GNU Privacy Guard

GNU Privacy Guard

Desenvolvedor	Projeto GNU
Versão estável	2.0.18 (4 de agosto de 2011; há 32 semanas e 4 dias)
Sistema Operacional	Multiplataforma
Gênero(s)	PGP
Licença	GNU General Public License
Página oficial	www.gnupg.org
Portal das Tecnologias de informação

GNU Privacy Guard (GnuPG or GPG) é uma alternativa GPL ao aplicativo PGP de criptografia. GnuPG é compatível com a RFC 4880, o padrão da IETF para a especificação do OpenPGP. As versões atuais do PGP (e Filecrypt da Veridis) possuem interoperabilidade com o GnuPG e com outros sistemas compatíveis com o OpenPGP. GnuPG é parte da Free Software Foundation e do projeto de software GNU. Além disso, ele recebeu o patrocínio do Governo Alemão: ^[1].

[editar] História

GnuPG foi inicialmente desenvolvido por Werner Koch e o programa de criptografia de e-mail foi inicialmente desenvolvido por Phil Zimmermann. A versão 1.0.0 foi anunciada em 7 de setembro de 1999. O Ministério Federal Alemão de Economia e Tecnologia patrocinou a documentação e a portabilidade para o sistema Microsoft Windows em 2000. A versão 2.0 foi anunciada em 13 de novembro de 2006. O antigo ramo 1.x, cuja última versão é o 1.4.11 será continuado em paralelo com o novo GnuPG 2 pois existem mudanças significativas na arquitetura do programa ^[2].

[editar] Utilização

Apesar do programa básico do GnuPG ter uma interface de linha de comando, existem várias interfaces gráficas.

Por exemplo, GnuPG esta integrado ao Kmail, cliente de e-mail do KDE e ao Evolution, o cliente de email do GNOME. KDE e GNOME são os desktops Linux mais populares. Além da integração com os clientes de e-mail, existem as interfaces gráficas Seahorse para GNOME e KGPG para KDE.

Para Mac OS X, o projeto Mac GPG provê diversas interfaces Aqua para integração com a criptografia e gerenciamento de chaves, assim como instalações GnuPG via o instalador do Mac OS X: ^[3]. Além disso o software GPGTools ^[4] instala todas as aplicações OpenPGP (GPG Keychain Access), plugins (GPGMail) e dependências (MacGPG) para utilizar criptografia usando o GnuPG.

Aplicações de mensagens instantâneas como o Psi e Fire podem trocar mensagens seguras automaticamente quando o GnuPG esta instalado e configurado. Softwares Web-based, como o Horde também utiliza o GnuPG. O plugin Enigmail prove suporte GnuPG as plataformas Mozilla Thunderbird e SeaMonkey. De maneira similar, o Enigform prove suporte para que o Mozilla Firefox. FireGPG (extensão para o Mozilla Firefox) foi descontinuado em 7 de Junho de 2010.

Em 2005 o G10 Code e o Intervation anunciaram o Gpg4win, um software que inclui o GnuPG para o Windows e plugins para Windows Explorer e Outlook. Essas ferramentes estão unificadas em um instalador tornando fácil seu uso na plataforma Windows.

[editar] Processos

GnuPg criptografa mensagens utilizando a criptografia de chaves assimétricas. O resultado é que chaves públicas podem ser trocadas com outros usuários de várias maneiras, uma delas são os servidores de chaves. As chaves devem sempre ser trocadas com cuidado para evitar o roubo de identidade. É possível também adicionar uma assinatura digital a mensagem de maneira que a integridade da mensagem e do remetente possam ser verificadas. GnuPG também suporta algoritmos de criptografia simétrica. Por padrão GnuPG usa o algoritmo simétrico CAST5.

