přejít na obsah přejít na navigaci

Linux E X P R E S, Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant

Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant

zamek.png

Dnešním dílem začíná část seriálu věnovaná aplikacím s grafickým rozhraním. Jako první přijde na řadu multiplatformní program GNU Privacy Assistant.


GNU Privacy Assistant

Psaní příkazů pro ovládání GPG nemusí každému vyhovovat. Ostatně, tento seriál vzniká právě proto, aby ukázal, že se lze bez této činnosti obejít a vše si pohodlně „naklikat“ v grafickém prostředí. Proto nyní začíná část seriálu věnovaná právě aplikacím s grafickým rozhraním.

Ale čím začít? Aplikací, která je více či méně integrální součástí nějakého desktopového prostředí? Nebo naopak programem, který je samostatný a je třeba k dispozici ve více operačních systémech? Aby si mohl prakticky každý hned zčerstva vyzkoušet práci s GPG v grafickém prostředí, bude lepší druhá cesta. Jedním z jejích reprezentantů je GNU Privacy Assistant.

Tento program je v zásadě oficiálním grafickým front-endem pro GnuPG. Využívá GUI knihovnu GTK+ a je k dispozici jak pro Linux (a další unixové systémy), tak pro Microsoft Windows. V běžných linuxových distribucích jsou ve standardních repozitářích k dispozici příslušné balíčky (nazvané například gpa), takže by neměla nastat potřeba nějaké kompilace ze zdrojových kódů nebo získávání instalačních balíčků složitými cestami.



Spuštění a používání

Po spuštění (příkazem gpa) se program podívá, jestli jsou k dispozici nějaké soukromé klíče. Pokud ne, nabídne vygenerování (kterého není nutno využít).

Správa klíčů

Vygenerování páru klíčů probíhá prostřednictvím průvodce, kde v každém kroku zadáte jeden údaj (jméno a pak e-mailovou adresu). Průvodce se také zeptá, zda chcete klíč hned zazálohovat. Na závěr se už jen zadá heslo a pak nějakou dobu běží generování (jak už víte, může trvat delší dobu).

Vytvoření klíčů Vytvoření klíčů

Hlavním oknem aplikace je správce klíčů (Key Manager). Tam můžete hned po instalaci najít celou řadu veřejných klíčů, jak je vidět na obrázku níže. Objeví se tam samozřejmě i všechny vygenerované nebo naimportované klíče.

Správce klíčů – Key Manager Správce klíčů – Key Manager

Ve správci klíčů můžete například generovat, importovat a exportovat klíče, podepisovat je či odstraňovat. U soukromých klíčů můžete měnit heslo a dobu platnosti. Lze také získávat klíče ze serveru (hkp://keys.gnupg.net) či je tam odesílat.

Získání klíče ze serveru Získání klíče ze serveru

Šifrování, podepisování...

Pro další – obvykle častější – činnosti je potřeba otevřít další okno. To je nazváno Správce souborů a dostaneme se k němu přes nabídkovou položku WindowsFile Manager (překlad do češtiny bohužel zatím není úplný, ale třeba bude brzy i toto přeloženo). Každý soubor, s nímž se bude pracovat, je potřeba nejdřív „otevřít“ příslušnou funkcí – soubor se objeví v seznamu.

Správce souborů Správce souborů

Vybraný soubor lze pak zašifrovat či dešifrovat, podepsat či zkontrolovat podpis. Trochu nepříjemné je, že aplikace nedokáže předem detekovat, zda se jedná o „obyčejný“ či zašifrovaný/podepsaný soubor. Proto nijak neomezuje použitelnost tlačítek jednotlivých operací a o úspěchu či neúspěchu (například nelze dešifrovat nezašifrovaný soubor) se dozvíme až po pokusu operaci provést.

Zašifrování souboru Zašifrování souboru

Při šifrování lze zvolit, že se soubor rovnou i podepíše, lze také soubor zakódovat do znaků ASCII (Base64 – viz starší díly seriálu). V případě podepisování a dešifrování se program zeptá na heslo k soukromému klíči. Stejně jako při práci v příkazové řádce lze při podepisování zvolit, zda se podpis zahrne do jediného souboru s daty nebo bude samostatný (detached).

Výsledek ověření podpisu souboru Výsledek ověření podpisu souboru

Šifrovat, podepisovat atd. lze také prostřednictvím schránky (Windows › Clipboard). Stačí vepsat nebo vložit text do oblasti v okně a stisknout příslušné tlačítko. Program text zašifruje nebo s ním provede jinou zvolenou operaci, výsledek najdete na témže místě. Výsledný text (zašifrovaný či podepsaný, případně obojí) bude vždy převeden do formy ASCII, což je pro tento účel logické.

Text zašifrovaný ve schránce Text zašifrovaný ve schránce

Další funkce

Aplikace má ještě okno pro práci s čipovými kartami (Card Manager). K těmto kartám se dostaneme v pozdější fázi seriálu. Dále lze měnit nastavení, a to jak na úrovni aplikace (výběr výchozího klíče a výchozího keyserveru, postup při hledání klíčů, přepnutí do pokročilého režimu zobrazujícího více informací o klíčích), tak i back-endu (tam toho lze nastavit velmi mnoho – ale je potřeba vždy vědět, co člověk dělá).

