GnuPG (Русский)
GnuPG позволяет шифровать и подписывать данные, предоставляя развитую систему управления ключами, которая включает в себя модули доступа ко всем типам каталогов открытых ключей.
Contents
- 1 Установка
- 2 Переменные окружения
- 3 Файл настроек
- 4 Основы управления ключами
- 5 Шифрование и дешифрование
- 6 gpg-agent
- 7 Встречи для подписи ключей
- 8 Смарт-карты
-
9 Решение проблем
- 9.1 Доступно недостаточно случайных байтов
- 9.2 su
- 9.3 Agent выводит ошибку end of file
- 9.4 Настройка прав доступа для KGpg
- 9.5 Конфликты между gnome-keyring и GPG-Agent
- 9.6 mutt и gpg
- 9.7 "Потерявшиеся" ключи после обновления до GnuPG 2.1
- 9.8 gpg зависает на всех серверах ключей(при попытке получения ключей)
- 9.9 Смарт-карта не обнаружена
- 10 Смотрите также
Установка
Установите пакет gnupg.
При этом будет установлен pinentry — набор простых графических диалогов, который используется GnuPG для ввода паролей. Пакет создает символическую ссылку /usr/bin/pinentry
, которая по умолчанию указывает на /usr/bin/pinentry-gtk-2
.
Переменные окружения
GNUPGHOME
Переменная $GNUPGHOME
используется GnuPG для определения каталога, в котором хранятся все настройки. По умолчанию $GNUPGHOME
не установлена и используется домашний каталог текущего пользователя. Таким образом, после установки появится новый каталог ~/.gnupg
. Вы можете указать другой каталог для GnuPG, добавив следующую строку в один из файлов начальной инициализации для вашего пользователя (например, ~/.bash_profile
или ~/.profile
):
export GNUPGHOME="/путь/до/каталога"
Файл настроек
По умолчанию используется файл настроек ~/.gnupg/gpg.conf
и ~/.gnupg/dirmngr.conf
. Если вы хотите изменить расположение, укажите новый каталог настроек GnuPG при помощи опции --homedir
($ gpg --homedir /путь/к/каталогу
), либо посредством установки переменной окружения $GNUPGHOME
.
В этом файле вы можете указать дополнительные опции. При этом не следует предварять имена опций знаками "-": просто укажите имя опции и необходимые аргументы. В качестве шаблона вы можете использовать файлы из usr/share/gnupg
. При первом запуске GPG эти файлы копируются в ~/.gnupg
, если их там не существует.
Пример базового файла настроек:
~/.gnupg/gpg.conf
default-key имя # полезно, когда у вас несколько ключей и вы хотите указать какой использовать по умолчанию keyring файл # добавит файл в текущий список наборов ключей (keyrings) trustdb-name файл # использовать файл вместо стандартного trustdb homedir каталог # использовать указанный каталог настроек вместо ~/.gnupg display-charset utf-8 # пропустить конвертацию кодировок и полагать что система использует кодировку UTF-8 keyserver имя # использовать имя как сервер ключей no-greeting # не показывать текст приветствия во время запуска armor # отобразить ключ в ASCII-совместимом формате (арморинг). По умолчанию используется двоичный формат OpenPGP
Если вы хотите задать какие-нибудь опции по умолчанию для новых пользователей, поместите соответствующие файлы в /etc/skel/.gnupg
. При создании нового пользователя файлы отсюда будут скопированы в его каталог настроек GnuPG. Также предоставляется скрипт addgnupghome, который позволяет создать каталоги GnuPG для существующих пользователей:
# addgnupghome user1 user2
Команда создаст каталоги /home/user1/.gnupg
и /home/user2/.gnupg
, соответственно, скопировав в них файлы из /etc/skel/.gnupg
. Пользователи, у которых уже есть каталог настроек GnuPG, будут пропущены.
Основы управления ключами
Создание ключа
- Сначала выберите наиболее криптостойкие алгоритмы:
~/.gnupg/gpg.conf
personal-digest-preferences SHA512 cert-digest-algo SHA512 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
В последней версии GnuPG по умолчанию используются алгоритмы SHA256 и AES, каждого из которых достаточно для большинства пользователей. Тем не менее, если вы используете GnuPG версии старее, чем 2.1 или, если вы хотите еще больше повысить уровень безопасности, выполните шаг выше.
