Bescherm uw privacy met Linux
gpg
opdracht. Gebruik versleuteling van wereldklasse om uw geheimen veilig te houden. We laten u zien hoe u gpg gebruikt om met sleutels te werken, bestanden te versleutelen en ze te ontsleutelen.
GNU Privacy Guard ( GPG ) kunt u bestanden veilig versleutelen zodat alleen de beoogde ontvanger ze kan ontsleutelen. Specifiek voldoet GPG aan de OpenPGP standaard. Het is gemodelleerd naar een programma genaamd Pretty Good Privacy ( PGP ). PGP is in 1991 geschreven door Phil Zimmerman .
GPG vertrouwt op het idee van twee coderingssleutels per persoon. Elke persoon heeft een privaat sleutel en een openbaar sleutel. De openbare sleutel kan iets ontsleutelen dat is versleuteld met de privésleutel.
Om een bestand veilig te verzenden, versleutelt u het met uw privésleutel en de openbare sleutel van de ontvanger. Om het bestand te ontsleutelen, hebben ze hun privésleutel nodig en uw openbare sleutel.
U zult hieruit zien dat openbare sleutels moeten worden gedeeld. U heeft de openbare sleutel van de ontvanger nodig om het bestand te versleutelen, en de ontvanger heeft uw openbare sleutel nodig om het te ontsleutelen. Het is niet gevaarlijk om uw openbare sleutels alleen maar openbaar te maken. In feite zijn er Public Key Servers voor dat doel, zoals we zullen zien. Privésleutels moeten privé worden gehouden. Als uw openbare sleutel zich in het publieke domein bevindt, moet uw privésleutel geheim en veilig worden gehouden.
Er zijn meer stappen nodig bij het opzetten van GPG dan bij het gebruik ervan. Gelukkig hoef je het meestal maar één keer in te stellen.
Generating Your Keys
The
gpg
commando is geïnstalleerd op alle Linux-distributies die zijn gecontroleerd, inclusief Ubuntu, Fedora en Manjaro.
U hoeft GPG niet te gebruiken met e-mail. U kunt bestanden versleutelen en beschikbaar maken om te downloaden, of ze fysiek doorgeven aan de ontvanger. U moet echter een e-mailadres koppelen aan de sleutels die u genereert, dus kies welk e-mailadres u wilt gebruiken.
Hier is de opdracht om uw sleutels te genereren. De
--full-genereren-sleutel
optie genereert uw sleutels in een interactieve sessie binnen uw terminalvenster. U wordt ook om een wachtwoordzin gevraagd. Zorg ervoor dat u onthoudt wat de wachtwoordzin is. Drie of vier eenvoudige woorden samengevoegd met interpunctie is een goede en
robuust model voor wachtwoorden en wachtzinnen
.
gpg --full-genereren-sleutel
U wordt gevraagd om een versleutelingstype uit een menu te kiezen. Typ, tenzij je een goede reden hebt om het niet te doen
1
en druk op Enter.
U moet een bitlengte kiezen voor de coderingssleutels. Druk op Enter om de standaardinstelling te accepteren.
U moet aangeven hoe lang de sleutel moet duren. Als u het systeem test, voert u een korte duur in, zoals
5
for five days. If you are going to keep this key, enter a longer duration like 1y for one year. The key will last 12 months and so will need renewing after one year. Confirm your choice with a
Y
.
U moet uw naam en uw e-mailadres invoeren. U kunt desgewenst een opmerking toevoegen.
U wordt om uw wachtwoordzin gevraagd. U hebt de wachtwoordzin nodig wanneer u met uw sleutels werkt, dus zorg ervoor dat u weet wat het is.
Klik op de
OK
knop als je je wachtwoordzin hebt ingevoerd. Je ziet dit venster terwijl je ermee werkt
gpg
, dus zorg ervoor dat u uw wachtwoordzin onthoudt.
De sleutel wordt gegenereerd en u keert terug naar de opdrachtprompt.
Een herroepingscertificaat genereren
Als uw privésleutel bij anderen bekend wordt, moet u de oude sleutels loskoppelen van uw identiteit, zodat u nieuwe kunt genereren. Hiervoor heeft u een herroepingscertificaat nodig. We zullen dit nu doen en het ergens veilig bewaren.
De
--output
optie moet worden gevolgd door de bestandsnaam van het certificaat dat u wilt aanmaken. De
--gen-intrekken
optie oorzaken
gpg
om een herroepingscertificaat te genereren. U moet het e-mailadres opgeven dat u gebruikte toen de sleutels werden gegenereerd.
gpg --output ~ / revocation.crt --gen-revoke [email protected]
U wordt gevraagd om te bevestigen dat u een certificaat wilt genereren. druk op
Y
en druk op Enter. U wordt gevraagd naar de reden waarom u het certificaat genereert. Omdat we dit van tevoren doen, weten we het niet zeker. druk op
1
als een plausibele gok en druk op Enter.
