ot Peio Popov(23-02-2004)

reiting (32)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Sudurzhanie

Za tozi dokument

Tozi dokument e prevod na purva glava ot The GNU Privacy Handbook. Prevodut e chast ot proekta za zashtita na neprikosnovenostta na lichnata informatsiia i ima za tsel da suzdade dostupno i razbiraemo za vseki rukovodstvo za izpolzvane na GnuPG.

Za GnuPG

GnuPG e sredstvo za osiguriavane sigurnost v komunikatsiite. Tazi glava se opitva da dade burza predstava za osnovnite vuzmozhnosti na GnuPG. Tova vklyuchva suzdavaneto na dvoika klyuchove, obmena i podpisvaneto na klyuchovete, shifriraneto i deshifriraneto na dokumenti, i udostoveriavane na avtentichnostta na dokumenti, chrez tsifrovoto im podpisvane. Tuk niama da navlizame v podrobnosti za sushtnostta na kriptografiiata s publichen klyuch, kriptiraneto i elektronnoto podpisvane. Tezi vuprosi sa zasegnati v Glava 2. Niama sushto da se spirame na tova kak e nai-dobre da se polzva GnuPG. Tova e predmet na Glava 3 i 4.

GnuPG izpolzva kriptografiia s publichen klyuch, koiato pozvoliava na potrebitelite da osushtestviavat sigurna komunikatsiia. V kriptografiiata s publichen klyuch, vseki potrebitel pritezhava dvoika klyuchove, sustoiashta se ot chasten i publichen klyuch. CHastniiat klyuch se pazi v taina i nikoga ne triabva da bude razkrivan. Publichniiat klyuch mozhe da bude davan na vseki, s koito potrebitelia zhelae da komunikira. GnuPG izpozva malko po-uslozhnena shema, pri koiato potrebitelia ima osnovna (purvichna) dvoika klyuchove i nula ili poveche dopulnitelni i podchineni na purvata dvoiki klyuchove. Purvichnata i dopulnitelnite dvoiki klyuchove sa obedineni, za da ulesniavat upravlenieto na klyuchovete i te mogat da se priemat za edna dvoika klyuchove.

Suzdavane na nova dvoika klyuchove

Optsiiata --gen-key se izpolzva za suzdavaneto na nova purvichna dvoika klyuchove. 

Please select what kind of key you want:
 (1) DSA and ElGamal (default)
 (2) DSA (sign only)
 (5) RSA (sign only)
 Your selection?

GnuPG ima vuzmozhnost da suzdade niakolko razlichni tipa dvoiki klyuchove, no predi vsichko purvichniia klyuch triabva da ima vuzmozhnost da podpisva. Poradi tazi prichina sushtestvuvat samo tri vuzmozhnosti. Purvata prakticheski suzdava dve dvoiki klyuchove. Dvoikata klyuchove izpolzvashti DSA algorituma e osnovna dvoika, s koiato mozhe edinstveno da se podpisva. Vtorichnata dvoikata klyuchove izpolzvashti ElGamal algorituma se suzdava, za da se shifrira informatsiia. Vtorata vuzmozhnost e shodna na purvata, no pri neia se suzdava samo DSA dvoika. Vuzmozhnostta pod nomer pet sluzhi za suzdavane na dvoika klyuchove po algorituma RSA, s chiiato pomosht mozhe samo da podpisvame tsifrovo. Za povecheto potrebiteli podrazbirashtata se optsiia (1) e tova, koeto im e nuzhno.

