GnuPG este utilizat pentru a crea semnături digitale și criptarea datelor. De exemplu, problema de a identifica scrisorile au fost întotdeauna de actualitate. Cu GnuPG, puteți „investi“ într-o semnătură electronică.
Recent, o problemă foarte acută de confidențialitate a informațiilor. Mai ales în Internet, în cazul în care riscul de interceptare a datelor sensibile este foarte mare. Acest articol descrie lucru va pachet GnuPG (GNU Privacy Guard, GPG), împreună cu mai multe exemple de aplicare.
GnuPG este utilizat pentru a crea semnături digitale și criptarea datelor. De exemplu, problema de a identifica scrisorile au fost întotdeauna de actualitate. Cu GnuPG, puteți „investi“ într-o semnătură electronică. Și astfel, receptorul va determina autenticitatea expeditorului și care îi aparțin acestei scrisori. proces GnuPG funcționează este destul de simplu: algoritmi de criptare complexe ascunse logică simplă: folosiți o pereche de chei, dintre care unul este privat (vă păstrați acasă), iar al doilea - publicul (este rețeaua de spațiu liber străbătând). al doilea fișier conține o cheie publică și o semnătură a respondenților. Se pare că, după livrarea scrisorii semnate de către beneficiar compară cheia publică și, astfel, identifică expeditorul.
Principalele caracteristici tehnice ale GnuPG sunt după cum urmează:
- alternativă completă PGP;
- Acesta utilizează algoritmi brevetat;
- distribuit sub GPL;
- OpenPGP punerea în aplicare integrală (RFC4880);
- decriptare și autentificarea mesajelor, creat folosind PGP 5, 6 și 7;
- sprijină semnătura electronică folosind algoritmi ElGamal, DSA, RSA și MD5 funcții hash, SHA-1, RIPE-MD-160 și TIGER;
- Lucrul cu criptare asimetrică ElGamal și RSA (lungime a cheii de 1024 până la 4096 biți);
- bloc suport AES algoritm de criptare simetrică, 3DES, Blowfish, Twofish, CAST5, precum IDEA cu modulul;
- punerea în aplicare ușoară a unor noi algoritmi care utilizează module suplimentare;
- suport multi-limbi (inclusiv România);
- sistem online-ajutor;
- suport de chei restante și semnături;
- suport nativ pentru serverul HKP-cheie.
După cum sa menționat deja, de GnuPG este dezvoltat în conformitate cu standardul OpenPGP, ceea ce înseamnă că semnăturile și criptarea datelor create de alte programe sunt compatibile cu OpenPGP, va lucra cu GnuPG. Utilizarea diferitelor algoritmi de criptare, cum ar fi cifruri simetrice, algoritmi de criptare cu chei publice și mixte, care să permită în mod fiabil pentru a proteja datele sensibile și să le transmită. lungime a cheii de 1024 sau 2048 de biți suficient pentru a nu trebuie să vă faceți griji cu privire la rupere informațiile criptate.
GnuPG - consola singurul program, dar acum există mai multe pentru ea: GUI Seahorse și GPG-Crypter. - care simplifică lucrul cu programul printr-o interfață grafică intuitivă.
Primul serviciu de interacțiune GnuPG începe cu generarea cheilor:
/.gnupg/pubring.gpg. Acolo și a intrat cheile deschise (publice) ale respondenților.
Cu ajutorul echipei:
poate (și ar trebui) să creeze un certificat de revocare cheie master:
în cazul în care $ KEY - ID-cheie primară.
Este nevoie de un certificat de revocare pentru a distruge cheia. Acest lucru poate fi necesar, de exemplu, în cazul în care cheia este pierdut sau furat. Chiar dacă fraza cheie este foarte de încredere, este necesar, în prealabil, chiar și în etapa de creare a cheii, să se gândească la posibilitatea distrugerii sale în viitor. După crearea conținutului certificatului va fi afișat la stdout. Este nevoie să păstreze într-un loc sigur (de preferință într-un alt mediu sau chiar în formă tipărită), ca orice, posesia luat acestui certificat poate face cheie nevalide și scoateți-l din baza de date server de date de chei publice (în cazul în care nimeni nu poate obține cheia). Aceste baze de date a stoca chei publice în mod liber. Acest lucru se face pentru comoditatea de chei de partajare: Nu transmite în mod constant cheia publică în persoană. Puteți utiliza mai multe moduri: salva pe pagina principală pe portal, care este câmpul pentru cheia publică, sau puteți utiliza o bază de date centrală - cheie pusculita pentru a obține cheia este întotdeauna la îndemână.
