GnuPG - инструмент для защиты коммуникаций. В этой главе кратко описываются основы работы с GnuPG, включая создание пары ключей, обмен ключами и их проверку, зашифровку и расшифровку документов, заверение документов цифровой подписью. Здесь не описываются в деталях принципы криптографии с открытым ключом, шифрования и цифровых подписей, эти вопросы рассматриваются в главе 2. Здесь, также, не рассматриваются тонкости использования GnuPG, эти вопросы рассматриваются в главах 3 и 4.
GnuPG использует криптографию с открытым ключом. Каждый пользователь имеет пару ключей (keypair), состоящую из секретного (private) и открытого (public) ключей. Секретный ключ является секретом пользователя и не может быть передан другому лицу, ни при каких обстоятельствах. Открытый ключ передается всем людям, с которыми пользователь будет обмениваться сообщениями. GnuPG использует несколько более хитроумную схему, при которой пользователь имеет первичную пару ключей и, возможно, дополнительно несколько подчиненных. Первичная и подчиненные пары объединены, для упрощения их использования, и эта связка, зачастую, может рассматриваться просто, как одна пара ключей.
Для создания первичной пары ключей используется команда
--gen-key
alice% gpg --gen-key gpg (GnuPG) 1.2.0; Copyright (C) 2002 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (5) RSA (sign only) Your selection?GnuPG может создавать несколько разных типов ключей, но первичный ключ должен быть пригоден для создания подписи (signature). Поэтому есть только четыре варианта. Вариант 1 создает две пары ключей. DSA - первичная, используемая только для подписи. ElGamal - подчиненная, используемая для шифрования. Вариант 2 похож, но создает только пару DSA, которая не может использоваться для шифрования. Вариант 5 создаёт пару RSA, которая может использоваться только для подписи. В любом случае, позже можно создать дополнительные пары ключей для подписи и шифрования. Наиболее удачным, пожалуй, является вариант 5.
Также Вы должны выбрать размер ключа. Размер ключа DSA должен быть между 512 и 1024 бит. Ключи ElGamal и RSA могут иметь любой размер. GnuPG не допускает длину ключей менее 768 бит. Если Вы выбрали вариант 1, то размер DSA ключа полагается равным 1024 битам и запрашивается только размер ключа ElGamal.
Your selection? 1
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
What keysize do you want? (1024)
Больший размер ключа дает большую защиту от взлома, но размер по умолчанию
достаточен практически для любых целей. Большая длина ключа замедляет
зашифровку и расшифровку и может отразиться на длине подписей. Размер ключа
нельзя будет впоследствии изменить.Наконец, Вы должны указать срок действия ключа. В случае варианта 1, указанный срок используется для обоих ключей.
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Большинству пользователей подойдет бессрочный ключ. Срок действия следует
выбирать с осторожностью; хотя можно изменить срок действия после создания
ключа, не исключены проблемы с передачей изменений тем пользователям,
у которых уже имеется Ваш открытый ключ.В дополнение к параметрам ключа, Вы должны указать идентификатор пользователя. Идентификатор нужен, чтобы связать созданный ключ с конкретным лицом.
You need a User-ID to identify your key; the software constructs the user id
from Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Alice
Email address: alice@wonderland.uk
Comment: test key
You selected this USER-ID:
"Alice (test key) <alice@wonderland.uk>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?
При генерации ключа создается только один идентификатор пользователя, но
возможно создание дополнительных идентификаторов, если Вы хотите использовать
ключ в нескольких контекстах; например, как инженер на работе и как политический
деятель после нее. Идентификатор пользователя не может быть отредактирован
после создания.GnuPG запросит пароль для защиты первичного и подчиненного секретных ключей, которые Вы будете держать в недоступном для других месте.
You need a Passphrase to protect your private key. Enter passphrase:На длину пароля нет ограничений, и его следует выбирать тщательно. С точки зрения безопасности, пароль для защиты ключа очень важен в GnuPG (и других системах с открытым ключом), т.к. это Ваша единственная защита в случае, если Ваш секретный ключ попадет в чужие руки. Не следует брать слова из БСЭ, чередуйте регистр букв и используйте неалфавитные символы. Хороший пароль критичен для надежности GnuPG.
После этого GnuPG генерирует ключ. В случае если в Вашей системе не очень хороший генератор случайных чисел, процедура генерации ключа может занять довольно много времени. В некоторых случаях помогает шевеление мышкой, в некоторых настройка системы.
После создания пары ключей, Вам следует создать отзывающий сертификат (revokation
certificate) для первичного открытого ключа, используя команду
--gen-revoke.
Если Вы забудете пароль, либо Ваш секретный ключ будет похищен или утерян, этот
сертификат может быть разослан для уведомления о том, что открытый ключ
нельзя больше использовать. Отозванный открытый ключ может использоваться для
проверки сделанных Вами подписей и дальше, но он не может быть использован
для зашифровки сообщений для Вас. При этом, Вы сохраняете возможность расшифровки
посланных Вам сообщений, при наличии секретного ключа.
alice% gpg --output revoke.asc --gen-revoke mykey [...]Аргумент mykey - идентификатор Вашей первичной пары ключей или любая часть идентификатора пользователя Вашей пары ключей. Сгенерированный сертификат будет сохранен в файле revoke.asc. Если опция
--output опущена,
результат помещается в стандартный вывод. Кроме того, GnuPG
запрашивает причину генерации отзывающего сертификата.
alice% gpg --output revoke.asc --gen-revoke alice@wonderland.uk sec 1024R/B115BDB6 2002-05-01 Alice (test key) <alice@wonderland.uk> Create a revocation certificate for this key? y Please select the reason for the revocation: 0 = No reason specified 1 = Key has been compromised 2 = Key is superseded 3 = Key is no longer used Q = Cancel (Probably you want to select 1 here) Your decision? 1 Enter an optional description; end it with an empty line: > Reason for revocation: Key has been compromised (No description given) Is this okay? yВы можете вывести сертификат на принтер и хранить его где-нибудь в надежном месте (банковский сейф подойдет). Если сертификат попадет в чужие руки и будет опубликован, то открытый ключ утратит свое действие.