abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 20:00 | Nová verze

Byla vydána (YouTube) verze 2018.3 multiplatformního herního enginu Unity (Wikipedie). Přehled novinek i s videoukázkami v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 19:33 | Nová verze

Byla vydána verze 18.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Správce souborů Dolphin umí nově například zobrazovat náhledy dokumentů vytvořených v LibreOffice a aplikací ve formátu AppImage. Konsole plně podporuje obrázkové znaky emoji. V Okularu lze k pdf souborům přidávat poznámky.

Ladislav Hagara | Komentářů: 2
včera 17:11 | Nová verze

Byla vydána nová stabilní verze 2.2 (2.2.1388.34) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují například vylepšení správy listů - vybrané listy lze uložit jako relaci, možnost zobrazení klávesových zkratek určených webovou stránkou nebo možnost přehrávání videí v režimu obrazu v obraze. Nejnovější Vivaldi je postaveno na Chromiu 71.0.3578.85.

Ladislav Hagara | Komentářů: 3
včera 14:22 | Nová verze

Po 4 měsících vývoje od vydání verze 3.0.0 byla vydána nová verze 3.1.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 189 vývojářů. Provedeno bylo více než 1 900 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
včera 01:32 | Nová verze

Letos bylo v komunitě Mageia hodně změn. Po volbě nových vedoucích přišla velká aktualizace a krátce na to udržovací verze 6.1. 7.12., dle plánu, vyšla Mageia s číslem 7 v její první beta verzi. Chyby můžete hlásit v bugzille. Chyby v českých překladech pak na fóru české komunity.

Joelp | Komentářů: 0
včera 00:11 | Zajímavý projekt

Kvůli rychlejšímu vývojovému cyklu byla přemístěna Cinelerra-gg. Cinelerra-gg je fork Cinelerry-hv. Některé rozdíly forků popisuje sám hlavní vývojář William Morrow (aka GoodGuy). Není zde popsán i fork Lumiera, zřejmě kvůli zatím nepoužitelnému stavu.

… více »
D81 | Komentářů: 0
12.12. 19:11 | Nová verze

Do aplikace pro instant messaging Telegram (Wikipedie) lze nově nahrát češtinu. Více v příspěvku na blogu Telegramu.

Ladislav Hagara | Komentářů: 5
12.12. 10:55 | Nová verze

Jean-Baptiste Kempf, prezident neziskové organizace VideoLAN stojící za svobodným multiplatformním multimediálním přehrávačem a frameworkem VLC, oznámil v příspěvku na svém blogu vydání první oficiální verze 0.1.0 v říjnu představeného dekodéru svobodného videoformátu AV1 (AOMedia Video 1) s názvem dav1d (Dav1d is an AV1 Decoder). Jedná se o alternativu k referenčnímu dekodéru libaom. Kódový název dav1da verze 0.1.0 je Gazelle.

Ladislav Hagara | Komentářů: 3
12.12. 10:22 | Nová verze

Po více než dvou letech od vydání verze 11.0 byla vydána nová major verze 12.0 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 4
11.12. 19:55 | Nová verze

Byla vydána verze 3.11 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Řešena je řada bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
Chystáte se přejít na Wayland na „desktopu“?
 (25%)
 (6%)
 (12%)
 (31%)
 (26%)
Celkem 123 hlasů
 Komentářů: 17, poslední včera 23:57
Rozcestník

Podepisování a šifrování s GnuPG

13. 5. 2005 | Martin Fiala | Bezpečnost | 20033×

Podrobný návod k používání sekundárních klíčů (bezpečnější než primární).

Článek již vyšel jako zápis v blogu (digri: Další GnuPG HOWTO?) - autora jsme požádali o svolení k vydání mezi běžnými články AbcLinuxu.

