Protejați-vă confidențialitatea cu comanda Linux gpg. Utilizați criptarea de clasă mondială pentru a vă păstra secretele în siguranță. Vă vom arăta cum să utilizați gpg pentru a lucra cu chei, a cripta fișierele și a le decripta.
GnuPrivacy Guard (GPG) vă permite să criptați în siguranță fișierele, astfel încât numai destinatarul vizat să le poată decripta. Mai exact, GPG respectă OpenPGP standard. Este modelat după un program numit Pretty Good Privacy (PGP). PGP a fost scris în 1991 de Phil Zimmerman.
GPG se bazează pe ideea a două chei de criptare per persoană. Fiecare persoană are o cheie privată și o cheie publică. Cheia publică poate decripta ceva care a fost criptat folosind cheia privată.
Pentru a trimite un fișier în siguranță, îl criptați cu cheia privată și cheia publică a destinatarului. Pentru a decripta fișierul, au nevoie de cheia lor privată și cheia dvs. publică.
Veți vedea din aceasta că cheile publice trebuie partajate. Trebuie să aveți cheia publică a destinatarului pentru a cripta fișierul, iar destinatarul are nevoie de cheia dumneavoastră publică pentru a-l decripta. Nu există niciun pericol în a vă face cheile publice doar atât: publice. De fapt, există servere cu chei publice tocmai în acest scop, după cum vom vedea. Cheile private trebuie păstrate private. Dacă cheia dvs. publică se află în domeniul public, atunci cheia dvs. privată trebuie păstrată secretă și în siguranță.
Există mai mulți pași implicați în configurarea GPG decât în utilizarea acestuia. Din fericire, de obicei trebuie să-l configurați o singură dată.
Cuprins
Generarea cheilor dvs
Comanda gpg a fost instalată pe toate distribuțiile Linux care au fost verificate, inclusiv Ubuntu, Fedora și Manjaro.
Nu trebuie să utilizați GPG cu e-mailul. Puteți cripta fișierele și le puteți face disponibile pentru descărcare sau le puteți transmite fizic destinatarului. Cu toate acestea, trebuie să asociați o adresă de e-mail cu cheile pe care le generați, așa că alegeți ce adresă de e-mail veți utiliza.
Iată comanda pentru a vă genera cheile. Opțiunea –full-generate-key generează cheile într-o sesiune interactivă în fereastra terminalului. De asemenea, vi se va solicita o expresie de acces. Asigurați-vă că vă amintiți care este expresia de acces. Trei sau patru cuvinte simple unite cu semne de punctuație sunt bune și model robust pentru parole și fraze de acces.
gpg --full-generate-key
Vi se va cere să alegeți un tip de criptare dintr-un meniu. Dacă nu aveți un motiv întemeiat, tastați 1 și apăsați Enter.
Trebuie să alegeți o lungime de biți pentru cheile de criptare. Apăsați Enter pentru a accepta valoarea implicită.
Trebuie să specificați cât de mult ar trebui să dureze cheia. Dacă testați sistemul, introduceți o durată scurtă, cum ar fi 5 pentru cinci zile. Dacă intenționați să păstrați această cheie, introduceți o durată mai lungă, cum ar fi 1 an timp de un an. Cheia va dura 12 luni și va trebui reînnoită după un an. Confirmați alegerea cu un Y.
Trebuie să vă introduceți numele și adresa de e-mail. Puteți adăuga un comentariu dacă doriți.
Vi se va solicita expresia dvs. de acces. Veți avea nevoie de fraza de acces ori de câte ori lucrați cu cheile, așa că asigurați-vă că știți ce este.
Faceți clic pe butonul OK când ați introdus fraza de acces. Veți vedea această fereastră pe măsură ce lucrați cu gpg, așa că asigurați-vă că vă amintiți expresia de acces.
Generarea cheii va avea loc și veți reveni la promptul de comandă.
Generarea unui certificat de revocare
Dacă cheia dvs. privată devine cunoscută altora, va trebui să disociați cheile vechi de identitatea dvs., astfel încât să puteți genera altele noi. Pentru a face acest lucru, veți avea nevoie de un certificat de revocare. Vom face asta acum și îl vom păstra într-un loc sigur.
