Программы семейства GPG (GNU Privacy Guard) / PGP (Pretty Good Privacy) позволяют «прозрачно» подписывать и зашифровывать все типы цифровой информации. По своей сути, названные инструменты являются лишь удобной обёрткой, упрощающей практическое использование открытых алгоритмов асимметричной криптографии.
Несколько лет ведется полемика об актуальности использования GPG, в рамках которой высказывается много скептицизма о громоздкости и устаревании этого криптографического продукта. Высокий порог вхождения очевиден при соответствующем поисковом запросе, который выдает много сложной информации и инструкции по работе с утилитой GPG в терминале Linux.
В этой статье рассмотрим приложение с открытым исходным кодом для работы с инструментарием GPG в графической оболочке — находка для новичков и тех, кто просто избегает загадочного черного окна командной строки. Благодаря кроссплатформенности Клеопатры, статья одинаково полезна для пользователей Windows, Linux и FreeBSD.
Как зашифровать файл или текст с помощью Gpg4win
Установка
Во многих unix-like операционных системах Клеопатра имеется в репозиториях по умолчанию. В Debian установка выглядит так: sudo apt-get install kleopatra .
Для Windows программа распространяется в пакете GPG4Win, объединяющем в себе несколько полезных инструментов: непосредственно Kleopatra, GpgEX — удобный плагин для проводника Windows, который добавляет в контекстное меню пункты «Зашифровать», «Подписать», «Расшифровать», «Проверить контрольные суммы» и некоторые другие, GPA — еще один более простой на вид и менее функциональный менеджер ключей, GpgOL — плагин для почтового клиента Outlook).
Первый шаг в использовании GPG — создание своей пары ключей. Публичный ключ предоставляется всем желающим, а секретный хранится в надежном месте и служит для подписания информации от лица его владельца и расшифровки адресованной ему информации.
Создание пары ключей
На выбор предлагаются типы ключей X.509 (практически применяется в корпоративной среде) и OpenPGP. Выбираем OpenPGP. Вводим контактые данные, которые будут отображаться у всех владельцев нашего открытого ключа. Вместо настоящего имени можно указать никнейм. В дальнейшем некоторую информацию ключа будет возможно изменить.
По умолчанию используется шифрование RSA с длиной ключа в 2048 бит (2048 нулей и единиц машинного кода). С учетом развития квантовых технологий, данное шифрование всё менее и менее кажется надежным. В настоящее время себя хорошо зарекомендовало использование криптографии на эллиптических кривых. Подобные алгоритмы имеют невероятную криптостойкость и хорошую производительность, благодаря небольшой длине ключа.
Чтобы создать пару ключей на эллиптических кривых, переходим в дополнительные параметры. Пункт ECDSA/EdDSA — то, что нам надо. Дополнительный чекбокс (галочка) «+ECDH» даст ключу возможность шифровать, без нее сертификат можно будет использовать только для подписи и идентификации, так как ECDSA/EdDSA — алгоритмы подписи, а не шифрования. В выпадающих списках предлагается выбрать один из алгоритмов: ed25519, brainpool и NIST.
Шиврование PGP GnuPG Kleopatra
- ed25519 (Curve25519) — эталонная и непатентованной реализация криптографии на эллиптической кривой, имеет 128-битную длину. Является ключом EdDSA — самым актуальным алгоритмом цифровой подписи (считается, что без закладок от силовых структур каких-либо стран).
- brainpool — алгоритм, разработанный немецким сообществом криптографоф, в число которых входят университеты, государственные ведомства и коммерческие организации, например, компания Bosch. Поддерживает длины в 256, 384 и 512 бит. При подписи использует несколько устаревший алгоритм ECDSA.
- NIST — американский алгоритм, разработанный Национальным Институтом Стандартов и Технологий. Рекомендован для использования государственными органами США. Поддерживает длины в 256, 384 и 521 бит. По оценке некоторых специалистов, NIST лучше brainpool по производительности. При подписи использует несколько устаревший алгоритм ECDSA.
Для примера в обоих случаях используется алгоритм brainpool с максимальной длиной ключа. По умолчанию ключ создается со сроком годности в два года. Этот параметр можно изменить, либо вовсе отключить, тогда ключ будет бессрочным.