Pentru a utiliza certificatul, trebuie doar să-l importa în baza de date, precum și orice cheie publică:
și apoi trimis la server:
în cazul în care $ cheie - ID cheie, care va fi trimis.
În mod similar, puteți trimite cheile publice și a le stoca pe serverele de baze de date. Pentru a face acest lucru, în primul rând au nevoie să exporte într-o bază comună echipa locală:
în cazul în care $ FILE - cheie sau un fișier keyring (de tip „pachet“ mai multe chei într-un singur fișier).
comandă CHEIE $ Ulterior --sign-cheie (în cazul în care $ KEY - ID respondent cheie) pentru a semna tasta dorită. Când vă conectați adăugat la cheia publică pentru a-l dvs. mesajul dvs. / e-mail poate identifica alte. Apoi, trebuie să vă trimită o cheie semnat la proprietarul său:
- Această comandă preia cheia semnat separat pentru comoditatea de a trimite.
Puteți face același lucru în formă de text ASCII, care este ușor de a plasa pe Web:
în cazul în care $ KEY - cheie ID-ul proprietarului.
Acum, proprietarul trebuie să importe cheia pentru a vă că semnătura ta era în baza lui. Exportați această cheie se face în același mod ca și orice altă cheie publică. proprietarului, apoi îl trimite la serverul de baze de date sau cheile stabilite pe site. Acum, cheia conține semnătura. Și mesajele permit identificarea a ne asigura că am primit de la tine.
Uneori poate fi necesar pentru a păstra cheile (publice sau private) în orice mediu (de exemplu, flash USB). Pentru a face acest lucru, exportați cheia care poate fi făcută în formă binară:
Și un text (ASCII armura):
În ambele cazuri, $ KEY - este ID-cheie. În schimb -a asemenea, puteți utiliza --armor.
Ca urmare, pentru lucrul cu documente, utilizați următoarea comandă:
- semnează un document (se asigură că documentul este „până la tine“), este pur și simplu adăugat la semnătură electronică;
- cripta documentul (algoritm de criptare produs selectat întregul document);
- să semneze și cripta documentul (combină aceste acțiuni).
Indiferent de tipul de fișier (așa cum este prezentat mai sus, cu tasta) poate fi semnat sau criptat mesaje în ambele format binar și text. De exemplu, există un fișier bibliotecă - este binar. Criptarea și să-l semneze, iar ieșirea este un fișier text. Odată decriptat, fișierul vine în starea sa inițială. Acest lucru poate fi utilizat pentru a stoca o varietate de fișiere în tabele de baze de date relaționale: în acest caz, în ciuda diferitelor tipuri de fișiere, după ce criptezi toate acestea vor fi reprezentate printr-un set de caractere sub formă de șiruri ASCII.
Puteți crea așa-numita semnătură „transparentă“ (care este conținutul necriptate documentului + semnătura digitală):
O semnătură, care sunt în fișiere separate, în format binar (va fi creat un fișier de semnătură $ DOC.sig), a crea o echipă:
Într-un text (ASCII armura) un (fișier de semnătură $ DOC.asc va fi creat):
O astfel de semnătură (în ultimele două exemple) trebuie să fie distribuite cu documente semn.
Orice cheie se poate modifica, de asemenea, „comanda`---edit cheie. Acest lucru se va schimba unele setări cheie: gradul de fiabilitate, în cazul în care cheia publică altcuiva, fraza secretă, în cazul în care este cheia privată și multe altele.
În ceea ce privește gradul de certitudine, GnuPG există 5 nivele:
- Nu știu sau nu va spune (nu știu nimic despre proprietarul cheii sau nu doresc să vorbesc despre asta);
- Nu am încredere (eu nu am încredere în această persoană);
- Am încredere marginal (Știu că acest om și încredere în el, dar nu sunt sigur că cheia aparține lui);
- Am încredere deplină (știu că acest om personal convins că cheia aparține lui);
- Am încredere în cele din urmă (știu că acest om, am acces la cheia sa privată).
