Thunderbird, Enigmail e OpenPGP para Linux - Email seguro

Publicado10 August 2016

Índice

...Loading Table of Contents...

    Mozilla Thunderbird é um software livre de código aberto que permite a troca e armazenamento de múltiplas contas de email com múltiplos provedores do serviço. Enigmail e GnuPG aumentam a segurança e a privacidade da sua correspondência acrescentando o suporte a criptografia OpenPGP de ponta-a-ponta ao Thunderbird. Eles também permitem que você assine digitalmente as suas mensagens e verifique as assinaturas digitais dos outros.

    Leitura obrigatória

    O que você vai aprender com esse guia

    • A habilidade de gerenciar múlplicas contas de email usando uma só ferramenta
    • A habilidade de ler e escrever mensagens quando desconectados da internet
    • A habilidade de enviar e receber emails criptografados
    • A habilidade de assinar digitalmente seus emails e autenticar emails assinados por outros

    1. Introdução ao Thunderbird

    Thunderbird é um cliente de email multiplataforma, livre e de código aberto, para enviar, receber e armazenar mensagens de email. Um cliente de email é um aplicativo que permite a você baixar e gerenciar suas mensagens — de múltiplas contas com múltiplos servidores — sem um navegador.

    Gnu Privacy Guard (GPG) é um software livre de código aberto para criptografar, descriptografar e assinar digitalmente mensagens e arquivos. O GPG também gera e controla as chaves públicas e privadas necessárias para que isso seja feito.

    Enigmail é um complemento do Thunderbird que permite a você acessar os recursos de criptografia e autenticação oferecidos pelo GnuPG, que deve ser instalado para o Enigmail funcionar.

    1.0 Coisas que você deve saber sobre o Thunderbird antes de começar

    Você irá precisar de pelo menos uma conta de email para usar o Thunderbird. Se quiser criar uma nova conta com o Thunderbird, procure o guia do RiseUp.

    Como todos os clientes de email, o Thunderbird faz uma cópia das suas mensagens disponíveis no computador. Isso inclui os emails que você envia e aqueles que recebe. Como resultado, é particularmente importante que você use um programa de criptografia (como o FileVault ou Veracrypt) quando decidir usar o Thunderbird.

    O Thunderbird não pode proteger o seu dispositivo caso você abra anexos duvidosos ou clicar em links maliciosos. Não abra anexos não solicitados por você e exercite um certo cuidado ao clicar em links que te foram enviados por email. Aprenda como Proteger seu dispositivo de Malware e Hackers.

    1.1 Outras ferramentas como o Thunderbird

    Thunderbird está disponível para GNU/Linux, Microsoft Windows e Mac OS X. Gerenciar múltiplas contas de email com segurança é uma tarefa complexa, e recomendamos fortemente o Thunderbird para esse propósito. Entretanto, se você preferir usar uma alternativa, recomendamos as seguintes ferramentas livres e de código aberto:

    • Claws Mail está disponível para GNU Linux e Microsoft Windows
    • Sylpheed está disponível para Mac OS X, GNU Linux e Microsoft Windows
    • K9 Mail and OpenKeychain estão disponíveis para Android
    • Mailpile dispõe atualmente de uma versão beta disponível para GNU/Linux e Microsoft Windows (deve se tornar disponível para Mac OS X no futuro)

    As vantagens de segurança do Thunderbird são significativas quando comparadas a alternativas comerciais como o Microsoft Outlook.

    2. Instale e configure o Thunderbird

    A maioria das distribuições Linux vêm com o Thunderbird instalado por padrão. Algumas distribuições vêm com uma versão chamada Icedove, que é o mesmo programa com o mesmo nome. Se você estiver usando Ubuntu, pode iniciar o Thunderbird abrindo o Dash (em geral apertando a tecla Windows), buscando por Thunderbird, e pressionando Enter. Se a sua distribuição não inclui o Thunderbird por padrão, você pode provavelmente instalar da Central de Programas. Você pode então configurar o Thunderbird e adicionar as informações da sua conta de email como descrito abaixo.

    2.1 Adicione uma conta de email ao Thunderbird

    Para adicionar uma conta de email ao Thunderbird, siga os passos abaixo.

    Passo 1. Abra o Thunderbird

    Caso ainda não tenha adicionado uma conta de email, o Thunderbird irá exibir a tela Deseja um novo endereço de email?

    Figura 1: Thunderbird oferecendo para te ajudar a criar um novo endereço de email

    Passo 2. Clique [Ignorar isso e usar meu email] para abrir a tela Configurar conta de e-mail

    Figura 2: A tela Configurar conta de e-mail

    Passo 3. Digite o nome, endereço de email e senha que corresponde à conta que deseja acessar usando o Thunderbird

    Passo 4. Desmarque a caixa próxima a Lembrar minha senha

    Figura 3: Detalhes de configuração da conta de Email

    Passo 5. Clique em [Continuar]. Thunderbird irá conferir a configuração do serviço de email que você digitou.

