Header Ads

Como criptografar e descriptografar arquivos com GPG no Linux

Proteja sua privacidade com o comando gpg do Linux. Use criptografia de classe mundial para manter seus segredos seguros. Mostraremos como usar o gpg para trabalhar com chaves, criptografar arquivos e descriptografá-los.

O GnuPrivacy Guard (GPG) permite criptografar arquivos de maneira segura que apenas o destinatário pretendido pode descriptografá-los. Especificamente, o GPG está em conformidade com o padrão OpenPGP. Ele é modelado em um programa chamado Pretty Good Privacy (PGP). O PGP foi escrito em 1991 por Phil Zimmerman.

O GPG baseia-se na ideia de duas chaves de criptografia por pessoa. Cada pessoa tem uma chave privada e uma chave pública. A chave pública pode descriptografar algo que foi criptografado usando a chave privada.

Para enviar um arquivo com segurança, criptografe-o com sua chave privada e a chave pública do destinatário. Para descriptografar o arquivo, eles precisam da chave privada e da chave pública.

Você verá que as chaves públicas devem ser compartilhadas. Você precisa ter a chave pública do destinatário para criptografar o arquivo, e o destinatário precisa da sua chave pública para descriptografá-lo. Não há perigo em tornar suas chaves públicas exatamente isso - público. Na verdade, existem Servidores de Chaves Públicas para esse propósito, como veremos. Chaves privadas devem ser mantidas em sigilo. Se sua chave pública estiver em domínio público, sua chave privada deverá ser mantida em segredo e segura.

Há mais etapas envolvidas na configuração do GPG do que em usá-lo. Felizmente, você normalmente só precisa configurá-lo uma vez.

Gerando suas chaves

O comando gpg foi instalado em todos as distribuições do Linux que foram verificadas, incluindo o Ubuntu, o Fedora e o Manjaro.

Você não precisa usar o GPG com e-mail. Você pode criptografar arquivos e disponibilizá-los para download ou passá-los fisicamente ao destinatário. Você precisa associar um endereço de e-mail com as chaves que você gera, no entanto, escolha o endereço de e-mail que você vai usar.

Aqui está o comando para gerar suas chaves. A opção --full-generate-key gera suas chaves em uma sessão interativa dentro de sua janela de terminal. Você também será solicitado a inserir uma frase secreta. Certifique-se de lembrar qual é a frase secreta. Três ou quatro palavras simples associadas à pontuação são um modelo bom e robusto para senhas e senhas.

 gpg - chave-plena-geração 

Você será solicitado a escolher um tipo de criptografia em um menu. A menos que você tenha uma boa razão para não fazer isso, digite 1 e pressione Enter.

Você deve escolher um comprimento de bit para as chaves de criptografia. Pressione Enter para aceitar o padrão.

Você precisa especificar quanto tempo a chave deve durar. Se você estiver testando o sistema, digite uma duração curta como 5 por cinco dias. Se você for manter essa chave, insira uma duração maior como 1y por um ano. A chave durará 12 meses e, portanto, precisará ser renovada após um ano. Confirme sua escolha com um Y.

Você deve inserir seu nome e seu endereço de e-mail. Você pode adicionar um comentário, se desejar.

Você será solicitado a informar sua frase secreta. Você precisará da senha toda vez que trabalhar com as suas chaves, portanto, certifique-se de saber o que é.

Clique no botão OK quando tiver inserido sua frase secreta. Você verá essa janela enquanto trabalha com o gpg, portanto, lembre-se de sua frase secreta.

A geração da chave ocorrerá e você retornará ao prompt de comando.

Gerando um Certificado de Revogação

Se sua chave privada se tornar conhecida de outras pessoas, você precisará desassociar as chaves antigas da sua identidade, para que você possa gerar novas. Para fazer isso, você precisará de um certificado de revogação. Faremos isso agora e armazenaremos em algum lugar seguro.

A opção --output deve ser seguida pelo nome do arquivo do certificado que você deseja criar. A opção --gen-revoke faz com que o gpg gere um certificado de revogação. Você deve fornecer o endereço de e-mail que você usou quando as chaves foram geradas.

 gpg - saída ~ / revocation.crt --gen-revoke dave-geek@protonmail.com 

Você será solicitado a confirmar que deseja gerar um certificado. Pressione Y e pressione Enter. Você será perguntado por que você está gerando o certificado. Como estamos fazendo isso antes do tempo, não temos certeza. Pressione 1 como uma suposição plausível e pressione Enter.

