Общие вопросы

Что такое PGP?

Прикладная криптосистема PGP (Pretty Good Privacy, Довольно хорошая секретность) была разработана и опубликована в интернете в 1991 году программистом и математиком Массачусетского Политеха Филиппом Циммерманом, по сути, оказавшись первым продуктом подобного уровня, представленным для свободного доступа всему миру (за что впоследствии Циммерман поплатился несколькими годами уголовного преследования со стороны Таможенной службы США — в то время экспорт стойких криптотехнологий за пределы Штатов был запрещён). Изначальной целью разработки была защита гражданских прав пользователей глобальной сети, а главной задачей программы стала криптографическая защита электронной почты — шифрование.

Программа основана на так называемой асимметричной криптографии, использующей взаимосвязные пары ключей: закрытый, хранящийся только у владельца для цели расшифрования данных и их цифрового подписания, и открытый, который не нуждается в защите, может быть широко распространен и используется для зашифрования и сличения цифровых подписей (все эти уникальные возможности достигаются засчёт особого математического аппарата). Это идеальное решение для людей, не имеющих существующего согласованного тайного ключа. Вы можете взять открытый ключ адресата из любого открытого источника, с его Интернет-сайта, например, зашифровать сообщение и отправить. Никто, кроме получателя с соответствующим закрытым ключом, не сумеет прочитать ваше письмо.

С тех пор PGP претерпел значительные изменения и преобразился, как согласно духу времени и новых угроз, так и вследствие того, что теперь значительную часть пользователей программы составляют не только обычные люди, но и крупные организации и бизнесы. Сегодня PGP — это несколько линеек приложений, различающихся назначением и перечнем решаемых задач, функциональностью, принципами работы и средой исполнения, но объединённых полной совместимостью благодаря стандарту OpenPGP, а также своей исключительной надёжностью в обеспечении защиты информации.

Долгая история PGP привлекла к криптосистеме внимание огромного числа пользователей, исследователей, специалистов. Тому способствовал и ряд дополнительных обстоятельств. Во-первых, программа всегда была условно-бесплатна. Даже после перехода разработки на коммерческие рельсы продолжают выходить freeware-версии, отличающиеся от платных лишь чуть меньшей функциональностью (по большому счету, только отсутствием PGPdisk). Во-вторых, разработчики — выдающиеся программные инженеры и эксперты в области информационной безопасности — всегда публиковали исходные тексты программы для их свободного изучения, что является необходимым условием для поддержания высокой надёжности и выдающейся репутации системы. Закрытые исходные тексты лишь осложняют изучение программы на наличие брешей, "потайных ходов" и ошибок в реализации. С другой стороны, тот факт, что даже наличие открытых исходных текстов не привело к взлому PGP, красноречиво свидетельствует о надёжности программы.

За дополнительной информацией обращайтесь в раздел Софт.

Что такое GPG / GnuPG?

GnuPG (GNU Privacy Guard, Страж приватности GNU) — это свободный некоммерческий аналог PGP, как и PGP, основанный на IETF-стандарте OpenPGP. Разработка программы под эгидой GNU Privacy Project финансируется Федеральным министерством Германии по экономике и технике. Само же ПО является так называемым open source, т.е. распространяемым в исходных текстах для обеспечения надёжности и облегчения изучения на предмет уязвимых мест; по нормам лицензии GPL полностью бесплатно как для некоммерческого, так и для коммерческого использования.

Изначально разработка была нацелена на операционную систему Linux, однако позднее была адаптирована и под Win32-совместимые системы. GnuPG обладает всеми аналогичными PGP возможностями шифрования / подписания текста и файлов, но не имеет таких функций, как Wipe, SDA, PGPdisk (при этом в последних стабильных версиях вводится поддержка смарт-карт и аналога стандарта S/MIME — gpgsm). Также, исходя из своей первоначальной нацеленности на Linux, не предоставяет никаких намёков на графический интерфейс, работа осуществляется из командной строки. В то же время, благодаря простым интерфейсам программы, для нее существует ряд графических оболочек, например, WinPT[создать] или GPGshell[создать], дополняющие GnuPG PGP-подобным пользовательским интерфейсом. Существует и дополнительный плагин[создать] для email-клиента Outlook.

GnuPG — исключительно гибкое решение, интегрированное во множество приложений и имеющее большое количество расширений[создать], все разработанные независимыми группами и распространяемые по нормам GPL.

За дополнительной информацией обращайтесь в раздел Софт.

Что такое OpenPGP?

OpenPGP — это стандарт, выросший из программы PGP, получившей в Интернете к середине 90-х повсеместное распространение как надёжное средство шифрования электронной почты. Став стандартом де-факто, PGP начал встраиваться во множество приложений и систем.

