Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).
ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.
LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).
Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.
Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.
ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.
Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.
#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.
Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.
Společnost Boston Dynamics oznámila, že humanoidní hydraulický robot HD Atlas šel do důchodu (YouTube). Nastupuje nová vylepšená elektrická varianta (YouTube).
Článek již vyšel jako zápis v blogu (digri: Další GnuPG HOWTO?) - autora jsme požádali o svolení k vydání mezi běžnými články AbcLinuxu.
Jednoho dne jsem se rozhodl konečně začít používat GPG k podepisování emailů. Dříve už jsem s GPG trochu experimentoval a dokonce jsem uploadoval svoji identitu na keyserver. Jenže jsem nevěřil použitým klíčům (včetně primárního) a bohužel jsem zjistil, že primární klíč vyměnit nelze. To mne vedlo k odvolání celé identity a hledání způsobu, jak začít používat sekundární klíče. Jak na to, se dozvíte dále a naučíte se i základní příkazy.
GPG (GNU Privacy Guard) vychází z PGP (Pretty Good Privacy). Jedná se o open-source programový balík pro bezpečnou komunikaci a předávání dat. Umožňuje šifrování a dešifrování, podepisování a kontrolu podpisu různých dat, třeba emailů. Spoustu informací je možné se dozvědět z GnuPG handbooku, i když to, o čem tu píšu, se v něm nedočtete.
Aby vám to fungovalo i pod Windows, budete potřebovat tento balík. V Linuxu máte GPG už pravděpodobně nainstalované, protože balíčky jsou často podepsané GPG klíčem. V článku budu pro public key block používat označení certifikát, protože se mi zdá výstižnější.
Chcete-li si vytvořit GPG certifikát, musíte mít vytvořen pár veřejného a tajného klíče, váš certifikát je pak podepsán tímto tajným klíčem. Tomuto říkáme primární klíč. Svůj certifikát můžete později libovolně editovat, přidávat další identity (jméno + emailová adresa), přidat fotku, měnit primární identitu a co je pro nás nejdůležitější, přidávat a odvolávat sekundární klíče.
Primární klíč máme jen jeden, sekundárních klíčů můžeme mít libovolný počet. Ke každé změně certifikátu potřebujeme primární klíč, avšak k šifrování a podepisování si vystačíme se sekundárním klíčem. Pokud nějakým způsobem přijdeme o primární klíč, přišli jsme o všechno a budeme muset začít znovu od začátku, odvolat celý náš certifikát se všemi identitami, vytvořit nový a ještě k tomu napsat všem přátelům, aby si stáhli náš nový certifikát, čímž příliš dobrý dojem neuděláme :-). Nabízí se nám tedy možnost používat pouze sekundární klíče a primární klíč si dobře uschovat a používat ho jen po dobu nezbytně nutnou, tedy úpravy našeho certifikátu a podepisování identit lidí, kterým důvěřujeme.
Nejprve si vytvoříme primární klíč, zvolíme pouze DSA, neomezenou dobu platnosti, vyplníme svoje iniciály a zvolíme si heslo, kterým bude náš klíč chráněný. Tímto jsme vytvořili primární klíč certifikátu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
gpg --gen-key
Nyní spustíme editaci GPG certifikátu příkazem:
gpg --edit user_id
Pomocí příkazu addkey přidáme sekundární klíče k našemu certifikátu. Bude nám stačit jeden DSA pro podepisování a jeden ElGamal pro šifrování. U sekundárních klíčů nastavíme dobu platnosti např. na 2 roky. Po vypršení doby jejich platnosti můžeme pomocí primárního klíče vytvořit nové.
Nyní si ještě doplníme další emailové adresy u své identity příkazem adduid. Příkazem keyserver si nastavte preferovaný keyserver na pks.gpg.cz. Příkazem addphoto je ještě možné přiložit k certifikátu vlastní fotografii, ale certifikát se pak značně zvětší.
Po dokončení této konfigurace zadáme save a ukončíme program.
Nyní máme v naší databázi sekundární klíče včetně primárního klíče. Ovšem pokud by nám někdo tuto databázi odcizil, kompromitoval by tak nejen používané klíče, ale též primární klíč a tudíž celý certifikát. Sekundární klíče můžeme libovolně odvolávat a vytvářet nové. Uložíme si proto primární klíč na nějaké externí medium a z databáze ho vymažeme - budeme ho používat pouze pro změny certifikátu. Ke správné funkci, podepisování a šifrování mailů nám sekundární klíče postačí.
gpg --export-secret-keys > gpg.secret gpg --export-secret-subkeys > gpg.subsecret gpg --delete-secret-keys user_id gpg --import gpg.subsecret
Soubor gpg.secret si uložíme na externí medium a smažeme.
Externí medium dobře uschováme ;-).
GPG bohužel není na náš postup dokonale připraveno, a tak můžete narazit na problém při zpětném importu tajného klíče. Pokud před importem nejdříve z databáze smažete sekundární klíče, měl by jít primární klíč naimportovat zpět bez problémů. Jen si dejte pozor, abyste o sekundární klíče nepřišli.
Používání sekundárních klíčů přináší však také několik úskalí. Až vám někdo bude posílat zašifrovaný soubor, může se stát, že pro šifrování použije špatný klíč, než váš aktuálně používaný sekundární a vy pak tuto zprávu pravděpodobně nepřečtete. Nicméně zatím jsem na tento problém nenarazil.