На следующем шаге задается пароль, который является последним рубежом защиты секретного ключа. Не следует передавать кому-то секретный ключ, но если так все-таки вышло, будет лучше, когда вы задали очень надежный пароль. Рекомендуется использовать специальные знаки (символы пунктуации и прочее) для надежной защиты от брутфорса. Лучшим вариантом будет длинный пароль, полученный из генератора случайных символов, однако не забывайте про золотую середину между использованием и безопасностью. Например, вводить на телефоне очень длинный и сложный пароль с символами из расширенной таблицы ASCII, не имея возможности его скопировать из менеджера паролей, будет весьма проблематично.
Итак, пара ключей создана! Обратите внимание на отпечаток, это уникальный идентификатор вашего ключа. Даже если кто-то захочет представиться вами, создав ключ с такими же именем и электронной почтой, его отпечаток будет отличаться. Именно поэтому важно сверять отпечатки получаемых ключей.
Клеопатра предлагает сделать резервную копию ключей, что по факту является экспортом закрытого ключа. Эту операцию в дальнейшем можно произвести в любой момент.
Открыв экспортированный ключ в текстовом редакторе, мы увидим специфичный фрагмент текста, начинающийся словами «BEGIN PGP PRIVATE KEY BLOCK». Будьте внимательны, не отправьте его кому-то по ошибке! Открытые ключи, предназначенные для передачи вторым лицам, начинаются со слов «BEGIN PGP PUBLIC KEY BLOCK».
Большое преимущество GPG перед другими средствами идентификации заключается в легкой переносимости ключа. Например, его можно распечатать на бумаге или выучить наизусть. Хранить можно только приватный ключ, так как при необходимости кому-то передать публичный, мы всегда можем экспортировать его из секретного (выводится математическим путём).
Экспорт и импорт
Для операций с ключом, щелкните по нему правой кнопкой мыши.
Для импорта ключей (нашего уже существующего на новом устройстве или полученного публичного), воспользуемся кнопкой «Импорт». Также можно использовать двойной клик по файлу ключа, это автоматически откроет Клеопатру и импортирует выбранный ключ. GPG-файлы встречаются с расширениями *.asc, *.pgp и *.gpg. Это не имеет большого значения, так как расширение нужно больше для удобства пользователя и лишь немного — приложений. Файл будет корректно прочитан и в случае, когда специальное расширение изменено или удалено.
Очень часто ключи распространяются в виде текстового блока. В таком случае, скопировав ключ, можно импортировать его через меню операций с буфером обмена.
Программа попросит удостовериться в подлинности ключа. В настоящее время самым простым и эффективным способом является сравнение отпечатка, поэтому его публикуют вместе с ключом. Если отпечаток совпадает с заявленным, заверяем сертификат.
Теперь мы можем проверять подпись владельца нового ключа и шифровать для него информацию.
Шифрование и подпись
Чтобы зашифровать и подписать файл, воспользуемся соответствующим пунктом меню на верхней панели.
После выбора файла, предлагается выбрать нужные операции. Подпись позволяет получателю убедиться в авторстве файла. Эта функция очень полезна: расшифровав архив, мы точно знаем, что архив был зашифрован владельцем обозначенного ключа, а не кем-то другим, кто просто располагает нашим публичным ключом. Использовать подпись — полезная привычка в большинстве случаев.
Распространненым способом безопасного хранения данных на облачном хранилище является GPG-шифрование файлов «для себя». В таком случае расшифровать информацию можно будет только нашим ключом.
Также возможна подпись без шифрования. Чаще всего применимо к текстовой информации. Механизм подписания строится на хеш-сумме: позволяет сравнить актуальное состояние информации с тем, какой она была, когда ее подписывал отправитель. Для примера откроем «блокнот».
Назначив отсутствие шифрования для кого-либо, оставляем только подпись и нажимаем кнопку «Подписать».
После ввода пароля от ключа, видим, что к фразе «Отличная работа» добавился дополнительный текстовый блок с хеш-суммой SHA512.