U kunt desgewenst een beschrijving invoeren. Druk tweemaal op Enter om uw beschrijving te beëindigen.
U wordt gevraagd uw instellingen te bevestigen, druk op
Y
en druk op Enter.
Het certificaat wordt gegenereerd. U zult een bericht zien dat de noodzaak onderstreept om dit certificaat veilig te bewaren.
Het noemt iemand genaamd Mallory. Discussies over cryptografie worden al lang gebruikt Bob en Alice als de twee mensen communiceren. Er zijn andere ondersteunende karakters. Eve is een afluisteraar, Mallory is een kwaadwillende aanvaller. Het enige dat we moeten weten, is dat we het certificaat veilig en beveiligd moeten houden.
Laten we ten minste alle rechten, behalve die van ons, uit het certificaat verwijderen.
chmod 600 ~ / revocation.crt
Laten we eens kijken
ls
om te zien wat de toestemming nu is:
ls -l
That’s perfect. No one apart from the file owner—us—can do anything with the certificate.
De openbare sleutel van iemand anders importeren
Om een bericht te versleutelen dat een andere persoon kan ontsleutelen, hebben we hun openbare sleutel nodig.
Als u hun sleutel in een bestand hebt ontvangen, kunt u deze importeren met het volgende commando. In dit voorbeeld wordt het sleutelbestand 'mary-geek.key' genoemd.
gpg --import mary-geek.key
De sleutel wordt geïmporteerd en u krijgt de naam en het e-mailadres te zien die bij die sleutel horen. Dat moet natuurlijk overeenkomen met de persoon van wie je het hebt ontvangen.
Het is ook mogelijk dat de persoon van wie u een sleutel nodig hebt, zijn of haar sleutel heeft geüpload naar een openbare sleutelserver. Deze servers slaan de openbare sleutels van mensen van over de hele wereld op. De sleutelservers synchroniseren periodiek met elkaar zodat de sleutels universeel beschikbaar zijn.
De openbare sleutelserver MIT is een populaire sleutelserver en wordt regelmatig gesynchroniseerd, dus het zoeken daar zou succesvol moeten zijn. Als iemand pas onlangs een sleutel heeft geüpload, kan het enkele dagen duren voordat deze wordt weergegeven.
De
--keyserver
optie moet worden gevolgd door de naam van de sleutelserver die u wilt doorzoeken. De
--zoeksleutels
optie moet worden gevolgd door de naam van de persoon die u zoekt of zijn e-mailadres. We gebruiken het e-mailadres:
gpg --keyserver pgp.mit.edu --zoeksleutels [email protected]
De overeenkomsten worden voor u opgesomd en genummerd. Om er een te importeren, typt u het nummer en drukt u op Enter. In dit geval is er één overeenkomst, dus typen we
1
en druk op Enter.
De sleutel wordt geïmporteerd en we krijgen de naam en het e-mailadres te zien die aan die sleutel zijn gekoppeld.
Een sleutel verifiëren en ondertekenen
Als u een bestand met een openbare sleutel heeft gekregen van iemand die u kent, kunt u gerust zeggen dat het van die persoon is. Als u deze van een openbare sleutelserver heeft gedownload, voelt u wellicht de behoefte om te verifiëren dat de sleutel van de persoon is waarvoor deze bedoeld is.
De
--vingerafdruk
optie oorzaken
gpg
om een korte reeks van tien sets van vier hexadecimale tekens te maken. U kunt de persoon vragen u de vingerafdruk van zijn of haar sleutel te sturen.
U kunt dan de
--vingerafdruk
optie om dezelfde vingerafdrukreeks van hexadecimale tekens te genereren en deze te vergelijken. Als ze overeenkomen, weet je dat de sleutel van die persoon is.
gpg --vingerafdruk [email protected]
De vingerafdruk wordt gegenereerd.
Als u er zeker van bent dat de sleutel echt is en eigendom is van de persoon waarmee deze hoort te zijn verbonden, kunt u de sleutel ondertekenen.
Als u dit niet doet, kunt u het nog steeds gebruiken om berichten van en naar die persoon te versleutelen en te ontsleutelen. Maar
gpg
zal u elke keer vragen of u verder wilt gaan omdat de sleutel niet ondertekend is. We gebruiken de toepasselijke naam
--sign-key
option and provide the email address of the person, so that
gpg
weet welke sleutel te ondertekenen.
gpg --sign-key [email protected]
U ziet informatie over de sleutel en de persoon, en u wordt gevraagd om te bevestigen dat u de sleutel echt wilt ondertekenen. druk op
Y
en druk op Enter om de sleutel te ondertekenen.
