Encriptação de E-mails

Mozilla Thunderbird

O Mozilla Thunderbird é umcliente de e-mail similar ao Microsoft Outlook e gratuito.

Inclui diversas funções que agilizam a sua utilização e garantem mais segurança:

• Suporte a contas POP e IMAP
• Leitor RSS
• Suporte para mensagens formatadas em HTML
• Função "localizar rápido"
• Lista de endereços
• Controle de privacidade
• Filtros de mensagens (regras)
• Ferramentas de importação
• Capacidade de gerir múltiplas contas de email e newsgroups
• Filtro automatizado contra SPAM
• Controlador ortográfico em português, inglês, espanhol, etc.
• Sistema automático de actualizações
• Diferentes modos de exibição
• Diversos "addons" que podem ser instalados gratuitamente
• Compatibilidade com sistemas de criptografia X.509 e OpenPGP (Enigmail)

O download é rápido, a instalação leva poucos minutos e a cópia dos contactos e mensagens é feita de maneira simples com um assistente automatizado.

Enigmail

O Enigmail é um programa que usa o GnuPG para encriptar e assinar e-mails no Mozilla Thunderbird. Após a instalação haverá um novo menu no Mozilla Thunderbird a partir do qual podemos configurar o programa e gerir por exemplo as chaves.

Ao enviar um e-mail basta clicar em assinar e encriptar que o Engimail automáticamente vai procurar a chave pública do destinatário, pedir a sua senha e efetuar a operação.

Ao receber um e-mail assinado e criptografado, ele verifica automáticamente a assinatura e pede a nossa password para descriptografar a mensagem. Ao fechar o programa as mensagens criptografadas permanecem criptografadas garantindo maior segurança.

Instalação

O procedimento para instalar é simples: basta fazer o download de http://enigmail.mozdev.org/download/index.php do enigmail e do respectivo pacote de linguagem que desejarmos.

Abrimos o Mozilla Thunderbird e clicamos no menu "Ferramentas" e opção "Extensões".

Menu "Ferramentas" do Thunderbird

Clicamos na opção "instalar" e selecionamos o primeiro ficheiro ( enigmail ). O Thunderbird vai avisar que o ficheiro não é assinado (trata-se de uma advertência do Mozilla Thunderbird para evitar vírus); ignoramos o aviso e escolhemos"Instalar agora".

Confirmação de instalação de extensão

Repita o procedimento com o segundo ficheiro ( linguagem ). Depois de instalar as duas extensões, lista de extensões deverá mostrar os dois itens como a imagem seguir:

Lista de extensões instaladas

È importante fechar a janela e o Mozilla Thunderbird e abri-lo novamente para que a instalação ocorra corretamente. Se tudo correu bem, devemos observar à esquerda do menu "Ferramentas" o surgimento de um menu chamado "OpenPGP".

Menu "OpenPGP" no Thunderbird

Criar o Par de Chaves

Abrimos o Mozilla Thunderbird, menu "OpenPGP" e selecionamos a opção "Gerenciamento de Chaves OpenPGP".

Menu "OpenPGP" do Enigmail no Thunderbird

Na nova janela, clique em "Gerar" e selecione "Novo par de chaves"

Menu "gerar nova chave" no gestor de chaves do Engimail

Surge uma nova janela onde devemos selecionar para qual conta de e-mail(já configurada no Mozilla Thunderbird) queremos criar o par de chaves. Escolha uma password "complicada": evite palavras do dicionário, nomes, datas de nascimento e coisas óbvias que poderão ser descobertas através de várias tentativas.

O comentário é opcional. Serve para facilitar a identificação da chave caso usemos mais do que uma. Podemos, por exemplo, ter uma chave para o e-mail do trabalho e escrever no campo comentário "trabalho", indicando que a chave é a do escritório e não a pessoal.

Em "Expiração de chaves" podemos marcar a opção "A chave não expira". A "expiração de chaves" é mais usada por empresas que vendem chaves e por pessoas com grandes preocupações em segurança, que trocam de chave ao fim de um determinado periodo de tempo. Podemos trocar a password sem trocar de chave, podemos trocar a password de uma chave quantas vezes o desejarmos.

A seguir clicamos em "Gerar chave".

Gerador de chaves do Enigmail

O processo vai demorar algum tempo, é normal. No fim do processo, o programa vai perguntar se desejamos gerar um certificado de revogação. É altamente recomendável gerá-lo pois com podemos revogar (cancelar) o par de chaves se estas forem roubadas ou perdidas. Selecionamos a opção "Sim" e guardamos o ficheiro, de preferência, em local seguro.

Janela que pergunta se utilizador quer gerar certificado de revogação

Uma vez criado o par de chaves, é preciso distribuir a chave pública para que as pessoas possam mandar mensagens criptografadas e também para que elas possam verificar mensagens assinadas por quem envia.

