PGP

1
PGP

• Pretty Good Privacy

2
PGP

• O PGP, do inglês Pretty Good Privacy (privacidade
  bastante boa), é um programa de computador que
  utiliza criptografia para proteger a privacidade
  do e-mail e dos arquivos guardados no computador
  do usuário.

3
PGP

• PGP pode, ainda, ser utilizado como um sistema à
  prova de falsificações de assinaturas digitais,
  permitindo desta forma a comprovação de que
  arquivos ou e-mails não foram modificados.

4
História

• Devido a importância mundial que o PGP obteve,
  muitos programadores passaram a querer escrever
  seus próprios softwares de criptografia de modo
  que fossem compatíveis.

5
História

• Um grupo de membros da PGP Inc. convenceu Phill
  Zimmermann (criador do PGP) e os demais
  executivos da empresa de que um padrão aberto de
  PGP era imprescindível para o progresso do
  próprio PGP e da comunidade usuária da
  criptografia.

6
História

• Em 1997 já haviam programas compatíveis, o mais
  notável era o Highware (agora chamado Veridis),
  pertencente a uma empresa belga que tinha obtido
  a licença do código do PGP 2 diretamente de
  Zimmermann.

7
História

• Em julho de 1997, a PGP Inc. propôs a IETF que
  fosse criado um padrão aberto chamado OpenPGP.
  Eles concederam permissão para usar esse nome
  para descrever o padrão e qualquer programa que
  funcionasse com ele.

8
História

• O IETF aceitou a proposta e iniciou o grupo de
  trabalho do OpenPGP.
• A normativa técnica do OpenPGP foi descrita pela
  IETF através da RFC 2440 de julho de 1998.

9
OpenPGP

• O OpenPGP é um padrão aberto de criptografia
  baseado no PGP.
• Funciona através de chaves assimétricas, cada
  usuário gera em seu computador um par de chaves
  correspondentes uma pública e uma secreta.

10
Passo 1 Alice envia sua chave pública para Bob
11
Chaves Assimétricas
Passo 2 Bob cifra a mensagem com a chave pública
de Alice e envia para Alice, que recebe e
descifra o texto utilizando sua chave privada
12
OpenPGP

• A pública é distribuida livremente e permite que
  qualquer usuário criptografe dados de modo que só
  quem possui a chave secreta correspondente possa
  descriptografar.

13
OpenPGP

• A chave secreta, além dessa capacidade de
  descriptografar, é capaz de assinar dados.
• Quando algo é assinado com uma chave secreta, a
  chave pública correspondente pode verificar se o
  remetente é verdadeiro e se o conteúdo não foi
  adulterado depois de assinado.

14
OpenPGP - sistema de cadeias de confiança

• Além disso, o padrão OpenPGP conta com um sistema
  de cadeias de confiança.
• Cada vez que um usuário obtém a chave pública de
  outro usuário, ao se encontrar com ele, pode
  verificar a impressão digital da chave obtida,
  garantindo certeza de que a chave é a verdadeira
  (não foi alterada).

15
OpenPGP - sistema de cadeias de confiança

• Ao ter certeza de que a chave é verdadeira, o
  usuário pode assinar a chave pública do outro
  usuário com a sua chave privada, atestando a
  outros usuários que a chave realmente pertence a
  quem diz pertencer.

16
GNU PGP implementando OpenPGP

• Software criptográfico compatível com o OpenPGP
• A FSF desenvolveu a sua própria versão e a chamou
  de GNU Privacy Guard, também conhecido como GnuPG
  ou simplesmente GPG.

17
GNU PG

• O GnuPG está disponível em seu site gratuitamente
  junto ao seu código fonte, licenciado sob a GNU
  General Public License (GPL).

18
GNU PG

• A vantagem do uso do GnuPG no lugar do PGP se
  deve justamente a essa licença pois permite livre
  cópia e publicação, garantindo que permanecerá
  livre e sem necessidade de pagamento de
  royalties.

19
GNU PG

• O PGP comercializado pela PGP Inc. é um software
  pago e não há garantias de que continuará sendo
  comercializado ou ainda que seus valores não
  aumentarão. Por essa razão muitos usuários tem
  optado pelo GnuPG.

