Хранение ключей
Здравствуйте!
Есть идея хранить файлы ключей на сменном носителе (например CD), что бы было меньше вероятности кражи секретного ключа программой шпионом. Т.е. на винчестере ключ не хранится совсем, а на то время, когда ключ нужен для использования диск вставляется в привод на небольшое время. Эта же идея на мой взгляд актуальна и для PGP.
Можно ли как-то реализовать эту идею?
Вий, можно. Путь до папки с ключами и настройками GnuPG указывается через реестр или системную переменную:
[quote:dff4cfca6c="GnuPG 1.4.2 README-W32.txt"]Home directory:=
[...]
Being only a default, it may be changed by setting the name of the home directory into the Registry under the key HKEY_CURRENT_USER\Software\GNU\GnuPG using the name "HomeDir". If an environment variable "GNUPGHOME" exists, this even overrides the registry setting. The command line option "--homedir" may be used to override all other settings of the home directory.
]>
Потом дайте команду gpg --version и проверьте значение Home:.
Спасибо! :)
Привет всем, я тут новенький...
У меня вот вдогонку вопрос.
Чем вообще чревато попадание в чужие руки моего секретного ключа?
Здавствуйте!
Тем, что вся Ваша шифрованная этим ключом (точнее говоря открытым ключом, соответствущим данному секретному ключу) информация может быть прочитана посторонними людьми. Правда секретный ключ еще и сам пор себе зашифрован, и без применения пароля им не воспользуешься, но все равно принято считать именно так (Ваш пароль могли украсть еще до кражи ключа например, или подобрать, если Вы применили короткий или легко угадываемый вариант). Читайте раздел "Управление ключами"[link1].
Кроме того это может грозить тем, что похитители ключа смогут проставлять ЭЦП от Вашего имени.
Это возможно даже без знания пароля(ключеврй фразы)? Или знать его всё-же злоумышленнику необходимо?
Да, знать пароль необходимо. Сикреткей бесполезен без знания пароля. Обратите внимание – при генерации ключей вас не просят ввести password, вас просят ввести passphrase.
Подобрать фразу весьма.... весьма... в отличии от простого пароля.
Кроме этого, если взломщик измудрился поставить сниффер к вам на комп, то он сворует и секретный ключ при первом же запуске его с CD. Буквы набранные на клавиатуре ведь вроде бы тоже улетают в атмосфэру... И тем не менее их можно отловить и направить в отдельный файл. Почему же то же самое нельзя проделать и с секретным ключом? При всём при этом, при инсталляции PGP он нахально создаёт директорию с ключами в архиизвестной папке Мои документы, а не предлагает выбрать дискету (предлагает указать место, если ключи уже есть).
Мне кажется, тема надумана и не повышает безопасность системы.
http://www.pgpru.com/forum/viewtopic.php?t=1296
см. сообщение 23:01:23 07.01.06
Съёмные носители с ключевой информацией используют обычно:
1) Для расшифрования диска до загрузки основной части ОС.
2) Для расшифрования домашней директории сразу после удачного логина в систему.
3) В системах с жестким контролем доступа к устройствам.
Ключи PGP попадают только в третий пункт.
А вот попадает ли под них сама система?
Здравствуйте!
Скажите пожалуйста, какие файлы нужно копировать из директории C:\Program Files\GNU\GnuPG, чтобы перенести секретные ключи на съёмный носитель?
Нужно переносить и секретные и открытые ключи?
Можно ли перенести их на токен?
С уважением.
secring.gpg – файл секретных ключей
pubring.gpg – файл открытых ключей
gpg.conf – файл конфигурации
И файлы отзыва ключей, если имеются.
Kent, спасибо за ответ.
Получается, на съёмный носитель нужно переносить и откырые, и закрытые ключи.
А если на токен перенести – там до 64 кб памяти?
pubring.gpg файл занимает 147 кб.
pubring – это связка открытых ключей тех лиц, с которыми вы можете вести крипто-общение. Когда вы шифруете письмо г-ну Х, то его паблик-кей вы берёте именно из этой связки. Проведите там ревизию и выкиньте все не нужные вам паблик-ключи.
Токен, смарт-карта (аппаратный ключ)[link2] — это не просто носитель данных, на него нельзя просто скопировать файлы ключей, чтобы всё заработало.
Во-первых, GnuPG поддерживает только смарт-карты OpenPGP. Мне их в открытой продаже встречать не приходилось, только по заказам из g10. Во-вторых, если уж дело доходит до работы со смарт-картами, то на них импортируется (или генерируются непосредственно на карте) только материал ключей, а не сертификаты ключей, которые и занимают на диске большего всего места.
