WinPT
WinPT − Windows Privacy Tools (Win32).
WinPT − это базирующийся на GnuPG набор утилит с графическим интерфейсом для шифрования и цифровой подписи.
WinPT включает в себя:
GnuPG − дистрибутив GnuPG;
WinPT-GUI − приложение, располагающееся в системном трее, дающее возможность работать с данными в буфере обмена и управлять ключами;
WinPT Explorer Extensions − компонент встраиваемый в контекстное меню Проводника для шифрования и секретного удаления файлов;
WinPT Outlook Express plugin − плагин для PGP/inline шифрования/подписи сообщений в Outlook Express;
WinPT Passphrase Agent − компонент для кэширования парольной фразы, используемой GnuPG.
WinPT − бесплатная программа, распространяемая по лицензии GPL.
Сайт программы: http://winpt.gnupt.de/int/
Ссылки
[link1] http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=6&m=19505
[link2] http://prdownloads.sourceforge.net/winpt/winpt-install-1.0rc2.exe?download)
[link3] http://lists.gnupg.org/pipermail/gnupg-users/2005-September/026834.html
[link4] http://forum.mozilla.ru/viewtopic.php?pid=52305#p52305
[link5] http://forum.mozilla.ru/viewtopic.php?pid=51870#p51870
[link6] http://www.pgpru.com/forum/viewforum.php?f=24
[link7] http://www.arh.ru/~zwon/gnupg/gpg-man-1.3.91.html
[link8] http://www.pgpru.com/forum/viewtopic.php?t=956
[link9] http://www.pgpru.com/forum/viewtopic.php?t=580
[link10] http://www.winpt.org/
[link11] http://www.gnu.org/licenses/gpl.html
[link12] https://www.pgpru.com/soft/gnupg/winpt
Kent,
я три дня бьюсь с тем, чтобы поставить G-DATA плагин под Outlook 2003 и решил задать вопрос – а в принципе это возможно? Он должен работать? Может быть я скачал какую-то насвежую версию?
Я не пользуюсь. В принципе, должен работать.
Вот у нас эта тема:
http://www.pgpru.com/forum/viewtopic.php?t=526
Можно там попробовать обсудить.
Если создать ключи для одного пользователя в WinPT, будут ли они доступны для других пользователей? Или программа "умеет" различать пользователей, как PGP? В смысле, не украдут ли у меня закрытый ключ через интерфейс программы?
Вот он, чудесный пример ложного чувства защищённости! ;)
PGP не защищает ключи одного пользователя от посягательств другого. NT-совместимые версии Windows просто устроены так, что хранят переменные данные приложений (application data) в персональных каталогах пользователей, имена которых соответствуют именам учётных записей пользователей. PGP также по умолчанию сохраняет связки ключей в этих папках, поэтому один пользователь, открыв менеджер PGPkeys, не увидит ключей другого. Но скопировать ключи непосредственно из каталога другого пользователя ему ничто не помешает! :)
GnuPG и, тем более, WinPT (поскольку это всего лишь графическая оболочка для первого) такой "защиты", слава Богу, не даёт.
Имейте в виду, если Вы делите свой компьютер с другими пользователями, едва ли можно найти средства защиты своих закрытых ключей от злонамеренных посягательств! Можно предложить лишь два варианта решения проблемы. Первый — это сохранить свои связки на съёмном носителе и подключать его, запуская компьютер, а по завершении работы уносить с собой. Это, неплохая защита, однако, она не поможет против достаточно умелого и целенаправленного пользователя, использующего некий троян для записи Ваших закрытых ключей. Второй вариант — это сохранение закрытых ключей на смарт-карте. Такой вариант в большинстве случаев можно считать безопасным.
Ничего страшного. В переменной Path укажите путь к тому каталогу, куда скопируете файлы новой версии.
Вообще-то, по-умолчанию, пользователь не имеет прав доступа к каталогу профиля другого пользователя на уровне файловой системы (NTFS), если он не администратор.
А если он загружает компьютер из-под DOS? ;) Можно зашифровать каталоги с помощью EFS, но при должных навыках и желании такая защита тоже преодолевается[link1].
Скачал WinPT complete package 1.0rc2 (http://prdownloads.sourceforge.....1.0rc2.exe? Download)[link2], установил. Уже стояла программа GnuPG 1.4.2 с корректно прописанной переменной Path (туда вписан путь к GnuPG). Но естественно с WinPT установилась старая версия GnuPG.
Зашёл в настройки WinPT и прописал путь к GnuPG 1.4.2. После этого при запуске WinPT.exe выдаётся:
О чём речь ясно; решается переустановкой WinPT.
Но как использовать последнюю версию GnuPG вместе с WinPT?
