Cara menyulitkan fail dan mesej di Ubuntu

Penyulitan atau penyulitan fail, teks, dll. Ini adalah alat yang harus diketahui oleh semua pengguna Linux dan, malangnya, hanya sedikit yang mengetahui dan menggunakan setiap hari. Perkara ini sangat mengejutkan apabila anda menganggap reputasi Linux sebagai "sistem operasi selamat"; Ini adalah satu lagi alat yang diletakkan Linux di hujung jari anda untuk meningkatkan keselamatan anda. Mengapa anda tidak menggunakannya? Di luar kebodohan? Nah, siaran ini datang untuk mengisi "jurang" ituKaedah paling mudah untuk menyulitkan maklumat adalah dengan menggunakan Pengawal Privasi GNU (GPG). Cara mini ini menerangkan pemasangan dan pengendaliannya di Ubuntu dari kepala hingga kaki. Saya mengambil masa hampir 2 hari untuk menulisnya, jadi saya harap anda menganggapnya berguna.

Bagaimana GPG berfungsi

GPG menggunakan sistem hibrid yang menggabungkan enkripsi simetri dan asimetri.

Penyulitan asimetri selalu berfungsi dengan a pasangan kunci. Salah satu daripadanya adalah anda kunci "awam" dan yang lain anda kunci "peribadi". Seperti namanya, kunci awam boleh diberikan kepada mereka yang ingin anda hantarkan mesej yang dienkripsi dan tidak ada bahaya jika orang lain melihatnya, sebenarnya, ia biasanya diterbitkan di pelayan awam untuk memudahkan akses mereka; Sebaliknya, kunci peribadi mestilah rahsia dan anda tidak perlu membaginya dengan sesiapa pun. Perkara yang paling indah dari semua ini adalah, seperti yang akan kita lihat di bawah, kedua-dua kunci dibuat secara langsung oleh GPG berdasarkan data peribadi anda. Langkah terakhir adalah "menutup" dua kunci ini melalui "frasa laluan". Jadi, pada akhirnya, satu-satunya kata laluan yang perlu anda ingat ialah "frasa laluan" anda.

Lulus bersih, terima kasih kepada penyulitan asimetri, Sekiranya pengirim menggunakan kunci awam penerima untuk menyulitkan mesej, setelah dienkripsi, hanya kunci peribadi penerima yang dapat menyahsulitkan mesej ini, kerana mereka adalah satu-satunya yang mengetahuinya. Oleh itu, kerahsiaan penghantaran mesej dicapai: tidak ada orang kecuali penerima yang dapat menyahsulitnya. Sekiranya pemilik pasangan kunci menggunakan kunci peribadi mereka untuk menyulitkan mesej, sesiapa sahaja boleh menyahsulitnya menggunakan kunci awam mereka. Dalam kes ini, pengenalan dan pengesahan pengirim dicapai., kerana diketahui bahawa hanya dia yang menggunakan kunci peribadinya (kecuali seseorang boleh mencurinya).

Satu komen terakhir yang menarik untuk saya nyatakan adalah bahawa cipher asimetri dicipta untuk mengelakkan sepenuhnya masalah pertukaran kunci cipher simetri. Dengan kunci awam, pengirim dan penerima tidak perlu menyetujui kunci yang akan digunakan. Yang diperlukan adalah pengirim untuk mendapatkan salinan kunci awam penerima sebelum memulakan komunikasi rahsia. Terlebih lagi, kunci awam yang sama dapat digunakan oleh sesiapa sahaja yang ingin berkomunikasi dengan pemiliknya.

Sejauh mana selamatnya GPG?

El algoritma yang digunakan oleh GPG adalah DSA / ElGamal, kerana paten "bebas" dan tidak ada hak paten "hak milik".

Merujuk perkara panjang kunci, bergantung pada keperluan pengguna. Adalah perlu untuk mengimbangkan antara keselamatan dan pengoptimuman proses. Semakin tinggi kuncinya, semakin rendah risiko mesej tersebut akan disahkod jika dipintas, tetapi masa yang diperlukan untuk mengira prosesnya juga akan meningkat. Saiz minimum yang diperlukan oleh GnuPG adalah 768 bit, walaupun banyak orang berpendapat bahawa ia harus 2048 (yang maksimum dengan GnuPG pada masa ini). Apabila keselamatan menjadi keutamaan yang lebih tinggi daripada masa, pilihannya adalah memilih ukuran kunci terbesar yang dibenarkan.

Memasang GPG di Ubuntu

Ubuntu hadir "di luar kotak" dengan GPG dan antara muka grafik untuk GPG yang dipanggil Seahorse. Untuk mengakses Seahorse, kita hanya perlu pergi ke Aplikasi> Aksesori> Kata Laluan dan kunci penyulitan.

