que você a atualizou.
- Signing keys (Assinando chaves). Selecione esta opção para fazer com que chaves para as quais você está adicionando sua assinatura sejam primeiro atualizadas a partir do servidor e então suas alterações enviadas ao servidor após completar a atualização.
- Revocations (Revogações). Selecione esta opção para fazer com que chaves que você está revogando sejam primeiro atualizadas a partir do servidor e então suas alterações enviadas ao servidor após completar a atualização.
- Verification (Verificação). Selecione esta opção para fazer com que PGP automaticamente procure e importe a partir do servidor de chaves quando verificando um email ou arquivo assinado para o qual você não possui a chave pública do emitente.
- Clique OK para salvar suas alterações e retornar ao menu PGPkeys, ou escolha outra aba para continuar a configurar suas preferências de PGP.
Para adicionar um servidor de chaves à lista de servidores
- Abra a janela de preferências ("Preferences"). então clique a aba "Servers".
- Clique o botão "New" (Novo).
A caixa de diálogo "Add New Server" (Adicionar Novo Servidor) aparece, como mostrado na figura 6-12.
- Na caixa "Protocol" (Protocolo), selecione um protocolo para usar para acessar o servidor. Suas opções são LDAP, LDAPS, e HTTP.
- Na caixa "Server Name" (Nome do Servidor), entre o nome de domínio ou endereço IP do servidor. Por exemplo, servidor.companhia.com ou 123.445.67.
- Digite o número da porta do servidor na caixa "Port" (Porta). Por exemplo, 11371 é usada por servidores de certificação HTTP antigos, 389 é comumente usada para servidores de certificação LDAP usados comumente.
- A caixa "Server Key" (Chave do Servidor) é usada por servidores LDAPS. A chave do servidor é usada pelo servidor para autenticar uma conexão (informações sobre chaves não são exibidas até que você se conecte ao servidor).
- Selecione a opção "Any Domain" (Qualquer Domínio) para permitir que PGP envie chaves a partir de qualquer domínio para este servidor de chaves. Esta opção está habilitada por padrão.
Se você quer que PGP envie apenas chaves de um domínio específico para este servidor de chaves, selecione a opção abaixo de "Any Domain". Então, insira o nome do domínio no espaço fornecido. Por exemplo, se você especificar o domínio companhia.com, apenas aquelas chaves cujo endereço de email terminem com companhia.com serão enviados para este servidor.
- Selecione a caixa "List in Search Window" (Listar na Janela de Pesquisa) se você quer que este servidor de chaves seja listado na janela de pesquisa de PGPkeys.
Para configurar preferências avançadas
Use a aba "Advanced" para exibir a aba onde você selecione algoritmos de criptografia de chaves e opções de confiança para chaves.
PGP dá a você a opção de selecionar e/ou alterar algoritmos de criptografia de chaves. Você pode selecionar o algoritmo de criptografia para suas chaves PGP: CAST (o padrão), IDEA, ou Triple-DES. Se você deseja usar IDEA ou Triple-DES, você deve fazer a seleção antes de gerar suas chaves. CAST é um novo algoritmo no qual PGP e outros criptógrafos possuem uma confiança muito alta, e Triple-DES é um algoritmo do governo dos EUA que tem suportado o teste do tempo. IDEA é o algoritmo usado por todas as chaves RSA geradas por PGP. Para maiores informações sobre estes algoritmos, veja "Os algoritmos simétricos de PGP" na página 143.
A escolha para "Preferred Algorithm" (Algoritmo Preferido) afeta o seguinte:
- Quando usando "codificação convencional", a cifra preferida é usada para codificar.
- Quando criando uma chave, a cifra preferida é gravada como parte da chave de forma que outras pessoas irão usar este algoritmo quando codificando para você.
A escolha para "Allowed Algorithm" (Algoritmos Permitidos) afeta o seguinte:
- Quando criando uma chave, as cifras permitidas são gravadas como parte da chave de forma que outras pessoas irão usar um destes algoritmos quando codificando para você, se o algoritmo preferido não estiver disponível para eles.
NOTA: Codificação para uma chave pública irá falhar se nenhum dos algoritmos preferidos ("Preferred Algorithm") ou nenhum dos algoritmos disponíveis ("Allowed Algorithms") estiverem disponíveis para a pessoa que está codificando a mensagem.
