Articles

Ghost in the Machines

On septembrie 23, 2021 by

Utilizez software-ul GPG (cunoscut și sub numele de GnuPG) pentru criptarea fișierelor care conțin informații sensibile (mai ales parole). În calitate de inginer de sistem, îmi desfășor cea mai mare parte a activității pe servere la distanță, accesibile prin intermediul interfeței de linie de comandă. În mod firesc, mi se pare mai ușor să folosesc versiunea de linie de comandă a GPG pentru a cripta și decripta direct documentele.

GPG (GNU Privacy Guard) este o versiune gratuită cu sursă deschisă a software-ului de criptare PGP (Pretty Good Privacy). Din punct de vedere conceptual, ambele utilizează aceeași abordare a criptografiei (adică criptarea și decriptarea). Cu toate acestea, fiecare este diferit în mod unic în ceea ce privește implementarea sa.

Ceea ce urmează este o introducere rapidă în modul de instalare a instrumentelor de linie de comandă GPG, precum și o listă de comenzi de bază de care este foarte probabil să aveți nevoie.

Instalarea GPG

GPG poate fi instalat în mai multe moduri diferite. Instrucțiunile de aici vor instala instrumentele de bază ale liniei de comandă GPG, care sunt destinate a fi utilizate într-un terminal.

Dacă, pe de altă parte, preferați o interfață grafică de utilizator (sau GUI) pentru a accesa funcționalitatea GPG (de exemplu, criptarea comunicațiilor prin e-mail sau criptarea documentelor într-un editor de text GUI), consultați linkurile de la sfârșitul acestui articol.

Red Hat / CentOS

yum install gnupg

Ubuntu / Debian

apt-get install gnupg

Mac OS X

Cel mai simplu mod de a instala instrumentele de linie de comandă GPG pe Mac este de a instala mai întâi Homebrew, un sistem de gestionare a pachetelor care pune la dispoziție mii de pachete software pentru a fi instalate pe Mac-ul dumneavoastră.

Deschideți o fereastră Terminal (meniul Applications > Utilities), apoi introduceți următoarea comandă.

ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
După ce s-a terminat, instalați pachetul software GPG cu următoarea comandă.
brew install gnupg

GPG Quick How To

Ceea ce urmează este o foarte scurtă introducere în utilizarea GPG în linie de comandă. Gândiți-vă la ea ca la o „referință rapidă” sau o „foaie de informații”. Cu siguranță ar trebui să învățați mai mult despre GPG decât ceea ce este explicat în cadrul acestui post. Acesta este destinat doar pentru a vă ajuta să începeți. Dacă vă așteptați să utilizați GPG în mod mai extins, vă sfătuiesc cu tărie să citiți mai multă documentație (a se vedea secțiunea Linkuri de mai jos).

GPG este un software de criptare puternic, dar poate fi, de asemenea, ușor de învățat – odată ce ați înțeles câteva noțiuni de bază. GPG utilizează o metodă de criptare cunoscută sub numele de criptografie cu cheie publică, care oferă o serie de avantaje și beneficii. Cu toate acestea, pentru a obține aceste avantaje, este necesar un nivel minim de complexitate pentru ca totul să funcționeze. Pentru o prezentare generală a modului în care funcționează criptografia cu cheie publică, citiți Introducere în criptografie (link în partea de jos a acestei postări).

Convenții tipografice utilizate în comenzi:

În toate exemplele de mai jos, textul pe care va trebui să îl înlocuiți cu propriile valori (de exemplu, nume de utilizator, adrese de e-mail, nume de fișiere) este afișat cu „gri italic”. Textul pe care îl veți tasta literal (neschimbat) este indicat cu „black constant width”.

