Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Tomáš Crhonek25. 05. 2015, 14:26:06 OdpovědětOdkaz
"podepisování klíč tajný (soukromý)"
Výraz "tajný klíč" se používá pro klíč u symetrické kryptografie (kde je jen jeden klíč). U asymetrické kryptografie se používají pojmy: veřejný a soukromý klíč.
Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Lukáš Jelínek25. 05. 2015, 14:43:49 OdpovědětOdkaz
To by mě zajímalo, kde je to takto definováno. Podle mě nikde a oba pojmy se používají synonymně (v různých vědeckých pracích apod.). Především ale přímo dokumentace GnuPG pracuje s označením "secret key" a nikoli "private key".
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Tomáš Crhonek25. 05. 2015, 15:00:39 OdpovědětOdkaz
Kryptografie, alespoň ta česká, alespoň ta na crypto-world.info (Klíma, Rosa, Vondruška, Pinkava) to rozlišují tak jak jsem popsal. Možná je to jejich vlastní konvence. Mě na toto upozornil Pavel Vodruška. Ale dává mi smysl to rozlišovat zejména v textech, kde se kombinuje jak symetrická, tak asymetrická kryptografie (a je nutno pojmenovat celkem 3 klíče: tajný, veřejný, soukromý).
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Jaroslav Imrich26. 05. 2015, 21:13:04 OdpovědětOdkaz
Napr. v PKCS#11 v2.20 kapitola 6.4: "The key may be a public key, a private key, or a secret key; each of these types of keys has subtypes for use in specific mechanisms."
Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Ivan Matus 1. 11. 2015, 19:05:38 OdpovědětOdkaz
Dobry den, aka je vseobecna prax pri ochrane private key. Z hladiska bezpecnosti je "vhodne" ulozit / archivovat v iCloud?
Dakujem
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Lukáš Jelínek 1. 11. 2015, 22:49:53 OdpovědětOdkaz
Dobrý den,
soukromý klíč by člověk "neměl vydat z ruky", neměl by ho tedy ani uložit do cloudu. Úplně optimální je, mít ho jen na hardwarových prostředcích (kartách, klíčenkách apod.), ze kterých ho nelze dostat ven. Práce s HW prostředky je ale poněkud složitější a ponechávám ji do pozdější fáze seriálu. I pokud se klíč ponechá v souboru, je lepší ho mít na nějaké flešce (lépe na několika; jedna se nechá pro používání a ty ostatní poslouží jako záloha, každá by měla být uložena na jiném bezpečném místě) a tu vložit do počítače až před použitím. Ponechání klíče na disku počítače je riskantnější.
Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Ondřej Surý27. 05. 2015, 07:18:40 OdpovědětOdkaz
Současná praxe pro "bezpečně" doporučuje vygenerovat k hlavnímu klíči subkeys, které se budou aktivně používat a hlavní "master" key odložit na bezpečné místo. Stejně tak v článku chybí informace o vygenerování revocation key, který má také přijít na bezpečné místo (ale pokud možno jiné než úložiště pro master key).
Stejně tak se dnes doporučuje nastavit všem klíčům expiration na rok až dva. Expiration se dá kdykoli změnit, a v případě, že by Vám klíč někdo ukradl, tak je to poměrně slušná "damage control", protože ten klíč časem vyšumí.
A nedomnívám se, že by tohle měla být "vyšší dívčí", ale naopak by to mělo být v základech práce s klíči. Tj. osobně bych doporučoval před článkem o používání zařadit díl o current best practice.
To samé platí 2048 velikost klíče - doporučená velikost u RSA klíče je 4096, louskání jde rychle dopředu a GPG klíče mají dlouhou životnost. To by nejlépe chtělo doplnit už v tomto článku. Plus informaci o tom, že DSA1024 a cokoli menšího než oněch RSA2048 nebrat a ani nepodepisovat.
A poslední věc, seznam používaných algoritmů upravit tak, aby nejprve používal silnější a pak slabší:
# when multiple digests are supported by all recipients, choose the strongest one:
personal-digest-preferences SHA512 SHA384 SHA256 SHA224
# preferences chosen for new keys should prioritize stronger algorithms:
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Lukáš Jelínek27. 05. 2015, 13:44:58 OdpovědětOdkaz
Děkuji za doplnění. Jinak seriál má být v první řadě pro začátečníky a mírně pokročilé, proto je nechci hned na počátku "lekat" věcmi, jako jsou úprava konfigurace. Podklíče a revokační klíče jsem plánoval na později. Current best practice by to určitě chtělo, ale rozhodně ne v této fázi. Opravdu mi nejde o to, nahrnout na čtenáře hned na začátku tunu informací, které mají sice smysl, ale mohou ho od používání GPG odradit právě kvůli té složitosti, kvůli které to dnes málokdo z běžných uživatelů používá.
Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů guest28. 05. 2015, 23:29:36 OdpovědětOdkaz
Zajimavy serial, hodi se mi k tomu z minuleho roku na
http://arstechnica.com/information-technology/2014/02/how-to-run-your-own-e-mail-server-with-your-own-domain-part-1/
Souhlasim s prispevkem #Ondřej Surý, pouzivat tu nejsilnejsi velikost klice i na ukor rychlosti :)
Enigmail v nejaktualnejsi verzi funguje pouze s gpg2, ale nezajimal jsem se proc jestli by jste mohl zminit ze jsou dve verze a jejich rozdil v nekterym z pristich dilu. Predem diky.
Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Lukáš Jelínek29. 05. 2015, 00:26:25 OdpovědětOdkaz
Na Enigmail samozřejmě také dojde ;-)
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů Debian4Ever30. 05. 2015, 11:27:40 OdpovědětOdkaz
A ve finale, mohl bys Lukasi nastinit jedno reseni pro ty "socky" :-D, ktere GnuPG/OpenPGP nepouzivaji, reseni, kdy muze de facto kazdy poslat spravu adresatu, ktery vlastni GnuPG/OpenPGP klic, pomoci rozhrani:
https://encrypt.to
A jako bonus pak ukazat, jak toto rozhrani si muze implementovat kazdy na svem webhostingu pro sve navstevniky ;-)
Diky.
Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů davkol29. 05. 2015, 20:31:55 OdpovědětOdkaz
Článek hezký, o tom žádná, ale který „začátečník nebo mírně pokročilý“ bude tohle martýrium podstupovat – a proč by to měl dělat?
Pokud jde o data, 7-Zip umí vytvářet šifrované archivy tak snadno, že to zvládne i moje babička.
V případě e-mailu… Třípísmenkoví šmíráci stále uvidí metadata; uživatel přijde o komfort moderního webmailu a musí se starat o uložení klíčů; v neposlední řadě, s kým vlastně komunikovat, když i protistrana musí absolvovat tu hrůzu s nastavováním, o výměně klíčů nemluvě? Nevšiml jsem si, že by aspoň instituce plošně aspoň podepisovaly zprávy.
Komunikujeme a ukládáme data bezpečně s PGP/GPG (2) – generování a import/export klíčů