    Figura 4: Thunderbird depois de verificar a configuração de um serviço de email

    Você provavelmente deseja deixar "IMAP (pastas remotas)" selecionado. IMAP armazena a cópia mestra das suas pastas de email (incluindo as pastas Caixa de Entrada, Rascunhos, Modelos, Enviadas e Lixeira) no servidor e faz uma cópia local no seu dispositivo. Isso permite que você acesse as mesmas mensagens em múltiplos dispositivos enquanto mantém suas pastas sincronizadas. (POP, por outro lado, resgata as suas mensagens no servidor e as armazena no primeiro dispositivo para o qual são baixadas. Isso não significa que elas sejam de fato apagadas do servidor, mas sim que é muito mais difícil acessar o seu email de múltiplos dispositivos.)

    Importante: Certifique-se de que as informações tanto de Entrada quanto de Saída na tela acima exibam SSL (Secure Sockets Layer) ou STARTTLS (Start Transport Layer Security). Ambos indicam que o seu provedor de email permite criptografia básica.

    Passo 6. Clique em [Concluir] para criar a sua conta e entrar na interface principal do Thunderbird.

    Figura 5: A interface principal do Thunderbird

    Nota: Para adicionar outra outra conta de email, clique em Preferências > Configurações de Conta na barra de menu e selecione no canto inferior esquerdo Ações de contas > Nova conta de e-mail.... Isso irá ativar a Figura 2 acima. Então, simplesmente repita os Passos de 3 a 6.

    A cada vez que você abrir o Thunderbird, será necessário digitar a senha para cada conta adicionada.

    Figura 6: Tela de pedido de senha do servidor de e-mail

    Passo 7. Digite a sua senha

    Figura 7: Digitando a senha do seu servidor de e-mail

    Passo 8. Clique [OK] para entrar na sua conta usando o Thunderbird

    3. Aumente a segurança e usabilidade do Thunderbird

    Essa seção explica como configurar as preferências do Thunderbird para ajudar a defender o seu sistema de ataques que têm origem em emails. Para mais informaçõesm veja Como se proteger de Malware & Hackers.

    3.1 Desabilite emails em HTML

    O Thunderbird permite que você inclua cores, fontes, imagens e outras formatações nos emails que você escreve. Ele faz isso enviando mensagens que incluem HTML — a mesma tecnologia usada em páginas da internet — e não só texto simples. Ele também permite exibir mensagens em HTML enviadas por você para os outros. Infelizmente, ver um email em HTML pode te expor a alguns dos ataques que têm como alvo navegadores de internet. E escrever emails em HTML às vezes impede que a criptografia GnuPG funcione apropriadamente.

    Para exibir email em HTML como texto simples, siga os passos abaixo:

    Passo 1. Clique em para exibir o menu do Thunderbird

    Passo 2. Selecione Exibir > Formatação da mensagem como > Sem formatação

    Figura 1: Desabilitando a exibição de email em HTML

    Para escrever um email em texto simples, siga os passos abaixo:

    Passo 1. Clique em para exibir o menu do Thunderbird

    Passo 2. Selecione Preferências > Configurações de conta

    Figura 2: Configurações de conta do Thunderbird

    Passo 3. Selecione Editar e Endereçar abaixo do seu endereço de email

    Figura 3: Configurações de edição e seleção

    Passo 4. Desmarcar o campo Usar formatação (HTML).

    Figura 4: Desabilitar a edição de mensagem em HTML

    Passo 5. Clique em [OK]

    3.2 Configurando as preferências de segurança do Thunderbird

    Para modificar as preferências de segurança do Thunderbird, siga os passos abaixo:

    Passo 1. Clique para ativar a barra de menu do Thunderbird

    Passo 2. Selecione Preferências > Preferências

    Passo 3. Clique na aba de Segurança

    Figura 1: Tela de preferências de segurança do Thunderbird

    Passo 4. Clique na sub-aba Senhas

    Figura 2: A aba de senhas

    Para ver ou remover senhas de contas de email armazenadas no seu computador, clique em [Senhas memorizadas]

    Figura 3: A janela de Senhas Memorizadas (Saved Logins)

    Para apagar todas as senhas salvas pelo Thunderbird, clique em [Remover tudo]. Você também pode apagar senhas individualmente.

    Importante: Recomendamos que você proteja as suas senhas usando uma ferramenta criada especificamente com esse propósito. Ver KeePassX para mais informações. Contudo, se você pretende permitir ao Thunderbird se lembrar delas para você, é extremamente importante que você defina uma senha mestra para que o Thunderbird possa criptografar as suas outras senhas. De fato, mesmo se você não quiser que o Thunderbird armazene as senhas das suas contas de email, você ainda pode querer definir uma senha mestra. Fazer isso irá garantir que o Thunderbird criptografe qualquer senha que você acidentalmente pedir para ele salvar. Se você fizer isso, certifique-se de que se lembra de sua senha mestra ou guarde a mesma em algum lugar seguro (como em uma base de dados do KeePassX). Perceba que o Thunderbird irá te pedir essa senha mestra a cada vez que você reiniciar o aplicativo.

