Назад | Оглавление | Вперед |
Глава 13 Программы обеспечения безопасности (Управление и ограничения) - GnuPGВ этой главеLinux GnuPG Команды Установка поддержки квот на вашей Linux системе. Создание ядра с поддержкой квот Модификация файла "/etc/fstab" Создание файлов "quota.user" и "quota.group" Назначение квот для Пользователей и групп Команды |
Шифрование данных это бесценная возможность, которая сильно увеличивает конфиденциальность вашей работы. Утилиты подобные GnuPG делаю намного больше, чем просто шифруют почтовые сообщения. Они могут быть использованы для всех видов шифрования данных и их использование может быть ограничено только вашей фантазией. RPM пакет GnuPG уже может быть инсталлирован на вашем компьютере, но эта версия не является последней и поэтому мы рекомендуем инсталлировать последний релиз соответствующий вашему серверу и архитектуре CPU.
Согласно официальному README файлу GnuPG:
GnuPG - это GNU утилита для безопасной передачи информации и хранения данных. Она может быть использована для шифрования данных и создания цифровых сигнатур. GnuPG включает продвинутый менеджер ключей и совместима с OpenPGP Internet стандартом, описанном в RFC2440. Так как GnuPG не использует каких-либо патентованных алгоритмов, она не может быть совместима с PGP2. PGP 2.x использует только IDEA (запатентован) и RSA (который запатентован в США до 20 сентября 2000).
Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
GnuPG версии 1.0.1
Пакеты.
Домашняя страница GnuPG: http://www.gnupg.org/
Вы должны скачать: gnupg-1.0.1.tar.gz
Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до
инсталляции GnuPG и после, в результате, с помощью утилиты diff вы сможете
узнать какие файлы были установлены. Например,
До инсталляции:
find /* > GnuPG1
После инсталляции:
find /* > GnuPG2
Для получения списка установленных файлов:
diff GnuPG1 GnuPG2 > GnuPG
Раскройте тарбол:
[root@deep /]# cp gnupg-version.tar.gz /var/tmpПереместитесь в новый каталог GnuPG и выполните следующие команды:
CC="egcs" \команда make компилирует исходные коды в исполняемые двоичные файлы;
команда make check запускает все тесты, входящие в пакет;
команда make install инсталлирует исполняемые и сопутствующие им файлы в
определенный каталог;
strip будет уменьшать размер, увеличивая производительность программы.
Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции GnuPG. Она также удалит .tar.gz архив.
Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.
Создание ключа.Прежде всего, если мы используем GnuPG в первый раз, для включения возможностей шифрования необходимо создать новую пару ключей (публичный и персональный).
Шаг 1.Для создания новой пары ключей используйте следующую команду:
[root@deep /]# gpg --gen-keyМы вновь запускаем GnuPG следующей командой:
[root@deep /]# gpg --gen-keyНовая пара ключей (общедоступный и личный) успешно созданы в домашнем каталоге пользователя root (~/root).
Импортирование ключей.Как только мы создали нашу пару ключей, мы можем начать добавлять в нашу публичную базу ключей все ключи, которые мы получили от третьих лиц, чтобы в будущем использовать их для шифрования и опознания связи.
Для импортирования публичных ключей в базу данных ключей используйте команду:
[root@deep /]# gpg --import <file>Например:
[root@deep /]# gpg --import redhat2.ascВышеприведенная команда будет добавлять все новые ключи в базу данных и будет обновлять все уже существующие ключи. Важно заметить, что GnuPG не импортирует не самоподписанные (self-signed) ключи. В вышеприведенном примере мы импортируем файл "redhat.asc", содержащий публичный ключ компании Red Hat Linux, взятый с Интернет сайта Red Hat.
Подписание ключей.Когда вы импортировали ключи в свою базу данных публичных ключей и вы точно уверенны, что третье лицо, чей ключ вы положили, действительно тот за кого себя выдает, вы можете подписать его/ее ключ. Подписание ключа удостоверяет, что вы знаете его владельца.
Для подписания ключа компании Red Hat, который мы добавили выше, используйте команду:
[root@deep /]# gpg --sign-key <UID>Например:
[root@deep /]# gpg --sign-key RedHatЗАМЕЧАНИЕ. Вы должны подписывать ключ только когда абсолютно уверенны, что ключ действительно настоящий! Вы никогда не должны подписывать ключ, базирующийся на любых предположении.
Шифрование и дешифрованиеПосле инсталляции, импортирования, подписания и конфигурирования мы можем начать шифровать и расшифровывать нашу работу.
Для шифрования и подписания данных для пользователя RedHat, ключ которого мы добавили выше, используйте следующую команду:
[root@deep /]# gpg -sear RedHat <file>Например:
[root@deep /]# gpg -sear RedHat message-to-RedHat.txtАргументы, которые использовались обозначают следующее, "s" - подписание (уменьшение риска что кто-то попытается представиться вами, очень полезно подписывать все, что вы шифруете), "e" - шифрование, "a" - создание ASCII защищенного вывода (".asc" готовые для отправки по почте), "r" - шифрование имени идентификатора пользователя и <file> это сообщение, которое вы хотите зашифровать.
Для расшифровки данных используйте следующую команду:
[root@deep /]# gpg -d <file>Например:
[root@deep /]# gpg -d message-to-Gerhard.ascГде "-d" означает расшифровку и <file> сообщение, которое вы хотите расшифровать. Важно, чтобы публичный ключ отправителя сообщения, которое мы хотим расшифровать, был в нашей базе ключей или ничего работать не будет.
Экспортирование вашего публичного ключа.Вы можете расширить ваши горизонты экспортируя и распространяя свой публичный ключ. Это можно сделать публикуя его на вашей домашней странице, через доступные сервера ключей в Интернет или другими способами. GnuPG имеет несколько полезных опций, чтобы помочь вам публиковать ваш публичный ключ.
∙ Для извлечения вашего публичного ключа в ASCII защищенный вывод используйте команду:
[root@deep /]# gpg --export --armor > Public-key.ascгде "--export" для извлечения вашего публичного ключа из зашифрованного файла, "--armor" создать ASCII защищенный вывод, который вы можете отправлять, публиковать или выкладывать на веб-странице и "> Public-key.asc" говорит, что результат надо поместить в файл с именем Public-key.asc.
Проверка signatureКогда вы извлекли публичный ключ и экспортировали его, каждый кто знает или получит его может захотеть убедиться, что полученные от вас данные действительно от вас.
∙ Для проверки сигнатуры шифрованных данных используйте команду:
[root@deep /]# gpg --verify <Data>Опция "--verify" будет проверять сигнатуру, а <Data> - зашифрованные данные/файл, который вы хотите проверить.
GnuPG может быть использован:
> /usr/bin/gpg
> /usr/lib/gnupg
> /usr/lib/gnupg/rndunix
> /usr/lib/gnupg/rndegd
> /usr/lib/gnupg/tiger
> /usr/man/man1/gpg.1
> /usr/share/gnupg
> /usr/share/gnupg/options.skel
Назад | Оглавление | Вперед |