Как изменить ключ для шифрования и подписи
Разбираюсь в работе с GnuPG без GUI. Сгенирировал 2 пары ключей. Командами шифрования и подписи используется первый созданный секретный ключ. Подскажите пожалуйста, как зашифровать или подписать другим ключом?
P.S. Использовал опции default-key [key_id] и local-user [key-id], не разобрался как их использовать. После выполнения команды с этой опцией появляется приглашение ввести какой-то текст, а после завершения ввода текста – ошибка.
Ссылки
[link1] https://ru.wikipedia.org/wiki/AWK
[link2] http://tau.rghost.ru/private/59446237/62dc850317c3c6ef49d1fdecd0440077/image.png
[link3] http://plasmon.rghost.ru/private/59446247/0c1d6d4c86ba6a51f3fa57730236bceb/image.png
[link4] https://www.pgpru.com/comment48145
[link5] https://www.pgpru.com/comment28036
[link6] https://www.pgpru.com/comment53441
[link7] https://www.pgpru.com/comment83247
[link8] https://wiki.debian.org/systemd#Installing_without_systemd
[link9] http://without-systemd.org/wiki/index.php/How_to_remove_systemd_from_a_Debian_jessie/sid_installation
[link10] http://without-systemd.org/wiki/index.php/How_to_remove_systemd_from_the_Netinst_CD
[link11] https://www.pgpru.com/comment84784
[link12] https://www.pgpru.com/comment76412
[link13] https://www.pgpru.com/comment70873
[link14] https://www.pgpru.com/comment84862
[link15] https://www.pgpru.com/comment70246
[link16] https://www.pgpru.com/comment36832
[link17] https://www.pgpru.com/comment39104
[link18] https://www.office.com/start/default.aspx?WT.mc_id=Office_Products_site
[link19] https://www.pgpru.com/comment84868
[link20] https://www.pgpru.com/comment84874
[link21] https://www.pgpru.com/comment84879
[link22] https://www.pgpru.com/comment57775
[link23] https://www.pgpru.com/novosti/2014/vrezuljtateauditaencfsvyjavleno11slabyhmestvorganizaciiprocessashifrovanija
[link24] https://www.pgpru.com/comment72570
[link25] https://www.pgpru.com/comment72850
[link26] https://www.pgpru.com/comment73746
[link27] http://www.privacylover.com/encryption/analysis-is-there-a-backdoor-in-truecrypt-is-truecrypt-a-cia-honeypot
[link28] https://www.pgpru.com/comment58602
[link29] https://www.pgpru.com/forum/rasshirenijaidopolnenija/agentproslojjkadljabezopasnojjrabotysgpgvunix
[link30] https://www.pgpru.com/comment78211
[link31] https://www.pgpru.com/comment84943
[link32] https://www.pgpru.com/comment84830
[link33] https://www.pgpru.com/comment87421
[link34] https://www.pgpru.com/comment70462
[link35] https://www.pgpru.com/comment87424
[link36] https://www.pgpru.com/comment87446
[link37] https://superuser.com/questions/211043/how-to-correctly-set-gnu-screen-to-display-currently-running-program-in-hardstat
Обычно шифруется (под)ключом получателя, подписывается ключом отправителя. Если даже для подписи как-то можно выбрать неумолчальный вариант, то для шифрования получателю лучше выбрать умолчальный. По умолчанию будет использоваться подходящий с т.з. программной реализации подключ основного ключа.
Если не интересуют тонкости работы с подключами, а только с ключами, то в общем виде всё как-то так:
gpg -v --armor --default-key [myUID] --encrypt-to [RecipientUID] --hidden-recipient [HiddenRecipientUID] --encrypt --sign
Можно короче:
gpg -v -R KeyID-кому -u 0xXXXXXXXX! -es file
Шифровать ещё и себе — это только если кто-то сильно хочет. Армор-вывод сильно удлинняет размер файла и обычно ненужен. --default-key и --encrypt-to — слишком глобальные опции, лучше делать вручную через -u. 0xXXXXXXXX — keyid главного ключа связки или конкретного подключа подписи, которым хочется подписать. Мне попадались случаи, когда получатель с -R не мог расшифровать файл, и потому приходилось перешифровывать стандартным образом.
Коллеги, прислушался несколько лет назад к Вашим советам освоить консоль. Логику понял, мнение свое изменил, на своем дилетантском уровне – освоил. Но блин, я не пойму логику использования консоли в GPG, ну т.е. всякие gpg -c/-e/-s/-d – да, порой так быстрее, особенно дешифровывать присланные файлы. Но вот шифровать (использую плагин seahorse), или вбивать вручную все эти 0xXXXXXXXX получателей – да я же офигею.. из за этого у меня пробел с подключами, хотелось бы наверстать. Вы все используете gpg в консоли? ну т.е. прям мне просто взять и принудительно перейти на консоль полностью и потом уже сноровка придет?
UPD: Движок ошибку выдает: "openSpace DBAL error: SQL query failed.", несколько раз подряд.
Да, только консоль предварительно должна быть настроена: подцветка, хороший конфиг для zsh, для screen/tmux, для других тулзов и т.д. Работать в сырой дефолтной консоли, конечно, можно, но не так удобно, как в настроенной.
Не вручную, а можно копипастить либо мышкой, либо средствами мультиплексора (screen или tmux) — это если вообще вбивать, а так можно не указывать ничего, и тогда gpg само спросит, кому шифровать. По крайней мере, с обычным получателем (-r) это так. Можно будет указать не keyid, а любую часть uid'а получателя (например, логин в мыле), и этого будет достаточно. Если кому-то шифруется часто, можно сделать специальный алиас в шелле, чтоб не набирать одну и ту же команду по многу раз с риском очередной раз ошибиться.
Гость (01/12/2014 16:39)
Спасибо за ответ.
Можно чуть подробнее, пожалуйста.
Ну т.е. я могу почту адресата указать? А она tab'аться будет?
Выкладывать конфиги, что ли?
