terminologie
Există o oarecare confuzie în terminologia. De exemplu, nu toată lumea poate explica în mod clar ceea ce este diferit de GPG PGP. Să înțelegem peste tot.
De multe ori, spunând «PGP», oamenii au vedere metoda de criptare descrisă în OpenPGP, și, prin urmare, oricare dintre implementările sale.
Comenzile de bază GnuPG
O idee bună de a alege algoritmul RSA și o lungime a cheii de 4096 biți.
Important! Nu uita parola cheii private.
O problemă comună - un mesaj de genul:
Nu sunt suficiente bytes aleatoare disponibile. Vă rugăm să faceți o altă lucrare pentru a da
sistemul de operare o șansă de a colecta mai multe entropie! (Aveți nevoie de mai multe 204 bytes)
Ea a rezolvat instalarea daemon pentru a colecta entropie:
sudo apt-get install RNG-tools
Amprentele digitale sunt utilizate în principal pentru a verifica dacă un server cheie (vezi mai jos) a fost importat este într-adevăr cheia corectă. Pentru a le găsi nu este utilizat.
Pentru a afișa o utilizare mai sigură opțiune keyid format lung id:
GPG --keyid-format lung chei --list
GPG --keyid format 0xLONG -k 7EFE74E5
Scurt keyid convenabil pentru manipularea cheilor la nivel local. Pentru a căuta să utilizați întotdeauna ID lung și a verifica amprentele digitale. Cele mai recente versiuni ale GPG id lung utilizate în mod implicit.
GPG -delete-secret-chei 8640D6B9
GPG -delete-chei 8640D6B9
Exportați cheia publică sub formă de text (poate fi scris pe toate gardurile)
GPG --armor --output pubkey.txt --export 8640D6B9
Exportați cheia privată în formă de text (cheia este încă criptat cu o parolă master poate fi folosit pentru backup în Git):
GPG --armor --output privkey.txt --export-secrete-chei 8640D6B9
Import cheia publică:
GPG --allow secret-cheie-import --import privkey.txt
Dacă nu specificați --alow secret-cheie-import. Acesta a importat doar cheia publică, și atunci când încercați să vă conectați ceva vei primi erori ciudate, cum ar fi:
GPG: nu implicit cheie secretă: cheia secretă nu este disponibil
GPG: msg.txt: semnul + criptați a eșuat: cheia secretă nu este disponibil
cheie publică Export în server de chei:
GPG --keyserver pgp.mit.edu --send-chei 8640D6B9
Nu contează cu adevărat ce punct server de chei. De exemplu, există încă keys.gnupg.net, precum și altele. Toate acestea, din când în când schimb de date unele cu altele. Este logic pentru a face o linie de trimitere-taste o dată pe mai multe servere, astfel încât acestea vor vedea toți utilizatorii PGP / GPG. Sincronizarea cu un server, în experiența mea, durează aproximativ 10-15 minute.
Sugestie: pentru a omite în mod constant --keyserver. doar adăugați la
alias gpg = "gpg --keyserver pgp.mit.edu"
Import cheia publică de la server de chei:
GPG --keyserver pgp.mit.edu --search-chei afiskon @ example.ru
În lumea PGP / GPG, există așa-numitele web de încredere (Web de încredere). Pe scurt, acest lucru înseamnă că GPG nu are încredere în cheia, cu excepția cazului în care este semnat de o persoană de încredere. De asemenea, dacă aveți încredere Pete și Pete Cole are încredere, ai încredere în mod automat Cole. În special, implicit atunci când verificarea semnăturilor și alte acțiuni GPG vor jura după cum urmează:
ATENȚIE: Această cheie nu este certificat cu o semnătură de încredere!
Nu există nici un indiciu că semnătura aparține proprietarului.
Pentru a remedia acest lucru, spunând:
GPG --edit-cheie afiskon @ example.ru
Apoi, într-un dialog vorbind despre încredere. Hit 5 ( «am încredere în cele din urmă»), spune renunțe. Alte chei pot fi semnate echipa tsign. Apropo, se poate schimba, de asemenea, parola cheii (comanda passwd), pentru a schimba data de expirare a cheii în orice direcție (The expira comanda), se adaugă un nume / e-mail (comanda adduid), a șterge un nume / e-mail (revuid echipa), a se vedea algoritmii de criptare utilizate default (showpref) și de a face alte lucruri interesante.
Notă: Ce să faci zaekspayrilsya atunci când cheia? În acest caz, puteți modifica data de expirare a unei taste mai târziu și perezalit. Sau, creați o nouă cheie, semnul vechi ea, și se toarnă o cheie nouă pentru server de chei. Nu aveți nevoie pentru a revoca.