Чтобы обеспечить совместимость и интероперативность всех этих систем и других, которые могли бы появиться в дальнейшем, организацией Internet Engineering Task Force был утверждён документ RFC 4880 (сменивший RFC 2440 и RFC 1991, в рамках которых были реализованы ранние версии PGP), описывающий стандартное форматирование, синтаксис, нотацию и кодировку пакетов PGP, а также стандартно используемые алгоритмы. Используя эти открытые спецификации, любой разработчик получил возможность написать программу, совместимую со всеми иными, основанными на этом стандарте.

Зачем мне всё это нужно?

Все интернет-пользователи должны отчётливо понимать, что обычная электронная почта и сетевая связь не предоставляют совершенно никаких механизмов защиты, и любое сообщение может быть прочитано множеством людей, не имеющих отношения ни к отправителю, ни к получателю письма, даже без всякой нужды осуществлять его целенаправленный перехват. Копия сообщения остаётся в кэше сервера вашего интернет-провайдера, сетевые серверы у вас на работе, в университете или в интернет-кафе, не говоря о бесплатных почтовых службах вроде mail.ru, также сохраняют копию, копии остаются на всех серверах, через которые сообщение проходит по пути к адресату. Системные администраторы этих серверов могут по своему желанию прочитать ваше письмо и переслать его, кому захотят. Спецслужбы крупных государств в рабочем порядке сканируют электронную почту на предмет подозрительных ключевых слов и фраз (система ECHELON (глобальная, США), проект Carnivore (национальный, США), российские системы СОРМ и СОРМ-2 и множество иных подобных по всему миру). С помощью PGP вы можете зашифровать сообщение для своего адресата, даже если никогда прежде с ним не общались. Все названные организации и люди смогут по-прежнему получить доступ к зашифрованному письму, но уже не будут иметь ни малейшего представления о его содержании. Таков принцип секретности.

Кто угодно может перехватить ваше сообщение и отредактировать его содержание; кто угодно может отправить сообщение, выглядящее так, будто отправлено лично вами (обратный адрес и служебные заголовки письма легко подделываются и модифицируются). С помощью PGP вы можете электронно подписать своё письмо, заверяя не только его авторство, но и конкретное содержание. Получив письмо, адресат сверит вашу электронную подпись (ЭЦП), чем установит, что а) отправителем являетесь именно вы и б) сообщение получено им ровно в том виде, в каком оно было подписано вами (т.е. не было по пути кем-то подделано или изменено). Таков принцип подлинности.

Оба этих принципа в исполнении PGP в равной степени относятся как к электронной почте, так и к файлам, хранящимся в вашем компьютере или передаваемым через сеть. Оба этих принципа использовали и используют с начала 1990-х десятки тысяч совершенно разных людей и организаций по всему миру: юристы и практикующие врачи, защищающие адвокатскую и врачебную тайну, финансовые консультанты, защищающие информацию по налогам и вкладам своих клиентов, компании, защищающие свои научные разработки, личные дела своих сотрудников, переговоры о планируемых контрактах, государственные структуры, правозащитники, журналисты, параноики, программисты, политики, граждане тоталитарных режимов, тайные любовники – просто люди, обеспокоенные сохранением своей информации, какой бы она ни была и каких бы денег ни стоила, в тайне от посторонних глаз. А на вопрос, нужно ли всё это конкретно вам, должны ответить вы сами.

А если мне нечего скрывать? Должен ли законопослушный человек предпринимать действия, защищающие его от государственной слежки?

Граница между государством и коммерческими структурами размыта, в ряде стран личные сведения о гражданах в широком объёме собирают коммерческие компании, которые перепродают их в анонимизированном (что не всегда полностью соблюдается) виде другим коммерческим структурам и в более полном объёме — государству. Отдельные сведения могут быть безобидны, но их совокупность и изучение корреляций между ними может раскрыть другие сведения, которые человек не хотел бы выдавать, если бы мог об этом догадаться. Профилирование личности на основе массированного сбора информации может использоваться для создания негативного мнения о человеке и принятия решений о его судьбе различными инстанциями без его возможности повлиять на это, так как этот процесс осуществляется скрытно, непрозрачно и неподконтрольно для общества, что даёт почву для коррупции и злоупотреблений со стороны властей (часто в союзе с коммерческими организациями и транснациональными корпорациями). Кроме того, даже если сбор сведений о конкретном человеке не причиняет вреда ему лично, это может негативно отразиться на обществе в целом.

