PGP: Pretty Good Privacy

Paulo Fernando Loureno Santos 15666

Trabalho sobre
PGP: Pretty Good Privacy

-1-

PGP: Pretty Good Privacy

Introduo
Com a necessidade de tornar a comunicao na rede segura foram
surgindo alguns sistemas de criptografia dos quais se destaca o PGP Pretty Good Privacy, que o objectivo deste trabalho.
Possibilitando a criptografia de arquivos o PGP, permite criptografar e
garantir que os dados presentes num determinado suporte ou a sua
comunicao na rede, apenas so acessiveis a entidades
autorizadas .
O sistema e o design do PGP faz parte de uma coleco de software
aberto (open source), neste caso designa-se OpenPGP.
Existem tambm outros programas open source como o GnuPG e o
cliente de email Hushmail que utilizam o padro do PGP.
Introduo ao PGP
O PGP (Pretty Good Privacy) um criptosistema (sistema de
codificao) inventado por Philip Zimmermann, um analista
informtico. Philip Zimmermann trabalhou de 1984 s 1991 num
programa que permite fazer funcionar o RSA em computadores
pessoais (PGP).

Contudo, como este utilizava o RSA sem o acordo dos seus autores,
isto valeu-lhe processos durante 3 anos, ento vendido por cerca de
150$ desde 1993.

muito rpido e seguro, o que o torna quase impossvel de

criptoanalisar .
O princpio de PGP
O PGP um sistema de criptografia hbrido, utilizando uma
combinao das funcionalidades da criptografia com chave pblica e
a criptografia simtrica.

Quando um utilizador codifica um texto com PGP, os dados so

primeiro comprimidos. Esta compresso dos dados permite reduzir o
tempo de transmisso por qualquer meio de comunicao,
economizar espao no disco e, sobretudo, reforar a segurana
criptogrfica.

-2-

PGP: Pretty Good Privacy

A maior parte dos criptanalistas explora os modelos encontrados no

texto normal para quebrar a codificao. A compresso reduz estes
modelos no texto normal, melhorando por conseguinte
consideravelmente a resistncia criptoanlise.

Seguidamente, a operao de codificao faz-se principalmente em

duas etapas:
PGP cria uma chave secreta IDEA de maneira aleatria, e codifica os
dados com esta chave
PGP cripta a chave secreta IDEA e transmite-a atravs da chave RSA
pblica do destinatrio.
A operao de descodificao faz-se principalmente em duas etapas:
PGP decifra a chave secreta IDEA atravs da chave RSA privada.
PGP decifra os dados com a chave secreta IDEA previamente obtida.

Este mtodo de codificao associa a facilidade de utilizao da

cifragem de chave pblica velocidade da cifragem convencional. A
codificao convencional cerca de 1000 vezes mais rpida que os
algoritmos de codificao com chave pblica. A codificao com
chave pblica resolve o problema da distribuio da chave. Utilizados
conjuntamente, estes dois mtodos melhoram o desempenho e a
gesto das chaves, sem, no entanto, comprometer a segurana.
As funcionalidades de PGP
PGP oferece as funcionalidades seguintes:
Assinatura electrnica e verificao de integridade de mensagens :
funo baseada no emprego simultneo de uma funo hachage
(MD5) e do sistema RSA. MD5 corta a mensagem e fornece um
resultado de 128 bits que codificado seguidamente, graas ao RSA,
pela chave privada do remetente.
Codificao dos ficheiros locais : funo utilizando IDEA.
Gerao de chaves pblicas e privadas : cada utilizador codifica as
suas mensagens com a ajuda de chaves privadas IDEA. A
transferncia de chaves electrnicas IDEA utiliza o sistema RSA; PGP
oferece por conseguinte mecanismos de gerao de chaves
adaptados a este sistema. A dimenso das chaves RSA proposta de
acordo com vrios nveis de segurana: 512,768,1024 ou 1280 bits.

