Phil Zimmermann, PGP e o nascimento da criptografia pública para email

Por que o PGP importa além do email

PGP (Pretty Good Privacy) foi um ponto de inflexão: tornou a criptografia forte algo que pessoas comuns podiam realmente usar, não apenas governos, bancos ou laboratórios universitários. Mesmo que você nunca tenha criptografado um e‑mail, o PGP ajudou a normalizar a ideia de que privacidade não é um privilégio especial — é um recurso que o software pode e deve fornecer.

Por que o email virou campo de batalha

O email era (e ainda é) uma das formas mais comuns de compartilhar informação sensível: conversas pessoais, detalhes legais, atualizações médicas, planos de negócio. Mas os primeiros sistemas de email foram projetados mais como um cartão postal digital do que como um envelope selado. Mensagens frequentemente viajavam por múltiplos sistemas e ficavam armazenadas em servidores em forma legível; qualquer pessoa com acesso a esses sistemas — ou aos caminhos de rede entre eles — podia potencialmente visualizar ou copiar essas mensagens.

O PGP desafiou esse status quo ao dar aos indivíduos um jeito de proteger mensagens ponta a ponta, sem pedir permissão a provedores ou depender de uma única empresa para “fazer a coisa certa”. Essa mudança — colocar o controle nas mãos dos usuários — ecoa nos debates modernos sobre mensagens seguras, cadeias de fornecimento de software e direitos digitais.

O que este artigo vai cobrir

Vamos ver a história por trás da decisão de Phil Zimmermann de liberar o PGP, as ideias centrais que o fizeram funcionar, a controvérsia que gerou (incluindo pressão governamental) e as lições de longo prazo para as ferramentas de privacidade e segurança hoje.

Termos-chave, em linguagem simples

Criptografia: embaralhar informação para que apenas alguém com o segredo certo possa lê‑la.

Chaves: pedaços de informação usados para trancar e destrancar dados criptografados. Pense nelas como fechaduras digitais e chaves correspondentes.

Assinaturas: uma forma de provar que uma mensagem (ou arquivo) realmente veio de uma pessoa específica e não foi alterada — parecido com assinar um documento, mas verificável por software.

Esses conceitos alimentam mais que o email: sustentam confiança, autenticidade e privacidade na internet moderna.

Email antes do PGP: um problema de privacidade à vista de todos

No final dos anos 1980 e começo dos 1990, o email estava saindo de universidades e laboratórios e entrando em empresas e redes públicas. Parecia o envio de uma carta privada — rápido, direto e em grande parte invisível. Tecnicamente, era mais próximo de um cartão postal.

Por que o email era inseguro por padrão

Os primeiros sistemas de email foram construídos para conveniência e confiabilidade, não confidencialidade. Mensagens frequentemente passavam por múltiplos servidores (“hops”), e cada parada era uma oportunidade para cópia ou inspeção. Administradores podiam acessar caixas postais armazenadas, backups capturavam tudo, e encaminhar uma mensagem era trivial.

Mesmo quando você confiava na pessoa para quem escrevia, também confiava em cada máquina no caminho — e em cada política que governava essas máquinas.

“Confie na rede” parou de escalar

Quando o email vivia dentro de comunidades pequenas, a confiança informal funcionava. À medida que os sistemas cresceram e se interconectaram, essa suposição quebrou. Mais redes significavam mais operadores, mais configurações erradas, mais infraestrutura compartilhada e mais chances de que uma mensagem fosse exposta — acidentalmente ou deliberadamente.

Isso não era só sobre espiões. Era sobre realidades ordinárias: computadores compartilhados, contas comprometidas, insiders curiosos e mensagens armazenadas sem criptografia por anos.

Um modelo de ameaça realista (sem vilões de cinema necessários)

Antes do PGP, riscos comuns eram diretos:

• Bisbilhotagem: alguém lendo mensagens em trânsito ou a partir de caixas postais e backups.
• Alteração: modificar uma mensagem antes que chegue ao destinatário, às vezes de forma sutil.
• Personificação: enviar correio que parecia vir de outra pessoa, porque checagens de identidade eram fracas.

Em resumo, o email oferecia alcance e velocidade, mas pouca proteção para privacidade ou autenticidade. O PGP surgiu como resposta a essa lacuna: fazer com que “email privado” significasse algo concreto, e não apenas uma esperança.