Jednoho dne jsem se rozhodl konečně začít používat GPG k podepisování emailů. Dříve už jsem s GPG trochu experimentoval a dokonce jsem uploadoval svoji identitu na keyserver. Jenže jsem nevěřil použitým klíčům (včetně primárního) a bohužel jsem zjistil, že primární klíč vyměnit nelze. To mne vedlo k odvolání celé identity a hledání způsobu, jak začít používat sekundární klíče. Jak na to, se dozvíte dále a naučíte se i základní příkazy.

GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Jedná se o open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šifrování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů. Spoustu informací je možné se dozvědět z GnuPG handbooku, i když to, o čem tu píšu, se v něm nedočtete.

Aby vám to fungovalo i pod Windows, budete potřebovat tento balík. V Linuxu máte GPG už pravděpodobně nainstalované, protože balíčky jsou často podepsané GPG klíčem. V článku budu pro public key block používat označení certifikát, protože se mi zdá výstižnější.

Chcete-li si vytvořit GPG certifikát, musíte mít vytvořen pár veřejného a tajného klíče, váš certifikát je pak podepsán tímto tajným klíčem. Tomuto říkáme primární klíč. Svůj certifikát můžete později libovolně editovat, přidávat další identity (jméno + emailová adresa), přidat fotku, měnit primární identitu a co je pro nás nejdůležitější, přidávat a odvolávat sekundární klíče.

Primární klíč máme jen jeden, sekundárních klíčů můžeme mít libovolný počet. Ke každé změně certifikátu potřebujeme primární klíč, avšak k šifrování a podepisování si vystačíme se sekundárním klíčem. Pokud nějakým způsobem přijdeme o primární klíč, přišli jsme o všechno a budeme muset začít znovu od začátku, odvolat celý náš certifikát se všemi identitami, vytvořit nový a ještě k tomu napsat všem přátelům, aby si stáhli náš nový certifikát, čímž příliš dobrý dojem neuděláme :-). Nabízí se nám tedy možnost používat pouze sekundární klíče a primární klíč si dobře uschovat a používat ho jen po dobu nezbytně nutnou, tedy úpravy našeho certifikátu a podepisování identit lidí, kterým důvěřujeme.

Vytvoření certifikátu

Nejprve si vytvoříme primární klíč, zvolíme pouze DSA, neomezenou dobu platnosti, vyplníme svoje iniciály a zvolíme si heslo, kterým bude náš klíč chráněný. Tímto jsme vytvořili primární klíč certifikátu.

gpg --gen-key

Nyní spustíme editaci GPG certifikátu příkazem:

gpg --edit user_id

Pomocí příkazu addkey přidáme sekundární klíče k našemu certifikátu. Bude nám stačit jeden DSA pro podepisování a jeden ElGamal pro šifrování. U sekundárních klíčů nastavíme dobu platnosti např. na 2 roky. Po vypršení doby jejich platnosti můžeme pomocí primárního klíče vytvořit nové.

Nyní si ještě doplníme další emailové adresy u své identity příkazem adduid. Příkazem keyserver si nastavte preferovaný keyserver na pks.gpg.cz. Příkazem addphoto je ještě možné přiložit k certifikátu vlastní fotografii, ale certifikát se pak značně zvětší.

Po dokončení této konfigurace zadáme save a ukončíme program.

Uschování primárního klíče

Nyní máme v naší databázi sekundární klíče včetně primárního klíče. Ovšem pokud by nám někdo tuto databázi odcizil, kompromitoval by tak nejen používané klíče, ale též primární klíč a tudíž celý certifikát. Sekundární klíče můžeme libovolně odvolávat a vytvářet nové. Uložíme si proto primární klíč na nějaké externí medium a z databáze ho vymažeme - budeme ho používat pouze pro změny certifikátu. Ke správné funkci, podepisování a šifrování mailů nám sekundární klíče postačí.

gpg --export-secret-keys > gpg.secret
gpg --export-secret-subkeys > gpg.subsecret
gpg --delete-secret-keys user_id
gpg --import gpg.subsecret

Soubor gpg.secret si uložíme na externí medium a smažeme. Externí medium dobře uschováme ;-).

