abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:00 | Nová verze

Po cca 3 týdnech od vydání Linux Mintu 18.3 s kódovým jménem Sylvia a prostředími MATE a Cinnamon byla oznámena také vydání s prostředími KDE a Xfce. Podrobnosti v poznámkách k vydání (KDE, Xfce) a v přehledech novinek s náhledy (KDE, Xfce). Linux Mint 18.3 je podporován do roku 2021.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 34
včera 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 8
včera 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
14.12. 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 8
14.12. 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
14.12. 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
14.12. 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
14.12. 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (0%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 1001 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Podepisování a šifrování s GnuPG

    13. 5. 2005 | Martin Fiala | Bezpečnost | 19801×

    Podrobný návod k používání sekundárních klíčů (bezpečnější než primární).

    Článek již vyšel jako zápis v blogu (digri: Další GnuPG HOWTO?) - autora jsme požádali o svolení k vydání mezi běžnými články AbcLinuxu.

    Jednoho dne jsem se rozhodl konečně začít používat GPG k podepisování emailů. Dříve už jsem s GPG trochu experimentoval a dokonce jsem uploadoval svoji identitu na keyserver. Jenže jsem nevěřil použitým klíčům (včetně primárního) a bohužel jsem zjistil, že primární klíč vyměnit nelze. To mne vedlo k odvolání celé identity a hledání způsobu, jak začít používat sekundární klíče. Jak na to, se dozvíte dále a naučíte se i základní příkazy.

    GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Jedná se o open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šifrování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů. Spoustu informací je možné se dozvědět z GnuPG handbooku, i když to, o čem tu píšu, se v něm nedočtete.

    Aby vám to fungovalo i pod Windows, budete potřebovat tento balík. V Linuxu máte GPG už pravděpodobně nainstalované, protože balíčky jsou často podepsané GPG klíčem. V článku budu pro public key block používat označení certifikát, protože se mi zdá výstižnější.

    Chcete-li si vytvořit GPG certifikát, musíte mít vytvořen pár veřejného a tajného klíče, váš certifikát je pak podepsán tímto tajným klíčem. Tomuto říkáme primární klíč. Svůj certifikát můžete později libovolně editovat, přidávat další identity (jméno + emailová adresa), přidat fotku, měnit primární identitu a co je pro nás nejdůležitější, přidávat a odvolávat sekundární klíče.

    Primární klíč máme jen jeden, sekundárních klíčů můžeme mít libovolný počet. Ke každé změně certifikátu potřebujeme primární klíč, avšak k šifrování a podepisování si vystačíme se sekundárním klíčem. Pokud nějakým způsobem přijdeme o primární klíč, přišli jsme o všechno a budeme muset začít znovu od začátku, odvolat celý náš certifikát se všemi identitami, vytvořit nový a ještě k tomu napsat všem přátelům, aby si stáhli náš nový certifikát, čímž příliš dobrý dojem neuděláme :-). Nabízí se nám tedy možnost používat pouze sekundární klíče a primární klíč si dobře uschovat a používat ho jen po dobu nezbytně nutnou, tedy úpravy našeho certifikátu a podepisování identit lidí, kterým důvěřujeme.

    Vytvoření certifikátu

    Nejprve si vytvoříme primární klíč, zvolíme pouze DSA, neomezenou dobu platnosti, vyplníme svoje iniciály a zvolíme si heslo, kterým bude náš klíč chráněný. Tímto jsme vytvořili primární klíč certifikátu.

    gpg --gen-key

    Nyní spustíme editaci GPG certifikátu příkazem:

    gpg --edit user_id

    Pomocí příkazu addkey přidáme sekundární klíče k našemu certifikátu. Bude nám stačit jeden DSA pro podepisování a jeden ElGamal pro šifrování. U sekundárních klíčů nastavíme dobu platnosti např. na 2 roky. Po vypršení doby jejich platnosti můžeme pomocí primárního klíče vytvořit nové.

    Nyní si ještě doplníme další emailové adresy u své identity příkazem adduid. Příkazem keyserver si nastavte preferovaný keyserver na pks.gpg.cz. Příkazem addphoto je ještě možné přiložit k certifikátu vlastní fotografii, ale certifikát se pak značně zvětší.