Razmerut na DSA klyucha triabva da bude mezhdu 512 i 1024 bita, a razmera na ElGamal klyuchovete mozhe da bude proizvolen. GnuPG, obache, iziskva klyuchovete da ne budat po-malki ot 768 bita. Zatova, ako izberem purvata vuzmozhnost DSA klyucha shte bude 1024 bita dulug i shte bude predstavena vuzmozhnost za izbor na dulzhinata na ElGamal klyucha. 
About to generate a new ELG-E keypair.
 minimum keysize is  768 bits
 default keysize is 1024 bits
 highest suggested keysize is 2048 bits
 What keysize do you want? (1024)
Kolkoto e po-dulug klyucha, tolkova e po-malko uiazvim na ataki s gruba sila, no pochti za vsichki tseli podrazbirashtata se dulzhina na klyucha e podhodiashta, tui kato shte e po-razumno da se zaobikoli kriptiraneno, otkolkoto da se napravi opit da se deshifrira chrez gruba sila. Osven tova, kolkoto e po-goliama dulzhinata na klyucha, tolkova po-bavno shte se izvurshvat operatsiite po shifrirane i deshifrirane. Vednuzh izbrana, dulzhinata na klyucha ne mozhe da bude promeniana.

Nai-nakraia, triabva da bude izbrana datata na koiato shte izteche validnostta na klyucha. Ako ste izbrali purvata vuzmozhnost i DSA i ElGamal klyuchovete shte iztekat na edna i sushta data. 

Please specify how long the key should be valid.
 0 = key does not expire
 <n>  = key expires in n days
 <n>w = key expires in n weeks
 <n>m = key expires in n months
 <n>y = key expires in n years
 Key is valid for? (0)

Za povecheto potrebiteli e podhodiasht klyuch, koito niama srok na validnost. Datata na iztichane na validnost na klyucha, triabva da bude grizhlivo izbrana, zashtoto vupreki che tia mozhe da bude promenena v posledstvie, shte e trudno da uvedomim za tova vsichki, koito go pritezhavat.

Za da bude svurzana dvoikata klyuchove s vas triabva da vuvete potrebitelski identifikator. 

You need a User-ID to identify your key; the software constructs the user id
 from Real Name, Comment and Email Address in this form:
 "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
 
 Real name:

Samo edin potrebitelski identifikator se suzdava pri suzdavaneto na dvoikata klyuchove, no e vuzmozhno v posledstvie da se suzdavat i dopulnitelni identifikatori, ako zhelaete da polzvate klyucha v edna ili poveche sotsialni roli. Primerno kato sluzhitel na dadena firma i politicheski aktivist ot druga strana. Potrebitelskiia identifikator triabva tochno da bude izbran vnimatelno, zashtoto sled kato e suzdaden vednuzh, toi ne mozhe da bude promenian.

Sledvashtata stupka e da izberem parola, s koiato GnuPG shte zashtiti suzdadenite dvoiki klyuchove. 

You need a Passphrase to protect your private key.    
 
 Enter passphrase:

Niama ogranicheniia za dulzhinata na parolata i tia triabva da bude vnimatelno izbrana. Ot gledna tochka na sigurnostta, parolata za kriptirane na chastnite klyuchove e edna ot nai-uiazvimite tochki v GnuPG (i drugite sistemi bazirani na asimetrichno kriptirane), zashtoto tia e edinstvenata pregrada mezhdu vashiia chasten klyuch i veroiatniia zlonameren chovek, tseliasht da se dobere do chastniia vi klyuch. V nai-dobriia variant parolata ne triabva da izpolzva dumi, koito se sreshtat v rechnik i triabva da suchetava vuzmozhno nai-mnogo tipove simvoli. Izborut na dobra parola e kritichen za sigurnostta na GnuPG.

Suzdavane na otmeniasht sertifikat

Sled kato suzdadete vashata dvoika klyuchove, vie nezabavno triabva da suzdadete i otmeniasht sertifikat za purvichniia publichen klyuch chrez optsiiata: --gen-revoke. Ako zabravite vashata parola ili vashiia chasten klyuch e zaguben ili kompromentiran otmeniashtiiat sertifikat sluzhi, za da budat uvedomeni ostanalite, che tozi publichen klyuch ne triabva da se izpolzva poveche. Otmeneniiat publichen klyuch vse oshte mozhe da se izpolzva za proverka na podpisi napraveni v minaloto, no ne mozhe da se izpolzva, za da se kriptirat budeshti suobshteniia kum vas. Otmianata na publichniia klyuch ne vliiae na vuzmozhnostta vi da deshifrirate suobshteniia, koito vi sa izprateni. 

alice% gpg --output revoke.asc --gen-revoke mykey
 [...]