    Passo 5. Marque o campo Usar uma senha mestra para ativar a seguinte tela

    Figura 4: Janela Alterar Senha Mestra

    Passo 6. Digite uma senha forte em ambos os campos

    Passo 7. Clique [OK]

    3.3 Configurando as preferências de privacidade do Thunderbird

    Cookies contêm informações que são enviadas ao seu navegador pelos sites que você visita. Quando você retorna a esses sites, está enviando os cookies correspondentes de volta para eles, junto a seus pedidos por conteúdo. Cookies são usados por uma série de razões. Por exemplo, sites que pedem que você registre a sua entrada, frequentemente usam cookies para lembrar se você fez isso ou não. Mas cookies também podem ser usados para rastrear as suas atividades na rede.

    O Thunderbird aceita cookies primeiramente para permitir feeds RSS e grupos de notícias, não para email. Recomendamos que você desabilite o suporte a cookies no Thunderbird. Caso isso atrapalhe o uso de determinado recurso no Thunderbird do qual você necessita, você sempre pode voltar e habilitá-lo.

    Você pode dizer ao Thunderbird para não aceitar cookies seguindo os passos abaixo:

    Passo 1. Clique em para ativar a barra de menu do Thunderbird

    Passo 2. Selecione Preferências > Preferências

    Passo 3. Clique na aba Privacidade

    Figura 1: A aba Privacidade

    Passo 4. Desmarque o seguintes campos:

    • Permitir conteúdo remoto nas mensagens. (Você ainda pode habilitar conteúdos remotos a cada mensagem individualmente)
    • Lembrar sites e links que eu visitei
    • Aceitar cookies dos sites

    Passo 5. Clique em [Fechar]

    4. Enviando e recebendo mensagens criptografadas

    GNU Privacy Guard (GnuPG) é uma ferramenta livre e criptográfica desenvolvida pelo Project GNU. Compatível com os padrões OpenPGP, foi projetada para inter-operar junto a Pretty Good Privacy (PGP), outro programa de criptografia por email inicialmente projetado e desenvolvido por Phil Zimmermann.

    GnuPG depende de uma forma de criptografia de chave pública que requer que cada pessoa gere seu próprio par de chaves. Esse par de chaves pode ser usado para criptografar, descriptografar e assinar digitalmente conteúdos como mensagens de email. Inclui uma chave privada e uma chave pública:

    • A sua chave privada é extremamente sensível. Qualquer pessoa que conseguisse uma cópia dessa chave poderia ler conteúdos criptografados que seriam só seus. Essa pessoa poderia também assinar mensagens de modo que elas parecessem ter vindo de você. A sua chave privada é, por si, criptografada por uma senha que você irá escolher ao gerar o seu par de chaves. Você deve escolher uma senha forte e tomar cuidado para que ninguém tenha acesso à sua chave privada. Você irá usar a sua chave privada para descriptografar mensagens enviadas a você por aqueles que têm uma cópia da sua chave pública.

    • A sua chave pública é feita para ser compartilhada com os outros e não pode ser usada para ler uma mensagem criptografada ou falsificar uma que seja assinada. Uma vez que você tenha uma chave pública correspondente, pode começar a enviar suas mensagens criptografadas. Somente ela poderá descriptografar e ler essas mensagens porque somente ela tem acesso à chave privada que corresponde à chave pública que você está usando para criptografar. De modo semelhante, para que alguém possa enviar a você um email criptografado, essa pessoa precisa obter uma cópia da sua chave pública. É importante verificar que a chave pública que você está usando para criptografar o email de fato pertence à pessoa com que você está tentando se comunicar. Se você ou seu correspondente forem levados a criptografar uma mensagem com a chave pública errada, a conversa entre vocês não será segura.

    GnuPGP e Enigmail também permitem que você anexe assinaturas digitais a suas mensagens. Se você assinar uma mensagem usando a sua chave privada, qualquer destinatário com uma cópia da sua chave pública pode verificar que ela foi enviada por você e que o conteúdo não foi adulterado. De modo semelhante, se você tem a chave pública de um destinatário, pode verificar suas assinaturas digitais.

    4.1 Instale o Enigmail

    A maioria das distribuições de Linux vêm com o GnuPGP instalado por padrão. Contudo, você irá precisar instalar o complemento Enigmail para Thunderbird de modo que possa começar a usar o GnuPGP para criptogradar emails. Você pode fazer isso seguindo os passos abaixo:

    Passo 1. Clique para exibir o menu do Thunderbird

    Passo 2: Selecione Complementos para exibir o Gerenciador de Complementos do Thunderbird

    Passo 3: DigiteEnigmail” no topo direito no alto e pressione Enter

    Passo 4: Clique em “Instalar” para baixar o Enigmail

    Passo 5: Clique no link Reiniciar agora para reiniciar o Thunderbird e finalizar a instalação do Enigmail

    Agora que você reiniciou o Thunderbird, deve aparecer um “Enigmail” incluído na barra de menu.