O objetivo de Phil Zimmermann: ferramentas de privacidade para pessoas comuns

Phil Zimmermann era engenheiro de software e ativista pela paz que se preocupava com a velocidade com que comunicações pessoais se tornavam fáceis de monitorar. Sua crença central era simples: se governos, corporações e criminosos bem financiados podiam usar criptografia forte, então pessoas comuns também deveriam poder se proteger.

“Privacidade não é só para os poderosos”

Zimmermann não apresentou o PGP como um gadget para espiões ou um recurso de luxo para grandes empresas. Ele via a comunicação privada como parte das liberdades civis básicas — especialmente para jornalistas, dissidentes, grupos de direitos humanos e qualquer pessoa sob ameaça de vigilância. A ideia era tornar a criptografia forte prática para uso diário, em vez de algo fechado por acesso institucional ou ferramentas empresariais caras.

A acessibilidade importava tanto quanto o algoritmo

O impacto do PGP não foi apenas o uso de criptografia forte — foi que as pessoas podiam realmente obtê‑lo.

No início dos anos 1990, muitas ferramentas de segurança eram proprietárias, restritas ou simplesmente difíceis de conseguir. O PGP se espalhou porque foi distribuído amplamente e copiado com facilidade, mostrando como a distribuição de software pode ser política: quanto mais atrito você remove, mais normal o comportamento se torna. À medida que o PGP circulava por bulletin boards, servidores FTP e troca de discos, a criptografia deixou de ser um conceito acadêmico abstrato e se tornou algo que indivíduos podiam testar em suas próprias máquinas.

Um resultado documentado: a criptografia virou expectativa pública

A motivação declarada de Zimmermann — colocar ferramentas de privacidade nas mãos do público — ajudou a deslocar a criptografia de uma capacidade de nicho para um direito público contestado. Mesmo entre pessoas que nunca usaram o PGP diretamente, o projeto ajudou a normalizar a expectativa de que comunicação privada deveria ser tecnicamente possível, não apenas prometida por políticas.

Criptografia de chave pública, explicada sem matemática

Criptografia de chave pública soa técnica, mas a ideia central é simples: resolve o problema de “como compartilhar um segredo sem já ter um segredo?”.

Dois tipos de fechaduras: chave compartilhada versus chave pública

Criptografia simétrica é como ter uma única chave de casa que você e um amigo usam. É rápida e forte, mas há um momento constrangedor: você precisa entregar a chave ao amigo com segurança. Se você enviar a chave no mesmo envelope que a mensagem, quem abrir o envelope obtém tudo.

Criptografia de chave pública usa uma analogia diferente: um cadeado que qualquer um pode fechar, mas só você pode abrir.

• Você publica o cadeado (sua chave pública).
• Qualquer um pode prendê‑lo numa caixa (criptografar uma mensagem para você).
• Só você tem a chave única que o abre (sua chave privada).

Isso inverte o problema: você não precisa de um canal seguro para distribuir a parte que fecha.

Por que o compartilhamento de chaves ainda é a parte difícil

A criptografia de chave pública evita compartilhar um segredo inicialmente, mas introduz uma nova pergunta: como eu sei que aquela chave pública realmente pertence à pessoa que eu penso? Se um atacante te enganar fazendo você usar a chave pública dele, você vai criptografar mensagens diretamente para ele.

Esse desafio de checar identidades é por que o PGP também foca em verificação (mais tarde, a “rede de confiança”).

Como o PGP combina os dois para velocidade e praticidade

O PGP normalmente não criptografa textos longos diretamente com métodos de chave pública. Em vez disso, usa uma abordagem híbrida:

1. O PGP cria uma chave de sessão simétrica de uso único (rápida).
2. Criptografa a mensagem com essa chave de sessão.
3. Criptografa a chave de sessão com a chave pública do destinatário (seguro para compartilhar).

O que a criptografia protege — e o que não protege

O PGP pode proteger o conteúdo e pode provar quem assinou uma mensagem. Geralmente não esconde metadados de email (como linhas de assunto em alguns setups, carimbos de data/hora, destinatários) e não pode te defender se seu dispositivo ou caixa postal já estiver comprometido.