Если сейчас проверить подпись, она будет верна, но если изменить хотя бы один символ или добавить пробел, проверка выявит недействительную для данного текста подпись. Это связано с тем, что хеш-сумма данного массива информации абсолютна отлична от той, когда вместо буквы «Я» стояла «я».
В случае подписи файла без шифрования, в директории файла создается сигнатура с расширением *.sig, которую следует передавать вместе с исходным файлом. Если в файле изменится хотя бы один бит, проверка подписи выдаст ошибку.
Постскриптум
Все локальные ключи централизованно хранятся на устройстве в специальной папке. Все программы, взаимодействующие с GPG, будут их видеть. Для общения по протоколу XMPP (Jabber), защищенного GPG-шифрованием, можно использовать Gajim, который также является кроссплатформенным. Для ведения защищенной почтовой переписки удобно использовать этичный клиент Thunderbird, в который необходимо будет импортировать секретный ключ, так как он имеет свое изолированное хранилище ключей. Об использовании Thunderbird написано тут.
В статье опущено много технических нюансов, так как она рассчитана на широкий круг пользователей, которые в том числе имеют низкий уровень познаний в криптографии и ищут стартовую позицию для знакомства с действительно надеждным сквозным шифрованием.
- Информационная безопасность
- Криптография
- Open source
Источник: habr.com
Подписывать и шифровать файлы с помощью сертификатов OpenPGP с помощью Kleopatra.
Подписание и шифрование почти стали повседневной задачей некоторых пользователей. Хотя шифрование делает ваш файл нечитаемым для неавторизованных пользователей, подписание помогает вам требовать и проверять целостность файла. Доступно множество инструментов, которые подходят для этой задачи.
Но каковы наилучшие способы и рекомендации, которые следует соблюдать при подписании или шифровании вашего файла? Каковы наилучшие отраслевые стандарты? В этом посте мы рассмотрели инструмент, называемый Kleopatra который позволяет шифровать или подписывать файлы, используя стандарты OpenPGP.
Что такое OpenPGP
OpenPGP — это протокол, который первоначально предназначался для шифрования сообщений, таких как электронные письма. Этот протокол / стандарт определяет методы, методы и форматы зашифрованных данных и сертификатов. GnuPG — это реализация стандартов OpenPGP с открытым исходным кодом и позволяет вам подписывать и шифровать ваши файлы. Это в основном инструмент командной строки и немного сложный. Инструмент, о котором мы поговорим сегодня, Kleopatra представляет собой GUI-реализацию GnuPG.
Подписывать и шифровать файлы с помощью Kleopatra
Перед выполнением любых подписи и шифрования вам необходимо создать собственный сертификат или пару ключей. Вы можете просто нажать Ctrl + N для создания новой пары ключей или вы можете импортировать существующие файлы сертификатов, если таковые имеются. Программа поддерживает почти все форматы сертификатов.
Если вы создаете новую пару ключей, Kleopatra сделает ее очень простой и понятной с ее Мастер создания пары ключей. На первом этапе вы можете выбрать, хотите ли вы создать OpenPGP или ключ X.509. Затем вы можете указать свое имя и адрес электронной почты на следующем шаге. Хотя большинство пользователей могут перейти на следующий шаг, но инструмент также предоставляет вам некоторые дополнительные настройки.
Подписание и шифрование
Таким образом, речь шла о создании вашей пары ключей или сертификата. Теперь пришло время подписывать или шифровать ваши файлы. Kleopatra делает это очень просто сделать, введя контекстное меню правой кнопки мыши. Таким образом, вы можете щелкнуть правой кнопкой мыши любой файл и выбрать ‘ Подписать и зашифровать ». Или, если вы просто хотите подписывать и пропускать шифрование, вы можете нажать Дополнительные параметры GpgEX и выберите соответствующий параметр.
Вы также можете зашифровать или подписать свои файлы из основного приложения. Вы можете подписать файл, используя любой из ранее созданных или импортированных сертификатов. После завершения подписания .sig файл будет создан в том же каталоге. И этот файл можно использовать для проверки целостности файла, который вы подписали. Если файл был изменен после его подписания, .sig файл покажет вам недопустимую подпись.