    4.2 Gerar chaves de criptografia e configurar o Enigmail

    Agora você pode configurar uma ou mais contas de email para usar o Enigmail e gerar um ou mais pares de chaves.

    4.2.1 Gerar chaves de criptografia

    Você pode configurar o Enigmail e gerar um par de chaves de criptografia seguindo os passos abaixo:

    Passo 1. Clique em para exibir o menu do Thunderbird

    Passo 2. Selecione Enigmail > Assistente de configuração

    Figura 1: O assistente de configuração do Enigmail

    Passo 3. Clique em [Avançar] para prosseguir com a configuração padrão (como iniciante / recommended for begginers)

    Figura 2: Criando um par de chaves

    Passo 4. Escolha uma senha forte e a digite nos campos indicados para gerar um par de chaves

    Nota: Essa senha irá proteger a sua chave privada. Sem ela, você não será capaz de assinar ou descriptografar emails. Desse modo, é importante que você escolha uma senha forte da qual se lembre ou que guarde de maneira segura. Você pode aprender mais a respeito no guia Crie e mantenha senhas fortes.

    Figura 3: Escolhendo uma senha forte

    Passo 5. Clique [Avançar] para gerar seu par de chaves.

    Figura 4: Gerando um par de chaves GnuPG

    O Enigmail irá te avisar quando tiver concluído a criação do seu par de chaves.

    Figura 5: Par de chaves gerado

    Você deve gerar um certificado de revogação para que outras pessoas saibam quando uma chave específica não for mais válida. Isso pode acontecer caso você:

    • Pare de usar um par de chaves
    • Perca uma chave privada
    • Esqueça a senha de uma chave privada
    • Acredite que uma chave privada esteja comprometida ou tenha sido compartilhada com outros

    É particularmente importante que você gere um certificado de revogação caso planeje subir a sua chave pública para um servidor. Não existe outro modo de "deletar" uma chave depois de ter sido enviada a um servidor, e você não irá querer chaves antigas ou comprometidas disponíveis em um servidor confundindo as pessoas.

    Passo 6. Clique em [Criar Certificado de Revogação] e digite a senha de sua chave privada

    Figura 6: Digitando a chave de sua chave privada para gerar um certificado de revogação

    Passo 7. Navegue para o local onde deseja salvar o seu certificado de revogação.

    Figura 7: Escolhendo um local para o seu certificado de revogação

    Esse certificado não contém informações sensíveis e não pode ser usado para chegar à sua chave privada, mas alguém poderia enviá-lo a um servidor de chaves e invalidar o seu par em uso. Por isso, você deve salvar o certificado em um lugar seguro.

    Figura 8: Certificado de revogação criado com sucesso

    Passo 8. Clique em [OK] para retornar ao Assistente de Configuração do Enigmail.

    Figura 9: Completando a configuração do Enigmail

    Passo 9. Clique em [Avançar] para continuar.

    Figura 10: Setup do Enigmail completo

    Passo 10. Clique em [Concluir] para começar a usar o Enigmail.

    4.2.2 Visualizando e gerenciando as propriedades de suas chaves

    Uma vez que tenha gerado seu par de chaves, você pode ver e gerenciar as suas propriedades seguindo os passos abaixo:

    Passo 1. Clique em para exibir o menu do Thunderbird

    Passo 2. Selecione Enigmail > Gerenciamento de Chaves OpenPGP

    Figura 1: A tela de Gerenciamento de Chaves do Enigmail

    Passo 3. Clique duas vezes sobre o par de chaves que corresponde à sua conta de email

    Figura 2: A janela de Propriedades da Chave

    Essa janela exibe, entre outras coisas, o ID da sua chave pública e a sua impressão digital (fingerprint). Por exemplo, ID da chave pública para ekaterina@riseup.net é 0x84E4E7B2, enquanto que a impressão digital é 5114 5561 1A27 DB7C CFB8 8BC4 A3F3 DDFC 84E4 E7B2. Essa janela também exibe a data de expiração do seu par de chaves (15 de setembro de 2021 nesse caso).

    Você deve compartilhar a sua chave pública com os outros para que possam te enviar emails criptografados. Você também deve compartilhar a sua impressão digital (fingerprint) completa, por um canal diferente, de modo que as pessoas com as quais irá se corresponder possam verificar que a chave pública que você enviou de fato é sua. Você nunca deve compartilhar a sua chave privada, porque qualquer pessoa que tiver uma cópia dela pode descriptografar mensagens enviadas para você e assinar mensagens de modo que pareçam ter sido enviadas por você.

    Se desejar alterar a senha que protege a sua chave privada, clique em [Selecionar ação...] e selecione Alterar Senha. Será solicitado que digite a sua senha atual e em seguida poderá escolher uma nova. Para revogar a sua chave, clique em [Selecionar ação...] e selecione Revogar Chave.

