Protector de la aislamiento del GNU que despliega

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Aunque muchos interfaces del GUI estén en la etapa de planeamiento para GPG, los pasos siguientes se centran en usar GPG con la línea de comando. Los pasos asumen que usted tiene ya GPG instalado en su sistema. Verifique esto usando el comando de los whereis:

gpg de los whereis
gpg: /usr/bin/gpg

Si usted no tiene GPG instalado, usted puede transferir GPG de
www.rpmfind.net, de www.gnupg.org/download.html (gnupg-1.0.4-11.i386.rpm o gnupg-1.0.5.tar.gz equivalente).

Ahora que usted sabe el programa está instalado, su primer paso es asegurar cómo asigna memoria a los usuarios nonroot. GPG requiere que la mayoría de los sistemas del linux lo funcionen mientras que raíz de SUID. Cualquier uso asigna las páginas de la memoria del sistema, y GPG quisiera que esta memoria fuera segura. Si no, un usuario ilícito podría capturar esta memoria y después acceder a la información que usted va a cifrar. Para asegurar estas páginas de la memoria, GPG traba esta memoria antes de usarla. Necesita funcionar como raíz para trabar la memoria. Tan pronto como se haga esto, GPG después funciona bajo permisos del dueño.

Por abandono, sin embargo, GPG no está instalado pues raíz de SUID. Para hacerle la raíz del setuid, haga el siguiente:

1. Encuentre el uso (en Red Hat Linux, GPG está en /usr/bin/gpg).

2. Si usted no es ya raíz, se convierte la raíz con el comando su.

3. Publique el chmod u+s /usr/bin/gpg del comando.
Si usted no puede hacer esto en su propio sistema por alguna razón, ni desea
a, usted puede incorporar la línea siguiente en el archivo de ~/.gnupg/options de nonroot
usuario:

/usr/bin/gpg --GEN-llave

Este comando creará los directorios y los archivos necesarios para que GPG trabaje. Una vez que usted crea estos directorios, genere un par dominante para el usuario que le abren una sesión como. Usted hace esto publicando el gpg --comando del genkey otra vez. GPG entonces pedirá que usted seleccione un tipo dominante. Usted tendrá la opción de elegir el algoritmo de la firma de Digitaces (DSA) y ElGamal (el defecto) DSA, o ElGamal (muestra y cifrar). Cada uno de estas opciones define diversos tipos de firma y de algoritmos de encripción. El primer utiliza el método de distribución dominante estándar de ElGamal y el DSA, que se utiliza para firmar y para cifrar datos. El DSA es un algoritmo nonproprietary, desemejante del algoritmo del RSA, que fue utilizado previamente. Si usted desea solamente firmar y cifrar documentos, usted puede apenas utilizar el DSA. La mayoría de la gente utiliza la primera opción, que está a la muestra y cifra la información. Tradicionalmente, la primera opción (el defecto) es el mejor. Le entonces dan la opción del keysize. El defecto keysize de 1024 pedacitos es realmente absolutamente suficiente para la mayoría de los propósitos. La selección cualquier cosa más arriba puede retardar perceptiblemente su uso. Así pues, seleccione 1, y después presione ENTRAN.

Incorpore 1y para hacer que su llave expira un año de ahora en adelante, y después presione ENTRAN.

Presione y para confirmar esta opción.

Incorpore su nombre en el nombre real: campo.

Después, incorpore su email address. En el comentario: el campo, incorpora la firma de GPG, o cualquier texto que usted desee, y después presiona ENTRA.

Le entonces pedirán confirmar sus ajustes. Si usted es feliz con lo que usted entró en, presione O (que sea la letra O, no el dígito 0), y entonces presione ENTRAN.

Entre en un passphrase para su llave privada. Este passphrase debe ser suficientemente largo (por lo menos seis contraseñas), pero debe también ser algo que usted recordará. La prensa ENTRA, confirma el passphrase, y presiona ENTRA otra vez. Después de hacer esto, GPG generará una nueva llave. Mueva su ratón e incorpore el texto en el teclado de modo que la máquina tenga bastante entropía para generar una buena llave privada. Una vez que se acaba GPG, usted recibirá un mensaje que su llave está creada y firmada.

