Académique Documents
Professionnel Documents
Culture Documents
Marc Mutz
Desenvolvimento: David Faure
Desenvolvimento: Steffen Hansen
Desenvolvimento: Matthias Kalle Dalheimer
Desenvolvimento: Jesper Pedersen
Desenvolvimento: Daniel Molkentin
Traduo: Marcus Gama
Traduo: Andr Marcelo Alvarenga
Manual do Kleopatra
Contedo
1
Introduo
Funes Principais
2.1
2.2
8
8
2.3
9
10
Referncia do menu
3.1 O menu Arquivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
11
3.2
3.3
3.4
3.5
O menu Exibir . . . . .
O menu Certificados .
O menu Ferramentas .
O menu Configuraes
.
.
.
.
13
14
16
17
3.6
3.7
O menu Janela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
O menu Ajuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
18
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
Configurando o Kleopatra
20
5.1
20
5.2
Configurar a Aparncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
5.2.1
Configurar as Dicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
5.2.2
23
5.2.3
24
25
5.3.1
25
5.3.2
25
25
5.4.1
25
5.4.2
26
5.4.3
26
5.4.4
27
5.4.5
28
28
5.3
5.4
5.5
Manual do Kleopatra
Guia do Administrador
6.1 Personalizao do Assistente de Criao de Certificados . . . . . . . . . . . . . . . .
6.1.1
Personalizar os campos DN . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
6.1.2
31
6.1.2.1
31
6.1.2.2
31
6.2
32
6.3
35
6.3.1
36
37
6.4
30
30
Crditos e licena
40
Manual do Kleopatra
Lista de Tabelas
5.1
29
6.1
33
34
6.2
Resumo
Kleopatra uma ferramenta para gerenciar certificados X.509 e OpenPGP.
Manual do Kleopatra
Captulo 1
Introduo
Kleopatra a ferramenta do KDE para gerenciar certificados X.509 e OpenPGP nos chaveiros do
GpgSM e do GPG e tambm para obter certificados de servidores LDAP e de outros servidores.
O Kleopatra poder ser iniciado a partir do menu Ferramentas Gerenciador de Certificados
do KMail, assim como a partir da linha de comando. O executvel do Kleopatra chama-se kleo
patra.
NOTA
Este programa obteve o nome da Clepatra, uma famosa fara egpcia que viveu no tempo de Jlio
Csar, com quem teve um filho, Pequeno Csar, no reconhecido como seu herdeiro.
O nome foi escolhido, uma vez que este programa tem origem nos Projetos gypten (gypten significa
Egito em alemo). Kleopatra a traduo em alemo de Clepatra.
Manual do Kleopatra
Captulo 2
Funes Principais
2.1
A funo principal do Kleopatra mostrar e editar o contedo do chaveiro local, que semelhante ao conceito de chaveiros do GPG, ainda que uma pessoa no possa se limitar a esta analogia em demasia.
A janela principal est dividida na grande rea de listagem de chaves, na barra de menu e na
barra de procura no topo e ainda por uma barra de estado na base.
Cada linha da lista de chaves corresponde a um certificado, identificado pelo DN do Sujeito. O
DN um acrnimo para Distinguished Name ou Nome Distinto, um identificador hierrquico,
de certa forma semelhante a uma localizao num sistema de arquivos com uma sintaxe ligeiramente diferente, permitindo identificar de forma nica e global um determinado certificado.
Para serem vlidas e para poderem ser usadas, as chaves (pblicas) devem ser assinadas por uma
CA (Autoridade de Certificao). Estas assinaturas so chamadas de certificados, mas normalmente os termos certificado e chave (pblica) so usados nas mesmas circunstncias, razo
pela qual no ser tambm feita nenhuma distino entre elas neste manual, a no ser quando
indicado explicitamente.
As CA devero estar, por sua vez, assinadas por outras CAs para serem vlidas. Obviamente isto
ter de parar em algum ponto, como tal a CA do nvel superior (a CA raiz) assina a sua chave
com ela prpria (isto chamado de auto-assinatura). Os certificados raiz precisam, por isso, ser
validados (normalmente chamada de confiana) manualmente, por exemplo depois de comparar
a impresso digital com a da pgina Web da CA. Isto feito tipicamente pelo administrador do
sistema ou pelo distribuidor de um produto que use os certificados, mas poder ser feito pelo
usurio com a interface da linha de comando do GpgSM.
Para ver quais os certificados so da raiz, voc poder mudar para o modo de listagem hierrquica de chaves com o Ver Lista de Chaves Hierrquica.
O usurio poder ver os detalhes de qualquer certificado se fizer duplo-clique nele ou usar os Ver
Detalhes do Certificado. Isto abre uma janela que apresenta as propriedades mais comuns do
certificado, a sua cadeia de certificao (isto a cadeia de emissores at CA de raiz), e o contedo
de toda a informao que a infraestrutura capaz de extrair do certificado.
Se voc alterar o chaveiro local sem usar o Kleopatra (por exemplo usando a interface da linha
de comando do GpgSM), voc poder atualizar a janela com o .
2.2
Na maior parte do tempo, voc ir adquirir os certificados novos ao verificar as assinaturas nas
mensagens de e-mail, uma vez que os certificados esto incorporados nas assinaturas criadas
8
Manual do Kleopatra
que as usam. Contudo, se voc precisar de enviar uma mensagem para algum com quem ainda
nunca tenha tido contato, voc precisa obter o certificado de um diretrio LDAP (ainda que o
GpgSM possa fazer isto automaticamente), ou atravs de um arquivo. Voc tambm necessita
importar o seu prprio certificado depois de receber a resposta da CA ao seu pedido do certificado.
Para procurar por um certificado num diretrio LDAP, selecione a opo Arquivo Procurar os
Certificados no Servidor e insira algum texto (por exemplo o nome da pessoa de quem deseja
o certificado) no campo de texto da janela de Pesquisa de Certificados no Servidor de Chaves,
pressionando depois no boto Procurar. Os resultados sero apresentados na lista de chaves,
abaixo da barra de procura, onde voc poder selecionar os certificados observando-os ao clicar
no boto de Detalhes ou transferi-los com a opo Importar na rea de chaves locais.
