Usando PGP para Armazenamento Seguro de Dados 5

 

Este capítulo descreve como usar PGP para manter arquivos com segurança. Ele descreve como usar PGP para codificar, decifrar, assinar e verificar arquivos tanto para email quanto para armazenagem segura em seu computador. Ele também descreve as funções de PGP para Eliminação ("Wipe") e Eliminação de Espaço Livre ("Free Space Wipe"), que apagam arquivos removendo seus conteúdos completamente de seu computador.

 

Usando PGP para codificar e decifrar arquivos

Você pode usar PGP para codificar e assinar arquivos para uso como anexos de email. Você também pode usar as técnicas descritas neste capítulo para codificar e assinar arquivos de forma que você os armazena com segurança em seu computador.

Usando o menu de PGP do botão direito para codificar e assinar

Use o menu de PGP do botão direito para enviar um arquivo codificado como um anexo com sua mensagem de email, ou para codificar um arquivo para protegê-lo em seu computador.

Para codificar e assinar usando o menu do botão direito

  1. No Windows Explorer, clique com o botão direito no arquivo ou arquivos que você quer codificar.

  2. Escolha uma das seguintes opções a partir do menu de PGP do botão direito:

    • Encrypt. Selecione esta opção para apenas codificar o arquivo ou arquivos que você selecionou.

    • Sign. Selecione esta opção para apenas assinar o arquivo ou arquivos que você selecionou.

    • Encrypt and Sign. Selecione esta opção para codificar e assinar o arquivo ou arquivos que você selecionou.

    A caixa de diálogo "PGP Key Selection" aparece, como mostrado na Figura 5-1.


    Figura 5-1. Caixa de diálogo "PGP Recipients" (Destinatários)

    Você pode selecionar as chaves públicas dos destinatários para o arquivo que você está codificando ou assinando.

  3. Selecione as chaves públicas arrastando-as para a lista de destinatários, então clique OK.

    Você pode escolher as seguintes opções de codificação, dependendo do tipo de dados que você está codificando:

    • Conventional Encrypt (Codificação Convencional). Selecione esta caixa para usar uma frase-senha comum ao invés da criptografia por chave pública. O arquivo é codificado usando uma chave de sessão, que codifica (e decifra) usando uma frase-senha que lhe será pedida para escolher.

    • Text Output (Saída de Texto). Quando enviando arquivos como anexos com alguns aplicativos de email, você talvez precise selecionar a caixa "Text Output" para salvar o arquivo como texto ASCII. Isto às vezes é necessário de forma a enviar arquivos binários usando antigos aplicativos de email. A seleção desta opção aumenta o tamanho do arquivo codificado em cerca de 30 por cento.

    • Wipe Original (Eliminar o Original). Selecione esta caixa para sobrescrever o documento original que você está codificando ou assinando, de forma que suas informações sensíveis não sejam legíveis por qualquer um que possa acessar seu disco rígido.

    • Secure Viewer (Visualizador Seguro). Selecione esta opção para proteger o texto de ataques TEMPEST quando decifrando-os. Se você selecionar esta opção, os dados são exibidos em uma fonte especial que previne ataques TEMPEST que é ilegível a equipamentos de captura de radiação quando decifrando-os. Para maiores informações sobre ataques TEMPEST, veja "Vulnerabilidades" na página 158.

      NOTA: Esta opção está somente disponível quando codificando texto ou arquivos texto.

      Se você está assinando os arquivos, lhe será pedida sua frase-senha.

      Após a codificação, se você olhar a pasta onde o arquivo original estava, você encontrará uma arquivo com o nome especificado representado por um entre dois ícones:

codificado com saída de texto

codificado com saída padrão

Se você está codificando ou assinando uma pasta (diretório), a saída pode estar em uma nova pasta, dependendo da opção que você selecionou.

