From Fedora Project Wiki

Esta página explica em detalhes como obter uma chave GPG usando utiliátios comuns do Fedora. Também fornece informações sobre gerenciar sua chave como um colaborador do Fedora.

Criando Chaves GPG

Criar Chaves GPG Usando o Ambiente GNOME

Instale o utilitário Seahorse, que facilita o gerenciamento de chaves GPG. No menu principal, selecione Aplicações > Adicionar/Remover Softwares. Selecione a aba Procurar e informe o nome seahorse. Marque o item do pacote seahorse e selecione Aplicar para adicionar o software. Você também pode instalar Seahorse usando a linha de comando su -c "yum install seahorse".

Para criar uma chave, vá para o modo Atividades e selecione Chaves Criptografadas em Senhas, que inicia o aplicativo Seahorse.

No menu Arquivo selecione Novo... então Chave PGP e clique Continuar. Digite seu nome completo, endereço de email e opcionalmente descreva que você é (por exemplo: John C. Smith, jsmith@example.com, The Man). Clique em Criar. Uma caixa de diálogo será mostrada perguntando por uma frase secreta para sua chave. Escolha uma frase secreta que seja segura mas fácil de lembrar. Clique em OK e a chave será criada.

Se você esquecer sua frase secreta, a chave não poderá ser usada e qualquer informação criptografada usando esta chave será perdida.

Para descobrir o ID da sua chave GPG clique na aba Minhas Chaves Pessoais e procure pela coluna ID da Chave próximo da chave criada mais recentemente. Na maioria dos casos, se for solicitada a ID da chave, ela deve preceder "0x", como em "0x6789ABCD".

Agora você deve fazer um backup da sua chave privada.

Criar Chaves GPG Usando o Ambiente KDE

Inicie o programa KGpg a partir do menu principal selecionando Utilitários > PIM > KGpg. Se você nunca usou o KGpg, o programa orienta o processo de criação de seu próprio par de chaves.

Uma caixa de diálogo aparece solicitando a você para criar um novo par de chaves. Entre com seu nome, endereço de email e um comentário opcional. Você também pode escolher uma data de expiração para sua chave, bem como a força da chave (número de bits) e algoritmo. A próxima caixa de diálogo solicita uma frase secreta. Neste ponto, sua chave aparecerá na janela principal do KGpg.

Se você esquecer sua frase secreta, a chave não poderá ser usada e qualquer informação criptografada usando esta chave será perdida.

Para descobrir o ID da sua chave GPG, procure pela coluna ID da Chave próximo da chave criada mais recentemente. Na maioria dos casos, se for solicitada a ID da chave, ela deve preceder "0x", como em "0x6789ABCD".

Agora você deve fazer um backup da sua chave privada.

Criar Chaves GPG Usando a Linha de Comando

No terminal, use o seguinte comando:

gpg --gen-key

Este comando gera um par de chaves que consiste de uma chave pública e uma privada. Outras pessoas usarão sua chave pública para autenticar e/ou descriptografar suas cominucações. Distribua sua chave pública o quanto for possível, especialmente para pessoas que você conhece e querem receber comunicações autenticadas por você, como em uma lista de discussão. O Projeto Fedora de Documentação, por exemplo, solicita aos participantes que incluam uma chave pública GPG em sua apresentação.

Uma série de perguntas irá orientá-lo durante o processo. Pressione a tecla Enter para confirmar o valor padrão se desejar. Na primeira pergunta deve selecionr que tipo de chave você prefere:

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection? 

Na maioria dos casos, o padrão é a escolha certa. Uma chave RSA/RSA permite a você, não apenas assinar comunicados, mas também criptografar arquivos.

A seguir, escolha o tamanho da chave:

RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 

Novamente, o padrão é suficiente para a maioria dos usuários, e representa um forte nível de segurança.

Em seguida, escolha quando a chave irá expirar. É uma boa ideia escolher a data de expiração usando o padrão, que é nenhuma. Se, por exemplo, usar o endereço de email o qual a chave se tornou inválida, a data de expiração lembrará aos outros para pararem de usar a chave pública.

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 

Informando uma chave de 1y, por exemplo, faz da sua chave válida por um ano. (Você pode alterar esta data de expiração depois que a chave for gerada, se você mudar de ideia.)

Antes do programa gpg pedir suas informações de assinatura, aparece a seguinte confirmação:

Is this correct (y/n)?

Tecle y para finalizar o processo.

Agora, informe seu nome e endereço de e-mail. Lembre que esse processo trata da sua autenticação como um indivíduo real. Por essa razão, inclua seu nome real. Não use apelidos ou abreviações, uma vez que isso pode disfarçar ou ofuscar sua identidade.

Indique seu endereço de e-mail real para sua chave GPG. Se você escolher um endereço de email que pouco use, será difícil para os demais encontrarem sua chave pública. Isto torna mais difícil a autenticidade de suas comunicações. Se você está usando essa chave GPG para sua apresentação em uma lista de discussão, por exemplo, informe o endereço de email que usará nesta lista.