Да, но это излишне. Если адрес — ressa@fsb.ru, то достаточно будет указать fsb или res (любую подстроку uid'а).
Насколько я знаю, нет.
Если UID по неполной строке (почта, ник и т.д.) даёт неоднозначный выбор адресата, то вместо таба этот выбор вариантов как-то отображается и подтверждается пользователем. Давно не сталкивался с этим, может там даже и были какие-то подводные камни, что возникла привычка указывать однозначный цифровой UID.
Господа, так какой алгоритм действий? Такой, примерно:
И так действительно в разы быстрее?
Проверил – буду знать, очень удобно, но ты прав – если буквы сходятся – он мне два раза не того адресата подсунул, т.ч. надежнее все-таки по UID.
Я был бы рад перенять опыт и заодно прокачать скиллы в консоле, потому, что указанные тобой "примочки" для меня вообще в новизну. Не пользовался ни разу. И консоль тоже не настраивал, единственно в стандартных настройках буфер консоли неограниченный делаю на всякий случай, чтобы потом найти что-нить, хотя и не пригождалось еще.
unknown, а прокомментируй пожалуйста вот это: 1 | awk {'print $2'} | awk -F \/ {'print $2'}`
Хотя если не сложно – то с grep'a, а то я не вьехал – зачем грепать, если уже имя ввел. А дальше и вовсе ничего не понял..
Я правильно понимаю, что один раз выстроил для себя и потом либо алиасы создаешь, либо табаешь, или нужно постоянно печатать подобные строки? Я же не кодер, это мне учить и учить в таком случае, а задача – экономить время и по пути навыки оттачивать.
UPD: А ну понятно, что за AWK[link1], тогда я точно далек от этого, сколько ни пробовал любой мало-мальски простенький язык выучить – видимо не дано мне это..( Даже здесь ума не приложу, откуда берется эта $2. Это же переменная? Ты ее где-то объявлял что-ли? Нет. Откуда она и что интерпритатору печатать – я не понимаю.. Или это какая-то встроенная в язык переменная,которая выведет вторые поля grep?
Конфиги выкладывать — это долго и неанонимно. :-) Unknown вот никогда не выкладывает.
Это был юмор такой, всякие значки-запятые-скобочки — это смайлики :)
Гость, ну это просто алиас, правильно? Я себе алиасы для OpenSSL делал. Кстати, а почему конфиги выкладывать – это не секьюрно? Я бы, к примеру, с радостью посмотрел на чьи-нибудь алиасы, и возможно даже себе бы взял на вооружение. Ну т.е. в чем угрозы в выкладывании конфигов?
Unknown, забавно, я же привык твои сообщения всерьез воспринимать – вот и начал вдумчиво смысл искать, зато узнал, что такое awk.
+1050 ☺
Потому, что если меня взломают, зловред сливает конфиги в АНБ, а АНБ погуглит и найдёт, что такие конфиги в сеть выкладывал именно я. Не спасут ни Tor, ни тысячи проксей.
~/.zshrc:
~/.Xresoures:
Терминалом у нас будет urxvt. Мы переопределили его цвета, взяв нормальные RGB, теперь надо их согласованно назначить mcabber'у, mutt'у, vim'у и zsh'у.
~/vimrc:
Вот как пофиксить системную тему zellner, чтоб она стала совместимой (vim 7.3):
Чтобы screen работал, да нормальный statusline был, ему тоже нужен конфиг:
Всё это заточено под иксы и вышеданный ~/.Xresources.
Конфиг mutt'а я уже вылкадывал, конфиг mcabber просто не под рукой сейчас, но там цвета выбраны тоже согласованно с этой гаммой.
Вот как это выглядит: консоль[link2], автодополнение[link3]. Как работает автоматика, картинкой не передашь, тут анимированные ролики уже надо делать. Короче, кому надо, тот разберётся; кому не надо, всё равно будет не в коня корм.
Пространство для улучшений есть всегда, можно до конца жизни курить тысячи опций этих программ и подкручивать их в соответствии с собственными пожеланиями. Когда-то давно конфиги были утянуты из интернета (zshrc — от Федорчука), а потом творчески осмыслялись и дорабатывались. В zshrc ещё можно надобавлять алиасов для ssh, scp и sftp, чтобы легко было загружать файлы и ходить на другие хосты; настроить аутентификацию по ключам и т.д. Если описывать всё, что сделано поверх голой системы, можно написать целую книгу, но это в целом оффтоп тут и ненужно.
Спасибо тебе большое. Я же тебя узнал! Вот по большому тексту – сразу узнал. Спасибо, ты очень много полезного выкладываешь и пишешь.
Пожелания из скринов – учту. Да давно учел бы, вопрос времени)
Но теперь однозначно буду больший уклон в сторону CLI делать.
Слушай, на сколько это все-таки сильно – нести знания и так или иначе влиять на людей.
Искренне – всех благ и всего самого наилучшего.
О конфиге – так наоборот – может лучше выкладывать? Ну т.е. меня сломают и за тебя примут)) Ну и таких как я – не мало будет, которые конфиг твой заюзают.
По поводу конфигов и знаний — это рациональная причина открыто делиться информацией, если уверен, что её подхватит хотя бы больше полутора человек :) А если разовьют и улучшат — так совсем хорошо. Открытый обмен знаниями — это культура, цивилизация и всё-такое, чтобы там не говорили любители всё-это ограничить, включая проприетарщиков.
Вот только относитесь к такому влиянию критически — а то так в очередной раз и пошутить могут, а вы и поверите, не разобравшись, чем там на вас влияют :)
Да, автор узнаваем для местных посетителей. Даже если с его подходами не во всём соглашаться и не воспринимать буквально, то почитать всегда полезно и поучительно, а главное — интересно. А раз кого-то интересно читать, то для вас он будет и
профилируемузнаваем ;)В тех же местах, где о косоли вычитал, там и о настройке ее писалось.