Usando PGPtools para codificar e assinar

Para codificar e assinar usando PGPtools

  1. Abra o programa PGPtools.


    Figura 5-2. menu PGPtools

  2. No Windows Explorer, selecione o arquivo ou arquivos que você quer codificar.

    Você pode selecionar vários arquivos, mas deve codificar e assinar cada um individualmente.

  3. Arraste o(s) arquivo(s) para o botão Encrypt, Sign, ou Encrypt and Sign na janela de PGPtools.

    A caixa de diálogo "PGP Recipients" aparece, como mostrado na Figura 5-1.

  4. Selecione as chaves públicas arrastando-as para a lista de destinatários.

  5. Você pode escolher as seguintes opções de codificação, dependendo do tipo de dados que você está codificando:

    • Conventional Encrypt (Codificação Convencional). Selecione esta caixa para usar uma frase-senha comum ao invés da criptografia por chave pública. O arquivo é codificado usando uma chave de sessão, que codifica (e decifra) usando uma frase-senha que lhe será pedida para escolher.

    • Text Output (Saída de Texto). Quando enviando arquivos como anexos com alguns aplicativos de email, você talvez precise selecionar a caixa "Text Output" para salvar o arquivo como texto ASCII. Isto às vezes é necessário de forma a enviar arquivos binários usando antigos aplicativos de email. A seleção desta opção aumenta o tamanho do arquivo codificado em cerca de 30 por cento.

    • Wipe Original (Eliminar o Original). Selecione esta caixa para sobrescrever o documento original que você está codificando ou assinando, de forma que suas informações sensíveis não sejam legíveis por qualquer um que possa acessar seu disco rígido.

    • Secure Viewer (Visualizador Seguro). Selecione esta opção para proteger o texto de ataques TEMPEST quando decifrando-os. Se você selecionar esta opção, os dados são exibidos em uma fonte especial que previne ataques TEMPEST que é ilegível a equipamentos de captura de radiação quando decifrando-os. Para maiores informações sobre ataques TEMPEST, veja "Vulnerabilidades" na página 158.

      NOTA: Esta opção está somente disponível quando codificando texto ou arquivos texto.

  6. Clique OK.

    Se você está assinando os arquivos, lhe será pedida sua frase-senha.

    Após a codificação, se você olhar a pasta onde o arquivo original estava, você encontrará uma arquivo com o nome especificado representado por um entre dois ícones:

    codificado com saída de texto

    codificado com saída padrão

    Se você está codificando ou assinando uma pasta (diretório), a saída pode estar em uma nova pasta, dependendo da opção que você selecionou.

Usando PGPtray para decifrar e verificar

Se o email que você receber possuir arquivos anexos, e você não estiver usando um aplicativo de email compatível com PGP/MIME, você deve decifrá-lo usando a Área de Transferência de Windows.

Para decifrar e verificar arquivos usando PGPtray

  1. No Windows Explorer, selecione o arquivo ou arquivos que você quer decifrar e verificar.

  2. Escolha "Decrypt/Verify" de PGPtray.

    A janela "Enter Passphrase" (Entre a Frase-Senha) aparece, como mostrado na figura 5-3.


    Figura 5-3. A janela "Enter Passphrase"

  3. Entre sua frase-senha e então clique OK.

    O arquivo é decifrado. Se ele foi assinado, uma mensagem aparece indicando se a assinatura é válida.
    Se o arquivo texto foi codificado com a opção de Visualizador Seguro ("Secure Viewer") habilitada, uma mensagem de aviso aparecerá. Clique OK para continuar. O texto decifrado aparece em uma tela segura de PGP em uma fonte especial de prevenção de ataques TEMPEST.

  4. Você pode salvar a mensagem em seu estado decifrado, ou pode salvar a versão codificada original de forma a mantê-la segura.

    NOTA: Mensagens codificadas com a opção "Secure Viewer" habilitada não podem ser salvas em seu estado decifrado. Elas são apenas visíveis na janela segura de PGP após decifradas.

