GNU Privacy Guard - instrukcja Instrukcja GnuPG jest ona przeznaczona dla użytkowników Windows którzy pierwszy raz mają z tym programem styczność. Z tego opisu dowiesz się jak zainstalować skonfigurować i jak używać GnuPG PGP (czyli skrót od angielskiego Pretty Good Privacy) był pierwszym programem szyfrującym dla mas z rewolucyjnym systemem kluczy publicznych i prywatnych- inny służy do szyfrowania inny do deszyfrowania. Podstawowym zastosowaniem PGP jest szyfrowanie poczty elektronicznej, przesyłanej przez kanały nie dające gwarancji poufności ani integralności poczty. Poufność czyli niemożność podglądania zawartości listów przez osoby trzecie; integralność czyli niemożność wprowadzania przez takie osoby modyfikacji do treści listu. PGP pozwala nie tylko szyfrować listy, aby uniemożliwić ich podglądanie, ale także sygnować (podpisywać) listy zaszyfrowane lub niezaszyfrowane w sposób umożliwiający adresatowi (adresatom) stwierdzenie, czy list pochodzi rzeczywiście od nadawcy, oraz czy jego treść nie była po podpisaniu modyfikowana przez osoby trzecie. Szczególnie istotny z punktu widzenia użytkownika poczty elektronicznej jest fakt, że techniki szyfrowania oparte o metodę klucza publicznego nie wymagają wcześniejszego przekazania klucza (hasła) szyfrowania/deszyfrowania kanałem bezpiecznym (tzn. gwarantującym poufność). Dzięki temu, używając PGP, mogą ze sobą korespondować osoby, dla których poczta elektroniczna (kanał nie poufny) jest jedyną formą kontaktu. OpenGPG / GnuPG to jest otwartym klonem PGP. W przypadku programów kryptograficznych należy używać oprogramowania z otwartym kodem źródłowym. Zasada działania jest prosta - użytkownik generuje parę kluczy: prywatny i publiczny. Publiczny klucz rozdajecie wszystkim na prawo i lewo - służy on do zaszyfrowania wiadomości dla Ciebie - czyli chodzi tu o to, że tylko Ty powinieneś ją odczytać, nie kolega, koleżanka, mąż, żona itd. Prywatnego klucza strzeż jak oka w głowie - tylko on umożliwia odszyfrowanie tego, co będzie zaszyfrowane kluczem publicznym. Oczywiście klucze są powiązane - nie możesz swoim kluczem prywatnym odszyfrować wiadomości zaszyfrowanej cudzym kluczem publicznym. Do prywatnego klucza przypisane jest hasło, którego tez należy strzec jak oka w głowie. Prywatny to prywatny. Ma być zawsze prywatny. Najlepiej trzymać go na pendrivie (poza komputerem ) a kopię np. nagrać na płytę CD. Aby Jan Kowalski mógł szyfrować korespondencję z Janem Nowakiem, musi posiadać klucz publiczny Jana Nowaka. Analogicznie, Jan Nowak aby wysyłać zaszyfrowane wiadomości do Kowalskiego, musi je zaszyfrować kluczem publicznym Kowalskiego. Instalacja GPG Należy ściągnąć i zainstalować pakiet Gpg4win (GNU Privacy Guard for Windows ) http://gpg4win.org/download.html / [ najnowsza to http://ftp.gpg4win.org/gpg4win- 2.1.1.exe dla systemów 32 bitowych najlepiej zainstalować lekką wersję Vanilla http://ftp.gpg4win.org/gpg4win-vanilla-2.1.1.exe. Posiadającą sam moduł GPG. Dla systemów 64 bitowych można zainstalować wersję rozszerzoną ( o domyślne nakładki
Instalacja programu jest typowa. Dla osób które to robią pierwszy raz lub nie mają dużego doświadczenia opis krok po kroku. W tym miejscu jest wybór dodatkowych składników. Można odznaczyć: - Kleopatrę graficzna nakładka na program - GnuPG ( zainstalujemy inną wygodniejszą ) - GPA - Gogol dodatek do MS Outlooka - GpgEX
Należy wybrać katalog docelowy w którym będzie zainstalowany program. Domyślnie jest to ścieżka C:\Program Files\GNU\GnuPG Można oczywiście wybrać dowolną lokalizację dla programu GPG
Instalacja GPGShell Teraz kolej na instalację graficznej nakładki ułatwiającej obsługę programu. Pełna instalacja zawiera domyślne nakładki Kleopatrę i GNU Privacy Assistant (GPA) działające w systemach 64 bitowych. Jeśli masz system 32 bitowy polecam GpgShell. Instalacja jest także typowa. Sprowadza się do klikania Next i wskazania katalogu w którym zainstalowaliśmy wcześniej program GnuPG i wybraniu opcjonalnie polskiego języka.
