Certificados

O que são certificados?

Na internet, é necessário um certificado digital para verificar a identidade de pessoas ou computadores. Estes certificados são chamados também de “Certificados SSL” or “Certificados de Identidade.” Aqui nós vamos chamar só de “certificados”.

Em particular, certificados são necessários para se estabelecer conexões seguras. Sem certificados, você poderia se assegurar que ninguém mais estava ouvindo, mas você talvez estivesse falando com o computador errado! Todos os servidores e serviços do riseup.net permitem ou exigem conexões seguras.

Para ter certeza de que você está se comunicando seguramente com o Riseup, você pode seguir os passos abaixo para verificar nossos certificados. Este processo de verificação não é necessário para usar os serviços Riseup. Porém, sem a verificação, você não pode ter certeza de que está conectando a nossos servidores, e você não pode ter certeza de que suas conexões são seguras.

Como verificar que os certificados Riseup são válidos

Para verificar estas fingerprints (impressões digitais), você precisa ver o que seu navegador acredita que as fingerprints são para os certificados e comparar eles com o que está lista abaixo. Se são diferentes, existe um problema. Cuidado: uma verificação completa é difícil e é necessário entender de OpenPGP.

Quando devo verificar essas fingerprints?

Você deveria verificar as fingerprints sempre que mudarem, ou você estiver usando um computador que você não controla (como em uma lanhouse ou uma biblioteca pública).

Verificação básica

Primeiro, encontre a fingerprint do certificado Riseup em seu navegador. Para fazer isto na maioria dos navegadores, basta clicar no ícone de cadeado (localizado na parte de baixo da janela ou barra de endereço URL) ou na estrela preta-e-vermelha (também localizada na barra de endereços). Isso deve mostrar detalhes sobre o certificado que está sendo utilizado, e também a fingerprint.

Se você comparar a fingerprint que você vê ali com o que você vê abaixo, então você fez uma verificação básica.

Se você tem interesse de fazer uma verificação completa, então vai precisa seguir um processo técnico mais complicado envolvendo conhecimento de OpenPGP.

Verificação completa

Aviso: este processo é um pouco técnico, é necessário familiaridade com OpenPGP e a linha-de-comando.

Importar a chave do riseup

Primeiro, você precisa abrir um terminal/shell, o modo de fazer isto depende de seu sistema. Se você não sabe como, por favor pergunte a alguém ou procure na internet para descobrir.

As informações a seguir vão demonstrar os comandos que você precisa digitar em um terminal. Os comandos vão ser antecipados do símbolo ‘$’, que é usado para indicar o prompt de comando/shell. Este prompt indica que o sistema está esperando que você digite um comando. Em sua linha de comando, seu prompt pode aparecer de forma diferente, podendo ser um número ou coisas diferentes, mas se não é um ‘$’ não tem problema! É só usar o comando que segue este símbolo em sua linha de comando.

Você precisa importar a chave do Riseup de um servidor de chaves (keyserver):

$ gpg --keyserver keys.riseup.net --recv-key 139A768E

Se ocorrer um erro sobre gpg não ser encontrado, você vai precisar instalar o programa GnuPG antes de prosseguir.

Não existe uma razão particular pela qual você deveria confiar nesta chave. Você pode ver quem confiou nela:

$ gpg --list-sigs 139A768E

Verificar estas instruções

Agora que você importou a chave pública do Riseup, você pode verificar que as fingerprints listadas nesta página são realmente de riseup.net.

  1. Copie este texto:
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA512
    
    As of May 7, 2012, the following is the fingerprint for Riseup's certificate:
    
    	SHA-1 fingerprint:
    		ab10d9059ee7b32d7d427c71a57e70d95685859c
    
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.4.12 (GNU/Linux)
    
    iQIcBAEBCgAGBQJPqW2RAAoJEDBD4rcTmnaOIxQP/08IptIL+VLWp3EhNAnHlRka
    HTdp0rLS3uWqNZwQ2YtEItxSXiV+kNRdOoRN5rqpmQ2V6mQ16JkD7/hkb0eYO+Wq
    8dGHv1e0j+wAKeDyDPYichqcgorzcg4sWRi+nrn/UooMjKEN2/YstfdxO7A5dXry
    7xPh5EqTmAA/Z1u+jyfy+4TM+ZXR8mux1Hnu6mH0lIC0l4ocU1vEfXD7WpesbRwv
    cyceFCZhMdlqB6tSIgRtx/nM3I7Y/MVdLecPj3rwr7Dt9ZdCvsFxsHCW2yyPdRzs
    01ftKxTBqFiMZ42QTIftV5/IRE864szmsgcNvIogFwgBeVqrfL9E74yzj7WfQxVq
    /sS3ZEAqFXqrEfYAQODcM3GsVfbBCh7/1xo//mCm2yyCHU7ErNCf7CX8jlmcLSMX
    LDDWDU4nbAulpHMWeqSF0cyEyCHqQCvtWr/LTzvmiMCPlwIyHlTz5JYqlZA3pad2
    csNe/xMyLbdppTe/o+bixraDTZL5oCExv0INorNzCoG1KwTsbEGh4mM2G5ODiN8h
    /ihRltJSEfWTi7I5R0U6uOZQXqpKaH51g76c10PD0PY4ieA7L8xkjg+mQs1KIb51
    hqLWiNxDpOXQPBzecY/TpB9MjPIdgNrGmzITRYUNesbEJXtazpmvD+X7k5OSX2zu
    ii1kzLeaO2BCnHPlNoSQ
    =W8km
    -----END PGP SIGNATURE-----
    
  1. Então rode este comando:
    gpg --verify
  2. Cole o texto copiado
  3. Tecle CTRL+D
  4. Você deve ver uma mensagem que diz:
    gpg: Good signature from "Riseup Networks <collective@riseup.net>"

    (que significa "Boa assinatura de “Riseup Networks”…)

Você deve ter certeza de que diz “Good signature” na mensagem! Se este texto foi alterado, então esta informação não deve ser confiada.

A menos que tenha tomado medidas explícitas para construir um caminho de confiança para a chave do Coletivo Riseup, você verá uma mensagem de aviso semelhante a

  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.

Que significa: “Aviso, esta chave não é certificada com uma assinatura de confiança. Não existe indicação de que a assinatura pertença ao dono”

Porém, você ainda deve ver a “Good signature” (Boa assinatura).

Compare as fingerprints

Agora que você verificou que a mensagem acima contém as fingerprints para nosso certificado, você pode comparar com aquilo que é fornecido por seu navegador. Você pode ver isto clicando no ícone de cadeado na barra de endereços, ou na parte de baixo da janela, ou clicando na estrela preta-e-vermelha no lado esquerdo da barra de endereços. Então, clique em “Mais informações” e então “Ver Certificado” para encontrar as fingerprints. Compare o que encontrar com o que você vê acima nesta página.

Se os valores forem correspondentes, e você confia na chave PGP pública de Riseup, então você pode ser confidente porque você está realmente se comunicando com os servidores riseup.net quando usar um programa que usa RiseupCA.pem.

Quero aprender mais!

Ótimo, este é um assunto importante e nós aconselhamos que você leia isto (em inglês) que aborda com clareza e de maneira não-técnica os problemas relacionados a autoridades de certificado como também dá sugestões interessantes de como as arquiteturas e protocolos podem ser ajustados só um pouco para mudar a situação para melhor.