Ověřit si, jaké privátní klíče máme v počítači, můžeme pomocí:
gpg -K
resp.
gpg --list-secret-keys
Znakem # jsou označené certifikáty, ke kterým nemáme privátní klíč.
Primární klíč tedy máme bezpečně uschovaný, vše relativně funkční a teď už jen nahrajeme svoji identitu na keyserver.
gpg [--keyserver pks.gpg.cz] --send-keys user_id [user_id ...]
Do Thunderbirdu si doinstalujeme Enigmail a nastavíme klíč, který chceme používat. Výchozí nastavení nebude fungovat, je třeba ho trošku změnit. Začněte psát novou zprávu, v menu Enigmail vyberte Výchozí nastavení tvorby zpráv -> Nastavení podepisování/šifrování, zvolte volbu Použít konkrétní OpenPGP klíč a vyberte správný klíč.
Import certifikátu z keyserveru:
gpg [--keyserver pks.gpg.cz] --recv-keys keyid [keyid ...]
Obnovení stavu všech klíčů z keyserveru, stažení nových podpisů a identit:
gpg --refresh-keys [--keyserver pks.gpg.cz]
Klíč můžete importovat buď z keyserveru nebo ze souboru pomocí:
gpg --import public.gpg
Chcete-li podepsat něčí klíč, musíte ho mít naimportovaný do své databáze. Vlastní podepsání je jednoduché, měli byste si ovšem zkontrolovat, zda sedí fingerprint (otisk) klíče a nastavit, jak moc jste prověřili, že certifikát patří skutečně dané osobě.
gpg --sign-key jina_osoba_id
Nový podpis můžete nahrát na keyserver:
gpg --send-keys jina_osoba_id [--keyserver pks.gpg.cz]
Kontrola podepsaného souboru: je možné specifikovat buď soubor obsahující zároveň podpis nebo zvlášť soubor s podpisem a podepsaný soubor.
gpg --verify [[sigfile]] [[signed-files]]
Podepsání souboru:
gpg -u user_id --armor --sign filename
Ve svém domovském adresáři si vytvořte skript s následujícím obsahem. Nezapomeňte změnit userid na svoje id. Upozorňuji, že tento skript není zcela bezpečný! Stále se nám rozšifrovaný soubor může v nevhodnou chvíli odswapovat na disk, což ovšem řeší šifrovaný swap. Po ukončení editace stačí pro uložení a opuštění editoru Ctrl-K X. VIčkařům mohu nabídnout tento postup.
#!/bin/bash
userid=vase_id
rm -f secrnew.asc
mv -f secret.zal secret.zal.2
cp secret.asc secret.zal
printf "Zadej heslo:\e[0;30;40m"
read passphr
printf "\e[0m"
echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null
if [ $? -ne 0 ] ; then
echo "Spatne heslo!"
exit 1
fi
echo $passphr | gpg --passphrase-fd 0 -d secret.asc | joe - | \
gpg -e -r $userid -a -o secrnew.asc
unset passphr
if [ $? -eq 0 ] && [ -f secrnew.asc ] ; then
mv -f secrnew.asc secret.asc
chmod 600 secret.asc
fi
Doufám, že jsem vás navedl správným směrem a budete odteď používat GnuPG zase o něco bezpečněji. Za značné zlepšení skriptu pro ukládání hesel bych chtěl poděkovat joeovi (a nemyslím ten editor).
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
13.5.2005 00:57
Příkaz> keyserver
gpg: VAROVÁNÍ: žádné uživatelské ID nebylo označeno jako primární. Tento příkaz může způsobit, že za primární bude považováno jiné user ID.
Vložte URL preferovaného keyserveru: pks.gpg.cz
gpg: nelze zpracovat URL serveru klíčů
echo $passphr | gpg --passphrase-fd 0 -d secret.asc > /dev/null gpg --passphrase-fd 0 -d secret.asc > /dev/null <<< "$passphr"Ale jinak velmi penky clanek...
Taky bych bral, aby to bylo podrobnější, jsem taky lama.
R@
Poznamky:
ovšem na celém světě je x uživatelů x Y klíčů atd.....
Prostě fakt by mě to zajímalo a né až bude rok 2000 jaké s tím byly problémy prostě my jsme nepočítaly že 486 ku s ms-dos budete používat v roce 2005 takže co se stane až těch klíčů bude tolik že se nevlezou na ten server
My jsme nepočítaly že HD může mít více jak 120G atd.....
Nové klíče na server nejde přidat my jsme nepočítaly že jeden uživatel může mít 1 000 000 000 klíčů a došla kapacita databáze.
Pojem 'certifikovat' bol podla mna zvoleny trocha nestastne. Ak ide o to, aby tvojmu klucu ludia verili, mozes a) ziskat ich podpis na svoj kluc, a/alebo b) pouzivat ho tak casto, ze je moc na ociach. Napr. jeho fingerprint pouzivat v signature mailov, vo svojich prispevkoch vo forach a podobne. Nieco o podpisovani klucov sa dozvies aj tu.
Delete this key from the keyring? (y/N) y This is a secret key! - really delete? (y/N) y gpg: key "Bartos" not found: eof gpg: Bartos: delete key failed: eofNeviete čo s tým?
13.5.2005 08:00
gpg -K tak mi to na prvnim radku vyhodi
sec# 1024D/960B06BD datum_vytvoreni
kde 960B06BD je id myho klice. (btw znak '#' znamena, ze primarni klic je fuc)