Voc poder configurar a lista de servidores LDAP onde procurar na pgina Servios de Diretrio da janela de configurao do Kleopatra.
Se voc recebeu o certificado como um arquivo, tente o . O GpgSM precisa compreender o formato do arquivo de certificado; por favor veja o manual do GpgSM para obter uma lista com os
formatos de arquivos suportados.
Se voc no criou o seu par de chaves com o GpgSM, tambm ir precisar importar manualmente as chaves pblica e privada do arquivo PKCS#12 que obteve da CA. Voc poder fazer
isso na linha de comando com a instruo ou dentro do Kleopatra com o , tal como faria para os
certificados normais.
2.3
Manual do Kleopatra
Organizao (O): A organizao que voc representa (por exemplo, a companhia para
quem trabalha);
Cdigo do pas (C): O cdigo de duas letras para o pas em que vive (por exemplo,
BR);
O prximo passo no assistente selecionar se deve-se gravar o certificado num arquivo ou
envi-lo diretamente para uma CA. Voc ter que especificar o arquivo ou o endereo de
e-mail para onde enviar o pedido do certificado.
2.3.1
Um par de chaves que expirou pode ser restaurado para um estado operacional caso voc tenha
acesso chave privada e frase-senha. Para gerar com confiana uma chave inutilizvel, voc
precisa revog-la. A revogao feita adicionando uma assinatura especial de revogao chave.
Esta assinatura de revogao armazenada em um arquivo separado. Este arquivo pode depois
ser importado para o chaveiro sendo ento anexado chave tornando-a inutilizvel. Por favor,
note que para importar esta assinatura chave nenhuma senha necessrio. No entanto, voc
deve armazenar a assinatura de revogao em um local seguro, normalmente diferente do local
do seu par de chaves. Uma boa dica usar um local que possa ser desconectado de seu computador, copiando para um dispositivo de armazenamento externo como um pendrive USB ou
imprimindo-a.
O Kleopatra no oferece uma funcionalidade para criar uma dessas assinaturas de revogao a
qualquer momento, mas pode fazer com o aplicativo KGpg do KDE, escolhendo a opo Chaves
Revogar a chave e, opcionalmente, importar imediatamente a assinatura de revogao para o
seu porta-chaves.
Uma forma alternativa de gerar um certificado de revogao usar o GPG diretamente a partir
da linha de comando: gpg --output certificado_de_revogao.asc --gen-revoke
sua_chave. O argumento sua_chave pode ser um indicador de chave, sendo o ID da chave do
seu par de chaves primrio ou qualquer parte de um ID de usurio que identifica o seu par de
chaves.
10
Manual do Kleopatra
Captulo 3
Referncia do menu
3.1
O menu Arquivo
Manual do Kleopatra
NOTA
Esta funo exporta apenas as chaves pblicas, mesmo que a chave privada esteja disponvel.
Use a opo Arquivo Exportar chaves privadas... para exportar as chaves privadas para
um arquivo.
ATENO
S raramente dever ser necessrio usar esta funo e, se for, dever ser planejada com cuidado. A migrao de uma chave privada envolve a escolha do meio de transporte e a remoo
segura dos dados da chave da mquina antiga, entre outras coisas.
NOTA
Quando os certificados de OpenPGP tiverem sido exportados para um servidor de diretrio
pblico, ser quase impossvel remov-los de novo. Antes de exportar o seu certificado para
um servidor pblico, certifique-se que criou um certificado de revogao, caso queira revogar o
certificado posteriormente.
NOTA
A maioria dos servidores de certificados de OpenPGP pblicos sincronizam-se entre si, assim
no h grande vantagem em envi-los para mais de um.
Poder acontecer que uma pesquisa num servidor de certificados no devolva quaisquer resultados, ainda que voc tenha enviado o seu certificado para l. Isto acontece porque a maioria
dos servidores pblicos de chaves usam o balanceamento sequencial round-robin do DNS
para distribuir a carga por vrias mquinas. Estas mquinas sincronizam-se umas com as outras, mas isso normalmente s acontece ao fim de cerca de 24 horas.
12
Manual do Kleopatra
3.2
O menu Exibir
NOTA
Devido a limitaes na infraestrutura, algumas vezes as operaes ficaro penduradas de tal
forma que esta funo no ser capaz de cancel-las, agora ou mesmo de todo jeito.
Nesses casos, a nica forma de restaurar a ordem finalizar a execuo do SCDaemon,
DirMngr, GpgSM e GPG, nessa ordem, atravs das ferramentas do sistema operacional (top,
Gerenciador de Tarefas, etc.), at que a operao seja desbloqueada.
NOTA
A visualizao hierrquica s est atualmente implementada para os certificados S/MIME.
Existe algum desacordo entre os programadores no que diz respeito forma correta de apresentar os certificados de OpenPGP de forma hierrquica (basicamente, pai = assinante ou pai
= assinado).
13
Manual do Kleopatra
3.3
O menu Certificados
NOTA
A infraestrutura (atravs do GpgAgent) ir perguntar, no momento da importao do certificado
de raiz, se deseja confiar no certificado de raiz importado. Contudo, esta funo ter que estar
explicitamente ativada na configurao da infraestrutura (allow-mark-trusted no gpg-agen
t.conf, ou ento o Sistema GnuPG Agente GPG Permitir aos clientes marcarem as
chaves como fidedignas ou ainda o Validao S/MIME Permitir marcar os certificados
raiz como confiveis em captulo 5).
Ativar essa funcionalidade na infraestrutura, poder fazer com que apaream mensagens do
PinEntry em momentos inoportunos (por exemplo ao verificar as assinaturas), podendo bloquear
o processamento do correio no verificado. Por essa razo, e uma vez que se pretende ser
possvel renegar um certificado de raiz fidedigno, o Kleopatra permite a definio manual da
confiana.
ATENO
Devido ausncia de suporte por parte da infraestrutura para esta funo, o Kleopatra tem que
trabalhar diretamente na base de dados de confiana do GpgSM (trustlist.txt). Ao usar
esta funo, certifique-se de que no existem operaes criptogrficas em curso que possam
interferir com o Kleopatra, no que diz respeito a modificaes a essa base de dados.