Из чего это будет следовать? Из того что они на вашем ПК? Так это от обратного, но не факт что так.
У нас вся страна на людской безграмотности наживается, т.ч. твои шутки – это безобидно и поучительно))
А влияют – да, я Линукс осваиваю благодаря здешним пользователям. Правда SATtva переборщил с полутора годами до уверенного линуксоида, в ответе одному вопрошающему, я лично по-моему третий год а то и больше сижу и то, как домохозяйка, но не на Убунте, а на Минте, хотя хрен редьки не слаще. Склоняюсь к тому, что мне все-такине дано быть дзен-гуру в ИТ
Да не, за полтора года плотного общения можно уверено себя ощущать в Линукс.
Вывод в ~/.vimrc съелся, должно было быть
Спасибо, АНБ. ☺
Знания рано или поздно исчерпываются, если их не пополнять, и начинается хождение по n-ому кругу (как говорят в таких случаях, «исписался человек»), при этом пополнение знаний плохо коррелирует с их распространением. Обычно либо учишься сам, либо учишь других, сам останавливаясь в развитии (и часто того не замечая).
За пожелания вам и unknown'у всегда спасибо.
Fxd. Палка с двумя концами. Если чем-то пользуется полтора анонима, то найти, какой из этих полутора в данном случае попался, не составляет труда, поскольку есть множество и другой[link4] информации. В этом плане создать очень анонимный профиль сложно: можно поменять ОС, имена юзеров, содержимое директорий, но конфиги-то, к которым привык
с детства— что с ними делать? А они довольно уникальны и переносятся с системы на систему, с одного юзера на другого... Там, где это было нужно, я, например, пользуюсь практически голым терминалом без каких-либо специфичных настроек для шелла и остального, всё по-минимуму.профилируемузнаваем ;)Мои стилометрические fuzzy-стойкие отпечатки уже давно, наверно, лежат во всех
головахБД. А если я захочу что-нибудь написать на другом ресурсе? Фактически, чтобы ни писал и где бы ни писал, сразу теряешь анонимность, т.к. почерк узнаваем, и легко могут найти, кто это(особенно, если не скрываешься).Это если полтора года плотно с ним общаться, разбираться и познавать новое, а не просто тупо сидеть в минтовской оболочке в браузере, когда абсолютно всё равно, какая подложка находится подо всем этим. Если делать по Федорчуку, то запуск чего-то графического — это венец познания ОС, а не начало, до этого ещё дойти надо, пройдя крещение огнём[link5]. Если всё делать попорядку, то до настройки графики дела дойдут месяца через два после начала вникания в систему, а использовать браузеры и прочее — ещё позже будет, и всё это время система будет де факто нерабочей (браузеры будете запускать в другой ОС). Это, на самом деле, долго, сложно и проблематично во всех смыслах, особенно если нет гуру под рукой. Я до сих пор, сталкиваясь с теми или иными UNIX-проблемами, бьюсь головой и офигеваю с того, как же ужасно это сделано, и как трудно решить эти проблемы. В частности, немного глубже изучив внутренности GnuPG, осознал, что оно никогда не будет работать для масс. Чтобы описать GnuPG со всеми его основными нюансами, багами и теорией, надо написать книгу. Кто соглаится прочитать книгу, чтобы включить с тобой шифрование? Редкие единицы-гики. Это же касается и всего остального — оно никак не подходит на «one click solution», а все попытки создать такие solution (да ещё и с удобством) превращаются в дырявейшие механизмы. Даже Tails это правило не минуло.
Главное, чтобы изучениеи и/или достижение какой-либо цели не превратилось в самоцель (процесс ради процесса). Во всем нужно меру знать, а пользователю нужно просто стать уверенным пользователем, но ни в коем случае не профи/гуру операционной системы. Только если это занятие/цель не связаны с профессиональной деятельностью.
Как то так..
Дада, тут кто-то говорил, что я – мент)
На самом деле не факт, что твой слог узнаваем вне PGPRU, ну т.е. если бы я где-то встретил твой текст на тему дестабилизации нефтепродуктов после разрыва ковалентных связей в момент компаудирования с углеводородом легкого фракционного состава – я бы не узнал. А так да, есть же какой-то метод поиска людей по текстам. Но как раз у тебя иначе, то, что я говорю – у тебя хороший слог, я подразумеваю, что он не ограниченный, как к примеру у меня. Ты можешь развернуто и четко доносить свои мысли, ну т.е. грубо говоря "богатый язык" – видишь, снова туплю, не зная как смысл донести. А когда язык "богат" – узнать сложнее. Ну мне так кажется.
Хотя опять таки – смотря какая модель угрозы и кто ищет. Когда меня тут просвятили во все эти R&D и "великие корпорации" – я понял, что там модель угрозы похлеще, чем для некоторых гбшники и прочие аббревиатурные органы))
unknown, я поофтоплю немного, ок? Столкнулся с отношению к ученым в Ирладнии – супер, без паранойи, без шизы и главное – воровства технологии. Очень понравился. Инвест.климат потрясный – никто ученых не гнобит, и очень даже защищает их права и разработки. Из РФ можно податься, стать резидентом и вполне себе быть уверенным в том, что технологию не уведут.
Ну всеми любимый Гость прав – я простой пользователь. Да, мне интересна безопасность, и модель угрозы у меня банальна. Еще когда на винде сидел – TrueCrypt спас, на котором отдел К зубы и сломал. А Линукс меня спасет и подавно, в случае чего. Если бы я был юным и амбициозным, когда времени немеренно и в заднице свербит – то может и "просветлел" бы. А так – при всем желании не смогу. Читая Гостя и unknown – решил перейти на Debian, но манов по убунте больше, а убунта=минт. Ну т.е. я к тому, что если что-то случится – я смогу найти ответ, с дебианом я такого не видел.
