Como criptografar e descriptografar arquivos com GPG no Linux

Janela do terminal Linux em um laptop
Fatmawati Achmad Zaenuri / Shutterstock.com

Proteja sua privacidade com o gpgcomando Linux . Use criptografia de classe mundial para manter seus segredos seguros. Mostraremos como usar o gpg para trabalhar com chaves, criptografar arquivos e descriptografá-los.

O GnuPrivacy Guard ( GPG ) permite que você criptografe arquivos com segurança para que apenas o destinatário pretendido possa descriptografá-los. Especificamente, o GPG está em conformidade com o   padrão OpenPGP . É modelado em um programa chamado Pretty Good Privacy ( PGP ). PGP foi escrito em 1991 por Phil Zimmerman .

O GPG se baseia na ideia de duas chaves de criptografia por pessoa. Cada pessoa possui uma chave privada e uma chave pública . A chave pública pode descriptografar algo que foi criptografado com a chave privada.

Para enviar um arquivo com segurança, você o criptografa com sua chave privada e a chave pública do destinatário. Para descriptografar o arquivo, eles precisam da chave privada e da chave pública.

Você verá que as chaves públicas devem ser compartilhadas. Você precisa ter a chave pública do destinatário para criptografar o arquivo, e o destinatário precisa da sua chave pública para descriptografá-lo. Não há perigo em tornar suas chaves públicas apenas isso – públicas. Na verdade, existem servidores de chave pública para esse propósito, como veremos. As chaves privadas devem ser mantidas privadas. Se sua chave pública for de domínio público, sua chave privada deve ser mantida em segredo e segura.

Existem mais etapas envolvidas na configuração do GPG do que em usá-lo. Felizmente, geralmente você só precisa configurá-lo uma vez.

Gerando Suas Chaves

O gpgcomando foi instalado em todas as distribuições Linux que foram verificadas, incluindo Ubuntu, Fedora e Manjaro.

Você não precisa usar o GPG com e-mail. Você pode criptografar arquivos e disponibilizá-los para download ou repassá-los fisicamente ao destinatário. Você precisa associar um endereço de e-mail às chaves geradas, portanto, escolha o endereço de e-mail que vai usar.

Aqui está o comando para gerar suas chaves. A --full-generate-keyopção gera suas chaves em uma sessão interativa dentro da janela do terminal. Você também será solicitado a fornecer uma senha longa. Lembre-se de qual é a senha. Três ou quatro palavras simples unidas com pontuação são um modelo bom e robusto para senhas e frases secretas .

gpg --full-generate-key

gpg --full-generate-key em uma janela de terminal

Você será solicitado a escolher um tipo de criptografia em um menu. A menos que você tenha um bom motivo para não fazê-lo, digite 1e pressione Enter.

Você deve escolher um comprimento de bit para as chaves de criptografia. Pressione Enter para aceitar o padrão.

questões-chave de geração em uma janela de terminal

Você precisa especificar quanto tempo a chave deve durar. Se você estiver testando o sistema, insira uma curta duração, como 5cinco dias. Se você pretende manter esta chave, insira uma duração mais longa, como 1 ano, por um ano. A chave durará 12 meses e, portanto, precisará ser renovada após um ano. Confirme sua escolha com a Y.

Você deve inserir seu nome e endereço de e-mail. Você pode adicionar um comentário se desejar.

Recomendado:  Como ver quantos núcleos sua CPU tem

questões-chave de geração em uma janela de terminal

Sua senha será solicitada. Você precisará da senha sempre que trabalhar com suas chaves, portanto, certifique-se de saber qual é.

janela da frase secreta gpg

Clique no OKbotão depois de inserir sua senha. Você verá essa janela conforme trabalha gpg, portanto, lembre-se de lembrar sua senha.

A geração da chave ocorrerá e você retornará ao prompt de comando.

Geração de chave gpg concluída em uma janela de terminal

Gerando um Certificado de Revogação

Se sua chave privada se tornar conhecida por outras pessoas, você precisará desassociar as chaves antigas de sua identidade, para que possa gerar novas. Para fazer isso, você precisará de um certificado de revogação. Faremos isso agora e armazenaremos em um lugar seguro.

A --outputopção deve ser seguida pelo nome do arquivo do certificado que você deseja criar. A --gen-revokeopção faz gpgcom que seja gerado um certificado de revogação. Você deve fornecer o endereço de e-mail que usou quando as chaves foram geradas.

gpg --output ~ / revocation.crt --gen-revoke dave-geek@protonmail.com

gpg --output ~ / revocation.crt --gen-revoke dave-geek@protonmail.com em uma janela de terminal

Você será solicitado a confirmar que deseja gerar um certificado. Pressione Ye pressione Enter. Você será questionado sobre o motivo pelo qual está gerando o certificado. Como estamos fazendo isso antes do tempo, não temos certeza. Pressione 1como um palpite plausível e pressione Enter.