- Сгенерируйте личный ключ, набрав
$ gpg --full-gen-key
Вам нужно будет ответить на несколько вопросов. Скорее всего, вам понадобится пара RSA-ключей: один для подписывания данных, второй для их шифрования. Размера ключа 2048 бит достаточно. Использование 4096-битных ключей не дает практически никакой пользы, однако тратит куда больше вычислительных ресурсов [1].
Хотя указание даты окончания срока действия подключа технически не является обязательным, это, тем не менее, считается хорошей практикой. Для большинства пользователей будет достаточно срока в один год. В таком случае, даже если вы потеряете доступ к своему набору ключей, по окончании этого срока другие пользователи смогут наверняка узнать, что ключ больше не используется. Обратите внимание, что вы можете увеличивать срок действия уже сгенерированного ключа после без необходимости каждый раз создавать новый.
Управление ключами
- Запуск
gpg --edit-key <идентификатор>
отобразит меню, с помощью которого вы можете выполнять большинство задач, связанных с управлением ключами. Например, для указания даты окончания срока ключа:
$ gpg --edit-key <идентификатор> > key номер ключа > expire гггг-мм-дд > save > quit
Некоторые полезные команды:
> passwd # изменить пароль > clean # сжать все неиспользуемые идентификаторы (которые были отозваны либо их срок действия истек) > revkey # отозвать ключ > addkey # добавить подключ к текущему ключу > expire # изменить дату окончания срока действия ключа
- Отобразить открытый ключ в ASCII-совместимом формате (для распространения):
$ gpg --armor --output public.key --export <идентификатор>
- Зарегистрировать ключ в публичном PGP сервере ключей, чтобы другие пользователи могли получить ваш открытый ключ без необходимости напрямую с вами связываться:
$ gpg --keyserver pgp.mit.edu --send-keys <идентификатор>
- Подписать и зашифровать файл для пользователя Bob:
$ gpg se -r Bob файл
- Создать текстовый файл со встроенной подписью:
$ gpg --clearsign файл
Экспорт подключей
Если вы планируете использовать тот же ключ на разных устройствах, вы можете вырезать мастер-ключ и оставить только минимально необходимый подключ для менее защищенных систем.
Прежде всего, определите, какой подключ вы хотите экспортировать.
$ gpg -K
Укажите, что экспортировать нужно только конкретный подключ.
$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg
На этом этапе вы можете закончить, но хорошей идеей будет изменить пароль. Импортируйте ключ во временный каталог.
$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg $ gpg --homedir /tmp/gpg --edit-key <user-id> > passwd > save $ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg
Теперь вы уже можете использовать /tmp/subkey.altpass.gpg
на других ваших устройствах.
Ротация подключей
Если вы выбрали дату окончания срока действия подключа, желательно уже за несколько недель до этой даты создать новый. Таким образом, у других пользователей будет возможность вовремя обновить свой список ключей.
- Создайте новый подключ (запустите дважды для создания отдельных ключей для подписывания и шифрования)
$ gpg --edit-key <идентификатор> > addkey
При этом вам будет задано несколько вопросов (рекомендованные настройки смотрите в предыдущем разделе).
- Сохраните изменения
> save
- Обновите ключ на сервере ключей.
$ gpg --keyserver pgp.mit.edu --send-keys <идентификатор>
Импортирование ключей
- Импортировать открытый ключ в ваш список открытых ключей:
$ gpg --import public.key
- Импортировать закрытый ключ в ваш список закрытых ключей:
$ gpg --import private.key
- Импортировать ключ с сервера ключей (если '--keyserver' не указан, будет использован сервер по умолчанию):
$ gpg --keyserver pgp.mit.edu --recv-keys <идентификатор>
Отображение ключей
- Вывести список открытых ключей:
$ gpg --list-keys
- Вывести список закрытых ключей:
$ gpg --list-secret-keys
Шифрование и дешифрование
Для шифрования и дешифрования есть возможность использовать сразу несколько закрытых ключей. В этом случае вам будет необходимо указать, какой именно ключ следует применить. Для этого используйте опцию -u <идентификатор>
(или --local-user <идентификатор>
), иначе будет использован ключ, выбранный по умолчанию.
