O que é criptografia PGP: o guia completo

Pretty Good Privacy (PGP) é um padrão de criptografia que usa uma combinação de criptografia simétrica e assimétrica para criar um sistema rápido e seguro.

O PGP é usado principalmente para comunicar e armazenar dados confidenciais com segurança, embora também seja comumente usado para verificar a identidade do remetente e a integridade dos dados enviados. O PGP tornou-se o padrão de facto para segurança de e-mail desde a sua criação em 1991.

Como funciona a criptografia PGP?

Conforme mencionado, o PGP usa uma combinação de criptografia simétrica e assimétrica. Dado que enviar e receber dados é o uso mais comum da criptografia PGP, focarei nesse caso de uso específico. Vamos dar uma breve olhada na diferença entre criptografia simétrica e assimétrica e como elas podem funcionar juntas.

Criptografia Simétrica

A criptografia simétrica é onde tanto o remetente quanto o destinatário compartilham a mesma chave de “sessão”, o que lhes permite criptografar/descriptografar os dados que estão enviando/recebendo. O problema com a criptografia simétrica é que o remetente é obrigado a enviar a chave ao destinatário em texto simples, o que obviamente não é muito seguro.

Criptografia Assimétrica

A criptografia assimétrica ocorre quando tanto o remetente quanto o destinatário possuem seu próprio conjunto de chaves, que inclui uma chave pública e uma chave privada. O remetente criptografará os dados usando a chave pública do destinatário e o destinatário descriptografará os dados usando sua chave privada. Também é possível criptografar dados com uma chave privada e descriptografar dados com a chave pública correspondente. O problema da criptografia assimétrica é que ela consome um grande número de recursos.

Criptografia Simétrica/Assimétrica

Neste cenário, o remetente gera uma chave de sessão aleatória e depois usa essa chave para criptografar a mensagem. Eles então usam a chave pública do receptor para criptografar a chave da sessão. Eles podem então enviar a mensagem criptografada e a chave de sessão com segurança. O destinatário irá descriptografar a chave de sessão criptografada, usando sua chave privada. Então, usando a chave de sessão descriptografada, eles podem descriptografar a mensagem real. Agora, ambas as partes podem se comunicar de forma rápida e segura usando apenas a chave de sessão para criptografar/descriptografar as mensagens. Para resumir…

• Remetente gera chave de sessão;
• Remetente criptografa mensagem com chave de sessão;
• O remetente criptografa a chave de sessão com a chave pública do destinatário pretendido;
• O remetente envia mensagem criptografada + chave de sessão criptografada;
• O receptor descriptografa a chave da sessão com a chave privada;
• O receptor descriptografa a mensagem com a chave de sessão.

Criptografia PGP na prática

A boa notícia é que você realmente não precisa saber nada sobre criptografia para usar o PGP, pois existem inúmeras soluções disponíveis que farão o trabalho para você. Talvez a maneira mais simples de usar a criptografia PGP seja usar um provedor de serviços de e-mail online, como o ProtonMail. Se você enviar uma mensagem de um endereço ProtonMail para outro, a mensagem será criptografada por padrão.

No entanto, se quiser enviar um e-mail de um endereço ProtonMail para um endereço que não seja ProtonMail, você precisará enviar sua chave pública ao destinatário pretendido. Você pode fazer isso selecionando a opção Anexar chave pública. Você também pode receber e-mails criptografados de contas que não sejam do ProtonMail, desde que tenham anexado sua chave pública.

Neste caso, você precisará selecionar Trust Key para visualizar a mensagem.

Verificação de assinatura digital

Conforme mencionado acima, a criptografia PGP pode ser usada para verificar a identidade do remetente, bem como a integridade dos dados que foram enviados. Para que isso funcione, o remetente irá gerar um hash exclusivo da mensagem que deseja enviar. Esse hash é conhecido como resumo. O resumo é então criptografado (ou assinado digitalmente) com a chave privada do remetente. Eles então enviam a mensagem de texto simples ao destinatário junto com o resumo criptografado. O receptor descriptografa o resumo usando a chave pública do remetente. O receptor então gera um hash exclusivo da mensagem de texto simples que recebeu e o compara com o hash original. Se os hashes corresponderem, o destinatário saberá que a) a mensagem não foi adulterada eb) o remetente é legítimo. Para resumir…

• O remetente gera um resumo por hash da mensagem;
• O remetente criptografa o resumo com chave privada;
• Remetente envia resumo + mensagem criptografada;
• O receptor recebe um resumo + mensagem criptografada;
• O receptor descriptografa o resumo com a chave pública do remetente, revelando o hash da mensagem;
• O receptor gera um hash da mensagem e o compara com o hash original.