Argumentut mykey triabva da bude identifikator na klyuch. Toi mozhe da e ID nomera na vashata osnovna dvoika ili vsiaka chast ot vashiia potrebitelski identifikator, koiato mozhe da identifitsira tazi dvoika. Generiraniiat sertifikat shte se namira v revoke.asc. Ako ne izpolzvame --output optsiiata rezultatut ot komandata shte bude izpraten kum standartniia izhod. Tui kato sertifikatut ne e mnogo dulug, vie mozhe da go otpechatate i da go zapazite niakude na sigurno miasto. Sertifikatut ne triabva da bude suhraniavan, niakude kudeto drugi mozhe da go dostupiat, zashtoto po tozi nachin vseki mozhe da go publikuva i da napravi vashiia publichen klyuch neizpolzvaem.

Obmen na klyuchove

Za da osushtestvite sigurna komunikatsiia s drugi, vie triabva da razmenite svoite publichni klyuchove. Mozhe da poluchite spisuk na klyuchovete vuv vasheto hranilishte chrez optsiiata --list-keys. 

alice% gpg --list-keys
 /users/alice/.gnupg/pubring.gpg
 ---------------------------------------
 pub  1024D/BB7576AC 1999-06-04 Alice (Judge) <alice@cyb.org>
 sub  1024g/78E9A8FA 1999-06-04

Izvlichane na publichniia klyuch

Za da izpratite vashiia publichen klyuch, na vash korespondent, vie triabva purvo da go izvlechete. Za tova se izpolzva optsiiata --export Tia ima nuzhda ot dopulnitelen argument, koito identifitsira publichniia klyuch, koito se izvlicha. Kakto i pri --gen-revoke optsiiata, mozhe da vuvedete nomer na klyuch ili druga identifitsirashta klyucha informatsiia. 

alice% gpg --output alice.gpg --export alice@cyb.org

Po tozi nachin klyuchut shte bude suhranen v dvoichen format i tova mozhe da go napravi neudoben za izprashtane v email suobshtenie ili za publikuvane na ueb stranitsa. Za da bude izbegnato tova neudobstvo se izpolzva optsiiata --armor[2] koiato preobrazuva rezultata v nabor ot ASCII simvoli. --armor option. 

alice% gpg --armor --export alice@cyb.org
 -----BEGIN PGP PUBLIC KEY BLOCK-----
 Version: GnuPG v0.9.7 (GNU/Linux)
 Comment: For info see http://www.gnupg.org
 
 [...]
 -----END PGP PUBLIC KEY BLOCK-----

Dobaviane na publichen klyuch

Za dobaviane na publichen klyuch se izpolzva --import optsiiata. 

alice% gpg --import blake.gpg
 gpg: key 9E98BC16: public key imported
 gpg: Total number processed: 1
 gpg:               imported: 1
 alice% gpg --list-keys
 /users/alice/.gnupg/pubring.gpg
 ---------------------------------------
 pub  1024D/BB7576AC 1999-06-04 Alice (Judge) <alice@cyb.org>
 sub  1024g/78E9A8FA 1999-06-04
 
 pub  1024D/9E98BC16 1999-06-04 Blake (Executioner) <blake@cyb.org>
 sub  1024g/5C8CBD41 1999-06-04

Sled kato klyuchut e dobaven vie triabva da pretsenite dokolko viarvate na tozi klyuch. GnuPG izpolzva moshten i guvkav model na doverieto,koito ne iziskva vie da vzemete otnoshenie kum vseki klyuch, koito dobaviate. Niakoi klyuchove, obache, triabva da poluchat vasheto lichno doverie. Klyuchut se podpisva (validira) sled kato se proveri otpechatuka (fingerprint) mu. Otpechatuka na klyucha mozhe da se vidi s optsiiata --fingerprint ,no za da podpishete (da se doverite) na klyucha vie triabva da go redaktirate. 