    4.2.3 Configure o Enigmail para agir junto à sua conta de email

    Para habilitar o Enigmail para ser usado com uma conta de email específica, siga os passos abaixo:

    Passo 1. Clique em para ativar o Menu do Thunderbird

    Passo 2. Selecione Preferências > Configurações de conta

    Figure 1: O menu do Thunderbird

    Passo 3. Clique em Segurança OpenPGP abaixo de sua conta de email no canto esquerdo da janela de Configurações de conta

    Figura 2: Configurações de Segurança OpenPGP

    Passo 4. Certifique-se de que o campo Habilitar suporte a OpenPGP (Enigmail) para esta identidade está marcado

    Passo 5. Certifique-se de que o campo Utilizar ID de Chave específico está marcado e que o ID de Chave correto está selecionado

    Passo 6. Certifique-se que o campo Usar o PGP/MIME por padrão está marcado

    Passo 7. Marcar o campo assinar mensagens criptografadas

    Figura 3: Configurando o Enigmail para assinar mensagens criptografadas por padrão

    Nota: Se você gostaria de configurar o Enigmail de modo que ele tente enviar e-mails criptografados por padrão—mesmo se você não possui uma chave pública válida para o destinatário—você pode fazer isso marcando o campo Criptografar mensagens como padrão.

    Passo 8. Clique em [OK] para retornar à janela principal do Thunderbird

    4.2.4 Gerando um par de chaves adicional

    É uma prática comum adicionar mais de um endereço de email para um par de chaves GnuPG. Em alguns casos, entretanto, você pode querer criar diferentes pares de chaves para contas distintas. Isso é particularmente importante se você não quiser que outros saibam que ambas as contas pertencem à mesma pessoa.

    Você pode gerar um novo par de chaves seguindo os passos abaixo. Esses passos assumem que você já configurou o Thunderbird para trabalhar com uma segunda conta de email.

    Nota: Algumas versões do Linux, mesmo utilizando a mesma versão do Enigmail, podem não exibir o menu que aparece no topo da janela Gerenciamento de Chaves Enigmail, acessado por Enigmail > Gerenciamento de Chaves OpenPGP no menu do Thunderbird. (Neste tutorial, utilizamos a versão 1.9.5 do Enigmail em Ubuntu 16.04.1)

    Se este for o seu caso, siga os passos abaixo:

    Passo 1. Selecione Enigmail > Assistente de configuração

    Figura 1: O assistente de configuração do Enigmail

    Passo 2. Clique em [Avançar] para prosseguir com a configuração padrão (como iniciante / recommended for begginers)

    Passo 3 Selecione a opção Eu desejo criar um novo par de chaves para assinar e criptografar minhas mensagens e clique em [Avançar].

    Figura 3: Selecionando a opção Eu desejo criar um novo par de chaves para assinar e criptografar minhas mensagens

    Passo 4. Selecione no menu Conta/Identidade do Usuário a conta de email que deseja utilizar com este par de chaves. Em seguida, escolha uma senha forte e a digite nos campos indicados para gerar um par de chaves

    Figura 4: Selecionando a Conta/Identidade do Usuário e digitando a senha para o novo par de chaves

    Nota: Essa senha irá proteger a sua chave privada. Sem ela, você não será capaz de assinar ou descriptografar emails. Desse modo, é importante que você escolha uma senha forte da qual se lembre ou que guarde de maneira segura. Você pode aprender mais a respeito no guia Crie e mantenha senhas fortes.

    Passo 5. Clique em [Avançar] para gerar seu par de chaves.

    Figura 4: Gerando um par de chaves GnuPG

    O Enigmail irá te avisar quando tiver concluído a criação do seu par de chaves.

    Figura 5: Par de chaves gerado

    Passo 6. Clique em [Criar Certificado de Revogação] e digite a senha de sua chave privada

    Figura 6: Digitando a chave de sua chave privada para gerar um certificado de revogação

    Passo 7. Navegue para o local onde deseja salvar o seu certificado de revogação.

    Figura 7: Escolhendo um local para o seu certificado de revogação

    Esse certificado não contém informações sensíveis e não pode ser usado para chegar à sua chave privada, mas alguém poderia enviá-lo a um servidor de chaves e invalidar o seu par em uso. Por isso, você deve salvar o certificado em um lugar seguro.

    Figura 8: Certificado de revogação criado com sucesso

    Passo 8. Clique em [OK] para retornar ao Assistente de Configuração do Enigmail.

    Figura 9: Completando a configuração do Enigmail

    Passo 9. Clique em [Avançar] para continuar.

    Figura 10: Setup do Enigmail completo

    Passo 10. Clique em [Concluir]

    Repita a operação 4.2.3 para configurar o seu novo par de chaves com esta conta de email.

    Nota: Alternativamente, se a sua distribuição Linux exibir o menu no topo da janela Gerenciamento de Chaves Enigmail com a opção Gerar (Generate), você pode seguir os passos abaixo.

