OpenPGP

1
OpenPGP
2

• OpenPGP is a non-proprietary protocol for
  encrypting email using public key cryptography.
• It is based on PGP as originally developed by
  Phil Zimmermann.

3

• The OpenPGP protocol defines standard formats for
  encrypted messages, signatures, and certificates
  for exchanging public keys.

4

• Beginning in 1997, the OpenPGP Working Group was
  formed in the Internet Engineering Task Force
  (IETF) to define this standard that had formerly
  been a proprietary product since 1991.

5

• Over the past decade, PGP, and later OpenPGP, has
  become the standard for nearly all of the world's
  encrypted email.

6

• By becoming an IETF Proposed Standard (RFC 2440),
  OpenPGP may be implemented by any company without
  paying any licensing fees to anyone.

7

• The OpenPGP Alliance brings companies together to
  pursue a common goal of promoting the same
  standard for email encryption and to apply the
  PKI that has emerged from the OpenPGP community
  to other non-email applications.

8
Technical Information

• The OpenPGP Proposed Standard is defined by the
  OpenPGP Working Group of the Internet Engineering
  Task Force (IETF) Proposed Standard RFC 2440.

9

• This document contains all the necessary
  information to develop interoperable applications
  based on the OpenPGP format.

10

• It describes the format and methods needed to
  read, check, generate, and write conforming
  encrypted messages, keys, and signatures.

11

• To learn more about other IETF topics related to
  the OpenPGP standard, please consult the Internet
  Engineering Task Force Security Area.

12
HushMail

• If you want a highly mobile way to do PGP-style
  encrypted email, you might consider HushMail,
  from Hush Communications.
• HushMail is a web-based encrypted email service
  that uses a downloaded Java applet to encrypt and
  decrypt email in your browser.

13

• There's nothing to install, because it's all done
  in your browser.
• Which greatly simplifies deployment in large
  corporate environments.
• It's also handy for road warriors who might need
  to check their encrypted email from an Internet
  cafe.

14
Freeware versions of PGP

• For a wide assortment of freeware versions of
  PGP, visit the International PGP Home Page at
  www.pgpi.org.
• Note that this web site does not have the newer
  (8.0 or later) versions of the PGP freeware from
  PGP Corp.
• You can download the latest version of PGP
  freeware from PGP Corp.

15
PGP Command-line Products

• If you need a command-line version of PGP, you
  can get it from PGP Corp.
• You can also get other OpenPGP-compliant
  command-line products from other people, such as
  Gnu Privacy Guard (also known as GnuPG or GPG)
  and FileCrypt.

16
PGP Command-line Products

• All of these OpenPGP-compliant command-line
  products run on a variety of Unix platforms, as
  well as the Windows command-line shell.

17
Como funciona PGP

• O PGP combina algumas das melhores
  características da criptografia simétrica e
  criptografia de chave pública.
• O PGP é um cripto-sistema híbrido.

18
Compressão em PGP

• Quando um usuário encripta texto puro com o PGP,
  o PGP comprime o texto puro em primeiro lugar.
• A compressão de dados economiza tempo de
  transmissão de modem e espaço em disco e, mais
  importante, aumenta a segurança da criptografia.

19
Criptoanálise

• A maioria das técnicas de criptoanálise explora
  padrões encontrados em textos puros para quebrar
  o código (Craxi te ceder).

20
Compressão e Criptoanálise

• A compressão reduz estes padrões no texto
  original, aumentando significativamente a
  resistência à criptoanálise.

21
Compressão

• Arquivos muitos pequenos para serem comprimidos
  ou que não suportam a compressão não são
  comprimidos.

22
Chave de Sessão

• O PGP cria então uma chave de sessão (session
  key), uma chave secreta para uso uma única vez.
• No PGP, esta chave é um número gerado
  aleatoriamente pelos movimentos imprecisos do seu
  mouse e das teclas que você aciona.

23
Chave de Sessão

• A chave de sessão utiliza um algoritmo de
  encriptação convencional extremamente rápido e
  seguro, encriptando o texto puro, gerando o texto
  cifrado.

24
Criptografando a chave de sessão

• Uma vez os dados encriptados, a chave de sessão é
  encriptada na chave pública do destinatário
  (recipient).

25
Chave de Sessão transmitida

• Finalmente, esta chave de sessão encriptada numa
  chave pública é transmitida com o texto cifrado
  para o destinatário.

26
Criptografando com PGP
27
Decriptografando com PGP

• A decriptação funciona de modo inverso.
• O receptor da mensagem usa a sua chave privada
  para recuperar a chave de sessão, que o PGP usa
  para decriptar o texto cifrado.

28
Decriptografando com PGP
29
Os dois métodos de criptografia

• O uso dos dois métodos de encriptação combina a
  conveniência da encriptação de chave pública com
  a agilidade da encriptação convencional.

30
Os dois métodos de criptografia

• A encriptação convencional é aproximadamente
  10.000 vezes mais veloz do que a encriptação de
  chave pública.