    Po dokončení této konfigurace zadáme save a ukončíme program.

    Uschování primárního klíče

    Nyní máme v naší databázi sekundární klíče včetně primárního klíče. Ovšem pokud by nám někdo tuto databázi odcizil, kompromitoval by tak nejen používané klíče, ale též primární klíč a tudíž celý certifikát. Sekundární klíče můžeme libovolně odvolávat a vytvářet nové. Uložíme si proto primární klíč na nějaké externí medium a z databáze ho vymažeme - budeme ho používat pouze pro změny certifikátu. Ke správné funkci, podepisování a šifrování mailů nám sekundární klíče postačí.

    gpg --export-secret-keys > gpg.secret
    gpg --export-secret-subkeys > gpg.subsecret
    gpg --delete-secret-keys user_id
    gpg --import gpg.subsecret

    Soubor gpg.secret si uložíme na externí medium a smažeme. Externí medium dobře uschováme ;-).

    GPG bohužel není na náš postup dokonale připraveno, a tak můžete narazit na problém při zpětném importu tajného klíče. Pokud před importem nejdříve z databáze smažete sekundární klíče, měl by jít primární klíč naimportovat zpět bez problémů. Jen si dejte pozor, abyste o sekundární klíče nepřišli.

    Používání sekundárních klíčů přináší však také několik úskalí. Až vám někdo bude posílat zašifrovaný soubor, může se stát, že pro šifrování použije špatný klíč, než váš aktuálně používaný sekundární a vy pak tuto zprávu pravděpodobně nepřečtete. Nicméně zatím jsem na tento problém nenarazil.

    Ověřit si, jaké privátní klíče máme v počítači, můžeme pomocí:

    gpg -K

    resp.

    gpg --list-secret-keys

    Znakem # jsou označené certifikáty, ke kterým nemáme privátní klíč.

    Práce s keyserverem

    Primární klíč tedy máme bezpečně uschovaný, vše relativně funkční a teď už jen nahrajeme svoji identitu na keyserver.

    gpg [--keyserver pks.gpg.cz] --send-keys user_id [user_id ...]

    Do Thunderbirdu si doinstalujeme Enigmail a nastavíme klíč, který chceme používat. Výchozí nastavení nebude fungovat, je třeba ho trošku změnit. Začněte psát novou zprávu, v menu Enigmail vyberte Výchozí nastavení tvorby zpráv -> Nastavení podepisování/šifrování, zvolte volbu Použít konkrétní OpenPGP klíč a vyberte správný klíč.

    Import certifikátu z keyserveru:

    gpg [--keyserver pks.gpg.cz] --recv-keys keyid [keyid ...]

    Obnovení stavu všech klíčů z keyserveru, stažení nových podpisů a identit:

    gpg --refresh-keys [--keyserver pks.gpg.cz]

    Co s klíčem někoho dalšího

    Klíč můžete importovat buď z keyserveru nebo ze souboru pomocí:

    gpg --import public.gpg

    Chcete-li podepsat něčí klíč, musíte ho mít naimportovaný do své databáze. Vlastní podepsání je jednoduché, měli byste si ovšem zkontrolovat, zda sedí fingerprint (otisk) klíče a nastavit, jak moc jste prověřili, že certifikát patří skutečně dané osobě.

    gpg --sign-key jina_osoba_id

    Nový podpis můžete nahrát na keyserver:

    gpg --send-keys jina_osoba_id [--keyserver pks.gpg.cz]

    Podepisování souborů

    Kontrola podepsaného souboru: je možné specifikovat buď soubor obsahující zároveň podpis nebo zvlášť soubor s podpisem a podepsaný soubor.

    gpg --verify [[sigfile]] [[signed-files]]

    Podepsání souboru:

    gpg -u user_id --armor --sign filename

    Úschovna hesel pomocí šifrovaného souboru

    Ve svém domovském adresáři si vytvořte skript s následujícím obsahem. Nezapomeňte změnit userid na svoje id. Upozorňuji, že tento skript není zcela bezpečný! Stále se nám rozšifrovaný soubor může v nevhodnou chvíli odswapovat na disk, což ovšem řeší šifrovaný swap. Po ukončení editace stačí pro uložení a opuštění editoru Ctrl-K X. VIčkařům mohu nabídnout tento postup.

