Navigation is at the bottom.

Táto stránka bola presunutá na novú adresu! Viac o presune sa dočítate tu.

This webpage has been moved to a new address!

Pretty Good Privacy

Systém PGP je systém na digitálne podpisovanie a šifrovanie správ.

PGP GPG?

Ked sa povie PGP, GPG, GnuPG, alebo OpenPGP znamená to väčšinou to isté.

( PGP využíva štandard OpenPGP. Program PGP sa postupom času stal komerčným a plateným produktom pod firmou Symantec. V tomto dokumente sa budem venovať programu GnuPG, čo je open source implementácia OpenPGP. )

Použite

Po prečítaní (ked bude hotová) tejto príručky si dokážete vytvoriť digitálny podpis, podpisovať a šifrovať správy a dokumenty a spravovať si vlastnú sieť dôvery.

Tajné a Verejné kľúče

PGP funguje na princípe verejných a tajných kľúčou (asymetrické šifrovanie).

Kľúč je ako heslo. Veľmi veľmi dlhé heslo. Tak dlhé heslo by bolo ťažké si zamamätať, tak sa uloží do súboru a nazýva sa kľúč.

Princí asymetrického šifrovania je asi taký, že jedným kľúčom niečo zašifrujete a odšifrovať sa to dá iba tým druhým kľúčom (s rovnakým ID).

Verejný kľúč je od toho verejný, že by ho mali mať všeci. Preto sa verejné kľúče vešajú na web.

Tajný kľúč, naopak, by mal každý mať iba ten svoj a mali by ste ho mať čo najviac skrytý. Z toho sú tajné kľúce ešte chránené heslom.

Zoznam kľúčou sa nám ukáže hned po zapnutí aplikácie GPA.

Vytvorenie kľúča

Bez vlastného kľúča sme ako bez mena. Dosť kecou a podme si ho vytvoriť.

Otvorte vašu aplikáciu na správu pgp kľúčou. Napríklad aplikácu GPA, android aplikáciu APG alebo príkazový riadok programu gpg. A zvolte vytvoriť nový kľúč.

Bude sa nás pýtať na algoritmus kľúča. Je v podstate jedno aký si zvolíme (ale nie iba na podpis). DSA tvoria menší podpis. Daľej to bude chcieť dllžku kľúča. Zvolíme tú najväčšiu, najbezpečnejšiu.

Daľej treba nastaviť platnosť kľúča (expire). Kedže sa môže všeličo stať, a už zverejnený kľúč sa nedá niako odstrániť, zvolíme dva dni (2). Platnosť môžme kedykoľvek predlžiť.

Teraz musíme nastaviť osobné údaje. Meno a Priezvisko zadávajte svoje, pravé aj s diakritikou a medzerou. Funkčnú emailovú adresu. Komentár môžme nechať prázdny používa sa, ked budeme mať viac UIDov. Uistite sa že údaje sú správne, potom sa veľmi tažko opravujú.

Teraz zvolíme heslo. Heslo si zapíš niekam na papier. Nedá sa obnoviť ked ho zabudneš. Nesnaž sa byť hustý s neprekonaťeľným heslom. Niečo jednoduché, čo si určite zapamätáš je dosť.

Generovaie kľúča trvá určitú dobu (až 10 minút). Zatiaľ chodte na fuckbook. A ked to bude tak si odpíš ID kľúča.

Revokačný certifikát

Predlženie platnosti

Pametáte sa, že sme nastavili platnosť dva dni? Teraz si poriadne skontrolujte či je všetko správne a podme ho predlžiť.

V GPA sa to robí cez príkaz edit. V gpg je na to príkaz gpg –edit-key 0x00000000 expire.

Dlžka platnosti je nepriamo úmerná mieri vašej paranoje. Ale 2 roky je rozumné maximum. Nekonečnú platnosť nepoužívajte.

Ked váš kľúč náhodou expiruje, jednoducho si zase predžte platnoť.

Záloha a revokačný certifikát

Je čas na zálohy! V GPA urobíš pravý klik na kľúč a dáš Backup, a uložíš to na bezpečné miesto (USB Flash disk).

V zálohe sa nachádza tvoj tajný kľúč, tak nech ťa ani nenapadne to dať na cloud alebo poslať mailom. CDčko alebo flash disk je OK.

Silno doporučujem vytvoriť revokačný certifikát. Ten slúži na zneplatnenie kľúča v prípade straty.

~$ gpg -a --output revoke.asc --gen-revoke 0xIdVashoKluca

Šifrovanie

GPG používa tzv asymetrické šifrovanie. To znamená, že vy si vyberiete, kto súbor môže odšifrovať. Musíte ale mať verejný kľúč adresáta, ale ten sa dá ľahko stiahnuť z Internetu.

V aplikácii APG môžme pracovať so súbormi alebo s textom. So súbormi sa robí v záložke Files, a s textom v záložke Clipboard. Pre naše príklady použijeme Clipboard do ktorej si napíšte krátku, vtipnú, správu.

Máme (náš) verejný kľúč tak môžme šifrovať sami pre seba.

V GPA je na to tlačítko Encrypt.

Bude sa to pýtať pre koho to má zašifrovať. Na šifrovanie treba totižto Verejný kľúc. Zvolte svoj kľúč, aby sme to mohli aj dešifrovať. Ten príkaz zoberie správu a zašifruje ju.

Nezľaknite sa veľkosti správy. Pri krátkych správach sa stáva, že po zašifrovaní sú dlhé. Zato dlhé správy môžu byť po zašifrovaní menšie ako pôvodné, lebo GPG všetky dáta automaticky a veľmi rýchlo komprimuje.

