GnuPG je zkratka pro GNU Privacy Guard.
GnuPG je otevřená implementace standardu OpenPGP (Pretty Good Privacy) definovaného v RFC 4880. V tomto článku se budeme zabývat instalací a základy generování klíčů pomocí gnupg.
Tento článek je součástí našeho probíhající série o kryptografii. Pokud jste v kryptografii nováčkem, podívejte se na náš dřívější článek Úvod do kryptografie.
Na systémech založených na Debianu použijte k instalaci nástroje GnuPg následující příkaz.
# apt-get install gnupg
Prvním krokem k použití GnuPg je vytvoření páru veřejného a soukromého klíče. K vytvoření klíčů se používá následující příkaz.
$ gpg --gen-key
Výše uvedený příkaz bude fungovat v interaktivním režimu. Následující text vysvětluje různé vstupy, které je třeba zadat výše uvedenému příkazu gpg.
1. Vyberte algoritmus, který se má použít pro generování klíče
gpg: directory `/home/lakshmanan/.gnupg' created gpg: new configuration file `/home/lakshmanan/.gnupg/gpg.conf' created gpg: WARNING: options in `/home/lakshmanan/.gnupg/gpg.conf' are not yet active during this run gpg: keyring `/home/lakshmanan/.gnupg/secring.gpg' created gpg: keyring `/home/lakshmanan/.gnupg/pubring.gpg' created Please select what kind of key you want: (1) RSA and RSA (default) (2) DSA and Elgamal (3) DSA (sign only) (4) RSA (sign only) Your selection?
Každý algoritmus má své výhody a nevýhody. Vyberte ten, který se vám líbí, nebo použijte výchozí algoritmus RSA. Stiskněte 1 nebo Enter .
2. Vyberte velikost klíče
Jakmile je algoritmus vybrán, zeptá se na velikost klíče.
RSA keys may be between 1024 and 4096 bits long. What keysize do you want? (2048)
Obecně platí, že čím větší je velikost klíče, tím je bezpečnější. Prakticky by mělo stačit 2048. Zadejte velikost klíče nebo stiskněte Enter přijmout výchozí nastavení.
3. Platnost klíče
Další vstup, který musíme zadat, je, jak dlouho je klíč platný.
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
= key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Key is valid for? (0) Zadejte 0 pokud nechcete, aby platnost klíče vypršela.
Znovu požádá o potvrzení. Stiskněte Y
Key does not expire at all Is this correct? (y/N) y
4. Vytvořit ID uživatele a heslo
Každý klíč bude mapován s uživatelským jménem a heslem. Nyní požaduje vaše jméno, e-mail a heslo
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) "
Real name: lakshmanan
Email address: [email protected]
Comment: My test GPG keys
You selected this USER-ID:
"lakshmanan (My test GPG keys) "
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
Enter Passphrase 5. Klávesy konečného výstupu
Aby systém vygeneroval jedinečný klíč, potřebuje více náhodných bajtů. Proveďte tedy nějaké operace, které přistupují k disku, síti atd..., aby systém získal dostatek náhodných bajtů.
We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during the prime generation; this gives the random number generator a better chance to gain enough entropy. Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy! (Need 39 more bytes) +++++ +++++
Jakmile bude k dispozici dostatek náhodných bajtů, vygenerují se klíče.
gpg: /home/lakshmanan/.gnupg/trustdb.gpg: trustdb created
gpg: key A7344E7D marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
pub 2048R/A7344E7D 2012-10-12
Key fingerprint = 3AE0 7948 C880 E5F7 F0A1 E16A 6EBB 3931 A734 4E7D
uid lakshmanan (My test GPG keys)
sub 2048R/96F8EF9B 2012-10-12 Nyní jsme vygenerovali páry klíčů pro použití s GnuPg. Výše uvedený výstup poskytuje některé důležité informace, např.
ID klíče A7344E7D
Toto ID klíče budeme používat k provádění různých operací, jak uvidíme později.
6. Seznam párů klíčů
Klíče, které byly vygenerovány, můžete uvést pomocí možnosti –list-keys a –list-secret-keys
$ gpg --list-keys /home/lakshmanan/.gnupg/pubring.gpg ----------------------------------- pub 2048R/A7344E7D 2012-10-12 uid lakshmanan (My test GPG keys) sub 2048R/96F8EF9B 2012-10-12 $ gpg --list-secret-keys /home/lakshmanan/.gnupg/secring.gpg ----------------------------------- sec 2048R/A7344E7D 2012-10-12 uid lakshmanan (My test GPG keys) ssb 2048R/96F8EF9B 2012-10-12
7. Exportujte své veřejné klíče
Nyní jsme vygenerovali pár klíčů. Dalším krokem je zveřejnění vašeho veřejného klíče na internetu ( Key Servers ), aby jiná osoba mohla použít tento veřejný klíč k odeslání zprávy vám.
$ gpg --armor --export --output lakshmanan_pubkey.gpg lakshmanan
Nyní bude mít soubor ‚lakshmanan_pubkey.gpg‘ můj veřejný klíč. Jako argument pro tento příkaz můžete také použít své ID klíče nebo poštovní adresu.
$ gpg --armor --export --output lakshmanan_pubkey.gpg A7344E7D or $ gpg --armor --export --output lakshmanan_pubkey.gpg [email protected]
Nyní můžete soubor odeslat lidem, se kterými konverzujete.
8. Odeslat klíče na server klíčů
Export vašeho veřejného klíče a jeho odeslání jednotlivcům bude těžkopádné, pokud budete konverzovat s mnoha lidmi. V takovém případě můžete nahrát svůj veřejný klíč na server s názvem „Key-Sever“. Takže lidé, kteří chtějí váš klíč, ho mohou získat ze serveru klíčů.
$ gpg --send-keys --keyserver keyserver.ubuntu.com A7344E7D
Nyní byste měli mít nějaké základní znalosti o GnuPG. V budoucím článku této série vysvětlíme, jak šifrovat, dešifrovat a digitálně podepisovat vaše zprávy pomocí GnuPG.