-
@ El Nardo de Sudamérica
2025-06-08 17:10:07
# **Doação de chave PGP verificadora**
Pode parecer estranho e é, mas quero doar uma chave privada para uso comum.
É natural a perplexidade e surpresa, mas é algo necessário para gerenciar PGP em diapositivos móveis.
Os gerenciadores de chaves desktop possuem recursos que faltam na versão móvel OpenKeyChain, entre eles, a capacidade de assinar e verificar arquivos binários.
Por exemplo, alguns aplicativos ou sistemas são assinados com a chave dos desenvolvedores que disponibilizam o arquivo de assinatura junto ao instalador ou imagem de sistema. No desktop é só deixar os dois arquivos baixados no mesmo diretório e verificar o arquivo de assinatura, então simultaneamente o gerenciador compara a assinatura com o arquivo baixado e retorna o resultado de confirmação ou divergência. Também é simples assinar um arquivo binário sem criptografá-lo gerando um arquivo de assinatura à parte.
Nos dispositivos móveis é inútil ter em mãos os dois arquivos, pois o OpenKeyChain não verifica e não assina arquivos binários não criptografados. Ele apenas assina um arquivo que vai passar por criptografia e verifica arquivos previamente criptografados.
Aí é que está o desafio: tornar o arquivo acessível para todos verificarem após criptografado.
Qualquer gerenciador criptografa usando senhas também. Essa seria uma opção desejável, pois era só criptografar todos os arquivos usando uma senha padrão e amplamente conhecida. Acontece que o recurso de assinatura em criptografia por senha está ausente. Ou seja, é impossível assinar nesse modo. Então voltamos à estaca zero.
Criptografar um arquivo para chaves públicas específicas também restringe a verificação apenas a quem possuir as chaves privadas vinculadas às públicas utilizadas. Tornaria do desejo de tornar o arquivo público.
O último recurso é tornar uma chave privada em comunitária. Assim todos poderiam criptografar e assinar e decriptar e verificar sem barreiras.
Tentei prever se existem problemas com esse modelo. Será que se resume somente a qualquer um poder revogar a chave? Nesse caso, importar a versão primária da chave privada resolveria esse desafio, porque naquele primeiro momento, o certificado aparecerá "saudável" e pronto para verificar arquivos exatamente como no momento em que foi criado.
Alguém também poderia zoar as identidades da chave e compartilhar as versões modificadas. Mas a menos que nenhuma subchave seja revogada ou extirpada, qualquer arquivo assinado para ela poderá sempre ser verificados ainda que existam novas identidades ou que a identidade padrão tenha sido revogada. Além disso não tem problema se alguém criar identidades infames, afinal esse certificado não é pessoal de ninguém, não vai ofender a mim e a ninguém que já o utilizou para verificar, além disso a versão primária da chave sempre estará disponível e só usaria a versão modificada quem quisesse.
Uma coisa também precisa ser esclarecida e ficar como alerta. A chave da comunidade verificadora também pode ser usada para criptografar e assinar qualquer coisa, inclusive malware. Portanto ninguém pode presumir que os conteúdos assinados por ela são confiáveis porque qualquer um pode assinar e criptografar. A sua única e exclusiva função é verificar se uma chave de sua confiança assinou um arquivo público e só isso. Não confie em conteúdos assinados por ela hipótese alguma, só nas chaves de pessoas que vo'cê confia e, mesmo assim, ainda é importante verificar se ela não foi revogada ou está expirada. Na dúvida, entre em contato direto com o assinante do arquivo.
Se alguém tiver alguma observação, deixe seu comentário, a chave da comunidade está disponível nos comentários e essa é a primeira versão dela.
### **Características**
• Chave privada PGP RSA 8192 bits
• Chave única, sem subchaves
• Sem senha
• Funções: certificação, assinatura, criptografia e autenticação
• Criada em 08/06/2025 às 10h44
• Validade: Não expira
• Fingerprint: b9fcf9a5973a371f5c5dcc0764229421f345f427
• ID: 64229421f345f427
• Nome: Comunidade verificadora
• E-mail: comunidadeverificadora@duck.com (É válido)
[Assinatura PGP](https://wim.nl.tab.digital/s/rN6NPcFJo5My4m3)