Use o campo comentário para incluir apelidos, pseudônimos ou outras informações. (Algumas pessoas usam diferentes chaves para diferentes propósitos que identifica no comentário qual o uso da chave, como "Trabalho", ou "Projetos de Código Aberto".)

Na confirmação, tecle a letra O para continuar se tudo estiver correto, ou use as outras opções para corrigir qualquer problema.

Então, defina uma frase secreta para sua chave secreta. O programa gpg solicita que digite sua frase secreta duas vezes para se assegurar que não está digitando nada errado.

Finalmente, gpg gerá dados aleatórios para criar sua chave o mais distinta possível. Mova o mouse, digite teclas aleatórias ou execute outras tarefas no seu sistema durante estas etapas para acelerar o processo. Uma vez finalizada, suas chaves estão completas e prontas para uso:

pub  1024D/1B2AFA1C 2005-03-31 John Q. Doe (Fedora Docs Project) <jqdoe@example.com>
Key fingerprint = 117C FE83 22EA B843 3E86  6486 4320 545E 1B2A FA1C
sub  1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31] 

A impressão digital da chave (fingerprint) é uma assinatura curta para sua chave. Ela permite que você confirme que outros recebam sua atual chave pública sem qualquer adulteração. Você não precisa se preocupar com essa impressão digital. Para mostrar essa impressão digital a qualquer momento, use este comando, substituindo por seu endereço de email:

gpg --fingerprint jqdoe@example.com

Sua "ID da chave GPG" consite de 8 dígitos hexadecimais que identificam a chave pública. No exemplo acima, a ID da chave GPG é 1B2AFA1C. Na maioria dos casos, se for solicitada a ID da chave, ela deve preceder "0x", como em "0x1B2AFA1C".

Se você esquecer sua frase secreta, a chave não poderá ser usada e qualquer informação criptografada usando esta chave será perdida.

Agora você deve fazer um backup da sua chave privada.

Fazendo um Backup

Faça um backup da sua chave privada e a coloque num lugar seguro, como um CD, DVD ou unidade USB guardada em um local seguro.

Fazer um Backup da Chave Usando o Ambiente GNOME

Clique com o botão direito do mouse em sua chave e selecione Propriedades. Selecione a aba Detalhes, Exportar em seguida Exportar Chave Completa. Selecione o arquivo de destino e clique em Salvar.

Armazene a cópia em um local seguro, como uma gaveta trancada. Agora você está pronto para tornar sua chave pública disponível aos outros.

Fazer um Backup da Chave Usando o Ambiente KDE

Clique com o botão direito do mouse em sua chave e selecione Exportar Chave Secreta. Na caixa de diálogo de confirmação, clique em Exportar para continuar, então selecione o arquivo de destino e clique em Salvar.

Armazene a cópia em um local seguro, como uma gaveta trancada. Agora você está pronto para tornar sua chave pública disponível aos outros.

Fazer um Backup da Chave Usando a Linha de Comando

Use o comando a seguir para criar um backup, que você pode então, copiar para o destino de sua escolha:

gpg --export-secret-keys --armor jqdoe@example.com > jqdoe-privkey.asc

Armazene a cópia em um local seguro, como uma gaveta trancada. Agora você está pronto para tornar sua chave pública disponível aos outros.

Tornar Disponível Sua Chave Pública

Quando você torna sua chave pública disponível aos outros, eles podem verificar as comunicações que você assinou, ou enviar informações criptografadas se necessário. Esse procedimento também é conhecido como exportar.

Você deve exportar agora sua chave usando GNOME, KDE, ou a linha de comando. Você também pode copiar sua chave manualmente para um arquivo se você deseja enviar por email para individuos ou grupos.

Exportar uma Chave GPG Usando o Ambiente GNOME

Exporte a chave para um servidor público de chaves onde outros membros do projeto possam obtê-la. Clique com o botão direito do mouse e selecione Sincronizar e Publicar Chaves... (ou na barra do menu do seahorse clique em Remoto e selecione Sincronizar e Publicar Chaves...). Clique em Servidores de Chaves, selecione hkp://subkeys.pgp.net:11371 na opção Publicar Chaves em, clique Fechar e então Sincronizar.

Se a chave não puder ser sincronizada, o tráfego pode estar bloqueado por um firewall. Nestes casos você pode publicar a chave com um método diferente. Copie a chave, clicando com o botão direito nela e selecionando Copiar Chave Pública. Com um navegador web acesse "http://subkeys.pgp.net/", cole (Ctrl+V) a chave pública no campo texto Submit a Key e clique em Submit this key to the keyserver!. Sua chave pública então ficará disponível no servidor público para que outros copiem e usem.

Agora você pode ler mais sobre proteger sua chave ou usar o navegador para voltar a página anterior.