GPG bohužel není na náš postup dokonale připraveno, a tak můžete narazit na problém při zpětném importu tajného klíče. Pokud před importem nejdříve z databáze smažete sekundární klíče, měl by jít primární klíč naimportovat zpět bez problémů. Jen si dejte pozor, abyste o sekundární klíče nepřišli.

Používání sekundárních klíčů přináší však také několik úskalí. Až vám někdo bude posílat zašifrovaný soubor, může se stát, že pro šifrování použije špatný klíč, než váš aktuálně používaný sekundární a vy pak tuto zprávu pravděpodobně nepřečtete. Nicméně zatím jsem na tento problém nenarazil.

Ověřit si, jaké privátní klíče máme v počítači, můžeme pomocí:

gpg -K

resp.

gpg --list-secret-keys

Znakem # jsou označené certifikáty, ke kterým nemáme privátní klíč.

Práce s keyserverem

Primární klíč tedy máme bezpečně uschovaný, vše relativně funkční a teď už jen nahrajeme svoji identitu na keyserver.

gpg [--keyserver pks.gpg.cz] --send-keys user_id [user_id ...]

Do Thunderbirdu si doinstalujeme Enigmail a nastavíme klíč, který chceme používat. Výchozí nastavení nebude fungovat, je třeba ho trošku změnit. Začněte psát novou zprávu, v menu Enigmail vyberte Výchozí nastavení tvorby zpráv -> Nastavení podepisování/šifrování, zvolte volbu Použít konkrétní OpenPGP klíč a vyberte správný klíč.

Import certifikátu z keyserveru:

gpg [--keyserver pks.gpg.cz] --recv-keys keyid [keyid ...]

Obnovení stavu všech klíčů z keyserveru, stažení nových podpisů a identit:

gpg --refresh-keys [--keyserver pks.gpg.cz]

Co s klíčem někoho dalšího

Klíč můžete importovat buď z keyserveru nebo ze souboru pomocí:

gpg --import public.gpg

Chcete-li podepsat něčí klíč, musíte ho mít naimportovaný do své databáze. Vlastní podepsání je jednoduché, měli byste si ovšem zkontrolovat, zda sedí fingerprint (otisk) klíče a nastavit, jak moc jste prověřili, že certifikát patří skutečně dané osobě.

gpg --sign-key jina_osoba_id

Nový podpis můžete nahrát na keyserver:

gpg --send-keys jina_osoba_id [--keyserver pks.gpg.cz]

Podepisování souborů

Kontrola podepsaného souboru: je možné specifikovat buď soubor obsahující zároveň podpis nebo zvlášť soubor s podpisem a podepsaný soubor.

gpg --verify [[sigfile]] [[signed-files]]

Podepsání souboru:

gpg -u user_id --armor --sign filename

Úschovna hesel pomocí šifrovaného souboru

Ve svém domovském adresáři si vytvořte skript s následujícím obsahem. Nezapomeňte změnit userid na svoje id. Upozorňuji, že tento skript není zcela bezpečný! Stále se nám rozšifrovaný soubor může v nevhodnou chvíli odswapovat na disk, což ovšem řeší šifrovaný swap. Po ukončení editace stačí pro uložení a opuštění editoru Ctrl-K X. VIčkařům mohu nabídnout tento postup.

#!/bin/bash

userid=vase_id

rm -f secrnew.asc
mv -f secret.zal secret.zal.2
cp secret.asc secret.zal
printf "Zadej heslo:\e[0;30;40m"
read passphr
printf "\e[0m"
echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
if [ $? -ne 0 ] ; then
    echo "Spatne heslo!"
    exit 1
fi
echo $passphr | gpg --passphrase-fd 0 -d secret.asc | joe - | \
     gpg -e -r $userid -a -o secrnew.asc
unset passphr
if [ $? -eq 0 ] && [ -f secrnew.asc ] ; then
    mv -f secrnew.asc secret.asc
    chmod 600 secret.asc
fi

Doufám, že jsem vás navedl správným směrem a budete odteď používat GnuPG zase o něco bezpečněji. Za značné zlepšení skriptu pro ukládání hesel bych chtěl poděkovat joeovi (a nemyslím ten editor).

