id: Гость   вход   регистрация
текущее время 19:38 22/11/2017
Владелец: Вий (создано 27/03/2011 10:49), редакция от 24/04/2011 11:05 (автор: Вий) Печать
Категории: софт, gnupg, свободный софт
https://www.pgpru.com/Черновики/Статьи/Разное/ИспользованиеапплеташифрованияоболочкиGnomeвLinux
создать
просмотр
редакции
ссылки

Многим пользователям компьютеров часто приходится сталкиваться с задачей шифрования личной текстовой информации, а так же своих файлов и папок. Linux системы предоставляют для этого множество качественных и несложных в использовании способов. Один из них предоставляется апплетом шифрования, который встроен по умолчанию в графическую оболочку Gnome. Рассмотрим способ шифрования информации, предоставляемый оболочкой Gnome 2.26.1 в операционной системе Ubuntu 9.04.


Итак, для начала нам необходимо разместить апплет шифрования (seahorse-applet) в панели задач. Добавляем его точно так-же, как мы добавляли любые другие апплеты (в системах начиная с Ubuntu 10.04 апплет по умолчанию не установлен в системе и его нужно добавить, используя систему установки программного обеспечения, например с помощью программы Synaptik или через терминал). Жмем правой кнопкой мыши на нижней панели, говорим "добавить на панель", выбираем из списка апплет "шифрование буфера обмена" и жмем "Добавить". Теперь мы имеем апплет шифрования буфера обмена в рабочем пространстве нашего рабочего стола. Однако данный апплет предоставляет лишь интерфейс шифрования, саму же работу по шифрованию производит приложение GnuPG (GPG), предустановленное в каждом уважающем себя Linux-дистрибутиве по умолчанию. Это вы сможете проверить, дав команду в консоли gpg --version.


Сразу отмечу, что работа данного апплета очень сильно напоминает работу по шифрованию буфера обмена при работе с программой PGP из мира windows и совместима с последней (хотя могут быть различия в изначальной кодировке символов, используемых операционными системами), поскольку в данных случаях используется одна и та же система шифрования, основанная на стандарте OpenPGP. Работа по шифрованию файлов так же имеет большие сходства.


Теперь можно приступать к изучению работы апплета.
Итак, предположим нам нужно зашифровать следующий текст:


"Россия – чемпион мира по хоккею!!! "

1. Копируем этот текст в буфер обмена.
2. Кликаем на апплете мышью и говорим – "зашифровать буфер обмена".


На данном этапе мы получим сообщение о том, что у нас пока еще нет ключей шифрования (если же ключи у вас уже есть, то вам нет необходимости создавать новый ключ, его достаточно импортировать на ключевую связку GnuPG). Однако предположим, что ключей у вас пока нет и продолжим работу.


– жмем "ОК" в окне сообщения об отсутствии ключей шифрования и попадаем в окно управления ключами (рис. 1). В окно управления ключами и паролями можно так же попасть, открыв его через меню "Приложения – Стандартные – Пароли и ключи шифрования".


 (12 Кб)
рис.1


– жмем "файл – создать" и попадаем в окно выбора ключа, который нам необходимо создать (рис. 2)


 (17 Кб)
рис.2


– выбираем в этом окне "Ключ PGP" и жмем "Продолжить", при этом мы попадаем в окно задания записей сертификата ключа (рис. 3). В данном окне необходимо заполнить поля (очень желательно латинскими буквами), поле комментарий можно оставить свободным, в поле "Электронный адрес" введите реальный e-mail. Тип шифрования можно оставить по умолчанию "DSA-Elgamal".


 (18 Кб)
рис.3


Если вы выберете другой тип ключа, то рекомендую выбрать "RSA (только подпись)". В данном случае следует отметить, что на данном этапе вы сгенерируете ключ только для подписи. После из меню программы (окно "пароли и ключ шифрования" – "свойства" контекстного меню по клику на ключе – "детали" – "добавить" – "RSA только шифрование", окно показано на рис. 5) для возможности шифровать вашим ключом вам придется создать дополнительный подключ шифрования. Размер подключа шифрования желательно выбрать не менее 2048 бит, можно и больше, например 3072 бит. Максимальное значение по умолчанию в современных версиях GnuPG составляет 4096 бит.
Итак жмем на кнопку "Создать", в открывшемся поле вводим дважды пароль (обязательно латинскими буквами!). После генерации ключа мы попадем в окно программы, в котором увидим только что сгенерированный ключ. (рис. 4). Создание ключа может занять некоторое время, в зависимости от мощности вашего компьютера. При создании ключа полезно подвигать мышкой для того, что бы предоставить GnuPG больший выбор случайных чисел, эта программа использует такие возможности для получения бОльшей энтропии данных.