    #!/bin/bash
    
    userid=vase_id
    
    rm -f secrnew.asc
    mv -f secret.zal secret.zal.2
    cp secret.asc secret.zal
    printf "Zadej heslo:\e[0;30;40m"
    read passphr
    printf "\e[0m"
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
    if [ $? -ne 0 ] ; then
        echo "Spatne heslo!"
        exit 1
    fi
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc | joe - | \
         gpg -e -r $userid -a -o secrnew.asc
    unset passphr
    if [ $? -eq 0 ] && [ -f secrnew.asc ] ; then
        mv -f secrnew.asc secret.asc
        chmod 600 secret.asc
    fi

    Doufám, že jsem vás navedl správným směrem a budete odteď používat GnuPG zase o něco bezpečněji. Za značné zlepšení skriptu pro ukládání hesel bych chtěl poděkovat joeovi (a nemyslím ten editor).

           

    Hodnocení: 97 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    hajma avatar 13.5.2005 00:57 hajma | skóre: 27 | blog: hajma | Říčany
    Rozbalit Rozbalit vše error
    Příkaz> keyserver
    gpg: VAROVÁNÍ: žádné uživatelské ID nebylo označeno jako primární. Tento příkaz může způsobit, že za primární bude považováno jiné user ID.
    Vložte URL preferovaného keyserveru: pks.gpg.cz
    gpg: nelze zpracovat URL serveru klíčů
    21 promarněných znaků
    13.5.2005 08:51 digri | skóre: 12 | blog: digri
    Rozbalit Rozbalit vše Re: error
    Je nutné zadat adresu jako hkp://pks.gpg.cz
    Josef Kufner avatar 13.5.2005 08:00 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše At zije zbytecny echo !
    echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
    gpg --passphrase-fd 0 -d secret.asc > /dev/null <<< "$passphr"
    Ale jinak velmi penky clanek...
    Hello world ! Segmentation fault (core dumped)
    13.5.2005 10:29 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše vnutri PGP/GPG
    Trocha sa prizivim a hodim sem odkaz na to ako funguju niektore veci vnutri PGP/GPG
    14.5.2005 10:32 jose2 | skóre: 9
    Rozbalit Rozbalit vše Re: vnutri PGP/GPG
    ano...takovychto clanku neni nikdy dost, takze:

    Linux v příkazech - GnuPG
    www.josefkadlec.com
    13.5.2005 18:31 Richard
    Rozbalit Rozbalit vše Nejde příkaz keyserver
    Příkaz> keyserver

    Neplatný příkaz (zkuste "help")

    Nevím, co s tím mám udělat. Potom taky nevím, jak zjistím user id. Díky

    Richard
    13.5.2005 21:44 hajma
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    id je imho jméno a příjmení, alespon já to tak použil a ten krám to spolknul.

    Bohužel článek se zdál být tutoriálem, ale pro lamu (tj. pro mě) je nepoužitelný, anžto není doslovný, autor vznechává věci, které považuje za samozřejmé.
    14.5.2005 02:44 varanek
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    jednou jsem pouzival pgp ve win.. takze je to podobny, tenhle "navod" se mi zda pouzitelnej, ale musi se u toho moc myslet :o) a je fakt ze uplny zaklady chybi :( ale az to budu chtit sprovznit urcite to budu delat podle toho :)
    14.5.2005 17:41 Richard
    Rozbalit Rozbalit vše Re: Nejde příkaz keyserver
    No tak já jsem tam dal jméno a příjmení, nějak to sice spolklo, ale hází to chybu:-( Taky bych bral, aby to bylo podrobnější, jsem taky lama. R@
    14.5.2005 12:19 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Uložení klíče na serveru
    Zajímalo by mě jak jsou ty servery s klíči dělané, prostě jak dlouho ten klíč na serveru je.

    Prostě velikost HD není neomezená a pokud budu každý rok generovat nový klíč tak tam budou samozřejmě na serveru i ty staré aby se daly rozšifrovat i starší veci co byly zašifrované kdysy.