       

Hodnocení: 97 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

hajma avatar 13.5.2005 00:57 hajma | skóre: 27 | blog: hajma | Říčany
Rozbalit Rozbalit vše error
Příkaz> keyserver
gpg: VAROVÁNÍ: žádné uživatelské ID nebylo označeno jako primární. Tento příkaz může způsobit, že za primární bude považováno jiné user ID.
Vložte URL preferovaného keyserveru: pks.gpg.cz
gpg: nelze zpracovat URL serveru klíčů
21 promarněných znaků
13.5.2005 08:51 digri | skóre: 12 | blog: digri
Rozbalit Rozbalit vše Re: error
Je nutné zadat adresu jako hkp://pks.gpg.cz
Josef Kufner avatar 13.5.2005 08:00 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše At zije zbytecny echo !
echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
gpg --passphrase-fd 0 -d secret.asc > /dev/null <<< "$passphr"
Ale jinak velmi penky clanek...
Hello world ! Segmentation fault (core dumped)
13.5.2005 10:29 rastos | skóre: 61 | blog: rastos
Rozbalit Rozbalit vše vnutri PGP/GPG
Trocha sa prizivim a hodim sem odkaz na to ako funguju niektore veci vnutri PGP/GPG
14.5.2005 10:32 jose2 | skóre: 9
Rozbalit Rozbalit vše Re: vnutri PGP/GPG
ano...takovychto clanku neni nikdy dost, takze:

Linux v příkazech - GnuPG
www.josefkadlec.com
13.5.2005 18:31 Richard
Rozbalit Rozbalit vše Nejde příkaz keyserver
Příkaz> keyserver

Neplatný příkaz (zkuste "help")

Nevím, co s tím mám udělat. Potom taky nevím, jak zjistím user id. Díky

Richard
13.5.2005 21:44 hajma
Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
id je imho jméno a příjmení, alespon já to tak použil a ten krám to spolknul.

Bohužel článek se zdál být tutoriálem, ale pro lamu (tj. pro mě) je nepoužitelný, anžto není doslovný, autor vznechává věci, které považuje za samozřejmé.
14.5.2005 02:44 varanek
Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
jednou jsem pouzival pgp ve win.. takze je to podobny, tenhle "navod" se mi zda pouzitelnej, ale musi se u toho moc myslet :o) a je fakt ze uplny zaklady chybi :( ale az to budu chtit sprovznit urcite to budu delat podle toho :)
14.5.2005 17:41 Richard
Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
No tak já jsem tam dal jméno a příjmení, nějak to sice spolklo, ale hází to chybu:-( Taky bych bral, aby to bylo podrobnější, jsem taky lama. R@
14.5.2005 12:19 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Uložení klíče na serveru
Zajímalo by mě jak jsou ty servery s klíči dělané, prostě jak dlouho ten klíč na serveru je.

Prostě velikost HD není neomezená a pokud budu každý rok generovat nový klíč tak tam budou samozřejmě na serveru i ty staré aby se daly rozšifrovat i starší veci co byly zašifrované kdysy.

No a zajímalo by mě jak dlouho ten server drží ty staré vlastně už neplatné klíče, několik roků nebo několik roků co si je nikdo nestáhnul, nebo do té doby než dojde místo na HD a potom maže ty nejstarší co už neplatí atd......
14.5.2005 15:18 rastos | skóre: 61 | blog: rastos
Rozbalit Rozbalit vše Re: Uložení klíče na serveru
No, ten moj celkom prvy je tam uz hooodne dlho. Konkretne od februara 1995.