ATENÇÃO: Use as caixas para CAST, IDEA, e Triple-DES apenas se você subitamente decidiu que um algoritmo em particular não é seguro. Por exemplo, se você ficar sabendo que Triple-DES foi quebrado, você pode deselecionar aquela caixa e todas as novas chaves que você gerar terão um registro que indicará que Triple-DES não deve ser usado quando codificando para você.PGP lhe dá a opção de selecionar e/ou alterar como a confiança de uma chave é exibida, e se você deseja ou não ser avisando quando você codificar uma mensagem para uma chave pública que possui uma Chave Adicional de Decodificação (ADK, "Additional Decryption Key") associada. Na seção "Trust Model" (Modelo de Confiança), escolha uma das opções:
- Display marginal validity level (Exibir nível de validade marginal). Use esta caixa para especificar se chaves marginalmente válidas devem ser exibidas como tal, ou simplesmente exibir a validade como "on" (ativada) ou "off" (desativada). Validades marginais aparecem como ícones de barras possuindo diferentes padrões de sombra. Validade ativada/desativada aparece como ícones de círculos; verde para válidas, cinza para inválidas (a chave não foi validada, ela não foi assinada nem por um apresentador confiável nem por você).
- Treat marginally valid keys as invalid (Tratar chaves marginalmente válidas como inválidas). Use esta caixa para especificar se deve-se tratar todas as chaves marginalmente válidas como inválidas. A seleção desta opção causa a caixa de diálogo "Key Selection" (Seleção de Chaves) surgir sempre que você codificar para chaves marginalmente válidas.
- Warn when encrypting to an ADK (Avisar quando codificando para uma ADK). Use esta caixa para especificar se você quer que PGP emita um aviso sempre que uma chave com a qual se codificará possui uma Chave Adicional de Decodificação (ADK, "Additional Decryption Key") associada.
- Export format (Formato de Exportação).
- Compatible (Compatível): Exporta chaves em um formato compatível com versões anteriores de PGP.
- Complete (Completa): Exporta para o novo formato de chaves, que inclui IDs fotográficos.
Você pode procurar por chaves em chaveiros locais e servidores remotos de chaves.
Para procurar pela chave de um usuário
- Abra o programa PGPkeys.
- Escolha "Search" (Procurar) a partir do menu "Server" ou clique o botão "Search" () no menu de PGPkeys.
A janela de procura de PGPkeys aparece.
- Escolha o servidor que você deseja pesquisar através do menu "Search for Keys On" (Procurar por Chaves Em).
- Especifique seu critério de procura:
O padrão é ID de usuário ("User ID"), mas você pode clicar as setas para selecionar "Key ID" (ID da Chave), "Key Status" (Status da Chave), "Key Type" (Tipo de Chave), "Key Size" (Tamanho da Chave), "Creation Date" (Data de Criação), ou "Expiration Date" (Data de Expiração). Por exemplo, você poderia procura por todas as chaves com o ID de usuário de Fred.
- Especifique a condição pela qual você está procurando.
Você pode usar qualquer uma das seguintes condições:
- Contains (Contém)
- Does Not Contain (Não Contém)
- Is (É)
- Is Not (Não É)
- Is Signed By (É Assinado Por)
- Is Not Signed By (Não É Assinado Por)
- Is At Least (É Ao Menos) (para datas de criação ou expiração)
- Is At Most (É No Máximo) (para datas de criação ou expiração)
- Entre o valor pelo qual você quer pesquisar.
- Clique "More Choices" (Mais Opções) para adicionar critérios adicionais para sua pesquisa; por exemplo, IDs de chaves com o nome Fred criados em ou antes de 6 de outubro de 1997.
- Para iniciar a pesquisa, clique "Search".
Uma barra de progresso exibe que a procura está sendo feita.
NOTA: Para cancelar uma procura em progresso, clique "Stop Search" (Parar Procura).
Os resultados da procura aparecem na janela.
- Para importar as chaves, arraste-as para a janela principal de PGPkeys.
- Clique "Clear Search" (Limpar Procura) para limpar seus critérios de pesquisa.