Protezione di spiegamento di segretezza di GNU

Bookmark and Share this Article Original English article

Anche se molte interfacce del GUI sono nella fase di progettazione per GPG, i seguenti punti mettono a fuoco sul usando GPG con la linea di ordine. I punti suppongono che già avete GPG installato sul vostro sistema. Verifichi questo usando l'ordine di whereis:

gpg di whereis
gpg: /usr/bin/gpg

Se non avete GPG installato, potete caricare programmi oggetto GPG da
www.rpmfind.net, da www.gnupg.org/download.html (gnupg-1.0.4-11.i386.rpm o gnupg-1.0.5.tar.gz equivalente).

Ora che sapere il programma è installato, il vostro primo punto è di fissare come assegna la memoria agli utenti nonroot. GPG richiede che la maggior parte dei sistemi di Linux lo facciano funzionare mentre radice di SUID. Tutta l'applicazione assegna le pagine della memoria dal sistema e GPG vuole questa memoria essere sicura. Altrimenti, un utente illecito potrebbe bloccare questa memoria ed allora accedere alle informazioni che state andando cifrare. Per fissare queste pagine di memoria, GPG chiude questa memoria a chiave prima di usando. Deve funzionare come radice per chiudere la memoria a chiave. Non appena questo è fatto, GPG quindi funziona nell'ambito dei permessi del proprietario.

Per difetto, tuttavia, GPG non è installato poichè radice di SUID. Per rendergli la radice del setuid, faccia quanto segue:

1. Trovi l'applicazione (in Red Hat Linux, GPG è a /usr/bin/gpg).

2. Se non siete già radice, diventa la radice con l'ordine Unione Sovietica.

3. Pubblichi il chmod u+s /usr/bin/gpg di ordine.
Se non potete fare questo sul vostro proprio sistema per qualche motivo, o non desiderate
a, potete fornire la seguente linea nella lima di ~/.gnupg/options di affatto nonroot
utente:

/usr/bin/gpg --GEN-chiave

Questo ordine genererà gli indici e le lime necessari affinchè GPG funzioni. Una volta che generate questi indici, generi un accoppiamento chiave per l'utente che siete entrato As. Fate questo mediante la pubblicazione del gpg --ordine di genkey ancora. GPG allora gli chiederà di selezionare un tipo chiave. Avrete l'opzione di scelta la procedura della firma di Digitahi (DSA) e del ElGamal (il difetto) DSA, o ElGamal (segno e cifrare). Ciascuna di queste opzioni definisce i tipi differenti di firma e di procedure di crittografia. Il primo usa sia il metodo di distribuzione chiave standard di ElGamal che il DSA, che è usato per firmare e cifrare i dati. Il DSA è una procedura nonproprietary, diverso della procedura della RSA, che precedentemente è stata usata. Se desiderate soltanto firmare e cifrare i documenti, potete usare appena il DSA. La maggior parte della gente usa la prima opzione, che è sia al segno che cifra le informazioni. Tradizionalmente, la prima scelta (il difetto) è il meglio. Allora siete dato la scelta del keysize. Il difetto keysize di 1024 bit è realmente abbastanza sufficiente per la maggior parte dei scopi. La selezione del qualche cosa più su può ritardare significativamente la vostra applicazione. Così, selezioni 1 ed allora premi ENTRANO.

Entri in 1y per fare la vostra chiave espirare un anno da oggi ed allora premi ENTRANO.

Premi y per confermare questa scelta.

Introduca il vostro nome nel nome reale: campo.

Dopo, entri nel vostro email address. Nel commento: il campo, digita la firma di GPG, o tutto il testo che desiderate ed allora preme ENTRA.

Allora sarete chiesto di confermare le vostre regolazioni. Se siete soddisfatto di che cosa avete entrato, premi la O (che è la lettera O, non la cifra 0) ed allora premi ENTRANO.

Entri in un passphrase per la vostra chiave riservata. Questo passphrase dovrebbe essere sufficiente lungo (almeno sei parole d'accesso), ma dovrebbe anche essere qualcosa che vi ricordiate. La pressa ENTRA, conferma il passphrase e preme ENTRA ancora. Dopo avere fatto questo, GPG genererà una nuova chiave. Sposti il vostro mouse e/o digiti il testo nella tastiera in modo che la macchina abbia abbastanza entropia per generare una buona chiave riservata. Una volta che GPG è rifinito, riceverete un messaggio che la vostra chiave è generata e firmata.

