Quando você assina um arquivo, você assina com a sua chave privada, mas para verificar a sua assinatura o destinatário do arquivo ou mensagem só precisa da sua chave pública.
O Kleopatra só pede a senha da chave privada se você for assinar o arquivo ou abrir. Você na criação do certificado tem a opção de não colocar o passphrase, mas essa senha é sua última camada de proteção caso alguém tenha acesso a sua chave privada, por isso é importante colocar.
Na parte que fala de encrypt for me significa que você pode usar sua chave privada para encriptar a mensagem ou o arquivo, escolher encrypt for other você escolhe chaves públicas que podem ser usadas para encryptar a mensagem ou o arquivo.
Você pode selecionar ambas as opções se quiser que tanto você quanto o destinatário da mensagem consigam decriptar.
Assim, você criptografa a mensagem para várias pessoas que tem uma chave pública. Por ser uma assinatura assíncrona, se uma das chaves privadas forem descobertas, apenas aquelas conversas com a pessoa que foi hackeada serão expostas ao atacante, mas as outras conversas que você também enviou para outras pessoas continuam anônimas.
Tem o problema que o atacante pode se passar pela pessoa de confiança que você troca mensagens e arquivos, e começar a fazer assinaturas falsas de mensagens e arquivos para tentar te atacar. Aí ele te envia arquivos com malwares, ou mensagens de textos para fazer engenharia social etc.
É por isso que proteger a chave privada no Tails offline é tão importante.
Cibersegurança
Se você cria a chave pgp privada dentro do seu pc que você assinará e deixa sua chave dentro dele, se ele for hackeado já era…
Crie as chaves e assine em um sistema air gapped (sempre 100% offline) e mantenha as chaves públicas e privadas dentro de um hd criptografado. Ideal usar o Tails com o modo persistente criptografado com as chaves privadas lá dentro.
Sempre assine offline no tails, e copie somente a chave pública e assinatura para o pc que você enviará publicamente esses dados. Isso garante que remotamente online não vão conseguir roubar sua chave privada e falsificar sua assinatura.
WhatsApp é criptografia assíncrona, mas o seu próprio app instalado no seu device que é a chave privada, então ele pode sofrer de alguma vulnerabilidade de zero click. Nesse caso, basta você estar usando ele, não precisa clicar em nada que já vai ter todos os dados roubados.
Deixe um comentário