Опять таки – рядом нет гуру. Админы – чуханы, которые Линукс в глаза не видели. Знакомых линуксоидов нет. Будет время – я "репититора" найду на пару недель, мне логику объяснить – и я все пойму. А то как получается – работает и хер с ним. Накатил Минт, поставил какие-то дрова NVIDIA – все слетело нахер, выключается сам по себе, зависает. Ну поновой – поставил Минт, дрова уже не ставлю – батарея садится на глазах, зато не виснит. Сейчас камнями закидают – но это так. Самому стыдно, но тупо нет времени разобраться нормально с системой. А уж сколько раз я генту освоить хотел, так и не скачал ни разу) Хотя Liberte собирал, даже пакеты нужные ставил, ну и тот же GPG патчил в свое время. Один хрен – ламер ламером. И офиса МSовского не хватает.
Проблема в том, что в ИТ кругом течка абстракций[link6]. Могу даже на собственном примере показать (см. ниже).
Оффтоп-Стилометрия
С «донести смысл» я бы согласился, но с «богатостью» — нет, это совершенно разные понятия. У меня канцелярский технический язык, состоящий из бюрократических штампов (припоминаю, меня за это ругали ещё в средних классах), а образование и образ жизни только ещё сильнее усилили этот крен. Все видят, но, терять уже нечего, расскажу то, что сразу бросается в глаза:
- Слишком частое употребление слов/выражений (вплоть до слов-паразитов): «уже», «ещё», «вот», «и» в роли частицы, «как правило», «наподобие», «во-первых» и «во-вторых», «с другой стороны», «мораль», «как бы», «кроме того», «стоит отметить», «т.к.», «т.е.», «вроде бы», «например», «фактически», «де факто», «на самом деле», «вообще», «кто-нибудь», «так что» вместо «поэтому», «вполне» и др. В тексте из нескольких абзацев с вероятностью, стремящейся к 100%, будут обнаружены все из перечисленных паразитов.
- Частое начинание предложений с союза «и».
- Обильное употребление скобок (логические связи становятся такими громоздкими, что их либо трудно выразить без скобок, либо не знаю, как их правильно оформить грамматически).
- Многие предложения имеют одинотипную структуру (часто используются обороты «если..., то...» и др.).
И (ага, опять с «и» начал) я здесь умышленно избегаю впросов разметки, грамотности и т.п. вопросов профилирования, которые сводятся к тому, кто насколько грамотно пишет — пока речь только о богатстве языка. Вообще (здравствуй, ещё один паразит), для того, чтобы язык был богатым, надо читать художественную литературу, а у меня с ней не очень сложилось сразу, поэтому имеем то, что имеем...Лично я на вашем месте не стал бы писать такие провокационные вещи, потому что кто его знает, вдруг ваше ФИО найдут, а потом такие посты в публичном форуме могут послужить мотивом к возобновлению разбирательств по тому делу. Оно вам нужно?
Оффтоп-UNIX
По-моему, примерно одинаково легко найти для обеих систем.
Не закидают. Проблемы с железом часто нерешаемы в принципе (надо или апгрейдиться или имплементить хаки, если таковые известны, или менять систему).
Пример из жизни:
Покупаем ноут, где всё должно поддерживаться (стоит родная убунта). Грузимся, видим глюки со сплэш-скрином, но вроде работает. Средняя кнопка на тачпаде не работает, хоть убей. Надо курить маны по синаптику или чему там... не осилил, время дороже, поэтому просто купил USB-мышку.
Гружу на этом же ноуте свой Debian с внешнего USB. Доходит до иксов и всё виснет нафиг намертво. Отключаем автостарт xdm, теперь система хотя бы грузится. Запускаю xdm руками — всё виснет. Долго курю, что же можно сделать. Игрался с LiveCD разными, думал, много думал... через день, анализируя поведение видео, таки догадался до хитрого хака, вспоминая заветы бывалых гуру: отключаем фреймбаффер в грабе (граб передаёт инфу о видеокарте ядру, и если он испохабил её, ядро уже бессильно) через nomodeset в опциях ядра (ещё один камень в Linux: как вы думаете, почему ни в одной BSD до сих пор по умолчанию не грузится фреймбаффер?), из запускаемых xdm оставляем только один и делаем ещё какие-то хаки (не помню наизусть). После этого сей единственный xdm-таки стартует. После старта мы можем один раз переключиться в консоль и ввести какие-то команды от рута, а после этого вернуться обратно в иксы. Если второй раз попытаемся переключиться в консоль, система намертво зависнет, и не получим ни консоли, ни иксов. Такие дела.
Допустим, у нас есть разделение юзеров по иксам. Это означает, что если запустили браузер, мы не можем работать с почтой и консолью — они под другим юзером. А если мы под тем юзером, мы не можем запустить браузер. Т.е., можем, но для этого надо всё выключить и перезагрузиться, а это время и ввод кучи паролей.
Не поддерживается звук. Ладно, без звука если ещё можно прожить, то весь вышеозвученный геморрой сильно мешает комфортной работе. Думаю, поставлю стабильный Debian посвежее, и всё заработает, но гугл говорит о том, что всё дело в ядре. Единственный выход — ставить sid или jessie. Однако, Аннушка уже разлила масло[link7], так что с учётом ссылок [1][link8], [2][link9], [3][link10] инсталляция будет непростой...
Не поддерживается Wi-Fi. Провайдер делает подключение по PPPoE. В сети инструкций под этого ISP кот наплакал... Курил день-два, читал похожие конфиги, спрашивал, думал... кое-как настроил из консоли. А если инсталлировать по сети, ведь придётся на лету в инсталляторе подключаить сеть по PPPoE с паролями и всеми надлежащими конфигами — тоже непросто.
Работаем в месте, где нужен Wi-Fi. Wi-Fi есть только на родной убунте от производителя со всеми надлежащими бэкдорами. Как ей доверять? А выбора нет, приходится. И так далее и так далее. Мне кажется, что «среднестатистический уверенный Linux-пользователь» неспособен разруливать все эти проблемы, потому что даже мне их удаётся разруливать с большим трудом, и я всё равно часто опираюсь на информацию от более опытных в этом деле людей.