Manual do Kleopatra
NOTA
Por razes de segurana, tanto a frase-senha antiga como a nova sero pedidas pelo PinEntry,
num processo separado. Dependendo da plataforma em que voc o est rodando, bem como
da qualidade da implementao do PinEntry nessa plataforma, poder acontecer que a janela
do PinEntry aparea em segundo plano. Assim, se voc selecionar esta funo e no acontecer
nada, verifique a barra de tarefas do sistema operacional para ver se existe alguma janela do
PinEntry aberta em segundo plano.
Na janela que aparece quando selecionar esta funo, o Kleopatra perguntar cada um dos
trs parmetros (Nome Verdadeiro, Comentrio e E-mail) em separado, apresentando o
resultado numa anteviso.
NOTA
Estes parmetros esto sujeitos s mesmas restries do Administrador, tal como acontece nos
certificados novos. Veja mais detalhes em Seo 2.3 e Seo 6.1.
15
Manual do Kleopatra
ATENO
Existe uma exceo ao caso anterior: Quando apagar um dos seus prprios certificados, voc
est apagando a chave privada tambm com ele. Isto implica que no ser capaz de ler as
comunicaes anteriores criptografas para voc com este certificado, a menos que tenha uma
cpia de segurana em algum lugar.
O Kleopatra ir avis-lo quando voc tentar apagar uma chave privada.
3.4
O menu Ferramentas
Depois do comando terminar com sucesso, o seu chaveiro local ir refletir as ltimas alteraes no que diz respeito validade dos certificados do OpenPGP.
Veja a nota Ferramentas Atualizar os Certificados X.509 para mais detalhes.
Ferramentas Atualizar os Certificados X.509
Atualiza todos os certificados de S/MIME, executando o comando
gpgsm -k -- with - validation -- force -crl - refresh -- enable -crl - checks
1 Isto igual a um sistema de arquivos: Quando voc apaga uma pasta, ir apagar todos os arquivos e pastas nela
contidos tambm.
16
Manual do Kleopatra
Depois do comando terminar com sucesso, o seu chaveiro local ir refletir as ltimas alteraes no que diz respeito validade dos certificados do S/MIME.
NOTA
A atualizao dos certificados X.509 ou OpenPGP implica na obteno de todos os certificados
e CRLs, de modo a verificar se eles foram revogados.
Isto poder ser inconveniente para voc, assim como para as conexes de rede das outras
pessoas, podendo levar at uma hora ou mais ainda para terminar, dependendo da sua conexo
de rede e do nmero de certificados a verificar.
NOTA
Para a importao de CRLs funcionar, a ferramenta DirMngr dever estar na PATH de pesquisa.
Caso este item de menu esteja desativado, voc dever contactar o administrador de sistemas
e pedir-lhe para instalar o DirMngr.
3.5
O menu Configuraes
O Kleopatra tem um menu de Configuraes padro do KDE, tal como se encontra descrito nos
Fundamentos do KDE, com um item adicional:
Configuraes Efetuar os testes automticos
Efetua um conjunto de testes automticos, apresentando depois os seus resultados.
Este o mesmo conjunto de testes que executado na inicializao, por padro. Caso tenha
desativado os testes automticos na inicializao, voc poder reativ-los aqui.
3.6
O menu Janela
O menu Janela permite-lhe gerenciar as pginas. Usando os itens deste menu, voc poder mudar o nome de uma pgina, adicionar uma nova, duplicar a atual, fechar a pgina atual e deslocar
a pgina atual para a esquerda ou direita.
Clique com o boto direito do mouse, numa pgina para abrir um menu de contexto, onde poder
tambm selecionar as mesmas aes.
17
Manual do Kleopatra
3.7
O menu Ajuda
O Kleopatra tem um menu de Ajuda padro do KDE, tal como se encontra descrito nos Fundamentos do KDE.
18
Manual do Kleopatra
Captulo 4
19
Manual do Kleopatra
Captulo 5
Configurando o Kleopatra
A caixa de dilogo de configurao do Kleopatra poder ser acessada em Configuraes
Configurar o Kleopatra...
Cada uma das suas pginas est descrita nas sees abaixo.
5.1
Nesta pgina, voc poder configurar os servidores LDAP a usar para as pesquisas por certificados de S/MIME, assim como os servidores de chaves a usar para as pesquisas por certificados
do OpenPGP.
NOTA
Esta apenas uma verso mais amigvel da configurao que tambm ir encontrar em Seo 5.5.
Tudo o que puder configurar aqui, tambm poder configurar no outro local.
Manual do Kleopatra
Nome do Servidor
O nome do domnio do servidor, por exemplo keys.gnupg.net.
Porta do servidor
A porta de rede em que o servidor est esperando pedidos.
Isto muda automaticamente para a porta padro, assim que mudar o Esquema, a menos
que tenha sido definido com alguma porta fora do normal e que no consiga restaur-la.
Tente definir o Esquema como sendo http e o Porta do servidor como 80 (o valor padro
para o HTTP), seguindo depois a partir da.
DN de base
O DN de Base (apenas para o LDAP e o LDAPS), isto o topo da hierarquia de LDAP onde
iniciar a pesquisa. Isto tambm normalmente chamado de raiz da pesquisa ou base da
pesquisa.
Normalmente parece-se com algo do tipo c=de,o=Xpto, e indicado como parte do URL
de LDAP.
Nome do usurio
O nome do usurio, se existir, a usar para se autenticar no servidor.
Esta coluna s aparece caso a opo Mostrar a informao do usurio e senha (abaixo da
tabela) esteja assinalada.
Senha
A senha, se existir, a usar para se autenticar no servidor.
Esta coluna s aparece caso a opo Mostrar a informao do usurio e senha (abaixo da
tabela) esteja assinalada.
X.509
Assinale esta coluna se este item deve ser usado para as pesquisas por certificados X.509
(S/MIME).
S so suportados os servidores LDAP (e LDAPS) para o S/MIME.
OpenPGP
Assinale esta coluna se acha que este item dever ser usado para as pesquisas de certificados do OpenPGP.
Voc poder configurar tantos servidores de S/MIME (X.509) quantos desejar, mas s permitido
um servidor de OpenPGP de cada vez. A GUI encarrega-se de limitar isso.