Почитав GnuPG-users mailing list, решил проблему самостоятельно.
http://lists.gnupg.org/piperma.....eptember/026834.html[link3]
Пожалуйста, поправьте ссылку на сайт программы в 1-ом сообщении этой темы.
И всё-таки, не смотря на то, что WinPT обладает открытым исходным кодом (как одно из его достоинств), программа очень глючная.
Подписал сообщение – без шифрования – и временами WinPT соглашается, что подпись действительная, иногда – нет.
(В сообщение изменений не вношу, разумеется).
Также PGP 9.0.3 не соглашается, что сообщение, подписанное в WinPT, не изменено. Говорит, что Bad Signature...
Может ли кто подсказать:
1.
Созданный в PGP ключ имеет Hash: SHA-2 256,
А созданный в WinPT – SHA-1.
Сильно влияется это на безопасность?
2.
Key type: DSA and ELG
или
RSA and RSA (PGP)
Оба типа одинаково подходят для работы в WinPT?
В особенности если отправлять зашифрованные сообщения/файлы люям, у которых установлена PGP 9.0.3?
С уважением.
Мыколка:
1. Нет, на настоящий момент несильно. Более того, предпочтительные алгоритмы можно задавать самому.*
Подробнее см. http://www.pgpru.com/forum/viewtopic.php?t=564 и http://www.pgpru.com/forum/viewtopic.php?t=858
2. Да.
GnuPG 1.4.х (с «лицом» в виде WinPT) и PGP 9.х понимают оба типа ключей. Только в GnuPG больше возможностей для их создания.*
*См. также http://www.pgpru.com/forum/viewtopic.php?t=1151 и http://www.pgpru.com/forum/viewtopic.php?t=1236
PS
Ссылка на WinPT опять устарела, сейчас главный адрес для скачивания — http://wald.intevation.org/frs/?group_id=14
Большое спасибо за ответ!
Где Вы раздобываете свежие ссылки на WinPT? :-)
Значит, вполне можно использовать SHA-1, правда программа WinPT другого не предлагает...
Предпочтительные алгоритмы (SHA1, SHA256 и т.д.) настраиваются в конфигурационном файле GnuPG — gpg.conf (ведь именно эта программа выполняет криптографические операции).
— выводит доступные алгоритмы
В gpg.conf пропишите:
Lustermaf, Спасибо Вам за ответ!
Нашёл, как Вы сказали файл C:\Documents and Settings\<пользователь>\Application Data\gnupg\gpg.conf
Кстати, если посмотреть WinPT->about->about GPG, то открывается окно, в котором представлены доступные алгоритмы (sapported algorithms).
Интересно, как поменять значения cipher, hash и compression, создавая ключ в WinPT?
Заметил, что в созданном в WinPT ключе значение Cipher указано 3DES, а если открытую его часть перенести в PGP, то в ней уже Cipher – AES-256. Чудеса...
Пробовал в окне "GnuPG Configuration File" вводить код "gpg --version" и при нажатии на кнопку Save выскакивала ошибка "File contains invalid GnuPG keywords!"
Здесь почему-то чуда не происходило...
С большим уважением.
Это и есть вывод команды gpg --version.
Проще это сделать прямо в GnuPG. См. здесь[link4] и здесь[link5].
Lustermaf, Спасибо за понятную инструкцию!
Получилось!
Создал в WinPT ключ и через коммандную строку изменил его свойства: Hash: SHA1 => SHA256, Compression... так как и хотелось.
Спасибо Вам за то, что объяснили! Извините, что отнимаю Ваше время вопросами.
А вот изначально создавать все ключи с hash: SHA256 и т.д. пока не получается.
Хочу задать ещё несколько вопросов:
1. При использовании программы WinPT, когда создан ключ (Откр/Закр.), если зайти в опцию "Key Edit"Э, то в вверхней части окна даётся информация:
Description, Key ID, Created, Experies, Status, C, S, E, A.
Что означают сокращения C, S, E, A?
Там же показываются как бы 2 ключа, причем с разными Key ID.
У первого отмечено C, S. У другого – S, E, A.
Это подключи? То есть можно создать для расшифровки один ключ, для подписи и зашифровки – другой?
2. Можно ли изменить e-mail в уже созданном ключе?
3. Можете сказать, из ключей пользователей как создать группы (постоянная рассылка зашифрованных сообщений нескольким людям), дабы каждый раз не выбирать ключи из списка по отдельности?
Если у Вас будет желание и время, ответьте пожалуйста.
С большим уважением.