Sebelum itu, saya cadangkan membuka terminal dan menaip:

sudo aptitude install seahorse-plugins sudo killall nautilus

Apa yang dilakukan ini membolehkan kita mengintegrasikan GPG ke Nautilus. Mulai sekarang, jika kita klik kanan pada fail, kita akan melihat dua pilihan lagi muncul: "Encrypt" dan "Sign". Di bawah ini kita akan melihat cara menggunakan alat baru ini.

Buat kunci

Sebelum mula menyulitkan mesej dan fail, seperti yang kita lihat, perlu membuat kunci asimetri dan "frasa laluan" terlebih dahulu. Untuk melakukan ini, kita pergi ke Aplikasi> Aksesori> Kata laluan dan kunci penyulitan. Sesampai di sana kita pergi ke Fail> Baru> Kunci PGP.

Sistem ini kemudian akan meminta kami memasukkannya nama, alamat e-mel dan komen. Yang terakhir adalah pilihan, sementara dua yang pertama adalah wajib. Alamat e-mel yang dipilih harus sah, kerana akan digunakan untuk menandatangani pengenalan pengguna. Sekiranya alamat ini diubah dengan cara apa pun, tandatangan tidak akan sesuai. Kunci akan dihasilkan berdasarkan data ini.

Di bahagian Maju kunci, anda boleh memilih jenis penyulitan yang berbeza. Yang disyorkan adalah "DSA Elgamal 768 bit" tetapi saya mengesyorkan agar anda menukarnya menjadi "DSA Elgamal 2048 bit" kerana ia dianggap cukup selamat dan fleksibel. Tarikh luput adalah tarikh kunci tidak lagi berguna untuk operasi penyulitan atau menandatangani. 6 bulan adalah masa yang berpatutan untuk ini. Anda perlu menukar tarikh luput atau menghasilkan kunci atau subkunci baru setelah jangka masa ini berlalu.

Langkah terakhir adalah memasukkan kata laluan. Perhatikan perbezaan antara istilah Anglo-Saxon untuk perkataan "kata laluan": istilah "kata laluan»Menunjukkan« kata laluan », sementara istilah«frasa laluan»Menunjukkan«frasa dalam perjalanan". Oleh itu kata laluan ini mesti terdiri daripada lebih dari satu perkataan. Agar kata laluan berkesan (selamat), anda mesti:

panjang;
menggabungkan huruf besar, huruf kecil dan angka;
mengandungi watak khas (bukan abjad angka);
sukar diteka. Oleh itu, selain nama, tarikh penting, nombor telefon, nombor dokumen, ...

Secara umum, untuk membuat kata laluan yang kuat disarankan untuk memasukkan huruf besar dengan minusCulas, angka, aksara bukan alfanumerik lain, dll.. Semasa memilih kata dan frasa, kita mesti mengelakkan kata-kata yang terlalu jelas, atau tarikh penting, dan jangan sekali-kali menggunakan petikan dari buku atau frasa terkenal. Oleh itu, kita mesti memastikan bahawa kata laluan yang kita pilih cukup sukar sehingga tidak boleh dilanggar oleh "serangan kekerasan" atau bahkan "serangan kamus", tetapi cukup mudah bagi kita untuk mengingatnya. Sekiranya kita terlupa kata laluan, kunci kita akan menjadi tidak berguna sama sekali, dan cryptograms dengannya disulitkan, tidak dapat difahami. Memandangkan kemungkinan ini, disarankan untuk selalu membuat sijil pembatalan bersama dengan kunci.

Setelah semua data yang diperlukan dimasukkan, proses pembuatan kunci akan dimulakan, yang memerlukan banyak masa bergantung pada ukuran kunci dan kecepatan komputer anda. Semasa proses ini program mengumpulkan data rawak yang akan digunakannya untuk menghasilkan kunci. Setelah selesai, Seahorse akan ditutup.

Pelayan utama awam

Terbitkan kunci awam saya
Pelayan kunci awam digunakan untuk menyebarkan kunci awam dengan tepat. Dengan cara ini, sangat mudah untuk mencari seseorang (dengan nama atau e-mel) dalam pangkalan data dan mencari kunci awam mereka untuk menghantarnya mesej yang dienkripsi (yang hanya dia dapat mendekripsi).

Untuk "memuat naik" kunci awam anda ke pelayan ini, anda hanya perlu membuka Seahorse, pilih kunci anda dan pergi ke Jauh> Segerakkan dan terbitkan kunci. Makluman akan muncul yang memberitahu kami bahawa ini akan menyebabkan penerbitan kunci awam terpilih.