Para adicionar um novo servidor, clique no boto Novo. Isto duplica o item selecionado, se
existir, ou ento introduz um servidor padro de OpenPGP. Depois poder definir o Nome do
Servidor, o Porta do servidor, o DN de base, o Senha e o Nome do usurio, sendo os dois
ltimos necessrios apenas se o servidor necessitar de autenticao.
Para inserir diretamente um item para os certificados X.509, use a opo Novo X.509; use o
Novo OpenPGP para o caso do OpenPGP.
Para remover um servidor da lista de procura, selecione-o na lista e pressione depois no boto
Remover.
Para definir o tempo-limite do LDAP, isto o tempo mximo que a infraestrutura ir esperar pela
resposta de um servidor, basta usar o campo de texto correspondente denominado tempo-limite
do LDAP (minutos:segundos).
Se um dos servidores tiver uma base de dados grande, de modo que as pesquisas razoveis do
tipo Sousa atinjam o nmero mximo de itens devolvidos pela pesquisa, voc poder desejar
aumentar este limite. Voc poder detectar isso facilmente, uma vez que ao atingir esse limite
durante uma pesquisa, ir aparecer uma caixa de dilogo avisando-o que os resultados foram
truncados.
21
Manual do Kleopatra
NOTA
Alguns servidores podero impor os seus prprios limites no nmero de itens devolvidos por uma
pesquisa. Neste caso, o aumento do limite aqui no ir resultar em mais itens devolvidos.
5.2
5.2.1
Configurar a Aparncia
Configurar as Dicas
Na lista principal de certificados, o Kleopatra pode mostrar os detalhes de um determinado certificado numa dica. A informao apresentada a mesma que aparece na rea de Vista Geral
da janela de Detalhes do Certificado. As dicas, contudo, podero ser restringidas para mostrar
apenas um subconjunto da informao para uma experincia menos descritiva.
NOTA
O ID da Chave sempre apresentado. Isto serve para garantir que as dicas dos diferentes certificados
so, de fato, distintas entre si (isto especialmente importante se s tiver selecionado a Mostrar a
validade).
. Exemplo do S/MIME:
Sujeito :
DE
a.k.a .:
ID - Chave :
22
Manual do Kleopatra
5.2.2
O Kleopatra permite-lhe personalizar a aparncia dos certificados na lista. Isto inclui a apresentao de um pequeno cone, mas tambm poder definir as cores do texto e do fundo, assim como
a fonte a ser usada.
A cada categoria de certificados na lista atribudo um conjunto de cores um cone (opcional) e
uma fonte, com o qual os certificados desta categoria so apresentados. A lista de categorias tambm atua como uma anteviso das configuraes. As categorias podem ser definidas livremente
pelo administrador ou por um usurio com privilgios. Veja o Seo 6.2 em captulo 6.
Para definir ou alterar o cone de uma categoria, selecione-a na lista e clique no boto Alterar o
cone.... A janela de seleo de cones normal do KDE ir aparecer, e nela voc poder escolher
um cones existente da coleo do KDE ou carregar um cone personalizado.
Para remover um cone de novo, voc precisa carregar no boto Aparncia padro.
Para alterar a cor do texto (isto a cor principal) de uma categoria, selecione-a na lista e clique
no boto Alterar a cor do texto.... A janela de seleo de cores normal do KDE ir aparecer, e nela
voc poder escolher ou criar uma cor nova.
A alterao da cor de fundo feita da mesma forma, clicando no entanto no boto Configurar
Cor de Fundo....
Para alterar a fonte, o usurio tem duas opes:
1. Modificar a fonte padro, usada por todas as listas no KDE.
2. Usar uma fonte personalizada.
A primeira opo tem a vantagem que a fonte ir seguir o estilo que voc definiu a nvel do KDE,
enquanto que a ltima lhe fornece um controle completo sobre a fonte a ser usada. A escolha
sua.
Para usar a fonte padro modificada, selecione a categoria na lista e ligue ou desligue os modificadores de fonte Itlico, Negrito, e/ou Tachado. Voc poder ver imediatamente o efeito da
fonte na lista de categorias.
Para usar uma fonte personalizada, clique no boto Alterar a fonte.... A janela normal de seleo
de fonte do KDE ir aparecer e nela voc poder selecionar o novo tipo de fonte.
NOTA
Voc ainda poder usar os modificadores de fonte para mudar o tipo de fonte personalizado, como
faria para modificar o tipo de fonte normal.
Para voltar fonte padro, voc precisa de clicar no boto Aparncia Padro.
23
Manual do Kleopatra
5.2.3
Ainda que os DNs sejam hierrquicos, a ordem dos componentes individuais (chamados de DNs
relativos (RDNs) ou atributos do DN) no est definida. A ordem pela qual aparecem os atributos
, por isso, uma questo de gosto pessoal ou da empresa, razo pela qual configurvel no
Kleopatra.
NOTA
Esta opo no s se aplica ao Kleopatra, mas a todos os aplicativos que usam a Tecnologia do
Kleopatra. No momento em que este documento foi escrito, estas incluem o KMail, o KAddressBook,
assim como o prprio Kleopatra, obviamente.
Esta pgina de configurao consiste basicamente em duas listas, uma para os atributos conhecidos (Atributos disponveis) e outra que descreve a Ordem atual dos atributos.
Ambas as listas contm itens descritos pela forma resumida do atributo (por exemplo CN), assim
como a forma por extenso (Common Name - Nome Comum).
A lista de Atributos disponveis est sempre ordenada alfabeticamente, enquanto que a sequncia da lista Ordem atual dos atributos reflete a ordem configurada de atributos do DN: o primeiro
atributo da lista tambm o atributo mostrado em primeiro lugar.
S os atributos listados explicitamente na lista Ordem atual dos atributos so mostrados. O resto
fica oculto por padro.
Contudo, se o item de substituio _X_ (Todos os outros) estiver na lista atual, todos os atributos
no listados (sejam conhecidos ou no), so inseridos no local do _X_, na sua ordem relativa
original.