Сторонники приватности исходят из изначальной ошибочности аргумента "мне нечего скрывать" и считают такую постановку вопроса неверной, также как и противопоставление потребностей человека на приватность и потребности общества на безопасность — они не всегда соприкасаются так, чтобы можно было сделать выбор на основе баланса их отдельных ценностей.
Наиболее обоснованная позиция по этому вопросу дана в статье "Мне нечего скрывать" и другие ошибочные толкования приватности.

С чего мне начать?

Скачайте GnuPG или бесплатную (freeware) версию PGP, которые позволят освоиться и разобраться, нужно ли вам всё это (самые свежие версии можно найти в разделе Софт). Обязательно прочтите материал "Введение в криптографию", написанный автором программы Филом Циммерманом, поскольку он в популярной форме представляет подробное описание базовых понятий и концепций PGP и криптографии в целом, без понимания которых вам будет чрезвычайно сложно продолжить. Прежде, чем начать работу с программой, ознакомьтесь с Руководством пользователя, дающим подробные инструкции по выполнению любых задач. Желательно изучить и другие материалы в разделе Библиотека. Если какие-то вопросы останутся неразрешёнными, внимательно просмотрите данный раздел — Часто задаваемые вопросы. Если же и здесь вы не обнаружите нужных ответов, загляните в наш форум: там вы найдёте решения более конкретных и узких проблем, и, если с вашей прежде никто не сталкивался, сможете вынести её на всеобщее обсуждение.

Почему именно PGP, а не что-либо другое?

PGP имеет ряд преимуществ перед большинством программ и стандартов (таких, как X.509 и S/MIME) криптографической защиты информации. В сочетании же они обеспечивают ту надёжность и гибкость системы, за которую она стала так популярна и получила столь широкое распространение. Вот некоторые из достоинств криптосистемы PGP:

• Используется по всему миру уже более десяти лет (первая версия была опубликована в 1991 г.).
• Основана на шифровании открытым ключом, что исключает необходимость передавать адресату секретный пароль (как при обычном шифровании).
• Лежащий в её основе стандарт OpenPGP был принят организацией IETF в качестве интероперативного стандарта Интернета, и сегодня используется во множестве различных программ, обеспечивая их полную совместимость.
• Поддерживает асимметричные ключи длиной до 4096 бит, перекрывающие стойкость 128-битовых симметричных шифров, не приводя к эффекту бутылочного горлышка.
• Поддерживает блочные шифры с длиной ключа вплоть до 256 бит.
• Пользователь самостоятельно генерирует свои пары открытых / закрытых ключей и выбирает используемые алгоритмы шифрования.
• Пользователь может иметь множество ключей для различных задач и целей и самостоятельно заменять их в любое время по желанию или по необходимости.
• В качестве модели отношений доверия реализована распределённая децентрализованная схема Web of Trust, где каждый пользователь лично выбирает источники доверия ключей, а также сам может выступать заверителем чужих ключей, поручительствуя в их благонадёжности.
• Использует только опубликованные, проверенные временем и проанализированные лучшими криптографами мира алгоритмы.
• Исходные тексты программы (для версий 1.x, 2.x, 5.x, 6.x, 8.0 и выше) опубликованы и доступны для свободного изучения.
• Криптографическое ядро PGP SDK, реализованное в PGP 8.1 и выше и в ряде других продуктов, сертифицировано Национальным институтом стандартов и технологий США (NIST) на соответствие нормам безопасности FIPS PUB 140-2.
• Де-факто является стандартом шифрования электронной почты с огромной пользовательской базой.
• Программа бесплатна для частного некоммерческого использования.
• Обеспечивает сквозное шифрование и безопасную связь с пользователями любой операционной системы, email-клиента и почтовой службы.
• Криптографические преобразования информации производятся только на компьютерах пользователей с помощью ключей, хранящихся только на компьютерах пользователей.
• Поддерживает симметричное шифрование (шифрование только секретным паролем). Позволяет создавать т.н. саморасшифровывающиеся архивы (SDA), защищённые симметричным ключом, которые может распаковать пользователь, не имеющий установленной системы PGP.
• Поддерживает электронные цифровые подписи (ЭЦП), позволяющие заверить авторство и целостность передаваемой информации.
• Имеет официальные и неофициальные плагины для большинства популярных email-клиентов. Функция работы с активным окном позволяет легко использовать PGP в любых мыслимых приложениях.
• Не имеет встроенных "закладок", "люков", "потайных ходов", механизмов депонирования и восстановления ключей, что не допускает возможности получения несанкционированного доступа к зашифрованной информации.

Что такое PGP Freeware, PGP Desktop, PGP Universal, и чем они отличаются друг от друга?

Названия, стоящие следом за PGP, – это наименования линеек (разновидностей) программы. Если коротко, их нюансы и различия в следующем:

Я слышал и обеспокоен тем, что исходные тексты последних версий PGP не предоставляются для свободного доступа. Это правда?