GnuPG não utiliza algoritmos patenteados ou restritos, como por exemplo o algoritmo IDEA utilizado no PGP (Na verdade é possível utilizar o IDEA no GnuPG fazendo o download de um plugin, entretanto isso pode requerer a compra de licença em alguns países aonde o IDEA é patenteado). Ao invés disso, GnuPG usa uma variedade de outros algoritmos não patenteados, incluindo:^[5]

Block ciphers (symmetric encryption algorithms): CAST5, Camellia, Triple DES, AES, Blowfish, and Twofish.
Asymmetric-key ciphers: ElGamal and RSA
Cryptographic hashes: RIPEMD-160, MD5, SHA-1, SHA-2, and Tiger
Digital signatures: DSA and RSA

GnuPG é um software de criptografia hibrido que utiliza a combinação de criptografia de chaves simétricas para velocidade e criptografia de chaves publicas para a troca de mensagens seguras. Isso é conseguido utilizando a criptografia de chave pública para encriptar uma chave de sessão que é utilizada apenas uma vez. Esse modo de operação é parte do padrão OpenPGP e é parte do PGP desde sua primeira versão.

[editar] Problemas

O padrão OpenPGP especifica diversos métodos de assinatura digital. Em 2003, ao tentar tornar um desses métodos mais eficiente, uma vulnerabilidade de segurança no GnuPG foi introduzida ^[6] Esse erro afetou apenas um método de assinatura de mensagens, e apenas algumas versões do GnuPG (1.0.2 ao 1.2.3). Como existiam menos de 1000 chaves desse tipo nos servidores ^[7] e a maioria das pessoas não utilizava esse método, o dano causado por esse erro parece ter sido minimo. Suporte a esse método foi removido das versões do GnuPG após a descoberta desse erro (nas verões 1.2.4 e posteriores).

Duas outras vulnerabilidades foram descobertas em 2006. A primeira é que a utilização de scripts que utilizam o GnuPG para verificação de assinatura poderiam resultar em falsos positivos, ^[8]. A segunda é que mensagens non-MIME eram vulneráveis a inserção de dados não cobertas pela assinatura digital que seriam erroneamente reportadas como pate da mensagem assinada: ^[9] Em ambos os casos, versões atualizadas do GnuPG foram disponibilizas.

GnuPG é um sistema baseado em linha de comando e não possui uma API que possa ser incorporado em outros softwares. GPGME é uma API wrapper que lê a saída do GnuPG. Várias interfaces gráficas foram criadas utilizando o GPGME. Como o GPGME utiliza uma interface especial do GnuPG desenvolvida para o uso automatizado, uma API estável entre os componentes é possível. Possíveis erros de segurança em uma aplicação não se propagam para o código do GnuPG devido a barreira entre os processos. Existem outros softwares que encapsulam a linha de comando em um script Perl (por exemplo: gpg-dialog).

[editar] Veja também

Predefinição:Portal box

Claws mail – cliente de email com plugin GPG
Comparação de clientes de e-mail
Privacidade no e-mail
Enigform – extensão do Firefox
Enigmail – plugin do Thunderbird
FireGPG^[10] – extensão do Firefox extension (descontinuada)
Gpg4win – instalador Windows com ferramentas e manuais para a criptografia de e-mail e arquivos.
GPGMail – um plugin para a aplicação de e-mail do OS X
GPGServices – plugin para o menu de serviços do OS X
GPGTools – um pacote de ferramentes para criptografia de e-mail e arquivo no OS X (incluindo: GPGMail, GPG Keychain Access, MacGPG2, GPG Services, ...)
Key signing party
KGPG – interface gráfica do KDE para o GnuPG,
MCabber – cliente Jabber
Mutt – cliente de e-mail com suporte a PGP/GPG
Off-the-Record Messaging – também conhecido domo OTR.
OpenPGP card – a smartcard com funções GnuPG
Psi (cliente de mensagens instantâneas)
Web of trust
WinPT – uma interface gráfica para o GPG no Windows