Um pequeno exemplo ajudar a esclarecer isto:
Fornecido o DN
O=KDE, C=BR, CN=David Programador, X-BAR=foo, OU=Kleopatra, X-FOO=bar,
a ordem de atributos padro do CN, L, _X_, OU, O, C ir gerar o seguinte DN formatado:
CN=David Programador, X-XPTO2=xpto, X-XPTO=xpto2, OU=Kleopatra, O=KDE,
C=BR
enquanto o CN, L, OU, O, C ir produzir
CN=David Programador, OU=Kleopatra, O=KDE, C=BR
Para adicionar um atributo lista de ordem de exibio, selecione-o na lista de Atributos disponveis e clique no boto Adicionar ordem atual dos atributos.
Para remover um atributo da lista de ordem de exibio, selecione-o na lista de Ordem atual dos
atributos e clique no boto Remover da ordem atual dos atributos.
Para mover um atributo para o incio (fim), selecione-o na lista Ordem atual dos atributos e
clique no boto Mover para topo (Mover para base).
Para mover um atributo apenas uma posio para cima (baixo), selecione-o na lista Ordem atual
dos atributos e clique no boto Mover acima (Mover abaixo).
24
Manual do Kleopatra
5.3
5.3.1
Aqui voc poder configurar alguns aspectos das operaes de e-mail do UiServer do Kleopatra.
Atualmente, voc s pode configurar se deve usar o Modo rpido para assinar e criptografar os
e-mails, individualmente.
Quando o Modo Rpido estiver ativo, no ser apresentada nenhuma janela ao assinar (encriptar) as mensagens de e-mail, respectivamente, a menos que exista um conflito que necessite de
uma resoluo manual.
5.3.2
Aqui voc poder configurar alguns aspectos das operaes com arquivos do UiServer do Kleopatra. Atualmente, voc s pode escolher o programa de validao de integridade a usar para o
CHECKSUM_CREATE_FILES.
Use o Programa de cdigos de validao a usar para escolher qual dos programas de gerao de
cdigos de validao instalados ser usado para criar os arquivos de cdigos de validao.
Ao verificar os cdigos de validao, o programa a usar ser encontrado automaticamente, com
base nos nomes dos arquivos de cdigos de validao encontrados.
NOTA
O administrador e o superusurio podero definir por completo quais os programas de validao disponibilizar ao Kleopatra, atravs das Definies de Cdigos de Validao do arquivo de configurao.
Veja mais detalhes em Seo 6.4 na seo captulo 6.
5.4
Nesta pgina, voc poder configurar alguns aspectos da validao dos certificados de S/MIME.
NOTA
Para a maior parte dos casos, isto apenas uma verso mais amigvel das mesmas opes que iria
encontrar no Seo 5.5. Tudo o que configurar aqui, poder configurar no outro local tambm, com a
exceo do Verifica a validade dos certificados a cada N horas, que especfico do Kleopatra.
5.4.1
25
Manual do Kleopatra
NOTA
A validao efetuada implicitamente sempre que os arquivos significativos em ~/.gnupg forem alterados. Esta opo, tal como a Ferramentas Atualizar os certificados OpenPGP e
a Ferramentas Atualizar os Certificados X.509 , s afeta os fatores externos da validade
do certificado.
5.4.2
ATENO
Ao escolher este mtodo, enviado um pedido ao servidor da CA, mais ou menos a cada
vez que envia ou recebe uma mensagem criptografada, o que permite em teoria agncia de
emisso de certificados fazer um rastreamento das pessoas com quem trocou mensagens (por
exemplo).
Para usar este mtodo, voc deve indicar o URL do servidor de respostas de OCSP no URL
de resposta do OCSP.
Veja o Validar certificados online (OCSP) para obter um mtodo mais tradicional de verificao da validao dos certificados, que no passa qualquer informao sobre as pessoas
com quem trocou mensagens.
URL de resposta do OCSP
Insira aqui o endereo do servidor de validao online dos certificados (servidor de respostas do OCSP). O URL normalmente comea por http:// .
Assinatura de resposta do OCSP
Escolha aqui o certificado com o qual o servidor de OCSP assina as suas respostas.
Ignorar URL do servio de certificados
Cada certificado de S/MIME normalmente contm o URL do servidor de OCSP do seu
emissor (o Certificados Apresentar os Dados do Certificado ir revelar se um determinado certificado o contm).
Se assinalar esta opo, far com que o GpgSM ignore esses URLs e s use o que estiver
configurado acima.
Use isto por exemplo para forar a utilizao de um proxy de OCSP empresarial.
5.4.3
26
Manual do Kleopatra
NOTA
Se ativar esta funcionalidade na infraestrutura, poder obter janelas indesejadas do PinEntry
(por exemplo ao verificar as assinaturas), podendo assim bloquear o processamento de correio
no-verificado. Por essa razo, e uma vez que se pretende ser possvel renegar um certificado
de raiz fidedigno, o Kleopatra permite a definio manual da confiana, usando o Certificados
Confiar no certificado de raiz e o Certificados Renegar o certificado de raiz .
Esta opo aqui no influencia o funcionamento do Kleopatra.
5.4.4
27
Manual do Kleopatra
5.4.5
5.5
Esta parte da janela gerada automaticamente a partir do resultado do comando gpgconf --lis
t-components e, para cada um dos componentes que o comando acima devolver, apresentado
o resultado do comando gpgconf --list-options componente.
NOTA
A mais til destas opes foi duplicada como pginas separadas na janela de configurao do Kleopatra. Veja em Seo 5.1 e Seo 5.4 as duas janelas em questo, que contm as opes selecionadas
nesta parte da janela.
O contedo exato desta parte da janela depende da verso da infraestrutura do GnuPG que tiver
instalada e, potencialmente, a plataforma em que est rodando. Deste modo, s iremos discutir a
disposio geral da janela, incluindo a associao das opes do GpgConf aos controles da GUI
do Kleopatra.
O GpgConf devolve a informao de configurao dos vrios componentes. Dentro de cada um
dos componentes, as opes individuais esto organizadas em grupos.
O Kleopatra mostra uma pgina por cada componente indicado pelo GpgConf; os grupos so
antecedidos por uma linha horizontal que mostra o nome do grupo, tal como foi devolvido pelo
GpgConf.