Puteți semna cheia și cineva pe care doriți să completați cheia semnat la server, confirmând astfel că cheia aparține într-adevăr persoana specificată în descrierea:
GPG --sign-cheie 7EFE74E5
GPG --keyserver pgp.mit.edu --send-chei 7EFE74E5
Pe orice altă mașină puteți descărca din nou tasta și a vedea cine este semnat de:
GPG --keyserver pgp.mit.edu --search-chei EAX @ example.ru
gpg --list-sigs eax @ example.ru
gpg --check-sigs eax @ example.ru
Din când în când este necesar pentru a actualiza cheile, în cazul în cazul în care există noi semnătură cheie, sau unele taste amintit:
GPG --keyserver pgp.mit.edu --refresh-chei
criptarea fișierelor Exemplu și semnături pentru destinatarul dorit (opțiunea -r, puteți specifica o mulțime de timp):
gpg --encrypt --sign --armor -r eax @ example.ru msg.txt
Decripta și verificarea semnăturii se realizează utilizând:
Un exemplu de verificare a semnăturii și semnătura fișierului binar (de exemplu, imagine de disc ISO):
GPG --detach-semna file.iso
GPG --verify file.iso.sig
Simetric de criptare / decriptare a fișierului (util, de exemplu, pentru stocarea parolelor):
gpg o- nonsense.gpg --cipher-algo AES -a -c nonsense.txt
gpg o- nonsense2.txt -d nonsense.gpg
criptare simetrică menținând în același timp format binar (util pentru criptarea de backup-uri)
tar -cvzf - / home / EAX | \
GPG --symmetric --cipher-algo AES256 --digest-algo SHA256 \
--compresiune algo Uncompressed> backup.tgz.gpg
Decriptarea criptat, astfel încât fișierul:
GPG --decrypt backup.tgz.gpg | tar xvzf -
În acest caz, implicit GPG solicită o parolă prin intermediul GUI, personal am observat că nu foarte convenabil. Schimbarea acest comportament, puteți:
echo 'pinentry program / usr / bin / pinentry-TTY' >> \
/ .gnupg / gpg-agent.conf
killall gpg-agent
Puteți găsi că cheia privată este compromisă, adică, a fost furat și a luat o parolă pentru a-l. Sau l-ați pierdut. Sau pur și simplu nu pot aminti parola cheii. Pentru astfel de cazuri, cu condiția ca o cheie de reexaminare. Iată cum. În avans, imediat după crearea cheii, este necesară pentru a crea un certificat de revocare:
gpg --gen-revocare --armor --output = revocation.crt eax @ example.ru
Folosind aceasta, cheia poate fi anulată după cum urmează:
GPG --import revocation.crt
GPG --keyserver pgp.mit.edu --send-chei 7EFE74E5
Important! Certificatul de revocare nu este criptat și poate fi folosit de oricine. Asigurați-vă că păstrați-l într-un loc sigur (chiar mai bine în câteva locuri) și întotdeauna criptate!
GnuPG se înșurubează la Gheare Mail
În Ubuntu, avem nevoie de următoarele pachete:
sudo apt-get install gheare-mail-pgpinline gheare-mail-pgpmime
Shoals de plugin-am întâlnit doar cu ce setări trebuie să specificați calea completă către fișierul executabil GPG, apoi a lucrat.
Fixați la Mutt GnuPG
Pentru a GPG câștigat un Mutt. în
# Include suport pentru GPG
Set crypt_use_gpgme = da
# De defoltu semna toate mesajele
set crypt_autosign = da
# Criptați răspunsurile la mesaje criptate
set crypt_replyencrypt = da
Când scrieți litere faceți clic p. acolo alege opțiunea - să semneze, cripta, și așa mai departe. Toate opțiunile crypt_ * și pgp_ * sunt descrise în om muttrc. În plus față de acest lucru există o linie lungă. prin care Mutt pot fi învățați să verifice semnăturile mesajelor în interiorul textului.
complet și a menținut versiune actualizată a fișierului de configurare pentru Mutt aici.
concluzie
GPG este înșurubată mult mai mult la ceea ce. Să presupunem, pentru Thunderbird are Enigmail plug-in. Există aplicații mobile cu suport pentru GPG. De exemplu, pentru iPhone și au oPenGP iPGMail. În plus, există plug-in-uri pentru IM-clienți, în special, pentru Psi. Din păcate, le ia în considerare într-un singur articol, nu este posibil.
Pentru temele, mă poți adăuga la inelul de chei, conectați-vă cheile, și trimite-mi e-mail pentru a trimite un email criptat.
Și dacă utilizați PGP / GPG?