Ir para o conteúdo
Logo CERT.br Logo NIC.br Logo CGI.br

Para permitir a verificação da integridade de seus materiais, o CERT.br mantém assinaturas criptográficas para todos os arquivos que estão disponíveis neste site.

Todas as assinaturas são feitas com a Chave PGP associada ao endereço de e-mail <doc@cert.br>.

Nesta página estão disponíveis os arquivos com as assinaturas criptográficas, detalhes da chave PGP que assinou os arquivos e instruções para verificar as assinaturas com o software GnuPG.

Assinaturas Criptográficas

Cada material da Cartilha de Segurança possui uma assinatura criptográfica, que pode ser utilizada para verificar a sua integridade e autenticidade.

Para cada arquivo existe um arquivo.sig contendo a assinatura criptográfica a ser utilizada na sua verificação.

Todos os arquivos de assinaturas estão disponíveis aqui:
https://cartilha.cert.br/integridade/cartilha-sigs.zip

Ao descompactar o arquivo .zip será criado um diretório chamado sigs, que conterá para cada arquivo da Cartilha um arquivo com o mesmo nome, porém terminado por .sig.

Chave PGP

Seguem os detalhes da chave PGP associada ao e-mail <doc@cert.br>, utilizada para assinar todos os arquivos da Cartilha:

Chave PGP: Documentos do CERT.br <doc@cert.br>
PGP Key ID: 0x2CFE5DA8
Fingerprint: 77F7 5DA3 D3C3 B39F 4B37 9119 9E9F D86E 2CFE 5DA8
PGP Public Key

Obter e importar a chave PGP

  1. Baixe a chave pública PGP nesta URL:
    https://cert.br/pgp/CERTbr-doc.asc
  2. Importe a chave para o seu chaveiro
    $ gpg --import CERTbr-doc.asc
  3. Verifique se o fingerprint da chave importada é o mesmo da chave associada a <doc@cert.br>, conforme divulgado nessa página:
 $ gpg --fingerprint doc@cert.br
 pub   rsa4096 2021-06-11 [SC]
       77F7 5DA3 D3C3 B39F 4B37  9119 9E9F D86E 2CFE 5DA8
 uid           [ unknown] Documentos do CERT.br <doc@cert.br>
 sub   rsa4096 2021-06-11 [E]

Instruções para Verificar as Assinaturas com GnuPG

Seguem instruções sobre como obter e importar a chave PGP, seguidas de instruções sobre como verificar a integridade dos documentos. São sugeridas linhas de comando que funcionam em sistemas Unix (como Linux, FreeBSD e OpenBSD) que possuam o software GnuPG instalado.

Verificar a assinatura de um arquivo

Para verificar a assinatura de um arquivo, verificando assim a sua integridade, é necessário:

  1. Possuir o software GnuPG instalado e a chave associada a <doc@cert.br> importada em seu chaveiro (vide item anterior)
  2. Colocar em um mesmo diretório o arquivo da Cartilha que se quer verificar e o arquivo com a assinatura PGP
  3. Executar o comando:
    $ gpg --verify [arquivo.sig] [arquivo]

Como exemplo, o que segue é o comando para verificar a integridade do Fascículo de Privacidade, assumindo que tanto o seu PDF quanto o arquivo de assinatura estão no mesmo diretório: 

 $ gpg --verify fasciculo-privacidade.pdf.sig fasciculo-privacidade.pdf
 gpg: Signature made Wed Jun 16 15:52:17 2021 -03
 gpg:                using RSA key 77F75DA3D3C3B39F4B3791199E9FD86E2CFE5DA8
 gpg: Good signature from "Documentos do CERT.br <doc@cert.br>" [unknown]
 gpg: WARNING: This key is not certified with a trusted signature!
 gpg:          There is no indication that the signature belongs to the owner.
 Primary key fingerprint: 77F7 5DA3 D3C3 B39F 4B37  9119 9E9F D86E 2CFE 5DA8

Neste exemplo, o arquivo está íntegro ("Good signature") mas possui um aviso (linha iniciada por "WARNING:") indicando que a chave utilizada na verificação tem um nível de confiança baixo. Isso pode significar que a chave utilizada não faz parte da rede de confiança do usuário, ou que pode ter sido forjada. A maneira de verificar que a chave legítima está sendo utilizada é conferir se a linha "Primary key fingerprint" tem o valor idêntico ao do fingerprint da chave "Documentos do CERT.br <doc@cert.br>", divulgado nesta página.

Referências Adicionais sobre uso de GnuPG para Assinar e Verificar Arquivos

Voltar para o topo