Po zainstalowaniu programów i ponownym uruchomieniu komputera, uruchom GPGTray [ ikona z zieloną kłódką] Ikona programu pojawi się w zasobniku systemowym ( prawy dolny róg ekranu). Kliknij prawym przyciskiem myszy na zieloną kłódkę i kliknij w Uruchom i wybierz GPGkeys. Po uruchomieniu programu (powinien uruchomić się po zakończeniu instalacji) ustaw zmienne środowiskowe.
Kliknij Tak, następnie program poinformuje że nie odnalazł ścieżki do programu gpg.exe W oknie Zmienna Środowiskowa PATH: po poprawnej konfiguracji widoczna będzie ścieżka C:\Program Files\GNU\GnuPG Kliknij Zastosuj jeśli program automatycznie nie doda ścieżki konieczne będzie ręczne ustawienie zmiennej środowiskowej.
W starszych wersjach systemu Windows (np. Windows XP) Kliknij na ikonę Mój komputer prawym klawiszem myszy oraz wybierz opcję Właściwości. Następnie przejdź do zakładki Zaawansowane i wybierz przycisk Zmienne środowiskowe (1) znajdujący się na dole okna. Kliknij na Path (2) i Edytuj (3) Wpisz ścieżkę do programu np. ;C:\Program Files\GNU\GnuPG. wpis zacznij od znaku ; (średnik). Jeśli wybrałeś inną lokalizację dla programu GnuPG to w zmiennej systemowej Path należy to uwzględnić. I wpisać poprawną ścieżkę. W nowsze wersjach systemu Windows (np. Windows 7) kliknij na ikonę Mój komputer prawym przyciskiem myszy wybierz opcję Właściwości następnie lewej części otwartego okna wybierz Zaawansowane ustawienia systemu (1)
. i wybierz Zmienne środowiskowe (2) Kliknij na Path (3) i potem kliknij na Edytuj (4)
wpisz ścieżkę do programu np.(5) ;C:\Program Files\GNU\GnuPG. wpis zacznij od znaku ; (średnik) Jeśli wybrałeś inną lokalizację dla programu GnuPG to w zmiennej systemowej Path należy to uwzględnić. I wpisać poprawną ścieżkę.
Po poprawnym ustawieniu zmiennych środowiskowych uruchom GPGkeys. Następnie wejdź w preferencje i GnuPG
W drugiej zakładce zaznacz domyślne ustawienia: algorytm szyfrujący AES256 algorytm hashujący SHA256 i potwierdź klawiszem OK Generowanie kluczy W programie GPGkeys Kliknij na Klucze potem Nowy Zaznacz opcję Zaawansowane następnie wybierz typ klucza RSA. Masz do wyboru rozmiar klucza od 1024-4096 bitów. Im dłuższy klucz tym bezpieczniejszy szyfrogram. Należy wygenerować klucz o długości minimum 2048 bitów. Używając nowoczesnych komputerów możesz spokojnie wygenerować najbezpieczniejszy 4096 bitowy.
W polu Nazwa wpisz swoje imię lub pseudonim, w polu E-mail podaj swój email. Następnie kliknij na Generuj. W zależności od szybkości komputera generowanie pary kluczy może potrwać do kilku minut (przykładowo w komputerze z procesorem Intel Core2Duo generowanie kluczy 4096 bitowych trwało ok. 20 sekund ) Program informuje że wygenerował komplet kluczy, klucz prywatny nie jest zabezpieczony hasłem.! WAŻNE Klucz prywatny powinien być chroniony hasłem W tym miejscu program pyta czy zabezpieczyć klucz hasłem. Wybierz Tak.