Kleopatra — отличный инструмент для управления подписью и шифрованием файлов. Это полезно во многих тестовых случаях и может помочь вам защитить ваши файлы и информацию. Он использует некоторые из лучших стандартов под ним, и графический интерфейс упрощает работу с такими сложными операциями. Нажмите Вот скачать Kleopatra.
Источник: ru.begin-it.com
Шифруем электронные письма за 6 простых шагов
Для шифрования писем мы рекомендуем использовать программы с открытым исходным кодом GNU Privacy Guard (GPG), Kleopatra и Thunderbird с расширением Enigma. В этом материале мы расскажем, как их настроить.
1. Провайдер сервисов e-mail с PFS
Пользуйтесь услугами провайдеров, которые для обмена ключами между отправителем и получателем уже используют новую систему совершенной прямой секретности (англ. Perfect forward secrecy, PFS). В России PFS уже предлагают Web.de, GMX и Posteo.
2. Настройка Gpg4win
Установите инсталляционный пакет Gpg4win, скачав его по прямой ссылке gpg4win.de. Как правило, пакет используется из учетной записи администратора Windows.
Если вы не хотите рисковать, вы можете по-прежнему уменьшать уязвимые места, используя ограниченную учетную запись пользователя для шифрованной связи, чтобы запретить доступ к данным профиля учетки.
3. Создание шифрования
Откройте менеджер сертификатов Kleopatra, который установится на ваш компьютер вместе с Gpg4win, и нажмите «File | New Certificate…» для запуска мастера генерации ключей. Выберите здесь «Generate a personal OpenPGP key pair» и введите имя и электронную почту.
По щелчку по «Next» введите легко запоминающееся для вас кодовое слово, содержащее прописные и строчные буквы и числа. Последнее диалоговое окно пропустите, кликните по кнопке завершения, и ваша пара ключей готова к использованию.
4. Настройка Thunderbird и Enigmail
Установите Thunderbird, который можно скачать с официального сайта Mozilla, и настройте его для своей электронной почты. Если вы пользуетесь услугами крупных провайдеров или Posteo, то для мастера установки достаточно будет ввести электронный адрес и пароль, которые есть у вас для входа через веб-клиент сервиса.
При настройке дополнения Enigmail в Thunderbird нажмите Alt для отображения меню и щелкните по вкладке «Инструменты | Дополнения». В строке поиска введите «Enigmail» и нажмите Enter. Первая запись должна быть последней версией Enigmail. Щелкните кнопку «Установить».
После установки и перезапуска Thunderbird вас поприветствует мастер Enigmail. В настройках этого мастера выберите «Удобное автоматическое шифрование», «Не подписывать сообщения по умолчанию…» и «Изменить параметры: Да». В диалоговом окне «Выбрать ключ» щелкните по вашему ключу, который вы создали в п. 3. Теперь ваши письма будут зашифрованы.
5. Шифрование писем и вложений
Отправлять и получать письма в незашифрованном виде и дальше вы можете при помощи Thunderbird или с веб-клиента вашего провайдера. Если вы хотите отправить зашифрованное сообщение, получите от будущего получателя его открытый ключ, сохраните на жесткий диск и импортируйте в утилиту Kleopatra: для этого нужно ее открыть и выбрать «Import Certificates».
Для шифрования письма сначала напишите его и прикрепите нужные вложения. Затем в окне письма «Написать» щелкните по меню «Enigmail», где в двух первых записях отобразится текущий статус шифрования и подписи письма. Щелкнув по значку стрелочки рядом, вы можете принудительно отправлять письма в зашифрованном или незашифрованном виде.
К зашифрованным письмам необходимо добавлять подпись, дабы получатель мог проверить, действительно ли вы отправили письмо.
6. Получение зашифрованных писем
Для отправки вам криптографически защищенного письма нужно воспользоваться Enigmail (или другим OpenPGP-совместимым решением, например, Claws Mail) и вашим открытым ключом, который вам следует отправить незашифрованным письмом будущему отправителю. Щелкните в почте по «Enigmail | Прикрепить мой открытый ключ».
При получении зашифрованного письма Enigmail потребует ввести пароль. Расшифровать вложения и сохранить их вы можете в их контекстном меню «Расшифровать и сохранить как…».
Источник: ichip.ru