abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 6
včera 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
včera 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 7
16.10. 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
16.10. 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
16.10. 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
16.10. 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 3
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 9
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 720 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník

    Podepisování a šifrování s GnuPG

    13. 5. 2005 | Martin Fiala | Bezpečnost | 19744×

    Podrobný návod k používání sekundárních klíčů (bezpečnější než primární).

    Článek již vyšel jako zápis v blogu (digri: Další GnuPG HOWTO?) - autora jsme požádali o svolení k vydání mezi běžnými články AbcLinuxu.

    Jednoho dne jsem se rozhodl konečně začít používat GPG k podepisování emailů. Dříve už jsem s GPG trochu experimentoval a dokonce jsem uploadoval svoji identitu na keyserver. Jenže jsem nevěřil použitým klíčům (včetně primárního) a bohužel jsem zjistil, že primární klíč vyměnit nelze. To mne vedlo k odvolání celé identity a hledání způsobu, jak začít používat sekundární klíče. Jak na to, se dozvíte dále a naučíte se i základní příkazy.

    GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Jedná se o open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šifrování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů. Spoustu informací je možné se dozvědět z GnuPG handbooku, i když to, o čem tu píšu, se v něm nedočtete.

    Aby vám to fungovalo i pod Windows, budete potřebovat tento balík. V Linuxu máte GPG už pravděpodobně nainstalované, protože balíčky jsou často podepsané GPG klíčem. V článku budu pro public key block používat označení certifikát, protože se mi zdá výstižnější.

    Chcete-li si vytvořit GPG certifikát, musíte mít vytvořen pár veřejného a tajného klíče, váš certifikát je pak podepsán tímto tajným klíčem. Tomuto říkáme primární klíč. Svůj certifikát můžete později libovolně editovat, přidávat další identity (jméno + emailová adresa), přidat fotku, měnit primární identitu a co je pro nás nejdůležitější, přidávat a odvolávat sekundární klíče.

    Primární klíč máme jen jeden, sekundárních klíčů můžeme mít libovolný počet. Ke každé změně certifikátu potřebujeme primární klíč, avšak k šifrování a podepisování si vystačíme se sekundárním klíčem. Pokud nějakým způsobem přijdeme o primární klíč, přišli jsme o všechno a budeme muset začít znovu od začátku, odvolat celý náš certifikát se všemi identitami, vytvořit nový a ještě k tomu napsat všem přátelům, aby si stáhli náš nový certifikát, čímž příliš dobrý dojem neuděláme :-). Nabízí se nám tedy možnost používat pouze sekundární klíče a primární klíč si dobře uschovat a používat ho jen po dobu nezbytně nutnou, tedy úpravy našeho certifikátu a podepisování identit lidí, kterým důvěřujeme.

    Vytvoření certifikátu

    Nejprve si vytvoříme primární klíč, zvolíme pouze DSA, neomezenou dobu platnosti, vyplníme svoje iniciály a zvolíme si heslo, kterým bude náš klíč chráněný. Tímto jsme vytvořili primární klíč certifikátu.

    gpg --gen-key

    Nyní spustíme editaci GPG certifikátu příkazem:

    gpg --edit user_id

    Pomocí příkazu addkey přidáme sekundární klíče k našemu certifikátu. Bude nám stačit jeden DSA pro podepisování a jeden ElGamal pro šifrování. U sekundárních klíčů nastavíme dobu platnosti např. na 2 roky. Po vypršení doby jejich platnosti můžeme pomocí primárního klíče vytvořit nové.

    Nyní si ještě doplníme další emailové adresy u své identity příkazem adduid. Příkazem keyserver si nastavte preferovaný keyserver na pks.gpg.cz. Příkazem addphoto je ještě možné přiložit k certifikátu vlastní fotografii, ale certifikát se pak značně zvětší.

    Po dokončení této konfigurace zadáme save a ukončíme program.