31
Os dois métodos de criptografia

• A encriptação de chave pública por sua vez
  fornece uma solução para a distribuição de chaves
  e transmissão de dados.

32
Os dois métodos de criptografia

• Usadas em conjunto, a performance e a
  distribuição das chaves são otimizadas sem
  comprometer a segurança.

33
O formato PGP de certidão

• A certidão PGP inclui (mas não se limita) as
  seguintes informações

34

• A chave pública da certidão do portador
• A porção pública do seu par de chaves, junto
  com o algoritmo da chave RSA, RSA Legacy, DH
  (Diffie-Hellman), ou DSA (Digital Signature
  Algorithm).

35

• Informação do portador da certidão. Consiste em
  informações da identidade do usuário, como nome,
  user ID, e-mail, número ICQ, retrato fotográfico,
  e assim por diante.

36

• Assinatura digital do portador da certidão.
  Chamada também de auto-assinatura, é a
  assinatura feita usando a chave privada
  correspondente à chave pública associada à
  certidão.

37

• Prazo de validade da certidão Data de início e
  término da validade da certidão indica quando
  expira a certidão.
• Caso o par de chaves contenha sub-chaves, então
  serão incluídos os prazos de validade das
  sub-chaves.

38

• Algoritmo de encriptação simétrica preferido pelo
  usuário os algoritmos suportados são CAST,
  AES, IDEA, Triple-DES, e Twofish.

39
Analogia

• Você pode pensar na certidão PGP como uma chave
  pública com uma ou mais etiquetas coladas.

40
Analogia

• Nestas etiquetas você encontrará informações
  identificando o dono da chave e a assinatura do
  mesmo, determinando que chave e identificação
  andam juntas.

41

• Esta assinatura em especial é chamada de
  auto-assinatura.
• Toda certidão PGP contém uma auto-assinatura.

42

• Um aspecto único do formato de certidão PGP é o
  fato de uma certidão poder conter várias
  assinaturas.

43

• Algumas ou muitas pessoas podem assinar o par de
  chaves/identificação para atestar para sua
  própria garantia que a chave pública pertence
  definitivamente ao dono especifico.

44

• Se você for olhar num servidor público de
  certidões, irá notar que algumas certidões, como
  a do criador do PGP, Phil Zimmermann, contém
  várias assinaturas.

45

• Algumas certidões PGP consistem em uma chave
  pública com várias etiquetas, cada uma contendo
  meios diferentes de identificar o dono da chave

46
Tudo em um certificado

• Por exemplo, o nome do dono e e-mail corporativo,
  o apelido do dono e e-mail pessoal, uma
  fotografia do dono tudo embutido em um
  certificado.

47

• A lista de assinaturas de cada uma destas
  identidades pode ser diferente.
• As assinaturas atestam que uma das etiquetas
  pertence à chave pública, e não que todas as
  etiquetas contidas na chave são autênticas.

48

• Observe que o significado de autêntico está no
  olho do dono assinaturas são opiniões.
• E cada pessoa avalia a autenticidade de uma
  identidade de modo diverso antes de assinar uma
  chave (nome dado a uma certidão PGP).

49
Formatos de certidões em PGP

• O PGP reconhece dois formatos de certidões
  diferentes
• Certidões PGP (chamadas simplesmente de
  chaves PGP)
• Certidões X.509

50
Certificado PGP
51
Certificado X.509
52
O que é uma frase-senha ?

• A maioria das pessoas está familiarizada com o
  uso de senhas para restringir o acesso aos seus
  computadores.
• Uma frase-senha é uma versão estendida de uma
  senha, e na teoria, é mais segura.

53
Ataque de dicionário

• Geralmente composta de várias palavras, uma
  frase-senha é mais segura contra ataques de
  dicionários, onde o agressor aplica todos as
  palavras contidas em um dicionário na esperança
  de encontrar a sua senha.

54
Frases-senhas

• As melhores frases-senhas são relativamente
  longas e complexas e contém uma combinação de
  letras maiúsculas e minúsculas, caracteres
  numéricos e de pontuação.

55

• O PGP usa uma frase-senha para encriptar a sua
  chave privada na sua máquina.
• A sua chave privada é encriptada no seu disco
  usando um hash da sua frase-senha como chave
  secreta.

56

• Você usa a frase-senha para decriptar a sua chave
  privada.
• Uma frase-senha deve ser difícil de você esquecer
  e difícil para outros adivinharem

57

• Deveria ser alguma coisa bem fixada na sua
  memória de longo prazo e não algo que você
  inventou do nada.
• Por que?

58

• Porquê se você esquecer a sua frase-senha, você
  estará em maus lençóis.
• A sua chave privada será completamente inútil sem
  a sua frase-senha e nada poderá ser feito.
• Lembra-se da frase no começo deste capítulo?

59

• O PGP é a criptografia que manterá grandes
  organizações governamentais fora dos seus
  arquivos.
• Com certeza manterá você fora dos seus arquivos
  também!
• Mantenha isto em mente quando decidir mudar a sua
  frase-senha.