Usando PGPtools para decifrar e verificar

Para decifrar e verificar usando PGPtools

  1. No Windows Explorer, selecione o arquivo ou arquivos que você quer decifrar e verificar.

  2. Arraste o arquivo para o botão "Decrypt/Verify" na janela de PGPtools (figura 5-2).

    A janela "Enter Passphrase" (Entre a Frase-Senha) aparece, como mostrado na figura 5-3, pedindo que você insira sua frase-senha.

  3. Entre sua frase-senha e então clique OK.

    Se o arquivo foi assinado, uma mensagem aparece indicando se a assinatura é válida.

    Se o arquivo texto foi codificado com a opção de Visualizador Seguro ("Secure Viewer") habilitada, uma mensagem de aviso aparecerá. Clique OK para continuar. O texto decifrado aparece em uma tela segura de PGP em uma fonte especial de prevenção de ataques TEMPEST.

  4. Você pode salvar a mensagem em seu estado decifrado, ou pode salvar a versão codificada original de forma a mantê-la segura.

    NOTA: Mensagens codificadas com a opção "Secure Viewer" habilitada não podem ser salvas em seu estado decifrado. Elas são apenas visíveis na janela segura de PGP após decifradas.

 

Assinando e decifrando arquivos com uma chave dividida

Uma vez que uma chave é dividida entre vários proprietários, tentativas de assinar ou decifrar com ela irá fazer com que PGP automaticamente tente reunir a chave. Há duas formas de reunir a chave, localmente e remotamente.

Reunir partes da chave localmente requer a presença dos proprietários junto ao computador que fará a reunião da chave. Cada proprietário deve entrar sua frase-senha para sua parte da chave.

Reunir partes da chave remotamente requer que os proprietários remotos autentiquem e decifrem suas chaves antes de enviá-las pela rede. O Transport Layer Security (TLS) de PGP provê uma ligação segura para transmissão das partes da chave, que permitem que vários indivíduos em localidades distantes seguramente assinem ou decifrem com suas partes da chave.

IMPORTANTE: Antes do recebimento das partes da chave através da rede, você deve certificar a impressão digital da chave de cada um dos proprietários e assinar suas chaves públicas para ter certeza de que suas chaves de autenticação são legítimas. Para aprender como verificar um par de chaves, veja "Verificando com uma impressão digital" na página 53.

Para assinar ou decifrar arquivos com uma chave dividida

  1. Contate cada um dos proprietários da chave dividida. Para reunir partes da chave localmente, os proprietários devem estar presentes.

    Para obter as partes da chave através da rede, certifique-se de que os proprietários remotos estão preparados para enviar suas partes da chave. Os proprietários remotos devem ter:

  2. No computador que está unindo as partes, use o Windows Explorer para selecionar o(s) arquivo(s) que você quer assinar ou decifrar com a chave dividida.

  3. Clique com o botão direito no(s) arquivo(s) e selecione "Sign" (Assinar) ou "Decrypt" (Decifrar) no menu de PGP. A caixa de diálogo de PGP "Enter Passphrase for Selected Key" (Entre Frase-Senha para a Chave Selecionada) aparece com a chave dividida selecionada.

  4. Clique OK para reconstituir a chave selecionada.

    A caixa de diálogo "Key Share Collection" aparece, como mostrado na figura 5-4.


    Figura 5-4. A caixa de diálogo "Key Share Collection"

  5. Se você está obtendo as partes da chave localmente, clique "Select Share File" e então localize os arquivos das partes associados à chave dividida. Os arquivos das partes podem ser obtidos de um disco rígido, disquete, ou drive montado. Siga ao passo 6.

    Se você está obtendo as partes da chave através da rede, clique "Start Network". A caixa de diálogo "Passphrase" aparece. Na caixa "Signing Key", selecione o par de chaves que você quer usar para autenticação ao sistema remoto e entre sua frase-senha. Clique OK para preparar o computador para receber as partes da chave.

    O status da transação é exibido na caixa "Network Shares". Quando o status muda para "Listening" (Escutando), o programa PGP está pronto para receber as partes da chave.

