OpenPGP. OpenPGP is a non-proprietary protocol for encrypting email using public key cryptography....
-
Upload
mikaela-beltrao-correia -
Category
Documents
-
view
264 -
download
0
Transcript of OpenPGP. OpenPGP is a non-proprietary protocol for encrypting email using public key cryptography....
OpenPGP is a non-proprietary protocol for encrypting email using public key cryptography.
It is based on PGP as originally developed by Phil Zimmermann.
The OpenPGP protocol defines standard formats for encrypted messages, signatures, and certificates for exchanging public keys.
Beginning in 1997, the OpenPGP Working Group was formed in the Internet Engineering Task Force (IETF) to define this standard that had formerly been a proprietary product since 1991.
Over the past decade, PGP, and later OpenPGP, has become the standard for nearly all of the world's encrypted email.
By becoming an IETF Proposed Standard (RFC 2440), OpenPGP may be implemented by any company without paying any licensing fees to anyone.
The OpenPGP Alliance brings companies together to pursue a common goal of promoting the same standard for email encryption and to apply the PKI that has emerged from the OpenPGP community to other non-email applications.
Technical Information
The OpenPGP Proposed Standard is defined by the OpenPGP Working Group of the Internet Engineering Task Force (IETF) Proposed Standard RFC 2440.
This document contains all the necessary information to develop interoperable applications based on the OpenPGP format.
It describes the format and methods needed to read, check, generate, and write conforming encrypted messages, keys, and signatures.
To learn more about other IETF topics related to the OpenPGP standard, please consult the Internet Engineering Task Force Security Area.
HushMail
If you want a highly mobile way to do PGP-style encrypted email, you might consider HushMail, from Hush Communications.
HushMail is a web-based encrypted email service that uses a downloaded Java applet to encrypt and decrypt email in your browser.
There's nothing to install, because it's all done in your browser.
Which greatly simplifies deployment in large corporate environments.
It's also handy for road warriors who might need to check their encrypted email from an Internet cafe.
Freeware versions of PGP
For a wide assortment of freeware versions of PGP, visit the International PGP Home Page at www.pgpi.org.
Note that this web site does not have the newer (8.0 or later) versions of the PGP freeware from PGP Corp.
You can download the latest version of PGP
freeware from PGP Corp.
PGP Command-line Products
If you need a command-line version of PGP, you can get it from PGP Corp.
You can also get other OpenPGP-compliant command-line products from other people, such as Gnu Privacy Guard (also known as GnuPG or GPG) and FileCrypt.
PGP Command-line Products
All of these OpenPGP-compliant command-line products run on a variety of Unix platforms, as well as the Windows command-line shell.
Como funciona PGP
O PGP combina algumas das melhores características da criptografia simétrica e criptografia de chave pública.
O PGP é um cripto-sistema híbrido.
Compressão em PGP
Quando um usuário encripta texto puro com o PGP, o PGP comprime o texto puro em primeiro lugar.
A compressão de dados economiza tempo de transmissão de modem e espaço em disco e, mais importante, aumenta a segurança da criptografia.
Criptoanálise
A maioria das técnicas de criptoanálise explora padrões encontrados em textos puros para quebrar o código (Craxi te ceder).
Compressão e Criptoanálise
A compressão reduz estes padrões no texto original, aumentando significativamente a resistência à criptoanálise.
Compressão
Arquivos muitos pequenos para serem comprimidos ou que não suportam a compressão não são comprimidos.
Chave de Sessão
O PGP cria então uma chave de sessão (session key), uma chave secreta para uso uma única vez.
No PGP, esta chave é um número gerado aleatoriamente pelos movimentos imprecisos do seu mouse e das teclas que você aciona.
Chave de Sessão
A chave de sessão utiliza um algoritmo de encriptação convencional extremamente rápido e seguro, encriptando o texto puro, gerando o texto cifrado.
Criptografando a chave de sessão
Uma vez os dados encriptados, a chave de sessão é encriptada na chave pública do destinatário (recipient).
Chave de Sessão transmitida
Finalmente, esta chave de sessão encriptada numa chave pública é transmitida com o texto cifrado para o destinatário.
Decriptografando com PGP
A decriptação funciona de modo inverso.
O receptor da mensagem usa a sua chave privada para recuperar a chave de sessão, que o PGP usa para decriptar o texto cifrado.