 (18 Кб)
рис.4


На данном этапе очень полезно сделать резервную копию своего ключа, поскольку если вы будете заниматься к примеру переустановкой системы, то можете потерять ключ и после вы не сможете создать его точную копию, даже если новый ключ будет иметь то же имя, e-mail и т.д. Сделать резервную копию можно следующим способом:
Кликаем по ключу правой кнопкой мыши и выбираем пункт меню "экспортировать". При этом мы получим окно экспорта ключа в файл. Выбираем место экспорта файла и жмем на кнопу "сохранить". В заданном месте мы получим файл с расширением *.asc. Однако мы экспортировали только свой открытый ключ.
Теперь необходимо сделать экспорт и приватного ключа. Вновь кликаем по ключу (в окне "пароли и ключи шифрования") по созданному ключу, выбираем "свойства" и переходим во вкладку "детали" (рис. 5). Жмем на кнопку "Экспортировать" против надписи "Экспортировать полный ключ". Вновь выбираем место сохранения файла и жмем "Сохранить". В данном случае необходимо отметить, что программа предложит создать файл с точно-таким же именем, однако разница между этими файлами очень велика. В последнем случае мы сохраняем приватный ключ, поэтому его нужно сохранить под другим именем. Имя этому файлу желательно дать такое, что бы после вы могли без лишних раздумываний вспомнить, что данный ключ является приватным. В дальнейшем через меню "Файл-импорт" окна программы "Пароли и ключи шифрования" вы сможете восстановить свой открытый и приватный ключи. Теперь сохраните свои ключи на отдельном носителе и удалите полученные файлы с расширение *.asc с винчестера. Если вы все-таки забудете, какой из файлов содержит открытый, а какой закрытый ключ, то всегда сможете определить это по заголовкам текстов содержимого ваших файлов, приватный ключ будет иметь следующий заголовок -----BEGIN PGP PRIVATE KEY BLOCK-----.


 (25 Кб)
рис.5


Шифрование


Теперь мы уже можем производить операции по шифрованию своей информации. Итак вернемся к началу статьи.
– Копируем текст "Россия – чемпион мира по хоккею!!!" в буфер обмена.
– Кликаем на апплете шифрования и выбираем "Зашифровать буфер обмена"
– В открывшемся окне "Выбрать ключи получателей" отмечаем свой ключ галочкой (рис. 6) и жмем "ОК" (если у вас есть ключи других людей, то вы можете шифровать и для них). При этом мы получим окно буфера обмена с шифр-текстом (рис 7), который можно скопировать мышью и поместить в любой текстовый файл и сохранить его. Теперь никто не сможет прочитать его, кроме вас. Обратите внимание на нижнее поле "подписать сообщение как", вы можете выбрать свой ключ. В этом случае при зашифровке сообщение будет дополнительно подписано вашей электронной цифровой подписью, при этом будет необходимо ввести пароль к своему секретному ключу. При последующей расшифровке такого сообщения в меню уведомлений рабочего стола вы увидите поле с сообщением о проверке цифровой подписи (рис. "8").


 (12 Кб)
рис.6
 (19 Кб)
рис.7
 (10 Кб)
рис.8


Расшифрование


– Открываем файл через контекстное меню по нажатию правой кнопкой мыши в программе "текстовый редактор"
– Копируем шифр-текст из сохраненного ранее файла в буфер обмена.
– Кликаем на апплете шифрования и говорим "Расшифровать или проверить буфер обмена"
– Вводим пароль к своему ключу
– Получаем окно с расшифрованным текстом (рис. 9)


 (8 Кб)
рис.9


Есть и другой способ, позволяющий без лишних операций копирования получать сразу расшифрованные копии файлов. Однако насколько я успел заметить, программа не любит названий файлов с пробелами. Поместите зашифрованный текст в файл с заданным вами именем. Для его расшифровки вам будет нужно лишь дважды кликнуть на этом файле, указать имя нового файла, в котором вы получите уже расшифрованный тест и разумеется ввести пароль к вашему приватному ключу.



Шифрование в блокноте


Еще один, очень простой способ шифрования текста и едва ли не самый простой, предоставляет стандартный блокнот оболочки Gnome – Gedit. Все что нужно, что бы осуществлять операции шифрования/расшифрования/подписи, это активировать модуль шифрования текста (рис.10). Активацию можно сделать через меню Gedit "Правка – Параметры – Модули".


