GnuPG по русски
Поскольку на сайте нет ссылок на русские документы по GnuPG, то я решил дать здесь несколько основных ссылок.
http://www.arh.ru/~zwon/gnupg-docs.html
Эту страничку ведет Павел Шайдо. Здесь размещены переводы:
– руководство GNU по обеспечению конфиденциальности "The GNU Privacy Handbook";
– руководства по использованию GnuPG версий 1.2.x и 1.3.x;
– перевод FAQ по GnuPG;
– перевод интерфейса для ветки 1.3.x
На официальном сайте GnuPG функционирует (неофициальная) дискуссионная почтовая рассылка gnupg-ru at gnupg.org. Для подписки необходимо отправить пустое письмо по адресу request-gnupg-ru@gnupg.org с темой subscribe
комментариев: 1 документов: 0 редакций: 0
https://www.dewinter.com/gnupg.....GMiniHowto.html#toc3
Mini HOWTO (Off site gнupg.org)
1.Концепия
1.1. Публичный Ключ Шифрования
Классический метод для шифрования – это использовать только один ключ для шифрования. Отправитель шифрует сообщение этим ключом. Для возможности расшифровки этого, отправитель нуждается в этом или очень похожем ключе. Этот ключ должен быть дан отправителем путем, к которому другие не будут иметь возможности доступа.
Если кто-нибудь будет владеть ключом, то этот метод шифрования становиться бесполезным.
Использование так называемых Публичных Ключей может решить эту проблему. Публичные ключи – это концепция двух связанных ключей. Один ключ – это Публичный Ключ: что может быть распространен через все сорта медиа, и может быть получен любым пользователем. Другой ключ – это Приватный Ключ. Этот ключ секретный, и не может быть распространен. Этот ключ доступен только владельцу. Когда система хорошо обеспечена инструментарием, секретный ключ не может быть выведен, как производная, из публичного ключа. Отправитель будет шифровать сообщение с помощью публичного ключа, принадлежащего отправителю. Затем, расшифровка будет происходить вместе с ключом отправителя.
Ключевым в этой концепции является то, что этот секретный ключ не должен быть рассекречен или стать доступным кому-либо еще, кроме владельца этого ключа. ВЫ НЕ МОЖЕТЕ ОТПРАВЛЯТЬ ЭТОТ КЛЮЧ ЧЕРЕЗ ИНТЕРНЕТ. Так же, это очень неумно использовать GnuPG через telnet (Вы можете никогда не рассматривать использование telnet, который базируется на высоких рисках безопасности).
1.2 Цифровая Подпись.
С целью проведения проверки, что это сообщение было действительно отправлено предполагаемымили отправителем, была придумана концепция Цифровой Подписи. Как письмо подписанное именной подписью (ред.), сообщение подписано в цифровом формате отправителем. Используя эту подпись Вы можете проверить аутентичность (подлинность) сообщения. Используя это, будет сокращен риск oт Троянских коней (сообщение, что требуется пропатчить несколько проблем, на самом деле, содержать вирус или совершать, что-нибудь плохое с данными на Вашем компьютере). Также информация или данные могут быть проверены, как пришедшие из легального источника, что располагает Вас открыть данное сообщение. (ред.)
Цифровая подпись собирается (составляется) через комбинацию секретных ключей и текста. Используя публичный ключ отправителя, сообщение может быть проверено. Не только будет проверено, вовлечен ли правильный отправитель, но, также, будет проверен контент. Так Вы знаете, что сообщение приходит от отправителя и не изменено в течении процесса транспортации.
1.3. Сеть доверия
Слабое место алгоритмов Публичного ключа – это распространение публичных ключей. Пользователь должен распространять публичный ключ с фальшивым user ID. Если с этим индивидуальным (детальным) ключом отправлено сообщение, человек, незаконно присваивающий чужие права может декодировать и читать сообщения. Если этот назойливый человек просмотрит Ваше сообщение с фальшивы ID(ред.), затем бесшумно с подлинным публичным ключом запрограммированным актуальному адресату(получателю), совершит какие-либо действия,(ред.) эта атака не будет достойна внимания.
PGP решение (и исходя из этого автоматически GnuPG решение) продолжает существовать в кодовых знаках. Публичный ключ может быть подписан другими людьми. Эта подпись квитирует (обеспечивает надежный способ обмена информации, признает подлинным), что ключ используется UID (User Identification) действительно принадлежащим персоне, заявляющей это. Затем, это доходит до пользователя GnuPG так, как далеко доверие в сигнатуре.