    Passo 1. Clique em para ativar o menu do Thunderbird

    Passo 2. Selecione Enigmail > Gerenciamento de Chaves OpenPGP

    Passo 3. Selecione Gerar > Novo Par de Chaves do menu do Enigmail

    Nota: O menu do Enigmail inclui diferentes opções enquanto a tela de Gerenciamento de Chaves está ativa

    Passo 4. Clique na entrada selecionada próxima a Conta / ID do Usuário para escolher uma conta diferente

    Figura 3: Selecionando uma conta de email diferente para cada para gerar um par de chaves GnuPG

    Passo 5. Selecione a conta para a qual deseja gerar o novo par de chaves GnuPG

    Passo 6. Escolha uma senha forte para o seu novo par de chaves e a digite nos campos Senha e Senha (repetir). Você pode aprender mais a respeito no guia Criar e manter senhas fortes.

    Passo 7. Clique em [Gerar Chave]

    Quando o processo tiver sido concluído, o Enigmail irá sugerir que gere um certificado de revogação.

    Passo 9. Clique em [Gerar Certificado]

    Passo 10. Navegue até o local onde deseja salvar o seu certificado de revogação

    Passo 11. Clique em [Salvar]

    Passo 12. Digite a senha para a chave privada que acabou de criar

    Passo 13. Clique em [OK]

    Figura 9: Certificado de Revogação criado com sucesso

    Passo 14. Clique em [OK] para retornar à tela de Gerenciamento de Chaves OpenPGP

    O Enigmail irá automaticamente configurar a sua conta de email para usar esse par de chaves. Veja a seção anterior para mais informações sobre como alterar as configurações específicas para a sua conta. (Recomendamos que você configure o Enigmail para assinar os seus emails criptografados por padrão, a não ser que você tenha alguma razão específica para não fazê-lo.)

    4.3 Trocando chaves públicas

    Antes de você poder começar a enviar emails criptografados para outras pessoas, você e as pessoas com quem você se corresponde precisam trocar suas chaves públicas. Você também precisa confirmar a validade de qualquer chave que receber confirmando que ela realmente pertence à pessoa que você acredita que enviou.

    4.3.1 Enviando a sua chave pública como anexo de email

    Para enviar uma chave pública usando o Enigmail, siga os passos abaixo. As pessoas com quem você se corresponde pode te enviar as chaves públicas delas da mesma forma.

    Passo 1. No Thunderbird, clique em [Escrever] para escrever um email.

    Passo 2. Escreva a sua mensagem

    Figura 1: Escrevendo uma mensagem no Thunderbird

    Passo 3: Clique em [Anexar a Minha Chave Pública]

    Figura 2: Anexando a sua própria chave pública a um email antes de enviá-lo

    O botão (e o ícone do clipse) devem mudar de cor para indicar que a sua chave pública estará anexa a essa mensagem antes que ela seja enviada.

    Passo 4. Clique em [Enviar agora]

    Figura 3: Thunderbird prestes a enviar um email com uma chave pública anexa

    O Thunderbird pode pedir a senha da sua conta de email. Ele não pedirá a senha do GnuPG a não ser que você escolha assinar este email. (Somente anexar a sua chave pública não torna necessário "destravar" a sua chave privada.)

    Figura 4: O Thunderbird pedindo a senha de uma conta de email

    Passo 5. Digite a senha do seu email e pressione Enter

    4.3.2 Importando uma chave pública anexada a um email

    Tanto você quanto a pessoa com quem você se corresponde devem seguir os passos abaixo para importar as chaves públicas uma da outra.

    Uma chave pública anexa deve estar visível no canto do rodapé esquerdo do email no qual foi enviada:

    Figura 1: Uma chave pública anexa a um email

    Passo 1. Clique com o botão direito no anexo

    Figura 2: O menu de contexto para uma chave pública anexa a um email

    Passo 2. Selecione Importar Chave OpenPGP

    Figura 3: Confirmando a importação de uma chave pública

    Passo 3. Clique em [Sim] para importar a chave pública

    Figura 4: Detalhes de uma chave pública importada, incluindo sua impressão digital (fingerprint) completa

    Passo 4. Clique em [OK]

    A tela de Gerenciamento de Chaves do Enigmail agora deve exibir a sua chave pública correspondente:

    Passo 5. Clique em para ativar o menu do Thunderbird

    Passo 6. Selecione Enigmail > Gerenciamento de Chaves openPGP.

    Figura 5: Uma chave pública é exibida na tela Gerenciamento de Chaves do Enigmail

    4.4 Validando e assinando chaves públicas

    Você deve agora verificar que a chave que você importou de fato pertence à pessoa que você acredita que te enviou. Você e as pessoas com quem se correponde devem passar por esse processo a cada chave pública que recebem. Uma vez que você verifique a chave, você deve assiná-la. É assim que você diz ao GnuPG e ao Enigmail que você a considera válida.