Os dois métodos de criptografia
O uso dos dois métodos de encriptação combina a conveniência da encriptação de chave pública com a agilidade da encriptação convencional.
Os dois métodos de criptografia
A encriptação convencional é aproximadamente 10.000 vezes mais veloz do que a encriptação de chave pública.
Os dois métodos de criptografia
A encriptação de chave pública por sua vez fornece uma solução para a distribuição de chaves e transmissão de dados.
Os dois métodos de criptografia
Usadas em conjunto, a performance e a distribuição das chaves são otimizadas sem comprometer a segurança.
A chave pública da certidão do portador
A porção pública do seu par de chaves, junto com o algoritmo da chave: RSA, RSA Legacy, DH (Diffie-Hellman), ou DSA (Digital Signature Algorithm).
Informação do portador da certidão.
Consiste em informações da identidade do usuário, como nome, user ID, e-mail, número ICQ, retrato fotográfico, e assim por diante.
Assinatura digital do portador da certidão.
Chamada também de auto-assinatura, é a assinatura feita usando a chave privada correspondente à chave pública associada à certidão.
Prazo de validade da certidão – Data de início e término da validade da certidão; indica quando expira a certidão.
Caso o par de chaves contenha sub-chaves, então serão incluídos os prazos de validade das sub-chaves.
Algoritmo de encriptação simétrica preferido pelo usuário – os algoritmos suportados são: CAST, AES, IDEA, Triple-DES, e Twofish.
Analogia
Nestas ´etiquetas´ você encontrará informações identificando o dono da chave e a assinatura do mesmo, determinando que chave e identificação andam juntas.
Esta assinatura em especial é chamada de auto-assinatura.
Toda certidão PGP contém uma auto-assinatura.
Um aspecto único do formato de certidão PGP é o fato de uma certidão poder conter várias assinaturas.
Algumas ou muitas pessoas podem assinar o par de chaves/identificação para atestar para sua própria garantia que a chave pública pertence definitivamente ao dono especifico.
Se você for olhar num servidor público de certidões, irá notar que algumas certidões, como a do criador do PGP, Phil Zimmermann, contém várias assinaturas.
Algumas certidões PGP consistem em uma chave pública com várias etiquetas, cada uma contendo meios diferentes de identificar o dono da chave
Tudo em um certificado
Por exemplo, o nome do dono e e-mail corporativo, o apelido do dono e e-mail pessoal, uma fotografia do dono – tudo embutido em um certificado.
A lista de assinaturas de cada uma destas identidades pode ser diferente.
As assinaturas atestam que uma das etiquetas pertence à chave pública, e não que todas as etiquetas contidas na chave são autênticas.
Observe que o significado de ´autêntico´ está no olho do dono – assinaturas são opiniões.
E cada pessoa avalia a autenticidade de uma identidade de modo diverso antes de assinar uma chave (nome dado a uma certidão PGP).
Formatos de certidões em PGP
O PGP reconhece dois formatos de certidões diferentes:
Certidões PGP (chamadas simplesmente de chaves PGP)
Certidões X.509
O que é uma frase-senha ?
A maioria das pessoas está familiarizada com o uso de senhas para restringir o acesso aos seus computadores.
Uma frase-senha é uma versão
estendida de uma senha, e na teoria, é mais segura.
Ataque de dicionário
Geralmente composta de várias palavras, uma frase-senha é mais segura contra ´ataques de dicionários´, onde o agressor aplica todos as palavras contidas em um dicionário na esperança de encontrar a sua senha.
Frases-senhas
As melhores frases-senhas são relativamente longas e complexas e contém uma combinação de letras maiúsculas e minúsculas, caracteres numéricos e de pontuação.
O PGP usa uma frase-senha para encriptar a sua chave privada na sua máquina.
A sua chave privada é encriptada no seu disco usando um ´hash´ da sua frase-senha como chave secreta.
Você usa a frase-senha para decriptar a sua chave privada.
Uma frase-senha deve ser difícil de você esquecer e difícil para outros adivinharem
Deveria ser alguma coisa bem fixada na sua memória de longo prazo e não algo que você inventou do nada.
Por que?
Porquê se você esquecer a sua frase-senha, você estará em maus lençóis.
A sua chave privada será completamente inútil sem a sua frase-senha e nada poderá ser feito.
Lembra-se da frase no começo deste capítulo?