Clicamos com o botão direito do rato em cima da chave no Gestor de chaves e selecionamos a opção "Enviar Chaves Públicas para Servidor de Chaves"

Menu de opções de chave ao clicar com o botão direito do rato numa

Quando o programa perguntar para que servidor desejamos enviar a chave, sugiro que coloque pgp.mit.edu pois é um dos servidores mais utilizados. É importante observar que ao mandar a chave para um servidor, depois de alguns dias ela é enviada desse servidor para outros, propagando a chave pela Internet, portanto não há necessidade de mandar a chave para cada um dos servidores.

Janela de seleção do servidor de chaves para envio

Uma vez enviada, a chave pública fica disponível para quem quiser entrar em contacto.

Observemos que clicando com o botão direito do mouse sobre a sua chave, aparece também a opção de enviá-la por e-mail. É também possível guardá-la num ficheiro e deixar no site da empresa, por exemplo.

Revogar as Chaves

A revogação de uma chave é necessária em 2 casos:

1. Quando ela é comprometida, ou seja, quando alguém tem acesso à nossa chave-pública e queremos evitar que essa pessoa aceda a ficheiros e e-mails criptografados e que assine mensagens em nosso nome.
2. Quando não temos mais interesse em utilizá-la ou perdermos a chave privada (pode acontecer se o computador avariar e não tivermos uma cópia dela).

Para revogar uma chave, precisamos de um certificado de revogação, que devemos ter criado e salvo em CD quando criámos o par de chaves. Além do certificado de revogação, precisamos da chave pública que queremos revogar. No caso de não possuirmos a nossa própria chave, devemos obtê-la do servidor de chaves ou de algum outro utilizador que a tenha (não precisamos da chave privada, apenas da pública).

No Mozilla Thunderbird, abrir o menu OpenPGP e selecionar a opção "Gerenciamento de Chaves OpenPGP".

Opção "Gerenciamento de Chaves OpenPGP no menu OpenPGP do Enigmail no Thundebird

No Gestor de Chaves, clique em "Arquivo" e selecione "Importar Chaves a Partir de Arquivo".

Opção "Importar chaves a partir de arquivo" no menu "arquivo" do "gerenciador de chaves OpenPGP"

Na nova janela, encontre o certificado de revogação, selecionamos e da-mos OK. A chave será revogada localmente, mas ainda faltará ser revogada no computador das demais pessoas que a possuem. O modo mais simples de fazer isso é clicar com o botão direito na sua chave (que já deverá constar como revogada - ela vai ficar de cor cinza) e selecionar a opção "Enviar Chaves Públicas para Servidor de Chaves"

Opção "enviar chaves públicas para servidor de chaves" ao clicar com o botão direito do mouse sobre uma chave no Gestor de chaves

Na nova janela, basta informar um servidor de chaves - sugerimos o pgp.mit.edu - e dar OK para que a chave seja revogada no servidor e para que quando os utilizadores actualizarem as suas chaves, a nossa chave seja revogada no computador deles.

seleção do servidor de destino para chave a ser enviada

Encriptar e Assinar

Quando estivermos a escrever uma mensagem e quisermos assiná-la e/ou criptografá-la, basta clicar no botão "OpenPGP" e selecionar as respectivas funções. É importante lembrar que ao clicar em enviar, o programa vai pedir a password da sua chave secreta.

Para criptografar uma mensagem precisamos ter a chave pública do destinatário da mesma. Para que o destinatário reconheça a nossa assinatura, ele deve ter a nossa chave pública.

Botão para assinar e criptografar na janela de nova mensagem

Ao receber uma mensagem criptografada, o programa irá pedir a password da nossa chave secreta para descriptografá-la automaticamente. A mensagem será exibida assim:

Mensagem descriptografada Observemos que a caneta indica que a mensagem está assinada e a chave indica que a mensagem está criptografada. Clicando em qualquer uma das figuras, sera aberta uma nova janela com mais informações:

Informações de segurança de chave

Notas Finais e Observações

Ao receber uma mensagem assinada, o programa só confiará na assinatura se a chave usada para assiná-la tiver sido assinada por várias chaves confiáveis ou se nós determinámos que ele confie na chave.

Se fecharmos o Thunderbird e voltarmos a abri-lo, a mensagem só será descriptografada mediante password, independente do facto dela já ter sido descriptografada antes. Isso deve-se ao facto do Enigmail armazenar as mensagens de forma criptografada, para ter mais segurança.

Se não tivermos a chave pública da pessoa, podemos salvá-la a partir da própria mensagem. Mas atenção que NUNCA devemos acreditar numa mensagem assinada com uma chave da qual não tenhamos certeza que pertence a quem diz pertencer, ou ainda, que não esteja assinada por várias pessoas em cujas chaves nós já tenhamos a certeza da autenticidade. Se for um novo contacto, devemos sempre ter em consideração a possibilidade de ser uma chave pública falsa.

Note que os anexos das mensagens também podem ser criptografados; Não tinha sentido eventualmente criptografar só o texto da mensagem e deixar uma ficheiro do Excel com dados financeiros descriptografados.