GPA on Cebulka Blog

Kompendium PGP - Poradniki szyfrowania i obsługi popularnych narzędzi PGP (2024)

Sat, 17 Aug 2024 12:07:00 +0000

Zbiór poradników dla popularnych narzędzi PGP: GPG4USB (Linux & Windows), GPA (Linux), Kleopatra (Linux & Windows), GPGSuite (macOS), OpenKeyChain (Android) i PGPro (iOS).

Czym jest PGP / OpenPGP #

GnuPG (GPG, GNU Privacy Guard) to otwartoźródłowe oprogramowanie szyfrujące, które służy do bezpiecznej komunikacji End-to-End między dwiema stronami. Umożliwia użytkownikom bezpieczną komunikację, zapewniając narzędzia do szyfrowania i deszyfrowania wiadomości w standardzie OpenPGP (Open Pretty Good Privacy).

OpenPGP wykorzystuje kryptografię klucza publicznego. Aby korzystać z OpenPGP, należy najpierw wygenerować parę kluczy — publiczny i prywatny za pomocą oprogramowania GPG. Następnie możesz udostępnić swój klucz publiczny innym osobom, zachowując klucz prywatny w tajemnicy. Każdy kto posiada klucz publiczny może użyć go do szyfrowania i weryfikowania informacji, które może odszyfrować i podpisywać jedynie posiadacz klucza prywatnego.

Instalacja i konfiguracja #

Podstawowy program GPG działa z linii poleceń lecz istnieją rozmaite nakładki takie jak GPG4USB, interfejsy graficzne dla różnych systemów operacyjnych. Przenośny program GPG4USB jest wieloplatformowy i łatwy w obsłudze lecz nie jest już rozwijany i nieaktualną wersję GPG posiada. W systemie Whonix-Workstation dostępne jest narzędzie GNU Privacy Assistant (GPA). System Tails od wersji 5.0 posiada narzędzie Kleopatra, znane również z pakietu Gpg4win dla systemów Windows.

Instalacja GPG4USB (Linux & Windows)
Instalacja GNU Privacy Assistant (Linux)
Instalacja Kleopatra (Linux)
Instalacja Kleopatra (Windows)
Instalacja GPG Suite (macOS)
Instalacja OpenKeychain (Android)
Instalacja PGPro (iOS)

Generowanie kluczy #

Użytkownik generuje parę kluczy, klucz publiczny i klucz prywatny. Klucz publiczny jest udostępniany innym, podczas gdy klucz prywatny jest utrzymywany w tajemnicy. Przechowywany jest w plikach programu GPG, dlatego zalecane jest szyfrowanie systemu operacyjnego.

Generowanie kluczy w GPG4USB (Linux & Windows)
Generowanie kluczy w GNU Privacy Assistant (Linux)
Generowanie kluczy w Kleopatra (Linux)
Generowanie kluczy w Kleopatra (Windows)
Generowanie kluczy w GPG Suite (macOS)
Generowanie kluczy w OpenKeychain (Android)
Generowanie kluczy w PGPro (iOS)

Kopia zapasowa klucza prywatnego #

Kopię zapasową klucza prywatnego należy zaszyfrować programem VeraCrypt lub TrueCrypt i umieścić na nośniku zewnętrznym dla ochrony przed utratą danych.

Kopia zapasowa klucza prywatnego w GPG4USB (Linux & Windows)
Kopia zapasowa klucza prywatnego w GNU Privacy Assistant (Linux)
Kopia zapasowa klucza prywatnego w Kleopatra (Linux)
Kopia zapasowa klucza prywatnego w Kleopatra (Windows)
Kopia zapasowa klucza prywatnego w GPG Suite (macOS)
Kopia zapasowa klucza prywatnego w OpenKeychain (Android)
Kopia zapasowa klucza prywatnego w PGPro (iOS)

Importowanie kluczy publicznych #

Importowanie kluczy publicznych innych użytkowników dla szyfrowania wiadomości i weryfikowania cyfrowych podpisów.

Importowanie kluczy w GPG4USB (Linux & Windows)
Importowanie kluczy w GNU Privacy Assistant (Linux)
Importowanie kluczy w Kleopatra (Linux)
Importowanie kluczy w Kleopatra (Windows)
Importowanie kluczy w GPG Suite (macOS)
Importowanie kluczy w OpenKeychain (Android)
Importowanie kluczy w PGPro (iOS)

Szyfrowanie wiadomości #

Nadawca używa klucza publicznego odbiorcy do zaszyfrowania wiadomości. Gwarantuje to, że jedynie zamierzony odbiorca może odszyfrować wiadomość.

Szyfrowanie wiadomości w GPG4USB (Linux & Windows)
Szyfrowanie wiadomości w GNU Privacy Assistant (Linux)
Szyfrowanie wiadomości w Kleopatra (Linux)
Szyfrowanie wiadomości w Kleopatra (Windows)
Szyfrowanie wiadomości w GPG Suite (macOS)
Szyfrowanie wiadomości w OpenKeychain (Android)
Szyfrowanie wiadomości w PGPro (iOS)

Deszyfrowanie wiadomości #

Odbiorca używa swojego klucza prywatnego do odszyfrowania zaszyfrowanej wiadomości. Cytując jej fragment w odpowiedzi potwierdza posiadanie dostępu do klucza prywatnego.

Deszyfrowanie wiadomości w GPG4USB (Linux & Windows)
Deszyfrowanie wiadomości w GNU Privacy Assistant (Linux)
Deszyfrowanie wiadomości w Kleopatra (Linux)
Deszyfrowanie wiadomości w Kleopatra (Windows)
Deszyfrowanie wiadomości w GPG Suite (macOS)
Deszyfrowanie wiadomości w OpenKeychain (Android)
Deszyfrowanie wiadomości w PGPro (iOS)

Podpisywanie wiadomości #

Nadawca może użyć swojego klucza prywatnego do podpisu cyfrowego wiadomości. Podpis działa jako dowód, że wiadomość została napisana przez właściciela klucza.

Podpisywanie wiadomości w GPG4USB (Linux & Windows)
Podpisywanie wiadomości w GNU Privacy Assistant (Linux)
Podpisywanie wiadomości w Kleopatra (Linux)
Podpisywanie wiadomości w Kleopatra (Windows)
Podpisywanie wiadomości w GPG Suite (macOS)
Podpisywanie wiadomości w OpenKeychain (Android)
Podpisywanie wiadomości w PGPro (iOS)

Weryfikowanie wiadomości #

Po otrzymaniu podpisanej wiadomości odbiorca może użyć klucza publicznego nadawcy, aby zweryfikować podpis cyfrowy wiadomości. Prawidłowy podpis dowodzi, że wiadomość została wysłana przez nadawcę i nie została zmieniona. Najmniejsza zmiana w oryginalnej wiadomości, nawet o jeden znak, spowoduje niepowodzenie procesu weryfikacji.

Weryfikowanie wiadomości w GPG4USB (Linux & Windows)
Weryfikowanie wiadomości w GNU Privacy Assistant (Linux)
Weryfikowanie wiadomości w Kleopatra (Linux)
Weryfikowanie wiadomości w Kleopatra (Windows)
Weryfikowanie wiadomości w GPG Suite (macOS)
Weryfikowanie wiadomości w OpenKeychain (Android)
Weryfikowanie wiadomości w PGPro (iOS)

Rozwiązywanie problemów #

Aktualizacja wersji GnuPG w GPG4USB

Poradnik instalacji i obsługi programu Gnu Privacy Assistant na Linux

Sat, 17 Aug 2024 12:01:00 +0000

GNU Privacy Assistant to przyjazny dla użytkownika interfejs do zarządzania szyfrowaniem i podpisami PGP. Ten przewodnik opisuje, jak zainstalować i jak korzystać z GNU Privacy Assistant w systemie Linux.

GNU Privacy Assistant w systemie Whonix-Workstation #

Narzędzie GNU Privacy Assistant jest domyślnie zainstalowane w systemie Whonix-Workstation i nie jest wymagana ręczna instalacja programu GPG na tym systemie.

W systemie Whonix-Workstation na VirtualBox, należy wyszukać GNU Privacy Assistant w menu i kliknąć, żeby uruchomić.
W systemie Qubes OS, dla utworzonej app qube z szablonu whonix-workstation-17 (przykładowo: domyślnej anon-whonix) należy zaznaczyć gpa na liście All available applications w menu Settings→Applications, kliknąć > żeby przenieść program do listy Applications shown in App Menu i potwierdzić zmiany OK klikając. Skrót do programu GPA / GNU Privacy Assistant będzie widoczny w menu systemu Qubes dla wybranej app qube.

Instalacja GNU Privacy Assistant przez APT (Debian, Ubuntu & Kali Linux) #

Dla dystrybucji Debian i Ubuntu, w konsoli polecenia wykonaj instalacji pakietu GPA:
```
user@host:~$ sudo apt-get update
user@host:~$ sudo apt-get -y install gpa
```
GPA możemy uruchomić za pomocą skrótu w menu z aplikacjami lub poleceniem:
```
user@host:~$ gpa
```

Instalacja GNU Privacy Assistant przez Flatpak (pozostałe dystrybucje Linux) #

Narzędzie Flatpak jest domyślnie zainstalowane w wielu najnowszych dystrybucjach systemów Linux. Jeżeli w konsoli polecenie flatpak nie jest dostępne, instalujemy Flatpak według instrukcji dla wybranej dystrybucji.

Dodajemy repozytorium Flathub i pakiet org.gnupg.GPA instalujemy poleceniami:

sudo flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
sudo flatpak install -y flathub org.gnupg.GPA

GPA możemy uruchomić za pomocą skrótu w menu z aplikacjami lub poleceniem:
```
user@host:~$ gpa
```

Generowanie kluczy w GNU Privacy Assistant #

W wyskakującym oknie Zrób to później klikamy. Okno zmiany ustawień otwieramy z menu Edit opcję Preferencje wybierając. W nowym oknie zaznaczamy Use advanced mode opcję i OK klikamy.

Z menu Keys opcję New key… wybieramy. Podajemy w polu Name pseudonim jaki użyjemy na forum. W polu Email podajemy darknetowy e-mail jeżeli taki posiadamy, pole można pominąć. Pole na komentarz można pominąć. Rozmiar klucza w polu Key size na 3072 zmień i OK kliknij.

Hasło bezpieczne dwukrotnie podaj i OK kliknij.

Program GNU Privacy Assistant nie pozwala na stworzenie kluczy o większym rozmiarze niż 3072 bitów. Nieoficjalny standard 4096-bitowych kluczy PGP przyjęty w darknecie nie ma jednak podstaw w żadnych oficjalnych rekomendacjach, a najwyższą rekomendowaną wartością przez organizacje takie jak ECRYPT-CSA (2018) i NSA (2016) dla algorytmu RSA wspomniane 3072 bity są.

Kopia zapasowa klucza prywatnego w GNU Privacy Assistant #

Klikamy prawym na wybrany klucz z listy i opcję Backup… wybieramy.

Wskazujemy bezpieczną lokalizację, upewniamy się, że w nazwie pliku domyślna ścieżka ( np /home/user/.gnupg/ … dla systemów Linux ) nie pojawia się. Klikamy Zapisz, podajemy hasło, które ustawiliśmy przy generowaniu klucza i potwierdzamy OK klikając.

Zamykamy okno z informacją o pomyślnym eksporcie. Plik … .asc jest plikiem tekstowym, który zawiera zarówno blok klucza prywatnego -----BEGIN PGP PRIVATE KEY BLOCK----- … jak i publicznego -----BEGIN PGP PUBLIC KEY BLOCK----- …, które można zaimportować do innego programu GPG w taki sam sposób jak importowane są klucze publiczne.

Kopię zapasową klucza prywatnego należy zaszyfrować programem VeraCrypt lub TrueCrypt i umieścić na nośniku zewnętrznym dla ochrony przed utratą danych.

