#4 Aprenda a Rede de Confiança

A criptografia por e-mail é uma tecnologia poderosa, mas tem uma fraqueza: ela requer uma maneira de verificar que a chave pública de uma pessoa é dela mesmo. Senão, não há nada que impeça um impostor de criar um endereço de e-mail com o nome de uma pessoa, criando chaves para esse endereço e fazendo-se passar por ela. É por isso que os programadores de software livre que desenvolveram a criptografia por e-mail, criaram a assinatura de chave e a Rede de Confiança.

Quando você assina a chave de alguém, está dizendo publicamente que confia que a chave pertence mesmo a essa pessoa e não a um impostor. Pessoas que usam sua chave pública podem ver o número de assinaturas que ela tem. Quando já tiver usado o GnuPG por algum tempo, sua chave pode ter centenas de assinaturas. A Rede de Confiança é uma constelação de todas as pessoas que usam o GnuPG, conectadas umas às outras por correntes de confiança expressadas através de assinaturas, formando uma rede gigante. Quanto mais assinaturas uma chave tiver, e quanto mais assinaturas essas pessoas que assinaram tiverem, mais confiável é essa chave.

A chave pública geralmente é identificada pela impressão digital da chave, que é uma série de dígitos como F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (que é a chave de Edward). Você pode ver a impressão digital de sua chave pública, e de outras chaves públicas salvas no seu computador, indo em Enigmail → Gerenciamento de Chaves OpenPGP no menu do seu programa de email. Em seguida clique com o botão direito na chave escolhida e selecione "Propriedades da Chave". É uma boa prática compartilhar sua impressão digital onde quer que você compartilhe o seu endereço de e-mail, assim as pessoas podem checar se possuem a chave pública correta quando baixarem sua chave a partir do servidor de chaves.

Você também pode ver chaves públicas serem citadas por seus ID's, que são simplesmente os últimos 8 dígitos da impressão digital, como C09A61E8 para a de Edward. O ID da chave é visível diretamente da janela "Gerenciamento de Chaves OpenPGP". O ID da chave é como o primeiro nome de uma pessoa (é uma abreviação útil mas pode não ser única para uma determinada chave), enquanto a impressão digital realmente identifica a chave unicamente sem a possibilidade de confusão. Se você só tem o ID da chave, você ainda pode encontrar a chave (assim como a impressão digital), como fez na Etapa 3, mas se múltiplas opções aparecerem, você vai precisar da impressão digital da pessoa com quem está tentando se comunicar para ver qual delas usar.