Ora, verifichi che GPG correttamente abbia generato e firmato le chiavi per il vostro cliente con i seguenti ordini:

gpg --lista-segreto-chiave
gpg --lista-pubblico-chiave
gpg --lista-sig

Questi ordini elencano la vostra chiave segreta, la vostra chiave pubblica e la vostra firma, rispettivamente. Una volta che fate questo, dovreste generare un certificato di annullamento nel caso dobbiate pubblicare il fatto che la vostra chiave riservata non è più valida. Fate questo che segue dalla sequenza descritta qui:

gpg --uscita revoke.asc --GEN-revochi james@root.test.com
jamesroot di sec 1024D/3B386145 2000-07-01 (radice) <james@root.test.com>
Generi un certificato di annullamento per questa chiave? y
Selezioni prego il motivo per l'annullamento:
1 = chiave è stato compromesso
2 = chiave sono sostituiti
3 = chiave più non sono usati
0 = annullamento
(Probabilmente volete selezionare 1 qui)
La vostra decisione? 1
Entri in una descrizione facoltativa; concludala con una linea vuota:
> Per il mio cliente di radice del sistema dei keats

Motivo per l'annullamento: La chiave è stata compromessa
Per il mio cliente di radice del sistema dei keats
È questa approvazione? y
Avete bisogno di un passphrase di sbloccare la chiave segreta per l'utente: jamesroot
(radice) <james@root.test.com> "
la chiave di DSA dei 1024 bit, l'identificazione 3B386145, ha generato 2000-07-01
L'uscita corazzata di ASCII ha forzato.
Il certificato di annullamento ha generato.

Spostilo prego verso un mezzo che potete nascondere via; se Mallory ottiene l'accesso a questo certificato può usarlo per rendere la vostra chiave inutilizzabile. È astuto stampare questo certificato ed immagazzinarlo via, appena nel caso i vostri mezzi diventano illeggibili. Ma abbia certa attenzione: Il sistema di stampa della vostra macchina ha potuto memorizzare i dati e metterlo a disposizione di altri!

Dopo la verifica che avete le chiavi e un certificato di annullamento, ora potete importare ed esportare le chiavi. Per esportare la vostra chiave, usi il seguente ordine:

gpg --esportazione --armatura > yourname.asc

Questo ordine genererà una lima che contiene la vostra chiave pubblica. Potete allora distribuire questa chiave a chiunque e stabilire un rapporto di fiducia.

Con questa possibilità, ora potete usare l'ordine di RPM controllare le firme e le chiavi pubbliche generate da altre. Per esempio, suppongalo desiderare aggiornare la vostra versione di Red Hat Linux dovuto un allarme di sicurezza. Per aiutarlo a verificare che questo pacchetto non sia stato alterato e che allineare sia provenuto da Red Hat, potete ottenere la firma del Red Hat. Vada a www.redhat.com ed ottenga la chiave pubblica per il luogo ed il trasferimento dal sistema centrale verso i satelliti che RPM-basato volete. Chiave pubblica della figura 1.8 Red Hat di esposizioni. A partire da questa scrittura, la chiave è situata a www.redhat.com/about/contact/redhat2.asc.

Ora che avete generato il vostro proprio anello chiave, che è dove immagazzinerete le chiavi pubbliche della gente con quale desiderate comunicare, potete ora importare la chiave pubblica di Red Hat in GPG usando il seguente ordine di GPG:

gpg --importazione redhat2.asc

È possibile che la chiave che pubblica desiderate importare abbia un'estensione differente. Ora, firmi questa chiave. L'omissione di firmare questa chiave la indurrà a restituire i messaggi di errore quando provate ad usarli. Assicuri che non abbiate fatto assolutamente cambiamenti a questa lima chiave. Una volta che questa chiave è importata, dovete firmarli. Ricordi, voi appena la ha caricata programmi oggetto da una fonte di fiducia e sono ragionevolmente sicuro che potete fidarti di questa chiave. Potete firmarli che usando il gpg --firmi l'ordine, o potete usare il modo interattivo del GPG, indicato nella seguente sequenza:

gpg --pubblicare-chiave security@redhat.com
gpg (GnuPG) 1.0.2; Copyright (C) 2000 Free Software Foundation, inc.
Questo programma viene con ASSOLUTAMENTE NESSUNA GARANZIA.
Ciò è software libero e siete benvenuto ridistribuirli
in determinate circostanze. Vedi la lima COPIARE per i particolari.
il pub 1024D/DB42A60E ha generato: 1999-09-23 espira: non si fidi di mai: - /f
2048g/961630A2 secondario ha generato: 1999-09-23 espira: mai
(1) Red Hat, inc <security@redhat.com>
Segno di Command>
Siete realmente sicuro che volete firmare questa chiave
con la vostra chiave: yourkey (chiave) <yourkey@yoursystem.domain.com>
Realmente segno? y
Avete bisogno di un passphrase di sbloccare la chiave segreta per
utente: jamesroot (radice) <james@root.test.com>
la chiave di DSA dei 1024 bit, l'identificazione 3B386145, ha generato 2000-07-01
Command> q
I risparmi cambiano y

Ora, potete pubblicare il seguente ordine controllare l'ultima lima di GNU GPG RPM:

RPM - Chilovolt your_rpm.i386.rpm

Riceverete un messaggio che sia la firma MD5 che la firma del PGP sono accettabili:

RPM - Chilovolt your_rpm.i386.rpm
your_rpm.i386.rpm:
APPROVAZIONE di somma MD5: fc28444c7c7dee7d59671ac5e27b2ad0
gpg: La firma ha fatto Wed 30 agosto 2000 03:16: 54 PM PDT usando chiave di DSA
IDDB42A60E
gpg: Buona firma da Red Hat, inc <security@redhat.com>

Se non trovate un messaggio simile a questo, ma preferibilmente trovate un messaggio che legge la chiave pubblica non trovata, quindi sapere che questa chiave pubblica è non valida per questo RPM.You o dovrà trovare la giusta chiave pubblica, o trovi un altro RPM. Potete, naturalmente, usare GPG per verificare tutta la chiave che pubblica desiderate. Ora avete configurato e GPG usato per contribuire a accertarti che la lima che state installando fosse sicura.

Installazione del PGP

Anche se GPG si è trasformato in in un campione, potete anche usare il programma del PGP, che si comporta piuttosto diversamente. Potete caricare programmi oggetto il PGP dal Web site del Massachusetts Institute of Technology a http://web.mit.edu/network/pgp-form.html.You allora dovrete ripetere molti dei punti più iniziali per generare una chiave pubblica e riservata ed allora importate la chiave del luogo. Poiché il PGP (e GPG, dato che quella materia) permette alla crittografia potente, il MIT gli farà le domande riguardo alle vostre intenzioni il PGP. Risponda a questi secondo le vostre intenzioni. Se entrate nelle giuste risposte, potrete caricare programmi oggetto il PGP. Scelga la lima corretta per la vostra distribuzione.

1. Il MIT usa il gzip per comprimere le lime di RPM. Se stiate usando Red Hat Linux, il pacchetto di RPM funziona il più bene. Usi il catrame per aprire la chiusura lampo di e il ONU-catrame il pacchetto di RPM: catrame - zxvf pgprpmfile.tar.gz.

2. Questo processo depositerà una lima di RPM. Faccia funzionare il RPM per installarlo: RPM - ivh pgprpmfile.

3. Una volta che avete installato il PGP, pubblichi il seguente ordine generare un accoppiamento chiave: PGP - chilogrammo.

4. Scelga l'opzione di DSS/DH, che è il difetto.

5. Scelga 1 per generare una nuova chiave di sign.

6. Sarete chiesto di scegliere il formato della vostra chiave. Entri in 1024 ed allora premi ENTRANO.

7. Fornisca un'identificazione usuario per la vostra chiave pubblica. Entri nel vostri nome ed email address. Ciò si trasformerà in nel vostro username del PGP. Ciò è importante, poichè vederete più successivamente quando viene tempo di pubblicare la lima di configurazione di RPM.