    4.4.1 Validando a chave pública de outra pessoa

    Para validar a chave pública da pessoa com quem você se corresponde, entre em contato usando um meio de comunicação que permite que permite a você se certificar absolutamete que está falando com a pessoa correta. Encontros presenciais são melhores, mas conversas e voz e vídeo são aceitáveis se você confia que consegue identificar a voz ou aparência da pessoa. Você estará trocando impressões digitais (fingerprints) de uma chave pública, que não precisam ser mantidas em segredo, então essa conversa não precisa ser confidencial desde que você evite falar de assuntos sensíveis.

    Tanto você quanto a pessoa com quem se corresponde devem verificar as impressões digitais (fingerprints) das chaves públicas que trocaram. Uma impressão digital (fingerprint) é uma série única de números e letras que identifica um par de chaves GnuPG. Você pode usar a tela de Gerenciamento de Chaves do Enigmail para determinar:

    • A impressão digital do par de chaves que você gerou
    • A impressão digital das chaves públicas que você importou

    Para visualizar a impressão digital de um par de chaves específico, siga os passos abaixo.

    Passo 1. Clique para ativar o menu do Thunderbird

    Passo 2. Selecione Enigmail > Gerenciamento de Chaves openPGP

    Figura 1: Tela de Gerenciamento de Chaves do Enigmail

    Passo 3: Clique duas vezes sobre um par de chaves para abrir a janela de Propriedades de Chave do Enigmail.

    Figura 2: Tela de Propriedades de Chave do Enigmail

    Na janela de Propriedades de Chave você verá a impressão digital da chave selecionada. Por exemplo, a impressão digital de ekaterina@riseup.net é 5114 5561 1A27 DB7C CFB8 8BC4 A3F3 DDFC 84E4 E7B2

    A pessoa com quem você se corresponde também deve seguir esses passos. Para verificar impressões digitais:

    1. Leia a impressão digital do seu par de chaves para a pessoa com quem você se corresponde
    2. Certifique-se que ela verificou que a impressão digital que ela tem para a sua chave pública bate com a que você forneceu
    3. Peça para que a pessoa leia para você a impressão digital do par de chaves dela
    4. Verifique que a impressão digital que você tem para a chave pública dela bate com a que ela te passou

    Se as impressões digitais (fingerprints) não baterem, troque chaves públicas novamente e repita o processo.

    Nota: Uma vez que as impressões digitais por si mesmas não são algo sensível, você pode facilmente escrever a impressão digital que a pessoa com quem você se corresponde ler para você. Então, quando tiver mais tempo, você pode verificar se ela bate com a impressão digital que você tem para a chave pública dela usando a tela de Gerenciamento de Chaves openPGP. (É por isso também que algumas pessoas imprimem as suas impressões digitais GnuPG em seus cartões de visita.)

    4.4.2 Assinando uma chave pública válida de outra pessoa

    Uma vez que você verificou a chave de alguém com quem se corresponde, você deve assiná-la. Desse modo o Enigmail pode se lembrar que você considera essa chave válida.

    Importante: Se você assinar a chave pública de outra pessoa e deixar a sua cópia assinada da chave da pessoa disponível publicamente, isso pode facilmente expor o fato de que você conhece aquela pessoa e que provavelmente troca informações sensíveis com ela. Para evitar que isso aconteça por acidente, sempre marque o campo Assinatura local quando assinar uma chave pública de alguém.

    Você pode assinar uma chave pública validada seguindo os passos abaixo.

    Passo 1. Clique em para ativar o menu do Thunderbird

    Passo 2. Selecione Enigmail > Gerenciamento de Chaves openPGP

    Figura 1: Tela do Gerenciamento de Chaves do Enigmail

    Passo 3. Clique com o botão direito na chave pública que deseja assinar

    Passo 4. Selecione Assinar chave

    Figura 2: Assinando a chave pública de outra pessoa

    Figura 3: Assine chaves localmente para evitar expor a sua conexão com seus donos

    Passo 5. Certifique-se que o seu par de chaves está selecionado próximo a Chave para assinar. Se tiver dois pares de chaves e quiser enviar a uma pessoa um email criptografado usando ambas, você deve assinar a chave pública dessa pessoa duas vezes, uma para cada "identidade".

    Passo 6. Clique em Eu verifiquei com bastante cuidado

    Nota: Outras opções (como Eu não verifiquei de maneira alguma) podem não te permitir enviar emails criptografados para o dono dessa chave. Ademais, pode ser difícil alterar essa configuração posteriormente. Como resultado, recomendamos que você sempre selecione Eu conferi com muito cuidado ao assinar a chave pública de alguém com quem se corresponde.

    Passo 7. Marque o campo Assinatura local (não exportável)

    Importante: A não ser que você confie muito no GnuPG – e tenha certeza de que a pessoa dona dessa chave pública deseja que a sua assinatura da chave dela seja pública – você deve marcar o campo Assinatura local.

    Passo 8. Clique em [OK]

    Figura 4: Digitando a senha para destravar a sua chave privada

    Passo 9. Digite a senha para a sua chave privada quando for pedido

    Passo 10. Clique em [OK]

    Fazer isso dirá ao Enigmail que você verificou a identidade da pessoa dona dessa chave, o que irá te permitir enviar a ela emails criptografados.