Hoe u uw openbare sleutel deelt
Om uw sleutel als bestand te delen, moeten we deze exporteren vanuit het
gpg
lokale sleutelopslag. Hiervoor gebruiken we de
--exporteren
optie, die moet worden gevolgd door het e-mailadres dat u hebt gebruikt om de sleutel te genereren. De
--output
optie moet worden gevolgd door de naam van het bestand waarnaar u de sleutel wilt laten exporteren. De
--schild
optie vertelt
gpg
om ASCII-pantseruitvoer te genereren in plaats van een binair bestand.
gpg --output ~ / dave-geek.key --armor --export [email protected]
We kunnen een kijkje nemen in het sleutelbestand met
minder
.
minder dave-geek.key
De sleutel wordt in al zijn glorie getoond:
U kunt uw openbare sleutel ook delen op een openbare sleutelserver. De
--send-sleutels
optie stuurt de sleutel naar de sleutelserver. De
--keyserver
optie moet worden gevolgd door het webadres van de openbare sleutelserver. Om te bepalen welke sleutel moet worden verzonden, moet de vingerafdruk voor de sleutel op de opdrachtregel worden opgegeven. Let op: er zijn geen spaties tussen de sets van vier tekens.
(U kunt de vingerafdruk van uw sleutel zien door de
--vingerafdruk
keuze.)
gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4
U krijgt een bevestiging dat de sleutel is verzonden.
Bestanden versleutelen
We zijn eindelijk klaar om een bestand te versleutelen en naar Mary te sturen. Het bestand heet Raven.txt.
De
--versleutelen
optie vertelt
gpg
om het bestand te versleutelen, en de
--teken
optie vertelt het om het bestand te ondertekenen met uw gegevens. De
--schild
optie vertelt gpg om een ASCII-bestand te maken. De
-r
(ontvanger) optie moet worden gevolgd door het e-mailadres van de persoon naar wie u het bestand verzendt.
gpg --encrypt --teken --armor -r [email protected]
Het bestand wordt gemaakt met dezelfde naam als het origineel, maar met ".asc" toegevoegd aan de bestandsnaam. Laten we er eens in kijken.
minder Raven.txt.asc
Het bestand is volledig onleesbaar en kan alleen worden ontsleuteld door iemand die uw openbare sleutel en de privésleutel van Mary heeft. De enige persoon die beide heeft, zou Mary moeten zijn.
We kunnen het bestand nu naar Mary sturen in de zekerheid dat niemand anders het kan decoderen.
Bestanden decoderen
Mary heeft een antwoord gestuurd. Het bevindt zich in een gecodeerd bestand met de naam coded.asc. We kunnen het heel gemakkelijk decoderen met de
--decrypt
keuze. We gaan de uitvoer omleiden naar een ander bestand met de naam plain.txt.
Merk op dat we het niet hoeven te vertellen
gpg
van wie het bestand is. Het kan dat uit de gecodeerde inhoud van het bestand afleiden.
gpg --decrypt coded.asc> plain.txt
Laten we eens kijken naar het bestand plain.txt:
minder plain.txt
Het bestand is met succes voor ons gedecodeerd.
Uw sleutels vernieuwen
Af en toe kunt u dit vragen
gpg
om de sleutels die het heeft te vergelijken met een openbare sleutelserver en om alle gewijzigde sleutels te vernieuwen. U kunt dit om de paar maanden doen of wanneer u een sleutel ontvangt van een nieuw contact.
De
--refresh-sleutels
optie oorzaken
gpg
om de controle uit te voeren. De
--keyserver
optie moet worden gevolgd door de sleutelserver van uw keuze. Nadat de sleutels zijn gesynchroniseerd tussen de openbare sleutelservers, zou het niet moeten uitmaken welke u kiest.
gpg --keyserver pgp.mit.edu --refresh-keys
gpg
reageert door de sleutels op te sommen die het controleert en u te laten weten of er sleutels zijn gewijzigd en bijgewerkt.
Privacy is een actueel onderwerp
Privacy is tegenwoordig nooit ver van het nieuws. Wat uw redenen ook zijn om uw informatie veilig en privé te willen houden,
gpg
biedt een eenvoudige manier om ongelooflijk sterke codering toe te passen op uw bestanden en communicatie.
Er zijn andere manieren om
gpg
. U kunt een plug-in krijgen voor
Thunderbird
gebeld
Enigmail
. Het haakt precies in je
gpg
configuratie zodat u e-mailberichten vanuit Thunderbird kunt versleutelen.
