Perguntas mais freqüentes (FAQ)

Sobre o keyserver
Sobre PGP

1. Sobre o keyserver

1.1. O keyserver PGP- RNP tem interface de comunicação por e-mail?

Este recurso faz parte da implementação de keyserver usada e, em breve, estará disponível. No momento, a única interface disponível para busca, submissão e revogação de chaves é a web, disponível em http://www.rnp.br/keyserver

1.2. O CAIS pode apagar minha chave do servidor de chaves?

Não. Em hipótese alguma, o CAIS removerá sua chave do servidor de chaves PGP da RNP. Entretanto, é possível revogar sua chave através do upload do seu certificado de revogação para o keyserver.

Quando você submete sua chave para nosso servidor, ela é encaminhada para outros servidores ao redor do mundo. Assim, apagar a chave de nosso servidor não faria com que ela fosse apagada de qualquer outro servidor, o que seria uma maneira não muito efetiva de garantir que o uso de sua chave foi descontinuado.

Pelo mesmo motivo o CAIS também não pode apagar endereços de e-mail antigos ou IDs de sua chave no servidor de chaves.

1.3. Em que casos posso revogar minha chave?

Um certificado de revogação de chave é necessário no processo de remoção de uma chave pública PGP do servidor. Três casos diferentes podem ocorrer:

a) Você tem um certificado de revogação disponível, como recomendado na seção "Submetendo uma chave para o keyserver":
Visite a página web do keyserver e insira o certificado usando o formulário apropriado. Depois clique no botão "Enviar".

b) Você não tem o certificado de revogação disponível, mas tem acesso à sua chave privada:
Gere um certificado de revogação e siga os passos descritos no item acima.

c) Você não tem o certificado de revogação e perdeu sua chave privada ou esqueceu sua frase-chave (passphrase):
Neste caso é completamente impossível remover sua chave do servidor, uma vez que você não pode oferecer provas confiáveis de sua identidade e direitos sobre a chave.

1.4. Como posso gerar um certificado de revogação?

A geração desse certificado depende da versão de PGP que você usa.

PGP versão 2.6.3:
1. Desative sua chave usando a opção -kd:
```
pgp -kd sua_chave
```
2. Responda "yes" para as questões sobre a revogação de sua chave.
3. Uma vez revogada, gere uma versão de sua chave em formato ASCII:
```
pgp -kxa sua_chave
```
PGP versão 5.X:
1. Desative sua chave usando a opção --revoke:
```
pgpk --revoke sua_chave
```
2. Responda "yes" para as questões sobre a revogação de sua chave.
3. Uma vez revogada, gere uma versão de sua chave em formato ASCII:
```
pgpk -xa sua_chave
```
PGP versão 6.X:
1. Desative sua chave usando a opção -kd:
```
pgp6 -kd sua_chave
```
2. Responda "yes" para as questões sobre a revogação de sua chave.
3. Uma vez revogada, gere uma versão de sua chave em formato ASCII:
```
pgp6 -kxa sua_chave
```
GNU PGP:
1. Gere um certificado de revogação usando a opção --gen-revoke:
```
gpg --gen-revoke sua_chave
```
2. Responda "yes" para as questões sobre a revogação de sua chave.

1.5. Acho que spammers pegaram meu endereço de e-mail do servidor de chaves. O que o CAIS pode fazer com relação a isto?

Infelizmente nada pode ser feito, nesse caso. Sugerimos que você use filtros de spam, disponíveis em clientes de e-mail ou oferecidos pelos próprios provedores de Internet ou webmail gratuito.

1.6. Ao submeter minha chave, recebi como mensagem de erro "Error handling request" ou "Public Key Server -- Error". Fiz alguma coisa errada?

Provavelmente você inseriu sua chave no campo apropriado, mas de maneira incompleta, sem os cabeçalhos, por exemplo. Uma chave em formato ASCII tem estas características básicas:

-------BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6

Chave (diversas linhas)
-------END PGP PUBLIC KEY BLOCK-----

É bom lembrar que a chave começa na linha que contém "BEGIN" e termina na linha que contém "END".