Zašifrovaná správa v okne Clipboard je iba text. Čiže ju môžme kludne zavesiť kamsi na Web. (Je armorovaná)

Ak by sme šifrovali súbor, môžme si vybrať či chceme Armor (.asc) alebo nie (.gpg). Doporučujem nepoužívať, na bezpečnosti to nepridá ibačo Armorované súboru sú o dosť väčšie.

OdŠifrovanie

Na to slúži tlačítko Decrypt. Na rozšifrovanie správy potrebujete tajný kľúč (ktorý máte). Nedajú sa odšifrovať súbory, ktoré niesú zašifrované pre vás.

Podpisovanie

Na podpísanie slúži tlačítko Sign.

K tej správe, čo ste napísali, sa pridá pár riadkou s digitálnym podpisom. Digitálny podpis súži na overenie, či správu niekto nemenil a či je naozaj od vás.

Pri podpisovaní súborov (v karte Files) GPA ponúka dva módy.

  1. Sign and Compress: Vytvorí “archív”, kde bude súbor a jeho podpis
  2. Detached signature: Pôvodný súbor nechá tak a podpis uloží do samostatného súboru.

Väčšinou sa používa možnosť 2.

Kontrola podpisov

Na to je v GPA tlačítko Verify.

Pri kontrole súborou s Detached signature musíme mať otvorený aj originál aj podpis.

Podpísané a Zašifrované

GPG dokáže súbor zašifrovať, podpísať a všetko skombinovať do jedného.

Na to slúži tlačítko Encrypt, a v dialógu zaškrtneme voľbu Sign. Tak vznikne zašifrovaná správa, ktorá bude aj podpísaná. Tým sa zabráni Man-in-the-Middle útoku.

Všetko čo šifrujete, aj podpíšte. Prečo nie?

KeyServery

Ked chceme niekomu niečo zašifrovať, potrebujeme jeho verejný kľúč. Žiadny mág nemá kľúče všetkých ľudi (asi 5GB). Preto existujú na Internete stránky, ktoré ti umožnia vyhľadávať všetky kľúče.

Napríklad táto česká.

Náš kľúč môžme nahrať na keyserver tak, že v GPA klikneme na kľúč pravým a zvolíme Send. Tým sa náš kľúč dostane automaticky na všetky keyservery.

GPA dokáže automaticky stiahnuť verejné kľúče z keyserveru (nastaveného v Preferences). GPA dokáže stiahnuť alebo nahrať určitý kľúc z keyserveru, robí sa to v menu Server. No nedokáže na keyserveri vyhľadávať, to musíte cez web (GPG commandline to vie APG aj Enigmail tiež).

Teraz si vyskúšame stahovanie kľúčov. ID môjho kľúča je 0xC45F4253. Z menu Server zvolíme možnosť retrieve. Do okienka zadáme ID. Ak nepoznáme ID, kľúč vyhľadáme na keyserveri, a skopírujeme si jeho ID.

Alternatíva je ísť na stránku keyserveru, vyhľadať tam kľúč, skopírovať ho a vložiť do keyringu v GPA.

Verejné kľúče môžme samozrejme uložiť do súboru (Export) alebo ich vložiť do kľúčenky PGP (Import).

Sieť dôvery

angl: Web of Trust

Ako zistím, že kľúč, korý som si našiel na webe je skutočne od toho od koho si myslím a nie napríklad od niekoho s takým istým menom (alebo od útočníka)? Na to slúži podpisovanie kľúčov a sieť dôvery.

Podpísanie kľúča

Ked cudzí verejný kľúč podpíšeme, zaručujeme sa, že ten kľúč je pravý a vlastní ho ten človek, ktorého meno naňom je.

Prebieha to nasledovne:

  1. Stretnete sa dvaja použivateľia pgp

  2. Vypítaš si jeho fingerprint.

  3. Ty dáš jemu svoj fingerprint.

    Tvoj fingerprint zistíš tak, že v GPA klikneš na svoj kľúc, a fingerprint sa zobrazí dole v políčku “Fingerprint”. (daj si ho do peňaženky)

  4. Pri počítači si stiahneš jeho kľúč, skontroluješ či sedí fingerprint a ak sedí, podpíšeš ho

    Jeho kľúč stiahneš tak že zadáš 0x a posledných 8 (alebo 16) znakov z fingerprintu bez medzier do políčka GPA->Server->Retrieve.

    Podpíšeš kľúč tak, že naň v GPA klikneš pravým a zvolís Sign Keys. Skontroluješ, či sa fingerprinty zhodujú a iba potom povieš áno.

  5. Pošleš podpísaný kľúč na server

    Kľúč pošleš na server tak, že naň klikneš pravým a zvolíš Send.

  6. Nastavíš mu dôveru

    rightclick -> Set Owenet Trust a vyber si.

Fingerprinty sa hovoria osobne na papieriku alebo cez telefón. Fingerprinty z webu môžu byť falošné. Ak podpíšete falošný kľúč hrozí vám vyhadzov zo stiete dôvery a strata dôvery.

Dôvera

Ak máš dobrého kamaráta tak mu môžeš nastaviť plnú dôveru (rightclick->Set owenet trust). Kľúče, čo on podpíše, sa ti automaticky označia ako pravé.

Kľúče, čo sám podpíšeš sa označia tiež ako pravé.

Tipy a triky

* Ak šifrujete alebo podpisujete .zip, ten zip vytvorte s vypnutou kompresiou. GPG ho skomprimuje lepšie.