Como o PGP funciona na prática: chaves, criptografia e assinaturas

O PGP parece misterioso até você dividir em três ingredientes cotidianos: um par de chaves, criptografia e assinaturas. Quando você vê como essas peças se encaixam, a maior parte da “mágica” vira rotina — como trancar uma carta, selá‑la e assinar o envelope.

O par de chaves: sua fechadura pública e chave privada

Um par de chaves PGP são duas chaves relacionadas:

• Chave pública: segura para compartilhar. Pessoas a usam para criptografar mensagens para você.
• Chave privada: mantida em segredo. Você a usa para descriptografar essas mensagens e para criar assinaturas.

Em termos de email, sua chave pública é o cadeado que você distribui; sua chave privada é a única que consegue abri‑lo.

Criptografia vs. assinaturas: privacidade vs. prova

O PGP faz dois trabalhos diferentes que é fácil confundir:

• Criptografia (confidencialidade) garante que apenas o destinatário pretendido possa ler o conteúdo.
• Assinaturas digitais (autenticidade + integridade) provam que a mensagem foi escrita por quem detém uma chave privada específica e que não foi alterada em trânsito.

Você pode criptografar sem assinar (privado, mas não fortemente atribuível), assinar sem criptografar (público, mas verificável) ou fazer ambos.

Tarefas comuns: gerar, compartilhar e revogar

A maioria dos usuários acaba realizando um pequeno conjunto de tarefas recorrentes:

• Gerar um par de chaves, idealmente protegido com uma senha forte.
• Compartilhar sua chave pública (muitas vezes via um keyserver ou como anexo) e importar chaves públicas de outros.
• Revogar chaves quando um dispositivo é perdido, uma chave privada pode ter sido exposta, ou você está migrando para uma chave nova. Revogação é seu sinal de “essa chave não sou eu mais”.

Modos típicos de falha a observar

O PGP normalmente falha na camada humana: chaves privadas perdidas (você não consegue descriptografar emails antigos), chaves públicas não verificadas (você criptografa para um impostor) e senhas fracas (atacantes adivinham sua senha e obtêm a chave privada). As ferramentas funcionam melhor quando verificação de chave e backups são parte do fluxo de trabalho, não um pensamento posterior.

A rede de confiança: identidade descentralizada antes das plataformas sociais

O PGP não precisava apenas de um jeito de criptografar mensagens — precisava de um jeito das pessoas saberem de quem era a chave que estavam usando. Se você criptografa um email para a chave errada, pode estar enviando segredos a um impostor.

O problema de identidade que ele tenta resolver

A “rede de confiança” é a resposta do PGP para verificação de identidade sem autoridade central. Em vez de depender de uma única empresa ou autoridade governamental para atestar identidades, os usuários atestam uns aos outros. A confiança vira algo construído por relacionamentos humanos: amigos, colegas, comunidades e encontros presenciais.

O que significa assinar a chave de outra pessoa

Quando você “assina” a chave pública de outra pessoa, está adicionando seu endosso digital de que a chave pertence àquela pessoa (geralmente após checar um documento de identidade e confirmar a impressão digital da chave). Essa assinatura não torna a chave automaticamente segura para todos — mas dá a outros um ponto de dados.

Se alguém confia em você, e vê que você assinou a chave da Alice, pode decidir que a chave da Alice é provavelmente autêntica. Com o tempo, muitas assinaturas sobrepostas podem criar confiança na identidade de uma chave.

Forças — e por que continuou difícil

O lado positivo é a descentralização: nenhum único guardião pode revogar acesso, emitir silenciosamente uma chave substituta ou virar um ponto único de falha.

O lado negativo é usabilidade e atrito social. Pessoas precisam entender impressões digitais, servidores de chave, passos de verificação e o ato no mundo real de checar identidade. Essa complexidade afeta os resultados de segurança: quando a verificação parece inconveniente, muitos usuários a pulam — reduzindo a rede de confiança a “baixar uma chave e torcer”, o que enfraquece a promessa de comunicação segura.

Quando a criptografia virou política: controles de exportação e pressão

O PGP não chegou num ambiente neutro. No início dos anos 1990, o governo dos EUA tratava criptografia forte como tecnologia estratégica — mais próxima de equipamento militar do que de software de consumo. Isso significava que criptografia não era apenas um recurso técnico; era um problema de política.