2. Sobre PGP

2.1. O que é PGP?

PGP (Pretty Good Privacy) é um programa que traz privacidade a mensagens eletrônicas. Ele faz isto de forma que ninguém, além do destinatário, seja capaz de ler a mensagem. Qualquer pessoa que intercepte a mensagem não será capaz de ler o seu conteúdo, já que apenas um punhado de caracteres sem sentido ficará visível.

O PGP também pode ser usado somente para assinar mensagens, o que é útil caso você queira que as pessoas tenham certeza de que uma determinada mensagem foi escrita por você. O PGP cria uma assinatura para o texto que você escreveu e a anexa após o seu conteúdo. Ao receber a mensagem, um leitor que tenha chave pública pode verificar se a mensagem foi realmente escrita por você. Se, por algum motivo, o texto for alterado no caminho entre o remetente e o leitor, o cliente PGP informará que a assinatura da mensagem não é válida (bad signature).

2.2. A quem o PGP se destina?

O PGP se destina a qualquer pessoa que deseja garantir que o conteúdo de suas mensagens não seja lido por intermediários. Outra garantia que o PGP pode dar é que a mensagem foi realmente escrita por você. Devido a estas características, o PGP é bastante útil para grupos de segurança, que precisam muitas vezes trocar informações confidenciais entre si e emitir comunicados que não podem ser alterados no caminho entre remetente e destinatários.

Essa última necessidade pode ser exemplificada pelos alertas de segurança que o CAIS, grupo de resposta a incidentes de segurança da RNP, publica. Se as orientações de segurança dos alertas, lidas por mais de 4 mil assinantes, forem alteradas por alguém mal-intencionado, é possível a indução ao download de software malicioso pela troca de URLs ou mesmo a alteração dos procedimentos, de forma que os sistemas sejam danificados.

2.3. Por que usar PGP e não uma infra-estrutura de chaves públicas (ICP)?

Para alguns cenários, uma ICP é uma solução muito complexa. Como exemplo, pode-se citar dois amigos que queiram se comunicar com privacidade, de forma simples. Criar chaves públicas e privadas, trocar as chaves públicas entre si e depois trocar mensagens é um processo bem mais simples do que proceder com a geração de certificados através de uma estrutura de chaves públicas.

Outro tipo de usuário pode se interessar por outro aspecto do PGP: o modelo de confiança do tipo Teia de Confiança (Web of Trust). O PGP utiliza assinaturas digitais como forma de apresentação. Quando qualquer usuário assina a chave de um outro, o assinante torna-se uma espécie de referência daquela chave. Com a continuidade desse processo, uma Teia de Confiança é estabelecida, e um ambiente com autoridade certificadora representado por qualquer usuário passa a existir.

2.4. O que é GPG?

GPG ou GnuPG é uma implementação livre e completa do padrão Open PGP, definido na RFC 2440 (OpenPGP Message Format) de 1998. O PGP, hoje uma implementação comercial, passou a se basear no padrão OpenPGP, a partir das versões 5.x.

2.5. Posso usar chaves geradas pelo GPG em um servidor de chaves PGP?

Sim, mas para garantir a interoperabilidade entre GPG, PGP 2.x e PGP 5.x, é recomendável o uso apenas de chaves RSA de no máximo 2048 bits de comprimento, de MD5 como algoritmo de hash e de IDEA como algoritmo simétrico.

2.6. Onde posso obter software PGP?

As versões de PGP 2.x podem ser obtidas no site The International PGP - Freeware. As versões de PGP 5.x podem ser baixadas para avaliação e compra pelo site da PGP Corporation - Downloads. Todas as versões de GPG podem ser obtidas no site do projeto, disponível em The GNU Privacy Guard.

O PGP tem outras aplicações, além da troca de mensagens de e-mail. Entre elas estão a cifragem de disco rígido e de arquivos, e a integração com programas de compressão de arquivos e com programas de mensagens instantâneas.

Mais informações:

MIT PGP Public Key Server - Frequently Asked Questions

The comp.security.pgp FAQ

RedIRIS PGP keyserver Documentation