    Uschování primárního klíče

    Nyní máme v naší databázi sekundární klíče včetně primárního klíče. Ovšem pokud by nám někdo tuto databázi odcizil, kompromitoval by tak nejen používané klíče, ale též primární klíč a tudíž celý certifikát. Sekundární klíče můžeme libovolně odvolávat a vytvářet nové. Uložíme si proto primární klíč na nějaké externí medium a z databáze ho vymažeme - budeme ho používat pouze pro změny certifikátu. Ke správné funkci, podepisování a šifrování mailů nám sekundární klíče postačí.

    gpg --export-secret-keys > gpg.secret
    gpg --export-secret-subkeys > gpg.subsecret
    gpg --delete-secret-keys user_id
    gpg --import gpg.subsecret

    Soubor gpg.secret si uložíme na externí medium a smažeme. Externí medium dobře uschováme ;-).

    GPG bohužel není na náš postup dokonale připraveno, a tak můžete narazit na problém při zpětném importu tajného klíče. Pokud před importem nejdříve z databáze smažete sekundární klíče, měl by jít primární klíč naimportovat zpět bez problémů. Jen si dejte pozor, abyste o sekundární klíče nepřišli.

    Používání sekundárních klíčů přináší však také několik úskalí. Až vám někdo bude posílat zašifrovaný soubor, může se stát, že pro šifrování použije špatný klíč, než váš aktuálně používaný sekundární a vy pak tuto zprávu pravděpodobně nepřečtete. Nicméně zatím jsem na tento problém nenarazil.

    Ověřit si, jaké privátní klíče máme v počítači, můžeme pomocí:

    gpg -K

    resp.

    gpg --list-secret-keys

    Znakem # jsou označené certifikáty, ke kterým nemáme privátní klíč.

    Práce s keyserverem

    Primární klíč tedy máme bezpečně uschovaný, vše relativně funkční a teď už jen nahrajeme svoji identitu na keyserver.

    gpg [--keyserver pks.gpg.cz] --send-keys user_id [user_id ...]

    Do Thunderbirdu si doinstalujeme Enigmail a nastavíme klíč, který chceme používat. Výchozí nastavení nebude fungovat, je třeba ho trošku změnit. Začněte psát novou zprávu, v menu Enigmail vyberte Výchozí nastavení tvorby zpráv -> Nastavení podepisování/šifrování, zvolte volbu Použít konkrétní OpenPGP klíč a vyberte správný klíč.

    Import certifikátu z keyserveru:

    gpg [--keyserver pks.gpg.cz] --recv-keys keyid [keyid ...]

    Obnovení stavu všech klíčů z keyserveru, stažení nových podpisů a identit:

    gpg --refresh-keys [--keyserver pks.gpg.cz]

    Co s klíčem někoho dalšího

    Klíč můžete importovat buď z keyserveru nebo ze souboru pomocí:

    gpg --import public.gpg

    Chcete-li podepsat něčí klíč, musíte ho mít naimportovaný do své databáze. Vlastní podepsání je jednoduché, měli byste si ovšem zkontrolovat, zda sedí fingerprint (otisk) klíče a nastavit, jak moc jste prověřili, že certifikát patří skutečně dané osobě.

    gpg --sign-key jina_osoba_id

    Nový podpis můžete nahrát na keyserver:

    gpg --send-keys jina_osoba_id [--keyserver pks.gpg.cz]

    Podepisování souborů

    Kontrola podepsaného souboru: je možné specifikovat buď soubor obsahující zároveň podpis nebo zvlášť soubor s podpisem a podepsaný soubor.

    gpg --verify [[sigfile]] [[signed-files]]

    Podepsání souboru:

    gpg -u user_id --armor --sign filename

    Úschovna hesel pomocí šifrovaného souboru

    Ve svém domovském adresáři si vytvořte skript s následujícím obsahem. Nezapomeňte změnit userid na svoje id. Upozorňuji, že tento skript není zcela bezpečný! Stále se nám rozšifrovaný soubor může v nevhodnou chvíli odswapovat na disk, což ovšem řeší šifrovaný swap. Po ukončení editace stačí pro uložení a opuštění editoru Ctrl-K X. VIčkařům mohu nabídnout tento postup.

