GPG

From ICO wiki
Jump to navigationJump to search

Sissejuhatus

GPG (GNU Privacy Guard) on vabavaraline tööriist, mis baseerub OpenPGP standardil. See võimaldab failide ja e-posti krüpteerimist ning digiallkirjastamist. Krüpteerimine tagab teabe konfidentsiaalsuse ja digiallkirjastamine andmete tervikluse. GNU Privacy Guard on eelkõige käsurealt kasutamiseks mõeldud, kuid leidub ka erinevat graafilise kasutajaliidesega tarkvara, mis GnuPG kasutamist võimaldab. Teatud rakendustele (näiteks Evolution, Mozilla Thunderbird, Kmail ja Psi) on see funktsioon juba sisse integreeritud.

GnuPG abil saame krüpteerida sõnumeid, kasutades selleks asümmeetrilist ehk avalikku võtit, mis kasutaja poolt genereeritakse. Dešifreerimine toimub salajase võtme abil. Koos moodustavad avalik ning salajane võti võtmepaari. Avalikku võtit saab vahetada teiste kasutajatega näiteks läbi võtmeserverite või failina saates. GPG toetab ka mitmesuguseid sümmeetrilisi krüptoalgoritme, vaikimis kasutatakse CAST5 salajase võtmega krüptoalgoritmi. Tegu on vabavaralise programmiga ja GPGs on kasutusel ainult patenteerimata krüptoalgoritmid.

Võtmepaari iseloomustab sõrmejälg, mis on nii avalikul kui salajasel võtmel sama.
Sõrmejälg on lühike bitijada kirjeldamaks pikemat võtit. See luuakse krüptograafilist räsifunktsiooni kasutades.

$ gpg --list-keys
pub   ed25519 2020-02-12 [SC]
      58AA6DD2C39E2CC6CB047B91409532D1CC948816
uid           [ultimate] Eesnimi Perenimi <eesnimi@perenimi.ee>
sub   cv25519 2020-02-12 [E]

Siin on 58AA6DD2C39E2CC6CB047B91409532D1CC948816 selle võtmepaari sõrmejälg.

Kenama pildi saab:

$ gpg --list-keys --keyid-format LONG --fingerprint
pub   ed25519/409532D1CC948816 2020-02-12 [SC]
      Key fingerprint = 58AA 6DD2 C39E 2CC6 CB04  7B91 4095 32D1 CC94 8816
uid                 [ultimate] Eesnimi Perenimi <eesnimi@perenimi.ee>
sub   cv25519/6765DBFA115A5CCD 2020-02-12 [E]

GPG paigaldamine

Kuna suurem osa Linuxi distributsioonide paigaldusmeedia sisaldab GNU Privacy Guardi, siis pole seda tarvis eraldi paigaldada. Vajadusel saab GPG endale hankida http://gnupg.org/download/index.en.html veebilehelt.

Paigaldamine Ubuntu jt Debiani-põhistes Linuxites:

sudo apt update && sudo apt install gnupg2 xloadimage && sudo apt clean

GPG kasutamine

GnuPG versiooni ja krüptoalgoritme toe vaatamine:

gpg --version

gpg (GnuPG) 2.2.4
libgcrypt 1.8.1
Copyright (C) 2017 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /home/kasutaja/.gnupg
Toetatud algoritmid:
Avalik võti: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Šiffer: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Räsi: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Pakkimine: Pakkimata, ZIP, ZLIB, BZIP2

Võtmepaari loomine

Võtmepaari loomiseks tuleb terminali sisestada:

gpg --full-gen-key --expert

Selle peale küsitakse meilt, millist võtit me luua soovime.
Väga soovitav on luua elliptilise krüpto toega (ECC Elliptic Curve Cryptography) võtmepaar:

Palun valige, millist võtmetüüpi te soovite:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (ainult allkirjastamiseks)
   (4) RSA (ainult allkirjastamiseks)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (13) Existing key
Teie valik? 9

Järgmisena küsitakse meilt, millist elliptilist krüptot me kasutada soovime:

Please select which elliptic curve you want:
   (1) Curve 25519
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
Teie valik? 1

Nüüd tuleb määrata oma võtme kehtivusaeg. Vaikimisi on see 0 ehk lõpmatult, kuid siin tasub meeles pidada, et kui võtit enam ei kasutata, siis tuleb see ka tühistada.