Você pode inserir uma descrição, se desejar. Pressione Enter duas vezes para terminar sua descrição.

Você será solicitado a confirmar suas configurações, pressione Y e pressione Enter.

O certificado será gerado. Você verá uma mensagem reforçando a necessidade de manter este certificado seguro.

Ele menciona alguém chamado Mallory. Discussões de criptografia há muito tempo usam Bob e Alice como as duas pessoas se comunicando. Existem outros personagens de apoio. Eve é uma intrusa, Mallory é um agressor malicioso. Tudo o que precisamos saber é que devemos manter o certificado seguro e protegido.

No mínimo, vamos remover todas as permissões além das nossas do certificado.

 chmod 600 ~ /revocation.crt

Vamos verificar com ls para ver qual é a permissão agora:

 ls -l 

Isso é perfeito. Ninguém além do proprietário do arquivo - nós - pode fazer qualquer coisa com o certificado.

Importando a chave pública de outra pessoa

Para criptografar uma mensagem que outra pessoa pode descriptografar, precisamos ter sua chave pública.

Se você tiver recebido a chave em um arquivo, poderá importá-lo com o seguinte comando. Neste exemplo, o arquivo de chave é chamado de “mary-geek.key”.

 gpg --importar mary-geek.key 

A chave é importada e você recebe o nome e o endereço de e-mail associados a essa chave. Obviamente, isso deve coincidir com a pessoa de quem você recebeu.

Existe também a possibilidade de que a pessoa da qual você precisa de uma chave tenha enviado sua chave para um servidor de chaves públicas. Esses servidores armazenam as chaves públicas das pessoas de todo o mundo. Os servidores de chaves sincronizam-se uns com os outros periodicamente para que as chaves estejam disponíveis universalmente.

O servidor de chaves públicas MIT é um servidor de chaves popular e um que é regularmente sincronizado, portanto, a busca deve ser bem-sucedida. Se alguém apenas tiver carregado recentemente uma chave, poderá levar alguns dias para aparecer.

A opção --keyserver deve ser seguida pelo nome do servidor de chaves que você deseja pesquisar. A opção --search-keys deve ser seguida pelo nome da pessoa que você está procurando ou por seu endereço de e-mail. Usaremos o endereço de e-mail:

 gpg --keyserver pgp.mit.edu --pesquisar-chaves mary-geek@protonmail.com 

As correspondências são listadas para você e numeradas. Para importar um, digite o número e pressione Enter. Nesse caso, há uma única correspondência, então digitamos 1 e pressione Enter.

A chave é importada e nos é mostrado o nome e o endereço de e-mail associados a ela key.

Verificando e assinando uma chave

Se você recebeu um arquivo de chave pública de alguém conhecido, pode dizer com segurança que ele pertence a essa pessoa. Se você fez o download de um servidor de chaves públicas, pode sentir a necessidade de verificar se a chave pertence à pessoa para a qual ela se destina.

A opção --fingerprint faz com que o gpg crie uma sequência curta de dez conjuntos de quatro caracteres hexadecimais. Você pode pedir que a pessoa lhe envie a impressão digital de sua chave.

Você pode usar a opção --fingerprint para gerar a mesma seqüência de impressão digital de caracteres hexadecimais e compará-los. Se corresponderem, você sabe que a chave pertence a essa pessoa.

 gpg --fingerprint mary-geek@protonmail.com 

IMAGEM_14

A impressão digital é gerada.

Quando estiver convencido de que a chave é genuína e pertence à pessoa com a qual ela deveria estar associada, você pode assiná-la.

Se você não fizer isso, ainda poderá usá-lo para criptografar e descriptografar mensagens de e para essa pessoa. Mas o gpg perguntará sempre se você deseja prosseguir porque a chave não está assinada. Usaremos a opção --sign-key apropriadamente nomeada e forneceremos o endereço de e-mail da pessoa, para que o gpg saiba qual tecla deve ser assinada.

 gpg --sign -chave mary-geek @ protonmail.com 

Você verá informações sobre a chave e a pessoa, e será solicitado a confirmar se realmente deseja assinar a chave. Pressione Y e pressione Enter para assinar a chave.