    #!/bin/bash
    
    userid=vase_id
    
    rm -f secrnew.asc
    mv -f secret.zal secret.zal.2
    cp secret.asc secret.zal
    printf "Zadej heslo:\e[0;30;40m"
    read passphr
    printf "\e[0m"
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
    if [ $? -ne 0 ] ; then
        echo "Spatne heslo!"
        exit 1
    fi
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc | joe - | \
         gpg -e -r $userid -a -o secrnew.asc
    unset passphr
    if [ $? -eq 0 ] && [ -f secrnew.asc ] ; then
        mv -f secrnew.asc secret.asc
        chmod 600 secret.asc
    fi

    Doufám, že jsem vás navedl správným směrem a budete odteď používat GnuPG zase o něco bezpečněji. Za značné zlepšení skriptu pro ukládání hesel bych chtěl poděkovat joeovi (a nemyslím ten editor).

           

    Hodnocení: 97 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    hajma avatar 13.5.2005 00:57 hajma | skóre: 27 | blog: hajma | Říčany
    Rozbalit Rozbalit vše error
    Příkaz> keyserver
    gpg: VAROVÁNÍ: žádné uživatelské ID nebylo označeno jako primární. Tento příkaz může způsobit, že za primární bude považováno jiné user ID.
    Vložte URL preferovaného keyserveru: pks.gpg.cz
    gpg: nelze zpracovat URL serveru klíčů
    21 promarněných znaků
    13.5.2005 08:51 digri | skóre: 12 | blog: digri
    Rozbalit Rozbalit vše Re: error
    Je nutné zadat adresu jako hkp://pks.gpg.cz
    Josef Kufner avatar 13.5.2005 08:00 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše At zije zbytecny echo !
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
    gpg --passphrase-fd 0 -d secret.asc > /dev/null <<< "$passphr"
    Ale jinak velmi penky clanek...
    Hello world ! Segmentation fault (core dumped)
    13.5.2005 10:29 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše vnutri PGP/GPG
    Trocha sa prizivim a hodim sem odkaz na to ako funguju niektore veci vnutri PGP/GPG
    14.5.2005 10:32 jose2 | skóre: 9
    Rozbalit Rozbalit vše Re: vnutri PGP/GPG
    ano...takovychto clanku neni nikdy dost, takze:

    Linux v příkazech - GnuPG
    www.josefkadlec.com
    13.5.2005 18:31 Richard
    Rozbalit Rozbalit vše Nejde příkaz keyserver
    Příkaz> keyserver

    Neplatný příkaz (zkuste "help")

    Nevím, co s tím mám udělat. Potom taky nevím, jak zjistím user id. Díky

    Richard
    13.5.2005 21:44 hajma
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    id je imho jméno a příjmení, alespon já to tak použil a ten krám to spolknul.

    Bohužel článek se zdál být tutoriálem, ale pro lamu (tj. pro mě) je nepoužitelný, anžto není doslovný, autor vznechává věci, které považuje za samozřejmé.
    14.5.2005 02:44 varanek
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    jednou jsem pouzival pgp ve win.. takze je to podobny, tenhle "navod" se mi zda pouzitelnej, ale musi se u toho moc myslet :o) a je fakt ze uplny zaklady chybi :( ale az to budu chtit sprovznit urcite to budu delat podle toho :)
    14.5.2005 17:41 Richard
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    No tak já jsem tam dal jméno a příjmení, nějak to sice spolklo, ale hází to chybu:-( Taky bych bral, aby to bylo podrobnější, jsem taky lama. R@
    14.5.2005 12:19 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Uložení klíče na serveru
    Zajímalo by mě jak jsou ty servery s klíči dělané, prostě jak dlouho ten klíč na serveru je.

    Prostě velikost HD není neomezená a pokud budu každý rok generovat nový klíč tak tam budou samozřejmě na serveru i ty staré aby se daly rozšifrovat i starší veci co byly zašifrované kdysy.

    No a zajímalo by mě jak dlouho ten server drží ty staré vlastně už neplatné klíče, několik roků nebo několik roků co si je nikdo nestáhnul, nebo do té doby než dojde místo na HD a potom maže ty nejstarší co už neplatí atd......
    14.5.2005 15:18 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Uložení klíče na serveru
    No, ten moj celkom prvy je tam uz hooodne dlho. Konkretne od februara 1995.

