id: Гость   вход   регистрация
текущее время 16:13 13/12/2019
Автор темы: Ejovnik, тема открыта 30/11/2014 18:20 Печать
Категории: криптография, софт, gnupg, openpgp, шифрование с открытым ключом, эцп, управление ключами, стандарты
http://www.pgpru.com/Форум/РаботаСGnuPG/КакИзменитьКлючДляШифрованияИПодписи
создать
просмотр
ссылки

Как изменить ключ для шифрования и подписи


Разбираюсь в работе с GnuPG без GUI. Сгенирировал 2 пары ключей. Командами шифрования и подписи используется первый созданный секретный ключ. Подскажите пожалуйста, как зашифровать или подписать другим ключом?


P.S. Использовал опции default-key [key_id] и local-user [key-id], не разобрался как их использовать. После выполнения команды с этой опцией появляется приглашение ввести какой-то текст, а после завершения ввода текста – ошибка.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— unknown (06/12/2014 12:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

По поводу конфигов и знаний — это рациональная причина открыто делиться информацией, если уверен, что её подхватит хотя бы больше полутора человек :) А если разовьют и улучшат — так совсем хорошо. Открытый обмен знаниями — это культура, цивилизация и всё-такое, чтобы там не говорили любители всё-это ограничить, включая проприетарщиков.


Вот только относитесь к такому влиянию критически — а то так в очередной раз и пошутить могут, а вы и поверите, не разобравшись, чем там на вас влияют :)


Да, автор узнаваем для местных посетителей. Даже если с его подходами не во всём соглашаться и не воспринимать буквально, то почитать всегда полезно и поучительно, а главное — интересно. А раз кого-то интересно читать, то для вас он будет и профилируем узнаваем ;)
— Гость (06/12/2014 13:45)   <#>

В тех же местах, где о косоли вычитал, там и о настройке ее писалось.
— Гость (06/12/2014 13:50)   <#>

Из чего это будет следовать? Из того что они на вашем ПК? Так это от обратного, но не факт что так.
— ressa (06/12/2014 18:28)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

У нас вся страна на людской безграмотности наживается, т.ч. твои шутки – это безобидно и поучительно))
А влияют – да, я Линукс осваиваю благодаря здешним пользователям. Правда SATtva переборщил с полутора годами до уверенного линуксоида, в ответе одному вопрошающему, я лично по-моему третий год а то и больше сижу и то, как домохозяйка, но не на Убунте, а на Минте, хотя хрен редьки не слаще. Склоняюсь к тому, что мне все-такине дано быть дзен-гуру в ИТ
— Гость (06/12/2014 20:41)   <#>
Да не, за полтора года плотного общения можно уверено себя ощущать в Линукс.
— Гость (06/12/2014 22:41)   <#>

Вывод в ~/.vimrc съелся, должно было быть
set t_op=^[[39;49m

Спасибо, АНБ. ☺


Знания рано или поздно исчерпываются, если их не пополнять, и начинается хождение по n-ому кругу (как говорят в таких случаях, «исписался человек»), при этом пополнение знаний плохо коррелирует с их распространением. Обычно либо учишься сам, либо учишь других, сам останавливаясь в развитии (и часто того не замечая).

За пожелания вам и unknown'у всегда спасибо.


Fxd. Палка с двумя концами. Если чем-то пользуется полтора анонима, то найти, какой из этих полутора в данном случае попался, не составляет труда, поскольку есть множество и другой информации. В этом плане создать очень анонимный профиль сложно: можно поменять ОС, имена юзеров, содержимое директорий, но конфиги-то, к которым привык с детства — что с ними делать? А они довольно уникальны и переносятся с системы на систему, с одного юзера на другого... Там, где это было нужно, я, например, пользуюсь практически голым терминалом без каких-либо специфичных настроек для шелла и остального, всё по-минимуму.


Мои стилометрические fuzzy-стойкие отпечатки уже давно, наверно, лежат во всех головах БД. А если я захочу что-нибудь написать на другом ресурсе? Фактически, чтобы ни писал и где бы ни писал, сразу теряешь анонимность, т.к. почерк узнаваем, и легко могут найти, кто это (особенно, если не скрываешься).