Cada opo do GpgConf tem um tipo associado. Excetuando as opes mais conhecidas que
o Kleopatra j trata com controles especializados, para uma melhor experincia do usurio, a
associao entre os tipos do GpgConf e os controles do Kleopatra a seguinte:
Tipo GpgConf
nenhum
Controle do Kleopatra
para listas
para excees s listas
Campo incremental
Opo
(semntica de quantidade)
28
Manual do Kleopatra
texto
N/A
Campo de texto
int32
Campo de texto (no
Campo incremental
formatado)
uint32
localizao
N/A
controle especializado
servidor LDAP
controle especializado
N/A
impresso digital de
chave
chave pblica
N/A
chave privada
lista de nomes
alternativos
Tabela 5.1: Associao Entre os Tipos do GpgConf e os Controles
GUI
Veja o manual do GpgConf para obter mais informaes sobre o que poder configurar aqui, bem
como a forma de o fazer.
29
Manual do Kleopatra
Captulo 6
Guia do Administrador
Este Guia do Administrador descreve as formas de personalizar o Kleopatra que no esto disponveis atravs da GUI, mas apenas atravs de arquivos de configurao.
Assume-se que o leitor est familiarizado com a tecnologia usada para a configurao dos aplicativos do KDE, incluindo o formato, a localizao no sistema de arquivos e o encadeamento dos
arquivos de configurao do KDE, assim como a plataforma KIOSK.
6.1
6.1.1
O Kleopatra permite-lhe personalizar os campos que o usurio tem permisso para introduzir,
de forma a criar o seu certificado.
Crie um grupo chamado CertificateCreationWizard no kleopatrarc do sistema. Se voc quiser
uma ordem personalizada dos atributos ou se desejar que apaream apenas alguns itens, crie uma
chave chamada DNAttributeOrder. O argumento um ou mais itens da lista CN,SN,GN,L,T,OU,O
,PC,C,SP,DC,BC,EMAIL Se quiser inicializar os campos com um determinado valor, escreva algo
do tipo Atributo=valor. Se quiser que o atributo seja tratado como obrigatrio, adicione um ponto
de exclamao (por exemplo CN!,L,OU,O!,C!,EMAIL! que , de fato, a configurao padro).
Usando o modificador de modo do KIOSK $e, voc poder obter os valores das variveis de
ambiente, ou ento a partir de um programa ou script avaliado. Se quiser proibir a edio do
respectivo campo, alm disso, use o modificador $i. Se quiser proibir o uso do boto Inserir
Meu Endereo, configure o ShowSetWhoAmI como false.
DICA
Devido natureza da plataforma KIOSK do KDE, usando a opo de inaltervel ($i), ir impossibilitar
ao usurio a sobreposio da opo. Este o comportamento pretendido. O $i e o $e podem ser
usados com todas as chaves de configurao dos aplicativos do KDE, da mesma forma.
30
Manual do Kleopatra
CN [ $e ]= $USER
; configura o nome da empresa como sendo "A Minha Empresa ", proibindo as
alteraes
O[ $i ]= A Minha Empresa
; configura o nome do departamento como sendo um valor devolvido por um
programa
OU [ $ei ]= $( devolver_depart_pelo_ip )
6.1.2
O Kleopatra tambm lhe permite restringir o tipo de certificados que um determinado usurio
poder criar. Lembre-se, contudo, que uma forma simples de contornar estas restries criar
um certificado pela linha de comando.
6.1.2.1
Para restringir o algoritmo de chave pblica a usar, adicione a varivel de configurao PGPK
eyType (e CMSKeyType, mas s suportado o RSA para o CMS, de qualquer forma), na seo
CertificateCreationWizard do arquivo kleopatrarc.
Os valores permitidos so RSA para as chaves RSA, DAS para as chaves DSA (apenas de assinatura), e DSA+ELG para uma chave DSA (apenas de assinatura) com uma subchave ElGamal para a
criptografia.
O valor padro lido do GpgConf ou ento igual a RSA, caso o GpgConf no devolva qualquer
valor.
6.1.2.2
Para restringir os tamanhos de chaves para um algoritmo pblico, adicione a varivel de configurao <ALG>KeySizes (onde o ALG poder ser RSA, DSA ou ELG) na seo CertificateCreationWiz
ard do arquivo kleopatrarc, contendo uma lista de tamanhos de chaves separadas por vrgulas
(em bits). Poder ser indicado um valor padro se anteceder o tamanho da chave com um hfen
(-).
RSAKeySizes = 1536 , -2048 ,3072
O valor acima iria restringir os tamanhos permitidos para as chaves RSA a 1536, 2048 e 3072,
sendo o 2048 o valor padro.
Alm dos tamanhos propriamente ditos, voc poder indicar algumas legendas para cada um
dos tamanhos. Basta definir a varivel ALGKeySizeLabels como uma lista de legendas separadas
por vrgulas.
RSAKeySizeLabels = fraca , normal , forte
O valor acima, em conjunto com o exemplo anterior, iria imprimir algo do gnero na seleo:
fraca (1536 bits )
normal (2048 bits )
forte (3072 bits )
31
Manual do Kleopatra
6.2
O Kleopatra permite ao usurio configurar a aparncia visual das chaves com base num conceito chamado de Categorias das Chaves. Estas tambm podem ser usadas para filtrar a lista de
certificados. Esta seo descreve como voc poder editar as categorias disponveis, bem como
adicionar novas.
Ao tentar procurar a categoria a que uma chave pertence, o Kleopatra tenta corresponder a chave
a uma sequncia de filtros de chaves, configurada no libkleopatrarc. A primeira a corresponder
define a categoria, baseada num conceito de especificidade, explicado mais abaixo.
Cada filtro de chaves est definido num grupo de configurao chamado Key Filter #n, em que
o n um nmero que comea em 0.
A nica chave obrigatria num grupo Key Filter #n o Name, que contm o nome da categoria,
tal como aparece na janela de configurao e id, que usado como referncia para o filtro nas
outras sees de configurao (como o View #n).
Tabela 6.1 lista todas as chaves que definem as propriedades de visualizao das chaves que
pertencem a essa categorias (isto aquelas chaves que podero ser ajustadas no janela de configurao), em que o Tabela 6.2 lista todas as chaves que definem o critrio com o qual o filtro faz
a correspondncia das chaves.
Chave de Configurao
Tipo
background-color
cor
foreground-color
cor
font
font-bold
fonte
booleano
32
Descrio
A cor de fundo a ser usada.
Se no estiver definida, usa
a cor de fundo definida a
nvel global para as listas.