alice% gpg --edit-key blake@cyb.org
 
 pub  1024D/9E98BC16  created: 1999-06-04 expires: never      trust: -/q
 sub  1024g/5C8CBD41  created: 1999-06-04 expires: never     
 (1)  Blake (Executioner) <blake@cyb.org>
 
 Command> fpr
 pub  1024D/9E98BC16 1999-06-04 Blake (Executioner) <blake@cyb.org>
 Fingerprint: 268F 448F CCD7 AF34 183E  52D8 9BDE 1A08 9E98 BC16

Otpechatukut na klyucha e hesh suma na samiia klyuch i otpechatuka na klyucha, koito ste dobavili triabva da bude sravnen s tozi, koito ste poluchili ot sobstvenika na klyucha. Tova mozhe da stane lichno ili po telefona ili po kakuvto i da e drug nachin dokato vie mozhe da ste sigurni, che komunikirate s istinskiia sobstvenik na klyucha. Ako otpechatuka, koito vie ste poluchili, suvpada s tozi, koito vi e dal sobstvenika na klyucha, to vie mozhe da ste sigurni, che pritezhavate pravilnoto kopie na klyucha.

Sled kato proverite otpechatuka, vie mozhe da podpishete klyucha. Tui kato podpisvaneto na klyucha e edno ot slabite mesta v kriptografiiata s publichen klyuch vie triabva da ste izklyuchitelno vnimatelen i vinagi da proveriavate otpechatuka na klyucha predi da go podpishete. 

Command> sign
 
 pub  1024D/9E98BC16  created: 1999-06-04 expires: never      trust: -/q
 Fingerprint: 268F 448F CCD7 AF34 183E  52D8 9BDE 1A08 9E98 BC16
 
 Blake (Executioner) <blake@cyb.org>
 
 Are you really sure that you want to sign this key
 with your key: "Alice (Judge) <alice@cyb.org>"
 
 Really sign?

Vednuzh podpisali klyucha vie mozhe da proverite drugite podpisi i da vidide vashiia podpis. Vseki potrebitelski identifikator shte ima edin ili poveche podpisa na svoite klyuchove, kakto i podpisi ot strana na vseki potrebitel, koito e podpisal klyucha. 

Command> check
 uid  Blake (Executioner) <blake@cyb.org>
 sig!       9E98BC16 1999-06-04   [self-signature]
 sig!       BB7576AC 1999-06-04   Alice (Judge) <alice@cyb.org>

SHifrirane i deshifrirane na dokumenti

I publichniia i chastniia klyuch imat svoiata rolia pri shifriraneto i deshifriraneto na dokumenti. Za publichniia klyuch mozhe da se misli kato za otvoren seif. Kogato vash korespondent shifrira za vashiia publichen klyuch toi vse edno postavia dokumenta v seifa i go zatvaria. Za da bude otvoren seifa e nuzhen vashiia chasten klyuch i po tozi nachin se garantira, che vie ste edinstveniiat, koito mozhe da dostupi informatsiiata. Kazano nakratko, samo chovekut, koito pritezhava chastniia klyuch, mozhe da deshifrira dokument, koito e shifriran s komplementarniia mu publichen klyuch.

Protsedurata po shifrirane i deshifrirane e lesna sledvaiki tozi misloven model. Ako vie iskate da shifrirate suobshtenie za Alis, vie triabva da go shifrirate s publichniia i klyuch i tia shte mozhe da go deshifrira chrez neiniia chasten klyuch. Ako Alis iska da vi prati suobshtenie, tia go shifrira izpolzvaiki vashiia publichen klyuch i sled kato go poluchite vie shte mozhe da go deshifrirate s vashiia chasten klyuch.