Criptografando arquivos

O PGP pode ser usado para criptografar arquivos, geralmente usando o algoritmo RSA, que é muito seguro. Como o PGP é essencialmente propriedade da Symantec, você provavelmente precisará usar o Encryption Desktop ou o Symantec Encryption Desktop Storage, se quiser criptografar seus dados. No entanto, deve-se notar que existem alternativas de código aberto ao PGP, como OpenPGP e GnuPG, que podem ser uma escolha melhor se você não quiser usar produtos Symantec.

Quais são as desvantagens da criptografia PGP?

Em primeiro lugar, a criptografia PGP não é particularmente fácil de usar, e aqueles que usam o sistema precisarão garantir que sabem o que estão fazendo, caso contrário poderão introduzir falhas de segurança. Como tal, as empresas provavelmente precisarão treinar seus funcionários para utilizá-lo corretamente. Ao enviar um e-mail usando criptografia PGP, as linhas de assunto não são criptografadas, portanto, você precisará garantir que não colocou nenhum dado confidencial na linha de assunto. Como mencionado acima, o PGP não é de código aberto, o que limita o número de produtos disponíveis e o torna mais caro.

Como configuro a criptografia PGP?

Para usar o PGP para enviar dados criptografados, você provavelmente precisará instalar algum tipo de complemento no seu cliente de e-mail. Existem complementos disponíveis para Outlook, Apple Mail, Thunderbird e muito mais. Conforme mencionado acima, se você usar um serviço online, como ProtonMail, não precisará instalar nenhum software adicional. Conforme também mencionado, você pode usar o Symantec File Share Encryption para criptografar arquivos na nuvem e o Symantec Endpoint Encryption para criptografia completa do disco do seu dispositivo.

Diferentes soluções PGP

Naturalmente, você deseja garantir que o software que está usando é seguro. Como tal, você precisará investigar quaisquer vulnerabilidades relatadas no software que está considerando. Como aprender PGP pode ser difícil, pode ser uma ideia usar um provedor de soluções que forneça suporte dedicado. Alternativamente, se você não quiser instalar um complemento para seu cliente de e-mail, considere usar um serviço online, como ProtonMail, Hushmail ou Mailfence. Abaixo está um resumo das soluções PGP mais populares do mercado.

Outlook com Gpg4o

Gpg4o é um complemento para Microsoft Outlook, que fornece integração perfeita com PGP. Gpg4o é considerado o complemento PGP mais fácil e fácil de usar disponível para Windows. Embora o Gpg4o seja baseado no padrão OpenPGP, que, como mencionado acima, é de código aberto, ainda é uma solução proprietária. O Gpg4o não é particularmente barato, embora seja fornecido suporte dedicado.

Apple Mail com GPGTools

Para usuários de Mac, o complemento GPGTools para Apple Mail é provavelmente a melhor opção. No entanto, usar PGP com Apple Mail fará com que seu desempenho seja mais lento que o normal.

Thunderbird com Enigmail

Mozilla Thunderbird é um cliente de e-mail multiplataforma gratuito e de código aberto. Enigmail, que também é gratuito e de código aberto, é um complemento PGP para Thunderbird. O Enigmail não oferece suporte dedicado, embora possua uma comunidade grande e ativa, com bastante documentação.

FairEmail para Android

FairEmail é um cliente de e-mail independente que traz criptografia PGP para telefones Android. Do jeito que está, não há uma grande demanda por PGP no Android e, portanto, a comunidade FairEmail ainda é bastante pequena. Isto pode mudar à medida que as pessoas se tornam mais conscientes sobre a privacidade dos dados.

Resumindo, a criptografia Pretty Good Privacy (PGP) aproveita a segurança da criptografia assimétrica e a velocidade da criptografia simétrica para fornecer um padrão de criptografia praticamente inquebrável.

Se você quiser ver como a Lepide Data Security Platform pode complementar a tecnologia de criptografia, dando-lhe visibilidade sobre como seus dados confidenciais e não estruturados estão sendo acessados e interagidos, agende uma demonstração com um de nossos especialistas ou comece seu teste gratuito hoje .