Opțiunea –output trebuie să fie urmată de numele fișierului certificatului pe care doriți să îl creați. Opțiunea –gen-revoke face ca gpg să genereze un certificat de revocare. Trebuie să furnizați adresa de e-mail pe care ați folosit-o când au fost generate cheile.
gpg --output ~/revocation.crt --gen-revoke [email protected]
Vi se va cere să confirmați că doriți să generați un certificat. Apăsați Y și apăsați Enter. Vi se va cere motivul pentru care generați certificatul. Deoarece facem asta din timp, nu știm sigur. Apăsați 1 ca o presupunere plauzibilă și apăsați Enter.
Puteți introduce o descriere dacă doriți. Apăsați Enter de două ori pentru a încheia descrierea.
Vi se va cere să vă confirmați setările, apăsați Y și apăsați Enter.
Certificatul va fi generat. Veți vedea un mesaj care întărește necesitatea de a păstra acest certificat în siguranță.
Menționează pe cineva pe nume Mallory. Discuțiile despre criptografie au folosit mult timp Bob și Alice pe măsură ce cei doi oameni comunică. Există și alte personaje secundare. Eve este o persoană care intervine cu urechea, Mallory este un atacator rău intenționat. Tot ce trebuie să știm este că trebuie să păstrăm certificatul în siguranță.
Ca minim, să eliminăm toate permisiunile în afară de ale noastre din certificat.
chmod 600 ~/revocation.crt
Să verificăm cu ls pentru a vedea care sunt permisiunea acum:
ls -l
Este perfect. Nimeni în afară de proprietarul fișierului – noi – nu poate face nimic cu certificatul.
Importul cheii publice a altcuiva
Pentru a cripta un mesaj pe care o altă persoană îl poate decripta, trebuie să avem cheia publică.
Dacă vi s-a furnizat cheia lor într-un fișier, o puteți importa cu următoarea comandă. În acest exemplu, fișierul cheie se numește „mary-geek.key”.
gpg --import mary-geek.key
Cheia este importată și vi se afișează numele și adresa de e-mail asociate cheii respective. Evident, ar trebui să se potrivească cu persoana de la care l-ai primit.
Există, de asemenea, posibilitatea ca persoana de la care aveți nevoie de o cheie să-și fi încărcat cheia pe un server de chei publice. Aceste servere stochează cheile publice ale oamenilor din întreaga lume. Serverele de chei se sincronizează între ele periodic, astfel încât cheile sunt disponibile universal.
Serverul de chei publice MIT este un server de chei popular și unul care este sincronizat în mod regulat, așa că căutarea acolo ar trebui să aibă succes. Dacă cineva a încărcat recent o cheie, ar putea dura câteva zile să apară.
Opțiunea –keyserver trebuie să fie urmată de numele serverului de chei pe care doriți să îl căutați. Opțiunea –search-keys trebuie să fie urmată fie de numele persoanei pe care o căutați, fie de adresa de e-mail a acesteia. Vom folosi adresa de e-mail:
gpg --keyserver pgp.mit.edu --search-keys [email protected]
Potrivirile sunt listate pentru dvs. și numerotate. Pentru a importa unul, introduceți numărul și apăsați Enter. În acest caz, există o singură potrivire, așa că introducem 1 și apăsăm Enter.
Cheia este importată și ni se arată numele și adresa de e-mail asociate cu cheia respectivă.
Verificarea și semnarea unei chei
Dacă vi s-a înmânat un fișier cu cheie publică de către cineva cunoscut de dvs., puteți spune cu siguranță că aparține acelei persoane. Dacă ați descărcat-o de pe un server de chei publice, este posibil să simțiți nevoia să verificați dacă cheia îi aparține persoanei căreia îi este destinată.
Opțiunea –fingerprint face ca gpg să creeze o secvență scurtă de zece seturi de patru caractere hexazecimale. Puteți cere persoanei să vă trimită amprenta cheii sale.
Puteți utiliza apoi opțiunea –fingerprint pentru a genera aceeași secvență de amprentă digitală de caractere hexazecimale și a le compara. Dacă se potrivesc, știi că cheia îi aparține acelei persoane.
gpg --fingerprint [email protected]
Amprenta este generată.
Când sunteți mulțumit că cheia este autentică și este deținută de persoana cu care ar trebui să fie asociată, puteți semna cheia acesteia.
Dacă nu faceți acest lucru, îl puteți utiliza în continuare pentru a cripta și decripta mesajele de la și către acea persoană. Dar gpg vă va întreba de fiecare dată dacă doriți să continuați, deoarece cheia este nesemnată. Vom folosi opțiunea –sign-key cu numele potrivit și vom furniza adresa de e-mail a persoanei, astfel încât gpg să știe ce cheie să semneze.
gpg --sign-key [email protected]
Veți vedea informații despre cheie și persoană și vi se va cere să verificați dacă doriți cu adevărat să semnați cheia. Apăsați Y și apăsați Enter pentru a semna cheia.