Palun määrake, kui kaua on võti kehtiv.
         0 = võti ei aegu
      <n>  = võti aegub n päevaga
      <n>w = võti aegub n nädalaga
      <n>m = võti aegub n kuuga
      <n>y = võti aegub n aastaga
Võti on kehtiv kuni? (0)  <Enter>

Kinnitame oma valikut:

Key does not expire at all
Is this correct? (y/N) y

Järgmisena sammuna tuleb sisestada vajalikud andmed.
Näidisandmed asendada tegelikega.

GnuPG needs to construct a user ID to identify your key.

Pärisnimi: Eesnimi Perenimi
E-posti aadress: eesnimi@perenimi.ee
Kommentaar: 
Te valisite selle KASUTAJA-ID:
    "Eesnimi Perenimi <eesnimi@perenimi.ee>"

Muuda (N)ime, (K)ommentaari, (E)posti või (O)k/(V)älju? O

[SALASÕNA KÜSIMINE VÕTMEPAARILE]

Me peame genereerima palju juhuslikke baite. Praegu oleks hea teostada
arvutil mingeid teisi tegevusi (kirjutada klaviatuuril, liigutada hiirt,
kasutada kettaid jne), see annaks juhuarvude generaatorile võimaluse
koguda paremat entroopiat.

gpg: key 409532D1CC948816 marked as ultimately trusted
gpg: revocation certificate stored as '/home/student/.gnupg/openpgp-revocs.d/58AA6DD2C39E2CC6CB047B91409532D1CC948816.rev'
avalik ja salajane võti on loodud ja allkirjastatud.

pub   ed25519 2020-02-12 [SC]
      58AA6DD2C39E2CC6CB047B91409532D1CC948816
uid                      Eesnimi Perenimi <eesnimi@perenimi.ee>
sub   cv25519 2020-02-12 [E]

Oma avalikku võtit saate vaadata käsuga:

gpg --list-key

/home/test/.gnupg/pubring.kbx
------------------------------
pub   ed25519 2020-02-12 [SC]
      58AA6DD2C39E2CC6CB047B91409532D1CC948816
uid           [ultimate] Eesnimi Perenimi <eesnimi@perenimi.ee>
sub   cv25519 2020-02-12 [E]

Avalik võti on CC948816

Salajast võtit saab vaadata:

gpg --list-secret-keys


Soovituslik oleks luua ka “revocation key”, millega saab avalikku võtit tühistada juhul, kui keegi on sinu salajase võtme teada saanud. Sisesta terminali:

gpg --output <failinimi.midagi> --gen-revoke <avalikvõti>
Näide: gpg --output siinonminurevocationkey.asc --gen-revoke D29Af589

Avalikku võtit saab võtmeserverisse üles laadida järgmise käsuga:

gpg –-send-keys <avalikvõti> --keyserver <keyserver.ubuntu.com>


Avalikku võtit on võimalik teisele osapoolele ka eraldi failina edastada, näiteks e-posti teel või mõne muu meediumi kaudu. Kuid esmalt tuleb avalik võti ASCII armored formaati eksportida. Selleks tuleb terminalis sisestada järgmine käsk:

gpg --armor --export <sinu_e-post@random.com> > <voti.asc>

Kellegi teise avaliku võtme importimine failist:

gpg --import <failinimi.midagi>

See tagab selle, et teise osapoolega on info vahetamine võimalik. Pärast importimist lisandub teise isiku avalik võti sinu pubring.gpg faili. Veendu, et importimine oli edukas. Selleks sisesta varem kasutatud käsk "gpg --list-key".