Za da shifrirate dokument izpolzvate optsiiata --encrypt Vie triabva da imate publichniia klyuch na poluchatelia na suobshtenieto si. GnuPG ochakva imeto na dokumenta, koito shte shifrira, ako ne go nameri tam ochakva sudurzhanieto mu ot standartniia vhod SHifriranoto sudurzhanie shte bude izprateno kum standartniia izhod, osven ako ne bude izpolzvana optsiiata --output. Dokumentut sushto e kompresiran za dopulnitelna sigurnost. 

alice% gpg --output doc.gpg --encrypt --recipient blake@cyb.org doc

Optsiiata --recipient se izpolzva za vseki poluchatel kato se ukazva i publichniia klyuch, koito shte se polzva za shifriraneto. Izprateniia dokument mozhe da se deshifrira samo ot niakoi s chasten klyuch, koito e ot sushtata dvoika, s chiito publichen klyuch e shifrirano suobshtenieto. Vie ne mozhete da deshifrirate dokument, shifriran ot vas, osven ako ne ste go shifrirali i za vashiia publichen klyuch.

Za deshifrirane se izpolzva --decrypt optsiiata. Triabva da imate chastniia klyuch, za koito suobshtenieto e bilo shifrirano. Podobno na protsesa na shifrirane, dokumentut za deshifirane e vhod, a izhoda e deshifriraniia tekst. 

blake% gpg --output doc --decrypt doc.gpg
 
 You need a passphrase to unlock the secret key for
 user: "Blake (Executioner) <blake@cyb.org>"
 1024-bit ELG-E key, ID 5C8CBD41, created 1999-06-04 (main key ID 9E98BC16)
 
 Enter passphrase:

Dokumentite sushto mozhe da budat shifrirani i bez izpolzvaneto na kriptografiia s publichen klyuch. Vmesto tova se izpolzva simetrichen shifur. Klyuchut se poluchava ot parolata, koiato zadavate pri shifriraneto. S ogled na osiguriavane na po-goliama sigurnost, tazi parola triabva da e razlichna ot tazi, s koiato ste zashtitili svoia chasten klyuch. Simetrichnoto shifrirane e polezno, kogato parolata ne triabva da se suobshtava na drugi. Mozhem da shifrirame dokument s pomoshta na simetrichen shifur s --symmetric optsiiata. 

alice% gpg --output doc.gpg --symmetric doc
 Enter passphrase:

Suzdavane i proverka na podpisi

TSifroviia podpis udostoveriava sudurzhanieto i vremeto na suzdavane/promiana na dokumenta. Ako dokumentut bude modifitsiran v posledstvie, proverkata na podpisa shte go pokazhe. TSifroviiat podpis mozhe da izpulni sushtata rolia kato samoruchniia podpis s dopulnitelnoto predimstvo, che e ustoichiv na podpraviane. Primerno izhodniia kod na GnuPG e podpisan i taka potrebitelite mogat da sa sigurni, che toi ne e promenian sled kato e bil podpisan ot razrabotchitsite.

Suzdavaneto i proverkata na podpisi izpolzva dvoikata klyuchove za operatsiia razlichna ot shifrirane i deshifrirane. Elektronniia podpis se suzdava, kato se polzva chastniiat klyuch na podpisvashtiia. Podpisa se proveriava chrez korespondirashtiia mu publichen klyuch. Primerno Alis bi mogla da izpolzva neiniia chasten klyuch, za da podpishe tsifrovo neinata posledna publikatsiia v spisanie posveteno na neorganichnata himiia. Redaktorut na spisanieto shte izpolzva publichniia klyuch na Alis, za da proveri dali naistina tazi publikatsiia idva ot neia i dali ne e bila promenena sled kato e bila podpisana. Drugo posledstvie ot izpolzvaneto na tsifrov podpis e, che e trudno da se otreche avtorstvoto vurhu podpisan dokument, tui kato tova bi oznachavalo, che dvoikata klyuchove e kompromentirana.