Como compartilhar sua chave pública

Para compartilhar sua chave como um arquivo, precisamos exportar lo do armazenamento de chaves local gpg. Para fazer isso, usaremos a opção --export, que deve ser seguida pelo endereço de e-mail que você usou para gerar a chave. A opção --output deve ser seguida pelo nome do arquivo para o qual você deseja exportar a chave. A opção --armor diz ao gpg para gerar a saída da armadura ASCII em vez de um arquivo binário.

 gpg - saída ~ / dave-geek.key --armor --export dave-geek @ protonmail .com 

Podemos dar uma olhada dentro do arquivo de chave com menos.

 menos dave-geek.key 

IMAGEM_19

A chave é mostrada em toda a sua glória:

Você também pode compartilhar sua chave pública em um servidor de chaves públicas. A opção --send-keys envia a chave para o servidor de chaves. A opção --keyserver deve ser seguida pelo endereço da web do servidor de chaves públicas. Para identificar qual chave enviar, a impressão digital da chave deve ser fornecida na linha de comando. Note que não há espaços entre os conjuntos de quatro caracteres.

(Você pode ver a impressão digital da sua chave usando a opção --fingerprint.)

 gpg - send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4 

IMAGEM_21

Você receberá a confirmação de que a chave foi enviada.

Encrypting FIles

Estamos finalmente prontos para criptografar um arquivo e enviá-lo para Mary. O arquivo é chamado Raven.txt.

A opção - encrypt diz ao gpg para criptografar o arquivo, e a opção --sign diz para ele assinar o arquivo com seus detalhes. A opção --armor diz ao gpg para criar um arquivo ASCII. A opção -r (destinatário) deve ser seguida pelo endereço de e-mail da pessoa para quem você está enviando o arquivo.

 gpg - encrypt --sign --armor -r mary-geek @ protonmail.com 

O arquivo é criado com o mesmo nome do original, mas com “.asc” anexado ao nome do arquivo. Vamos dar uma olhada dentro dele.

 menos Raven.txt.asc 

O arquivo é completamente ilegível e só pode ser descriptografado por alguém que tenha sua chave pública e a chave privada de Mary. A única pessoa a ter os dois deve ser Mary.

Agora podemos enviar o arquivo para Mary confiante de que ninguém mais pode descriptografá-lo.

Descriptografando arquivos

Maria enviou uma resposta. Está em um arquivo criptografado chamado coded.asc. Podemos descriptografá-lo facilmente usando a opção --decrypt. Vamos redirecionar a saída para outro arquivo chamado plain.txt.

Não precisamos dizer ao gpg de quem é o arquivo. Ele pode resolver isso a partir do conteúdo criptografado do arquivo.

 gpg - decrypt coded.asc > plain.txt 

Vamos dar uma olhada no arquivo plain.txt:

 menos plain.txt 

O arquivo foi descriptografado com sucesso para nós.

Atualizando suas chaves

Periodicamente, você pode pedir ao gpg para verificar as chaves tem contra um servidor de chaves públicas e para atualizar qualquer um que tenha sido alterado. Você pode fazer isso a cada poucos meses ou quando receber uma chave de um novo contato.

A opção --refresh-keys faz com que o gpg execute a verificação. A opção --keyserver deve ser seguida pelo servidor de chaves de sua escolha. Uma vez que as chaves tenham sido sincronizadas entre os servidores de chaves públicas, não importa qual você escolher.

 gpg --keyserver pgp.mit.edu --refresh-keys 

O gpg responde listando as chaves que ele verifica e informando se alguma alteração foi atualizada.

A privacidade é um problema Tópico

Privacidade nunca está longe das notícias nos dias de hoje. Quaisquer que sejam suas razões para querer manter suas informações seguras e particulares, o gpg fornece um meio simples de aplicar criptografia incrivelmente forte a seus arquivos e comunicações.

Existem outras maneiras de usar o gpg. Você pode obter um plugin para o Thunderbird chamado Enigmail. Encaixa-se diretamente na sua configuração gpg para permitir que você criptografe as mensagens de e-mail de dentro do Thunderbird.

LEIA PRÓXIMO & rsaquo; Como criminosos pedem telefones em seu nome (e como pará-los) & rsaquo; Patch de segurança do Windows 7 de julho de 2019 inclui telemetria & rsaquo; Como abrir arquivos de imagem RAW no Windows 10 e rsaquo; Por que estou recebendo spam do meu próprio endereço de e-mail? & Rsaquo; Como funciona o reconhecimento facial?

Via: How to Geek

Nenhum comentário