Exportar uma Chave GPG Usando o Ambiente KDE

Depois de sua chave ser gerada, você pode exportar a chave para um servidor público de chaves, clicando na chave com o botão direito do mouse, na janela principal, e selecionando Exportar Chave Pública. Você pode exportar a chave pública para a área de transferência, para um arquivo ASCII, para um email ou diretamente a um servidor de chaves. Exporte sua chave pública para o servidor de chaves padrão.

Se a chave não puder ser sincronizada, o tráfego pode estar bloqueado por um firewall. Nestes casos você pode publicar a chave com um método diferente. Copie a chave, clicando com o botão direito nela e selecionando Copiar Chave Pública. Com um navegador web acesse "http://subkeys.pgp.net/", cole (Ctrl+V) a chave pública no campo texto Submit a Key e clique em Submit this key to the keyserver!. Sua chave pública então ficará disponível no servidor público para que outros copiem e usem.

Agora você pode ler mais sobre proteger sua chave ou usar o navegador para voltar a página anterior.

Exportar uma Chave GPG Usando a Linha de Comando

Use o comando a seguir para enviar sua chave pública para um servidor público de chaves:

gpg --send-key KEYNAME

Substitua o KEYNAME pela ID da chave ou impressão digital da sua par de chaves que quer usar.

Isso enviará sua chave para o servidor de chaves padrão do gnupg (keys.gnupg.net), se você preferir outro, use:

gpg --keyserver hkp://pgp.mit.edu --send-key KEYNAME

Substituindo "pgp.mit.edu" com o servidor da sua escolha.

Agora você pode ler mais sobre proteger sua chave ou usar o navegador para voltar a página anterior.

Copiando uma Chave Pública Manualmente

Se você quiser dar ou enviar uma cópia do arquivo de sua chave, use o comando para armazená-la em um arquivo texto ASCII:

gpg --export --armor jqdoe@example.com > jqdoe-pubkey.asc

Agora você pode ler mais sobre proteger sua chave ou usar o navegador para voltar a página anterior.

Proteger sua Chave Secreta

Trate sua chave secreta como um documento muito importante ou uma chave física. (Algumas pessoas sempre deixam suas chaves secretas consigo ou em unidades USB). Se você perder sua chave secreta, estará incapaz de assinar comunicados, ou abrir comunicados criptografados que enviaram a você.

{{admon/warning | Mantenha segredo sempre sua frase secreta! | Mesmo que sua chave secreta seja acessada por alguem, ele estará inapto a usá-la sem sua frase secreta. Não escolha uma frase que alguém possa adivinhar facilmente. Não use palavras simples (em qualquer idioma), sequências de números como telefone ou documentos pessoais, dados pessoais ou de sua família para a frase secreta. Uma frase mais segura é muita longa e contém uma mistura de caracteres maiúsculos e minúsculos, números, dígitos e símbolos. Escolha uma frase secreta que você será capaz de lembrar, entre tanto, uma vez que escrever essa frase em qualquer lugar, a torna imediatamente, menos segura.

Revogação de Chave GPG

Quando você revoga uma chave, retire ela de uso público. Você apenas deve fazer isso se ela foi comprometida, ou perdida ou esquecer a frase secreta.

Gerando um Certificado de Revogação

Quando você cria o par de chaves você também deve criar uma chave de certificado de revogação. Se você, posteriormente, emitir o certificado de revogação, é notificado aos outros que a chave pública não será mais usada. Usuários podem usar uma chave pública revogada para verificar assinaturas antigas, mas não para criptografar mensagens. Contato que você tenha a chave privada, as mensagens previamente recebidas podem ser descriptografadas. Se você esquecer a frase secreta, será incapaz descriptografar mensagens criptografadas com essa chave.

gpg --output revoke.asc --gen-revoke KEYNAME

Se você não usar a opção --output, o certificado será exibido na saída padrão.

Substitua o KEYNAME pela sua ID da chave do seu par de chaves ou qualquer parte do ID do usuário que identifique seu par de chaves. Uma vez criado o certificado (o arquivo revoke.asc), deve protegê-lo. Se ele for publicado acidentalmente ou através de ações maliciosas de terceiros, a chave pública ficará inutilizável. É uma boa ideia guardar o certificado de revogação em uma mídia removível segura ou imprimi-la e guardá-la com segurança em um local secreto.

Revogando uma Chave

gpg --import revoke.asc

Uma vez, revogada a chave localmente, deve enviar o certificado de revogação para o servidor de chaves, independente se a chave foi originalmente emitida dessa forma. A distribuição através de um servidor ajuda outros usuários a rapidamente ficar ciente que a chave foi comprometida.

Eporte para um servidor de chaves com o seguinte comando:

gpg --keyserver subkeys.pgp.net --send KEYNAME

Substitua KEYNAME pela ID da chave do seu par de chaves ou qualquer parte do ID do usuário que identifique sua chave.

Veja a página Usando GPG para mais ideias sobre uso da sua nova chave GPG.