Хозяйке на заметку: файлы уже давно стёрты, дисковое пространство затёрто, но каталоги/файлы ~/.local/share/zeitgeist и ~/.local/share/recently-used.xbel всё помнят: какие были имена файлов, где они лежали... Спасибо grep'у.
Оффтоп-GnuPG
Теперь про GnuPG, раз речь про него зашла. На многие вопросы даже тут на форуме не могут сходу дать ответ. Если мой просроченный подключ был впоследствии отозван, как он будет помечен на связках моих абонентов? Понятно, что можно проверить, но вот легко сходу не ответить на такой вопрос. Много ли кто знает, что нельзя[link11] помержить секретные подключи, хотя это кажется вполне логичной командой? Если у меня есть валидный подключ подписи на год вперёд, а я только что создал новый подключ подписи сроком на 2 дня, какой из подключей будет использован по умолчанию? Самый свежий? А потом через 2 дня будет снова использоваться ранний подключ? А с шифрованием точно так же? Этих вопросов много, и достаточно чуть глубже задуматься, как сразу становится понятно, что далеко не на все из них можешь дать ответ, а когда объясняешь другому, как правильно работать с GnuPG, к каждой инструкции идёт набор фактов-костылей вида «need to know», на которых можно споткнуться. И описывая эти костыли, я понимаю, что с GnuPG что-то глобально не так... слишком много непродуманного legacy. Как объяснить людям, что нет лучшего инструмента, и, да, им надо вникать в эти нелогичности и нестыковки?
Насущный пример с GnuPG: Psi на MacOSX + ротация подключей абонентов. В Psi (по кр. мере на MacOS) есть такой баг, что если некоторые из подключей в Psi отозваны, то Psi весь ключ считает отозванным и отказывается им шифровать. Чтобы решить проблему, нужно, чтобы все домохозяйки на маках занимались вот таким вуду[link12] и, вообще, там всё непросто[link13]. Домохозяйкам трудно объяснить, что
- Следование подключей в выводе GnuPG случайное, и его предсказать нельзя.
- Вывод подключей GnuPG не отделяется свободной строкой, поэтому они должны сами наперёд знать, что сообщение об отзыве подключа находится до строки с собственно подключом, а не после (почему-то!), и при этом не путаться.
Точнее, трудно не объяснить как факт, а объяснить, что это неизбежное зло, и другой лучшей программы, чем GnuPG, для этого всё равно нет.Или вот ещё один нюанс: если главный ключ C, а не CS, а подключ подписи устарел или был отозван, я не могу (даже принудительно) подписать сообщение устаревшим подключом, хотя это иногда нужно для установления доверия. Ну, это если, конечно, не играться с переводом часов на машине. Может быть, стандарт такого не допускает?
Там много всякой фигни вылазит, если рыть, а хочется-то малого: просто, чтобы работала графика, работали иксы, интернет и шифровалась переписка. И решение этих элементарных задач порой заводит в такие дебри, что ужасно становится.
Если мне понадобится передать конфиденциальное сообщение домохозяйке, которая не гуру ни одним концом, я не буду рекомендовать PGP. Это просто нереально для быстрого освоения. Даже если прийти, всё сделать и настроить, расшифрованная переписка всё равно будет оседать на диске, откуда она может быть извлечена при случайном досмотре n лет спустя (не буду же я учить домохозяйку всем азам, предлагая полнодисковое шифрование для винды, выбор стойких паролей и прочее...). Это всё требует таких кардинальных изменений, что никто просто так на это не пойдёт. Самым действенным способом, как бы это ни казалось странным, для передачи конфиденциальных сообщений остаются онлайн-сервисы типа здесь рекламировавшихся. Они в браузере, браузер небезопасен, требуется полное доверие сервису, https тоже небезопасен, они на JS... но, тем не менее. Тут хотя бы можно быстро объяснить: вон туда ткни, здесь набери пароль и вон туда нажми (даже эти простые действия некоторые не могут осилить, да). Если сервис и его сертификат нескомпрометирован, а машина пользователя не под детальным наблюдением, получается хоть какое-то приближение к «прочитал и забыл, на диске не сохраняется» (впрочем, кэш браузера порой способен творить чудеса). А если нужно что-то лучшее, остаётся только самому поднимать такой же сервис и давать абонентам ссылки; надеяться, что их не MITMят. Вот какая-то такая безрадостная картина.
Чтобы настроить шифрование почты в графическом клиенте, достаточно усвоить самые базовые понятия (пара ключей, шифр, подпись) и немного потыкать мышью в почтовой программе. Доступно это для любого хомяка, который в своём уме. Разобраться в тонкостях настройки ЖЖ, твиттера и фейсбука наверное сложнее. Гипотетические угрозы типа изъятия дисков для исследования и т.п. можно накручивать до бесконечности, а шифровать надо сейчас.
Вот и вывод. А отсюда следует, что "среднестатистический житель планеты"/пользователь ПК выбирает Win. Это не значит что там меньше проблем, но это значит что возможностей получить помощь там больше. И это комплекс проблем, которые не исчерпывается наличием интелекта, прямых рук и т.д. Среднестатичтический пользователь не работает в ИТ индустрии, а скорее наоборот, учится и работает, не подозревая, что это такое. Но найти время на решение головоломок "почему не запускается Debian на ПК с видеокартой от AMD(Radeon), в то время как 5 минут назад он запустился на ПК с Intelовской картой?", он просто не может.
Ну это философия жизни. Чем глубже мы изучаем предмет, тем больше появляется вопросов. Не всегда более глубокое изучение, может привести к сокращению перечня вопросов. Справедливо и для "стать уверенным пользователем". Где тот критерий, чтобы оценить стал я уверенным или еще нужно "подкачаться"?