Você pode inserir uma descrição se desejar. Pressione Enter duas vezes para encerrar sua descrição.

Você será solicitado a confirmar suas configurações, pressione Ye pressione Enter.

perguntas de certificado gpg em uma janela de terminal

O certificado será gerado. Você verá uma mensagem reforçando a necessidade de manter este certificado seguro.

Ele menciona alguém chamado Mallory. As discussões sobre criptografia há muito tempo usam Bob e Alice como as duas pessoas que se comunicam. Existem outros personagens secundários. Eva é uma bisbilhoteira, Mallory é um atacante malicioso. Tudo o que precisamos saber é que devemos manter o certificado seguro e protegido.

No mínimo, vamos remover todas as permissões, exceto as nossas, do certificado.

chmod 600 ~ / revocation.crt

chmod 600 ~ / revocation.crt em uma janela de terminal

Vamos verificar lspara ver quais são as permissões agora:

ls -l

http://cryptocouple.com/ em uma janela de terminal

Perfeito. Ninguém além do proprietário do arquivo – nós – pode fazer nada com o certificado.

Importando a chave pública de outra pessoa

Para criptografar uma mensagem que outra pessoa pode descriptografar, devemos ter sua chave pública.

Se você recebeu sua chave em um arquivo, você pode importá-lo com o seguinte comando. Neste exemplo, o arquivo de chave é denominado “mary-geek.key”.

gpg --import mary-geek.key

gpg --importar mary-geek.key em uma janela de terminal

A chave é importada e você verá o nome e o endereço de e-mail associados a essa chave. Obviamente, deve corresponder à pessoa de quem você o recebeu.

chave importada com sucesso em uma janela de terminal

Também existe a possibilidade de que a pessoa de quem você precisa de uma chave tenha carregado sua chave em um servidor de chave pública. Esses servidores armazenam as chaves públicas de pessoas de todo o mundo. Os servidores principais são sincronizados periodicamente para que as chaves estejam universalmente disponíveis.

Recomendado:  Como usar expressões regulares (regexes) no Linux

O servidor de chave pública do MIT é um servidor de chave popular e regularmente sincronizado, portanto, a pesquisa deve ser bem-sucedida. Se alguém fez upload de uma chave recentemente, pode levar alguns dias para que ela apareça.

A --keyserveropção deve ser seguida pelo nome do servidor de chaves que você deseja pesquisar. A --search-keysopção deve ser seguida pelo nome da pessoa que você está procurando ou pelo endereço de e-mail. Usaremos o endereço de e-mail:

gpg --keyserver pgp.mit.edu --search-keys mary-geek@protonmail.com

gpg --keyserver pgp.mit.edu --search-keys mary-geek@protonmail.com em uma janela de terminal

As correspondências são listadas para você e numeradas. Para importar um, digite o número e pressione Enter. Nesse caso, há uma única correspondência, então digitamos 1e pressionamos Enter.

gpg keyserver resulta em uma janela de terminal

A chave é importada e vemos o nome e o endereço de e-mail associados a essa chave.

Verificando e assinando uma chave

Se você recebeu um arquivo de chave pública de alguém conhecido por você, pode dizer com segurança que pertence a essa pessoa. Se você baixou de um servidor de chave pública, pode sentir a necessidade de verificar se a chave pertence à pessoa a quem se destina.

A --fingerprintopção faz gpgcom que seja criada uma sequência curta de dez conjuntos de quatro caracteres hexadecimais. Você pode pedir à pessoa que lhe envie a impressão digital de sua chave.

Você pode então usar a --fingerprintopção para gerar a mesma sequência de impressão digital de caracteres hexadecimais e compará-los. Se eles corresponderem, você sabe que a chave pertence a essa pessoa.

gpg --fingerprint mary-geek@protonmail.com

gpg --fingerprint mary-geek@protonmail.com em uma janela de terminal

A impressão digital é gerada.

impressão digital gpg em uma janela de terminal

Quando estiver convencido de que a chave é genuína e de propriedade da pessoa à qual deveria estar associada, você pode assinar a chave.

Se você não fizer isso, ainda poderá usá-lo para criptografar e descriptografar mensagens de e para essa pessoa. Mas sempre gpgperguntará se deseja prosseguir porque a chave não está assinada. Usaremos a --sign-keyopção nomeada apropriadamente e forneceremos o endereço de e-mail da pessoa, para que ela gpgsaiba qual chave assinar.

gpg --sign-key mary-geek@protonmail.com

gpg --sign-key mary-geek@protonmail.com em uma janela de terminal

Você verá informações sobre a chave e a pessoa, e será solicitado a verificar se realmente deseja assinar a chave. Pressione Ye pressione Enter para assinar a chave.