То, для чего может использоваться ключ (английские слова даны как глаголы, русские — как существительные):
C — Certify — сертификация (подпись) ключей. Этим свойством может обладать только основной ключ (не подключ)
S — Sign — цифровая подпись
E — Encrypt — шифрование
A — Authenticate — аутентификация (для SSH)
См. также http://www.pgpru.com/forum/viewtopic.php?t=1151
Да. Второй — подключ, первый — основной ключ.
Расшифровка/зашифровка осуществляется одним ключом (зашифрование — открытой частью, расшифрование — секретной).
Можно разделять ключи так: один для подписи (S, C), другой для шифрования (E). Что и делается по умолчанию.
Изменить — нет. Создать новый User ID — да.
Создание User ID выполняется командой ADDUID, отзыв старого (именно отзыв, а не удаление, иначе сервера ключей не поймут) — REVUID.
Если речь идёт о e-mail, то лучше использовать соответствующий плагин для почтового клиента, где можно настроить правила шифрования/подписи. Дальше вопрос в том, какой почтовый клиент Вы используете.
PS
Большая просьба: вопросы по GnuPG, не относящиеся к графическим надстройкам, расширениям и дополнениям, задавать в соответствующем разделе[link6]. К таким вопросам относятся 1 и 2.
Здравствуйте!
Скажите пожалуйста, как в WinPT указать вместо стоящего по умолчанию CAST5 другой алгоритм для симметричного шифрования?
С уважением.
Если Вы хотите использовать выбранный алгоритм постоянно, тогда пропишите следующее в gpg.conf:
Например:
Тогда GnuPG (с лицом в виде WinPT) будет использовать эти алгоритмы в выбранном порядке предпочтения. Однако предпочтения ключа получателя будут иметь бóльший приоритет.
Подробности см. в документации[link7].
Lustermaf, спасибо за ответ.
Указал в gpg.conf код personal-cipher-preferences с предпочтительными алгоритмами, но... симметричное шифрование продолжается с CAST5.
Хотя через комманду showpref выводится информация, что предпочтительные алгоритмы AES256 и 3DES.
A если попробовать через командную строку, что пишется?
Вы имееете в виду showpref при редактировании ключа? В таком случае, алгоритмы, выводимые при showpref, не влияют на симметричное шифрование.
Параметр personal-cipher-preferences определяет допустимые шифры в приоритетном порядке. Предпочтительный алгоритм шифрования (который используется при симметричном шифровании) определяется параметром cipher-algo, например
SATtva, в документации GnuPG написано следующее:
[quote:27e1727451="gpg man "]--personal-cipher-preferences string
Set the list of personal cipher preferences to string, this list should be a string similar to the one printed by the command "pref" in the edit menu. This allows the user to factor in their own preferred algorithms when algorithms are chosen via recipient key preferences. The most highly ranked cipher in this list is also used for the --symmetric encryption command.
]>
У меня именно так всё работает.
Использование параметра cipher-algo в gpg.conf имеет свои недостатки. В данном случае в gpg.conf у меня прописано
Выходит вот что:
Если я пропишу в gpg.conf вместо то картина будет куда как получше:
Действительно... А вот ещё выдержка из gpg.man:
Кстати, параметр cipher-algo не обязательно прописывать в gpg.conf. Если Мыколка испытывает проблемы при симметричном шифровании, он может использовать такую конструкцию команды:
SATtva, а имя файла писать с адресом его расположения?
И ещё интересная штука: у WinPT вышла версия 0.11.7.1
Исходные коды для нее не предоставляются – только для версии 0.11.7
К чему бы это?
Разумеется. Полный путь и имя.
Если Вы работаете в одной директории с файлом, то необязательно. В ином случае — да.
Попробуйте также использовать GPGee[link8] вместо WinPT[link9].
На момент, когда Вы писали, на официальном сайте[link10] лежала только версия 0.11.7. ;)
Объясняется банальной ленью Timo Schulz.
Согласно лицензии GNU GPL v2[link11], под которой распространяются WinPT и GnuPG, автор не должен выкладывать исходники вместе с программой, но он обязан предоставить их по первому требованию. Напишите в список рассылки WinPT или на e-mail Timo Schulz, и исходники Вам сразу же выдадут.
Announcement.
Вышел WinPT 0.11.8.
Программа и её исходники доступны на официальном сайте[link10].
Скоро должен выйти WinPT 1.0.
Новый адрес http://winpt.gnupt.de/int/
Надо бы ссылку на сайт программы исправить.
Не могу понять, как это сделать.
Исправлено.
Вообще говоря было бы целесообразно осуществить более масштабные исправления, поскольку на сегодняшний день буквально лишь две последние строки темы сохранили свою актуальность.
Дело в том, что инициатор темы перешёл на использование другой ОС и, соответственно, "забил" на эту программу. :)
Всю актуальную информацию о WinPT можете привести здесь[link12].