8. Entri in 0 per mantenere per sempre la chiave. Non si preoccupi, potete revocarli e generare un nuovo accoppiamento chiave successivamente.

9. Entri in un passphrase. Assicuri che questo sia un passphrase solido (oltre otto caratteri, contenendo almeno una lettera maiuscola ed un carattere non standard), ma anche uno che potete ricordare. Confermi la vostra parola d'accesso entrandola ancora.

10. Sarete chiesto se avete bisogno di una chiave di crittografia. Premi y ed allora premi ENTRANO.

11. La scelta del formato chiave dipende da voi. Ricordi appena che più grande il formato chiave, più lentamente le informazioni saranno procedate. La maggior parte della gente sceglie 1024 o 2048.

12. Imposti 0 come il periodo di validità. Come prima, questo valore significa che la chiave è per sempre valida.

13. Il PGP gli chiederà di premere i tasti casuali sulla tastiera in moda da poterlo generare esso abbastanza entropia.

14. Quando il PGP è rifinito, gli chiederà se volete rendere a questa chiave la chiave di sign di difetto. Premi y per indicare .

15. Ora, dovete fornire la chiave pubblica dello GNU GPG RPM.You fate questo con il seguente ordine: PGP --Ka gnugpg.publickey.

16. Vederete una lista delle chiavi. Indichi che desiderate aggiungere queste chiavi al vostro anello chiave premendo il Y.

17. Vederete che parecchie nuove chiavi e firme si sono aggiunte.

18. Ora, dovete pubblicare le macro archivate per la vostra versione del RPM. In Red Hat 7.0, questa lima è in //usr/lib/rpm/macros. Trovi i seguenti valori e cambi i valori secondo le vostre proprie informazioni:

%_pgp_name il vostro nome di utente del PGP %_pgp_path il percorso alla vostra chiave pubblica. Per esempio, /root/.pgp/

Invece di intraprendere questa seconda azione, potete regolare il PGPPATH variabile nella vostra lima bash_profile.

19. Potete ora usare il RPM per verificare il vostro RPM:

RPM - Chilovolt your_rpm.i386.rpm
your_rpm.i386.rpm:
APPROVAZIONE di somma MD5: fc28444c7c7dee7d59671ac5e27b2ad0
gpg: La firma ha fatto Wed 30 agosto 2000 03:16: 54 PM PDT usando DSA
chiave IDDB42A60
gpg: Buona firma da Red Hat, inc <security@redhat.com>

Se volete imparare più circa il PGP, legga le pagine di uomo, o pubblichi i seguenti ordini:

PGP - PGP di h - K

Finora, avete imparato come usare GPG con il pacchetto di RPM. Naturalmente, GPG ha molti altri usi. Una volta che vi siete agganciato in un rapporto di fiducia con il destinatario, potete cifrare le lime a questa persona. Il seguente ordine può cifrare una lima chiamata managerreport.txt: gpg --cifri --r managerreport.txt public_keyname_of_recipient. Dovrete digitare la parola d'accesso della vostra chiave riservata. Eventualmente, potete ricordarli; altrimenti, dovrete generare un nuovo accoppiamento chiave pubblico riservato. Dopo che entrate nel vostro passphrase, GPG genererà una lima chiamata managerreport.txt .gpg.

Potete allora trasmettere questa chiave al destinatario progettato, che può allora decifrarlo con il seguente ordine: gpg --managerreport .txt di decrypt .gpg > managerreport.txt.

Il destinatario, naturalmente, dovrà entrare nel suo passphrase per decifrare il messaggio e leggerlo.

Per generare una lima di firma, potete generare una lima vuota chiamata yourname ed allora introducete il seguente comando: gpg del host# --yourname del clearsign.

Allora sarete chiesto di digitare la vostra parola d'accesso. Dopo che questa sequenza è completata, vederete una nuova lima chiamata yourname.asc, che ha vostra firma in esso.

un articolo ha presentato da Greg Pregovia


Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.
Avviso di traduzione: L'articolo protezione di spiegamento di segretezza di GNU è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che possono accadere. Grazie per la vostra comprensione.

  Online: 1073 users browsing the articles directory © 2005-2010 E-articles.info All Rights Reserved.  
The articles and tutorials in the directory are property of their respective owners and authors.