//подписи
Вы можете рассматривать ключ, как заслуживающий доверия, когда Вы доверяете отправителю ключа, и Вы знаете достоверно, что ключ действительно принадлежит этой персоне. Только когда Вы можете доверять ключу, подписавшейся стороны, Вы можете доверять сигнатуре
Быть абсолютно на позитиве, что ключ правильный – неверно(ред.), Вы должны сравнивать напечатанный ключ, самостоятельно, через испытанный канал, прежде чем абсолютно доверять.
1.4. Границы обеспечения безопасности (защиты, скрытности).
Если Вы имеете данные, которые Вы предпочитаете сохранить конфиденциальными, то тут нужно(ред.) гораздо больше, чем просто убедительный алгоритм шифрования для использования. Вам следует подумать о Вашей системе обеспечения безопасности в корне. На базовом уровне мы рассматриваем PGP, чтобы быть защищенным, и, так как я пишу этот документ, не было случаев известных мне, чтобы PGP был взломан. Но это не значит, что все шифрование должно быть безопаснее (к примеру NSA не будет информировать меня если они крэкнут PGP как-нибудь, и другие не расскажут если совершили взлом).
Но даже если PGP полностью не поддается взлому, другие способы могут быть использованы для атак на безопасность. Ранее в Феврале 1999 Троянский Конь был найден, что искомые для секретных PGP ключей на жестком диске и FTPешные (видимо украли через ftp-server).(ред.)
Если пароль был выбран плохо, секретные ключи могут легко быть взломаны.
Другая техническая вероятность (более трудоёмкая) – это Троянский Конь, что ретранслирует клавиатурные входы. Также, возможно, (но очень трудоёмко) переслать контент скрина. Затем не взламывая скремблированые сообщения (шифрованные) получить ключ (ред.).
Для всех этих рисков, здесь, нужно быть хорошим, хорошо-знающим план-защиты, который актуально развернут (дислоцирован).
Цель не создать паранойю среди людей, но обратить внимание, что много нужно сделать, чтобы быть защищенным. Наиболее важные темы – это реализовать шифрование, как просто один шаг к безопасности, и это не тотальное решение. Троянские кони, когда они появились в Melissa virus, в марте 1999, провели проверку многих компаний, что они не готовы для этого.(ред.)
2.Установка
2.1 Источники для GnuPG
Официальный сайт установки GnuPG Homepage.(ссылка) На этом размещении Вы будете находить ссылки на зеркала. Наступившее легальное препятствие не разрешает загружать GnuPG с серверов базируемых в USA. USA фиксируют ограничение экспорта на экспорт криптографического софта. Вот почему PGP всегда доступно в интернациональнольной и национальной (для США) версии. Для интернациональной версии источник шифра экспортирован в книгопечатном формате. В Европе он был отсканирован. Много информации может быть найдено на International PGP Homepage (ссылка). Интернациональная версия PGP свободна для импорта в США до тех пор пока она не ре-экспортируется опять.
Если Вы готовы установить версию GnuPG или PGP, Вам следует проверить сигнатуру файла.(see Signature) – ссылка.
2.2 Конфигурация
Вы можете получить GnuPG как Debian Package, как RPM package (Redhat Package Manager) или в исходном коде. GnuPG включен в последнюю поставку Fedora/Redhat Linux. Для проверки если у Вас есть установленный на Вашу систему GnuPG, используйте:
rmp -q gnupg
Пакеты установлены, как бинарные файлы с инструментарием требуемым для Linux платформ. Если Вам нужен GnuPG для различных платформ, Вам нужно скомпилировать его самим. Это будет высоко оценено, когда Вы соберете альтернативную инсталляцию методов для различных платформ доступных главной публике.
С разработки для главных частей берете место с Linux (x86), перевод различных систем может не располагать наличие проблем. Актуальный лист знакомых операционных систем, которые поддерживают GnuPG могут быть найдены на GnuPG Homepage (link). Процедура описана ниже – это хорошие независимые платформы. Процедура может быть использована для установки GnuPG из исходного кода tar-ball.
Распакуйте tar-ball с следуемыми параметрами, Для исходников сжатых с zip используйте:
tar xvzf gnupg-?.?.?.tar.gz
Для исходников сжатых с помощью gzip используйте:
tar xvjf gnupg-?.?.?.tar.bz2
После распаковки, пожалуйста, перейдите к следующему шагу в директорию, содержащую исходный код. Затем, напечатайте:
./configure
Когда сделаете это, ничего особенного не будет происходить. С
./configure --help
Вы можете просмотреть доступные настройки конфигурации для компиляции. Если происходят проблемы, которые должны происходить с интернализацией (gettext), Вы можете включить версию, что доставлена с исходным кодом через использование опции: --with-included-gettext или --disable-NLS опцию.