Controles de exportação, em termos simples

Na época, regras de exportação dos EUA restringiam o envio de certas ferramentas criptográficas e “munições” para o exterior. Na prática, software usando criptografia forte podia ser sujeito a licenciamento, limites de força de chave ou barreiras diretas à distribuição internacional. Essas políticas foram modeladas por suposições da era da Guerra Fria: se adversários pudessem usar criptografia forte facilmente, a coleta de inteligência e operações militares se complicariam.

Por que a criptografia foi enquadrada como questão de segurança nacional

Do ponto de vista de segurança nacional, o acesso amplo à criptografia forte levantava uma preocupação simples: poderia reduzir a habilidade do governo de monitorar comunicações de alvos estrangeiros e criminosos. Legisladores temiam que, uma vez amplamente disponível, não seria possível “enfiar o gênio de volta na garrafa”.

Advogados da privacidade viam a mesma realidade ao contrário: se pessoas comuns não pudessem proteger suas comunicações, privacidade e liberdade de expressão permaneceriam frágeis — especialmente com mais aspectos da vida movendo‑se para computadores em rede.

Como o PGP desafiou o status quo

O modelo de distribuição do PGP colidiu com esses controles. Foi desenhado para usuários comuns e se espalhou rapidamente por compartilhamento online — espelhos, bulletin boards e comunidades da internet — tornando difícil tratá‑lo como um produto exportável tradicional. Ao transformar criptografia forte em software amplamente disponível, o PGP testou se regras antigas poderiam realisticamente governar código que podia ser copiado e publicado globalmente.

O resultado foi pressão sobre desenvolvedores e organizações: criptografia deixou de ser tópico acadêmico de nicho e virou debate político público sobre quem deveria ter acesso a ferramentas de privacidade — e sob quais condições.

A investigação sobre o PGP e a mensagem para desenvolvedores

O PGP não apenas introduziu criptografia de email ao público — também desencadeou uma investigação governamental que transformou o lançamento de um software numa manchete.

Do que a investigação tratava (em termos simples)

No início dos anos 1990, os EUA tratavam criptografia forte como tecnologia militar. Enviá‑la para o exterior podia cair sob regras de exportação. Quando o PGP se espalhou rapidamente — espelhado em servidores e compartilhado além das fronteiras — autoridades abriram uma investigação criminal para saber se Phil Zimmermann havia exportado ilegalmente criptografia.

O argumento básico de Zimmermann era direto: ele publicou software para pessoas comuns, não armas. Apoidores também apontaram uma realidade desconfortável: uma vez online, código é effortless to copy. A investigação não era apenas sobre a intenção de Zimmermann; era sobre se o governo podia impedir que ferramentas de privacidade poderosas circulassem.

O sinal que enviou a criadores de tecnologia de privacidade

Para desenvolvedores e empresas, o caso foi um aviso: mesmo que seu objetivo seja a privacidade do usuário, você pode ser tratado como suspeito. Essa mensagem importou porque moldou comportamentos. Equipes considerando criptografia ponta a ponta tiveram que ponderar não só o esforço técnico, mas exposição legal, risco de negócio e potencial atenção de reguladores.

Esse é o problema do “efeito inibidor”: quando o custo de ser investigado é alto, pessoas evitam construir ou publicar certas ferramentas — mesmo se legais — porque o transtorno e a incerteza por si só podem ser punitivos.

Como a cobertura da mídia moldou o entendimento público

A imprensa muitas vezes enquadrou o PGP como escudo para criminosos ou tábua de salvação para liberdades civis. Essa narrativa simplificada pegou, e influenciou como a criptografia foi discutida por décadas: como um trade‑off entre privacidade e segurança, em vez de um recurso básico de segurança que protege todos (jornalistas, empresas, ativistas e usuários comuns).

A investigação foi eventualmente encerrada, mas a lição permaneceu: publicar código de criptografia podia ser um ato político, queira você ou não.

O debate moderno sobre privacidade: o que o PGP ajudou a inflamar

O PGP não apenas adicionou uma nova camada de segurança ao email — forçou um argumento público sobre se comunicação privada deveria ser normal para todos ou reservada a casos especiais. Uma vez que pessoas comuns puderam criptografar mensagens num computador pessoal, a privacidade deixou de ser princípio abstrato e virou escolha prática.