[editar] Referencias

↑ http://www.heise.de/newsticker/meldung/Bundesregierung-foerdert-Open-Source-24110.html
↑ GnuPG-2.0 released, Werner Koch, 2006-11-13
↑ Mac GNU Privacy Guard. sourceforge. Página visitada em 2008-04-29.
↑ GPGTools Installer. gpgtools. Página visitada em 2011-03-22.
↑ GnuPG Features. Página visitada em October 1, 2009.
↑ Phong Q. Nguyen "Can We Trust Cryptographic Software? Cryptographic Flaws in GNU Privacy Guard v1.2.3." EUROCRYPT 2004: 555–570
↑ GnuPG's ElGamal signing keys compromised Werner Koch, November 27, 2003
↑ Falso positivo na verificação de assinatura no GnuPG Werner Koch, February 15, 2006
↑ GnuPG não detecta a inserção de dados não assinados digitalmente, Werner Koch, March 9, 2006
↑ getfiregpg.org

[editar] Ligações externas

Project home page
Uma pequenas história do GNU Privacy Guard, escrito por Werner Koch, publicado no aniversário de 10 anos do GnuPG
GPG4WIN - criptografia de e-mail utilizando GnuPG em Windows
GNU Privacy Guard no Freshmeat
Enigmail é uma extensão de criptografia para o Mozilla Thunderbird e o Seamonkey. Ela integra a renomada padrão OpenPGP provido pelo GnuPG
Outro howto Thunderbird/GnuPG/Enigmail
A contrario: Protect your email with GnuPG -- Um tutorial sobre a instalação e configuração do GnuPG com o Thunderbird ou o Microsoft Outlook/Express

[0] ttp://www.heise.de/newsticker/meldung/Bundesregierung-foerdert-Open-Source-24110.html

[1] GnuPG-2.0 released, Werner Koch, 2006-11-13

[2] Mac GNU Privacy Guard. sourceforge. Página visitada em 2008-04-29.

[3] GPGTools Installer. gpgtools. Página visitada em 2011-03-22.

[4] GnuPG Features. Página visitada em October 1, 2009.

[5] Phong Q. Nguyen "Can We Trust Cryptographic Software? Cryptographic Flaws in GNU Privacy Guard v1.2.3." EUROCRYPT 2004: 555–570

[6] GnuPG's ElGamal signing keys compromised Werner Koch, November 27, 2003

[7] Falso positivo na verificação de assinatura no GnuPG Werner Koch, February 15, 2006

[8] GnuPG não detecta a inserção de dados não assinados digitalmente, Werner Koch, March 9, 2006

[9] tfiregpg.org

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

v • e Projeto GNU
História	Manifesto GNU · Free Software Foundation (Europe · India · Latin America) · História do software livre
Licenças	GNU General Public License · GNU Lesser General Public License · GNU Affero General Public License · GNU Free Documentation License · GPL linking exception
Software	GNU (variantes) · Hurd · GNOME · Bash · GCC · GNU Emacs · glibc · Coreutils · Build system · GNUnet · Gnuzilla (IceCat) · Gnash · mais...
Porta-Vozes	Alexandre Oliva · Benjamin Mako Hill · Bradley M. Kuhn · Eben Moglen · Federico Heinz · Georg C. F. Greve · Joshua Gay · Loïc Dachary · Matt Lee · Ricardo Galli · Richard Stallman · Robert J. Chassell · John Sullivan
Outros assuntos	Controvérsia de nomenclatura GNU/Linux · Revolution OS · BadVista · Defective by Design

GNU Privacy Guard

Índice

[editar] História

[editar] Utilização

[editar] Processos

[editar] Problemas

[editar] Veja também

[editar] Referencias

[editar] Ligações externas

Ferramentas pessoais

Espaços nominais

Variantes

Vistas

Ações

Busca

Navegação

Colaboração

Imprimir/exportar

Ferramentas

Noutras línguas