2.3. Компилировать
После этого мы хотим скомпилировать материал, печатая:
make
Это будет работать без каких-либо проблем. Если какие-либо проблемы происходят, перейдите к следующему этапу (в схожих целях, как описано здесь): во-первых попробуйте решить это сами (конечно также используя доступную документацию). Затем будьте уверенны, что Ваша проблема не знает багов (проверьте BUGS файл на http://www.gнupg.0rg). Затем спросите кого-нибудь, кого Вы знаете. Если эти шаги не решают Вашу проблему, выложите пост с вопросом на GnuPG-mailing List (смотрите Informationsources (ссылка)). Если проблема – это связанный путьили, Вам следует попробовать make clean, затем запустите configure снова и повторите компиляцию. Если это не будет работать, то настало время паниковать.
2.4 Инсталляция
Сейчас напечатайте:
Make install
Копировать программу и man-pages
(Для их отображения служит команда man) в инсталляционную директорию. Если Вы не изменили инсталляционную директорию, когда Вы сделали ./configure,
то Usr/local/share/gnupg/ будет инсталляционной директорией. Вы можете найти эту директорию в файле options.skel. Когда Вы измените этот файл – Options.skel. Если Вы копируете это в /.gnupg/options назначенные настройки будут использованны, как стандартные.
Копирование будет происходить автоматически, когда создаётся /.gnupg/.
Все возможные опции хорошо задокументированные и раскрытые, они здесь будут не действительными.
Вы можете запустить GnuPG, как suid root. Так, программа запущена со всеми правами супер-пользователя. Для совершения этого, Вы исключаете возможность, что несколько частей программы зарезервированные внешне, затем, будут прочитаны кем-угодно. Это не выполнимо для меня оценить(критиковать) объем этого риска. Но запуская программу, как suid root одна будет тревога – опасность Троянских коней. Когда Троянский конь запущен, как суперпользователь, он может повредить всей системе. Если по этой причине (или по другой причине) Вы выберете не запуск GnuPG как root, Вы можете выключить опасность через настройки no-secmem-warning в /.gnupg/options.
3.Использование ключей
3.1. Создание ключей
C
gpg --gen-key
Новая пара ключей создана (пара ключей: секретный и публичный ключ). Первый вопрос – это какой алгоритм может быть использован. Вы можете прочитать больше о алгоритмах в PGP DH vs. RSA FAQ (link) или в Applied Cryptography(link). Вы можете проще (и может быть Вы будете – это используется широко) использовать DSA/EIGamal. Это не запатентовано.
Следующий вопрос это длинна ключа. Это то, что очень зависит от пользователя. Вам нужно выбрать между безопасностью и подсчетом времени. Если ключ длиннее, то риск для взлома сообщения, когда происходит перехват, сокращается. Но с б0льшим ключом, подсчет времени, также, повышается. Если компьютерное время расходитсяили Вам следует рассматривать то, что Вы хотите использовать, какое-то определенное время. Мы все знаем, что арифметические исполнения увеличиваются очень быстро, когда новый процессор собирается быстрее и быстрее. Так, запомните это. Минимальная длина ключа – это 768 бит. Однако, некоторые люди говорят, что Вы можете владеть ключом 2048 бит (это максимум с GnuPG на данный момент). Для DSA 1024 – это стандартный размер. Когда безопасность в типовом приоритете и исполнение результата менее приоритетно, Вы должны выбрать больший размер ключа действительным.
Система сейчас спрашивает ввести имя, комментарий и e-mail адрес. Базируясь на введенном здесь, код калькулируется. Вы можете изменить эти настройки позже. Смотрите Administering keypairs(link).
В финале, Вы должны ввести пароль (актуальная парольная фраза будет более подходящая, ?когда бланк разрешает?). Этот пароль используется, и возможен для использования функционально, как принадлежащий Вашему секретному ключу. Хорошая парольная фраза включает следующие элементы:
– она длинная;
– она имеет специальный (не буквенно-цифровой) характер;
– она чем-то особенная (не имя);
– её очень трудно угадать (так, это не имя, дата рождения, телефонный номер, номер кредитной карты, текущий чековый счет, имена или количество детей, …)
Некоторые используют регистр, Вы можете простроить добавочную защиту. Когда Вы делаете пароль будьте уверенны, что Вы ЕГО НЕ ПОТЕРЯЕТЕ! С того момента, как Вы сделаете нечеткое сообщение и используете Ваш секретный ключ. Может быть мудреная генерация некоторых видов сертификата включающего эту информацию (конечно же, будьте осторожны, чтобы никто не получил Вашу парольную фразу). Смотрите Revoke(link).