Avaliku võtme importimine võtmeserverist:

gpg --search-keys <e-post@random.com> --keyserver <keyserver.ubuntu.com>

GPG võtmepaari kustutamine:

gpg --delete-secret-and-public-key <avalikvõti>

Andmete krüpteerimine

Avatekst + vastuvõtja avalik võti ---> krüptogramm
Faili krüpteerimiseks sisesta järgmine käsk:

gpg --output <väljundfail.midagi> --encrypt -r <saaja_e-post@random.com> <avateksti.midagi>
Näide: gpg --output eritisalajane.txt --encrypt -r keegi@midagi.com saladus.txt

Selle käsuga krüpteerisime me faili nimega saladus.txt, kasutades selleks isiku(kes kasutab e-posti aadressit keegi@midagi.com) avalikku võtit ja saime krüptogrammi nimega eritisalajane.txt. Kui nüüd tekkinud krüptogrammi less käsuga vaatame, siis näeme, et faili sisu pole loetav. Avateksti (saladus.txt) võib nüüd kustutada ning alles jääb ainult krüpteeritud fail (eritisalajane.txt).


Andmete dešifreerimine

Krüptogramm + vastuvõtja salajane võti ---> avatekst
Krüptogrammi(mis on krüpteeritud sinu avaliku võtmega) dešifreerimiseks sisesta järgmine käsk:

gpg --decrypt <krüptogramm.midagi> --output <väljundfail.midagi>
N: gpg --decrypt eritisalajane.txt –output tavaline.txt

Siinkohal tasuks mainida, et saatja ning vastuvõtja ei ole alati erinevad inimesed. GPG abil võime krüpteerida ka oma enda andmeid. Sellisel juhul luuakse krüptogramm ning avateksti võime kustutada. Seda saab lihtsalt teha sümmeetrilist krüptoalgoritmi kasutades:

gpg -s <avatekst.midagi>

Dešifreerimine toimub eelnevalt mainitud käsuga:

gpg -d <krüptogramm.midagi> -o <väljundfail.midagi>


Andmete signeerimine

Andmete signeerimiseks on mitu võimalust:

Krüpteeritud ASCII Armored fail. Tegemist on krüptogrammiga ning see pole ilma dešifreerimata loetav.

gpg --armor --sign <failinimi.midagi>

Allkirjastatakse fail, kuid sisu krüpteerimist ei toimu ning fail jääb loetavaks.

gpg --clearsign <failinimi.midagi>

Faili autentsust on võimalik kontrollida järgmise käsuga:

gpg --verify <failinimi.midagi>

Väljund:

gpg: Signature made Thu 29 Nov 2012 11:06:03 AM EET using RSA key ID D29AF589
gpg: Good signature from "Heli Kopter <hkopter@midagi.com>"

gpg --verify kontrollib ainult faili allkirja, kuid avateksti see näha ei võimalda(juhul kui fail on krüpteeritud). Selleks tuleb fail dešifreerida ning selle käigus kontrollitakse ka faili allkirja (käsku vaata eespoolt).

Käskude kohta leiab rohkem infot: http://manpages.ubuntu.com/manpages/lucid/man1/gpg.1.html

Kasutatud kirjandus

http://www.glump.net/howto/gpg_intro
http://www.randombugs.com/linux/gpg-ubuntu-debian.html
http://manpages.ubuntu.com/manpages/lucid/man1/gpg.1.html
http://www.gnupg.org/features.en.html
https://help.ubuntu.com/community/GnuPrivacyGuardHowto
http://www.spywarewarrior.com/uiuc/gpg/gpg-com-4.htm
https://manpages.ubuntu.com/manpages/bionic/man1/gpg2.1.html
https://www.gnupg.org/documentation/manuals/gnupg/GPG-Examples.html

Autor: Kaarel Kuurmann A21
Täiendused: Edmund Laugasson (12.02.2020)