Cum să vă partajați cheia publică
Pentru a vă partaja cheia ca fișier, trebuie să o exportăm din magazinul local de chei gpg. Pentru a face acest lucru, vom folosi opțiunea –export, care trebuie să fie urmată de adresa de e-mail pe care ați folosit-o pentru a genera cheia. Opțiunea –output trebuie să fie urmată de numele fișierului în care doriți să exportați cheia. Opțiunea –armour îi spune gpg să genereze ieșire ASCII armor în loc de un fișier binar.
gpg --output ~/dave-geek.key --armor --export [email protected]
Putem arunca o privire în interiorul fișierului cheie cu mai puțin.
less dave-geek.key
Cheia este arătată în toată splendoarea ei:
De asemenea, puteți partaja cheia publică pe un server de cheie publică. Opțiunea –send-keys trimite cheia către serverul de chei. Opțiunea –keyserver trebuie să fie urmată de adresa web a serverului de chei publice. Pentru a identifica ce cheie de trimis, amprenta cheii trebuie furnizată pe linia de comandă. Rețineți că nu există spații între seturile de patru caractere.
(Puteți vedea amprenta cheii dvs. utilizând opțiunea –fingerprint.)
gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4
Veți primi confirmarea că cheia a fost trimisă.
Criptarea fișierelor
În sfârșit suntem gata să criptăm un fișier și să-l trimitem lui Mary. Fișierul se numește Raven.txt.
Opțiunea –encrypt îi spune gpg să cripteze fișierul, iar opțiunea –sign îi spune să semneze fișierul cu detaliile tale. Opțiunea –armour îi spune gpg să creeze un fișier ASCII. Opțiunea -r (destinatar) trebuie să fie urmată de adresa de e-mail a persoanei căreia îi trimiteți fișierul.
gpg --encrypt --sign --armor -r [email protected]
Fișierul este creat cu același nume ca și originalul, dar cu „.asc” adăugat la numele fișierului. Să aruncăm o privire în interiorul ei.
less Raven.txt.asc
Fișierul este complet ilizibil și poate fi decriptat doar de cineva care are cheia dvs. publică și cheia privată a lui Mary. Singura persoană care le are pe ambele ar trebui să fie Mary.
Acum îi putem trimite fișierul lui Mary încrezători că nimeni altcineva nu îl poate decripta.
Decriptarea fișierelor
Maria a trimis un răspuns. Este într-un fișier criptat numit coded.asc. Îl putem decripta foarte ușor folosind opțiunea –decrypt. Vom redirecționa rezultatul într-un alt fișier numit plain.txt.
Rețineți că nu trebuie să spunem gpg de la cine este fișierul. Se poate rezolva din conținutul criptat al fișierului.
gpg --decrypt coded.asc > plain.txt
Fișierul a fost decriptat cu succes pentru noi.
Reîmprospătarea cheilor
Periodic, puteți cere gpg să verifice cheile pe care le are față de un server de chei publice și să reîmprospăteze toate cheile care s-au schimbat. Puteți face acest lucru la fiecare câteva luni sau când primiți o cheie de la un contact nou.
Opțiunea –refresh-keys face ca gpg să efectueze verificarea. Opțiunea –keyserver trebuie să fie urmată de serverul de chei la alegere. Odată ce cheile au fost sincronizate între serverele de chei publice, nu ar trebui să conteze pe care o alegeți.
gpg --keyserver pgp.mit.edu --refresh-keys
gpg răspunde listând cheile pe care le verifică și anunțându-vă dacă unele s-au schimbat și au fost actualizate.
Confidențialitatea este un subiect fierbinte
Confidențialitatea nu este niciodată departe de știrile din aceste zile. Indiferent de motivele pentru care doriți să vă păstrați informațiile în siguranță și private, gpg oferă un mijloc simplu de a aplica o criptare incredibil de puternică fișierelor și comunicațiilor dvs.
Există și alte moduri de a folosi gpg. Puteți obține un plugin pentru Thunderbird numit Enigmail. Se conectează direct în configurația dvs. gpg pentru a vă permite să criptați mesajele de e-mail din interiorul Thunderbird.