Ahora, verifique que GPG creara y firmara correctamente las llaves para su cuenta con los comandos siguientes:

gpg --lista-secreto-llave
gpg --lista-público-llave
gpg --lista-sig

Estos comandos enumeran su llave secreta, su llave pública, y su firma, respectivamente. Una vez que usted hace esto, usted debe crear un certificado de la revocación en caso de que usted necesite publicar el hecho de que su llave privada es no más válida. Usted hace esto por que sigue la secuencia contorneada aquí:

gpg --salida revoke.asc --GEN-revoque james@root.test.com
jamesroot del sec 1024D/3B386145 2000-07-01 (raíz) <james@root.test.com>
¿Cree un certificado de la revocación para esta llave? y
Seleccione por favor la razón para la revocación:
se ha comprometido 1 = llave
se reemplaza 2 = llave
3 = llave se utiliza no más
0 = cancelación
(Usted quiere probablemente seleccionar 1 aquí)
¿Su decisión? 1
Incorpore una descripción opcional; termínela con una línea vacía:
> Para mi cuenta de raíz del sistema de los keats

Razón de la revocación: Se ha comprometido la llave
Para mi cuenta de raíz del sistema de los keats
¿Es esta autorización? y
Usted necesita un passphrase abrir la llave secreta para el usuario: jamesroot
(raíz) <james@root.test.com> "
la llave del DSA de 1024 pedacitos, identificación 3B386145, creó 2000-07-01
La salida acorazada del ASCII forzó.
El certificado de la revocación creó.

Muévalo por favor a un medio que usted pueda ocultar lejos; si Mallory consigue el acceso a este certificado él puede utilizarlo para hacer su llave inutilizable. Es elegante imprimir este certificado y almacenarlo lejos, apenas en caso sus medios llegan a ser ilegibles. Pero tenga cierta precaución: ¡El sistema de impresión de su máquina pudo almacenar los datos y ponerlos a disposición otros!

Después de verificar que usted tenga llaves y un certificado de la revocación, usted puede ahora importar y exportar llaves. Para exportar su llave, utilice el comando siguiente:

gpg --exportación --armadura > yourname.asc

Este comando creará un archivo que contenga su llave pública. Usted puede después distribuir esta llave a cualquier persona y establecer una relación de la confianza.

Con esta capacidad, usted ahora puede utilizar el comando de la RPM de comprobar las firmas y las llaves públicas generadas por otras. Por ejemplo, supóngale desear poner al día su versión de Red Hat Linux debido a una alarma de seguridad. Para ayudarle a verificar que este paquete no se ha tratado de forzar con, y que ha originado verdad de Red Hat, usted puede obtener la firma de Red Hat. Vaya a www.redhat.com y obtenga la llave pública para el sitio y la transferencia directa RPM-basada que usted quiere. Llave pública del cuadro 1.8 Red Hat de las demostraciones. En fecha esta escritura, la llave está situada en www.redhat.com/about/contact/redhat2.asc.

Ahora que usted ha creado su propio anillo dominante, que es donde usted almacenará las llaves públicas de la gente con quien usted desea comunicar, usted puede ahora importar la llave pública de Red Hat en GPG usando el comando siguiente de GPG:

gpg --importación redhat2.asc

Es posible que la llave pública que usted desea importar tiene una diversa extensión. Ahora, firme esta llave. La falta de firmar esta llave la hará volver mensajes de error cuando usted intenta utilizarla. Cerciórese de que usted no haya realizado absolutamente ninguÌn cambio a este archivo dominante. Una vez que se importa esta llave, usted necesita firmarla. Recuerde, usted transferirla de una fuente confiada en, y están razonablemente seguro que usted puede confiar en esta llave. Usted puede firmarla usando el gpg --firme el comando, o usted puede utilizar el modo interactivo de GPG, demostrado en la secuencia siguiente:

gpg --corregir-llave security@redhat.com
gpg (GnuPG) 1.0.2; Derechos reservados (c) 2000 Free Software Foundation, inc.
Este programa viene con ABSOLUTAMENTE NINGUNA GARANTÍA.
Éste es software libre, y usted es agradable redistribuirlo
bajo ciertas condiciones. Vea el archivo el COPIAR para los detalles.
el pub 1024D/DB42A60E creó: 1999-09-23 expira: nunca confíe en: - /f
2048g/961630A2 secundario creó: 1999-09-23 expira: nunca
(1) Red Hat, inc. <security@redhat.com>
Muestra de Command>
Es usted realmente seguro que usted quiere firmar esta llave
con su llave: yourkey (llave) <yourkey@yoursystem.domain.com>
¿Realmente muestra? y
Usted necesita un passphrase abrir la llave secreta para
usuario: jamesroot (raíz) <james@root.test.com>
la llave del DSA de 1024 pedacitos, identificación 3B386145, creó 2000-07-01
Command> q
La reserva cambia y

Ahora, usted puede publicar el comando siguiente de comprobar el último archivo del GNU GPG RPM:

RPM - Kilovoltio your_rpm.i386.rpm

Usted recibirá un mensaje que la firma MD5 y la firma del PGP sean aceptables:

RPM - Kilovoltio your_rpm.i386.rpm
your_rpm.i386.rpm:
AUTORIZACIÓN de la suma MD5: fc28444c7c7dee7d59671ac5e27b2ad0
gpg: La firma hizo Wed 30 de agosto de 2000 03:16: 54 P.M. PDT usando llave del DSA
IDDB42A60E
gpg: Buena firma de Red Hat, inc. <security@redhat.com>

Si usted no encuentra un mensaje similar a esto, sino que por el contrario encuentra un mensaje que lea la llave pública no encontrada, después usted sabe que esta llave pública es inválida para este RPM.You o tendrá que encontrar la llave pública correcta, o encuentre otra RPM. Usted puede, por supuesto, utilizar GPG para verificar cualquier llave pública que usted desee. Usted ahora ha configurado y GPG usado para ayudar a asegurarse de que el archivo que usted está instalando es seguro.

Instalación del PGP

Aunque GPG se haya convertido en un estándar, usted puede también utilizar el programa del PGP, que se comporta algo diferentemente. Usted puede transferir el PGP del Web site de Instituto de Tecnología de Massachusetts en http://web.mit.edu/network/pgp-form.html.You entonces tendrá que repetir muchos de los pasos anteriores para crear una llave pública y privada, y después importa la llave del sitio. Porque el PGP (y GPG, porque esa materia) permite la encripción de gran alcance, el MIT le hará preguntas referentes a sus intenciones el PGP. Conteste a éstos según sus intenciones. Si usted incorpora las respuestas correctas, usted podrá transferir el PGP. Elija el archivo correcto para su distribución.

1. El MIT utiliza el gzip para comprimir los archivos de la RPM. Si usted está utilizando Red Hat Linux, el paquete de la RPM trabaja mejor. Utilice el alquitrán para desabrochar y el O.N.U-alquitrán el paquete de la RPM: alquitrán - zxvf pgprpmfile.tar.gz.

2. Este proceso depositará un archivo de la RPM. Funcione la RPM para instalarla: RPM - ivh pgprpmfile.

3. Una vez que usted ha instalado el PGP, publique el comando siguiente de crear un par dominante: PGP - kilogramo.

4. Elija la opción de DSS/DH, que es el defecto.

5. Elija 1 para generar una nueva llave de firma.

6. Le pedirán elegir el tamaño de su llave. Introduzca 1024, y después presione ENTRAN.

7. Incorpore una identificación del usuario para su llave pública. Incorpore su nombre y email address. Éste se convertirá en su username del PGP. Esto es importante, pues usted verá más adelante cuando viene hora de corregir el archivo de configuración de la RPM.

8. Introduzca 0 para guardar la llave por siempre. No se preocupe, usted puede revocarla y generar un nuevo par dominante más adelante.