Poznamky:

  1. pub-key Philla Zimmermanna(0xC7A966DD), ktory mam na svojom ringu je datovany 1993-05-21.
  2. nemusis kazdy rok generovat novy kluc. proste mu nastav, ze neexpiruje. Alebo ze expiruje za 3 roky.
  3. ten kluc ma v binarnej podobe 330 bajtov (viac ak ma vela podpisov). Co znamena, ze na obycajny 80GB disk sa ich vojde .... nieco vyse 200 milionov. Myslim, ze ten tvoj sa tam este vojde ;-)
14.5.2005 18:01 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Uložení klíče na serveru
Jasně že se jich tam vejde hodně, no budu tam muset další v září nahrát :-) ovšem na celém světě je x uživatelů x Y klíčů atd.....

Prostě fakt by mě to zajímalo a né až bude rok 2000 jaké s tím byly problémy prostě my jsme nepočítaly že 486 ku s ms-dos budete používat v roce 2005 :-) takže co se stane až těch klíčů bude tolik že se nevlezou na ten server :-)

My jsme nepočítaly že HD může mít více jak 120G :-) atd.....

Nové klíče na server nejde přidat my jsme nepočítaly že jeden uživatel může mít 1 000 000 000 klíčů a došla kapacita databáze. :-)
14.5.2005 12:57 Vláďa
Rozbalit Rozbalit vše Jak ověřit GPG podpis?
Zdravím všechny, používám GPG a Enigmail, ale nevím, jakým způsobem mám někam umístit můj GPG veřejný klíč. Potom také bude asi nutné nějak ho certifikovat. Jak na to? Díky, Vláďa
14.5.2005 15:29 rastos | skóre: 61 | blog: rastos
Rozbalit Rozbalit vše Re: Jak ověřit GPG podpis?
Umiestnit ho mozes na verejny keyserver. Alebo ho exportni do suboru a posli mailom tym, ktori ho maju mat.

Pojem 'certifikovat' bol podla mna zvoleny trocha nestastne. Ak ide o to, aby tvojmu klucu ludia verili, mozes a) ziskat ich podpis na svoj kluc, a/alebo b) pouzivat ho tak casto, ze je moc na ociach. Napr. jeho fingerprint pouzivat v signature mailov, vo svojich prispevkoch vo forach a podobne. Nieco o podpisovani klucov sa dozvies aj tu.

15.5.2005 12:34 barney | skóre: 6
Rozbalit Rozbalit vše Chyba pri mazaní primárneho kľúča
Dobrý deň.

Postupoval som podľa tohto návodu, ale keď chcem zmazať v počítači ten primárny kľúč, tak mi vyhodí túto chybu:
Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y
gpg: key "Bartos" not found: eof
gpg: Bartos: delete key failed: eof
Neviete čo s tým?
15.5.2005 16:53 trouba
Rozbalit Rozbalit vše Re: Chyba pri mazaní primárneho kľúča
imho jsi zadal spatny id klice (key Bartos not found). ja kdyz dam gpg -K tak mi to na prvnim radku vyhodi

sec# 1024D/960B06BD datum_vytvoreni

kde 960B06BD je id myho klice. (btw znak '#' znamena, ze primarni klic je fuc)
8.8.2006 11:26 Jakub Marek
Rozbalit Rozbalit vše Desifrovani bez kontroly hesla
Dobry den, chtel jsem se zeptat, zda nekdo neznate prepinac GnuPG (ci jiny program pro linux), ktery by vzdy desifroval pomoci ruznych symetrickych sifer (3DES,AES,Bluefish) bez kontroly hesla (samozrejme do nesmyslneho textu). Diky moc.

Jakub
8.8.2006 19:02 digri
Rozbalit Rozbalit vše Re: Desifrovani bez kontroly hesla
man openssl

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.