Чтобы зашифровать файл:
$ gpg --encrypt -o secret.tar.gpg secret.tar
- Чтобы указать, для кого будет зашифрован файл, воспользуйтесь опцией
-r <идентификатор>
(или--recipient <идентификатор>
). - Вы можете использовать gnupg для шифрования важных документов, но только один файл за раз. Если вы хотите зашифровать директорию или целую файловую систему, вам стоит взглянуть на TrueCrypt или EncFS. Тем не менее, вы всегда можете заархивировать несколько файлов и затем зашифровать архив.
Чтобы расшифровать файл:
$ gpg --decrypt secret.tar.gpg
Необходимо будет ввести ваш пароль.
Шифрование пароля
Может быть полезно зашифровать какой-нибудь пароль, чтобы он не хранился в чистом виде в файле настроек. Например, пароль от вашей учетной записи электронной почты.
Первым делом создайте файл пароля, содержащий только ваш пароль и пустую строку. Обратите внимание: файл должен содержать одну пустую строку в конце, иначе gpg выведет сообщение об ошибке.
Теперь выполните:
$ gpg -e -a -r <идентификатор> файл_пароля
Опция -e
обозначает режим шифрования, -a
— для вывода в ASCII-совместимом формате, -r
— идентификатор ключа.
После выполнения команды в текущем каталоге будет создан новый файл файл_пароля.asc
.
gpg-agent
gpg-agent чаще всего используется как посредник для временного хранения пароля (пароль не будет запрашиваться каждый раз, когда нужен). Он полезен если GnuPG используется внешней программой — например, почтовым клиентом.
Включение
Начиная с версии gnupg-2.1, gpg-agent используется по умолчанию. Если вы используете предыдущие версии, вы можете включить его, добавив следующую строку в gpg.conf
:
~/.gnupg/gpg.conf
use-agent
Теперь GnuPG будет использовать агент каждый раз, когда ему необходим пароль.
Запуск
Чтобы агент запускался автоматически, добавьте следующую запись в ваш файл инициализации среды (например, .xinitrc
или .bash_profile
). Если каталог настроек GnuPG у вас расположен не в стандартном месте (~/.gnupg
), не забудьте при этом соответствующим образом обновить значение переменной envfile
.
~/.bash_profile
envfile="$HOME/.gnupg/gpg-agent.env" if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then eval "$(cat "$envfile")" else eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")" fi export GPG_AGENT_INFO # the env file does not contain the export statement export SSH_AUTH_SOCK # enable gpg-agent for ssh
Перезайдите в систему и убедитесь, что gpg-agent запущен:
$ pgrep gpg-agent
Запуск с помощью systemd
Также вы можете использовать systemd в пользовательском режиме для запуска агента. Это имеет смысл и при gnupg >= 2.1, поскольку так он будет запускаться вне пользовательских сессий и под контролем systemd.
Создайте файл юнита для gpg-agent:
~/.config/systemd/user/gpg-agent.service
[Unit] Description=GnuPG private key agent IgnoreOnIsolate=true [Service] Type=forking ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg ExecReload=/usr/bin/gpg-connect-agent RELOADAGENT Restart=on-abort [Install] WantedBy=default.target
Затем включите его в список автозапуска и запустите его командами systemctl --user daemon-reload
, systemctl --user enable gpg-agent
и systemctl --user start gpg-agent
.
Настройка
gpg-agent можно настроить в файле ~/.gnupg/gpg-agent.conf
. Все опции для настройки перечислены на странице man gpg-agent
. Например, так вы можете задать время жизни для ключей в кэше с момента последнего использования:
~/.gnupg/gpg-agent.conf
default-cache-ttl 3600
Перезапуск агента
После обновления настроек, перезапустите агент, передав команду RELOADAGENT
программе gpg-connect-agent:
$ echo RELOADAGENT | gpg-connect-agent
Будет выведено сообщение OK
.
Или же, если вы используете #Запуск с помощью systemd, можно использовать следующую команду:
$ systemctl --user reload gpg-agent
pinentry
gpg-agent использует pinentry для отображения диалога запроса пароля. Это настраивается в файле настроек gpg-agent.