A cor do texto a ser usada.
Se no estiver definida, usa
a cor do texto definida a
nvel global para as listas.
A fonte a ser usada. A fonte
ser ajustada para o
tamanho configurado para
as listas e todos os atributos
de fonte (ver abaixo) sero
aplicados.
Se for igual a true e o font
no estiver definido, usa a
fonte padro das listas com
um estilo negrito
adicionado (se estiver
disponvel). ignorado se o
font estiver tambm
disponvel.
Manual do Kleopatra
Chave de Configurao
booleano
Tipo
is-revoked
booleano
match-context
contexto1
is-expired
booleano
is-disabled
booleano
is-root-certificate
booleano
can-encrypt
booleano
can-sign
booleano
can-certify
booleano
can-authenticate
booleano
is-qualified
booleano
1O
Se forem especificadas, o
filtro faz correspondncia
quando...
a chave foi revogada.
o contexto a que este filtro
corresponde.
a chave expirou.
a chave foi desativada
(marcada para no ser
usada) pelo usurio.
ignorada no caso das chaves
S/MIME.
a chave um certificado de
raiz. Ignorado nas chaves
OpenPGP.
a chave pode ser utilizada
para criptografia.
a chave pode ser utilizada
para assinar.
a chave por ser utilizada
para assinar (certificar)
outras chaves.
a chave pode ser utilizada
para autenticao (por
exemplo como um
certificado de cliente TLS).
a chave pode ser usada para
criar Assinaturas
Qualificadas (como
definidas pela Lei de
Assinatura Digital da
Alemanha).
33
Manual do Kleopatra
o material da chave
armazenado em um
is-cardkey
booleano
smartcard (ao invs do
computador).
a chave secreta deste par da
has-secret-key
booleano
chaves est disponvel.
a chave uma chave
is-openpgp-key
booleano
OpenPGP (true), ou uma
chave S/MIME (false).
was-validated
booleano
a chave foi validada.
a chave tem exatamente
(prefixo = is), tem tudo
exceto (prefixo = is-not),
tem pelo menos
(prefixo = is-at-least),
ou tem no mximo
(prefixo = is-at-most) o
grau de confiana dado
2
prefixo-ownertrust
validade
como valor da chave de
configurao. Se for
indicada mais de uma chave
prefixo-ownertrust (com
vrios valores de prefixo)
num nico grupo, o
comportamento ser
indefinido.
igual ao
prefixo-ownertrust, mas
prefixo-validity
validade
para a validade da chave
em vez do grau de
confiana do dono.
Tabela 6.2: Chaves de Configurao do Filtro de Chaves que Definem Critrios de Filtragem
NOTA
Alguns dos critrios mais interessantes, como o is-revoked ou o is-expired s iro funcionar com
as chaves validadas, razo pela qual, por padro, s as chaves validadas so verificadas a nvel de
revogao e expirao, ainda que voc seja livre para remover estas verificaes adicionais.
Alm das chaves de configurao indicadas acima, um filtro de chaves poder tambm ter um id
e um match-contexts.
Se usar o id do filtro, o que corresponde ao nome do grupo de configurao do filtro se no for
indicado ou for vazio, voc poder referenciar o filtro de chaves mais tarde na configurao, por
exemplo na configurao da Janela do Kleopatra. O id no interpretado pelo Kleopatra; como
tal, pode usar o texto que desejar, desde que seja nico.
O match-contexts limita a possibilidade de aplicao do filtro. Esto definidos dois contextos
atualmente: o contexto appearance usado ao definir as propriedades de cores e tipos de fonte
2 A validade uma enumerao (ordenada) com os seguintes valores permitidos: unknown (desconhecido), undefined
(indefinido), never (nunca), marginal (relativa), full (completa), ultimate (mxima). Veja os manuais do GPG e do
GpgSM para uma explicao detalhada.
34
Manual do Kleopatra
das janelas. O contexto filtering usado para incluir (e excluir) de forma seletiva os certificados das janelas. O any pode ser usado para se aplicar a todos os contextos definidos atualmente,
sendo a opo padro se o match-contexts no for indicado ou se no produzir contextos de
outra forma. Isto garante que nenhum filtro de chaves poder terminar morto, isto sem quaisquer contextos aplicados.
O formato do item uma lista de elementos separados por caracteres separadores de palavras.
Cada um destes elementos antecedido opcionalmente de um ponto de exclamao (!), o que
indica uma negao. Os elementos atuam em ordem sobre uma lista de contextos interna, que
comea inicialmente vazia. Isto melhor explicado com um exemplo: any !apperance o mesmo
que filtering, assim como appearance !appearance produz um conjunto vazio, uma vez que
corresponde a !any. Contudo, os dois ltimos sero substitudos por any, uma vez que no
produzem quaisquer contextos.
De um modo geral, os critrios no indicados (isto o item de configurao no est definido)
no so validados. Se um critrio for indicado, validado e ter de corresponder para que o filtro
como um todo seja validado, isto os critrios so agrupados com um E lgico.
Cada filtro tem uma especificidade implcita que usada para classificar todos os filtros correspondentes. Os filtros mais especficos tm precedncia sobre os menos especficos. Se dois
filtros tiverem a mesma especificidade, o que vier primeiro no arquivo de configurao ganha. A
especificidade de um filtro proporcional ao nmero de critrios que contm.
Example 6.1 Exemplos de filtros de chaves
Para verificar todos os certificados expirados mas no revogados, voc iria usar um filtro de
chaves definido da seguinte forma:
[ Key Filter #n]
Name = expirada mas no revogada
was - validated = true
is - expired = true
is - revoked = false
is - root - certificate = true
; ( specificity 4 )
Para verificar todas as chaves OpenPGP desativadas (ainda no suportado pelo Kleopatra) com
um grau de confiana pelo menos relativa, voc iria usar:
[ Key Filter #n]
Name = chaves de OpenPGP desativadas com confiana relativa ou boa
is - openpgp = true
is - disabled = true
is -at - least - ownertrust = marginal
; ( specificity 3 )
6.3
O Kleopatra permite ao administrador (e aos usurios especializados) configurar a lista de arquivadores que esto presentes na janela para Assinar/Criptografar os Arquivos.