Otworzy się okno do wpisania hasła. Hasło należy wpisać dwa razy Na liście widzisz nowo utworzony komplet kluczy Kowalskiego. Niebieski kolor i piktogram z dwoma kluczami wskazuje na to że dostępne są dwa klucze prywatny i publiczny. Klucz publiczny zaznaczony jest czarną czcionką.
Eksportowanie i importowanie klucza Aby prowadzić zaszyfrowaną korespondencję należy wymienić się z odbiorcą lub odbiorcami swoimi kluczami publicznymi. Klucz może być przesłany przez niezabezpieczone łącze ( email, komunikator, a nawet opublikowany na stronie internetowej) Aby przesłać komuś klucz publiczny, lub aby umieścić go na stronie gdzie będzie dostępny dla każdego należy go wyeksportować. Aby zapisać czyjś klucz i móc go używać należy go zaimportować do programu. Eksportowanie klucza W tym celu otwórz program PGPKeys, zaznacz klucz który chcesz wyeksportować kliknij prawym przyciskiem myszy na klucz i z otwartego menu wybierz Eksportuj Wyświetli się okno dialogowe z wyborem miejsca do zapisania klucza. Plik z kluczem publicznym ma przed rozszerzeniem oznaczenie pub Program zaoferuje eksportowanie klucza publicznego, warto to zrobić jako kopię zapasową.
Plik z kluczem publicznym ma przed rozszerzeniem oznaczenie sec Klucz w formie tekstowej ( zakodowany w base64 ) ma taką postać W takiej formie może być skopiowany i przesłany mailem, przez komunikator. Lub umieszczony na stronie internetowej w formie tekstowej albo jako plik z rozszerzeniem asc np. klucz publiczny.asc
Klucz publiczny ma takie znaczniki: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG (wersja klienta gpg) klucz -----END PGP PUBLIC KEY BLOCK----- Natomiast klucz prywatny ma takie znaczniki : -----BEGIN PGP PRIVATE KEY BLOCK----- Version: GnuPG (wersja klienta gpg) klucz -----END PGP PRIVATE KEY BLOCK----- W przypadku przesyłania kluczy w formie tekstowej należy zawsze pamiętać o zaznaczeniu znaczników. Brak znaczników uniemożliwi poprawne importowanie kluczy Druga możliwość eksportowania klucza, to użycie programu GPGTray. W tym celu należy kliknąć prawym przyciskiem myszy na ikonę programu i wybierz opcję Klucz(e) i Eksport do Schowka Dzięki temu taki klucz można wkleić w okno wiadomości np email Przesłać przez komunikator Po pomyślnym wyeksportowaniu klucza do schowka systemowego pojawi się potwierdzający. komunikat
Importowanie klucza W przypadku importowania klucza należy przeciągnąć plik z kluczem na okno programu GPGKey. Można też skopiować klucz do schowka systemowego następnie użyć menu kontekstowego programu GPGTray Klucz(e) Import ze Schowka Klucz zostanie wczytany do zbioru i pojawi się na liście dostępnych kluczy w programie PGPkeys.
Szyfrowanie Zaprezentuję tu metodę szyfrowania przez schowek systemowy, czyli najłatwiejsza gdy użytkownik korzysta z poczty przez web mail oraz komunikator itd. Przygotuję przykładową wiadomość która będzie od Kowalskiego dla Nowaka. Zostanie ona zaszyfrowana kluczem publicznym Nowaka i podpisana kluczem prywatnym Kowalskiego. W notatniku lub dowolnym innym edytorze tekstu zaznacz tekst który chcesz zaszyfrować i/lub podpisać. Kliknij prawym przyciskiem myszy na Zieloną Kłódkę PGPTry w zasobniku systemowym. Wybierz opcję Schowek Zaszyfruj i Podpisz Wiadomość jest przeznaczona dla Nowaka, Nowak po otrzymaniu jej musi mieć pewność że wysłał ją Kowalski oraz że wiadomość po wysłaniu nie została przez nikogo zmodyfikowana. Kowalski zaszyfruje wiadomość kluczem publicznym Nowaka i podpisze swoim kluczem prywatnym (Kowalskiego). Po wybraniu Schowek Zaszyfruj i Podpisz otworzy się nowe okno z listą dostępnych kluczy. W górnym oknie są klucze publiczne służące do szyfrowania. W dolnym są klucze prywatne służące do podpisywania.