 (65 Кб)
рис.10


Далее просто пишем в блокноте любой текст и даем команду "Зашифровать" через меню "Правка". При этом вы получите окно, изображенное на рис.6 с предложением выбрать ключи тех людей, для которых собираетесь отправить сообщение, либо свой собственный ключ, если шифруете для себя. Если вы шифруете текст для других людей, не забудьте отметить и свой собственный ключ, иначе позднее не сможете расшифровать то, что зашифровали сами. Одновременно вы можете поставить электронную цифровую подпись на зашифровываемый текст (нижнее поле – "Подписать сообщение как"). После того как вы дадите команду "Зашифровать" ваш текст в блокноте будет просто заменен шифртекстом (рис.11). Далее вы можете просто сохранить данный файл блокнота, отправить его кому-либо, или, скопировав текст мышью, отправить его по электронной почте.
Используя меню "Подписать" из меню "Правка" вы можете только лишь подписать текст блокнота.
Операции расшифрования делаются точно так же. Вы открываете файл с шифртекстом, даете из меню "Правка" блокнота Gedit команду "Расшифровать или проверить" и получаете (после ввода пароля/парольной фразы к своему ключу) вместо шифртекста обычный расшифрованный текст. Проще не бывает! Если текст был просто подписан, то вы получите сообщение о проверке цифровой подписи, примерно такое, как изображено на рис.8.
Пароль к вашему ключу будет запрашиваться в случаях необходимости расшифровывания или подписания текста. При операциях шифрования (без подписывания) пароль запрашиваться не будет.


 (93 Кб)
рис.11


Шифрование отдельных файлов


Отдельно следует сказать о функции шифрования файлов, предусмотренной в Gnome. Это делается просто элементарно! Опять же с использованием GnuPG. В менеджере файлов Nautilus вы просто щелкаете правой кнопкой мыши на подлежащем шифрованию файле, вызывая контекстное меню, и говорите – "зашифровать". При этом вы получаете окно, изображенное на рис. 6, отмечаете ключи получателей файлов (в нашем случае отмечаете свой собственный ключ, если шифруете только для себя) и жмете "ОК". В этой же директории вы получаете зашифрованный файл с расширением *.pgp. Проще просто не бывает. Для расшифровки файла вам необходимо дважды кликнуть по зашифрованному файлу, в открывшемся окне ввести пароль к своему приватному ключу, нажать "ОК" и получить свой файл в первозданном виде. Одновременно можно пользоваться и функций подписания файлов (нижнее поле окна, изображенного на рис. 6, – "Подписать сообщение как"). Примечательно, что при шифровании файлы автоматически сжимаются (архивируются), поэтому при последующем хранении они будут занимать меньшее количество дискового пространства.
Вы так же можете зашифровать сразу несколько файлов, отметив подлежащую шифрованию группу файлов мышью, при этом система задаст вам вопрос – зашифровать каждый файл отдельно или сделать зашифрованный архив шифруемых файлов (рис. 10), что довольно удобно.
Точно так же как и при операциях с шифрованием текста вы можете одновременно подписать файл электронной цифровой подписью (нижнее поле окна, изображенного на рис. 6 – "Подписать сообщение как"). При расшифровке такого сообщения, вы получите уведомление о проверке ЭЦП.


Подписывание файлов


Если вам нужно просто поставить на файл электронную цифровую подпись, не шифруя его, то вы так же можете это сделать. Для этого вам нужно дать команду "подписать" из контекстного меню менеджера файлов Nautilus. Вы получите окно (рис.12) в котором нужно нажать "ОК" (если у вас один свой ключ, то его выбирать не придется), в следующем окне ввести пароль к своему секретному ключу и снова нажать "ОК". После операции подписания вы получите новый файл крошечного размера с именем вашего документа и расширением sig. Для последующей сверки ЭЦП нужно просто дважды кликнуть по файлу подписи. При этом, если подпись верная, вы получите уведомление о сверке подписи. Например при сверке цифровой подписи, поставленной на файл otchet_2008.ods вы получите уведомление (рис. 13). Ваши коллеги, которым вы направляете подписанный файл, смогут проверить вашу цифровую подпись и убедиться, что файл не кем не был подделан или изменен. Для проверки подписи файла ваши коллеги кроме самого файла должны иметь ваш открытый ключ и конечно файл подписи с расширением sig.
Однако если вы подписываете файл, старайтесь давать ему имя латинскими буквами, в противном случае можете получить уведомление, выводимое нечитаемыми символами, видимо это связно с используемыми системой кодировками.


 (7 Кб)
рис.12
 (7 Кб)
рис.13


Надежное удаление файлов


Если вам необходимо надежно удалить оригинал файла, который вы зашифровали, воспользуйтесь утилитой shred (это отдельная утилита). Данная команда уничтожает файл многопроходовой перезаписью места диска, на котором был записан уничтожаемый файл. Кстати, для данной команды удобно сделать кнопку запуска с подходящим изображением на рабочем столе. В этом случае просто перемещая файлы на созданную иконку (как в корзину) вы будете надежно уничтожать файлы с винчестера. Следует однако знать, что уничтожение файлов в журналируемой файловой системе может иметь свои нюансы.


