PGP / OpenPGP Pretty Good Privacy — criptografia de chave pública para humanos
A criptografia que permite a um estranho do outro lado do planeta verificar que um documento é genuinamente nosso.
Um esquema de criptografia de chave pública para assinar e cifrar arquivos, mensagens e releases de software, originalmente escrito por Phil Zimmermann em 1991. Padronizado como OpenPGP (RFC 4880, atualizado pela RFC 9580 em 2024). A implementação de referência em software livre é o GnuPG (gpg). Usado para verificar a integridade de releases de software, assinar e-mails, cifrar arquivos em repouso e autenticar identidade por um canal out-of-band.
PGP é como tornamos nossas próprias declarações verificáveis.
TLS prova que você está conversando com um servidor controlado pelo domínio no certificado; não prova que a NordBastion como organização disse nada específico. Para declarações que precisam ser infalsificáveis — o warrant canary, os relatórios de transparência, artefatos de release, advisories assinados — TLS não basta. PGP é a camada faltante.
Nossas chaves públicas estão listadas em /pgp/ com fingerprints. O warrant canary é assinado em PGP a cada período; o relatório de transparência carrega uma assinatura destacada; arquivos de release vêm com arquivos .asc. Qualquer um com cópia da nossa chave pública pode rodar `gpg --verify` e ter certeza criptográfica de que o documento que detém foi produzido pelo detentor da chave privada correspondente e não foi alterado desde então.
O outro lado: PGP só funciona se você verificar o fingerprint da chave contra uma fonte independente. A página /pgp/ lista o fingerprint, nosso mirror Tor lista, nossos perfis keybase / sociais listam; você deve comparar pelo menos dois antes de confiar em uma chave recém-importada. Essa é a parte inconveniente do protocolo e é também a parte que dá ao resto do sistema a propriedade que ele de fato quer.
As páginas que se apoiam neste termo.
As perguntas que as pessoas realmente fazem.
O que o PGP faz, de fato?
Duas coisas relacionadas. Primeiro, assina digitalmente arquivos e mensagens para que qualquer um com sua chave pública possa verificar que um documento veio genuinamente de você e não foi adulterado — é nisso que o warrant canary, o relatório de transparência e os arquivos de release se apoiam. Segundo, cifra arquivos e mensagens para um destinatário específico para que apenas o detentor da chave privada correspondente consiga decifrá-los.
Qual é a diferença entre PGP e OpenPGP?
O PGP foi o programa original escrito por Phil Zimmermann em 1991, depois comercializado. OpenPGP é o padrão aberto derivado do formato de arquivo e protocolo do PGP, especificado pela primeira vez na RFC 2440 (1998) e atualmente definido pela RFC 9580 (2024). Quando as pessoas dizem "PGP" hoje, quase sempre querem dizer uma implementação OpenPGP — geralmente o GnuPG (gpg), que é a referência em software livre.
Como o PGP difere do TLS?
TLS autentica um servidor durante uma conexão ao vivo e cifra o fio entre dois endpoints — é privacidade de camada de link que evapora quando a conexão fecha. PGP autentica o humano ou organização por trás de um pedaço de dado e cifra esse dado para que permaneça cifrado em disco, em e-mail, em fita de backup, para sempre. TLS protege a conversa; PGP protege o documento.
Como verifico uma assinatura PGP da NordBastion?
Importe a chave de assinatura de /pgp/ para o seu keyring GnuPG local (`gpg --import nordbastion.asc`), confira o fingerprint contra o publicado no site e idealmente contra uma cópia out-of-band (mirror Tor, post em rede social), depois rode `gpg --verify