Guia do Linux/Avançado/Introdução ao uso de criptografia para transmissão/armazenamento de dados/Alternativas seguras a serviços sem criptografia
Alternativas seguras a serviços sem criptografia
[editar | editar código-fonte]http
[editar | editar código-fonte]O uso de alternativas seguras é indispensável em servidores que servem páginas de comércio eletrônico, banco de dados, sistemas bancários, administração via web ou que tenham dados que oferecem risco, se capturados.
Existem duas alternativas: instalar o servidor Apache-ssl (pacote apache-ssl
ou adicionar o módulo mod-ssl
na instalação padrão do Apache
. Esta segunda é a preferida por ser mais rápida e simples de se administrar, por usar o servidor Web Apache
padrão e sua configuração. Veja [ch-s-apache.html#s-s-apache-ssl Uso de criptografia SSL, Seção 12.13] para detalhes de como configurar um servidor Web para transmissão de dados criptografados.
Transmissão segura de e-mails
[editar | editar código-fonte]A codificação padrão usada para o envio de mensagens em muitos clientes de e-mail é o MIME/base64. Isto não oferece muita segurança porque os dados podem ser facilmente descriptografados se pegos por sniffers (veja [#s-d-cripto-sniffer Sniffer, Seção 20.2]) ou abertos por administradores não confiáveis no diretório de spool do servidor.
Existem uma diversidade de servidores SMTP, POP, IMAP do Linux
que já implementam o protocolo de autenticação SSL/TLS, exigindo login/senha para o envio/recepção de mensagens, cabeçalhos de autenticação (aumentando um pouco mais a confiança sobre quem enviou a mensagem). Em especial, a autenticação é útil quando desejamos abrir nossas contas de e-mail para a Internet, por algum motivo, e não queremos que outros façam relay sem nossa autorização.
Outra forma de garantir a segurança da mensagem/arquivos através do correio eletrônico é usando o PGP (veja [#s-d-cripto-gpg Usando pgp (gpg
)para criptografia de arquivos, Seção 20.5]) em conjunto com um MUA (Mail User Agent - cliente de e-mails) que suporte o envio de mensagens criptografadas/assinadas usando PGP. A vantagem do GPG em cima da autenticação SSL é que você tem garantidas da autenticidade da mensagem e você pode verificar sua integridade. Os dois programas mais usados em sistemas Unix
são o mutt
e o sylpheed
. O mutt
é um MUA para modo texto e o sylpheed
para modo gráfico. Ambos são muito flexíveis, permitem uma grande variedade de configurações, personalizações, possuem agenda de endereços e gerenciam diversas contas de e-mails em um só programa.
Para encriptar/assinar uma mensagem no mutt
escreva/responda seu e-mail normalmente, quando aparecer a tela onde você tecla "y" para enviar a mensagem, tecle "p" e selecione uma das opções para criptografar/assinar uma mensagem.
Para fazer a mesma operação no sylpheed
, escreva/responda seu e-mail normalmente e clique no menu "Mensagem" e marque "assinar", "criptografar" ou ambos. A chave pública deverá estar disponível para tal operação (veja [#s-d-cripto-gpg-c-a Adicionando chaves públicas ao seu chaveiro pessoal, Seção 20.5.8] e [#s-d-cripto-gpg-c-e Extraindo sua chave pública do chaveiro, Seção 20.5.7]).
Servidor pop3
[editar | editar código-fonte]A alternativa mais segura é a utilização do protocolo IMAP
com suporte a ssl. Nem todos os clientes de e-mail suportam este protocolo.
Transferência de arquivos
[editar | editar código-fonte]Ao invés do ftp
, use o scp
ou o sftp
para transferência segura de arquivos. Veja [ch-s-ssh.html#s-s-ssh-cliente-scp scp, Seção 15.2.2] e [ch-s-ssh.html#s-s-ssh-cliente-sftp sftp, Seção 15.2.3]. Uma outra alternativa é a configuração de uma VPN entre redes para garantir não só a transferência de arquivos, mas uma seção em cima de um tunel seguro entre duas pontas.
login remoto
[editar | editar código-fonte]Ao invés do uso do rlogin
, telnet
e rsh
utilize o ssh
(veja [ch-s-ssh.html#s-s-ssh-cliente-ssh ssh, Seção 15.2.1]) ou o telnet com suporte a ssl (veja [ch-s-telnet.html#s-s-telnet-install Instalação, Seção 14.1.6]).
Bate papo via IRC
[editar | editar código-fonte]O programa SILC
(Secure Internet Live Conference) realiza a criptografia de dados durante o bate papo entre diversos usuários conectados via rede.
Transmissão de mensagens via ICQ
[editar | editar código-fonte]O protocolo ICQ trabalha de forma plana para transmissão de suas mensagens, inclusive as senhas. Clientes anteriores ainda usavam o UDP (até a versão 7) para envio de mensagens, piorando um pouco mais a situação e deixando o cliente mais vulnerável a falsificações de pacotes. Outro ponto fraco é que se alguma coisa acontecer com os pacotes UDP, eles serão simplesmente descartados perdendo a mensagem.
Ao invés do ICQ, você poderá usar algum cliente do protocolo Jabber
(como o gaim
, gaber
ou gossip
) ou o LICQ mais atual com suporte a ssl compilado. O problema do LICQ com ssh, é que as duas pontas deverão ter este suporte compilado e funcionando.