По умолчанию используется диалог GTK+. Однако, есть и другие варианты — смотрите подробнее в info pinentry
. Чтобы установить другой диалог, установите опцию pinentry-program
:
~/.gnupg/gpg-agent.conf
# PIN entry program # pinentry-program /usr/bin/pinentry-curses # pinentry-program /usr/bin/pinentry-qt # pinentry-program /usr/bin/pinentry-kwallet pinentry-program /usr/bin/pinentry-gtk-2
После внесения изменений перезапустите gpg-agent.
Unattended passphrase
Начиная с GnuPG 2.1.0 использование gpg-agent и pinentry стало обязательным; это нарушает обратную совместимость для парольных фраз, которые передавались через входной поток с помощью опции --passphrase-fd 0
. Чтобы иметь возможность сделать, как раньше, требуется выполнить несколько шагов.
Первым делом, отредактируйте настройки gpg-agent, разрешив режим петли (loopback) для pinentry:
~/.gnupg/gpg-agent.conf
allow-loopback-pinentry
Перезапустите процесс gpg-agent чтобы изменения вступили в силу.
Теперь либо запускайте GnuPG с опцией --pinentry-mode loopback
$ gpg --pinentry-mode loopback ...
либо добавьте ее же в файл настроек GnuPG:
~/.gnupg/gpg.conf
pinentry-mode loopback
Встречи для подписи ключей
Чтобы дать возможность пользователям проверить ключи в хранилищах ключей и с собственных списках (то есть, убедиться, что владелец ключа на самом деле тот, за кого себя выдает), PGP/GnuPG использует так называемую "сеть доверия". Для поддержания и развития сети периодически организуются очные встречи, на которых люди, использующие систему PGP, обмениваются своими публичными ключами.
Протокол Циммермана–Сассамана призван сделать этот процесс наиболее эффективным. Здесь вы можете найти подробную инструкцию по проведению встреч на русском языке.
caff
Для упрощения процедуры подписи ключей и отправку этих подписей владельцам ключей вы можете воспользоваться утилитой caff. Установить ее можно из AUR с пакетом caff-svnAUR. Там же доступен signing-party-svnAUR — набор удобных инструментов, включающий также caff. Так или иначе, потребуется установить много зависимостей из AUR. Как вариант, вы можете загрузить и установить эти зависимости из CPAN:
cpanm Any::Moose cpanm GnuPG::Interface
Для отправки подписей владельцам вам нужен работающий агент MTA. Если у вас его еще нет, установите msmtp.
Смарт-карты
GnuPG использует scdaemon как интерфейс к вашему устройству для чтения смарт-карт. Для получения дополнительной информации обратитесь к man-странице scdaemon (1)
.
Настройка только для GnuPG
Если вы не планируете использовать другие карты, кроме тех, что работают на основе GnuPG, необходимо проверить параметр reader-port
в файле ~/.gnupg/scdaemon.conf
. Значение '0' относится к первому доступному считывателю последовательного порта, а значение '32768' (по умолчанию) — к первому считывателю USB.
GnuPG вместе с OpenSC
Если вы используете смарт-карту с драйвером opensc (например, ID-карты, распространенные в некоторых странах), необходимо уделить чуть большее время настройке GnuPG. Используя стандартную конфигурацию, при запросе gpg --card-status
вы можете получать сообщения вроде этого:
gpg: selecting openpgp failed: ec=6.108
По умолчанию scdaemon пытается подключиться к устройству напрямую. Эта попытка провалится, если считыватель карт используется другим процессом. Например, если демон pcscd используется OpenSC. Чтобы справиться с этой ситуацией, необходимо использовать тот же самый драйвер, который использует opensc — тогда они смогут работать вместе. Чтобы заставить scdaemon использовать pcscd, необходимо удалить reader-port
из файла ~/.gnupg/scdaemon.conf
, указать путь к библиотеке libpcsclite.so
и отключить ccid, чтобы удостовериться, что используется именно pcscd:
~/scdaemon.conf
pcsc-driver /usr/lib/libpcsclite.so card-timeout 5 disable-ccid
Обратитесь к man-странице scdaemon (1)
, если вы не используете OpenSC.
Решение проблем
Доступно недостаточно случайных байтов
При генерации ключа gpg может отработать с такой ошибкой:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
Для проверки доступной энтропии, проверте параметры ядра:
cat /proc/sys/kernel/random/entropy_avail
Здоровая система Линукс с большим количеством доступной энтропии вернет значение близко к полным 4,096 бит энтропии. Если возвращенное значение менее 200, система имеет низкую энтропию.