Ну не знаю, я лично был бы не прочь подобным канцелярским языком переписываться. У меня все наоборот – мне вживую проще, не дается текстовое общение. По поводу бюрократических штампов – этим Достоевский вынужденно грешил, против своей воли писав индокод, дабы получить чуть больше денег, но от этого читать его ни чуть не хуже, если бы писал более сжато. Так что мне твой стиль очень даже нравится, и слова паразиты не зашкаливают. Хотя я и сам самокритичен, но так детально свои речевые косяки описать не смог, что снова подтверждает мою правоту о лаконичности твоего изложения. Вот без капли лести – правда приятно читать.
Да я это уже упоминал здесь. Это были, как бы тут многие выразились – "издержки режима", но мой пример как раз должен самых шазоидных успокоить немного, показав на практике, что без денег, связей и сотрудничества с режимом – вполне можно добиться справедливости, без пыток в подвалах Лубянки. Но да – шифровать нужно все, даже если "нет ничего секретного". Я не нарушаю закон, но и в свою жизнь никого не впускаю. Придумал такую модель, хочу как-нибудь реализовать: мой комп, сервер, и компы сотрудников. Мой включается по паролям и токенам, если "влетают" – я нажимаю хоткей – на всех компах, в частности на моем меняются пароли, шифруются gpg и отправляются по ssh в несколько резервных мест, после чего все компы в частности сервер успешно перезагружаются, ну и паролей уже никто не знает соответственно. Вот снова не могу корректно сформулировать, поэтому и нужен гуру, с кем хоть раз можно было бы пообщаться.
А на счет мониторинга, спецслужб, и прочих органов – да плевать мне на них, органами не торгую, революции не спонсирую, к сексуальным и политическим извращенцам отношения не имею, но от рейдерства как защищал себя, так и буду защищать. И мониторящие сотрудники пусть лучше пидорасов в своих рядах зачищают, а не занимаются ерундой. А то любой продажный черт в погонах даже лейтенанта, в сговоре с беспринципными и трусливыми ущербами – может в считанные дни разрушить то, что создавалось и взращивалось не один год.
Ну я и о дебиновских косяках тут читал, кстати – неисключено, что тоже за твоим авторством. Но теперь все – в ближайшие дни попробую дебиан в качестве основной системы. Хотя с другой стороны – тюленям этим сначала бы LUKS с TrueCrypt'ом осилить, а потом уже грепить имена моих файлов. Ну и внутри еще есть EncFS, в котором криптоконтейнеры лежат. Могу только удачи пожелать студентам со ст. м. Юго-Западная..
Здесь у меня все куда проще – есть день в месяце, когда меняюся пароли, в этот же день истекает срок действия моего ключа и ключей моих адресатов. Перегенерируются новые и все. А файлы шифруются отдельным ключом, бэкапы есть только у меня – как и ключ расшифровки бэкапов.
Скажем так, мне лично было бы достаточно один раз все настроить и уметь решать проблемы локального характера. Драйвера, подтормаживания и тд. У меня на ноуте мой ламерский минт загружается в разы дольше любой винды. Если отвалится сеть – я вообще ничего не смогу сделать, кроме интуитивных тыканий мышкой. Полезу гуглить с планшета и потрачу добрых несколько часов.
Все как парализованные замирают, а вы лихрадочно пытаетесь нажать хоткей, который как назло не нажимается. На а может еще быть так: Резко вырубается электричество и с грохотом падает дверь. Велкам ОМОН/СОБР/"что там вам нравится" !!!
Эээ неее.. это корпоративная этика. Своих не сдаем.. иногда. Проще барыгу-комерса прослушать, да накопать кучу сладких разностей за которые можно потом бабло поднять. В совем дерьме копаться за бесплатно?
Вот по этому в России 25 лет не могут капитализм построить, ну или слабое подобие коммерции какой, а название не суть важно.
Ну а как же обновления системы и софта? Возникновение проблем, как и последующие их решение, неизбежно )).
Имхо, проще решить чем в винде, хотя "графически" проще в Винде сделать сетевые настройки. Вот тебе Центр управления сетями, тут и настройка адаптера, IP, gateway, dns и т.д. Визуально видно какие сети, ну и т.д. Хотя команды в терминале почти похожи.
Так даже лучше, есть БПшники, если питание переключится на них – тоже самое, меняются пароли и ребут. По поводу замирают и лихорадочного меня – путаешь, не по адресу. Я не задрот-истеричка, который только ныть может о том, как все плохо вокруг. Да и были подобные ситуации уже.
Ну барыг пусть слушают, нехер на людях наживаться тройными коэффициентами с перперодвжи. А остальные пусть сами себя и защищают.
С одной стороны это и хорошо. Но не будем о политике, а то надзиратель-unknown – мне первому хэдшот сделает) причин много, и капитализм не приживется у нас, ровно как и демократия и либерал ные "глобальные проекты". Можно свести все до правящей верхушки – но мы люди простые, и лучше будем каждый своим делом заниматься, так будет честнее и более по-мужски что ли. Один хрен никому до наших мнен й дела нет, будь они одинаковыми или разными.
Это да, но я хочу почитать о Debian Stable, там же вроде можно не париться особо, а офис так или иначе пока костылит под вайном от MS..
В вмнде, как сейчас помню в командной строке ipconfig /renew был панацеей от всего))
2 /comment84862[link14]:
Вспомнил это обсуждение[link15] и заодно посмеялся над своей профилируемостью ;) Ну и с отсылкой к профилю по нику[link16], понятно, что эта проблема существует давно и только усугубляется со временем.
Если кратко, то это всё перфекционизм и нерациональное распределение затрат на изучение/внедрение и выигрыша от использования.