Observer, SATtva,
Спасибо Вам за ответы.
При генерации ключа pgp действительно просит ввести passphrase, но при этом допускает ввод не менее 8 символов, т.е. среднестатистический пользователь на свое усмотрение может применить и обычный пароль. По своему опыту могу сказать, что я угадал пароль (правда не фразу) своего друга, который при этом был уверен, что это сделать крайне сложно (он сам произносил его не единожды в контексте посторонних бесед!). Все было оформлено спором на бутылку коньяка, правда бутылку пили все равно вместе. :) (да и покупали то же)
Что касается тотального перебора, то я думаю, что здесь дело так же в алгоритме, который преобразует пароль/фразу в ключ. В моем видении грамотно построенный алгоритм перебора ключей должен перебирать ключи определенными последовательностями. У Шнайера написано:
8-и байтовый пароль (36 строчных букв + цифры) вскрывается грубой силой 33 дня
8-и байтовый пароль (95 печатаемых символов) вскрывается грубой силой за 210 лет. Но это при 1000000 проверок в секунду.
Значит алгоритм должен первым делом проверить те ключи, которые могут попасть в поле 33-дневного поиска и т.д.
Согласен, однако при этом к подбору парольной фразы то же нужен правильный подход. Например думаю нетрудно угадать фразу "Учиться, учиться и еще раз учиться!" или "Молилась ли ты на ночь, Дездемона?".
Если я правильно понял то, что написано у Шнайера, то думаю для достижения очень надежной защиты информации должно быть так:
Если хеш, перемалывающий фразу в ключ имеет выходную длину 128 бит, то и длина фразы должна быть соответствющей для достижения достаточной энтропии полученного ключа при обязательном условии случайности фразы.
ну, перенесите на флешку
ivlad,
спасибо.
Думаю, так и сделаю.
С уважением.
С токена украсть ключ очень сложно (если не физически украсть сам токен конечно), с флешки копируется самым обычным образом. Это то же учитывайте.
Здравствуйте, Вий.
Скажите, разве GnuPG поддерживает работу с токенами?
Aladdin eToken — нет.
GnuPG поддерживает только такие смарт-карты[link3].
Мыколка, здравствуйте.
Об использовании смарт карт[link4] очень хорошо написано в руководстве, почитайте и очень хорошо будете понимать суть вопроса.
Данный сайт вообще отличает наличие хорошо прописанных для понимания руководств + форум, где можно получить очень квалифицированную помощь. Но обязательно читайте руководства, просто из них Вы почерпнете наибольшее количество знаний.
Здравствуйте, Гость,
Прочитал – спасибо Вам за ссылку.
Вопрос о совместимости GnuPG с токенами и смарткартами для меня прояснился.
Lustermaf написал, что GnuPG поддерживает только OpenPGP смарт-карты.
Получается, что главная сложность – достать такую карту.
Понял, но всё равно спасибо, что ответили.
gpg.conf – это файл из папки Application Data\GnuPG?
Но ведь всё его содержимое – слово comment ""
Если использовать флеш-память, то нужно переместить эти 3 файла, внести в GnuPG новое значение Home – и всё? Ключи будут храниться на флеш-памяти, но не на компьютере?
Конечно извините, что надоедаю расспросами.
У меня в файле gpg.conf 17 строк. Туда можно много чего написать.
HomeDir прописана в реестре по адресу:
HKCU\Software\GNU\GnuPG\\HomeDir
Впишите туда путь к съёмному носителю (флешке) и переместите файлы.
Kent, спасибо!
IMHO, в контексте безопасности лучше на cd запистаь не только файлы таблиц ключей, но и файл настроек плюс сам GnuPG.
Это снизит еще и вероятность подмены исполнимых файлов.
Секретный ключ поможет защитить хорошая пароольная фраза.
Кстати говоря, а GnuPG поддерживает такие смарт-карты?
http://www.aladdin.ru/catalog/.....rds/cards/etoken.php[link5]
Или только: http://g10code.com/p-card.html
С уважением.
Пока только карты OpenPGP.
SATtva, по ходу, такую карту очень сложно достать.
Ключ есть ключ, и хотелось по-возможности надежно его хранить.
На карте openPGP RSA только 1024 бит. Этот параметр указан для генерации ключевой пары?
Ёмкость памяти карты OpenPGP рассчитана на хранение трёх 1024-битовых ключей RSA. Так сказано на официальном сайте.