id: Гость   вход   регистрация
текущее время 23:13 28/03/2024
Автор темы: Olaf, тема открыта 10/06/2006 17:19 Печать
создать
просмотр
ссылки

Переход с PGP 6 на GPG


До последнего времении вынужденно сохранялась конфигурация Windows2000 + PGP6, т.к. необходимо интегрировать функции шифрования/подписи в СУБД приложения. 6-я версия PGP была последней (по моим, возможно ошибочным, сведениям), предоставлявшей интегрируемые функции шифрования/подписи.
В любом случае, стоит задача перехода на WindowsXP и, желательно, open source. Осваиваю GPG, масса вопросов.


Пока стоят следующие проблемы:
Основная: не исполняется (но проверяется на ошибки) C:\Program Files\GNU\GnuPG\gpg.conf. Кстати, после инсталляции он не возник, его пришлось писать руками.
1. Ключи перемещены на защищенный диск.

Ключи не находятся.
Пока вопрос нахождения ключей решен вводом переменной окружения GNUPGHOME, но это не нравится. Также возможно добавить запись в реестр, что также сомнительно, т.к. не хочется так явно указывать на расположение ключей.
Если в командной строке gpg.exe указать параметр --homedir, то появляются дополнительные предупреждающие сообщения, требующие интерактивного подтверждения (типа, нет подтверждения, что ключ принадлежит указанному ID): пакетный режим не работает.


2.
Библиотека IDEA не работает. Точнее, поддерживается только симметричный шифр IDEA. Как я понимаю, должно быть еще и ассиметричное кодирование.


3. При расшифровке сообщения, закодированного и подписанного PGP (или GPG – не важно), после проверки подписи появляется строка: "message was not integrity protected". PGP расшифровывает без проблем.
не работает.


Как заставить исполняться gpg.conf? Может, у него специальный формат есть, типа заголовка?


 
Комментарии
— sentaus (11/06/2006 10:16)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
homedir d:\GPG\

Этот параметр игнорируется в gpg.conf, его можно только указывать в командной строке. Можно еще параметры keyring, --secret-keyring, --trustdb-name использовать.

Что значит не работает пакетный режим? Не помогают даже ключи --batch, --no-ty, --yes, --no?

<!
escaped><blockquote><!escaped> Библиотека IDEA не работает. Точнее, поддерживается только симметричный шифр IDEA.
<!
escaped></blockquote><!escaped-->
Работает. Это всё, что она предоставляет.
— SATtva (11/06/2006 11:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Пока стоят следующие проблемы:
Основная: не исполняется (но проверяется на ошибки) C:\Program Files\GNU\GnuPG\gpg.conf. Кстати, после инсталляции он не возник, его пришлось писать руками.

Странно. Какая у Вас версия GnuPG? И почему файл конфигурации должен создаваться в каталоге Program Files? Это прерогатива папок пользовательского профиля в Documents and Settings. В противном случае использование GPG в контексте пользователя с урезанными правами будет проблематично.

Пока вопрос нахождения ключей решен вводом переменной окружения GNUPGHOME, но это не нравится.

В чём проблема с переменной окружения, какие видите минусы? GNUPGHOME как раз и позволяет GPG определить, где хранится файл конфигурации. А расположение связок ключей можно задать в gpg.conf.

В своей частной Windows-системе я использую такую схему:

1. В Program Files располагаются только исполняемые файлы приложения.

2. В системных переменных окружения прописывается GNUPGHOME с указанием на некоторый каталог (это может быть и подключаемый внешний носитель). Можно использовать и переменные среды пользователя, если это многопользовательская машина, и необходимо несколько различных конфигурации GnuPG (или ролевые конфигурации для одного пользователя).

3. В gpg.conf добавляем следующие параметры:

Если Вы используете внешний носитель с доступом только для чтения (miniCD, кримеру), то связку открытых ключей разумнее оставить на жёстком диске в любом на Ваше усмотрение каталоге. Связку закрытых ключей в любом случае стоит перенести на внешний носитель. Если же предполагается использовать флэшку, обе связки можно разместить на ней.

Кроме того, с помощью команд keyring и secret-keyring можно задать несколько различных связок, размещённых в разных местах: какие-то могут всё время храниться на жёстком диске, какие-то — подключаться на внешнем носителе только по крайней необходимости.

Точнее, поддерживается только симметричный шифр IDEA. Как я понимаю, должно быть еще и ассиметричное кодирование.

IDEA — это алгоритм симметричного шифрования. Ничего другого Вы от него не добьётесь.

При расшифровке сообщения, закодированного и подписанного PGP (или GPG – не важно), после проверки подписи появляется строка: "message was not integrity protected"

Это справедливо только для старых версий PGP, где не реализован код выявления изменений. Скрыть эти предупреждения можно командой no-mdc-warning в gpg.conf. Если не работает, то, видимо, GnuPG не может выяснить, где расположен верный файл конфигурации.
— Olaf (11/06/2006 16:01)   профиль/связь   <#>
комментариев: 2   документов: 1   редакций: 0
sentaus:
Что значит не работает пакетный режим? Не помогают даже ключи batch, --no-ty, --yes, --no?
<!
escaped></blockquote><!escaped-->
Именно так: поставил параметры --homedir --batch --yes, выдает ошибку. Но это уже не актуально.

Понял свои ошибки:
1. gpg.conf нужно располагать в директории GNUPGHOME
2. IDEA мне не нужен)
Над расположением связок ключей подумаю. Спасибо за советы в этой и других ветках.

Установил GPG4win + TrueCrypt и почти получил необходимую функциональность PGP.

WInPT сразу не пошла, т.к. не может найти связки ключей( Предалагает сгенерировать новые или скопировать из другого места. Обновил отдельно до версии 0.12.3. Вроде, помогло.

GPGshell показался более продвинутым, но нет плагина Outlook.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3