После чего-либо введенного, система начинает генерацию ключей. Это займет некоторое время. В течении требуемого времени нужно собрать много произвольных (рандомных) данных. Для работы в различных экранах (скринах) Вы можете воспользоваться помощью системы сбора измененных рандомных (случайных) данных. Как Вы понимаете сейчас, ключ будет всегда разный. Если Вы генерируете ключ сейчас и на 5 минут позже, с точно такими же данными, Вы получите два разных ключа. Теперь, Вы должны понимать, почему Вы не должны потерять пароль.
3.2. Экспорт ключей
Команда для экспортированная ключа для пользователя:
Gig --export [UID]
Если нет в UID символа замещения (ошибочного знака в коде передачи данных) все настоящие ключи будут экспортированы. По умолчанию вывод установлен командой stdout. Но с -о опцией это отправиться в файл. Это может быть целесообразно, использовать опцию -a, чтобы написать ключ в 7-и битный ASCII файл, вместо бинарного файла.
Для экспорта публичного ключа, Вы можете расширить Ваш горизонт. Другие могут начать контактировать с Вашей безопасностью. Это может быть сделано с помощью публикации этого на Вашей домашней странице, вручную или через серверный ключ наподобие http://www.pca.dфn.de/dfnpca/pgp$erv/ или другими методами, которые Вы можете не знать.
3.3 Импорт ключей
Когда Вы отправляли кому-нибудь публичный ключ (или несколько публичных ключей) Вы должны были добавить их к Вашему ключу базы данных, с целью получить доступ к их использованию. Импорт в базу данных, осуществляется командой, похожей на эту:
Gig --import [Filenme]
Если имя файла опущено, данные будут прочтены из stdin
3.4 Отзыв ключа
По некоторым причинам Вы можете захотеть отозвать существующий ключ. К примеру: секретный ключ был украден или стал доступен ненужным людям, UID был изменен, ключ не достаточно длинный, и т.д. Во всех этих случаях команда отзыва ключа:
gpg --gen-revoke
Это сертификат отзыва. Чтобы быть способным это сделать, Вам нужен секретный ключ, иначе кто-нибудь может украсть Ваш сертификат. Здесь есть один недостаток. Если я не знаю парольную фразу, ключ становиться бесполезным. Но я не могу украсть ключ. Преодолеть эту проблему – это умудриться украсть лицензию, когда Вы создаете пару ключей. Если Вы сделаете это, сохраните её! Это может быть на диске, бумаге или т.д. Будьте уверенны, что этот сертификат не попадет в ненужные руки!!! Если Вы не сделаете, кому-нибудь еще может украсть сертификат для Вашего ключа и сделать бесполезным.
3.5 Ключевое администрирование
С GnuPG системой пришол файл, что фактически, он имеет (в некотором роде) вид базы данных. В этом файле все данные расположения ключей с информацией, что приходит с зарезервированными ключами(?). (Линк). С
gpg --istlkeys
все настоящие ключи будут продемонстрированы. Чтобы видеть сигнатуру, напечатайте:
gpg --list-sigs
(Link) Key signing) Чтобы видеть печатный текст:
gpg --fingerprint
Вы хотите увидеть печатный текст чтобы убедиться, что кто-то действительно требуемая персона (как в телефонном звонке). Эта команда даст результат в виде листа, сравнительно маленького размера.
Чтобы увидеть секретные ключи, напечатайте:
gpg --list-secret-keys
Запись, что содержит печатный текст и сигнатуры из приватных ключей не используется какой бы то ни было.
С целью удалить публичный ключ Вы печатаете:
gpg --delete-secret-key
Есть одна более важная команда, которая значима для работы с ключами:
gpg --edit-key UID
Используя это Вы можете скомпилировать дату истечения срока, добавить печатный текст и подписать Ваш ключ. Это логично для упоминания. Для этого Вам нужна Ваша парольная фраза. Когда введете её, Вы будут видеть командную строку.
комментариев: 110 документов: 17 редакций: 16