"gray italic""black constant width"

Crearea cheii GPG:

Pentru a începe cu GPG, trebuie mai întâi să generați perechea de chei. Adică, veți genera atât o cheie privată cât și una publică cu o singură comandă. Introduceți numele și adresa dvs. de e-mail la solicitări, dar în rest acceptați opțiunile implicite.

gpg --gen-key

Prima cheie este cheia dvs. privată (sau secretă). Trebuie să păstrați această cheie privată în siguranță în permanență și nu trebuie să o împărtășiți cu nimeni. Cheia privată este protejată cu o parolă. Încercați să faceți ca parola să fie cât mai lungă posibil, dar să fie ceva ce nu veți uita. Dacă uitați parola, nu există nicio modalitate de a o recupera. Din același motiv, trebuie, de asemenea, să faceți o copie de rezervă a cheii private. (Luați în considerare utilizarea Time Machine pentru copii de rezervă pe Mac OS X.)

Cea de-a doua cheie este cheia dumneavoastră publică, pe care o puteți împărtăși în siguranță cu alte persoane.

Relația dintre cheia privată și cea publică este de fapt foarte simplă. Orice lucru care este criptat cu ajutorul cheii publice poate fi decriptat numai cu cheia privată aferentă. Prin urmare, veți furniza cheia dvs. publică unei alte persoane, iar aceasta vă va furniza cheia sa publică. Tot ceea ce este criptat cu cheia publică poate fi decriptat doar de dumneavoastră. Orice lucru criptat cu cheia publică a celeilalte persoane poate fi decriptat doar de către cealaltă persoană.

Exportați cheia publică:

Postul următor este să exportați cheia publică și să o partajați cu o altă persoană. Acea persoană ar trebui să facă același lucru și să-și exporte cheia publică.

gpg --export --armor [email protected] > mypubkey.asc

Importă cheia publică a altei persoane:

Când importați o cheie publică, o plasați în ceea ce se numește în mod obișnuit „brelocul” GPG.”

Listați cheile publice din brelocul dvs. de chei:

Acum puteți vizualiza o listă a cheilor publice din brelocul dvs. de chei, precum și numele și adresa de e-mail asociate cu fiecare cheie.

gpg --list-keys

Lista cheilor private din brelocul dvs. de chei:

Comenda următoare va lista cheile private din brelocul dvs. de chei. Aceasta va afișa propria cheie privată, pe care ați creat-o mai devreme.

gpg --list-secret-keys

Încredere într-o cheie publică:

După ce ați importat cheia publică a celeilalte persoane, trebuie acum să setați nivelul de încredere al cheii. Acest lucru împiedică GPG să vă avertizeze de fiecare dată când criptați ceva cu acea cheie publică.

Specificați numele sau adresa de e-mail a celeilalte persoane în comandă.

gpg --edit-key glenntrust (invoke trust subcommand on the key)5 (ultimate trust)y (if prompted)quit

Comenzi GPG utile

GPG are multe opțiuni, de cele mai multe dintre ele nu veți avea niciodată nevoie. Iată o listă rapidă a celor mai utile comenzi de care este posibil să aveți nevoie.

Criptarea unui fișier:

Pentru a cripta un fișier numit nume fișier.txt pentru o singură persoană, specificați acea persoană ca destinatar.

gpg --encrypt --recipient glenn filename.txt

Aceasta va crea un nou fișier criptat numit nume fișier.txt.gpg.

Dacă doriți să criptați un fișier astfel încât numai dumneavoastră să îl puteți decripta, atunci specificați-vă pe dumneavoastră ca destinatar.

gpg --encrypt --recipient 'my_name' filename.txt

Dacă doriți să criptați un fișier astfel încât atât dvs. cât și o altă persoană să îl puteți decripta, specificați atât dvs. cât și cealaltă persoană ca destinatari.

gpg --encrypt --recipient glenn --recipient 'my_name' filename.txt

Dacă doriți să criptați un fișier pentru un grup de persoane, definiți grupul în gpg.conf (a se vedea secțiunea de mai jos), apoi specificați grupul ca destinatar.

gpg --encrypt --recipient journalists filename.txt

După un timp, veți dori să fiți mai concis și să folosiți versiunea scurtă a opțiunilor din linia de comandă. Iată aceeași comandă.

 gpg -e -r journalists filename.txt

Decriptați un fișier în terminal (ieșire standard):

Prima versiune a acestei comenzi va afișa conținutul unui fișier în fereastra terminalului însuși.

gpg --decrypt filename.txt.gpg

Utilizați opțiunea --decrypt numai dacă fișierul este un fișier text ASCII. Dacă este un fișier binar, atunci omiteți opțiunea --decrypt, care va scrie fișierul decriptat pe disc. În acel moment, puteți deschide fișierul binar în orice aplicație folosită pentru a vizualiza fișierul.

