GnuPG в linux

lukmus — Fri, 29 Oct 2010 01:44:07 +0000

Входе переписки с некоторыми персоналиями выяснилось, что они до сих пор не умеют пользоватся GPG, а точнее шифровать файлы.

Большинство разумного человечества и представителей других рас здесь ничего нового не узнает, те же кто не умеет читать инструкции по эксплуатации, подчерпнут здесь основы работы с GPG в консоли.

Прежде всего нужно установить GPG если оно не установлено по умолчанию. Тарболы можно скачать с оффсайта – gnupg.org. Однако, вместо компиляции исходников, некоторые предпочитают пакетные менеджеры.

Linux’ы на основе Red Hat:

yum install pgp

В Debian’ах:

apt-get install pgp

генерация ключей

Прежде всего хочется отметить, что GPG имеет возможность делать как ключи для симметричного шифрования, так и для несимметричного. Разница в том, что в первом случае один ключ подходит как для шифрации, так и для дешифрации, а во-втором открытым ключом можно только шифровать, а закрытым можно расшифровать.

Для нас большую ценность представляет несимметричное шифрование т.к. оно круче.

Итак, генерируем ключи. Под root’ом это делать или нет разницы, ну кроме того что у файлов ключей будут права рутовские или нет.

$ gpg --gen-key
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Выберите тип ключа:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (только для подписи)
(4) RSA (только для подписи)
Ваш выбор (?-подробнее)?

Здесь я обычно либо ввожу 1, либо оставляю по умолчанию.

ключи RSA могут иметь длину от 1024 до 4096 бит.
Какой размер ключа Вам необходим? (2048)

Здесь чем больше тем лучше, но 2048 тоже круто и достаточно.

Запрашиваемый размер ключа 4096 бит
Выберите срок действия ключа.
0 = без ограничения срока действительности
= срок действительности n дней
w = срок действительности n недель
m = срок действительности n месяцев
y = срок действительности n лет
Ключ действителен до? (0)
Ключ не имеет ограничения срока действительности
Все верно? (y/N) y

Вводим срок действия и подтверждаем введенные данные.

Для идентификации Вашего ключа необходим User ID
Программа создаст его из Вашего имени, комментария и адреса e-mail в виде:
"Baba Yaga (pensioner) "
Ваше настоящее имя: antonio
Email-адрес: antonio@mail.com
Комментарий: fjkgjdg
Вы выбрали следующий User ID:
"antonio (fjkgjdg) "
Сменить (N)Имя, (C)Комментарий, (E)email-адрес или (O)Принять/(Q)Выход? O

Отвечаем на вопросы GPG, честно отвечая на вопросы.

Для защиты секретного ключа необходим пароль.
Необходимо сгенерировать много случайных чисел. Желательно, что бы Вы
выполняли некоторые другие действия (печать на клавиатуре, движения мыши,
обращения к дискам) в процессе генерации; это даст генератору
случайных чисел возможность получить лучшую энтропию.
.............................+++++
....+++++
Необходимо сгенерировать много случайных чисел. Желательно, что бы Вы
выполняли некоторые другие действия (печать на клавиатуре, движения мыши,
обращения к дискам) в процессе генерации; это даст генератору
случайных чисел возможность получить лучшую энтропию.
......+++++
....+++++
gpg: ключ 6A189DDA помечен как абсолютно доверяемый.
открытый и закрытый ключи созданы и подписаны.
gpg: проверка таблицы доверий
gpg: 3 ограниченных необходимо, 1 выполненных необходимо, PGP модель доверия
gpg: глубина: 0  корректных:   1  подписанных:   0  доверия: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/6A189DDA 2010-10-28
Отпечаток ключа = 404B 5DD8 79F1 7AD9 7FA7  2B7A 2E1C FEB7 6A18 9DDA
uid                  antonio (fjkgjdg)
sub   4096R/664BC16D 2010-10-28

Вводим пароль и запоминаем его. Когда GPG просит сделать какие-нибудь действия берем мышку в руки и внимательно вырисовываем ей амперсант, затем тильду и букву ‘Ё’.

Теперь проверяем, вывод должен быть примерно такой:

$ gpg --list-keys
/home/your_username/.gnupg/pubring.gpg
---------------------------
pub   4096R/6A189DDA 2010-10-28
uid                  antonio (fjkgjdg)
sub   4096R/664BC16D 2010-10-28

экспорт ключей

После того как ключи сгенерированы, в случае если они вам на долго, то их можно сохранить.

открытый ключ

gpg --export -armor -o pub.asc

Если убрать -armor то ключ экспортируется в бинарном виде.

закрытый ключ

gpg --export-secret-key -armor -o sec.asc

Теперь у вас в текующей директории должно быть 2 файла: sec.asc и pub.asc.

шифрование и дешифрование файлов

шифрование

Для примера я зашифрую файл test.rb:

$ gpg -e test.rb &gt; test.rb.gpg
Не задан User ID. (можете использовать "-r")
Текущие получатели:
Введите User ID.  Пустая строка для завершения: antonio
Текущие получатели:
4096R/664BC16D 2010-10-28 "antonio (fjkgjdg) "

Если не перенаправлять вывод, то содержимое зашифрованного файла выведется на стандартный вывод т.е. экран консоли.

дешифрование

$ gpg -d test.rb.gpg &gt; test222.rb
Необходим пароль для доступа к секретному ключу пользователя: "antonio (fjkgjdg) "
4096-бит RSA ключ, ID 664BC16D, создан 2010-10-28 (главный ключ ID 6A189DDA)
gpg: зашифровано 4096-битным ключом RSA, с ID 664BC16D, созданным 2010-10-28
"antonio (fjkgjdg) "

При расшифровке потребуется пароль, ситуация с перенаправлением вывода такая же как и с шифрованием.

Теперь для того чтобы передать сверхважную информацию (а я уверен что у вас только такая инфа и есть) другу через открытый канал, например icq, необходимо вашему дружку скинуть открытый ключ, который мы предусмотрительно экспортировали в файл pub.asc. Друг у себя на компе зашифрует файл и отправит вам, который вы расшифруете закрытым ключом.

удаление ключей

После того как вы получили необходимый файл от другана и прочитали его, заметаем следы и удаляем ключи.

Сначала нужно удалить секретный ключ, просто потому что иначе GPG не даст это сделать.

$ gpg --delete-secret-keys antonio
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec  4096R/6A189DDA 2010-10-28 antonio (fjkgjdg)
Удалить данный ключ из таблицы ключей? (y/N)y
Это секретный ключ! - действительно удалить? (y/N)y

Теперь удаляем открытый ключ:

$ gpg --delete-keys antonio
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
pub  4096R/6A189DDA 2010-10-28 antonio (fjkgjdg)
Удалить данный ключ из таблицы ключей? (y/N)y

И проверяем, что все удалено:

$ gpg --list-keys
gpg: проверка таблицы доверий
gpg: не найдено абсолютно доверяемых ключей

Видите как все просто, и ни в коем случае не надо передавать закрытый ключ!

по стопам webkill'а » шифрование