Kliknij na oba klucze. Klucz publiczny Nowaka ( w górnym oknie ) i klucz prywatny Kowalskiego ( w dolnym oknie ) muszą być zaznaczone/podświetlone. Kliknij OK. W celu podpisania wiadomości kluczem Kowalskiego program poprosi o hasło zabezpieczające klucz prywatny Kowalskiego
Samo podpisywanie wiadomości przebiega analogicznie z tą różnicą że wybierasz tylko opcję Schowek Podpisz (tekst) i wskazujesz swój klucz prywatny i podajesz hasło do niego przypisane Po tej operacji w schowku systemowym znajduje się zaszyfrowaną i/lub podpisaną wiadomość. Wystarczy ją teraz wkleić do komunikatora lub do nowej wiadomości email w programie pocztowym czy oknie web mail i przesłać odbiorcy. Wiadomości podpisane i/lub zaszyfrowane posiadają specjalne znaczniki umożliwiające rozpoznanie takiej wiadomości. Wiadomość zaszyfrowana ma takie znaczniki -----BEGIN PGP MESSAGE----- Version: GnuPG 2.6 (wersja klienta gpg) Zaszyfrowana wiadomość w formacie base64 -----END PGP MESSAGE----- Natomiast podpisana wiadomość ma takie znaczniki : -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 - użyty algorytm hashujący Tu znajduje się podpisywana wiadomość -----BEGIN PGP SIGNATURE----- Tutaj zaszyfrowana suma kontrolna w formacie base64 -----END PGP SIGNATURE----- Kopiując i wklejając wiadomości należy pamiętać, że znaczniki są niezbędne do poprawnego rozpoznania przez program GnuPG formatu wiadomości i późniejszego rozszyfrowania jak i zweryfikowania wiadomości. Przy dużej ilości danych proces podpisywania może potrwać do kilku minut. Ponieważ musi zostać wykonany skrót całej wiadomości wybranym algorytmem haszującym a następnie zaszyfrowanie otrzymanego haszu.
Przykład zaszyfrowanej wiadomości Przykład podpisanej wiadomości Deszyfrowanie Weryfikowanie Nowak otrzymał wiadomość w takiej postaci jak na wcześniejszych obrazkach. Aby przekształcić ją w czytelną formę i/lub potwierdzić tożsamość nadawcy, skopiuj do schowka systemowego wiadomość.
Z menu PGPTry ( Zielona Kłódka z zasobnika systemowego ) wybierz opcję Schowek Odszyfruj /Zweryfikuj.... Po podaniu hasła do swojego klucza prywatnego Nowak zobaczy taki komunikat. Wiadomość została zaszyfrowana kluczem publicznym Nowaka oraz podpisana przez Kowalskiego. Istotna jest trzecia linijka : gpg: Poprawny podpis złożony przez kowalski <kowalski@xyz.qq> oznacza to że wiadomość nie została zmieniona po drodze i faktycznie pochodzi od kowalskiego. Informacja że klucz nie jest potwierdzony zaufanym podpisem oznacza że nie podpisaliśmy klucza wiedząc na 100% że jego właścicielem jest Kowalski. W drugim oknie znajduje się odszyfrowana wiadomość.
Gdyby zawartość podpisana cyfrowo została zmodyfikowana po drodze, pojawił by się taki oto komunikat: NIEPOPRAWNY podpis złożony przez kowalski. Szyfrowanie symetryczne GPG poza szyfrowaniem kluczami publicznymi umożliwia także szyfrowanie symetryczne czyli do szyfrowania i deszyfrowania używany jest ten sam klucz. Odbiorcy lub odbiorcom wystarczy udostępnić hasło które umożliwi odszyfrowanie wiadomości. Aby zaszyfrować wiadomość kluczem symetrycznym należy postępować tak samo jak przy szyfrowaniu z kluczem publicznym. PGPTry prawy przycisk myszy i opcja Schowek Zaszyfruj
Po zaznaczeniu opcji Symetrycznie i kliknięciu OK pojawi się okno do wpisania hasła na podstawie którego zostanie wygenerowany klucz szyfrujący. Hasło należy wpisać dwukrotnie. Wiadomość zaszyfrowana ma identyczną postać jak zaszyfrowana z użyciem kluczy publicznych. Także posiada znaczniki. Uwaga! Wiadomość zaszyfrowana symetrycznie nie ma cyfrowego podpisu jeśli osoba trzecia przechwyci hasło może dokonać niezauważalnych zmian w zaszyfrowanej wiadomości. Szyfrowanie do wielu odbiorców Program GPG umożliwia szyfrowanie wiadomości przeznaczonej nie tylko dla jednego odbiorcy ale i do kilku naraz. W tym celu należy na liście wyboru klucza szyfrującego zaznaczyć odbiorców wiadomości.