9. Entre en un passphrase. Cerciórese de que éste sea un passphrase sólido (sobre ocho caracteres, conteniendo por lo menos una mayúscula y un carácter no estándar), pero también uno que usted puede recordar. Confirme su contraseña incorporándola otra vez.

10. Le preguntarán si usted necesita una llave de encripción. Presione y, y después presione ENTRAN.

11. La opción del tamaño dominante incumbe a usted. Apenas recuerde que cuanto más grande es el tamaño dominante, más lentamente la información será procesada. La mayoría de la gente elige 1024 o 2048.

12. Introduzca 0 como el período de la validez. Como antes, este valor significa que la llave es válida por siempre.

13. El PGP pedirá que usted pulse teclas al azar en el teclado de modo que pueda generar bastante entropía.

14. Cuando se acaba el PGP, le preguntará si usted quiere hacer esta llave la llave de firma del defecto. Presione y para indicar .

15. Ahora, usted necesita incorporar la llave pública del GNU GPG RPM.You hace esto con el comando siguiente: PGP --ka gnugpg.publickey.

16. Usted verá una lista de llaves. Indique que usted desea agregar estas llaves a su anillo dominante presionando el Y.

17. Usted verá que se han agregado varias nuevas llaves y firmas.

18. Ahora, usted debe corregir las macros archiva para su versión de la RPM. En Red Hat 7.0, este archivo está en //usr/lib/rpm/macros. Encuentre los valores siguientes y cambie los valores según su propia información:

%_pgp_name su nombre de usuario del PGP %_pgp_path la trayectoria a su llave pública. Por ejemplo, /root/.pgp/

En vez de tomar esta segunda medida, usted puede fijar el PGPPATH variable en su archivo bash_profile.

19. Usted puede ahora utilizar la RPM para verificar su RPM:

RPM - Kilovoltio your_rpm.i386.rpm
your_rpm.i386.rpm:
AUTORIZACIÓN de la suma MD5: fc28444c7c7dee7d59671ac5e27b2ad0
gpg: La firma hizo Wed 30 de agosto de 2000 03:16: 54 P.M. PDT usando el DSA
llave IDDB42A60
gpg: Buena firma de Red Hat, inc. <security@redhat.com>

Si usted quiere aprender más sobre el PGP, lea las páginas de hombre, o publique los comandos siguientes:

PGP - PGP de h - k

Hasta el momento, usted ha aprendido cómo utilizar GPG con el paquete de la RPM. Por supuesto, GPG tiene muchas otras aplicaciones. Una vez que usted ha enganchado a una relación de la confianza con el recipiente, usted puede cifrar archivos a esta persona. El comando siguiente puede cifrar un archivo nombrado managerreport.txt: gpg --cifre --r managerreport.txt public_keyname_of_recipient. Usted tendrá que incorporar la contraseña de su llave privada. Esperanzadamente, usted puede recordarla; si no, usted tendrá que generar un nuevo par dominante público privado. Después de que usted entre en su passphrase, GPG creará un archivo nombrado managerreport.txt .gpg.

Usted puede entonces enviar esta llave al recipiente previsto, que puede entonces descifrarla con el comando siguiente: gpg --managerreport .txt del decrypt .gpg > managerreport.txt.

El recipiente, por supuesto, tendrá que entrar en su passphrase para descifrar el mensaje y leerlo.

Para crear un archivo de firma, usted puede crear un archivo vacío nombrado yourname, y después incorpora el comando siguiente: gpg del host# --yourname del clearsign.

Le entonces pedirán incorporar su contraseña. Después de que se termine esta secuencia, usted verá un nuevo archivo nombrado yourname.asc, que tiene su firma en él.

un artículo sometió por Greg Pregovia


Negación: Nuestro Web site no es responsable de la información contenida por este artículo. Este artículo refleja de ninguna manera las vistas, las opiniones, los pensamientos o la creencia del personal del directorio de los artículos.
Aviso de la traducción: El artículo protector de la aislamiento del GNU que desplegaba fue traducido usando un servicio de traducción automatizada. Nos disculpamos sinceramente por cualquier error de la traducción que pudo haber ocurrido. Gracias por su comprensión.


Online: 518 users browsing the articles directory