Optsiiata --sign is se izpolzva za tsifrovo podpisvane. Dokumentut, koito triabva da bude podpisan se ochakva ot standartniia vhod, a kum standartniia izhod se izprashta podpisaniia dokument. 

alice% gpg --output doc.sig --sign doc
 
 You need a passphrase to unlock the private key for
 user: "Alice (Judge) <alice@cyb.org>"
 1024-bit DSA key, ID BB7576AC, created 1999-06-04
 
 Enter passphrase:

Dokumentut se kompresira predi da bude podpisan i zatova izhoda e v dvoichen format.

Ako imate podpisan dokument, vie mozhe da samo proverite podpisa ili da proverite podpisa i da vuzstanovite originalniia dokument. Za da proverite podpisa izpolzvaite --verify optsiiata. Za da proverite podpisa i vuzstanovite dokumenta izpolzvaite --decrypt optsiiata. Dokumentut, koito biva proveriavan se ochakva na standartiia vhod, a vuzstanoveniia dokument se izprashta kum standartniia izhod. 

blake% gpg --output doc --decrypt doc.sig
 gpg: Signature made Fri Jun  4 12:02:38 1999 CDT using DSA key ID BB7576AC
 gpg: Good signature from "Alice (Judge) <alice@cyb.org>"

Podpisvane v samiia dokument

CHesto tsifroviiat podpis se upotrebiava za podpisvane na email ili usenet suobshteniia. Pri tiah ne e razumno da se kompresira dokumenta predi da bude izpraten i togava se izpolzva optsiiata --clearsign Po tozi nachin sudurzhanieto na dokumenta se zagrazhda i podpisa se dobavia kum suobshtenieto, no samoto suobshtenie ne se promenia po nikakuv nachin. 

alice% gpg --clearsign doc
 
 You need a passphrase to unlock the secret key for
 user: "Alice (Judge) <alice@cyb.org>"
 1024-bit DSA key, ID BB7576AC, created 1999-06-04
 
 -----BEGIN PGP SIGNED MESSAGE-----
 Hash: SHA1
 
 [...]
 -----BEGIN PGP SIGNATURE-----
 Version: GnuPG v0.9.7 (GNU/Linux)
 Comment: For info see http://www.gnupg.org
 
 iEYEARECAAYFAjdYCQoACgkQJ9S6ULt1dqz6IwCfQ7wP6i/i8HhbcOSKF4ELyQB1
 oCoAoOuqpRqEzr4kOkQqHRLE/b8/Rw2k
 =y6kj
 -----END PGP SIGNATURE-----

Prikachen podpis

Dokumentut, koito sudruzha podpisa v sebe si ima ogranicheno prilozhenie. Druga vuzmozhnost e da se izpolzva metoda na suzdavane na prikachen podpis, koito predstavliava otdelen fail, sudurzhasht podpisa. Tozi tip podpis se suzdava chrez optsiiata --detach-sig 

alice% gpg --output doc.sig --detach-sig doc
 
 You need a passphrase to unlock the secret key for
 user: "Alice (Judge) <alice@cyb.org>"
 1024-bit DSA key, ID BB7576AC, created 1999-06-04
 
 Enter passphrase:

Za da bude proveren podpisa sa nuzhni podpisa i samiia dokument. Tova stava s --verify optsiiata. 

blake% gpg --verify doc.sig doc
 gpg: Signature made Fri Jun  4 12:38:46 1999 CDT using DSA key ID BB7576AC
 gpg: Good signature from "Alice (Judge) <alice@cyb.org>"

Molba za korektsii

Za uspeha i poleznostta na proekta e izklyuchitelno vazhno toi da e maksimalno izchisten ot greshki i dostupen za razbirane. Zatova vi molia da izprashtate vsiakvi korektsii kato komentar tuk ili na moia email adres.
Peio Popov



<< Instalirane na Pine pod Debian GNU/Linux 2.0 | Instalatsiia na Oracle 10g pod Linux x86 >>