Dapatkan kunci awam rakan-rakan saya

Buka Seahorse dan pergi ke menu Jauh> Cari kekunci jauh. Masukkan nama atau e-mel orang yang anda cari. Kemudian pilih kekunci yang sesuai. Apabila anda selesai, anda akan melihat bahawa kunci baru telah ditambahkan ke tab "Kekunci lain".

(De) Menyulitkan fail dan folder

Setelah pasangan kunci dihasilkan, menyulitkan dan menyahsulitkan fail agak mudah. Anda hanya perlu memilih fail, klik kanan dan pilih "Encrypt".

Dalam dialog yang muncul, pilih kekunci yang anda buat sebelumnya, dan klik OK.

Sekiranya anda memilih folder untuk dienkripsi, ia akan menanyakan apakah anda ingin menyulitkan setiap fail di dalam folder secara berasingan atau jika anda lebih suka membuat fail ZIP yang kemudiannya akan dienkripsi.. Pilihan kedua adalah yang terbaik dalam kebanyakan kes.

Sekiranya anda menyulitkan fail, setelah penyulitan selesai, anda harus membuat fail dengan nama yang sama tetapi dengan peluasan .pgp. Setelah proses selesai, anda boleh memadam fail lama. Sekiranya anda menyulitkan folder, anda harus menemui dua fail baru: versi yang dienkripsi dengan ekstensi .pgp dan fail .zip dengan versi asal folder. Kedua-dua ZIP dan folder asal dapat dihapuskan setelah penyulitan.

Atas sebab keselamatan, versi fail yang tidak disulitkan harus dihapus secara kekal, dan bukan hanya dihantar ke tong sampah. Tetapi pertama-tama pastikan untuk mencuba penyahsulitan fail yang disulitkan, untuk melihat semuanya baik-baik saja.

Untuk melakukan ini, anda hanya perlu mengklik dua kali pada fail .pgp dan memasukkan kata laluan ketika memintanya. Fail asal kemudian akan muncul semula. Sekiranya ia adalah folder, fail .zip akan muncul, dan anda mesti mengekstrak kandungannya.

Mendekripsi fail di komputer saya yang lain

Ini bukan sistem yang direka untuk membuat fail yang dienkripsi mudah alih (sebagai TrueCrypt). Untuk menyahsulitkan fail anda sendiri di komputer lain, anda mesti mengeksport kunci anda dan kemudian mengimportnya di komputer kedua. Ini menunjukkan risiko keselamatan. Walau bagaimanapun, kadang-kadang mungkin perlu untuk melakukan tugas ini (contohnya, jika anda mempunyai PC dan notebook dan anda ingin mempunyai satu pasangan kunci GPG dan bukan satu untuk setiap komputer seolah-olah mereka berbeza "identiti"). Jadi, berikut adalah langkah-langkah yang harus diikuti dalam kes tersebut:

Di komputer tempat anda membuat kunci, lancarkan Seahorse (Aplikasi> Aksesori> Kata Laluan dan Kunci Penyulitan), dan klik kanan pada kunci peribadi anda dan pilih "Properties."

Dalam kotak dialog yang muncul, klik pada tab "Perincian", kemudian pada butang "Eksport" di sebelah "Eksport kunci penuh". Simpan fail ke desktop anda. Anda akan mendapati bahawa fail baru telah dibuat dengan pelanjutan .asc. Itu adalah kunci anda dalam teks biasa.

Salin fail .asc ke tongkat USB, dan dari sana ke komputer kedua. Sekarang di komputer itu mulailah Seahorse dan klik pada butang "Import". Navigasi ke tempat anda menyimpan fail .asc, dan klik "Buka." Ini akan mengimport kunci. Tutup Seahorse dan klik dua kali pada fail yang disulitkan dengan kunci anda untuk menyahsulitnya. Ini akan meminta frasa laluan anda, jadi tuliskan. Selepas ini, fail asal akan disimpan dalam folder yang sama dengan fail .pgp.

Akhir sekali, ingat bahawa masa dan tarikh komputer tempat anda membuat / mengimport / mengeksport kunci mesti betul. Atas pelbagai sebab teknikal, perintah Seahorse dan gpg tidak dapat mengimport kunci jika waktu dan tarikh di PC kurang dari tarikh ia dibuat. Sudah tentu, ini bermaksud bahawa jika komputer di mana anda membuat kunci mempunyai tarikh yang salah, ia akan memberi anda sedikit masalah semasa membuat dan menggunakan kuncinya.

Enkripsi teks

Terdapat pemalam Gedit untuk mengenkripsi teks yang dipilih. Untuk mengaktifkannya, pergi ke Edit> Preferences> Plugin. Saya memilih "Penyulitan Teks". Setelah pemalam diaktifkan, pilihan dalam Edit> Encrypt / Decrypt / Sign akan diaktifkan.