Importowanie kluczy publicznych w GNU Privacy Assistant #

Przed zaszyfrowaniem wiadomości musimy posiadać klucz publiczny odbiorcy. Klucz publiczny możemy dostać w wiadomości e-mail, w wiadomości prywatnej na forum lub z profilu użytkownika.

Skopiowany wcześniej klucz publiczny importujemy z menu Edit opcję Wklej wybierając. Zamykamy okno z informacją o pomyślnym eksporcie.

Program GPA implementuje model WOT ( Web Of Trust ), więc polega na posiadaniu innych zaufanych kluczy publicznych, których właściciele podpisują klucze PGP innych użytkowników potwierdzając ich zgodność. Żeby zrezygnować z otrzeżeń o braku zaufania do zaimportowanego klucza PGP i podpisów jego właściciela, klikamy prawym na zaimportowany klucz publiczny i z menu opcję Sign Keys… wybieramy. W nowym oknie Podpisz tylko lokalnie zaznaczamy, potwierdzamy Tak klikając i podajemy hasło, które ustawiliśmy przy generowaniu klucza.

Powinniśmy się upewnić, że klucz publiczny pochodzi z pewnego źródła i odcisk klucza ( 0F3F1 DE0E0 75DE9 … w powyższym przykładzie ) jest poprawny. Klucz publiczny o tej samej nazwie, adresie e-mail i dacie utworzenia może stworzyć każdy i podszywać się. W tym przypadku postępujemy według modelu TOFU ( Trust On First Use ), czyli akceptujemy klucz publiczny przy pierwszym imporcie, a później weryfikujemy przyszłe zmiany.

Szyfrowanie wiadomości w GNU Privacy Assistant #

Przed zaszyfrowaniem wiadomości należy zaimportować klucz publiczny odbiorcy.
Otwieramy edytor ikonę schowka klikając. W edytorze tekstu programu GPA wpisujemy treść wiadomości, która ma zostać zaszyfrowana. Klikamy ikonę szyfrowania, zaznaczamy na liście klucz publiczny odbiorcy i OK klikamy.

Nie musimy importować ponownie klucza publicznego przy szyfrowaniu następnych wiadomości. Klucz zostanie zapisany w plikach programu.

Deszyfrowanie wiadomości w GNU Privacy Assistant #

Otwieramy edytor ikonę schowka klikając. W edytorze tekstu programu GPA wklejamy zaszyfrowaną wiadomość. Klikamy ikonę deszyfrowania i ( jeżeli pojawi się monit o wprowadzenie hasła ) podajemy hasło, które ustawiliśmy przy generowaniu klucza.

Podpisywanie wiadomości w GNU Privacy Assistant #

Otwieramy edytor ikonę schowka klikając. W edytorze tekstu programu GPA wpisujemy treść wiadomości, która ma zostać podpisana. Klikamy ikonę podpisywania, zaznaczamy na liście swój klucz, klikamy OK i ( jeżeli pojawi się monit o wprowadzenie hasła ) podajemy hasło, które ustawiliśmy przy generowaniu klucza.

Nie podpisuj treści, które brzmią uniwersalnie. Przykładowo, podpisana wiadomość “Zgadzam się” lub “To ja” może zostać zapisana i użyta do podszycia się w innej konwersacji. Treści powinny być pełnymi zdaniami opisującymi przeznaczenie i okoliczności podpisu.

Weryfikowanie wiadomości w GNU Privacy Assistant #

Przed zweryfikowaniem wiadomości należy zaimportować klucz publiczny autora podpisu.
Otwieramy edytor ikonę schowka klikając. W edytorze tekstu programu GPA wklejamy podpisaną wiadomość, która ma zostać zweryfikowana. Klikamy ikonę weryfikowania.

Poprawny podpis będzie oznaczony w programie GPA statusem Poprawny w zielonym kolorze. Nie musimy importować ponownie klucza publicznego przy weryfikowaniu następnych podpisów tego samego autora. Klucz zostanie zapisany w plikach programu.