20
GNU Privacy Guard

• O GNU Privacy Guard (GnuPG ou GPG) é uma
  alternativa de software livre para a suíte de
  criptografia PGP, liberado sob licença GNU
  General Public License.

21
GNU Privacy Guard

• Ele é parte do projeto GNU da Free Software
  Foundation e recebe a maior parte do seu
  financiamento do governo alemão.

22
GNU Privacy Guard

• O GnuPG é completamente compatível com o padrão
  IETF para o OpenPGP.
• As versões atuais do PGP (e Filecrypt da Veridis)
  são inter-operáveis com o GnuPG e outros sistemas
  compatíveis com o OpenPGP.

23
GNU Privacy Guard

• Apesar de algumas versões antigas do PGP serem
  inter-operáveis, nem todas as funcionalidades do
  novo software são suportadas pelo antigo.

24
Links para GnuPG

• ((pt)) Cripto.info - Instruções em português para
  uso do GnuPG, Enigmail, WinPT, GPGee, etc.
• ((en)) Site do GNU Privacy Guard

25
Links Externos

• Site do GNU Privacy Guard (em inglês)
• Gpg4win pacote de instalação do GnuPG e outros
  utilitários de criptografia para Windows
• Como preparar-se para uma festa de assinatura de
  chaves GPG

26
GNU Privacy Guard

• O GnuPG é um programa de linha de comando, mas
  existem vários front-ends que atuam como
  interfaces gráficas para o GPG.
• Alguns exemplos são

27
Interfaces Gráficas para o GPG

• Enigmail, para o Mozilla Thunderbird
• Seahorse, baseado no GNOME
• Kgpg, baseado no KDE
• WinPT, utilitário que funciona na bandeja do
  sistema do Windows
• O GPG trabalha com criptografia assimétrica.

28
Mozilla

• Mozilla é uma suíte de aplicativos para Internet,
  livre, multi-plataforma, cujos componentes
  incluem um navegador, um cliente de correio
  eletrônico, um editor HTML e um cliente de chat
  IRC.

29

• O projeto foi iniciado pela Netscape
  Communications Corporation, passou a ser
  desenvolvido pela Fundação Mozilla (Mozilla
  Foundation), sendo descontinuado, apresentando
  apenas atualizações de segurança.

30

• No dia 12 de Abril de 2006 foi anunciada
  oficialmente a finalização da produção de versões
  para correções de falhas de segurança da Suíte
  Mozilla.
• A última versão foi a 1.7.13 e o seu sucessor é o
  SeaMonkey.

31
SeaMonkey

• É um conjunto de aplicativos para a Internet,
  contando com navegador de internet, leitor de
  emails e grupos de notícias, cliente de IRC,
  editor de HTML, catálogo de endereços e
  calendário (nem sempre disponibilizado por
  padrão).

32
SeaMonkey

• Desenvolvedor SeaMonkey Council
• Lançamento 30 de Janeiro, 2006
• Última versão 1.1.2 (2007-mai-30)
• Sistema Op. Multiplataforma
• Gênero Suíte de Internet
• LicençaMPL, trilicença
  MPL/GPL/LGPL
• Website www.seamonkey-project.org

33
SeaMonkey

• Ele é a continuação da Suíte Mozilla por parte de
  uma comunidade de usuários e desenvolvedores.

34

• S/MIME and OpenPGP

35

• Security services can be added to each
  communication link along a path, or
• it can be wrapped around the data being sent, so
  that it is independent of the communication
  mechanism.

36

• This latter approach is often called "end-to-end"
  security and it has become a very important topic
  for users.

37

• The two basic features of this type of security
  are privacy (only the intended recipient can read
  the message) and authentication (the recipient
  can be assured of the identity of the sender).

38

• The technical capabilities for these functions
  has been known for many years, but they have only
  been applied to Internet mail recently.

39

• There are currently two actively proposed methods
  for providing these security services S/MIME and
  PGP

40

• The major Internet mail vendors have begun to
  ship products using
• PGP/MIME,
• S/MIME,
• OpenPGP.

41
SMTP

• O formato básico de e-mail é definido pela RFC
  2822.
• O protocolo básico de transmissão de e-mail pela
  Internet, SMTP, suporta apenas 7-bit de
  caracteres ASCII.
• Isto limita as mensagens de emails, incluindo
  somente os caracteres usados na língua inglesa.

