PGP-kryptering/-signering av data

Med PGP kan du signere data for 奪 seie at du er opphavet, og kryptere data slik at berre dei med rette n淡kler kan lese dei.

For 奪 kunne kryptere med PGP treng du eit 稼淡一一艶鉛沿温姻 - ein privat og ein offentleg n淡kkel. Den private n淡kkelen er din og berre din; ingen andre skal nokon gong setje fingrane sine i den. Den offentlege n淡kkelen kan du gje til kven du vil, og leggje ut offentleg slik at andre kan hente den og bruke den.

I dette tilfellet skal PGP nyttast i samband med e-post. Du b淡r g奪 vegen om gpg i Unix, som er installert p奪 alle UiO-unixmaskiner. D奪 vert n淡klane samla p奪 eit omr奪de som kan vere autorativt for alle plasser du skal bruke pgp-kryptering. Blander du inn Thunderbird risikerer du 奪 misse det du har ved reinstallasjon, d奪 den konsekvent legg seg i din brukarprofil lokalt p奪 datamaskina.

酷姻温馨乙温稼乙壊馨奪岳艶

1: Opprett 稼淡一一艶鉛沿温姻et (den private og den offentlege n淡kkelen)

Logg inn p奪 ein unixserver med ssh og k淡yr kommandoane i lista nedanfor:

linux@maskin~$ gpg --gen-key

Dette er kommandoen for 奪 generere 稼淡一一艶鉛沿温姻et. Anbefalte verdiar:

Please select what kind of key you want: Velg: (1) RSA and RSA (default)
What keysize do you want? (2048): Skriv 2048 bits
Key is valid for? (0): Velg 0
Is this correct (y/n)?: Velg Y
Real name: Skriv inn ditt eige namn.
Email address: Skriv inn epostadressa di
Comment: Skriv inn ein kommentar viss du vil.
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?: Kontroller dataene 
og avslutt med O
Enter passphrase: Dette skal vera ein kompliser setning som du ogs奪 m奪 
klare 奪 hugse. Litt sterk passordliknande passphrase er ikkje godt nok.
Repeat passphrase: Repeter passphrase

N淡kkelgenereringa tar litt tid.

Resultatet

pub 2048R/XXXXXXXX 2008-11-13 REAL NAME (COMMENTS)

No er 稼淡一一艶鉛沿温姻et oppretta og du vil no ha f奪tt oppretta ei mappe .gnupg p奪 heimeomr奪det ditt som ser slik ut:

-rw-------  1 eigar gruppe 8075 Nov  3 14:29 gpg.conf
-rw-------  1 eigar gruppe 1179 Nov 13 20:12 pubring.gpg
-rw-------  1 eigar gruppe  600 Nov 13 20:12 random_seed
-rw-------  1 eigar gruppe 1328 Nov 13 20:12 secring.gpg
-rw-------  1 eigar gruppe 1240 Nov 13 20:12 trustdb.gpg

Innholdet i filene:

gpg.conf = konfigurasjonsfila til gpg
pubring.gpg = n淡kkelknippet ditt med offentlege n淡klar
secring.ggp = n淡kkelknippe med private n淡klar
trustdb.gpg = database over trust, kven du har valgt 奪 stole p奪 eller ikkje 奪 stole p奪 (webtrust)

2: Publiser den offentlege n淡kkelen

Den offentlege n淡kkelen skal brukast til 奪 verifisere og dekryptere meldingar fr奪 deg. Derfor m奪 denne publiserast slik at kven som helst kan laste den ned. Du kan leggje den tilgjengeleg p奪 ein n淡kkelserver som finst rundt om kring p奪 Internett. Desse serverane snakker og synkroniserar seg med kvarandre, slik at den offentlege n淡kkelen vert tilgjengeleg fr奪 alle n淡kkelserverane.

linux@maskin~$ gpg --list-keys

linux@maskin~$ gpg --send-keys --keyserver=subkeys.pgp.net XXXXXXX

XXXXXXX = 鰻淡一一艶鉛-鴛禽 til din public key. Den ser du fr奪 outputten til list-keys.
Det finst fleire n淡kkelservere rundt omkring. Dette er ein tilfeldig valgt server.

3: Generering av revoke-sertifikat

Det kan g奪 gale med 稼淡一一艶鉛沿温姻et. Derfor lyt du kunne seie i fr奪 til alle som nyttar den offentelege n淡kkelen at han ute av drift, om den offentlege n淡kkelen er kompromittert, passordet er mista eller at n淡kkelen har g奪tt ut p奪 dato. D奪 er det lurt 奪 ha eit revoke sertifikat tilgjengeleg. Dette sertifikatet og den private n淡kkelen m奪 tas godt vare p奪, d奪 begge kan gjere 稼淡一一艶鉛沿温姻et ugyldig.

Kommando for 奪 genere revoke-sertifikat:

 linux@maskin~$ gpg --gen-revoke --output email@addresse.uio.no-revoke.acs XXXXXXX

email@addresse.uio.no er den e-postadressa som er assosiert med n淡kkelen du vil lage sertifikat til. Dersom du har fleire 稼淡一一艶鉛沿温姻 p奪 same adresse, m奪 du angje 鰻淡一一艶鉛-鴛禽. Anbefalte verdiar:

Create a revocation certificate for this key? y
Your decision? 0
Enter an optional description; end it with an empty line: (legg inn dersom du vil)
Is this okay? y
Enter passphrase: (Passordet du har satt p奪 den private n淡kkelen)

Kopier teksta som kjem opp p奪 skjermen. Sertifikatet skal sj奪 omlag slik ut p奪 fil:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Ein del rare teikn og bokstaver	
-----END PGP PUBLIC KEY BLOCK-----

NB! Flytt dette sertifikatet til ein sikker plass, slik at ingen uvedkommande f奪r tak i dette. Sertifikatet vil gjere n淡klane ugyldige i det dei vert importert inn i n淡kkelringen din.

4: Gjer 稼淡一一艶鉛沿温姻et ditt ugyldig

Dette skal du IKKJE gjere f淡r det har skjedd noko som p奪krev det. Operasjonen gjer 稼淡一一艶鉛沿温姻et ditt ugyldig s奪 det ikkje kan brukast lenger.

linux@maskin~$ gpg --import my-revocation-sertifikate.asc

Legg endringa ut p奪 n淡kkelserveren slik at alle andre ser at din offentelege n淡kkel er ute av drift. Ein offentleg n淡kkel kan aldri slettast fr奪 ein n淡kkelserver, og m奪 derfor gjerast ugyldig.

Finn offentlege n淡klar p奪 ein n淡kkelserver

Normalt sett veit du ikkje kva n淡kkel-IDen til andre er, men du kan s淡ke etter n淡klar p奪 namn.

linux@maskin~$ gpg --search-keys --keyserver=subkeys.pgp.net s淡keord1 s淡keord2....

皆淡一eord = namnet du vil s淡ke p奪. Alle ord etter keyserver=... vert sl奪tt saman for 奪 avgrense s淡ket.
Du vil f奪 ei liste med namn og tilh淡yrande n淡kkel-ID.

linux@maskin ~/.gnupg $ gpg  --search-keys --keyserver=subkeys.pgp.net XXX Y
gpg: searching for "XXX Y" from HKP server subkeys.pgp.net
Keys 1-3 of 3 for "XXX y"
(1)     XXX YYY xxx.yyy@domene.uio.no\>" 1024 bit DSA key D60F77F2, created 2008-11-05
(2)     XXX YZZ xxx.yzz@domene.com>" 1024 bit DSA key 33F152S0, created 2006-08-25
(3)     XXX YAA xxx.yaa@domene.it" 1024 bit DSA key 431BgDED, created 2006-01-16
Enter number(s), N)ext, or Q)uit

Du kan importere den offentlege n淡kkelen n奪r du har funne han.
Velg mellom 1,2 eller 3. Her skal du ikkje oppgje 鰻淡一一艶鉛-鴛禽, men nummeret fr奪 s淡ket.
Next blar vidare i resultata.
Sjekke opp fingerprintet til n淡kkelen med eigaren, slik at du er sikker p奪 at det er den rette n淡kkelen du henter ned.

Import og eksport av private og offentlege n淡klar

For 奪 bruke 稼淡一一艶鉛沿温姻et ditt, og andre offentlege n淡klar, m奪 dei importerast inn i n淡kkelknippa dine. I nokre tilfeller m奪 fyrst eksporterast til eit leseleg format. Det er enklast 奪 hente dei offentlege n淡klane direkte fr奪 n淡kkelserveren.

Import av andre offentlege n淡klar fr奪 n淡kkelserver:

linux@maskin~$ gpg --recv-keys --keyserver=subkeys.pgp.net XXXXXXX

XXXXXXX = 鰻淡一一艶鉛-鴛禽. Den ser du fr奪 outputten til list-keys. Dersom du ikkje kjenner til ID kan du s淡ke etter denne med kommandoen: gpg --search-keys --keyserver=subkeys.pgp.net s淡keord1 s淡keord2...

Import av andre sine offentlege n淡klar fr奪 ascii armorert fil

linux@maskin~$ gpg --import filnamn

Filnamn er namnet p奪 fila som inneheld personens offentlege n淡kkel i ASCII format.

Export av offentlege n淡klar

For 奪 kunne bruke n淡klane i andre program m奪 du ofte eksportere dei til ASCII-format for s奪奪 importere dei inn i programmet. Thunderbird gjer dette direkte fr奪 n淡kkelringane.

linux@maskin~$ gpg --export --armor --output namnPubKey_XXXXXXXX.asc XXXXXXXX

Namnet er XXXXXXX-ID p奪 n淡kkelen. N奪r fila er eksportert kan du importere den der det m奪tte passe.
Skal du flytte eller importere alle dei offentlege n淡klane i ein operasjon, let du vera 奪 angje namnet: gpg --export --armor --output AllePubKeysInRing.asc

Verifisering

Nokre gonger kan offentlege n淡klar endrast av andre, sj淡lv om dette ikkje b淡r skje. Alle n淡klar har eitunikt fingravtrykk. Vert n淡kkelen endra, vert ogs奪 fingravtrykket endra. Ved signering av n淡klar skal du g奪 god for at n淡kkelen faktisk h淡yrer til den rettmessige eigaren. Derfor skal ein alltid sjekke opp med eigaren av n淡kkelen at fingeravtrykket er likt p奪 n淡kkelen du har og eigaren sin

linux@maskin~$  gpg --fingerprint XXXXXXXX

Der XXXXXXXX er ID for n淡kkelen. Skal du liste alle, dropp ID-n淡kkelen. Bruk: gpg --fingerprint.

N奪r dette er i orden kan du signere, og g奪 god for n淡kkel og eigar. Dette er utanfor dokumentets omr奪de og kommandoen for dette finn ein i sidene til gpg.

Oppdatering av n淡klar

Innimellom er det behov for 奪 oppdatere n淡klane. �rsaker kan vera at dei har vorte signert, at tidstempelet er oppdatert eller andre ting. For at folk rundt omkring skal f奪 med seg endringane m奪 n淡kkelserverane oppdaterast.

Hent ned nye n淡klar fr奪 n淡kkelserveren:

linux@maskin~$ gpg --recv-keys --keyserver=subkeys.pgp.net XXXXXXXX

或沿沿糸温岳艶姻&稼恢壊沿;稼淡一一艶鉛壊艶姻厩艶姻艶稼:

linux@maskin~$ gpg --send-keys --keyserver=subkeys.pgp.net XXXXXXXX

Oppdater din n淡kkelring:

linux@maskin~$ gpg --refresh-keys --keyserver=subkeys.pgp.net XXXXXXXX

Der XXXXXXXX er ID for n淡kkelen. Skal du oppdatere alle, dropp ID-n淡kkelen

Om noko g奪r galt

Du misser den offentlege n淡kkelen - den private n淡kkelen har ein kopi av den offentlege n淡kkelen.
Du misser din private n淡kkelen - du m奪 lage nytt 稼淡一一艶鉛沿温姻 dersom du ikkje har ein backup.
Du gl淡ymer passordet - uten passordet kan du ikkje bruke 稼淡一一艶鉛沿温姻et. Du b淡r ha eit revoke-sertifikat.
N淡kkelen g奪r ut p奪 tid - oppdatere n淡kkelen tidsnok. Det er vanskeleg n奪r den er g奪tt ut p奪 tid. Bruk kommandoen gpg --edit og skriv inn help.
N淡kkelen din er kompromitert - deaktivier n淡kkelen med eit revoke-sertifikat.

Emneord: S

Publisert 3. mai 2010 09:51 - Sist endret 16. nov. 2021 11:55