    Poznamky:

    1. pub-key Philla Zimmermanna(0xC7A966DD), ktory mam na svojom ringu je datovany 1993-05-21.
    2. nemusis kazdy rok generovat novy kluc. proste mu nastav, ze neexpiruje. Alebo ze expiruje za 3 roky.
    3. ten kluc ma v binarnej podobe 330 bajtov (viac ak ma vela podpisov). Co znamena, ze na obycajny 80GB disk sa ich vojde .... nieco vyse 200 milionov. Myslim, ze ten tvoj sa tam este vojde ;-)
    14.5.2005 18:01 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Uložení klíče na serveru
    Jasně že se jich tam vejde hodně, no budu tam muset další v září nahrát :-) ovšem na celém světě je x uživatelů x Y klíčů atd.....

    Prostě fakt by mě to zajímalo a né až bude rok 2000 jaké s tím byly problémy prostě my jsme nepočítaly že 486 ku s ms-dos budete používat v roce 2005 :-) takže co se stane až těch klíčů bude tolik že se nevlezou na ten server :-)

    My jsme nepočítaly že HD může mít více jak 120G :-) atd.....

    Nové klíče na server nejde přidat my jsme nepočítaly že jeden uživatel může mít 1 000 000 000 klíčů a došla kapacita databáze. :-)
    14.5.2005 12:57 Vláďa
    Rozbalit Rozbalit vše Jak ověřit GPG podpis?
    Zdravím všechny, používám GPG a Enigmail, ale nevím, jakým způsobem mám někam umístit můj GPG veřejný klíč. Potom také bude asi nutné nějak ho certifikovat. Jak na to? Díky, Vláďa
    14.5.2005 15:29 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Jak ověřit GPG podpis?
    Umiestnit ho mozes na verejny keyserver. Alebo ho exportni do suboru a posli mailom tym, ktori ho maju mat.

    Pojem 'certifikovat' bol podla mna zvoleny trocha nestastne. Ak ide o to, aby tvojmu klucu ludia verili, mozes a) ziskat ich podpis na svoj kluc, a/alebo b) pouzivat ho tak casto, ze je moc na ociach. Napr. jeho fingerprint pouzivat v signature mailov, vo svojich prispevkoch vo forach a podobne. Nieco o podpisovani klucov sa dozvies aj tu.

    15.5.2005 12:34 barney | skóre: 6
    Rozbalit Rozbalit vše Chyba pri mazaní primárneho kľúča
    Dobrý deň.

    Postupoval som podľa tohto návodu, ale keď chcem zmazať v počítači ten primárny kľúč, tak mi vyhodí túto chybu:
    Delete this key from the keyring? (y/N) y
    This is a secret key! - really delete? (y/N) y
    gpg: key "Bartos" not found: eof
    gpg: Bartos: delete key failed: eof
    
    Neviete čo s tým?
    15.5.2005 16:53 trouba
    Rozbalit Rozbalit vše Re: Chyba pri mazaní primárneho kľúča
    imho jsi zadal spatny id klice (key Bartos not found). ja kdyz dam gpg -K tak mi to na prvnim radku vyhodi

    sec# 1024D/960B06BD datum_vytvoreni

    kde 960B06BD je id myho klice. (btw znak '#' znamena, ze primarni klic je fuc)
    8.8.2006 11:26 Jakub Marek
    Rozbalit Rozbalit vše Desifrovani bez kontroly hesla
    Dobry den, chtel jsem se zeptat, zda nekdo neznate prepinac GnuPG (ci jiny program pro linux), ktery by vzdy desifroval pomoci ruznych symetrickych sifer (3DES,AES,Bluefish) bez kontroly hesla (samozrejme do nesmyslneho textu). Diky moc.

    Jakub
    8.8.2006 19:02 digri
    Rozbalit Rozbalit vše Re: Desifrovani bez kontroly hesla
    man openssl

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.