GnuPG și Open Source
GnuPG există în aproape fiecare distribuție GNU / Linux este pachet obligatoriu în OpenBSD, NetBSD, FreeBSD si alte sisteme de operare gratuite. aplicațiilor susținute de GnuPG diverse module Deschideți set Source. De exemplu, gpgme (bibliotecă, care este un fel de intermediar între GnuPG și software) utilizat de următoarele aplicații:
- client de e-mail Evolution (o parte din GNOME) și Sylpheed. și prin extinderea lucrărilor Enigmail GnuPG în Mozilla Thunderbird e-mail client.
- Gajim Jabber-clienți și Psi.
- KDE PIM (Personal Information Management).
Am menționat biblioteci gpgme și module pentru limbaje de scripting. De exemplu:
Recent, mai multe proiecte folosesc GnuPG pentru a semna fișierele în scopul de a verifica integritatea lor (în loc de a folosi hash MD5, SHA1, SHA256, SHA512). Prin urmare, în plus față de arhivele (în special în Open Source-mediu) pe site-urile de obicei sunt GPG-conectare-tip ASCII sau binar.
Unul bazat pe codul sursă (pe bază de sursă așa-numitele) Linux-distro foloseste GnuPG ca un instrument important pentru a verifica integritatea fișierelor într-un sistem de management al software-ului - Sursa Mage GNU / Linux.
Linux sunt, de asemenea, binarele pachete de multe ori utilizate semnate de GnuPG. De exemplu, în cazul pachetelor DEB - o Debian GNU / Linux și Ubuntu, dar cu RPM - Red Hat, Fedora, Mandriva și multe altele.
În acest articol, ne-am întâlnit cu GnuPG - un mijloc gratuit de protecție a informațiilor. Acum, nu se poate face griji că datele sensibile vor fi pierdute sau făcute publice. Această abordare fundamental nouă (de la crearea OpenPGP) pentru criptare din perspectiva utilizatorului mediu, și permite astăzi să rezolve probleme complexe legate de transferul de date critice.
1. „De exemplu, problema de a identifica scrisorile au fost întotdeauna de actualitate. Cu GnuPG, puteți „investi“ într-o semnătură electronică. Și astfel, receptorul va determina autenticitatea expeditorului și care îi aparțin acestei scrisori. "
2. „Procesul funcționează GnuPG este destul de simplu: algoritmi de criptare complexe ascunse logică simplă: folosiți o pereche de chei, una dintre care este privat (vă păstrați acasă), iar al doilea - publicul (este rețeaua de spațiu liber străbătând). al doilea fișier conține o cheie publică și o semnătură a respondenților. "
„File a doua“ - a doua? Mai mult decât atât, semnătura - este rezultatul unei transformări criptografică a informațiilor (mesaj / document). Deci, această rezlultat formată direct în procesul de semnare a scrisorii / documentul, și, în consecință, nu este stocat în prealabil (aceasta la o întrebare cu privire la conținutul de „al doilea fișier“).
Nu este la punctul: confunda cele două colonul în prima frază. Mozhte să fie împărțită în două propuneri diferite (în loc de primul colon pentru a pune capăt?
3. „Se pare că, după livrarea scrisorii semnate de către beneficiar compară cheia publică și, astfel, identifică expeditorul.“
Dacă GnuPG și verificarea semnăturii are loc (pe care mă îndoiesc), n-aș avea încredere în rezultatele auditului.
Potrivit clasice în timpul verificării semnăturii cheile beneficiare nu se compară, și decriptează rezultatul semnăturii cu cheia publică a semnatarului (dacă este mult simplificată). Vă sfătuiesc să verificați rețeaua de mai multe materiale în profunzime pe EDS.
4. „Deoarece probabilitatea de hacking este întotdeauna, cheia primară este mai bine de a utiliza pentru semnare, în cazuri extreme.“
Prostii. Rezultatul semnăturii deportat pe nimeni nu afectează securitatea cheii private a semnatarului.