Как изменить ключ для шифрования и подписи
Разбираюсь в работе с GnuPG без GUI. Сгенирировал 2 пары ключей. Командами шифрования и подписи используется первый созданный секретный ключ. Подскажите пожалуйста, как зашифровать или подписать другим ключом?
P.S. Использовал опции default-key [key_id] и local-user [key-id], не разобрался как их использовать. После выполнения команды с этой опцией появляется приглашение ввести какой-то текст, а после завершения ввода текста – ошибка.
комментариев: 9796 документов: 488 редакций: 5664
Обычно шифруется (под)ключом получателя, подписывается ключом отправителя. Если даже для подписи как-то можно выбрать неумолчальный вариант, то для шифрования получателю лучше выбрать умолчальный. По умолчанию будет использоваться подходящий с т.з. программной реализации подключ основного ключа.
Если не интересуют тонкости работы с подключами, а только с ключами, то в общем виде всё как-то так:
gpg -v --armor --default-key [myUID] --encrypt-to [RecipientUID] --hidden-recipient [HiddenRecipientUID] --encrypt --sign
gpg -v -R KeyID-кому -u 0xXXXXXXXX! -es file
Шифровать ещё и себе — это только если кто-то сильно хочет. Армор-вывод сильно удлинняет размер файла и обычно ненужен. --default-key и --encrypt-to — слишком глобальные опции, лучше делать вручную через -u. 0xXXXXXXXX — keyid главного ключа связки или конкретного подключа подписи, которым хочется подписать. Мне попадались случаи, когда получатель с -R не мог расшифровать файл, и потому приходилось перешифровывать стандартным образом.
комментариев: 1079 документов: 58 редакций: 59
Коллеги, прислушался несколько лет назад к Вашим советам освоить консоль. Логику понял, мнение свое изменил, на своем дилетантском уровне – освоил. Но блин, я не пойму логику использования консоли в GPG, ну т.е. всякие gpg -c/-e/-s/-d – да, порой так быстрее, особенно дешифровывать присланные файлы. Но вот шифровать (использую плагин seahorse), или вбивать вручную все эти 0xXXXXXXXX получателей – да я же офигею.. из за этого у меня пробел с подключами, хотелось бы наверстать. Вы все используете gpg в консоли? ну т.е. прям мне просто взять и принудительно перейти на консоль полностью и потом уже сноровка придет?
UPD: Движок ошибку выдает: "openSpace DBAL error: SQL query failed.", несколько раз подряд.
Да, только консоль предварительно должна быть настроена: подцветка, хороший конфиг для zsh, для screen/tmux, для других тулзов и т.д. Работать в сырой дефолтной консоли, конечно, можно, но не так удобно, как в настроенной.
Не вручную, а можно копипастить либо мышкой, либо средствами мультиплексора (screen или tmux) — это если вообще вбивать, а так можно не указывать ничего, и тогда gpg само спросит, кому шифровать. По крайней мере, с обычным получателем (-r) это так. Можно будет указать не keyid, а любую часть uid'а получателя (например, логин в мыле), и этого будет достаточно. Если кому-то шифруется часто, можно сделать специальный алиас в шелле, чтоб не набирать одну и ту же команду по многу раз с риском очередной раз ошибиться.
комментариев: 1079 документов: 58 редакций: 59
Спасибо за ответ.
Можно чуть подробнее, пожалуйста.
Ну т.е. я могу почту адресата указать? А она tab'аться будет?
Выкладывать конфиги, что ли?
Да, но это излишне. Если адрес — ressa@fsb.ru, то достаточно будет указать fsb или res (любую подстроку uid'а).
Насколько я знаю, нет.
комментариев: 9796 документов: 488 редакций: 5664
Если UID по неполной строке (почта, ник и т.д.) даёт неоднозначный выбор адресата, то вместо таба этот выбор вариантов как-то отображается и подтверждается пользователем. Давно не сталкивался с этим, может там даже и были какие-то подводные камни, что возникла привычка указывать однозначный цифровой UID.
комментариев: 1079 документов: 58 редакций: 59
Господа, так какой алгоритм действий? Такой, примерно:
И так действительно в разы быстрее?
Проверил – буду знать, очень удобно, но ты прав – если буквы сходятся – он мне два раза не того адресата подсунул, т.ч. надежнее все-таки по UID.