Это если полтора года плотно с ним общаться, разбираться и познавать новое, а не просто тупо сидеть в минтовской оболочке в браузере, когда абсолютно всё равно, какая подложка находится подо всем этим. Если делать по Федорчуку, то запуск чего-то графического — это венец познания ОС, а не начало, до этого ещё дойти надо, пройдя крещение огнём. Если всё делать попорядку, то до настройки графики дела дойдут месяца через два после начала вникания в систему, а использовать браузеры и прочее — ещё позже будет, и всё это время система будет де факто нерабочей (браузеры будете запускать в другой ОС). Это, на самом деле, долго, сложно и проблематично во всех смыслах, особенно если нет гуру под рукой. Я до сих пор, сталкиваясь с теми или иными UNIX-проблемами, бьюсь головой и офигеваю с того, как же ужасно это сделано, и как трудно решить эти проблемы. В частности, немного глубже изучив внутренности GnuPG, осознал, что оно никогда не будет работать для масс. Чтобы описать GnuPG со всеми его основными нюансами, багами и теорией, надо написать книгу. Кто соглаится прочитать книгу, чтобы включить с тобой шифрование? Редкие единицы-гики. Это же касается и всего остального — оно никак не подходит на «one click solution», а все попытки создать такие solution (да ещё и с удобством) превращаются в дырявейшие механизмы. Даже Tails это правило не минуло.
— Гость (06/12/2014 23:38)   <#>

Главное, чтобы изучениеи и/или достижение какой-либо цели не превратилось в самоцель (процесс ради процесса). Во всем нужно меру знать, а пользователю нужно просто стать уверенным пользователем, но ни в коем случае не профи/гуру операционной системы. Только если это занятие/цель не связаны с профессиональной деятельностью.
Как то так..
— ressa (07/12/2014 00:21)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Дада, тут кто-то говорил, что я – мент)
На самом деле не факт, что твой слог узнаваем вне PGPRU, ну т.е. если бы я где-то встретил твой текст на тему дестабилизации нефтепродуктов после разрыва ковалентных связей в момент компаудирования с углеводородом легкого фракционного состава – я бы не узнал. А так да, есть же какой-то метод поиска людей по текстам. Но как раз у тебя иначе, то, что я говорю – у тебя хороший слог, я подразумеваю, что он не ограниченный, как к примеру у меня. Ты можешь развернуто и четко доносить свои мысли, ну т.е. грубо говоря "богатый язык" – видишь, снова туплю, не зная как смысл донести. А когда язык "богат" – узнать сложнее. Ну мне так кажется.
Хотя опять таки – смотря какая модель угрозы и кто ищет. Когда меня тут просвятили во все эти R&D и "великие корпорации" – я понял, что там модель угрозы похлеще, чем для некоторых гбшники и прочие аббревиатурные органы))
unknown, я поофтоплю немного, ок? Столкнулся с отношению к ученым в Ирладнии – супер, без паранойи, без шизы и главное – воровства технологии. Очень понравился. Инвест.климат потрясный – никто ученых не гнобит, и очень даже защищает их права и разработки. Из РФ можно податься, стать резидентом и вполне себе быть уверенным в том, что технологию не уведут.
Ну всеми любимый Гость прав – я простой пользователь. Да, мне интересна безопасность, и модель угрозы у меня банальна. Еще когда на винде сидел – TrueCrypt спас, на котором отдел К зубы и сломал. А Линукс меня спасет и подавно, в случае чего. Если бы я был юным и амбициозным, когда времени немеренно и в заднице свербит – то может и "просветлел" бы. А так – при всем желании не смогу. Читая Гостя и unknown – решил перейти на Debian, но манов по убунте больше, а убунта=минт. Ну т.е. я к тому, что если что-то случится – я смогу найти ответ, с дебианом я такого не видел.
Опять таки – рядом нет гуру. Админы – чуханы, которые Линукс в глаза не видели. Знакомых линуксоидов нет. Будет время – я "репититора" найду на пару недель, мне логику объяснить – и я все пойму. А то как получается – работает и хер с ним. Накатил Минт, поставил какие-то дрова NVIDIA – все слетело нахер, выключается сам по себе, зависает. Ну поновой – поставил Минт, дрова уже не ставлю – батарея садится на глазах, зато не виснит. Сейчас камнями закидают – но это так. Самому стыдно, но тупо нет времени разобраться нормально с системой. А уж сколько раз я генту освоить хотел, так и не скачал ни разу) Хотя Liberte собирал, даже пакеты нужные ставил, ну и тот же GPG патчил в свое время. Один хрен – ламер ламером. И офиса МSовского не хватает.
— Гость (07/12/2014 03:23)   <#>