Cada arquivador est definido no libkleopatrarc como um grupo Archive Definition #n separado, com as seguintes chaves obrigatrias:
extensions
Uma lista, separa por vrgulas, das extenses de arquivos que indicam normalmente este
formato de arquivo.
35
Manual do Kleopatra
id
Um ID nico que usado para identificar este arquivador internamente. Em caso de dvida, use o nome do comando.
Name (traduzido)
O nome visvel para o usurio do arquivador, tal como aparece na lista correspondente na
janela para Assinar/Criptografar os Arquivos.
pack-command
O comando real usado para arquivar os arquivos. Voc poder usar qualquer comando,
desde que no seja necessria qualquer linha de comando para execut-lo. O programa
pesquisado com a varivel de ambiente PATH, a menos que tenha usado uma localizao
absoluta para o arquivo. Existe o suporte para aspas, caso tenha sido utilizada uma linha
de comando:
pack - command ="/ opt / ZIP v2 .32/ bin / zip " -r -
NOTA
Uma vez que a barra invertida (\) um caractere de escape nos arquivos de configurao do KDE,
voc ter que duplic-los quando aparecerem nos nomes dos arquivos:
6.3.1
Existem trs formas de passar os nomes dos arquivos ao comando de arquivo. Para cada uma
delas, o pack-command oferece uma sintaxe em particular:
1. Como argumentos da linha de comando.
Exemplo (tar):
pack - command = tar cf -
Exemplo (zip):
pack - command = zip -r - %f
36
Manual do Kleopatra
Nesse caso, os nomes dos arquivos so passados na linha de comando, tal como faria ao
usar a linha de comando. O Kleopatra no usa nenhuma linha de comando para executar
o comando. Assim, esta uma forma segura de passar os nomes dos arquivos, mas que
poder ter algumas restries quanto ao tamanho da linha de comando em algumas plataformas. Um %f literal, se estiver presente, ser substitudo pelos nomes dos arquivos a
arquivar. Caso contrrio, os nomes dos arquivos sero adicionados linha de comando.
Assim, o exemplo para o ZIP, acima descrito, seria escrito de forma equivalente da seguinte
forma:
pack - command = zip -r -
Exemplo (ZIP):
pack - command =| zip -@ -
Nesse caso, os nomes dos arquivos so passados ao programa de arquivo pelo stdin, um
por cada linha. Isso evita os problemas nas plataformas que colocam um limite baixo no nmero de argumentos permitido pela linha de comando, mas no resulta quando os nomes
dos arquivos contm de fato mudanas de linha nos seus nomes.
NOTA
O Kleopatra s suporta no momento o LF como separador de linhas, no suportando o CRLF.
Isto poder mudar nas prximas verses, dependendo das reaes do usurio.
Esse igual ao anterior, com a diferena que so usados bytes NUL (vazios) para separar
os nomes dos arquivos. Uma vez que os bytes NUL so proibidos nos nomes dos arquivos,
esta a forma mais robusta de passar nomes de arquivos, s que infelizmente nem todos
os programas a suportam.
6.4
O Kleopatra permite ao administrador (e aos usurios especializados) configurar a lista de programas de gerao de cdigos de validao de integridade que o usurio poder escolher, a partir
da janela de configurao, desde que o Kleopatra consiga detectar automaticamente, quando for
pedido para verificar o cdigo de integridade de um determinado arquivo.
37
Manual do Kleopatra
NOTA
Para poder ser usado pelo Kleopatra, o resultado dos programas de validao (tanto o arquivo de
cdigos salvo, como o resultado para o stdout, na verificao dos cdigos de validao) ter que ser
compatvel com os comandos da GNU md5sum e sha1sum.
De uma forma especfica, o arquivo de cdigos de validao ser composto por vrias linhas, tendo
cada uma delas o seguinte formato:
ARQUIVO ( : OK | : FAILED )
, separado por mudanas de linha. Estas e os outros caracteres no so escapados no resultado.a
a Sim, estes programas no foram feitos com as interfaces grficas em mente, assim o Kleopatra no conseguir
processar os arquivos patolgicos que contenham : OK e uma mudana de linha no seu nome.
Cada programa de validao est definido no libkleopatrarc como um grupo Checksum Defin
ition #n separado, com as seguintes chaves obrigatrias:
file-patterns
Uma lista de expresses regulares que descrevem quais os arquivos que podero ser considerados arquivos de validao de integridade para este programa em particular. A sintaxe
a mesma que usada para as listas de textos nos arquivos de configurao do KDE.
NOTA
Uma vez que as expresses regulares normalmente contm barras invertidas, deve-se ter algum
cuidado em escap-las tambm no arquivo. Recomenda-se a utilizao de uma ferramenta de
edio de arquivos de configurao.
Manual do Kleopatra
verify-command
igual ao create-command, mas usado na verificao dos cdigos de validao de integridade.
Aqui est um exemplo completo:
[ Checksum Definition #1]
file - patterns = sha1sum . txt
output - file = sha1sum . txt
id = sha1sum - gnu
Name = sha1sum ( GNU )
Name [ de ]= sha1sum ( GNU )
...
create - command = sha1sum -- %f
verify - command = sha1sum -c -- %f
39
Manual do Kleopatra
Captulo 7
Crditos e licena
Direitos autorais do Kleopatra 2002 Steffen Hansen, Matthias Kalle Dalheimer e Jesper Pedersen,
2004 Daniel Molkentin, 2004, 2007, 2008, 2009, 2010 Klarlvdalens Datakonsult AB
Direitos autorais da documentao 2002 Steffen Hansen, copyright 2004 Daniel Molkentin, copyright 2004, 2010 Klarlvdalens Datakonsult AB
C ONTRIBUIDORES
Marc Mutz mutz@kde.org
David Faure faure@kde.org
Steffen Hansen hansen@kde.org
Matthias Kalle Dalheimer kalle@kde.org
Jesper Pedersen blackie@kde.org
Daniel Molkentin molkentin@kde.org
Traduo de Marcus Gama marcus.gama@gmail.com e Andr Marcelo Alvarenga alvarenga@kde.org
Esta documentao licenciada sob os termos da Licena de Documentao Livre GNU.
Este programa licenciado sob os termos da Licena Pblica Geral GNU.
40