Я был бы рад перенять опыт и заодно прокачать скиллы в консоле, потому, что указанные тобой "примочки" для меня вообще в новизну. Не пользовался ни разу. И консоль тоже не настраивал, единственно в стандартных настройках буфер консоли неограниченный делаю на всякий случай, чтобы потом найти что-нить, хотя и не пригождалось еще.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1079 документов: 58 редакций: 59
unknown, а прокомментируй пожалуйста вот это: 1 | awk {'print $2'} | awk -F \/ {'print $2'}`
Хотя если не сложно – то с grep'a, а то я не вьехал – зачем грепать, если уже имя ввел. А дальше и вовсе ничего не понял..
Я правильно понимаю, что один раз выстроил для себя и потом либо алиасы создаешь, либо табаешь, или нужно постоянно печатать подобные строки? Я же не кодер, это мне учить и учить в таком случае, а задача – экономить время и по пути навыки оттачивать.
UPD: А ну понятно, что за AWK, тогда я точно далек от этого, сколько ни пробовал любой мало-мальски простенький язык выучить – видимо не дано мне это..( Даже здесь ума не приложу, откуда берется эта $2. Это же переменная? Ты ее где-то объявлял что-ли? Нет. Откуда она и что интерпритатору печатать – я не понимаю.. Или это какая-то встроенная в язык переменная,которая выведет вторые поля grep?
Конфиги выкладывать — это долго и неанонимно. :-) Unknown вот никогда не выкладывает.
комментариев: 9796 документов: 488 редакций: 5664
Это был юмор такой, всякие значки-запятые-скобочки — это смайлики :)
комментариев: 1079 документов: 58 редакций: 59
Гость, ну это просто алиас, правильно? Я себе алиасы для OpenSSL делал. Кстати, а почему конфиги выкладывать – это не секьюрно? Я бы, к примеру, с радостью посмотрел на чьи-нибудь алиасы, и возможно даже себе бы взял на вооружение. Ну т.е. в чем угрозы в выкладывании конфигов?
Unknown, забавно, я же привык твои сообщения всерьез воспринимать – вот и начал вдумчиво смысл искать, зато узнал, что такое awk.
+1050 ☺
Потому, что если меня взломают, зловред сливает конфиги в АНБ, а АНБ погуглит и найдёт, что такие конфиги в сеть выкладывал именно я. Не спасут ни Tor, ни тысячи проксей.
~/.zshrc:
~/.Xresoures:
Терминалом у нас будет urxvt. Мы переопределили его цвета, взяв нормальные RGB, теперь надо их согласованно назначить mcabber'у, mutt'у, vim'у и zsh'у.
~/vimrc:
Вот как пофиксить системную тему zellner, чтоб она стала совместимой (vim 7.3):
Чтобы screen работал, да нормальный statusline был, ему тоже нужен конфиг:
Всё это заточено под иксы и вышеданный ~/.Xresources.
Конфиг mutt'а я уже вылкадывал, конфиг mcabber просто не под рукой сейчас, но там цвета выбраны тоже согласованно с этой гаммой.
Вот как это выглядит: консоль, автодополнение. Как работает автоматика, картинкой не передашь, тут анимированные ролики уже надо делать. Короче, кому надо, тот разберётся; кому не надо, всё равно будет не в коня корм.
Пространство для улучшений есть всегда, можно до конца жизни курить тысячи опций этих программ и подкручивать их в соответствии с собственными пожеланиями. Когда-то давно конфиги были утянуты из интернета (zshrc — от Федорчука), а потом творчески осмыслялись и дорабатывались. В zshrc ещё можно надобавлять алиасов для ssh, scp и sftp, чтобы легко было загружать файлы и ходить на другие хосты; настроить аутентификацию по ключам и т.д. Если описывать всё, что сделано поверх голой системы, можно написать целую книгу, но это в целом оффтоп тут и ненужно.
комментариев: 1079 документов: 58 редакций: 59
Спасибо тебе большое. Я же тебя узнал! Вот по большому тексту – сразу узнал. Спасибо, ты очень много полезного выкладываешь и пишешь.
Пожелания из скринов – учту. Да давно учел бы, вопрос времени)
Но теперь однозначно буду больший уклон в сторону CLI делать.
Слушай, на сколько это все-таки сильно – нести знания и так или иначе влиять на людей.
Искренне – всех благ и всего самого наилучшего.
О конфиге – так наоборот – может лучше выкладывать? Ну т.е. меня сломают и за тебя примут)) Ну и таких как я – не мало будет, которые конфиг твой заюзают.