Разработчики систем расчитывают на некое большинство, которое будет пользоваться тем, что есть из коробки при минимуме дополнительных опций. Поэтому эти дополнительные опции плохо проработаны и могут откровенно глючить. Это даже в Tor так (без проблем с legacy-кодом, которые пока вообще ещё не накопились). Например, в Tor есть скрытая аутентификация[link17]. Разрабы смеялись, что иногда они её ломают до полностью нерабочего состояния, так никто месяцами не жалуется ни в тикетах, ни в рассылках. Стоит ли это оперативно исправлять, если этим почти никто не пользуется? Также и с продвинутыми опциями GnuPG. Тонкий выбор подключей, манипуляция с экспортом закрытых ключей и пр. — это продвинутые опции на всякий случай, задел на будущее (которое может и не наступить в предполагаемом виде). Это всё железно работать не обязано. GnuPG гарантирует некую безопасность для тривиального случая с непродвинутыми опциями. Всякие продвинутости — на ваш страх и риск. Попытки нагородить отрицаемость, анонимность, наперёд заданную секретность, хитрые манипуляции с ключами и пр. — на ваше усмотрение.
Если обобщать проблему «избыточной продвинутости» некоторых пользователей, то она возникает там, где:
Количество пунктов и их ранжирование по степени рациональности — условное.
наверно больше поставлено под сомнение это:
Хватит на это времени и мощности БП?
Офис собираются выпустить под Линукс. И вот еще вопрос, насколько используется потенциал офиса? Т.к. есть и LibreOffice и OpenOffice, которые для простых задач очень даже ничего.
Иногда "инициатор" должен много больше знать, дабы осуществлять поддержку на первичном уровне. Иначе "вовлеченные" быстро охладеют к проекту/схеме работы и т.д. Сложность использования, да еще и без поддержки может свести на нет любые инициативы.
Например шифрование переписки, как простой пример. Разные ОС, как следствие, разное программное обеспечение, разный пользовательский уровень и обучаемость и т.д.
К примеру есть отдельный gpg ключ на случай game over'a, которым шифруется файл с вновьсозданными и измеенными паролями и отправляется на мой сервер в, например Исландии. Или, к примеру еще и маскируется под офисные документы, как unknown и отправляется еще и на почту. Под "несколько мест" подразумевал сервер, почту и скрытый сервис Tor. Так что мощность БП для отправки маленького файла -точно хватит, а вот на смену паролей и тд – не знаю наверное должно. Бэкапы ни в счет, они и так делать должны с регулярной периодичностью.
Да, я сам жду, выпустят – посмотрим, но так или иначе – пропиетарщина..( в том то и дело, что ни LibreOffice, ни OpenOffice не видят ни один маломальски серьезный документ, даже фин.модели едут. Тут я уж совсем не понимаю логику разработки, казалось бы – обе печь совместимость форматов, пусть и убогих – забери себе целевую аудиторию и постепенно она сама перейдет на ODF формат. Странный подход с точки зрения захвата рынка и нагибания МС.
Зачем переходить? Не очень понял. Документы Майкрософт офис можно как открывать, так и созданные сохранять в формате офиса. В чем проблема.
Да и забыл еще о так чуде как https://www.office.com/start/d.....Office_Products_site[link18]
Зайдите и ознакомьтесь. Мождет это своеобразное решение каких то ваших вопросов?
Да, я хочу попробовать облачный офис. А про поддержку формата Майкрософт – ну приятнее же опенсорсом пользоваться, маковский офис без косяков открывает сложные фин.модели и презентации, созданные в МS, а вот свободные аналоги – косячат на более-менее серьезных документах.
Пожалуйста: я даю пользователю свой ключ, он указывает его в настройках Psi, а он не работает. Никакие тыкания не помогают. Менять ОС пользователь тоже не готов. Что прикажете делать? Проблема выше описана в деталях. Может быть, мне в честь одного-двух таких проблемных пользователей держать отдельный аккаунт или ключи? А менять их как? Полностью заменять на новые? А доверие к новым как устанавливать? Снова через рутину в командной строке, а перед этим читать им длинные лекции на тему, что, как и почему работает? Так лучше сразу тогда читать лекции на тему смены подключей и редактирования ключей.
Скажем так, если нужно получить самый минимальный уровень безопасности, то на Linux он получается искоробки, а на винде нет, что как бы компенсирует проблемы с железом... Если нужна более серьёзная безопасность, то и на Linux'е её достичь непросто (а в винде, наверно, вообще невозможно).
Правильные вопросы. Аппетит приходит во время еды. Чем больше понимаешь, тем лучше осознаёшь свою беззащитность, тем выше требования к защите своих данных, тем больше времени на это требуется.
Нужно больше читать (в том числе, технических текстов).
Честно говоря, Достоевского вообще читать не мог: слог тяжёлый, сложный, архаичный и перегруженный, скукота смертная. Даже при моей титанической усидчивости я прочитал 25 страниц «Идиот»а и бросил, не смог дальше, хотя того же Гончарова («Обломов», тоже не пример весёлости) до этого осилил полностью.
Откуда такая уверенность, что в критический момент связь будет работать? Сотрудники могут слить схему безопасности, перед маски-шому могут предварительно включить глушилки и т.д.
К сожалению, тут почти все содержательные посты либо под авторством unknown'а (если неанонимны), либо под моим (если анонимны). Горькая правда жизни. И про убунту и про Debian, и про BSD писал я.
А как же это[link23]? Да и TC я бы [1][link24], [2][link25], да и не только я:
не рекомендовал бы.
Представьте себе, что нашла коса на камень, и вы физически в тот день не смогли это сделать. Что тогда делать после?
Потому что толстая графическая система: гном, unity и т.д. Нужно использовать легковесный оконный менеджер, а системой и файлами рулить в консоли.
+1
Напомнило 6 пунктов[link28].
С возрастом маразм только крепчает, а не выветривается. ☺
А как делать иначе? Завязывать на один ключ и одну-единственную утечку вообще всё и вся? Не все посылают в жизни 2 шифрованных сообщения, кому-то надо их слать каждый день и в больших количествах. Соответственно, ключ находится на подсоединённой к сети машине, с ним работают программы, имеющие доступ в сеть... Как эту проблему разрешить, сделать хоть какое-то «забывание»? Помимо ротации ключей или подключей ничего не приходит в голову, и чем чаще такая ротация происходит, тем безопаснее. Хорошо тем, у кого ключи хранятся исключительно на airgapped-машине, он туда по sneakernet'у доставляет данные и там их оффлайново расшифровывает, но не всем такой use case подойдёт. С натяжкой его ещё можно применить для шифрования почты, но, например, для джаббера он уже совсем не годится. Я ранее предлагал токен-интерфейс для частичного решения этой проблемы [1][link29], [2][link30], но ведь его ещё никто не сделал...