Przy deszyfrowaniu wiadomości pojawi się informacja iloma i czyimi kluczami została zaszyfrowana wiadomość. Unieważnienie klucza Może wystąpić sytuacja w której utracisz klucz prywatny np. w wyniku awarii lub zostanie on przez kogoś skradziony albo też zostanie ujawnione hasło chroniące klucz prywatny. Lub też wystąpi inna sytuacja dla której będzie konieczne wygenerowanie i używanie nowych kluczy. W tym celu należy wygenerować certyfikat unieważniający dany klucz. Do wykonania certyfikatu niezbędne jest posiadanie klucza prywatnego. W celu utworzenia certyfikatu unieważniającego Uruchom GPGkeys Zaznacz klucz do którego chcesz wygenerować certyfikat ( Naciśnij prawy przycisk myszy i wybierz Unieważnij
Zostanie wyświetlone nowe okno Możesz wybrać powód dla którego chcesz unieważnić klucz. Po wybraniu odpowiedniej opcji należy podać hasło chroniące klucz prywatny. Wygenerowany certyfikat ma taką postać -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2.0.17 (Mingwin32) - GPGShell v3.78 Comment: A revocation certificate should follow irkegbecaakfakgg0kschqaacgkqzyuadmml6d/rdqcgrrnm4cjauvrvtz3qwvd m0zgdsp4an1tpixoio5p7g385m/ku/mgwq5sr =pidr -----END PGP PUBLIC KEY BLOCK----- Widoczne są znaczniki klucza publicznego oraz jest pole komentarza z informacją o certyfikacie odwołującym. Taki certyfikat można wysłać mailem lub opublikować na stronie.
Użytkownik chcący odwołać klucz importuje certyfikat do zbioru kluczy tak jak nowy klucz publiczny. Dzięki temu klucz zostanie unieważniony. Na liście dostępnych kluczy w programie GPGkeys odwołany klucz ma literkę R przy piktogramie klucza. We wstępie wspomniałem o tym że należy używać oprogramowania kryptograficznego z otwartym kodem. Czyli takiego do którego jest dostępny kod źródłowy. Umożliwi to sprawdzenie poprawności obiecywanych funkcji. Oraz umożliwia wykrycie tzw. zapadni. Często producenci zamkniętego oprogramowania lub sprzętu do szyfrowania umieszczają w nim tak zwaną zapadnię (ang. trapdoor). Dzięki zapadni łatwo sami mogą łatwo odczytać to co dla kogoś innego jest trudne. Znanych jest wiele przypadków nacisków na firmy produkujące sprzęt lub oprogramowanie by zainstalowały odpowiednie zapadnie dostępne dla agencji wywiadowczych. Producent oprogramowania, który oferuje oprogramowanie kryptograficzne bez dostępu do źródeł programu, tak naprawdę sprzedaje kota w worku. O ile w przypadku procesorów tekstu, gier, CADów i innych programów nie ma to znaczenia to w przypadku szyfrowania ma. Duże międzynarodowe koncerny czy organizacje rządowe mają dostęp do źródeł zamkniętych programów, właśnie z powodu bezpieczeństwa. Przykładowo polskie spec służby oraz firma Procom mają dostęp do kodów źródłowych Windows. Po prostu, duzi są w stanie wymusić ujawnienie kodów źródłowych a maluczcy mają brać jak towar leci i słuchać marketingowców. Ale nie każdą firmę produkującą zamknięte oprogramowanie kryptograficzne należy uznawać za filię jakiejś agencji wywiadu. Wiele firm udostępnia swój kod pod warunkiem podpisania klauzuli o jego nierozpowszechnianiu. Nie mniej jawny kod źródłowy programu jest gwarancją jakości. Bibliografia: http://gpg4win.org libertarianizm.net http://marek.sd.prz.edu.pl/