Privacidade vs. segurança pública: a tensão central

Apoiadores da criptografia forte argumentam que privacidade é um direito básico, não um privilégio. A vida cotidiana contém detalhes sensíveis — problemas médicos, registros financeiros, assuntos familiares, negociações comerciais — e exposição pode levar a assédio, perseguição, roubo de identidade ou censura. Dessa perspectiva, a criptografia se aproxima mais de “portas trancáveis” do que de “túneis secretos”.

Agências de aplicação da lei e de segurança respondem com outra preocupação: quando comunicação fica inacessível, investigações podem atrasar ou falhar. Elas temem o “going dark”, onde criminosos coordenam‑se fora do alcance legal. Essa ansiedade não é imaginária; a criptografia pode reduzir visibilidade.

Criptografia não é intenção criminosa

O PGP ajudou a esclarecer uma distinção chave: querer privacidade não é o mesmo que planejar dano. Pessoas não precisam “provar inocência” para merecer confidencialidade. O fato de alguns atores maus usarem criptografia não torna a criptografia em si suspeita — assim como criminosos usando telefones não tornam os telefones inerentemente criminais.

Padrões padrão são política

Uma lição duradoura da era PGP é que escolhas de design viram escolhas políticas. Se a criptografia for difícil de usar, escondida atrás de avisos ou tratada como avançada, menos pessoas a adotarão — e mais comunicação permanecerá exposta por padrão. Se opções seguras forem simples e normais, privacidade torna‑se expectativa diária em vez de exceção.

O impacto duradouro do PGP no open source e na integridade de software

O PGP é frequentemente lembrado como “criptografia de email”, mas seu legado maior pode ser como normalizou uma ideia simples no software: não baixe código sem verificar. Ao tornar assinaturas criptográficas acessíveis fora de círculos militares e acadêmicos, o PGP ajudou projetos open source a desenvolver hábitos que depois se tornaram centrais para a segurança da cadeia de suprimentos de software.

Assinaturas como contrato social

Open source funciona com confiança entre pessoas que talvez nunca se encontrem. Assinaturas PGP deram a mantenedores um jeito prático de dizer “esta versão realmente veio de mim”, e deram aos usuários uma forma de checar essa afirmação independentemente.

Esse padrão se espalhou em fluxos de trabalho diários:

• Assinar releases (tarballs, zips, pacotes) para que usuários possam verificar autoria
• Verificar downloads para detectar adulteração em mirrors, servidores comprometidos ou ataques man‑in‑the‑middle
• Assinar tags de commit e notas de release para conectar a “identidade humana” de um mantenedor a um build específico

Se você já viu um projeto publicar um arquivo .asc junto a um download, essa é cultura PGP em ação.

Por que escrutínio público importou

O PGP também reforçou algo que o open source já valorizava: revisão por pares. Quando ferramentas e formatos são públicos, mais pessoas podem inspecioná‑los, criticá‑los e melhorá‑los. Isso não garante perfeição — mas eleva o custo de backdoors escondidos e torna falhas silenciosas mais difíceis de manter.

Com o tempo, essa mentalidade alimentou práticas modernas como reproducible builds (para que outros confirmem que um binário corresponde ao seu código‑fonte) e pensamento mais formal sobre “cadeia de custódia”. Se quiser uma introdução suave a esse problema mais amplo, isso combina bem com /blog/software-supply-chain-basics.

Uma nota prática para construtores modernos

Mesmo se você constrói rapidamente usando fluxos de trabalho mais novos — como plataformas vibe‑coding que geram apps full‑stack a partir de chat — ainda se beneficia da disciplina da era PGP de releases verificáveis. Por exemplo, equipes usando Koder.ai para montar frontends React com um backend Go + PostgreSQL (e exportar o código‑fonte para seus próprios pipelines) ainda podem assinar tags, assinar artefatos de release e manter uma cadeia de custódia clara de “código gerado” a “build implantado”. Velocidade não precisa significar pular integridade.

O PGP não resolveu a integridade de software por si só, mas deu aos desenvolvedores um mecanismo durável e portátil — assinaturas — que ainda ancoram muitos processos de release e verificação hoje.

Usabilidade vs. segurança: por que o PGP permaneceu poderoso mas de nicho

O PGP provou que criptografia forte de email podia ser colocada nas mãos de pessoas comuns. Mas “possível” e “fácil” são coisas diferentes. O email é um sistema com décadas, projetado para entrega aberta, e o PGP adiciona segurança como uma camada opcional — que os usuários precisam manter ativamente.