Проблема в том, что в ИТ кругом течка абстракций. Могу даже на собственном примере показать (см. ниже).

Оффтоп-Стилометрия



С «донести смысл» я бы согласился, но с «богатостью» — нет, это совершенно разные понятия. У меня канцелярский технический язык, состоящий из бюрократических штампов (припоминаю, меня за это ругали ещё в средних классах), а образование и образ жизни только ещё сильнее усилили этот крен. Все видят, но, терять уже нечего, расскажу то, что сразу бросается в глаза:
  1. Слишком частое употребление слов/выражений (вплоть до слов-паразитов): «уже», «ещё», «вот», «и» в роли частицы, «как правило», «наподобие», «во-первых» и «во-вторых», «с другой стороны», «мораль», «как бы», «кроме того», «стоит отметить», «т.к.», «т.е.», «вроде бы», «например», «фактически», «де факто», «на самом деле», «вообще», «кто-нибудь», «так что» вместо «поэтому», «вполне» и др. В тексте из нескольких абзацев с вероятностью, стремящейся к 100%, будут обнаружены все из перечисленных паразитов.
  2. Частое начинание предложений с союза «и».
  3. Обильное употребление скобок (логические связи становятся такими громоздкими, что их либо трудно выразить без скобок, либо не знаю, как их правильно оформить грамматически).
  4. Многие предложения имеют одинотипную структуру (часто используются обороты «если..., то...» и др.).
И (ага, опять с «и» начал) я здесь умышленно избегаю впросов разметки, грамотности и т.п. вопросов профилирования, которые сводятся к тому, кто насколько грамотно пишет — пока речь только о богатстве языка. Вообще (здравствуй, ещё один паразит), для того, чтобы язык был богатым, надо читать художественную литературу, а у меня с ней не очень сложилось сразу, поэтому имеем то, что имеем...


Лично я на вашем месте не стал бы писать такие провокационные вещи, потому что кто его знает, вдруг ваше ФИО найдут, а потом такие посты в публичном форуме могут послужить мотивом к возобновлению разбирательств по тому делу. Оно вам нужно?

Оффтоп-UNIX



По-моему, примерно одинаково легко найти для обеих систем.


Не закидают. Проблемы с железом часто нерешаемы в принципе (надо или апгрейдиться или имплементить хаки, если таковые известны, или менять систему).

Пример из жизни:

Покупаем ноут, где всё должно поддерживаться (стоит родная убунта). Грузимся, видим глюки со сплэш-скрином, но вроде работает. Средняя кнопка на тачпаде не работает, хоть убей. Надо курить маны по синаптику или чему там... не осилил, время дороже, поэтому просто купил USB-мышку.

Гружу на этом же ноуте свой Debian с внешнего USB. Доходит до иксов и всё виснет нафиг намертво. Отключаем автостарт xdm, теперь система хотя бы грузится. Запускаю xdm руками — всё виснет. Долго курю, что же можно сделать. Игрался с LiveCD разными, думал, много думал... через день, анализируя поведение видео, таки догадался до хитрого хака, вспоминая заветы бывалых гуру: отключаем фреймбаффер в грабе (граб передаёт инфу о видеокарте ядру, и если он испохабил её, ядро уже бессильно) через nomodeset в опциях ядра (ещё один камень в Linux: как вы думаете, почему ни в одной BSD до сих пор по умолчанию не грузится фреймбаффер?), из запускаемых xdm оставляем только один и делаем ещё какие-то хаки (не помню наизусть). После этого сей единственный xdm-таки стартует. После старта мы можем один раз переключиться в консоль и ввести какие-то команды от рута, а после этого вернуться обратно в иксы. Если второй раз попытаемся переключиться в консоль, система намертво зависнет, и не получим ни консоли, ни иксов. Такие дела.