confirmação de assinatura de chave gpg em uma janela de terminal

Como compartilhar sua chave pública

Para compartilhar sua chave como um arquivo, precisamos exportá-la do gpgarmazenamento de chaves local. Para fazer isso, usaremos a --exportopção, que deve ser seguida pelo endereço de e-mail que você usou para gerar a chave. A --outputopção deve ser seguida pelo nome do arquivo para o qual deseja que a chave seja exportada. A --armoropção diz gpgpara gerar a saída de armadura ASCII em vez de um arquivo binário.

gpg --output ~ / dave-geek.key --armor --export dave-geek@protonmail.com

gpg --output ~ / dave-geek.key --armor --export dave-geek@protonmail.com em uma janela de terminal

Podemos dar uma olhada dentro do arquivo de chave com less.

menos dave-geek.key

arquivo de chave pública em menos em uma janela de terminal

A chave é mostrada em toda a sua glória:

Recomendado:  5 fontes que você deve parar de usar (e melhores alternativas)

arquivo de chave pública em menos em uma janela de terminal

Você também pode compartilhar sua chave pública em um servidor de chave pública. A --send-keysopção envia a chave para o servidor de chaves. A --keyserveropção deve ser seguida pelo endereço da web do servidor de chave pública. Para identificar qual chave enviar, a impressão digital da chave deve ser fornecida na linha de comando. Observe que não há espaços entre os conjuntos de quatro caracteres.

(Você pode ver a impressão digital de sua chave usando a --fingerprintopção.)

gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4

gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4 em uma janela de terminal

Você receberá a confirmação de que a chave foi enviada.

a chave de confirmação foi enviada para o servidor de chaves em uma janela de terminal

Criptografando arquivos

Estamos finalmente prontos para criptografar um arquivo e enviá-lo para Mary. O arquivo é denominado Raven.txt.

A --encryptopção informa gpgpara criptografar o arquivo e a --signopção informa para assinar o arquivo com seus detalhes. A --armoropção diz ao gpg para criar um arquivo ASCII. A -ropção (destinatário) deve ser seguida pelo endereço de e-mail da pessoa para a qual você está enviando o arquivo.

gpg --encrypt --sign --armor -r mary-geek@protonmail.com

gpg --encrypt --sign --armor -r mary-geek@protonmail.com em uma janela de terminal

O arquivo é criado com o mesmo nome do original, mas com “.asc” anexado ao nome do arquivo. Vamos dar uma olhada por dentro.

menos Raven.txt.asc

menos Raven.txt.asc em uma janela de terminal

O arquivo é completamente ilegível e só pode ser descriptografado por alguém que tenha sua chave pública e a chave privada de Maria. A única pessoa que pode ter ambos deve ser Maria.

Conteúdo criptografado de raven.txt.asc em uma janela de terminal

Agora podemos enviar o arquivo para Maria, com a certeza de que ninguém mais pode descriptografá-lo.

Descriptografando arquivos

Maria enviou uma resposta. Ele está em um arquivo criptografado chamado coded.asc. Podemos descriptografá-lo facilmente usando a --decryptopção. Vamos redirecionar a saída para outro arquivo chamado plain.txt.

Observe que não precisamos dizer de gpgquem é o arquivo. Ele pode descobrir isso a partir do conteúdo criptografado do arquivo.

gpg --decrypt coded.asc> plain.txt

gpg --decrypt coded.asc> plain.txt em uma janela de terminal

Vejamos o arquivo plain.txt:

less plain.txt

less plain.txt em uma janela de terminal

O arquivo foi descriptografado com sucesso para nós.

arquivo descriptografado em menos em uma janela de terminal

Atualizando suas chaves

Periodicamente, você pode pedir gpgpara verificar as chaves que ele possui em um servidor de chave pública e atualizar as que foram alteradas. Você pode fazer isso a cada poucos meses ou quando receber uma chave de um novo contato.

A --refresh-keysopção faz gpgcom que a verificação seja realizada. A --keyserveropção deve ser seguida pelo servidor de chaves de sua escolha. Uma vez que as chaves tenham sido sincronizadas entre os servidores de chaves públicas, não importa qual você escolher.

gpg --keyserver pgp.mit.edu --refresh-keys

gpg --keyserver pgp.mit.edu --refresh-keys em uma janela de terminal

gpg responde listando as chaves verificadas e informando se alguma delas foi alterada e atualizada.

A chave gpg é atualizada em uma janela de terminal

Privacidade é um tema importante

A privacidade nunca está longe das notícias nos dias de hoje. Quaisquer que sejam seus motivos para querer manter suas informações seguras e privadas, gpgfornece um meio simples de aplicar criptografia incrivelmente forte a seus arquivos e comunicações.

Existem outras maneiras de usar gpg. Você pode obter um plugin para Thunderbird chamado Enigmail . Ele se conecta diretamente à sua  gpgconfiguração para permitir que você criptografe mensagens de e-mail de dentro do Thunderbird.