    No a zajímalo by mě jak dlouho ten server drží ty staré vlastně už neplatné klíče, několik roků nebo několik roků co si je nikdo nestáhnul, nebo do té doby než dojde místo na HD a potom maže ty nejstarší co už neplatí atd......
    14.5.2005 15:18 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Uložení klíče na serveru
    No, ten moj celkom prvy je tam uz hooodne dlho. Konkretne od februara 1995.

    Poznamky:

    1. pub-key Philla Zimmermanna(0xC7A966DD), ktory mam na svojom ringu je datovany 1993-05-21.
    2. nemusis kazdy rok generovat novy kluc. proste mu nastav, ze neexpiruje. Alebo ze expiruje za 3 roky.
    3. ten kluc ma v binarnej podobe 330 bajtov (viac ak ma vela podpisov). Co znamena, ze na obycajny 80GB disk sa ich vojde .... nieco vyse 200 milionov. Myslim, ze ten tvoj sa tam este vojde ;-)
    14.5.2005 18:01 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Uložení klíče na serveru
    Jasně že se jich tam vejde hodně, no budu tam muset další v září nahrát :-) ovšem na celém světě je x uživatelů x Y klíčů atd.....

    Prostě fakt by mě to zajímalo a né až bude rok 2000 jaké s tím byly problémy prostě my jsme nepočítaly že 486 ku s ms-dos budete používat v roce 2005 :-) takže co se stane až těch klíčů bude tolik že se nevlezou na ten server :-)

    My jsme nepočítaly že HD může mít více jak 120G :-) atd.....

    Nové klíče na server nejde přidat my jsme nepočítaly že jeden uživatel může mít 1 000 000 000 klíčů a došla kapacita databáze. :-)
    14.5.2005 12:57 Vláďa
    Rozbalit Rozbalit vše Jak ověřit GPG podpis?
    Zdravím všechny, používám GPG a Enigmail, ale nevím, jakým způsobem mám někam umístit můj GPG veřejný klíč. Potom také bude asi nutné nějak ho certifikovat. Jak na to? Díky, Vláďa
    14.5.2005 15:29 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Jak ověřit GPG podpis?
    Umiestnit ho mozes na verejny keyserver. Alebo ho exportni do suboru a posli mailom tym, ktori ho maju mat.

    Pojem 'certifikovat' bol podla mna zvoleny trocha nestastne. Ak ide o to, aby tvojmu klucu ludia verili, mozes a) ziskat ich podpis na svoj kluc, a/alebo b) pouzivat ho tak casto, ze je moc na ociach. Napr. jeho fingerprint pouzivat v signature mailov, vo svojich prispevkoch vo forach a podobne. Nieco o podpisovani klucov sa dozvies aj tu.

    15.5.2005 12:34 barney | skóre: 6
    Rozbalit Rozbalit vše Chyba pri mazaní primárneho kľúča
    Dobrý deň.

    Postupoval som podľa tohto návodu, ale keď chcem zmazať v počítači ten primárny kľúč, tak mi vyhodí túto chybu:
    Delete this key from the keyring? (y/N) y
    This is a secret key! - really delete? (y/N) y
    gpg: key "Bartos" not found: eof
    gpg: Bartos: delete key failed: eof
    
    Neviete čo s tým?
    15.5.2005 16:53 trouba
    Rozbalit Rozbalit vše Re: Chyba pri mazaní primárneho kľúča
    imho jsi zadal spatny id klice (key Bartos not found). ja kdyz dam gpg -K tak mi to na prvnim radku vyhodi

    sec# 1024D/960B06BD datum_vytvoreni

    kde 960B06BD je id myho klice. (btw znak '#' znamena, ze primarni klic je fuc)
    8.8.2006 11:26 Jakub Marek
    Rozbalit Rozbalit vše Desifrovani bez kontroly hesla
    Dobry den, chtel jsem se zeptat, zda nekdo neznate prepinac GnuPG (ci jiny program pro linux), ktery by vzdy desifroval pomoci ruznych symetrickych sifer (3DES,AES,Bluefish) bez kontroly hesla (samozrejme do nesmyslneho textu). Diky moc.

    Jakub
    8.8.2006 19:02 digri
    Rozbalit Rozbalit vše Re: Desifrovani bez kontroly hesla
    man openssl

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.