Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant Urso24. 07. 2015, 14:09:24 OdpovědětOdkaz
Dobrý den,
na všech novějších linuxech (debian 8, ubuntu 12.04, 14.04) mi končí spuštění GPA chybou:
Knihovna GPGME vrátila neočekávanou chybu. Chyba je "Obecná chyba assuanu".
Poslední funkční GPA bylo na UBUNTU 10.04.
Kde je chyba?
Přeji hezký den
Granda Urso
Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant Lukáš Jelínek24. 07. 2015, 15:12:55 OdpovědětOdkaz
Dobrý den,
dotaz "kde je chyba" by měl směřovat na správce balíčků daných distribucí. V distribuci Linux Mint, kde jsem to používal, žádný problém není, přestože je založena na Ubuntu.
Podle toho, co jsem vypátral, je problém v knihovně libassuan (https://www.gnupg.org/%28fr%29/related_software/libassuan/index.html). Chyba je již delší dobu ohlášena jak u Ubuntu, tak u Debianu, ale tvůrci to zjevně dosud nevyřešili. Existuje na to ale workaround:
gpa --disable-x509
Tím se vypne podpora standardu X.509, který je v GPG (od verze 2) navíc ke standardu OpenPGP. V tomto seriálu jsem vůbec neplánoval se X.509 zabývat - možná by stručný úvod do problematiky nebyl od věci, ale určitě ne teď. Takže kdo neví, že tam něco takového je, může výše uvedený workaround používat a o nic nepřijde.
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant Urso 2. 08. 2015, 18:23:18 OdpovědětOdkaz
Je to tak, po spuštění gpa --disable-x509 to již startuje (a hlavně) bez chyb.
Děkuji za tu radu. Ono stačí zadat "gpa -h" a zobrazí se krátký návod, kde je i ta volba na vypnutí X.509.
Možná by stálo za úvahu napsání dalšího článku o pavučině důvěry PGP (GPG) a způsobech nastavování důvěry k veřejným klíčům PGP. V některých odborných IT časopisech v tom udělali zmatek, o nějaké pavučině důvěry a RFC 4880 (http://tools.ietf.org/html/rfc4880) ani ťuk, dokonce tam radili si vystavovat veřejný klíč na svém webu, což je podle mého názoru špatně, neboť pak není možno takto vystavený veřejný klíč podepisovat.
Veřejný klíč by měl být vystaven na svém vebu jen jako odkaz na server veřejných PGP klíčů. Ideálně asi takto:
Pak lze podepisovat veřejné klíče jiných osob. Doporučený postup je neznámému člověku zavolat a zeptat se na jeho fingerprint. Také se pořádají PGP párty, kde si lze ověřit fingerprinty klíčů.
Zde-li je tento postup bezpečnější než centrální certifikační autority u X.509 certifikátů není jednoduché říci, viz bezpečnostní aféry s podvrženými X.509 certifikáty.
Re: Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant Lukáš Jelínek 2. 08. 2015, 20:09:21 OdpovědětOdkaz
Článek na téma důvěry mám v plánu po pár dílech o aplikacích (nechci čtenáře hned na začátku zahltit teorií). Jinak ve zkratce - certifikační autority slouží především pohodlnosti (je to něco podobného, jako když se v běžném životě spoléhá na úřední ověření podpisu), z hlediska bezpečnosti jsou relativně křehké a proto vznikají různá řešení, jak model PKI posílit (DANE, certificate pinning apod.).
Ještě jsem objevil celkem neznámý doplněk programátorského editoru GEANY a to GEANYPG, který umí šifrovat, podepisovat, ověřovat podpis a nic víc.
Na šifrování webmailů (seznam, google) je to jako stvořené,
viz http://zmsoft.cz/index.php?str=gpg---lehke-graficke-rozhrani-
