Usando o Caff + Exim para assinar e enviar chaves GPG
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Artigo criado em: 02 de março de 2016.
Última atualização: veja o rodapé desta página.
Tiny URL ou bit.ly: http://bit.ly/caffexim
Este artigo é uma receita rápida de como usar o Caff com o Exim no Debian para assinar e enviar chaves GPG.
Instalação inicial
Para fazer a instalação no Debian, execute:
# apt-get install signing-party exim4
Configuração do Exim para usar um MTA externo
Você deverá configurar o Exim para usar uma MTA externo à máquina. Pode ser o GMail, o Yahoo, o servidor da sua empresa etc. Vou mostrar um exemplo para o GMail.
Primeiramente, execute:
# dpkg-reconfigure exim4-config
Escolha as seguintes opções:
- mensagens enviadas por "smarthost"; nenhuma mensagem local
- Nome do sistema de mensagens: gmail.com
- Lista de endereços IP nos quais escutar por conexões SMTP: 127.0.0.1 ; ::1
- Outros destinos para os quais mensagens devem ser aceitas: deixar em branco
- Nome de domínio visível para usuários locais: deixar em branco
- Endereço IP ou nome de máquina do "smarthost" de saída: smtp.gmail.com::587 (observe que há um par de pontos)
- Manter o número de pesquisas DNS mínimas (Discagem-sob-Demanda)? Não
- Dividir a configuração em pequenos arquivos? Não
O próximo passo será criar um arquivo com o usuário e a senha do GMail (ou do MTA sendo utilizado). Assim sendo, crie um arquivo /etc/exim4/passwd.client com o seguinte conteúdo:
*.google.com:LOGIN@gmail.com:SENHA *.gmail.com:LOGIN@gmail.com:SENHA
Altere o LOGIN e a SENHA para os valores reais que você usa.
A seguir, altere as permissões de acesso:
# chown Debian-exim.Debian-exim /etc/exim4/passwd.client # chmod 440 /etc/exim4/passwd.client
Para testar, envie um email para você mesmo (o comando sendmail provido pelo Exim4 é destinado ao root; uma alternativa é usar o comando mail).
# echo teste | sendmail LOGIN@gmail.com
Para conferir, veja a sua conta no GMail. Caso algo dê errado, confira o log do Exim:
# cat /var/log/exim4/mainlog
Configuração do Caff
O Caff (CA - Fire and Forget) é instalado pelo pacote signing-party no Debian. Para configurá-lo, logado com o seu usuário no shell, execute:
$ caff
Após a execução do comando, será criado o arquivo .caffrc no seu diretório home. Edite o arquivo e altere as seguintes linhas, caso seja necessário:
$CONFIG{'owner'} = 'Eriberto Mota';
$CONFIG{'email'} = 'eriberto@eriberto.pro.br';
[...]
$CONFIG{'keyid'} = [ qw{DE63B9C704EBE9EF} ];
Pronto, o Caff está com a configuração mínima necessária.
Usando o Caff
A utilização básica do Caff é simples. Basta indicar o identificador simples da chave a ser assinada e ela será baixada da Internet, assinada (mediante passphrase) e enviada para o destinatário. Exemplo:
$ caff 04ebe9ef
Depois de realizar a assinatura, você cairá num prompt, como mostrado:
gpg>
Para sair, digite quit. Escolha a opção de salvar as alterações e enviar o email para o destino. Para conferir o envio, veja a pasta Enviados no GMail.
Uma opção interessante é o envio automático de email sem perguntar sobre isso no final. Fica assim:
$ caff -m yes <chave>
Para mais opções, $ man caff.
Como processar uma assinatura recebida
Caso você receba uma chave assinada via caff por alguém, proceda da seguinte forma:
- Salve a chave no seu HD. Pode ser somente a chave, que começa com "-----BEGIN PGP MESSAGE-----", indicando que a mesma está criptografada, ou todo o email recebido, com cabeçalho e tudo. No momento da manipulação da mesma, o GPG saberá onde começa e onde termina a chave, descartando o resto.
- Decriptografe a mensagem com o comando "gpg -d". Exemplo, considerando que você salvou o arquivo no HD com o nome de msg.asc:
$ gpg -d msg.asc > msg
- Importe a chave, gravada em msg, para o seu chaveiro:
$ gpg --import msg
- Envie a sua chave, agora com novas assinaturas, para um servidor de chaves:
$ gpg --send-key <número da sua chave>