Нет, это не так. Исходные тексты всех версий PGP вплоть до 6.5.8 включительно и от 8.0 и выше находятся в открытом доступе на различных сетевых ресурсах (см. раздел Софт). Закрытыми остаются лишь исходники версий 7.x, что было обусловлено политикой компании Network Associates, бывшего держателя прав на торговую марку PGP, в 2001 году передавшего их компании PGP Corporation.

Где можно узнать историю версий и изменений PGP?

См. подраздел PGP в разделе Софт.

PGP версий 8.х больше не поддерживается разработчиками. Где его теперь можно найти?

Дистрибутивы PGP 8.x есть на некоторых сторонних сайтах. Воспользуйтесь информацией и ссылками в этой теме форума. Перед установкой программы обязательно проверьте электронную подпись дистрибутива. Но в любом случае не забывайте, что PGP 8.x основан на существенно устаревших спецификациях OpenPGP, и его использование в определённых условиях может быть небезопасным.

Я хочу добиться высокой степени безопасности своей системы. Как и какими средствами мне этого достичь?

Достижение любой цели не обходится без определённых жертв (переосмыслив которые в будущем, Вы можете даже принять их за благо), и важным шагом на таком пути будет отказ от MS Windows. Однако, это не означает что переход произойдёт моментально и без трудностей, но нужно понемногу работать в этом направлении и изучать Unix-системы, Linux или *BSD.

Зацикленность людей на Windows и поиск решений для укрепления этой ОС напоминает визит к врачу тяжело больного пациента, который просит быстродействующего и быстропомогающего лекарства. Врач понимает, что такое лекарство может ему временно помочь, однако оно не вылечит болезнь, не увеличит срок жизни, и больной всё равно продолжит идти к могиле. Вместо этого ему предлагаются кардинальные методы (*nix-система), которые могут помочь, но они не действуют моментально, требуют терпения и выдержки, требуют сменить привычный образ жизни, требуют регулировать своё питание, и ещё много в чём себя контролировать/исправлять. Но, как показывает практика, больные в большинстве тем не менее выбирают морфий Windows.

Почему переход на *nix так важен? Открытй код — это полдела. Важнее — свободный код, GPL-код, BSD-код. Это не просто некий побочный факт — это своя философия. Это значит, что:

• Вы можете проверить собственноручно код каждой программы.
• Если вы не можете проверить код сами, вы можете надеяться на то, что он был проверен другими, ибо код открыт для всех.
• Пользуясь открытостью кода, часто можно решить подручными средствами какие-то проблемы, решение каковых в закрытых ОС типа Windows потребует как минимум дизассемблера.
• Если вам хочется внести свой вклад, вы можете написать свой код и распространять его на тех же условиях в том же сообществе, при этом вы можете взять за основу уже существующий проект, и этим вы не нарушите ничьих прав/лицензий.
• Из-за открытости кода, основополагающие компоненты (ядро, базовые библиотеки, и т.д.) в большинстве своём действительно высокого качества и крайне безопасны. (Стандартный заезженный пример гласит, что за удалённо эксплуатируемую уязвимость, к примеру, в ключевом сервисе OpenSSH вы можете выручить денег, достаточных на покупку квартиры в Москве, и даже скорей всего не одной. Сравните с числом дыр в Internet Explorer и почувствуйте разницу.) Впрочем, обычных пользовательских программ это часто не касается — они порой бывают ещё более сырыми, чем проприетарные, но, основываясь на надёжности кода самой ОС, такую дырявость можно нейтрализовать.
• В силу сложившихся обстоятельств и ряда принципиальных особенностей, под открытые ОС не распространяются вирусы, черви и трояны, и вряд ли будут когда-либо так распространены под них, как сейчас под Windows.

$ cat /boot/config-X.X.X-X-ARCH |grep AES_NI
CONFIG_CRYPTO_AES_NI_INTEL=m

$ cat /proc/modules |grep -i AES
aesni_intel XXXXX 128 - Live 0xXXXXXXXXXXXXXXXX
aes_ARCH XXXXX 1 aesni_intel, Live 0xXXXXXXXXXXXXXXXX
aes_generic XXXXX 2 aesni_intel,aes_ARCH, Live 0xXXXXXXXXXXXXXXXX
cryptd XXXXX XX ghash_clmulni_intel,aesni_intel, Live 0xXXXXXXXXXXXXXXXX

$ lsmod |grep -i AES
aesni_intel            XXXXX  128 
aes_ARCH               XXXXX  1 aesni_intel
aes_generic            XXXXX  2 aes_ARCH,aesni_intel
cryptd                 XXXXX  XX aesni_intel,ghash_clmulni_intel