Por que nunca pareceu sem esforço

Para usar o PGP bem, você precisa gerar chaves, proteger sua chave privada e garantir que contatos tenham a chave pública certa. Nada disso é difícil para um especialista, mas é muito pedir a alguém que só quer enviar uma mensagem.

O email também não tem noção embutida de identidade verificada. Um nome e um endereço não provam quem controla uma chave, então usuários precisam aprender novos hábitos: impressões digitais, servidores de chave, certificados de revogação, datas de expiração e entender o que uma “assinatura” realmente confirma.

Pontos de dor no mundo real

Mesmo após a configuração, eventos cotidianos geram atrito:

• Verificação de chave: comparar impressões digitais pessoalmente ou por outro canal é seguro, mas requer coordenação extra.
• Mudanças de dispositivo: novo laptop, telefone perdido ou reinstalação do sistema pode significar migrar chaves com segurança — ou perder acesso a emails antigos.
• Carga de suporte: quando algo quebra (chave errada, expirada, falta de chave privada), não há botão “resetar senha”. Amigos viram help desk.

Como mensageiros seguros modernos mudaram expectativas

Apps de mensagens seguras normalmente escondem o gerenciamento de chaves das vistas do usuário, sincronizando automaticamente identidade entre dispositivos e avisando sobre mudanças de segurança (por exemplo, quando um contato reinstala o app). Essa experiência mais suave é possível porque o app controla todo o ambiente — identidade, entrega e criptografia — enquanto o email continua uma federação solta de provedores e clientes.

Como são bons padrões padrão

Ferramentas que respeitam a privacidade têm sucesso quando minimizam decisões que o usuário precisa tomar: criptografar por padrão quando possível, fornecer avisos claros em linguagem humana, oferecer opções seguras de recuperação e reduzir a dependência de manejo manual de chaves — sem fingir que verificação não importa.

O PGP hoje: quando usar e quando escolher alternativas

O PGP já não é mais a resposta padrão para comunicação privada — mas ainda resolve um problema específico melhor que a maioria das ferramentas: enviar email verificável e criptografado ponta a ponta entre organizações sem exigir que ambos os lados estejam na mesma plataforma.

Onde o PGP ainda se encaixa

O PGP continua útil quando o email é inevitável e a rastreabilidade de longo prazo importa.

• Jornalistas e ativistas: comunicar‑se com fontes que não conseguem instalar um novo app, mantendo criptografia e verificação de identidade.
• Fluxos de conformidade: trocar documentos sensíveis por email com parceiros em ambientes regulamentados, onde trilhas de auditoria e propriedade de chaves são importantes.
• Arquivos e registros: criptografar arquivos para armazenamento por anos, onde você possa precisar provar quem assinou uma mensagem ou documento.

Quando outras opções podem ser melhores

Se seu objetivo é um chat privado de baixo atrito, o PGP pode ser a ferramenta errada.

• Mensageiros seguros (por exemplo, sistemas no estilo Signal) geralmente oferecem configuração mais simples, verificação de contatos e padrões padrão mais seguros.
• Portais seguros costumam ser melhores para empresas que enviam documentos a clientes: menos erros de gerenciamento de chaves e controles de acesso mais claros.

Se você está avaliando essas opções para uma equipe, ajuda comparar esforço operacional e necessidades de suporte junto com custo (veja /pricing) e revisar suas expectativas de segurança (/security).

Um checklist simples para adotar o PGP com responsabilidade

Falhas com PGP são frequentemente falhas de processo. Antes de implantá‑lo, confirme que você tem:

1. Treinamento: conceitos básicos (público vs privado, verificação de impressões digitais, assinar vs criptografar).
2. Políticas: quando a criptografia é obrigatória, como chaves são aprovadas e como lidar com perda de acesso.
3. Backups e recuperação: backups protegidos de chaves, propriedade clara e plano para saídas de pessoal.
4. Higiene de chaves: datas de expiração, regras de rotação e certificados de revogação armazenados com segurança.
5. Prática de verificação: um método consistente para confirmar identidades (não apenas “recebi sua chave por email”).

Usado com pensamento, o PGP ainda é uma ferramenta prática — especialmente quando o email é o denominador comum e a autenticidade importa tanto quanto o segredo.