    4.5 Criptografando e descriptografando mensagens de email

    O GnuPG somente protege o conteúdo das mensagens e anexos que você criptografa. As informações a seguir nunca são criptografadas:

    • O campo Assunto
    • O endereço de email da pessoa que envia a mensagem
    • Os endereços de email das pessoas que recebem a mensagem
    • Quaisquer nomes reais que possam estar associados com pessoas que enviam e recebem mensagens. (Elena S. Katerina, por exemplo.)

    Além disso, se você configurar o Enigmail para usar Inline PGP em vez de PGP/MIME, os nomes dos arquivos anexos que você enviar permanecerão sem criptografia. Assim, escolha os textos de assunto com cuidado, considere criar uma chave GnuPG para ao menos uma conta de email que não inclua o seu nome verdadeiro, e use PGP/MIME (que é habilitado por padrão).

    Finalmente, quando você enviar emails criptografados, confie que uma cópia — criptografada para a sua chave pública — será alocada na sua pasta Enviados.

    4.5.1 Enviando emails criptografados

    Uma vez que a pessoa com quem você se corresponde tenham importado, validado e assinado as chaves mutuamente, você pode começar a trocar mensagens criptografadas. Você pode criptografar o conteúdo de uma mensagem de email seguindo os passos abaixo

    Passo 1. No Thunderbird, clique [Escrever] e comece a escrever um email para alguém de quem você assinou a chave pública

    Figura 1: Escrevendo um email criptografado

    Importante: Tanto o botão cadeado (que indica que a sua mensagem será criptografada) quanto o botão do lápis (que indica que a sua mensagem será assinada) devem acender assim que você digita um endereço de email para o qual você tem uma chave pública válida e assinada. Você também deve visualizar o texto "Essa mensagem será assinada e encriptada" próximo ao topo direito da janela. Isso se deve a:

    • Por padrão, o Enigmail automaticamente criptografa emails para correspondentes para quem você tem uma chave pública válida
    • Habilitamos a opção assinar mensagens criptografadas em Configurações de conta > Segurança OpenPGP em uma seção anterior.

    Você pode escolher não criptografar ou assinar uma mensagem desabilitando os botões de cadeado ou lápis antes de clicar [En viar]. (Você também pode configurar o Thunderbird para enviar emails criptografados por padrão. Essa opção aparece Configurações manuais de criptografia na aba Enviar do menu de Preferências do Enigmail.)

    Passo 2. Termine de escrever a sua mensagem

    Passo 3. Clique em [Enviar agora]

    Figura 2: Digitando a sua senha GnuPG

    Passo 4. Digite a sua senha GnuPG caso seja solicitada

    Passo 5. Clique em [OK]

    Figura 3: Digite a senha da sua conta de email

    Passo 6. Digite a senha da sua conta de email caso seja solicitada

    Passo 7. Clique em [OK] para enviar a sua mensagem criptografada e assinada

    4.5.2 Descriptografando um email de outra pessoa

    Quando você clica em uma mensagem criptografada, o Enigmail irá te pedir a senha da sua chave privada para descriptografar a mensagem.

    Figura 1: Digitando a sua senha GnuPG

    Passo 1. Digite a sua senha

    Passo 2. Clique em [OK]

    Figura 2: Uma mensagem descriptografada com uma assinatura verificada

    O Enigmail irá exibir algumas informações no topo da mensagem. Na figura acima, por exemplo, Mensagem descriptografada; Assinatura válida de mansour" te informa que:

    • A mensagem foi criptografada usando a sua chave pública (o que pode ser feito por qualquer pessoa)
    • Você descriptografou com sucesso
    • A mensagem foi assinada por alguém com a chave privada que corresponde à chave pública mansour@riseup.net que você importou
    • Você assinou essa chave pública de mansour@riseup.net, de preferência depois de verificar que ela pertence ao Mansour de verdade.

    FAQ

    P: Quantas contas de email eu posso configurar no Thunderbird?

    R: Quantas você quiser! O Thunderbird é um gerenciador de email e pode facilmente comportar 20 ou mais contas de email.

    P: Me lembre mais uma vez, quais partes de uma mensagem de email o Enigmail criptografa?

    R: O Enigmail somente criptografa o conteúdo da mensagens. Qualquer texto no campo Assunto não será criptografado, nem os endereços de email de quem envia e de quem recebe (ou os nomes associados a esses endereços). Por isso, escolha o que irá inserir como assunto com cautela e considere criar uma chave GnuPG para ao menos uma conta de email que não inclua o seu nome real.

    P: Eu ainda não entendo o motivo de assinar digitalmente as minhas mensagens.

    A: Uma assinatura digital prova que você é a pessoa real que envia uma mensagem específica e que essa mensagem não foi adulterada no seu trajeto a seu destino. Pense nisso como o equivalente eletrônico de um selo de cera em um envelope, que sela uma carta muito importante.