Nastavení aplikace Nastavení aplikace

Aplikace přímo v desktopovém prostředí

Program GNU Privacy Assistant by měl zcela vyhovět pro většinu běžných činností, které se s GPG provádějí. Výhodou je, že ho lze provozovat prakticky všude, bez ohledu na desktopové prostředí. Ovšem někdo může naopak chtít aplikaci co nejtěsněji do takového prostředí integrovanou. Příště se podíváme na první z nich – bude to KGpg pro prostředí KDE.

Nahoru

Příspěvky

Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant
Urso 24. 07. 2015, 14:09:24
Odpovědět  Odkaz 
Dobrý den,

na všech novějších linuxech (debian 8, ubuntu 12.04, 14.04) mi končí spuštění GPA chybou:
Knihovna GPGME vrátila neočekávanou chybu. Chyba je "Obecná chyba assuanu".

Poslední funkční GPA bylo na UBUNTU 10.04.
Kde je chyba?

Přeji hezký den

Granda Urso
Lukáš Jelínek Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant
Lukáš Jelínek 24. 07. 2015, 15:12:55
Odpovědět  Odkaz 
Dobrý den,
dotaz "kde je chyba" by měl směřovat na správce balíčků daných distribucí. V distribuci Linux Mint, kde jsem to používal, žádný problém není, přestože je založena na Ubuntu.

Podle toho, co jsem vypátral, je problém v knihovně libassuan (https://www.gnupg.org/%28fr%29/related_software/libassuan/index.html). Chyba je již delší dobu ohlášena jak u Ubuntu, tak u Debianu, ale tvůrci to zjevně dosud nevyřešili. Existuje na to ale workaround:

gpa --disable-x509

Tím se vypne podpora standardu X.509, který je v GPG (od verze 2) navíc ke standardu OpenPGP. V tomto seriálu jsem vůbec neplánoval se X.509 zabývat - možná by stručný úvod do problematiky nebyl od věci, ale určitě ne teď. Takže kdo neví, že tam něco takového je, může výše uvedený workaround používat a o nic nepřijde.
Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant
Urso 2. 08. 2015, 18:23:18
Odpovědět  Odkaz 
Je to tak, po spuštění gpa --disable-x509 to již startuje (a hlavně) bez chyb.
Děkuji za tu radu. Ono stačí zadat "gpa -h" a zobrazí se krátký návod, kde je i ta volba na vypnutí X.509.
Možná by stálo za úvahu napsání dalšího článku o pavučině důvěry PGP (GPG) a způsobech nastavování důvěry k veřejným klíčům PGP. V některých odborných IT časopisech v tom udělali zmatek, o nějaké pavučině důvěry a RFC 4880 (http://tools.ietf.org/html/rfc4880) ani ťuk, dokonce tam radili si vystavovat veřejný klíč na svém webu, což je podle mého názoru špatně, neboť pak není možno takto vystavený veřejný klíč podepisovat.
Veřejný klíč by měl být vystaven na svém vebu jen jako odkaz na server veřejných PGP klíčů. Ideálně asi takto:

1. Můj veřejný klíč GnuPG (Key ID): F056E6A5 (jako odkaz https://pgp.mit.edu/pks/lookup?search=0xF056E6A5&op=index&fingerprint=on)
2. Otisk prstu (fingerprint): 3B7F B6E7 A7FC B8B8 EB8C B826 74D8 300E F056 E6A5

Pak lze podepisovat veřejné klíče jiných osob. Doporučený postup je neznámému člověku zavolat a zeptat se na jeho fingerprint. Také se pořádají PGP párty, kde si lze ověřit fingerprinty klíčů.

Zde-li je tento postup bezpečnější než centrální certifikační autority u X.509 certifikátů není jednoduché říci, viz bezpečnostní aféry s podvrženými X.509 certifikáty.
Lukáš Jelínek Re: Re: Re: Komunikujeme a ukládáme data bezpečně s PGP/GPG (5) – GNU Privacy Assistant
Lukáš Jelínek 2. 08. 2015, 20:09:21
Odpovědět  Odkaz 
Článek na téma důvěry mám v plánu po pár dílech o aplikacích (nechci čtenáře hned na začátku zahltit teorií). Jinak ve zkratce - certifikační autority slouží především pohodlnosti (je to něco podobného, jako když se v běžném životě spoléhá na úřední ověření podpisu), z hlediska bezpečnosti jsou relativně křehké a proto vznikají různá řešení, jak model PKI posílit (DANE, certificate pinning apod.).
GEANYPG
Urso 1. 09. 2015, 11:05:03
Odpovědět  Odkaz 
Ještě jsem objevil celkem neznámý doplněk programátorského editoru GEANY a to GEANYPG, který umí šifrovat, podepisovat, ověřovat podpis a nic víc.
Na šifrování webmailů (seznam, google) je to jako stvořené,
viz http://zmsoft.cz/index.php?str=gpg---lehke-graficke-rozhrani-

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog