PGP: Кодирование и шифрование информации с открытым ключом. - Максим Левин
Шрифт:
Интервал:
Закладка:
10. Нажмите на next.
11. При необходимости подвигайте мышку или нажимайте на кнопки на клавиатуре для того, чтобы программа сгенерировала новый ключ
12. Нажмите на next. Столбик покажет вам инициализацию создания нового диска.
13. Еще раз нажмите на next, с тем, чтобы окончательно установить новый PGP диск.
14. Нажмите на Finish.
15. Введите название нового диска.
16. Нажмите на Start.
17. Нажмите на ОК (на диске еще нет данных). Компьютер скажет вам, когда закончится форматирование диска.
18. Нажмите на кнопку Close на окне форматирования. Теперь ваш новый диск появится на том диске, который вы ранее указали (по умолчанию диск С). Для того, чтобы открыть диск, надо дважды нажать на него мышкой.
Как установить PGP диск.
Как только новый диск будет создан, программа PGP автоматически его установит с тем, чтобы вы могли начать его использовать. После того, как вы закончили работу с конфиденциальной информацией, необходимо отключить диск. После отключения диск его содержимое будет зашифровано в виде зашифрованного файла.
Для открытия PGP диска надо дважды щелкнуть по нему мышкой и дважды ввести парольную фразу в появившееся окно программы. Вы сможете убедиться в том, что PGP диск открылся, зайдя в мой компьютер и увидев, что рядом с диском С появился диск D. В том случае, если у вас уже есть диск D, то новый диск получит следующую букву Е и т.д. Зайти на новый диск можно через мой компьютер или другую оболочку просмотра файлов.
Использование установленного PGP диска.
На диске PGP можно создавать файлы, каталоги, перемещать файлы или каталоги, либо стирать, т.е. можно делать те же самые операции, что и на обычном диске.
Закрытие PGP диска.
Закройте все программы и файлы, имеющиеся на диске PGP, т.к. невозможно закрыть диск, если файлы на этом диске до сих пор еще открыты. Теперь зайдите в мой компьютер выделите мышкой диск PGP, нажмите на правую кнопку мышки и выберите команду <unmount> в появившемся меню <PGP disk>
Как только диск будет закрыт, то он исчезнет из моего компьютера и превратится в зашифрованный файл на диске С.
Еще один важный момент, на который необходимо обратить внимание, это настройки программы, которые позволяют автоматически закрыть диск в случае не обращения к диску в течение какого-либо периода времени. Для этого надо исполнить команду <pref> в программе PGPdisk и в появившемся меню под названием <auto unmont> (автоматическое закрытие) выделить флажками все три команды:
• auto unmont after _ minutes of inactivity (автоматически закрыть после __ минут бездействия). Здесь также необходимо указать количество минут.
• auto unmont on computer sleep (автоматически закрыть при переходе компьютера в спящее состояние)
• prevent sleep if any PGPdisk could not be unmounted (не позволять компьютеру перейти в состояние спячки, если PGP диск не был закрыт).
Смена парольной фразы.
1. Убедитесь в том, что PGP диск не установлен. Невозможно сменить парольную фразу в том случае, если диск установлен.
2. Выберите команду <Change Passphrase> из меню <File>.
3. Выберите тот диск, парольную фразу для которого вы хотите изменить.
4. Введите старую парольную фразу. Нажмите на ОК. Появится окошко для ввода новой парольной фразы.
5. Введите новую парольную фразу. Минимальная длина парольной фразы: 8 знаков.
6. Нажмите на ОК. Окошко новой парольной фразы <New Passphrase> закроется.
Удаление парольной фразы.
1. Убедитесь в том, что PGP диск не установлен.
2. Выберите команду <Remove Passphrase> из меню <File>. Появится окошко, которое попросит вас ввести парольную фразу, которую необходимо отменить.
3. Введите пароль и нажмите на ОК.
Система для шифрования с двумя ключами.
Все желающие (PGP распространяется свободно) переписывают из любых источников саму систему (PGP) и ее исходные тексты (если есть необходимость, исходные тексты также распространяются свободно). Все функции системы выполняются с помощью одной единственной программки — она делает все. Дальнейшие действия проследим на примере двух корреспондентов: меня (Пети) и Васи. Итак, Петя и Вася захотели использовать PGP и раздобыли его (хотя бы на нашем PGP support site — DIOGEN).
Первое действие — генерация секретного ключа пользователя (RSA-key). Для этого система запрашивает фразу пароля, которая потом будет неоднократно использоваться при каждом использовании секретного ключа. Кроме того, запрашивается собственно имя (идентификатор) пользователя, куда входит и его адрес (E-mail, FIDO), на основании этих данных и с использованием ряда случайных чисел (которые получаются путем измерения интервалов времени между нажатиями клавиш человеком) генерируется СЕКРЕТНЫЙ ключ пользователя. Это просто бинарная последовательность. Этот ключ рекомендуется хранить достаточно тщательно, несмотря на то, что воспользоваться им сможет только тот, кто знает фразу пароля. Затем, на основании этого СЕКРЕТНОГО ключа PGP генерирует ОБЩИЙ (публичный) ключ (тоже RSA). На этом предварительные действия закончены.
Следующий этап. Конечно, наши герои, Петя и Вася могли бы встретиться однажды, договориться о совсем секретном пароле и потом шифровать свои послания этим паролем. Но порой это не совсем удобно, не всегда получится и не всегда секретно, и потом, если у Вас ТЫСЯЧИ адресатов:(... Так эта система делает все простым и гениальным. Петя, создав оба ключа, посылает общий ключ Васе (ну, и всем остальным, кому надо). То же самое делает и Вася. Итак, у Пети есть свой собственный секретный ключ, общий ключ Васи (и другие общие ключи, в принципе, сколько угодно). И все. PGP:).
Теперь Петя хочет написать Васе СОВСЕМ СЕКРЕТНОЕ письмо. То есть, чтобы его смог прочитать ТОЛЬКО Вася. Петя берет общий ключ Васи и с помощью все той же PGP шифрует письмо (этим ключом). (На самом деле, шифруется не само письмо, а временный пароль, которым уже шифруется письмо, но это не принципиально). И посылает то, что получилось адресату (Васе). Петя может быть спокоен — теперь зашифрованное общим ключом Васи письмо может прочитать ТОЛЬКО Вася, так как только у него есть секретный ключ, которому однозначно соответствует общий. Даже написавший письмо Петя не прочтет его.
Общий ключ генерируется на основе секретного, но обратный процесс невозможен в реальное время на реальной технике для ключей длиной >256 байт. Так же действует и Вася. Таким образом, первое, что позволяет делать эта система — это писать шифрованные письма адресатам, с которыми вы никогда не встречались или не имеете канала секретной связи.
Второе. Петя хочет "подписать" какой-то текст (программу, файл...), то есть поставить на него какую-то цепочку байт, по которой получивший сможет определить: ага, этот файл был однозначно завизирован Петей, и никто эту подпись не подделывал (что-то отдаленно напоминает ARJ security envelope). Петя берет свой файл, свой секретный ключ и с помощью PGP генерирует ЭЛЕКТРОННУЮ ПОДПИСЬ. Тоже просто последовательность байт, но последовательность абсолютно уникальная, так как для ее построения используется алгоритм "message digest", это отдаленный аналог CRC того файла, который подписывается, но у двух файлов может быть одинаковый CRC, а вот MD — не может. Теперь Петя может послать эту подпись вместе с файлом Васе (или отдельно). Вася (человек недоверчивый), берет файл, берет подпись (если она отдельно от файла), берет общий ключ Пети, запускает PGP, а она ему: "да, данный файл действительно был подписан таким-сяким тогда-то". Чему можно доверять почти на 100%.
Это два основных принципа использования шифрования с общим ключом. Естественно, оба они могут быть использованы вместе: то есть, вы шифруете свое письмо адресату с помощью ЕГО общего ключа, а затем подписываете его своей электронной подписью с помощью СВОЕГО секретного ключа.
Теперь я расскажу, как это дело организуется на практике. Для более подробного описания ваших действий по предохранению информации, ключей, о предотвращении возможности их подделки — читайте первую часть документации по PGP (зря я ее переводил?).
Key-server. Это станция из числа многих, раскиданных по всему свету. Для того, чтобы Вам самому не рассылать свой общий ключ "всем-всем-всем" (что, как Вы понимаете, довольно трудоемко), эту часть работы они берут на себя. На сервере Вы может зарегистрировать свой общий ключ — он будет рассылаться всем, кто этого пожелает, а также получить все необходимые общие ключи, чтобы писать письма. В PGP введен институт "удостоверения" общих ключей, это составная часть мероприятий по защите ключей from tampering. То есть, если я уверен, что вот этот ключ мне передал (однажды) Миша Браво (переслал по почте — именно он, либо привез лично), то я могу удостоверить его своей как бы "электронной подписью" (удостоверением), и при проверке сообщений, подписанных Мишей Браво будут упоминаться все удостоверившие (таким образом, при удостоверении ключа я (ты, он...) беру на себя ответственность за его достоверность). Степень достоверности общего ключа определяется PGP по количеству и степени достоверности "удостоверяющих подписей" (причем все делается автоматически).