Проблема в том, что вы не делаете документ с нуля. Вам бюрократы выдают какую-то заготовку, которую нужно аккуратно заполнить. Нужно вам, а не им, потому что от успешности вашей заявки может зависеть решение ваших финансовых вопросов. Отредактировать MS-документ средствами открытых офисов можно, но в оригинальном офисе документ будет смотреться иначе. Более того, вы даже не всегда сможете понять, как он изначально выглядел и предполагался, потому что чистая открытая заготовка уже выглядит иначе. Вот и получается, что в каком-нибудь libreoffice редактируешь текст, а потом всё равно его надо загрузить на иную машину с MS-офисом и там отредактировать тонкости разметки (отсылается не напечатанный doc-файл или электронный pdf, а именно doc-файл по электронке). Таблицы едут, поля едут, абзацы перескакивают... все прелести WYSIWYG в одном флаконе.
Подход вполне логичный: если перевести всех на ODF, целевая аудитория перейдёт на свободные бесплатные продукты, которые будут работать не хуже MS-офиса. За MS-офис никто не будет платить. То, что формат MS-doc несовместим со старыми версиями, часто меняется, полностью незадокументирован и т.д. позволяет дрежать аудиторию на MS-игле: смените офис — получите проблемы с оформлением, потому что большинство документооборота пока что сидит на MS-офисе. Ну, и стандартные вещи можно сказать: MS-офис выбирают потому, что он распространён, а распространён он потому, что его выбирают, и разорвать этот порочный круг с критической массой пользователей очень непросто (вспомните хотя бы историю с Adobe Flash).
/comment84943[link31]
Оно почему-то не работает. Лучше сделать иначе:
Со скрытием процессов[link33] эта возможность не конфликтует, т.к. users (а также who и last) выдаёт список залогиненных юзеров и число их шеллов в любом случае. Сам скрипт:
Ой, во-первых, там можно упростить, а, во-вторых, там баги. Быстрофикс:
/comment70462[link34]
Листинг под последнюю версию, 10.0.3:
Гость (03/02/2015 15:50),
Спасибо.
Этот однострочник трёт хоум, я угадал?Я perl'ом не владею ни в какой степени, могу только копипастить готовое.Проблема в том, что в ~/.screenrc он заталкивается через sh -c, где всё надо ещё раз квотировать, и непонятно, как это делать. Например, вот это не работает, можете сами проверить в командной строке:
ESCAPING MADNESS!
Правила экранирования в bash внутри одинарных кавычек я забыл (кажется, его нет), так что придётся извращаться со смесью " + ':
В обоих случаях приходится прятать $ от ", а строковые литералы в Perl делать операторами q/qq.
Вы крут! Спасибо, работает. Но вот эта загадка так и остаётся загадкой:
Я сторонник не переусложнять сущности без необходимости и считаю, что для 99% задач sed+awk хватает за глаза. Проблема только в том, что awk я так же не знаю, как и perl. На голом sed'е писать тоже можно, но будет write-only-код, сложный, трудный и неподдерживаемый (впрочем, писать так на перле тоже можно).
А у меня и в командной строке так не заработало. Чтобы понять, в чём там дело со .screenrc, нужно разобраться, как именно screen передаёт аргументы командной строки дочерним процессам.
В командной строке не работает этот скрипт[link35]? В commad line у меня zsh запущен, но не думаю, что это должно хоть на что-то влиять. Сейчас проверил снова. Всё работает.
Как бы ни оказалось, что там всё проще: команда вызывается, и втечение некоторого времени от неё хотят получить ответ. Если это время истекло, а ответ ещё не вычислился, его больше не ждут. Вдруг такое может быть? Там же много пайпов. Впрочем, скрипт быстрее не будет, но он работает. Я ранее с подобным встречался: со скрипта работает, а непосредственно со ~/.screenrc — нет.
Возможно, не все знают, что в screen можно отвести две строки в терминале под информацию, а не одну. Например, в одной можно отображать информацию о текущих запущенных (или последних завершившихся) процессах в шеллах, а в другой отображать иную информацию о системе. Берём за основу этот пример[link37], добавляем в ~/.zshrc строчки
Магия с ls сделана, чтобы не писать всегда использующиеся опции цвета и классификатора (-F --color). Вместо %{=b dd} можно правильно расставить цвета под свою гамму перед каждым элементом. Кстати, %{= X}, где X — буква цвета, тоже работает, хотя из man screen это неочевидно. В последней строке будет отображаться число шеллов под юзерами, загрузка системы (load average из man uptime или из w), имя screen-сессии (если запускать как screen -S screen_name) и дата. В предпоследней строке — последние выполнявшиеся комманды с номерами шеллов, где они были (плюс умное обрезание аргументов).
P.S. ^[ в ~/.zshrc — специальный ESC-символ. Чтобы его ввести, в vim'е в режиме ввода жмём Ctrl+V ESC.
Начинаются глюки при работе с именами файлов, содержащими кириллические символы. То ли дело в том, что screen или шелл, возможно, не поддерживают UTF (или поддерживают его неправильно), то ли в том, что умолчальная кодировка не является UTF'ом.
Например, vi не понимает управляющих команд на кириллице, а в vim для этого приходится использовать langmap. Не знаю, можно ли что-то аналогичное сделать для vi-режима редактирования командной строки в zsh, но по умолчанию этот режим совершенно не понимает кириллицу, что приводит к неудобствам с множеством лишних переключений в латиницу и обратно при работе с кириллическими именами файлов.