Esta postagem é um breve tutorial sobre como utilizar sua Yubikey tanto para proteger seus dados (criptografando-os) como para criptografar suas comunicações com seus contatos.
Para começar, é importante ressaltar que a criptografia aqui utilizada é do tipo assimétrica. Você pode conferir o que é a criptografia assimétrica e qual a diferença para a criptografia simétrica no link a seguir https://www.bandeirantedigital.com.br/post/s%C3%A9rie-aumentando-sua-seguran%C3%A7a-digital-parte-5 .
Para poder utilizar a criptografia com sua chave de segurança, é necessário utilizar um programa compatível. Você pode utilizar o Gpg4win, que é de código aberto e mantido pela comunidade do KDE. No final do tutorial você poderá encontrar os links para download e demais websites.
Antes de poder utilizar sua Yubikey no Kleopatra, você precisará criar um par de chaves. O par de chaves (pública e privada) podem ser gerados de 2 formas, a primeira é gerando o par de chaves externamente ou gerando o par de chaves diretamente na sua Yubikey. É muito importante compreender as diferenças entre as duas formas de gerar o par de chaves. Neste tutorial, será demonstrada a criação do par de chave pela própria Yubikey. Lembre-se que este procedimento não permite a criação de backups, portanto, recomenda-se que ao criptografar, utilizar a função criptografar para outros, pois assim, caso perca uma das chaves, você não fique sem o acesso aos arquivos.
Antes de começar, algumas informações importantes:
. Por padrão, o PIN de usuário é 123456 e o PIN de administrador é 12345678.
. Para maior segurança, você pode alterar ambos PINs digitando no Terminal ou Prompt de Comandos o comando a seguir:
gpg --change-pinCaso você altere o PIN, o que é recomendado, lembre de guardar uma cópia em um lugar seguro. É recomendado que guarde várias cópias em papel, guardadas em local seguro, livre de umidade.
Gerando o par de chaves diretamente na Yubikey
Importante: Este método gera o par de chaves diretamente em sua Yubikey. É a maneira mais segura de garantir que ninguém jamais consiga obter sua chave privada, porém é impossível realizar o backup do par de chaves, o que implica na perda de todos os dados criptografados caso você perca ou sua Yubikey seja danificada. Isto pode ser contornado sempre criptografando usando outros certificados e chaves públicas. Outra(s) Yubikey(s) é recomendado neste caso.
Abra o Prompt de comandos ( no caso do Windows ) ou o Terminal ( no caso do Linux ).
gpg --card-editAgora digite o comando
adminCaso você queira chaves maiores do que 2048 bits, entre com o comando a seguir e escolha a opção de sua preferência.
key-attrAgora, entre com o comando
generateApós processado, será perguntado se você quer criar um backup. Escolha sim ou não. Importante ressaltar que este backup não é o backup completo de sua chave privada, sendo impossível com este backup recuperar sua chave privada.
Nesta etapa, especifique por quanto tempo seu par de chaves será válido. Você pode colocar uma data específica ou colocar para nunca expirar. Escolha de maneira consciente. Confirme a escolha.
Quando solicitado, digite seu nome. Caso você queira utilizar este par de chaves criado para comunicação com seus contatos, pode ser interessante colocar seu nome completo para fácil identificação. Porém, caso você queira utilizar apenas para criptografia pessoal, você pode colocar seu apelido e/ou com identificação de qual Yubikey você está utilizando.
Quando solicitado, digite seu e-mail. Esta etapa é opcional. Novamente, a depender de sua utilização, pode ser importante digitar seu e-mail. Escolha de maneira consciente.
Caso queira, você pode adicionar algum comentário. É um campo a seu exclusivo critério. Você pode utilizar este campo para identificar qual Yubikey se refere, ou qualquer outra informação que achar pertinente.
Revise os dados com muita atenção, conferindo se tudo está perfeitamente correto, principalmente seu endereço de e-mail. Confirme ou caso precise, faça as alterações necessárias.
Para finalizar o processo e gravar o par de chaves em sua Yubikey, digite seu PIN de administrador. A luz verde irá piscar enquanto o par de chaves é gravado em sua chave de segurança. Ao para de piscar o processo estará finalizado e pronto para ser utilizado.
Gravação da chave privada em sua Yubikey terminada com SUCESSO!
Agora, basta você abrir o seu explorador de arquivos de preferência, clicar com o botão direito do mouse sobre o arquivo e escolher a opção Assinar e encriptar. Caso não apareça, clique em Mostrar mais opções.
Agora basta escolher para quem ou qual par de chaves você irá criptografar e clicar no botão inferior Assinar / Encriptar.
Obs.: é possível criptografar para mais de uma pessoa simultaneamente, basta selecionar a chave pública do campo Criptografar para outros.
Pronto! Você acabou de criptografar seu primeiro arquivo utilizando o protocolo OpenPGP (ou GPG).
Notas, referências e links:
Gpg4win/Kleopatra - Download: https://www.gpg4win.org/index.html
Suporte Yubico de OpenPGP da Yubikey: https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP
Guia completo (em inglês) sobre Yubikey e OpenPGP: https://github.com/drduh/YubiKey-Guide