42
SMTP e o MIME

• Multipurpose Internet Mail Extensions
• É uma norma da Internet para o formato das
  mensagens de correio eletrônico.
• A grande maioria das mensagens de correio
  eletrônico são trocadas usando o protocolo SMTP e
  usam o formato MIME.

43
MIME

• O MIME provê mecanismos para o envio de outros
  tipos de informação por e-mail, incluindo
  caracteres não utilizados no idioma inglês usando
  codificações diferentes do ASCII, assim como
  formatos binários contendo imagems, sons, filmes,
  e programa de computadores.

44
SMTP/MIME

• Mensagens de email, dentro e fora do formato
  MIME, é tipicamente utilizado pelos clientes de
  email ou pelos servidores de email quando enviam
  ou recebem emails via SMTP/MIME.

45
MIME e o HTTP

• MIME é também um componente fundamental de
  comunicação protocolos como o HTTP, que requer
  que os dados sejam transmitidos em contextos
  semelhantes a mensagens de email, mesmo que o
  dado a ser transmitido não seja realmente um
  e-mail.

46
S/MIME

• S/MIME was originally developed by RSA Data
  Security, Inc.
• It is based on the PKCS 7 data format for the
  cryptographic messages, and the X.509v3 format
  for certificates.
• PKCS 7, in turn, is based on the ASN.1.

47
PGP/MIME

• PGP/MIME is based on PGP, which was developed by
  many individuals, some of whom have now joined
  together as PGP, Inc.
• The cryptographic messages and certificate
  formats were created from scratch (criados a
  partir do zero), and use simple binary encoding.
• The current work on PGP/MIME is in the IETF's
  OpenPGP Working Group.

48
OpenPGP

• Historicamente, OpenPGP is also based on PGP.

49
A Tale of Three Protocols

• There's a small problem with using PGP Freeware.
  It supports PGP/MIME (MIME as in Multipurpose
  Internet Mail Extensions) security protocols, and
  PGP/MIME is outmoded.
• Not because it's bad or it's weak. It isn't.
• PGP/MIME is as good a cryptosystem as there is.
  What it isn't is standardized.

50
A Tale of Three Protocols

• PGP/MIME inspired the development of two
  standardized data protection schemes, OpenPGP and
  S/MIME (Secure MIME), which offer similar data
  protection features, but are not compatible with
  each other, not even their keys.

51
A Tale of Three Protocols

• In the long run, either OpenPGP or S/MIME will
  win out and you will most likely have to do some
  conversion.
• I think that the security that PGP Freeware
  offers in the meantime (enquanto isso) is worth
  that effort. 

52
The S/MIME v3 standard

• Consists of five parts
• Cryptographic Message Syntax (RFC 3852)
• Cryptographic Message Syntax (CMS) Algorithms
  (RFC 3370)
• S/MIME Version 3.1 Message Specification (RFC
  3851)
• S/MIME Version 3.1 Certificate Handling (RFC
  3850)
• Diffie-Hellman Key Agreement Method (RFC 2631)

53
S/MIME v3 toolkit

• A freeware S/MIME v3 toolkit is now available in
  pre-release form.
• See the toolkit home page for more information.

54
Differences and Commonalities Between S/MIME v3
and OpenPGP

• S/MIME v3 and OpenPGP are both protocols for
  adding authentication and privacy to messages.
• However, they differ in many ways, and are not
  designed to be interoperable.

55
Differences and Commonalities Between S/MIME v3
and OpenPGP

• Some cryptography algorithms are the same between
  the two protocols, but others differ.
• The following chart is a comparison of many
  relevant features of the two protocols, showing
  where they differ and where they are the same.

56
Mandatory features S/MIME v3 OpenPGP
Message format Binary, based on CMS Binary, based on previous PGP
Certificate format Binary, based on X.509v3 Binary, based on previous PGP
Symmetric encryption algorithm TripleDES (DES EDE3 CBC) TripleDES (DES EDE3 Eccentric CFB)
Signature algorithm Diffie-Hellman (X9.42) with DSS or RSA ElGamal with DSS
Hash algorithm SHA-1 SHA-1
MIME encapsulation of signed data Choice of multipart/signed or CMS format multipart/signed with ASCII armor
MIME encapsulation of encrypted data application/pkcs7-mime multipart/encrypted