    Neste momento, os proprietários devem enviar suas partes da chave. Para aprender como enviar partes da chave para o computador que irá uni-las, veja "Enviando sua parte da chave através da rede" na página 75.
    Quando uma chave é recebida, a caixa de diálogo "Remote Authentication" (Autenticação Remota) aparece, como mostrado na figura 5-5.


    Figura 5-5. A caixa de diálogo "Remote Authentication"

    Se você não assinou a chave que está sendo usada para autenticar o sistema remoto, a chave será considerada inválida. Apesar de você poder reunir a chave dividida com uma chave de autenticação inválida, isto não é recomendado. Você deve verificar a "impressão digital" de cada proprietário, e assinar suas chaves públicas para certificar-se de que a chave de autenticação é legítima.

    Clique "Confirm" para aceitar o arquivo da parte.

  6. Continue obtendo partes da chave até que o valor para "Total Shares Collected" seja igual ao valor para "Total Shares Needed" na janela "Key Shares Collection".

  7. Clique OK.

    O arquivo é assinado ou decifrado com a chave dividida.

Para enviar sua parte da chave através da rede

  1. Quando você é contactado pela pessoa que está unindo a chave dividida, certifique-se de ter os seguintes itens:

    • o arquivo com suas parte da chave e senha

    • um par de chaves (para autenticação no computador que está obtendo as partes da chave)

    • uma conexão de rede

    • o endereço IP ou Nome de Domínio do computador que está obtendo as partes da chave

  2. Selecione "Send Key Shares" (Enviar Parte da Chave) no menu "File" de PGPkeys.

    A caixa de diálogo "Select Share File" aparece.

  3. Localize sua parte da chave e clique "Open".

    A caixa de diálogo "Enter Passphrase" aparece.

  4. Entre sua frase-senha e então clique OK.

    A caixa de diálogo "Send Key Shares" aparece, como mostrado na figura 5-6.


    Figura 5-6. A caixa de diálogo "Send Key Shares"

  5. Entre o endereço IP ou Nome de Domínio do computador que está fazendo a união das chaves na caixa de texto "Remote Address", então clique "Send Shares".

    O status da transação é exibido na caixa "Network Shares". Quando o status muda para "Connected" (Conectado), lhe é pedido para autenticar-se ao computador que está fazendo a união.

    A caixa de diálogo "Remote Authentication" (Autenticação Remota) aparece pedindo que você confirme que o computador remoto é aquele para quem você quer enviar sua parte da chave.

  6. Clique "Confirm" para completar a transação.

    Após o computador remoto receber sua parte da chave e confirmar a transação, uma mensagem aparece dizendo que as partes foram enviadas com sucesso.

  7. Clique OK.

  8. Clique "Done" na janela "Key Shares" quando você tiver completado o envio da sua parte da chave.

 

Usando PGP Wipe para apagar arquivos

O item "Wipe" (Eliminar) em PGPtools apaga arquivos e seus conteúdos. O recurso de Eliminação é uma forma segura de permanentemente remover um arquivo e seu conteúdo do disco rígido de seu computador. Quando você apaga um arquivo normalmente, colocando-o na Lixeira, o nome do arquivo é removido do diretório do arquivo, mas os dados do arquivo permanecem no disco. "Wipe" remove todos os traços dos dados de um arquivo de forma que ninguém possa usar uma ferramenta de software para recuperar o arquivo.

Para apagar permanentemente um arquivo usando o menu do botão direito

  1. No Windows Explorer, selecione o arquivo ou arquivos que você deseja eliminar.

    Para parar a eliminação do arquivo antes da tarefa estar completa, clique "Cancel".

    NOTA: Clicando "Cancel" durante a eliminação do arquivo pode deixar restos do arquivo para trás.

  2. Clique no arquivo com o botão direito e então escolha "Wipe" a partir do menu. Uma caixa de diálogo de confirmação aparece.