-3-

PGP: Pretty Good Privacy

Gesto de chaves : funo que assegura a distribuio da chave

pblica do utilizador aos correspondentes que desejam enviar-lhe
mensagens codificadas.
Certificao de chaves : esta funo permite acrescentar um selo
numrico que garante a autenticidade das chaves pblicas. Trata-se
de uma originalidade de PGP, que baseia a sua confiana numa noo
de proximidade social, mais do que na de autoridade central de
certificao.
Revogao, desactivao, registo de chaves : funo que permite
produzir certificados de revogao.
O formato dos certificados PGP
Um certificado PGP compreende, designadamente, as informaes
seguintes :
O nmero de verso de PGP : identifica a verso de PGP utilizada
para criar a chave associada ao certificado.
A chave pblica do detentor do certificado : parte pblica do seu
par de chaves associada ao algoritmo da chave, quer seja RSA, DH
(Diffie-Hellman) ou DSA (Algoritmo de assinatura numrica).
As informaes do detentor do certificado : trata-se das informaes
sobre a identidade do utilizador, como o seu nome, o seu ID
utilizador, a sua fotografia, etc.
A assinatura numrica do detentor do certificado : igualmente
chamada autoassinatura, trata-se da assinatura efectuada com a
chave privada que corresponde chave pblica associada ao
certificado.
O perodo de validade do certificado : datas/horas de incio e
expirao do certificado. Indica a data de expirao do certificado.
O algoritmo de codificao simtrico preferido para a chave: indica
o algoritmo de codificao que o detentor do certificado prefere
aplicar cifragem de informaes. Os algoritmos assumidos so
CAST, IDEA ou triplo

O facto de um s um certificado poder conter vrias assinaturas um

dos aspectos nicos do formato do certificado PGP. Vrias pessoas
podem assinar o par de chaves/de identificao para atestar com
toda a certeza da pertena da chave pblica ao detentor
especificado. Certos certificados PGP so compostos de uma chave
pblica com vrias minutas, cada uma oferece um modo de
identificao do detentor da chave diferente (por exemplo, o nome e
a conta de servio de mensagens de empresa do detentor,

-4-

PGP: Pretty Good Privacy

pseudnimo e a conta de servio de mensagens pessoal do detentor,

a sua fotografia, e isto tudo num s um certificado).
Num certificado, uma pessoa deve afirmar que uma chave pblica e
o nome do detentor da chave esto associados. Seja quem for pode
validar os certificados PGP. Os certificados X. 509 devem sempre ser
validados por uma autoridade de certificao ou uma pessoa
designada pelo CA. Os certificados PGP tomam igualmente em carga
uma estrutura hierrquica com a ajuda de um CA para a validao
dos certificados.

Vrias diferenas existem entre um certificado X. 509 e um certificado

PGP. As mais importantes so indicadas abaixo :
Para criar o seu prprio certificado PGP, deve pedir a emisso de
umcertificado X. 509 junto de uma autoridade de certificao e obtlo;
Os certificados X. 509 encarrega-se de um s um nome para o
detentor da chave;
Os certificados X. 509 encarrega-se s de uma assinatura numrica
para atestar da validade da chave;
Os modelos de fiabilidade de PGP
Geralmente, o CA (Certification authority - autoridade de certificao)
inspira uma confiana total para estabelecer a validade dos
certificados e efectuar todo o processo de validao manual. Mas
difcil estabelecer uma linha de confiana com as pessoas no
consideradas explicitamente como fiveis pelo seu CA
Num ambiente PGP, qualquer utilizador pode agir como autoridade
de certificao. Pode por conseguinte validar o certificado de chave
pblica de um outro utilizador PGP. Contudo, tal certificado pode ser
considerado como vlido por um outro utilizador unicamente se um
terceiro reconhecer o que validou este certificado como um
correspondente fivel. Quer dizer, se respeitar por exemplo a minha
opinio segundo a qual as chaves dos outro so correctas unicamente
se eu for considerado como um correspondente fivel. No caso
contrrio, a minha opinio sobre a validade de outras chaves
controversa.

Suponhamos, por exemplo, que o seu pequeno porta-chaves contm

a chave de Alice. Validou-a e, para o indicar, assina-a. Alm disso,
sabe que Alice muito picuinhas no que diz respeito validao das
chaves de outros utilizadores. Por conseguinte, afecta uma fiabilidade

-5-

PGP: Pretty Good Privacy

completa sua chave. Alice torna-se assim uma autoridade de

certificao. Se assinar a chave de um outro utilizador, esta chave
aparece como vlida no seu porta-chaves.
A revogao de um certificado PGP
Apenas o detentor do certificado (o detentor da sua chave privada
correspondente) ou outro utilizador, designado como autoridade de
revogao pelo detentor do certificado, tem a possibilidade de
revogar um certificado PGP. A designao de uma autoridade de
revogao til, porque a revogao, por um utilizador PGP, do seu
certificado frequentemente deve-se perda da palavra-passe
complexa da chave privada correspondente. Ora, este procedimento
pode unicamente ser efectuado se for possvel aceder chave
privada. Um certificado X. 509 pode unicamente ser revogado pelo
seu emissor.

Quando um certificado revogado, importante avisar os seus

utilizadores potenciais. Para informar da revogao dos certificados
PGP, o mtodo habitual consiste em colocar esta informao num
servidor de certificados. Assim, os utilizadores que desejem
comunicar consigo so avisados para no utilizar esta chave pblica.

Artigo escrito por Sylvain Lorin

Fonte : http://www.pgpi.org/doc/pgpintro/, referncia muito boa

-6-