GPG dan Firefox

Terdapat pemalam untuk Firefox (FireGPG) yang menyediakan antara muka grafik bersepadu untuk menerapkan operasi GPG (termasuk (de) enkripsi, tandatangan dan pengesahan tandatangan) pada sebarang teks di laman web.

FireGPG ia juga membolehkan bekerja dengan mel web (Gmail, dll.), Walaupun pada waktu itu saya menguji integrasi dengan Gmail "rusak". Untuk melihat senarai lengkap mel web yang berfungsi dengan FireGPG: http://getfiregpg.org/s/webmails

Muat turun FireGPG: http://getfiregpg.org/stable/firegpg.xpi

Mempercepat proses penyulitan sedikit ...

Untuk (de) menyulitkan maklumat yang selalu menggunakan "identiti" yang sama, saya mengesyorkan agar anda pergi ke Sistem> Keutamaan> Penyulitan dan penyimpanan kunci. Kemudian saya mengakses tab "Encryption", dan di mana tertera "Default key" pilih kunci yang akan selalu anda gunakan untuk (de) menyulitkan maklumat. Sekiranya anda ingin tahu, saya cadangkan anda juga melihat tab "Frasa Laluan PGP" untuk menyesuaikan GPG anda secara maksimum.

Tanda dan Sahkan

Berkali-kali, anda tidak mahu menghantar e-mel yang disulitkan, tetapi anda mahu penerima yakin bahawa saya yang menghantarnya. Untuk itu, tandatangan digital digunakan. Yang perlu anda buat hanyalah mengesahkan e-mel menggunakan GPG dan kunci awam pengirim.

Untuk menyulitkan e-mel, seperti yang kita lihat, sepasang kunci digunakan. Salah satunya adalah rahsia dan orang lain. Sekiranya tandatangan digital, Semua orang yang menerima e-mel yang ditandatangani oleh saya akan dapat mengesahkan bahawa e-mel ini ditulis oleh saya dan bahawa e-mel itu tidak diubah secara jahat dalam perjalanan, menggunakan kunci awam saya, kerana saya menandatanganinya menggunakan kunci peribadi saya.

Atas sebab ini, salah satu masalah besar penyulitan adalah tepatnya penerbit harus sangat yakin bahawa kunci atau, dalam hal tandatangan digital, itu benar-benar milik orang yang mengaku sebagai pemilik tandatangan. Lagipun, saya boleh mengaku sebagai "Monica Lewinsky" dan meletakkan namanya dalam tandatangan digital saya. Untuk menyelesaikan masalah ini, terdapat penandatanganan kunci awam. Jadi, semasa seseorang menandatangani kunci awam saya, mereka mengesahkan bahawa kunci itu adalah milik saya. Dengan kata lain, mereka menyatakan bahawa kunci ini adalah milik saya. Penandatanganan bersama kunci bentuk, menurut Robert De Niro, a: "web of trust" atau "network of trust". Untuk maklumat lanjut mengenai perkara ini, saya cadangkan anda melawat http://www.rubin.ch/pgp/weboftrust.

Untuk menandatangani kunci di kedai kunci anda:

1) Pilih kunci yang ingin anda tandatangani dari tab Kekunci dipercayai atau tab Kekunci terkumpul lain,

2) Pilih Tanda pada bar alat atau Fail> Tanda,

3) Pilih seberapa teliti anda memeriksa kunci,

4) Nyatakan sama ada tandatangan itu sesuai dengan deposit kunci anda dan jika tandatangan anda boleh dibatalkan,

5) Klik Tanda.

GPG dan Thunderbird

Terdapat pemalam untuk Thunderbird dan Seamonkey yang dipanggil Enigmail yang membolehkan anda menulis dan menerima mesej yang ditandatangani dan / atau disulitkan menggunakan GPG.

Kali pertama anda menjalankan pemalam ini, serangkaian borang akan muncul yang mesti anda lengkapkan. Ini juga merangkumi panduan yang menerangkan cara menggunakan GPG.

Untuk maklumat lebih lanjut mengenai GPG, saya cadangkan membaca:

• GNUPG Mini Suka: http://www.dewinter.com/gnupg_howto/spanish/index.html
• Bantuan yang terdapat di Ubuntu dari manual kata laluan dan kunci penyulitan. Buka Seahorse> Bantuan> Indeks.
• http://aplawrence.com/Basics/gpg.html
• http://commons.oreilly.com/wiki/index.php/Ubuntu_Hacks/Security#Encrypt_Your_Email_and_Important_Files
• http://ubuntuforums.org/showthread.php?t=680292