  3. Clique OK para apagar permanentemente o arquivo.

Para apagar permanentemente um arquivo usando PGPtools

  1. No Windows Explorer, selecione o arquivo ou arquivos que você deseja eliminar.

  2. Arraste o arquivo no botão "Wipe" () na janela de PGPtools.

    Uma caixa de diálogo de confirmação aparece.

  3. Clique OK para apagar permanentemente o arquivo.

    Para parar a eliminação do arquivo antes da tarefa estar completa, clique "Cancel".

    NOTA
    : Clicando "Cancel" durante a eliminação do arquivo pode deixar restos do arquivo para trás.

Mesmo em sistemas com memória virtual, PGP corretamente escreve sobre todo o conteúdo do arquivo. Vale a pena notar que alguns aplicativos salvam o arquivo antes de codificá-los e podem deixar fragmentos do arquivo em seu disco, em locais onde eles não são mais considerados parte do arquivo. Para maiores informações, veja "Arquivos de troca ou memória virtual" na página 161. Você pode usar o recurso de PGP "Freespace Wipe" (Eliminar Espaço Livre) para eliminar todo o espaço livre em seu disco para solucionar este problema. Veja a próxima seção para informações sobre o Freespace Wipe. Também, esteja ciente de que muitos programas automaticamente salvam arquivos em progresso, portanto pode haver cópias backup do arquivo que você está querendo apagar.

 

Usando PGP Free Space Wiper para limpar espaço livre em seus discos

Conforme você cria e apaga arquivos em seu computador, os dados contidos nestes arquivos permanecem no drive. PGPtools pode ser usado para eliminar com segurança os dados em um arquivo antes dele ser apagado para negar a possibilidade deles em algum momento serem recuperados.

Muitos programas criam arquivos temporários enquanto você edita o conteúdo de documentos. Estes arquivos são apagados quando você fecha os documentos, mas os dados do documento são deixados jogados em lugares do seu disco. Para ajudar reduzir a chance de que os dados de seus documentos possam mais tarde serem recuperados, a Network Associates recomenda que você elimine com segurança o espaço livre em seus drives como também apague com segurança documentos sensíveis.

Para eliminar espaço livre de seus discos

ATENÇÃO: Antes de executar o PGP Free Space Wiper, compartilhamento de arquivos deve ser desligado e todos os arquivos no volume ou disco que você deseja eliminar devem ser fechados.

  1. Abra o programa PGPtools.

  2. Clique o botão "Wipe Free Space" () na janela de PGPtools.

    A tela de boas vindas do "PGP Free Space Wiper" aparece.

  3. Leia as informações cuidadosamente, então clique "Next" para avançar à próxima caixa de diálogo.

    O "PGP Free Space Wiper" pede-lhe para selecionar o volume que você deseja eliminar e o número de passos a serem executados.

  4. Na caixa "Volume", selecione o disco ou volume que você quer que PGP elimine.

    Então, selecione o número de passos que você quer que PGP execute. Os níveis recomendados são:

    • 3 passos para uso pessoal.

    • 10 passos para uso comercial.

    • 18 passos para uso militar.

    • 26 passos para máxima segurança.


    NOTA
    : Companhias comerciais de recuperação de dados são conhecidas por recuperar dados que foram sobrescritos até 9 vezes. PGP usa padrões altamente sofisticados durante cada eliminação para certificar de que seus dados sensíveis não possam ser recuperados.

  5. Clique "Next" para continuar.

    A caixa de diálogo "Perform Wipe" (Executar Eliminação) aparece, como mostrado na figura 5-7, e exibe informações estatísticas sobre o drive ou volume que você selecionou.


    Figura 5-7. Eliminação de Espaço Livre (caixa de diálogo "Perform Wipe")

  6. Clique o botão "Begin Wipe" para iniciar a eliminação do espaço livre em seu disco ou volume.

    O "PGP Free Space Wiper" procura e elimina fragmentos que sobraram de seu disco ou volume.

  7. Quando a sessão de eliminação terminar, clique "Finish".