Decriptarea unui fișier pe disc:

Chiar dacă fișierul este ASCII sau binar, dacă doriți să faceți modificări la conținutul unui fișier criptat, trebuie mai întâi să îl decriptați, să faceți modificările, apoi să re-criptați fișierul. După cum am menționat în paragraful anterior, scrieți versiunea decriptată a unui fișier pe disc, prin omiterea opțiunii --decrypt din comandă.

gpg filename.txt.gpg

Dacă fișierul criptat a fost numit nume fișier.txt.gpg, comanda de mai sus va crea o versiune decriptată cu numele filename.txt (cu extensia .gpg eliminată).

Crearea de grupuri de persoane în fișierul de configurare GPG

Pentru comoditate, puteți predefini un grup de persoane în fișierul de configurare GPG. Acest lucru are avantajul de a vă permite să criptați un fișier către fiecare membru al grupului prin specificarea doar a numelui grupului ca destinatar, mai degrabă decât prin specificarea plictisitoare a fiecărui membru individual al grupului.

Configurarea software-ului dumneavoastră GPG este stocată în directorul dumneavoastră personal în cadrul fișierului ~/.gnupg/gpg.conf. Editați acest fișier utilizând editorul de text în linie de comandă preferat (vim, nano, pico, emacs etc.). Deși există numeroase setări disponibile în fișierul de configurare, mergeți la secțiunea relevantă pentru definirea grupurilor.

Când definiți un grup, listați membrii grupului. Fiecare membru este referit de un anumit atribut al cheii lor publice care se găsește în brelocul de chei GPG – de obicei, un nume de persoană (sau un nume parțial, cum ar fi numele sau prenumele) sau o adresă de e-mail (sau o adresă de e-mail parțială).

Dacă sunteți membru al grupului, nu uitați să vă includeți în grup! Dacă nu vă includeți în grup, nu veți putea decripta niciun fișier pe care îl criptați în grup.

Iată un exemplu de grup numit „jurnaliști”, în care este listat prenumele fiecărei persoane.

group journalists = glenn laura ewan barton

Unde să mergem de aici

Vă încurajez să aflați mai multe despre GPG. Consultați linkurile de mai jos.

S-ar putea, de asemenea, să doriți să învățați despre metodele sigure de ștergere a fișierelor de pe hard diskul computerului. Mac OS X dispune de opțiunea „Golire securizată a coșului de gunoi” în Finder. Există, de asemenea, numeroase instrumente de la terțe părți pe care le puteți instala.

Din moment ce suntem pe tema învățării modului de utilizare a GPG în linia de comandă, poate doriți să încercați „bcwipe” – un program pentru ștergerea sigură a fișierelor din linia de comandă.

Pe Mac OS X, puteți instala bcwipe prin Homebrew.

brew install bcwipe

Links

Generalități

  • Introducere în criptografie (PDF)
  • GnuPG Software Website
  • GnuPG pe Wikipedia
  • Homebrew (Manager de pachete pentru Mac OS X)

GUI Tools

.

  • GPG Suite (GUI pentru Mac OS X)
  • Cum se utilizează GPG Suite pe Mac OS X (Electronic Frontier Foundation)
  • Gpg4win (GUI pentru Windows)
  • Cum se utilizează Gpg4Win pe Windows (Electronic Frontier Foundation)

Lasă un răspuns

Adresa ta de email nu va fi publicată.