Допустим, у нас есть разделение юзеров по иксам. Это означает, что если запустили браузер, мы не можем работать с почтой и консолью — они под другим юзером. А если мы под тем юзером, мы не можем запустить браузер. Т.е., можем, но для этого надо всё выключить и перезагрузиться, а это время и ввод кучи паролей.

Не поддерживается звук. Ладно, без звука если ещё можно прожить, то весь вышеозвученный геморрой сильно мешает комфортной работе. Думаю, поставлю стабильный Debian посвежее, и всё заработает, но гугл говорит о том, что всё дело в ядре. Единственный выход — ставить sid или jessie. Однако, Аннушка уже разлила масло, так что с учётом ссылок [1], [2], [3] инсталляция будет непростой...

Не поддерживается Wi-Fi. Провайдер делает подключение по PPPoE. В сети инструкций под этого ISP кот наплакал... Курил день-два, читал похожие конфиги, спрашивал, думал... кое-как настроил из консоли. А если инсталлировать по сети, ведь придётся на лету в инсталляторе подключаить сеть по PPPoE с паролями и всеми надлежащими конфигами — тоже непросто.

Работаем в месте, где нужен Wi-Fi. Wi-Fi есть только на родной убунте от производителя со всеми надлежащими бэкдорами. Как ей доверять? А выбора нет, приходится. И так далее и так далее. Мне кажется, что «среднестатистический уверенный Linux-пользователь» неспособен разруливать все эти проблемы, потому что даже мне их удаётся разруливать с большим трудом, и я всё равно часто опираюсь на информацию от более опытных в этом деле людей.


Хозяйке на заметку: файлы уже давно стёрты, дисковое пространство затёрто, но каталоги/файлы ~/.local/share/zeitgeist и ~/.local/share/recently-used.xbel всё помнят: какие были имена файлов, где они лежали... Спасибо grep'у.

Оффтоп-GnuPG


Теперь про GnuPG, раз речь про него зашла. На многие вопросы даже тут на форуме не могут сходу дать ответ. Если мой просроченный подключ был впоследствии отозван, как он будет помечен на связках моих абонентов? Понятно, что можно проверить, но вот легко сходу не ответить на такой вопрос. Много ли кто знает, что нельзя помержить секретные подключи, хотя это кажется вполне логичной командой? Если у меня есть валидный подключ подписи на год вперёд, а я только что создал новый подключ подписи сроком на 2 дня, какой из подключей будет использован по умолчанию? Самый свежий? А потом через 2 дня будет снова использоваться ранний подключ? А с шифрованием точно так же? Этих вопросов много, и достаточно чуть глубже задуматься, как сразу становится понятно, что далеко не на все из них можешь дать ответ, а когда объясняешь другому, как правильно работать с GnuPG, к каждой инструкции идёт набор фактов-костылей вида «need to know», на которых можно споткнуться. И описывая эти костыли, я понимаю, что с GnuPG что-то глобально не так... слишком много непродуманного legacy. Как объяснить людям, что нет лучшего инструмента, и, да, им надо вникать в эти нелогичности и нестыковки?

Насущный пример с GnuPG: Psi на MacOSX + ротация подключей абонентов. В Psi (по кр. мере на MacOS) есть такой баг, что если некоторые из подключей в Psi отозваны, то Psi весь ключ считает отозванным и отказывается им шифровать. Чтобы решить проблему, нужно, чтобы все домохозяйки на маках занимались вот таким вуду и, вообще, там всё непросто. Домохозяйкам трудно объяснить, что
  1. Следование подключей в выводе GnuPG случайное, и его предсказать нельзя.
  2. Вывод подключей GnuPG не отделяется свободной строкой, поэтому они должны сами наперёд знать, что сообщение об отзыве подключа находится до строки с собственно подключом, а не после (почему-то!), и при этом не путаться.
Точнее, трудно не объяснить как факт, а объяснить, что это неизбежное зло, и другой лучшей программы, чем GnuPG, для этого всё равно нет.

Или вот ещё один нюанс: если главный ключ C, а не CS, а подключ подписи устарел или был отозван, я не могу (даже принудительно) подписать сообщение устаревшим подключом, хотя это иногда нужно для установления доверия. Ну, это если, конечно, не играться с переводом часов на машине. Может быть, стандарт такого не допускает?

Там много всякой фигни вылазит, если рыть, а хочется-то малого: просто, чтобы работала графика, работали иксы, интернет и шифровалась переписка. И решение этих элементарных задач порой заводит в такие дебри, что ужасно становится.

Если мне понадобится передать конфиденциальное сообщение домохозяйке, которая не гуру ни одним концом, я не буду рекомендовать PGP. Это просто нереально для быстрого освоения. Даже если прийти, всё сделать и настроить, расшифрованная переписка всё равно будет оседать на диске, откуда она может быть извлечена при случайном досмотре n лет спустя (не буду же я учить домохозяйку всем азам, предлагая полнодисковое шифрование для винды, выбор стойких паролей и прочее...). Это всё требует таких кардинальных изменений, что никто просто так на это не пойдёт. Самым действенным способом, как бы это ни казалось странным, для передачи конфиденциальных сообщений остаются онлайн-сервисы типа здесь рекламировавшихся. Они в браузере, браузер небезопасен, требуется полное доверие сервису, https тоже небезопасен, они на JS... но, тем не менее. Тут хотя бы можно быстро объяснить: вон туда ткни, здесь набери пароль и вон туда нажми (даже эти простые действия некоторые не могут осилить, да). Если сервис и его сертификат нескомпрометирован, а машина пользователя не под детальным наблюдением, получается хоть какое-то приближение к «прочитал и забыл, на диске не сохраняется» (впрочем, кэш браузера порой способен творить чудеса). А если нужно что-то лучшее, остаётся только самому поднимать такой же сервис и давать абонентам ссылки; надеяться, что их не MITMят. Вот какая-то такая безрадостная картина.
— Гость (07/12/2014 12:10)   <#>
Чтобы настроить шифрование почты в графическом клиенте, достаточно усвоить самые базовые понятия (пара ключей, шифр, подпись) и немного потыкать мышью в почтовой программе. Доступно это для любого хомяка, который в своём уме. Разобраться в тонкостях настройки ЖЖ, твиттера и фейсбука наверное сложнее. Гипотетические угрозы типа изъятия дисков для исследования и т.п. можно накручивать до бесконечности, а шифровать надо сейчас.
— Гость (07/12/2014 13:32)   <#>

Вот и вывод. А отсюда следует, что "среднестатистический житель планеты"/пользователь ПК выбирает Win. Это не значит что там меньше проблем, но это значит что возможностей получить помощь там больше. И это комплекс проблем, которые не исчерпывается наличием интелекта, прямых рук и т.д. Среднестатичтический пользователь не работает в ИТ индустрии, а скорее наоборот, учится и работает, не подозревая, что это такое. Но найти время на решение головоломок "почему не запускается Debian на ПК с видеокартой от AMD(Radeon), в то время как 5 минут назад он запустился на ПК с Intelовской картой?", он просто не может.

Ну это философия жизни. Чем глубже мы изучаем предмет, тем больше появляется вопросов. Не всегда более глубокое изучение, может привести к сокращению перечня вопросов. Справедливо и для "стать уверенным пользователем". Где тот критерий, чтобы оценить стал я уверенным или еще нужно "подкачаться"?
— ressa (07/12/2014 15:47)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Ну не знаю, я лично был бы не прочь подобным канцелярским языком переписываться. У меня все наоборот – мне вживую проще, не дается текстовое общение. По поводу бюрократических штампов – этим Достоевский вынужденно грешил, против своей воли писав индокод, дабы получить чуть больше денег, но от этого читать его ни чуть не хуже, если бы писал более сжато. Так что мне твой стиль очень даже нравится, и слова паразиты не зашкаливают. Хотя я и сам самокритичен, но так детально свои речевые косяки описать не смог, что снова подтверждает мою правоту о лаконичности твоего изложения. Вот без капли лести – правда приятно читать.
Да я это уже упоминал здесь. Это были, как бы тут многие выразились – "издержки режима", но мой пример как раз должен самых шазоидных успокоить немного, показав на практике, что без денег, связей и сотрудничества с режимом – вполне можно добиться справедливости, без пыток в подвалах Лубянки. Но да – шифровать нужно все, даже если "нет ничего секретного". Я не нарушаю закон, но и в свою жизнь никого не впускаю. Придумал такую модель, хочу как-нибудь реализовать: мой комп, сервер, и компы сотрудников. Мой включается по паролям и токенам, если "влетают" – я нажимаю хоткей – на всех компах, в частности на моем меняются пароли, шифруются gpg и отправляются по ssh в несколько резервных мест, после чего все компы в частности сервер успешно перезагружаются, ну и паролей уже никто не знает соответственно. Вот снова не могу корректно сформулировать, поэтому и нужен гуру, с кем хоть раз можно было бы пообщаться.
А на счет мониторинга, спецслужб, и прочих органов – да плевать мне на них, органами не торгую, революции не спонсирую, к сексуальным и политическим извращенцам отношения не имею, но от рейдерства как защищал себя, так и буду защищать. И мониторящие сотрудники пусть лучше пидорасов в своих рядах зачищают, а не занимаются ерундой. А то любой продажный черт в погонах даже лейтенанта, в сговоре с беспринципными и трусливыми ущербами – может в считанные дни разрушить то, что создавалось и взращивалось не один год.
Ну я и о дебиновских косяках тут читал, кстати – неисключено, что тоже за твоим авторством. Но теперь все – в ближайшие дни попробую дебиан в качестве основной системы. Хотя с другой стороны – тюленям этим сначала бы LUKS с TrueCrypt'ом осилить, а потом уже грепить имена моих файлов. Ну и внутри еще есть EncFS, в котором криптоконтейнеры лежат. Могу только удачи пожелать студентам со ст. м. Юго-Западная..
Здесь у меня все куда проще – есть день в месяце, когда меняюся пароли, в этот же день истекает срок действия моего ключа и ключей моих адресатов. Перегенерируются новые и все. А файлы шифруются отдельным ключом, бэкапы есть только у меня – как и ключ расшифровки бэкапов.

Скажем так, мне лично было бы достаточно один раз все настроить и уметь решать проблемы локального характера. Драйвера, подтормаживания и тд. У меня на ноуте мой ламерский минт загружается в разы дольше любой винды. Если отвалится сеть – я вообще ничего не смогу сделать, кроме интуитивных тыканий мышкой. Полезу гуглить с планшета и потрачу добрых несколько часов.
— Гость (07/12/2014 16:43)   <#>

Все как парализованные замирают, а вы лихрадочно пытаетесь нажать хоткей, который как назло не нажимается. На а может еще быть так: Резко вырубается электричество и с грохотом падает дверь. Велкам ОМОН/СОБР/"что там вам нравится" !!!
— Гость (07/12/2014 16:46)   <#>

Эээ неее.. это корпоративная этика. Своих не сдаем.. иногда. Проще барыгу-комерса прослушать, да накопать кучу сладких разностей за которые можно потом бабло поднять. В совем дерьме копаться за бесплатно?
— Гость (07/12/2014 16:59)   <#>

Вот по этому в России 25 лет не могут капитализм построить, ну или слабое подобие коммерции какой, а название не суть важно.

Ну а как же обновления системы и софта? Возникновение проблем, как и последующие их решение, неизбежно )).

Имхо, проще решить чем в винде, хотя "графически" проще в Винде сделать сетевые настройки. Вот тебе Центр управления сетями, тут и настройка адаптера, IP, gateway, dns и т.д. Визуально видно какие сети, ну и т.д. Хотя команды в терминале почти похожи.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3