Для решения этого, вам не стоит много раз создавать ключи, а лучше всего делайте то, что предлагает сообщение выше(например делайте активным диск, двигайте мышкой, редактируйте википедию - все это создает энтропию). Если это не помогает, проверьте какой сервис использует энтропию и рассмотрите временную его остановку. Если это не альтернатива, смотрите Random number generation#Faster alternatives
su
При использовании pinentry
, у вас должны быть корректные настройки прав доступа к устройству терминала (например /dev/tty1
). Однако, с su
(или sudo
) права доступа остаются от прежнего пользователя системы. Из-за этого будут возникать проблемы с pinentry, даже при запуске от имени суперпользователя. Чтобы исправить эту проблему, назначьте нового владельца к устройству терминала до использования pinentry (например, используя gpg-agent). Используя gpg от суперпользователя, просто измените владельца на root перед запуском gpg:
chown root /dev/ttyN # где N — текущий tty
Затем верните прежнего владельца после первого запуска gpg. Аналогично должно работать и для /dev/pts
.
Agent выводит ошибку end of file
По умолчанию используется диалог pinentry-gtk-2, для правильной работы которого требуется запущенный DBus. Для получения дополнительной информации смотрите раздел Устранение часто встречающихся неполадок#Разрешения сессии.
Также вы можете использовать версию pinentry-qt
. Как это сделать, смотрите в разделе #pinentry.
Настройка прав доступа для KGpg
Некоторые пользователи сталкивались с проблемой, когда kdeutils-kgpg не может получить доступ к настройкам в ~/.gnupg/
. Одна из причин может быть в устаревшем файле опций. Подробности смотрите в отчете об ошибке.
Также наблюдались проблемы, когда KGpg не запускается, если права доступа к директории ~/.gnupg
отличаются от drwxr-xr-x
. Если вы изменили права доступа таким образом, обязательно убедитесь, что все файлы внутри каталога имеют права доступа -rw-------
! Затем, отправьте отчет об этой ошибке разработчикам.
Конфликты между gnome-keyring и GPG-Agent
Хотя Gnome keyring реализует функциональность агента GPG, с версии GnuPG 2.1 переменная GPG_AGENT_INFO
игнорируется, поэтому Gnome keyring больше не получится использовать в качестве агента GPG.
mutt и gpg
Если вы хотите, чтобы пароль запрашивался только единожды за один сеанс в новой версии GnuPG 2.1, смотрите эту ветку форума.
"Потерявшиеся" ключи после обновления до GnuPG 2.1
Если команда gpg --list-keys
перестала отображать какие-то ключи, а приложения ругаются на отсутствующие/поврежденные ключи, вероятно, какие-то ключи не были сконвертированы в новый формат.
Пожалуйста, прочтите исправление ошибки Invalid packet. Здесь говорится, что существует баг с ключами в старых файлах pubring.gpg
и secring.gpg
, которые были заменены файлом pubring.kbx
и подкаталогом private-keys-v1.d/
. Потерянные ключи можно восстановить следующими командами:
$ cd $ cp -r .gnupg gnupgOLD $ gpg --export-ownertrust > otrust.txt $ gpg --import .gnupg/pubring.gpg $ gpg --import-ownertrust otrust.txt $ gpg --list-keys
gpg зависает на всех серверах ключей(при попытке получения ключей)
Если gpg зависает на определенном сервере ключей, когда пытается получить ключи, вам прийдется убить dirmngr для того, чтобы получить доступ к другим действительно рабочим серверам, в противном случае gpg останется зависшим для всех них.
Смарт-карта не обнаружена
Пользователь, из-под которого вы работаете, похоже, не имеет права доступа к смарт-карте, в следствие чего и возникает card error
, даже если карта корректно настроена и установлена.
Одно из возможных решений - добавить новую группу scard
с включением в нее пользователей, которым нужен доступ к смарт-катре.
Дальше используйте подобное udev правило:
/etc/udev/rules.d/71-gnupg-ccid.rules
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
Только нужно адаптировать VENDOR и MODEL в согласии с выводом lsusb
. Выше приведен пример для YubikeyNEO.