Дополнительные параметры команды можно посмотреть с помощью команды shred --help, но два из них я опишу здесь:
-nX сделать X количество проходов (вместо 3-х проходов по умолчанию)
-v показывать прогресс (не имеет смысла задавать этот параметр в том случае, если вы удаляете файлы, перемещая их на иконку запуска, созданную на рабочем столе)


Например команда удаления файла name семью проходами может выглядеть так:



при этом вы увидите следующий вывод терминала:



Вы так же можете удалять несколько файлов к ряду, записав их через пробел. Если файл имеет пробелы в своем имени, то заключите имя файла в кавычки.


Шифрование папок


Кроме того, Gnome предоставляет возможность зашифровывать целиком целые папки. При этом на шифруемой папке вам нужно через контекстное меню сказать "зашифровать", далее в открывшемся окне отметить галочкой ключ шифрования (рис.6), нажать "ОК", в следующем окне выбрать "Зашифровать в упакованном виде" (рис. 14) и нажать на "ОК". При этом содержимое папки предварительно сархивируется в формат zip и после автоматически зашифруется. К примеру если вы шифровали папку с наименованием "Новая папка", то после выполнения операции шифрования папки вы получите два файла, первый из которых будет простым архивом с наименованием "Новая папка.zip", а второй с наименованием "Новая папка.zip.pgp" – зашифрованным файлом архива. Простой архив с наименованием "Новая папка.zip" при необходимости следует удалить, как и оригинальную папку, оставив на хранение только зашифрованный файл.


 (12 Кб)
рис.14


Расшифрование папки происходит в обратной последовательности. Вам нужно лишь дважды кликнуть по зашифрованному файлу и в появившемся окне ввести пароль к своему приватному ключу. После расшифровки вы получите архив папки в незашифрованном виде, который после будет необходимо просто распаковать встроенным в оболочку Gnome архиватором.


Шифрование симметричным алгоритмом


К сожалению апплет шифрования оболочки Gnome не предоставляет графических средств для шифрования файлов симметричными алгоритмами шифрования, хотя GnuPG дает такую возможность. Если вы хотите зашифровать свои файлы именно симметричным алгоритмом шифрования либо если у вас нет ключа, то вы можете сделать это использую терминал. При зашифровке файла симметричным алгоритмом вам придется дважды, во избежание опечаток, ввести пароль шифрования (вводите пароль в латинской раскладке клавиатуры!). Для того, что бы зашифровать файл name, лежащий в домашней папке, нужно все лишь дать команду



или еще проще



В результате вы получите зашифрованный файл name.gpg. Во втором случае в команду не включена функция modification detection code – это хеш, проверяющий целостность сообщения.
Примечание: Если ваш файл name лежит не в домашнем каталоге, а к примеру в каталоге /home/user/Документы, то вам придется указать путь целиком.


Для расшифровки файла вам придется дать команду



после которой ввести тот же самый пароль, который использовался при зашифровке вашего файла. Либо можно просто дважды кликнуть по зашифрованному файлу для получения окна ввода пароля.


Заключение


В данном небольшом руководстве описаны далеко не вся функциональность апплета шифрования. В частности не описаны операции импорта и экспорта через ключевые сервера чужих ключей, операции проверки достоверности ключей и их подписания. Все это вы сможете найти в большом количестве материалов в сети интернет, отличия будут касаться лишь того, что данный апплет позволяет использовать удобный графический интерфейс встроенного функционала оболочки Gnome.


В заключении нужно отметить, что используя апплет шифрования вы сможете шифровать не только информацию для себя, но и для других пользователей, открытые ключи которых будете иметь в программе (вкладки "доверяемые ключи" и "другие собранные ключи" окна программы "Пароли и ключи шифрования"). При этом сообщения можно посылать непосредственно по почте, без вложенных файлов (при этом лучше использовать режим почтовой программы для составления письма – простой текст). Кроме того, другие пользователи смогут шифровать информацию для вас, если у них будет ваш открытый ключ (вы сможете его отправить по почте в открытом виде, либо разместить на ключевом сервере). При этом у вас не будет необходимости обмениваться паролями для ключей, вы должны знать только ОДИН пароль к своему ключу шифрования. Никогда не путайте открытый и приватный ключи между собой, приватный ключ должен быть только у вас, открытый ключ вы можете свободно распространять среди своих друзей и знакомых в совершенно открытом виде для того, что бы они могли шифровать для вас сообщения и проверять вашу электронную цифровую подпись.


 
Много комментариев (26) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3